புரோஹோஸ்டர் > Блог > நிர்வாகம் > IaaS 152-FZ: எனவே, உங்களுக்கு பாதுகாப்பு தேவை

IaaS 152-FZ: எனவே, உங்களுக்கு பாதுகாப்பு தேவை

IaaS 152-FZ: எனவே, உங்களுக்கு பாதுகாப்பு தேவை

152-FZ உடன் இணங்குவதைச் சுற்றியுள்ள கட்டுக்கதைகள் மற்றும் புனைவுகளை நீங்கள் எவ்வளவு வரிசைப்படுத்தினாலும், ஏதோ ஒன்று எப்போதும் திரைக்குப் பின்னால் இருக்கும். பெரிய நிறுவனங்கள் மற்றும் மிகச் சிறிய நிறுவனங்கள் சந்திக்கும் சில எப்போதும் வெளிப்படையான நுணுக்கங்களைப் பற்றி இன்று விவாதிக்க விரும்புகிறோம்:

  • வகைகளாக PD வகைப்பாட்டின் நுணுக்கங்கள் - ஒரு சிறிய ஆன்லைன் ஸ்டோர் ஒரு சிறப்பு வகையைப் பற்றித் தெரியாமல் அது தொடர்பான தரவைச் சேகரிக்கும் போது;

  • சேகரிக்கப்பட்ட PD இன் காப்புப்பிரதிகளை நீங்கள் சேமித்து, அவற்றில் செயல்பாடுகளைச் செய்யலாம்;

  • ஒரு சான்றிதழுக்கும் இணக்கத்தின் முடிவுக்கும் என்ன வித்தியாசம், வழங்குநரிடமிருந்து நீங்கள் என்ன ஆவணங்களைக் கோர வேண்டும் மற்றும் அது போன்ற விஷயங்கள்.

இறுதியாக, சான்றிதழில் தேர்ச்சி பெற்ற எங்கள் சொந்த அனுபவத்தை உங்களுடன் பகிர்ந்து கொள்வோம். போ!

இன்றைய கட்டுரையில் நிபுணர் இருப்பார் அலெக்ஸி அஃபனாசியேவ், IT-GRAD மற்றும் #CloudMTS (MTS குழுவின் ஒரு பகுதி) ஆகிய கிளவுட் வழங்குநர்களுக்கான IS நிபுணர்.

வகைப்பாட்டின் நுணுக்கங்கள்

IS தணிக்கை இல்லாமல், ஒரு ISPD க்கு தேவையான பாதுகாப்பின் அளவை விரைவாக தீர்மானிக்க ஒரு வாடிக்கையாளரின் விருப்பத்தை நாங்கள் அடிக்கடி சந்திப்போம். இந்த தலைப்பில் இணையத்தில் உள்ள சில பொருட்கள் இது ஒரு எளிய பணி மற்றும் தவறு செய்வது மிகவும் கடினம் என்ற தவறான எண்ணத்தை அளிக்கிறது.

KM ஐத் தீர்மானிக்க, கிளையண்டின் IS ஆல் என்ன தரவு சேகரிக்கப்பட்டு செயலாக்கப்படும் என்பதைப் புரிந்துகொள்வது அவசியம். சில சமயங்களில் பாதுகாப்புத் தேவைகள் மற்றும் வணிகம் செயல்படும் தனிப்பட்ட தரவின் வகையை சந்தேகத்திற்கு இடமின்றி தீர்மானிப்பது கடினமாக இருக்கலாம். அதே வகையான தனிப்பட்ட தரவுகளை முற்றிலும் வேறுபட்ட வழிகளில் மதிப்பிடலாம் மற்றும் வகைப்படுத்தலாம். எனவே, சில சந்தர்ப்பங்களில், வணிகத்தின் கருத்து தணிக்கையாளர் அல்லது ஆய்வாளரின் கருத்தில் இருந்து வேறுபடலாம். ஒரு சில உதாரணங்களைப் பார்ப்போம்.

கார் பார்க். இது மிகவும் பாரம்பரியமான வணிகமாகத் தோன்றும். பல வாகனக் கப்பல்கள் பல தசாப்தங்களாக இயங்கி வருகின்றன, அவற்றின் உரிமையாளர்கள் தனிப்பட்ட தொழில்முனைவோர் மற்றும் தனிநபர்களை பணியமர்த்துகின்றனர். ஒரு விதியாக, பணியாளர் தரவு UZ-4 இன் தேவைகளின் கீழ் வருகிறது. இருப்பினும், ஓட்டுநர்களுடன் பணிபுரிய, தனிப்பட்ட தரவைச் சேகரிப்பது மட்டுமல்லாமல், ஷிப்டுக்குச் செல்வதற்கு முன் வாகனக் கடற்படையின் பிரதேசத்தில் மருத்துவக் கட்டுப்பாட்டை மேற்கொள்வதும் அவசியம், மேலும் செயல்பாட்டில் சேகரிக்கப்பட்ட தகவல்கள் உடனடியாக வகைக்குள் அடங்கும். மருத்துவ தரவு - இது ஒரு சிறப்பு வகையின் தனிப்பட்ட தரவு. கூடுதலாக, கடற்படை சான்றிதழ்களைக் கோரலாம், பின்னர் அவை ஓட்டுநரின் கோப்பில் வைக்கப்படும். மின்னணு வடிவத்தில் அத்தகைய சான்றிதழின் ஸ்கேன் - சுகாதார தரவு, ஒரு சிறப்பு வகையின் தனிப்பட்ட தரவு. இதன் பொருள் UZ-4 இனி போதாது; குறைந்தபட்சம் UZ-3 தேவை.

இணையதள அங்காடி. சேகரிக்கப்பட்ட பெயர்கள், மின்னஞ்சல்கள் மற்றும் தொலைபேசி எண்கள் பொது வகைக்குள் பொருந்தும் என்று தோன்றுகிறது. இருப்பினும், உங்கள் வாடிக்கையாளர்கள் ஹலால் அல்லது கோஷர் போன்ற உணவு விருப்பங்களைக் குறிப்பிடினால், அத்தகைய தகவல்கள் மத இணைப்பு அல்லது நம்பிக்கைத் தரவாகக் கருதப்படலாம். எனவே, பிற கட்டுப்பாட்டு நடவடிக்கைகளைச் சரிபார்க்கும்போது அல்லது மேற்கொள்ளும்போது, ​​நீங்கள் சேகரிக்கும் தரவை தனிப்பட்ட தரவின் சிறப்பு வகையாக ஆய்வாளர் வகைப்படுத்தலாம். இப்போது, ​​ஒரு ஆன்லைன் ஸ்டோர் அதன் வாங்குபவர் இறைச்சி அல்லது மீனை விரும்புகிறாரா என்பதைப் பற்றிய தகவலைச் சேகரித்தால், அந்தத் தரவை மற்ற தனிப்பட்ட தரவுகளாக வகைப்படுத்தலாம். மூலம், சைவ உணவு உண்பவர்கள் பற்றி என்ன? எல்லாவற்றிற்கும் மேலாக, இது ஒரு சிறப்பு வகையைச் சேர்ந்த தத்துவ நம்பிக்கைகளுக்கும் காரணமாக இருக்கலாம். ஆனால் மறுபுறம், இது வெறுமனே தனது உணவில் இருந்து இறைச்சியை நீக்கிய ஒரு நபரின் அணுகுமுறையாக இருக்கலாம். ஐயோ, அத்தகைய "நுட்பமான" சூழ்நிலைகளில் PD வகையை சந்தேகத்திற்கு இடமின்றி வரையறுக்கும் எந்த அறிகுறியும் இல்லை.

விளம்பர நிறுவனம் சில மேற்கத்திய கிளவுட் சேவையைப் பயன்படுத்தி, அதன் வாடிக்கையாளர்களின் பொதுவில் கிடைக்கும் தரவைச் செயலாக்குகிறது - முழு பெயர்கள், மின்னஞ்சல் முகவரிகள் மற்றும் தொலைபேசி எண்கள். இந்த தனிப்பட்ட தரவு, நிச்சயமாக, தனிப்பட்ட தரவுகளுடன் தொடர்புடையது. கேள்வி எழுகிறது: அத்தகைய செயலாக்கத்தை மேற்கொள்வது சட்டப்பூர்வமானதா? ரஷ்ய கூட்டமைப்பிற்கு வெளியே தனிப்பயனாக்கம் இல்லாமல் அத்தகைய தரவை நகர்த்துவது கூட சாத்தியமா, எடுத்துக்காட்டாக, சில வெளிநாட்டு மேகங்களில் காப்புப்பிரதிகளை சேமிக்க முடியுமா? ஆம் உன்னால் முடியும். ரஷ்யாவிற்கு வெளியே இந்தத் தரவைச் சேமிக்க ஏஜென்சிக்கு உரிமை உண்டு, இருப்பினும், ஆரம்ப சேகரிப்பு, எங்கள் சட்டத்தின்படி, ரஷ்ய கூட்டமைப்பின் பிரதேசத்தில் மேற்கொள்ளப்பட வேண்டும். அத்தகைய தகவல்களை நீங்கள் காப்புப் பிரதி எடுத்தால், அதன் அடிப்படையில் சில புள்ளிவிவரங்களைக் கணக்கிடுங்கள், ஆராய்ச்சி நடத்துங்கள் அல்லது வேறு சில செயல்பாடுகளைச் செய்யுங்கள் - இவை அனைத்தும் மேற்கத்திய வளங்களில் செய்யப்படலாம். சட்டப்பூர்வக் கண்ணோட்டத்தில் முக்கிய புள்ளி தனிப்பட்ட தரவு சேகரிக்கப்படுகிறது. எனவே ஆரம்ப சேகரிப்பு மற்றும் செயலாக்கத்தை குழப்பாமல் இருப்பது முக்கியம்.

இந்த சிறிய எடுத்துக்காட்டுகளிலிருந்து பின்வருமாறு, தனிப்பட்ட தரவுகளுடன் பணிபுரிவது எப்போதும் நேரடியானது மற்றும் எளிமையானது அல்ல. நீங்கள் அவர்களுடன் பணிபுரிகிறீர்கள் என்பதை அறிந்து கொள்வது மட்டுமல்லாமல், அவற்றை சரியாக வகைப்படுத்தவும், தேவையான பாதுகாப்பின் அளவை சரியாக தீர்மானிக்க ஐபி எவ்வாறு செயல்படுகிறது என்பதைப் புரிந்து கொள்ளவும் வேண்டும். சில சந்தர்ப்பங்களில், நிறுவனம் உண்மையில் எவ்வளவு தனிப்பட்ட தரவு செயல்பட வேண்டும் என்ற கேள்வி எழலாம். மிகவும் "தீவிரமான" அல்லது வெறுமனே தேவையற்ற தரவை மறுக்க முடியுமா? கூடுதலாக, ஒழுங்குபடுத்துபவர் தனிப்பட்ட தரவை முடிந்தவரை தனிப்பயனாக்க பரிந்துரைக்கிறார். 

மேலே உள்ள எடுத்துக்காட்டுகளைப் போலவே, சேகரிக்கப்பட்ட தனிப்பட்ட தரவை நீங்கள் மதிப்பீடு செய்ததை விட ஆய்வு அதிகாரிகள் சற்று வித்தியாசமாக விளக்குகிறார்கள் என்ற உண்மையை நீங்கள் சந்திக்க நேரிடலாம்.

நிச்சயமாக, நீங்கள் ஒரு தணிக்கையாளரை அல்லது கணினி ஒருங்கிணைப்பாளரை உதவியாளராக நியமிக்கலாம், ஆனால் தணிக்கையின் போது தேர்ந்தெடுக்கப்பட்ட முடிவுகளுக்கு "உதவியாளர்" பொறுப்பாவாரா? தனிப்பட்ட தரவுகளின் ஆபரேட்டர் - ISPD இன் உரிமையாளரிடம் எப்போதும் பொறுப்பு உள்ளது என்பது கவனிக்கத்தக்கது. அதனால்தான், ஒரு நிறுவனம் அத்தகைய வேலையைச் செய்யும்போது, ​​அத்தகைய சேவைகளுக்கான சந்தையில் தீவிர வீரர்களிடம் திரும்புவது முக்கியம், எடுத்துக்காட்டாக, சான்றிதழ் வேலைகளை நடத்தும் நிறுவனங்கள். சான்றளிக்கும் நிறுவனங்கள் இத்தகைய பணிகளை மேற்கொள்வதில் விரிவான அனுபவத்தைக் கொண்டுள்ளன.

ISPD ஐ உருவாக்குவதற்கான விருப்பங்கள்

ஒரு ISPD இன் கட்டுமானம் ஒரு தொழில்நுட்பம் மட்டுமல்ல, பெரும்பாலும் சட்டப் பிரச்சினையும் கூட. CIO அல்லது பாதுகாப்பு இயக்குனர் எப்போதும் சட்ட ஆலோசகருடன் கலந்தாலோசிக்க வேண்டும். உங்களுக்குத் தேவையான சுயவிவரத்துடன் நிறுவனம் எப்போதும் ஒரு நிபுணரைக் கொண்டிருக்கவில்லை என்பதால், ஆடிட்டர்-ஆலோசகர்களை நோக்கிப் பார்ப்பது மதிப்பு. பல வழுக்கும் புள்ளிகள் வெளிப்படையாக இருக்காது.

நீங்கள் எந்த தனிப்பட்ட தரவைக் கையாளுகிறீர்கள் மற்றும் அதற்கு எந்த அளவிலான பாதுகாப்பு தேவை என்பதைத் தீர்மானிக்க ஆலோசனை உங்களை அனுமதிக்கும். அதன்படி, பாதுகாப்பு மற்றும் செயல்பாட்டு பாதுகாப்பு நடவடிக்கைகளுடன் உருவாக்கப்பட வேண்டிய அல்லது கூடுதலாக வழங்கப்பட வேண்டிய ஐபி பற்றிய ஒரு யோசனையை நீங்கள் பெறுவீர்கள்.

பெரும்பாலும் ஒரு நிறுவனத்திற்கான தேர்வு இரண்டு விருப்பங்களுக்கு இடையில் இருக்கும்:

  1. உங்கள் சொந்த வன்பொருள் மற்றும் மென்பொருள் தீர்வுகளில், உங்கள் சொந்த சர்வர் அறையில் தொடர்புடைய IS ஐ உருவாக்கவும்.

  2. கிளவுட் வழங்குநரைத் தொடர்புகொண்டு, ஏற்கனவே சான்றளிக்கப்பட்ட "விர்ச்சுவல் சர்வர் அறை" என்ற மீள் தீர்வைத் தேர்ந்தெடுக்கவும்.

தனிப்பட்ட தரவை செயலாக்கும் பெரும்பாலான தகவல் அமைப்புகள் பாரம்பரிய அணுகுமுறையைப் பயன்படுத்துகின்றன, இது வணிகக் கண்ணோட்டத்தில் எளிதானது மற்றும் வெற்றிகரமானது என்று அழைக்க முடியாது. இந்த விருப்பத்தைத் தேர்ந்தெடுக்கும்போது, ​​தொழில்நுட்ப வடிவமைப்பு மென்பொருள் மற்றும் வன்பொருள் தீர்வுகள் மற்றும் தளங்கள் உள்ளிட்ட உபகரணங்களின் விளக்கத்தை உள்ளடக்கும் என்பதை புரிந்து கொள்ள வேண்டும். இதன் பொருள் நீங்கள் பின்வரும் சிரமங்களையும் வரம்புகளையும் எதிர்கொள்ள வேண்டியிருக்கும்:

  • அளவிடுதல் சிரமம்;

  • நீண்ட திட்ட செயலாக்க காலம்: கணினியைத் தேர்ந்தெடுப்பது, வாங்குதல், நிறுவுதல், கட்டமைத்தல் மற்றும் விவரிப்பது அவசியம்;

  • நிறைய "காகித" வேலைகள், உதாரணமாக - முழு ISPDக்கான ஆவணங்களின் முழுமையான தொகுப்பின் வளர்ச்சி.

கூடுதலாக, ஒரு வணிகம், ஒரு விதியாக, அதன் ஐபியின் "மேல்" மட்டத்தை மட்டுமே புரிந்துகொள்கிறது - அது பயன்படுத்தும் வணிக பயன்பாடுகள். வேறு வார்த்தைகளில் கூறுவதானால், தகவல் தொழில்நுட்ப ஊழியர்கள் தங்கள் குறிப்பிட்ட பகுதியில் திறமையானவர்கள். அனைத்து "கீழ் நிலைகளும்" எவ்வாறு செயல்படுகின்றன என்பது பற்றிய புரிதல் இல்லை: மென்பொருள் மற்றும் வன்பொருள் பாதுகாப்பு, சேமிப்பக அமைப்புகள், காப்புப்பிரதி மற்றும், நிச்சயமாக, அனைத்து தேவைகளுக்கும் இணங்க பாதுகாப்பு கருவிகளை எவ்வாறு கட்டமைப்பது, உள்ளமைவின் "வன்பொருள்" பகுதியை உருவாக்குவது. புரிந்துகொள்வது முக்கியம்: இது வாடிக்கையாளரின் வணிகத்திற்கு வெளியே இருக்கும் அறிவின் ஒரு பெரிய அடுக்கு. சான்றளிக்கப்பட்ட “விர்ச்சுவல் சர்வர் அறையை” வழங்கும் கிளவுட் வழங்குநரின் அனுபவம் இங்குதான் பயனுள்ளதாக இருக்கும்.

இதையொட்டி, கிளவுட் வழங்குநர்கள் பல நன்மைகளைக் கொண்டுள்ளனர்.

  • மூலதனச் செலவுகள் இயக்கச் செலவுகளாக மாற்றப்படுகின்றன;

  • வழங்குநர், அதன் பங்கிற்கு, நிரூபிக்கப்பட்ட நிலையான தீர்வின் அடிப்படையில் தேவையான அளவிலான பாதுகாப்பு மற்றும் கிடைக்கும் தன்மையை வழங்குவதற்கு உத்தரவாதம் அளிக்கிறது;

  • வன்பொருள் மட்டத்தில் ISPD இன் செயல்பாட்டை உறுதி செய்யும் நிபுணர்களின் பணியாளர்களை பராமரிக்க வேண்டிய அவசியமில்லை;

  • வழங்குநர்கள் மிகவும் நெகிழ்வான மற்றும் மீள் தீர்வுகளை வழங்குகிறார்கள்;

  • வழங்குநரின் நிபுணர்களிடம் தேவையான அனைத்து சான்றிதழ்களும் உள்ளன;

  • கட்டுப்பாட்டாளர்களின் தேவைகள் மற்றும் பரிந்துரைகளை கணக்கில் எடுத்துக்கொண்டு, உங்கள் சொந்த கட்டிடக்கலையை உருவாக்குவதை விட இணக்கம் குறைவாக இல்லை.

தனிப்பட்ட தரவை மேகக்கணியில் சேமிக்க முடியாது என்ற பழைய கட்டுக்கதை இன்னும் பிரபலமாக உள்ளது. இது ஓரளவு மட்டுமே உண்மை: PD உண்மையில் இடுகையிட முடியாது கிடைக்கும் முதல் ஒன்றில் மேகம். சில தொழில்நுட்ப நடவடிக்கைகளுடன் இணங்குதல் மற்றும் சில சான்றளிக்கப்பட்ட தீர்வுகளின் பயன்பாடு தேவை. வழங்குநர் அனைத்து சட்டத் தேவைகளுக்கும் இணங்கினால், தனிப்பட்ட தரவு கசிவு தொடர்பான அபாயங்கள் குறைக்கப்படும். பல வழங்குநர்கள் 152-FZ க்கு இணங்க தனிப்பட்ட தரவை செயலாக்குவதற்கு ஒரு தனி உள்கட்டமைப்பைக் கொண்டுள்ளனர். இருப்பினும், சப்ளையர் தேர்வு சில அளவுகோல்களின் அறிவுடன் அணுகப்பட வேண்டும்; நாங்கள் நிச்சயமாக கீழே அவற்றைத் தொடுவோம். 

வழங்குநரின் கிளவுட்டில் தனிப்பட்ட தரவை வைப்பது குறித்த சில கவலைகளுடன் வாடிக்கையாளர்கள் அடிக்கடி எங்களிடம் வருகிறார்கள். சரி, அவற்றை உடனே விவாதிப்போம்.

  • பரிமாற்றம் அல்லது இடம்பெயர்வின் போது தரவு திருடப்படலாம்

இதைப் பற்றி பயப்படத் தேவையில்லை - வழங்குநர் வாடிக்கையாளருக்கு சான்றளிக்கப்பட்ட தீர்வுகள், ஒப்பந்தக்காரர்கள் மற்றும் ஊழியர்களுக்கான மேம்பட்ட அங்கீகார நடவடிக்கைகள் ஆகியவற்றின் அடிப்படையில் பாதுகாப்பான தரவு பரிமாற்ற சேனலை உருவாக்குவதை வழங்குகிறது. வாடிக்கையாளருடனான உங்கள் பணியின் ஒரு பகுதியாக பொருத்தமான பாதுகாப்பு முறைகளைத் தேர்ந்தெடுத்து அவற்றைச் செயல்படுத்துவது மட்டுமே எஞ்சியுள்ளது.

  • ஷோ முகமூடிகள் வந்து சர்வருக்கு எடுத்துச் செல்லும்/சீல் செய்யும்/துண்டிக்கப்படும்

உள்கட்டமைப்பின் மீது போதுமான கட்டுப்பாடு இல்லாததால், தங்கள் வணிக செயல்முறைகள் சீர்குலைந்துவிடும் என்று அஞ்சும் வாடிக்கையாளர்களுக்கு இது மிகவும் புரிந்துகொள்ளத்தக்கது. ஒரு விதியாக, சிறப்பு தரவு மையங்களை விட சிறிய சேவையக அறைகளில் முன்பு வன்பொருள் அமைந்திருந்த வாடிக்கையாளர்கள் இதைப் பற்றி சிந்திக்கிறார்கள். உண்மையில், தரவு மையங்கள் உடல் மற்றும் தகவல் பாதுகாப்பிற்கான நவீன வழிமுறைகளுடன் பொருத்தப்பட்டுள்ளன. போதுமான ஆதாரங்கள் மற்றும் ஆவணங்கள் இல்லாமல் அத்தகைய தரவு மையத்தில் எந்தவொரு செயல்பாடுகளையும் மேற்கொள்வது கிட்டத்தட்ட சாத்தியமற்றது, மேலும் இதுபோன்ற செயல்களுக்கு பல நடைமுறைகளுக்கு இணங்க வேண்டும். கூடுதலாக, தரவு மையத்திலிருந்து உங்கள் சேவையகத்தை "இழுப்பது" வழங்குநரின் பிற வாடிக்கையாளர்களைப் பாதிக்கலாம், மேலும் இது நிச்சயமாக யாருக்கும் தேவையில்லை. கூடுதலாக, யாராலும் குறிப்பாக "உங்கள்" மெய்நிகர் சேவையகத்தை சுட்டிக்காட்ட முடியாது, எனவே யாராவது அதைத் திருட அல்லது முகமூடி நிகழ்ச்சியை நடத்த விரும்பினால், அவர்கள் முதலில் அதிகாரத்துவ தாமதங்களைச் சமாளிக்க வேண்டியிருக்கும். இந்த நேரத்தில், நீங்கள் மற்றொரு தளத்திற்கு பல முறை இடம்பெயர நேரம் கிடைக்கும்.

  • ஹேக்கர்கள் கிளவுட்டை ஹேக் செய்து டேட்டாவை திருடுவார்கள்

இணைய குற்றவாளிகளுக்கு மற்றொரு மேகம் எப்படி பலியாகியுள்ளது என்பதைப் பற்றிய தலைப்புச் செய்திகளால் இணையம் மற்றும் அச்சுப்பொறிகள் நிரம்பியுள்ளன, மேலும் மில்லியன் கணக்கான தனிப்பட்ட தரவு பதிவுகள் ஆன்லைனில் கசிந்துள்ளன. பெரும்பாலான சந்தர்ப்பங்களில், பாதிப்புகள் வழங்குநரின் பக்கத்தில் இல்லை, ஆனால் பாதிக்கப்பட்டவர்களின் தகவல் அமைப்புகளில் காணப்படுகின்றன: பலவீனமான அல்லது இயல்புநிலை கடவுச்சொற்கள், வலைத்தள இயந்திரங்கள் மற்றும் தரவுத்தளங்களில் "துளைகள்" மற்றும் பாதுகாப்பு நடவடிக்கைகளைத் தேர்ந்தெடுக்கும்போது சாதாரணமான வணிக கவனக்குறைவு மற்றும் தரவு அணுகல் நடைமுறைகளை ஒழுங்கமைத்தல். அனைத்து சான்றளிக்கப்பட்ட தீர்வுகளும் பாதிப்புகளுக்கு சோதிக்கப்படுகின்றன. நாங்கள் தொடர்ந்து "கட்டுப்பாட்டு" பெண்டெஸ்ட்கள் மற்றும் பாதுகாப்பு தணிக்கைகளை, சுதந்திரமாக மற்றும் வெளிப்புற அமைப்புகள் மூலம் நடத்துகிறோம். வழங்குநருக்கு, இது பொதுவாக நற்பெயர் மற்றும் வணிகம்.

  • வழங்குநரின் வழங்குநர்/பணியாளர்கள் தனிப்பட்ட லாபத்திற்காக தனிப்பட்ட தரவைத் திருடுவார்கள்

இது மிகவும் உணர்ச்சிகரமான தருணம். தகவல் பாதுகாப்பு உலகின் பல நிறுவனங்கள் தங்கள் வாடிக்கையாளர்களை "பயமுறுத்துகின்றன" மேலும் "வெளியில் உள்ள ஹேக்கர்களை விட உள் ஊழியர்கள் மிகவும் ஆபத்தானவர்கள்" என்று வலியுறுத்துகின்றனர். சில சந்தர்ப்பங்களில் இது உண்மையாக இருக்கலாம், ஆனால் நம்பிக்கை இல்லாமல் ஒரு வணிகத்தை உருவாக்க முடியாது. அவ்வப்போது, ​​ஒரு நிறுவனத்தின் சொந்த ஊழியர்கள் வாடிக்கையாளர்களின் தரவை தாக்குபவர்களுக்கு கசியவிடுகிறார்கள், மேலும் உள் பாதுகாப்பு சில நேரங்களில் வெளிப்புற பாதுகாப்பை விட மோசமாக ஒழுங்கமைக்கப்படுகிறது என்று செய்திகள் ஒளிரும். எந்தவொரு பெரிய வழங்குநரும் எதிர்மறையான நிகழ்வுகளில் மிகவும் ஆர்வமற்றவர் என்பதை இங்கே புரிந்துகொள்வது அவசியம். வழங்குநரின் ஊழியர்களின் நடவடிக்கைகள் நன்கு கட்டுப்படுத்தப்படுகின்றன, பாத்திரங்கள் மற்றும் பொறுப்பின் பகுதிகள் பிரிக்கப்பட்டுள்ளன. அனைத்து வணிக செயல்முறைகளும் தரவு கசிவு நிகழ்வுகள் மிகவும் சாத்தியமற்றது மற்றும் உள் சேவைகளுக்கு எப்போதும் கவனிக்கப்படும் வகையில் கட்டமைக்கப்பட்டுள்ளன, எனவே வாடிக்கையாளர்கள் இந்த பக்கத்திலிருந்து வரும் சிக்கல்களுக்கு பயப்படக்கூடாது.

  • உங்கள் வணிகத் தரவைக் கொண்டு சேவைகளுக்கு நீங்கள் பணம் செலுத்துவதால், நீங்கள் கொஞ்சம் செலுத்துகிறீர்கள்.

மற்றொரு கட்டுக்கதை: பாதுகாப்பான உள்கட்டமைப்பை வசதியான விலையில் வாடகைக்கு எடுக்கும் வாடிக்கையாளர் உண்மையில் தனது தரவைக் கொண்டு பணம் செலுத்துகிறார் - படுக்கைக்குச் செல்வதற்கு முன் இரண்டு சதி கோட்பாடுகளைப் படிக்க விரும்பாத நிபுணர்களால் இது அடிக்கடி கருதப்படுகிறது. முதலாவதாக, வரிசையில் குறிப்பிடப்பட்டுள்ளதைத் தவிர உங்கள் தரவுகளுடன் எந்தச் செயல்பாடுகளையும் மேற்கொள்ளும் சாத்தியம் அடிப்படையில் பூஜ்ஜியமாகும். இரண்டாவதாக, போதுமான வழங்குநர் உங்களுடனான உறவையும் அவரது நற்பெயரையும் மதிப்பிடுகிறார் - உங்களைத் தவிர, அவருக்கு இன்னும் பல வாடிக்கையாளர்கள் உள்ளனர். இதற்கு நேர்மாறான சூழ்நிலை அதிகமாக உள்ளது, இதில் வழங்குநர் தனது வாடிக்கையாளர்களின் தரவை ஆர்வத்துடன் பாதுகாப்பார், அதில் அதன் வணிகம் உள்ளது.

ISPDக்கான மேகக்கணி வழங்குநரைத் தேர்ந்தெடுப்பது

இன்று, சந்தை PD ஆபரேட்டர்களாக இருக்கும் நிறுவனங்களுக்கு பல தீர்வுகளை வழங்குகிறது. சரியான ஒன்றைத் தேர்ந்தெடுப்பதற்கான பொதுவான பரிந்துரைகளின் பட்டியல் கீழே உள்ளது.

  • தனிப்பட்ட தரவைச் செயலாக்குவதில் கட்சிகள், SLAக்கள் மற்றும் பொறுப்பான பகுதிகளின் பொறுப்புகளை விவரிக்கும் முறையான ஒப்பந்தத்தில் நுழைவதற்கு வழங்குநர் தயாராக இருக்க வேண்டும். உண்மையில், உங்களுக்கும் வழங்குநருக்கும் இடையே, சேவை ஒப்பந்தத்துடன் கூடுதலாக, PD செயலாக்கத்திற்கான ஆர்டரில் கையொப்பமிடப்பட வேண்டும். எந்தவொரு சந்தர்ப்பத்திலும், அவற்றை கவனமாக படிப்பது மதிப்பு. உங்களுக்கும் வழங்குநருக்கும் இடையிலான பொறுப்புகளின் பிரிவைப் புரிந்துகொள்வது முக்கியம்.

  • பிரிவு தேவைகளை பூர்த்தி செய்ய வேண்டும் என்பதை நினைவில் கொள்ளவும், அதாவது உங்கள் IP க்கு தேவையான பாதுகாப்பு அளவை விட குறைவாக இல்லாத ஒரு சான்றிதழை அது கொண்டிருக்க வேண்டும். வழங்குநர்கள் சான்றிதழின் முதல் பக்கத்தை மட்டுமே வெளியிடுகிறார்கள், அதில் இருந்து கொஞ்சம் தெளிவாக உள்ளது, அல்லது சான்றிதழை வெளியிடாமல் தணிக்கை அல்லது இணக்க நடைமுறைகளைப் பார்க்கவும் ("ஒரு பையன் இருந்தாரா?"). அதைக் கேட்பது மதிப்புக்குரியது - இது சான்றிதழ், செல்லுபடியாகும் காலம், கிளவுட் இருப்பிடம் போன்றவற்றை யார் மேற்கொண்டது என்பதைக் குறிக்கும் பொது ஆவணம்.

  • வழங்குநர், அதன் தளங்கள் (பாதுகாக்கப்பட்ட பொருள்கள்) அமைந்துள்ள இடம் பற்றிய தகவலை வழங்க வேண்டும், இதன் மூலம் உங்கள் தரவின் இடத்தை நீங்கள் கட்டுப்படுத்தலாம். தனிப்பட்ட தரவுகளின் ஆரம்ப சேகரிப்பு ரஷ்ய கூட்டமைப்பின் பிரதேசத்தில் மேற்கொள்ளப்பட வேண்டும் என்பதை உங்களுக்கு நினைவூட்டுவோம்; அதன்படி, ஒப்பந்தம் / சான்றிதழில் தரவு மையத்தின் முகவரிகளைப் பார்ப்பது நல்லது.

  • வழங்குநர் சான்றளிக்கப்பட்ட தகவல் பாதுகாப்பு மற்றும் தகவல் பாதுகாப்பு அமைப்புகளைப் பயன்படுத்த வேண்டும். நிச்சயமாக, பெரும்பாலான வழங்குநர்கள் தாங்கள் பயன்படுத்தும் தொழில்நுட்ப பாதுகாப்பு நடவடிக்கைகள் மற்றும் தீர்வு கட்டமைப்பை விளம்பரப்படுத்துவதில்லை. ஆனால் ஒரு வாடிக்கையாளரான நீங்கள் அதைப் பற்றி தெரிந்து கொள்ளாமல் இருக்க முடியாது. எடுத்துக்காட்டாக, மேலாண்மை அமைப்புடன் (மேலாண்மை போர்டல்) தொலைவிலிருந்து இணைக்க, பாதுகாப்பு நடவடிக்கைகளைப் பயன்படுத்துவது அவசியம். வழங்குநரால் இந்தத் தேவையைத் தவிர்க்க முடியாது மேலும் சான்றளிக்கப்பட்ட தீர்வுகளை உங்களுக்கு வழங்குவார் (அல்லது நீங்கள் பயன்படுத்த வேண்டும்). ஒரு சோதனைக்கான ஆதாரங்களை எடுத்துக் கொள்ளுங்கள், எப்படி, என்ன வேலை செய்கிறது என்பதை நீங்கள் உடனடியாக புரிந்துகொள்வீர்கள். 

  • தகவல் பாதுகாப்பு துறையில் கிளவுட் வழங்குநர் கூடுதல் சேவைகளை வழங்குவது மிகவும் விரும்பத்தக்கது. இவை பல்வேறு சேவைகளாக இருக்கலாம்: DDoS தாக்குதல்களுக்கு எதிரான பாதுகாப்பு மற்றும் WAF, வைரஸ் எதிர்ப்பு சேவை அல்லது சாண்ட்பாக்ஸ் போன்றவை. இவை அனைத்தும் ஒரு சேவையாக பாதுகாப்பைப் பெற உங்களை அனுமதிக்கும், பாதுகாப்பு அமைப்புகளை உருவாக்குவதன் மூலம் திசைதிருப்பப்படாமல், வணிக பயன்பாடுகளில் வேலை செய்ய அனுமதிக்கும்.

  • வழங்குநர் FSTEC மற்றும் FSB இன் உரிமம் பெற்றவராக இருக்க வேண்டும். ஒரு விதியாக, அத்தகைய தகவல்கள் நேரடியாக இணையதளத்தில் வெளியிடப்படுகின்றன. இந்த ஆவணங்களைக் கோருவதை உறுதிசெய்து, சேவைகளை வழங்குவதற்கான முகவரிகள், வழங்குநர் நிறுவனத்தின் பெயர் போன்றவை சரியாக உள்ளதா என சரிபார்க்கவும். 

சுருக்கமாகக் கூறுவோம். உள்கட்டமைப்பை வாடகைக்கு எடுப்பது, CAPEX ஐ கைவிட்டு, உங்கள் வணிகப் பயன்பாடுகள் மற்றும் தரவை மட்டுமே உங்கள் பொறுப்பில் வைத்திருக்கவும், வன்பொருள் மற்றும் மென்பொருள் மற்றும் வன்பொருளின் சான்றிதழின் பெரும் சுமையை வழங்குநருக்கு மாற்றவும் அனுமதிக்கும்.

நாங்கள் சான்றிதழை எவ்வாறு தேர்ச்சி பெற்றோம்

மிக சமீபத்தில், தனிப்பட்ட தரவுகளுடன் பணிபுரிவதற்கான தேவைகளுக்கு இணங்குவதற்காக "Secure Cloud FZ-152" இன் உள்கட்டமைப்பின் மறுசான்றிதழை நாங்கள் வெற்றிகரமாக நிறைவேற்றினோம். இப்பணியை தேசிய சான்றிதழ் மையம் மேற்கொண்டது.

தற்போது, ​​"FZ-152 செக்யூர் கிளவுட்", நிலை UZ-3 இன் தேவைகளுக்கு ஏற்ப தனிப்பட்ட தரவு (ISPDn) செயலாக்கம், சேமிப்பு அல்லது பரிமாற்றம் ஆகியவற்றில் ஈடுபட்டுள்ள தகவல் அமைப்புகளை ஹோஸ்டிங் செய்வதற்கு சான்றளிக்கப்பட்டுள்ளது.

சான்றிதழும் நடைமுறையானது கிளவுட் வழங்குநரின் உள்கட்டமைப்பின் பாதுகாப்பின் நிலைக்கு இணங்குவதைச் சரிபார்க்கிறது. வழங்குநரே IaaS சேவையை வழங்குகிறார் மற்றும் தனிப்பட்ட தரவுகளின் ஆபரேட்டர் அல்ல. இந்த செயல்முறை நிறுவன (ஆவணங்கள், உத்தரவுகள், முதலியன) மற்றும் தொழில்நுட்ப நடவடிக்கைகள் (பாதுகாப்பு உபகரணங்களை அமைத்தல், முதலியன) ஆகிய இரண்டின் மதிப்பீட்டை உள்ளடக்கியது.

அதை அற்பம் என்று சொல்ல முடியாது. 2013 ஆம் ஆண்டில் நிரல்கள் மற்றும் சான்றிதழ் நடவடிக்கைகளை நடத்துவதற்கான முறைகள் குறித்த GOST மீண்டும் தோன்றிய போதிலும், கிளவுட் பொருள்களுக்கான கடுமையான நிரல்கள் இன்னும் இல்லை. சான்றிதழ் மையங்கள் தங்கள் சொந்த நிபுணத்துவத்தின் அடிப்படையில் இந்தத் திட்டங்களை உருவாக்குகின்றன. புதிய தொழில்நுட்பங்களின் வருகையுடன், நிரல்கள் மிகவும் சிக்கலானதாகவும் நவீனமயமாக்கப்பட்டதாகவும் மாறும்; அதன்படி, சான்றளிப்பவர் கிளவுட் தீர்வுகளுடன் பணிபுரிந்த அனுபவம் மற்றும் பிரத்தியேகங்களைப் புரிந்து கொள்ள வேண்டும்.

எங்கள் விஷயத்தில், பாதுகாக்கப்பட்ட பொருள் இரண்டு இடங்களைக் கொண்டுள்ளது.

  • கிளவுட் ஆதாரங்கள் (சேவையகங்கள், சேமிப்பக அமைப்புகள், நெட்வொர்க் உள்கட்டமைப்பு, பாதுகாப்பு கருவிகள் போன்றவை) நேரடியாக தரவு மையத்தில் அமைந்துள்ளன. நிச்சயமாக, அத்தகைய மெய்நிகர் தரவு மையம் பொது நெட்வொர்க்குகளுடன் இணைக்கப்பட்டுள்ளது, அதன்படி, சில ஃபயர்வால் தேவைகள் பூர்த்தி செய்யப்பட வேண்டும், எடுத்துக்காட்டாக, சான்றளிக்கப்பட்ட ஃபயர்வால்களின் பயன்பாடு.

  • பொருளின் இரண்டாம் பகுதி கிளவுட் மேலாண்மை கருவிகள். இவை பணிநிலையங்கள் (நிர்வாகியின் பணிநிலையங்கள்) இதில் இருந்து பாதுகாக்கப்பட்ட பிரிவு நிர்வகிக்கப்படுகிறது.

CIPF இல் கட்டமைக்கப்பட்ட VPN சேனல் மூலம் இருப்பிடங்கள் தொடர்பு கொள்கின்றன.

மெய்நிகராக்க தொழில்நுட்பங்கள் அச்சுறுத்தல்கள் தோன்றுவதற்கான முன்நிபந்தனைகளை உருவாக்குவதால், நாங்கள் கூடுதல் சான்றளிக்கப்பட்ட பாதுகாப்பு கருவிகளையும் பயன்படுத்துகிறோம்.

IaaS 152-FZ: எனவே, உங்களுக்கு பாதுகாப்பு தேவைதடுப்பு வரைபடம் "மதிப்பீட்டாளரின் கண்கள் மூலம்"

வாடிக்கையாளருக்கு அவரது ISPD இன் சான்றிதழ் தேவைப்பட்டால், IaaS ஐ வாடகைக்கு எடுத்த பிறகு, அவர் மெய்நிகர் தரவு மையத்தின் மட்டத்திற்கு மேல் உள்ள தகவல் அமைப்பை மட்டுமே மதிப்பீடு செய்ய வேண்டும். இந்த நடைமுறையானது உள்கட்டமைப்பு மற்றும் அதில் பயன்படுத்தப்படும் மென்பொருளை சரிபார்ப்பதை உள்ளடக்கியது. அனைத்து உள்கட்டமைப்பு சிக்கல்களுக்கும் நீங்கள் வழங்குநரின் சான்றிதழைப் பார்க்க முடியும் என்பதால், நீங்கள் செய்ய வேண்டியது மென்பொருளுடன் வேலை செய்வதுதான்.

IaaS 152-FZ: எனவே, உங்களுக்கு பாதுகாப்பு தேவைசுருக்க மட்டத்தில் பிரித்தல்

முடிவில், தனிப்பட்ட தரவுகளுடன் ஏற்கனவே பணிபுரியும் அல்லது திட்டமிடும் நிறுவனங்களுக்கான சிறிய சரிபார்ப்பு பட்டியல் இங்கே. எனவே, அதை எரிக்காமல் எப்படி கையாள்வது.

  1. அச்சுறுத்தல்கள் மற்றும் ஊடுருவும் நபர்களின் மாதிரிகளை தணிக்கை செய்து உருவாக்க, தேவையான ஆவணங்களை உருவாக்கவும், தொழில்நுட்ப தீர்வுகளின் நிலைக்கு உங்களை கொண்டு வரவும் உதவும் சான்றிதழ் ஆய்வகங்களில் இருந்து ஒரு அனுபவமிக்க ஆலோசகரை அழைக்கவும்.

  2. கிளவுட் வழங்குநரைத் தேர்ந்தெடுக்கும்போது, ​​ஒரு சான்றிதழின் முன்னிலையில் கவனம் செலுத்துங்கள். நிறுவனம் நேரடியாக இணையதளத்தில் பகிரங்கமாக வெளியிட்டால் நல்லது. வழங்குநர் FSTEC மற்றும் FSB இன் உரிமம் பெற்றவராக இருக்க வேண்டும், மேலும் அவர் வழங்கும் சேவை சான்றளிக்கப்பட வேண்டும்.

  3. தனிப்பட்ட தரவைச் செயலாக்குவதற்கான முறையான ஒப்பந்தம் மற்றும் கையொப்பமிடப்பட்ட அறிவுறுத்தல் உங்களிடம் இருப்பதை உறுதிப்படுத்திக் கொள்ளுங்கள். இதன் அடிப்படையில், நீங்கள் இணக்கச் சரிபார்ப்பு மற்றும் ISPD சான்றிதழ் இரண்டையும் மேற்கொள்ள முடியும். தொழில்நுட்பத் திட்டத்தின் கட்டத்தில் இந்த வேலை மற்றும் வடிவமைப்பு மற்றும் தொழில்நுட்ப ஆவணங்களை உருவாக்குவது உங்களுக்குச் சுமையாகத் தோன்றினால், நீங்கள் மூன்றாம் தரப்பு ஆலோசனை நிறுவனங்களைத் தொடர்பு கொள்ள வேண்டும். சான்றிதழ் ஆய்வகங்களில் இருந்து.

தனிப்பட்ட தரவு செயலாக்கத்தில் உள்ள சிக்கல்கள் உங்களுக்குத் தொடர்புடையதாக இருந்தால், செப்டம்பர் 18, இந்த வெள்ளிக்கிழமை, உங்களை வெபினாரில் சந்திப்பதில் நாங்கள் மகிழ்ச்சியடைவோம். "சான்றளிக்கப்பட்ட மேகங்களை உருவாக்குவதற்கான அம்சங்கள்".

ஆதாரம்: www.habr.com

கருத்தைச் சேர்