Egal wéi vill Dir d'Mythen a Legenden sortéiert, déi d'Konformitéit mam 152-FZ ëmginn, eppes bleift ëmmer hannert de Kulissen. Haut wëlle mir e puer net ëmmer evident Nuancen diskutéieren, déi souwuel grouss Firmen wéi och ganz kleng Entreprisen begéinen:
Subtleties vun der PD Klassifikatioun a Kategorien - wann e klengen Online-GeschÀft Daten am Zesummenhang mat enger spezieller Kategorie sammelt ouni iwwerhaapt doriwwer ze wëssen;
wou Dir Backups vu gesammelten PD spÀichere kënnt an Operatiounen op hinnen ausféieren;
wat ass den Ănnerscheed tĂ«scht engem Zertifikat an engem KonformitĂ©itsconclusioun, wĂ©i eng Dokumenter sollt Dir vum Provider ufroen, a sou Saachen.
Schlussendlech wÀerte mir mat Iech eis eegen Erfarung deelen fir d'Zertifizéierung ze passéieren. Gitt!
Den Expert am Artikel vun haut wÀert sinn Alexey Afanasyev, IS Spezialist fir Cloud Provider IT-GRAD an #CloudMTS (Deel vun der MTS Grupp).
Subtleties vun Klassifikatioun
Mir begéinen dacks de Wonsch vun engem Client fir séier, ouni IS-Audit, den néidege Sécherheetsniveau fir eng ISPD ze bestëmmen. E puer Materialien um Internet iwwer dëst Thema ginn de falschen Androck datt dëst eng einfach Aufgab ass an et ass ganz schwéier e Feeler ze maachen.
Fir KM ze bestëmmen, ass et néideg ze verstoen wat d'Donnéeën vum IS vum Client gesammelt a veraarbecht ginn. Heiansdo kann et schwéier sinn eendeiteg d'Schutzfuerderungen an d'Kategorie vu perséinlechen Donnéeën ze bestëmmen déi e GeschÀft bedreift. Déiselwecht Aarte vu perséinlechen Donnéeën kënnen op komplett verschidde Weeër bewÀert a klasséiert ginn. Dofir, an e puer FÀll, kann d'Meenung vum GeschÀft ënnerscheeden vun der Meenung vum Auditeur oder souguer vum Inspekter. Loosst eis e puer Beispiller kucken.
Parking. Et géif schéngen wéi eng zimlech traditionell Aart vu GeschÀft. Vill Gefiererflotten funktionnéieren zënter Joerzéngte, an hir Besëtzer astellen individuell Entrepreneuren an Eenzelpersounen. Als Regel falen d'Mataarbechterdaten ënner den UZ-4 Ufuerderunge. Wéi och ëmmer, fir mat Chauffeuren ze schaffen, ass et néideg net nëmme perséinlech Donnéeën ze sammelen, awer och medizinesch Kontroll op den Territoire vun der Gefierpark ze maachen ier Dir op eng Verréckelung geet, an d'Informatioun, déi am Prozess gesammelt gëtt, fÀllt direkt an d'Kategorie vun medezinesch Donnéeën - an dat ass perséinlech Donnéeë vun enger spezieller Kategorie. ZousÀtzlech kann d'Flott Zertifikater ufroen, déi dann an der Datei vum Chauffeur gehale ginn. E Scan vun esou engem Zertifika an elektronescher Form - Gesondheetsdaten, perséinlech Donnéeën vun enger spezieller Kategorie. Dëst bedeit datt UZ-4 net méi duer ass, op d'mannst UZ-3.
Online GeschĂ€ft. Et schĂ©ngt, datt d'Nimm, d'E-Mailen an d'Telefonsnummeren, dĂ©i gesammelt goufen, an dĂ©i Ă«ffentlech Kategorie passen. WĂ©i och Ă«mmer, wann Ăr Clienten DiĂ€tvirlĂ©iften uginn, sou wĂ©i Halal oder Koscher, kĂ«nnen esou Informatioun als reliĂ©is Associatioun oder Iwwerzeegungsdaten ugesi ginn. Dofir, wann Dir aner KontrollaktivitĂ©iten iwwerprĂ©ift oder ausfĂ©iert, kann den Inspekter d'DonnĂ©eĂ«n, dĂ©i Dir sammelt, als eng speziell Kategorie vu persĂ©inlechen DonnĂ©eĂ«n klassifizĂ©ieren. Elo, wann en Online-GeschĂ€ft Informatioun gesammelt huet, ob sĂ€i Keefer Fleesch oder FĂ«sch lĂ©iwer huet, kĂ«nnen d'DonnĂ©eĂ«n als aner persĂ©inlech DonnĂ©eĂ« klassĂ©iert ginn. Iwwregens, wat iwwer Vegetarier? Ămmerhin kann dat och zu philosopheschen Iwwerzeegungen zougeschriwwen ginn, dĂ©i och zu enger spezieller Kategorie gehĂ©ieren. Awer op der anerer SĂ€it kann dĂ«st einfach d'Haltung vun enger Persoun sinn, dĂ©i Fleesch aus senger ErnĂ€hrung eliminĂ©iert huet. Och, et gĂ«tt keen Zeechen dat d'Kategorie vum PD an esou "subtile" Situatiounen eendeiteg definĂ©iert.
PublicitĂ©it Agence Mat e puer Western Cloud Service veraarbecht et Ă«ffentlech verfĂŒgbar Daten vu senge Clienten - voll Nimm, E-Mail Adressen an Telefonsnummeren. DĂ«s persĂ©inlech DonnĂ©eĂ« bezĂ©ien sech natierlech op persĂ©inlech DonnĂ©eĂ«n. D'Fro stellt sech: Ass et legal esou Veraarbechtung ze maachen? Ass et iwwerhaapt mĂ©iglech sou Daten ouni DepersonalisĂ©ierung ausserhalb vun der russescher Federatioun ze plĂ«nneren, zum Beispill, Backups an e puer auslĂ€nnesche Wolleken ze spĂ€icheren? Natierlech kĂ«nnt Dir. D'Agence huet d'Recht dĂ«s DonnĂ©eĂ«n ausserhalb vu Russland ze spĂ€icheren, awer dĂ©i initial Sammlung, no eiser Gesetzgebung, muss um Territoire vun der russescher Federatioun duerchgefouert ginn. Wann Dir esou Informatiounen Backupsatellit, Berechent e puer Statistiken basĂ©iert op et, Fuerschung oder Leeschtunge e puer aner Operatiounen mat et - all dat kann op westlech Ressourcen gemaach ginn. De SchlĂ«sselpunkt aus enger juristescher Siicht ass wou persĂ©inlech Daten gesammelt ginn. Et ass dofir wichteg dĂ©i initial Sammlung an d'Veraarbechtung net ze verwiesselen.
Wéi aus dëse kuerze Beispiller geet, ass d'Aarbecht mat perséinlechen Donnéeën net ëmmer einfach an einfach. Dir musst net nëmmen wëssen datt Dir mat hinnen schafft, awer och fÀeg sinn se richteg ze klassifizéieren, ze verstoen wéi d'IP funktionnéiert fir den erfuerderleche Sécherheetsniveau richteg ze bestëmmen. A verschiddene FÀll kann d'Fro stellen wéi vill perséinlech Donnéeën d'Organisatioun tatsÀchlech brauch fir ze bedreiwen. Ass et méiglech déi "eescht" oder einfach onnéideg Donnéeën ze refuséieren? ZousÀtzlech recommandéiert de Reguléierer perséinlech Donnéeën ze depersonaliséieren wa méiglech.
Wéi an de Beispiller hei uewen, kënnt Dir heiansdo op d'Tatsaach stousse datt d'Inspektiounsautoritéiten déi gesammelt perséinlech Donnéeë liicht anescht interpretéieren wéi Dir se selwer bewÀert hutt.
Natierlech kënnt Dir en Auditeur oder e Systemintegrator als Assistent astellen, awer wÀert den "Assistent" verantwortlech sinn fir d'Entscheedungen, déi am Fall vun engem Audit gewielt ginn? Et ass derwÀert ze bemierken datt d'Verantwortung ëmmer beim Besëtzer vun der ISPD lÀit - de Bedreiwer vu perséinlechen Donnéeën. Dofir ass et wichteg, wann eng Firma esou Aarbechten ausféiert, sech un sérieux Spiller um Maart fir esou Servicer ze wenden, zum Beispill Firmen déi Zertifizéierungsaarbechte maachen. Zertifizéierungsfirmen hunn extensiv Erfahrung an der Ausféierung vun esou Aarbechten.
Optiounen fir eng ISPD ze bauen
De Bau vun engem ISPD ass net nëmmen en techneschen, mee och gréisstendeels e juristesche Problem. Den CIO oder Sécherheetsdirekter soll ëmmer mat juristesche Beroder konsultéieren. Well d'Firma net ëmmer e Spezialist huet mat deem Profil deen Dir braucht, ass et derwÀert op Auditeur-Beroder ze kucken. Vill rutsche Punkte sinn vlÀicht guer net evident.
D'Konsultatioun erlaabt Iech ze bestëmmen mat wéi enger perséinlecher Donnéeën Dir ze dinn hutt a wéi engem Schutzniveau et erfuerdert. Deementspriechend kritt Dir eng Iddi vun der IP déi erstallt oder ergÀnzt muss ginn mat Sécherheets- an operationelle Sécherheetsmoossnamen.
Oft ass d'Wiel fir eng Firma tëscht zwou Méiglechkeeten:
Baut dĂ©i entspriechend IS op Ăren eegene Hardware- a SoftwarelĂ©isungen, mĂ©iglecherweis an Ărem eegene Serverraum.
Kontaktéiert e Cloud Provider a wielt eng elastesch Léisung, e schonn zertifizéierte "virtuellen Serverraum".
DĂ©i meescht Informatiounssystemer, dĂ©i persĂ©inlech DonnĂ©eĂ«n veraarbecht, benotzen eng traditionell Approche, dĂ©i aus enger geschĂ€ftlecher Siicht kaum einfach an erfollegrĂ€ich genannt ginn ass. Wann Dir dĂ«s Optioun auswielt, ass et nĂ©ideg ze verstoen datt den techneschen Design eng Beschreiwung vun der AusrĂŒstung enthĂ€lt, dorĂ«nner Software an Hardware LĂ©isungen a Plattformen. DĂ«st bedeit datt Dir dĂ©i folgend Schwieregkeeten a AschrĂ€nkungen konfrontĂ©iert hutt:
Schwieregkeete vun der Skala;
laang Projet Ămsetzung Period: et ass nĂ©ideg de System ze wielen, kafen, installĂ©ieren, konfigurĂ©ieren an beschreiwen;
vill "Pabeier" Aarbecht, als Beispill - d'Entwécklung vun engem komplette Pak vun Dokumentatioun fir de ganze ISPD.
ZousÀtzlech versteet e GeschÀft, als Regel, nëmmen den "Top" Niveau vu senger IP - d'GeschÀftsapplikatiounen déi se benotzt. An anere Wierder, IT Personal sinn qualifizéiert an hirem spezifesche BerÀich. Et gëtt kee VerstÀndnis wéi all déi "ënneschten Niveauen" funktionnéieren: Software- an Hardwareschutz, SpÀichersystemer, Backup an natierlech wéi Dir Schutzinstrumenter konfiguréieren an all Ufuerderunge konfiguréieren, den "Hardware" Deel vun der Konfiguratioun bauen. Et ass wichteg ze verstoen: dëst ass eng rieseg Schicht vu Wëssen, déi ausserhalb vum Client sÀi GeschÀft lÀit. Dëst ass wou d'Erfahrung vun engem Cloud Provider en zertifizéierte "virtuellen Serverraum" ka praktesch kommen.
Am Tour hunn d'Cloud Provider eng Rei Virdeeler, dĂ©i ouni iwwerdreiwen 99% vun de GeschĂ€ftsbedĂŒrfnisser am BerĂ€ich vum persĂ©inlechen Dateschutz kĂ«nnen ofdecken:
KapitalkÀschte ginn an OperatiounskÀschte ëmgewandelt;
de Provider, fir sÀin Deel, garantéiert d'Bereetstellung vum erfuerderlechen Niveau vu Sécherheet an Disponibilitéit baséiert op enger bewÀhrter Standardléisung;
et ass net néideg e Personal vu Spezialisten z'erhalen, déi d'Operatioun vun der ISPD op Hardwareniveau garantéieren;
Ubidder bidden vill méi flexibel an elastesch Léisungen;
d'Spezialisten vum Provider hunn all déi néideg Certificaten;
KonformitĂ©it ass net manner wĂ©i wann Dir Ăr eege Architektur baut, d'Ufuerderungen an d'Recommandatioune vun de RegulĂ©ierer berĂŒcksichtegt.
Den ale Mythos datt persĂ©inlech DonnĂ©eĂ«n net an der Wollek kĂ«nne gespĂ€ichert ginn ass nach Ă«mmer extrem populĂ€r. Et ass nĂ«mmen deelweis wouer: PD ka wierklech net gepost ginn an der Ă©ischter verfĂŒgbar Wollek. KonformitĂ©it mat bestĂ«mmten technesche Moossnamen an d'Benotzung vu bestĂ«mmte zertifizĂ©ierte LĂ©isunge sinn erfuerderlech. Wann de Fournisseur all gesetzlech Ufuerderunge entsprĂ©cht, sinn d'Risiken, dĂ©i mat persĂ©inlechen Datelekage verbonne sinn, minimĂ©iert. Vill Ubidder hunn eng separat Infrastruktur fir d'Veraarbechtung vu persĂ©inlechen DonnĂ©eĂ«n am Aklang mat 152-FZ. WĂ©i och Ă«mmer, d'Wiel vum Fournisseur muss och mat WĂ«ssen vu bestĂ«mmte CritĂšren ugoen, mir wĂ€erte se sĂ©cher hei Ă«nnen berĂ©ieren;
Clienten kommen dacks bei eis mat e puer Bedenken iwwer d'Plazéierung vu perséinlechen Donnéeën an der Cloud vum Provider. Gutt, loosst eis se direkt diskutéieren.
Date kënne wÀhrend der Iwwerdroung oder Migratioun geklaut ginn
Et ass net nĂ©ideg fir dĂ«st Angscht ze hunn - de Provider bitt dem Client d'Schafung vun engem sĂ©cheren Datetransmissionskanal op zertifizĂ©ierte LĂ©isungen gebaut, verstĂ€erkte Authentifikatiounsmoossname fir Kontraktoren a Mataarbechter. Alles wat bleift ass dĂ©i entspriechend Schutzmethoden ze wielen an se als Deel vun Ărer Aarbecht mam Client Ă«mzesetzen.
Show Masken wÀert kommen an huelen ewech / Sigel / ofgeschnidden Muecht un de Server
Et ass ganz verstĂ€ndlech fir Clienten dĂ©i Angscht hunn datt hir GeschĂ€ftsprozesser gestĂ©iert ginn wĂ©inst net genuch Kontroll iwwer d'Infrastruktur. Als Regel, denken dĂ©i Clienten, deenen hir Hardware virdru a klenge Serverraim anstatt spezialisĂ©iert Datenzenteren lĂ€it. A Wierklechkeet sinn Datenzentere mat modernen MĂ«ttele vum kierperlechen an Informatiounsschutz ausgestatt. Et ass bal onmĂ©iglech all Operatiounen an esou engem Datenzenter ouni genuch Grond a Pabeieren auszefĂ©ieren, an esou AktivitĂ©iten erfuerderen d'KonformitĂ©it mat enger Rei vu Prozeduren. ZousĂ€tzlech, "zĂ©ien" Ăre Server aus dem Datenzenter kann aner Cliente vum Provider beaflossen, an dat ass definitiv net fir jiddereen nĂ©ideg. Ausserdeem wĂ€ert keen fĂ€eg sinn e Fanger speziell op "Ăre" virtuelle Server ze weisen, also wann iergendeen et wĂ«llt klauen oder eng Maskeshow inszenĂ©ieren, muss se fir d'Ă©ischt mat vill bĂŒrokratesch VerspĂ©idungen kĂ«mmeren. WĂ€rend dĂ«ser ZĂ€it hutt Dir hĂ©chstwahrscheinlech ZĂ€it fir e puer Mol op eng aner SĂ€it ze migrĂ©ieren.
Hacker hacken d'Wollek a klauen Daten
D'Internet an d'Press si voller Schlagzeilen iwwer wéi eng aner Wollek Affer vu Cyberkrimineller gefall ass, a Millioune vu perséinlechen Datenrecords online gelaf sinn. An der grousser Majoritéit vu FÀll goufe Schwachstelle guer net op der SÀit vum Provider fonnt, mÀ an den Informatiounssystemer vun den Affer: schwaach oder souguer Standardpasswierder, "LÀcher" an WebsÀitmotoren an Datenbanken, a banal GeschÀftsfeelegkeet bei der Auswiel vu Sécherheetsmoossnamen an organiséieren Daten Zougang Prozeduren. All zertifizéiert Léisunge ginn op Schwachstelle gepréift. Mir maachen och regelméisseg "Kontroll" Pentests a Sécherheetsaudits, souwuel onofhÀngeg wéi duerch extern Organisatiounen. Fir de Provider ass dëst eng Fro vu Ruff a GeschÀfter am Allgemengen.
De Fournisseur / d'Mataarbechter vum Provider klauen perséinlech Donnéeën fir perséinlech Gewënn
Dëst ass en zimlech sensiblen Moment. Eng Zuel vu Firmen aus der Informatiounssécherheetswelt "schrecken" hir Clienten an insistéieren datt "intern Mataarbechter méi geféierlech si wéi extern Hacker." Dëst kann an e puer FÀll wouer sinn, awer e GeschÀft kann net ouni Vertrauen gebaut ginn. Vun ZÀit zu ZÀit blénkt d'Nouvelle datt eng Organisatioun hir eege Mataarbechter Clientdaten un UgrÀifer lecken, an intern Sécherheet ass heiansdo vill méi schlecht organiséiert wéi extern Sécherheet. Et ass wichteg hei ze verstoen datt all grousse Provider extrem oninteresséiert ass an negativ FÀll. D'Aktiounen vun de Mataarbechter vum Provider si gutt geregelt, Rollen a VerantwortungsberÀicher sinn opgedeelt. All GeschÀftsprozesser sinn esou strukturéiert datt FÀll vun Datenleckage extrem onwahrscheinlech sinn a fir intern Servicer ëmmer bemierkbar sinn, sou datt d'Cliente keng Angscht virun Probleemer vun dëser SÀit hunn.
Dir bezuelt wĂ©ineg well Dir fir Servicer mat Ăre GeschĂ€ftsdaten bezuelt.
En anere Mythos: e Client, dee sĂ©cher Infrastruktur zu engem bequeme PrĂ€is lount, bezilt et eigentlech mat sengen DonnĂ©eĂ«n - dĂ«st gĂ«tt dacks vun Experten geduecht, dĂ©i et egal sinn, e puer Verschwörungstheorien ze liesen ier se an d'Bett goen. Als Ă©ischt ass d'MĂ©iglechkeet all Operatiounen mat Ăren DonnĂ©eĂ«n auszefĂ©ieren wĂ©i dĂ©i an der Uerdnung spezifizĂ©iert am Wesentlechen null. Zweetens, en adĂ€quate Fournisseur schĂ€tzt d'Relatioun mat Iech a sĂ€i Ruff - nieft Iech, huet hien vill mĂ©i Clienten. De GĂ©igendeel Szenario ass mĂ©i wahrscheinlech, an deem de Provider d'Date vu senge Clienten eifreg schĂŒtzt, op deem sĂ€i GeschĂ€ft hĂ€nkt.
Wielt e Cloud Provider fir ISPD
Haut bitt de Maart vill Léisunge fir Firmen déi PD Bedreiwer sinn. Drënner ass eng allgemeng Lëscht vun Empfehlungen fir déi richteg ze wielen.
De Provider muss bereet sinn e formellen Accord anzegoen, deen d'Verantwortung vun de Parteien, SLAs a VerantwortungsberÀicher am Schlëssel fir d'Veraarbechtung vu perséinlechen Donnéeën beschreift. TatsÀchlech, tëscht Iech an dem Provider, nieft dem Servicevertrag, muss eng Bestellung fir PD-Veraarbechtung ënnerschriwwe ginn. Op alle Fall ass et derwÀert se virsiichteg ze studéieren. Et ass wichteg d'Verdeelung vun de Verantwortung tëscht Iech an dem Provider ze verstoen.
NotĂ©iert w.e.g. datt de Segment den Ufuerderunge erfĂ«llen muss, dat heescht datt et e Certificat muss hunn, deen e SĂ©cherheetsniveau net manner wĂ©i dee vun Ărer IP erfuerdert. Et geschitt datt d'Provider nĂ«mmen dĂ©i Ă©ischt SĂ€it vum Zertifika verĂ«ffentlechen, aus deem wĂ©ineg kloer ass, oder op Auditen oder KonformitĂ©itsprozeduren bezĂ©ien ouni den Zertifika selwer ze publizĂ©ieren ("War et e Jong?"). Et ass derwĂ€ert et ze froen - dĂ«st ass en Ă«ffentlecht Dokument dat weist wien d'ZertifizĂ©ierung, d'ValiditĂ©itsperiod, d'Cloudplaz, asw.
De Provider muss Informatioun ubidden iwwer wou seng Siten (geschĂŒtzt Objeten) lokalisĂ©iert sinn, fir datt Dir d'Placement vun Ăren DonnĂ©eĂ«n kontrollĂ©iere kĂ«nnt. Loosst eis Iech drun erĂ«nneren datt dĂ©i initial Sammlung vu persĂ©inlechen DonnĂ©eĂ«n um Territoire vun der russescher Federatioun deementspriechend duerchgefouert gĂ«tt, ass et unzeroden d'Adressen vum Datenzenter am Kontrakt / Zertifika ze gesinn.
De Provider muss zertifizéiert Informatiounssécherheet an Informatiounsschutzsystemer benotzen. Natierlech maachen déi meescht Ubidder net déi technesch Sécherheetsmoossnamen a Léisungsarchitektur déi se benotzen. MÀ Dir, als Client, kann net hëllefen, et doriwwer ze wëssen. Zum Beispill, fir op afstand mat engem Managementsystem (Gestiounsportal) ze verbannen, ass et néideg Sécherheetsmoossnamen ze benotzen. De Provider wÀert dës Fuerderung net kënnen ëmgoen a wÀert Iech mat (oder verlaangen datt Dir benotzt) zertifizéiert Léisungen. Huelt d'Ressourcen fir en Test an Dir wÀert direkt verstoen wéi a wat funktionnéiert.
Et ass héich wënschenswÀert fir de Cloud Provider zousÀtzlech Servicer am BerÀich vun Informatiounssécherheet ze bidden. Dëst kënne verschidde Servicer sinn: Schutz géint DDoS Attacken a WAF, Anti-Virus Service oder Sandkëscht, etc. All dëst erlaabt Iech Schutz als Service ze kréien, net vun de Bauschutzsystemer ofgelenkt ze ginn, mee fir GeschÀftsapplikatiounen ze schaffen.
De Provider muss e Lizenzgeber vu FSTEC a FSB sinn. In der Regel, esou Informatioun gëtt direkt op der WebsÀit gepost. Gitt sécher dës Dokumenter unzefroen an z'iwwerpréiwen ob d'Adressen fir d'Servicer ubidden, den Numm vum Providerfirma, asw.
Loosst eis zesummefaassen. D'Locatioun vun Infrastruktur erlaabt Iech CAPEX opzeginn an nĂ«mmen Ăr GeschĂ€ftsapplikatiounen an d'DonnĂ©eĂ«n selwer an Ărem VerantwortungsberĂ€ich behalen, an dĂ©i schwĂ©ier Belaaschtung vun der ZertifizĂ©ierung vun Hardware a Software an Hardware un de Fournisseur transferĂ©ieren.
Wéi mir d'Zertifizéierung passéiert hunn
Zënter kuerzem hu mir d'Rezertifikatioun vun der Infrastruktur vun der "Secure Cloud FZ-152" erfollegrÀich iwwerholl fir d'Ufuerderunge fir mat perséinlechen Donnéeën ze schaffen. D'Aarbechte goufen vum National Certification Center duerchgefouert.
De Moment ass de "FZ-152 Secure Cloud" zertifizéiert fir d'Hosting vun Informatiounssystemer, déi an der Veraarbechtung, der Lagerung oder der Iwwerdroung vu perséinlechen Donnéeën (ISPDn) involvéiert sinn am Aklang mat den UZ-3 Ufuerderunge.
D'ZertifizĂ©ierungsprozedur implizĂ©iert d'KonformitĂ©it vun der Infrastruktur vum Cloud Provider mam Schutzniveau ze kontrollĂ©ieren. De Provider selwer bitt den IaaS Service an ass keen Bedreiwer vu persĂ©inlechen DonnĂ©eĂ«n. De Prozess beinhalt d'BewĂ€ertung vun organisatoreschen (Dokumentatioun, Bestellungen, asw.) an technesch Moossnamen (SchutzausrĂŒstung opzestellen, etc.).
Et kann net trivial genannt ginn. Trotz der Tatsaach, datt GOST op Programmer a Methoden fir d'Zertifizéierungsaktivitéiten auszeféieren am Joer 2013 erschéngen, sinn strikt Programmer fir Cloud Objete nach ëmmer net existéiert. Zertifizéierungszentren entwéckelen dës Programmer op Basis vun hirer eegener Expertise. Mat dem Advent vun neien Technologien ginn d'Programmer méi komplex a moderniséiert deementspriechend, den Zertifizéierer muss Erfahrung mat Cloud-Léisungen hunn an d'Spezifizitéiten verstoen.
An eisem Fall besteet de geschĂŒtzten Objet aus zwou Plazen.
Cloud Ressourcen (Server, SpÀichersystemer, Netzwierkinfrastruktur, Sécherheetsinstrumenter, asw.) sinn direkt am Rechenzentrum. Natierlech ass esou e virtuellen Datenzenter mat ëffentlechen Netzwierker verbonnen, an deementspriechend musse bestëmmte Firewall-Ufuerderunge erfëllt sinn, zum Beispill d'Benotzung vun zertifizéierte Firewalls.
Den zweeten Deel vum Objet ass Cloud Management Tools. DĂ«st sinn Aarbechtsstatiounen (Administrator Aarbechtsstatiounen), vun deenen de geschĂŒtzte Segment gerĂ©iert gĂ«tt.
Plaze sinn iwwer Opportunitéit- e Kanal, deen op kryptographeschen Informatiounsschutzinstrumenter baséiert ass.
Zënter Virtualiséierungstechnologien erstellen Viraussetzunge fir d'Entstoe vu Bedrohungen, benotze mir och zousÀtzlech zertifizéiert Schutzinstrumenter.
Blockdiagramm "duerch d'Ae vum BewÀerter"
Wann de Client eng Zertifizéierung vu sengem ISPD erfuerdert, nodeems hien IaaS gelount huet, muss hien nëmmen den Informatiounssystem iwwer dem Niveau vum virtuelle Rechenzentrum evaluéieren. Dës Prozedur beinhalt d'Kontroll vun der Infrastruktur a Software déi dorop benotzt gëtt. Well Dir op den Zertifikat vum Provider fir all Infrastrukturprobleemer bezeechne kënnt, ass alles wat Dir maache musst ass mat der Software ze schaffen.
Trennung um Abstraktiounsniveau
Als Ofschloss, hei eng kleng Checklëscht fir Firmen déi scho mat perséinlechen Donnéeë schaffen oder just plangen. Also, wéi et ze handhaben ouni verbrannt ze ginn.
Fir d'Modeller vu Bedrohungen an AndrĂ©ngen z'iwwerprĂ©iwen an z'entwĂ©ckelen, invitĂ©iert en erfuerene Beroder aus den ZertifizĂ©ierungslaboratoiren, deen hĂ«lleft dĂ©i nĂ©ideg Dokumenter z'entwĂ©ckelen an Iech op d'BĂŒhn vun technesche LĂ©isungen ze brĂ©ngen.
Wann Dir e Cloud Provider auswielen, oppassen op d'PrÀsenz vun engem Zertifika. Et wier gutt, wann d'Firma et ëffentlech direkt op der WebsÀit gepost huet. De Fournisseur muss e Lizenzgeber vu FSTEC a FSB sinn, an de Service deen hie bitt muss zertifizéiert sinn.
Vergewëssert Iech datt Dir e formellen Accord an eng ënnerschriwwen Instruktioun fir d'Veraarbechtung vu perséinlechen Donnéeën hutt. Baséierend op dësem, kënnt Dir souwuel eng Konformitéitskontroll wéi och eng ISPD Zertifizéierung ausféieren. aus tëscht den Zertifizéierungslaboratoiren.
Wann d'Problemer vun der perséinlecher Dateveraarbechtung fir Iech relevant sinn, den 18. September, dëse Freideg, wÀerte mir frou Iech um Webinar ze gesinn .
Source: will.com
