ప్రోహోస్టర్ > బ్లాగ్ > పరిపాలన > IaaS 152-FZ: కాబట్టి, మీకు భద్రత అవసరం

IaaS 152-FZ: కాబట్టి, మీకు భద్రత అవసరం

IaaS 152-FZ: కాబట్టి, మీకు భద్రత అవసరం

152-FZకి అనుగుణంగా ఉన్న పురాణాలు మరియు ఇతిహాసాలను మీరు ఎంతగా క్రమబద్ధీకరించినా, ఏదో ఒక అంశం ఎల్లప్పుడూ తెరవెనుక ఉంటుంది. ఈ రోజు మనం పెద్ద కంపెనీలు మరియు చాలా చిన్న సంస్థలు ఎదుర్కొనే కొన్ని ఎల్లప్పుడూ స్పష్టమైన సూక్ష్మ నైపుణ్యాలను చర్చించాలనుకుంటున్నాము:

  • వర్గాలుగా PD వర్గీకరణ యొక్క సూక్ష్మబేధాలు - ఒక చిన్న ఆన్‌లైన్ స్టోర్ ప్రత్యేక వర్గానికి సంబంధించిన డేటాను దాని గురించి కూడా తెలియకుండా సేకరిస్తున్నప్పుడు;

  • మీరు సేకరించిన PD యొక్క బ్యాకప్‌లను నిల్వ చేయవచ్చు మరియు వాటిపై కార్యకలాపాలు నిర్వహించవచ్చు;

  • ప్రమాణపత్రం మరియు సమ్మతి ముగింపు మధ్య తేడా ఏమిటి, మీరు ప్రొవైడర్ నుండి ఏ పత్రాలను అభ్యర్థించాలి మరియు అలాంటి అంశాలు.

చివరగా, సర్టిఫికేషన్‌లో ఉత్తీర్ణత సాధించిన మా స్వంత అనుభవాన్ని మేము మీతో పంచుకుంటాము. వెళ్ళండి!

నేటి వ్యాసంలో నిపుణుడు ఉంటుంది అలెక్సీ అఫనాస్యేవ్, క్లౌడ్ ప్రొవైడర్లు IT-GRAD మరియు #CloudMTS (MTS సమూహంలో భాగం) కోసం IS స్పెషలిస్ట్.

వర్గీకరణ యొక్క సూక్ష్మబేధాలు

IS ఆడిట్ లేకుండానే, ISPDకి అవసరమైన భద్రతా స్థాయిని త్వరగా నిర్ణయించాలనే క్లయింట్ కోరికను మేము తరచుగా ఎదుర్కొంటాము. ఈ అంశంపై ఇంటర్నెట్‌లోని కొన్ని మెటీరియల్‌లు ఇది ఒక సాధారణ పని అని తప్పుడు అభిప్రాయాన్ని ఇస్తాయి మరియు పొరపాటు చేయడం చాలా కష్టం.

KMని నిర్ణయించడానికి, క్లయింట్ యొక్క IS ద్వారా ఏ డేటా సేకరించబడుతుందో మరియు ప్రాసెస్ చేయబడుతుందో అర్థం చేసుకోవడం అవసరం. వ్యాపారం నిర్వహించే రక్షణ అవసరాలు మరియు వ్యక్తిగత డేటా వర్గాన్ని నిస్సందేహంగా గుర్తించడం కొన్నిసార్లు కష్టంగా ఉంటుంది. ఒకే రకమైన వ్యక్తిగత డేటాను పూర్తిగా వేర్వేరు మార్గాల్లో అంచనా వేయవచ్చు మరియు వర్గీకరించవచ్చు. అందువల్ల, కొన్ని సందర్భాల్లో, వ్యాపారం యొక్క అభిప్రాయం ఆడిటర్ లేదా ఇన్స్పెక్టర్ యొక్క అభిప్రాయానికి భిన్నంగా ఉండవచ్చు. కొన్ని ఉదాహరణలు చూద్దాం.

కార్ పార్క్. ఇది చాలా సాంప్రదాయ వ్యాపారంగా కనిపిస్తుంది. అనేక వాహనాల విమానాలు దశాబ్దాలుగా పనిచేస్తున్నాయి మరియు వాటి యజమానులు వ్యక్తిగత వ్యవస్థాపకులు మరియు వ్యక్తులను నియమించుకుంటారు. నియమం ప్రకారం, ఉద్యోగి డేటా UZ-4 యొక్క అవసరాల క్రిందకు వస్తుంది. అయినప్పటికీ, డ్రైవర్లతో కలిసి పనిచేయడానికి, వ్యక్తిగత డేటాను సేకరించడం మాత్రమే కాకుండా, షిఫ్ట్‌కు వెళ్లే ముందు వాహన విమానాల భూభాగంలో వైద్య నియంత్రణను నిర్వహించడం కూడా అవసరం, మరియు ప్రక్రియలో సేకరించిన సమాచారం తక్షణమే వర్గంలోకి వస్తుంది. వైద్య డేటా - మరియు ఇది ప్రత్యేక వర్గం యొక్క వ్యక్తిగత డేటా. అదనంగా, ఫ్లీట్ సర్టిఫికేట్‌లను అభ్యర్థించవచ్చు, అది డ్రైవర్ ఫైల్‌లో ఉంచబడుతుంది. ఎలక్ట్రానిక్ రూపంలో అటువంటి సర్టిఫికేట్ యొక్క స్కాన్ - ఆరోగ్య డేటా, ప్రత్యేక వర్గం యొక్క వ్యక్తిగత డేటా. దీని అర్థం UZ-4 ఇకపై సరిపోదు; కనీసం UZ-3 అవసరం.

ఆన్‌లైన్ స్టోర్. సేకరించిన పేర్లు, ఇమెయిల్‌లు మరియు టెలిఫోన్ నంబర్‌లు పబ్లిక్ కేటగిరీకి సరిపోతాయని అనిపిస్తుంది. అయినప్పటికీ, మీ కస్టమర్‌లు హలాల్ లేదా కోషెర్ వంటి ఆహార ప్రాధాన్యతలను సూచిస్తే, అటువంటి సమాచారం మతపరమైన అనుబంధం లేదా విశ్వాస డేటాగా పరిగణించబడుతుంది. అందువల్ల, ఇతర నియంత్రణ కార్యకలాపాలను తనిఖీ చేస్తున్నప్పుడు లేదా నిర్వహిస్తున్నప్పుడు, ఇన్స్పెక్టర్ మీరు సేకరించిన డేటాను వ్యక్తిగత డేటా యొక్క ప్రత్యేక వర్గంగా వర్గీకరించవచ్చు. ఇప్పుడు, ఆన్‌లైన్ స్టోర్ దాని కొనుగోలుదారు మాంసం లేదా చేపలను ఇష్టపడుతున్నారా అనే దాని గురించి సమాచారాన్ని సేకరించినట్లయితే, డేటాను ఇతర వ్యక్తిగత డేటాగా వర్గీకరించవచ్చు. మార్గం ద్వారా, శాఖాహారుల గురించి ఏమిటి? అన్నింటికంటే, ఇది తాత్విక నమ్మకాలకు కూడా కారణమని చెప్పవచ్చు, ఇది కూడా ఒక ప్రత్యేక వర్గానికి చెందినది. కానీ మరోవైపు, ఇది తన ఆహారం నుండి మాంసాన్ని తొలగించిన వ్యక్తి యొక్క వైఖరి కావచ్చు. అయ్యో, అటువంటి "సూక్ష్మ" పరిస్థితుల్లో PD వర్గాన్ని నిస్సందేహంగా నిర్వచించే సంకేతం లేదు.

ప్రకటనల ఏజెన్సీ కొన్ని పాశ్చాత్య క్లౌడ్ సేవను ఉపయోగించి, ఇది తన క్లయింట్‌ల యొక్క పబ్లిక్‌గా అందుబాటులో ఉన్న డేటాను ప్రాసెస్ చేస్తుంది - పూర్తి పేర్లు, ఇమెయిల్ చిరునామాలు మరియు టెలిఫోన్ నంబర్‌లు. ఈ వ్యక్తిగత డేటా, వాస్తవానికి, వ్యక్తిగత డేటాకు సంబంధించినది. ప్రశ్న తలెత్తుతుంది: అటువంటి ప్రాసెసింగ్ను నిర్వహించడం చట్టబద్ధమైనదా? రష్యన్ ఫెడరేషన్ వెలుపల వ్యక్తిగతీకరణ లేకుండా అటువంటి డేటాను తరలించడం కూడా సాధ్యమేనా, ఉదాహరణకు, కొన్ని విదేశీ క్లౌడ్‌లలో బ్యాకప్‌లను నిల్వ చేయడానికి? అయితే మీరు చెయ్యగలరు. రష్యా వెలుపల ఈ డేటాను నిల్వ చేయడానికి ఏజెన్సీకి హక్కు ఉంది, అయినప్పటికీ, ప్రారంభ సేకరణ, మా చట్టం ప్రకారం, రష్యన్ ఫెడరేషన్ యొక్క భూభాగంలో నిర్వహించబడాలి. మీరు అటువంటి సమాచారాన్ని బ్యాకప్ చేస్తే, దాని ఆధారంగా కొన్ని గణాంకాలను లెక్కించండి, పరిశోధనను నిర్వహించండి లేదా దానితో కొన్ని ఇతర కార్యకలాపాలను నిర్వహించండి - ఇవన్నీ పాశ్చాత్య వనరులపై చేయవచ్చు. వ్యక్తిగత డేటా ఎక్కడ సేకరించబడుతుందనేది చట్టపరమైన కోణం నుండి కీలకమైన అంశం. అందువల్ల ప్రారంభ సేకరణ మరియు ప్రాసెసింగ్‌ను కంగారు పెట్టకుండా ఉండటం ముఖ్యం.

ఈ చిన్న ఉదాహరణల నుండి క్రింది విధంగా, వ్యక్తిగత డేటాతో పని చేయడం ఎల్లప్పుడూ సూటిగా మరియు సరళంగా ఉండదు. మీరు వారితో పని చేస్తున్నారని తెలుసుకోవడమే కాకుండా, వాటిని సరిగ్గా వర్గీకరించగలగాలి, అవసరమైన స్థాయి భద్రతను సరిగ్గా నిర్ణయించడానికి IP ఎలా పనిచేస్తుందో అర్థం చేసుకోవాలి. కొన్ని సందర్భాల్లో, సంస్థ వాస్తవానికి ఎంత వ్యక్తిగత డేటాను నిర్వహించాలి అనే ప్రశ్న తలెత్తవచ్చు. అత్యంత "తీవ్రమైన" లేదా కేవలం అనవసరమైన డేటాను తిరస్కరించడం సాధ్యమేనా? అదనంగా, సాధ్యమైన చోట వ్యక్తిగత డేటాను వ్యక్తిగతీకరించాలని నియంత్రకం సిఫార్సు చేస్తుంది. 

పై ఉదాహరణలలో వలె, కొన్నిసార్లు తనిఖీ అధికారులు సేకరించిన వ్యక్తిగత డేటాను మీరు అంచనా వేసిన దానికంటే కొద్దిగా భిన్నంగా అర్థం చేసుకోవచ్చు.

వాస్తవానికి, మీరు ఆడిటర్‌ను లేదా సిస్టమ్ ఇంటిగ్రేటర్‌ను సహాయకుడిగా నియమించుకోవచ్చు, అయితే ఆడిట్ సందర్భంలో ఎంచుకున్న నిర్ణయాలకు “అసిస్టెంట్” బాధ్యత వహిస్తారా? వ్యక్తిగత డేటా యొక్క ఆపరేటర్ అయిన ISPD యజమానికి బాధ్యత ఎల్లప్పుడూ ఉంటుందని గమనించాలి. అందుకే, ఒక సంస్థ అటువంటి పనిని నిర్వహించినప్పుడు, అటువంటి సేవల కోసం మార్కెట్లో తీవ్రమైన ఆటగాళ్లను ఆశ్రయించడం చాలా ముఖ్యం, ఉదాహరణకు, ధృవీకరణ పనిని నిర్వహిస్తున్న కంపెనీలు. అటువంటి పనిని నిర్వహించడంలో ధృవీకరణ సంస్థలకు విస్తృతమైన అనుభవం ఉంది.

ISPDని నిర్మించడానికి ఎంపికలు

ISPD నిర్మాణం అనేది సాంకేతికత మాత్రమే కాదు, చాలా వరకు చట్టపరమైన సమస్య కూడా. CIO లేదా సెక్యూరిటీ డైరెక్టర్ ఎల్లప్పుడూ న్యాయ సలహాదారుని సంప్రదించాలి. మీకు అవసరమైన ప్రొఫైల్‌తో కంపెనీ ఎల్లప్పుడూ నిపుణుడిని కలిగి ఉండదు కాబట్టి, ఆడిటర్-కన్సల్టెంట్‌ల వైపు చూడటం విలువ. చాలా జారే పాయింట్లు స్పష్టంగా ఉండకపోవచ్చు.

సంప్రదింపులు మీరు ఏ వ్యక్తిగత డేటాతో వ్యవహరిస్తున్నారో మరియు దానికి ఏ స్థాయి రక్షణ అవసరమో నిర్ణయించడానికి మిమ్మల్ని అనుమతిస్తుంది. దీని ప్రకారం, మీరు సృష్టించాల్సిన లేదా భద్రత మరియు కార్యాచరణ భద్రతా చర్యలతో అనుబంధించాల్సిన IP గురించి ఒక ఆలోచనను పొందుతారు.

తరచుగా కంపెనీ ఎంపిక రెండు ఎంపికల మధ్య ఉంటుంది:

  1. మీ స్వంత హార్డ్‌వేర్ మరియు సాఫ్ట్‌వేర్ పరిష్కారాలపై సంబంధిత ISని రూపొందించండి, బహుశా మీ స్వంత సర్వర్ గదిలో ఉండవచ్చు.

  2. క్లౌడ్ ప్రొవైడర్‌ను సంప్రదించండి మరియు సాగే పరిష్కారాన్ని ఎంచుకోండి, ఇది ఇప్పటికే ధృవీకరించబడిన “వర్చువల్ సర్వర్ గది”.

వ్యక్తిగత డేటాను ప్రాసెస్ చేసే చాలా సమాచార వ్యవస్థలు సాంప్రదాయిక విధానాన్ని ఉపయోగిస్తాయి, ఇది వ్యాపార దృక్కోణం నుండి సులభమైన మరియు విజయవంతమైనదిగా పిలువబడదు. ఈ ఎంపికను ఎంచుకున్నప్పుడు, సాంకేతిక రూపకల్పన సాఫ్ట్‌వేర్ మరియు హార్డ్‌వేర్ పరిష్కారాలు మరియు ప్లాట్‌ఫారమ్‌లతో సహా పరికరాల వివరణను కలిగి ఉంటుందని అర్థం చేసుకోవడం అవసరం. దీని అర్థం మీరు ఈ క్రింది ఇబ్బందులు మరియు పరిమితులను ఎదుర్కోవలసి ఉంటుంది:

  • స్కేలింగ్ యొక్క కష్టం;

  • సుదీర్ఘ ప్రాజెక్ట్ అమలు కాలం: సిస్టమ్‌ను ఎంచుకోవడం, కొనుగోలు చేయడం, ఇన్‌స్టాల్ చేయడం, కాన్ఫిగర్ చేయడం మరియు వివరించడం అవసరం;

  • చాలా “పేపర్” పని, ఉదాహరణగా - మొత్తం ISPD కోసం డాక్యుమెంటేషన్ యొక్క పూర్తి ప్యాకేజీని అభివృద్ధి చేయడం.

అదనంగా, ఒక వ్యాపారం, ఒక నియమం వలె, దాని IP యొక్క "అగ్ర" స్థాయిని మాత్రమే అర్థం చేసుకుంటుంది - అది ఉపయోగించే వ్యాపార అనువర్తనాలు. మరో మాటలో చెప్పాలంటే, IT సిబ్బంది వారి నిర్దిష్ట ప్రాంతంలో నైపుణ్యం కలిగి ఉంటారు. అన్ని “దిగువ స్థాయిలు” ఎలా పని చేస్తాయనే దానిపై అవగాహన లేదు: సాఫ్ట్‌వేర్ మరియు హార్డ్‌వేర్ రక్షణ, నిల్వ వ్యవస్థలు, బ్యాకప్ మరియు, అన్ని అవసరాలకు అనుగుణంగా రక్షణ సాధనాలను ఎలా కాన్ఫిగర్ చేయాలి, కాన్ఫిగరేషన్‌లోని “హార్డ్‌వేర్” భాగాన్ని రూపొందించండి. అర్థం చేసుకోవడం ముఖ్యం: ఇది క్లయింట్ యొక్క వ్యాపారం వెలుపల ఉన్న జ్ఞానం యొక్క భారీ పొర. ధృవీకరించబడిన “వర్చువల్ సర్వర్ గది”ని అందించే క్లౌడ్ ప్రొవైడర్ యొక్క అనుభవం ఇక్కడే ఉపయోగపడుతుంది.

క్రమంగా, క్లౌడ్ ప్రొవైడర్లు అనేక ప్రయోజనాలను కలిగి ఉన్నారు, అతిశయోక్తి లేకుండా, వ్యక్తిగత డేటా రక్షణ రంగంలో 99% వ్యాపార అవసరాలను కవర్ చేయగలరు:

  • మూలధన ఖర్చులు నిర్వహణ ఖర్చులుగా మార్చబడతాయి;

  • ప్రొవైడర్, దాని భాగానికి, నిరూపితమైన ప్రామాణిక పరిష్కారం ఆధారంగా అవసరమైన స్థాయి భద్రత మరియు లభ్యతను అందించడానికి హామీ ఇస్తుంది;

  • హార్డ్‌వేర్ స్థాయిలో ISPD యొక్క ఆపరేషన్‌ను నిర్ధారించే నిపుణుల సిబ్బందిని నిర్వహించాల్సిన అవసరం లేదు;

  • ప్రొవైడర్లు మరింత సౌకర్యవంతమైన మరియు సాగే పరిష్కారాలను అందిస్తారు;

  • ప్రొవైడర్ యొక్క నిపుణులు అవసరమైన అన్ని ధృవపత్రాలను కలిగి ఉన్నారు;

  • రెగ్యులేటర్‌ల అవసరాలు మరియు సిఫార్సులను పరిగణనలోకి తీసుకుని, మీ స్వంత నిర్మాణాన్ని నిర్మించేటప్పుడు సమ్మతి తక్కువగా ఉండదు.

క్లౌడ్‌లో వ్యక్తిగత డేటా నిల్వ చేయబడదు అనే పాత పురాణం ఇప్పటికీ చాలా ప్రజాదరణ పొందింది. ఇది పాక్షికంగా మాత్రమే నిజం: PD నిజంగా పోస్ట్ చేయబడదు అందుబాటులో ఉన్న మొదటిదానిలో మేఘం. కొన్ని సాంకేతిక చర్యలతో వర్తింపు మరియు కొన్ని ధృవీకరించబడిన పరిష్కారాలను ఉపయోగించడం అవసరం. ప్రొవైడర్ అన్ని చట్టపరమైన అవసరాలకు అనుగుణంగా ఉంటే, వ్యక్తిగత డేటా లీకేజీకి సంబంధించిన ప్రమాదాలు తగ్గించబడతాయి. చాలా మంది ప్రొవైడర్లు 152-FZకి అనుగుణంగా వ్యక్తిగత డేటాను ప్రాసెస్ చేయడానికి ప్రత్యేక మౌలిక సదుపాయాలను కలిగి ఉన్నారు. అయితే, సరఫరాదారు ఎంపిక కూడా నిర్దిష్ట ప్రమాణాల పరిజ్ఞానంతో సంప్రదించబడాలి; మేము వాటిని దిగువన ఖచ్చితంగా తాకుతాము. 

క్లయింట్లు తరచుగా ప్రొవైడర్ క్లౌడ్‌లో వ్యక్తిగత డేటాను ఉంచడం గురించి కొన్ని ఆందోళనలతో మా వద్దకు వస్తారు. సరే, వాటిని వెంటనే చర్చిద్దాం.

  • బదిలీ లేదా వలస సమయంలో డేటా దొంగిలించబడవచ్చు

దీని గురించి భయపడాల్సిన అవసరం లేదు - ప్రొవైడర్ క్లయింట్‌కు ధృవీకరించబడిన పరిష్కారాలపై నిర్మించిన సురక్షితమైన డేటా ట్రాన్స్‌మిషన్ ఛానెల్‌ని సృష్టిస్తుంది, కాంట్రాక్టర్లు మరియు ఉద్యోగుల కోసం మెరుగైన ప్రమాణీకరణ చర్యలు. క్లయింట్‌తో మీ పనిలో భాగంగా తగిన రక్షణ పద్ధతులను ఎంచుకోవడం మరియు వాటిని అమలు చేయడం మాత్రమే మిగిలి ఉంది.

  • షో మాస్క్‌లు వస్తాయి మరియు సర్వర్‌కు తీసుకెళతాయి/సీల్ చేయబడతాయి/కత్తిరించేవి

ఇన్‌ఫ్రాస్ట్రక్చర్‌పై తగినంత నియంత్రణ లేకపోవడం వల్ల తమ వ్యాపార ప్రక్రియలకు అంతరాయం కలుగుతుందని భయపడే కస్టమర్‌లకు ఇది చాలా అర్థమయ్యేలా ఉంది. నియమం ప్రకారం, ప్రత్యేకమైన డేటా కేంద్రాల కంటే చిన్న సర్వర్ గదులలో హార్డ్‌వేర్ గతంలో ఉన్న క్లయింట్లు దీని గురించి ఆలోచిస్తారు. వాస్తవానికి, డేటా సెంటర్లు భౌతిక మరియు సమాచార రక్షణ రెండింటికి సంబంధించిన ఆధునిక మార్గాలను కలిగి ఉంటాయి. తగిన ఆధారాలు మరియు పత్రాలు లేకుండా అటువంటి డేటా సెంటర్‌లో ఏదైనా కార్యకలాపాలను నిర్వహించడం దాదాపు అసాధ్యం మరియు అటువంటి కార్యకలాపాలకు అనేక విధానాలకు అనుగుణంగా ఉండాలి. అదనంగా, డేటా సెంటర్ నుండి మీ సర్వర్‌ను "లాగడం" ప్రొవైడర్ యొక్క ఇతర క్లయింట్‌లను ప్రభావితం చేయవచ్చు మరియు ఇది ఖచ్చితంగా ఎవరికీ అవసరం లేదు. అదనంగా, ఎవరూ "మీ" వర్చువల్ సర్వర్‌పై ప్రత్యేకంగా వేలు పెట్టలేరు, కాబట్టి ఎవరైనా దానిని దొంగిలించాలనుకుంటే లేదా ముసుగు ప్రదర్శనను నిర్వహించాలనుకుంటే, వారు మొదట చాలా బ్యూరోక్రాటిక్ జాప్యాలను ఎదుర్కోవలసి ఉంటుంది. ఈ సమయంలో, మీరు చాలా సార్లు మరొక సైట్‌కి మారడానికి ఎక్కువ సమయం ఉంటుంది.

  • హ్యాకర్లు క్లౌడ్‌ని హ్యాక్ చేసి డేటాను దొంగిలిస్తారు

ఇంటర్నెట్ మరియు ప్రింట్ ప్రెస్‌లు సైబర్ నేరగాళ్లకు మరో క్లౌడ్ ఎలా బలి అయ్యాయి మరియు మిలియన్ల కొద్దీ వ్యక్తిగత డేటా రికార్డులు ఆన్‌లైన్‌లో లీక్ అయ్యాయి. చాలా సందర్భాలలో, దుర్బలత్వం ప్రొవైడర్ వైపు కాకుండా బాధితుల సమాచార వ్యవస్థలలో కనుగొనబడింది: బలహీనమైన లేదా డిఫాల్ట్ పాస్‌వర్డ్‌లు, వెబ్‌సైట్ ఇంజిన్‌లు మరియు డేటాబేస్‌లలో “రంధ్రాలు” మరియు భద్రతా చర్యలను ఎన్నుకునేటప్పుడు సాధారణ వ్యాపార అజాగ్రత్త మరియు డేటా యాక్సెస్ విధానాలను నిర్వహించడం. అన్ని ధృవీకరించబడిన పరిష్కారాలు దుర్బలత్వాల కోసం తనిఖీ చేయబడతాయి. మేము స్వతంత్రంగా మరియు బాహ్య సంస్థల ద్వారా "నియంత్రణ" పెంటెస్ట్‌లు మరియు భద్రతా ఆడిట్‌లను కూడా క్రమం తప్పకుండా నిర్వహిస్తాము. ప్రొవైడర్ కోసం, ఇది సాధారణంగా కీర్తి మరియు వ్యాపారానికి సంబంధించిన విషయం.

  • ప్రొవైడర్ యొక్క ప్రొవైడర్/ఉద్యోగులు వ్యక్తిగత లాభం కోసం వ్యక్తిగత డేటాను దొంగిలిస్తారు

ఇది చాలా సున్నితమైన క్షణం. ఇన్ఫర్మేషన్ సెక్యూరిటీ ప్రపంచంలోని అనేక కంపెనీలు తమ క్లయింట్‌లను "భయపెట్టాయి" మరియు "అంతర్గత ఉద్యోగులు బయటి హ్యాకర్ల కంటే ప్రమాదకరం" అని పట్టుబట్టారు. ఇది కొన్ని సందర్భాల్లో నిజం కావచ్చు, కానీ నమ్మకం లేకుండా వ్యాపారాన్ని నిర్మించలేము. ఎప్పటికప్పుడు, ఒక సంస్థ యొక్క స్వంత ఉద్యోగులు కస్టమర్ డేటాను దాడి చేసేవారికి లీక్ చేస్తారని మరియు అంతర్గత భద్రత కొన్నిసార్లు బాహ్య భద్రత కంటే చాలా ఘోరంగా నిర్వహించబడుతుందని వార్తలు వెలుగులోకి వస్తున్నాయి. ఏదైనా పెద్ద ప్రొవైడర్ ప్రతికూల సందర్భాలలో చాలా ఆసక్తిని కలిగి ఉండదని ఇక్కడ అర్థం చేసుకోవడం ముఖ్యం. ప్రొవైడర్ యొక్క ఉద్యోగుల చర్యలు బాగా నియంత్రించబడతాయి, పాత్రలు మరియు బాధ్యత ప్రాంతాలు విభజించబడ్డాయి. అన్ని వ్యాపార ప్రక్రియలు డేటా లీకేజీకి సంబంధించిన సందర్భాలు చాలా అసంభవం మరియు అంతర్గత సేవలకు ఎల్లప్పుడూ గుర్తించబడే విధంగా రూపొందించబడ్డాయి, కాబట్టి క్లయింట్లు ఈ వైపు నుండి సమస్యలకు భయపడకూడదు.

  • మీరు మీ వ్యాపార డేటాతో సేవలకు చెల్లిస్తారు కాబట్టి మీరు తక్కువ చెల్లిస్తారు.

మరొక అపోహ: సౌకర్యవంతమైన ధరకు సురక్షితమైన మౌలిక సదుపాయాలను అద్దెకు తీసుకునే క్లయింట్ వాస్తవానికి తన డేటాతో దాని కోసం చెల్లిస్తాడు - పడుకునే ముందు కొన్ని కుట్ర సిద్ధాంతాలను చదవడానికి ఇష్టపడని నిపుణులు దీనిని తరచుగా భావిస్తారు. ముందుగా, ఆర్డర్‌లో పేర్కొన్నవి కాకుండా మీ డేటాతో ఏదైనా కార్యకలాపాలను నిర్వహించే అవకాశం తప్పనిసరిగా సున్నా. రెండవది, తగిన ప్రొవైడర్ మీతో ఉన్న సంబంధాన్ని మరియు అతని కీర్తిని విలువైనదిగా భావిస్తారు - మీతో పాటు, అతనికి చాలా మంది క్లయింట్లు ఉన్నారు. వ్యతిరేక దృష్టాంతం ఎక్కువగా ఉంటుంది, దీనిలో ప్రొవైడర్ తన క్లయింట్‌ల డేటాను ఉత్సాహంగా రక్షిస్తుంది, దానిపై దాని వ్యాపారం ఆధారపడి ఉంటుంది.

ISPD కోసం క్లౌడ్ ప్రొవైడర్‌ను ఎంచుకోవడం

నేడు, PD ఆపరేటర్లుగా ఉన్న కంపెనీలకు మార్కెట్ అనేక పరిష్కారాలను అందిస్తుంది. సరైనదాన్ని ఎంచుకోవడానికి సిఫార్సుల సాధారణ జాబితా క్రింద ఉంది.

  • వ్యక్తిగత డేటాను ప్రాసెస్ చేయడంలో కీలకమైన పార్టీలు, SLAలు మరియు బాధ్యత గల ప్రాంతాలను వివరించే అధికారిక ఒప్పందంలోకి ప్రవేశించడానికి ప్రొవైడర్ తప్పనిసరిగా సిద్ధంగా ఉండాలి. వాస్తవానికి, మీకు మరియు ప్రొవైడర్‌కు మధ్య, సేవా ఒప్పందంతో పాటు, PD ప్రాసెసింగ్ కోసం ఆర్డర్ తప్పనిసరిగా సంతకం చేయబడాలి. ఏదైనా సందర్భంలో, వాటిని జాగ్రత్తగా అధ్యయనం చేయడం విలువ. మీకు మరియు ప్రొవైడర్‌కు మధ్య బాధ్యతల విభజనను అర్థం చేసుకోవడం చాలా ముఖ్యం.

  • సెగ్మెంట్ తప్పనిసరిగా అవసరాలను తీర్చగలదని దయచేసి గమనించండి, అంటే మీ IPకి అవసరమైన దాని కంటే తక్కువ భద్రత స్థాయిని సూచించే ప్రమాణపత్రాన్ని కలిగి ఉండాలి. ప్రొవైడర్లు సర్టిఫికేట్ యొక్క మొదటి పేజీని మాత్రమే ప్రచురిస్తారు, దాని నుండి చాలా స్పష్టంగా లేదు, లేదా సర్టిఫికేట్‌ను ప్రచురించకుండా ఆడిట్‌లు లేదా సమ్మతి విధానాలను సూచిస్తారు (“అబ్బాయి ఉన్నారా?”). దీని కోసం అడగడం విలువైనదే - ఇది ధృవీకరణ, చెల్లుబాటు వ్యవధి, క్లౌడ్ స్థానం మొదలైనవాటిని ఎవరు నిర్వహించారో సూచించే పబ్లిక్ డాక్యుమెంట్.

  • ప్రొవైడర్ తప్పనిసరిగా దాని సైట్‌లు (రక్షిత వస్తువులు) ఎక్కడ ఉన్నాయనే దాని గురించి సమాచారాన్ని అందించాలి, తద్వారా మీరు మీ డేటా ప్లేస్‌మెంట్‌ను నియంత్రించవచ్చు. వ్యక్తిగత డేటా యొక్క ప్రారంభ సేకరణ తప్పనిసరిగా రష్యన్ ఫెడరేషన్ యొక్క భూభాగంలో నిర్వహించబడుతుందని మేము మీకు గుర్తు చేద్దాం; తదనుగుణంగా, ఒప్పందం / సర్టిఫికేట్లో డేటా సెంటర్ చిరునామాలను చూడటం మంచిది.

  • ప్రొవైడర్ తప్పనిసరిగా ధృవీకరించబడిన సమాచార భద్రత మరియు సమాచార రక్షణ వ్యవస్థలను ఉపయోగించాలి. వాస్తవానికి, చాలా మంది ప్రొవైడర్లు వారు ఉపయోగించే సాంకేతిక భద్రతా చర్యలు మరియు సొల్యూషన్ ఆర్కిటెక్చర్ గురించి ప్రచారం చేయరు. కానీ మీరు, క్లయింట్‌గా, దాని గురించి తెలుసుకోకుండా ఉండలేరు. ఉదాహరణకు, నిర్వహణ వ్యవస్థకు (నిర్వహణ పోర్టల్) రిమోట్‌గా కనెక్ట్ చేయడానికి, భద్రతా చర్యలను ఉపయోగించడం అవసరం. ప్రొవైడర్ ఈ అవసరాన్ని దాటవేయలేరు మరియు మీకు (లేదా మీరు ఉపయోగించాల్సిన అవసరం) ధృవీకరించబడిన పరిష్కారాలను అందిస్తారు. పరీక్ష కోసం వనరులను తీసుకోండి మరియు ఎలా మరియు ఏమి పని చేస్తుందో మీరు వెంటనే అర్థం చేసుకుంటారు. 

  • క్లౌడ్ ప్రొవైడర్ సమాచార భద్రత రంగంలో అదనపు సేవలను అందించడం చాలా అవసరం. ఇవి వివిధ సేవలు కావచ్చు: DDoS దాడులు మరియు WAF, యాంటీ-వైరస్ సేవ లేదా శాండ్‌బాక్స్ మొదలైన వాటి నుండి రక్షణ. రక్షణ వ్యవస్థలను నిర్మించడం ద్వారా పరధ్యానం చెందకుండా, వ్యాపార అనువర్తనాలపై పని చేయడానికి, సేవగా రక్షణను స్వీకరించడానికి ఇవన్నీ మిమ్మల్ని అనుమతిస్తాయి.

  • ప్రొవైడర్ తప్పనిసరిగా FSTEC మరియు FSB యొక్క లైసెన్స్‌దారు అయి ఉండాలి. నియమం ప్రకారం, అటువంటి సమాచారం నేరుగా వెబ్‌సైట్‌లో పోస్ట్ చేయబడుతుంది. ఈ పత్రాలను అభ్యర్థించాలని మరియు సేవలను అందించడానికి చిరునామాలు, ప్రొవైడర్ కంపెనీ పేరు మొదలైనవి సరైనవో కాదో తనిఖీ చేయండి. 

సారాంశం చేద్దాం. మౌలిక సదుపాయాలను అద్దెకు తీసుకోవడం వలన మీరు CAPEXని విడిచిపెట్టి, మీ వ్యాపార అనువర్తనాలు మరియు డేటాను మాత్రమే మీ బాధ్యతలో ఉంచుకోవచ్చు మరియు హార్డ్‌వేర్ మరియు సాఫ్ట్‌వేర్ మరియు హార్డ్‌వేర్ ధృవీకరణ యొక్క అధిక భారాన్ని ప్రొవైడర్‌కు బదిలీ చేయవచ్చు.

మేము సర్టిఫికేషన్‌ను ఎలా పాస్ చేసాము

ఇటీవల, మేము వ్యక్తిగత డేటాతో పని చేయడానికి అవసరాలకు అనుగుణంగా "సెక్యూర్ క్లౌడ్ FZ-152" యొక్క అవస్థాపన యొక్క పునః ధృవీకరణను విజయవంతంగా ఆమోదించాము. నేషనల్ సర్టిఫికేషన్ సెంటర్ ఈ పనిని చేపట్టింది.

ప్రస్తుతం, "FZ-152 సురక్షిత క్లౌడ్" స్థాయి UZ-3 అవసరాలకు అనుగుణంగా వ్యక్తిగత డేటా (ISPDn) యొక్క ప్రాసెసింగ్, నిల్వ లేదా ప్రసారంలో పాల్గొన్న సమాచార వ్యవస్థలను హోస్ట్ చేయడానికి ధృవీకరించబడింది.

ధృవీకరణ ప్రక్రియలో క్లౌడ్ ప్రొవైడర్ యొక్క ఇన్‌ఫ్రాస్ట్రక్చర్ యొక్క రక్షణ స్థాయికి అనుగుణంగా తనిఖీ చేయడం ఉంటుంది. ప్రొవైడర్ స్వయంగా IaaS సేవను అందిస్తుంది మరియు వ్యక్తిగత డేటా యొక్క ఆపరేటర్ కాదు. ఈ ప్రక్రియలో సంస్థాగత (డాక్యుమెంటేషన్, ఆర్డర్‌లు మొదలైనవి) మరియు సాంకేతిక చర్యలు (రక్షణ సామగ్రిని ఏర్పాటు చేయడం మొదలైనవి) రెండింటినీ అంచనా వేయడం జరుగుతుంది.

దానిని అల్పమైనది అనలేము. ధృవీకరణ కార్యకలాపాలను నిర్వహించడానికి ప్రోగ్రామ్‌లు మరియు పద్ధతులపై GOST 2013 లో తిరిగి కనిపించినప్పటికీ, క్లౌడ్ వస్తువుల కోసం కఠినమైన ప్రోగ్రామ్‌లు ఇప్పటికీ లేవు. ధృవీకరణ కేంద్రాలు వారి స్వంత నైపుణ్యం ఆధారంగా ఈ ప్రోగ్రామ్‌లను అభివృద్ధి చేస్తాయి. కొత్త టెక్నాలజీల ఆగమనంతో, ప్రోగ్రామ్‌లు మరింత క్లిష్టంగా మరియు ఆధునీకరించబడతాయి; తదనుగుణంగా, సర్టిఫైయర్ క్లౌడ్ సొల్యూషన్‌లతో పనిచేసిన అనుభవం మరియు ప్రత్యేకతలను అర్థం చేసుకోవాలి.

మా విషయంలో, రక్షిత వస్తువు రెండు స్థానాలను కలిగి ఉంటుంది.

  • క్లౌడ్ వనరులు (సర్వర్‌లు, స్టోరేజ్ సిస్టమ్‌లు, నెట్‌వర్క్ ఇన్‌ఫ్రాస్ట్రక్చర్, సెక్యూరిటీ టూల్స్ మొదలైనవి) నేరుగా డేటా సెంటర్‌లో ఉన్నాయి. వాస్తవానికి, అటువంటి వర్చువల్ డేటా సెంటర్ పబ్లిక్ నెట్‌వర్క్‌లకు కనెక్ట్ చేయబడింది మరియు తదనుగుణంగా, కొన్ని ఫైర్‌వాల్ అవసరాలు తప్పనిసరిగా తీర్చబడాలి, ఉదాహరణకు, ధృవీకరించబడిన ఫైర్‌వాల్‌ల ఉపయోగం.

  • వస్తువు యొక్క రెండవ భాగం క్లౌడ్ నిర్వహణ సాధనాలు. ఇవి రక్షిత విభాగం నిర్వహించబడే వర్క్‌స్టేషన్‌లు (నిర్వాహకుడి వర్క్‌స్టేషన్‌లు).

CIPFలో నిర్మించిన VPN ఛానెల్ ద్వారా స్థానాలు కమ్యూనికేట్ చేయబడతాయి.

వర్చువలైజేషన్ టెక్నాలజీలు బెదిరింపుల ఆవిర్భావానికి ముందస్తు షరతులను సృష్టిస్తాయి కాబట్టి, మేము అదనపు ధృవీకరించబడిన రక్షణ సాధనాలను కూడా ఉపయోగిస్తాము.

IaaS 152-FZ: కాబట్టి, మీకు భద్రత అవసరంబ్లాక్ రేఖాచిత్రం "అసెస్సర్ దృష్టిలో"

క్లయింట్‌కు అతని ISPD ధృవీకరణ అవసరమైతే, IaaSని అద్దెకు తీసుకున్న తర్వాత, అతను వర్చువల్ డేటా సెంటర్ స్థాయి కంటే ఎక్కువ సమాచార వ్యవస్థను మాత్రమే అంచనా వేయాలి. ఈ విధానంలో ఉపయోగించిన మౌలిక సదుపాయాలు మరియు సాఫ్ట్‌వేర్‌ను తనిఖీ చేయడం ఉంటుంది. మీరు అన్ని ఇన్‌ఫ్రాస్ట్రక్చర్ సమస్యల కోసం ప్రొవైడర్ సర్టిఫికేట్‌ను సూచించవచ్చు కాబట్టి, మీరు చేయాల్సిందల్లా సాఫ్ట్‌వేర్‌తో పని చేయడం.

IaaS 152-FZ: కాబట్టి, మీకు భద్రత అవసరంసంగ్రహణ స్థాయిలో వేరు

ముగింపులో, ఇప్పటికే వ్యక్తిగత డేటాతో పని చేస్తున్న లేదా కేవలం ప్లాన్ చేస్తున్న కంపెనీల కోసం ఇక్కడ ఒక చిన్న చెక్‌లిస్ట్ ఉంది. కాబట్టి, కాలిపోకుండా ఎలా నిర్వహించాలి.

  1. బెదిరింపులు మరియు చొరబాటుదారుల నమూనాలను ఆడిట్ చేయడానికి మరియు అభివృద్ధి చేయడానికి, అవసరమైన పత్రాలను అభివృద్ధి చేయడానికి మరియు సాంకేతిక పరిష్కారాల దశకు మిమ్మల్ని తీసుకురావడానికి సహాయపడే ధృవీకరణ ప్రయోగశాలల నుండి అనుభవజ్ఞుడైన కన్సల్టెంట్‌ను ఆహ్వానించండి.

  2. క్లౌడ్ ప్రొవైడర్‌ను ఎంచుకున్నప్పుడు, సర్టిఫికేట్ ఉనికిపై శ్రద్ధ వహించండి. కంపెనీ నేరుగా వెబ్‌సైట్‌లో పబ్లిక్‌గా పోస్ట్ చేస్తే బాగుంటుంది. ప్రొవైడర్ తప్పనిసరిగా FSTEC మరియు FSB యొక్క లైసెన్స్‌దారు అయి ఉండాలి మరియు అతను అందించే సేవ తప్పనిసరిగా ధృవీకరించబడి ఉండాలి.

  3. మీరు వ్యక్తిగత డేటాను ప్రాసెస్ చేయడానికి అధికారిక ఒప్పందం మరియు సంతకం చేసిన సూచనను కలిగి ఉన్నారని నిర్ధారించుకోండి. దీని ఆధారంగా, మీరు సమ్మతి తనిఖీ మరియు ISPD ధృవీకరణ రెండింటినీ నిర్వహించగలరు. సాంకేతిక ప్రాజెక్ట్ దశలో ఈ పని మరియు డిజైన్ మరియు సాంకేతిక డాక్యుమెంటేషన్ సృష్టించడం మీకు భారంగా అనిపిస్తే, మీరు మూడవ పక్షం కన్సల్టింగ్ కంపెనీలను సంప్రదించాలి. ధృవీకరణ ప్రయోగశాలల నుండి.

వ్యక్తిగత డేటా ప్రాసెసింగ్ సమస్యలు మీకు సంబంధించినవి అయితే, సెప్టెంబర్ 18, ఈ శుక్రవారం నాడు, మిమ్మల్ని వెబ్‌నార్‌లో చూడటం మాకు ఆనందంగా ఉంటుంది. "ధృవీకరించబడిన మేఘాలను నిర్మించే లక్షణాలు".

మూలం: www.habr.com

ఒక వ్యాఖ్యను జోడించండి