menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2024
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Чек-лист проверки ЦОД и его сервисов

лонгриды
13.01.2023
08/10/25
Б-152
Лонгриды
События /
Чек-лист проверки ЦОД и его сервисов
Практический список действий и вопросов для оценки соответствия провайдера и его сервисов требованиям по защите информации. Формулировки и критерии уточнены с учетом комментариев эксперта.
1) Быстрая проверка публичной информации
2) Запрос документации у провайдера
Содержание
3) Проверка соответствия предоставляемых сервисов (SaaS)
4) Анализ договора на услуги ЦОД
5) Услуги по защите информации и СЗИ
6) Итоги проверки и действия оператора
Памятка фиксации результатов
Красные флаги (для внутренней отметки)
Приложение: чек-лист для звонка/встречи (короткая форма)
1) Быстрая проверка публичной информации
2) Запрос документации у провайдера
Содержание
3) Проверка соответствия предоставляемых сервисов (SaaS)
4) Анализ договора на услуги ЦОД
5) Услуги по защите информации и СЗИ
6) Итоги проверки и действия оператора
Памятка фиксации результатов
Красные флаги (для внутренней отметки)
Приложение: чек-лист для звонка/встречи (короткая форма)

1) Быстрая проверка публичной информации

  • На сайте провайдера прямо указано, что предоставляемые ресурсы защищены и соответствуют требованиям законодательства.
Что зафиксировать: срок действия аттестата соответствия, присланные подтверждающие документы от провайдера, а также в соответствии с каким уровнем защищенности/категорией значимости/классом защиты выдан аттестат.
  • Размещена информация о прохождении аттестации и уровне/классе/категории защиты (если аттестация проводилась).
  • Есть возможность запросить подтверждающие документы (например, аттестат соответствия).

2) Запрос документации у провайдера

  • Отправлен официальный запрос с просьбой подтвердить соответствие НПА и предоставить документацию (например, аттестат соответствия).
  • Уточнен порядок обмена документами: провайдер предоставляет ответы только после заключения NDA или готов делиться базовой информацией без NDA.
  • Получены ответы и приложены документы/письма в досье по провайдеру.
Пример запроса:
Мы в поиске подходящего провайдера услуг для размещения нашей инфраструктуры в ЦОД по требованиям [указать номера НПА]. Подскажите, есть ли такая услуга?
Просим предоставить таблицу распределения зон ответственности в части защиты информации (Приказ ФСТЭК № …) и соответствующее подтверждение выполнения требований защиты (Приказ ФСТЭК № …), в частности аттестат соответствия.

3) Проверка соответствия предоставляемых сервисов (SaaS)

  • Запрошено письменное подтверждение, что сервисы защищены и проходили проверку на соответствие требованиям регуляторов.
  • Получены материалы/отчеты/письмо провайдера о результатах таких проверок.
  • Зафиксировано, требуется ли NDA для предоставления указанных материалов.
Что зафиксировать: список сервисов, уровень защищенности/категорию значимости/класс защиты по каждому, срок действия документов провайдера.

4) Анализ договора на услуги ЦОД

В договоре должно быть прозрачно описано, кто и за что отвечает.
  • Определена ответственность каждой из сторон.
  • Описано разделение зон ответственности в зависимости от типа аренды.
  • Ясно сформулировано, что провайдер вправе делать в отношении арендуемой оператором вычислительной мощности, а что нет.
Что зафиксировать: пункты договора, страницы и разделы, по которым приняты решения.

5) Услуги по защите информации и СЗИ

  • Выяснено, какие услуги по защите информации предоставляет ЦОД и на каких условиях.
  • Не ожидать «по умолчанию» сертифицированные или прошедшие процедуру соответствия СЗИ от ЦОД: такие средства можно брать в аренду, но базовая защита инфраструктуры остается на стороне оператора.
  • Если услуги провайдера аттестованы, оценить возможность их использования для аттестации отдельных сегментов инфраструктуры.
Что зафиксировать: перечень доступных услуг/СЗИ, условия аренды, статус и срок действия аттестации услуг провайдера.

6) Итоги проверки и действия оператора

  • Сформирован пакет подтверждений (аттестаты, письма, выдержки из договора, таблицы распределения зон ответственности).
  • Принято решение: провайдер соответствует / условно соответствует / не подтверждено соответствие (указать по каким сервисам).
  • Определены дополнительные меры оператора, если подтверждения недостаточны (например, запросить недостающие документы, уточнить зоны ответственности, скорректировать условия договора, предусмотреть аренду СЗИ).

Памятка фиксации результатов

Рекомендуется фиксировать следующие данные:
  • срок действия аттестата соответствия;
  • тип аренды;
  • распределение зон ответственности;
  • ссылки на источники (страницы сайта провайдера, письма, приложения к договору);
  • статус по каждому сервису: «подтверждено документами» / «подтверждено письмом» / «ожидаем ответ (NDA)».

Красные флаги (для внутренней отметки)

  • На сайте нет упоминаний о соответствии/аттестации, и провайдер не готов предоставить подтверждения.
  • В договоре размытое или отсутствует разделение зон ответственности.
  • Ожидания «ЦОД все защитит сам» без подтвержденных услуг/СЗИ и без участия оператора в защите инфраструктуры.

Приложение: чек-лист для звонка/встречи (короткая форма)

  1. Есть ли у вас действующий аттестат соответствия? Какой уровень/класс/категория определен?
  2. Можно получить подтверждающие документы (например, аттестат соответствия)?
  3. Ваши SaaS-сервисы проходили проверку на соответствие? Есть письма/отчеты?
  4. Как у вас устроено NDA для обмена документами?
  5. Как в договоре описаны зоны ответственности и ваши права в части арендуемой мощности?
  6. Какие услуги по защите информации доступны? Есть ли аттестованные сервисы, которые можно использовать при нашей аттестации?
Все равно не уверены, что ваш сайт соответствует требованиям 152-ФЗ?
Мы предлагаем комплексный аудит процессов обработки персональных данных и информационных систем
ПОДРОБНЕЕ ОБ УСЛУГЕ
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме