ProHoster > Π‘Π»ΠΎΠ³ > administratio > IaaS 152-FZ: ergo securitatem debes

IaaS 152-FZ: ergo securitatem debes

IaaS 152-FZ: ergo securitatem debes

Quantumvis narras fabulas et fabulas quae cum 152-FZ circumdant obsequio, semper aliquid remanet post scenas. Hodie disputare volumus aliquas non semper obvias nuances ut tam magnae turmae quam minimae incepta occurrant:

  • subtilitates PD classificationis in categorias - cum parva copia online notitias collectas ad specialem categoriam relatas quin etiam de ea cognoscat;

  • ubi tergum colligere PD potes et operationes in illis facere;

  • quid interest inter libellum et conclusionem obsequii, quid documenta a provisore petas, et vasa huiusmodi.

Denique experientiam nostram certificationem transeundi vobiscum communicabimus. Perge!

Peritus articulus hodie erit Alexey Afanasyev, est artifex nubium provisoribus IT-GRAD et #CloudMTS (pars catervae MTS).

Subtilitates classificationis

Saepe desiderium clientis invenimus cito, sine audito IS, requisitum gradum securitatis pro ISPD determinando. Quaedam in hac re in Interrete mentiuntur, quod hoc negotium simplex est et difficillimum est errare.

Decernere KM, intellegere necesse est quae notitia ab huius IS colligenda sit et procedendum. Interdum difficile est sine ambiguitate determinare postulationes tutelae et genus notitiarum personalium quae negotium operatur. Eaedem rationes notitiarum personalium omnino diversimode aestimari et distingui possunt. Ideo in quibusdam negotiis potest opinio differre ab auditoris opinione vel etiam inspectoris. Intueamur pauca exempla.

Car parcum. Genus negotii traditum satis videtur. Multae classes vehiculorum decenniis operabantur et possessores eorum singulos lacus et singulos conducunt. Pro regula, operarius notitia sub requisitis UZ-4. Attamen, ut cum rectoribus elaborandum sit, necesse est non solum notitias personales colligere, sed etiam potestatem medicam exercere in territorio classis vehiculi antequam mutationem pergeret, et notitiae collectae in processu statim in categoriam incidit. notitia medica - et haec est notitia personalis categoriae specialis. Praeterea classis libellos petere potest, qui tunc in tabula aurigae servabuntur. Scan talis certificatorium in forma electronica - notitia sanitatis, notitia personalis categoriae specialis. Hoc significat UZ-4 iam non satis esse, saltem UZ-3 requiritur.

Online store. Nomina, electronica et telephonica numeros in categoriam publicam apta collecta videntur. Si tamen clientes tui puritate alimentorum optiones indicant, ut halal vel kosher, huiusmodi informationes considerari possunt religiosae affiliationis vel fidei notitiae. Cum igitur inspiciendo vel implendo alias actiones potestates, inspector notitias quas colligis ut peculiare genus notitiarum personalium indicari potest. Nunc, si copia online notitias colligit circa utrum emptor mavult cibum vel piscem, notitia in aliis personalis notitiae collocari potest. Viam, quid leo? Ceterum hoc etiam attribui potest opinionibus philosophicis, quae etiam ad categoriam specialem pertinent. Sed e contrario, hoc simpliciter potest esse habitus hominis qui escam e victu suo abstulit. Heu, nullum est signum quod in tam subtilibus condicionibus genus PD definite definit.

Vendo propellente Utens aliquo servitio nubes Occidentis, publice in promptu notitia clientium suorum procedit - nomina plena, inscriptiones electronicas et numeros telephonicos. Haec personalia data, utique, ad personales notitias referunt. Interrogatio oritur: an licitum sit talem processum exercere? Licetne tales notitias movere sine depersonalizatione extra Foederationem Russicam, exempli gratia, tergum reponere in quibusdam nubibus externis? Sane potes. Procuratio ius habet hanc datam extra Russiam condere, attamen collectio initialis, secundum leges nostras, in territorio Foederationis Russicae exercenda est. Si huiusmodi informationes recipere, aliquas statisticas in ea computare, investigationem ducere vel aliquas alias operationes facere cum ea - haec omnia in Occidentis opibus fieri possunt. Praecipuum e legali sententia est ubi personalis notitia colligitur. Gravis est igitur non confundere initiales collectiones et processus.

Ut ex brevibus hisce exemplis, operando personali notitia non semper simplex et simplex est. Non solum debes scire te cum eis operari, sed etiam eas recte inserere potes, quomodo IP opera sua cognoscas ut certum securitatis gradum recte definias. In quibusdam casibus quaestio oriri potest quantum personalis notitiae ordo ad operandum revera opus sit. Licetne recusare notationes gravissimas vel "gravissimas" vel simpliciter necessarias? Praeterea regulator commendat personales notitias personales, ubi fieri potest. 

Ut in exemplis superioribus, interdum in eo reperire licet quod inspectiones auctoritates collectas notitias personales paulo aliter interpretantur quam tu ipse eas aestimavit.

Utique, auditorem vel systema integratorem adiutorem conducere potes, sed eritne Β«assistentisΒ» responsabilis decisionum quae in eventu auditi sunt electi? Notatu dignum est responsalitatem semper cum domino ISPD - operantis notitiae personalis iacere. Quam ob rem, cum societas tale opus peragit, interest ad seria histriones in foro vertere pro talibus officiis, exempli gratia, societates operis certificationis faciendi. Societates certificandi magnam habent experientiam in tali opere perficiendo.

Options ad aedificationem ISPD

Constructio ISPD non solum technica est, sed etiam magna pars legalis quaestionis. CIO vel director securitatis cum legali consilio semper consulere debet. Cum societas specialitatem non semper habet cum profano quod opus est, dignum est ad auditores consultores spectare. Multa puncta lubrica non possunt omnino manifesta esse.

Consultatio permittet ut quid de notitia personali agas et quid in gradu tutelae postulet. Proinde ideam IP habebis quae creandae vel supplendae sunt cum securitate mensurae securitatis et perficiendi.

Saepe electio societatis inter duas optiones est:

  1. Fac correspondentes SIT in propriis ferramentis ac solutionibus programmatibus, fortasse in cella tua server.

  2. Nubem provisorem attingere et solutionem elasticam eligere, iam certificatum "cubiculi servitoris virtualis".

Plurimae informationes systematis personali notitiarum personalium in usu accessu tradito utuntur, quae, ex parte negotii, vix facile et prospere dici possunt. Cum hanc optionem eligendo, necesse est ut technicum consilium descriptionem instrumenti, incluso programmatis et ferramentis solutionum ac suggestuum, comprehendere debeas. Hoc modo debebis obviare difficultatibus et limitationibus;

  • difficultas erigi;

  • longum tempus exsequendi proiectum: necessarium est eligere, emere, instituere, configurare et systema describere;

  • multum laboris "paper", ut exemplum - explicatio sarcinae integrae documentorum pro toto ISPD.

In addition, res, fere, solum intelligit "summum" gradum sui IP - negotiis applicationibus utitur. Id est, IT virgam callent specifica. Nihil intellegendum est quomodo omnia opera "inferiora" operantur: programmatum et praesidium ferramentorum, systemata repono, tergum et, sane, instrumenta ad tutelam configurare in obsequio cum omnibus requisitis, "hardware" partem configurationis construere. Magni interest ut intellegas: ingens hic iacuit cognitionis quae extra huius negotii iacet. Haec est ubi experientia nubis provisoris praebens certificatum "cubiculi virtualis servitoris" in manus venire potest.

Iamvero provisores nubes multa commoda habent quae, sine exaggeratione, operire possunt 99% negotiorum necessitates in campo personalis notitiae tutelae;

  • sumptus capitales convertuntur in pretia pretia;

  • provisor, pro parte sua, providet provisionem debiti gradus securitatis et promptitudinis secundum probatam solutionem normae;

  • baculum specialium ponere non oportet qui operationem ISPD in gradu ferramento curabit;

  • providers multo magis flexibilem et elasticam solutionem offerre;

  • omnes provisores necessarii testimoniales habent;

  • non est humilius obsequio, quam cum aedificationis tuae architecturae, attentis exigentiis et commendationibus moderantium.

Veteris fabulae quae personalis notitiae in nube condi non possunt, adhuc perquam populare sunt. Est solum ex parte verum: PD vere missae esse non possunt primum praesto est nubem. Obsequium certis technicis remediis et usu quarundam solutionum certificatarum requiruntur. Si provisor omnibus requisitis iuridicis obtemperaverit, pericula cum ultrices personalibus notitiis coniunguntur, elevat. Multi provisores separatim infrastructuram habent ad notitias personales expediendas ad normam 152-FZ. Ad electionem tamen supplementi accedendum est etiam cum quibusdam indiciis cognoscendis, ea certe infra attingemus. 

Clientes saepe ad nos veniunt cum aliquibus curis de collocatione notitiarum personalium in nube provisoris. Bene, ilicet discutiamus.

  • Data furari potest per transmissionem vel migrationem

Non opus est hoc metuere - provisor clienti creationem praebet securae canalis transmissionis datae in solutionibus certificatis aedificatae, auctae authenticas mensuras redemptoribus et operariis. Reliquum est ut rationes opportunas tutelae eligat et eas efficiat ut partem operis tui cum cliente obtineat.

  • Ostende larvis veniam et aufer/sigillum/abscinde potestatem servo

Satis comprehensibile est clientibus qui timent ne processuum negotium suum propter insufficiens dominium infrastructuram disrumpantur. Pro regula, illi clientes quorum ferramenta antea in parvis cubiculis servientis locata erat, potius quam propriae notitiae centra de hoc cogitant. Re quidem vera, centra data modernis instrumentis tam corporis quam informationis tutelae sunt instructa. Fieri nullo modo potest quin operationes aliquae in tali centro notitiae sine sufficienti argumento et libellis fiant, et huiusmodi operationes in pluribus procedendi rationibus requirunt. Praeterea, "trahere" servitorem tuum a centro notitiae alios clientes provisoris afficere possunt, quod utique nulli necessarium est. Praeterea nemo digitum specie virtuali "tuo" servo monstrare poterit, ut si quis eam furari velit vel larvam scaenam ostendere, primum multum grapheocraticum moras agere debebit. Per hoc tempus, verisimiliter tempus erit ad alium locum pluries migrandi.

  • Hacker nubem trucidabunt et data furantur

Interreti et figurae pressae plenae sunt lineamentis quomodo adhuc alia nubes in cybercriminalibus victima cecidit, et decies centena milia monumentorum personalium divulgata sunt online. In plurimis casibus, vulnerabilitates non in provisoris parte, sed in systematibus informationum victimarum inventae sunt: ​​debiles vel etiam defectus passwords, "foramina" in machinationibus et databases, ac negotia banalia neglegentia cum securitatem mensuras et consilia eligendo ordinandis data accessus ratio. Omnes certified solutiones sunt pro vulnerabilities. Etiam semper "potestates" potestates et auditiones securitatis, tam independenter quam per externas institutiones, administramus. Provisor enim est res famae et negotii in communi.

  • Provisor / conductores provisoris personalis notitia pro lucro personali furantur

Hoc momentum sensitivum est. Plures societates ex informationibus mundi securitatis "terrent" clientes suos dicunt et "conductos internus periculosiores esse quam extra hackers". Hoc verum esse potest in quibusdam, sed negotium sine fiducia aedificari non potest. A tempore usque ad tempus, nuntius emittit se organizationem proprium conductorum emptori datam oppugnantibus, et securitatem internam multo peius quam securitatem externam interdum constitui. Hoc interest ut hic intelligatur quodvis magna provisor in casibus negativis maxime interest. Actiones operariorum provisoris bene institutae sunt, partes et partes responsabilitatis dividuntur. Processus negotii omnes ita structi sunt ut casus notitiarum lacus valde abhorret ac semper in officiis internis notabilis sunt, ita clientes difficultates ab hac parte timere non debent.

  • Parum solvis quod pro officiis tuis negotiis data solvis.

Alia fabula: cliens qui infrastructuram securam reddit pretio commodam, ultro eam cum sua notitia pensat - saepe cogitatur a peritis qui duos coniurationis theorias ante lectum cubitum non sapiunt legere. Uno modo, possibilitas aliquas operationes peragendas cum tuis aliis data quam illis quae in ordine specificata sunt per se nulla. Secundo, sufficientis provisor valorum \uXNUMXb\uXNUMXb necessitudinis cum te et fama eius - praeter te, multos plures clientes habet. Oppositum missionis est probabilius, in quo provisor notitias clientium studiose tuebitur, in quo negotiatio eius incumbit.

Eligens nubes provisor ad ISPD

Hodie, mercatus multas solutiones pro societatibus quae PD operariorum sunt, praebet. Infra est index generalis commendationum ad ius eligendum.

  • Provisor paratus sit inire consensum formalem describendo responsabilitates partium, SLAs et provinciarum responsabilitatum in clavibus ad expediendas notitias personales. Revera, inter te et provisorem, praeterquam consensus ministerii, ordo processus PD subsignandus est. In omni casu diligenter eas perscrutanda est. Interest intelligere divisionem officiorum inter te et provisorem.

  • Quaeso note segmentum necessario dignum esse, quo significat, testimonium habere debere, indicans gradum securitatis non minorem quam quae IP tua postulata est. Fit ut provisores tantum primam paginam libellorum evulgent, e quibus parum constat, vel ad auditum vel ad processum obsequium referendum sine libello ipsius (β€œibi erat puer?”). Valet pro eo petendo - hoc documentum publicum est quod indicat qui certificationem, validitatem periodum, locum nubem, etc.

  • Provisor informationes praebere debet ubi eius situs (obiecta protecta) sita sunt ut positionem notitiarum tuarum continere possis. Admonemus vos primam collectionem notitiarum personalium perficiendarum esse in territorio Foederationis Russicae, proinde expedit videre inscriptiones centri notitiarum in contractu/certificationis.

  • Provisor certificatis informationibus securitatibus et informationibus systematis tutelae uti debet. Utique plerique provisores securitatis technicae mensuras et solutiones architecturae non ostentant. Sed tu, ut clientis, non possum non scire. Exempli causa, remotum coniungere ad rationem administrationis (administrationis portae), necesse est ut mensuras securitatis adhibeas. Provisor hanc postulationem praeterire non poterit et tibi solutiones certificatas (vel ut uti requirat) providebit. Facultates experiendi sume et statim quomodo et quid opera cognosces. 

  • Valde optandum est ut nubes provisor ad alia officia in campo securitatis informationis provideat. Haec varia officia esse possunt: ​​tutela contra DDoS impetus et WAF, anti-virus servitium vel sandbox, etc. Haec omnia tibi pro servitio recipere permittent, non aedificandis rationibus tutelae distrahendis, sed ad negotia negotia adhibenda.

  • Provisor licentiae FSTEC et FSB esse debet. Pro regula talis notitia directe in website. Vide ut haec documenta petat et inspicias num inscriptiones ad officia praestanda, nomen societatis provisoris, etc., recte sint. 

Summatim. Conductio infrastructura te CAPEX relinquere permittet et solum negotia tua applicationes ac notitia ipsa in provincia tua responsabilitatis retinebit ac grave onus certificationis ferrariae et programmatum et ferramentorum ad provisorem transferet.

Quomodo transivimus certificationem

Nuper admodum recertificationem infrastructuram "Securis Cloud FZ-152" transeamus pro obsequio cum requisitis ad operandum cum notitia personali. peractum est opus a Centre Nationali Certificatione.

In statu, "FZ-152 Cloud Securus" certificatus est pro rationibus informationis obnoxiae quae in processu, repositione vel transmissione notitiarum personalium (ISPDn) secundum exigentias campi UZ-3.

Modus certificationis involvit obsequium substructionis nubis provisoris inhibendo cum gradu tutelae. Provisor ipse ministerium IaaS praebet nec operans notitiarum personalium est. Processus implicat aestimationem utriusque normae (documentationis, ordinum, etc.) et technicae mensurae (appositae tutelae, etc.).

Leve dici non potest. Non obstante quod GOST in programs et methodis certificationis faciendi actiones anno 2013 reversa apparuit, rationes strictae obiectorum nubilum adhuc non exsistunt. Centra Certification istas progressiones in sua peritia enucleant. Novo technologiae veniente, programmata magis implicata et modernizata fiunt, ideoque certificator experientiam habere debet cum solutionibus obnubilatis operando et specialia intelligenda.

In nobis, rem munitam duobus locis constat.

  • Opes nubis (servatores, systemata repono, retis infrastructurae, instrumenta securitatis, etc.) directe in centrum datae collocantur. Utique, tale centrum virtualis notitiae publicae retiacula coniungitur, ideoque certa firewall requisita occurrenda sunt, exempli gratia, usus firewalls certificati.

  • Secunda pars obiecti est instrumentorum administratio nubes. Hae sunt workstationes (operationes administratoriae) e quibus segmentum tuta tractatur.

Loci communicant per canalem VPN in CIPF aedificatum.

Cum virtualizationis technologiae condiciones ad minis cessum efficiunt, etiam instrumenta adiectis instrumentis tutelae certificatis utimur.

IaaS 152-FZ: ergo securitatem debesObstructionum tabula "per oculos assessoris"

Si client certificationem sui ISPD requirit, postquam IaaS locavit, ille tantum systema informativum super gradum virtualis notitiae centri aestimare debebit. Haec ratio involvit recognitionem infrastructuram et programmatum in eo adhibitum. Cum referre potes ad libellum de omnibus infrastructuris provisoris, omnia facere debes cum programmate.

IaaS 152-FZ: ergo securitatem debesSeparatio in gradu abstractionis

Demum, hic parvum genus pro societatibus quae iam cum personalibus datae sunt operantur vel consilio tantum sunt. Sic tractare sine questus crematur.

  1. Ad exempla minarum et intrusorum audienda et augenda, consultum peritis e certificatione laboratorium invitant qui adiuvabit documenta necessaria evolvere et ad solutiones technicas stadium adducere.

  2. Cum provisor nubem eligens, coram libello attende. Bonum est si societas publice missae directe in website. Provisor licentiae FSTEC et FSB esse debet, et servitium oblatum certificari debet.

  3. Fac te habere consensum formalem et disciplinam signatam ad expediendas notitias personales. Secundum hoc, utrumque obsequium perscriptio et certificationis ISPD exsequi poteris. Si hoc opus in scaena technicae rei et creationis consilii et documentorum technicorum onerosus tibi videtur, debes tertiam partem consulendi societates contingere. ex certificatione.

Si quaestiones notitiarum personalium ad te pertinentes, die XVIII mensis Septembris, huius Veneris, gaudebimus te videre in webinar. "Features of building certified nubibus".

Source: www.habr.com