ProHoster > Π‘Π»ΠΎΠ³ > Administrasi > IaaS 152-FZ: dadi, sampeyan butuh keamanan

IaaS 152-FZ: dadi, sampeyan butuh keamanan

IaaS 152-FZ: dadi, sampeyan butuh keamanan

Ora ketompo carane sampeyan ngurutake mitos lan legenda sing ngubengi kepatuhan karo 152-FZ, ana sing tetep ana ing mburi. Dina iki kita pengin ngrembug sawetara nuansa sing ora mesthi jelas sing bisa ditemoni dening perusahaan gedhe lan perusahaan cilik:

  • subtleties klasifikasi PD dadi kategori - nalika toko online cilik ngumpulake data sing ana hubungane karo kategori khusus tanpa ngerti babagan;

  • ing ngendi sampeyan bisa nyimpen serep PD sing diklumpukake lan nindakake operasi kasebut;

  • apa bedane sertifikat lan kesimpulan kepatuhan, dokumen apa sing kudu dijaluk saka panyedhiya, lan liya-liyane.

Pungkasan, kita bakal nuduhake pengalaman kita dhewe babagan lulus sertifikasi. Tindak!

Pakar ing artikel dina iki bakal dadi Alexey Afanasiev, IS spesialis kanggo panyedhiya maya IT-GRAD lan #CloudMTS (bagean saka grup MTS).

Subtleties saka klasifikasi

Kita kerep nemoni kepinginan klien supaya cepet, tanpa audit IS, nemtokake tingkat keamanan sing dibutuhake kanggo ISPD. Sawetara bahan ing Internet babagan topik iki menehi kesan palsu yen iki minangka tugas sing prasaja lan cukup angel kanggo nggawe kesalahan.

Kanggo nemtokake KM, perlu kanggo mangerteni data apa sing bakal diklumpukake lan diproses dening IS klien. Kadhangkala bisa dadi angel kanggo nemtokake syarat perlindungan lan kategori data pribadhi sing ditindakake bisnis. Jinis data pribadhi sing padha bisa ditaksir lan diklasifikasikake kanthi cara sing beda. Mulane, ing sawetara kasus, panemu bisnis bisa beda karo pendapat auditor utawa malah inspektur. Ayo katon ing sawetara conto.

Parkiran mobil. Iku bakal katon kaya jinis bisnis sing cukup tradisional. Akeh armada kendharaan wis beroperasi nganti pirang-pirang dekade, lan pemilike nyewa pengusaha lan individu. Minangka aturan, data karyawan ana ing syarat UZ-4. Nanging, kanggo nggarap pembalap, perlu ora mung kanggo ngumpulake data pribadhi, nanging uga kanggo nindakake kontrol medis ing wilayah armada kendaraan sadurunge pindhah, lan informasi sing diklumpukake ing proses kasebut langsung dadi kategori data medis - lan iki data pribadhi saka kategori khusus. Kajaba iku, armada bisa njaluk sertifikat, sing banjur bakal disimpen ing file driver. Pindai sertifikat kasebut ing wangun elektronik - data kesehatan, data pribadhi saka kategori khusus. Iki tegese UZ-4 ora cukup maneh; paling ora UZ-3 dibutuhake.

Toko online. Kayane jeneng, email lan nomer telpon sing diklumpukake cocog karo kategori umum. Nanging, yen pelanggan nuduhake preferensi diet, kayata halal utawa halal, informasi kasebut bisa uga dianggep minangka data afiliasi agama utawa kepercayaan. Mula, nalika mriksa utawa nindakake kegiatan kontrol liyane, inspektur bisa nggolongake data sing diklumpukake minangka kategori data pribadhi khusus. Saiki, yen toko online ngumpulake informasi babagan apa sing tuku luwih seneng daging utawa iwak, data kasebut bisa diklasifikasikake minangka data pribadi liyane. Miturut cara, apa babagan vegetarian? Sawise kabeh, iki uga bisa digandhengake karo kapercayan filosofis, sing uga kalebu kategori khusus. Nanging ing sisih liya, iki mung bisa dadi sikap wong sing ngilangi daging saka diet. Sayange, ora ana tandha sing nemtokake kategori PD kanthi ora jelas ing kahanan "subtle".

Agensi pariwara Nggunakake sawetara layanan maya Barat, ngolah data klien sing kasedhiya kanggo umum - jeneng lengkap, alamat email lan nomer telpon. Data pribadhi iki, mesthi, ana hubungane karo data pribadhi. Pitakonan muncul: apa legal kanggo nindakake proses kasebut? Apa bisa mindhah data kasebut tanpa depersonalisasi ing njaba Federasi Rusia, umpamane, kanggo nyimpen serep ing sawetara awan manca? Mesthi sampeyan bisa. Agensi nduweni hak kanggo nyimpen data kasebut ing njaba Rusia, nanging koleksi awal, miturut undang-undang kita, kudu ditindakake ing wilayah Federasi Rusia. Yen sampeyan nggawe serep informasi kasebut, ngitung sawetara statistik adhedhasar, nindakake riset utawa nindakake sawetara operasi liyane - kabeh iki bisa ditindakake ing sumber daya Kulon. Titik kunci saka sudut pandang hukum yaiku ing ngendi data pribadhi dikumpulake. Mulane penting ora kanggo bingung koleksi lan pangolahan awal.

Kaya ing ngisor iki saka conto cekak iki, nggarap data pribadhi ora mesthi gampang lan gampang. Sampeyan ora mung kudu ngerti yen sampeyan nggarap dheweke, nanging uga bisa ngelasake kanthi bener, ngerti cara kerja IP supaya bisa nemtokake tingkat keamanan sing dibutuhake. Ing sawetara kasus, bisa uga ana pitakonan babagan jumlah data pribadhi sing kudu ditindakake dening organisasi. Apa bisa nolak data sing paling "serius" utawa mung ora perlu? Kajaba iku, regulator nyaranake depersonalisasi data pribadhi yen bisa. 

Kaya ing conto ing ndhuwur, kadhangkala sampeyan bisa nemoni kasunyatan manawa panguwasa inspeksi menehi interpretasi data pribadhi sing diklumpukake rada beda tinimbang sing sampeyan nimbang dhewe.

Mesthi, sampeyan bisa nyewa auditor utawa integrator sistem minangka asisten, nanging "asisten" bakal tanggung jawab kanggo keputusan sing dipilih nalika audit? Wigati dicathet yen tanggung jawab tansah ana ing pemilik ISPD - operator data pribadhi. Mulane, nalika perusahaan nindakake pakaryan kasebut, penting kanggo nguripake pemain serius ing pasar kanggo layanan kasebut, contone, perusahaan sing nindakake karya sertifikasi. Perusahaan sertifikasi duwe pengalaman ekstensif kanggo nindakake pakaryan kasebut.

Pilihan kanggo mbangun ISPD

Pambangunan ISPD ora mung teknis, nanging uga masalah hukum. CIO utawa direktur keamanan kudu tansah takon karo penasihat hukum. Amarga perusahaan ora mesthi duwe spesialis karo profil sing sampeyan butuhake, mula kudu digoleki auditor-konsultan. Akeh titik lunyu bisa uga ora ketok.

Konsultasi kasebut bakal ngidini sampeyan nemtokake data pribadhi apa sing sampeyan lakoni lan tingkat perlindungan sing dibutuhake. Dadi, sampeyan bakal entuk ide babagan IP sing kudu digawe utawa ditambah karo langkah-langkah keamanan lan keamanan operasional.

Asring pilihan kanggo perusahaan ana ing antarane rong pilihan:

  1. Mbangun IS cocog ing hardware lan software solusi dhewe, bisa ing kamar server dhewe.

  2. Hubungi panyedhiya maya lan pilih solusi elastis, "ruang server virtual" sing wis disertifikasi.

Umume sistem informasi ngolah data pribadi nggunakake pendekatan tradisional, sing, saka sudut pandang bisnis, meh ora bisa diarani gampang lan sukses. Nalika milih opsi iki, iku perlu kanggo ngerti yen desain technical bakal kalebu gambaran saka peralatan, kalebu software lan hardware solusi lan platform. Iki tegese sampeyan kudu ngadhepi kesulitan lan watesan ing ngisor iki:

  • kangelan scaling;

  • wektu implementasine project dawa: iku perlu kanggo milih, tuku, nginstal, ngatur lan njlΓ¨ntrΓ¨hakΓ© sistem;

  • akeh karya "kertas", minangka conto - pangembangan paket lengkap dokumentasi kanggo kabeh ISPD.

Kajaba iku, bisnis, minangka aturan, mung ngerti tingkat "ndhuwur" saka IP - aplikasi bisnis sing digunakake. Ing tembung liyane, Staff IT trampil ing wilayah tartamtu. Ora ana pangerten babagan cara kerja kabeh "tingkat ngisor": proteksi piranti lunak lan hardware, sistem panyimpenan, serep lan, mesthi, carane ngatur alat proteksi sing selaras karo kabeh syarat, mbangun bagean "hardware" saka konfigurasi kasebut. Penting kanggo mangerteni: iki minangka lapisan kawruh sing akeh banget sing ana ing njaba bisnis klien. Iki ngendi pengalaman panyedhiya maya nyedhiyakake "ruang server virtual" sing disertifikasi bisa migunani.

Sabanjure, panyedhiya maya duwe sawetara kaluwihan sing, tanpa exaggeration, bisa nutupi 99% kabutuhan bisnis ing bidang perlindungan data pribadi:

  • biaya modal diowahi dadi biaya operasi;

  • panyedhiya, kanggo bagean kasebut, njamin nyedhiyakake tingkat keamanan lan kasedhiyan sing dibutuhake adhedhasar solusi standar sing wis kabukten;

  • ora perlu njaga staf spesialis sing bakal njamin operasi ISPD ing tingkat hardware;

  • panyedhiya nawakake solusi sing luwih fleksibel lan elastis;

  • spesialis panyedhiya duwe kabeh sertifikat sing dibutuhake;

  • selaras ora luwih murah tinimbang nalika mbangun arsitektur dhewe, njupuk menyang akun syarat lan Rekomendasi saka regulator.

Mitos lawas yen data pribadhi ora bisa disimpen ing awan isih populer banget. Iku mung sebagian bener: PD tenan ora bisa dikirim ing pisanan kasedhiya awan. Selaras karo langkah-langkah teknis tartamtu lan panggunaan solusi sing disertifikasi tartamtu dibutuhake. Yen panyedhiya tundhuk karo kabeh syarat hukum, risiko sing ana gandhengane karo bocor data pribadhi bakal diminimalisir. Akeh panyedhiya duwe infrastruktur kapisah kanggo ngolah data pribadhi miturut 152-FZ. Nanging, pilihan supplier uga kudu dicedhaki kanthi kawruh babagan kritΓ©ria tartamtu; kita mesthi bakal ndemek ing ngisor iki. 

Klien asring teka karo sawetara keprihatinan babagan panggonan data pribadhi ing awan panyedhiya. Lha, ayo langsung dirembug.

  • Data bisa dicolong sajrone transmisi utawa migrasi

Ora perlu wedi babagan iki - panyedhiya nawakake klien nggawe saluran transmisi data sing aman sing dibangun ing solusi sing disertifikasi, langkah-langkah otentikasi sing ditingkatake kanggo kontraktor lan karyawan. Sing isih ana yaiku milih cara proteksi sing cocog lan dileksanakake minangka bagean saka karya sampeyan karo klien.

  • Tampilake topeng bakal teka lan njupuk / segel / mateni daya menyang server

Cukup dingerteni kanggo para pelanggan sing wedi yen proses bisnis bakal kaganggu amarga kontrol infrastruktur sing ora cukup. Biasane, para klien sing hardware sadurunge ana ing kamar server cilik tinimbang pusat data khusus mikir babagan iki. Ing kasunyatan, pusat data dilengkapi sarana modern kanggo proteksi fisik lan informasi. Meh mokal kanggo nindakake operasi apa wae ing pusat data kasebut tanpa alasan lan kertas sing cukup, lan kegiatan kasebut mbutuhake selaras karo sawetara prosedur. Kajaba iku, "narik" server saka pusat data bisa mengaruhi klien panyedhiya liyane, lan iki mesthi ora perlu kanggo sapa wae. Kajaba iku, ora ana sing bisa nuding driji khusus ing server virtual "sampeyan", dadi yen ana wong sing pengin nyolong utawa nganakake pertunjukan topeng, mula kudu ngatasi akeh keterlambatan birokrasi. Sajrone wektu iki, sampeyan bakal duwe wektu kanggo pindhah menyang situs liyane kaping pirang-pirang.

  • Peretas bakal hack awan lan nyolong data

Internet lan pers cetak kebak berita utama babagan carane awan liyane wis dadi korban cybercriminals, lan mayuta-yuta cathetan data pribadhi wis bocor online. Umume kasus, kerentanan ora ditemokake ing sisih panyedhiya, nanging ing sistem informasi para korban: sandhi sing lemah utawa malah standar, "bolongan" ing mesin lan database situs web, lan kecerobohan bisnis banal nalika milih langkah-langkah keamanan lan ngatur tata cara akses data. Kabeh solusi sing disertifikasi dicenthang kanggo kerentanan. Kita uga rutin nganakake pentest "kontrol" lan audit keamanan, kanthi mandiri lan liwat organisasi eksternal. Kanggo panyedhiya, iki minangka masalah reputasi lan bisnis ing umum.

  • Panyedhiya / karyawan panyedhiya bakal nyolong data pribadhi kanggo keuntungan pribadi

Iki minangka wayahe sing rada sensitif. Sawetara perusahaan saka jagad keamanan informasi "ajrih" klien lan negesake manawa "karyawan internal luwih mbebayani tinimbang peretas njaba." Iki bisa uga bener ing sawetara kasus, nanging bisnis ora bisa dibangun tanpa kapercayan. Saka wektu kanggo wektu, warta sumunar manawa karyawan organisasi dhewe bocor data pelanggan menyang panyerang, lan keamanan internal kadhangkala diatur luwih elek tinimbang keamanan eksternal. Penting kanggo mangertos ing kene manawa panyedhiya gedhe ora kasengsem ing kasus negatif. Tumindak karyawan panyedhiya diatur kanthi apik, peran lan area tanggung jawab dibagi. Kabeh proses bisnis disusun kanthi cara sing kasus kebocoran data arang banget lan tansah katon ing layanan internal, mula klien ora kudu wedi karo masalah saka sisih iki.

  • Sampeyan mbayar sethithik amarga sampeyan mbayar layanan nganggo data bisnis sampeyan.

Mitos liyane: klien sing nyewa prasarana sing aman kanthi rega sing nyaman bener-bener mbayar data kasebut - iki asring dipikirake dening para ahli sing ora mikir maca sawetara teori konspirasi sadurunge turu. Kaping pisanan, kemungkinan nindakake operasi apa wae karo data sampeyan kajaba sing ditemtokake ing urutan kasebut sejatine nol. Kapindho, panyedhiya sing nyukupi nilai hubungan karo sampeyan lan reputasi - saliyane sampeyan, dheweke duwe luwih akeh klien. Skenario ngelawan luwih cenderung, ing ngendi panyedhiya bakal sregep nglindhungi data para klien, ing ngendi bisnise ana.

Milih panyedhiya maya kanggo ISPD

Saiki, pasar nawakake akeh solusi kanggo perusahaan sing dadi operator PD. Ing ngisor iki minangka dhaptar umum rekomendasi kanggo milih sing bener.

  • Panyedhiya kudu siyap mlebu persetujuan resmi sing njlentrehake tanggung jawab para pihak, SLA lan wilayah tanggung jawab ing kunci kanggo ngolah data pribadi. Nyatane, antarane sampeyan lan panyedhiya, saliyane perjanjian layanan, pesenan kanggo pangolahan PD kudu ditandatangani. Ing kasus apa wae, kudu sinau kanthi teliti. Penting kanggo ngerti pembagian tanggung jawab antarane sampeyan lan panyedhiya.

  • Elinga yen segmen kasebut kudu nyukupi syarat, tegese kudu duwe sertifikat sing nuduhake tingkat keamanan sing ora luwih murah tinimbang sing dibutuhake IP sampeyan. Iku kedadeyan yen panyedhiya mung nerbitake kaca pisanan sertifikat, sing ora jelas, utawa ngrujuk marang audit utawa prosedur kepatuhan tanpa nerbitake sertifikat kasebut dhewe ("Apa ana bocah lanang?"). Perlu dijaluk - iki minangka dokumen umum sing nuduhake sapa sing nindakake sertifikasi, wektu validitas, lokasi awan, lsp.

  • Panyedhiya kudu menehi informasi babagan papan panggonane (obyek sing dilindhungi) supaya sampeyan bisa ngontrol panggonan data sampeyan. Ayo kita ngelingake yen koleksi data pribadhi dhisikan kudu ditindakake ing wilayah Federasi Rusia; mula, luwih becik ndeleng alamat pusat data ing kontrak / sertifikat.

  • Panyedhiya kudu nggunakake keamanan informasi lan sistem perlindungan informasi sing disertifikasi. Mesthine, umume panyedhiya ora ngiklanake langkah-langkah keamanan teknis lan arsitektur solusi sing digunakake. Nanging sampeyan, minangka klien, ora bisa ngerti babagan iki. Contone, kanggo nyambungake jarak adoh menyang sistem manajemen (portal manajemen), sampeyan kudu nggunakake langkah-langkah keamanan. Panyedhiya ora bakal bisa ngliwati syarat iki lan bakal menehi sampeyan (utawa mbutuhake sampeyan nggunakake) solusi sing disertifikasi. Njupuk sumber daya kanggo test lan sampeyan bakal langsung ngerti carane lan apa bisa. 

  • Apik banget kanggo panyedhiya awan nyedhiyakake layanan tambahan ing bidang keamanan informasi. Iki bisa dadi macem-macem layanan: pangayoman marang serangan DDoS lan WAF, layanan anti-virus utawa kothak wedhi, lsp. Kabeh iki bakal ngidini sampeyan nampa proteksi minangka layanan, ora bakal diganggu dening sistem proteksi bangunan, nanging kanggo nggarap aplikasi bisnis.

  • Panyedhiya kudu dadi pemegang lisensi FSTEC lan FSB. Minangka aturan, informasi kasebut dikirim langsung ing situs web. Priksa manawa njaluk dokumen kasebut lan priksa manawa alamat kanggo nyedhiyakake layanan, jeneng perusahaan panyedhiya, lsp. 

Ayo ngringkes. Nyewa infrastruktur bakal ngidini sampeyan ninggalake CAPEX lan mung nahan aplikasi bisnis lan data dhewe ing wilayah tanggung jawab sampeyan, lan nransfer beban sertifikasi hardware lan piranti lunak lan hardware menyang panyedhiya.

Kepiye carane kita lulus sertifikasi

Paling anyar, kita kasil ngliwati sertifikasi ulang infrastruktur "Secure Cloud FZ-152" kanggo tundhuk karo syarat kanggo nggarap data pribadi. Karya kasebut ditindakake dening Pusat Sertifikasi Nasional.

Saiki, "FZ-152 Secure Cloud" disertifikasi kanggo hosting sistem informasi sing melu pangolahan, panyimpenan utawa transmisi data pribadhi (ISPDn) sesuai karo syarat level UZ-3.

Prosedur sertifikasi kalebu mriksa kepatuhan infrastruktur panyedhiya awan kanthi tingkat perlindungan. Panyedhiya dhewe nyedhiyakake layanan IaaS lan dudu operator data pribadhi. Proses kasebut kalebu evaluasi langkah-langkah organisasi (dokumentasi, pesenan, lsp.) lan teknis (nyiapake peralatan pelindung, lsp.).

Ora bisa diarani sepele. Senadyan kasunyatan sing GOST ing program lan cara kanggo nindakake aktivitas sertifikasi muncul ing 2013, program ketat kanggo obyek maya isih ora ana. Pusat sertifikasi ngembangake program kasebut adhedhasar keahliane dhewe. Kanthi tekane teknologi anyar, program dadi luwih rumit lan modern; mula, sertifikasi kudu duwe pengalaman nggarap solusi awan lan ngerti spesifik.

Ing kasus kita, obyek sing dilindhungi kasusun saka rong lokasi.

  • Sumber daya awan (server, sistem panyimpenan, infrastruktur jaringan, alat keamanan, lan sapiturute) dumunung langsung ing pusat data. Mesthi wae, pusat data virtual kasebut disambungake menyang jaringan umum, lan kanthi mangkono, syarat firewall tartamtu kudu ditemokake, umpamane, panggunaan firewall sing disertifikasi.

  • Bagian kapindho obyek kasebut yaiku alat manajemen awan. Iki minangka stasiun kerja (stasiun kerja administrator) saka ngendi bagean sing dilindhungi dikelola.

Lokasi komunikasi liwat saluran VPN sing dibangun ing CIPF.

Wiwit teknologi virtualisasi nggawe prasyarat kanggo muncule ancaman, kita uga nggunakake alat perlindungan sing disertifikasi tambahan.

IaaS 152-FZ: dadi, sampeyan butuh keamananDiagram blok "liwat mata penilai"

Yen klien mbutuhake sertifikasi ISPD, sawise nyewa IaaS, dheweke mung kudu ngevaluasi sistem informasi ing ndhuwur tingkat pusat data virtual. Prosedur iki kalebu mriksa infrastruktur lan piranti lunak sing digunakake. Amarga sampeyan bisa ngrujuk menyang sertifikat panyedhiya kanggo kabeh masalah infrastruktur, sampeyan mung kudu nggarap piranti lunak kasebut.

IaaS 152-FZ: dadi, sampeyan butuh keamananPemisahan ing tingkat abstraksi

Kesimpulane, iki minangka dhaptar priksa cilik kanggo perusahaan sing wis nggarap data pribadhi utawa mung ngrancang. Dadi, carane nangani ora kena bakar.

  1. Kanggo audit lan ngembangake model ancaman lan penyusup, ngajak konsultan sing berpengalaman saka antarane laboratorium sertifikasi sing bakal mbantu ngembangake dokumen sing dibutuhake lan nggawa sampeyan menyang tahap solusi teknis.

  2. Nalika milih panyedhiya maya, priksa manawa ana sertifikat. Iku bakal apik yen perusahaan publicly dikirim langsung ing website. Panyedhiya kudu dadi pemegang lisensi FSTEC lan FSB, lan layanan sing ditawakake kudu disertifikasi.

  3. Priksa manawa sampeyan duwe persetujuan resmi lan instruksi sing ditandatangani kanggo ngolah data pribadhi. Adhedhasar iki, sampeyan bakal bisa nindakake mriksa kepatuhan lan sertifikasi ISPD. Yen karya iki ing tahap proyek teknis lan nggawe desain lan dokumentasi teknis katon abot kanggo sampeyan, sampeyan kudu ngontak perusahaan konsultasi pihak katelu saka antarane laboratorium sertifikasi.

Yen masalah pangolahan data pribadhi cocog karo sampeyan, tanggal 18 September, dina Jumuah iki, kita bakal seneng ndeleng sampeyan ing webinar "Fitur mbangun awan sing disertifikasi".

Source: www.habr.com

Add a comment