Заметка №1 Хостинг конфиденциальной информации – панацея от 152-ФЗ или деньги на ветер?

В процессе работы столкнулась с тем, что Заказчик не хочет тратить время и ресурсы на администрирование и поддержание работоспособности своего сайта. В личном кабинете это сайта обрабатываются персональные данные (далее – ПДн) 1 категории, то есть ПДн, позволяющие идентифицировать субъекта персональных данных и получить о нём дополнительную информацию, включая сведения о его здоровье. Объем персональных данных более 100 000, угрозы 1-ого и 2-ого типа в соответствии с моделью угроз и нарушителя признаны неактуальными. То есть мы получаем распределенную информационную систему персональных данных (далее – ИСПДн), состоящую из 2-х сегментов: офиса компании Заказчика и площадки организации, предоставляющей услуги хостинга для рассматриваемого сайта. В соответствии с Постановлением Правительства №1119 уровень защищенности ИСПДн – 2.

Чтобы выполнить все требования 152-ФЗ и подзаконных актов для данного проекта я провела небольшое исследование рынка хостинг-центров и нашла интересную, на первый взгляд, услугу: «Хостинг конфиденциальной информации».По этическим причинам не буду приводить ссылку на сайт компании-поставщика данной услуги.

Приведу лишь небольшое описание услуги:

   «Услуга «Хостинг конфиденциальной информации» предоставляется на базе виртуального хостинга и подойдет для хранения баз данных небольших компаний, таких как интернет-магазины или предприятия бытового обслуживания.

   Особенности услуги:

1.      Защищенный хостинг на оборудовании, имеющем сертификат связи. При построении инфраструктуры используются серверы и телекоммуникационное оборудование ведущих мировых производителей, таких как IBM и Cisco Systems.
2.      Используется аппаратно-программный комплекс шифрования «Континент 3.5», сертифицированный ФСТЭК как средство защиты от несанкционированного доступа к информации.
3.      Используется сертифицированное антивирусное ПО (Антивирус Касперского 8.0 для Linux File Servers).
4.      Оборудование расположено в специализированном хорошо охраняемом помещении, оборудованном системами контроля доступа и видеорегистрации.
5.      Ежедневно создаются две резервные копии данных в соответствии с требованиями к ИСПДн.
6.      Для каждого проекта используется отдельная база данных.
7.      Ведется строгий учет носителей информации.

   Наша инфраструктура позволяет построить именно ту ИСПДн, которая необходима вашему клиенту».

Написано красиво, создается впечатление, что вот оно – решение проблем для всех интернет-магазинов, и иных сайтов с личными кабинетами!

Для уточнения некоторых деталей я связалась со специалистами данной компании и выяснила некоторые интересные детали. Размещение на выделенных ресурсах сайтов с применением дополнительных методов защиты информации позволяет выполнить ТОЛЬКО РЯД требований 152-ФЗ и подзаконных актов в области защиты ПДн. Например, «веб-сервер и MySQL-сервер запущены на разных физических серверах, но на каждом из этих серверов хранятся данные многих клиентов компании». То есть на одном физическом сервере могут хранится БД разных клиентов, с разным уровнем конфиденциальности информации, между собой эти БД не отделены межсетевыми экранами. На мой вопрос о возможности выделить отдельный физический, ну или хотя бы виртуальный сервер под мой проект, мне было отказано, так как эта компания такую услугу не предоставляет. Про наличие сертифицированных средств защиты и действующих сертификатов соответствия на них узнавать стало бессмысленно.

В итоге, для Заказчиков, которые хотят ПОЛНОСТЬЮ и грамотно выполнить все требования по защите ПДн и не иметь никаких проблем с Роскомнадзором, данная услуга, к сожалению, не подходит. Надеюсь, что данная хостинг-компания пересмотрит свою политику по предоставлению услуги «Хостинг конфиденциальной информации» и будет предоставлять для каждого сайта, обрабатывающего ПДн, физически выделенный сервер или использовать сертифицированные средства защиты виртуальной инфраструктуры для выделенных виртуальных серверов.

В следующей статье, более подробно разберем, как же грамотно обеспечить защиту ПДн, при размещении сегмента ИСПДн на территории хостинг-центров.