ProHoster > Blog > Verwaltung > Sichere Cloud auf der DF Cloud-Plattform 

Sichere Cloud auf der DF Cloud-Plattform 

Das Bundesgesetz Nr. 152 „Über den Schutz personenbezogener Daten“ gilt für alle bestehenden Körperschaften: natürliche und juristische Personen, Bundesbehörden und Kommunalverwaltungen. Tatsächlich gilt dieses Gesetz für jede Organisation, die Informationen und personenbezogene Daten von Bürgern der Russischen Föderation verarbeitet, unabhängig von der Eigentumsform und der Größe der Organisation.

Manchmal kann eine Organisation, ganz unerwartet für sich selbst, zunächst implizite Informationssysteme für personenbezogene Daten (PD) entdecken. Beispielsweise gilt ein Unternehmen als Betreiber personenbezogener Daten, wenn seine Website über Feedbackformulare, Registrierungs-, Autorisierungs- und andere Formen der Datenerhebung verfügt, anhand derer die betroffene Person identifiziert werden kann.

Sichere Cloud auf der DF Cloud-Plattform

Die Kontrolle und Überwachung der Einhaltung der Anforderungen des Bundesgesetzes „Über personenbezogene Daten“ erfolgt durch die Aufsichtsbehörden:

  • Roskomnadzor zum Schutz der Rechte personenbezogener Daten;
  • FSB Russlands bezüglich der Einhaltung der Anforderungen im Bereich der Kryptographie;
  • FSTEC von Russland in Bezug auf die Einhaltung der Anforderungen zum Schutz von Informationen vor unbefugtem Zugriff und Leckage über technische Kanäle.

Da das Bundesgesetz „Über personenbezogene Daten“ nur die Grundlage für die rechtliche Unterstützung des Schutzes personenbezogener Daten darstellt, wurden seine Anforderungen später in Gesetzen der Regierung der Russischen Föderation und des Ministeriums für Kommunikation sowie anderen regulatorischen und methodischen Dokumenten festgelegt Aufsichtsbehörden.

Bundesbehörden, die Aktivitäten im Bereich der Verarbeitung personenbezogener Daten regeln

  • Roskomnadsor (Bundesdienst für die Überwachung von Kommunikation und Massenkommunikation) – übt die Kontrolle und Aufsicht über die Einhaltung der gesetzlichen Anforderungen bei der Verarbeitung personenbezogener Daten aus.
  • FSTEC von Russland (Bundesdienst für technische und Exportkontrolle) – legt Methoden und Mittel zum Schutz von Informationen mit technischen Mitteln fest.
  • FSB von Russland (Föderaler Sicherheitsdienst der Russischen Föderation) - legt Methoden und Mittel zum Schutz von Informationen im Rahmen seiner Befugnisse fest (Einsatzbereich kryptografischer Mittel zum Informationsschutz)

Jede Organisation, die personenbezogene Daten verarbeitet, steht vor dem Problem, ihre Informationssysteme mit den gesetzlichen Anforderungen in Einklang zu bringen. Der Schutz personenbezogener Daten ist eines der dringendsten Probleme, nicht nur in Russland, sondern auch in anderen Ländern. 

Sichere Cloud auf der DF Cloud-Plattform

Arten personenbezogener Daten

Gemäß Bundesgesetz Nr. 152 sind personenbezogene Daten alle Informationen, die sich auf eine natürliche Person beziehen, die anhand dieser Informationen identifiziert oder bestimmt wurde (Gegenstand personenbezogener Daten). Zum Beispiel: vollständiger Name, Geburtsdatum und -ort, Adresse, Familie, Sozialstatus, Vermögensstatus, Bildung usw.

Personenbezogene Daten werden in mehrere Kategorien unterteilt:

besondere

Persönliche Daten in Bezug auf Rasse, Nationalität, politische Ansichten, religiöse oder philosophische Überzeugungen, Gesundheitszustand, Intimleben

biometrisch

PD, die die physiologischen und biologischen Merkmale einer Person charakterisieren, anhand derer ihre Identität festgestellt werden kann und die vom Betreiber zur Feststellung der Identität des Subjekts personenbezogener Daten verwendet werden

Andere

PD, die sich auf eine direkt oder indirekt identifizierte oder identifizierbare Person beziehen und nicht in die oben genannten Kategorien fallen

Öffentlich verfügbar

PD, die aus öffentlich zugänglichen Quellen stammen, in denen die Daten mit schriftlicher Zustimmung des Betroffenen der personenbezogenen Daten veröffentlicht wurden

Die Verarbeitung personenbezogener Daten ist jede Aktion (Vorgang) oder Aktionsreihe mit personenbezogenen Daten unter Verwendung oder ohne Automatisierungstools, einschließlich:

  • Sammlung,
  • Aufzeichnung,
  • Systematisierung,
  • Akkumulation,
  • Lagerung,
  • Klarstellung (Aktualisierung, Änderung),
  • Extraktion,
  • Verwendung,
  • Übermittlung (Verbreitung, Bereitstellung, Zugriff),
  • Depersonalisierung,
  • Blockierung,
  • Entfernung,
  • Vernichtung personenbezogener Daten.

Verantwortung für Verstöße

Gemäß Artikel 24 des Bundesgesetzes Nr. 152 sind Personen für Gesetzesverstöße gemäß den Rechtsvorschriften der Russischen Föderation verantwortlich.

Bei der Prüfung eines Unternehmens orientieren sich die Aufsichtsbehörden am Bundesgesetz Nr. 152 und einer Reihe von Satzungen. Die Inspektion kann sowohl planmäßig als auch außerplanmäßig erfolgen – basierend auf den Tatsachen von Verstößen sowie zur Überwachung zuvor erteilter Anordnungen zu deren Beseitigung.

Personen, die gegen die Anforderungen zum Schutz personenbezogener Daten verstoßen, können nicht nur zivil- und disziplinarisch, sondern auch verwaltungsrechtlich und sogar strafrechtlich zur Verantwortung gezogen werden.
 

Wie erfüllt man die Anforderungen des Bundesgesetzes 152?

Daher muss ein Unternehmen oder eine Organisation, die personenbezogene Daten oder andere sensible Informationen verarbeitet, diese Informationen im Einklang mit dem Gesetz schützen. Dies erfordert nicht nur fundiertes Fachwissen, Wissen und Erfahrung, sondern ist auch mit technischen Schwierigkeiten und erheblichen Kosten verbunden.

Gemäß der vom FSTEC genehmigten offiziellen Definition ist „... Sicherheit personenbezogener Daten der Sicherheitszustand personenbezogener Daten, der durch die Fähigkeit der Benutzer, technischen Mittel und Informationstechnologien gekennzeichnet ist, die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten zu gewährleisten, wenn.“ in Informationssystemen für personenbezogene Daten verarbeitet …“

Sichere Cloud auf der DF Cloud-Plattform
Um die organisatorischen, rechtlichen und technischen Anforderungen des Bundesgesetzes 152 selbstständig zu erfüllen, müssen Sie nicht nur das Gesetz selbst, sondern auch seine Satzungen studieren und genau herausfinden, welche Maßnahmen ergriffen werden müssen. Outsourcing-Spezialisten können die Prozesse der Verarbeitung personenbezogener Daten im Unternehmen untersuchen, die erforderlichen Dokumente erstellen, Sicherheitsmaßnahmen umsetzen usw.

Zu einem umfassenden Informationssicherheitssystem gehören:

  • Intrusion Prevention Tools (IDS).
  • Firewall (FW).
  • Schutz vor Malware.
  • System zur Überwachung und Aufzeichnung von Sicherheitsereignissen.
  • System zum kryptografischen Schutz von Kommunikationskanälen (Verschlüsselung).
  • Mittel zum Schutz der virtuellen Umgebung, ein System zum Schutz vor unbefugtem Zugriff (ATP), zur Identifizierung und zur Zugangskontrolle.
  • Sicherheitsanalyse-/Schwachstellenerkennungssystem usw.

Darüber hinaus umfasst eine umfassende Informationssicherheit nicht nur technische, sondern auch organisatorische Maßnahmen.

Cloud FZ-152: Implementierungsfunktionen

Eine Reihe russischer Anbieter bieten Dienstleistungen zur Bereitstellung einer Cloud-Infrastruktur zum Hosten von Informationssystemen gemäß den Anforderungen der Bundesgesetzgebung in Bezug auf personenbezogene Daten an. Wenn die Systeme des Kunden in der Cloud gehostet werden, übernimmt der Anbieter viele Fragen der Informationssicherheit, darunter auch solche im Zusammenhang mit dem Schutz personenbezogener Daten. Bei der Migration in die Cloud wird die IT-Infrastruktur geschont und dem Kunden dadurch ein Teil der Verantwortung entzogen. Beispielsweise erfüllt der Anbieter die Anforderungen des Bundesgesetzes 152 zum Schutz der Virtualisierungsumgebung.

Anbieter können Kunden auch bei der Lösung des Datenschutzproblems kompetent unterstützen: das erforderliche Sicherheitsniveau ermitteln und darauf abgestimmt eine Umsetzungsmöglichkeit anbieten; Entwickeln Sie eine Dokumentation, um den Anforderungen der Gesetzgebung der Russischen Föderation zu entsprechen.

Eine sichere Cloud trägt dazu bei, die Kosten eines Unternehmens zu optimieren, indem sie die Kosten für die Erstellung und Wartung der IT-Infrastruktur und eines internen Informationssicherheitssystems senkt. In der Regel bieten qualifizierte Experten umfassende technische Unterstützung und Unterstützung, einschließlich Beratung und Entwicklung eines Dokumentenpakets zur Zertifizierung durch Regulierungsbehörden, und die Servicebereitstellungsplattform erfüllt strenge technische Standards und erfüllt die erforderlichen organisatorischen Anforderungen. Kunden können Dienstleistungen zur Erstellung der erforderlichen Dokumentation und zum Schutz von ISPD auf Anwendungs- und Betriebssystemebene in Anspruch nehmen.

Darüber hinaus werden Risiko- und Schwachstellenmanagementprozesse, Vorfalluntersuchungen, interne und externe Sicherheitsaudits sowie regelmäßige Überwachungen und Tests des Netzwerks, der Systeme und der Informationssicherheitsprozesse bereitgestellt. Qualifizierte Spezialisten sorgen rund um die Uhr für den Support der IT-Infrastruktur.

Zusammengenommen stellen diese Maßnahmen die Einhaltung der Bundesgesetze zum Schutz personenbezogener Daten sicher.

Zertifizierte Plattform

IBS DataFort bietet einen solchen Dienst basierend auf zertifizierte DF Cloud-Plattform. Alle technischen Teile, Verwaltungs- und Virtualisierungstools dieser Plattform entsprechen den Normen und Anforderungen des Bundesgesetzes 152.
Sichere Cloud auf der DF Cloud-PlattformArchitektur der sicheren IBS DataFort Cloud.

Die Plattform bietet garantierten Schutz von ISPD (bis einschließlich 1. Sicherheitsstufe), GIS (bis einschließlich 1. Sicherheitsklasse) und sichere Datenspeicherung im Tier III-Rechenzentrum. Die Plattform verwendet zertifizierte Firewalls, Tools zur Erkennung und Verhinderung von Eindringlingen (IDS/IPS), Verschlüsselung von Kommunikationskanälen (GOST VPN), Virenschutz, Schutz vor unbefugtem Zugriff, Schutz der Virtualisierungsumgebung sowie Tools zum Scannen von Schwachstellen.

Wolke FZ-152 ist auch eine geeignete Lösung für diejenigen, die hohe Anforderungen an Vertraulichkeit und Datenschutz haben, den Ruf ihres Unternehmens stärken oder sich einen Wettbewerbsvorteil wie ein nachweislich hohes Maß an Informationssicherheit verschaffen möchten.

Wie „bewegt“ man sich in eine solche Cloud? Ist eine „nahtlose Migration“ möglich? Ganz. Beispielsweise überträgt IBS DataFort das ISPD sicher in seine sichere Cloud und minimiert so Ausfallzeiten und die Auswirkungen auf die Geschäftsprozesse des Unternehmens (auch von ausländischen Standorten).

Bringen Sie die IT-Infrastruktur in Übereinstimmung mit dem Bundesgesetz 152

Der Prozess, die IT-Infrastruktur des Kunden in Übereinstimmung mit den Anforderungen des Bundesgesetzes 152 zu bringen, beginnt mit einer Prüfung und Bewertung des aktuellen Sicherheitsniveaus.

Eine Prüfung der IT-Infrastruktur des Kunden umfasst eine Prüfung der Verarbeitung und des Schutzes personenbezogener Daten sowie eine Prüfung des Informationssystems des Kunden. Es wird ein Untersuchungsbericht mit einer detaillierten Beschreibung der PD-Verarbeitungsprozesse aus technischer Sicht erstellt.

Die Arbeit umfasst auch die Modellierung von Bedrohungen und Eindringlingen sowie die Erstellung eines Berichts zur Bestimmung des Sicherheitsniveaus für das ISPD. Basierend auf den Ergebnissen des Audits wird eine private technische Spezifikation für das ISPD-Schutzsystem erstellt und die Anforderungen an das konzipierte System definiert.

Eine Reihe von Richtlinien, Anweisungen, Vorschriften und anderen Dokumenten zum Schutz personenbezogener Daten wird entwickelt. Gleichzeitig versuchen Spezialisten, die Kosten des Kunden für die Umsetzung von Sicherheitsmaßnahmen zu optimieren.

IBS DataFort bietet Dienstleistungen zur Vorbereitung der Dokumentation und zum Schutz des ISPD zur Einhaltung der Bundesgesetze zum Schutz personenbezogener Daten an und kann bei der Vorbereitung und dem Bestehen der Zertifizierung (ISPD, GIS, AS) behilflich sein.

Die Zertifizierung wird von unabhängigen Prüfern durchgeführt, die von FSTEC und dem FSB Russlands lizenziert sind. Das Bestehen einer solchen Zertifizierung bestätigt den zuverlässigen Schutz der personenbezogenen Daten der Partner und Kunden des Unternehmens vor externen Bedrohungen sowie die umfassende Einhaltung regulatorischer Anforderungen. Es ist wichtig, dass Kunden den Komfort eines „One-Stop-Shops“ erhalten: Alles wird von einem Unternehmen bereitgestellt – IBS DataFort.

Für den Betreiber personenbezogener Daten bedeutet dies, dass er für Inspektionen durch Roskomnadzor, FSTEC und das FSB bereit ist, das Risiko einer Ressourcenblockierung eliminiert und keine Ansprüche und Sanktionen seitens der Regulierungsbehörde geltend macht.

Dieser Service ist für viele Kundenkategorien im Regierungs- und Unternehmensbereich relevant und kann von Betreibern personenbezogener Daten nachgefragt werden, die ihre Aktivitäten in Einklang mit dem Gesetz bringen möchten. Die Platzierung des IP in einem geschlossenen Segment der Infrastruktur des Anbieters, zertifiziert nach allen notwendigen Standards und Anforderungen, entlastet den Kunden von der Notwendigkeit, alle Arbeiten selbstständig zu organisieren.

Source: habr.com

Kommentar hinzufügen