ProHoster > Blog > Verwaltung > IaaS 152-FZ: Sie brauchen also Sicherheit

IaaS 152-FZ: Sie brauchen also Sicherheit

IaaS 152-FZ: Sie brauchen also Sicherheit

Ganz gleich, wie sehr man sich mit den Mythen und Legenden rund um die Einhaltung von 152-FZ auseinandersetzt, etwas bleibt immer hinter den Kulissen. Heute möchten wir einige nicht immer offensichtliche Nuancen besprechen, auf die sowohl große als auch sehr kleine Unternehmen stoßen können:

  • Feinheiten der PD-Klassifizierung in Kategorien – wenn ein kleiner Online-Shop Daten zu einer speziellen Kategorie sammelt, ohne davon zu wissen;

  • wo Sie Backups der gesammelten PD speichern und Vorgänge daran durchführen können;

  • Was ist der Unterschied zwischen einem Zertifikat und einem Konformitätsbeschluss, welche Dokumente sollte man vom Anbieter anfordern und so weiter.

Abschließend teilen wir Ihnen unsere eigenen Erfahrungen mit dem Bestehen der Zertifizierung mit. Gehen!

Der Experte im heutigen Artikel wird sein Alexey Afanasiev, IS-Spezialist für die Cloud-Anbieter IT-GRAD und #CloudMTS (Teil der MTS-Gruppe).

Feinheiten der Klassifizierung

Wir stoßen häufig auf den Wunsch eines Kunden, schnell und ohne IS-Prüfung das erforderliche Sicherheitsniveau für ein ISPD zu ermitteln. Einige Materialien im Internet zu diesem Thema erwecken den falschen Eindruck, dass es sich um eine einfache Aufgabe handelt und es ziemlich schwierig ist, einen Fehler zu machen.

Um KM zu bestimmen, ist es notwendig zu verstehen, welche Daten vom IS des Kunden erfasst und verarbeitet werden. Manchmal kann es schwierig sein, den Schutzbedarf und die Kategorie der personenbezogenen Daten, die ein Unternehmen verwaltet, eindeutig zu bestimmen. Dieselben Arten personenbezogener Daten können auf völlig unterschiedliche Weise bewertet und klassifiziert werden. Daher kann in manchen Fällen die Meinung des Unternehmens von der Meinung des Wirtschaftsprüfers oder sogar des Inspektors abweichen. Schauen wir uns ein paar Beispiele an.

Parkplatz. Es scheint eine ziemlich traditionelle Art von Geschäft zu sein. Viele Fahrzeugflotten sind seit Jahrzehnten im Einsatz und ihre Besitzer beschäftigen Einzelunternehmer und Privatpersonen. Mitarbeiterdaten fallen grundsätzlich unter die Anforderungen der UZ-4. Für die Zusammenarbeit mit Fahrern ist es jedoch nicht nur erforderlich, personenbezogene Daten zu sammeln, sondern vor Beginn einer Schicht auch eine medizinische Kontrolle auf dem Gebiet des Fuhrparks durchzuführen, und die dabei gesammelten Informationen fallen sofort in die Kategorie medizinische Daten – und dabei handelt es sich um personenbezogene Daten einer besonderen Kategorie. Darüber hinaus kann die Flotte Zertifikate anfordern, die dann in der Fahrerakte aufbewahrt werden. Ein Scan eines solchen Zertifikats in elektronischer Form – Gesundheitsdaten, personenbezogene Daten einer besonderen Kategorie. Das bedeutet, dass UZ-4 nicht mehr ausreicht, es ist mindestens UZ-3 erforderlich.

Online-Shop. Es scheint, dass die gesammelten Namen, E-Mails und Telefonnummern in die öffentliche Kategorie passen. Wenn Ihre Kunden jedoch Ernährungspräferenzen wie Halal oder koscher angeben, können diese Informationen als Daten zur Religionszugehörigkeit oder zum Glauben betrachtet werden. Daher kann der Inspektor bei der Kontrolle oder Durchführung anderer Kontrolltätigkeiten die von Ihnen erhobenen Daten als besondere Kategorie personenbezogener Daten einstufen. Wenn nun ein Online-Shop Informationen darüber sammelt, ob sein Käufer Fleisch oder Fisch bevorzugt, könnten die Daten als andere personenbezogene Daten eingestuft werden. Was ist übrigens mit Vegetariern? Dies lässt sich schließlich auch auf philosophische Überzeugungen zurückführen, die ebenfalls einer besonderen Kategorie angehören. Andererseits kann dies aber auch einfach die Einstellung einer Person sein, die Fleisch aus ihrer Ernährung gestrichen hat. Leider gibt es kein Zeichen, das die Kategorie der Parkinson-Krankheit in solchen „subtilen“ Situationen eindeutig definiert.

Werbeagentur Mithilfe eines westlichen Cloud-Dienstes verarbeitet es öffentlich zugängliche Daten seiner Kunden – vollständige Namen, E-Mail-Adressen und Telefonnummern. Bei diesen personenbezogenen Daten handelt es sich selbstverständlich um personenbezogene Daten. Es stellt sich die Frage: Ist eine solche Verarbeitung legal? Ist es überhaupt möglich, solche Daten ohne Depersonalisierung außerhalb der Russischen Föderation zu verschieben, um beispielsweise Backups in einigen ausländischen Clouds zu speichern? Natürlich kannst du. Die Agentur hat das Recht, diese Daten außerhalb Russlands zu speichern, die erste Erhebung muss jedoch gemäß unserer Gesetzgebung auf dem Territorium der Russischen Föderation erfolgen. Wenn Sie solche Informationen sichern, darauf basierende Statistiken berechnen, Recherchen durchführen oder andere Operationen damit durchführen – all dies kann mit westlichen Ressourcen durchgeführt werden. Der entscheidende Punkt aus rechtlicher Sicht ist, wo personenbezogene Daten erhoben werden. Daher ist es wichtig, Ersterhebung und -verarbeitung nicht zu verwechseln.

Wie aus diesen kurzen Beispielen hervorgeht, ist die Arbeit mit personenbezogenen Daten nicht immer einfach und unkompliziert. Sie müssen nicht nur wissen, dass Sie mit ihnen arbeiten, sondern auch in der Lage sein, sie richtig zu klassifizieren und zu verstehen, wie die IP funktioniert, um das erforderliche Sicherheitsniveau richtig zu bestimmen. In manchen Fällen kann sich die Frage stellen, wie viele personenbezogene Daten die Organisation tatsächlich für ihren Betrieb benötigt. Ist es möglich, die „ernsthaftesten“ oder einfach unnötigen Daten abzulehnen? Darüber hinaus empfiehlt die Regulierungsbehörde, personenbezogene Daten nach Möglichkeit zu anonymisieren. 

Wie in den oben genannten Beispielen kann es vorkommen, dass Kontrollbehörden die erhobenen personenbezogenen Daten etwas anders interpretieren, als Sie selbst diese beurteilt haben.

Natürlich können Sie einen Auditor oder einen Systemintegrator als Assistenten engagieren, aber ist der „Assistent“ im Falle eines Audits für die getroffenen Entscheidungen verantwortlich? Es ist zu beachten, dass die Verantwortung immer beim Eigentümer des ISPD liegt – dem Betreiber personenbezogener Daten. Wenn ein Unternehmen solche Arbeiten durchführt, ist es daher wichtig, sich an seriöse Akteure auf dem Markt für solche Dienstleistungen zu wenden, beispielsweise an Unternehmen, die Zertifizierungsarbeiten durchführen. Zertifizierende Unternehmen verfügen über umfangreiche Erfahrung in der Durchführung solcher Arbeiten.

Optionen zum Aufbau eines ISPD

Der Aufbau eines ISPD ist nicht nur eine technische, sondern vor allem auch eine rechtliche Angelegenheit. Der CIO oder Sicherheitsdirektor sollte immer einen Rechtsbeistand konsultieren. Da das Unternehmen nicht immer über einen Spezialisten mit dem von Ihnen benötigten Profil verfügt, lohnt es sich, nach Wirtschaftsprüfern und Beratern Ausschau zu halten. Viele heikle Punkte sind möglicherweise überhaupt nicht offensichtlich.

Durch die Beratung können Sie feststellen, mit welchen personenbezogenen Daten Sie es zu tun haben und welches Schutzniveau diese benötigen. Dementsprechend erhalten Sie eine Vorstellung davon, welches IP erstellt bzw. um Sicherheits- und Betriebssicherheitsmaßnahmen ergänzt werden muss.

Oftmals hat ein Unternehmen die Wahl zwischen zwei Optionen:

  1. Bauen Sie das entsprechende IS auf Ihren eigenen Hard- und Softwarelösungen auf, ggf. im eigenen Serverraum.

  2. Kontaktieren Sie einen Cloud-Anbieter und wählen Sie eine elastische Lösung, einen bereits zertifizierten „virtuellen Serverraum“.

Die meisten Informationssysteme, die personenbezogene Daten verarbeiten, verwenden einen traditionellen Ansatz, der aus geschäftlicher Sicht kaum als einfach und erfolgreich bezeichnet werden kann. Bei der Auswahl dieser Option ist zu beachten, dass das technische Design eine Beschreibung der Ausrüstung einschließlich Software- und Hardwarelösungen und Plattformen umfasst. Dies bedeutet, dass Sie mit den folgenden Schwierigkeiten und Einschränkungen konfrontiert werden:

  • Schwierigkeit der Skalierung;

  • langer Projektumsetzungszeitraum: Es ist notwendig, das System auszuwählen, zu kaufen, zu installieren, zu konfigurieren und zu beschreiben;

  • viel „Papier“-Arbeit, zum Beispiel die Entwicklung eines kompletten Dokumentationspakets für das gesamte ISPD.

Darüber hinaus versteht ein Unternehmen in der Regel nur die „oberste“ Ebene seines geistigen Eigentums – die Geschäftsanwendungen, die es nutzt. Mit anderen Worten: IT-Mitarbeiter sind in ihrem jeweiligen Fachgebiet kompetent. Es besteht kein Verständnis dafür, wie alle „unteren Ebenen“ funktionieren: Software- und Hardware-Schutz, Speichersysteme, Backup und natürlich, wie man Schutztools unter Einhaltung aller Anforderungen konfiguriert, den „Hardware“-Teil der Konfiguration erstellt. Es ist wichtig zu verstehen: Dies ist eine riesige Wissensebene, die außerhalb des Geschäfts des Kunden liegt. Hier kann die Erfahrung eines Cloud-Anbieters, der einen zertifizierten „virtuellen Serverraum“ bereitstellt, hilfreich sein.

Cloud-Anbieter wiederum verfügen über eine Reihe von Vorteilen, die ohne Übertreibung 99 % des Geschäftsbedarfs im Bereich des Schutzes personenbezogener Daten abdecken können:

  • Kapitalkosten werden in Betriebskosten umgerechnet;

  • der Anbieter gewährleistet seinerseits die Bereitstellung des erforderlichen Sicherheits- und Verfügbarkeitsniveaus auf Basis einer bewährten Standardlösung;

  • es besteht keine Notwendigkeit, einen Stab von Spezialisten vorzuhalten, die den Betrieb des ISPD auf Hardwareebene sicherstellen;

  • Anbieter bieten deutlich flexiblere und elastischere Lösungen an;

  • die Spezialisten des Anbieters verfügen über alle erforderlichen Zertifikate;

  • Die Compliance ist nicht geringer als beim Aufbau einer eigenen Architektur unter Berücksichtigung der Anforderungen und Empfehlungen der Regulierungsbehörden.

Der alte Mythos, dass persönliche Daten nicht in der Cloud gespeichert werden können, erfreut sich immer noch großer Beliebtheit. Es stimmt nur zum Teil: PD kann wirklich nicht gebucht werden im ersten verfügbaren Wolke. Die Einhaltung bestimmter technischer Maßnahmen und der Einsatz bestimmter zertifizierter Lösungen sind erforderlich. Wenn der Anbieter alle gesetzlichen Anforderungen einhält, werden die Risiken im Zusammenhang mit dem Verlust personenbezogener Daten minimiert. Viele Anbieter verfügen über eine eigene Infrastruktur zur Verarbeitung personenbezogener Daten gemäß 152-FZ. Die Wahl des Lieferanten muss jedoch auch unter Kenntnis bestimmter Kriterien angegangen werden, auf die wir im Folgenden sicherlich eingehen werden. 

Kunden kommen häufig mit Bedenken bezüglich der Platzierung personenbezogener Daten in der Cloud des Anbieters zu uns. Nun, lasst uns sie gleich besprechen.

  • Daten können während der Übertragung oder Migration gestohlen werden

Davor müssen Sie keine Angst haben – der Anbieter bietet dem Kunden die Schaffung eines sicheren Datenübertragungskanals auf Basis zertifizierter Lösungen sowie verbesserter Authentifizierungsmaßnahmen für Auftragnehmer und Mitarbeiter. Es bleibt nur noch, die geeigneten Schutzmethoden auszuwählen und diese im Rahmen Ihrer Arbeit mit dem Kunden umzusetzen.

  • Show-Masken werden kommen und dem Server die Stromversorgung entziehen/versiegeln/unterbrechen

Für Kunden, die befürchten, dass ihre Geschäftsprozesse aufgrund mangelnder Kontrolle über die Infrastruktur gestört werden, ist das durchaus verständlich. Darüber denken in der Regel jene Kunden nach, deren Hardware bisher in kleinen Serverräumen und nicht in spezialisierten Rechenzentren untergebracht war. In Wirklichkeit sind Rechenzentren mit modernen Mitteln sowohl zum physischen als auch zum Informationsschutz ausgestattet. Ohne ausreichende Unterlagen und Papiere ist es nahezu unmöglich, in einem solchen Rechenzentrum irgendwelche Arbeiten durchzuführen, und für solche Tätigkeiten ist die Einhaltung einer Reihe von Verfahren erforderlich. Darüber hinaus kann das „Abziehen“ Ihres Servers aus dem Rechenzentrum Auswirkungen auf andere Clients des Anbieters haben, was für niemanden notwendig ist. Darüber hinaus kann niemand gezielt mit dem Finger auf „Ihren“ virtuellen Server zeigen, sodass jemand, der diesen stehlen oder eine Maskenshow veranstalten möchte, zunächst mit vielen bürokratischen Verzögerungen rechnen muss. Während dieser Zeit werden Sie höchstwahrscheinlich mehrmals Zeit haben, zu einer anderen Site zu migrieren.

  • Hacker werden die Cloud hacken und Daten stehlen

Das Internet und die Printpresse sind voll von Schlagzeilen darüber, dass eine weitere Cloud Cyberkriminellen zum Opfer gefallen ist und Millionen von persönlichen Datensätzen online durchgesickert sind. In den allermeisten Fällen wurden Schwachstellen überhaupt nicht auf der Seite des Anbieters, sondern in den Informationssystemen der Opfer gefunden: schwache oder sogar Standard-Passwörter, „Lücken“ in Website-Engines und Datenbanken sowie banale geschäftliche Nachlässigkeit bei der Auswahl von Sicherheitsmaßnahmen und Organisation von Datenzugriffsverfahren. Alle zertifizierten Lösungen werden auf Schwachstellen überprüft. Darüber hinaus führen wir regelmäßig „Kontroll“-Pentests und Sicherheitsaudits durch, sowohl unabhängig als auch durch externe Organisationen. Für den Anbieter ist dies eine Frage der Reputation und des Geschäfts im Allgemeinen.

  • Der Anbieter/Mitarbeiter des Anbieters stehlen personenbezogene Daten zum persönlichen Vorteil

Dies ist ein ziemlich sensibler Moment. Eine Reihe von Unternehmen aus der Welt der Informationssicherheit „schrecken“ ihre Kunden ein und bestehen darauf, dass „interne Mitarbeiter gefährlicher sind als externe Hacker“. Das mag in manchen Fällen zutreffen, aber ohne Vertrauen kann kein Unternehmen aufgebaut werden. Von Zeit zu Zeit kursieren Nachrichten darüber, dass die eigenen Mitarbeiter einer Organisation Kundendaten an Angreifer weitergeben und dass die interne Sicherheit manchmal viel schlechter organisiert ist als die externe Sicherheit. Hier ist es wichtig zu verstehen, dass jeder große Anbieter an negativen Fällen äußerst desinteressiert ist. Das Handeln der Mitarbeiter des Anbieters ist gut geregelt, Rollen und Verantwortungsbereiche sind aufgeteilt. Alle Geschäftsprozesse sind so strukturiert, dass Fälle von Datenlecks äußerst unwahrscheinlich sind und für interne Dienste immer erkennbar sind, sodass Kunden keine Angst vor Problemen von dieser Seite haben sollten.

  • Sie zahlen wenig, da Sie Dienstleistungen mit Ihren Geschäftsdaten bezahlen.

Ein weiterer Mythos: Ein Kunde, der eine sichere Infrastruktur günstig mietet, zahlt dafür tatsächlich mit seinen Daten – so denken oft Experten, denen es nichts ausmacht, vor dem Schlafengehen ein paar Verschwörungstheorien zu lesen. Erstens besteht praktisch keine Möglichkeit, mit Ihren Daten andere als die in der Bestellung angegebenen Vorgänge durchzuführen. Zweitens schätzt ein adäquater Anbieter die Beziehung zu Ihnen und seinen Ruf – neben Ihnen hat er noch viel mehr Kunden. Wahrscheinlicher ist das umgekehrte Szenario, bei dem der Anbieter die Daten seiner Kunden, auf denen sein Geschäft beruht, eifrig schützt.

Auswahl eines Cloud-Anbieters für ISPD

Heutzutage bietet der Markt viele Lösungen für Unternehmen, die PD-Betreiber sind. Nachfolgend finden Sie eine allgemeine Liste mit Empfehlungen zur Auswahl des richtigen Produkts.

  • Der Anbieter muss bereit sein, eine formelle Vereinbarung zu treffen, in der die Verantwortlichkeiten der Parteien, SLAs und Verantwortungsbereiche im Hinblick auf die Verarbeitung personenbezogener Daten beschrieben werden. Tatsächlich muss zwischen Ihnen und dem Anbieter zusätzlich zum Servicevertrag ein Auftrag zur PD-Verarbeitung unterzeichnet werden. Es lohnt sich auf jeden Fall, sie sorgfältig zu studieren. Es ist wichtig, die Aufgabenteilung zwischen Ihnen und dem Anbieter zu verstehen.

  • Bitte beachten Sie, dass das Segment die Anforderungen erfüllen muss, was bedeutet, dass es über ein Zertifikat verfügen muss, das eine Sicherheitsstufe angibt, die nicht niedriger ist als die für Ihr IP erforderliche. Es kommt vor, dass Anbieter nur die erste Seite des Zertifikats veröffentlichen, aus der wenig hervorgeht, oder auf Audits oder Compliance-Verfahren verweisen, ohne das Zertifikat selbst zu veröffentlichen („War da ein Junge?“). Es lohnt sich, danach zu fragen – es handelt sich um ein öffentliches Dokument, aus dem hervorgeht, wer die Zertifizierung durchgeführt hat, wie lange es gültig ist, wo sich die Cloud befindet usw.

  • Damit Sie die Platzierung Ihrer Daten kontrollieren können, muss der Anbieter Auskunft darüber geben, wo sich seine Standorte (geschützte Objekte) befinden. Wir möchten Sie daran erinnern, dass die erstmalige Erhebung personenbezogener Daten auf dem Territorium der Russischen Föderation erfolgen muss; daher ist es ratsam, die Adressen des Rechenzentrums im Vertrag/Zertifikat einzusehen.

  • Der Anbieter muss zertifizierte Informationssicherheits- und Informationsschutzsysteme verwenden. Natürlich machen die meisten Anbieter keine Werbung für die von ihnen verwendeten technischen Sicherheitsmaßnahmen und Lösungsarchitekturen. Aber Sie als Kunde können nicht anders, als darüber Bescheid zu wissen. Um beispielsweise eine Fernverbindung zu einem Verwaltungssystem (Verwaltungsportal) herzustellen, ist der Einsatz von Sicherheitsmaßnahmen erforderlich. Der Anbieter kann diese Anforderung nicht umgehen und wird Ihnen zertifizierte Lösungen zur Verfügung stellen (oder von Ihnen verlangen, dass Sie diese verwenden). Machen Sie mit den Mitteln einen Test und Sie werden sofort verstehen, wie und was funktioniert. 

  • Es ist äußerst wünschenswert, dass der Cloud-Anbieter zusätzliche Dienste im Bereich der Informationssicherheit bereitstellt. Dies können verschiedene Dienste sein: Schutz vor DDoS-Angriffen und WAF, Antivirendienst oder Sandbox usw. All dies ermöglicht es Ihnen, Schutz als Dienstleistung zu erhalten und sich nicht von Gebäudeschutzsystemen ablenken zu lassen, sondern an geschäftlichen Anwendungen zu arbeiten.

  • Der Anbieter muss Lizenznehmer von FSTEC und FSB sein. In der Regel werden solche Informationen direkt auf der Website veröffentlicht. Fordern Sie unbedingt diese Unterlagen an und prüfen Sie, ob die Adressen der Leistungserbringung, der Name des Anbieterunternehmens etc. korrekt sind. 

Fassen wir zusammen. Durch die Anmietung von Infrastruktur können Sie auf CAPEX verzichten und nur Ihre Geschäftsanwendungen und die Daten selbst in Ihrem Verantwortungsbereich behalten und die schwere Last der Zertifizierung von Hardware, Software und Hardware auf den Anbieter übertragen.

Wie wir die Zertifizierung bestanden haben

Zuletzt haben wir die Rezertifizierung der Infrastruktur der „Secure Cloud FZ-152“ hinsichtlich der Einhaltung der Anforderungen für die Arbeit mit personenbezogenen Daten erfolgreich bestanden. Die Arbeiten wurden vom Nationalen Zertifizierungszentrum durchgeführt.

Derzeit ist die „FZ-152 Secure Cloud“ für das Hosting von Informationssystemen zur Verarbeitung, Speicherung oder Übertragung personenbezogener Daten (ISPDn) gemäß den Anforderungen der Stufe UZ-3 zertifiziert.

Im Rahmen des Zertifizierungsverfahrens wird die Übereinstimmung der Infrastruktur des Cloud-Anbieters mit dem Schutzniveau überprüft. Der Anbieter stellt den IaaS-Dienst selbst zur Verfügung und ist kein Betreiber personenbezogener Daten. Dabei werden sowohl organisatorische (Dokumentation, Anordnungen etc.) als auch technische Maßnahmen (Aufstellen von Schutzausrüstung etc.) beurteilt.

Es kann nicht als trivial bezeichnet werden. Obwohl GOST bereits 2013 zu Programmen und Methoden zur Durchführung von Zertifizierungsaktivitäten erschien, gibt es immer noch keine strengen Programme für Cloud-Objekte. Zertifizierungszentren entwickeln diese Programme auf der Grundlage ihres eigenen Fachwissens. Mit dem Aufkommen neuer Technologien werden Programme komplexer und modernisiert; dementsprechend muss der Zertifizierer Erfahrung im Umgang mit Cloud-Lösungen haben und die Besonderheiten verstehen.

In unserem Fall besteht das Schutzobjekt aus zwei Standorten.

  • Cloud-Ressourcen (Server, Speichersysteme, Netzwerkinfrastruktur, Sicherheitstools usw.) befinden sich direkt im Rechenzentrum. Selbstverständlich ist ein solches virtuelles Rechenzentrum an öffentliche Netzwerke angeschlossen und dementsprechend müssen bestimmte Firewall-Anforderungen erfüllt sein, beispielsweise der Einsatz zertifizierter Firewalls.

  • Der zweite Teil des Objekts sind Cloud-Management-Tools. Dabei handelt es sich um Arbeitsplätze (Administratorarbeitsplätze), von denen aus das geschützte Segment verwaltet wird.

Standorte kommunizieren über einen auf CIPF basierenden VPN-Kanal.

Da Virtualisierungstechnologien Voraussetzungen für die Entstehung von Bedrohungen schaffen, nutzen wir zusätzlich zertifizierte Schutztools.

IaaS 152-FZ: Sie brauchen also SicherheitBlockdiagramm „aus der Sicht des Gutachters“

Wenn der Kunde nach der Anmietung von IaaS eine Zertifizierung seines ISPD benötigt, muss er lediglich das Informationssystem oberhalb der Ebene des virtuellen Rechenzentrums bewerten. Bei diesem Verfahren wird die darauf verwendete Infrastruktur und Software überprüft. Da Sie bei allen Infrastrukturthemen auf das Zertifikat des Anbieters zurückgreifen können, müssen Sie nur noch mit der Software arbeiten.

IaaS 152-FZ: Sie brauchen also SicherheitTrennung auf der Abstraktionsebene

Abschließend noch eine kleine Checkliste für Unternehmen, die bereits mit personenbezogenen Daten arbeiten oder gerade planen. Also, wie man damit umgeht, ohne sich zu verbrennen.

  1. Um Bedrohungs- und Eindringlingsmodelle zu prüfen und zu entwickeln, laden Sie einen erfahrenen Berater aus den Zertifizierungslabors ein, der Ihnen bei der Entwicklung der erforderlichen Dokumente hilft und Sie auf die Stufe technischer Lösungen bringt.

  2. Achten Sie bei der Auswahl eines Cloud-Anbieters auf das Vorhandensein eines Zertifikats. Es wäre gut, wenn das Unternehmen dies direkt auf der Website öffentlich veröffentlichen würde. Der Anbieter muss Lizenznehmer von FSTEC und FSB sein und der von ihm angebotene Service muss zertifiziert sein.

  3. Stellen Sie sicher, dass Sie über eine formelle Vereinbarung und eine unterzeichnete Anweisung zur Verarbeitung personenbezogener Daten verfügen. Auf dieser Grundlage können Sie sowohl eine Konformitätsprüfung als auch eine ISPD-Zertifizierung durchführen. Wenn Ihnen diese Arbeit in der Phase des technischen Projekts und der Erstellung von Design und technischer Dokumentation lästig erscheint, sollten Sie sich an externe Beratungsunternehmen wenden aus den Zertifizierungslaboren.

Wenn die Themen der Verarbeitung personenbezogener Daten für Sie relevant sind, freuen wir uns, Sie am 18. September, diesem Freitag, beim Webinar begrüßen zu dürfen „Merkmale des Aufbaus zertifizierter Clouds“.

Source: habr.com

Kommentar hinzufügen