โปรโฮสต์ > บล็อก > การบริหาร > IaaS 152-FZ: ดังนั้น คุณต้องมีความปลอดภัย

IaaS 152-FZ: ดังนั้น คุณต้องมีความปลอดภัย

IaaS 152-FZ: ดังนั้น คุณต้องมีความปลอดภัย

ไม่ว่าคุณจะแยกแยะความเชื่อผิดๆ ที่เกี่ยวข้องกับการปฏิบัติตามข้อกำหนด 152-FZ มากแค่ไหน บางสิ่งบางอย่างก็ยังคงอยู่เบื้องหลังอยู่เสมอ วันนี้เราต้องการหารือถึงความแตกต่างที่ไม่ชัดเจนเสมอไปซึ่งทั้งบริษัทขนาดใหญ่และองค์กรขนาดเล็กมากอาจเผชิญ:

  • รายละเอียดปลีกย่อยของการจำแนก PD เป็นหมวดหมู่ - เมื่อร้านค้าออนไลน์ขนาดเล็กรวบรวมข้อมูลที่เกี่ยวข้องกับหมวดหมู่พิเศษโดยไม่รู้ด้วยซ้ำ

  • โดยที่คุณสามารถจัดเก็บข้อมูลสำรองของ PD ที่รวบรวมไว้และดำเนินการกับข้อมูลเหล่านั้น

  • อะไรคือความแตกต่างระหว่างใบรับรองและบทสรุปการปฏิบัติตามข้อกำหนด คุณควรขอเอกสารอะไรบ้างจากผู้ให้บริการ และอะไรทำนองนั้น

สุดท้ายนี้ เราจะแบ่งปันประสบการณ์ของเราในการผ่านการรับรองให้กับคุณ ไป!

ผู้เชี่ยวชาญในบทความวันนี้จะเป็น อเล็กเซย์ อาฟานาซีเยฟผู้เชี่ยวชาญด้าน IS สำหรับผู้ให้บริการระบบคลาวด์ IT-GRAD และ #CloudMTS (ส่วนหนึ่งของกลุ่ม MTS)

รายละเอียดปลีกย่อยของการจำแนกประเภท

เรามักจะพบกับความต้องการของลูกค้าที่ต้องการกำหนดระดับความปลอดภัยที่จำเป็นสำหรับ ISPD อย่างรวดเร็วโดยไม่ต้องมีการตรวจสอบ IS เนื้อหาบางอย่างบนอินเทอร์เน็ตในหัวข้อนี้ให้ความรู้สึกผิด ๆ ว่านี่เป็นงานง่ายและค่อนข้างยากที่จะทำผิดพลาด

ในการกำหนด KM จำเป็นต้องเข้าใจว่า IS ของลูกค้าจะรวบรวมและประมวลผลข้อมูลใด บางครั้งอาจเป็นเรื่องยากที่จะกำหนดข้อกำหนดในการป้องกันและประเภทของข้อมูลส่วนบุคคลที่ธุรกิจดำเนินธุรกิจอยู่อย่างไม่คลุมเครือ ข้อมูลส่วนบุคคลประเภทเดียวกันสามารถประเมินและจำแนกได้ด้วยวิธีที่แตกต่างกันโดยสิ้นเชิง ดังนั้นในบางกรณีความเห็นของกิจการอาจแตกต่างไปจากความเห็นของผู้สอบบัญชีหรือแม้แต่ผู้ตรวจสอบก็ได้ ลองดูตัวอย่างบางส่วน

ที่จอดรถ. ดูเหมือนจะเป็นธุรกิจประเภทที่ค่อนข้างดั้งเดิม กองยานพาหนะจำนวนมากเปิดดำเนินการมานานหลายทศวรรษ และเจ้าของก็จ้างผู้ประกอบการรายบุคคลและรายบุคคล ตามกฎแล้ว ข้อมูลพนักงานอยู่ภายใต้ข้อกำหนดของ UZ-4 อย่างไรก็ตาม ในการทำงานร่วมกับคนขับ ไม่เพียงแต่จำเป็นจะต้องเก็บรวบรวมข้อมูลส่วนบุคคลเท่านั้น แต่ยังต้องดำเนินการควบคุมทางการแพทย์ในอาณาเขตของกองยานพาหนะก่อนเข้ากะ และข้อมูลที่รวบรวมในกระบวนการจะจัดอยู่ในหมวดหมู่ของทันที ข้อมูลทางการแพทย์ - และนี่คือข้อมูลส่วนบุคคลในหมวดหมู่พิเศษ นอกจากนี้ ฝูงบินอาจขอใบรับรอง ซึ่งจะเก็บไว้ในไฟล์ของคนขับ การสแกนใบรับรองดังกล่าวในรูปแบบอิเล็กทรอนิกส์ - ข้อมูลสุขภาพ ข้อมูลส่วนบุคคลในหมวดหมู่พิเศษ ซึ่งหมายความว่า UZ-4 นั้นไม่เพียงพออีกต่อไป ต้องมี UZ-3 เป็นอย่างน้อย

ร้านค้าออนไลน์ ดูเหมือนว่าชื่อ อีเมล และหมายเลขโทรศัพท์ที่รวบรวมไว้จะจัดอยู่ในหมวดหมู่สาธารณะ อย่างไรก็ตาม หากลูกค้าของคุณระบุถึงความต้องการด้านอาหาร เช่น ฮาลาลหรือโคเชอร์ ข้อมูลดังกล่าวอาจถือเป็นข้อมูลความเกี่ยวข้องทางศาสนาหรือความเชื่อ ดังนั้นเมื่อตรวจสอบหรือดำเนินกิจกรรมควบคุมอื่น ๆ ผู้ตรวจสอบอาจจัดประเภทข้อมูลที่คุณรวบรวมเป็นข้อมูลส่วนบุคคลประเภทพิเศษ ตอนนี้ หากร้านค้าออนไลน์รวบรวมข้อมูลว่าผู้ซื้อชอบเนื้อสัตว์หรือปลา ข้อมูลนั้นก็อาจถูกจัดประเภทเป็นข้อมูลส่วนบุคคลอื่นๆ แล้วพวกมังสวิรัติล่ะ? ท้ายที่สุดสิ่งนี้สามารถนำมาประกอบกับความเชื่อทางปรัชญาซึ่งอยู่ในหมวดหมู่พิเศษด้วย แต่ในทางกลับกัน นี่อาจเป็นเพียงทัศนคติของบุคคลที่งดเนื้อสัตว์ออกจากอาหารของเขา อนิจจาไม่มีสัญญาณใดที่จะกำหนดหมวดหมู่ของ PD อย่างชัดเจนในสถานการณ์ที่ "ละเอียดอ่อน" เช่นนี้

ตัวแทนโฆษณา โดยใช้บริการคลาวด์ของ Western ประมวลผลข้อมูลที่เปิดเผยต่อสาธารณะของลูกค้า - ชื่อเต็ม ที่อยู่อีเมล และหมายเลขโทรศัพท์ แน่นอนว่าข้อมูลส่วนบุคคลเหล่านี้เกี่ยวข้องกับข้อมูลส่วนบุคคล คำถามเกิดขึ้น: การดำเนินการดังกล่าวถูกกฎหมายหรือไม่? เป็นไปได้ไหมที่จะย้ายข้อมูลดังกล่าวโดยไม่ลดความเป็นส่วนบุคคลไปนอกสหพันธรัฐรัสเซีย เช่น เพื่อจัดเก็บข้อมูลสำรองไว้ในคลาวด์ต่างประเทศ แน่นอนคุณสามารถ. หน่วยงานมีสิทธิ์จัดเก็บข้อมูลนี้ไว้นอกรัสเซีย อย่างไรก็ตาม การรวบรวมเบื้องต้นตามกฎหมายของเราจะต้องดำเนินการในอาณาเขตของสหพันธรัฐรัสเซีย หากคุณสำรองข้อมูลดังกล่าว คำนวณสถิติตามข้อมูลนั้น ดำเนินการวิจัย หรือดำเนินการอื่น ๆ กับข้อมูลดังกล่าว ทั้งหมดนี้สามารถทำได้จากแหล่งข้อมูลของตะวันตก ประเด็นสำคัญจากมุมมองทางกฎหมายคือที่ที่ข้อมูลส่วนบุคคลถูกเก็บรวบรวม ดังนั้นจึงเป็นเรื่องสำคัญที่จะไม่สร้างความสับสนให้กับการรวบรวมและการประมวลผลเบื้องต้น

จากตัวอย่างสั้นๆ เหล่านี้ การทำงานกับข้อมูลส่วนบุคคลไม่ได้ตรงไปตรงมาและง่ายดายเสมอไป คุณไม่เพียงแต่ต้องรู้ว่าคุณกำลังทำงานร่วมกับพวกเขา แต่ยังสามารถจำแนกประเภทได้อย่างถูกต้อง ทำความเข้าใจวิธีการทำงานของ IP เพื่อกำหนดระดับความปลอดภัยที่ต้องการได้อย่างถูกต้อง ในบางกรณีอาจเกิดคำถามขึ้นว่าองค์กรจำเป็นต้องใช้ข้อมูลส่วนบุคคลมากน้อยเพียงใดในการดำเนินงาน เป็นไปได้ไหมที่จะปฏิเสธข้อมูลที่ "ร้ายแรง" หรือไม่จำเป็นที่สุด? นอกจากนี้ หน่วยงานกำกับดูแลยังแนะนำให้ลดข้อมูลส่วนบุคคลหากเป็นไปได้ 

ดังตัวอย่างข้างต้น บางครั้งคุณอาจพบว่าหน่วยงานตรวจสอบตีความข้อมูลส่วนบุคคลที่เก็บรวบรวมแตกต่างไปจากที่คุณประเมินด้วยตนเองเล็กน้อย

แน่นอนคุณสามารถจ้างผู้ตรวจสอบหรือผู้รวมระบบเป็นผู้ช่วยได้ แต่ “ผู้ช่วย” จะรับผิดชอบต่อการตัดสินใจที่เลือกในกรณีของการตรวจสอบหรือไม่? เป็นที่น่าสังเกตว่าความรับผิดชอบมักจะอยู่กับเจ้าของ ISPD ซึ่งเป็นผู้ดำเนินการข้อมูลส่วนบุคคล นั่นคือเหตุผลที่เมื่อบริษัทดำเนินงานดังกล่าว สิ่งสำคัญคือต้องหันไปหาผู้เล่นที่จริงจังในตลาดสำหรับบริการดังกล่าว เช่น บริษัทที่ดำเนินงานด้านการรับรอง บริษัทที่ได้รับการรับรองมีประสบการณ์มากมายในการดำเนินงานดังกล่าว

ตัวเลือกสำหรับการสร้าง ISPD

การสร้าง ISPD ไม่เพียงแต่เป็นปัญหาทางเทคนิคเท่านั้น แต่ยังเป็นปัญหาทางกฎหมายอีกด้วย CIO หรือผู้อำนวยการฝ่ายรักษาความปลอดภัยควรปรึกษากับที่ปรึกษากฎหมายเสมอ เนื่องจากบริษัทไม่มีผู้เชี่ยวชาญที่มีโปรไฟล์ที่คุณต้องการเสมอไป จึงควรมองหาที่ปรึกษาผู้ตรวจสอบบัญชี จุดที่ลื่นหลายๆจุดอาจไม่ชัดเจนเลย

การให้คำปรึกษาจะช่วยให้คุณสามารถระบุได้ว่าคุณกำลังจัดการกับข้อมูลส่วนบุคคลใดบ้าง และต้องมีการป้องกันในระดับใด ดังนั้นคุณจะได้รับแนวคิดเกี่ยวกับ IP ที่ต้องสร้างหรือเสริมด้วยมาตรการรักษาความปลอดภัยและความปลอดภัยในการปฏิบัติงาน

ทางเลือกของบริษัทมักจะอยู่ระหว่างสองตัวเลือก:

  1. สร้าง IS ที่สอดคล้องกันบนโซลูชันฮาร์ดแวร์และซอฟต์แวร์ของคุณเอง ซึ่งอาจอยู่ในห้องเซิร์ฟเวอร์ของคุณเอง

  2. ติดต่อผู้ให้บริการคลาวด์และเลือกโซลูชันที่ยืดหยุ่น ซึ่งเป็น "ห้องเซิร์ฟเวอร์เสมือน" ที่ได้รับการรับรองแล้ว

ระบบข้อมูลส่วนใหญ่ที่ประมวลผลข้อมูลส่วนบุคคลใช้วิธีการแบบดั้งเดิม ซึ่งจากมุมมองทางธุรกิจ แทบจะเรียกได้ว่าง่ายและประสบความสำเร็จไม่ได้เลย เมื่อเลือกตัวเลือกนี้ จำเป็นต้องเข้าใจว่าการออกแบบทางเทคนิคจะต้องมีคำอธิบายของอุปกรณ์ รวมถึงโซลูชันและแพลตฟอร์มซอฟต์แวร์และฮาร์ดแวร์ ซึ่งหมายความว่าคุณจะต้องเผชิญกับความยากลำบากและข้อจำกัดดังต่อไปนี้:

  • ความยากในการปรับขนาด

  • ระยะเวลาดำเนินโครงการที่ยาวนาน: จำเป็นต้องเลือก ซื้อ ติดตั้ง กำหนดค่า และอธิบายระบบ

  • ตัวอย่างเช่นงาน "กระดาษ" จำนวนมาก - การพัฒนาชุดเอกสารที่สมบูรณ์สำหรับ ISPD ทั้งหมด

นอกจากนี้ ตามกฎแล้วธุรกิจจะเข้าใจเฉพาะ IP ระดับ "บนสุด" เท่านั้น - แอปพลิเคชันทางธุรกิจที่ใช้ กล่าวอีกนัยหนึ่ง เจ้าหน้าที่ไอทีมีความเชี่ยวชาญเฉพาะด้าน ไม่มีความเข้าใจว่า "ระดับล่าง" ทำงานอย่างไร: การป้องกันซอฟต์แวร์และฮาร์ดแวร์ ระบบจัดเก็บข้อมูล การสำรองข้อมูล และแน่นอน วิธีกำหนดค่าเครื่องมือป้องกันให้สอดคล้องกับข้อกำหนดทั้งหมด สร้างส่วน "ฮาร์ดแวร์" ของการกำหนดค่า สิ่งสำคัญคือต้องเข้าใจ: นี่เป็นความรู้จำนวนมหาศาลที่อยู่นอกธุรกิจของลูกค้า นี่คือจุดที่ประสบการณ์ของผู้ให้บริการคลาวด์ที่ให้บริการ “ห้องเซิร์ฟเวอร์เสมือน” ที่ได้รับการรับรองสามารถเป็นประโยชน์ได้

ในทางกลับกัน ผู้ให้บริการคลาวด์มีข้อดีหลายประการที่สามารถครอบคลุม 99% ของความต้องการทางธุรกิจในด้านการปกป้องข้อมูลส่วนบุคคลโดยไม่ต้องพูดเกินจริง:

  • ต้นทุนทุนจะถูกแปลงเป็นต้นทุนการดำเนินงาน

  • ในส่วนของผู้ให้บริการรับประกันการจัดหาระดับความปลอดภัยและความพร้อมใช้งานที่ต้องการตามโซลูชันมาตรฐานที่ได้รับการพิสูจน์แล้ว

  • ไม่จำเป็นต้องดูแลเจ้าหน้าที่ผู้เชี่ยวชาญที่จะรับรองการทำงานของ ISPD ในระดับฮาร์ดแวร์

  • ผู้ให้บริการนำเสนอโซลูชั่นที่ยืดหยุ่นและยืดหยุ่นมากขึ้น

  • ผู้เชี่ยวชาญของผู้ให้บริการมีใบรับรองที่จำเป็นทั้งหมด

  • การปฏิบัติตามข้อกำหนดไม่ต่ำกว่าการสร้างสถาปัตยกรรมของคุณเองโดยคำนึงถึงข้อกำหนดและคำแนะนำของหน่วยงานกำกับดูแล

ตำนานเก่าที่ว่าข้อมูลส่วนบุคคลไม่สามารถเก็บไว้ในระบบคลาวด์ยังคงได้รับความนิยมอย่างมาก เป็นจริงเพียงบางส่วนเท่านั้น: ไม่สามารถโพสต์ PD ได้จริงๆ ในอันแรกที่มีอยู่ คลาวด์. จำเป็นต้องมีการปฏิบัติตามมาตรการทางเทคนิคบางประการและการใช้โซลูชันที่ได้รับการรับรองบางอย่าง หากผู้ให้บริการปฏิบัติตามข้อกำหนดทางกฎหมายทั้งหมด ความเสี่ยงที่เกี่ยวข้องกับการรั่วไหลของข้อมูลส่วนบุคคลจะลดลง ผู้ให้บริการหลายรายมีโครงสร้างพื้นฐานแยกต่างหากสำหรับการประมวลผลข้อมูลส่วนบุคคลตาม 152-FZ อย่างไรก็ตาม การเลือกซัพพลายเออร์จะต้องได้รับการติดต่อด้วยความรู้เกี่ยวกับเกณฑ์บางประการ เราจะพูดถึงพวกเขาด้านล่างอย่างแน่นอน 

ลูกค้ามักมาหาเราพร้อมกับข้อกังวลเกี่ยวกับการวางข้อมูลส่วนบุคคลในระบบคลาวด์ของผู้ให้บริการ เรามาหารือกันทันที

  • ข้อมูลอาจถูกขโมยระหว่างการส่งหรือการย้ายข้อมูล

ไม่จำเป็นต้องกลัวสิ่งนี้ - ผู้ให้บริการเสนอให้ลูกค้าสร้างช่องทางการรับส่งข้อมูลที่ปลอดภัยซึ่งสร้างขึ้นจากโซลูชันที่ได้รับการรับรอง มาตรการการตรวจสอบสิทธิ์ที่ได้รับการปรับปรุงสำหรับผู้รับเหมาและพนักงาน สิ่งที่เหลืออยู่คือการเลือกวิธีการป้องกันที่เหมาะสมและนำไปใช้เป็นส่วนหนึ่งของงานของคุณกับลูกค้า

  • โชว์มาสก์จะมาและนำออกไป/ปิดผนึก/ตัดไฟไปยังเซิร์ฟเวอร์

เป็นเรื่องที่เข้าใจได้สำหรับลูกค้าที่กลัวว่ากระบวนการทางธุรกิจของตนจะหยุดชะงักเนื่องจากการควบคุมโครงสร้างพื้นฐานไม่เพียงพอ ตามกฎแล้ว ไคลเอนต์ที่ก่อนหน้านี้ฮาร์ดแวร์อยู่ในห้องเซิร์ฟเวอร์ขนาดเล็ก แทนที่จะเป็นศูนย์ข้อมูลเฉพาะทางจะคิดเกี่ยวกับเรื่องนี้ ในความเป็นจริง ศูนย์ข้อมูลมีการติดตั้งวิธีการที่ทันสมัยในการปกป้องทั้งทางกายภาพและข้อมูล แทบจะเป็นไปไม่ได้เลยที่จะดำเนินการใดๆ ในศูนย์ข้อมูลดังกล่าวโดยไม่มีเหตุผลและเอกสารที่เพียงพอ และกิจกรรมดังกล่าวจำเป็นต้องปฏิบัติตามขั้นตอนหลายประการ นอกจากนี้ การ "ดึง" เซิร์ฟเวอร์ของคุณออกจากศูนย์ข้อมูลอาจส่งผลกระทบต่อลูกค้ารายอื่นของผู้ให้บริการ และสิ่งนี้ไม่จำเป็นสำหรับทุกคนอย่างแน่นอน นอกจากนี้ ไม่มีใครสามารถชี้นิ้วไปที่เซิร์ฟเวอร์เสมือน “ของคุณ” โดยเฉพาะได้ ดังนั้น หากมีใครต้องการขโมยมันหรือแสดงหน้ากาก พวกเขาจะต้องจัดการกับความล่าช้าของระบบราชการมากมายก่อน ในช่วงเวลานี้ คุณน่าจะมีเวลาโยกย้ายไปยังไซต์อื่นหลายครั้ง

  • แฮกเกอร์จะแฮ็กระบบคลาวด์และขโมยข้อมูล

อินเทอร์เน็ตและสื่อสิ่งพิมพ์เต็มไปด้วยหัวข้อข่าวเกี่ยวกับการที่คลาวด์อื่นตกเป็นเหยื่อของอาชญากรไซเบอร์ และบันทึกข้อมูลส่วนบุคคลนับล้านรั่วไหลทางออนไลน์ ในกรณีส่วนใหญ่ ช่องโหว่ไม่ได้ถูกพบในด้านของผู้ให้บริการเลย แต่ในระบบข้อมูลของเหยื่อ: รหัสผ่านที่อ่อนแอหรือเป็นค่าเริ่มต้น “ช่องโหว่” ในกลไกเว็บไซต์และฐานข้อมูล และความประมาททางธุรกิจซ้ำซากเมื่อเลือกมาตรการรักษาความปลอดภัยและ การจัดขั้นตอนการเข้าถึงข้อมูล โซลูชันที่ได้รับการรับรองทั้งหมดได้รับการตรวจสอบหาช่องโหว่ นอกจากนี้เรายังดำเนินการทดสอบ "การควบคุม" และการตรวจสอบความปลอดภัยเป็นประจำทั้งโดยอิสระและผ่านองค์กรภายนอก สำหรับผู้ให้บริการ นี่เป็นเรื่องของชื่อเสียงและธุรกิจโดยทั่วไป

  • ผู้ให้บริการ/พนักงานของผู้ให้บริการจะขโมยข้อมูลส่วนบุคคลเพื่อผลประโยชน์ส่วนตัว

นี่เป็นช่วงเวลาที่ค่อนข้างละเอียดอ่อน บริษัทจำนวนหนึ่งจากโลกแห่งความปลอดภัยของข้อมูล "ทำให้ลูกค้าหวาดกลัว" และยืนยันว่า "พนักงานภายในมีอันตรายมากกว่าแฮกเกอร์ภายนอก" สิ่งนี้อาจเป็นจริงในบางกรณี แต่ธุรกิจไม่สามารถสร้างได้หากปราศจากความไว้วางใจ ในบางครั้ง มีข่าวปรากฏว่าพนักงานขององค์กรรั่วไหลข้อมูลลูกค้าไปยังผู้โจมตี และบางครั้งการรักษาความปลอดภัยภายในก็มีการจัดการที่แย่กว่าการรักษาความปลอดภัยภายนอกมาก สิ่งสำคัญคือต้องเข้าใจที่นี่ว่าผู้ให้บริการรายใหญ่ไม่สนใจอย่างยิ่งในกรณีเชิงลบ การกระทำของพนักงานของผู้ให้บริการได้รับการควบคุมอย่างดี แบ่งบทบาทและขอบเขตความรับผิดชอบ กระบวนการทางธุรกิจทั้งหมดมีโครงสร้างในลักษณะที่กรณีของข้อมูลรั่วไหลไม่น่าเป็นไปได้อย่างยิ่ง และบริการภายในจะสังเกตเห็นได้เสมอ ดังนั้นลูกค้าจึงไม่ควรกลัวปัญหาจากด้านนี้

  • คุณจ่ายเพียงเล็กน้อยเพราะคุณชำระค่าบริการด้วยข้อมูลธุรกิจของคุณ

ตำนานอีกประการหนึ่ง: ลูกค้าที่เช่าโครงสร้างพื้นฐานที่ปลอดภัยในราคาที่สะดวกสบายจะต้องจ่ายเงินด้วยข้อมูลของเขา ซึ่งผู้เชี่ยวชาญมักคิดเรื่องนี้โดยไม่สนใจที่จะอ่านทฤษฎีสมคบคิดสองสามข้อก่อนเข้านอน ประการแรก ความเป็นไปได้ในการดำเนินการใดๆ กับข้อมูลของคุณนอกเหนือจากที่ระบุไว้ในคำสั่งซื้อจะเป็นศูนย์ ประการที่สอง ผู้ให้บริการที่เพียงพอให้ความสำคัญกับความสัมพันธ์กับคุณและชื่อเสียงของเขา - นอกจากคุณแล้ว เขามีลูกค้าอีกมากมาย สถานการณ์ตรงกันข้ามมีแนวโน้มมากขึ้น ซึ่งผู้ให้บริการจะปกป้องข้อมูลของลูกค้าอย่างกระตือรือร้นซึ่งธุรกิจของตนตั้งอยู่

การเลือกผู้ให้บริการคลาวด์สำหรับ ISPD

ปัจจุบัน ตลาดนำเสนอโซลูชั่นมากมายสำหรับบริษัทที่เป็นผู้ดำเนินการ PD ด้านล่างนี้เป็นรายการคำแนะนำทั่วไปสำหรับการเลือกสิ่งที่ถูกต้อง

  • ผู้ให้บริการจะต้องพร้อมที่จะทำข้อตกลงอย่างเป็นทางการซึ่งอธิบายความรับผิดชอบของคู่สัญญา SLA และขอบเขตความรับผิดชอบในกุญแจสำคัญในการประมวลผลข้อมูลส่วนบุคคล ในความเป็นจริง ระหว่างคุณกับผู้ให้บริการ นอกเหนือจากข้อตกลงการบริการแล้ว จะต้องลงนามคำสั่งซื้อสำหรับการประมวลผล PD ด้วย ไม่ว่าในกรณีใดก็ควรศึกษาอย่างรอบคอบ สิ่งสำคัญคือต้องเข้าใจการแบ่งความรับผิดชอบระหว่างคุณและผู้ให้บริการ

  • โปรดทราบว่ากลุ่มจะต้องเป็นไปตามข้อกำหนด ซึ่งหมายความว่าจะต้องมีใบรับรองที่ระบุระดับความปลอดภัยไม่ต่ำกว่าที่กำหนดโดย IP ของคุณ มันเกิดขึ้นที่ผู้ให้บริการเผยแพร่เฉพาะหน้าแรกของใบรับรองซึ่งมีความชัดเจนเพียงเล็กน้อย หรืออ้างถึงขั้นตอนการตรวจสอบหรือการปฏิบัติตามกฎระเบียบโดยไม่เผยแพร่ใบรับรองนั้นเอง (“มีเด็กผู้ชายหรือเปล่า?”) คุ้มค่าที่จะขอ - นี่คือเอกสารสาธารณะที่ระบุว่าใครเป็นผู้ดำเนินการรับรอง ระยะเวลาที่มีผล ตำแหน่งที่ตั้งระบบคลาวด์ ฯลฯ

  • ผู้ให้บริการจะต้องให้ข้อมูลเกี่ยวกับที่ตั้งของไซต์ (วัตถุที่ได้รับการป้องกัน) เพื่อให้คุณสามารถควบคุมตำแหน่งของข้อมูลของคุณได้ เราขอเตือนคุณว่าการรวบรวมข้อมูลส่วนบุคคลเบื้องต้นจะต้องดำเนินการในอาณาเขตของสหพันธรัฐรัสเซีย ดังนั้น ขอแนะนำให้ดูที่อยู่ของศูนย์ข้อมูลในสัญญา/ใบรับรอง

  • ผู้ให้บริการต้องใช้ระบบรักษาความปลอดภัยและปกป้องข้อมูลที่ผ่านการรับรอง แน่นอนว่าผู้ให้บริการส่วนใหญ่ไม่โฆษณามาตรการรักษาความปลอดภัยทางเทคนิคและสถาปัตยกรรมโซลูชันที่พวกเขาใช้ แต่คุณในฐานะลูกค้าก็อดไม่ได้ที่จะรู้เรื่องนี้ ตัวอย่างเช่น หากต้องการเชื่อมต่อกับระบบการจัดการจากระยะไกล (พอร์ทัลการจัดการ) จำเป็นต้องใช้มาตรการรักษาความปลอดภัย ผู้ให้บริการจะไม่สามารถข้ามข้อกำหนดนี้ได้ และจะมอบโซลูชันที่ได้รับการรับรอง (หรือกำหนดให้คุณใช้) ให้กับคุณ ใช้แหล่งข้อมูลเพื่อทำการทดสอบแล้วคุณจะเข้าใจทันทีว่าทำงานอย่างไรและอย่างไร 

  • ผู้ให้บริการระบบคลาวด์เป็นที่ต้องการอย่างมากในการให้บริการเพิ่มเติมในด้านความปลอดภัยของข้อมูล บริการเหล่านี้อาจเป็นบริการต่างๆ: การป้องกันการโจมตี DDoS และ WAF บริการป้องกันไวรัสหรือแซนด์บ็อกซ์ ฯลฯ ทั้งหมดนี้จะช่วยให้คุณได้รับการปกป้องเป็นบริการ โดยไม่ต้องกังวลกับระบบการป้องกันในอาคาร แต่สามารถทำงานกับแอปพลิเคชันทางธุรกิจได้

  • ผู้ให้บริการจะต้องเป็นผู้ได้รับใบอนุญาตของ FSTEC และ FSB ตามกฎแล้วข้อมูลดังกล่าวจะถูกโพสต์บนเว็บไซต์โดยตรง อย่าลืมขอเอกสารเหล่านี้และตรวจสอบว่าที่อยู่ในการให้บริการ ชื่อบริษัทผู้ให้บริการ ฯลฯ ถูกต้องหรือไม่ 

มาสรุปกัน การเช่าโครงสร้างพื้นฐานจะช่วยให้คุณสามารถละทิ้ง CAPEX และเก็บเฉพาะแอปพลิเคชันทางธุรกิจและข้อมูลที่อยู่ในขอบเขตความรับผิดชอบของคุณ และโอนภาระหนักในการรับรองฮาร์ดแวร์และซอฟต์แวร์และฮาร์ดแวร์ไปยังผู้ให้บริการ

เราผ่านการรับรองได้อย่างไร

ล่าสุด เราประสบความสำเร็จในการผ่านการรับรองโครงสร้างพื้นฐานของ “Secure Cloud FZ-152” เพื่อให้สอดคล้องกับข้อกำหนดในการทำงานกับข้อมูลส่วนบุคคล งานนี้ดำเนินการโดยศูนย์รับรองแห่งชาติ

ปัจจุบัน “FZ-152 Secure Cloud” ได้รับการรับรองสำหรับการโฮสต์ระบบข้อมูลที่เกี่ยวข้องกับการประมวลผล การจัดเก็บ หรือการส่งข้อมูลส่วนบุคคล (ISPDn) ตามข้อกำหนดของระดับ UZ-3

ขั้นตอนการรับรองเกี่ยวข้องกับการตรวจสอบการปฏิบัติตามโครงสร้างพื้นฐานของผู้ให้บริการคลาวด์ด้วยระดับการป้องกัน ผู้ให้บริการเองให้บริการ IaaS และไม่ใช่ผู้ดำเนินการข้อมูลส่วนบุคคล กระบวนการนี้เกี่ยวข้องกับการประเมินทั้งในระดับองค์กร (เอกสาร คำสั่งซื้อ ฯลฯ) และมาตรการทางเทคนิค (การจัดเตรียมอุปกรณ์ป้องกัน ฯลฯ)

ไม่อาจเรียกได้ว่าเป็นเรื่องเล็กน้อย แม้ว่า GOST ในโปรแกรมและวิธีการดำเนินกิจกรรมการรับรองจะปรากฏในปี 2013 แต่ยังไม่มีโปรแกรมที่เข้มงวดสำหรับออบเจ็กต์บนคลาวด์ ศูนย์รับรองจะพัฒนาโปรแกรมเหล่านี้ตามความเชี่ยวชาญของตนเอง ด้วยการถือกำเนิดของเทคโนโลยีใหม่ โปรแกรมจึงซับซ้อนและทันสมัยมากขึ้น ดังนั้น ผู้รับรองจึงต้องมีประสบการณ์ในการทำงานกับโซลูชันคลาวด์และเข้าใจข้อมูลเฉพาะ

ในกรณีของเรา วัตถุที่ได้รับการป้องกันประกอบด้วยสองตำแหน่ง

  • ทรัพยากรคลาวด์ (เซิร์ฟเวอร์ ระบบจัดเก็บข้อมูล โครงสร้างพื้นฐานเครือข่าย เครื่องมือรักษาความปลอดภัย ฯลฯ) ตั้งอยู่ในศูนย์ข้อมูลโดยตรง แน่นอนว่าศูนย์ข้อมูลเสมือนนั้นเชื่อมต่อกับเครือข่ายสาธารณะ ดังนั้นจึงต้องปฏิบัติตามข้อกำหนดไฟร์วอลล์บางประการ เช่น การใช้ไฟร์วอลล์ที่ผ่านการรับรอง

  • ส่วนที่สองของวัตถุคือเครื่องมือการจัดการระบบคลาวด์ เหล่านี้คือเวิร์กสเตชัน (เวิร์กสเตชันของผู้ดูแลระบบ) ที่ใช้จัดการเซ็กเมนต์ที่ได้รับการป้องกัน

สถานที่ตั้งสื่อสารผ่านช่องทาง VPN ที่สร้างขึ้นบน CIPF

เนื่องจากเทคโนโลยีการจำลองเสมือนสร้างเงื่อนไขเบื้องต้นสำหรับการเกิดขึ้นของภัยคุกคาม เราจึงใช้เครื่องมือการป้องกันที่ได้รับการรับรองเพิ่มเติมด้วย

IaaS 152-FZ: ดังนั้น คุณต้องมีความปลอดภัยบล็อกไดอะแกรม “ผ่านสายตาผู้ประเมิน”

หากลูกค้าต้องการการรับรอง ISPD ของเขา หลังจากเช่า IaaS เขาจะต้องประเมินระบบข้อมูลที่สูงกว่าระดับศูนย์ข้อมูลเสมือนเท่านั้น ขั้นตอนนี้เกี่ยวข้องกับการตรวจสอบโครงสร้างพื้นฐานและซอฟต์แวร์ที่ใช้ เนื่องจากคุณสามารถอ้างถึงใบรับรองของผู้ให้บริการสำหรับปัญหาด้านโครงสร้างพื้นฐานทั้งหมด สิ่งที่คุณต้องทำคือทำงานกับซอฟต์แวร์

IaaS 152-FZ: ดังนั้น คุณต้องมีความปลอดภัยการแยกในระดับนามธรรม

โดยสรุป นี่คือรายการตรวจสอบเล็กๆ น้อยๆ สำหรับบริษัทที่ทำงานกับข้อมูลส่วนบุคคลอยู่แล้วหรือกำลังวางแผน แล้วจัดการยังไงไม่ให้โดนเผา.

  1. ในการตรวจสอบและพัฒนาแบบจำลองของภัยคุกคามและผู้บุกรุก ให้เชิญที่ปรึกษาที่มีประสบการณ์จากห้องปฏิบัติการรับรองที่จะช่วยพัฒนาเอกสารที่จำเป็นและนำคุณไปสู่ขั้นตอนของการแก้ปัญหาทางเทคนิค

  2. เมื่อเลือกผู้ให้บริการคลาวด์ ควรคำนึงถึงการมีใบรับรองด้วย คงจะดีหากบริษัทเผยแพร่ต่อสาธารณะบนเว็บไซต์โดยตรง ผู้ให้บริการจะต้องเป็นผู้ได้รับใบอนุญาตจาก FSTEC และ FSB และบริการที่เขานำเสนอจะต้องได้รับการรับรอง

  3. ตรวจสอบให้แน่ใจว่าคุณมีข้อตกลงอย่างเป็นทางการและคำแนะนำที่ลงนามในการประมวลผลข้อมูลส่วนบุคคล จากนี้ คุณจะสามารถดำเนินการตรวจสอบการปฏิบัติตามข้อกำหนดและการรับรอง ISPD ได้ หากการทำงานนี้ในขั้นตอนของโครงการทางเทคนิคและการสร้างเอกสารการออกแบบและทางเทคนิคดูเหมือนเป็นภาระสำหรับคุณ คุณควรติดต่อ บริษัทที่ปรึกษาบุคคลที่สาม จากห้องปฏิบัติการรับรองต่างๆ

หากปัญหาการประมวลผลข้อมูลส่วนบุคคลเกี่ยวข้องกับคุณ ในวันที่ 18 กันยายน วันศุกร์นี้ เรายินดีที่จะพบคุณที่สัมมนาทางเว็บ “คุณสมบัติของการสร้างคลาวด์ที่ผ่านการรับรอง”.

ที่มา: will.com

เพิ่มความคิดเห็น