ProHoster > Π‘Π»ΠΎΠ³ > Pagdumala > IaaS 152-FZ: busa, kinahanglan nimo ang seguridad

IaaS 152-FZ: busa, kinahanglan nimo ang seguridad

IaaS 152-FZ: busa, kinahanglan nimo ang seguridad

Bisan unsa pa ka daghan ang pagsusi sa mga mito ug mga leyenda nga naglibot sa pagsunod sa 152-FZ, adunay kanunay nga nagpabilin sa luyo sa mga talan-awon. Karon gusto namon nga hisgutan ang pipila nga dili kanunay klaro nga mga nuances nga mahimong masugatan sa mga dagkong kompanya ug gagmay nga mga negosyo:

  • mga subtleties sa klasipikasyon sa PD sa mga kategorya - kung ang usa ka gamay nga tindahan sa online nangolekta mga datos nga may kalabotan sa usa ka espesyal nga kategorya nga wala gani nahibal-an bahin niini;

  • diin mahimo nimong tipigan ang mga backup sa nakolekta nga PD ug ipahigayon ang mga operasyon niini;

  • unsa ang kalainan tali sa usa ka sertipiko ug usa ka konklusyon sa pagsunod, unsa nga mga dokumento ang kinahanglan nimong pangayoon gikan sa provider, ug mga butang nga ingon niana.

Sa katapusan, among ipaambit kanimo ang among kaugalingon nga kasinatian sa pagpasa sa sertipikasyon. Lakaw!

Ang eksperto sa artikulo karong adlawa mao ang Alexey Afanasyev, IS espesyalista para sa cloud providers IT-GRAD ug #CloudMTS (bahin sa MTS group).

Mga subtlety sa klasipikasyon

Kanunay namong masugatan ang tinguha sa kliyente nga dali, nga walay pag-audit sa IS, matino ang gikinahanglan nga lebel sa seguridad alang sa ISPD. Ang pipila ka mga materyal sa Internet bahin niini nga hilisgutan naghatag sa sayup nga impresyon nga kini usa ka yano nga buluhaton ug lisud kaayo ang paghimo og sayup.

Aron mahibal-an ang KM, gikinahanglan nga masabtan kung unsa nga datos ang kolektahon ug iproseso sa IS sa kliyente. Usahay mahimong lisud ang dili klaro nga pagtino sa mga kinahanglanon sa pagpanalipod ug ang kategorya sa personal nga datos nga gipadagan sa usa ka negosyo. Ang parehas nga mga tipo sa personal nga datos mahimong masusi ug maklasipikar sa hingpit nga lainlaing mga paagi. Busa, sa pipila ka mga kaso, ang opinyon sa negosyo mahimong lahi sa opinyon sa auditor o bisan sa inspektor. Atong tan-awon ang pipila ka mga pananglitan.

Parking sa sakyanan. Kini daw usa ka medyo tradisyonal nga matang sa negosyo. Daghang mga fleet sa sakyanan ang nag-operate sulod sa mga dekada, ug ang ilang mga tag-iya nagsuhol ug indibidwal nga mga negosyante ug indibidwal. Ingon sa usa ka lagda, ang datos sa empleyado nahulog ubos sa mga kinahanglanon sa UZ-4. Bisan pa, aron makigtambayayong sa mga drayber, gikinahanglan dili lamang ang pagkolekta sa personal nga datos, kondili usab ang pagdumala sa medikal sa teritoryo sa armada sa sakyanan sa dili pa moadto sa usa ka pagbalhin, ug ang impormasyon nga nakolekta sa proseso diha-diha dayon nahulog sa kategorya nga medikal nga datos - ug kini personal nga datos sa usa ka espesyal nga kategorya. Dugang pa, ang armada mahimong mangayo og mga sertipiko, nga itago sa file sa drayber. Usa ka pag-scan sa ingon nga sertipiko sa elektronik nga porma - datos sa kahimsog, personal nga datos sa usa ka espesyal nga kategorya. Kini nagpasabot nga ang UZ-4 dili na igo; labing menos UZ-3 ang gikinahanglan.

Online nga tindahan. Mopatim-aw nga ang mga ngalan, email ug numero sa telepono nga nakolekta mohaom sa publikong kategorya. Bisan pa, kung ang imong mga kostumer nagpaila sa mga gusto sa pagkaon, sama sa halal o kosher, ang ingon nga kasayuran mahimong isipon nga relihiyosong kalambigitan o datos sa pagtuo. Busa, kung nagsusi o nagpatuman sa ubang mga kalihokan sa pagkontrol, ang inspektor mahimong magklasipikar sa datos nga imong nakolekta isip usa ka espesyal nga kategorya sa personal nga datos. Karon, kung ang usa ka online nga tindahan nangolekta og impormasyon bahin sa kung gusto ba sa pumapalit niini ang karne o isda, ang datos mahimong maklasipikar sa ubang personal nga datos. By the way, komosta ang mga vegetarian? Human sa tanan, kini mahimo usab nga ikapasangil sa pilosopikal nga mga pagtuo, nga iya usab sa usa ka espesyal nga kategoriya. Apang sa pihak nga bahin, mahimo nga amo lamang sini ang panimuot sang isa ka tawo nga wala na sing karne sa iya ginakaon. Alaut, wala'y timailhan nga klaro nga naghubit sa kategorya sa PD sa ingon nga "maliputon" nga mga sitwasyon.

Ahensya sa advertising Gamit ang pipila ka serbisyo sa panganod sa Kasadpan, giproseso niini ang mga datos nga magamit sa publiko sa mga kliyente niini - kompleto nga mga ngalan, adres sa email ug numero sa telepono. Kini nga personal nga datos, siyempre, adunay kalabotan sa personal nga datos. Ang pangutana mitungha: legal ba ang paghimo sa maong pagproseso? Posible ba nga ibalhin ang ingon nga datos nga wala’y depersonalization sa gawas sa Russian Federation, pananglitan, aron magtipig mga backup sa pipila ka mga langyaw nga panganod? Siyempre mahimo nimo. Ang Ahensya adunay katungod sa pagtipig niini nga datos sa gawas sa Russia, bisan pa, ang una nga pagkolekta, sumala sa among balaod, kinahanglan nga himuon sa teritoryo sa Russian Federation. Kung gi-backup nimo ang ingon nga kasayuran, kuwentaha ang pipila ka mga estadistika nga gibase niini, pagpahigayon panukiduki o paghimo sa uban pang mga operasyon niini - kining tanan mahimo sa mga kapanguhaan sa Kasadpan. Ang yawe nga punto gikan sa usa ka ligal nga punto sa pagtan-aw kung diin ang personal nga datos nakolekta. Busa importante nga dili malibug ang inisyal nga pagkolekta ug pagproseso.

Ingon sa mosunod gikan niining mubu nga mga pananglitan, ang pagtrabaho sa personal nga datos dili kanunay nga prangka ug yano. Kinahanglan nimo nga dili lamang mahibal-an nga ikaw nagtrabaho uban kanila, apan makahimo usab sa husto nga pagklasipikar kanila, masabtan kung giunsa ang IP nagtrabaho aron husto nga mahibal-an ang gikinahanglan nga lebel sa seguridad. Sa pipila ka mga kaso, ang pangutana mahimong motungha kung unsa kadaghan ang personal nga datos nga kinahanglan gyud nga molihok ang organisasyon. Posible ba nga isalikway ang labing "seryoso" o dili kinahanglan nga datos? Dugang pa, girekomenda sa regulator ang pag-depersonalize sa personal nga datos kung mahimo. 

Sama sa mga pananglitan sa ibabaw, usahay mahimo nimong masugatan ang kamatuoran nga ang mga awtoridad sa pag-inspeksyon naghubad sa nakolekta nga personal nga datos nga lahi sa imong kaugalingon nga gisusi.

Siyempre, mahimo kang mag-hire og auditor o system integrator isip assistant, apan ang β€œassistant” ba ang responsable sa mga desisyon nga mapili kung adunay audit? Angay nga matikdan nga ang responsibilidad kanunay anaa sa tag-iya sa ISPD - ang operator sa personal nga datos. Mao nga, kung ang usa ka kompanya naghimo sa ingon nga trabaho, hinungdanon nga modangup sa mga seryoso nga magdudula sa merkado alang sa ingon nga mga serbisyo, pananglitan, mga kompanya nga nagpahigayon sa trabaho sa sertipikasyon. Ang mga kompanya sa pag-certify adunay daghang kasinatian sa paghimo sa ingon nga trabaho.

Mga kapilian sa pagtukod og ISPD

Ang pagtukod sa usa ka ISPD dili lamang usa ka teknikal, apan usa usab ka ligal nga isyu. Ang CIO o ang direktor sa seguridad kinahanglan kanunay nga mokonsulta sa ligal nga magtatambag. Tungod kay ang kompanya dili kanunay adunay usa ka espesyalista sa profile nga imong gikinahanglan, angay nga tan-awon ang mga auditor-consultant. Daghang madanglog nga mga punto mahimong dili klaro.

Ang konsultasyon magtugot kanimo sa pagtino kung unsa nga personal nga datos ang imong giatubang ug unsa nga lebel sa proteksyon ang gikinahanglan niini. Tungod niini, makakuha ka usa ka ideya sa IP nga kinahanglan buhaton o dugangan sa mga lakang sa seguridad ug operasyon sa seguridad.

Kasagaran ang pagpili alang sa usa ka kompanya tali sa duha nga kapilian:

  1. Paghimo sa katugbang nga IS sa imong kaugalingon nga mga solusyon sa hardware ug software, posible sa imong kaugalingon nga lawak sa server.

  2. Kontaka ang usa ka cloud provider ug pilia ang usa ka elastic nga solusyon, usa ka sertipikado na nga "virtual server room".

Kadaghanan sa mga sistema sa impormasyon nga nagproseso sa personal nga datos naggamit sa usa ka tradisyonal nga pamaagi, nga, gikan sa usa ka punto sa negosyo, halos dili matawag nga sayon ​​ug malampuson. Kung gipili kini nga kapilian, kinahanglan nga masabtan nga ang teknikal nga disenyo maglakip sa usa ka paghulagway sa mga ekipo, lakip ang software ug hardware nga mga solusyon ug mga plataporma. Kini nagpasabot nga kinahanglan nimong atubangon ang mosunod nga mga kalisdanan ug limitasyon:

  • kalisud sa scaling;

  • taas nga panahon sa pagpatuman sa proyekto: gikinahanglan ang pagpili, pagpalit, pag-instalar, pag-configure ug paghulagway sa sistema;

  • daghan nga "papel" nga trabaho, isip usa ka pananglitan - ang pagpalambo sa usa ka kompleto nga pakete sa dokumentasyon alang sa tibuok ISPD.

Dugang pa, ang usa ka negosyo, ingon nga usa ka lagda, nakasabut lamang sa "ibabaw" nga lebel sa IP niini - ang mga aplikasyon sa negosyo nga gigamit niini. Sa laing pagkasulti, ang mga kawani sa IT hanas sa ilang piho nga lugar. Wala'y pagsabut kung giunsa ang pagtrabaho sa tanan nga "ubos nga lebel": proteksyon sa software ug hardware, mga sistema sa pagtipig, backup ug, siyempre, kung giunsa ang pag-configure sa mga himan sa pagpanalipod sa pagsunod sa tanan nga mga kinahanglanon, paghimo sa "hardware" nga bahin sa pagsumpo. Importante nga masabtan: kini usa ka dako nga layer sa kahibalo nga anaa sa gawas sa negosyo sa kliyente. Dinhi diin ang kasinatian sa usa ka cloud provider nga naghatag usa ka sertipikado nga "virtual server room" mahimong magamit.

Sa baylo, ang mga cloud providers adunay daghang mga bentaha nga, sa walay pagpasobra, makatabon sa 99% sa mga panginahanglan sa negosyo sa natad sa pagpanalipod sa personal nga datos:

  • ang mga gasto sa kapital nakabig ngadto sa mga gasto sa pag-operate;

  • ang tighatag, sa bahin niini, naggarantiya sa paghatag sa gikinahanglan nga lebel sa seguridad ug pagkaanaa base sa usa ka napamatud-an nga sumbanan nga solusyon;

  • dili kinahanglan nga magpadayon sa usa ka kawani sa mga espesyalista nga magsiguro sa operasyon sa ISPD sa lebel sa hardware;

  • ang mga tighatag nagtanyag labi ka labi ka flexible ug pagkamaunat-unat nga mga solusyon;

  • ang mga espesyalista sa provider adunay tanan nga gikinahanglan nga mga sertipiko;

  • Ang pagsunod dili ubos kaysa sa pagtukod sa imong kaugalingon nga arkitektura, nga gikonsiderar ang mga kinahanglanon ug rekomendasyon sa mga regulator.

Ang karaan nga mito nga ang personal nga datos dili matipigan sa panganod labi ka sikat. Kini usa ka bahin nga tinuod: PD dili gyud ma-post sa una nga magamit panganod. Ang pagsunod sa pipila ka teknikal nga mga lakang ug ang paggamit sa pipila ka mga sertipikadong solusyon gikinahanglan. Kung ang taghatag nagsunod sa tanan nga ligal nga mga kinahanglanon, ang mga peligro nga may kalabotan sa pagtagas sa personal nga datos maminusan. Daghang mga tighatag adunay lahi nga imprastraktura alang sa pagproseso sa personal nga datos pinauyon sa 152-FZ. Bisan pa, ang pagpili sa supplier kinahanglan usab nga duolon uban ang kahibalo sa pipila nga mga pamatasan; siguradong mahikap namon sila sa ubos. 

Ang mga kliyente kanunay nga moabut kanamo nga adunay pipila nga mga kabalaka bahin sa pagbutang sa personal nga datos sa panganod sa provider. Aw, ato silang hisgotan dayon.

  • Mahimong kawaton ang datos sa panahon sa transmission o paglalin

Dili kinahanglan nga mahadlok niini - ang provider nagtanyag sa kliyente sa paghimo sa usa ka luwas nga channel sa transmission sa datos nga gitukod sa mga sertipikadong solusyon, gipauswag nga mga lakang sa pag-authenticate alang sa mga kontraktor ug empleyado. Ang nahabilin mao ang pagpili sa angay nga mga pamaagi sa pagpanalipod ug ipatuman kini isip bahin sa imong trabaho sa kliyente.

  • Ipakita ang mga maskara nga moabut ug kuhaon / selyo / putlon ang gahum sa server

Masabtan kaayo alang sa mga kustomer nga nahadlok nga ang ilang mga proseso sa negosyo mabalda tungod sa dili igo nga pagkontrol sa imprastraktura. Ingon sa usa ka lagda, kadtong mga kliyente kansang hardware kaniadto nahimutang sa gagmay nga mga lawak sa server kay sa mga espesyalista nga mga sentro sa datos naghunahuna mahitungod niini. Sa tinuud, ang mga sentro sa datos nasangkapan sa modernong paagi sa pagpanalipod sa pisikal ug impormasyon. Hapit imposible nga himuon ang bisan unsang mga operasyon sa ingon nga sentro sa datos nga wala’y igong sukaranan ug papel, ug ang ingon nga mga kalihokan nanginahanglan pagsunod sa daghang mga pamaagi. Dugang pa, ang "pagbira" sa imong server gikan sa data center mahimong makaapekto sa ubang mga kliyente sa provider, ug kini siguradong dili kinahanglan alang sa bisan kinsa. Dugang pa, walay usa nga makahimo sa pagtudlo sa usa ka tudlo ilabi na sa "imong" virtual nga server, mao nga kung adunay usa nga gusto nga mangawat niini o maghimo sa usa ka maskara nga pasundayag, kinahanglan una nila nga atubangon ang daghang mga paglangan sa burukrasya. Niini nga panahon, lagmit adunay panahon ka sa paglalin sa laing site sa makadaghang higayon.

  • Ang mga hacker mag-hack sa panganod ug mangawat sa datos

Ang Internet ug print press puno sa mga ulohan bahin sa kung giunsa ang laing panganod nabiktima sa mga cybercriminal, ug milyon-milyon nga mga rekord sa personal nga datos ang na-leak online. Sa kadaghanan sa mga kaso, ang mga kahuyangan wala makit-an sa kiliran sa taghatag, apan sa mga sistema sa impormasyon sa mga biktima: huyang o bisan default nga mga password, "mga lungag" sa mga makina sa website ug mga database, ug pagkabalda sa negosyo kung nagpili mga lakang sa seguridad ug pag-organisar sa mga pamaagi sa pag-access sa datos. Tanan nga sertipikado nga mga solusyon gisusi kung adunay mga kahuyangan. Kanunay usab kami nga nagpahigayon og "pagkontrol" nga mga pentest ug pag-audit sa seguridad, nga independente ug pinaagi sa mga eksternal nga organisasyon. Alang sa provider, kini usa ka butang sa reputasyon ug negosyo sa kinatibuk-an.

  • Ang provider/mga empleyado sa provider mangawat sa personal nga data para sa personal nga ganansya

Kini usa ka medyo sensitibo nga higayon. Daghang mga kompanya gikan sa kalibutan sa seguridad sa impormasyon "nahadlok" sa ilang mga kliyente ug miinsistir nga "ang mga empleyado sa sulod mas peligro kaysa mga hacker sa gawas." Mahimong tinuod kini sa pipila ka mga kaso, apan ang usa ka negosyo dili matukod nga walay pagsalig. Matag karon ug unya, ang mga balita mokidlap nga ang kaugalingon nga mga empleyado sa usa ka organisasyon nag-leak sa datos sa kustomer sa mga tig-atake, ug ang internal nga seguridad usahay organisado nga labi ka daotan kaysa sa gawas nga seguridad. Importante nga masabtan dinhi nga ang bisan unsang dako nga tighatag dili kaayo interesado sa negatibo nga mga kaso. Ang mga aksyon sa mga empleyado sa provider maayo nga na-regulate, ang mga tahas ug mga bahin sa responsibilidad gibahin. Ang tanan nga mga proseso sa negosyo gi-istruktura sa paagi nga ang mga kaso sa data leakage hilabihan ka dili mahimo ug kanunay nga mamatikdan sa internal nga mga serbisyo, mao nga ang mga kliyente dili angay mahadlok sa mga problema gikan niini nga bahin.

  • Gamay ang imong bayranan tungod kay nagbayad ka alang sa mga serbisyo gamit ang datos sa imong negosyo.

Laing mito: ang usa ka kliyente nga nag-abang sa luwas nga imprastraktura sa usa ka komportable nga presyo sa tinuud nagbayad niini sa iyang datos - kini kanunay nga gihunahuna sa mga eksperto nga wala’y labot sa pagbasa sa usa ka magtiayon nga mga teorya sa panagkunsabo sa wala pa matulog. Una, ang posibilidad sa paghimo sa bisan unsang mga operasyon sa imong datos gawas sa gipiho sa han-ay sa tinuud nga zero. Ikaduha, ang usa ka igo nga tighatag nagpabili sa relasyon kanimo ug sa iyang reputasyon - gawas kanimo, siya adunay daghang mga kliyente. Ang kaatbang nga senaryo mas lagmit, diin ang tighatag madasigon nga manalipod sa datos sa mga kliyente niini, diin ang negosyo niini nagsalig.

Pagpili ug cloud provider para sa ISPD

Karon, ang merkado nagtanyag daghang mga solusyon alang sa mga kompanya nga mga operator sa PD. Sa ubos usa ka kinatibuk-ang lista sa mga rekomendasyon alang sa pagpili sa husto.

  • Ang tighatag kinahanglan nga andam sa pagsulod sa usa ka pormal nga kasabutan nga naghulagway sa mga responsibilidad sa mga partido, SLA ug mga lugar nga responsibilidad sa yawe sa pagproseso sa personal nga datos. Sa tinuud, tali kanimo ug sa provider, dugang sa kasabutan sa serbisyo, kinahanglan nga pirmahan ang usa ka order alang sa pagproseso sa PD. Sa bisan unsa nga kaso, angay nga tun-an kini pag-ayo. Importante nga masabtan ang pagkabahin sa mga responsibilidad tali kanimo ug sa provider.

  • Palihug timan-i nga ang bahin kinahanglan nga makab-ot ang mga kinahanglanon, nga nagpasabut nga kini kinahanglan adunay usa ka sertipiko nga nagpaila sa lebel sa seguridad nga dili ubos sa gikinahanglan sa imong IP. Nahitabo nga ang mga tighatag nagmantala lamang sa unang panid sa sertipiko, diin gamay ra ang klaro, o nagtumong sa mga pag-audit o mga pamaagi sa pagsunod nga wala imantala ang sertipiko mismo ("naa bay lalaki?"). Angayan nga pangayoon kini - kini usa ka publiko nga dokumento nga nagpaila kung kinsa ang nagpatuman sa sertipikasyon, panahon sa balido, lokasyon sa panganod, ug uban pa.

  • Kinahanglang maghatag ang provider og impormasyon bahin sa kung asa nahimutang ang mga site niini (protected objects) aron makontrol nimo ang pagbutang sa imong data. Pahinumdum kami kanimo nga ang una nga pagkolekta sa personal nga datos kinahanglan nga himuon sa teritoryo sa Russian Federation; busa, gisugyot nga makita ang mga adres sa data center sa kontrata / sertipiko.

  • Ang provider kinahanglang mogamit ug certified information security ug information protection systems. Siyempre, kadaghanan sa mga provider wala mag-anunsyo sa teknikal nga mga lakang sa seguridad ug arkitektura sa solusyon nga ilang gigamit. Apan ikaw, isip usa ka kliyente, dili makapugong sa pagkahibalo bahin niini. Pananglitan, aron makonektar sa layo sa usa ka sistema sa pagdumala (portal sa pagdumala), kinahanglan nga mogamit mga lakang sa seguridad. Ang tighatag dili makahimo sa paglaktaw niini nga kinahanglanon ug maghatag kanimo (o kinahanglan nimo nga gamiton) nga mga sertipikadong solusyon. Kuhaa ang mga kapanguhaan alang sa usa ka pagsulay ug masabtan dayon nimo kung giunsa ug unsa ang molihok. 

  • Gitinguha kaayo alang sa cloud provider nga maghatag dugang nga mga serbisyo sa natad sa kasiguruhan sa kasayuran. Mahimo kini nga lainlaing mga serbisyo: proteksyon batok sa mga pag-atake sa DDoS ug WAF, serbisyo sa anti-virus o sandbox, ug uban pa. Ang tanan niini magtugot kanimo nga makadawat og proteksyon ingon usa ka serbisyo, dili aron mabalda sa mga sistema sa pagpanalipod sa pagtukod, apan aron magtrabaho sa mga aplikasyon sa negosyo.

  • Ang tighatag kinahanglan usa ka lisensyado sa FSTEC ug FSB. Ingon sa usa ka lagda, ang ingon nga kasayuran direkta nga gi-post sa website. Siguruha nga hangyoon kini nga mga dokumento ug susiha kung ang mga adres alang sa paghatag serbisyo, ang ngalan sa kompanya sa tighatag, ug uban pa husto ba. 

Atong i-summarize. Ang pag-abang sa imprastraktura magtugot kanimo nga biyaan ang CAPEX ug ipadayon lamang ang imong mga aplikasyon sa negosyo ug ang data mismo sa imong lugar nga responsibilidad, ug ibalhin ang bug-at nga palas-anon sa sertipikasyon sa hardware ug software ug hardware sa provider.

Giunsa namo pagpasar ang sertipikasyon

Labing bag-o lang, malampuson namong gipasa ang recertification sa imprastraktura sa "Secure Cloud FZ-152" alang sa pagsunod sa mga kinahanglanon sa pagtrabaho sa personal nga datos. Ang trabaho gihimo sa National Certification Center.

Sa pagkakaron, ang "FZ-152 Secure Cloud" gisertipikado alang sa pag-host sa mga sistema sa impormasyon nga nalambigit sa pagproseso, pagtipig o pagpadala sa personal nga datos (ISPDn) subay sa mga kinahanglanon sa lebel sa UZ-3.

Ang pamaagi sa sertipikasyon naglakip sa pagsusi sa pagsunod sa imprastraktura sa cloud provider sa lebel sa proteksyon. Ang provider mismo naghatag sa serbisyo sa IaaS ug dili usa ka operator sa personal nga datos. Ang proseso naglakip sa pagtimbang-timbang sa organisasyonal (dokumentasyon, mga mando, ug uban pa) ug teknikal nga mga lakang (pagbutang sa mga kagamitan sa pagpanalipod, ug uban pa).

Dili kini matawag nga walay hinungdan. Bisan pa sa kamatuoran nga ang GOST sa mga programa ug mga pamaagi sa pagpahigayon sa mga kalihokan sa sertipikasyon nagpakita balik sa 2013, ang higpit nga mga programa alang sa mga butang sa panganod wala gihapon maglungtad. Ang mga sentro sa sertipikasyon nagpalambo niini nga mga programa base sa ilang kaugalingon nga kahanas. Sa pag-abut sa mga bag-ong teknolohiya, ang mga programa nahimong labi ka komplikado ug moderno; busa, ang sertipikasyon kinahanglan adunay kasinatian sa pagtrabaho sa mga solusyon sa panganod ug masabtan ang mga detalye.

Sa among kaso, ang gipanalipdan nga butang naglangkob sa duha ka mga lokasyon.

  • Ang mga kapanguhaan sa panganod (mga server, mga sistema sa pagtipig, imprastraktura sa network, mga himan sa seguridad, ug uban pa) direkta nga nahimutang sa sentro sa datos. Siyempre, ang ingon nga usa ka virtual nga sentro sa datos konektado sa mga pampublikong network, ug sa ingon, ang pipila nga mga kinahanglanon sa firewall kinahanglan matuman, pananglitan, ang paggamit sa mga sertipikado nga mga firewall.

  • Ang ikaduhang bahin sa butang mao ang mga himan sa pagdumala sa panganod. Kini ang mga workstation (mga workstation sa administrator) diin gidumala ang giprotektahan nga bahin.

Ang mga lokasyon nakigsulti pinaagi sa usa ka channel sa VPN nga gitukod sa CIPF.

Tungod kay ang mga teknolohiya sa virtualization nagmugna og mga kondisyon alang sa pagtungha sa mga hulga, naggamit usab kami og dugang nga sertipikadong mga himan sa pagpanalipod.

IaaS 152-FZ: busa, kinahanglan nimo ang seguridadBlock diagram "pinaagi sa mga mata sa assessor"

Kung ang kliyente nanginahanglan sertipikasyon sa iyang ISPD, pagkahuman sa pag-abang sa IaaS, kinahanglan ra niya nga susihon ang sistema sa kasayuran nga labaw sa lebel sa virtual data center. Kini nga pamaagi naglakip sa pagsusi sa imprastraktura ug software nga gigamit niini. Tungod kay mahimo nimong i-refer ang sertipiko sa provider alang sa tanan nga mga isyu sa imprastraktura, ang kinahanglan nimong buhaton mao ang pagtrabaho kauban ang software.

IaaS 152-FZ: busa, kinahanglan nimo ang seguridadPagbulag sa lebel sa abstraction

Sa konklusyon, ania ang usa ka gamay nga checklist alang sa mga kompanya nga nagtrabaho na sa personal nga datos o nagplano lang. Busa, unsaon pagdumala niini nga dili masunog.

  1. Aron ma-audit ug mapalambo ang mga modelo sa mga hulga ug mga nanghilabot, pagdapit ug usa ka eksperyensiyadong consultant gikan sa mga laboratoryo sa sertipikasyon nga makatabang sa pagpauswag sa mga kinahanglanon nga dokumento ug dad-on ka sa yugto sa mga teknikal nga solusyon.

  2. Sa pagpili sa usa ka cloud provider, pagtagad sa presensya sa usa ka sertipiko. Maayo unta kung ang kompanya mag-post niini sa publiko direkta sa website. Ang tighatag kinahanglan usa ka lisensyado sa FSTEC ug FSB, ug ang serbisyo nga iyang gitanyag kinahanglan sertipikado.

  3. Siguruha nga ikaw adunay usa ka pormal nga kasabutan ug usa ka gipirmahan nga panudlo alang sa pagproseso sa personal nga datos. Pinasukad niini, mahimo nimong buhaton ang usa ka pagsusi sa pagsunod ug sertipikasyon sa ISPD. Kung kini nga trabaho sa yugto sa teknikal nga proyekto ug ang paghimo sa disenyo ug teknikal nga dokumentasyon ingon kabug-at kanimo, kinahanglan nimo nga kontakon ang mga kompanya sa pagkonsulta sa ikatulo nga partido gikan sa mga laboratoryo sa sertipikasyon.

Kung ang mga isyu sa pagproseso sa personal nga datos adunay kalabotan kanimo, sa Septyembre 18, karong Biyernes, malipay kami nga makita ka sa webinar "Mga bahin sa paghimo og certified clouds".

Source: www.habr.com

Idugang sa usa ka comment