ProHoster > Blog > Administrasyon an > IaaS 152-FZ: Se konsa, ou bezwen sekirite

IaaS 152-FZ: Se konsa, ou bezwen sekirite

IaaS 152-FZ: Se konsa, ou bezwen sekirite

Kèlkeswa kantite lajan ou regle mit ak lejand ki antoure konfòmite ak 152-FZ, yon bagay toujou rete dèyè sèn nan. Jodi a nou vle diskite sou kèk nuans ki pa toujou evidan ke tou de gwo konpayi yo ak anpil ti antrepriz ka rankontre:

  • sibtilite klasifikasyon PD an kategori - lè yon ti magazen sou entènèt kolekte done ki gen rapò ak yon kategori espesyal san yo pa menm konnen sou li;

  • kote ou ka estoke sovgad PD kolekte epi fè operasyon sou yo;

  • ki diferans ki genyen ant yon sètifika ak yon konklizyon konfòmite, ki dokiman ou ta dwe mande nan men founisè a, ak bagay konsa.

Finalman, nou pral pataje avèk ou pwòp eksperyans nou nan pase sètifikasyon an. Ale!

Ekspè nan atik jodi a pral Alexey Afanasyev, IS espesyalis pou founisè nwaj IT-GRAD ak #CloudMTS (ki fè pati gwoup MTS).

sibtilite nan klasifikasyon

Nou souvan rankontre dezi yon kliyan pou byen vit, san yon odit IS, detèmine nivo sekirite ki nesesè pou yon ISPD. Gen kèk materyèl sou entènèt la sou sijè sa a bay fo enpresyon ke sa a se yon travay ki senp epi li trè difisil pou fè yon erè.

Pou detèmine KM, li nesesè pou konprann ki done yo pral kolekte epi trete pa IS kliyan an. Pafwa li ka difisil pou detèmine san anbigwite kondisyon pwoteksyon yo ak kategori done pèsonèl yon biznis opere. Menm kalite done pèsonèl yo ka evalye ak klase nan fason konplètman diferan. Se poutèt sa, nan kèk ka, opinyon biznis la ka diferan de opinyon oditè a oswa menm enspektè a. Ann gade kèk egzanp.

Park machin. Li ta sanble tankou yon kalite jistis tradisyonèl nan biznis. Anpil flòt machin yo te opere pou dè dekad, ak pwopriyetè yo anboche antreprenè endividyèl ak moun. Kòm yon règ, done anplwaye yo tonbe anba kondisyon ki nan UZ-4. Sepandan, pou travay ak chofè yo, li nesesè pa sèlman kolekte done pèsonèl, men tou, pote kontwòl medikal sou teritwa a nan flòt machin nan anvan ou ale nan yon chanjman, ak enfòmasyon yo kolekte nan pwosesis la imedyatman tonbe nan kategori a nan. done medikal - ak sa a se done pèsonèl nan yon kategori espesyal. Anplis de sa, flòt la ka mande sètifika, ki pral Lè sa a, kenbe nan dosye chofè a. Yon eskanè sètifika sa a nan fòm elektwonik - done sante, done pèsonèl nan yon kategori espesyal. Sa vle di ke UZ-4 pa ase ankò; omwen UZ-3 obligatwa.

Boutik sou entènèt. Li ta sanble ke non yo, imèl ak nimewo telefòn yo kolekte anfòm nan kategori piblik la. Sepandan, si kliyan ou yo endike preferans dyetetik, tankou halal oswa kosher, yo ka konsidere enfòmasyon sa yo afilyasyon relijye oswa done kwayans. Se poutèt sa, lè w tcheke oswa fè lòt aktivite kontwòl, enspektè a ka klase done ou kolekte kòm yon kategori espesyal nan done pèsonèl. Koulye a, si yon magazen sou entènèt kolekte enfòmasyon sou si achtè li prefere vyann oswa pwason, done yo ta ka klase kòm lòt done pèsonèl. By wout la, sa ki sou vejetaryen? Apre yo tout, sa a kapab tou dwe atribiye nan kwayans filozofik, ki tou fè pati yon kategori espesyal. Men, nan lòt men an, sa a ka tou senpleman atitid la nan yon moun ki te elimine vyann nan rejim li. Ay, pa gen okenn siy ki klè defini kategori PD nan sitiyasyon "sibtil" sa yo.

Ajans piblisite Sèvi ak kèk sèvis nwaj Lwès la, li trete done ki disponib piblikman sou kliyan li yo - non konplè, adrès imel ak nimewo telefòn. Done pèsonèl sa yo, nan kou, gen rapò ak done pèsonèl. Kesyon an rive: èske li legal pou fè pwosesis sa yo? Èske li menm posib pou deplase done sa yo san yo pa depèsonalizasyon deyò Federasyon Larisi la, pou egzanp, nan magazen sovgad nan kèk nwaj etranje? Natirèlman ou kapab. Ajans la gen dwa pou estoke done sa yo deyò nan Larisi, sepandan, koleksyon inisyal la, dapre lejislasyon nou an, dwe fèt sou teritwa Federasyon Larisi la. Si ou fè bak enfòmasyon sa yo, kalkile kèk estatistik ki baze sou li, fè rechèch oswa fè kèk lòt operasyon ak li - tout bagay sa yo ka fè sou resous Lwès yo. Pwen kle nan yon pwen de vi legal se kote done pèsonèl yo kolekte. Se poutèt sa li enpòtan pou pa konfonn premye koleksyon ak pwosesis.

Kòm sa yo soti nan egzanp kout sa yo, travay ak done pèsonèl se pa toujou dwat ak senp. Ou bezwen pa sèlman konnen ke w ap travay avèk yo, men tou, ou dwe kapab kòrèkteman klasifye yo, konprann ki jan IP a ap travay yo nan lòd yo detèmine kòrèkteman nivo sekirite ki nesesè yo. Nan kèk ka, kesyon an ka leve sou konbyen done pèsonèl òganizasyon an aktyèlman bezwen opere. Èske li posib pou refize done ki pi "grav" oswa tou senpleman pa nesesè? Anplis de sa, regilatè a rekòmande depèsonalize done pèsonèl kote sa posib. 

Kòm nan egzanp ki anwo yo, pafwa ou ka rankontre lefèt ke otorite enspeksyon yo entèprete done pèsonèl yo kolekte yon ti kras diferan pase ou menm ou te evalye yo.

Natirèlman, ou ka anboche yon oditè oswa yon entegratè sistèm kòm yon asistan, men èske "asistan an" ap responsab pou desizyon yo chwazi nan ka yon odit? Li se vo anyen ke responsablite toujou se ak pwopriyetè a nan ISPD a - operatè a nan done pèsonèl. Se poutèt sa, lè yon konpayi fè travay sa yo, li enpòtan pou ale nan jwè serye nan mache a pou sèvis sa yo, pou egzanp, konpayi ki fè travay sètifikasyon. Konpayi sètifikasyon yo gen anpil eksperyans nan fè travay sa yo.

Opsyon pou konstwi yon ISPD

Konstriksyon yon ISPD se pa sèlman yon pwoblèm teknik, men tou se yon pwoblèm legal. CIO oswa direktè sekirite a ta dwe toujou konsilte yon konsèy legal. Depi konpayi an pa toujou gen yon espesyalis ak pwofil ou bezwen an, li vo gade nan direksyon oditè-konsiltan. Anpil pwen glise ka pa evidan ditou.

Konsiltasyon an pral pèmèt ou detèmine ki done pèsonèl w ap fè fas ak ki nivo pwoteksyon li mande. An konsekans, ou pral jwenn yon lide sou IP a ki bezwen yo dwe kreye oswa konplete ak sekirite ak mezi sekirite operasyonèl.

Souvan chwa pou yon konpayi se ant de opsyon:

  1. Bati IS ki koresponn lan sou pwòp pyès ki nan konpitè ak solisyon lojisyèl, petèt nan chanm sèvè pwòp ou a.

  2. Kontakte yon founisè nwaj epi chwazi yon solisyon elastik, yon "chanm sèvè vityèl" ki deja sètifye.

Pifò sistèm enfòmasyon ki trete done pèsonèl yo sèvi ak yon apwòch tradisyonèl ki, nan yon pwen de vi biznis, diman ka rele fasil ak siksè. Lè w ap chwazi opsyon sa a, li nesesè yo konprann ke konsepsyon teknik la ap gen ladan yon deskripsyon ekipman an, ki gen ladan solisyon lojisyèl ak pyès ki nan konpitè ak platfòm. Sa vle di ou pral oblije fè fas ak difikilte ak limit sa yo:

  • difikilte pou dekale;

  • peryòd aplikasyon long pwojè: li nesesè pou chwazi, achte, enstale, konfigirasyon ak dekri sistèm lan;

  • yon anpil nan "papye" travay, kòm yon egzanp - devlopman nan yon pake konplè nan dokiman pou ISPD a tout antye.

Anplis de sa, yon biznis, kòm yon règ, konprann sèlman "tèt" nivo IP li yo - aplikasyon pou biznis li itilize. Nan lòt mo, anplwaye IT yo kalifye nan zòn espesifik yo. Pa gen okenn konpreyansyon sou ki jan tout "nivo ki pi ba yo" travay: lojisyèl ak pwoteksyon pyès ki nan konpitè, sistèm depo, backup ak, nan kou, ki jan yo konfigirasyon zouti pwoteksyon an konfòmite ak tout kondisyon, bati "pyès ki nan konpitè" pati nan konfigirasyon an. Li enpòtan pou w konprann: sa a se yon gwo kouch konesans ki deyò biznis kliyan an. Sa a se kote eksperyans nan yon founisè nwaj bay yon sètifye "chanm sèvè vityèl" ka vin an sou la men.

Nan vire, founisè nwaj yo gen yon kantite avantaj ki, san egzajerasyon, ka kouvri 99% nan bezwen biznis nan domèn pwoteksyon done pèsonèl:

  • depans kapital yo konvèti an depans fonksyònman;

  • Founisè a, bò kote li, garanti pwovizyon nivo sekirite ak disponiblite obligatwa ki baze sou yon solisyon estanda pwouve;

  • pa gen okenn nesesite pou kenbe yon anplwaye nan espesyalis ki pral asire operasyon an nan ISPD a nan nivo pyès ki nan konpitè;

  • founisè yo ofri solisyon pi fleksib ak elastik;

  • espesyalis founisè a gen tout sètifika ki nesesè yo;

  • konfòmite se pa pi ba pase lè bati pwòp achitekti ou, pran an kont kondisyon yo ak rekòmandasyon nan regilatè yo.

Ansyen mit ke done pèsonèl yo pa ka estoke nan nwaj la toujou trè popilè. Se sèlman an pati vre: PD reyèlman pa ka afiche nan premye ki disponib nwaj. Konfòmite ak sèten mezi teknik ak itilizasyon sèten solisyon sètifye yo obligatwa. Si founisè a respekte tout kondisyon legal yo, risk ki asosye ak flit done pèsonèl yo minimize. Anpil founisè gen yon enfrastrikti separe pou trete done pèsonèl dapre 152-FZ. Sepandan, chwa founisè a dwe tou apwoche ak konesans nan sèten kritè; nou pral sètènman manyen sou yo anba a. 

Kliyan yo souvan vin jwenn nou ak kèk enkyetid sou plasman done pèsonèl nan nwaj founisè a. Oke, ann diskite sou yo touswit.

  • Done yo ka vòlè pandan transmisyon oswa migrasyon

Pa gen okenn bezwen pè sa a - founisè a ofri kliyan an kreyasyon an nan yon kanal transmisyon done an sekirite ki bati sou solisyon sètifye, mezi otantifikasyon amelyore pou kontraktè ak anplwaye yo. Tout sa ki rete se chwazi metòd pwoteksyon apwopriye epi aplike yo kòm yon pati nan travay ou ak kliyan an.

  • Montre mask ap vini epi pran/sele/koupe kouran sèvè a

Li se byen konprann pou kliyan ki pè ke pwosesis biznis yo pral deranje akòz ensifizan kontwòl sou enfrastrikti a. Kòm yon règ, kliyan sa yo ki gen pyès ki nan konpitè te deja sitiye nan ti chanm sèvè olye ke sant done espesyalize panse sou sa. An reyalite, sant done yo ekipe ak mwayen modèn nan tou de pwoteksyon fizik ak enfòmasyon. Li prèske enposib pou fè nenpòt operasyon nan yon sant done konsa san ase rezon ak papye, ak aktivite sa yo mande pou konfòmite ak yon kantite pwosedi. Anplis de sa, "rale" sèvè ou a soti nan sant done a ka afekte lòt kliyan nan founisè a, e sa a se definitivman pa nesesè pou nenpòt moun. Anplis de sa, pèsonn pa pral kapab montre yon dwèt espesyalman sou "ou" sèvè vityèl, kidonk si yon moun vle vòlè li oswa etap yon montre mask, yo pral premye gen fè fas ak yon anpil nan reta biwokratik. Pandan tan sa a, ou pral gen plis chans gen tan emigre nan yon lòt sit plizyè fwa.

  • Hackers yo pral pirate nwaj la ak vòlè done

Entènèt la ak laprès ekri an lèt detache plen tit sou fason yon lòt nwaj te viktim sibè kriminèl yo, epi dè milyon de dosye done pèsonèl yo te koule sou entènèt. Nan vas majorite ka yo, vilnerabilite yo te jwenn pa sou bò founisè a ditou, men nan sistèm enfòmasyon viktim yo: modpas fèb oswa menm default, "twou" nan motè sit entènèt ak baz done, ak neglijans biznis ordinèr lè w ap chwazi mezi sekirite ak òganize pwosedi aksè done yo. Tout solisyon sètifye yo tcheke pou frajilite yo. Nou menm tou nou fè regilyèman "kontwòl" pentests ak odit sekirite, tou de poukont yo ak atravè òganizasyon ekstèn. Pou founisè a, sa a se yon kesyon de repitasyon ak biznis an jeneral.

  • Founisè a/anplwaye founisè a pral vòlè done pèsonèl pou benefis pèsonèl

Sa a se yon moman olye sansib. Yon kantite konpayi ki soti nan mond sekirite enfòmasyon an "fè pè" kliyan yo epi ensiste ke "anplwaye entèn yo pi danjere pase entru deyò." Sa a ka vre nan kèk ka, men yon biznis pa ka bati san konfyans. De tan zan tan, nouvèl yo fè konnen pwòp anplwaye yon òganizasyon koule done kliyan bay atakè yo, epi sekirite entèn yo pafwa òganize pi mal pase sekirite ekstèn. Li enpòtan pou w konprann isit la ke nenpòt founisè gwo pa enterese anpil nan ka negatif. Aksyon anplwaye founisè yo byen reglemante, wòl ak zòn responsablite yo divize. Tout pwosesis biznis yo estriktire nan yon fason ke ka nan flit done yo trè fasil epi yo toujou aparan nan sèvis entèn yo, kidonk kliyan pa ta dwe pè pwoblèm ki soti nan bò sa a.

  • Ou peye ti kras paske ou peye pou sèvis ak done biznis ou.

Yon lòt mit: yon kliyan ki lwe enfrastrikti an sekirite a yon pri konfòtab aktyèlman peye pou li ak done li yo - sa a souvan panse pa ekspè ki pa lide li yon koup nan teyori konplo anvan yo ale nan kabann. Premyèman, posibilite pou fè nenpòt operasyon ak done ou yo ki pa sa ki espesifye nan lòd la se esansyèlman zewo. Dezyèmman, yon founisè adekwat valè relasyon ak ou ak repitasyon li - san konte ou, li gen anpil plis kliyan. Senaryo opoze a gen plis chans, kote founisè a pral pwoteje done kliyan li yo, sou ki biznis li yo.

Chwazi yon founisè nwaj pou ISPD

Jodi a, mache a ofri anpil solisyon pou konpayi ki se operatè PD. Anba a se yon lis jeneral rekòmandasyon pou chwazi youn nan bon.

  • Founisè a dwe pare pou antre nan yon akò fòmèl ki dekri responsablite pati yo, SLA yo ak domèn responsablite nan kle nan trete done pèsonèl yo. An reyalite, ant oumenm ak founisè a, anplis akò sèvis la, yo dwe siyen yon lòd pou tretman PD. Nan nenpòt ka, li vo etidye yo ak anpil atansyon. Li enpòtan pou w konprann divizyon responsablite ant ou menm ak founisè a.

  • Tanpri sonje ke segman an dwe satisfè kondisyon yo, ki vle di li dwe gen yon sètifika ki endike yon nivo sekirite pa pi ba pase sa IP ou mande. Sa rive ke founisè yo pibliye sèlman premye paj sètifika a, ki soti nan ki ti kras klè, oswa al gade nan odit oswa pwosedi konfòmite san yo pa pibliye sètifika a tèt li ("te gen yon ti gason?"). Li vo mande pou li - sa a se yon dokiman piblik ki endike ki moun ki te pote sètifikasyon an, peryòd validite, kote nwaj la, elatriye.

  • Founisè a dwe bay enfòmasyon sou kote sit li yo (objè pwoteje) yo ye pou ou ka kontwole plasman done ou yo. Ann raple ou ke premye koleksyon done pèsonèl yo dwe fèt sou teritwa Federasyon Larisi la; an konsekans, li rekòmande pou wè adrès sant done yo nan kontra/sètifika a.

  • Founisè a dwe itilize sekirite enfòmasyon sètifye ak sistèm pwoteksyon enfòmasyon. Natirèlman, pifò founisè yo pa fè piblisite mezi sekirite teknik ak achitekti solisyon yo itilize. Men, ou menm, kòm yon kliyan, pa ka ede men konnen sou li. Pou egzanp, konekte adistans nan yon sistèm jesyon (portal jesyon), li nesesè yo sèvi ak mezi sekirite. Founisè a p ap kapab kontoune egzijans sa a epi l ap ba w (oswa mande w pou w itilize) solisyon sètifye. Pran resous yo pou yon tès epi ou pral imedyatman konprann ki jan ak sa ki travay. 

  • Li trè dezirab pou founisè nwaj la bay sèvis adisyonèl nan domèn sekirite enfòmasyon. Sa yo ka divès kalite sèvis: pwoteksyon kont atak DDoS ak WAF, sèvis anti-viris oswa sandbox, elatriye. Tout bagay sa yo pral pèmèt ou resevwa pwoteksyon kòm yon sèvis, pa dwe distrè pa bati sistèm pwoteksyon, men yo travay sou aplikasyon pou biznis.

  • Founisè a dwe gen yon lisans FSTEC ak FSB. Kòm yon règ, enfòmasyon sa yo afiche dirèkteman sou sit entènèt la. Asire w ou mande dokiman sa yo epi tcheke si adrès pou bay sèvis yo, non konpayi founisè a, elatriye. 

Ann rezime. Lwe enfrastrikti pral pèmèt ou abandone CAPEX epi kenbe sèlman aplikasyon biznis ou yo ak done yo tèt li nan zòn responsablite ou a, epi transfere gwo fado sètifikasyon pyès ki nan konpitè ak lojisyèl ak pyès ki nan konpitè bay founisè a.

Ki jan nou te pase sètifikasyon an

Pi resamman, nou te pase avèk siksè resètifikasyon nan enfrastrikti nan "Secure Cloud FZ-152" pou konfòmite ak kondisyon yo pou travay ak done pèsonèl. Travay la te fèt pa Sant Sètifikasyon Nasyonal la.

Kounye a, "FZ-152 Secure Cloud" sètifye pou hosting sistèm enfòmasyon ki enplike nan pwosesis, depo oswa transmisyon done pèsonèl (ISPDn) an akò ak kondisyon ki nan nivo UZ-3.

Pwosedi sètifikasyon an enplike nan tcheke konfòmite enfrastrikti founisè nwaj la ak nivo pwoteksyon an. Founisè a li menm bay sèvis IaaS la epi li pa yon operatè done pèsonèl. Pwosesis la enplike nan evalyasyon tou de òganizasyon (dokimantasyon, lòd, elatriye) ak mezi teknik (mete ekipman pwoteksyon, elatriye).

Li pa ka rele trivial. Malgre lefèt ke GOST sou pwogram ak metòd pou fè aktivite sètifikasyon te parèt tounen nan 2013, pwogram strik pou objè nwaj toujou pa egziste. Sant sètifikasyon devlope pwogram sa yo ki baze sou pwòp ekspètiz yo. Avèk aparisyon nouvo teknoloji, pwogram yo vin pi konplèks ak modènize; kòmsadwa, sètifikatè a dwe gen eksperyans travay ak solisyon nwaj yo epi konprann spesifik yo.

Nan ka nou an, objè a pwoteje konsiste de de kote.

  • Resous Cloud (sèvè, sistèm depo, enfrastrikti rezo, zouti sekirite, elatriye) yo sitiye dirèkteman nan sant done a. Natirèlman, tankou yon sant done vityèl konekte ak rezo piblik, ak kòmsadwa, sèten kondisyon firewall yo dwe satisfè, pou egzanp, itilize nan firewall sètifye.

  • Dezyèm pati a nan objè a se zouti jesyon nwaj. Sa yo se estasyon travay (estasyon administratè yo) kote yo jere segman ki pwoteje a.

Kote yo kominike atravè yon chanèl VPN ki bati sou CIPF.

Piske teknoloji virtualizasyon yo kreye kondisyon pou menas aparisyon yo, nou menm tou nou itilize lòt zouti pwoteksyon sètifye.

IaaS 152-FZ: Se konsa, ou bezwen sekiriteDyagram blòk "nan je evalyatè a"

Si kliyan an mande pou sètifikasyon ISPD li, apre li fin lwe IaaS, li pral sèlman gen pou evalye sistèm enfòmasyon an pi wo pase nivo sant done vityèl la. Pwosedi sa a enplike nan tcheke enfrastrikti ak lojisyèl yo itilize sou li. Depi ou ka refere a sètifika founisè a pou tout pwoblèm enfrastrikti, tout sa ou dwe fè se travay ak lojisyèl an.

IaaS 152-FZ: Se konsa, ou bezwen sekiriteSeparasyon nan nivo abstraksyon

An konklizyon, isit la se yon ti lis verifikasyon pou konpayi ki deja ap travay ak done pèsonèl oswa ki jis planifye. Se konsa, ki jan yo okipe li san yo pa boule.

  1. Pou odit ak devlope modèl menas ak entrigan, envite yon konsiltan ki gen eksperyans nan mitan laboratwa sètifikasyon yo ki pral ede devlope dokiman ki nesesè yo epi mennen ou nan etap la nan solisyon teknik.

  2. Lè w ap chwazi yon founisè nwaj, peye atansyon sou prezans yon sètifika. Li ta bon si konpayi an piblikman afiche li dirèkteman sou sit entènèt la. Founisè a dwe gen lisans FSTEC ak FSB, epi sèvis li ofri a dwe sètifye.

  3. Asire w ke ou gen yon akò fòmèl ak yon enstriksyon siyen pou trete done pèsonèl. Ki baze sou sa a, ou pral kapab fè tou de yon chèk konfòmite ak sètifikasyon ISPD.Si travay sa a nan etap nan pwojè teknik la ak kreyasyon an konsepsyon ak dokiman teknik sanble lou pou ou, ou ta dwe kontakte konpayi konsiltasyon twazyèm pati. nan mitan laboratwa sètifikasyon yo.

Si pwoblèm yo nan tretman done pèsonèl yo enpòtan pou ou, 18 septanm, Vandredi sa a, nou pral kontan wè ou nan webinar la. "Karakteristik nan bati nyaj sètifye".

Sous: www.habr.com

Add nouvo kòmantè