Yon jou nou te resevwa yon demann pou sèvis nwaj yo. Nou te dekri an tèm jeneral sa ki ta dwe mande nou epi voye tounen yon lis kesyon yo klarifye detay yo. Lè sa a, nou analize repons yo ak reyalize: kliyan an vle mete done pèsonèl nan dezyèm nivo sekirite nan nwaj la. Nou reponn li: "Ou gen yon dezyèm nivo done pèsonèl, padon, nou ka sèlman kreye yon nwaj prive." Epi li: "Ou konnen, men nan konpayi X yo ka poste tout bagay pou mwen an piblik."
Foto pa Steve Crisp, jounal Reuters
Bagay dwòl! Nou te ale nan sit entènèt la nan konpayi X, etidye dokiman sètifikasyon yo, souke tèt nou ak reyalize: gen yon anpil nan kesyon ouvè nan plasman an nan done pèsonèl epi yo ta dwe byen adrese. Se sa nou pral fè nan pòs sa a.
Ki jan tout bagay ta dwe travay
Premyèman, se pou nou konnen ki kritè yo itilize pou klase done pèsonèl kòm youn oswa yon lòt nivo sekirite. Sa a depann de kategori done yo, kantite sijè done sa yo ke operatè a estoke ak trete, ansanm ak kalite menas aktyèl yo.
Kalite menas aktyèl yo defini nan ki gen dat 1ye novanm 2012 "Sou apwobasyon kondisyon pou pwoteksyon done pèsonèl yo pandan pwosesis yo nan sistèm enfòmasyon done pèsonèl":
"Menas Kalite 1 yo enpòtan pou yon sistèm enfòmasyon si li gen ladan l menas aktyèl ki gen rapò ak ak prezans kapasite san papye (ki pa deklare). nan lojisyèl sistèmitilize nan sistèm enfòmasyon an.
Menas nan 2yèm kalite a enpòtan pou yon sistèm enfòmasyon si pou li, ki gen ladan menas aktyèl ki gen rapò ak ak prezans kapasite san papye (ki pa deklare). nan lojisyèl aplikasyon anitilize nan sistèm enfòmasyon an.
Menas 3yèm kalite a enpòtan pou yon sistèm enfòmasyon si pou li menas ki pa gen rapò ak prezans kapasite san papye (ki pa deklare). nan sistèm ak lojisyèl aplikasyonitilize nan sistèm enfòmasyon an."
Bagay pwensipal lan nan definisyon sa yo se prezans kapasite san papye (ki pa deklare). Pou konfime absans la nan kapasite lojisyèl san papye (nan ka a nan nwaj la, sa a se yon hypervisor), sètifikasyon te pote soti nan FSTEC nan Larisi. Si operatè a PD aksepte ke pa gen okenn kapasite sa yo nan lojisyèl an, Lè sa a, menas korespondan yo pa enpòtan. Menas kalite 1 ak 2 yo trè raman konsidere kòm enpòtan pa operatè PD.
Anplis de detèmine nivo sekirite PD a, operatè a dwe detèmine tou menas espesifik aktyèl yo pou nwaj piblik la epi, dapre nivo sekirite PD yo idantifye ak menas aktyèl yo, detèmine mezi ki nesesè yo ak mwayen pwoteksyon kont yo.
FSTEC bay lis klèman tout menas prensipal yo nan (baz done menas). Founisè enfrastrikti nwaj yo ak evalyatè yo itilize baz done sa a nan travay yo. Men kèk egzanp menas:
: "Menas la se posiblite pou vyole sekirite done itilizatè pwogram kap opere andedan yon machin vityèl pa lojisyèl move k ap opere deyò machin vityèl la." Menas sa a se akòz prezans frajilite nan lojisyèl ipèvizè a, ki asire espas adrès yo itilize pou estoke done itilizatè pou pwogram k ap opere andedan machin vityèl la izole ak aksè san otorizasyon pa lojisyèl move k ap opere deyò machin vityèl la.
Aplikasyon an nan menas sa a se posib si kòd pwogram move a avèk siksè simonte limit yo nan machin vityèl la, pa sèlman nan eksplwate frajilite yo nan ipèvizè a, men tou pa pote soti nan yon enpak konsa soti nan nivo ki pi ba (parapò ak ipèrvizè a). sistèm fonksyone."
: "Menas la chita nan posibilite aksè san otorizasyon nan enfòmasyon ki pwoteje yon konsomatè sèvis nwaj soti nan yon lòt. Menas sa a se akòz lefèt ke, akòz nati teknoloji nwaj yo, konsomatè sèvis nwaj yo dwe pataje menm enfrastrikti nwaj la. Menas sa a ka reyalize si yo fè erè lè yo separe eleman enfrastrikti nwaj yo ant konsomatè sèvis nwaj yo, osi byen ke lè yo izole resous yo epi separe done youn ak lòt.”
Ou ka sèlman pwoteje kont menas sa yo avèk èd nan yon hypervisor, paske li se youn nan ki jere resous vityèl. Kidonk, hypervisor a dwe konsidere kòm yon mwayen pou pwoteksyon.
Ak an akò ak ki gen dat 18 fevriye 2013, ipèvizè a dwe sètifye kòm non-NDV nan nivo 4, otreman itilizasyon done pèsonèl nivo 1 ak 2 ak li pral ilegal (“Klaz 12. ... Pou asire nivo 1 ak 2 sekirite done pèsonèl yo, osi byen ke pou asire nivo 3 sekirite done pèsonèl nan sistèm enfòmasyon pou ki menas tip 2 yo klase kòm aktyèl, yo itilize zouti sekirite enfòmasyon, lojisyèl yo te itilize yo. teste omwen dapre 4 nivo kontwòl sou absans kapasite ki pa deklare").
Se sèlman yon sèl hypervisor, devlope nan Larisi, ki gen nivo ki nesesè nan sètifikasyon, NDV-4. . Pou mete li léjèrman, pa solisyon ki pi popilè. Nwaj komèsyal yo, kòm yon règ, yo bati sou baz VMware vSphere, KVM, Microsoft Hyper-V. Okenn nan pwodwi sa yo sètifye NDV-4. Poukisa? Li posib ke jwenn sètifikasyon sa yo pou manifaktirè yo poko jistifye ekonomikman.
Ak tout sa ki rete pou nou pou nivo 1 ak 2 done pèsonèl nan nwaj piblik la se Horizon BC. Tris men se verite.
Ki jan tout bagay (nan opinyon nou an) reyèlman ap travay
Nan premye gade, tout bagay se byen strik: menas sa yo dwe elimine pa kòrèkteman konfigirasyon mekanis pwoteksyon estanda nan yon hypervisor sètifye dapre NDV-4. Men, gen yon sèl brèch. An akò ak FSTEC Lòd No 21 ("Klaz 2 Sekirite done pèsonèl yo lè yo trete nan sistèm enfòmasyon done pèsonèl yo (ki refere yo kòm sistèm enfòmasyon an) pa operatè a oswa moun k ap trete done pèsonèl yo sou non operatè a an akò ak Federasyon ris"), founisè yo evalye endepandamman enpòtans menas posib epi chwazi mezi pwoteksyon kòmsadwa. Se poutèt sa, si ou pa aksepte menas yo UBI.44 ak UBI.101 kòm aktyèl, Lè sa a, pa pral gen okenn bezwen sèvi ak yon hypervisor sètifye dapre NDV-4, ki se jisteman sa ki ta dwe bay pwoteksyon kont yo. Lè sa a pral ase yo jwenn yon sètifika konfòmite nan nwaj piblik la ak nivo 1 ak 2 nan sekirite done pèsonèl, ki Roskomnadzor pral konplètman satisfè ak.
Natirèlman, anplis Roskomnadzor, FSTEC ka vini ak yon enspeksyon - ak òganizasyon sa a se pi plis metikuleu nan zafè teknik. Li pral pwobableman enterese nan poukisa egzakteman menas yo UBI.44 ak UBI.101 yo te konsidere kòm petinan? Men, anjeneral FSTEC antreprann yon enspeksyon sèlman lè li resevwa enfòmasyon sou kèk ensidan enpòtan. Nan ka sa a, sèvis federal la premye vini nan operatè a done pèsonèl - se sa ki, kliyan an nan sèvis nwaj yo. Nan ka ki pi mal la, operatè a resevwa yon ti amann - pou egzanp, pou Twitter nan kòmansman ane a nan yon ka menm jan an montan a 5000 rubles. Lè sa a, FSTEC ale pi lwen bay founisè sèvis nwaj la. Ki ka byen prive de yon lisans akòz echèk yo konfòme yo ak kondisyon regilasyon - ak sa yo se risk konplètman diferan, tou de pou founisè a nwaj ak pou kliyan li yo. Men, mwen repete, Pou tcheke FSTEC, anjeneral ou bezwen yon rezon klè. Se konsa, founisè nwaj yo vle pran risk. Jiska premye ensidan grav la.
Genyen tou yon gwoup founisè "pi responsab" ki kwè ke li posib pou fèmen tout menas lè yo ajoute yon adisyon tankou vGate nan hypervisor la. Men, nan yon anviwònman vityèl distribye nan mitan kliyan pou kèk menas (pa egzanp, pi wo a UBI.101), yon mekanis pwoteksyon efikas kapab sèlman aplike nan nivo a nan yon hypervisor sètifye dapre NDV-4, depi nenpòt sistèm ajoute sou fonksyon yo estanda nan hypervisor la pou jere resous (an patikilye , RAM) pa afekte.
Ki jan nou travay
Nou gen yon segman nwaj aplike sou yon hypervisor sètifye pa FSTEC (men san sètifikasyon pou NDV-4). Segman sa a sètifye, kidonk done pèsonèl yo ka estoke nan nwaj la ki baze sou li 3 ak 4 nivo sekirite — kondisyon pou pwoteksyon kont kapasite ki pa deklare pa bezwen obsève isit la. Men, bò wout la, se achitekti segman nwaj sekirite nou an:
Sistèm pou done pèsonèl 1 ak 2 nivo sekirite Nou aplike sèlman sou ekipman devwe. Se sèlman nan ka sa a, pou egzanp, menas la nan UBI.101 se reyèlman pa enpòtan, depi etajè sèvè ki pa ini pa yon sèl anviwònman vityèl pa ka enfliyanse youn ak lòt menm lè yo sitiye nan menm sant done. Pou ka sa yo, nou ofri yon sèvis lokasyon ekipman devwe (li rele tou Materyèl kòm yon sèvis).
Si ou pa sèten ki nivo sekirite ki nesesè pou sistèm done pèsonèl ou, nou ede tou nan klasifye li.
Sòti
Ti rechèch sou mache nou an te montre ke kèk operatè nwaj yo byen dispoze riske tou de sekirite done kliyan yo ak pwòp avni yo pou yo resevwa yon lòd. Men, nan zafè sa yo nou respekte yon politik diferan, ke nou te dekri yon ti tan jis pi wo a. Nou pral kontan reponn kesyon ou yo nan kòmantè yo.
Sous: www.habr.com