СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Блоги
Б-152
4 февраля
#Статьи #ИБ#Инфра#Облака

Чек‑лист: как понять, что в вашей зоне ответственности, а что на стороне подрядчика/провайдера

Чеклист: как понять, что в вашей зоне ответственности, а что на стороне подрядчикапровайдера

Изображение: recraft

1) Сервис или ИСПДн

  • Определить, кому принадлежит используемая информационная система.
  • Проверить, хранятся ли ПДн в структурированной базе данных.
  • Убедиться, что ПДн объединены единой целью обработки.
  • Проверить, можете ли вы администрировать систему со стороны ИТ.

Вывод: Если хотя бы на один вопрос ответ «нет», то, вероятнее всего, система не относится к вашей ИСПДн, однако она остается частью вашей инфраструктуры, и вы несете ответственность за ее безопасное использование и администрирование (например, файловый сервер без БД и цели обработки ПДн).

2) Тип аренды в ЦОД

  • Определить, какой именно тип аренды используется (SaaS, PaaS, IaaS, аренда выделенного сервера, colocation).
  • Учитывать, что зоны ответственности зависят от типа аренды.
  • Проверить договор: у провайдера могут быть собственные условия разделения ответственности.

Таблица зон ответственности (пример):

Примечание: данное разделение приведено для ориентира, точные условия определяются договором.

3) Средства защиты как облачные решения

  • Проверить, кто отвечает за настройку и соответствие требованиям:

– коробочные решения → ответственность пользователя;
– облачные услуги → ответственность провайдера.

  • Убедиться, что выбранное решение покрывает меры регулятора.

4) Привлечение подрядчиков для ИТ‑работ

  • Уточнить, какие работы выполняет подрядчик и какой доступ он имеет.
  • Зафиксировать технические процессы в организационных документах.
  • Ознакомить подрядчика с регламентами компании.
  • Проверить наличие у подрядчика лицензии на соответствующий вид деятельности.

Комментарий: Даже если подрядчик ошибается, юридическая ответственность остается на организации.

Итоговая фиксация

  • Определена граница зоны ответственности: ваша, провайдера и подрядчика.
  • Проверен договор с провайдером и документы с подрядчиком.
  • Выявлены риски передачи доступа неквалифицированным специалистам.

Сформирован список обязательных документов для подтверждения распределения ответственности.

Б-152
Автор: Б-152
Б-152 — консалтинговая компания. Более 14 лет помогаем бизнесу соответствовать требованиям в сфере персональных данных и информационной безопасности. Мы работаем в области privacy, входим в рабочую группу Роскомнадзора, разрабатываем собственные продукты и сопровождаем клиентов на всех этапах — от аудита до прохождения проверок. Б-152 — команда, которая говорит с ИБ на одном языке. Мы поможем не только формально соблюсти 152-ФЗ, но и выстроить настоящую защиту данных: модели угроз, ТЗ на СЗИ, аудит и тестирование.
Комментарии: