ProHoster > Блог > Захиргаа > IaaS 152-FZ: Тэгэхээр танд аюулгүй байдал хэрэгтэй

IaaS 152-FZ: Тэгэхээр танд аюулгүй байдал хэрэгтэй

IaaS 152-FZ: Тэгэхээр танд аюулгүй байдал хэрэгтэй

Та 152-FZ-ийн дагаж мөрдөх тухай домог, домгийг хичнээн ялгаж салгаж байгаагаас үл хамааран ямар нэг зүйл үргэлж хөшигний ард үлддэг. Өнөөдөр бид томоохон компаниуд болон маш жижиг аж ахуйн нэгжүүдийн аль алинд нь тохиолдож болох зарим нэг тодорхой бус нюансуудыг хэлэлцэхийг хүсч байна.

  • PD ангиллын нарийн шинж чанарууд - жижиг онлайн дэлгүүр нь тусгай категоритой холбоотой мэдээллийг өөрөө ч мэдэлгүйгээр цуглуулдаг;

  • цуглуулсан PD-ийн нөөцлөлтийг хаана хадгалах, тэдгээрт үйл ажиллагаа явуулах боломжтой;

  • гэрчилгээ, нийцлийн дүгнэлт хоёрын ялгаа юу вэ, үйлчилгээ үзүүлэгчээс ямар бичиг баримт шаардах ёстой вэ гэх мэт.

Эцэст нь бид та бүхэнтэй гэрчилгээ олгох туршлагаасаа хуваалцах болно. Яв!

Өнөөдрийн нийтлэлийн мэргэжилтэн байх болно Алексей Афанасьев, IT-GRAD ба #CloudMTS (MTS группын нэг хэсэг) үүл үйлчилгээ үзүүлэгчдийн IS мэргэжилтэн.

Ангиллын нарийн шинж чанарууд

IS-ийн аудит хийхгүйгээр ISPD-ийн аюулгүй байдлын шаардлагатай түвшинг хурдан тодорхойлох үйлчлүүлэгчийн хүсэлд бид байнга тулгардаг. Энэ сэдвээр интернет дэх зарим материалууд нь энэ бол энгийн ажил бөгөөд алдаа гаргахад хэцүү гэсэн хуурамч сэтгэгдэл төрүүлдэг.

KM-ийг тодорхойлохын тулд үйлчлүүлэгчийн IS ямар өгөгдөл цуглуулж, боловсруулахыг ойлгох шаардлагатай. Заримдаа бизнесийн үйл ажиллагаа явуулж буй хамгаалалтын шаардлага болон хувийн мэдээллийн ангиллыг хоёрдмол утгагүй тодорхойлоход хэцүү байдаг. Нэг төрлийн хувийн мэдээллийг огт өөр аргаар үнэлж, ангилж болно. Тиймээс зарим тохиолдолд бизнесийн дүгнэлт нь аудитор эсвэл байцаагчийн дүгнэлтээс ялгаатай байж болно. Хэд хэдэн жишээг харцгаая.

Машины зогсоол. Энэ нь нэлээд уламжлалт бизнес юм шиг санагдаж байна. Олон тооны тээврийн хэрэгслийн паркууд хэдэн арван жилийн турш үйл ажиллагаагаа явуулж ирсэн бөгөөд эзэд нь хувиараа бизнес эрхлэгчид болон хувь хүмүүсийг ажилд авдаг. Дүрмээр бол ажилчдын мэдээлэл нь UZ-4-ийн шаардлагад нийцдэг. Гэсэн хэдий ч жолооч нартай ажиллахын тулд зөвхөн хувийн мэдээллийг цуглуулахаас гадна ээлжээр явахаасаа өмнө тээврийн хэрэгслийн паркийн нутаг дэвсгэрт эмнэлгийн хяналтыг хийх шаардлагатай бөгөөд энэ явцад цуглуулсан мэдээлэл нь нэн даруй жолоочийн ангилалд багтдаг. эмнэлгийн мэдээлэл - энэ бол тусгай ангиллын хувийн мэдээлэл юм. Нэмж дурдахад, флот гэрчилгээ хүсч болох бөгөөд дараа нь жолоочийн файлд хадгалагдах болно. Ийм гэрчилгээг цахим хэлбэрээр сканнердах - эрүүл мэндийн мэдээлэл, тусгай ангиллын хувийн мэдээлэл. Энэ нь UZ-4 хангалттай биш, дор хаяж UZ-3 шаардлагатай гэсэн үг юм.

Онлайн дэлгүүр. Цуглуулсан нэрс, цахим шуудан, утасны дугаарууд нь нийтийн ангилалд багтах юм шиг санагдаж байна. Гэсэн хэдий ч, хэрэв таны үйлчлүүлэгчид халал эсвэл кошер гэх мэт хоолны дэглэмийг зааж өгвөл ийм мэдээллийг шашны харьяалал эсвэл итгэл үнэмшлийн мэдээлэл гэж үзэж болно. Тиймээс хяналтын бусад үйл ажиллагааг шалгах эсвэл явуулахдаа байцаагч таны цуглуулсан мэдээллийг хувийн мэдээллийн тусгай ангилалд хамааруулж болно. Одоо, хэрэв онлайн дэлгүүр худалдан авагч нь мах эсвэл загасыг илүүд үздэг эсэх талаар мэдээлэл цуглуулсан бол өгөгдлийг бусад хувийн мэдээлэл гэж ангилж болно. Дашрамд хэлэхэд цагаан хоолтнуудын талаар юу хэлэх вэ? Эцсийн эцэст, энэ нь мөн тусгай ангилалд хамаарах гүн ухааны итгэл үнэмшилтэй холбоотой байж болно. Гэхдээ нөгөө талаас энэ нь махыг хоолны дэглэмээс хассан хүний ​​хандлага байж болох юм. Харамсалтай нь, ийм "нарийн" нөхцөл байдалд PD-ийн ангиллыг хоёрдмол утгагүй тодорхойлсон шинж тэмдэг алга.

Зар сурталчилгааны агентлаг Барууны зарим үүлэн үйлчилгээг ашиглан үйлчлүүлэгчийнхээ овог нэр, имэйл хаяг, утасны дугаар зэрэг олон нийтэд нээлттэй мэдээллийг боловсруулдаг. Эдгээр хувийн мэдээлэл нь мэдээжийн хэрэг хувийн мэдээлэлтэй холбоотой. Асуулт гарч ирдэг: ийм боловсруулалт хийх нь хууль ёсны юу? Ийм өгөгдлийг ОХУ-ын нутаг дэвсгэрээс гадуур хуваахгүйгээр шилжүүлэх, жишээлбэл, зарим гадаадын үүлэнд нөөцлөлтийг хадгалах боломжтой юу? Мэдээж та чадна. Агентлаг нь эдгээр мэдээллийг ОХУ-аас гадуур хадгалах эрхтэй боловч манай хууль тогтоомжийн дагуу анхны цуглуулгыг ОХУ-ын нутаг дэвсгэр дээр хийх ёстой. Хэрэв та ийм мэдээллийг нөөцөлж авбал түүн дээр үндэслэн зарим статистикийг тооцоолж, судалгаа хийж эсвэл бусад үйлдлүүдийг хийвэл энэ бүгдийг барууны нөөц дээр хийж болно. Хуулийн үүднээс авч үзвэл хувийн мэдээллийг хаана цуглуулж байгаа нь гол зүйл юм. Тиймээс анхны цуглуулга, боловсруулалтыг төөрөгдүүлэхгүй байх нь чухал юм.

Эдгээр богино жишээнүүдээс харахад хувийн мэдээлэлтэй ажиллах нь үргэлж энгийн бөгөөд энгийн байдаггүй. Та тэдэнтэй хамтран ажиллаж байгаагаа мэдээд зогсохгүй аюулгүй байдлын шаардлагатай түвшинг зөв тодорхойлохын тулд тэдгээрийг зөв ангилж, IP хэрхэн ажилладагийг ойлгох хэрэгтэй. Зарим тохиолдолд тухайн байгууллага хэр их хувийн мэдээлэлтэй ажиллах шаардлагатай вэ гэсэн асуулт гарч ирж болно. Хамгийн "ноцтой" эсвэл зүгээр л шаардлагагүй мэдээллээс татгалзах боломжтой юу? Нэмж дурдахад, зохицуулагч нь боломжтой бол хувийн мэдээллийг хувь хүнгүй болгохыг зөвлөж байна. 

Дээрх жишээнүүдийн нэгэн адил, заримдаа хяналтын байгууллагууд цуглуулсан хувийн мэдээллийг таны үнэлснээс арай өөрөөр тайлбарладаг тохиолдолтой тулгардаг.

Мэдээжийн хэрэг та аудитор эсвэл системийн интеграторыг туслахаар авч болно, гэхдээ аудитын үед сонгосон шийдвэрийн хариуцлагыг "туслах" хүлээх үү? Хариуцлага нь хувийн мэдээллийн оператор болох ISPD-ийн эзэнд үргэлж байдаг гэдгийг тэмдэглэх нь зүйтэй. Тийм ч учраас компани ийм ажил хийхдээ ийм үйлчилгээний зах зээлд ноцтой тоглогчид, жишээлбэл, баталгаажуулалтын ажил хийдэг компаниудад хандах нь чухал юм. Баталгаажуулагч компаниуд ийм ажлыг гүйцэтгэх арвин туршлагатай.

ISPD бүтээх сонголтууд

ISPD барих нь зөвхөн техникийн төдийгүй хууль эрх зүйн асуудал юм. CIO эсвэл аюулгүй байдлын захирал үргэлж хуулийн зөвлөхтэй зөвлөлдөх хэрэгтэй. Тус компанид үргэлж шаардлагатай профайлтай мэргэжилтэн байдаггүй тул аудитор-зөвлөхүүдийг хайж олох нь зүйтэй. Олон гулгамтгай цэгүүд нь тодорхойгүй байж болно.

Зөвлөгөөнөөр та ямар хувийн мэдээлэлтэй харьцаж байгаа, ямар түвшний хамгаалалт шаардлагатайг тодорхойлох боломжтой болно. Үүний дагуу та аюулгүй байдал, үйл ажиллагааны аюулгүй байдлын арга хэмжээнүүдийг бий болгох эсвэл нэмэх шаардлагатай IP-ийн талаар ойлголттой болно.

Компанийн сонголт нь ихэвчлэн хоёр сонголтын хооронд байдаг.

  1. Харгалзах IS-г өөрийн техник хангамж, програм хангамжийн шийдлүүд дээр, магадгүй өөрийн серверийн өрөөнд бүтээгээрэй.

  2. Клоуд үйлчилгээ үзүүлэгчтэй холбогдож уян хатан шийдлийг сонго, аль хэдийн баталгаажсан "виртуал серверийн өрөө".

Хувийн мэдээллийг боловсруулах ихэнх мэдээллийн систем нь уламжлалт аргыг ашигладаг бөгөөд бизнесийн үүднээс авч үзвэл үүнийг хялбар, амжилттай гэж нэрлэх аргагүй юм. Энэ сонголтыг сонгохдоо техникийн дизайн нь програм хангамж, техник хангамжийн шийдэл, платформ зэрэг тоног төхөөрөмжийн тодорхойлолтыг багтаана гэдгийг ойлгох шаардлагатай. Энэ нь та дараах бэрхшээл, хязгаарлалттай тулгарах болно гэсэн үг юм.

  • масштаблахад хүндрэлтэй байх;

  • төслийг хэрэгжүүлэх урт хугацаа: системийг сонгох, худалдан авах, суулгах, тохируулах, тайлбарлах шаардлагатай;

  • олон тооны "цаасан" ажил, жишээ нь - ISPD-ийн бүхэл бүтэн баримт бичгийн багцыг боловсруулах.

Нэмж дурдахад, бизнес нь дүрмээр бол зөвхөн өөрийн IP-ийн "дээд" түвшин буюу ашигладаг бизнесийн програмуудыг ойлгодог. Өөрөөр хэлбэл, мэдээллийн технологийн ажилтнууд тухайн салбартаа ур чадвартай байдаг. Бүх "доод түвшин" хэрхэн ажилладаг талаар ойлголт байхгүй: програм хангамж, техник хангамжийн хамгаалалт, хадгалах систем, нөөцлөлт, мэдээжийн хэрэг хамгаалалтын хэрэгслийг бүх шаардлагад нийцүүлэн хэрхэн тохируулах, тохиргооны "техник хангамж" хэсгийг бий болгох. Үүнийг ойлгох нь чухал: энэ бол үйлчлүүлэгчийн бизнесээс гадуурх асар том мэдлэг юм. Энд баталгаажсан "виртуал серверийн өрөө"-өөр хангадаг үүлэн үйлчилгээ үзүүлэгчийн туршлага хэрэг болно.

Хариуд нь үүлэн үйлчилгээ үзүүлэгчид нь хувийн мэдээллийг хамгаалах чиглэлээр бизнесийн хэрэгцээний 99% -ийг хэтрүүлэлгүйгээр хангаж чадах хэд хэдэн давуу талтай.

  • хөрөнгийн зардлыг үйл ажиллагааны зардал болгон хувиргах;

  • үйлчилгээ үзүүлэгч нь батлагдсан стандарт шийдэлд үндэслэн шаардлагатай түвшний аюулгүй байдал, хүртээмжийг хангах баталгааг өгдөг;

  • ISPD-ийн ажиллагааг техник хангамжийн түвшинд хангах мэргэжилтнүүдийн орон тоог хадгалах шаардлагагүй;

  • үйлчилгээ үзүүлэгчид илүү уян хатан, уян хатан шийдлүүдийг санал болгодог;

  • үйлчилгээ үзүүлэгчийн мэргэжилтнүүд шаардлагатай бүх гэрчилгээтэй байх;

  • дагаж мөрдөх нь зохицуулагчдын шаардлага, зөвлөмжийг харгалзан өөрийн архитектурыг барихаас доогуур биш юм.

Хувийн мэдээллийг үүлэн дотор хадгалах боломжгүй гэсэн эртний домог одоог хүртэл түгээмэл хэвээр байна. Энэ нь зөвхөн хэсэгчлэн үнэн: PD үнэхээр нийтлэх боломжгүй эхнийх нь боломжтой үүл. Тодорхой техникийн арга хэмжээг дагаж мөрдөх, тодорхой баталгаажсан шийдлүүдийг ашиглах шаардлагатай. Хэрэв үйлчилгээ үзүүлэгч нь хууль ёсны бүх шаардлагыг дагаж мөрдвөл хувийн мэдээлэл алдагдсантай холбоотой эрсдлийг бууруулна. Олон үйлчилгээ үзүүлэгчид 152-FZ-ийн дагуу хувийн мэдээллийг боловсруулах тусдаа дэд бүтэцтэй байдаг. Гэсэн хэдий ч ханган нийлүүлэгчийг сонгохдоо тодорхой шалгуурын талаархи мэдлэгтэй хандах ёстой бөгөөд бид доор дурьдсан байх болно. 

Үйлчлүүлэгчид хувийн мэдээллийг үйлчилгээ үзүүлэгчийн үүлэн дотор байрлуулахтай холбоотой зарим нэг санаа зоволттойгоор бидэнд ирдэг. За, тэдгээрийг даруй хэлэлцье.

  • Дамжуулах эсвэл шилжүүлэх явцад өгөгдлийг хулгайлж болзошгүй

Үүнээс айх шаардлагагүй - үйлчилгээ үзүүлэгч нь үйлчлүүлэгчдэд баталгаажсан шийдлүүд дээр суурилсан найдвартай өгөгдөл дамжуулах суваг, гэрээлэгч, ажилчдад зориулсан баталгаажуулалтын сайжруулсан арга хэмжээг санал болгодог. Хамгаалалтын зохих аргуудыг сонгож, үйлчлүүлэгчтэй хийх ажлынхаа нэг хэсэг болгон хэрэгжүүлэх л үлдлээ.

  • Шоуны маскууд ирж серверийн цахилгааныг таслах/битүүмжлэх/таслах болно

Дэд бүтцэд тавих хяналт хангалтгүйгээс бизнесийн үйл явц нь тасалдана гэж эмээж буй үйлчлүүлэгчдэд энэ нь ойлгомжтой. Дүрмээр бол, өмнө нь техник хангамж нь тусгай мэдээллийн төвөөс илүү жижиг серверийн өрөөнд байрладаг байсан үйлчлүүлэгчид энэ талаар боддог. Бодит байдал дээр мэдээллийн төвүүд нь бие махбодийн болон мэдээллийн хамгаалалтын орчин үеийн хэрэгслээр тоноглогдсон байдаг. Ийм мэдээллийн төвд хангалттай үндэслэл, бичиг баримтгүйгээр ямар ч үйл ажиллагаа явуулах нь бараг боломжгүй бөгөөд ийм үйл ажиллагаа нь хэд хэдэн журмыг дагаж мөрдөхийг шаарддаг. Нэмж дурдахад, серверээ дата төвөөс "татах" нь үйлчилгээ үзүүлэгчийн бусад үйлчлүүлэгчдэд нөлөөлж болзошгүй бөгөөд энэ нь хэнд ч шаардлагагүй юм. Нэмж дурдахад хэн ч "таны" виртуал сервер рүү тусгайлан хуруугаараа чиглүүлэх боломжгүй тул хэн нэгэн үүнийг хулгайлах эсвэл маскны шоу зохион байгуулахыг хүсвэл эхлээд маш их хүнд суртлын сааталтай тулгарах болно. Энэ хугацаанд танд өөр сайт руу хэд хэдэн удаа шилжих цаг гарах байх.

  • Хакерууд үүл хакердаж, өгөгдлийг хулгайлах болно

Цахим гэмт хэрэгтнүүдийн золиос болж дахин нэг үүл хэрхэн оршиж, сая сая хувийн мэдээллийн бичлэг цахим ертөнцөөр цацагдсан тухай интернет болон хэвлэлийн хэвлэлүүд гарчигтайгаар дүүрэн байна. Ихэнх тохиолдолд үйлчилгээ үзүүлэгчийн талаас бус, харин хохирогчдын мэдээллийн системд сул, эсвэл бүр анхдагч нууц үг, вэб сайтын хөдөлгүүр, мэдээллийн сан дахь "нүх", аюулгүй байдлын арга хэмжээг сонгохдоо бизнесийн хайхрамжгүй байдал зэрэг сул талууд илэрсэн. өгөгдөлд нэвтрэх журмыг зохион байгуулах. Баталгаажсан бүх шийдлүүдийг сул тал байгаа эсэхийг шалгадаг. Мөн бид бие даан болон гадны байгууллагаар дамжуулан "хяналтын" шалгалт, аюулгүй байдлын аудитыг тогтмол хийдэг. Үйлчилгээ үзүүлэгчийн хувьд энэ нь ерөнхийдөө нэр хүнд, бизнесийн асуудал юм.

  • Үйлчилгээ үзүүлэгч / үйлчилгээ үзүүлэгчийн ажилчид хувийн ашиг сонирхлын үүднээс хувийн мэдээллийг хулгайлах болно

Энэ бол нэлээд эмзэг мөч юм. Мэдээллийн аюулгүй байдлын ертөнцийн хэд хэдэн компаниуд үйлчлүүлэгчдээ "айлгаж", "дотоод ажилтнууд нь гадны хакеруудаас илүү аюултай" гэж шаарддаг. Энэ нь зарим тохиолдолд үнэн байж болох ч итгэлцэлгүйгээр бизнесийг бий болгож чадахгүй. Байгууллагын ажилтнууд хэрэглэгчийн мэдээллийг халдагчид дамжуулдаг, дотоод аюулгүй байдал нь заримдаа гадны хамгаалалтаас хамаагүй муу зохион байгуулалттай байдаг гэсэн мэдээ үе үе гарч ирдэг. Аливаа томоохон үйлчилгээ үзүүлэгч сөрөг тохиолдлуудад туйлын сонирхолгүй байдаг гэдгийг энд ойлгох нь чухал юм. Үйлчилгээ үзүүлэгчийн ажилчдын үйл ажиллагааг сайтар зохицуулж, үүрэг, хариуцлагын хүрээг хуваадаг. Бизнесийн бүх үйл явц нь өгөгдөл алдагдах тохиолдол маш бага бөгөөд дотоод үйлчилгээнд үргэлж мэдэгдэхүйц байхаар зохион байгуулалттай байдаг тул үйлчлүүлэгчид энэ талын асуудлаас айх ёсгүй.

  • Та бизнесийн мэдээллээр үйлчилгээний төлбөр төлдөг тул бага мөнгө төлдөг.

Өөр нэг домог: найдвартай дэд бүтцийг ая тухтай үнээр түрээслэдэг үйлчлүүлэгч үүнийг өөрийн мэдээллээр төлдөг - үүнийг унтахынхаа өмнө хэд хэдэн хуйвалдааны онолыг уншихаас татгалздаггүй мэргэжилтнүүд ихэвчлэн боддог. Нэгдүгээрт, захиалгад зааснаас бусад өгөгдөлтэй ямар нэгэн үйлдэл хийх боломж үндсэндээ тэг байна. Хоёрдугаарт, хангалттай үйлчилгээ үзүүлэгч тантай харилцах харилцаа, түүний нэр хүндийг үнэлдэг - чамаас гадна түүнд олон үйлчлүүлэгч байдаг. Эсрэг хувилбар нь илүү магадлалтай бөгөөд үйлчилгээ үзүүлэгч нь өөрийн бизнест тулгуурласан үйлчлүүлэгчдийнхээ мэдээллийг хичээнгүйлэн хамгаалах болно.

ISPD-д зориулсан үүл үйлчилгээ үзүүлэгчийг сонгох

Өнөөдөр зах зээл нь PD оператор компаниудад олон шийдлийг санал болгож байна. Доорх нь зөвийг сонгох зөвлөмжийн ерөнхий жагсаалт юм.

  • Үйлчилгээ үзүүлэгч нь талуудын үүрэг хариуцлага, SLA болон хувийн мэдээллийг боловсруулах түлхүүр дэх хариуцлагын хүрээг тодорхойлсон албан ёсны гэрээ байгуулахад бэлэн байх ёстой. Үнэн хэрэгтээ, та болон үйлчилгээ үзүүлэгчийн хооронд үйлчилгээний гэрээнээс гадна PD боловсруулах захиалгад гарын үсэг зурах ёстой. Ямар ч тохиолдолд тэдгээрийг сайтар судлах нь зүйтэй. Та болон үйлчилгээ үзүүлэгч хоёрын үүрэг хариуцлагын хуваарилалтыг ойлгох нь чухал юм.

  • Сегмент нь шаардлагыг хангасан байх ёстойг анхаарна уу, энэ нь таны IP-д шаардагдахаас багагүй аюулгүй байдлын түвшинг харуулсан гэрчилгээтэй байх ёстой гэсэн үг юм. Үйлчилгээ үзүүлэгчид гэрчилгээний зөвхөн эхний хуудсыг нийтлэх нь тодорхойгүй, эсвэл гэрчилгээг өөрөө хэвлэхгүйгээр аудит эсвэл дагаж мөрдөх журамд ханддаг ("Тэнд хүү байсан уу?"). Үүнийг асуух нь зүйтэй юм - энэ бол баталгаажуулалтыг хэн хийсэн, хүчинтэй байх хугацаа, үүлний байршил гэх мэтийг харуулсан олон нийтийн баримт бичиг юм.

  • Үйлчилгээ үзүүлэгч нь өөрийн сайтууд (хамгаалагдсан объектууд) хаана байрладаг талаар мэдээлэл өгөх ёстой бөгөөд ингэснээр та өөрийн өгөгдлийн байршлыг хянах боломжтой болно. Хувийн мэдээллийн анхны цуглуулгыг ОХУ-ын нутаг дэвсгэр дээр хийх ёстой гэдгийг сануулъя, үүний дагуу гэрээ / гэрчилгээнд мэдээллийн төвийн хаягийг харахыг зөвлөж байна.

  • Үйлчилгээ үзүүлэгч нь баталгаажуулсан мэдээллийн аюулгүй байдал, мэдээллийн хамгаалалтын системийг ашиглах ёстой. Мэдээжийн хэрэг, ихэнх үйлчилгээ үзүүлэгчид өөрсдийн ашигладаг техникийн аюулгүй байдлын арга хэмжээ, шийдлийн архитектурыг сурталчлахгүй. Харин үйлчлүүлэгч та энэ талаар мэдэхээс өөр аргагүй. Жишээлбэл, удирдлагын системд (удирдлагын портал) алсаас холбогдохын тулд аюулгүй байдлын арга хэмжээг ашиглах шаардлагатай. Үйлчилгээ үзүүлэгч нь энэ шаардлагыг тойрч гарах боломжгүй бөгөөд танд баталгаажсан шийдлүүдийг өгөх (эсвэл ашиглахыг шаардах) болно. Шинжилгээнд зориулж нөөцийг аваад, яаж, юу болохыг шууд ойлгох болно. 

  • Мэдээллийн аюулгүй байдлын чиглэлээр нэмэлт үйлчилгээ үзүүлэх нь үүлэн үйлчилгээ үзүүлэгчийн хувьд маш их хүсч байна. Эдгээр нь янз бүрийн үйлчилгээ байж болно: DDoS халдлага болон WAF-аас хамгаалах, вирусын эсрэг үйлчилгээ эсвэл хамгаалагдсан хязгаарлагдмал орчин гэх мэт. Энэ бүхэн нь таныг барилгын хамгаалалтын системд сатааруулахгүй, харин бизнесийн хэрэглээний программ дээр ажиллах боломжийг үйлчилгээ болгон авах боломжийг олгоно.

  • Үйлчилгээ үзүүлэгч нь FSTEC болон FSB-ийн лиценз эзэмшигч байх ёстой. Дүрмээр бол ийм мэдээллийг вэбсайт дээр шууд байрлуулдаг. Эдгээр бичиг баримтыг шаардаж, үйлчилгээ үзүүлэх хаяг, үйлчилгээ үзүүлэгч компанийн нэр гэх мэт зөв эсэхийг шалгаарай. 

Дүгнэж хэлье. Дэд бүтцийг түрээслэх нь танд CAPEX-ээс татгалзаж, зөвхөн өөрийн бизнесийн хэрэглээний программууд болон өөрийн хариуцах бүс дэх өгөгдлийг хадгалах, техник хангамж, програм хангамж, техник хангамжийн гэрчилгээжүүлэх хүнд ачааг үйлчилгээ үзүүлэгч рүү шилжүүлэх боломжийг олгоно.

Бид хэрхэн баталгаажуулалтад тэнцсэн

Хамгийн сүүлд бид "Secure Cloud FZ-152" дэд бүтцийг хувийн мэдээлэлтэй ажиллахад тавигдах шаардлагад нийцүүлэн дахин баталгаажуулсан. Уг ажлыг Үндэсний баталгаажуулалтын төв гүйцэтгэсэн.

Одоогийн байдлаар "FZ-152 Secure Cloud" нь UZ-3 түвшний шаардлагын дагуу хувийн мэдээллийг (ISPDn) боловсруулах, хадгалах, дамжуулахад оролцдог мэдээллийн системийг байршуулах гэрчилгээтэй.

Баталгаажуулалтын журам нь үүлэн үйлчилгээ үзүүлэгчийн дэд бүтцийн хамгаалалтын түвшинд нийцэж байгаа эсэхийг шалгах явдал юм. Үйлчилгээ үзүүлэгч өөрөө IaaS үйлчилгээг үзүүлдэг бөгөөд хувийн мэдээллийн оператор биш юм. Энэ үйл явц нь зохион байгуулалтын (баримт бичиг, захиалга гэх мэт) болон техникийн арга хэмжээний (хамгаалалтын хэрэгслийг суурилуулах гэх мэт) үнэлгээг хамардаг.

Үүнийг өчүүхэн гэж нэрлэж болохгүй. Баталгаажуулалтын үйл ажиллагаа явуулах хөтөлбөр, аргуудын талаархи ГОСТ 2013 онд гарч ирсэн ч үүл объектуудад зориулсан хатуу хөтөлбөрүүд одоог хүртэл байхгүй байна. Баталгаажуулалтын төвүүд эдгээр хөтөлбөрүүдийг өөрсдийн туршлага дээр үндэслэн боловсруулдаг. Шинэ технологи гарч ирснээр хөтөлбөрүүд илүү төвөгтэй болж, шинэчлэгдэж байгаа тул гэрчилгээжүүлэгч нь үүлэн шийдэлтэй ажиллах туршлагатай байх ёстой бөгөөд онцлог шинж чанаруудыг ойлгох ёстой.

Манай тохиолдолд хамгаалагдсан объект нь хоёр байршлаас бүрдэнэ.

  • Үүлэн нөөцүүд (серверүүд, хадгалах системүүд, сүлжээний дэд бүтэц, хамгаалалтын хэрэгслүүд гэх мэт) нь мэдээллийн төвд шууд байрладаг. Мэдээжийн хэрэг, ийм виртуал мэдээллийн төв нь нийтийн сүлжээнд холбогдсон бөгөөд үүний дагуу галт ханын тодорхой шаардлагыг хангасан байх ёстой, жишээлбэл, баталгаажуулсан галт ханыг ашиглах.

  • Объектын хоёр дахь хэсэг нь үүлэн удирдлагын хэрэгслүүд юм. Эдгээр нь хамгаалагдсан сегментийг удирддаг ажлын станцууд (администраторын ажлын станцууд) юм.

Байршлууд нь CIPF дээр суурилагдсан VPN сувгаар холбогддог.

Виртуалчлалын технологи нь аюул заналхийллийн урьдчилсан нөхцөлийг бүрдүүлдэг тул бид баталгаажуулсан хамгаалалтын нэмэлт хэрэгслийг ашигладаг.

IaaS 152-FZ: Тэгэхээр танд аюулгүй байдал хэрэгтэй"Үнэлэгчийн нүдээр" блок схем

Хэрэв үйлчлүүлэгч ISPD-ийн гэрчилгээ авах шаардлагатай бол IaaS-ийг түрээслэсний дараа тэрээр зөвхөн мэдээллийн системийг виртуал мэдээллийн төвийн түвшнээс дээш үнэлэх шаардлагатай болно. Энэ процедур нь дэд бүтэц, үүн дээр ашиглагдаж буй програм хангамжийг шалгах явдал юм. Та бүх дэд бүтцийн асуудлаар үйлчилгээ үзүүлэгчийн гэрчилгээнд хандах боломжтой тул програм хангамжтай ажиллахад л хангалттай.

IaaS 152-FZ: Тэгэхээр танд аюулгүй байдал хэрэгтэйХийсвэрлэлийн түвшинд тусгаарлах

Эцэст нь хэлэхэд, энд хувийн мэдээлэлтэй ажиллаж байгаа эсвэл дөнгөж төлөвлөж байгаа компаниудад зориулсан жижиг хяналтын хуудас байна. Тэгэхээр түлэхгүйгээр яаж зохицуулах вэ.

  1. Аюул заналхийлэл, халдагчдад аудит хийх, загвар гаргахын тулд баталгаажуулалтын лабораториос туршлагатай зөвлөхийг урьж, шаардлагатай бичиг баримтыг боловсруулж, техникийн шийдлийн шатанд хүргэх болно.

  2. Үүл үйлчилгээ үзүүлэгчийг сонгохдоо гэрчилгээ байгаа эсэхийг анхаарч үзээрэй. Компани үүнийг шууд цахим хуудсандаа олон нийтэд ил болговол сайн байна. Үйлчилгээ үзүүлэгч нь FSTEC болон FSB-ийн лиценз эзэмшигч байх ёстой бөгөөд түүний санал болгож буй үйлчилгээ нь гэрчилгээтэй байх ёстой.

  3. Хувийн мэдээллийг боловсруулах албан ёсны гэрээ, гарын үсэг зурсан заавар байгаа эсэхийг шалгаарай. Үүний үндсэн дээр та нийцлийн шалгалт, ISPD баталгаажуулалтыг хоёуланг нь хийх боломжтой.Хэрэв техникийн төслийн шатанд байгаа энэ ажил, зураг төсөл, техникийн баримт бичгийг бий болгох нь танд дарамттай санагдаж байвал гуравдагч талын зөвлөх компаниудтай холбоо барина уу. баталгаажуулалтын лабораториудаас .

Хэрэв хувийн мэдээлэл боловсруулахтай холбоотой асуудал танд хамаатай бол 18-р сарын XNUMX-ны энэ Баасан гарагт бид таныг вебинар дээр уулзахдаа баяртай байх болно. "Баталгаажсан үүл барих онцлог".

Эх сурвалж: www.habr.com

сэтгэгдэл нэмэх