ProHoster > وبلاگ > اداره > IaaS 152-FZ: بنابراین، شما به امنیت نیاز دارید

IaaS 152-FZ: بنابراین، شما به امنیت نیاز دارید

IaaS 152-FZ: بنابراین، شما به امنیت نیاز دارید

مهم نیست که چقدر افسانه ها و افسانه های مربوط به انطباق با 152-FZ را مرتب کنید، همیشه چیزی در پشت صحنه باقی می ماند. امروز می‌خواهیم برخی از تفاوت‌های آشکار را که هم شرکت‌های بزرگ و هم شرکت‌های بسیار کوچک ممکن است با آن‌ها مواجه شوند، بررسی کنیم:

  • ظرافت های طبقه بندی PD به دسته ها - هنگامی که یک فروشگاه اینترنتی کوچک داده های مربوط به یک دسته خاص را حتی بدون اطلاع از آن جمع آوری می کند.

  • جایی که می توانید پشتیبان گیری از PD جمع آوری شده را ذخیره کنید و عملیات را روی آنها انجام دهید.

  • تفاوت بین گواهی و نتیجه‌گیری انطباق چیست، چه مدارکی را باید از ارائه‌دهنده درخواست کنید و مواردی از این قبیل.

در نهایت، ما تجربه خود را از گذراندن گواهینامه با شما به اشتراک خواهیم گذاشت. برو!

متخصص در مقاله امروز خواهد بود الکسی آفاناسیف، متخصص IS برای ارائه دهندگان ابر IT-GRAD و #CloudMTS (بخشی از گروه MTS).

ظرافت های طبقه بندی

ما اغلب با تمایل مشتری برای تعیین سریع، بدون ممیزی IS، سطح امنیتی لازم برای یک ISPD مواجه می شویم. برخی از مطالب موجود در اینترنت در مورد این موضوع این تصور نادرست را ایجاد می کند که این یک کار ساده است و اشتباه کردن بسیار دشوار است.

برای تعیین KM، لازم است بدانیم چه داده هایی توسط IS مشتری جمع آوری و پردازش می شود. گاهی اوقات تعیین بدون ابهام الزامات حفاظتی و دسته بندی داده های شخصی که یک کسب و کار انجام می دهد ممکن است دشوار باشد. انواع یکسان از داده های شخصی را می توان به روش های کاملا متفاوت ارزیابی و طبقه بندی کرد. بنابراین در برخی موارد ممکن است نظر واحد تجاری با نظر حسابرس یا حتی بازرس متفاوت باشد. بیایید به چند نمونه نگاه کنیم.

پارکینگ ماشین. به نظر می رسد یک نوع نسبتاً سنتی تجارت باشد. بسیاری از ناوگان وسایل نقلیه برای چندین دهه فعالیت می کنند و صاحبان آنها کارآفرینان و افراد فردی را استخدام می کنند. به عنوان یک قاعده، داده های کارکنان تحت الزامات UZ-4 قرار می گیرند. با این حال، برای کار با رانندگان، نه تنها باید اطلاعات شخصی جمع آوری شود، بلکه قبل از رفتن به یک شیفت، کنترل پزشکی در قلمرو ناوگان خودرو نیز انجام شود و اطلاعات جمع آوری شده در این فرآیند بلافاصله در دسته بندی قرار می گیرد. داده های پزشکی - و این داده های شخصی یک دسته خاص است. علاوه بر این، ناوگان ممکن است گواهی نامه هایی را درخواست کند که سپس در پرونده راننده نگهداری می شود. اسکن چنین گواهی به صورت الکترونیکی - داده های سلامت، داده های شخصی یک دسته خاص. این بدان معنی است که UZ-4 دیگر کافی نیست، حداقل UZ-3 مورد نیاز است.

فروشگاه آنلاین به نظر می رسد که نام ها، ایمیل ها و شماره تلفن های جمع آوری شده در دسته بندی عمومی قرار می گیرند. با این حال، اگر مشتریان شما ترجیحات غذایی مانند حلال یا کوشر را نشان دهند، چنین اطلاعاتی ممکن است وابستگی مذهبی یا داده های اعتقادی در نظر گرفته شود. بنابراین، هنگام بررسی یا انجام سایر فعالیت‌های کنترلی، بازرس ممکن است داده‌هایی را که جمع‌آوری می‌کنید به عنوان یک دسته خاص از داده‌های شخصی طبقه‌بندی کند. اکنون، اگر یک فروشگاه آنلاین اطلاعاتی در مورد اینکه آیا خریدار آن گوشت یا ماهی را ترجیح می دهد جمع آوری کند، داده ها می توانند به عنوان سایر اطلاعات شخصی طبقه بندی شوند. راستی، گیاهخواران چطور؟ از این گذشته، این را می توان به باورهای فلسفی نیز نسبت داد که آنها نیز به دسته خاصی تعلق دارند. اما از سوی دیگر، این ممکن است به سادگی نگرش فردی باشد که گوشت را از برنامه غذایی خود حذف کرده است. افسوس، هیچ نشانه ای وجود ندارد که به طور واضح مقوله PD را در چنین موقعیت های "لطیف" تعریف کند.

آژانس تبلیغاتی با استفاده از برخی از سرویس های ابری غربی، داده های در دسترس عموم مشتریان خود را پردازش می کند - نام کامل، آدرس ایمیل و شماره تلفن. البته این اطلاعات شخصی به داده های شخصی مربوط می شود. این سوال مطرح می شود: آیا انجام چنین پردازشی قانونی است؟ آیا حتی می توان چنین داده هایی را بدون غیر شخصی سازی به خارج از فدراسیون روسیه منتقل کرد، به عنوان مثال، برای ذخیره پشتیبان در برخی از ابرهای خارجی؟ البته که می توانی. آژانس حق دارد این داده ها را در خارج از روسیه ذخیره کند، با این حال، جمع آوری اولیه، طبق قوانین ما، باید در قلمرو فدراسیون روسیه انجام شود. اگر از چنین اطلاعاتی نسخه پشتیبان تهیه کنید، برخی آمارها را بر اساس آن محاسبه کنید، تحقیقات انجام دهید یا عملیات دیگری را با آن انجام دهید - همه اینها را می توان بر روی منابع غربی انجام داد. نکته کلیدی از نقطه نظر حقوقی این است که اطلاعات شخصی در کجا جمع آوری می شود. بنابراین مهم است که جمع آوری اولیه و پردازش اشتباه نشود.

همانطور که از این مثال‌های کوتاه برمی‌آید، کار با داده‌های شخصی همیشه ساده و ساده نیست. شما نه تنها باید بدانید که با آنها کار می کنید، بلکه بتوانید آنها را به درستی طبقه بندی کنید، بدانید که IP چگونه کار می کند تا به درستی سطح امنیتی مورد نیاز را تعیین کنید. در برخی موارد، ممکن است این سوال پیش بیاید که سازمان واقعاً به چه مقدار داده شخصی برای فعالیت نیاز دارد. آیا می توان از "جدی ترین" یا به سادگی غیر ضروری ترین داده ها خودداری کرد؟ علاوه بر این، تنظیم‌کننده توصیه می‌کند تا جایی که ممکن است، داده‌های شخصی را غیرشخصی‌سازی کنید. 

مانند مثال‌های بالا، گاهی اوقات ممکن است با این واقعیت مواجه شوید که مقامات بازرسی اطلاعات شخصی جمع‌آوری‌شده را کمی متفاوت از آنچه که خودتان ارزیابی کرده‌اید، تفسیر می‌کنند.

البته، شما می توانید یک حسابرس یا یکپارچه ساز سیستم را به عنوان دستیار استخدام کنید، اما آیا "دستیار" مسئول تصمیمات انتخاب شده در صورت حسابرسی خواهد بود؟ شایان ذکر است که مسئولیت همیشه بر عهده صاحب ISPD - اپراتور داده های شخصی است. به همین دلیل است که وقتی یک شرکت چنین کاری را انجام می دهد، مهم است که برای چنین خدماتی به بازیگران جدی در بازار روی بیاورد، به عنوان مثال، شرکت هایی که کار صدور گواهینامه را انجام می دهند. شرکت های گواهی کننده تجربه گسترده ای در انجام چنین کارهایی دارند.

گزینه های ساخت ISPD

ساخت یک ISPD نه تنها یک موضوع فنی، بلکه تا حد زیادی یک موضوع حقوقی است. CIO یا مدیر امنیت باید همیشه با مشاور حقوقی مشورت کند. از آنجایی که شرکت همیشه متخصصی با مشخصات مورد نیاز شما ندارد، بهتر است به مشاوران حسابرس نگاه کنید. بسیاری از نقاط لغزنده ممکن است اصلاً آشکار نباشند.

مشاوره به شما این امکان را می دهد که تعیین کنید با چه داده های شخصی سروکار دارید و به چه سطحی از محافظت نیاز دارد. بر این اساس، ایده ای از IP دریافت خواهید کرد که باید با اقدامات امنیتی و امنیتی عملیاتی ایجاد یا تکمیل شود.

اغلب انتخاب برای یک شرکت بین دو گزینه است:

  1. IS مربوطه را بر روی راه حل های سخت افزاری و نرم افزاری خود، احتمالاً در اتاق سرور خود بسازید.

  2. با یک ارائه دهنده ابر تماس بگیرید و یک راه حل الاستیک انتخاب کنید، یک "اتاق سرور مجازی" که قبلاً تأیید شده است.

اکثر سیستم‌های اطلاعاتی که داده‌های شخصی را پردازش می‌کنند از یک رویکرد سنتی استفاده می‌کنند که از دیدگاه تجاری، به سختی می‌توان آن را آسان و موفق نامید. هنگام انتخاب این گزینه، لازم است بدانید که طراحی فنی شامل توضیحاتی در مورد تجهیزات، از جمله راه حل ها و پلتفرم های نرم افزاری و سخت افزاری خواهد بود. این بدان معنی است که شما باید با مشکلات و محدودیت های زیر روبرو شوید:

  • دشواری مقیاس بندی؛

  • دوره طولانی اجرای پروژه: انتخاب، خرید، نصب، پیکربندی و توصیف سیستم ضروری است.

  • بسیاری از کارهای "کاغذی"، به عنوان مثال - توسعه یک بسته کامل از اسناد برای کل ISPD.

علاوه بر این، یک تجارت، به عنوان یک قاعده، فقط سطح "بالا" IP خود را درک می کند - برنامه های تجاری که استفاده می کند. به عبارت دیگر، کارکنان فناوری اطلاعات در حوزه خاص خود ماهر هستند. هیچ درک درستی از نحوه عملکرد همه سطوح پایین وجود ندارد: محافظت از نرم افزار و سخت افزار، سیستم های ذخیره سازی، پشتیبان گیری و البته نحوه پیکربندی ابزارهای حفاظتی مطابق با تمام الزامات، ساخت بخش «سخت افزاری» پیکربندی. درک این نکته مهم است: این لایه عظیمی از دانش است که خارج از تجارت مشتری قرار دارد. اینجاست که تجربه یک ارائه دهنده ابری که یک "اتاق سرور مجازی" تایید شده را ارائه می دهد می تواند مفید باشد.

به نوبه خود، ارائه دهندگان ابری دارای تعدادی مزیت هستند که بدون اغراق می توانند 99٪ نیازهای تجاری در زمینه حفاظت از داده های شخصی را پوشش دهند:

  • هزینه های سرمایه ای به هزینه های عملیاتی تبدیل می شود.

  • ارائه دهنده به نوبه خود، ارائه سطح مورد نیاز امنیت و در دسترس بودن را بر اساس یک راه حل استاندارد اثبات شده تضمین می کند.

  • نیازی به نگهداری کارکنان متخصصی نیست که از عملکرد ISPD در سطح سخت افزار اطمینان حاصل کنند.

  • ارائه دهندگان راه حل های بسیار انعطاف پذیرتر و انعطاف پذیرتری ارائه می دهند.

  • متخصصان ارائه دهنده کلیه گواهی های لازم را دارند.

  • انطباق با در نظر گرفتن الزامات و توصیه های تنظیم کننده ها کمتر از هنگام ساخت معماری شخصی شما نیست.

این افسانه قدیمی مبنی بر اینکه داده های شخصی را نمی توان در فضای ابری ذخیره کرد، همچنان بسیار محبوب است. این فقط تا حدی درست است: PD واقعاً قابل ارسال نیست در اولین موجود ابر رعایت برخی اقدامات فنی و استفاده از راه حل های تایید شده خاص مورد نیاز است. اگر ارائه دهنده تمام الزامات قانونی را رعایت کند، خطرات مربوط به نشت داده های شخصی به حداقل می رسد. بسیاری از ارائه دهندگان زیرساخت جداگانه ای برای پردازش داده های شخصی مطابق با 152-FZ دارند. با این حال، انتخاب تامین کننده نیز باید با آگاهی از معیارهای خاصی انجام شود؛ ما مطمئناً در زیر به آنها خواهیم پرداخت. 

مشتریان اغلب با نگرانی هایی در مورد قرار دادن داده های شخصی در ابر ارائه دهنده به ما مراجعه می کنند. خوب، بیایید بلافاصله در مورد آنها بحث کنیم.

  • داده ها ممکن است در حین انتقال یا مهاجرت به سرقت رفته باشند

نیازی به ترس از این نیست - ارائه دهنده ایجاد یک کانال انتقال داده ایمن ساخته شده بر اساس راه حل های تایید شده، اقدامات احراز هویت پیشرفته برای پیمانکاران و کارمندان را به مشتری ارائه می دهد. تنها چیزی که باقی می ماند این است که روش های حفاظتی مناسب را انتخاب کنید و آنها را به عنوان بخشی از کار خود با مشتری اجرا کنید.

  • نمایش ماسک‌ها می‌آیند و برق سرور را می‌برند/مهر می‌کنند/قطع می‌کنند

برای مشتریانی که می ترسند فرآیندهای تجاری آنها به دلیل کنترل ناکافی بر زیرساخت ها مختل شود، کاملاً قابل درک است. به عنوان یک قاعده، آن دسته از مشتریانی که سخت افزار آنها قبلاً به جای مراکز داده تخصصی در اتاق های سرور کوچک قرار داشت به این موضوع فکر می کنند. در واقع، مراکز داده به وسایل مدرن حفاظت فیزیکی و اطلاعاتی مجهز هستند. انجام هرگونه عملیات در چنین مرکز داده ای بدون دلایل و مدارک کافی تقریبا غیرممکن است و چنین فعالیت هایی مستلزم رعایت تعدادی از رویه ها هستند. علاوه بر این، "کشیدن" سرور شما از مرکز داده ممکن است سایر مشتریان ارائه دهنده را تحت تأثیر قرار دهد و این قطعاً برای کسی ضروری نیست. علاوه بر این، هیچ کس نمی تواند انگشت خود را به طور خاص به سمت سرور مجازی «شما» نشانه رود، بنابراین اگر کسی بخواهد آن را بدزدد یا نمایش ماسکی را اجرا کند، ابتدا باید با تأخیرهای بوروکراتیک زیادی دست و پنجه نرم کند. در این مدت، به احتمال زیاد زمان خواهید داشت که چندین بار به سایت دیگری مهاجرت کنید.

  • هکرها ابر را هک کرده و داده ها را می دزدند

اینترنت و مطبوعات چاپی مملو از عناوین درباره اینکه چگونه یک ابر دیگر قربانی مجرمان سایبری شده است و میلیون ها پرونده اطلاعات شخصی به صورت آنلاین به بیرون درز کرده است. در اکثریت قریب به اتفاق موارد، آسیب‌پذیری‌ها نه در سمت ارائه‌دهنده، بلکه در سیستم‌های اطلاعاتی قربانیان یافت می‌شوند: رمزهای عبور ضعیف یا حتی پیش‌فرض، «حفره‌ها» در موتورهای وب‌سایت و پایگاه‌های اطلاعاتی، و بی‌احتیاطی پیش پا افتاده تجاری در هنگام انتخاب اقدامات امنیتی و سازماندهی رویه های دسترسی به داده ها همه راه حل های تایید شده برای آسیب پذیری بررسی می شوند. ما همچنین به طور منظم پنتست های "کنترلی" و ممیزی های امنیتی را هم به طور مستقل و هم از طریق سازمان های خارجی انجام می دهیم. برای ارائه دهنده، این موضوع به شهرت و به طور کلی تجارت است.

  • ارائه‌دهنده/کارمندان ارائه‌دهنده اطلاعات شخصی را برای نفع شخصی می‌دزدند

این یک لحظه نسبتا حساس است. تعدادی از شرکت ها از دنیای امنیت اطلاعات مشتریان خود را "ترس" می کنند و اصرار دارند که "کارمندان داخلی خطرناک تر از هکرهای خارجی هستند." این ممکن است در برخی موارد درست باشد، اما یک کسب و کار نمی تواند بدون اعتماد ایجاد شود. هر از چند گاهی اخباری منتشر می شود که کارمندان خود یک سازمان اطلاعات مشتریان را به مهاجمان درز می کنند و امنیت داخلی گاهی بسیار بدتر از امنیت خارجی سازماندهی می شود. درک این نکته مهم است که هر ارائه دهنده بزرگی به موارد منفی به شدت بی علاقه است. اقدامات کارکنان ارائه دهنده به خوبی تنظیم شده است، نقش ها و زمینه های مسئولیت تقسیم شده است. ساختار کلیه فرآیندهای تجاری به گونه ای است که موارد نشت داده ها بسیار بعید است و همیشه برای سرویس های داخلی قابل توجه است، بنابراین مشتریان نباید از مشکلات این طرف بترسند.

  • شما هزینه کمی می پردازید زیرا برای خدمات با داده های کسب و کار خود هزینه پرداخت می کنید.

افسانه دیگر: مشتری که زیرساخت ایمن را با قیمت مناسب اجاره می کند، در واقع هزینه آن را با داده های خود می پردازد - این اغلب توسط کارشناسانی تصور می شود که از خواندن چند تئوری توطئه قبل از رفتن به رختخواب بدشان نمی آید. اولاً، امکان انجام هرگونه عملیات با داده های شما غیر از مواردی که در دستور مشخص شده است، اساساً صفر است. ثانیاً، یک ارائه دهنده مناسب برای رابطه با شما و شهرت او ارزش قائل است - علاوه بر شما، او مشتریان بسیار بیشتری دارد. سناریوی مخالف بیشتر محتمل است، که در آن ارائه‌دهنده مشتاقانه از داده‌های مشتریان خود محافظت می‌کند، که تجارتش بر آن استوار است.

انتخاب یک ارائه دهنده ابر برای ISPD

امروزه بازار راه حل های بسیاری را برای شرکت هایی که اپراتور PD هستند ارائه می دهد. در زیر یک لیست کلی از توصیه ها برای انتخاب مناسب آورده شده است.

  • ارائه‌دهنده باید آماده انعقاد یک توافقنامه رسمی باشد که مسئولیت‌های طرفین، SLAها و حوزه‌های مسئولیت را در کلید پردازش داده‌های شخصی شرح می‌دهد. در واقع، بین شما و ارائه دهنده، علاوه بر قرارداد خدمات، باید دستور پردازش PD نیز امضا شود. در هر صورت ارزش مطالعه دقیق آنها را دارد. درک تقسیم مسئولیت ها بین شما و ارائه دهنده مهم است.

  • لطفاً توجه داشته باشید که بخش باید الزامات را برآورده کند، به این معنی که باید گواهینامه ای داشته باشد که سطح امنیت را کمتر از سطح مورد نیاز IP شما نشان دهد. این اتفاق می‌افتد که ارائه‌دهندگان تنها صفحه اول گواهی را منتشر می‌کنند، که اطلاعات کمی از آن مشخص است، یا به ممیزی‌ها یا روش‌های انطباق بدون انتشار خود گواهی مراجعه می‌کنند ("پسری بود؟"). ارزش درخواست آن را دارد - این یک سند عمومی است که نشان می دهد چه کسی گواهینامه، دوره اعتبار، مکان ابر و غیره را انجام داده است.

  • ارائه‌دهنده باید اطلاعاتی درباره محل قرارگیری سایت‌هایش (اشیاء محافظت‌شده) ارائه دهد تا بتوانید محل قرارگیری داده‌های خود را کنترل کنید. یادآوری می کنیم که جمع آوری اولیه داده های شخصی باید در قلمرو فدراسیون روسیه انجام شود؛ بر این اساس، توصیه می شود آدرس های مرکز داده را در قرارداد / گواهی مشاهده کنید.

  • ارائه دهنده باید از سیستم های امنیت اطلاعات و حفاظت اطلاعات تایید شده استفاده کند. البته اکثر ارائه دهندگان اقدامات امنیتی فنی و معماری راه حلی که استفاده می کنند را تبلیغ نمی کنند. اما شما، به عنوان یک مشتری، نمی توانید از آن مطلع شوید. به عنوان مثال برای اتصال از راه دور به یک سیستم مدیریتی (درگاه مدیریت) باید از تدابیر امنیتی استفاده کرد. ارائه‌دهنده نمی‌تواند این الزام را دور بزند و راه‌حل‌های تایید شده را در اختیار شما قرار می‌دهد (یا از شما می‌خواهد از آن استفاده کنید). منابع را برای تست بگیرید و بلافاصله متوجه خواهید شد که چگونه و چه چیزی کار می کند. 

  • ارائه خدمات اضافی در زمینه امنیت اطلاعات برای ارائه دهنده ابر بسیار مطلوب است. اینها می توانند خدمات مختلفی باشند: محافظت در برابر حملات DDoS و WAF، سرویس ضد ویروس یا جعبه شنی و غیره. همه اینها به شما این امکان را می دهد که محافظت را به عنوان یک سرویس دریافت کنید، نه اینکه با سیستم های حفاظتی ساختمان منحرف شوید، بلکه روی برنامه های تجاری کار کنید.

  • ارائه دهنده باید دارای مجوز FSTEC و FSB باشد. به عنوان یک قاعده، چنین اطلاعاتی مستقیماً در وب سایت ارسال می شود. حتما این مدارک را درخواست کنید و بررسی کنید که آیا آدرس ارائه خدمات، نام شرکت ارائه دهنده و ... صحیح است یا خیر. 

بیایید خلاصه کنیم. زیرساخت های اجاره به شما این امکان را می دهد که CAPEX را رها کنید و فقط برنامه های تجاری و خود داده ها را در حوزه مسئولیت خود حفظ کنید و بار سنگین صدور گواهینامه سخت افزار و نرم افزار و سخت افزار را به ارائه دهنده منتقل کنید.

چگونه گواهینامه را گذراندیم

اخیراً تأیید مجدد زیرساخت "Secure Cloud FZ-152" را برای انطباق با الزامات کار با داده های شخصی با موفقیت پشت سر گذاشتیم. این کار توسط مرکز ملی صدور گواهینامه انجام شد.

در حال حاضر، "FZ-152 Secure Cloud" برای میزبانی سیستم های اطلاعاتی درگیر در پردازش، ذخیره سازی یا انتقال داده های شخصی (ISPDn) مطابق با الزامات سطح UZ-3 تایید شده است.

روند صدور گواهینامه شامل بررسی انطباق زیرساخت ارائه دهنده ابر با سطح حفاظت است. خود ارائه دهنده سرویس IaaS را ارائه می دهد و اپراتور داده های شخصی نیست. این فرآیند شامل ارزیابی اقدامات سازمانی (اسناد، دستورات و غیره) و اقدامات فنی (راه اندازی تجهیزات حفاظتی و غیره) است.

نمی توان آن را بی اهمیت خواند. با وجود این واقعیت که GOST در برنامه ها و روش های انجام فعالیت های صدور گواهینامه در سال 2013 ظاهر شد، برنامه های سختگیرانه برای اشیاء ابری هنوز وجود ندارد. مراکز صدور گواهینامه این برنامه ها را بر اساس تخصص خود توسعه می دهند. با ظهور فناوری‌های جدید، برنامه‌ها پیچیده‌تر و مدرن‌تر می‌شوند؛ بر این اساس، گواهی‌دهنده باید تجربه کار با راه‌حل‌های ابری را داشته باشد و ویژگی‌های آن را درک کند.

در مورد ما، شی محافظت شده از دو مکان تشکیل شده است.

  • منابع ابری (سرورها، سیستم های ذخیره سازی، زیرساخت شبکه، ابزارهای امنیتی و غیره) مستقیماً در مرکز داده قرار دارند. البته، چنین مرکز داده مجازی به شبکه های عمومی متصل است و بر این اساس، الزامات فایروال خاصی باید برآورده شود، به عنوان مثال استفاده از فایروال های تایید شده.

  • بخش دوم شی ابزارهای مدیریت ابری است. اینها ایستگاههای کاری (ایستگاههای کاری مدیر) هستند که بخش محافظت شده از آنها مدیریت می شود.

مکان ها از طریق یک کانال VPN ساخته شده بر روی CIPF ارتباط برقرار می کنند.

از آنجایی که فناوری‌های مجازی‌سازی پیش‌شرط‌هایی را برای ظهور تهدیدات ایجاد می‌کنند، ما از ابزارهای حفاظتی تأیید شده اضافی نیز استفاده می‌کنیم.

IaaS 152-FZ: بنابراین، شما به امنیت نیاز داریدبلوک دیاگرام "از دید ارزیاب"

اگر مشتری نیاز به گواهینامه ISPD خود داشته باشد، پس از اجاره IaaS، فقط باید سیستم اطلاعاتی را بالاتر از سطح مرکز داده مجازی ارزیابی کند. این روش شامل بررسی زیرساخت و نرم افزار استفاده شده بر روی آن است. از آنجایی که می توانید برای تمام مسائل زیرساختی به گواهی ارائه دهنده مراجعه کنید، تنها کاری که باید انجام دهید این است که با نرم افزار کار کنید.

IaaS 152-FZ: بنابراین، شما به امنیت نیاز داریدجداسازی در سطح انتزاع

در پایان، در اینجا یک چک لیست کوچک برای شرکت هایی وجود دارد که در حال حاضر با داده های شخصی کار می کنند یا فقط در حال برنامه ریزی هستند. بنابراین، چگونه آن را بدون سوختگی اداره کنیم.

  1. برای ممیزی و توسعه مدل‌های تهدیدات و مزاحمان، از یک مشاور مجرب از میان آزمایشگاه‌های صدور گواهی‌نامه دعوت کنید تا مدارک لازم را تهیه کرده و شما را به مرحله راه‌حل‌های فنی برساند.

  2. هنگام انتخاب ارائه دهنده ابر، به وجود گواهی توجه کنید. اگر شرکت آن را مستقیماً در وب سایت قرار دهد، خوب است. ارائه‌دهنده باید دارای مجوز FSTEC و FSB باشد و خدماتی که ارائه می‌کند باید گواهی باشد.

  3. اطمینان حاصل کنید که یک توافق نامه رسمی و یک دستورالعمل امضا شده برای پردازش داده های شخصی دارید. بر این اساس می توانید هم بررسی انطباق و هم گواهینامه ISPD را انجام دهید.اگر این کار در مرحله پروژه فنی و ایجاد طراحی و مستندات فنی برای شما سنگین به نظر می رسد، باید با شرکت های مشاور شخص ثالث تماس بگیرید. از میان آزمایشگاه های صدور گواهینامه

اگر مسائل مربوط به پردازش داده های شخصی به شما مربوط است، در 18 سپتامبر، همین جمعه، خوشحال خواهیم شد که شما را در وبینار ببینیم. "ویژگی های ساخت ابرهای تایید شده".

منبع: www.habr.com

اضافه کردن نظر