ProHoster > Blogs > Administrācija > IaaS 152-FZ: tātad, jums ir nepiecieŔama droŔība

IaaS 152-FZ: tātad, jums ir nepiecieŔama droŔība

IaaS 152-FZ: tātad, jums ir nepiecieŔama droŔība

NeatkarÄ«gi no tā, cik daudz jÅ«s Ŕķirojat mÄ«tus un leÄ£endas, kas apvij atbilstÄ«bu 152-FZ, kaut kas vienmēr paliek aizkulisēs. Å odien mēs vēlamies apspriest dažas ne vienmēr acÄ«mredzamas nianses, ar kurām var saskarties gan lieli uzņēmumi, gan ļoti mazi uzņēmumi:

  • PD klasifikācijas smalkumus kategorijās - kad neliels interneta veikals apkopo datus, kas saistÄ«ti ar Ä«paÅ”u kategoriju, par to nemaz nezinot;

  • kur var glabāt savākto PD dublējumkopijas un veikt ar tiem darbÄ«bas;

  • kāda ir atŔķirÄ«ba starp sertifikātu un atbilstÄ«bas slēdzienu, kādi dokumenti ir jāpieprasa no pakalpojumu sniedzēja un tamlÄ«dzÄ«gi.

Visbeidzot, mēs dalÄ«simies ar jums savā pieredzē par sertifikācijas nokārtoÅ”anu. Aiziet!

Šodienas raksta eksperts būs Aleksejs Afanasjevs, IS speciālists mākoņpakalpojumu sniedzējiem IT-GRAD un #CloudMTS (daļa no MTS grupas).

Klasifikācijas smalkumi

Mēs bieži sastopamies ar klienta vēlmi ātri, bez IS audita, noteikt nepiecieÅ”amo droŔības lÄ«meni ISPD. Daži materiāli internetā par Å”o tēmu rada maldÄ«gu priekÅ”statu, ka tas ir vienkārÅ”s uzdevums un ir diezgan grÅ«ti kļūdÄ«ties.

Lai noteiktu KM, ir jāsaprot, kādus datus apkopos un apstrādās klienta IS. Dažkārt var bÅ«t grÅ«ti viennozÄ«mÄ«gi noteikt aizsardzÄ«bas prasÄ«bas un personas datu kategoriju, ko uzņēmums veic. Viena veida personas datus var novērtēt un klasificēt pilnÄ«gi atŔķirÄ«gi. Tāpēc dažos gadÄ«jumos uzņēmuma viedoklis var atŔķirties no revidenta vai pat inspektora viedokļa. ApskatÄ«sim dažus piemērus.

Auto stāvlaukums. Å Ä·iet, ka tas ir diezgan tradicionāls uzņēmējdarbÄ«bas veids. Daudzi autoparki darbojas jau gadu desmitiem, un to Ä«paÅ”nieki algo individuālos uzņēmējus un privātpersonas. Parasti uz darbinieku datiem attiecas UZ-4 prasÄ«bas. Taču, lai strādātu ar vadÄ«tājiem, ir nepiecieÅ”ams ne tikai vākt personas datus, bet arÄ« veikt medicÄ«nisko kontroli autoparka teritorijā pirms doÅ”anās maiņā, un procesā savāktā informācija uzreiz ietilpst kategorijā medicÄ«niskie dati - un tie ir Ä«paÅ”as kategorijas personas dati. Turklāt autoparks var pieprasÄ«t sertifikātus, kas pēc tam tiks saglabāti vadÄ«tāja failā. Šāda sertifikāta skenÄ“Å”ana elektroniskā formā - veselÄ«bas dati, Ä«paÅ”as kategorijas personas dati. Tas nozÄ«mē, ka UZ-4 vairs nepietiek, ir nepiecieÅ”ams vismaz UZ-3.

Interneta veikals. Å Ä·iet, ka savāktie vārdi, e-pasta adreses un tālruņu numuri iederas publiskajā kategorijā. Tomēr, ja jÅ«su klienti norāda uz uztura izvēli, piemēram, halal vai kosher, Ŕāda informācija var tikt uzskatÄ«ta par reliÄ£iskās piederÄ«bas vai pārliecÄ«bas datiem. Tāpēc, pārbaudot vai veicot citas kontroles darbÄ«bas, inspektors jÅ«su apkopotos datus var klasificēt kā Ä«paÅ”u personas datu kategoriju. Tagad, ja interneta veikals apkopotu informāciju par to, vai tā pircējs dod priekÅ”roku gaļai vai zivÄ«m, datus varētu klasificēt kā citus personas datus. Starp citu, kā ar veÄ£etārieÅ”iem? Galu galā to var attiecināt arÄ« uz filozofiskiem uzskatiem, kas arÄ« pieder pie Ä«paÅ”as kategorijas. Bet, no otras puses, tā vienkārÅ”i var bÅ«t tāda cilvēka attieksme, kurÅ” ir izslēdzis gaļu no uztura. Diemžēl nav nevienas pazÄ«mes, kas viennozÄ«mÄ«gi definētu PD kategoriju tik ā€œsmalkāsā€ situācijās.

Reklāmas aÄ£entÅ«ra Izmantojot kādu Rietumu mākoņpakalpojumu, tas apstrādā savu klientu publiski pieejamos datus - pilnus vārdus, e-pasta adreses un tālruņu numurus. Å ie personas dati, protams, attiecas uz personas datiem. Rodas jautājums: vai ir likumÄ«gi veikt Ŕādu apstrādi? Vai vispār ir iespējams pārvietot Ŕādus datus bez depersonalizācijas ārpus Krievijas Federācijas, piemēram, lai saglabātu dublējumkopijas kādos ārvalstu mākoņos? Protams tu vari. AÄ£entÅ«rai ir tiesÄ«bas Å”os datus glabāt ārpus Krievijas, tomēr sākotnējā vākÅ”ana saskaņā ar mÅ«su likumdoÅ”anu jāveic Krievijas Federācijas teritorijā. Ja dublējat Ŕādu informāciju, uz tās pamata rēķināt kādu statistiku, veicat izpēti vai veicat ar to kādas citas darbÄ«bas ā€“ to visu var izdarÄ«t uz Rietumu resursiem. No juridiskā viedokļa galvenais ir personas datu vākÅ”anas vieta. Tāpēc ir svarÄ«gi nejaukt sākotnējo savākÅ”anu un apstrādi.

Kā izriet no Å”iem Ä«sajiem piemēriem, darbs ar personas datiem ne vienmēr ir vienkārÅ”s un vienkārÅ”s. Lai pareizi noteiktu nepiecieÅ”amo droŔības lÄ«meni, jums ir ne tikai jāzina, ka strādājat ar viņiem, bet arÄ« jāspēj pareizi tos klasificēt, saprast, kā darbojas IP. AtseviŔķos gadÄ«jumos var rasties jautājums, cik daudz personas datu organizācijai patiesÄ«bā ir nepiecieÅ”ams, lai tā darbotos. Vai ir iespējams atteikties no ā€œnopietnākajiemā€ vai vienkārÅ”i nevajadzÄ«giem datiem? Turklāt regulators iesaka pēc iespējas depersonalizēt personas datus. 

Tāpat kā iepriekÅ” minētajos piemēros, dažkārt jÅ«s varat saskarties ar faktu, ka inspekcijas iestādes savāktos personas datus interpretē nedaudz savādāk, nekā jÅ«s pats tos vērtējāt.

Protams, par palÄ«gu var nolÄ«gt revidentu vai sistēmu integratoru, bet vai audita gadÄ«jumā par izvēlētajiem lēmumiem atbildēs ā€œasistentsā€? Ir vērts atzÄ«mēt, ka atbildÄ«ba vienmēr ir ISPD Ä«paÅ”niekam ā€“ personas datu operatoram. Tāpēc, uzņēmumam veicot Ŕādus darbus, ir svarÄ«gi pēc Ŕādiem pakalpojumiem vērsties pie nopietniem tirgus dalÄ«bniekiem, piemēram, sertifikācijas darbu veicējiem. Sertifikācijas uzņēmumiem ir liela pieredze Ŕādu darbu veikÅ”anā.

ISPD izveides iespējas

ISPD bÅ«vniecÄ«ba ir ne tikai tehnisks, bet lielā mērā arÄ« juridisks jautājums. CIO vai droŔības direktoram vienmēr jākonsultējas ar juristu. Tā kā uzņēmumā ne vienmēr ir jums nepiecieÅ”amā profila speciālists, ir vērts raudzÄ«ties uz auditoriem-konsultantiem. Daudzi slideni punkti var nebÅ«t acÄ«mredzami.

Konsultācija ļaus jums noteikt, ar kādiem personas datiem jūs strādājat un kāds aizsardzības līmenis tiem ir nepiecieŔams. Attiecīgi jūs iegūsit priekŔstatu par IP, kas ir jāizveido vai jāpapildina ar droŔības un darbības droŔības pasākumiem.

Bieži vien uzņēmuma izvēle ir starp divām iespējām:

  1. Izveidojiet atbilstoÅ”o IS, izmantojot savus aparatÅ«ras un programmatÅ«ras risinājumus, iespējams, savā serveru telpā.

  2. Sazinieties ar mākoņpakalpojumu sniedzēju un izvēlieties elastÄ«gu risinājumu, jau sertificētu ā€œvirtuālo serveru telpuā€.

Lielākā daļa informācijas sistēmu, kas apstrādā personas datus, izmanto tradicionālu pieeju, ko no biznesa viedokļa diez vai var saukt par vieglu un veiksmÄ«gu. Izvēloties Å”o iespēju, ir jāsaprot, ka tehniskajā projektā tiks iekļauts aprÄ«kojuma apraksts, tajā skaitā programmatÅ«ras un aparatÅ«ras risinājumi un platformas. Tas nozÄ«mē, ka jums bÅ«s jāsaskaras ar Ŕādām grÅ«tÄ«bām un ierobežojumiem:

  • mērogoÅ”anas grÅ«tÄ«bas;

  • ilgs projekta Ä«stenoÅ”anas periods: nepiecieÅ”ams izvēlēties, iegādāties, uzstādÄ«t, konfigurēt un aprakstÄ«t sistēmu;

  • daudz ā€œpapÄ«raā€ darba, kā piemērs - pilnÄ«gas dokumentācijas paketes izstrāde visam ISPD.

Turklāt uzņēmums, kā likums, saprot tikai sava IP ā€œaugŔējoā€ lÄ«meni - izmantotās biznesa lietojumprogrammas. Citiem vārdiem sakot, IT darbinieki ir kvalificēti savā konkrētajā jomā. Nav izpratnes par to, kā darbojas visi ā€œzemākie lÄ«meņiā€: programmatÅ«ras un aparatÅ«ras aizsardzÄ«ba, uzglabāŔanas sistēmas, dublÄ“Å”ana un, protams, kā konfigurēt aizsardzÄ«bas rÄ«kus atbilstoÅ”i visām prasÄ«bām, izveidot konfigurācijas ā€œaparatÅ«rasā€ daļu. Ir svarÄ«gi saprast: tas ir milzÄ«gs zināŔanu slānis, kas atrodas ārpus klienta biznesa. Å eit var noderēt mākoņa pakalpojumu sniedzēja pieredze, kas nodroÅ”ina sertificētu ā€œvirtuālo serveru telpuā€.

Savukārt mākoņpakalpojumu sniedzējiem ir virkne priekÅ”rocÄ«bu, kas bez pārspÄ«lējuma var segt 99% biznesa vajadzÄ«bu personas datu aizsardzÄ«bas jomā:

  • kapitāla izmaksas tiek pārvērstas ekspluatācijas izmaksās;

  • pakalpojumu sniedzējs no savas puses garantē vajadzÄ«gā droŔības un pieejamÄ«bas lÄ«meņa nodroÅ”ināŔanu, pamatojoties uz pārbaudÄ«tu standarta risinājumu;

  • nav jāuztur speciālistu sastāvs, kas nodroÅ”inās ISPD darbÄ«bu aparatÅ«ras lÄ«menÄ«;

  • pakalpojumu sniedzēji piedāvā daudz elastÄ«gākus un elastÄ«gākus risinājumus;

  • pakalpojumu sniedzēja speciālistiem ir visi nepiecieÅ”amie sertifikāti;

  • atbilstÄ«ba nav zemāka kā veidojot savu arhitektÅ«ru, ņemot vērā regulatoru prasÄ«bas un ieteikumus.

Vecais mÄ«ts, ka personas datus nevar glabāt mākonÄ«, joprojām ir ārkārtÄ«gi populārs. Tā ir tikai daļēji taisnÄ«ba: PD tieŔām nevar ievietot pirmajā pieejamajā mākonis. NepiecieÅ”ama atbilstÄ«ba noteiktiem tehniskiem pasākumiem un noteiktu sertificētu risinājumu izmantoÅ”ana. Ja pakalpojumu sniedzējs ievēro visas juridiskās prasÄ«bas, ar personas datu noplÅ«di saistÄ«tie riski tiek samazināti lÄ«dz minimumam. Daudziem pakalpojumu sniedzējiem ir atseviŔķa infrastruktÅ«ra personas datu apstrādei saskaņā ar 152-FZ. Tomēr arÄ« piegādātāja izvēle ir jāpieiet, zinot noteiktus kritērijus, kurus mēs noteikti pieskarsim tālāk. 

Klienti bieži vērÅ”as pie mums ar bažām par personas datu izvietoÅ”anu pakalpojumu sniedzēja mākonÄ«. Nu, tÅ«lÄ«t tos apspriedÄ«sim.

  • Dati var tikt nozagti pārraides vai migrācijas laikā

No tā nav jābaidās ā€“ pakalpojumu sniedzējs piedāvā klientam uz sertificētiem risinājumiem balstÄ«ta droÅ”a datu pārraides kanāla izveidi, uzlabotus autentifikācijas pasākumus darbuzņēmējiem un darbiniekiem. Atliek tikai izvēlēties atbilstoŔās aizsardzÄ«bas metodes un ieviest tās kā daļu no darba ar klientu.

  • ParādÄ«sies maskas un atņems / aizzÄ«mogos / atslēgs strāvas padevi serverim

Tas ir diezgan saprotami klientiem, kuri baidās, ka viņu biznesa procesi tiks traucēti nepietiekamas infrastruktÅ«ras kontroles dēļ. Parasti par to domā tie klienti, kuru aparatÅ«ra iepriekÅ” atradās mazās serveru telpās, nevis specializētos datu centros. Realitātē datu centri ir aprÄ«koti ar mÅ«sdienÄ«giem gan fiziskās, gan informācijas aizsardzÄ«bas lÄ«dzekļiem. Bez pietiekama pamata un dokumentiem Ŕādā datu centrā ir gandrÄ«z neiespējami veikt nekādas darbÄ«bas, un Ŕādām darbÄ«bām ir jāievēro vairākas procedÅ«ras. Turklāt sava servera ā€œizvilkÅ”anaā€ no datu centra var ietekmēt citus pakalpojumu sniedzēja klientus, un tas noteikti nevienam nav nepiecieÅ”ams. Turklāt neviens nevarēs norādÄ«t ar pirkstu konkrēti uz ā€œjÅ«suā€ virtuālo serveri, tāpēc, ja kāds vēlēsies to nozagt vai iestudēt masku Å”ovu, vispirms bÅ«s jātiek galā ar lielu birokrātisku kavÄ“Å”anos. Å ajā laikā jums, visticamāk, bÅ«s laiks vairākas reizes migrēt uz citu vietni.

  • Hakeri uzlauzÄ«s mākoni un nozags datus

Internets un drukātā prese ir pilns ar virsrakstiem par to, kā vēl viens mākonis ir kļuvis par kibernoziedznieku upuri, un miljoniem personas datu ierakstu ir noplÅ«duÅ”i tieÅ”saistē. Lielākajā daļā gadÄ«jumu ievainojamÄ«bas tika konstatētas nevis pakalpojumu sniedzēja pusē, bet gan cietuÅ”o informācijas sistēmās: vājas vai pat noklusējuma paroles, vietņu dzinēju un datu bāzu ā€œcaurumiā€ un banāla biznesa neuzmanÄ«ba, izvēloties droŔības pasākumus un datu piekļuves procedÅ«ru organizÄ“Å”ana. Visi sertificētie risinājumi tiek pārbaudÄ«ti attiecÄ«bā uz ievainojamÄ«bu. Mēs arÄ« regulāri veicam ā€œkontrolesā€ pārbaudes un droŔības auditus gan neatkarÄ«gi, gan ar ārēju organizāciju starpniecÄ«bu. Pakalpojumu sniedzējam tas ir reputācijas un biznesa jautājums kopumā.

  • Pakalpojumu sniedzējs/pakalpojumu sniedzēja darbinieki nozags personas datus personÄ«ga labuma gÅ«Å”anai

Å is ir diezgan jÅ«tÄ«gs brÄ«dis. Vairāki uzņēmumi no informācijas droŔības pasaules ā€œbiedēā€ savus klientus un uzstāj, ka ā€œiekŔējie darbinieki ir bÄ«stamāki nekā ārējie hakeriā€. Dažos gadÄ«jumos tas var bÅ«t taisnÄ«ba, taču uzņēmumu nevar izveidot bez uzticÄ«bas. Ik pa laikam uzplaiksnÄ« ziņas, ka paÅ”as organizācijas darbinieki uzbrucējiem nopludina klientu datus, un iekŔējā droŔība dažkārt tiek organizēta daudz sliktāk nekā ārējā droŔība. Å eit ir svarÄ«gi saprast, ka jebkurÅ” liels pakalpojumu sniedzējs ir ārkārtÄ«gi neinteresēts par negatÄ«viem gadÄ«jumiem. Apgādātāja darbinieku rÄ«cÄ«ba ir labi reglamentēta, lomas un atbildÄ«bas jomas ir sadalÄ«tas. Visi biznesa procesi ir strukturēti tā, ka datu noplÅ«des gadÄ«jumi ir ārkārtÄ«gi maz ticami un vienmēr ir pamanāmi iekŔējiem dienestiem, tāpēc klientiem nevajadzētu baidÄ«ties no problēmām no Ŕīs puses.

  • JÅ«s maksājat maz, jo maksājat par pakalpojumiem, izmantojot savus uzņēmuma datus.

Vēl viens mÄ«ts: klients, kurÅ” Ä«rē droÅ”u infrastruktÅ«ru par izdevÄ«gu cenu, patiesÄ«bā par to maksā ar saviem datiem ā€“ tā bieži domā eksperti, kuri neiebilst pirms gulētieÅ”anas izlasÄ«t pāris sazvērestÄ«bas teorijas. Pirmkārt, iespēja veikt jebkādas darbÄ«bas ar jÅ«su datiem, izņemot pasÅ«tÄ«jumā norādÄ«tās, bÅ«tÄ«bā ir nulle. Otrkārt, atbilstoÅ”s pakalpojumu sniedzējs novērtē attiecÄ«bas ar jums un savu reputāciju - bez jums viņam ir daudz vairāk klientu. Visticamāk ir pretējais scenārijs, kurā pakalpojumu sniedzējs dedzÄ«gi aizsargās savu klientu datus, uz kuriem balstās tā bizness.

ISPD mākoņa pakalpojumu sniedzēja izvēle

Mūsdienās tirgus piedāvā daudz risinājumu uzņēmumiem, kas ir PD operatori. Zemāk ir vispārīgs ieteikumu saraksts, kā izvēlēties pareizo.

  • Pakalpojumu sniedzējam ir jābÅ«t gatavam slēgt formālu lÄ«gumu, kurā ir aprakstÄ«ti puÅ”u pienākumi, SLA un atbildÄ«bas jomas personas datu apstrādes atslēgā. Faktiski starp jums un pakalpojumu sniedzēju papildus pakalpojuma lÄ«gumam ir jāparaksta PD apstrādes pasÅ«tÄ«jums. Jebkurā gadÄ«jumā ir vērts tos rÅ«pÄ«gi izpētÄ«t. Ir svarÄ«gi saprast pienākumu sadali starp jums un pakalpojumu sniedzēju.

  • LÅ«dzu, ņemiet vērā, ka segmentam ir jāatbilst prasÄ«bām, kas nozÄ«mē, ka tam ir jābÅ«t sertifikātam, kas norāda droŔības lÄ«meni, kas nav zemāks par to, ko pieprasa jÅ«su IP. Gadās, ka pakalpojumu sniedzēji publicē tikai sertifikāta pirmo lapu, no kuras maz skaidrs, vai atsaucas uz auditiem vai atbilstÄ«bas procedÅ«rām, nepublicējot paÅ”u sertifikātu (ā€œvai bija zēns?ā€). Ir vērts to lÅ«gt - tas ir publisks dokuments, kas norāda sertifikācijas veicēju, derÄ«guma termiņu, mākoņa atraÅ”anās vietu utt.

  • Pakalpojumu sniedzējam ir jāsniedz informācija par to, kur atrodas tā vietnes (aizsargājamie objekti), lai jÅ«s varētu kontrolēt savu datu izvietoÅ”anu. Atgādinām, ka sākotnējā personas datu vākÅ”ana ir jāveic Krievijas Federācijas teritorijā, attiecÄ«gi lÄ«gumā/sertifikātā vēlams redzēt datu centra adreses.

  • Pakalpojumu sniedzējam ir jāizmanto sertificētas informācijas droŔības un informācijas aizsardzÄ«bas sistēmas. Protams, lielākā daļa pakalpojumu sniedzēju nereklamē izmantotos tehniskos droŔības pasākumus un risinājumu arhitektÅ«ru. Bet jÅ«s kā klients nevarat par to nezināt. Piemēram, lai attālināti pieslēgtos vadÄ«bas sistēmai (pārvaldÄ«bas portālam), nepiecieÅ”ams izmantot droŔības pasākumus. Pakalpojumu sniedzējs nevarēs apiet Å”o prasÄ«bu un nodroÅ”inās jums (vai pieprasÄ«s izmantot) sertificētus risinājumus. Paņemiet resursus pārbaudei, un jÅ«s uzreiz sapratÄ«sit, kā un kas darbojas. 

  • Ä»oti vēlams, lai mākoņpakalpojumu sniedzējs sniegtu papildu pakalpojumus informācijas droŔības jomā. Tie var bÅ«t dažādi pakalpojumi: aizsardzÄ«ba pret DDoS uzbrukumiem un WAF, pretvÄ«rusu pakalpojums vai smilÅ”kaste utt. Tas viss ļaus jums saņemt aizsardzÄ«bu kā pakalpojumu, lai jÅ«s nenovērstu uzmanÄ«bu no ēku aizsardzÄ«bas sistēmām, bet gan strādātu pie biznesa lietojumprogrammām.

  • Pakalpojumu sniedzējam ir jābÅ«t FSTEC un FSB licenciātam. Parasti Ŕāda informācija tiek ievietota tieÅ”i vietnē. Noteikti pieprasiet Å”os dokumentus un pārbaudiet, vai pakalpojumu sniegÅ”anas adreses, pakalpojumu sniedzēja uzņēmuma nosaukums utt. ir pareizas. 

Apkoposim. InfrastruktÅ«ras noma ļaus jums atteikties no CAPEX un saglabāt tikai jÅ«su biznesa lietojumprogrammas un paÅ”us datus jÅ«su atbildÄ«bas jomā, kā arÄ« nodot pakalpojumu sniedzējam smago aparatÅ«ras, programmatÅ«ras un aparatÅ«ras sertifikācijas nastu.

Kā mēs nokārtojām sertifikātu

Pavisam nesen veiksmÄ«gi nokārtojām ā€œSecure Cloud FZ-152ā€ infrastruktÅ«ras resertifikāciju, lai atbilstu prasÄ«bām darbam ar personas datiem. Darbus veica Nacionālais sertifikācijas centrs.

Å obrÄ«d ā€œFZ-152 Secure Cloudā€ ir sertificēts informācijas sistēmu mitināŔanai, kas iesaistÄ«tas personas datu apstrādē, glabāŔanā vai pārsÅ«tÄ«Å”anā (ISPDn) saskaņā ar UZ-3 lÄ«meņa prasÄ«bām.

Sertifikācijas procedÅ«ra ietver mākoņpakalpojumu sniedzēja infrastruktÅ«ras atbilstÄ«bas aizsardzÄ«bas lÄ«menim pārbaudi. Pakalpojumu sniedzējs pats nodroÅ”ina IaaS pakalpojumu un nav personas datu operators. Process ietver gan organizatorisko (dokumentācija, rÄ«kojumi utt.), gan tehnisko pasākumu (aizsardzÄ«bas lÄ«dzekļu uzstādÄ«Å”ana utt.) izvērtÄ“Å”anu.

To nevar saukt par triviālu. Neskatoties uz to, ka GOST par programmām un metodēm sertifikācijas darbÄ«bu veikÅ”anai parādÄ«jās jau 2013. gadā, stingras programmas mākoņu objektiem joprojām nepastāv. Sertifikācijas centri izstrādā Ŕīs programmas, pamatojoties uz savām zināŔanām. LÄ«dz ar jauno tehnoloÄ£iju parādÄ«Å”anos programmas kļūst sarežģītākas un modernizētākas, attiecÄ«gi sertificētājam ir jābÅ«t pieredzei darbā ar mākoņrisinājumiem un jāsaprot specifika.

Mūsu gadījumā aizsargājamais objekts sastāv no divām vietām.

  • Mākoņu resursi (serveri, uzglabāŔanas sistēmas, tÄ«kla infrastruktÅ«ra, droŔības rÄ«ki utt.) atrodas tieÅ”i datu centrā. Protams, Ŕāds virtuālais datu centrs ir savienots ar publiskajiem tÄ«kliem, un attiecÄ«gi ir jāievēro noteiktas ugunsmÅ«ra prasÄ«bas, piemēram, sertificētu ugunsmÅ«ru izmantoÅ”ana.

  • Otrā objekta daļa ir mākoņu pārvaldÄ«bas rÄ«ki. Tās ir darbstacijas (administratora darbstacijas), no kurām tiek pārvaldÄ«ts aizsargātais segments.

AtraŔanās vietas sazinās, izmantojot VPN kanālu, kas izveidots uz CIPF.

Tā kā virtualizācijas tehnoloÄ£ijas rada priekÅ”noteikumus draudu raÅ”anās brÄ«dim, mēs izmantojam arÄ« papildu sertificētus aizsardzÄ«bas rÄ«kus.

IaaS 152-FZ: tātad, jums ir nepiecieÅ”ama droŔībaBlokshēma ā€œar vērtētāja acÄ«mā€

Ja klients pieprasa sava ISPD sertifikāciju, pēc IaaS nomas viņam būs tikai jānovērtē informācijas sistēma virs virtuālā datu centra līmeņa. Šī procedūra ietver infrastruktūras un tajā izmantotās programmatūras pārbaudi. Tā kā par visām infrastruktūras problēmām varat atsaukties uz pakalpojumu sniedzēja sertifikātu, viss, kas jums jādara, ir strādāt ar programmatūru.

IaaS 152-FZ: tātad, jums ir nepiecieŔama droŔībaAtdalīŔana abstrakcijas līmenī

Nobeigumā Å”eit ir neliels kontrolsaraksts uzņēmumiem, kuri jau strādā ar personas datiem vai tikai plāno. Tātad, kā ar to rÄ«koties bez apdegumiem.

  1. Lai auditētu un izstrādātu draudu un iebrucēju modeļus, pieaiciniet pieredzējuÅ”u konsultantu no sertifikācijas laboratoriju vidus, kurÅ” palÄ«dzēs izstrādāt nepiecieÅ”amos dokumentus un nogādās JÅ«s lÄ«dz tehnisko risinājumu stadijai.

  2. Izvēloties mākoņa pakalpojumu sniedzēju, pievērsiet uzmanÄ«bu sertifikāta klātbÅ«tnei. BÅ«tu labi, ja uzņēmums to publiski ievietotu tieÅ”i tÄ«mekļa vietnē. Pakalpojumu sniedzējam ir jābÅ«t FSTEC un FSB licences Ä«paÅ”niekam, un viņa piedāvātajam pakalpojumam ir jābÅ«t sertificētam.

  3. Pārliecinieties, vai jums ir oficiāla vienoÅ”anās un parakstÄ«ta instrukcija par personas datu apstrādi. Pamatojoties uz to, varēsiet veikt gan atbilstÄ«bas pārbaudi, gan ISPD sertifikāciju.Ja Å”is darbs tehniskā projekta stadijā un dizaina un tehniskās dokumentācijas izveide jums Ŕķiet apgrÅ«tinoÅ”s, jums jāsazinās ar treÅ”o puÅ”u konsultāciju uzņēmumiem. no sertifikācijas laboratoriju vidus.

Ja Jums ir aktuāli personas datu apstrādes jautājumi, 18.septembrÄ«, Å”o piektdien, priecāsimies JÅ«s redzēt vebinārā ā€œSertificētu mākoņu veidoÅ”anas iespējasā€.

Avots: www.habr.com

Pievieno komentāru