ProHoster > බ්ලොග් > පරිපාලනය > IaaS 152-FZ: ඉතින්, ඔබට ආරක්ෂාව අවශ්‍යයි

IaaS 152-FZ: ඉතින්, ඔබට ආරක්ෂාව අවශ්‍යයි

IaaS 152-FZ: ඉතින්, ඔබට ආරක්ෂාව අවශ්‍යයි

152-FZ සමඟ අනුකූල වීම වටා ඇති මිථ්‍යාවන් සහ ජනප්‍රවාද ඔබ කෙතරම් නිරාකරණය කළත්, යමක් සෑම විටම තිරය පිටුපස පවතී. අද අපට සාකච්ඡා කිරීමට අවශ්‍ය වන්නේ විශාල සමාගම් සහ ඉතා කුඩා ව්‍යවසායන් යන දෙකටම මුහුණ දිය හැකි සෑම විටම පැහැදිලි නොවන සූක්ෂ්මතා කිහිපයක් ගැන ය:

  • කාණ්ඩවලට PD වර්ගීකරණයේ සියුම්කම් - කුඩා ඔන්ලයින් වෙළඳසැලක් ඒ ගැන නොදැන විශේෂ කාණ්ඩයකට අදාළ දත්ත රැස් කරන විට;

  • එහිදී ඔබට එකතු කරන ලද PD හි උපස්ථ ගබඩා කර ඒවා මත මෙහෙයුම් සිදු කළ හැකිය;

  • සහතිකයක් සහ අනුකූලතා නිගමනයක් අතර වෙනස කුමක්ද, ඔබ සපයන්නාගෙන් ඉල්ලා සිටිය යුතු ලේඛන මොනවාද, සහ එවැනි දේවල්.

අවසාන වශයෙන්, සහතිකය සමත් වීමේ අපගේම අත්දැකීම අපි ඔබ සමඟ බෙදා ගන්නෙමු. යන්න!

අද ලිපියේ විශේෂඥයා වනු ඇත ඇලෙක්සි අෆනසියෙව්, Cloud සපයන්නන් සඳහා IS විශේෂඥ IT-GRAD සහ #CloudMTS (MTS සමූහයේ කොටසක්).

වර්ගීකරණයේ සියුම්කම්

IS විගණනයකින් තොරව, ISPD සඳහා අවශ්‍ය ආරක්‍ෂිත මට්ටම තීරණය කිරීමට සේවාදායකයෙකුගේ ආශාව අපට බොහෝ විට හමු වේ. මෙම මාතෘකාව පිළිබඳ අන්තර්ජාලයේ ඇති සමහර ද්‍රව්‍ය මෙය සරල කාර්යයක් බවත් වැරැද්දක් කිරීම තරමක් අපහසු බවත් වැරදි හැඟීමක් ලබා දෙයි.

KM තීරණය කිරීම සඳහා, සේවාලාභියාගේ IS විසින් රැස් කර සකස් කරනු ලබන දත්ත මොනවාද යන්න තේරුම් ගැනීම අවශ්ය වේ. සමහර විට ව්‍යාපාරයක් ක්‍රියාත්මක වන ආරක්ෂණ අවශ්‍යතා සහ පුද්ගලික දත්ත කාණ්ඩය නිසැකව තීරණය කිරීම අපහසු විය හැකිය. එකම වර්ගයේ පුද්ගලික දත්ත සම්පූර්ණයෙන්ම වෙනස් ආකාරයකින් තක්සේරු කර වර්ගීකරණය කළ හැකිය. එබැවින්, සමහර අවස්ථාවලදී, ව්යාපාරයේ මතය විගණකවරයාගේ හෝ පරීක්ෂකගේ මතයට වඩා වෙනස් විය හැකිය. අපි උදාහරණ කිහිපයක් බලමු.

රථ ගාල. එය තරමක් සම්ප්‍රදායික ව්‍යාපාරයක් සේ පෙනේ. බොහෝ වාහන ඇණිය දශක ගණනාවක් තිස්සේ ක්‍රියාත්මක වන අතර ඒවායේ හිමිකරුවන් තනි තනි ව්‍යවසායකයින් සහ පුද්ගලයන් බඳවා ගනී. රීතියක් ලෙස, සේවක දත්ත UZ-4 හි අවශ්යතා යටතේ වැටේ. කෙසේ වෙතත්, රියදුරන් සමඟ වැඩ කිරීම සඳහා, පුද්ගලික දත්ත රැස් කිරීම පමණක් නොව, මාරුවකට යාමට පෙර වාහන ඇණියේ භූමියේ වෛද්‍ය පාලනය සිදු කිරීම ද අවශ්‍ය වන අතර, ක්‍රියාවලියේදී එකතු කරන ලද තොරතුරු වහාම ගණයට වැටේ. වෛද්‍ය දත්ත - මෙය විශේෂ කාණ්ඩයක පුද්ගලික දත්ත වේ. ඊට අමතරව, රියැදුරුට සහතික ඉල්ලා සිටිය හැක, පසුව එය රියදුරුගේ ගොනුවේ තබා ඇත. ඉලෙක්ට්රොනික ආකාරයෙන් එවැනි සහතිකයක් ස්කෑන් කිරීම - සෞඛ්ය දත්ත, විශේෂ කාණ්ඩයක පුද්ගලික දත්ත. මෙයින් අදහස් කරන්නේ UZ-4 තවදුරටත් ප්රමාණවත් නොවන බවයි; අවම වශයෙන් UZ-3 අවශ්ය වේ.

මාර්ගගත වෙළඳසැල. එකතු කරන ලද නම්, ඊමේල් සහ දුරකථන අංක පොදු කාණ්ඩයට ගැලපෙන බව පෙනේ. කෙසේ වෙතත්, ඔබේ ගනුදෙනුකරුවන් හලාල් හෝ කොෂර් වැනි ආහාර රුචි අරුචිකම් දක්වන්නේ නම්, එවැනි තොරතුරු ආගමික අනුබද්ධ හෝ විශ්වාස දත්ත ලෙස සැලකිය හැකිය. එබැවින්, වෙනත් පාලන ක්රියාකාරකම් පරීක්ෂා කිරීමේදී හෝ සිදු කරන විට, පරීක්ෂකවරයා විසින් ඔබ එකතු කරන දත්ත පුද්ගලික දත්ත විශේෂ කාණ්ඩයක් ලෙස වර්ගීකරණය කළ හැකිය. දැන්, අන්තර්ජාල වෙළඳසැලක් එහි ගැනුම්කරු මස් හෝ මාළු කැමතිද යන්න පිළිබඳ තොරතුරු රැස් කළේ නම්, දත්ත වෙනත් පුද්ගලික දත්ත ලෙස වර්ගීකරණය කළ හැකිය. මාර්ගය වන විට, නිර්මාංශිකයින් ගැන කුමක් කිව හැකිද? සියල්ලට පසු, මෙය දාර්ශනික විශ්වාසයන්ට ද ආරෝපණය කළ හැකි අතර එය විශේෂ කාණ්ඩයකට ද අයත් වේ. නමුත් අනෙක් අතට, මෙය හුදෙක් තම ආහාර වේලෙන් මස් ඉවත් කළ පුද්ගලයෙකුගේ ආකල්පය විය හැකිය. අහෝ, එවැනි "සියුම්" තත්වයන් තුළ PD කාණ්ඩය නිසැක ලෙස නිර්වචනය කරන ලකුණක් නොමැත.

වෙළඳ ප්‍රචාරණ ආයතනය සමහර බටහිර වලාකුළු සේවාවක් භාවිතා කරමින්, එය තම සේවාදායකයින්ගේ ප්‍රසිද්ධියේ ලබා ගත හැකි දත්ත - සම්පූර්ණ නම්, විද්‍යුත් තැපැල් ලිපින සහ දුරකථන අංක සකසයි. මෙම පුද්ගලික දත්ත, ඇත්ත වශයෙන්ම, පුද්ගලික දත්ත වලට සම්බන්ධ වේ. ප්රශ්නය පැනනගින්නේ: එවැනි සැකසුම් සිදු කිරීම නීත්යානුකූලද? රුසියානු සමූහාණ්ඩුවෙන් පිටත පුද්ගලීකරණයකින් තොරව එවැනි දත්ත ගෙනයාමට පවා හැකිද, උදාහරණයක් ලෙස, සමහර විදේශීය වලාකුළු වල උපස්ථ ගබඩා කිරීමට? අැත්තවශයෙන්ම ඔබට පුළුවන්. රුසියාවෙන් පිටත මෙම දත්ත ගබඩා කිරීමට නියෝජිතායතනයට අයිතියක් ඇත, කෙසේ වෙතත්, අපගේ නීති සම්පාදනය අනුව මූලික එකතුව රුසියානු සමූහාණ්ඩුවේ භූමිය මත සිදු කළ යුතුය. ඔබ එවැනි තොරතුරු උපස්ථ කරන්නේ නම්, ඒ මත පදනම්ව සමහර සංඛ්‍යාලේඛන ගණනය කිරීම, පර්යේෂණ පැවැත්වීම හෝ ඒ සමඟ වෙනත් මෙහෙයුම් සිදු කිරීම - මේ සියල්ල බටහිර සම්පත් මත කළ හැකිය. නෛතික දෘෂ්ටි කෝණයකින් ප්රධාන කරුණ වන්නේ පුද්ගලික දත්ත එකතු කරන ස්ථානයයි. එබැවින් මූලික එකතු කිරීම සහ සැකසීම ව්යාකූල නොකිරීම වැදගත්ය.

මෙම කෙටි උදාහරණ වලින් පහත පරිදි, පුද්ගලික දත්ත සමඟ වැඩ කිරීම සැමවිටම සරල හා සරල නොවේ. ඔබ ඔවුන් සමඟ වැඩ කරන බව දැන ගැනීම පමණක් නොව, ඒවා නිවැරදිව වර්ගීකරණය කිරීමටත්, අවශ්‍ය ආරක්ෂක මට්ටම නිවැරදිව තීරණය කිරීම සඳහා IP ක්‍රියා කරන ආකාරය තේරුම් ගැනීමටත් ඔබට හැකි විය යුතුය. සමහර අවස්ථාවලදී, සංවිධානයට ඇත්ත වශයෙන්ම ක්‍රියාත්මක වීමට අවශ්‍ය පුද්ගලික දත්ත ප්‍රමාණය පිළිබඳ ප්‍රශ්නය මතු විය හැකිය. වඩාත්ම "බරපතල" හෝ සරලව අනවශ්ය දත්ත ප්රතික්ෂේප කළ හැකිද? ඊට අමතරව, හැකි සෑම විටම පුද්ගලික දත්ත පුද්ගලීකරණය කිරීමට නියාමකයා නිර්දේශ කරයි. 

ඉහත උදාහරණවල මෙන්, සමහර විට ඔබ විසින් එකතු කරන ලද පුද්ගලික දත්ත ඔබ විසින්ම තක්සේරු කළ ආකාරයට වඩා තරමක් වෙනස් ලෙස පරීක්ෂණ බලධාරීන් විසින් අර්ථකථනය කරන බව ඔබට හමුවිය හැකිය.

ඇත්ත වශයෙන්ම, ඔබට සහායකයෙකු ලෙස විගණකවරයෙකු හෝ පද්ධති ඒකාබද්ධ කරන්නෙකු බඳවා ගත හැකිය, නමුත් විගණනයකදී තෝරාගත් තීරණ සඳහා "සහායකයා" වගකිව යුතුද? වගකීම සෑම විටම ISPD හි හිමිකරුට පැවරෙන බව සඳහන් කිරීම වටී - පුද්ගලික දත්ත ක්රියාකරු. සමාගමක් එවැනි කාර්යයක් සිදු කරන විට, එවැනි සේවාවන් සඳහා වෙළඳපොලේ බැරෑරුම් ක්‍රීඩකයින් වෙත හැරීම වැදගත් වන්නේ එබැවිනි, උදාහරණයක් ලෙස සහතික කිරීමේ කටයුතු සිදු කරන සමාගම්. සහතික කරන සමාගම් එවැනි කාර්යයක් ඉටු කිරීමේදී පුළුල් අත්දැකීම් ඇත.

ISPD ගොඩනැගීම සඳහා විකල්ප

ISPD ඉදිකිරීම තාක්ෂණික පමණක් නොව, බොහෝ දුරට නීතිමය ගැටළුවකි. CIO හෝ ආරක්ෂක අධ්‍යක්ෂ සෑම විටම නීති උපදෙස් ලබා ගත යුතුය. ඔබට අවශ්‍ය පැතිකඩ සමඟ සමාගමට සෑම විටම විශේෂ ist යෙකු නොමැති බැවින්, විගණක-උපදේශකයින් දෙස බැලීම වටී. බොහෝ ලිස්සන සුළු ස්ථාන කිසිසේත්ම පැහැදිලි නොවිය හැකිය.

උපදේශනය මඟින් ඔබ ගනුදෙනු කරන පුද්ගලික දත්ත මොනවාද සහ එයට අවශ්‍ය ආරක්ෂාව කුමක්ද යන්න තීරණය කිරීමට ඔබට ඉඩ සලසයි. ඒ අනුව, ඔබ විසින් නිර්මාණය කළ යුතු හෝ ආරක්ෂක සහ මෙහෙයුම් ආරක්ෂණ පියවරයන් සමඟ පරිපූරණය කළ යුතු IP පිළිබඳ අදහසක් ඔබට ලැබෙනු ඇත.

බොහෝ විට සමාගමක් සඳහා තේරීම විකල්ප දෙකක් අතර වේ:

  1. ඔබේම දෘඪාංග සහ මෘදුකාංග විසඳුම් මත, සමහරවිට ඔබේම සේවාදායක කාමරය තුළ අනුරූප IS ගොඩනඟන්න.

  2. වලාකුළු සපයන්නා අමතන්න සහ ප්රත්යාස්ථ විසඳුමක් තෝරන්න, දැනටමත් සහතික කර ඇති "අථත්ය සේවාදායක කාමරය".

පුද්ගලික දත්ත සැකසීමේ බොහෝ තොරතුරු පද්ධති සාම්ප්‍රදායික ප්‍රවේශයක් භාවිතා කරයි, එය ව්‍යාපාරික දෘෂ්ටි කෝණයකින් පහසු සහ සාර්ථක ලෙස හැඳින්විය නොහැක. මෙම විකල්පය තෝරාගැනීමේදී, තාක්ෂණික සැලසුමට මෘදුකාංග සහ දෘඩාංග විසඳුම් සහ වේදිකා ඇතුළු උපකරණ පිළිබඳ විස්තරයක් ඇතුළත් වන බව වටහා ගැනීම අවශ්ය වේ. මෙයින් අදහස් කරන්නේ ඔබට පහත දුෂ්කරතා සහ සීමාවන්ට මුහුණ දීමට සිදුවනු ඇති බවයි:

  • පරිමාණය කිරීමේ දුෂ්කරතාව;

  • දිගු ව්යාපෘති ක්රියාත්මක කිරීමේ කාලය: පද්ධතිය තෝරාගැනීම, මිලදී ගැනීම, ස්ථාපනය කිරීම, වින්යාස කිරීම සහ විස්තර කිරීම අවශ්ය වේ;

  • "කඩදාසි" වැඩ ගොඩක්, උදාහරණයක් ලෙස - සමස්ත ISPD සඳහා සම්පූර්ණ ලේඛන පැකේජයක් සංවර්ධනය කිරීම.

ඊට අමතරව, ව්‍යාපාරයක්, රීතියක් ලෙස, තේරුම් ගන්නේ එහි IP හි “ඉහළ” මට්ටම පමණි - එය භාවිතා කරන ව්‍යාපාරික යෙදුම්. වෙනත් වචන වලින් කිවහොත්, තොරතුරු තාක්ෂණ කාර්ය මණ්ඩලය ඔවුන්ගේ නිශ්චිත ප්රදේශය තුළ දක්ෂයි. සියලුම “පහළ මට්ටම්” ක්‍රියා කරන්නේ කෙසේද යන්න පිළිබඳ අවබෝධයක් නොමැත: මෘදුකාංග සහ දෘඩාංග ආරක්ෂාව, ගබඩා පද්ධති, උපස්ථ සහ, ඇත්ත වශයෙන්ම, සියලු අවශ්‍යතාවලට අනුකූලව ආරක්ෂණ මෙවලම් වින්‍යාස කරන්නේ කෙසේද, වින්‍යාසයේ “දෘඪාංග” කොටස ගොඩනඟන්න. තේරුම් ගැනීම වැදගත්ය: මෙය සේවාදායකයාගේ ව්‍යාපාරයෙන් පිටත පවතින විශාල දැනුම් තට්ටුවකි. සහතික කළ “අථත්‍ය සේවාදායක කාමරයක්” සපයන වලාකුළු සපයන්නෙකුගේ අත්දැකීම ප්‍රයෝජනවත් වන්නේ මෙහිදීය.

අනෙක් අතට, වලාකුළු සපයන්නන්ට වාසි ගණනාවක් ඇති අතර, අතිශයෝක්තියකින් තොරව, පුද්ගලික දත්ත ආරක්ෂණ ක්ෂේත්‍රයේ ව්‍යාපාරික අවශ්‍යතාවලින් 99% ක් ආවරණය කළ හැකිය:

  • ප්රාග්ධන පිරිවැය මෙහෙයුම් පිරිවැය බවට පරිවර්තනය වේ;

  • සපයන්නා, එහි කොටස සඳහා, ඔප්පු කරන ලද සම්මත විසඳුමක් මත පදනම්ව අවශ්ය මට්ටමේ ආරක්ෂාව සහ ලබා ගැනීම සහතික කරයි;

  • දෘඪාංග මට්ටමින් ISPD හි ක්රියාකාරිත්වය සහතික කරන විශේෂඥයින්ගේ කාර්ය මණ්ඩලයක් නඩත්තු කිරීම අවශ්ය නොවේ;

  • සපයන්නන් වඩාත් නම්යශීලී සහ ප්රත්යාස්ථ විසඳුම් ලබා දෙයි;

  • සැපයුම්කරුගේ විශේෂඥයින්ට අවශ්ය සියලු සහතික තිබේ;

  • නියාමකයින්ගේ අවශ්‍යතා සහ නිර්දේශ සැලකිල්ලට ගනිමින් ඔබේම ගෘහ නිර්මාණ ශිල්පය ගොඩනඟන විට අනුකූලතාව අඩු නොවේ.

වලාකුළු තුළ පුද්ගලික දත්ත ගබඩා කළ නොහැකි බව පැරණි මිථ්යාව තවමත් අතිශයින් ජනප්රියයි. එය අර්ධ වශයෙන් පමණක් සත්‍ය වේ: PD සැබවින්ම පළ කළ නොහැක ලබා ගත හැකි පළමු එකේ වලාකුළු. ඇතැම් තාක්ෂණික පියවරයන්ට අනුකූල වීම සහ ඇතැම් සහතික කළ විසඳුම් භාවිතා කිරීම අවශ්ය වේ. සැපයුම්කරු සියලුම නීතිමය අවශ්‍යතා වලට අනුකූල නම්, පුද්ගලික දත්ත කාන්දු වීම හා සම්බන්ධ අවදානම් අවම වේ. බොහෝ සැපයුම්කරුවන්ට 152-FZ අනුව පුද්ගලික දත්ත සැකසීම සඳහා වෙනම යටිතල පහසුකම් ඇත. කෙසේ වෙතත්, සැපයුම්කරුගේ තේරීම ද ඇතැම් නිර්ණායක පිළිබඳ දැනුම සමඟ ප්‍රවේශ විය යුතුය; අපි නිසැකවම ඒවා පහතින් ස්පර්ශ කරන්නෙමු. 

සැපයුම්කරුගේ වලාකුළෙහි පුද්ගලික දත්ත ස්ථානගත කිරීම පිළිබඳ යම් යම් කනස්සල්ලෙන් සේවාදායකයින් බොහෝ විට අප වෙත පැමිණේ. හොඳයි, අපි වහාම ඒවා සාකච්ඡා කරමු.

  • සම්ප්‍රේෂණයේදී හෝ සංක්‍රමණයේදී දත්ත සොරකම් කළ හැක

මේ ගැන බිය විය යුතු නැත - සහතික කළ විසඳුම්, කොන්ත්‍රාත්කරුවන් සහ සේවකයින් සඳහා වැඩි දියුණු කළ සත්‍යාපන ක්‍රියාමාර්ග මත ගොඩනගා ඇති ආරක්ෂිත දත්ත සම්ප්‍රේෂණ නාලිකාවක් නිර්මාණය කිරීම සපයන්නා සේවාදායකයාට ලබා දෙයි. ඉතිරිව ඇත්තේ සුදුසු ආරක්ෂණ ක්‍රම තෝරා ගැනීම සහ සේවාදායකයා සමඟ ඔබේ කාර්යයේ කොටසක් ලෙස ඒවා ක්‍රියාත්මක කිරීම පමණි.

  • පෙන්වන්න වෙස් මුහුණු පැමිණ සේවාදායකයට බලය ඉවත් කර / මුද්‍රා තබා / කපා හරිනු ඇත

යටිතල පහසුකම් පිළිබඳ ප්‍රමාණවත් පාලනයක් නොමැතිකම හේතුවෙන් තම ව්‍යාපාර ක්‍රියාවලීන් කඩාකප්පල් වේ යැයි බියෙන් සිටින පාරිභෝගිකයින්ට එය බෙහෙවින් තේරුම් ගත හැකිය. රීතියක් ලෙස, විශේෂිත දත්ත මධ්‍යස්ථානවලට වඩා කුඩා සේවාදායක කාමරවල කලින් දෘඩාංග පිහිටා තිබූ සේවාදායකයින් මේ ගැන සිතයි. යථාර්ථය නම්, දත්ත මධ්‍යස්ථාන භෞතික සහ තොරතුරු ආරක්‍ෂා කිරීමේ නවීන මාධ්‍යයන්ගෙන් සමන්විතය. ප්‍රමාණවත් හේතු සහ ලිපි ලේඛන නොමැතිව එවැනි දත්ත මධ්‍යස්ථානයක කිසිදු මෙහෙයුමක් සිදු කිරීම පාහේ කළ නොහැක්කකි, එවැනි ක්‍රියාකාරකම් සඳහා ක්‍රියා පටිපාටි ගණනාවකට අනුකූල වීම අවශ්‍ය වේ. ඊට අමතරව, දත්ත මධ්‍යස්ථානයෙන් ඔබේ සේවාදායකය “ඇදීම” සැපයුම්කරුගේ අනෙකුත් සේවාදායකයින්ට බලපානු ඇති අතර මෙය නියත වශයෙන්ම කිසිවෙකුට අවශ්‍ය නොවේ. මීට අමතරව, කිසිවකුට "ඔබේ" අතථ්‍ය සේවාදායකය වෙත විශේෂයෙන් ඇඟිල්ල දිගු කිරීමට නොහැකි වනු ඇත, එබැවින් යමෙකුට එය සොරකම් කිරීමට හෝ වෙස් මුහුණු සංදර්ශනයක් කිරීමට අවශ්‍ය නම්, ඔවුන්ට ප්‍රථමයෙන් නිලධාරිවාදී ප්‍රමාදයන් රාශියක් සමඟ කටයුතු කිරීමට සිදුවනු ඇත. මෙම කාලය තුළ, ඔබට බොහෝ විට වෙනත් වෙබ් අඩවියකට කිහිප වතාවක් සංක්‍රමණය වීමට කාලය ලැබෙනු ඇත.

  • හැකර්වරුන් වලාකුළු හැක් කර දත්ත සොරකම් කරයි

තවත් වලාකුළක් සයිබර් අපරාධකරුවන්ට ගොදුරු වී ඇති ආකාරය පිළිබඳ සිරස්තලවලින් අන්තර්ජාලය සහ මුද්‍රණාලය පිරී ඇති අතර මිලියන ගණනක් පුද්ගලික දත්ත වාර්තා අන්තර්ජාලය හරහා කාන්දු වී ඇත. බොහෝ අවස්ථාවන්හීදී, දුර්වලතා සොයාගනු ලැබුවේ සැපයුම්කරුගේ පැත්තෙන් නොව, වින්දිතයින්ගේ තොරතුරු පද්ධතිවල ය: දුර්වල හෝ පෙරනිමි මුරපද, වෙබ් අඩවි එන්ජින් සහ දත්ත සමුදායේ “සිදුරු” සහ ආරක්ෂක පියවරයන් තෝරාගැනීමේදී සාමාන්‍ය ව්‍යාපාරික නොසැලකිලිමත්කම සහ දත්ත ප්‍රවේශ ක්‍රියා පටිපාටි සංවිධානය කිරීම. සියලුම සහතික කළ විසඳුම් දුර්වලතා සඳහා පරීක්ෂා කරනු ලැබේ. අපි ස්වාධීනව සහ බාහිර සංවිධාන හරහා "පාලන" පෙන්ටෙස්ට් සහ ආරක්ෂක විගණනයන් ද නිතිපතා පවත්වමු. සපයන්නා සඳහා, මෙය පොදුවේ කීර්තිය සහ ව්‍යාපාර පිළිබඳ කාරණයකි.

  • සැපයුම්කරුගේ සැපයුම්කරු/සේවකයින් පුද්ගලික ලාභය සඳහා පුද්ගලික දත්ත සොරකම් කරනු ඇත

මෙය තරමක් සංවේදී අවස්ථාවකි. තොරතුරු ආරක්ෂණ ලෝකයේ සමාගම් ගණනාවක් තම ගනුදෙනුකරුවන් “බිය” කරන අතර “අභ්‍යන්තර සේවකයින් බාහිර හැකර්වරුන්ට වඩා භයානක” බව අවධාරනය කරති. සමහර අවස්ථාවල මෙය සත්‍ය විය හැකි නමුත් විශ්වාසයකින් තොරව ව්‍යාපාරයක් ගොඩනැගිය නොහැක. කලින් කලට, ආයතනයක සේවකයින් විසින් පාරිභෝගික දත්ත ප්‍රහාරකයින්ට කාන්දු කරන බවට පුවත් දිලිසෙන අතර අභ්‍යන්තර ආරක්ෂාව සමහර විට බාහිර ආරක්ෂාවට වඩා නරක ලෙස සංවිධානය වේ. ඕනෑම විශාල සැපයුම්කරුවෙකු ඍණාත්මක අවස්ථාවන්හිදී අතිශයින් උනන්දු නොවන බව මෙහිදී තේරුම් ගැනීම වැදගත්ය. සැපයුම්කරුගේ සේවකයින්ගේ ක්රියාවන් හොඳින් නියාමනය කර ඇත, භූමිකාවන් සහ වගකීම් ක්ෂේත්ර බෙදී ඇත. සියලුම ව්‍යාපාරික ක්‍රියාවලීන් ව්‍යුහගත කර ඇත්තේ දත්ත කාන්දු වීමේ අවස්ථා අතිශයින් අඩු වන අතර අභ්‍යන්තර සේවාවන්ට සැමවිටම දැකිය හැකි ආකාරයට ය, එබැවින් සේවාදායකයින් මෙම පැත්තෙන් ගැටළු වලට බිය නොවිය යුතුය.

  • ඔබ ඔබේ ව්‍යාපාර දත්ත සමඟ සේවා සඳහා ගෙවන නිසා ඔබ ගෙවන්නේ සුළු මුදලක්.

තවත් මිථ්‍යාවක්: සැප පහසු මිලකට සුරක්ෂිත යටිතල පහසුකම් කුලියට ගන්නා සේවාදායකයෙක් ඇත්ත වශයෙන්ම ඔහුගේ දත්ත සමඟ ඒ සඳහා ගෙවයි - මෙය බොහෝ විට සිතන්නේ නින්දට යාමට පෙර කුමන්ත්‍රණ න්‍යායන් කිහිපයක් කියවීමට අකමැති ප්‍රවීණයන් විසිනි. පළමුව, අනුපිළිවෙලෙහි දක්වා ඇති ඒවා හැර ඔබගේ දත්ත සමඟ ඕනෑම මෙහෙයුම් සිදු කිරීමේ හැකියාව අත්යවශ්යයෙන්ම ශුන්ය වේ. දෙවනුව, ප්‍රමාණවත් සැපයුම්කරුවෙකු ඔබ සමඟ ඇති සම්බන්ධතාවය සහ ඔහුගේ කීර්තිය අගය කරයි - ඔබට අමතරව ඔහුට තවත් බොහෝ සේවාදායකයින් සිටී. ප්‍රතිවිරුද්ධ අවස්ථාව බොහෝ දුරට ඉඩ ඇති අතර, සපයන්නා තම ව්‍යාපාරය රැඳී සිටින තම ගනුදෙනුකරුවන්ගේ දත්ත ජ්වලිතව ආරක්ෂා කරනු ඇත.

ISPD සඳහා වලාකුළු සපයන්නෙකු තෝරා ගැනීම

අද, PD ක්රියාකරුවන් වන සමාගම් සඳහා වෙළඳපල බොහෝ විසඳුම් ලබා දෙයි. පහත දැක්වෙන්නේ නිවැරදි එක තෝරා ගැනීම සඳහා නිර්දේශ වල පොදු ලැයිස්තුවකි.

  • පුද්ගලික දත්ත සැකසීමේ යතුරෙහි පාර්ශවයන්ගේ වගකීම්, SLAs සහ වගකීම් සහිත ක්ෂේත්‍ර විස්තර කරන විධිමත් ගිවිසුමකට එළඹීමට සැපයුම්කරු සූදානම් විය යුතුය. ඇත්ත වශයෙන්ම, ඔබ සහ සැපයුම්කරු අතර, සේවා ගිවිසුමට අමතරව, PD සැකසීම සඳහා නියෝගයක් අත්සන් කළ යුතුය. ඕනෑම අවස්ථාවක, ඒවා ප්රවේශමෙන් අධ්යයනය කිරීම වටී. ඔබ සහ සැපයුම්කරු අතර වගකීම් බෙදීම තේරුම් ගැනීම වැදගත්ය.

  • ඛණ්ඩය අවශ්‍යතා සපුරාලිය යුතු බව කරුණාවෙන් සලකන්න, එයින් අදහස් වන්නේ එය ඔබගේ IP මගින් අවශ්‍ය මට්ටමට වඩා අඩු ආරක්‍ෂක මට්ටමක් පෙන්නුම් කරන සහතිකයක් තිබිය යුතු බවයි. සපයන්නන් විසින් සහතිකයේ පළමු පිටුව පමණක් ප්‍රකාශයට පත් කිරීම සිදු වේ, එයින් එතරම් පැහැදිලි නැත, නැතහොත් සහතිකය ප්‍රකාශයට පත් නොකර විගණන හෝ අනුකූලතා ක්‍රියා පටිපාටි වෙත යොමු කිරීම ("පිරිමි ළමයෙක් සිටියාද?"). එය ඉල්ලා සිටීම වටී - මෙය සහතික කිරීම, වලංගු කාලය, වලාකුළු පිහිටීම යනාදිය සිදු කළේ කවුරුන්ද යන්න දැක්වෙන පොදු ලේඛනයකි.

  • සපයන්නා විසින් එහි අඩවි (ආරක්ෂිත වස්තූන්) පිහිටා ඇති ස්ථානය පිළිබඳ තොරතුරු සැපයිය යුතුය, එවිට ඔබට ඔබේ දත්ත ස්ථානගත කිරීම පාලනය කළ හැකිය. පුද්ගලික දත්තවල මූලික එකතු කිරීම රුසියානු සමූහාණ්ඩුවේ භූමිය මත සිදු කළ යුතු බව අපි ඔබට මතක් කරමු; ඒ අනුව, කොන්ත්රාත්තුවේ / සහතිකයේ දත්ත මධ්යස්ථානයේ ලිපිනයන් බැලීම යෝග්ය වේ.

  • සපයන්නා විසින් සහතික කළ තොරතුරු ආරක්ෂණ සහ තොරතුරු ආරක්ෂණ පද්ධති භාවිතා කළ යුතුය. ඇත්ත වශයෙන්ම, බොහෝ සැපයුම්කරුවන් ඔවුන් භාවිතා කරන තාක්ෂණික ආරක්ෂණ පියවරයන් සහ විසඳුම් ගෘහ නිර්මාණ ශිල්පය ප්‍රචාරණය නොකරයි. නමුත් සේවාදායකයෙකු ලෙස ඔබට ඒ ගැන දැන ගැනීමට උදව් කළ නොහැක. උදාහරණයක් ලෙස, කළමනාකරණ පද්ධතියකට (කළමනාකරණ ද්වාරයකට) දුරස්ථව සම්බන්ධ වීමට, ආරක්ෂක පියවරයන් භාවිතා කිරීම අවශ්ය වේ. සැපයුම්කරුට මෙම අවශ්‍යතාවය මඟ හැරීමට නොහැකි වන අතර ඔබට සහතික කළ විසඳුම් (හෝ භාවිතා කිරීමට අවශ්‍ය) ලබා දෙනු ඇත. පරීක්ෂණයක් සඳහා සම්පත් ගන්න, එවිට ඔබට ක්‍රියා කරන්නේ කෙසේද සහ කුමක් දැයි වහාම වැටහෙනු ඇත. 

  • වලාකුළු සපයන්නා විසින් තොරතුරු ආරක්ෂණ ක්ෂේත්රයේ අතිරේක සේවාවන් සැපයීම සඳහා ඉතා යෝග්ය වේ. මේවා විවිධ සේවාවන් විය හැකිය: DDoS ප්‍රහාර වලින් ආරක්ෂා වීම සහ WAF, ප්‍රති-වයිරස සේවාව හෝ වැලිපිල්ල යනාදිය. මේ සියල්ල ඔබට සේවාවක් ලෙස ආරක්ෂාව ලබා ගැනීමට ඉඩ සලසයි, ආරක්ෂණ පද්ධති ගොඩනැගීමෙන් අවධානය වෙනතකට යොමු කිරීමට නොව, ව්‍යාපාරික යෙදුම් මත වැඩ කිරීමට.

  • සපයන්නා FSTEC සහ FSB හි බලපත්‍රලාභියෙකු විය යුතුය. රීතියක් ලෙස, එවැනි තොරතුරු සෘජුවම වෙබ් අඩවියේ පළ කර ඇත. මෙම ලේඛන ඉල්ලා සිටීමට වග බලා ගන්න සහ සේවා සැපයීම සඳහා වන ලිපිනයන්, සපයන්නාගේ සමාගමේ නම යනාදිය නිවැරදි දැයි පරීක්ෂා කරන්න. 

අපි සාරාංශ කරමු. යටිතල පහසුකම් කුලියට දීමෙන් ඔබට CAPEX අත්හැරීමට සහ ඔබේ වගකීම් ප්‍රදේශයේ ඔබේ ව්‍යාපාරික යෙදුම් සහ දත්ත පමණක් රඳවා ගැනීමටත්, දෘඩාංග සහ මෘදුකාංග සහ දෘඩාංග සහතික කිරීමේ අධික බර සැපයුම්කරුට පැවරීමටත් ඉඩ සලසයි.

අපි සහතිකය සමත් වූ ආකාරය

ඉතා මෑතකදී, පුද්ගලික දත්ත සමඟ වැඩ කිරීමේ අවශ්‍යතාවලට අනුකූල වීම සඳහා "සුරක්ෂිත Cloud FZ-152" යටිතල පහසුකම් නැවත සහතික කිරීම අපි සාර්ථකව සමත් විය. ජාතික සහතික කිරීමේ මධ්‍යස්ථානය විසින් මෙම කාර්යය සිදු කරන ලදී.

දැනට, "FZ-152 ආරක්ෂිත Cloud" UZ-3 මට්ටමේ අවශ්‍යතාවයන්ට අනුකූලව පුද්ගලික දත්ත (ISPDn) සැකසීම, ගබඩා කිරීම හෝ සම්ප්‍රේෂණය කිරීම සම්බන්ධ තොරතුරු පද්ධති සත්කාරකත්වය සඳහා සහතික කර ඇත.

සහතික කිරීමේ ක්‍රියා පටිපාටියට වලාකුළු සපයන්නාගේ යටිතල පහසුකම් ආරක්ෂණ මට්ටමට අනුකූලදැයි පරීක්ෂා කිරීම ඇතුළත් වේ. සපයන්නා විසින්ම IaaS සේවාව සපයන අතර පුද්ගලික දත්ත ක්‍රියාකරන්නෙකු නොවේ. මෙම ක්රියාවලිය ආයතනික (ලේඛනගත කිරීම, නියෝග, ආදිය) සහ තාක්ෂණික පියවරයන් (ආරක්ෂක උපකරණ සැකසීම, ආදිය) යන දෙකම තක්සේරු කිරීම ඇතුළත් වේ.

එය සුළුපටු යැයි කිව නොහැක. 2013 දී සහතික කිරීමේ ක්‍රියාකාරකම් පැවැත්වීම සඳහා වැඩසටහන් සහ ක්‍රම පිළිබඳ GOST නැවත දර්ශනය වුවද, වලාකුළු වස්තූන් සඳහා දැඩි වැඩසටහන් තවමත් නොපවතී. සහතික කිරීමේ මධ්‍යස්ථාන ඔවුන්ගේම ප්‍රවීණත්වය මත පදනම්ව මෙම වැඩසටහන් සංවර්ධනය කරයි. නව තාක්‍ෂණයන්ගේ පැමිණීමත් සමඟ වැඩසටහන් වඩාත් සංකීර්ණ හා නවීකරණය වී ඇත; ඒ අනුව, සහතික කරන්නාට වලාකුළු විසඳුම් සමඟ වැඩ කිරීමේ අත්දැකීම් තිබිය යුතු අතර විශේෂතා තේරුම් ගත යුතුය.

අපගේ නඩුවේදී, ආරක්ෂිත වස්තුව ස්ථාන දෙකකින් සමන්විත වේ.

  • වලාකුළු සම්පත් (සේවාදායක, ගබඩා පද්ධති, ජාල යටිතල පහසුකම්, ආරක්ෂක මෙවලම්, ආදිය) සෘජුවම දත්ත මධ්යස්ථානයේ පිහිටා ඇත. ඇත්ත වශයෙන්ම, එවැනි අථත්ය දත්ත මධ්යස්ථානයක් පොදු ජාල වෙත සම්බන්ධ වී ඇති අතර, ඒ අනුව, ඇතැම් ෆයර්වෝල් අවශ්යතා සපුරාලිය යුතුය, උදාහරණයක් ලෙස, සහතික කළ ෆයර්වෝල් භාවිතා කිරීම.

  • වස්තුවේ දෙවන කොටස වලාකුළු කළමනාකරණ මෙවලම් වේ. මේවා ආරක්ෂිත කොටස කළමනාකරණය කරන වැඩපොළවල් (පරිපාලකගේ වැඩපොළවල්) වේ.

CIPF මත ගොඩනගා ඇති VPN නාලිකාවක් හරහා ස්ථාන සන්නිවේදනය කරයි.

අථත්යකරණ තාක්ෂණයන් තර්ජන මතුවීම සඳහා පූර්ව කොන්දේසි නිර්මානය කරන බැවින්, අපි අතිරේක සහතික කළ ආරක්ෂණ මෙවලම් ද භාවිතා කරමු.

IaaS 152-FZ: ඉතින්, ඔබට ආරක්ෂාව අවශ්‍යයිබ්ලොක් රූප සටහන "තක්සේරුකරුගේ ඇස් හරහා"

සේවාලාභියාට ඔහුගේ ISPD සහතිකය අවශ්‍ය නම්, IaaS කුලියට ගැනීමෙන් පසු, ඔහුට සිදු වන්නේ අතථ්‍ය දත්ත මධ්‍යස්ථානයේ මට්ටමට ඉහළින් ඇති තොරතුරු පද්ධතිය ඇගයීමට පමණි. මෙම ක්රියාපටිපාටිය එහි භාවිතා කරන යටිතල පහසුකම් සහ මෘදුකාංග පරීක්ෂා කිරීම ඇතුළත් වේ. ඔබට සියලු යටිතල පහසුකම් ගැටළු සඳහා සැපයුම්කරුගේ සහතිකය වෙත යොමු විය හැකි බැවින්, ඔබ කළ යුත්තේ මෘදුකාංගය සමඟ වැඩ කිරීමයි.

IaaS 152-FZ: ඉතින්, ඔබට ආරක්ෂාව අවශ්‍යයිවියුක්ත මට්ටමින් වෙන්වීම

අවසාන වශයෙන්, පුද්ගලික දත්ත සමඟ දැනටමත් වැඩ කරන හෝ සැලසුම් කරන සමාගම් සඳහා කුඩා පිරික්සුම් ලැයිස්තුවක් මෙන්න. ඉතින්, පිළිස්සෙන්නේ නැතිව එය හැසිරවිය යුතු ආකාරය.

  1. තර්ජන සහ ආක්‍රමණිකයන්ගේ ආකෘති විගණනය කිරීම සහ සංවර්ධනය කිරීම සඳහා, අවශ්‍ය ලියකියවිලි සංවර්ධනය කිරීමට සහ තාක්ෂණික විසඳුම්වල වේදිකාවට ඔබව ගෙන ඒමට උපකාර වන සහතික කිරීමේ රසායනාගාර අතරින් පළපුරුදු උපදේශකයෙකුට ආරාධනා කරන්න.

  2. වලාකුළු සපයන්නෙකු තෝරාගැනීමේදී, සහතිකයක් තිබීම කෙරෙහි අවධානය යොමු කරන්න. සමාගම එය ප්‍රසිද්ධියේ කෙලින්ම වෙබ් අඩවියේ පළ කරනවා නම් හොඳයි. සපයන්නා FSTEC සහ FSB හි බලපත්‍රලාභියෙකු විය යුතු අතර, ඔහු සපයන සේවාව සහතික කළ යුතුය.

  3. පුද්ගලික දත්ත සැකසීම සඳහා ඔබට විධිමත් ගිවිසුමක් සහ අත්සන් කළ උපදෙස් ඇති බවට වග බලා ගන්න. මෙය මත පදනම්ව, ඔබට අනුකූලතා පරීක්ෂාව සහ ISPD සහතිකය යන දෙකම සිදු කිරීමට හැකි වනු ඇත. තාක්ෂණික ව්‍යාපෘතියේ අදියරේදී මෙම කාර්යය සහ සැලසුම් සහ තාක්ෂණික ලියකියවිලි නිර්මාණය කිරීම ඔබට බරක් ලෙස පෙනේ නම්, ඔබ තෙවන පාර්ශවීය උපදේශන සමාගම් සම්බන්ධ කර ගත යුතුය. සහතික කිරීමේ රසායනාගාර අතරින්.

පුද්ගලික දත්ත සැකසීමේ ගැටළු ඔබට අදාළ නම්, සැප්තැම්බර් 18, මෙම සිකුරාදා, අපි ඔබව webinar හිදී දැකීමට සතුටු වන්නෙමු. "සහතික කළ වලාකුළු ගොඩනැගීමේ විශේෂාංග".

මූලාශ්රය: www.habr.com

අදහස් එක් කරන්න