ProHoster > Blog > İdarə > IaaS 152-FZ: belə ki, təhlükəsizlik lazımdır

IaaS 152-FZ: belə ki, təhlükəsizlik lazımdır

IaaS 152-FZ: belə ki, təhlükəsizlik lazımdır

152-FZ-yə uyğunluğu əhatə edən mif və əfsanələri nə qədər sıralasanız da, həmişə bir şey pərdə arxasında qalır. Bu gün həm böyük şirkətlərin, həm də çox kiçik müəssisələrin qarşılaşa biləcəyi bəzi həmişə aşkar olmayan nüansları müzakirə etmək istəyirik:

  • kateqoriyalara PD təsnifatının incəlikləri - kiçik bir onlayn mağaza xüsusi bir kateqoriyaya aid məlumatları hətta bu barədə bilmədən topladıqda;

  • toplanmış PD-nin ehtiyat nüsxələrini saxlaya və onlar üzərində əməliyyatlar həyata keçirə bilərsiniz;

  • sertifikat və uyğunluq nəticəsi arasındakı fərq nədir, provayderdən hansı sənədləri tələb etməlisiniz və bu kimi şeylər.

Nəhayət, biz sizinlə sertifikatlaşdırmadan keçmək təcrübəmizi bölüşəcəyik. Get!

Bugünkü məqalədə ekspert olacaq Aleksey Afanasyev, IT-GRAD və #CloudMTS (MTS qrupunun bir hissəsi) bulud provayderləri üçün IS mütəxəssisi.

Təsnifatın incəlikləri

Biz tez-tez müştərinin IS auditi olmadan ISPD üçün tələb olunan təhlükəsizlik səviyyəsini tez müəyyən etmək istəyi ilə qarşılaşırıq. İnternetdə bu mövzuda bəzi materiallar yanlış təəssürat yaradır ki, bu sadə bir işdir və səhv etmək olduqca çətindir.

KM-ni müəyyən etmək üçün müştərinin İS tərəfindən hansı məlumatların toplanacağını və işlənəcəyini başa düşmək lazımdır. Bəzən mühafizə tələblərini və biznesin fəaliyyət göstərdiyi şəxsi məlumatların kateqoriyasını birmənalı şəkildə müəyyən etmək çətin ola bilər. Eyni növ fərdi məlumatlar tamamilə fərqli yollarla qiymətləndirilə və təsnif edilə bilər. Buna görə də bəzi hallarda müəssisənin rəyi auditorun və hətta müfəttişin rəyindən fərqli ola bilər. Gəlin bir neçə nümunəyə baxaq.

Avtomobil dayanacağı. Bu, kifayət qədər ənənəvi biznes növü kimi görünür. Bir çox avtomobil parkı onilliklər ərzində fəaliyyət göstərir və onların sahibləri fərdi sahibkarları və fiziki şəxsləri işə götürürlər. Bir qayda olaraq, işçi məlumatları UZ-4 tələblərinə uyğundur. Bununla belə, sürücülərlə işləmək üçün təkcə şəxsi məlumatların toplanması deyil, həm də növbəyə çıxmazdan əvvəl avtonəqliyyat vasitələri parkının ərazisində tibbi nəzarətin həyata keçirilməsi zəruridir və prosesdə toplanan məlumatlar dərhal sürücülər kateqoriyasına düşür. tibbi məlumatlar - və bu xüsusi kateqoriyalı şəxsi məlumatlardır. Bundan əlavə, donanma daha sonra sürücünün faylında saxlanılacaq sertifikatlar tələb edə bilər. Belə bir sertifikatın elektron formada skan edilməsi - sağlamlıq məlumatları, xüsusi kateqoriyalı şəxsi məlumatlar. Bu o deməkdir ki, artıq UZ-4 kifayət deyil, ən azı UZ-3 tələb olunur.

Onlayn mağaza. Belə görünür ki, toplanmış adlar, e-poçtlar və telefon nömrələri ictimai kateqoriyaya uyğun gəlir. Bununla belə, müştəriləriniz halal və ya koşer kimi pəhriz tərcihlərini göstərirsə, bu cür məlumatlar dini mənsubiyyət və ya inanc məlumatları hesab edilə bilər. Buna görə də, yoxlanarkən və ya digər nəzarət fəaliyyətini həyata keçirərkən müfəttiş topladığınız məlumatları şəxsi məlumatların xüsusi kateqoriyası kimi təsnif edə bilər. İndi onlayn mağaza alıcısının ətə və ya balığa üstünlük verməsi barədə məlumat toplasa, məlumatlar digər şəxsi məlumatlar kimi təsnif edilə bilər. Yeri gəlmişkən, vegetarianlar haqqında nə demək olar? Axı bunu həm də xüsusi kateqoriyaya aid olan fəlsəfi inanclara aid etmək olar. Amma digər tərəfdən, bu, sadəcə olaraq, əti pəhrizindən çıxarmış insanın münasibəti ola bilər. Təəssüf ki, belə "incə" vəziyyətlərdə PD kateqoriyasını birmənalı şəkildə müəyyən edən heç bir əlamət yoxdur.

Reklam agentliyi Bəzi Qərb bulud xidmətindən istifadə edərək, o, müştərilərinin ictimaiyyətə açıq olan məlumatlarını emal edir - tam adlar, e-poçt ünvanları və telefon nömrələri. Bu şəxsi məlumatlar, əlbəttə ki, şəxsi məlumatlara aiddir. Sual yaranır: belə emalın aparılması qanunidirmi? Belə məlumatları Rusiya Federasiyasından kənarda şəxsiyyətsizləşdirmədən köçürmək, məsələn, bəzi xarici buludlarda ehtiyat nüsxələrini saxlamaq mümkündürmü? Əlbəttə edə bilərsən. Agentlik bu məlumatları Rusiyadan kənarda saxlamaq hüququna malikdir, lakin qanunvericiliyimizə görə ilkin toplanma Rusiya Federasiyasının ərazisində aparılmalıdır. Əgər siz bu cür məlumatların ehtiyat nüsxəsini çıxarırsınızsa, onun əsasında bəzi statistik rəqəmləri hesablayın, tədqiqat aparın və ya onunla başqa əməliyyatlar aparın - bütün bunları Qərb resurslarında etmək olar. Hüquqi baxımdan əsas məqam şəxsi məlumatların toplandığı yerdir. Buna görə də, ilkin toplama və emal üsullarını qarışdırmamaq vacibdir.

Bu qısa nümunələrdən göründüyü kimi, şəxsi məlumatlarla işləmək həmişə sadə və sadə deyil. Siz nəinki onlarla işlədiyinizi bilməli, həm də lazımi təhlükəsizlik səviyyəsini düzgün müəyyən etmək üçün onları düzgün təsnif edə, IP-nin necə işlədiyini başa düşməlisiniz. Bəzi hallarda, təşkilatın həqiqətən fəaliyyət göstərməsi üçün nə qədər şəxsi məlumatlara ehtiyac olduğu sualı yarana bilər. Ən "ciddi" və ya sadəcə lazımsız məlumatlardan imtina etmək mümkündürmü? Bundan əlavə, tənzimləyici mümkün olduqda şəxsi məlumatların şəxsiyyətsizləşdirilməsini tövsiyə edir. 

Yuxarıdakı nümunələrdə olduğu kimi, bəzən təftiş orqanlarının toplanmış şəxsi məlumatları sizin qiymətləndirdiyinizdən bir qədər fərqli şərh etməsi faktı ilə rastlaşa bilərsiniz.

Əlbəttə ki, bir auditor və ya sistem inteqratorunu köməkçi kimi işə götürə bilərsiniz, lakin audit zamanı seçilmiş qərarlara görə “köməkçi” cavabdeh olacaqmı? Qeyd etmək lazımdır ki, məsuliyyət həmişə ISPD sahibinin - fərdi məlumatların operatorunun üzərinə düşür. Məhz buna görə də şirkət bu cür işləri həyata keçirərkən, bu cür xidmətlər üçün bazarda ciddi oyunçulara, məsələn, sertifikatlaşdırma işləri aparan şirkətlərə müraciət etmək vacibdir. Sertifikatlaşdırma şirkətləri bu cür işlərin aparılmasında böyük təcrübəyə malikdirlər.

ISPD qurmaq üçün seçimlər

ISPD-nin tikintisi təkcə texniki deyil, həm də böyük ölçüdə hüquqi məsələdir. CIO və ya təhlükəsizlik direktoru həmişə hüquq məsləhətçisi ilə məsləhətləşməlidir. Şirkətdə həmişə sizə lazım olan profilli mütəxəssis olmadığı üçün auditor-məsləhətçilərə müraciət etməyə dəyər. Bir çox sürüşkən nöqtələr heç də aydın olmaya bilər.

Məsləhətləşmə sizə hansı şəxsi məlumatlarla məşğul olduğunuzu və onun hansı səviyyədə qorunma tələb etdiyini müəyyən etməyə imkan verəcək. Müvafiq olaraq, yaradılmalı və ya təhlükəsizlik və əməliyyat təhlükəsizlik tədbirləri ilə əlavə edilməli olan IP haqqında bir fikir əldə edəcəksiniz.

Çox vaxt şirkət üçün seçim iki seçim arasında olur:

  1. Müvafiq IS-ni öz aparat və proqram həllərinizdə, ola bilsin ki, öz server otağınızda qurun.

  2. Bulud provayderi ilə əlaqə saxlayın və elastik həll, artıq sertifikatlaşdırılmış “virtual server otağı” seçin.

Şəxsi məlumatları emal edən informasiya sistemlərinin əksəriyyəti ənənəvi yanaşmadan istifadə edir ki, bu da biznes nöqteyi-nəzərindən asan və uğurlu adlandırıla bilməz. Bu seçimi seçərkən başa düşmək lazımdır ki, texniki dizayn proqram təminatı və aparat həlləri və platformaları da daxil olmaqla avadanlıqların təsvirini əhatə edəcək. Bu o deməkdir ki, siz aşağıdakı çətinliklər və məhdudiyyətlərlə üzləşməli olacaqsınız:

  • miqyasda çətinlik;

  • uzun layihənin icra müddəti: sistemi seçmək, almaq, quraşdırmaq, konfiqurasiya etmək və təsvir etmək lazımdır;

  • bir çox "kağız" işi, nümunə olaraq - bütün ISPD üçün tam sənədlər paketinin hazırlanması.

Bundan əlavə, bir iş, bir qayda olaraq, yalnız IP-nin "yuxarı" səviyyəsini - istifadə etdiyi iş proqramlarını başa düşür. Başqa sözlə desək, İT işçiləri öz sahələrində bacarıqlıdırlar. Bütün "aşağı səviyyələrin" necə işlədiyini başa düşmək yoxdur: proqram təminatı və aparat qorunması, saxlama sistemləri, ehtiyat nüsxə və əlbəttə ki, mühafizə vasitələrini bütün tələblərə uyğun olaraq necə konfiqurasiya etmək, konfiqurasiyanın "aparat" hissəsini qurmaq. Başa düşmək vacibdir: bu, müştərinin biznesindən kənarda olan böyük bir bilik təbəqəsidir. Sertifikatlaşdırılmış “virtual server otağı” təmin edən bulud provayderinin təcrübəsi burada faydalı ola bilər.

Öz növbəsində, bulud provayderlərinin bir sıra üstünlükləri var ki, onlar mübaliğəsiz şəxsi məlumatların mühafizəsi sahəsində biznes ehtiyaclarının 99%-ni ödəyə bilər:

  • əsaslı xərclər əməliyyat xərclərinə çevrilir;

  • provayder, öz növbəsində, sübut edilmiş standart həll əsasında tələb olunan təhlükəsizlik səviyyəsinin və mövcudluğun təmin edilməsinə zəmanət verir;

  • İSPD-nin aparat səviyyəsində işləməsini təmin edəcək mütəxəssislər heyətini saxlamağa ehtiyac yoxdur;

  • provayderlər daha çevik və elastik həllər təklif edir;

  • provayderin mütəxəssisləri bütün lazımi sertifikatlara malikdirlər;

  • uyğunluq tənzimləyicilərin tələblərini və tövsiyələrini nəzərə alaraq öz arxitekturanızı qurarkən daha aşağı deyil.

Şəxsi məlumatların buludda saxlanıla bilməyəcəyinə dair köhnə mif hələ də çox populyardır. Bu yalnız qismən doğrudur: PD həqiqətən göndərilə bilməz birincisində mövcuddur bulud. Müəyyən texniki tədbirlərə uyğunluq və müəyyən sertifikatlaşdırılmış həllərin istifadəsi tələb olunur. Provayder bütün qanuni tələblərə əməl edərsə, şəxsi məlumatların sızması ilə bağlı risklər minimuma endirilir. Bir çox provayder 152-FZ-yə uyğun olaraq fərdi məlumatların emalı üçün ayrıca bir infrastruktura malikdir. Bununla belə, təchizatçı seçiminə də müəyyən meyarları bilməklə yanaşılmalıdır, biz aşağıda onlara mütləq toxunacağıq. 

Müştərilər tez-tez bizə provayderin buludunda şəxsi məlumatların yerləşdirilməsi ilə bağlı bəzi narahatlıqlarla müraciət edirlər. Yaxşı, gəlin bunları dərhal müzakirə edək.

  • Məlumat ötürmə və ya miqrasiya zamanı oğurlana bilər

Bundan qorxmağa ehtiyac yoxdur - provayder müştəriyə sertifikatlaşdırılmış həllər üzərində qurulmuş təhlükəsiz məlumat ötürmə kanalının yaradılmasını, podratçılar və işçilər üçün təkmilləşdirilmiş autentifikasiya tədbirlərini təklif edir. Müvafiq qorunma üsullarını seçmək və onları müştəri ilə işinizin bir hissəsi kimi həyata keçirmək qalır.

  • Göstərilən maskalar gələcək və serverin gücünü götürəcək / möhürləyəcək / kəsəcək

İnfrastruktur üzərində kifayət qədər nəzarətin olmaması səbəbindən biznes proseslərinin pozulacağından qorxan müştərilər üçün bu, tamamilə başa düşüləndir. Bir qayda olaraq, avadanlıqları əvvəllər ixtisaslaşmış məlumat mərkəzlərində deyil, kiçik server otaqlarında yerləşən müştərilər bu barədə düşünürlər. Reallıqda məlumat mərkəzləri həm fiziki, həm də informasiyanın mühafizəsi üçün müasir vasitələrlə təchiz olunub. Kifayət qədər əsaslar və sənədlər olmadan belə bir məlumat mərkəzində hər hansı bir əməliyyat aparmaq demək olar ki, mümkün deyil və bu cür fəaliyyətlər bir sıra prosedurlara riayət etməyi tələb edir. Bundan əlavə, serverinizi məlumat mərkəzindən "çəkmək" provayderin digər müştərilərinə təsir göstərə bilər və bu, heç kimə lazım deyil. Bundan əlavə, heç kim barmağını xüsusi olaraq “sizin” virtual serverinizə göstərə bilməyəcək, ona görə də kimsə onu oğurlamaq və ya maska ​​şousu keçirmək istəsə, ilk növbədə çoxlu bürokratik gecikmələrlə üzləşməli olacaq. Bu müddət ərzində çox güman ki, bir neçə dəfə başqa sayta köçmək üçün vaxtınız olacaq.

  • Hakerlər buludu sındıracaq və məlumatları oğurlayacaq

İnternet və çap mətbuatı daha bir buludun kibercinayətkarların qurbanı olması və milyonlarla şəxsi məlumatların internetə sızması ilə bağlı başlıqlarla doludur. Əksər hallarda zəifliklər ümumiyyətlə provayderin tərəfində deyil, zərərçəkmişlərin informasiya sistemlərində aşkar edilmişdir: zəif və ya hətta standart parollar, veb-sayt mühərriklərində və verilənlər bazalarında “deşiklər” və təhlükəsizlik tədbirlərini seçərkən qeyri-adi biznes ehtiyatsızlığı və məlumatların əldə edilməsi prosedurlarının təşkili. Bütün sertifikatlaşdırılmış həllər zəifliklər üçün yoxlanılır. Biz həmçinin həm müstəqil, həm də kənar təşkilatlar vasitəsilə mütəmadi olaraq “nəzarət” pentestləri və təhlükəsizlik auditləri həyata keçiririk. Provayder üçün bu, ümumilikdə reputasiya və biznes məsələsidir.

  • Provayder/provayderin işçiləri şəxsi mənfəət üçün şəxsi məlumatları oğurlayacaqlar

Bu kifayət qədər həssas məqamdır. İnformasiya təhlükəsizliyi dünyasının bir sıra şirkətləri öz müştərilərini “qorxdurur” və “daxili işçilərin kənar hakerlərdən daha təhlükəli olduğunu” təkid edirlər. Bəzi hallarda bu doğru ola bilər, lakin etibar olmadan biznes qurmaq mümkün deyil. Zaman-zaman bir təşkilatın öz işçilərinin müştəri məlumatlarını təcavüzkarlara ötürdüyü və daxili təhlükəsizliyin bəzən xarici təhlükəsizlikdən daha pis təşkil edildiyi xəbərləri yayılır. Burada hər hansı bir böyük provayderin neqativ hallara son dərəcə maraq göstərmədiyini başa düşmək vacibdir. Provayderin işçilərinin hərəkətləri yaxşı tənzimlənir, rollar və məsuliyyət sahələri bölünür. Bütün biznes prosesləri elə qurulmuşdur ki, məlumat sızması halları son dərəcə azdır və daxili xidmətlər tərəfindən həmişə nəzərə çarpır, buna görə də müştərilər bu tərəfdən olan problemlərdən qorxmamalıdırlar.

  • Biznes məlumatlarınızla xidmətlər üçün ödəniş etdiyiniz üçün az pul ödəyirsiniz.

Başqa bir mif: təhlükəsiz infrastrukturu rahat qiymətə icarəyə götürən müştəri əslində bunun əvəzini öz məlumatları ilə ödəyir - bu, yatmazdan əvvəl bir neçə sui-qəsd nəzəriyyəsini oxumağa fikir verməyən mütəxəssislər tərəfindən tez-tez düşünür. Birincisi, sifarişdə göstərilənlərdən başqa məlumatlarınızla hər hansı əməliyyatların aparılması ehtimalı mahiyyətcə sıfırdır. İkincisi, adekvat bir provayder sizinlə münasibəti və onun nüfuzunu qiymətləndirir - sizdən başqa onun daha çox müştərisi var. Əks ssenari, provayderin biznesinin dayandığı müştərilərinin məlumatlarını canfəşanlıqla qoruyacağı ehtimalı daha yüksəkdir.

ISPD üçün bulud provayderinin seçilməsi

Bu gün bazar PD operatorları olan şirkətlər üçün bir çox həllər təklif edir. Aşağıda düzgün birini seçmək üçün tövsiyələrin ümumi siyahısı verilmişdir.

  • Provayder şəxsi məlumatların işlənməsi açarında tərəflərin məsuliyyətlərini, SLA-ları və məsuliyyət sahələrini təsvir edən rəsmi müqavilə bağlamağa hazır olmalıdır. Əslində, sizinlə provayder arasında xidmət müqaviləsinə əlavə olaraq, PD emalı üçün sifariş imzalanmalıdır. Hər halda, onları diqqətlə öyrənməyə dəyər. Sizinlə provayder arasında məsuliyyət bölgüsünü başa düşmək vacibdir.

  • Nəzərə alın ki, seqment tələblərə cavab verməlidir, yəni sizin IP tərəfindən tələb olunandan aşağı olmayan təhlükəsizlik səviyyəsini göstərən sertifikata malik olmalıdır. Belə olur ki, provayderlər sertifikatın yalnız birinci səhifəsini dərc edirlər, ondan çox az şey aydın olur və ya sertifikatın özünü dərc etmədən yoxlamalara və ya uyğunluq prosedurlarına istinad edirlər (“oğlan var idi?”). Bunu istəməyə dəyər - bu, sertifikatlaşdırmanı kimin apardığını, etibarlılıq müddətini, bulud yerini və s.

  • Provayder öz saytlarının (mühafizə olunan obyektlərin) harada yerləşdiyi barədə məlumat verməlidir ki, siz məlumatlarınızın yerləşdirilməsinə nəzarət edə biləsiniz. Nəzərinizə çatdıraq ki, fərdi məlumatların ilkin toplanması Rusiya Federasiyasının ərazisində aparılmalıdır, müvafiq olaraq müqavilədə/sertifikatda məlumat mərkəzinin ünvanlarını görmək məsləhətdir.

  • Provayder sertifikatlaşdırılmış informasiya təhlükəsizliyi və informasiyanın mühafizəsi sistemlərindən istifadə etməlidir. Əlbəttə ki, əksər provayderlər istifadə etdikləri texniki təhlükəsizlik tədbirlərini və həll arxitekturasını reklam etmirlər. Ancaq siz bir müştəri olaraq bu barədə bilməməyə kömək edə bilməzsiniz. Məsələn, idarəetmə sisteminə (idarəetmə portalına) uzaqdan qoşulmaq üçün təhlükəsizlik tədbirlərindən istifadə etmək lazımdır. Provayder bu tələbi keçə bilməyəcək və sizə sertifikatlaşdırılmış həllər təqdim edəcək (və ya istifadə etməyinizi tələb edəcək). Test üçün resursları götürün və necə və nəyin işlədiyini dərhal anlayacaqsınız. 

  • Bulud provayderinin informasiya təhlükəsizliyi sahəsində əlavə xidmətlər göstərməsi çox arzuolunandır. Bunlar müxtəlif xidmətlər ola bilər: DDoS hücumlarından və WAF-dan qorunma, antivirus xidməti və ya sandbox və s. Bütün bunlar sizə xidmət kimi qorunma almağa, bina mühafizə sistemləri ilə diqqətinizi yayındırmağa deyil, biznes proqramları üzərində işləməyə imkan verəcək.

  • Provayder FSTEC və FSB lisenziyası olmalıdır. Bir qayda olaraq, bu cür məlumatlar birbaşa saytda yerləşdirilir. Bu sənədləri tələb etməyi və xidmətlərin göstərildiyi ünvanların, provayder şirkətin adının və s.-nin düzgün olub olmadığını yoxlayın. 

Gəlin ümumiləşdirək. İcarəyə götürmə infrastrukturu sizə CAPEX-dən imtina etməyə və yalnız biznes proqramlarınızı və cavabdehlik sahənizdə məlumatların özünü saxlamağa imkan verəcək və hardware, proqram təminatı və avadanlıqların sertifikatlaşdırılmasının ağır yükünü provayderə ötürəcək.

Sertifikatdan necə keçdik

Bu yaxınlarda biz “Secure Cloud FZ-152” infrastrukturunun fərdi məlumatlar ilə işləmək tələblərinə uyğunluğu üçün yenidən sertifikatlaşdırmadan uğurla keçdik. İş Milli Sertifikatlaşdırma Mərkəzi tərəfindən həyata keçirilib.

Hazırda “FZ-152 Secure Cloud” UZ-3 səviyyəsinin tələblərinə uyğun olaraq fərdi məlumatların (ISPDn) emalı, saxlanması və ya ötürülməsi ilə məşğul olan informasiya sistemlərinin yerləşdirilməsi üçün sertifikatlaşdırılıb.

Sertifikatlaşdırma proseduru bulud provayderinin infrastrukturunun mühafizə səviyyəsinə uyğunluğunun yoxlanılmasını nəzərdə tutur. Provayder özü IaaS xidmətini təqdim edir və şəxsi məlumatların operatoru deyil. Proses həm təşkilati (sənədləşdirmə, sərəncamlar və s.), həm də texniki tədbirlərin (mühafizə vasitələrinin qurulması və s.) qiymətləndirilməsini nəzərdə tutur.

Bunu mənasız adlandırmaq olmaz. Sertifikatlaşdırma fəaliyyətinin aparılması üçün proqramlar və metodlar üzrə GOST-un hələ 2013-cü ildə ortaya çıxmasına baxmayaraq, bulud obyektləri üçün ciddi proqramlar hələ də mövcud deyil. Sertifikatlaşdırma mərkəzləri bu proqramları öz təcrübələri əsasında hazırlayır. Yeni texnologiyaların meydana çıxması ilə proqramlar daha mürəkkəb və modernləşir, müvafiq olaraq sertifikatlaşdırıcı bulud həlləri ilə işləmək təcrübəsinə malik olmalı və xüsusiyyətləri başa düşməlidir.

Bizim vəziyyətimizdə qorunan obyekt iki yerdən ibarətdir.

  • Bulud resursları (serverlər, saxlama sistemləri, şəbəkə infrastrukturu, təhlükəsizlik alətləri və s.) birbaşa məlumat mərkəzində yerləşir. Əlbəttə ki, belə bir virtual məlumat mərkəzi ictimai şəbəkələrə qoşulur və müvafiq olaraq, müəyyən firewall tələbləri yerinə yetirilməlidir, məsələn, sertifikatlaşdırılmış firewallların istifadəsi.

  • Obyektin ikinci hissəsi bulud idarəetmə alətləridir. Bunlar qorunan seqmentin idarə olunduğu iş stansiyalarıdır (inzibatçının iş stansiyaları).

Məkanlar CIPF üzərində qurulmuş VPN kanalı vasitəsilə əlaqə qurur.

Virtuallaşdırma texnologiyaları təhdidlərin yaranması üçün ilkin şərtlər yaratdığından, biz əlavə sertifikatlaşdırılmış mühafizə vasitələrindən də istifadə edirik.

IaaS 152-FZ: belə ki, təhlükəsizlik lazımdırBlok diaqram "qiymətləndiricinin gözü ilə"

Müştəri ISPD-nin sertifikatını tələb edərsə, IaaS-i icarəyə götürdükdən sonra o, yalnız virtual məlumat mərkəzi səviyyəsindən yuxarı informasiya sistemini qiymətləndirməli olacaq. Bu prosedur infrastrukturun və onun üzərində istifadə olunan proqram təminatının yoxlanılmasını nəzərdə tutur. Bütün infrastruktur məsələləri üçün provayderin sertifikatına müraciət edə bildiyiniz üçün sizə lazım olan tək şey proqram təminatı ilə işləməkdir.

IaaS 152-FZ: belə ki, təhlükəsizlik lazımdırAbstraksiya səviyyəsində ayırma

Sonda, burada artıq şəxsi məlumatlarla işləyən və ya sadəcə planlaşdıran şirkətlər üçün kiçik bir yoxlama siyahısı var. Beləliklə, yanmadan necə davranmaq olar.

  1. Təhdidlərin və təcavüzkarların modellərini yoxlamaq və inkişaf etdirmək üçün sertifikatlaşdırma laboratoriyaları arasından lazımi sənədləri hazırlamağa kömək edəcək və sizi texniki həllər mərhələsinə gətirəcək təcrübəli məsləhətçi dəvət edin.

  2. Bulud provayderi seçərkən sertifikatın olmasına diqqət yetirin. Yaxşı olardı ki, şirkət bunu açıq şəkildə birbaşa saytda yerləşdirsin. Provayder FSTEC və FSB lisenziyası olmalıdır və onun təklif etdiyi xidmət sertifikatlaşdırılmalıdır.

  3. Şəxsi məlumatların emalı üçün rəsmi müqaviləniz və imzalanmış təlimatınız olduğundan əmin olun. Bunun əsasında siz həm uyğunluq yoxlanışı, həm də ISPD sertifikatı həyata keçirə biləcəksiniz.Əgər texniki layihə mərhələsində bu iş və dizayn və texniki sənədlərin yaradılması sizə ağır gəlirsə, üçüncü tərəf konsaltinq şirkətləri ilə əlaqə saxlamalısınız. sertifikatlaşdırma laboratoriyaları arasından.

Əgər şəxsi məlumatların emalı məsələləri sizin üçün aktualdırsa, 18 sentyabr, bu cümə günü sizi vebinarda görməyə şad olarıq. “Sertifikatlı buludların qurulmasının xüsusiyyətləri”.

Mənbə: www.habr.com

Добавить комментарий