ProHoster > blog > Gweinyddiaeth > IaaS 152-FZ: felly, mae angen diogelwch arnoch chi

IaaS 152-FZ: felly, mae angen diogelwch arnoch chi

IaaS 152-FZ: felly, mae angen diogelwch arnoch chi

Ni waeth faint rydych chi'n datrys y mythau a'r chwedlau sy'n ymwneud â chydymffurfio â 152-FZ, mae rhywbeth bob amser yn parhau y tu ôl i'r llenni. Heddiw, rydym am drafod rhai arlliwiau nad ydynt bob amser yn amlwg y gallai cwmnïau mawr a mentrau bach iawn ddod ar eu traws:

  • cynnil dosbarthiad PD yn gategorïau - pan fydd siop fach ar-lein yn casglu data sy'n ymwneud â chategori arbennig heb hyd yn oed wybod amdano;

  • lle gallwch storio copïau wrth gefn o PD a gasglwyd a chyflawni gweithrediadau arnynt;

  • beth yw'r gwahaniaeth rhwng tystysgrif a chasgliad cydymffurfio, pa ddogfennau y dylech ofyn amdanynt gan y darparwr, a phethau felly.

Yn olaf, byddwn yn rhannu ein profiad ein hunain o basio'r ardystiad gyda chi. Ewch!

Yr arbenigwr yn erthygl heddiw fydd Alexei Afanasyev, Arbenigwr IS ar gyfer darparwyr cwmwl IT-GRAD a #CloudMTS (rhan o'r grŵp MTS).

Cynnil o ddosbarthiad

Rydym yn aml yn dod ar draws awydd cleient i bennu’r lefel ofynnol o ddiogelwch ar gyfer ISPD yn gyflym, heb archwiliad GG. Mae rhai deunyddiau ar y Rhyngrwyd ar y pwnc hwn yn rhoi'r argraff anghywir bod hon yn dasg syml ac mae'n eithaf anodd gwneud camgymeriad.

I bennu KM, mae angen deall pa ddata fydd yn cael ei gasglu a'i brosesu gan GG y cleient. Weithiau gall fod yn anodd pennu’n ddiamwys y gofynion diogelu a’r categori o ddata personol y mae busnes yn ei weithredu. Gellir asesu a dosbarthu'r un mathau o ddata personol mewn ffyrdd cwbl wahanol. Felly, mewn rhai achosion, gall barn y busnes fod yn wahanol i farn yr archwilydd neu hyd yn oed yr arolygydd. Gadewch i ni edrych ar ychydig o enghreifftiau.

Maes parcio. Byddai'n ymddangos fel math eithaf traddodiadol o fusnes. Mae llawer o fflydoedd cerbydau wedi bod yn gweithredu ers degawdau, ac mae eu perchnogion yn llogi entrepreneuriaid unigol ac unigolion. Fel rheol, mae data gweithwyr yn dod o dan ofynion UZ-4. Fodd bynnag, i weithio gyda gyrwyr, mae angen nid yn unig i gasglu data personol, ond hefyd i gynnal rheolaeth feddygol ar diriogaeth y fflyd cerbydau cyn mynd ar sifft, ac mae'r wybodaeth a gesglir yn y broses yn disgyn ar unwaith i'r categori o data meddygol - ac mae hwn yn ddata personol o gategori arbennig. Yn ogystal, gall y fflyd ofyn am dystysgrifau, a fydd wedyn yn cael eu cadw yn ffeil y gyrrwr. Sgan o dystysgrif o'r fath ar ffurf electronig - data iechyd, data personol o gategori arbennig. Mae hyn yn golygu nad yw UZ-4 yn ddigon bellach; mae angen UZ-3 o leiaf.

Siop ar-lein. Mae'n ymddangos bod yr enwau, y negeseuon e-bost a'r rhifau ffôn a gasglwyd yn ffitio i'r categori cyhoeddus. Fodd bynnag, os yw eich cwsmeriaid yn nodi dewisiadau dietegol, fel halal neu kosher, gellir ystyried gwybodaeth o'r fath yn ddata ymlyniad crefyddol neu gred. Felly, wrth wirio neu gyflawni gweithgareddau rheoli eraill, gall yr arolygydd ddosbarthu'r data a gasglwch fel categori arbennig o ddata personol. Nawr, pe bai siop ar-lein yn casglu gwybodaeth ynghylch a yw'n well gan ei brynwr gig neu bysgod, gallai'r data gael ei ddosbarthu fel data personol arall. Gyda llaw, beth am lysieuwyr? Wedi'r cyfan, gellir priodoli hyn hefyd i gredoau athronyddol, sydd hefyd yn perthyn i gategori arbennig. Ond ar y llaw arall, gall hyn fod yn agwedd person sydd wedi dileu cig o'i ddeiet. Ysywaeth, nid oes unrhyw arwydd bod diffiniad diamwys y categori PD mewn sefyllfaoedd mor “gynnil”.

Asiantaeth hysbysebu Gan ddefnyddio rhywfaint o wasanaeth cwmwl y Gorllewin, mae'n prosesu data ei gleientiaid sydd ar gael yn gyhoeddus - enwau llawn, cyfeiriadau e-bost a rhifau ffôn. Mae'r data personol hyn, wrth gwrs, yn ymwneud â data personol. Mae'r cwestiwn yn codi: a yw'n gyfreithiol cynnal prosesu o'r fath? A yw hyd yn oed yn bosibl symud data o'r fath heb ddadbersonoli y tu allan i Ffederasiwn Rwsia, er enghraifft, i storio copïau wrth gefn mewn rhai cymylau tramor? Wrth gwrs gallwch chi. Mae gan yr Asiantaeth yr hawl i storio'r data hwn y tu allan i Rwsia, fodd bynnag, mae'n rhaid i'r casgliad cychwynnol, yn ôl ein deddfwriaeth, gael ei wneud ar diriogaeth Ffederasiwn Rwsia. Os byddwch yn gwneud copi wrth gefn o wybodaeth o'r fath, cyfrifwch rai ystadegau yn seiliedig arno, gwnewch ymchwil neu gwnewch rai gweithrediadau eraill ag ef - gellir gwneud hyn i gyd ar adnoddau'r Gorllewin. Y pwynt allweddol o safbwynt cyfreithiol yw pan fydd data personol yn cael ei gasglu. Felly, mae'n bwysig peidio â drysu rhwng casglu a phrosesu cychwynnol.

Fel a ganlyn o’r enghreifftiau byr hyn, nid yw gweithio gyda data personol bob amser yn syml ac yn syml. Mae angen i chi nid yn unig wybod eich bod chi'n gweithio gyda nhw, ond hefyd yn gallu eu dosbarthu'n gywir, deall sut mae'r IP yn gweithio er mwyn pennu'r lefel ofynnol o ddiogelwch yn gywir. Mewn rhai achosion, gall y cwestiwn godi faint o ddata personol sydd ei angen ar y sefydliad mewn gwirionedd. A yw’n bosibl gwrthod y data mwyaf “difrifol” neu’n syml ddiangen? Yn ogystal, mae'r rheolydd yn argymell dadbersonoli data personol lle bo modd. 

Fel yn yr enghreifftiau uchod, weithiau efallai y byddwch yn dod ar draws y ffaith bod awdurdodau arolygu yn dehongli'r data personol a gasglwyd ychydig yn wahanol i'r hyn a aseswyd gennych chi eich hun.

Wrth gwrs, gallwch chi logi archwilydd neu integreiddiwr system fel cynorthwyydd, ond a fydd y “cynorthwyydd” yn gyfrifol am y penderfyniadau a ddewisir yn achos archwiliad? Mae'n werth nodi mai perchennog yr ISPD - gweithredwr data personol, sy'n gyfrifol bob amser. Dyna pam, pan fydd cwmni'n gwneud gwaith o'r fath, mae'n bwysig troi at chwaraewyr difrifol yn y farchnad ar gyfer gwasanaethau o'r fath, er enghraifft, cwmnïau sy'n cynnal gwaith ardystio. Mae gan gwmnïau ardystio brofiad helaeth o wneud gwaith o'r fath.

Opsiynau ar gyfer adeiladu ISPD

Mae adeiladu ISPD nid yn unig yn fater technegol, ond hefyd yn fater cyfreithiol i raddau helaeth. Dylai'r CIO neu'r cyfarwyddwr diogelwch bob amser ymgynghori â chwnsler cyfreithiol. Gan nad oes gan y cwmni bob amser arbenigwr gyda'r proffil sydd ei angen arnoch chi, mae'n werth edrych ar archwilwyr-ymgynghorwyr. Efallai na fydd llawer o bwyntiau llithrig yn amlwg o gwbl.

Bydd yr ymgynghoriad yn caniatáu ichi benderfynu pa ddata personol yr ydych yn delio ag ef a pha lefel o ddiogelwch sydd ei angen. Yn unol â hynny, byddwch yn cael syniad o'r IP y mae angen ei greu neu ei ategu â mesurau diogelwch gweithredol a diogelwch.

Yn aml, mae'r dewis i gwmni rhwng dau opsiwn:

  1. Adeiladwch y GG cyfatebol ar eich datrysiadau caledwedd a meddalwedd eich hun, o bosibl yn eich ystafell gweinyddwr eich hun.

  2. Cysylltwch â darparwr cwmwl a dewiswch ateb elastig, “ystafell gweinydd rhithwir” sydd eisoes wedi'i hardystio.

Mae'r rhan fwyaf o systemau gwybodaeth sy'n prosesu data personol yn defnyddio dull traddodiadol, na ellir, o safbwynt busnes, ei alw'n hawdd ac yn llwyddiannus. Wrth ddewis yr opsiwn hwn, mae angen deall y bydd y dyluniad technegol yn cynnwys disgrifiad o'r offer, gan gynnwys datrysiadau a llwyfannau meddalwedd a chaledwedd. Mae hyn yn golygu y bydd yn rhaid i chi wynebu'r anawsterau a'r cyfyngiadau canlynol:

  • anhawster graddio;

  • cyfnod gweithredu prosiect hir: mae angen dewis, prynu, gosod, ffurfweddu a disgrifio'r system;

  • llawer o waith “papur”, er enghraifft - datblygu pecyn cyflawn o ddogfennaeth ar gyfer yr ISPD cyfan.

Yn ogystal, mae busnes, fel rheol, yn deall lefel "uchaf" ei eiddo deallusol yn unig - y cymwysiadau busnes y mae'n eu defnyddio. Mewn geiriau eraill, mae staff TG yn fedrus yn eu maes penodol. Nid oes unrhyw ddealltwriaeth o sut mae'r holl “lefelau is” yn gweithio: amddiffyn meddalwedd a chaledwedd, systemau storio, copi wrth gefn ac, wrth gwrs, sut i ffurfweddu offer amddiffyn yn unol â'r holl ofynion, adeiladu rhan “caledwedd” y cyfluniad. Mae'n bwysig deall: mae hon yn haen enfawr o wybodaeth sydd y tu allan i fusnes y cleient. Dyma lle gall profiad darparwr cwmwl sy'n darparu “ystafell weinydd rithwir” ardystiedig ddod yn ddefnyddiol.

Yn eu tro, mae gan ddarparwyr cwmwl nifer o fanteision a all, heb or-ddweud, gwmpasu 99% o anghenion busnes ym maes diogelu data personol:

  • caiff costau cyfalaf eu trosi'n gostau gweithredu;

  • mae'r darparwr, o'i ran ef, yn gwarantu darparu'r lefel ofynnol o ddiogelwch ac argaeledd yn seiliedig ar ddatrysiad safonol profedig;

  • nid oes angen cynnal staff o arbenigwyr a fydd yn sicrhau gweithrediad yr ISPD ar lefel caledwedd;

  • mae darparwyr yn cynnig atebion llawer mwy hyblyg ac elastig;

  • bod gan arbenigwyr y darparwr yr holl dystysgrifau angenrheidiol;

  • nid yw cydymffurfiaeth yn ddim is nag wrth adeiladu eich pensaernïaeth eich hun, gan ystyried gofynion ac argymhellion rheoleiddwyr.

Mae'r hen chwedl na ellir storio data personol yn y cwmwl yn dal i fod yn hynod boblogaidd. Dim ond yn rhannol wir y mae: ni ellir postio PD mewn gwirionedd yn yr un cyntaf sydd ar gael cwmwl. Mae angen cydymffurfio â rhai mesurau technegol a defnyddio rhai atebion ardystiedig. Os yw'r darparwr yn cydymffurfio â'r holl ofynion cyfreithiol, caiff y risgiau sy'n gysylltiedig â gollwng data personol eu lleihau. Mae gan lawer o ddarparwyr seilwaith ar wahân ar gyfer prosesu data personol yn unol â 152-FZ. Fodd bynnag, rhaid mynd at y dewis o gyflenwr hefyd gyda gwybodaeth am feini prawf penodol; byddwn yn sicr yn cyffwrdd â nhw isod. 

Mae cleientiaid yn aml yn dod atom gyda rhai pryderon am leoliad data personol yng nghwmwl y darparwr. Wel, gadewch i ni eu trafod ar unwaith.

  • Gall data gael ei ddwyn wrth drosglwyddo neu fudo

Nid oes angen ofni hyn - mae'r darparwr yn cynnig i'r cleient greu sianel trosglwyddo data ddiogel wedi'i seilio ar atebion ardystiedig, mesurau dilysu gwell ar gyfer contractwyr a gweithwyr. Y cyfan sydd ar ôl yw dewis y dulliau amddiffyn priodol a'u gweithredu fel rhan o'ch gwaith gyda'r cleient.

  • Bydd masgiau dangos yn dod ac yn cymryd i ffwrdd / selio / torri pŵer i ffwrdd i'r gweinydd

Mae’n gwbl ddealladwy i gwsmeriaid sy’n ofni y bydd amharu ar eu prosesau busnes oherwydd rheolaeth annigonol dros y seilwaith. Fel rheol, mae'r cleientiaid hynny yr oedd eu caledwedd wedi'i leoli'n flaenorol mewn ystafelloedd gweinydd bach yn hytrach na chanolfannau data arbenigol yn meddwl am hyn. Mewn gwirionedd, mae gan ganolfannau data ddulliau modern o ddiogelu corfforol a gwybodaeth. Mae bron yn amhosibl cynnal unrhyw weithrediadau mewn canolfan ddata o'r fath heb seiliau a phapurau digonol, ac mae angen cydymffurfio â nifer o weithdrefnau ar gyfer gweithgareddau o'r fath. Yn ogystal, gall “tynnu” eich gweinydd o'r ganolfan ddata effeithio ar gleientiaid eraill y darparwr, ac yn bendant nid yw hyn yn angenrheidiol i unrhyw un. Yn ogystal, ni fydd unrhyw un yn gallu pwyntio bys yn benodol at “eich” gweinydd rhithwir, felly os yw rhywun am ei ddwyn neu lwyfannu sioe fasgiau, yn gyntaf bydd yn rhaid iddo ddelio â llawer o oedi biwrocrataidd. Yn ystod yr amser hwn, mae'n debyg y bydd gennych amser i fudo i safle arall sawl gwaith.

  • Bydd hacwyr yn hacio'r cwmwl ac yn dwyn data

Mae'r Rhyngrwyd a'r wasg brint yn llawn penawdau ynghylch sut mae cwmwl arall eto wedi dioddef seiberdroseddwyr, ac mae miliynau o gofnodion data personol wedi gollwng ar-lein. Yn y mwyafrif helaeth o achosion, canfuwyd gwendidau nid ar ochr y darparwr o gwbl, ond yn systemau gwybodaeth y dioddefwyr: cyfrineiriau gwan neu hyd yn oed rhagosodedig, “tyllau” mewn peiriannau gwefan a chronfeydd data, a diofalwch busnes banal wrth ddewis mesurau diogelwch a trefnu gweithdrefnau mynediad at ddata. Mae pob datrysiad ardystiedig yn cael ei wirio am wendidau. Rydym hefyd yn cynnal pentests “rheoli” ac archwiliadau diogelwch yn rheolaidd, yn annibynnol a thrwy sefydliadau allanol. I'r darparwr, mae hwn yn fater o enw da a busnes yn gyffredinol.

  • Bydd darparwr/gweithwyr y darparwr yn dwyn data personol er budd personol

Mae hon yn foment braidd yn sensitif. Mae nifer o gwmnïau o’r byd diogelwch gwybodaeth yn “dychryn” eu cleientiaid ac yn mynnu bod “gweithwyr mewnol yn fwy peryglus na hacwyr allanol.” Gall hyn fod yn wir mewn rhai achosion, ond ni ellir adeiladu busnes heb ymddiriedaeth. O bryd i'w gilydd, mae newyddion yn fflachio bod gweithwyr y sefydliad ei hun yn gollwng data cwsmeriaid i ymosodwyr, ac mae diogelwch mewnol weithiau'n cael ei drefnu'n waeth o lawer na diogelwch allanol. Mae'n bwysig deall yma nad oes gan unrhyw ddarparwr mawr ddiddordeb mawr mewn achosion negyddol. Mae gweithredoedd cyflogeion y darparwr wedi'u rheoleiddio'n dda, mae rolau a meysydd cyfrifoldeb wedi'u rhannu. Mae'r holl brosesau busnes wedi'u strwythuro yn y fath fodd fel bod achosion o ollwng data yn hynod annhebygol ac maent bob amser yn amlwg i wasanaethau mewnol, felly ni ddylai cleientiaid ofni problemau o'r ochr hon.

  • Ychydig iawn rydych chi'n ei dalu oherwydd eich bod chi'n talu am wasanaethau gyda'ch data busnes.

Myth arall: mae cleient sy'n rhentu seilwaith diogel am bris cyfforddus mewn gwirionedd yn talu amdano gyda'i ddata - mae hyn yn aml yn cael ei feddwl gan arbenigwyr nad oes ots ganddyn nhw ddarllen cwpl o ddamcaniaethau cynllwynio cyn mynd i'r gwely. Yn gyntaf, mae'r posibilrwydd o gyflawni unrhyw weithrediadau gyda'ch data heblaw'r rhai a nodir yn y drefn yn sero yn y bôn. Yn ail, mae darparwr digonol yn gwerthfawrogi'r berthynas â chi a'i enw da - ar wahân i chi, mae ganddo lawer mwy o gleientiaid. Mae'r sefyllfa gyferbyn yn fwy tebygol, lle bydd y darparwr yn amddiffyn data ei gleientiaid yn frwd, y mae ei fusnes yn dibynnu arno.

Dewis darparwr cwmwl ar gyfer ISPD

Heddiw, mae'r farchnad yn cynnig llawer o atebion i gwmnïau sy'n weithredwyr PD. Isod mae rhestr gyffredinol o argymhellion ar gyfer dewis yr un iawn.

  • Rhaid i’r darparwr fod yn barod i wneud cytundeb ffurfiol sy’n disgrifio cyfrifoldebau’r partïon, CLGau a meysydd cyfrifoldeb yn yr allwedd i brosesu data personol. Mewn gwirionedd, rhyngoch chi a'r darparwr, yn ogystal â'r cytundeb gwasanaeth, rhaid llofnodi archeb ar gyfer prosesu PD. Mewn unrhyw achos, mae'n werth eu hastudio'n ofalus. Mae'n bwysig deall y rhaniad cyfrifoldebau rhyngoch chi a'r darparwr.

  • Sylwch fod yn rhaid i'r segment fodloni'r gofynion, sy'n golygu bod yn rhaid iddo gael tystysgrif sy'n nodi lefel o ddiogelwch nad yw'n is na'r hyn sy'n ofynnol gan eich IP. Mae'n digwydd bod darparwyr yn cyhoeddi tudalen gyntaf y dystysgrif yn unig, nad oes fawr ddim yn glir ohoni, neu'n cyfeirio at archwiliadau neu weithdrefnau cydymffurfio heb gyhoeddi'r dystysgrif ei hun ("oedd yna fachgen?"). Mae'n werth gofyn amdano - mae hon yn ddogfen gyhoeddus sy'n nodi pwy wnaeth yr ardystiad, y cyfnod dilysrwydd, lleoliad y cwmwl, ac ati.

  • Rhaid i'r darparwr ddarparu gwybodaeth am leoliad ei safleoedd (gwrthrychau gwarchodedig) fel y gallwch reoli lleoliad eich data. Gadewch inni eich atgoffa bod yn rhaid i'r casgliad cychwynnol o ddata personol gael ei wneud ar diriogaeth Ffederasiwn Rwsia; yn unol â hynny, mae'n ddoeth gweld cyfeiriadau'r ganolfan ddata yn y contract / tystysgrif.

  • Rhaid i'r darparwr ddefnyddio systemau diogelwch gwybodaeth a diogelu gwybodaeth ardystiedig. Wrth gwrs, nid yw'r rhan fwyaf o ddarparwyr yn hysbysebu'r mesurau diogelwch technegol a phensaernïaeth datrysiadau y maent yn eu defnyddio. Ond ni allwch chi, fel cleient, helpu ond gwybod amdano. Er enghraifft, i gysylltu o bell â system reoli (porth rheoli), mae angen defnyddio mesurau diogelwch. Ni fydd y darparwr yn gallu osgoi'r gofyniad hwn a bydd yn darparu datrysiadau ardystiedig i chi (neu'n gofyn i chi eu defnyddio). Cymerwch yr adnoddau ar gyfer prawf a byddwch yn deall yn syth sut a beth sy'n gweithio. 

  • Mae'n ddymunol iawn i ddarparwr y cwmwl ddarparu gwasanaethau ychwanegol ym maes diogelwch gwybodaeth. Gall y rhain fod yn wasanaethau amrywiol: amddiffyniad rhag ymosodiadau DDoS a WAF, gwasanaeth gwrth-firws neu flwch tywod, ac ati. Bydd hyn i gyd yn eich galluogi i dderbyn amddiffyniad fel gwasanaeth, nid i gael eich tynnu sylw gan systemau amddiffyn adeiladau, ond i weithio ar geisiadau busnes.

  • Rhaid i'r darparwr fod yn drwyddedai FSTEC a FSB. Fel rheol, mae gwybodaeth o'r fath yn cael ei phostio'n uniongyrchol ar y wefan. Gwnewch yn siŵr eich bod yn gofyn am y dogfennau hyn a gwirio a yw'r cyfeiriadau ar gyfer darparu gwasanaethau, enw'r cwmni darparu, ac ati yn gywir. 

Gadewch i ni grynhoi. Bydd rhentu seilwaith yn caniatáu ichi roi'r gorau i CAPEX a chadw dim ond eich cymwysiadau busnes a'r data ei hun yn eich maes cyfrifoldeb, a throsglwyddo'r baich trwm o ardystio caledwedd a meddalwedd a chaledwedd i'r darparwr.

Sut y gwnaethom basio'r ardystiad

Yn fwyaf diweddar, rydym wedi llwyddo i basio ardystiad seilwaith y “Secure Cloud FZ-152” ar gyfer cydymffurfio â'r gofynion ar gyfer gweithio gyda data personol. Gwnaethpwyd y gwaith gan y Ganolfan Ardystio Genedlaethol.

Ar hyn o bryd, mae'r “FZ-152 Secure Cloud” wedi'i ardystio ar gyfer cynnal systemau gwybodaeth sy'n ymwneud â phrosesu, storio neu drosglwyddo data personol (ISPDn) yn unol â gofynion lefel UZ-3.

Mae'r weithdrefn ardystio yn cynnwys gwirio cydymffurfiad seilwaith darparwr y cwmwl â lefel yr amddiffyniad. Mae’r darparwr ei hun yn darparu’r gwasanaeth IaaS ac nid yw’n weithredwr data personol. Mae'r broses yn cynnwys asesu mesurau sefydliadol (dogfennau, gorchmynion, ac ati) a mesurau technegol (gosod offer amddiffynnol, ac ati).

Ni ellir ei alw'n ddibwys. Er gwaethaf y ffaith bod GOST ar raglenni a dulliau ar gyfer cynnal gweithgareddau ardystio yn ymddangos yn ôl yn 2013, nid yw rhaglenni llym ar gyfer gwrthrychau cwmwl yn bodoli o hyd. Mae canolfannau ardystio yn datblygu'r rhaglenni hyn yn seiliedig ar eu harbenigedd eu hunain. Gyda dyfodiad technolegau newydd, mae rhaglenni'n dod yn fwy cymhleth a modern; yn unol â hynny, rhaid i'r ardystiwr fod â phrofiad o weithio gyda datrysiadau cwmwl a deall y manylion penodol.

Yn ein hachos ni, mae'r gwrthrych gwarchodedig yn cynnwys dau leoliad.

  • Mae adnoddau cwmwl (gweinyddwyr, systemau storio, seilwaith rhwydwaith, offer diogelwch, ac ati) wedi'u lleoli'n uniongyrchol yn y ganolfan ddata. Wrth gwrs, mae canolfan ddata rithwir o'r fath wedi'i chysylltu â rhwydweithiau cyhoeddus, ac yn unol â hynny, rhaid bodloni rhai gofynion wal dân, er enghraifft, defnyddio waliau tân ardystiedig.

  • Ail ran y gwrthrych yw offer rheoli cwmwl. Mae'r rhain yn weithfannau (gweithfannau gweinyddwyr) y mae'r segment gwarchodedig yn cael ei reoli ohonynt.

Mae lleoliadau'n cyfathrebu trwy sianel VPN sydd wedi'i hadeiladu ar CIPF.

Gan fod technolegau rhithwiroli yn creu rhag-amodau ar gyfer dyfodiad bygythiadau, rydym hefyd yn defnyddio offer amddiffyn ardystiedig ychwanegol.

IaaS 152-FZ: felly, mae angen diogelwch arnoch chiDiagram bloc “trwy lygaid yr aseswr”

Os yw'r cleient angen ardystiad o'i ISPD, ar ôl rhentu IaaS, bydd yn rhaid iddo werthuso'r system wybodaeth yn uwch na lefel y ganolfan ddata rithwir yn unig. Mae'r weithdrefn hon yn cynnwys gwirio'r seilwaith a'r meddalwedd a ddefnyddir arno. Gan y gallwch gyfeirio at dystysgrif y darparwr ar gyfer yr holl faterion seilwaith, y cyfan sy'n rhaid i chi ei wneud yw gweithio gyda'r feddalwedd.

IaaS 152-FZ: felly, mae angen diogelwch arnoch chiGwahanu ar lefel tynnu

I gloi, dyma restr wirio fach ar gyfer cwmnïau sydd eisoes yn gweithio gyda data personol neu sydd ond yn cynllunio. Felly, sut i'w drin heb gael ei losgi.

  1. Er mwyn archwilio a datblygu modelau o fygythiadau a thresmaswyr, gwahoddwch ymgynghorydd profiadol o blith y labordai ardystio a fydd yn helpu i ddatblygu'r dogfennau angenrheidiol a dod â chi i'r cam o atebion technegol.

  2. Wrth ddewis darparwr cwmwl, rhowch sylw i bresenoldeb tystysgrif. Byddai'n dda pe bai'r cwmni'n ei bostio'n gyhoeddus yn uniongyrchol ar y wefan. Rhaid i'r darparwr fod yn drwyddedai FSTEC a FSB, a rhaid i'r gwasanaeth y mae'n ei gynnig gael ei ardystio.

  3. Sicrhewch fod gennych gytundeb ffurfiol a chyfarwyddyd wedi'i lofnodi ar gyfer prosesu data personol. Yn seiliedig ar hyn, byddwch yn gallu cynnal gwiriad cydymffurfio ac ardystiad ISPD Os yw'r gwaith hwn ar gam y prosiect technegol a chreu dogfennau dylunio a thechnegol yn ymddangos yn feichus i chi, dylech gysylltu â chwmnïau ymgynghori trydydd parti. o blith y labordai ardystio.

Os yw materion prosesu data personol yn berthnasol i chi, ar 18 Medi, y dydd Gwener hwn, byddwn yn falch o'ch gweld yn y weminar “Nodweddion adeiladu cymylau ardystiedig”.

Ffynhonnell: hab.com

Ychwanegu sylw