ProHoster > Blog > διαχείριση > Ασφαλές cloud στην πλατφόρμα DF Cloud 

Ασφαλές cloud στην πλατφόρμα DF Cloud 

Ο ομοσπονδιακός νόμος-152 «Για την προστασία των προσωπικών δεδομένων» ισχύει για όλες τις υπάρχουσες οντότητες: φυσικά και νομικά πρόσωπα, φορείς της ομοσπονδιακής κυβέρνησης και τοπικές κυβερνήσεις. Στην πραγματικότητα, αυτός ο νόμος ισχύει για κάθε οργανισμό που επεξεργάζεται πληροφορίες και προσωπικά δεδομένα πολιτών της Ρωσικής Ομοσπονδίας, ανεξάρτητα από τη μορφή ιδιοκτησίας και το μέγεθος του οργανισμού.

Μερικές φορές ένας οργανισμός, εντελώς απροσδόκητα για τον εαυτό του, μπορεί να ανακαλύψει αρχικά σιωπηρά συστήματα πληροφοριών προσωπικών δεδομένων (PD). Για παράδειγμα, μια εταιρεία θεωρείται χειριστής προσωπικών δεδομένων εάν ο ιστότοπός της διαθέτει φόρμες σχολίων, εγγραφή, εξουσιοδότηση και άλλες μορφές συλλογής δεδομένων με τις οποίες μπορεί να αναγνωριστεί το υποκείμενο.

Ασφαλές cloud στην πλατφόρμα DF Cloud

Ο έλεγχος και η εποπτεία σχετικά με τη συμμόρφωση με τις απαιτήσεις του ομοσπονδιακού νόμου «Περί Προσωπικών Δεδομένων» πραγματοποιείται από ρυθμιστικές αρχές:

  • Roskomnadzor σχετικά με την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων προσωπικού χαρακτήρα·
  • FSB της Ρωσίας σχετικά με τη συμμόρφωση με τις απαιτήσεις στον τομέα της κρυπτογραφίας.
  • FSTEC της Ρωσίας όσον αφορά τη συμμόρφωση με τις απαιτήσεις για την προστασία των πληροφοριών από μη εξουσιοδοτημένη πρόσβαση και διαρροή μέσω τεχνικών καναλιών.

Δεδομένου ότι ο ομοσπονδιακός νόμος «Περί Προσωπικών Δεδομένων» αποτελεί μόνο τη βάση για νομική υποστήριξη για την προστασία των προσωπικών δεδομένων, οι απαιτήσεις του στη συνέχεια καθορίστηκαν σε πράξεις της κυβέρνησης της Ρωσικής Ομοσπονδίας και του Υπουργείου Επικοινωνιών και σε άλλα κανονιστικά και μεθοδολογικά έγγραφα του ρυθμιστικές αρχές.

Ομοσπονδιακές αρχές που ρυθμίζουν δραστηριότητες στον τομέα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα

  • Roskomnadzor (Ομοσπονδιακή Υπηρεσία Εποπτείας Επικοινωνιών και Μαζικών Επικοινωνιών) - ασκεί έλεγχο και εποπτεία ως προς τη συμμόρφωση της επεξεργασίας PD με τις νομικές απαιτήσεις.
  • FSTEC της Ρωσίας (Ομοσπονδιακή Υπηρεσία Τεχνικού και Ελέγχου Εξαγωγών) - θεσπίζει μεθόδους και μέσα προστασίας των πληροφοριών χρησιμοποιώντας τεχνικά μέσα.
  • FSB της Ρωσίας (Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσικής Ομοσπονδίας) - καθιερώνει μεθόδους και μέσα προστασίας των πληροφοριών στο πλαίσιο των αρμοδιοτήτων της (σφαίρα χρήσης κρυπτογραφικών μέσων προστασίας πληροφοριών)

Κάθε οργανισμός που επεξεργάζεται προσωπικά δεδομένα αντιμετωπίζει το πρόβλημα της συμμόρφωσης των συστημάτων πληροφοριών του με τις νομικές απαιτήσεις. Η προστασία των προσωπικών δεδομένων είναι ένα από τα πιο πιεστικά ζητήματα, όχι μόνο στη Ρωσία, αλλά και σε άλλες χώρες. 

Ασφαλές cloud στην πλατφόρμα DF Cloud

Τύποι προσωπικών δεδομένων

Σύμφωνα με τον ομοσπονδιακό νόμο αριθ. 152, προσωπικά δεδομένα είναι κάθε πληροφορία που σχετίζεται με ένα άτομο που προσδιορίζεται ή προσδιορίζεται βάσει αυτών των πληροφοριών (αντικείμενο προσωπικών δεδομένων). Για παράδειγμα: πλήρες όνομα, ημερομηνία και τόπος γέννησης, διεύθυνση, οικογένεια, κοινωνική, περιουσιακή κατάσταση, εκπαίδευση κ.λπ.

Τα προσωπικά δεδομένα χωρίζονται σε διάφορες κατηγορίες:

Ειδικός

Προσωπικά δεδομένα που σχετίζονται με φυλή, εθνικότητα, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, κατάσταση υγείας, οικεία ζωή

Βιομετρική

PD, που χαρακτηρίζουν τα φυσιολογικά και βιολογικά χαρακτηριστικά ενός ατόμου, βάσει των οποίων μπορεί να εξακριβωθεί η ταυτότητά του και τα οποία χρησιμοποιούνται από τον χειριστή για τον προσδιορισμό της ταυτότητας του υποκειμένου των προσωπικών δεδομένων

Αλλα

ΠΔ που αφορά άμεσα ή έμμεσα αναγνωρισμένο ή αναγνωρίσιμο άτομο και δεν εμπίπτει στις παραπάνω κατηγορίες

Δημόσια διαθέσιμο

PD που ελήφθη από δημοσίως διαθέσιμες πηγές στις οποίες δημοσιεύθηκαν τα δεδομένα με τη γραπτή συγκατάθεση του υποκειμένου των προσωπικών δεδομένων

Επεξεργασία προσωπικών δεδομένων είναι οποιαδήποτε ενέργεια (λειτουργία) ή σύνολο ενεργειών με προσωπικά δεδομένα χρησιμοποιώντας ή χωρίς εργαλεία αυτοματισμού, συμπεριλαμβανομένων:

  • συλλογή,
  • εγγραφή,
  • συστηματοποίηση,
  • συσσώρευση,
  • αποθήκευση,
  • διευκρίνιση (ενημέρωση, αλλαγή),
  • εξαγωγή,
  • χρήση,
  • μετάδοση (διανομή, παροχή, πρόσβαση),
  • αποπροσωποποίηση,
  • μπλοκάρισμα,
  • μετακίνηση,
  • καταστροφή προσωπικών δεδομένων.

Ευθύνη για παραβάσεις

Σύμφωνα με το άρθρο 24 του ομοσπονδιακού νόμου αριθ. 152, τα άτομα είναι υπεύθυνα για παραβίαση του νόμου σύμφωνα με τη νομοθεσία της Ρωσικής Ομοσπονδίας.

Κατά τον έλεγχο μιας εταιρείας, οι ρυθμιστικές αρχές καθοδηγούνται από τον ομοσπονδιακό νόμο-152 και έναν αριθμό καταστατικών. Η επιθεώρηση μπορεί να είναι είτε προγραμματισμένη είτε μη προγραμματισμένη - με βάση γεγονότα παραβάσεων, καθώς και για παρακολούθηση προηγουμένως εκδοθείσας εντολής για την εξάλειψή τους.

Τα άτομα που παραβιάζουν τις απαιτήσεις για την προστασία των προσωπικών δεδομένων ενδέχεται να αντιμετωπίσουν όχι μόνο αστική και πειθαρχική, αλλά και διοικητική και ακόμη και ποινική ευθύνη.
 

Πώς να συμμορφωθείτε με τις απαιτήσεις του Ομοσπονδιακού Νόμου-152;

Έτσι, μια εταιρεία ή οργανισμός που επεξεργάζεται προσωπικά δεδομένα ή άλλες ευαίσθητες πληροφορίες πρέπει να προστατεύει αυτές τις πληροφορίες σύμφωνα με το νόμο. Αυτό όχι μόνο απαιτεί σοβαρή τεχνογνωσία, γνώση και εμπειρία, αλλά συνδέεται επίσης με τεχνικές δυσκολίες και σημαντικό κόστος.

Σύμφωνα με τον επίσημο ορισμό που εγκρίθηκε από την FSTEC, «...Ασφάλεια προσωπικών δεδομένων είναι η κατάσταση ασφάλειας των προσωπικών δεδομένων, που χαρακτηρίζεται από την ικανότητα των χρηστών, των τεχνικών μέσων και των τεχνολογιών πληροφοριών να διασφαλίζουν την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των προσωπικών δεδομένων όταν υποβάλλονται σε επεξεργασία σε συστήματα πληροφοριών προσωπικού χαρακτήρα...»

Ασφαλές cloud στην πλατφόρμα DF Cloud
Για να εκπληρώσετε τις οργανωτικές, νομικές και τεχνικές απαιτήσεις του ομοσπονδιακού νόμου 152, μόνοι σας, πρέπει να μελετήσετε όχι μόνο τον ίδιο τον νόμο, αλλά και τους καταστατικούς του και να υπολογίσετε ακριβώς ποια μέτρα πρέπει να ληφθούν. Οι ειδικοί της εξωτερικής ανάθεσης μπορούν να μελετήσουν τις διαδικασίες επεξεργασίας προσωπικών δεδομένων στην εταιρεία, να συντάξουν τα απαραίτητα έγγραφα, να εφαρμόσουν μέτρα ασφαλείας κ.λπ.

Ένα ολοκληρωμένο σύστημα ασφάλειας πληροφοριών περιλαμβάνει:

  • Εργαλεία αποτροπής εισβολών (IDS).
  • Τείχος προστασίας (FW).
  • Προστασία από κακόβουλο λογισμικό.
  • Σύστημα παρακολούθησης και καταγραφής συμβάντων ασφαλείας.
  • Σύστημα κρυπτογραφικής προστασίας καναλιών επικοινωνίας (κρυπτογράφηση).
  • Μέσα προστασίας του εικονικού περιβάλλοντος, σύστημα προστασίας από μη εξουσιοδοτημένη πρόσβαση (ATP), αναγνώριση και έλεγχος πρόσβασης.
  • Σύστημα ανάλυσης ασφαλείας/ανίχνευσης ευπάθειας κ.λπ.

Επιπλέον, η ολοκληρωμένη ασφάλεια πληροφοριών περιλαμβάνει όχι μόνο τεχνικά, αλλά και οργανωτικά μέτρα.

Cloud FZ-152: χαρακτηριστικά υλοποίησης

Ορισμένοι Ρώσοι πάροχοι παρέχουν υπηρεσίες για την παροχή υποδομής cloud για φιλοξενία συστημάτων πληροφοριών σύμφωνα με τις απαιτήσεις της ομοσπονδιακής νομοθεσίας σχετικά με τα προσωπικά δεδομένα. Όταν τα συστήματα του πελάτη φιλοξενούνται στο cloud, ο πάροχος αναλαμβάνει πολλά ζητήματα ασφάλειας πληροφοριών, συμπεριλαμβανομένων εκείνων που σχετίζονται με την προστασία των προσωπικών δεδομένων. Κατά τη μετεγκατάσταση στο cloud, θα προστατεύσει την υποδομή πληροφορικής και αυτό θα αφαιρέσει ορισμένες από τις ευθύνες από τον πελάτη. Για παράδειγμα, ο πάροχος πληροί τις απαιτήσεις του ομοσπονδιακού νόμου 152 σχετικά με την προστασία του περιβάλλοντος εικονικοποίησης.

Οι πάροχοι μπορούν επίσης να παρέχουν στους πελάτες εξειδικευμένη υποστήριξη για την επίλυση του προβλήματος της προστασίας δεδομένων: καθορισμός του απαιτούμενου επιπέδου ασφάλειας και, σύμφωνα με αυτό, προσφορά επιλογής υλοποίησης. ανάπτυξη τεκμηρίωσης για τη συμμόρφωση με τις απαιτήσεις της νομοθεσίας της Ρωσικής Ομοσπονδίας.

Ένα ασφαλές νέφος θα βοηθήσει στη βελτιστοποίηση του κόστους ενός οργανισμού μειώνοντας το κόστος δημιουργίας και συντήρησης υποδομής πληροφορικής και ενός εσωτερικού συστήματος ασφάλειας πληροφοριών. Συνήθως, οι ειδικευμένοι ειδικοί παρέχουν ολοκληρωμένη τεχνική υποστήριξη και υποστήριξη, συμπεριλαμβανομένης της συμβουλευτικής και της ανάπτυξης ενός πακέτου εγγράφων για πιστοποίηση από τις ρυθμιστικές αρχές, και η πλατφόρμα παροχής υπηρεσιών πληροί αυστηρά τεχνικά πρότυπα και τις απαραίτητες οργανωτικές απαιτήσεις. Οι πελάτες μπορούν να επωφεληθούν από υπηρεσίες για την προετοιμασία της απαραίτητης τεκμηρίωσης και την προστασία του ISPD σε επίπεδο εφαρμογής και λειτουργικού συστήματος.

Παρέχονται επίσης διαδικασίες διαχείρισης κινδύνου και ευπάθειας, έρευνες συμβάντων, εσωτερικοί και εξωτερικοί έλεγχοι ασφάλειας, καθώς και τακτική παρακολούθηση και δοκιμή του δικτύου, των συστημάτων και των διαδικασιών ασφάλειας πληροφοριών. Εξειδικευμένοι ειδικοί παρέχουν υποστήριξη υποδομής πληροφορικής XNUMX/XNUMX.

Συνολικά, αυτά τα μέτρα διασφαλίζουν τη συμμόρφωση με τους ομοσπονδιακούς νόμους σχετικά με την προστασία των προσωπικών δεδομένων.

Πιστοποιημένη πλατφόρμα

Το IBS DataFort παρέχει μια τέτοια υπηρεσία με βάση πιστοποιημένη πλατφόρμα DF Cloud. Όλα τα τεχνικά μέρη, τα εργαλεία διαχείρισης και εικονικοποίησης αυτής της πλατφόρμας συμμορφώνονται με τους κανόνες και τις απαιτήσεις του Ομοσπονδιακού Νόμου-152.
Ασφαλές cloud στην πλατφόρμα DF CloudΑρχιτεκτονική του ασφαλούς νέφους IBS DataFort.

Η πλατφόρμα παρέχει εγγυημένη προστασία ISPD (μέχρι το 1ο επίπεδο ασφαλείας συμπεριλαμβανομένου), GIS (μέχρι και την 1η τάξη ασφαλείας) και ασφαλή αποθήκευση δεδομένων στο κέντρο δεδομένων Tier III. Η πλατφόρμα χρησιμοποιεί πιστοποιημένα τείχη προστασίας, εργαλεία ανίχνευσης και πρόληψης εισβολών (IDS/IPS), κρυπτογράφηση καναλιών επικοινωνίας (GOST VPN), προστασία από ιούς, προστασία από μη εξουσιοδοτημένη πρόσβαση, προστασία του περιβάλλοντος εικονικοποίησης, καθώς και εργαλεία σάρωσης ευπάθειας.

Cloud FZ-152 είναι επίσης μια κατάλληλη λύση για όσους έχουν υψηλές απαιτήσεις εμπιστευτικότητας και προστασίας δεδομένων, θέλουν να ενισχύσουν την επιχειρηματική τους φήμη ή να αποκτήσουν ένα τέτοιο ανταγωνιστικό πλεονέκτημα όπως ένα αποδεδειγμένα υψηλό επίπεδο ασφάλειας πληροφοριών.

Πώς να "μετακομίσετε" σε ένα τέτοιο σύννεφο; Είναι δυνατή η «απρόσκοπτη μετανάστευση»; Αρκετά. Για παράδειγμα, το IBS DataFort μεταφέρει με ασφάλεια το ISPD στο ασφαλές νέφος του, ελαχιστοποιώντας το χρόνο διακοπής λειτουργίας και τον αντίκτυπο στις επιχειρηματικές διαδικασίες της εταιρείας (συμπεριλαμβανομένων των ξένων τοποθεσιών).

Συμμόρφωση της υποδομής πληροφορικής με τον ομοσπονδιακό νόμο-152

Η διαδικασία συμμόρφωσης της υποδομής πληροφορικής του πελάτη με τις απαιτήσεις του Ομοσπονδιακού Νόμου-152 ξεκινά με έλεγχο και αξιολόγηση του τρέχοντος επιπέδου ασφάλειας.

Ο έλεγχος της υποδομής πληροφορικής του πελάτη περιλαμβάνει εξέταση της επεξεργασίας και προστασίας των προσωπικών δεδομένων και εξέταση του πληροφοριακού συστήματος του πελάτη. Συντάσσεται έκθεση έρευνας με λεπτομερή περιγραφή των διαδικασιών επεξεργασίας PD από τεχνική άποψη.

Η εργασία περιλαμβάνει επίσης τη μοντελοποίηση απειλών και εισβολέων και τη σύνταξη έκθεσης για τον προσδιορισμό του επιπέδου ασφάλειας για το ISPD. Με βάση τα αποτελέσματα του ελέγχου, συντάσσεται ιδιωτική τεχνική προδιαγραφή για το σύστημα προστασίας ISPD και καθορίζει τις απαιτήσεις για το σχεδιασμένο σύστημα.

Αναπτύσσεται ένα σύνολο πολιτικών, οδηγιών, κανονισμών και άλλων εγγράφων για την προστασία των προσωπικών δεδομένων. Ταυτόχρονα, οι ειδικοί προσπαθούν να βελτιστοποιήσουν το κόστος του πελάτη για την εφαρμογή μέτρων ασφαλείας.

Το IBS DataFort παρέχει υπηρεσίες για την προετοιμασία τεκμηρίωσης και την προστασία του ISPD για συμμόρφωση με την ομοσπονδιακή νομοθεσία για την προστασία των προσωπικών δεδομένων και μπορεί να βοηθήσει στην προετοιμασία και τη διέλευση πιστοποίησης (ISPD, GIS, AS).

Η πιστοποίηση πραγματοποιείται από ανεξάρτητους ελεγκτές με άδεια από την FSTEC και την FSB της Ρωσίας. Η λήψη αυτής της πιστοποίησης επιβεβαιώνει την αξιόπιστη προστασία των προσωπικών δεδομένων των συνεργατών και των πελατών της εταιρείας από εξωτερικές απειλές και την πλήρη συμμόρφωση με τις κανονιστικές απαιτήσεις. Είναι σημαντικό οι πελάτες να απολαμβάνουν την ευκολία μιας «ενιαίας εξυπηρέτησης»: τα πάντα παρέχονται από μία εταιρεία - την IBS DataFort.

Για τον χειριστή προσωπικών δεδομένων, αυτό σημαίνει ετοιμότητα για επιθεωρήσεις από την Roskomnadzor, την FSTEC και την FSB, εξαλείφοντας τον κίνδυνο αποκλεισμού πόρων και την απουσία αξιώσεων και κυρώσεων από τη ρυθμιστική αρχή.

Αυτή η υπηρεσία είναι σχετική για πολλές κατηγορίες πελατών στο δημόσιο και εταιρικό τμήμα και ενδέχεται να ζητηθεί από φορείς εκμετάλλευσης προσωπικών δεδομένων που θέλουν να συμμορφώσουν τις δραστηριότητές τους με τη νομοθεσία. Η τοποθέτηση της IP σε ένα κλειστό τμήμα της υποδομής του παρόχου, πιστοποιημένο σύμφωνα με όλα τα απαραίτητα πρότυπα και απαιτήσεις, απαλλάσσει τον πελάτη από την ανάγκη να οργανώσει ανεξάρτητα όλες τις εργασίες.

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο