ProHoster > Օրագիր > Վարչակազմը > IaaS 152-FZ: Այսպիսով, ձեզ անվտանգություն է անհրաժեշտ

IaaS 152-FZ: Այսպիսով, ձեզ անվտանգություն է անհրաժեշտ

IaaS 152-FZ: Այսպիսով, ձեզ անվտանգություն է անհրաժեշտ

Անկախ նրանից, թե որքանով եք դասավորում առասպելներն ու լեգենդները, որոնք շրջապատում են 152-FZ-ի համապատասխանությունը, ինչ-որ բան միշտ մնում է կուլիսներում: Այսօր մենք ցանկանում ենք քննարկել մի քանի ոչ միշտ ակնհայտ նրբերանգներ, որոնց կարող են հանդիպել ինչպես խոշոր ընկերությունները, այնպես էլ շատ փոքր ձեռնարկությունները.

  • PD դասակարգման նրբությունները կատեգորիաների մեջ - երբ փոքր առցանց խանութը հավաքում է հատուկ կատեգորիայի հետ կապված տվյալներ, առանց նույնիսկ դրա մասին իմանալու.

  • որտեղ կարող եք պահել հավաքագրված PD-ի կրկնօրինակները և դրանց վրա գործողություններ կատարել.

  • որն է տարբերությունը վկայագրի և համապատասխանության եզրակացության միջև, ինչ փաստաթղթեր պետք է պահանջեք մատակարարից և նման բաներ:

Վերջապես, մենք ձեզ հետ կկիսվենք սերտիֆիկացումն անցնելու մեր սեփական փորձով: Գնա՛

Այսօրվա հոդվածում փորձագետը կլինի Ալեքսեյ Աֆանասև, IS մասնագետ ամպային պրովայդերների համար IT-GRAD և #CloudMTS (ՄՏՍ խմբի մաս):

Դասակարգման նրբությունները

Մենք հաճախ հանդիպում ենք հաճախորդի ցանկությանը՝ արագ, առանց IS աուդիտի, որոշելու ISPD-ի համար անհրաժեշտ անվտանգության մակարդակը: Ինտերնետում այս թեմայի վերաբերյալ որոշ նյութեր թյուր տպավորություն են թողնում, որ սա պարզ խնդիր է, և բավականին դժվար է սխալվել:

KM-ն որոշելու համար անհրաժեշտ է հասկանալ, թե ինչ տվյալներ են հավաքվելու և մշակվելու հաճախորդի IS-ի կողմից: Երբեմն դժվար է միանշանակորեն որոշել պաշտպանության պահանջները և անձնական տվյալների կատեգորիան, որով գործում է բիզնեսը: Անձնական տվյալների նույն տեսակները կարող են գնահատվել և դասակարգվել բոլորովին այլ ձևերով: Հետևաբար, որոշ դեպքերում բիզնեսի կարծիքը կարող է տարբերվել աուդիտորի կամ նույնիսկ տեսուչի կարծիքից: Դիտարկենք մի քանի օրինակ։

Ավտոկայան. Դա բավականին ավանդական բիզնեսի տեսակ է թվում: Շատ ավտոպարկեր գործում են տասնամյակներ շարունակ, և դրանց սեփականատերերը վարձում են անհատ ձեռնարկատերերի և անհատների: Որպես կանոն, աշխատողների տվյալները համապատասխանում են UZ-4-ի պահանջներին: Այնուամենայնիվ, վարորդների հետ աշխատելու համար անհրաժեշտ է ոչ միայն անձնական տվյալներ հավաքել, այլև հերթափոխի գնալուց առաջ բժշկական հսկողություն իրականացնել ավտոպարկի տարածքում, և գործընթացում հավաքագրված տեղեկատվությունը անմիջապես ընկնում է կատեգորիայի մեջ: բժշկական տվյալներ - և սա հատուկ կատեգորիայի անձնական տվյալներ են: Բացի այդ, նավատորմը կարող է պահանջել վկայականներ, որոնք այնուհետև կպահվեն վարորդի ֆայլում: Նման վկայագրի սկանավորումը էլեկտրոնային ձևով` առողջության տվյալներ, հատուկ կատեգորիայի անձնական տվյալներ: Սա նշանակում է, որ UZ-4-ն այլևս բավարար չէ, առնվազն UZ-3 է պահանջվում:

Ինտերնետ-խանութ: Թվում է, թե հավաքված անունները, էլ. նամակները և հեռախոսահամարները տեղավորվում են հանրային կատեգորիայի մեջ: Այնուամենայնիվ, եթե ձեր հաճախորդները նշում են սննդային նախասիրություններ, ինչպիսիք են հալալը կամ կոշերը, նման տեղեկատվությունը կարող է համարվել կրոնական պատկանելության կամ հավատքի տվյալներ: Հետևաբար, ստուգման կամ այլ վերահսկողական գործողություններ իրականացնելիս տեսուչը կարող է ձեր հավաքած տվյալները դասակարգել որպես անձնական տվյալների հատուկ կատեգորիա: Այժմ, եթե առցանց խանութը տեղեկատվություն հավաքեր այն մասին, թե արդյոք իր գնորդը նախընտրում է միս կամ ձուկ, այդ տվյալները կարող են դասակարգվել որպես այլ անձնական տվյալներ: Ի դեպ, իսկ բուսակերները: Չէ՞ որ սա կարելի է վերագրել նաև փիլիսոփայական համոզմունքներին, որոնք նույնպես պատկանում են հատուկ կատեգորիայի։ Բայց մյուս կողմից, դա կարող է պարզապես լինել այն մարդու վերաբերմունքը, ով իր սննդակարգից հանել է միսը։ Ավաղ, չկա որևէ նշան, որը միանշանակորեն սահմանում է PD-ի կատեգորիան նման «նուրբ» իրավիճակներում:

Գովազդային ԳՈՐԾԱԿԱԼՈՒԹՅՈՒՆ Օգտագործելով որոշ արևմտյան ամպային ծառայություն՝ այն մշակում է իր հաճախորդների հրապարակայնորեն հասանելի տվյալները՝ լրիվ անունները, էլ.փոստի հասցեները և հեռախոսահամարները: Այս անձնական տվյալները, իհարկե, վերաբերում են անձնական տվյալներին։ Հարց է առաջանում՝ օրինական է արդյոք նման մշակում իրականացնելը։ Հնարավո՞ր է նույնիսկ նման տվյալներ տեղափոխել առանց անձնավորվածության Ռուսաստանի Դաշնությունից դուրս, օրինակ՝ որոշ արտասահմանյան ամպերում պահուստային պատճեններ պահելու համար: Իհարկե, դուք կարող եք. Գործակալությունն իրավունք ունի այս տվյալները պահել Ռուսաստանից դուրս, սակայն նախնական հավաքագրումը, մեր օրենսդրության համաձայն, պետք է իրականացվի Ռուսաստանի Դաշնության տարածքում: Եթե ​​դուք կրկնօրինակում եք նման տեղեկատվությունը, դրա հիման վրա հաշվարկում եք որոշ վիճակագրություն, հետազոտություններ եք կատարում կամ դրա հետ այլ գործողություններ եք կատարում, այս ամենը կարելի է անել արևմտյան ռեսուրսների վրա: Իրավական տեսանկյունից առանցքային կետն այն է, թե որտեղ են հավաքվում անձնական տվյալները: Ուստի կարևոր է չշփոթել նախնական հավաքագրումն ու մշակումը:

Ինչպես հետևում է այս կարճ օրինակներից, անձնական տվյալների հետ աշխատելը միշտ չէ, որ պարզ և պարզ է: Դուք պետք է ոչ միայն իմանաք, որ աշխատում եք նրանց հետ, այլև կարողանաք ճիշտ դասակարգել դրանք, հասկանալ, թե ինչպես է աշխատում IP-ն, որպեսզի ճիշտ որոշեք անվտանգության պահանջվող մակարդակը: Որոշ դեպքերում կարող է հարց առաջանալ, թե իրականում որքան անձնական տվյալներ են անհրաժեշտ կազմակերպությանը գործելու համար: Հնարավո՞ր է հրաժարվել ամենալուրջ կամ պարզապես անհարկի տվյալներից։ Բացի այդ, կարգավորիչը խորհուրդ է տալիս հնարավորության դեպքում ապաանձնավորել անձնական տվյալները: 

Ինչպես վերը նշված օրինակներում, երբեմն դուք կարող եք հանդիպել այն փաստի, որ տեսչական մարմինները հավաքագրված անձնական տվյալները մեկնաբանում են մի փոքր այլ կերպ, քան դուք ինքներդ եք գնահատել դրանք:

Իհարկե, դուք կարող եք վարձել աուդիտոր կամ համակարգային ինտեգրատոր որպես օգնական, բայց արդյոք «օգնականը» պատասխանատվություն է կրելու աուդիտի դեպքում ընտրված որոշումների համար: Հարկ է նշել, որ պատասխանատվությունը միշտ կրում է ISPD-ի սեփականատերը՝ անձնական տվյալների օպերատորը: Այդ իսկ պատճառով, երբ ընկերությունն իրականացնում է նման աշխատանք, կարևոր է նման ծառայությունների համար դիմել շուկայում լուրջ խաղացողների, օրինակ՝ սերտիֆիկացման աշխատանքներ իրականացնող ընկերություններին։ Հավաստագրող ընկերությունները նման աշխատանքներ իրականացնելու մեծ փորձ ունեն:

ISPD կառուցելու տարբերակներ

ISPD-ի կառուցումը ոչ միայն տեխնիկական, այլև մեծապես իրավական խնդիր է: CIO-ն կամ անվտանգության տնօրենը միշտ պետք է խորհրդակցեն իրավաբանի հետ: Քանի որ ընկերությունը միշտ չէ, որ ունի ձեզ անհրաժեշտ պրոֆիլով մասնագետ, արժե փնտրել աուդիտոր-խորհրդատուներ: Շատ սայթաքուն կետեր կարող են ընդհանրապես ակնհայտ չլինել:

Խորհրդակցությունը թույլ կտա որոշել, թե ինչ անձնական տվյալների հետ գործ ունեք և ինչ մակարդակի պաշտպանություն է դա պահանջում: Համապատասխանաբար, դուք պատկերացում կստանաք IP-ի մասին, որը պետք է ստեղծվի կամ լրացվի անվտանգության և գործառնական անվտանգության միջոցներով:

Հաճախ ընկերության ընտրությունը կատարվում է երկու տարբերակի միջև.

  1. Կառուցեք համապատասխան IS ձեր սեփական ապարատային և ծրագրային լուծումների վրա, հնարավոր է, ձեր սեփական սերվերի սենյակում:

  2. Կապվեք ամպային մատակարարի հետ և ընտրեք առաձգական լուծում՝ արդեն հավաստագրված «վիրտուալ սերվերի սենյակ»:

Անձնական տվյալներ մշակող տեղեկատվական համակարգերի մեծ մասը օգտագործում է ավանդական մոտեցում, որը բիզնեսի տեսանկյունից դժվար թե կարելի է անվանել հեշտ և հաջողակ։ Այս տարբերակը ընտրելիս անհրաժեշտ է հասկանալ, որ տեխնիկական դիզայնը կներառի սարքավորումների նկարագրությունը՝ ներառյալ ծրագրային և ապարատային լուծումներն ու հարթակները: Սա նշանակում է, որ դուք ստիպված կլինեք դիմակայել հետևյալ դժվարություններին և սահմանափակումներին.

  • մասշտաբի դժվարություն;

  • ծրագրի իրականացման երկար ժամանակահատված. անհրաժեշտ է ընտրել, գնել, տեղադրել, կարգավորել և նկարագրել համակարգը.

  • շատ «թղթային» աշխատանք, որպես օրինակ՝ ամբողջ ISPD-ի համար փաստաթղթերի ամբողջական փաթեթի մշակում:

Բացի այդ, բիզնեսը, որպես կանոն, հասկանում է իր IP-ի միայն «վերին» մակարդակը՝ իր կողմից օգտագործվող բիզնես հավելվածները: Այլ կերպ ասած, ՏՏ անձնակազմը հմուտ է իր կոնկրետ ոլորտում: Չկա հասկացողություն, թե ինչպես են աշխատում բոլոր «ցածր մակարդակները»՝ ծրագրային ապահովման և ապարատային պաշտպանություն, պահեստավորման համակարգեր, կրկնօրինակում և, իհարկե, ինչպես կարգավորել պաշտպանության գործիքները բոլոր պահանջներին համապատասխան, կառուցել կոնֆիգուրացիայի «ապարատային» մասը: Կարևոր է հասկանալ. սա գիտելիքների հսկայական շերտ է, որը գտնվում է հաճախորդի բիզնեսից դուրս: Այստեղ կարող է օգտակար լինել ամպային մատակարարի փորձը, որն ապահովում է վավերացված «վիրտուալ սերվերի սենյակ»:

Իր հերթին, ամպային մատակարարներն ունեն մի շարք առավելություններ, որոնք, առանց չափազանցության, կարող են ծածկել անձնական տվյալների պաշտպանության ոլորտում բիզնեսի կարիքների 99%-ը.

  • կապիտալ ծախսերը վերածվում են գործառնական ծախսերի.

  • մատակարարն իր հերթին երաշխավորում է անվտանգության և մատչելիության անհրաժեշտ մակարդակի ապահովում՝ հիմնված ապացուցված ստանդարտ լուծման վրա.

  • կարիք չկա պահպանել մասնագետների անձնակազմ, որոնք կապահովեն ISPD-ի աշխատանքը ապարատային մակարդակով.

  • մատակարարներն առաջարկում են շատ ավելի ճկուն և առաձգական լուծումներ.

  • մատակարարի մասնագետներն ունեն բոլոր անհրաժեշտ վկայականները.

  • համապատասխանությունը ցածր չէ, քան սեփական ճարտարապետությունը կառուցելիս՝ հաշվի առնելով կարգավորիչների պահանջներն ու առաջարկությունները:

Հին առասպելն այն մասին, որ անձնական տվյալները չեն կարող պահվել ամպում, դեռևս չափազանց տարածված է: Դա միայն մասամբ է ճիշտ. PD-ն իսկապես չի կարող տեղադրվել հասանելի առաջինում ամպ. Պահանջվում է որոշակի տեխնիկական միջոցների պահպանում և որոշակի հավաստագրված լուծումների օգտագործում: Եթե ​​մատակարարը կատարում է բոլոր իրավական պահանջները, ապա անձնական տվյալների արտահոսքի հետ կապված ռիսկերը նվազագույնի են հասցվում: Շատ պրովայդերներ ունեն 152-FZ-ի համաձայն անձնական տվյալների մշակման առանձին ենթակառուցվածք: Այնուամենայնիվ, մատակարարի ընտրությանը նույնպես պետք է մոտենալ որոշակի չափանիշների իմացությամբ, որոնց մենք անպայման կանդրադառնանք ստորև: 

Հաճախորդները հաճախ գալիս են մեզ՝ մտահոգություններ ունենալով մատակարարի ամպում անձնական տվյալների տեղադրման վերաբերյալ: Դե, եկեք դրանք անմիջապես քննարկենք:

  • Տվյալները կարող են գողացվել փոխանցման կամ միգրացիայի ժամանակ

Սրանից վախենալու կարիք չկա. մատակարարը հաճախորդին առաջարկում է տվյալների փոխանցման անվտանգ ալիքի ստեղծում՝ հիմնված հավաստագրված լուծումների վրա, կապալառուների և աշխատակիցների վավերացման ուժեղացված միջոցները: Մնում է միայն ընտրել համապատասխան պաշտպանության մեթոդները և դրանք իրականացնել որպես հաճախորդի հետ աշխատանքի մի մաս:

  • Ցույց տալ դիմակները կգան և կտանեն/կնքեն/անջատեն սերվերի հոսանքը

Դա միանգամայն հասկանալի է այն հաճախորդների համար, ովքեր վախենում են, որ իրենց բիզնես գործընթացները կխաթարվեն ենթակառուցվածքների անբավարար վերահսկողության պատճառով: Որպես կանոն, այս մասին մտածում են այն հաճախորդները, որոնց ապարատը նախկինում գտնվում էր փոքր սերվերային սենյակներում, այլ ոչ թե մասնագիտացված տվյալների կենտրոններում: Իրականում տվյալների կենտրոնները հագեցված են ինչպես ֆիզիկական, այնպես էլ տեղեկատվական պաշտպանության ժամանակակից միջոցներով։ Նման տվյալների կենտրոնում գրեթե անհնար է որևէ գործողություն իրականացնել առանց բավարար հիմքերի և փաստաթղթերի, և նման գործողությունները պահանջում են մի շարք ընթացակարգերի պահպանում: Բացի այդ, ձեր սերվերը տվյալների կենտրոնից «քաշելը» կարող է ազդել մատակարարի այլ հաճախորդների վրա, և դա հաստատ ոչ մեկի համար անհրաժեշտ չէ: Բացի այդ, ոչ ոք չի կարողանա մատնացույց անել հատուկ «ձեր» վիրտուալ սերվերի վրա, այնպես որ, եթե ինչ-որ մեկը ցանկանում է գողանալ այն կամ դիմակային շոու կազմակերպել, նա նախ պետք է զբաղվի բազմաթիվ բյուրոկրատական ​​ուշացումներով: Այս ընթացքում, ամենայն հավանականությամբ, ժամանակ կունենաք մի քանի անգամ այլ կայք տեղափոխելու համար:

  • Հաքերները կոտրելու են ամպը և գողանալու տվյալները

Համացանցը և տպագիր մամուլը լի են վերնագրերով այն մասին, թե ինչպես է հերթական ամպը դարձել կիբերհանցագործների զոհ, և միլիոնավոր անձնական տվյալների գրառումներ են հայտնվել առցանց: Դեպքերի ճնշող մեծամասնությամբ խոցելիություններ են հայտնաբերվել ոչ թե մատակարարի կողմից, այլ զոհերի տեղեկատվական համակարգերում. թույլ կամ նույնիսկ լռելյայն գաղտնաբառեր, «անցքեր» վեբ կայքերի շարժիչներում և տվյալների բազաներում և սովորական բիզնես անփութություն անվտանգության միջոցներ ընտրելիս և տվյալների հասանելիության ընթացակարգերի կազմակերպում. Բոլոր հավաստագրված լուծումները ստուգվում են խոցելիության համար: Մենք նաև պարբերաբար անցկացնում ենք «վերահսկիչ» ստուգումներ և անվտանգության աուդիտներ ինչպես ինքնուրույն, այնպես էլ արտաքին կազմակերպությունների միջոցով: Պրովայդերի համար սա հեղինակության և ընդհանրապես բիզնեսի խնդիր է:

  • Մատակարարի մատակարարը/աշխատակիցները անձնական շահի համար գողանալու են անձնական տվյալները

Սա բավականին զգայուն պահ է։ Տեղեկատվական անվտանգության աշխարհի մի շարք ընկերություններ «վախեցնում են» իրենց հաճախորդներին և պնդում, որ «ներքին աշխատողներն ավելի վտանգավոր են, քան դրսի հաքերները»։ Սա կարող է որոշ դեպքերում ճիշտ լինել, բայց բիզնեսը չի կարող կառուցվել առանց վստահության: Ժամանակ առ ժամանակ լուրեր են հայտնվում այն ​​մասին, որ կազմակերպության աշխատակիցները հաճախորդների տվյալները փոխանցում են հարձակվողներին, և ներքին անվտանգությունը երբեմն շատ ավելի վատ է կազմակերպվում, քան արտաքին անվտանգությունը: Այստեղ կարևոր է հասկանալ, որ ցանկացած խոշոր մատակարար ծայրահեղ անհետաքրքիր է բացասական դեպքերի նկատմամբ: Մատակարարի աշխատակիցների գործողությունները լավ կանոնակարգված են, դերերը և պատասխանատվության ոլորտները բաժանված են: Բոլոր բիզնես գործընթացները կառուցված են այնպես, որ տվյալների արտահոսքի դեպքերը չափազանց քիչ հավանական են և միշտ նկատելի են ներքին ծառայությունների համար, ուստի հաճախորդները չպետք է վախենան այս կողմից խնդիրներից:

  • Դուք քիչ եք վճարում, քանի որ վճարում եք ծառայությունների համար ձեր բիզնեսի տվյալներով:

Մեկ այլ առասպել. հաճախորդը, ով վարձակալում է անվտանգ ենթակառուցվածք հարմարավետ գնով, իրականում վճարում է դրա համար իր տվյալներով, սա հաճախ մտածում են փորձագետների կողմից, ովքեր դեմ չեն քնելուց առաջ դավադրության մի քանի տեսություն կարդալ: Նախ, ձեր տվյալների հետ այլ գործողություններ իրականացնելու հնարավորությունը, բացի այն, ինչ նշված է պատվերում, ըստ էության զրոյական է: Երկրորդ, ադեկվատ մատակարարը գնահատում է ձեր հետ հարաբերությունները և նրա հեղինակությունը. բացի ձեզանից, նա շատ ավելի շատ հաճախորդներ ունի: Ավելի հավանական է հակառակ սցենարը, երբ մատակարարը նախանձախնդրորեն կպաշտպանի իր հաճախորդների տվյալները, որոնց վրա հիմնված է իր բիզնեսը:

Ընտրելով ամպային մատակարար ISPD-ի համար

Այսօր շուկան առաջարկում է բազմաթիվ լուծումներ այն ընկերությունների համար, որոնք PD օպերատոր են: Ստորև բերված է ճիշտ ընտրելու առաջարկությունների ընդհանուր ցանկը:

  • Մատակարարը պետք է պատրաստ լինի կնքել պաշտոնական համաձայնագիր, որը նկարագրում է կողմերի, SLA-ների և պատասխանատվության ոլորտները անձնական տվյալների մշակման բանալին: Փաստորեն, ձեր և մատակարարի միջև, ի լրումն ծառայության պայմանագրի, պետք է ստորագրվի նաև PD մշակման հրաման: Ամեն դեպքում, արժե ուշադիր ուսումնասիրել դրանք։ Կարևոր է հասկանալ պարտականությունների բաշխումը ձեր և մատակարարի միջև:

  • Խնդրում ենք նկատի ունենալ, որ հատվածը պետք է համապատասխանի պահանջներին, ինչը նշանակում է, որ այն պետք է ունենա վկայական, որը ցույց է տալիս անվտանգության մակարդակը ոչ ցածր, քան պահանջվում է ձեր IP-ի կողմից: Պատահում է, որ պրովայդերները հրապարակում են վկայագրի միայն առաջին էջը, որից քիչ բան է պարզ, կամ հղում են անում աուդիտներին կամ համապատասխանության ընթացակարգերին՝ առանց ինքնին վկայականը հրապարակելու («տղա կար՞»): Արժե դա խնդրել. սա հանրային փաստաթուղթ է, որը ցույց է տալիս, թե ով է իրականացրել հավաստագրումը, վավերականության ժամկետը, ամպի գտնվելու վայրը և այլն:

  • Մատակարարը պետք է տեղեկատվություն տրամադրի այն մասին, թե որտեղ են գտնվում իր կայքերը (պաշտպանված օբյեկտները), որպեսզի դուք կարողանաք վերահսկել ձեր տվյալների տեղադրումը: Հիշեցնենք, որ անձնական տվյալների նախնական հավաքումը պետք է իրականացվի Ռուսաստանի Դաշնության տարածքում, համապատասխանաբար, ցանկալի է պայմանագրում/հավաստագրում տեսնել տվյալների կենտրոնի հասցեները:

  • Մատակարարը պետք է օգտագործի տեղեկատվական անվտանգության և տեղեկատվության պաշտպանության հավաստագրված համակարգեր: Իհարկե, պրովայդերներից շատերը չեն գովազդում իրենց կողմից օգտագործվող տեխնիկական անվտանգության միջոցները և լուծումների ճարտարապետությունը: Բայց դուք, որպես հաճախորդ, չեք կարող չիմանալ այդ մասին: Օրինակ, կառավարման համակարգին (կառավարման պորտալ) հեռակա միանալու համար անհրաժեշտ է օգտագործել անվտանգության միջոցներ։ Մատակարարը չի կարողանա շրջանցել այս պահանջը և ձեզ կտրամադրի (կամ կպահանջի օգտագործել) հավաստագրված լուծումներ: Վերցրեք ռեսուրսները թեստի համար և անմիջապես կհասկանաք, թե ինչպես և ինչ է աշխատում: 

  • Շատ ցանկալի է, որ ամպային մատակարարը լրացուցիչ ծառայություններ մատուցի տեղեկատվական անվտանգության ոլորտում։ Դրանք կարող են լինել տարբեր ծառայություններ՝ պաշտպանություն DDoS հարձակումներից և WAF-ից, հակավիրուսային ծառայություն կամ ավազատուփ և այլն: Այս ամենը թույլ կտա պաշտպանություն ստանալ որպես ծառայություն, չշեղվել շենքերի պաշտպանության համակարգերից, այլ աշխատել բիզնես հավելվածների վրա։

  • Մատակարարը պետք է լինի FSTEC-ի և FSB-ի արտոնագիր: Որպես կանոն, նման տեղեկատվությունը տեղադրվում է անմիջապես կայքում: Համոզվեք, որ պահանջեք այս փաստաթղթերը և ստուգեք, թե արդյոք ճիշտ են ծառայություններ մատուցելու հասցեները, մատակարար ընկերության անվանումը և այլն: 

Եկեք ամփոփենք. Ենթակառուցվածքների վարձույթը թույլ կտա ձեզ հրաժարվել CAPEX-ից և պահպանել միայն ձեր բիզնես հավելվածները և բուն տվյալները ձեր պատասխանատվության գոտում և մատակարարին փոխանցել ապարատային և ծրագրային ապահովման և սարքավորումների հավաստագրման ծանր բեռը:

Ինչպես անցանք հավաստագրումը

Բոլորովին վերջերս մենք հաջողությամբ անցանք «Secure Cloud FZ-152» ենթակառուցվածքի վերահաստատումը անձնական տվյալների հետ աշխատելու պահանջներին համապատասխանելու համար: Աշխատանքներն իրականացրել է Հավաստագրման ազգային կենտրոնը։

Ներկայումս «FZ-152 Secure Cloud»-ը հավաստագրված է անձնական տվյալների մշակման, պահպանման կամ փոխանցման մեջ ներգրավված տեղեկատվական համակարգերի հոսթինգի համար՝ UZ-3 մակարդակի պահանջներին համապատասխան:

Հավաստագրման ընթացակարգը ներառում է ամպային մատակարարի ենթակառուցվածքի համապատասխանության ստուգում պաշտպանության մակարդակին: Պրովայդերն ինքն է տրամադրում IaaS ծառայությունը և անձնական տվյալների օպերատոր չէ: Գործընթացը ներառում է ինչպես կազմակերպչական (փաստաթղթեր, պատվերներ և այլն), այնպես էլ տեխնիկական միջոցառումների (պաշտպանիչ սարքավորումների տեղադրում և այլն) գնահատում:

Այն չի կարելի անվանել տրիվիալ։ Չնայած այն հանգամանքին, որ սերտիֆիկացման գործունեության իրականացման ծրագրերի և մեթոդների ԳՕՍՏ-ը հայտնվել է դեռևս 2013 թվականին, ամպային օբյեկտների համար խիստ ծրագրեր դեռևս գոյություն չունեն: Հավաստագրման կենտրոնները մշակում են այդ ծրագրերը՝ հիմնվելով սեփական փորձի վրա: Նոր տեխնոլոգիաների գալուստով ծրագրերը դառնում են ավելի բարդ և արդիական, համապատասխանաբար, հավաստագրողը պետք է ունենա ամպային լուծումների հետ աշխատելու փորձ և հասկանա առանձնահատկությունները:

Մեր դեպքում պաշտպանված օբյեկտը բաղկացած է երկու տեղանքից:

  • Ամպային ռեսուրսները (սերվերներ, պահեստավորման համակարգեր, ցանցային ենթակառուցվածք, անվտանգության գործիքներ և այլն) գտնվում են անմիջապես տվյալների կենտրոնում։ Իհարկե, նման վիրտուալ տվյալների կենտրոնը միացված է հանրային ցանցերին, և, համապատասխանաբար, պետք է բավարարվեն firewall-ի որոշակի պահանջներ, օրինակ՝ վավերացված firewall-ների օգտագործումը:

  • Օբյեկտի երկրորդ մասը ամպային կառավարման գործիքներն են։ Սրանք աշխատանքային կայաններ են (ադմինիստրատորի աշխատանքային կայաններ), որոնցից կառավարվում է պաշտպանված հատվածը։

Տեղադրությունները հաղորդակցվում են CIPF-ի վրա կառուցված VPN ալիքի միջոցով:

Քանի որ վիրտուալացման տեխնոլոգիաները նախադրյալներ են ստեղծում սպառնալիքների առաջացման համար, մենք նաև օգտագործում ենք լրացուցիչ հավաստագրված պաշտպանության գործիքներ:

IaaS 152-FZ: Այսպիսով, ձեզ անվտանգություն է անհրաժեշտԲլոկային դիագրամ «գնահատողի աչքերով»

Եթե ​​հաճախորդը պահանջում է իր ISPD-ի հավաստագրում, IaaS-ը վարձակալելուց հետո նա պետք է միայն գնահատի տեղեկատվական համակարգը վիրտուալ տվյալների կենտրոնի մակարդակից բարձր: Այս ընթացակարգը ներառում է դրա վրա օգտագործվող ենթակառուցվածքի և ծրագրային ապահովման ստուգում: Քանի որ դուք կարող եք դիմել մատակարարի վկայականին ենթակառուցվածքի բոլոր խնդիրների համար, ձեզ մնում է միայն աշխատել ծրագրաշարի հետ:

IaaS 152-FZ: Այսպիսով, ձեզ անվտանգություն է անհրաժեշտՏարանջատում աբստրակցիոն մակարդակում

Եզրափակելով, ահա փոքրիկ ստուգաթերթ այն ընկերությունների համար, որոնք արդեն աշխատում են անձնական տվյալների հետ կամ պարզապես պլանավորում են: Այսպիսով, ինչպես վարվել առանց այրվելու:

  1. Սպառնալիքների և ներխուժողների մոդելները ստուգելու և մշակելու համար հրավիրեք փորձառու խորհրդատուի սերտիֆիկացման լաբորատորիաներից, ով կօգնի մշակել անհրաժեշտ փաստաթղթերը և ձեզ հասցնել տեխնիկական լուծումների փուլ:

  2. Ամպային մատակարար ընտրելիս ուշադրություն դարձրեք վկայագրի առկայությանը: Լավ կլիներ, որ ընկերությունը հրապարակայնորեն տեղադրեր այն անմիջապես կայքում։ Մատակարարը պետք է լինի FSTEC-ի և FSB-ի լիցենզառուն, և նրա առաջարկած ծառայությունը պետք է վավերացված լինի:

  3. Համոզվեք, որ ունեք պաշտոնական համաձայնագիր և ստորագրված հրահանգ անձնական տվյալների մշակման համար: Դրա հիման վրա դուք կկարողանաք իրականացնել և՛ համապատասխանության ստուգում, և՛ ISPD սերտիֆիկացում: Եթե այս աշխատանքը տեխնիկական նախագծի փուլում և նախագծային և տեխնիկական փաստաթղթերի ստեղծումը ձեզ համար ծանրաբեռնված է թվում, դուք պետք է դիմեք երրորդ կողմի խորհրդատվական ընկերություններին: սերտիֆիկացման լաբորատորիաներից։

Եթե ​​անձնական տվյալների մշակման խնդիրները վերաբերում են ձեզ, ապա սեպտեմբերի 18-ին՝ այս ուրբաթ, մենք ուրախ կլինենք տեսնել ձեզ վեբինարին։ «Վկայագրված ամպերի կառուցման առանձնահատկությունները».

Source: www.habr.com

Добавить комментарий