Чек‑лист: как понять, что в вашей зоне ответственности, а что на стороне подрядчика/провайдера

13.01.2023
11/10/25
Б-152
Как понять, что в вашей зоне ответственности, а что на стороне подрядчика/провайдера
Чек-лист помогает определить границы ответственности между организацией, провайдером и подрядчиком по ключевым аспектам обработки персональных данных и эксплуатации ИТ-инфраструктуры.

1) Сервис или ИСПДн

  • Определить, кому принадлежит используемая информационная система.
  • Проверить, хранятся ли ПДн в структурированной базе данных.
  • Убедиться, что ПДн объединены единой целью обработки.
  • Проверить, можете ли вы администрировать систему со стороны ИТ.
Вывод: если хотя бы на один вопрос ответ «нет», то, вероятнее всего, система не относится к вашей ИСПДн, однако она остается частью вашей инфраструктуры, и вы несете ответственность за ее безопасное использование и администрирование (например, файловый сервер без БД и цели обработки ПДн).

2) Тип аренды в ЦОД

  • Определить, какой именно тип аренды используется (SaaS, PaaS, IaaS, аренда выделенного сервера, colocation).
  • Учитывать, что зоны ответственности зависят от типа аренды.
  • Проверить договор: у провайдера могут быть собственные условия разделения ответственности.
Примечание: данное разделение приведено для ориентира, точные условия определяются договором.
Таблица зон ответственности (пример):

3) Средства защиты как облачные решения

  • Проверить, кто отвечает за настройку и соответствие требованиям:
  • Убедиться, что выбранное решение покрывает меры регулятора.
— коробочные решения → ответственность пользователя;
— облачные услуги → ответственность провайдера.

4) Привлечение подрядчиков для ИТ‑работ

  • Уточнить, какие работы выполняет подрядчик и какой он имеет доступ.
  • Зафиксировать технические процессы в организационных документах.
  • Ознакомить подрядчика с регламентами компании.
  • Проверить наличие у подрядчика лицензии на соответствующий вид деятельности.
Комментарий: даже если подрядчик ошибается, юридическая ответственность остается на организации.

Итоговая фиксация

  • Определена граница зоны ответственности: ваша, провайдера, подрядчика.
  • Проверен договор с провайдером и документы с подрядчиком.
  • Выявлены риски передачи доступа неквалифицированным специалистам.
  • Сформирован список обязательных документов для подтверждения распределения ответственности.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме