ፕሮሆስተር > ጦማር > አስተዳደር > IaaS 152-FZ: ስለዚህ, ደህንነት ያስፈልግዎታል

IaaS 152-FZ: ስለዚህ, ደህንነት ያስፈልግዎታል

IaaS 152-FZ: ስለዚህ, ደህንነት ያስፈልግዎታል

ከ152-FZ ጋር መጣጣምን ዙሪያ ያሉትን አፈ ታሪኮች እና አፈ ታሪኮች ምንም ያህል ብታወጡም፣ ሁልጊዜ ከትዕይንቱ በስተጀርባ የሆነ ነገር ይቀራል። ዛሬ ሁለቱም ትልልቅ ኩባንያዎች እና በጣም ትንሽ ኢንተርፕራይዞች ሊያጋጥሟቸው ስለሚችሉ አንዳንድ ሁልጊዜ ግልፅ ያልሆኑትን መወያየት እንፈልጋለን።

  • የ PD ምደባ ወደ ምድቦች ስውር - አንድ ትንሽ የመስመር ላይ መደብር ሾለ እሱ እንኳን ሳያውቅ ከአንድ ልዩ ምድብ ጋር የተዛመደ መረጃ ሲሰበስብ;

  • የተሰበሰቡ የፒዲ መጠባበቂያዎችን ማከማቸት እና በእነሱ ላይ ስራዎችን ማከናወን የሚችሉበት;

  • በእውቅና ማረጋገጫ እና በተሟላ ሁኔታ መደምደሚያ መካከል ያለው ልዩነት ምንድን ነው, ከአቅራቢው ምን ሰነዶችን መጠየቅ እንዳለቦት እና እንደዚህ ባሉ ነገሮች.

በመጨረሻም የምስክር ወረቀቱን የማለፍ የራሳችንን ልምድ እናካፍላለን። ሂድ!

በዛሬው ጽሑፍ ውስጥ ያለው ባለሙያ ይሆናል አሌክሲ አፍናሴቭ፣ IS ስፔሻሊስት ለዳመና አቅራቢዎች IT-GRAD እና #CloudMTS (የ MTS ቡድን አካል)።

የምድብ ጥቃቅን ነገሮች

ብዙ ጊዜ የደንበኛ ፍላጎት ያጋጥመናል፣ ያለ IS ኦዲት፣ ለ ISPD አስፈላጊውን የደህንነት ደረጃ ለመወሰን። በዚህ ርዕስ ላይ በይነመረብ ላይ ያሉ አንዳንድ ቁሳቁሶች ይህ ቀላል ስራ እንደሆነ እና ስህተት ለመስራት በጣም ከባድ እንደሆነ የተሳሳተ አስተያየት ይሰጣሉ።

KM ን ለመወሰን በደንበኛው አይኤስ ምን ዓይነት መረጃ እንደሚሰበሰብ እና እንደሚሰራ መረዳት ያስፈልጋል. አንዳንድ ጊዜ የጥበቃ መስፈርቶችን እና የንግድ ሥራ የሚሠራውን የግል መረጃ ምድብ በማያሻማ ሁኔታ ለመወሰን አስቸጋሪ ሊሆን ይችላል። ተመሳሳይ የግል መረጃ ዓይነቶች በተለያየ መንገድ ሊገመገሙ እና ሊከፋፈሉ ይችላሉ. ስለዚህ, በአንዳንድ ሁኔታዎች, የንግዱ አስተያየት ከኦዲተሩ ወይም ከተቆጣጣሪው አስተያየት ሊለያይ ይችላል. ጥቂት ምሳሌዎችን እንመልከት።

መኪና ማቆሚያ. ትክክለኛ ባህላዊ የንግድ ዓይነት ይመስላል። ብዙ የተሽከርካሪ መርከቦች ለብዙ አሥርተ ዓመታት ሲሠሩ ቆይተዋል, እና ባለቤቶቻቸው የግለሰብ ሥራ ፈጣሪዎችን እና ግለሰቦችን ይቀጥራሉ. እንደ ደንቡ, የሰራተኛ መረጃ በ UZ-4 መስፈርቶች ስር ይወድቃል. ይሁን እንጂ ከአሽከርካሪዎች ጋር ለመስራት የግል መረጃዎችን መሰብሰብ ብቻ ሳይሆን በፈረቃ ከመሄዱ በፊት በተሽከርካሪው መርከቦች ክልል ላይ የሕክምና ቁጥጥር ማድረግ አስፈላጊ ነው, እና በሂደቱ ውስጥ የተሰበሰበ መረጃ ወዲያውኑ ወደ ምድብ ውስጥ ይገባል. የሕክምና መረጃ - እና ይህ የልዩ ምድብ የግል መረጃ ነው. በተጨማሪም, መርከቦች የምስክር ወረቀቶችን ሊጠይቁ ይችላሉ, ከዚያም በአሽከርካሪው ፋይል ውስጥ ይቀመጣሉ. የእንደዚህ አይነት የምስክር ወረቀት ቅኝት በኤሌክትሮኒክ መልክ - የጤና መረጃ, የልዩ ምድብ የግል ውሂብ. ይህ ማለት UZ-4 ከአሁን በኋላ በቂ አይደለም, ቢያንስ UZ-3 ያስፈልጋል.

የመስመር ላይ መደብር. የተሰበሰቡት ስሞች፣ ኢሜይሎች እና የስልክ ቁጥሮች ከህዝብ ምድብ ጋር የሚጣጣሙ ይመስላል። ነገር ግን፣ ደንበኞችዎ እንደ ሃላል ወይም ኮሸር ያሉ የአመጋገብ ምርጫዎችን የሚያመለክቱ ከሆነ፣ እንዲህ ያለው መረጃ እንደ ሃይማኖታዊ ግንኙነት ወይም የእምነት መረጃ ተደርጎ ሊወሰድ ይችላል። ስለዚህ ሌሎች የቁጥጥር ተግባራትን ሲፈትሹ ወይም ሲያካሂዱ ተቆጣጣሪው የሚሰበስቡትን መረጃዎች እንደ ልዩ የግል መረጃ ምድብ ሊከፋፍል ይችላል። አሁን፣ የመስመር ላይ መደብር ገዢው ስጋ ወይም አሳ ይመርጣል የሚለውን መረጃ ከሰበሰበ ውሂቡ እንደ ሌላ የግል መረጃ ሊመደብ ይችላል። በነገራችን ላይ ስለ ቬጀቴሪያኖችስ? ከሁሉም በላይ, ይህ ደግሞ በልዩ ምድብ ውስጥ ከሚገኙት የፍልስፍና እምነቶች ጋር ሊመሳሰል ይችላል. ግን በሌላ በኩል, ይህ በቀላሉ ስጋን ከምግብ ውስጥ ያስወገደው ሰው ባህሪ ሊሆን ይችላል. እሰይ, እንደዚህ ባሉ "ረቂቅ" ሁኔታዎች ውስጥ የ PD ምድብን በማያሻማ ሁኔታ የሚገልጽ ምንም ምልክት የለም.

የማስታወቂያ ድርጅት አንዳንድ የምዕራባውያን ደመና አገልግሎትን በመጠቀም የደንበኞቹን በይፋ የሚገኙ መረጃዎችን - ሙሉ ስሞችን፣ የኢሜይል አድራሻዎችን እና የስልክ ቁጥሮችን ያስኬዳል። እነዚህ የግል መረጃዎች በእርግጥ ከግል መረጃ ጋር ይዛመዳሉ። ጥያቄው የሚነሳው: እንዲህ ዓይነቱን ሂደት ማካሄድ ህጋዊ ነው? ከሩሲያ ፌደሬሽን ውጭ ያለ ስብዕና ሳይገለጽ እንደዚህ ያለውን መረጃ ማንቀሳቀስ ይቻላል, ለምሳሌ, በአንዳንድ የውጭ ደመናዎች ውስጥ ምትኬዎችን ለማከማቸት? በርግጥ ትችላለህ. ኤጀንሲው ይህንን መረጃ ከሩሲያ ውጭ የማከማቸት መብት አለው, ሆኖም ግን, በህጋችን መሰረት, የመጀመሪያው ስብስብ በሩሲያ ፌዴሬሽን ግዛት ውስጥ መከናወን አለበት. እንደነዚህ ያሉ መረጃዎችን ምትኬ ካስቀመጡ በእሱ ላይ ተመስርተው አንዳንድ ስታቲስቲክስን ያሰሉ, ምርምር ያካሂዱ ወይም አንዳንድ ሌሎች ስራዎችን ከእሱ ጋር ያካሂዱ - ይህ ሁሉ በምዕራባዊ ሀብቶች ላይ ሊከናወን ይችላል. ከህጋዊ እይታ ዋናው ነጥብ የግል መረጃ የሚሰበሰብበት ነው. ስለዚህ የመነሻ አሰባሰብ እና ሂደትን ላለማሳሳት አስፈላጊ ነው.

ከእነዚህ አጫጭር ምሳሌዎች እንደሚታየው ከግል መረጃ ጋር መስራት ሁልጊዜ ቀላል እና ቀላል አይደለም. የሚፈለገውን የደህንነት ደረጃ በትክክል ለመወሰን ከነሱ ጋር እየሰሩ መሆኑን ማወቅ ብቻ ሳይሆን በትክክል መመደብ, አይፒ እንዴት እንደሚሰራ መረዳት ያስፈልግዎታል. በአንዳንድ ሁኔታዎች ድርጅቱ ምን ያህል የግል መረጃን በትክክል መሥራት እንዳለበት ጥያቄው ሊነሳ ይችላል። በጣም "ከባድ" ወይም በቀላሉ አላስፈላጊ ውሂብን አለመቀበል ይቻላል? በተጨማሪም፣ ተቆጣጣሪው በተቻለ መጠን የግል መረጃን ማግለል ይመክራል። 

ከላይ እንደተገለጹት ምሳሌዎች አንዳንድ ጊዜ የፍተሻ ባለስልጣናት የተሰበሰበውን የግል መረጃ እርስዎ ከገመገሙት በተለየ መልኩ የሚተረጉሙበት እውነታ ሊያጋጥሙዎት ይችላሉ።

እርግጥ ነው፣ ኦዲተርን ወይም የሥርዓት አቀናባሪን እንደ ረዳት መቅጠር ትችላላችሁ፣ ነገር ግን ኦዲት በሚደረግበት ጊዜ “ረዳቱ” ለሚመረጡት ውሳኔዎች ኃላፊነቱን ይወስዳል? ሃላፊነት ሁል ጊዜ ከ ISPD ባለቤት - የግል መረጃ ኦፕሬተር ጋር መሆኑን ልብ ሊባል ይገባል ። ለዚያም ነው, አንድ ኩባንያ እንዲህ ዓይነት ሥራ ሲያከናውን, ለእንደዚህ አይነት አገልግሎቶች በገበያ ውስጥ ወደ ከባድ ተጫዋቾች መዞር አስፈላጊ ነው, ለምሳሌ የምስክር ወረቀት ስራዎችን የሚያካሂዱ ኩባንያዎች. የምስክር ወረቀት የሚሰጡ ኩባንያዎች እንዲህ ያለውን ሥራ በማከናወን ረገድ ሰፊ ልምድ አላቸው.

ISPD ለመገንባት አማራጮች

የ ISPD ግንባታ ቴክኒካዊ ብቻ ሳይሆን በአብዛኛው ህጋዊ ጉዳይ ነው። CIO ወይም የደህንነት ዳይሬክተር ሁል ጊዜ ከህግ አማካሪ ጋር መማከር አለባቸው። ኩባንያው ሁልጊዜ የሚፈልጉትን መገለጫ ያለው ልዩ ባለሙያ ስለሌለው ወደ ኦዲተር-አማካሪዎች መፈለግ ተገቢ ነው. ብዙ ተንሸራታች ነጥቦች ጨርሶ ላይታዩ ይችላሉ።

ምክክሩ ከየትኛው የግል መረጃ ጋር እየተገናኘህ እንደሆነ እና ምን አይነት የጥበቃ ደረጃ እንደሚያስፈልግ ለመወሰን ያስችልሃል። በዚህ መሠረት ከደህንነት እና ከተግባራዊ የደህንነት እርምጃዎች ጋር መፈጠር ወይም መጨመር ስለሚያስፈልገው የአይፒ ሀሳብ ያገኛሉ።

ብዙውን ጊዜ የኩባንያው ምርጫ በሁለት አማራጮች መካከል ነው-

  1. ተጓዳኝ አይኤስን በራስዎ የሃርድዌር እና የሶፍትዌር መፍትሄዎች፣ ምናልባትም በራስዎ የአገልጋይ ክፍል ውስጥ ይገንቡ።

  2. የደመና አቅራቢን ያነጋግሩ እና የመለጠጥ መፍትሄን ይምረጡ፣ ቀድሞውንም የተረጋገጠ “ምናባዊ የአገልጋይ ክፍል”።

አብዛኛዎቹ የመረጃ ሥርዓቶች የግል መረጃን በማቀናበር ባህላዊ አቀራረብን ይጠቀማሉ ፣ ከንግድ እይታ አንፃር ፣ ቀላል እና ስኬታማ ተብሎ ሊጠራ አይችልም። ይህንን አማራጭ በሚመርጡበት ጊዜ የቴክኒካዊ ዲዛይኑ የሶፍትዌር እና የሃርድዌር መፍትሄዎችን እና የመሳሪያ ስርዓቶችን ጨምሮ የመሳሪያውን መግለጫ እንደሚያካትት መረዳት ያስፈልጋል. ይህ ማለት የሚከተሉትን ችግሮች እና ገደቦችን መጋፈጥ ይኖርብዎታል።

  • የመለጠጥ ችግር;

  • ረጅም የፕሮጀክት ትግበራ ጊዜ: ስርዓቱን ለመምረጥ, ለመግዛት, ለመጫን, ለማዋቀር እና ለመግለፅ አስፈላጊ ነው;

  • ብዙ "የወረቀት" ስራዎች, እንደ ምሳሌ - ለመላው ISPD የተሟላ የሰነድ ፓኬጅ ማዘጋጀት.

በተጨማሪም ፣ አንድ ንግድ ፣ እንደ አንድ ደንብ ፣ የአይፒውን “ከፍተኛ” ደረጃ ብቻ ይገነዘባል - የሚጠቀማቸው የንግድ መተግበሪያዎች። በሌላ አነጋገር፣ የአይቲ ሰራተኞች በየአካባቢያቸው የተካኑ ናቸው። ሁሉም "ዝቅተኛ ደረጃዎች" እንዴት እንደሚሠሩ ምንም ግንዛቤ የለም-የሶፍትዌር እና የሃርድዌር ጥበቃ, የማከማቻ ስርዓቶች, ምትኬ እና, ከሁሉም መስፈርቶች ጋር በተጣጣመ መልኩ የመከላከያ መሳሪያዎችን እንዴት ማዋቀር እንደሚቻል, የአቀማመሩን "ሃርድዌር" ክፍል ይገንቡ. ለመረዳት በጣም አስፈላጊ ነው-ይህ ከደንበኛው ንግድ ውጭ የሆነ ትልቅ የእውቀት ሽፋን ነው። የተረጋገጠ "ምናባዊ የአገልጋይ ክፍል" የሚያቀርብ የክላውድ አቅራቢ ልምድ ጠቃሚ ሊሆን የሚችለው እዚህ ላይ ነው።

በምላሹ፣ የደመና አቅራቢዎች ያለ ማጋነን 99 በመቶ የሚሆነውን የንግድ ፍላጎቶች በግል መረጃ ጥበቃ መስክ የሚሸፍኑ በርካታ ጥቅሞች አሏቸው።

  • የካፒታል ወጪዎች ወደ የሥራ ማስኬጃ ወጪዎች ይለወጣሉ;

  • አቅራቢው በበኩሉ በተረጋገጠ መደበኛ መፍትሄ ላይ በመመርኮዝ አስፈላጊውን የደህንነት ደረጃ እና ተገኝነት ዋስትና ይሰጣል;

  • የ ISPDን በሃርድዌር ደረጃ የሚያረጋግጡ ልዩ ባለሙያዎችን ማቆየት አያስፈልግም ።

  • አቅራቢዎች የበለጠ ተለዋዋጭ እና የመለጠጥ መፍትሄዎችን ይሰጣሉ ።

  • የአቅራቢው ስፔሻሊስቶች ሁሉም አስፈላጊ የምስክር ወረቀቶች አሏቸው;

  • የተቆጣጣሪዎች መስፈርቶችን እና ምክሮችን ከግምት ውስጥ በማስገባት የእራስዎን ስነ-ህንፃ ሲገነቡ ማክበር ያነሰ አይደለም.

የግል መረጃ በደመና ውስጥ ማከማቸት አይቻልም የሚለው የድሮው አፈ ታሪክ አሁንም እጅግ በጣም ተወዳጅ ነው። ከፊል እውነት ነው፡ PD በእውነት መለጠፍ አይቻልም የመጀመሪያው ውስጥ ይገኛል ደመና። የተወሰኑ ቴክኒካዊ እርምጃዎችን ማክበር እና የተወሰኑ የተረጋገጡ መፍትሄዎችን መጠቀም ያስፈልጋል. አቅራቢው ሁሉንም ህጋዊ መስፈርቶች የሚያከብር ከሆነ ከግል መረጃ መፍሰስ ጋር ተያይዘው የሚመጡ አደጋዎች ይቀንሳሉ። ብዙ አቅራቢዎች በ 152-FZ መሠረት የግል መረጃን ለማስኬድ የተለየ መሠረተ ልማት አላቸው። ሆኖም የአቅራቢው ምርጫም የተወሰኑ መመዘኛዎችን በማወቅ መቅረብ አለበት፤ በእርግጠኝነት ከዚህ በታች እንነካቸዋለን። 

ብዙውን ጊዜ ደንበኞች በአቅራቢው ደመና ውስጥ የግል ውሂብን ስለማስቀመጥ አንዳንድ ስጋቶችን ይዘው ወደ እኛ ይመጣሉ። ደህና፣ ወዲያውኑ እንወያይባቸው።

  • መረጃ በሚተላለፍበት ወይም በሚሰደድበት ጊዜ ሊሰረቅ ይችላል።

ይህንን መፍራት አያስፈልግም - አቅራቢው ለደንበኛው በተረጋገጡ መፍትሄዎች ላይ የተገነባ አስተማማኝ የውሂብ ማስተላለፊያ ሰርጥ እንዲፈጥር ያቀርባል, ለኮንትራክተሮች እና ለሠራተኞች የተሻሻለ የማረጋገጫ እርምጃዎች. የሚቀረው ተገቢውን የጥበቃ ዘዴዎችን መምረጥ እና ከደንበኛው ጋር በሚያደርጉት ስራ አካል አድርገው መተግበር ብቻ ነው።

  • የማሳያ ጭምብሎች መጥተው የአገልጋዩን ኃይል ይወስዳሉ/ይዘጋሉ/ይቆርጣሉ

በመሠረተ ልማት ላይ በቂ ቁጥጥር ባለመኖሩ የንግድ ሂደታቸው ይስተጓጎላል ብለው ለሚፈሩ ደንበኞች በጣም ለመረዳት የሚቻል ነው። እንደ ደንቡ ፣ ከዚህ ቀደም ሃርድዌርያቸው በልዩ የመረጃ ማእከላት ሳይሆን በትንሽ አገልጋይ ክፍሎች ውስጥ ይገኝ የነበረው እነዚያ ደንበኞች ስለዚህ ጉዳይ ያስባሉ። እንደ እውነቱ ከሆነ የመረጃ ማእከሎች በዘመናዊ አካላዊ እና የመረጃ ጥበቃ ዘዴዎች የታጠቁ ናቸው. በቂ ምክንያቶች እና ወረቀቶች በሌሉበት በእንደዚህ ዓይነት የመረጃ ማእከል ውስጥ ማንኛውንም ሥራ ማከናወን ፈጽሞ የማይቻል ነው ፣ እና እንደዚህ ያሉ እንቅስቃሴዎች በርካታ ሂደቶችን ማክበርን ይጠይቃሉ። በተጨማሪም አገልጋይዎን ከውሂብ ማእከል "ማውጣቱ" ሌሎች የአቅራቢውን ደንበኞች ላይ ተጽእኖ ሊያሳድር ይችላል, እና ይህ በእርግጠኝነት ለማንም አስፈላጊ አይደለም. በተጨማሪም ማንም ሰው በተለይ "የእርስዎ" ምናባዊ አገልጋይ ላይ ጣቱን መቀሰር አይችልም, ስለዚህ አንድ ሰው ሊሰርቀው ወይም የጭንብል ትርኢት ማዘጋጀት ከፈለገ በመጀመሪያ ብዙ የቢሮክራሲያዊ መዘግየቶችን መቋቋም አለበት. በዚህ ጊዜ፣ ብዙ ጊዜ ወደ ሌላ ጣቢያ ለመሰደድ ብዙ ጊዜ ይኖርዎታል።

  • ጠላፊዎች ደመናውን ጠልፈው መረጃን ይሰርቃሉ

ሌላ ደመና የሳይበር ወንጀለኞች ሰለባ እንዴት እንደወደቀ እና በሚሊዮኖች የሚቆጠሩ የግል መረጃ መዝገቦች በመስመር ላይ ሾልከው ወጥተዋል በሚሉ አርዕስቶች በይነመረብ እና የህትመት ፕሬሶች የተሞሉ ናቸው። በአብዛኛዎቹ ጉዳዮች ተጋላጭነቶች በአቅራቢው በኩል ሳይሆን በተጎጂዎች የመረጃ ሥርዓቶች ውስጥ ተገኝተዋል-ደካማ ወይም ነባሪ የይለፍ ቃሎች ፣ በድር ጣቢያ ሞተሮች እና የውሂብ ጎታዎች ውስጥ ያሉ “ቀዳዳዎች” እና የደህንነት እርምጃዎችን በሚመርጡበት ጊዜ የንግድ ሥራ ግድየለሽነት እና የውሂብ መዳረሻ ሂደቶችን ማደራጀት. ሁሉም የተረጋገጡ መፍትሄዎች ለተጋላጭነት ምልክት ይደረግባቸዋል. እንዲሁም በመደበኛነት በግል እና በውጭ ድርጅቶች በኩል "የቁጥጥር" ፔንስተሮችን እና የደህንነት ኦዲቶችን እናደርጋለን. ለአቅራቢው, ይህ በአጠቃላይ መልካም ስም እና የንግድ ጉዳይ ነው.

  • የአቅራቢው/የአቅራቢው ሰራተኞች የግል መረጃን ለግል ጥቅም ይሰርቃሉ

ይህ በጣም ስሜታዊ የሆነ ጊዜ ነው። ከመረጃ ደህንነት አለም የመጡ በርካታ ኩባንያዎች ደንበኞቻቸውን “ያስፈራራሉ” እና “የውስጥ ሰራተኞች ከውጭ ጠላፊዎች የበለጠ አደገኛ ናቸው” ሲሉ አጥብቀው ይከራከራሉ። ይህ በአንዳንድ ሁኔታዎች እውነት ሊሆን ይችላል፣ ነገር ግን ንግድ ያለ እምነት ሊገነባ አይችልም። ከጊዜ ወደ ጊዜ የአንድ ድርጅት ሰራተኞች የደንበኞችን መረጃ ለአጥቂዎች እንደሚያወጡት እና የውስጥ ደኅንነት አንዳንድ ጊዜ ከውጭ ደኅንነት በባሰ ሁኔታ ይደራጃል የሚል ዜና ይንጸባረቃል። እዚህ ማንኛውም ትልቅ አቅራቢ በአሉታዊ ጉዳዮች ላይ ፍላጎት እንደሌለው መረዳት አስፈላጊ ነው. የአቅራቢው ሰራተኞች ድርጊቶች በደንብ ቁጥጥር ይደረግባቸዋል, ሚናዎች እና የኃላፊነት ቦታዎች ተከፋፍለዋል. ሁሉም የንግድ ሂደቶች የተዋቀሩ የውሂብ መፍሰስ ጉዳዮች እጅግ በጣም የማይቻሉ እና ሁልጊዜም ለውስጣዊ አገልግሎቶች በሚታዩበት መንገድ ነው ፣ ስለሆነም ደንበኞች ከዚህ ጎን ያሉትን ችግሮች መፍራት የለባቸውም ።

  • በንግድ ውሂብዎ ለአገልግሎቶች ስለሚከፍሉ ትንሽ ይከፍላሉ.

ሌላው ተረት፡ ደህንነቱ በተጠበቀ ዋጋ የሚከራይ ደንበኛ በትክክል በመረጃው ይከፍላል - ይህ ብዙውን ጊዜ ወደ መኝታ ከመሄዳቸው በፊት ሁለት የሴራ ፅንሰ-ሀሳቦችን ማንበብ በማይፈልጉ ባለሙያዎች ይታሰባል። በመጀመሪያ ፣ በትእዛዙ ውስጥ ከተገለፁት ውጭ ማንኛውንም ክወናዎችን በእርስዎ ውሂብ የማከናወን እድሉ በመሠረቱ ዜሮ ነው። በሁለተኛ ደረጃ ፣ በቂ አቅራቢ ከእርስዎ ጋር ያለውን ግንኙነት እና ስሙን ከፍ አድርጎ ይመለከታል - ከእርስዎ በተጨማሪ ብዙ ተጨማሪ ደንበኞች አሉት። ተቃራኒው ሁኔታ የበለጠ ሊሆን ይችላል ፣ በዚህ ውስጥ አቅራቢው የደንበኞቹን መረጃ በቅንዓት ይጠብቃል ፣ ንግዱ ያረፈበት።

ለ ISPD የደመና አቅራቢን መምረጥ

ዛሬ ገበያው የፒዲ ኦፕሬተሮች ለሆኑ ኩባንያዎች ብዙ መፍትሄዎችን ይሰጣል. ትክክለኛውን ለመምረጥ አጠቃላይ ምክሮች ዝርዝር ከዚህ በታች አለ።

  • አቅራቢው የግል መረጃን ለማስኬድ ቁልፍ ውስጥ የተጋጭ አካላት ፣ SLAs እና የኃላፊነት ቦታዎችን የሚገልጽ መደበኛ ስምምነት ለማድረግ ዝግጁ መሆን አለበት። በእርግጥ፣ በእርስዎ እና በአቅራቢው መካከል፣ ከአገልግሎት ውል በተጨማሪ፣ ለፒዲ ማቀናበሪያ ትእዛዝ መፈረም አለበት። በማንኛውም ሁኔታ እነሱን በጥንቃቄ ማጥናት ጠቃሚ ነው. በእርስዎ እና በአቅራቢው መካከል ያለውን የኃላፊነት ክፍፍል መረዳት አስፈላጊ ነው።

  • እባክዎን ክፍሉ መስፈርቶቹን ማሟላት እንዳለበት ያስተውሉ, ይህም ማለት በእርስዎ አይፒ ከሚያስፈልገው ያነሰ የደህንነት ደረጃን የሚያመለክት የምስክር ወረቀት ሊኖረው ይገባል. አቅራቢዎች የምስክር ወረቀቱን የመጀመሪያ ገፅ ብቻ ሲያትሙ፣ ከሱ ትንሽ ግልፅ ነው፣ ወይም ሰርተፊኬቱን እራሱ ሳያትሙ ("ወንድ ልጅ ነበረ?") ኦዲቶችን ወይም የማክበር ሂደቶችን ይጠቅሳሉ። እሱን መጠየቅ ተገቢ ነው - ይህ የምስክር ወረቀት ፣ የማረጋገጫ ጊዜ ፣ ​​የደመና ቦታ ፣ ወዘተ ማን እንደፈፀመ የሚያመለክት ይፋዊ ሰነድ ነው።

  • የውሂብዎን አቀማመጥ ለመቆጣጠር አቅራቢው ጣቢያዎቹ (የተጠበቁ ነገሮች) የት እንደሚገኙ መረጃ መስጠት አለበት። የመጀመሪያው የግል መረጃ መሰብሰብ በሩሲያ ፌደሬሽን ግዛት ውስጥ መከናወን እንዳለበት እናስታውስዎ, በዚህ መሠረት በውሉ / የምስክር ወረቀት ውስጥ የመረጃ ማእከል አድራሻዎችን ማየት ጥሩ ነው.

  • አቅራቢው የተረጋገጠ የመረጃ ደህንነት እና የመረጃ ጥበቃ ስርዓቶችን መጠቀም አለበት። እርግጥ ነው, አብዛኛዎቹ አቅራቢዎች የሚጠቀሙባቸውን የቴክኒካዊ የደህንነት እርምጃዎች እና የመፍትሄ ሃሳቦችን አያስተዋውቁም. ግን እርስዎ እንደ ደንበኛ ስለእሱ ማወቅ አይችሉም። ለምሳሌ ከአስተዳደር ስርዓት (የማኔጅመንት ፖርታል) ጋር በርቀት ለመገናኘት የደህንነት እርምጃዎችን መጠቀም ያስፈልጋል። አቅራቢው ይህንን መስፈርት ማለፍ አይችልም እና የተረጋገጡ መፍትሄዎችን ያቀርብልዎታል (ወይም እንዲጠቀሙ ይፈልግዎታል)። ሀብቱን ለሙከራ ይውሰዱ እና እንዴት እና ምን እንደሚሰራ ወዲያውኑ ይረዱዎታል። 

  • የደመና አቅራቢው በመረጃ ደህንነት መስክ ተጨማሪ አገልግሎቶችን እንዲያቀርብ በጣም የሚፈለግ ነው። እነዚህ የተለያዩ አገልግሎቶች ሊሆኑ ይችላሉ፡ ከ DDoS ጥቃቶች እና ከ WAF፣ ከጸረ-ቫይረስ አገልግሎት ወይም ከማጠሪያ ወዘተ መከላከል። ይህ ሁሉ ጥበቃን እንደ አገልግሎት እንዲያገኙ ያስችልዎታል, በህንፃ ጥበቃ ስርዓቶች እንዳይበታተኑ, ነገር ግን በንግድ ማመልከቻዎች ላይ እንዲሰሩ.

  • አቅራቢው የFSTEC እና FSB ፍቃድ ያለው መሆን አለበት። እንደ አንድ ደንብ, እንዲህ ዓይነቱ መረጃ በቀጥታ በድረ-ገጹ ላይ ተለጠፈ. እነዚህን ሰነዶች መጠየቅዎን ያረጋግጡ እና አገልግሎቶችን ለማቅረብ አድራሻዎች, የአቅራቢው ኩባንያ ስም, ወዘተ. ትክክል መሆናቸውን ያረጋግጡ. 

እናጠቃልለው። መሠረተ ልማት መከራየት CAPEXን በመተው የንግድ መተግበሪያዎችዎን እና ውሂቡን በተጠያቂነት ቦታዎ ውስጥ ብቻ እንዲቆዩ እና ከባድ የሃርድዌር እና የሶፍትዌር እና ሃርድዌር የምስክር ወረቀት ለአቅራቢው እንዲያስተላልፉ ያስችልዎታል።

የምስክር ወረቀቱን እንዴት እንዳለፍን

በጣም በቅርብ ጊዜ, ከግል መረጃ ጋር ለመስራት የሚያስፈልጉትን መስፈርቶች ለማክበር የ "Secure Cloud FZ-152" መሠረተ ልማትን እንደገና ማረጋገጥ በተሳካ ሁኔታ አልፈናል. ሥራው የተካሄደው በብሔራዊ የምስክር ወረቀት ማዕከል ነው.

በአሁኑ ጊዜ "FZ-152 Secure Cloud" በደረጃ UZ-3 መስፈርቶች መሰረት የግል መረጃን (ISPDn) በማቀናበር, በማከማቸት ወይም በማስተላለፍ ላይ የተሳተፉ የመረጃ ስርዓቶችን ለማስተናገድ የተረጋገጠ ነው.

የማረጋገጫ ሂደቱ የደመና አቅራቢውን መሠረተ ልማት ከጥበቃ ደረጃ ጋር መጣጣሙን ማረጋገጥን ያካትታል። አቅራቢው ራሱ የIaaS አገልግሎት ይሰጣል እና የግል መረጃ ኦፕሬተር አይደለም። ሂደቱ ሁለቱንም ድርጅታዊ (ሰነዶች, ትዕዛዞች, ወዘተ) እና ቴክኒካዊ እርምጃዎችን (የመከላከያ መሳሪያዎችን ማዘጋጀት, ወዘተ) ግምገማን ያካትታል.

ተራ ነገር ሊባል አይችልም። በ 2013 የማረጋገጫ ሥራዎችን ለማካሄድ በፕሮግራሞች እና ዘዴዎች ላይ GOST ቢታዩም ፣ ለደመና ዕቃዎች ጥብቅ ፕሮግራሞች አሁንም የሉም። የእውቅና ማረጋገጫ ማዕከላት እነዚህን ፕሮግራሞች በራሳቸው እውቀት ያዘጋጃሉ። አዳዲስ ቴክኖሎጂዎች ሲመጡ ፕሮግራሞች ይበልጥ የተወሳሰቡ እና ዘመናዊ ይሆናሉ፤ በዚህ መሰረት ሰርተፍኬት ሰጪው ከደመና መፍትሄዎች ጋር የመስራት ልምድ ያለው እና ልዩነቱን መረዳት አለበት።

በእኛ ሁኔታ, የተጠበቀው ነገር ሁለት ቦታዎችን ያካትታል.

  • የደመና ሀብቶች (ሰርቨሮች፣ የማከማቻ ስርዓቶች፣ የአውታረ መረብ መሠረተ ልማት፣ የደህንነት መሳሪያዎች፣ ወዘተ) በቀጥታ በመረጃ ማዕከሉ ውስጥ ይገኛሉ። እርግጥ ነው, እንዲህ ዓይነቱ ምናባዊ የመረጃ ማእከል ከህዝብ አውታረ መረቦች ጋር የተገናኘ ነው, እና በዚህ መሰረት, አንዳንድ የፋየርዎል መስፈርቶች መሟላት አለባቸው, ለምሳሌ, የተረጋገጡ ፋየርዎሎችን መጠቀም.

  • የእቃው ሁለተኛ ክፍል የደመና አስተዳደር መሳሪያዎች ናቸው. እነዚህ ጥበቃ የሚደረግለት ክፍል የሚተዳደርባቸው የስራ ቦታዎች (የአስተዳዳሪ የስራ ቦታዎች) ናቸው።

አካባቢዎች በCIPF ላይ በተሰራ የቪፒኤን ቻናል በኩል ይገናኛሉ።

የምናባዊ ቴክኖሎጂዎች ለስጋቶች መከሰት ቅድመ ሁኔታዎችን ስለሚፈጥሩ ተጨማሪ የተረጋገጡ የመከላከያ መሳሪያዎችንም እንጠቀማለን።

IaaS 152-FZ: ስለዚህ, ደህንነት ያስፈልግዎታልንድፍ አግድ "በግምገማ አይኖች"

ደንበኛው የ ISPD የምስክር ወረቀት ከጠየቀ IaaS ከተከራየ በኋላ የመረጃ ስርዓቱን ከቨርቹዋል ዳታ ማእከል ደረጃ በላይ መገምገም ብቻ አለበት። ይህ አሰራር በእሱ ላይ ጥቅም ላይ የዋሉ መሠረተ ልማቶችን እና ሶፍትዌሮችን መፈተሽ ያካትታል. ለሁሉም የመሠረተ ልማት ጉዳዮች የአቅራቢውን የምስክር ወረቀት ማመልከት ስለሚችሉ ማድረግ ያለብዎት ከሶፍትዌሩ ጋር መስራት ብቻ ነው.

IaaS 152-FZ: ስለዚህ, ደህንነት ያስፈልግዎታልበ abstraction ደረጃ መለያየት

በማጠቃለያው ፣ ከግል መረጃ ጋር ለሚሰሩ ወይም ለማቀድ ብቻ ለሚሰሩ ኩባንያዎች ትንሽ ማረጋገጫ እዚህ አለ ። ስለዚህ, ሳይቃጠል እንዴት እንደሚይዝ.

  1. የኦዲት እና የአስፈራሪዎች እና የአጥቂዎች ሞዴሎችን ለማዳበር, አስፈላጊ ሰነዶችን ለማዘጋጀት እና ወደ ቴክኒካዊ መፍትሄዎች ደረጃ የሚያመጣውን ልምድ ያለው የምስክር ወረቀት ላቦራቶሪዎች ይጋብዙ.

  2. የደመና አቅራቢን በሚመርጡበት ጊዜ የምስክር ወረቀት መኖሩን ትኩረት ይስጡ. ኩባንያው በቀጥታ በድረ-ገጹ ላይ በይፋ ከለጠፈ ጥሩ ነው። አቅራቢው የFSTEC እና FSB ፍቃድ ያለው መሆን አለበት፣ እና የሚያቀርበው አገልግሎት የተረጋገጠ መሆን አለበት።

  3. የግል መረጃን ለመስራት መደበኛ ስምምነት እና የተፈረመ መመሪያ እንዳለዎት ያረጋግጡ። በዚህ መሠረት ሁለቱንም የተጣጣመ ቼክ እና የ ISPD የምስክር ወረቀት ማካሄድ ይችላሉ ። ይህ በቴክኒካል ፕሮጄክቱ ደረጃ ላይ ያለው ሥራ እና የዲዛይን እና የቴክኒካዊ ሰነዶች መፈጠር ለእርስዎ ከባድ ከሆነ የሶስተኛ ወገን አማካሪ ኩባንያዎችን ማነጋገር አለብዎት ። ከማረጋገጫ ላቦራቶሪዎች መካከል.

የግል መረጃን የማቀናበር ጉዳዮች ለእርስዎ ጠቃሚ ከሆኑ፣ በሴፕቴምበር 18፣ በዚህ አርብ፣ እርስዎን በዌቢናር ላይ በማግኘታችን ደስተኞች ነን። "የተረጋገጡ ደመናዎችን የመገንባት ባህሪዎች".

ምንጭ: hab.com

አስተያየት ያክሉ