ProHoster > blog > Amministrazzjoni > IaaS 152-FZ: allura, għandek bżonn is-sigurtà

IaaS 152-FZ: allura, għandek bżonn is-sigurtà

IaaS 152-FZ: allura, għandek bżonn is-sigurtà

Ma jimpurtax kemm issolvi l-miti u l-leġġendi li jdawru l-konformità ma '152-FZ, xi ħaġa dejjem tibqa' wara l-kwinti. Illum irridu niddiskutu xi sfumaturi mhux dejjem ovvji li kemm kumpaniji kbar kif ukoll intrapriżi żgħar ħafna jistgħu jiltaqgħu magħhom:

  • irqaq tal-klassifikazzjoni tal-PD f'kategoriji - meta ħanut żgħir online jiġbor data relatata ma' kategorija speċjali mingħajr ma jkun jaf biha;

  • fejn tista 'taħżen backups ta' PD miġbura u twettaq operazzjonijiet fuqhom;

  • x'inhi d-differenza bejn ċertifikat u konklużjoni ta' konformità, liema dokumenti għandek titlob mingħand il-fornitur, u affarijiet bħal dawn.

Fl-aħħarnett, aħna se naqsmu miegħek l-esperjenza tagħna stess li ngħaddu ċ-ċertifikazzjoni. Mur!

L-espert fl-artiklu tal-lum se jkun Alexey Afanasyev, IS speċjalista għall-fornituri tal-cloud IT-GRAD u #CloudMTS (parti mill-grupp MTS).

Irqaq ta' klassifikazzjoni

Ħafna drabi niltaqgħu max-xewqa ta’ klijent li malajr, mingħajr verifika tal-IS, jiddetermina l-livell meħtieġ ta’ sigurtà għal ISPD. Xi materjali fuq l-Internet dwar dan is-suġġett jagħtu l-impressjoni falza li din hija biċċa xogħol sempliċi u huwa pjuttost diffiċli li tagħmel żball.

Biex tiddetermina KM, huwa meħtieġ li wieħed jifhem liema data se tinġabar u tiġi pproċessata mill-IS tal-klijent. Xi drabi jista' jkun diffiċli li tiddetermina mingħajr ambigwità r-rekwiżiti ta' protezzjoni u l-kategorija ta' data personali li topera negozju. L-istess tipi ta' data personali jistgħu jiġu vvalutati u kklassifikati b'modi kompletament differenti. Għalhekk, f'xi każijiet, l-opinjoni tan-negozju tista 'tvarja mill-opinjoni tal-awditur jew saħansitra l-ispettur. Ejja nħarsu lejn ftit eżempji.

Parkeġġ. Jidher bħala tip ta 'negozju pjuttost tradizzjonali. Ħafna flotot ta 'vetturi ilhom joperaw għal għexieren ta' snin, u s-sidien tagħhom jimpjegaw intraprendituri u individwi individwali. Bħala regola, id-dejta tal-impjegati taqa 'taħt ir-rekwiżiti ta' UZ-4. Madankollu, biex taħdem mas-sewwieqa, huwa meħtieġ mhux biss li tinġabar data personali, iżda wkoll li twettaq kontroll mediku fit-territorju tal-flotta tal-vetturi qabel ma tmur fuq xift, u l-informazzjoni miġbura fil-proċess immedjatament taqa 'fil-kategorija ta' data medika - u din hija data personali ta' kategorija speċjali. Barra minn hekk, il-flotta tista’ titlob ċertifikati, li mbagħad jinżammu fil-fajl tas-sewwieq. Skan ta 'tali ċertifikat f'forma elettronika - data tas-saħħa, data personali ta' kategorija speċjali. Dan ifisser li UZ-4 m'għadux biżżejjed; mill-inqas UZ-3 huwa meħtieġ.

Ħanut onlajn. Jidher li l-ismijiet, l-emails u n-numri tat-telefon miġbura jidħlu fil-kategorija pubblika. Madankollu, jekk il-klijenti tiegħek jindikaw preferenzi tad-dieta, bħal halal jew kosher, tali informazzjoni tista' titqies bħala data ta' affiljazzjoni jew twemmin reliġjuż. Għalhekk, meta jiċċekkja jew iwettaq attivitajiet oħra ta' kontroll, l-ispettur jista' jikklassifika d-data li tiġbor bħala kategorija speċjali ta' data personali. Issa, jekk ħanut online ġabar informazzjoni dwar jekk ix-xerrej tiegħu jippreferix laħam jew ħut, id-dejta tista’ tiġi kklassifikata bħala data personali oħra. Mill-mod, xi ngħidu għall-veġetarjani? Wara kollox, dan jista 'jiġi attribwit ukoll għal twemmin filosofiku, li wkoll jappartjenu għal kategorija speċjali. Iżda min-naħa l-oħra, din tista 'sempliċement tkun l-attitudni ta' persuna li eliminat il-laħam mid-dieta tagħha. Alas, m'hemm l-ebda sinjal li jiddefinixxi mingħajr ambigwità l-kategorija tal-PD f'sitwazzjonijiet "sottili" bħal dawn.

Aġenzija tar-reklamar Permezz ta 'xi servizz cloud tal-Punent, tipproċessa data disponibbli pubblikament tal-klijenti tagħha - ismijiet sħaħ, indirizzi tal-email u numri tat-telefon. Din id-dejta personali, ovvjament, tirrigwarda d-dejta personali. Tqum il-mistoqsija: huwa legali li jsir dan l-ipproċessar? Huwa saħansitra possibbli li tiċċaqlaq data bħal din mingħajr depersonalizzazzjoni barra mill-Federazzjoni Russa, pereżempju, biex taħżen backups f'xi sħab barranin? Naturalment tista’. L-Aġenzija għandha d-dritt li taħżen din id-dejta barra mir-Russja, madankollu, il-ġbir inizjali, skont il-leġiżlazzjoni tagħna, għandu jsir fit-territorju tal-Federazzjoni Russa. Jekk tagħmel backup ta 'informazzjoni bħal din, tikkalkula xi statistika bbażata fuqha, twettaq riċerka jew twettaq xi operazzjonijiet oħra magħha - dan kollu jista' jsir fuq ir-riżorsi tal-Punent. Il-punt ewlieni mil-lat legali huwa fejn tinġabar id-dejta personali. Għalhekk huwa importanti li ma jitħalltux il-ġbir inizjali u l-ipproċessar.

Kif jirriżulta minn dawn l-eżempji qosra, il-ħidma mad-dejta personali mhux dejjem hija sempliċi u sempliċi. Għandek bżonn mhux biss tkun taf li qed taħdem magħhom, iżda wkoll tkun kapaċi tikklassifikahom b'mod korrett, tifhem kif taħdem l-IP sabiex tiddetermina b'mod korrett il-livell meħtieġ ta 'sigurtà. F'xi każijiet, tista' tqum il-mistoqsija dwar kemm l-organizzazzjoni tabilħaqq teħtieġ biex topera dejta personali. Huwa possibbli li tiġi rrifjutata l-aktar data "serja" jew sempliċement mhux meħtieġa? Barra minn hekk, ir-regolatur jirrakkomanda d-depersonalizzazzjoni tad-dejta personali fejn possibbli. 

Bħal fl-eżempji ta’ hawn fuq, xi drabi tista’ tiltaqa’ mal-fatt li l-awtoritajiet ta’ spezzjoni jinterpretaw id-dejta personali miġbura b’mod kemxejn differenti minn dak li vvalutajt int stess.

Naturalment, tista' timpjega awditur jew integratur tas-sistema bħala assistent, iżda l-"assistent" se jkun responsabbli għad-deċiżjonijiet magħżula fil-każ ta' verifika? Ta’ min jinnota li r-responsabbiltà dejjem taqa’ fuq is-sid tal-ISPD – l-operatur tad-dejta personali. Huwa għalhekk li, meta kumpanija twettaq xogħol bħal dan, huwa importanti li tirrikorri għal atturi serji fis-suq għal tali servizzi, pereżempju, kumpaniji li jwettqu xogħol ta 'ċertifikazzjoni. Il-kumpaniji li jiċċertifikaw għandhom esperjenza estensiva fit-twettiq ta' dan ix-xogħol.

Għażliet għall-bini ta' ISPD

Il-kostruzzjoni ta' ISPD mhix biss kwistjoni teknika, iżda wkoll fil-biċċa l-kbira legali. Is-CIO jew id-direttur tas-sigurtà għandu dejjem jikkonsulta mal-avukat. Peress li l-kumpanija mhux dejjem ikollha speċjalista bil-profil li għandek bżonn, ta 'min iħares lejn awdituri-konsulenti. Ħafna punti li jiżolqu jistgħu ma jkunu ovvji xejn.

Il-konsultazzjoni tippermettilek tiddetermina liema data personali qed tittratta u liema livell ta' protezzjoni teħtieġ. Għaldaqstant, ikollok idea tal-IP li jeħtieġ li jinħoloq jew jiġi supplimentat b'miżuri ta 'sigurtà u sigurtà operazzjonali.

Ħafna drabi l-għażla għal kumpanija hija bejn żewġ għażliet:

  1. Ibni l-IS korrispondenti fuq is-soluzzjonijiet tal-ħardwer u tas-software tiegħek, possibbilment fil-kamra tas-server tiegħek stess.

  2. Ikkuntattja fornitur tas-sħab u agħżel soluzzjoni elastika, "kamra tas-server virtwali" diġà ċċertifikata.

Il-biċċa l-kbira tas-sistemi ta' informazzjoni li jipproċessaw id-dejta personali jużaw approċċ tradizzjonali, li, mil-lat tan-negozju, bilkemm jista' jissejjaħ faċli u ta' suċċess. Meta tagħżel din l-għażla, huwa meħtieġ li wieħed jifhem li d-disinn tekniku se jinkludi deskrizzjoni tat-tagħmir, inklużi soluzzjonijiet u pjattaformi ta 'softwer u hardware. Dan ifisser li jkollok tiffaċċja d-diffikultajiet u l-limitazzjonijiet li ġejjin:

  • diffikultà ta' skalar;

  • perjodu twil ta 'implimentazzjoni tal-proġett: huwa meħtieġ li tagħżel, tixtri, tinstalla, tikkonfigura u tiddeskrivi s-sistema;

  • ħafna xogħol "karta", bħala eżempju - l-iżvilupp ta 'pakkett sħiħ ta' dokumentazzjoni għall-ISPD kollu.

Barra minn hekk, negozju, bħala regola, jifhem biss il-livell "fuq" tal-IP tiegħu - l-applikazzjonijiet tan-negozju li juża. Fi kliem ieħor, il-persunal tal-IT huwa tas-sengħa fil-qasam speċifiku tagħhom. M'hemm l-ebda fehim ta 'kif jaħdmu l-"livelli aktar baxxi" kollha: protezzjoni ta' softwer u ħardwer, sistemi ta 'ħażna, backup u, ovvjament, kif tikkonfigura għodod ta' protezzjoni f'konformità mar-rekwiżiti kollha, tibni l-parti "ħardwer" tal-konfigurazzjoni. Huwa importanti li tifhem: dan huwa saff kbir ta 'għarfien li jinsab barra n-negozju tal-klijent. Dan huwa fejn l-esperjenza ta 'fornitur tas-sħab li jipprovdi "kamra tas-server virtwali" iċċertifikata tista' tkun utli.

Min-naħa tagħhom, il-fornituri tal-cloud għandhom għadd ta’ vantaġġi li, mingħajr esaġerazzjoni, jistgħu jkopru 99 % tal-ħtiġijiet tan-negozju fil-qasam tal-protezzjoni tad-dejta personali:

  • l-ispejjeż kapitali huma kkonvertiti fi spejjeż operattivi;

  • il-fornitur, min-naħa tiegħu, jiggarantixxi l-provvista tal-livell meħtieġ ta’ sigurtà u disponibbiltà abbażi ta’ soluzzjoni standard ippruvata;

  • m'hemmx bżonn li jinżamm persunal ta' speċjalisti li jiżguraw it-tħaddim tal-ISPD fil-livell tal-ħardwer;

  • il-fornituri joffru soluzzjonijiet ferm aktar flessibbli u elastiċi;

  • l-ispeċjalisti tal-fornitur għandhom iċ-ċertifikati kollha meħtieġa;

  • il-konformità mhix inqas minn meta tibni l-arkitettura tiegħek stess, b'kont meħud tar-rekwiżiti u r-rakkomandazzjonijiet tar-regolaturi.

Il-leġġenda l-antika li d-dejta personali ma tistax tinħażen fis-sħab għadha popolari ħafna. Huwa biss parzjalment minnu: PD verament ma jistax jiġi stazzjonat fl-ewwel waħda disponibbli sħaba. Il-konformità ma' ċerti miżuri tekniċi u l-użu ta' ċerti soluzzjonijiet iċċertifikati huma meħtieġa. Jekk il-fornitur jikkonforma mar-rekwiżiti legali kollha, ir-riskji assoċjati mat-tnixxija tad-dejta personali huma minimizzati. Ħafna fornituri għandhom infrastruttura separata għall-ipproċessar tad-dejta personali skont 152-FZ. Madankollu, l-għażla tal-fornitur trid tiġi avviċinata wkoll b'għarfien ta 'ċerti kriterji; żgur li se nmissuhom hawn taħt. 

Il-klijenti spiss jiġu għandna b'xi tħassib dwar it-tqegħid ta 'dejta personali fil-cloud tal-fornitur. Ukoll, ejja niddiskutuhom minnufih.

  • Id-dejta tista' tinsteraq waqt it-trażmissjoni jew il-migrazzjoni

M'hemmx għalfejn nibżgħu minn dan - il-fornitur joffri lill-klijent il-ħolqien ta 'kanal sigur ta' trasmissjoni tad-dejta mibni fuq soluzzjonijiet iċċertifikati, miżuri ta 'awtentikazzjoni mtejba għall-kuntratturi u l-impjegati. Li jibqa 'huwa li tagħżel il-metodi ta' protezzjoni xierqa u timplimentahom bħala parti mix-xogħol tiegħek mal-klijent.

  • Uri l-maskri se jidħlu u jieħdu / jissiġillaw / jaqtgħu l-enerġija lis-server

Huwa pjuttost mifhum għall-klijenti li jibżgħu li l-proċessi tan-negozju tagħhom se jiġu mfixkla minħabba kontroll insuffiċjenti fuq l-infrastruttura. Bħala regola, dawk il-klijenti li l-ħardwer tagħhom qabel kien jinsab fi kmamar tas-server żgħar aktar milli ċentri tad-dejta speċjalizzati jaħsbu dwar dan. Fir-realtà, iċ-ċentri tad-dejta huma mgħammra b’mezzi moderni ta’ protezzjoni kemm fiżika kif ukoll ta’ informazzjoni. Huwa kważi impossibbli li twettaq kwalunkwe operazzjoni f'tali ċentru tad-dejta mingħajr raġunijiet u dokumenti suffiċjenti, u attivitajiet bħal dawn jeħtieġu konformità ma 'numru ta' proċeduri. Barra minn hekk, "ġbid" tas-server tiegħek miċ-ċentru tad-dejta jista 'jaffettwa klijenti oħra tal-fornitur, u dan żgur mhux meħtieġ għal ħadd. Barra minn hekk, ħadd ma jkun jista 'jippunta subgħajh speċifikament lejn is-server virtwali "tiegħek", għalhekk jekk xi ħadd irid jisirqu jew itella' spettaklu ta' maskra, l-ewwel ikollu jħabbat wiċċu ma 'ħafna dewmien burokratiku. Matul dan iż-żmien, x'aktarx ikollok ħin biex temigra għal sit ieħor diversi drabi.

  • Hackers se hack-sħaba u jisirqu data

L-Internet u l-istampa stampata huma mimlijin aħbarijiet dwar kif sħaba oħra sfat vittma taċ-ċiberkriminali, u miljuni ta’ rekords ta’ dejta personali ħarġu fuq l-internet. Fil-maġġoranza l-kbira tal-każijiet, il-vulnerabbiltajiet ma nstabu xejn min-naħa tal-fornitur, iżda fis-sistemi tal-informazzjoni tal-vittmi: passwords dgħajfa jew saħansitra default, "toqob" fil-magni tal-websajt u d-databases, u traskuraġni banali tan-negozju meta jagħżlu miżuri ta’ sigurtà u l-organizzazzjoni ta' proċeduri ta' aċċess għad-dejta. Is-soluzzjonijiet iċċertifikati kollha huma kkontrollati għal vulnerabbiltajiet. Aħna wkoll regolarment inwettqu pentests ta '"kontroll" u verifiki tas-sigurtà, kemm b'mod indipendenti kif ukoll permezz ta' organizzazzjonijiet esterni. Għall-fornitur, din hija kwistjoni ta 'reputazzjoni u negozju b'mod ġenerali.

  • Il-fornitur/impjegati tal-fornitur se jisirqu d-dejta personali għall-gwadann personali

Dan huwa mument pjuttost sensittiv. Għadd ta' kumpaniji mid-dinja tas-sigurtà tal-informazzjoni "jibżgħu" lill-klijenti tagħhom u jinsistu li "l-impjegati interni huma aktar perikolużi minn hackers esterni." Dan jista 'jkun minnu f'xi każijiet, iżda negozju ma jistax jinbena mingħajr fiduċja. Minn żmien għal żmien, aħbarijiet li l-impjegati ta 'organizzazzjoni stess jnixxu d-dejta tal-klijenti lill-attakkanti, u s-sigurtà interna kultant tkun organizzata ħafna agħar mis-sigurtà esterna. Huwa importanti li wieħed jifhem hawnhekk li kwalunkwe fornitur kbir huwa estremament mhux interessat f'każijiet negattivi. L-azzjonijiet tal-impjegati tal-fornitur huma regolati tajjeb, ir-rwoli u l-oqsma ta 'responsabbiltà huma maqsuma. Il-proċessi kollha tan-negozju huma strutturati b'tali mod li l-każijiet ta 'tnixxija tad-dejta huma estremament improbabbli u huma dejjem notevoli għas-servizzi interni, għalhekk il-klijenti m'għandhomx jibżgħu mill-problemi minn din in-naħa.

  • Tħallas ftit għax tħallas għas-servizzi bid-dejta tan-negozju tiegħek.

Leġġenda oħra: klijent li jikri infrastruttura sigura bi prezz komdu fil-fatt iħallas għaliha bid-dejta tiegħu - ħafna drabi dan huwa maħsub minn esperti li ma jiddejqux jaqraw ftit teoriji tal-konfoffa qabel imorru jorqdu. L-ewwelnett, il-possibbiltà li twettaq kwalunkwe operazzjoni bid-dejta tiegħek minbarra dawk speċifikati fl-ordni hija essenzjalment żero. It-tieni nett, fornitur adegwat jistma r-relazzjoni miegħek u r-reputazzjoni tiegħu - minbarra lilek, għandu ħafna aktar klijenti. Ix-xenarju oppost huwa aktar probabbli, li fih il-fornitur jipproteġi b'żelu d-dejta tal-klijenti tiegħu, li fuqha tistrieħ in-negozju tiegħu.

Għażla ta' fornitur tal-cloud għall-ISPD

Illum, is-suq joffri ħafna soluzzjonijiet għal kumpaniji li huma operaturi tal-PD. Hawn taħt hawn lista ġenerali ta 'rakkomandazzjonijiet għall-għażla ta' dik it-tajba.

  • Il-fornitur irid ikun lest li jidħol fi ftehim formali li jiddeskrivi r-responsabbiltajiet tal-partijiet, l-SLAs u l-oqsma ta’ responsabbiltà fiċ-ċavetta għall-ipproċessar tad-dejta personali. Fil-fatt, bejnek u l-fornitur, minbarra l-ftehim tas-servizz, trid tiġi ffirmata ordni għall-ipproċessar tal-PD. Fi kwalunkwe każ, ta 'min jistudjahom bir-reqqa. Huwa importanti li tifhem id-diviżjoni tar-responsabbiltajiet bejnek u l-fornitur.

  • Jekk jogħġbok innota li s-segment għandu jissodisfa r-rekwiżiti, li jfisser li għandu jkollu ċertifikat li jindika livell ta 'sigurtà mhux inqas minn dak meħtieġ mill-IP tiegħek. Jiġri li l-fornituri jippubblikaw biss l-ewwel paġna taċ-ċertifikat, li minnha ftit huwa ċar, jew jirreferu għal verifiki jew proċeduri ta 'konformità mingħajr ma jippubblikaw iċ-ċertifikat innifsu (“kien hemm tifel?”). Ta 'min jitlobha - dan huwa dokument pubbliku li jindika min wettaq iċ-ċertifikazzjoni, il-perjodu ta' validità, il-post tas-sħab, eċċ.

  • Il-fornitur għandu jipprovdi informazzjoni dwar fejn jinsabu s-siti tiegħu (oġġetti protetti) sabiex tkun tista' tikkontrolla t-tqegħid tad-dejta tiegħek. Ejjew infakkruk li l-ġbir inizjali tad-dejta personali għandu jsir fit-territorju tal-Federazzjoni Russa; għalhekk, huwa rakkomandabbli li tara l-indirizzi taċ-ċentru tad-dejta fil-kuntratt/ċertifikat.

  • Il-fornitur għandu juża s-sigurtà tal-informazzjoni ċċertifikata u s-sistemi tal-protezzjoni tal-informazzjoni. Naturalment, il-biċċa l-kbira tal-fornituri ma jirreklamawx il-miżuri ta' sigurtà teknika u l-arkitettura tas-soluzzjoni li jużaw. Imma int, bħala klijent, ma tistax ma tafx dwarha. Pereżempju, biex tikkonnettja mill-bogħod ma 'sistema ta' ġestjoni (portal ta 'ġestjoni), huwa meħtieġ li jintużaw miżuri ta' sigurtà. Il-fornitur mhux se jkun jista' jevita dan ir-rekwiżit u jagħtik (jew jeħtieġlek tuża) soluzzjonijiet iċċertifikati. Ħu r-riżorsi għal test u immedjatament tifhem kif u x'jaħdem. 

  • Huwa mixtieq ħafna li l-fornitur tal-cloud jipprovdi servizzi addizzjonali fil-qasam tas-sigurtà tal-informazzjoni. Dawn jistgħu jkunu diversi servizzi: protezzjoni kontra attakki DDoS u WAF, servizz kontra l-virus jew sandbox, eċċ. Dan kollu jippermettilek li tirċievi protezzjoni bħala servizz, li ma tkunx distratt minn sistemi ta 'protezzjoni tal-bini, iżda biex taħdem fuq applikazzjonijiet tan-negozju.

  • Il-fornitur irid ikun liċenzjat ta' FSTEC u FSB. Bħala regola, tali informazzjoni titpoġġa direttament fuq il-websajt. Kun żgur li titlob dawn id-dokumenti u ċċekkja jekk l-indirizzi għall-forniment tas-servizzi, l-isem tal-kumpanija tal-fornitur, eċċ humiex korretti. 

Ejja nġabru fil-qosor. L-infrastruttura tal-kiri tippermettilek tabbanduna CAPEX u żżomm biss l-applikazzjonijiet tan-negozju tiegħek u d-dejta nnifisha fil-qasam tar-responsabbiltà tiegħek, u tittrasferixxi l-piż tqil taċ-ċertifikazzjoni tal-ħardwer u s-softwer u l-ħardwer lill-fornitur.

Kif għadda ċ-ċertifikazzjoni

Aktar reċentement, għaddejna b'suċċess ir-riċertifikazzjoni tal-infrastruttura tas-"Secure Cloud FZ-152" għall-konformità mar-rekwiżiti biex taħdem mad-dejta personali. Ix-xogħol sar miċ-Ċentru Nazzjonali taċ-Ċertifikazzjoni.

Bħalissa, il-“FZ-152 Secure Cloud” huwa ċċertifikat biex jospita sistemi ta’ informazzjoni involuti fl-ipproċessar, il-ħażna jew it-trażmissjoni ta’ data personali (ISPDn) skont ir-rekwiżiti tal-livell UZ-3.

Il-proċedura ta 'ċertifikazzjoni tinvolvi l-verifika tal-konformità tal-infrastruttura tal-fornitur tal-cloud mal-livell ta' protezzjoni. Il-fornitur innifsu jipprovdi s-servizz IaaS u mhuwiex operatur ta’ data personali. Il-proċess jinvolvi l-valutazzjoni ta' miżuri kemm organizzattivi (dokumentazzjoni, ordnijiet, eċċ.) kif ukoll tekniċi (twaqqif ta' tagħmir protettiv, eċċ.).

Ma jistax jissejjaħ trivjali. Minkejja l-fatt li GOST fuq programmi u metodi għat-twettiq ta 'attivitajiet ta' ċertifikazzjoni dehru lura fl-2013, programmi stretti għal oġġetti sħaba għadhom ma jeżistux. Iċ-ċentri ta 'ċertifikazzjoni jiżviluppaw dawn il-programmi bbażati fuq il-kompetenza tagħhom stess. Bil-miġja ta’ teknoloġiji ġodda, il-programmi jsiru aktar kumplessi u modernizzati; għaldaqstant, iċ-ċertifikatur irid ikollu esperjenza ta’ xogħol b’soluzzjonijiet tal-cloud u jifhem l-ispeċifiċitajiet.

Fil-każ tagħna, l-oġġett protett jikkonsisti f'żewġ postijiet.

  • Ir-riżorsi tas-sħab (servers, sistemi ta 'ħażna, infrastruttura tan-netwerk, għodod tas-sigurtà, eċċ.) Jinsabu direttament fiċ-ċentru tad-dejta. Naturalment, tali ċentru tad-dejta virtwali huwa konness ma 'netwerks pubbliċi, u għalhekk, ċerti rekwiżiti tal-firewall għandhom jiġu sodisfatti, pereżempju, l-użu ta' firewalls iċċertifikati.

  • It-tieni parti tal-oġġett hija għodod ta 'ġestjoni tas-sħab. Dawn huma workstations (workstations tal-amministratur) li minnhom jiġi ġestit is-segment protett.

Postijiet jikkomunikaw permezz ta 'kanal VPN mibni fuq CIPF.

Peress li t-teknoloġiji tal-virtwalizzazzjoni joħolqu prekundizzjonijiet għall-emerġenza ta 'theddid, nużaw ukoll għodod ta' protezzjoni ċertifikati addizzjonali.

IaaS 152-FZ: allura, għandek bżonn is-sigurtàDijagramma blokk "minn għajnejn l-assessur"

Jekk il-klijent jeħtieġ ċertifikazzjoni tal-ISPD tiegħu, wara li jikri IaaS, ikollu biss jevalwa s-sistema ta 'informazzjoni 'l fuq mil-livell taċ-ċentru tad-dejta virtwali. Din il-proċedura tinvolvi l-iċċekkjar tal-infrastruttura u s-softwer użat fuqha. Peress li tista' tirreferi għaċ-ċertifikat tal-fornitur għall-kwistjonijiet kollha tal-infrastruttura, kull ma trid tagħmel hu li taħdem mas-software.

IaaS 152-FZ: allura, għandek bżonn is-sigurtàSeparazzjoni fil-livell ta' estrazzjoni

Bħala konklużjoni, hawn lista ta 'kontroll żgħira għal kumpaniji li diġà qed jaħdmu b'dejta personali jew qed jippjanaw biss. Allura, kif timmaniġġaha mingħajr ma tinħaraq.

  1. Biex tivverifika u tiżviluppa mudelli ta 'theddid u intrużi, tistieden konsulent b'esperjenza minn fost il-laboratorji ta' ċertifikazzjoni li jgħin biex jiżviluppa d-dokumenti meħtieġa u jġibek fl-istadju ta 'soluzzjonijiet tekniċi.

  2. Meta tagħżel fornitur tal-cloud, agħti attenzjoni għall-preżenza ta 'ċertifikat. Ikun tajjeb jekk il-kumpanija tpoġġiha pubblikament direttament fuq il-websajt. Il-fornitur irid ikun liċenzjat ta' FSTEC u FSB, u s-servizz li joffri għandu jkun iċċertifikat.

  3. Kun żgur li għandek ftehim formali u struzzjoni ffirmata għall-ipproċessar tad-dejta personali. Ibbażat fuq dan, inti tkun tista 'twettaq kemm verifika ta' konformità kif ukoll ċertifikazzjoni ISPD.Jekk dan ix-xogħol fl-istadju tal-proġett tekniku u l-ħolqien ta 'disinn u dokumentazzjoni teknika jidher ta' piż għalik, għandek tikkuntattja kumpaniji ta 'konsulenza ta' partijiet terzi minn fost il-laboratorji taċ-ċertifikazzjoni.

Jekk il-kwistjonijiet tal-ipproċessar tad-dejta personali huma rilevanti għalik, fit-18 ta’ Settembru, illum il-Ġimgħa, inkunu ferħanin li narawk fil-webinar “Karatteristiċi tal-bini ta’ sħab iċċertifikati”.

Sors: www.habr.com

Żid kumment