پرو هوسٽر > بلاگ > انتظاميه > IaaS 152-FZ: تنهن ڪري، توهان کي سيڪيورٽي جي ضرورت آهي

IaaS 152-FZ: تنهن ڪري، توهان کي سيڪيورٽي جي ضرورت آهي

IaaS 152-FZ: تنهن ڪري، توهان کي سيڪيورٽي جي ضرورت آهي

ڪو مسئلو ناهي ته توهان ڪيترين ئي افسانن ۽ ڏند ڪٿا کي ترتيب ڏيو جيڪي 152-FZ جي تعميل جي چوڌاري، ڪجهه هميشه پردي جي پويان رهي ٿو. اڄ اسان ڪجهه ڳالهين تي بحث ڪرڻ چاهيون ٿا هميشه واضح طور تي واضح ناهي ته ٻنهي وڏين ڪمپنين ۽ تمام ننڍن ادارن کي منهن ڏئي سگهي ٿي:

  • PD جي درجه بندي جي ذيلي ذخيري کي ڀاڱن ۾ - جڏهن هڪ ننڍڙو آن لائن اسٽور هڪ خاص درجي سان لاڳاپيل ڊيٽا گڏ ڪري ٿو ان جي باري ۾ ڄاڻڻ کان سواء؛

  • جتي توهان گڏ ڪيل PD جو بيڪ اپ ذخيرو ڪري سگهو ٿا ۽ انهن تي آپريشن ڪري سگهو ٿا؛

  • سرٽيفڪيٽ ۽ تعميل جي نتيجي ۾ ڇا فرق آهي، توهان کي فراهم ڪندڙ کان ڪهڙا دستاويز درخواست ڪرڻ گهرجن، ۽ اهڙيون شيون.

آخرڪار، اسان توهان سان حصيداري ڪنداسين سرٽيفڪيشن پاس ڪرڻ جو پنهنجو تجربو. وڃ!

اڄ جي مضمون ۾ ماهر ٿي ويندي Alexey Afanasyev، IS ماهر ڪلائوڊ فراهم ڪندڙن لاءِ IT-GRAD ۽ #CloudMTS (MTS گروپ جو حصو).

درجه بندي جي ذخيري

اسان اڪثر ڪري هڪ ڪلائنٽ جي خواهش کي جلدي سان منهن ڏيون ٿا، بغير IS آڊٽ جي، هڪ ISPD لاءِ سيڪيورٽي جي گهربل سطح جو تعين ڪرڻ. هن موضوع تي انٽرنيٽ تي ڪجهه مواد غلط تاثر ڏئي ٿو ته اهو هڪ سادو ڪم آهي ۽ غلطي ڪرڻ تمام ڏکيو آهي.

KM کي طئي ڪرڻ لاء، اهو سمجهڻ ضروري آهي ته ڪلائنٽ جي IS پاران ڪهڙي ڊيٽا گڏ ڪئي ويندي ۽ پروسيس ڪئي ويندي. ڪڏهن ڪڏهن اهو ڏکيو ٿي سگهي ٿو غير واضح طور تي تحفظ جي گهرج جو تعين ڪرڻ ۽ ذاتي ڊيٽا جو درجو جيڪو ڪاروبار هلائي ٿو. ساڳئي قسم جي ذاتي ڊيٽا جو اندازو لڳائي سگهجي ٿو ۽ مڪمل طور تي مختلف طريقن سان درجه بندي ڪري سگهجي ٿو. تنهن ڪري، ڪجهه حالتن ۾، ڪاروبار جي راء آڊيٽر يا حتي انسپيڪٽر جي راء کان مختلف ٿي سگهي ٿي. اچو ته چند مثالن تي نظر وجهون.

ڪار پارڪ. اهو لڳي ٿو ته هڪ روايتي قسم جو ڪاروبار. ڪيترن ئي گاڏين جا جهاز ڏهاڪن کان ڪم ڪري رهيا آهن، ۽ انهن جا مالڪ انفرادي انٽرپرينينئرز ۽ فردن کي ڀرتي ڪن ٿا. ضابطي جي طور تي، ملازم ڊيٽا UZ-4 جي ضرورتن جي تحت پوي ٿو. بهرحال، ڊرائيورن سان ڪم ڪرڻ لاء، اهو ضروري آهي ته نه رڳو ذاتي ڊيٽا گڏ ڪرڻ، پر گاڏين جي جهاز جي علائقي تي طبي ڪنٽرول پڻ کڻڻ کان اڳ هڪ شفٽ تي وڃڻ کان اڳ، ۽ پروسيس ۾ گڏ ڪيل معلومات فوري طور تي درجي ۾ اچي ٿو. طبي ڊيٽا - ۽ هي هڪ خاص درجي جي ذاتي ڊيٽا آهي. اضافي طور تي، جهاز کي سرٽيفڪيٽ جي درخواست ڪري سگهي ٿي، جيڪو پوء ڊرائيور جي فائل ۾ رکيو ويندو. اليڪٽرانڪ فارم ۾ اهڙي سرٽيفڪيٽ جي اسڪين - صحت جي ڊيٽا، هڪ خاص درجي جي ذاتي ڊيٽا. هن جو مطلب آهي ته UZ-4 هاڻي ڪافي نه آهي؛ گهٽ ۾ گهٽ UZ-3 جي ضرورت آهي.

آن لائن اسٽور. اهو لڳي ٿو ته گڏ ڪيل نالا، اي ميلون ۽ ٽيليفون نمبر عوامي درجي ۾ مناسب آهن. تنهن هوندي، جيڪڏهن توهان جا گراهڪ غذائي ترجيحن کي ظاهر ڪن ٿا، جهڙوڪ حلال يا ڪوشر، اهڙي معلومات کي مذهبي وابستگي يا عقيدي ڊيٽا سمجهي سگهجي ٿو. تنهن ڪري، جڏهن چيڪ ڪرڻ يا ٻين ڪنٽرول سرگرمين کي کڻڻ، انسپيڪٽر شايد توهان جي گڏ ڪيل ڊيٽا کي ذاتي ڊيٽا جي خاص درجي جي طور تي درجه بندي ڪري سگهي ٿي. هاڻي، جيڪڏهن هڪ آن لائن اسٽور معلومات گڏ ڪري ٿي ته ڇا ان جو خريد ڪندڙ گوشت يا مڇي کي ترجيح ڏئي ٿو، ڊيٽا کي ٻين ذاتي ڊيٽا جي طور تي درجه بندي ڪري سگهجي ٿو. رستي ۾، ڀاڄين بابت ڇا؟ آخرڪار، اهو پڻ فلسفيائي عقيدن ڏانهن منسوب ڪري سگهجي ٿو، جيڪو پڻ هڪ خاص درجي سان تعلق رکي ٿو. پر ٻئي طرف، اهو صرف هڪ شخص جو رويو ٿي سگهي ٿو جيڪو پنهنجي غذا مان گوشت کي ختم ڪري ڇڏيو آهي. افسوس، اتي ڪا نشاني ناهي ته غير واضح طور تي PD جي درجي کي اهڙي "ذيلي" حالتن ۾ بيان ڪري ٿي.

اشتھاري ايجنسي ڪجھ مغربي ڪلائوڊ سروس استعمال ڪندي، اھو پروسيس ڪري ٿو عوامي طور تي دستياب ڊيٽا پنھنجي گراهڪن جي - مڪمل نالا، اي ميل ايڊريس ۽ ٽيليفون نمبر. اهي ذاتي ڊيٽا، يقينا، ذاتي ڊيٽا سان لاڳاپيل آهن. سوال پيدا ٿئي ٿو: ڇا اهڙي عمل کي قانوني طور تي هلائڻ لاء؟ ڇا اهو ممڪن آهي ته اهڙي ڊيٽا کي بغير ڪنهن غير ذاتي ڪرڻ کان سواء روسي فيڊريشن کان ٻاهر منتقل ڪرڻ، مثال طور، ڪجهه غير ملڪي بادل ۾ بيڪ اپ رکڻ لاء؟ يقينا توهان ڪري سگهو ٿا. ايجنسي کي روس کان ٻاهر هن ڊيٽا کي ذخيرو ڪرڻ جو حق آهي، جڏهن ته، اسان جي قانون سازي جي مطابق، شروعاتي گڏ ڪرڻ لازمي آهي روسي فيڊريشن جي علائقي تي. جيڪڏهن توهان اهڙي معلومات جو بيڪ اپ ڪريو ٿا، ان جي بنياد تي ڪجهه انگ اکر ڳڻيو، تحقيق ڪريو يا ان سان گڏ ڪي ٻيا عمل انجام ڏيو - اهو سڀ ڪجهه مغربي وسيلن تي ٿي سگهي ٿو. قانوني نقطي نظر کان اهم نقطو اهو آهي جتي ذاتي ڊيٽا گڏ ڪئي وئي آهي. تنهن ڪري اهو ضروري آهي ته شروعاتي گڏ ڪرڻ ۽ پروسيسنگ کي پريشان نه ڪن.

جيئن هيٺ ڏنل مختصر مثالن مان، ذاتي ڊيٽا سان ڪم ڪرڻ هميشه سڌو ۽ سادو ناهي. توهان کي نه رڳو اهو ڄاڻڻ جي ضرورت آهي ته توهان انهن سان ڪم ڪري رهيا آهيو، پر انهن کي صحيح طور تي درجه بندي ڪرڻ جي قابل پڻ، سمجھو ته IP ڪيئن ڪم ڪري ٿو صحيح طور تي سيڪيورٽي جي گهربل سطح کي طئي ڪرڻ لاء. ڪجهه حالتن ۾، اهو سوال پيدا ٿي سگهي ٿو ته ڪيتري ذاتي ڊيٽا تنظيم کي اصل ۾ هلائڻ جي ضرورت آهي. ڇا اهو ممڪن آهي ته سڀ کان وڌيڪ "سنگين" يا صرف غير ضروري ڊيٽا کي رد ڪرڻ؟ ان کان علاوه، ريگيوليٽر سفارش ڪري ٿو ته ذاتي ڊيٽا کي غير جانبدار ڪرڻ جتي ممڪن هجي. 

جيئن مٿي ڏنل مثالن ۾، ڪڏهن ڪڏهن توهان حقيقت سان منهن ڏئي سگهو ٿا ته انسپيڪشن اختيارين گڏ ڪيل ذاتي ڊيٽا جي تفسير ٿورڙي مختلف انداز ۾ ڪن ٿا ان کان سواءِ توهان پاڻ انهن جو اندازو لڳايو.

يقينن، توهان هڪ آڊيٽر يا هڪ سسٽم انٽيگريٽر کي هڪ اسسٽنٽ طور مقرر ڪري سگهو ٿا، پر ڇا "اسسٽنٽ" آڊٽ جي صورت ۾ چونڊيل فيصلن جو ذميوار هوندو؟ اهو نوٽ ڪرڻ جي قابل آهي ته ذميواري هميشه ISPD جي مالڪ سان آهي - ذاتي ڊيٽا جو آپريٽر. انهي ڪري، جڏهن ڪو ڪمپني اهڙي ڪم کي انجام ڏئي ٿو، اهو ضروري آهي ته مارڪيٽ ۾ سنجيده رانديگرن کي اهڙي خدمتن لاء، مثال طور، ڪمپنيون جيڪي سرٽيفڪيشن ڪم ڪن ٿيون. تصديق ڪندڙ ڪمپنيون اهڙي ڪم کي کڻڻ ۾ وسيع تجربو آهن.

ISPD تعمير ڪرڻ جا اختيار

هڪ ISPD جي تعمير نه رڳو هڪ ٽيڪنيڪل آهي، پر گهڻو ڪري هڪ قانوني مسئلو. سي آئي او يا سيڪيورٽي ڊائريڪٽر کي هميشه قانوني صلاحڪار سان صلاح ڪرڻ گهرجي. جيئن ته ڪمپني وٽ هميشه هڪ ماهر نه هوندو آهي جيڪو توهان جي پروفائل سان توهان جي ضرورت آهي، اهو ڏسڻ جي قابل آهي آڊيٽر صلاحڪارن ڏانهن. گھڻا ڦٽل نقطا شايد پڌرا نه هجن.

مشاورت توهان کي اهو طئي ڪرڻ جي اجازت ڏيندو ته توهان ڪهڙي ذاتي ڊيٽا سان ڊيل ڪري رهيا آهيو ۽ ڪهڙي سطح جي تحفظ جي ضرورت آهي. ان جي مطابق، توهان کي IP جو هڪ خيال ملندو جنهن کي سيڪيورٽي ۽ عملياتي حفاظتي قدمن سان ٺهڪندڙ يا اضافي ڪرڻ جي ضرورت آهي.

گهڻو ڪري هڪ ڪمپني جي چونڊ ٻن اختيارن جي وچ ۾ آهي:

  1. توهان جي پنهنجي هارڊويئر ۽ سافٽ ويئر حل تي لاڳاپيل IS ٺاهيو، ممڪن طور تي توهان جي پنهنجي سرور روم ۾.

  2. هڪ ڪلائوڊ فراهم ڪندڙ سان رابطو ڪريو ۽ هڪ لچڪدار حل چونڊيو، جيڪو اڳ ۾ ئي تصديق ٿيل ”ورچوئل سرور روم“ آهي.

اڪثر معلوماتي سسٽم پروسيسنگ ذاتي ڊيٽا هڪ روايتي طريقي سان استعمال ڪن ٿا، جنهن کي، ڪاروباري نقطي نظر کان، مشڪل سان آسان ۽ ڪامياب چئي سگهجي ٿو. جڏهن هي اختيار چونڊيو وڃي، اهو سمجهڻ ضروري آهي ته ٽيڪنيڪل ڊيزائن ۾ سامان جي وضاحت شامل هوندي، جنهن ۾ سافٽ ويئر ۽ هارڊويئر حل ۽ پليٽ فارم شامل آهن. ان جو مطلب آهي ته توهان کي هيٺين مشڪلاتن ۽ حدن کي منهن ڏيڻو پوندو:

  • ماپڻ جي مشڪل؛

  • ڊگھي منصوبي تي عمل درآمد جي مدت: ان کي چونڊڻ، خريد ڪرڻ، انسٽال ڪرڻ، ترتيب ڏيڻ ۽ سسٽم کي بيان ڪرڻ ضروري آھي؛

  • تمام گهڻو "ڪاغذ" ڪم، مثال طور - سڄي ISPD لاء دستاويزن جي مڪمل پيڪيج جي ترقي.

ان کان علاوه، هڪ ڪاروبار، ضابطي جي طور تي، سمجهي ٿو صرف ان جي IP جي "مٿي" سطح - ڪاروباري ايپليڪيشنون جيڪي استعمال ڪن ٿيون. ٻين لفظن ۾، آئي ٽي اسٽاف پنهنجي مخصوص علائقي ۾ ماهر آهن. ڪابه سمجھ نه آهي ته سڀئي "هيٺيون سطحون" ڪيئن ڪم ڪن ٿيون: سافٽ ويئر ۽ هارڊويئر تحفظ، اسٽوريج سسٽم، بيڪ اپ ۽، يقينا، سڀني گهرجن جي تعميل ۾ حفاظتي اوزار کي ڪيئن ترتيب ڏيڻ، ترتيب جي "هارڊويئر" حصو ٺاهيو. اهو سمجهڻ ضروري آهي: هي علم جو هڪ وڏو پرت آهي جيڪو ڪلائنٽ جي ڪاروبار کان ٻاهر آهي. اهو آهي جتي ڪلائوڊ فراهم ڪندڙ جو تجربو هڪ تصديق ٿيل ”ورچوئل سرور روم“ فراهم ڪري ٿو ڪم ۾ اچي سگهي ٿو.

موڙ ۾، بادل مهيا ڪندڙن جا ڪيترائي فائدا آھن، جيڪي بغير مبالغہ جي، 99٪ ڪاروباري ضرورتن کي پورو ڪري سگھن ٿا ذاتي ڊيٽا جي تحفظ جي ميدان ۾:

  • سرمائي جي قيمتن کي آپريٽنگ خرچن ۾ تبديل ڪيو ويو آهي؛

  • فراهم ڪندڙ، ان جي حصي لاء، ضمانت ڏئي ٿو گهربل سطح جي حفاظت ۽ دستيابي جي بنياد تي ثابت ڪيل معياري حل؛

  • ماهرن جي عملي کي برقرار رکڻ جي ڪا ضرورت ناهي، جيڪو هارڊويئر سطح تي ISPD جي آپريشن کي يقيني بڻائيندو؛

  • مهيا ڪندڙ پيش ڪن ٿا وڌيڪ لچڪدار ۽ لچڪدار حل؛

  • فراهم ڪندڙ جي ماهرن وٽ تمام ضروري سرٽيفڪيٽ آهن؛

  • تعميل ان کان گهٽ ناهي جڏهن توهان جي پنهنجي فن تعمير کي ٺاهيو، ريگيوليٽر جي گهرجن ۽ سفارشن کي مدنظر رکندي.

پراڻي ڏند ڪٿا ته ذاتي ڊيٽا ڪلائوڊ ۾ محفوظ نه ٿي ڪري سگھجي اڃا تائين تمام مشهور آهي. اهو صرف جزوي طور تي سچ آهي: PD واقعي پوسٽ نه ٿي ڪري سگھجي پهرين دستياب ۾ ڪڪر. ڪجهه ٽيڪنيڪل قدمن سان تعميل ۽ ڪجهه تصديق ٿيل حلن جي استعمال جي ضرورت آهي. جيڪڏهن فراهم ڪندڙ سڀني قانوني گهرجن سان تعميل ڪري ٿو، ذاتي ڊيٽا جي رسي سان لاڳاپيل خطرن کي گهٽ ۾ گهٽ ڪيو ويو آهي. ڪيترن ئي مهيا ڪندڙن وٽ 152-FZ جي مطابق ذاتي ڊيٽا جي پروسيسنگ لاءِ الڳ انفراسٽرڪچر آهي. تنهن هوندي، فراهم ڪندڙ جي چونڊ کي پڻ ڪجهه معيارن جي ڄاڻ سان رابطو ڪيو وڃي؛ اسان انهن کي ضرور هيٺ ڏينداسين. 

گراهڪ اڪثر اسان وٽ ايندا آهن مهيا ڪندڙ جي ڪلائوڊ ۾ ذاتي ڊيٽا جي جڳهه بابت ڪجهه خدشات سان. خير، اچو ته انهن تي فوري طور تي بحث ڪريون.

  • منتقلي يا لڏپلاڻ دوران ڊيٽا چوري ٿي سگھي ٿي

ان کان ڊڄڻ جي ڪا به ضرورت ناهي - فراهم ڪندڙ ڪلائنٽ کي پيش ڪري ٿو هڪ محفوظ ڊيٽا ٽرانسميشن چينل ٺاهڻ جي تصديق ٿيل حلن تي ٺهيل، ٺيڪيدار ۽ ملازمن لاءِ تصديقي قدمن کي وڌايو. باقي اهو آهي ته مناسب حفاظتي طريقا چونڊڻ ۽ انهن کي لاڳو ڪرڻ توهان جي ڪلائنٽ سان ڪم جي حصي طور.

  • ڏيکاريو ماسڪ ايندا ۽ کڻي ويندا / سيل / ڪٽ آف پاور سرور ڏانهن

اهو انهن گراهڪن لاءِ ڪافي سمجھ ۾ اچي ٿو جيڪي ڊڄن ٿا ته انهن جي ڪاروباري عملن ۾ خلل پئجي ويندو ڇاڪاڻ ته انفراسٽرڪچر تي ڪافي ڪنٽرول نه آهي. ضابطي جي طور تي، اهي گراهڪ جن جي هارڊويئر اڳ ۾ ننڍا سرور رومن ۾ واقع هئي بلڪه خاص ڊيٽا سينٽرن جي هن بابت سوچيو. حقيقت ۾، ڊيٽا مرڪز جديد ذريعن سان ليس آهن ٻنهي جسماني ۽ معلومات جي حفاظت. ڪافي بنيادن ۽ ڪاغذن کان سواءِ اهڙي ڊيٽا سينٽر ۾ ڪا به ڪارروائي ڪرڻ لڳ ڀڳ ناممڪن آهي، ۽ اهڙيون سرگرميون ڪيترن ئي طريقن جي تعميل جي ضرورت هونديون آهن. اضافي طور تي، ڊيٽا سينٽر مان توهان جي سرور کي "کڙڻ" شايد مهيا ڪندڙ جي ٻين گراهڪن کي متاثر ڪري، ۽ اهو ضرور ڪنهن لاء ضروري ناهي. ان کان علاوه ، ڪو به خاص طور تي ”توهان“ جي ورچوئل سرور تي آڱر کڻڻ جي قابل نه هوندو ، تنهن ڪري جيڪڏهن ڪو ان کي چوري ڪرڻ چاهي ٿو يا ماسڪ شو کي اسٽيج ڪرڻ چاهي ٿو ، انهن کي پهريان تمام گهڻي بيوروڪريسي دير سان منهن ڏيڻو پوندو. هن عرصي دوران، توهان کي گهڻو ڪري وقت هوندو ته توهان کي ڪنهن ٻئي سائيٽ ڏانهن لڏپلاڻ ڪرڻ لاء ڪيترائي ڀيرا.

  • هيڪرز ڪلائوڊ کي هيڪ ڪندا ۽ ڊيٽا چوري ڪندا

انٽرنيٽ ۽ پرنٽ پريس سرخين سان ڀريل آهن ته ڪيئن اڃا تائين هڪ ٻيو بادل سائبر ڪرمنلز جو شڪار ٿيو آهي، ۽ لکين ذاتي ڊيٽا رڪارڊ آن لائن لڪي ويا آهن. ڪيسن جي وڏي اڪثريت ۾، نقصان فراهم ڪندڙ جي پاسي کان نه، پر متاثرين جي معلوماتي سسٽم ۾ مليا آهن: ڪمزور يا اڃا به ڊفالٽ پاسورڊ، "سوراخ" ويب سائيٽ انجڻ ۽ ڊيٽابيس ۾، ۽ غير معمولي ڪاروباري لاپرواهي جڏهن حفاظتي قدمن کي چونڊڻ ۽ ڊيٽا جي رسائي جي طريقيڪار کي منظم ڪرڻ. سڀ تصديق ٿيل حل خطرن لاء جانچيا ويا آهن. اسان باقاعدگي سان ”ڪنٽرول“ پينٽسٽس ۽ سيڪيورٽي آڊٽ پڻ ڪندا آهيون، ٻئي آزاد ۽ ٻاهرين تنظيمن ذريعي. مهيا ڪندڙ لاء، اهو معاملو آهي شهرت ۽ ڪاروبار ۾ عام طور تي.

  • فراهم ڪندڙ / فراهم ڪندڙ جا ملازم ذاتي ڊيٽا چوري ڪندا ذاتي فائدي لاءِ

هي هڪ بلڪه حساس لمحو آهي. انفارميشن سيڪيورٽي دنيا مان ڪيتريون ئي ڪمپنيون پنهنجن گراهڪن کي ”ڊڄائڻ“ ۽ اصرار ڪن ٿيون ته ”اندروني ملازم ٻاهرين هيڪرز کان وڌيڪ خطرناڪ آهن. اهو ڪجهه ڪيسن ۾ صحيح ٿي سگهي ٿو، پر ڪاروبار بغير اعتماد جي تعمير نٿو ڪري سگهجي. وقت بوقت، خبرون چمڪيون آهن ته هڪ تنظيم جا پنهنجا ملازم ڪسٽمر ڊيٽا کي حملو ڪندڙن ڏانهن لِڪ ڪندا آهن، ۽ اندروني سيڪيورٽي ڪڏهن ڪڏهن ٻاهرين سيڪيورٽي کان به وڌيڪ خراب منظم ٿيندي آهي. هتي اهو سمجهڻ ضروري آهي ته ڪنهن به وڏي فراهم ڪندڙ کي منفي ڪيسن ۾ انتهائي دلچسپي نه آهي. مهيا ڪندڙ جي ملازمن جا ڪارناما چڱي ريت منظم ڪيا ويا آهن، ڪردار ۽ ذميواري جا علائقا ورهايل آهن. سڀني ڪاروباري عملن کي اهڙي طرح منظم ڪيو ويو آهي ته ڊيٽا ليڪ جا ڪيس انتهائي ممڪن نه هوندا آهن ۽ هميشه اندروني خدمتن لاء قابل ذڪر هوندا آهن، تنهنڪري گراهڪن کي هن پاسي کان مسئلن کان ڊپ نه ٿيڻ گهرجي.

  • توهان ٿورو ادا ڪندا آهيو ڇو ته توهان پنهنجي ڪاروباري ڊيٽا سان خدمتن لاءِ ادا ڪندا آهيو.

هڪ ٻيو افسانو: هڪ گراهڪ جيڪو آرامده قيمت تي محفوظ انفراسٽرڪچر ڪرائيندو آهي اصل ۾ ان لاءِ پنهنجي ڊيٽا سان ادا ڪندو آهي - اهو اڪثر ڪري ماهرن طرفان سوچيو ويندو آهي جيڪي بستري تي وڃڻ کان پهريان ٻه سازشي نظريا پڙهڻ ۾ ڪو اعتراض نٿا ڪن. پهرين، توهان جي ڊيٽا سان گڏ ڪنهن به عمل کي کڻڻ جو امڪان ان کان سواءِ جيڪو آرڊر ۾ بيان ڪيو ويو آهي لازمي طور تي صفر آهي. ٻيو، هڪ مناسب فراهم ڪندڙ توهان سان تعلق ۽ هن جي شهرت جو قدر ڪري ٿو - توهان کان سواء، هن وٽ ڪيترائي گراهڪ آهن. سامهون واري صورتحال وڌيڪ ممڪن آهي، جنهن ۾ مهيا ڪندڙ جوش سان پنهنجي گراهڪن جي ڊيٽا جي حفاظت ڪندو، جنهن تي هن جو ڪاروبار آهي.

ISPD لاءِ ڪلائوڊ فراهم ڪندڙ چونڊيو

اڄ، مارڪيٽ ڪمپنين لاء ڪيترائي حل پيش ڪري ٿو جيڪي PD آپريٽرز آهن. هيٺ ڏنل سفارشن جي هڪ عام فهرست آهي صحيح چونڊڻ لاءِ.

  • فراهم ڪندڙ کي لازمي طور تي هڪ رسمي معاهدي ۾ داخل ٿيڻ لاءِ تيار هجڻ گهرجي جنهن ۾ پارٽين جي ذميوارين، SLAs ۽ ذميواري جي علائقن کي ذاتي ڊيٽا جي پروسيسنگ جي ڪنجي ۾ بيان ڪيو وڃي. حقيقت ۾، توهان ۽ فراهم ڪندڙ جي وچ ۾، خدمت جي معاهدي جي اضافي ۾، PD پروسيسنگ لاء هڪ آرڊر تي دستخط ٿيڻ گهرجي. ڪنهن به صورت ۾، ان کي احتياط سان پڙهڻ جي قابل آهي. اهو ضروري آهي ته توهان ۽ فراهم ڪندڙ جي وچ ۾ ذميوارين جي تقسيم کي سمجهڻ.

  • مهرباني ڪري نوٽ ڪريو ته حصي کي لازمي طور تي گهرجن کي پورو ڪرڻ گهرجي، جنهن جو مطلب اهو آهي ته ان کي هڪ سرٽيفڪيٽ هجڻ گهرجي جيڪو توهان جي IP کان گهربل سيڪيورٽي جي سطح کان گهٽ ناهي. اهو ٿئي ٿو ته مهيا ڪندڙ صرف سرٽيفڪيٽ جي پهرين صفحي کي شايع ڪن ٿا، جنهن مان ٿورو واضح آهي، يا سرٽيفڪيٽ کي شايع ڪرڻ کان سواء آڊٽ يا تعميل جي طريقيڪار جو حوالو ڏيو ("ڇا اتي ڪو ڇوڪرو هو؟"). اهو ان لاءِ پڇڻ جي لائق آهي - هي هڪ عوامي دستاويز آهي جيڪو ظاهر ڪري ٿو ته ڪنهن سرٽيفڪيشن، صحيحيت جي مدت، ڪلائوڊ جي جڳهه وغيره.

  • مهيا ڪندڙ کي لازمي معلومات مهيا ڪرڻ گهرجي ته هن جون سائيٽون (محفوظ شيون) ڪٿي واقع آهن انهي ڪري توهان پنهنجي ڊيٽا جي جڳهه تي ڪنٽرول ڪري سگهو ٿا. اچو ته توهان کي ياد ڏياريون ته ذاتي ڊيٽا جي شروعاتي مجموعي کي روسي فيڊريشن جي علائقي تي ڪيو وڃي؛ ان جي مطابق، اهو مشورو آهي ته ڊيٽا سينٽر جي ايڊريس کي معاهدو / سرٽيفڪيٽ ۾ ڏسڻ لاء.

  • فراهم ڪندڙ کي لازمي طور تي تصديق ٿيل معلومات جي حفاظت ۽ معلومات جي حفاظت جو نظام استعمال ڪرڻ گهرجي. يقينن، گھڻا مهيا ڪندڙ اشتهار نه ڏيندا آھن ٽيڪنيڪل سيڪيورٽي قدمن ۽ حل فن تعمير جو اھي استعمال ڪندا آھن. پر توهان، هڪ گراهڪ جي حيثيت ۾، مدد نٿا ڪري سگهو پر ان بابت ڄاڻو. مثال طور، ريموٽ مينيجمينٽ سسٽم (انتظام پورٽل) سان ڳنڍڻ لاء، حفاظتي اپاء استعمال ڪرڻ ضروري آهي. فراهم ڪندڙ هن گهرج کي نظرانداز ڪرڻ جي قابل نه هوندو ۽ توهان کي فراهم ڪندو (يا توهان کي استعمال ڪرڻ جي ضرورت آهي) تصديق ٿيل حل. ٽيسٽ لاءِ وسيلا وٺو ۽ توهان فوري طور تي سمجھندا ته ڪيئن ۽ ڇا ڪم ڪري ٿو. 

  • اهو انتهائي گهربل آهي ڪلائوڊ فراهم ڪندڙ لاءِ معلومات جي حفاظت جي ميدان ۾ اضافي خدمتون مهيا ڪرڻ. اهي مختلف خدمتون ٿي سگهن ٿيون: DDoS حملن ۽ WAF خلاف تحفظ، اينٽي وائرس سروس يا سينڊ باڪس وغيره. هي سڀ توهان کي هڪ خدمت جي طور تي تحفظ حاصل ڪرڻ جي اجازت ڏيندو، حفاظتي نظام جي تعمير کان پريشان ٿيڻ نه، پر ڪاروباري ايپليڪيشنن تي ڪم ڪرڻ لاء.

  • فراهم ڪندڙ کي FSTEC ۽ FSB جو لائسنس هجڻ گهرجي. ضابطي جي طور تي، اهڙي معلومات سڌو سنئون ويب سائيٽ تي پوسٽ ڪئي وئي آهي. انهن دستاويزن جي درخواست ڪرڻ جي پڪ ڪريو ۽ چيڪ ڪريو ته ڇا خدمتون مهيا ڪرڻ جا پتا، مهيا ڪندڙ ڪمپني جو نالو، وغيره صحيح آهن. 

اچو ته اختصار ڪريون. انفراسٽرڪچر ڪرائي تي ڏيڻ توهان کي CAPEX کي ڇڏي ڏيڻ جي اجازت ڏيندو ۽ صرف توهان جي ڪاروباري ايپليڪيشنون ۽ ڊيٽا پاڻ کي توهان جي ذميواري واري علائقي ۾ برقرار رکڻ جي اجازت ڏيندو، ۽ هارڊويئر ۽ سافٽ ويئر ۽ هارڊويئر جي سرٽيفڪيشن جو وڏو بار فراهم ڪندڙ ڏانهن منتقل ڪندو.

اسان ڪيئن سرٽيفڪيشن پاس ڪيو

تازو ئي، اسان ڪاميابيءَ سان ”سيڪيور ڪلائوڊ FZ-152“ جي انفراسٽرڪچر جي تصديق پاس ڪري چڪا آهيون ذاتي ڊيٽا سان ڪم ڪرڻ جي گهرج جي تعميل لاءِ. ڪم نيشنل سرٽيفڪيشن سينٽر پاران ڪيو ويو.

في الحال، "FZ-152 محفوظ ڪلائوڊ" تصديق ٿيل آهي معلوماتي سسٽم جي ميزباني لاءِ پروسيسنگ، اسٽوريج يا پرسنل ڊيٽا جي ٽرانسميشن (ISPDn) جي سطح UZ-3 جي گهرجن مطابق.

سرٽيفڪيشن جي عمل ۾ ڪلائوڊ فراهم ڪندڙ جي انفراسٽرڪچر جي حفاظت جي سطح سان تعميل کي جانچڻ شامل آهي. فراهم ڪندڙ پاڻ مهيا ڪري ٿو IaaS سروس ۽ ذاتي ڊيٽا جو آپريٽر نه آهي. پروسيس ۾ ٻنهي تنظيمي (دستاويزن، آرڊر، وغيره) ۽ ٽيڪنيڪل قدمن (حفاظتي سامان جي ترتيب، وغيره) جو جائزو شامل آهي.

ان کي معمولي نه ٿو چئي سگهجي. ان حقيقت جي باوجود ته GOST سرٽيفڪيشن جي سرگرمين کي منظم ڪرڻ لاء پروگرامن ۽ طريقن تي 2013 ۾ ظاهر ٿيو، بادل جي شين لاء سخت پروگرام اڃا تائين موجود نه آهن. سرٽيفڪيشن سينٽر انهن پروگرامن کي ترقي ڪن ٿا انهن جي پنهنجي مهارت جي بنياد تي. نئين ٽيڪنالاجي جي اچڻ سان، پروگرام وڌيڪ پيچيده ۽ جديد ٿي ويندا آهن؛ ان جي مطابق، تصديق ڪندڙ کي ڪلائوڊ حلن سان ڪم ڪرڻ جو تجربو هوندو ۽ خاصيتن کي سمجهڻ گهرجي.

اسان جي صورت ۾، محفوظ اعتراض ٻن هنڌن تي مشتمل آهي.

  • ڪلائوڊ وسيلن (سرور، اسٽوريج سسٽم، نيٽورڪ انفراسٽرڪچر، سيڪيورٽي اوزار، وغيره) سڌو سنئون ڊيٽا سينٽر ۾ واقع آهن. يقينن، اهڙي مجازي ڊيٽا سينٽر عوامي نيٽ ورڪن سان ڳنڍيل آهي، ۽ ان جي مطابق، ڪجهه فائر وال گهرجن کي پورو ڪرڻ گهرجي، مثال طور، تصديق ٿيل فائر والز جو استعمال.

  • اعتراض جو ٻيو حصو بادل مينيجمينٽ اوزار آهي. اهي ڪم اسٽيشنون آهن (ايڊمنسٽريٽر جي ڪم اسٽيشنون) جن مان محفوظ ٿيل حصو منظم ڪيو ويندو آهي.

جڳهيون CIPF تي ٺهيل وي پي اين چينل ذريعي رابطو ڪن ٿيون.

جيئن ته ورچوئلائيزيشن ٽيڪنالاجيون خطرن جي ظهور لاءِ اڳڪٿيون ٺاهينديون آهن، اسان اضافي تصديق ٿيل حفاظتي اوزار پڻ استعمال ڪندا آهيون.

IaaS 152-FZ: تنهن ڪري، توهان کي سيڪيورٽي جي ضرورت آهيبلاڪ ڊاگرام "تحقيق ڪندڙ جي اکين ذريعي"

جيڪڏهن ڪلائنٽ کي پنهنجي ISPD جي سرٽيفڪيشن جي ضرورت آهي، IaaS ڪرائي تي ڏيڻ کان پوءِ، هن کي صرف انفارميشن سسٽم جو جائزو وٺڻو پوندو مجازي ڊيٽا سينٽر جي سطح کان مٿي. اهو طريقو ان تي استعمال ٿيل انفراسٽرڪچر ۽ سافٽ ويئر جي جانچ ڪرڻ ۾ شامل آهي. جتان توھان حوالو ڪري سگھوٿا فراهم ڪندڙ جي سرٽيفڪيٽ سڀني بنيادي ڍانچي جي مسئلن لاءِ، توھان کي اھو ڪرڻو آھي سافٽ ويئر سان ڪم.

IaaS 152-FZ: تنهن ڪري، توهان کي سيڪيورٽي جي ضرورت آهيتجريدي سطح تي جدائي

نتيجي ۾، هتي ڪمپنين لاء هڪ ننڍڙي چيڪ لسٽ آهي جيڪي اڳ ۾ ئي ذاتي ڊيٽا سان ڪم ڪري رهيا آهن يا صرف منصوبابندي ڪري رهيا آهن. تنهن ڪري، ساڙڻ کان سواء ان کي ڪيئن سنڀالجي.

  1. خطرن ۽ مداخلت ڪندڙن جا ماڊل آڊٽ ڪرڻ ۽ ترقي ڪرڻ لاءِ، سرٽيفڪيشن ليبارٽريز مان هڪ تجربيڪار صلاحڪار کي دعوت ڏيو جيڪو ضروري دستاويز تيار ڪرڻ ۾ مدد ڪندو ۽ توهان کي ٽيڪنيڪل حل جي اسٽيج تي آڻيندو.

  2. جڏهن بادل فراهم ڪندڙ چونڊيو، هڪ سرٽيفڪيٽ جي موجودگي تي ڌيان ڏيو. اهو سٺو ٿيندو جيڪڏهن ڪمپني عوامي طور تي ان کي سڌو سنئون ويب سائيٽ تي پوسٽ ڪري. فراهم ڪندڙ کي لازمي طور تي FSTEC ۽ FSB جو لائسنس يافته هجڻ گهرجي، ۽ جيڪا خدمت پيش ڪري ٿي اها تصديق ٿيل هجي.

  3. پڪ ڪريو ته توهان وٽ هڪ رسمي معاهدو آهي ۽ ذاتي ڊيٽا پروسيسنگ لاءِ هڪ دستخط ٿيل هدايتون. انهي جي بنياد تي، توهان هڪ تعميل چيڪ ۽ ISPD سرٽيفڪيشن ٻنهي کي انجام ڏيڻ جي قابل هوندا. جيڪڏهن اهو ڪم ٽيڪنيڪل پروجيڪٽ جي اسٽيج تي آهي ۽ ڊزائن ۽ ٽيڪنيڪل دستاويزن جي ٺهڻ توهان لاءِ مشڪل لڳي ٿي، توهان کي ٽئين پارٽي جي صلاحڪار ڪمپنين سان رابطو ڪرڻ گهرجي. سرٽيفڪيشن ليبارٽريز مان.

جيڪڏهن ذاتي ڊيٽا پروسيسنگ جا مسئلا توهان سان لاڳاپيل آهن، سيپٽمبر 18 تي، هن جمعه تي، اسان توهان کي ويبينار ۾ ڏسي خوش ٿيندا "تصديق ٿيل بادل جي تعمير جون خاصيتون".

جو ذريعو: www.habr.com

تبصرو شامل ڪريو