Ma jimpurtax kemm issolvi l-miti u l-leġġendi li jdawru l-konformità ma '152-FZ, xi ħaġa dejjem tibqa' wara l-kwinti. Illum irridu niddiskutu xi sfumaturi mhux dejjem ovvji li kemm kumpaniji kbar kif ukoll intrapriżi żgħar ħafna jistgħu jiltaqgħu magħhom:
-
irqaq tal-klassifikazzjoni tal-PD f'kategoriji - meta ħanut żgħir online jiġbor data relatata ma' kategorija speċjali mingħajr ma jkun jaf biha;
-
fejn tista 'taħżen backups ta' PD miġbura u twettaq operazzjonijiet fuqhom;
-
x'inhi d-differenza bejn ċertifikat u konklużjoni ta' konformità, liema dokumenti għandek titlob mingħand il-fornitur, u affarijiet bħal dawn.
Fl-aħħarnett, aħna se naqsmu miegħek l-esperjenza tagħna stess li ngħaddu ċ-ċertifikazzjoni. Mur!
L-espert fl-artiklu tal-lum se jkun Alexey Afanasyev, IS speċjalista għall-fornituri tal-cloud IT-GRAD u #CloudMTS (parti mill-grupp MTS).
Irqaq ta' klassifikazzjoni
Ħafna drabi niltaqgħu max-xewqa ta’ klijent li malajr, mingħajr verifika tal-IS, jiddetermina l-livell meħtieġ ta’ sigurtà għal ISPD. Xi materjali fuq l-Internet dwar dan is-suġġett jagħtu l-impressjoni falza li din hija biċċa xogħol sempliċi u huwa pjuttost diffiċli li tagħmel żball.
Biex tiddetermina KM, huwa meħtieġ li wieħed jifhem liema data se tinġabar u tiġi pproċessata mill-IS tal-klijent. Xi drabi jista' jkun diffiċli li tiddetermina mingħajr ambigwità r-rekwiżiti ta' protezzjoni u l-kategorija ta' data personali li topera negozju. L-istess tipi ta' data personali jistgħu jiġu vvalutati u kklassifikati b'modi kompletament differenti. Għalhekk, f'xi każijiet, l-opinjoni tan-negozju tista 'tvarja mill-opinjoni tal-awditur jew saħansitra l-ispettur. Ejja nħarsu lejn ftit eżempji.
Parkeġġ. Jidher bħala tip ta 'negozju pjuttost tradizzjonali. Ħafna flotot ta 'vetturi ilhom joperaw għal għexieren ta' snin, u s-sidien tagħhom jimpjegaw intraprendituri u individwi individwali. Bħala regola, id-dejta tal-impjegati taqa 'taħt ir-rekwiżiti ta' UZ-4. Madankollu, biex taħdem mas-sewwieqa, huwa meħtieġ mhux biss li tinġabar data personali, iżda wkoll li twettaq kontroll mediku fit-territorju tal-flotta tal-vetturi qabel ma tmur fuq xift, u l-informazzjoni miġbura fil-proċess immedjatament taqa 'fil-kategorija ta' data medika - u din hija data personali ta' kategorija speċjali. Barra minn hekk, il-flotta tista’ titlob ċertifikati, li mbagħad jinżammu fil-fajl tas-sewwieq. Skan ta 'tali ċertifikat f'forma elettronika - data tas-saħħa, data personali ta' kategorija speċjali. Dan ifisser li UZ-4 m'għadux biżżejjed; mill-inqas UZ-3 huwa meħtieġ.
Ħanut onlajn. Jidher li l-ismijiet, l-emails u n-numri tat-telefon miġbura jidħlu fil-kategorija pubblika. Madankollu, jekk il-klijenti tiegħek jindikaw preferenzi tad-dieta, bħal halal jew kosher, tali informazzjoni tista' titqies bħala data ta' affiljazzjoni jew twemmin reliġjuż. Għalhekk, meta jiċċekkja jew iwettaq attivitajiet oħra ta' kontroll, l-ispettur jista' jikklassifika d-data li tiġbor bħala kategorija speċjali ta' data personali. Issa, jekk ħanut online ġabar informazzjoni dwar jekk ix-xerrej tiegħu jippreferix laħam jew ħut, id-dejta tista’ tiġi kklassifikata bħala data personali oħra. Mill-mod, xi ngħidu għall-veġetarjani? Wara kollox, dan jista 'jiġi attribwit ukoll għal twemmin filosofiku, li wkoll jappartjenu għal kategorija speċjali. Iżda min-naħa l-oħra, din tista 'sempliċement tkun l-attitudni ta' persuna li eliminat il-laħam mid-dieta tagħha. Alas, m'hemm l-ebda sinjal li jiddefinixxi mingħajr ambigwità l-kategorija tal-PD f'sitwazzjonijiet "sottili" bħal dawn.
Aġenzija tar-reklamar Permezz ta 'xi servizz cloud tal-Punent, tipproċessa data disponibbli pubblikament tal-klijenti tagħha - ismijiet sħaħ, indirizzi tal-email u numri tat-telefon. Din id-dejta personali, ovvjament, tirrigwarda d-dejta personali. Tqum il-mistoqsija: huwa legali li jsir dan l-ipproċessar? Huwa saħansitra possibbli li tiċċaqlaq data bħal din mingħajr depersonalizzazzjoni barra mill-Federazzjoni Russa, pereżempju, biex taħżen backups f'xi sħab barranin? Naturalment tista’. L-Aġenzija għandha d-dritt li taħżen din id-dejta barra mir-Russja, madankollu, il-ġbir inizjali, skont il-leġiżlazzjoni tagħna, għandu jsir fit-territorju tal-Federazzjoni Russa. Jekk tagħmel backup ta 'informazzjoni bħal din, tikkalkula xi statistika bbażata fuqha, twettaq riċerka jew twettaq xi operazzjonijiet oħra magħha - dan kollu jista' jsir fuq ir-riżorsi tal-Punent. Il-punt ewlieni mil-lat legali huwa fejn tinġabar id-dejta personali. Għalhekk huwa importanti li ma jitħalltux il-ġbir inizjali u l-ipproċessar.
Kif jirriżulta minn dawn l-eżempji qosra, il-ħidma mad-dejta personali mhux dejjem hija sempliċi u sempliċi. Għandek bżonn mhux biss tkun taf li qed taħdem magħhom, iżda wkoll tkun kapaċi tikklassifikahom b'mod korrett, tifhem kif taħdem l-IP sabiex tiddetermina b'mod korrett il-livell meħtieġ ta 'sigurtà. F'xi każijiet, tista' tqum il-mistoqsija dwar kemm l-organizzazzjoni tabilħaqq teħtieġ biex topera dejta personali. Huwa possibbli li tiġi rrifjutata l-aktar data "serja" jew sempliċement mhux meħtieġa? Barra minn hekk, ir-regolatur jirrakkomanda d-depersonalizzazzjoni tad-dejta personali fejn possibbli.
Bħal fl-eżempji ta’ hawn fuq, xi drabi tista’ tiltaqa’ mal-fatt li l-awtoritajiet ta’ spezzjoni jinterpretaw id-dejta personali miġbura b’mod kemxejn differenti minn dak li vvalutajt int stess.
Naturalment, tista' timpjega awditur jew integratur tas-sistema bħala assistent, iżda l-"assistent" se jkun responsabbli għad-deċiżjonijiet magħżula fil-każ ta' verifika? Ta’ min jinnota li r-responsabbiltà dejjem taqa’ fuq is-sid tal-ISPD – l-operatur tad-dejta personali. Huwa għalhekk li, meta kumpanija twettaq xogħol bħal dan, huwa importanti li tirrikorri għal atturi serji fis-suq għal tali servizzi, pereżempju, kumpaniji li jwettqu xogħol ta 'ċertifikazzjoni. Il-kumpaniji li jiċċertifikaw għandhom esperjenza estensiva fit-twettiq ta' dan ix-xogħol.
Għażliet għall-bini ta' ISPD
Il-kostruzzjoni ta' ISPD mhix biss kwistjoni teknika, iżda wkoll fil-biċċa l-kbira legali. Is-CIO jew id-direttur tas-sigurtà għandu dejjem jikkonsulta mal-avukat. Peress li l-kumpanija mhux dejjem ikollha speċjalista bil-profil li għandek bżonn, ta 'min iħares lejn awdituri-konsulenti. Ħafna punti li jiżolqu jistgħu ma jkunu ovvji xejn.
Il-konsultazzjoni tippermettilek tiddetermina liema data personali qed tittratta u liema livell ta' protezzjoni teħtieġ. Għaldaqstant, ikollok idea tal-IP li jeħtieġ li jinħoloq jew jiġi supplimentat b'miżuri ta 'sigurtà u sigurtà operazzjonali.
Ħafna drabi l-għażla għal kumpanija hija bejn żewġ għażliet:
-
Ibni l-IS korrispondenti fuq is-soluzzjonijiet tal-ħardwer u tas-software tiegħek, possibbilment fil-kamra tas-server tiegħek stess.
-
Ikkuntattja fornitur tas-sħab u agħżel soluzzjoni elastika, "kamra tas-server virtwali" diġà ċċertifikata.
Il-biċċa l-kbira tas-sistemi ta' informazzjoni li jipproċessaw id-dejta personali jużaw approċċ tradizzjonali, li, mil-lat tan-negozju, bilkemm jista' jissejjaħ faċli u ta' suċċess. Meta tagħżel din l-għażla, huwa meħtieġ li wieħed jifhem li d-disinn tekniku se jinkludi deskrizzjoni tat-tagħmir, inklużi soluzzjonijiet u pjattaformi ta 'softwer u hardware. Dan ifisser li jkollok tiffaċċja d-diffikultajiet u l-limitazzjonijiet li ġejjin:
-
diffikultà ta' skalar;
-
perjodu twil ta 'implimentazzjoni tal-proġett: huwa meħtieġ li tagħżel, tixtri, tinstalla, tikkonfigura u tiddeskrivi s-sistema;
-
ħafna xogħol "karta", bħala eżempju - l-iżvilupp ta 'pakkett sħiħ ta' dokumentazzjoni għall-ISPD kollu.
Barra minn hekk, negozju, bħala regola, jifhem biss il-livell "fuq" tal-IP tiegħu - l-applikazzjonijiet tan-negozju li juża. Fi kliem ieħor, il-persunal tal-IT huwa tas-sengħa fil-qasam speċifiku tagħhom. M'hemm l-ebda fehim ta 'kif jaħdmu l-"livelli aktar baxxi" kollha: protezzjoni ta' softwer u ħardwer, sistemi ta 'ħażna, backup u, ovvjament, kif tikkonfigura għodod ta' protezzjoni f'konformità mar-rekwiżiti kollha, tibni l-parti "ħardwer" tal-konfigurazzjoni. Huwa importanti li tifhem: dan huwa saff kbir ta 'għarfien li jinsab barra n-negozju tal-klijent. Dan huwa fejn l-esperjenza ta 'fornitur tas-sħab li jipprovdi "kamra tas-server virtwali" iċċertifikata tista' tkun utli.
Min-naħa tagħhom, il-fornituri tal-cloud għandhom għadd ta’ vantaġġi li, mingħajr esaġerazzjoni, jistgħu jkopru 99 % tal-ħtiġijiet tan-negozju fil-qasam tal-protezzjoni tad-dejta personali:
-
l-ispejjeż kapitali huma kkonvertiti fi spejjeż operattivi;
-
il-fornitur, min-naħa tiegħu, jiggarantixxi l-provvista tal-livell meħtieġ ta’ sigurtà u disponibbiltà abbażi ta’ soluzzjoni standard ippruvata;
-
m'hemmx bżonn li jinżamm persunal ta' speċjalisti li jiżguraw it-tħaddim tal-ISPD fil-livell tal-ħardwer;
-
il-fornituri joffru soluzzjonijiet ferm aktar flessibbli u elastiċi;
-
l-ispeċjalisti tal-fornitur għandhom iċ-ċertifikati kollha meħtieġa;
-
il-konformità mhix inqas minn meta tibni l-arkitettura tiegħek stess, b'kont meħud tar-rekwiżiti u r-rakkomandazzjonijiet tar-regolaturi.
Il-leġġenda l-antika li d-dejta personali ma tistax tinħażen fis-sħab għadha popolari ħafna. Huwa biss parzjalment minnu: PD verament ma jistax jiġi stazzjonat fl-ewwel waħda disponibbli sħaba. Il-konformità ma' ċerti miżuri tekniċi u l-użu ta' ċerti soluzzjonijiet iċċertifikati huma meħtieġa. Jekk il-fornitur jikkonforma mar-rekwiżiti legali kollha, ir-riskji assoċjati mat-tnixxija tad-dejta personali huma minimizzati. Ħafna fornituri għandhom infrastruttura separata għall-ipproċessar tad-dejta personali skont 152-FZ. Madankollu, l-għażla tal-fornitur trid tiġi avviċinata wkoll b'għarfien ta 'ċerti kriterji; żgur li se nmissuhom hawn taħt.
Il-klijenti spiss jiġu għandna b'xi tħassib dwar it-tqegħid ta 'dejta personali fil-cloud tal-fornitur. Ukoll, ejja niddiskutuhom minnufih.
-
Id-dejta tista' tinsteraq waqt it-trażmissjoni jew il-migrazzjoni
M'hemmx għalfejn nibżgħu minn dan - il-fornitur joffri lill-klijent il-ħolqien ta 'kanal sigur ta' trasmissjoni tad-dejta mibni fuq soluzzjonijiet iċċertifikati, miżuri ta 'awtentikazzjoni mtejba għall-kuntratturi u l-impjegati. Li jibqa 'huwa li tagħżel il-metodi ta' protezzjoni xierqa u timplimentahom bħala parti mix-xogħol tiegħek mal-klijent.
-
Uri l-maskri se jidħlu u jieħdu / jissiġillaw / jaqtgħu l-enerġija lis-server
Huwa pjuttost mifhum għall-klijenti li jibżgħu li l-proċessi tan-negozju tagħhom se jiġu mfixkla minħabba kontroll insuffiċjenti fuq l-infrastruttura. Bħala regola, dawk il-klijenti li l-ħardwer tagħhom qabel kien jinsab fi kmamar tas-server żgħar aktar milli ċentri tad-dejta speċjalizzati jaħsbu dwar dan. Fir-realtà, iċ-ċentri tad-dejta huma mgħammra b’mezzi moderni ta’ protezzjoni kemm fiżika kif ukoll ta’ informazzjoni. Huwa kważi impossibbli li twettaq kwalunkwe operazzjoni f'tali ċentru tad-dejta mingħajr raġunijiet u dokumenti suffiċjenti, u attivitajiet bħal dawn jeħtieġu konformità ma 'numru ta' proċeduri. Barra minn hekk, "ġbid" tas-server tiegħek miċ-ċentru tad-dejta jista 'jaffettwa klijenti oħra tal-fornitur, u dan żgur mhux meħtieġ għal ħadd. Barra minn hekk, ħadd ma jkun jista 'jippunta subgħajh speċifikament lejn is-server virtwali "tiegħek", għalhekk jekk xi ħadd irid jisirqu jew itella' spettaklu ta' maskra, l-ewwel ikollu jħabbat wiċċu ma 'ħafna dewmien burokratiku. Matul dan iż-żmien, x'aktarx ikollok ħin biex temigra għal sit ieħor diversi drabi.
-
Hackers se hack-sħaba u jisirqu data
L-Internet u l-istampa stampata huma mimlijin aħbarijiet dwar kif sħaba oħra sfat vittma taċ-ċiberkriminali, u miljuni ta’ rekords ta’ dejta personali ħarġu fuq l-internet. Fil-maġġoranza l-kbira tal-każijiet, il-vulnerabbiltajiet ma nstabu xejn min-naħa tal-fornitur, iżda fis-sistemi tal-informazzjoni tal-vittmi: passwords dgħajfa jew saħansitra default, "toqob" fil-magni tal-websajt u d-databases, u traskuraġni banali tan-negozju meta jagħżlu miżuri ta’ sigurtà u l-organizzazzjoni ta' proċeduri ta' aċċess għad-dejta. Is-soluzzjonijiet iċċertifikati kollha huma kkontrollati għal vulnerabbiltajiet. Aħna wkoll regolarment inwettqu pentests ta '"kontroll" u verifiki tas-sigurtà, kemm b'mod indipendenti kif ukoll permezz ta' organizzazzjonijiet esterni. Għall-fornitur, din hija kwistjoni ta 'reputazzjoni u negozju b'mod ġenerali.
-
Il-fornitur/impjegati tal-fornitur se jisirqu d-dejta personali għall-gwadann personali
Dan huwa mument pjuttost sensittiv. Għadd ta' kumpaniji mid-dinja tas-sigurtà tal-informazzjoni "jibżgħu" lill-klijenti tagħhom u jinsistu li "l-impjegati interni huma aktar perikolużi minn hackers esterni." Dan jista 'jkun minnu f'xi każijiet, iżda negozju ma jistax jinbena mingħajr fiduċja. Minn żmien għal żmien, aħbarijiet li l-impjegati ta 'organizzazzjoni stess jnixxu d-dejta tal-klijenti lill-attakkanti, u s-sigurtà interna kultant tkun organizzata ħafna agħar mis-sigurtà esterna. Huwa importanti li wieħed jifhem hawnhekk li kwalunkwe fornitur kbir huwa estremament mhux interessat f'każijiet negattivi. L-azzjonijiet tal-impjegati tal-fornitur huma regolati tajjeb, ir-rwoli u l-oqsma ta 'responsabbiltà huma maqsuma. Il-proċessi kollha tan-negozju huma strutturati b'tali mod li l-każijiet ta 'tnixxija tad-dejta huma estremament improbabbli u huma dejjem notevoli għas-servizzi interni, għalhekk il-klijenti m'għandhomx jibżgħu mill-problemi minn din in-naħa.
-
Tħallas ftit għax tħallas għas-servizzi bid-dejta tan-negozju tiegħek.
Leġġenda oħra: klijent li jikri infrastruttura sigura bi prezz komdu fil-fatt iħallas għaliha bid-dejta tiegħu - ħafna drabi dan huwa maħsub minn esperti li ma jiddejqux jaqraw ftit teoriji tal-konfoffa qabel imorru jorqdu. L-ewwelnett, il-possibbiltà li twettaq kwalunkwe operazzjoni bid-dejta tiegħek minbarra dawk speċifikati fl-ordni hija essenzjalment żero. It-tieni nett, fornitur adegwat jistma r-relazzjoni miegħek u r-reputazzjoni tiegħu - minbarra lilek, għandu ħafna aktar klijenti. Ix-xenarju oppost huwa aktar probabbli, li fih il-fornitur jipproteġi b'żelu d-dejta tal-klijenti tiegħu, li fuqha tistrieħ in-negozju tiegħu.
Għażla ta' fornitur tal-cloud għall-ISPD
Illum, is-suq joffri ħafna soluzzjonijiet għal kumpaniji li huma operaturi tal-PD. Hawn taħt hawn lista ġenerali ta 'rakkomandazzjonijiet għall-għażla ta' dik it-tajba.
-
Il-fornitur irid ikun lest li jidħol fi ftehim formali li jiddeskrivi r-responsabbiltajiet tal-partijiet, l-SLAs u l-oqsma ta’ responsabbiltà fiċ-ċavetta għall-ipproċessar tad-dejta personali. Fil-fatt, bejnek u l-fornitur, minbarra l-ftehim tas-servizz, trid tiġi ffirmata ordni għall-ipproċessar tal-PD. Fi kwalunkwe każ, ta 'min jistudjahom bir-reqqa. Huwa importanti li tifhem id-diviżjoni tar-responsabbiltajiet bejnek u l-fornitur.
-
Jekk jogħġbok innota li s-segment għandu jissodisfa r-rekwiżiti, li jfisser li għandu jkollu ċertifikat li jindika livell ta 'sigurtà mhux inqas minn dak meħtieġ mill-IP tiegħek. Jiġri li l-fornituri jippubblikaw biss l-ewwel paġna taċ-ċertifikat, li minnha ftit huwa ċar, jew jirreferu għal verifiki jew proċeduri ta 'konformità mingħajr ma jippubblikaw iċ-ċertifikat innifsu (“kien hemm tifel?”). Ta 'min jitlobha - dan huwa dokument pubbliku li jindika min wettaq iċ-ċertifikazzjoni, il-perjodu ta' validità, il-post tas-sħab, eċċ.
-
Il-fornitur għandu jipprovdi informazzjoni dwar fejn jinsabu s-siti tiegħu (oġġetti protetti) sabiex tkun tista' tikkontrolla t-tqegħid tad-dejta tiegħek. Ejjew infakkruk li l-ġbir inizjali tad-dejta personali għandu jsir fit-territorju tal-Federazzjoni Russa; għalhekk, huwa rakkomandabbli li tara l-indirizzi taċ-ċentru tad-dejta fil-kuntratt/ċertifikat.
-
Il-fornitur għandu juża s-sigurtà tal-informazzjoni ċċertifikata u s-sistemi tal-protezzjoni tal-informazzjoni. Naturalment, il-biċċa l-kbira tal-fornituri ma jirreklamawx il-miżuri ta' sigurtà teknika u l-arkitettura tas-soluzzjoni li jużaw. Imma int, bħala klijent, ma tistax ma tafx dwarha. Pereżempju, biex tikkonnettja mill-bogħod ma 'sistema ta' ġestjoni (portal ta 'ġestjoni), huwa meħtieġ li jintużaw miżuri ta' sigurtà. Il-fornitur mhux se jkun jista' jevita dan ir-rekwiżit u jagħtik (jew jeħtieġlek tuża) soluzzjonijiet iċċertifikati. Ħu r-riżorsi għal test u immedjatament tifhem kif u x'jaħdem.
-
Huwa mixtieq ħafna li l-fornitur tal-cloud jipprovdi servizzi addizzjonali fil-qasam tas-sigurtà tal-informazzjoni. Dawn jistgħu jkunu diversi servizzi: protezzjoni kontra attakki DDoS u WAF, servizz kontra l-virus jew sandbox, eċċ. Dan kollu jippermettilek li tirċievi protezzjoni bħala servizz, li ma tkunx distratt minn sistemi ta 'protezzjoni tal-bini, iżda biex taħdem fuq applikazzjonijiet tan-negozju.
-
Il-fornitur irid ikun liċenzjat ta' FSTEC u FSB. Bħala regola, tali informazzjoni titpoġġa direttament fuq il-websajt. Kun żgur li titlob dawn id-dokumenti u ċċekkja jekk l-indirizzi għall-forniment tas-servizzi, l-isem tal-kumpanija tal-fornitur, eċċ humiex korretti.
Ejja nġabru fil-qosor. L-infrastruttura tal-kiri tippermettilek tabbanduna CAPEX u żżomm biss l-applikazzjonijiet tan-negozju tiegħek u d-dejta nnifisha fil-qasam tar-responsabbiltà tiegħek, u tittrasferixxi l-piż tqil taċ-ċertifikazzjoni tal-ħardwer u s-softwer u l-ħardwer lill-fornitur.
Kif għadda ċ-ċertifikazzjoni
Aktar reċentement, għaddejna b'suċċess ir-riċertifikazzjoni tal-infrastruttura tas-"Secure Cloud FZ-152" għall-konformità mar-rekwiżiti biex taħdem mad-dejta personali. Ix-xogħol sar miċ-Ċentru Nazzjonali taċ-Ċertifikazzjoni.
Bħalissa, il-“FZ-152 Secure Cloud” huwa ċċertifikat biex jospita sistemi ta’ informazzjoni involuti fl-ipproċessar, il-ħażna jew it-trażmissjoni ta’ data personali (ISPDn) skont ir-rekwiżiti tal-livell UZ-3.
Il-proċedura ta 'ċertifikazzjoni tinvolvi l-verifika tal-konformità tal-infrastruttura tal-fornitur tal-cloud mal-livell ta' protezzjoni. Il-fornitur innifsu jipprovdi s-servizz IaaS u mhuwiex operatur ta’ data personali. Il-proċess jinvolvi l-valutazzjoni ta' miżuri kemm organizzattivi (dokumentazzjoni, ordnijiet, eċċ.) kif ukoll tekniċi (twaqqif ta' tagħmir protettiv, eċċ.).
Ma jistax jissejjaħ trivjali. Minkejja l-fatt li GOST fuq programmi u metodi għat-twettiq ta 'attivitajiet ta' ċertifikazzjoni dehru lura fl-2013, programmi stretti għal oġġetti sħaba għadhom ma jeżistux. Iċ-ċentri ta 'ċertifikazzjoni jiżviluppaw dawn il-programmi bbażati fuq il-kompetenza tagħhom stess. Bil-miġja ta’ teknoloġiji ġodda, il-programmi jsiru aktar kumplessi u modernizzati; għaldaqstant, iċ-ċertifikatur irid ikollu esperjenza ta’ xogħol b’soluzzjonijiet tal-cloud u jifhem l-ispeċifiċitajiet.
Fil-każ tagħna, l-oġġett protett jikkonsisti f'żewġ postijiet.
-
Ir-riżorsi tas-sħab (servers, sistemi ta 'ħażna, infrastruttura tan-netwerk, għodod tas-sigurtà, eċċ.) Jinsabu direttament fiċ-ċentru tad-dejta. Naturalment, tali ċentru tad-dejta virtwali huwa konness ma 'netwerks pubbliċi, u għalhekk, ċerti rekwiżiti tal-firewall għandhom jiġu sodisfatti, pereżempju, l-użu ta' firewalls iċċertifikati.
-
It-tieni parti tal-oġġett hija għodod ta 'ġestjoni tas-sħab. Dawn huma workstations (workstations tal-amministratur) li minnhom jiġi ġestit is-segment protett.
Postijiet jikkomunikaw permezz ta 'kanal VPN mibni fuq CIPF.
Peress li t-teknoloġiji tal-virtwalizzazzjoni joħolqu prekundizzjonijiet għall-emerġenza ta 'theddid, nużaw ukoll għodod ta' protezzjoni ċertifikati addizzjonali.
Dijagramma blokk "minn għajnejn l-assessur"
Jekk il-klijent jeħtieġ ċertifikazzjoni tal-ISPD tiegħu, wara li jikri IaaS, ikollu biss jevalwa s-sistema ta 'informazzjoni 'l fuq mil-livell taċ-ċentru tad-dejta virtwali. Din il-proċedura tinvolvi l-iċċekkjar tal-infrastruttura u s-softwer użat fuqha. Peress li tista' tirreferi għaċ-ċertifikat tal-fornitur għall-kwistjonijiet kollha tal-infrastruttura, kull ma trid tagħmel hu li taħdem mas-software.
Separazzjoni fil-livell ta' estrazzjoni
Bħala konklużjoni, hawn lista ta 'kontroll żgħira għal kumpaniji li diġà qed jaħdmu b'dejta personali jew qed jippjanaw biss. Allura, kif timmaniġġaha mingħajr ma tinħaraq.
-
Biex tivverifika u tiżviluppa mudelli ta 'theddid u intrużi, tistieden konsulent b'esperjenza minn fost il-laboratorji ta' ċertifikazzjoni li jgħin biex jiżviluppa d-dokumenti meħtieġa u jġibek fl-istadju ta 'soluzzjonijiet tekniċi.
-
Meta tagħżel fornitur tal-cloud, agħti attenzjoni għall-preżenza ta 'ċertifikat. Ikun tajjeb jekk il-kumpanija tpoġġiha pubblikament direttament fuq il-websajt. Il-fornitur irid ikun liċenzjat ta' FSTEC u FSB, u s-servizz li joffri għandu jkun iċċertifikat.
-
Kun żgur li għandek ftehim formali u struzzjoni ffirmata għall-ipproċessar tad-dejta personali. Ibbażat fuq dan, inti tkun tista 'twettaq kemm verifika ta' konformità kif ukoll ċertifikazzjoni ISPD.Jekk dan ix-xogħol fl-istadju tal-proġett tekniku u l-ħolqien ta 'disinn u dokumentazzjoni teknika jidher ta' piż għalik, għandek tikkuntattja kumpaniji ta 'konsulenza ta' partijiet terzi minn fost il-laboratorji taċ-ċertifikazzjoni.
Jekk il-kwistjonijiet tal-ipproċessar tad-dejta personali huma rilevanti għalik, fit-18 ta’ Settembru, illum il-Ġimgħa, inkunu ferħanin li narawk fil-webinar
Sors: www.habr.com