IaaS 152-FZ: kaya, kailangan mo ng seguridad

Gaano mo man pag-uri-uriin ang mga alamat at alamat na pumapalibot sa pagsunod sa 152-FZ, palaging may nananatili sa likod ng mga eksena. Ngayon gusto naming talakayin ang ilang hindi palaging halatang mga nuances na maaaring makatagpo ng parehong malalaking kumpanya at napakaliit na negosyo:

• mga subtleties ng pag-uuri ng PD sa mga kategorya - kapag ang isang maliit na online na tindahan ay nangongolekta ng data na nauugnay sa isang espesyal na kategorya nang hindi nalalaman ang tungkol dito;

• kung saan maaari kang mag-imbak ng mga backup ng nakolektang PD at magsagawa ng mga operasyon sa mga ito;

• ano ang pagkakaiba sa pagitan ng isang sertipiko at isang konklusyon ng pagsunod, anong mga dokumento ang dapat mong hilingin mula sa provider, at mga bagay na katulad niyan.

Sa wakas, ibabahagi namin sa iyo ang aming sariling karanasan sa pagpasa sa sertipikasyon. Go!

Ang dalubhasa sa artikulo ngayon ay magiging Alexey Afanasyev, IS specialist para sa mga cloud provider na IT-GRAD at #CloudMTS (bahagi ng MTS group).

Mga subtleties ng pag-uuri

Madalas kaming makatagpo ng pagnanais ng isang kliyente na mabilis, nang walang pag-audit ng IS, matukoy ang kinakailangang antas ng seguridad para sa isang ISPD. Ang ilang mga materyales sa Internet sa paksang ito ay nagbibigay ng maling impresyon na ito ay isang simpleng gawain at medyo mahirap magkamali.

Upang matukoy ang KM, kinakailangang maunawaan kung anong data ang kokolektahin at ipoproseso ng IS ng kliyente. Minsan maaaring mahirap na malinaw na matukoy ang mga kinakailangan sa proteksyon at ang kategorya ng personal na data na pinapatakbo ng isang negosyo. Ang parehong mga uri ng personal na data ay maaaring masuri at maiuri sa ganap na magkakaibang paraan. Samakatuwid, sa ilang mga kaso, ang opinyon ng negosyo ay maaaring naiiba mula sa opinyon ng auditor o kahit na ang inspektor. Tingnan natin ang ilang halimbawa.

Paradahan ng sasakyan. Ito ay tila isang medyo tradisyonal na uri ng negosyo. Maraming mga sasakyang fleet ang tumatakbo sa loob ng mga dekada, at ang mga may-ari nito ay kumukuha ng mga indibidwal na negosyante at indibidwal. Bilang isang patakaran, ang data ng empleyado ay nasa ilalim ng mga kinakailangan ng UZ-4. Gayunpaman, upang gumana sa mga driver, kinakailangan hindi lamang upang mangolekta ng personal na data, kundi pati na rin upang magsagawa ng medikal na kontrol sa teritoryo ng armada ng sasakyan bago pumunta sa isang shift, at ang impormasyong nakolekta sa proseso ay agad na nahuhulog sa kategorya ng medikal na data - at ito ay personal na data ng isang espesyal na kategorya. Bilang karagdagan, ang fleet ay maaaring humiling ng mga sertipiko, na pagkatapos ay itatago sa file ng driver. Isang pag-scan ng naturang sertipiko sa electronic form - data ng kalusugan, personal na data ng isang espesyal na kategorya. Nangangahulugan ito na ang UZ-4 ay hindi na sapat; hindi bababa sa UZ-3 ay kinakailangan.

Online na tindahan. Mukhang ang mga pangalan, email at numero ng telepono na nakolekta ay akma sa pampublikong kategorya. Gayunpaman, kung ang iyong mga customer ay nagpapahiwatig ng mga kagustuhan sa pandiyeta, tulad ng halal o kosher, ang naturang impormasyon ay maaaring ituring na relihiyosong kaugnayan o data ng paniniwala. Samakatuwid, kapag sinusuri o nagsasagawa ng iba pang aktibidad sa pagkontrol, maaaring uriin ng inspektor ang data na iyong kinokolekta bilang isang espesyal na kategorya ng personal na data. Ngayon, kung ang isang online na tindahan ay nangolekta ng impormasyon tungkol sa kung mas gusto ng bumibili nito ang karne o isda, ang data ay maaaring uriin bilang iba pang personal na data. Sa pamamagitan ng paraan, paano ang tungkol sa mga vegetarian? Pagkatapos ng lahat, maaari rin itong maiugnay sa mga paniniwalang pilosopikal, na kabilang din sa isang espesyal na kategorya. Ngunit sa kabilang banda, maaaring ito lamang ang saloobin ng isang tao na nag-alis ng karne sa kanyang diyeta. Sa kasamaang palad, walang senyales na malinaw na tumutukoy sa kategorya ng PD sa gayong "pino" na mga sitwasyon.

Ahensya sa advertising Gamit ang ilang Western cloud service, pinoproseso nito ang pampublikong available na data ng mga kliyente nito - mga buong pangalan, email address at numero ng telepono. Ang mga personal na data na ito, siyempre, ay nauugnay sa personal na data. Ang tanong ay lumitaw: ligal ba na isagawa ang naturang pagproseso? Posible bang ilipat ang naturang data nang walang depersonalization sa labas ng Russian Federation, halimbawa, upang mag-imbak ng mga backup sa ilang dayuhang ulap? Syempre kaya mo. Ang Ahensya ay may karapatang mag-imbak ng data na ito sa labas ng Russia, gayunpaman, ang paunang koleksyon, ayon sa aming batas, ay dapat isagawa sa teritoryo ng Russian Federation. Kung i-back up mo ang naturang impormasyon, kalkulahin ang ilang istatistika batay dito, magsagawa ng pananaliksik o magsagawa ng ilang iba pang mga operasyon kasama nito - lahat ng ito ay maaaring gawin sa mga mapagkukunan ng Kanluran. Ang pangunahing punto mula sa isang legal na pananaw ay kung saan kinokolekta ang personal na data. Samakatuwid, mahalagang huwag malito ang paunang koleksyon at pagproseso.

Tulad ng sumusunod mula sa mga maikling halimbawang ito, ang pagtatrabaho sa personal na data ay hindi palaging diretso at simple. Kailangan mong hindi lamang malaman na nakikipagtulungan ka sa kanila, ngunit magagawa mo ring maayos na maiuri ang mga ito, maunawaan kung paano gumagana ang IP upang matukoy nang tama ang kinakailangang antas ng seguridad. Sa ilang mga kaso, maaaring lumitaw ang tanong kung gaano karaming personal na data ang aktwal na kailangang gumana ng organisasyon. Posible bang tanggihan ang pinaka "seryoso" o simpleng hindi kinakailangang data? Bilang karagdagan, inirerekomenda ng regulator ang pag-depersonalize ng personal na data kung posible. 

Tulad ng sa mga halimbawa sa itaas, kung minsan ay maaari kang makatagpo ng katotohanan na ang mga awtoridad sa inspeksyon ay nagbibigay kahulugan sa nakolektang personal na data na bahagyang naiiba kaysa sa ikaw mismo ang nag-assess sa kanila.

Siyempre, maaari kang kumuha ng isang auditor o isang system integrator bilang isang katulong, ngunit ang "katulong" ba ay magiging responsable para sa mga desisyon na pinili sa kaganapan ng isang pag-audit? Kapansin-pansin na ang responsibilidad ay palaging nasa may-ari ng ISPD - ang operator ng personal na data. Iyon ang dahilan kung bakit, kapag ang isang kumpanya ay nagsasagawa ng ganoong gawain, mahalagang bumaling sa mga seryosong manlalaro sa merkado para sa mga naturang serbisyo, halimbawa, mga kumpanyang nagsasagawa ng gawaing sertipikasyon. Ang mga kumpanyang nagpapatunay ay may malawak na karanasan sa pagsasagawa ng naturang gawain.

Mga opsyon para sa pagbuo ng ISPD

Ang pagtatayo ng ISPD ay hindi lamang isang teknikal, ngunit higit sa lahat ay isang legal na isyu. Ang CIO o security director ay dapat palaging kumunsulta sa legal na tagapayo. Dahil ang kumpanya ay hindi palaging may isang espesyalista na may profile na kailangan mo, ito ay nagkakahalaga ng pagtingin sa mga auditor-consultant. Maraming madulas na punto ang maaaring hindi halata.

Ang konsultasyon ay magbibigay-daan sa iyo upang matukoy kung anong personal na data ang iyong kinakaharap at kung anong antas ng proteksyon ang kailangan nito. Alinsunod dito, makakakuha ka ng ideya ng IP na kailangang gawin o dagdagan ng mga hakbang sa seguridad at pagpapatakbo ng seguridad.

Kadalasan ang pagpili para sa isang kumpanya ay nasa pagitan ng dalawang opsyon:

1. Buuin ang kaukulang IS sa sarili mong mga solusyon sa hardware at software, posibleng sa sarili mong server room.

2. Makipag-ugnayan sa isang cloud provider at pumili ng elastic na solusyon, isang na-certify na "virtual server room".

Karamihan sa mga sistema ng impormasyon sa pagpoproseso ng personal na data ay gumagamit ng isang tradisyonal na diskarte, na, mula sa isang punto ng negosyo, ay halos hindi matatawag na madali at matagumpay. Kapag pinipili ang pagpipiliang ito, kinakailangang maunawaan na ang teknikal na disenyo ay magsasama ng isang paglalarawan ng kagamitan, kabilang ang mga solusyon at platform ng software at hardware. Nangangahulugan ito na kailangan mong harapin ang mga sumusunod na paghihirap at limitasyon:

• kahirapan sa pag-scale;

• mahabang panahon ng pagpapatupad ng proyekto: kinakailangang piliin, bilhin, i-install, i-configure at ilarawan ang system;

• maraming gawaing "papel", bilang isang halimbawa - ang pagbuo ng isang kumpletong pakete ng dokumentasyon para sa buong ISPD.

Bilang karagdagan, ang isang negosyo, bilang panuntunan, ay naiintindihan lamang ang "nangungunang" antas ng IP nito - ang mga application ng negosyo na ginagamit nito. Sa madaling salita, ang mga kawani ng IT ay bihasa sa kanilang partikular na lugar. Walang pag-unawa kung paano gumagana ang lahat ng "mas mababang antas": proteksyon ng software at hardware, mga sistema ng imbakan, backup at, siyempre, kung paano i-configure ang mga tool sa proteksyon alinsunod sa lahat ng mga kinakailangan, bumuo ng "hardware" na bahagi ng pagsasaayos. Mahalagang maunawaan: ito ay isang malaking layer ng kaalaman na nasa labas ng negosyo ng kliyente. Dito maaaring magamit ang karanasan ng isang cloud provider na nagbibigay ng sertipikadong “virtual server room”.

Sa turn, ang mga cloud provider ay may ilang mga pakinabang na, nang walang pagmamalabis, ay maaaring sumaklaw sa 99% ng mga pangangailangan ng negosyo sa larangan ng proteksyon ng personal na data:

• ang mga gastos sa kapital ay binago sa mga gastos sa pagpapatakbo;

• ang provider, sa bahagi nito, ay ginagarantiyahan ang pagkakaloob ng kinakailangang antas ng seguridad at kakayahang magamit batay sa isang napatunayang pamantayang solusyon;

• hindi na kailangang mapanatili ang isang kawani ng mga espesyalista na magtitiyak sa pagpapatakbo ng ISPD sa antas ng hardware;

• nag-aalok ang mga provider ng mas nababaluktot at nababanat na mga solusyon;

• nasa mga espesyalista ng provider ang lahat ng kinakailangang sertipiko;

• Ang pagsunod ay hindi mas mababa kaysa sa pagbuo ng iyong sariling arkitektura, na isinasaalang-alang ang mga kinakailangan at rekomendasyon ng mga regulator.

Ang lumang alamat na ang personal na data ay hindi maiimbak sa cloud ay napakapopular pa rin. Bahagyang totoo lang: Hindi talaga ma-post ang PD sa unang magagamit ulap. Ang pagsunod sa ilang mga teknikal na hakbang at ang paggamit ng ilang mga sertipikadong solusyon ay kinakailangan. Kung sumusunod ang provider sa lahat ng legal na kinakailangan, ang mga panganib na nauugnay sa pagtagas ng personal na data ay mababawasan. Maraming provider ang may hiwalay na imprastraktura para sa pagproseso ng personal na data alinsunod sa 152-FZ. Gayunpaman, ang pagpili ng tagapagtustos ay dapat ding lapitan nang may kaalaman sa ilang pamantayan; tiyak na tatalakayin natin ang mga ito sa ibaba. 

Madalas na pumupunta sa amin ang mga kliyente na may ilang alalahanin tungkol sa paglalagay ng personal na data sa cloud ng provider. Well, pag-usapan natin sila kaagad.

• Maaaring manakaw ang data sa panahon ng paghahatid o paglilipat

Hindi na kailangang matakot dito - nag-aalok ang provider sa kliyente ng paglikha ng isang secure na channel ng paghahatid ng data na binuo sa mga sertipikadong solusyon, pinahusay na mga hakbang sa pagpapatunay para sa mga kontratista at empleyado. Ang natitira na lang ay piliin ang mga naaangkop na paraan ng proteksyon at ipatupad ang mga ito bilang bahagi ng iyong trabaho kasama ang kliyente.

• Darating ang mga show mask at aalisin/selyuhan/puputol ang kuryente sa server

Ito ay lubos na nauunawaan para sa mga customer na natatakot na ang kanilang mga proseso ng negosyo ay maabala dahil sa hindi sapat na kontrol sa imprastraktura. Bilang isang patakaran, ang mga kliyenteng iyon na ang hardware ay dating matatagpuan sa maliliit na silid ng server kaysa sa mga dalubhasang data center ang nag-iisip tungkol dito. Sa katotohanan, ang mga data center ay nilagyan ng modernong paraan ng parehong pisikal at proteksyon ng impormasyon. Halos imposible na magsagawa ng anumang mga operasyon sa naturang data center nang walang sapat na batayan at papeles, at ang mga naturang aktibidad ay nangangailangan ng pagsunod sa ilang mga pamamaraan. Bilang karagdagan, ang "paghila" ng iyong server mula sa data center ay maaaring makaapekto sa iba pang mga kliyente ng provider, at ito ay tiyak na hindi kinakailangan para sa sinuman. Bilang karagdagan, walang sinuman ang maaaring ituro ang isang daliri partikular sa "iyong" virtual server, kaya kung may gustong nakawin ito o magsagawa ng mask show, kailangan muna nilang harapin ang maraming burukratikong pagkaantala. Sa panahong ito, malamang na magkakaroon ka ng oras upang lumipat sa ibang site nang maraming beses.

• Iha-hack ng mga hacker ang cloud at magnanakaw ng data

Ang Internet at print press ay puno ng mga headline tungkol sa kung paano isa pang ulap ang naging biktima ng mga cybercriminal, at milyon-milyong mga personal na talaan ng data ang nag-leak online. Sa karamihan ng mga kaso, ang mga kahinaan ay natagpuan hindi sa panig ng provider, ngunit sa mga sistema ng impormasyon ng mga biktima: mahina o kahit na mga default na password, "mga butas" sa mga engine at database ng website, at kawalang-ingat sa negosyo kapag pumipili ng mga hakbang sa seguridad at pag-aayos ng mga pamamaraan sa pag-access ng data. Lahat ng mga sertipikadong solusyon ay sinusuri para sa mga kahinaan. Regular din kaming nagsasagawa ng "kontrol" na mga pentest at pag-audit sa seguridad, parehong independyente at sa pamamagitan ng mga panlabas na organisasyon. Para sa provider, ito ay isang usapin ng reputasyon at negosyo sa pangkalahatan.

• Ang provider/mga empleyado ng provider ay magnanakaw ng personal na data para sa personal na pakinabang

Ito ay isang medyo sensitibong sandali. Ang ilang mga kumpanya mula sa mundo ng seguridad ng impormasyon ay "tinatakot" ang kanilang mga kliyente at iginigiit na "ang mga panloob na empleyado ay mas mapanganib kaysa sa mga hacker sa labas." Maaaring totoo ito sa ilang sitwasyon, ngunit hindi mabubuo ang isang negosyo nang walang tiwala. Paminsan-minsan, lumalabas ang balita na ang sariling mga empleyado ng isang organisasyon ay naglalabas ng data ng customer sa mga umaatake, at kung minsan ang panloob na seguridad ay mas malala pa kaysa sa panlabas na seguridad. Mahalagang maunawaan dito na ang anumang malaking provider ay labis na hindi interesado sa mga negatibong kaso. Ang mga aksyon ng mga empleyado ng provider ay mahusay na kinokontrol, ang mga tungkulin at mga lugar ng responsibilidad ay nahahati. Ang lahat ng mga proseso ng negosyo ay nakabalangkas sa paraang ang mga kaso ng pagtagas ng data ay lubhang hindi malamang at palaging kapansin-pansin sa mga panloob na serbisyo, kaya ang mga kliyente ay hindi dapat matakot sa mga problema mula sa panig na ito.

• Maliit ang binabayaran mo dahil nagbabayad ka para sa mga serbisyo gamit ang data ng iyong negosyo.

Isa pang alamat: ang isang kliyente na umuupa ng ligtas na imprastraktura sa isang komportableng presyo ay talagang nagbabayad para dito gamit ang kanyang data - ito ay madalas na iniisip ng mga eksperto na hindi nag-iisip na magbasa ng ilang mga teorya ng pagsasabwatan bago matulog. Una, ang posibilidad na magsagawa ng anumang mga operasyon sa iyong data maliban sa mga tinukoy sa order ay mahalagang zero. Pangalawa, pinahahalagahan ng isang sapat na provider ang relasyon sa iyo at sa kanyang reputasyon - bukod sa iyo, marami pa siyang kliyente. Ang kabaligtaran na senaryo ay mas malamang, kung saan masigasig na protektahan ng provider ang data ng mga kliyente nito, kung saan nakasalalay ang negosyo nito.

Pagpili ng cloud provider para sa ISPD

Ngayon, ang merkado ay nag-aalok ng maraming mga solusyon para sa mga kumpanya na PD operator. Nasa ibaba ang isang pangkalahatang listahan ng mga rekomendasyon para sa pagpili ng tama.

• Dapat na handa ang provider na pumasok sa isang pormal na kasunduan na naglalarawan sa mga responsibilidad ng mga partido, SLA at mga lugar ng responsibilidad sa susi sa pagproseso ng personal na data. Sa katunayan, sa pagitan mo at ng provider, bilang karagdagan sa kasunduan sa serbisyo, dapat na lagdaan ang isang order para sa pagproseso ng PD. Sa anumang kaso, ito ay nagkakahalaga ng pag-aaral ng mabuti sa kanila. Mahalagang maunawaan ang paghahati ng mga responsibilidad sa pagitan mo at ng provider.

• Pakitandaan na dapat matugunan ng segment ang mga kinakailangan, na nangangahulugang mayroon itong certificate na nagsasaad ng antas ng seguridad na hindi mas mababa kaysa sa kinakailangan ng iyong IP. Nangyayari na ang mga provider ay nag-publish lamang ng unang pahina ng sertipiko, kung saan kakaunti ang malinaw, o sumangguni sa mga pag-audit o mga pamamaraan ng pagsunod nang hindi inilalathala ang mismong sertipiko ("mayroon bang batang lalaki?"). Ito ay nagkakahalaga na hilingin ito - ito ay isang pampublikong dokumento na nagpapahiwatig kung sino ang nagsagawa ng sertipikasyon, panahon ng bisa, lokasyon ng ulap, atbp.

• Dapat magbigay ang provider ng impormasyon tungkol sa kung saan matatagpuan ang mga site nito (mga protektadong bagay) upang makontrol mo ang paglalagay ng iyong data. Paalalahanan ka namin na ang paunang koleksyon ng personal na data ay dapat isagawa sa teritoryo ng Russian Federation; nang naaayon, ipinapayong makita ang mga address ng data center sa kontrata/sertipiko.

• Dapat gumamit ang provider ng sertipikadong seguridad ng impormasyon at mga sistema ng proteksyon ng impormasyon. Siyempre, karamihan sa mga provider ay hindi nag-a-advertise ng mga teknikal na hakbang sa seguridad at arkitektura ng solusyon na ginagamit nila. Ngunit ikaw, bilang isang kliyente, ay hindi maaaring hindi malaman ang tungkol dito. Halimbawa, upang malayuang kumonekta sa isang sistema ng pamamahala (portal ng pamamahala), kinakailangan na gumamit ng mga hakbang sa seguridad. Hindi malalampasan ng provider ang pangangailangang ito at bibigyan ka ng (o hihilingin sa iyo na gumamit) ng mga sertipikadong solusyon. Kunin ang mga mapagkukunan para sa isang pagsubok at agad mong mauunawaan kung paano at kung ano ang gumagana. 

• Lubhang kanais-nais para sa cloud provider na magbigay ng mga karagdagang serbisyo sa larangan ng seguridad ng impormasyon. Ang mga ito ay maaaring iba't ibang serbisyo: proteksyon laban sa mga pag-atake ng DDoS at WAF, serbisyo ng anti-virus o sandbox, atbp. Ang lahat ng ito ay magbibigay-daan sa iyo na makatanggap ng proteksyon bilang isang serbisyo, hindi para makagambala sa pagbuo ng mga sistema ng proteksyon, ngunit upang gumana sa mga aplikasyon ng negosyo.

• Ang provider ay dapat na isang lisensyado ng FSTEC at FSB. Bilang isang patakaran, ang naturang impormasyon ay direktang nai-post sa website. Tiyaking hilingin ang mga dokumentong ito at suriin kung tama ang mga address para sa pagbibigay ng mga serbisyo, pangalan ng kumpanya ng provider, atbp. 

I-summarize natin. Ang pagrenta ng imprastraktura ay magbibigay-daan sa iyo na iwanan ang CAPEX at panatilihin lamang ang iyong mga aplikasyon sa negosyo at ang data mismo sa iyong lugar ng responsibilidad, at ilipat ang mabigat na pasanin ng sertipikasyon ng hardware at software at hardware sa provider.

Kung paano namin naipasa ang sertipikasyon

Kamakailan lamang, matagumpay naming naipasa ang muling sertipikasyon ng imprastraktura ng "Secure Cloud FZ-152" para sa pagsunod sa mga kinakailangan para sa pagtatrabaho sa personal na data. Ang gawain ay isinagawa ng National Certification Center.

Sa kasalukuyan, ang "FZ-152 Secure Cloud" ay sertipikado para sa pagho-host ng mga sistema ng impormasyon na kasangkot sa pagproseso, pag-iimbak o pagpapadala ng personal na data (ISPDn) alinsunod sa mga kinakailangan ng antas ng UZ-3.

Kasama sa pamamaraan ng sertipikasyon ang pagsuri sa pagsunod ng imprastraktura ng cloud provider sa antas ng proteksyon. Ang provider mismo ay nagbibigay ng serbisyo ng IaaS at hindi isang operator ng personal na data. Ang proseso ay nagsasangkot ng pagtatasa ng parehong pang-organisasyon (dokumentasyon, mga order, atbp.) at mga teknikal na hakbang (pagse-set up ng mga kagamitan sa proteksyon, atbp.).

Hindi ito matatawag na walang kuwenta. Sa kabila ng katotohanan na ang GOST sa mga programa at pamamaraan para sa pagsasagawa ng mga aktibidad sa sertipikasyon ay lumitaw noong 2013, ang mga mahigpit na programa para sa mga bagay sa ulap ay hindi pa rin umiiral. Binubuo ng mga sentro ng sertipikasyon ang mga programang ito batay sa kanilang sariling kadalubhasaan. Sa pagdating ng mga bagong teknolohiya, nagiging mas kumplikado at na-moderno ang mga programa; nang naaayon, ang certifier ay dapat magkaroon ng karanasan sa pagtatrabaho sa mga solusyon sa ulap at nauunawaan ang mga detalye.

Sa aming kaso, ang protektadong bagay ay binubuo ng dalawang lokasyon.

• Ang mga mapagkukunan ng ulap (mga server, system ng imbakan, imprastraktura ng network, mga tool sa seguridad, atbp.) ay direktang matatagpuan sa data center. Siyempre, ang naturang virtual data center ay konektado sa mga pampublikong network, at nang naaayon, ang ilang mga kinakailangan sa firewall ay dapat matugunan, halimbawa, ang paggamit ng mga sertipikadong firewall.

• Ang pangalawang bahagi ng bagay ay mga tool sa pamamahala ng ulap. Ito ay mga workstation (mga workstation ng administrator) kung saan pinamamahalaan ang protektadong segment.

Ang mga lokasyon ay nakikipag-usap sa pamamagitan ng isang VPN channel na binuo sa CIPF.

Dahil ang mga teknolohiya ng virtualization ay gumagawa ng mga paunang kondisyon para sa paglitaw ng mga banta, gumagamit din kami ng mga karagdagang certified na tool sa proteksyon.

Block diagram "sa pamamagitan ng mata ng assessor"

Kung ang kliyente ay nangangailangan ng sertipikasyon ng kanyang ISPD, pagkatapos magrenta ng IaaS, kailangan lang niyang suriin ang sistema ng impormasyon sa itaas ng antas ng virtual data center. Kasama sa pamamaraang ito ang pagsuri sa imprastraktura at software na ginamit dito. Dahil maaari kang sumangguni sa sertipiko ng provider para sa lahat ng isyu sa imprastraktura, ang kailangan mo lang gawin ay magtrabaho kasama ang software.

Paghihiwalay sa antas ng abstraction

Sa konklusyon, narito ang isang maliit na checklist para sa mga kumpanya na nagtatrabaho na sa personal na data o nagpaplano lamang. Kaya, kung paano hawakan ito nang hindi nasusunog.

1. Upang i-audit at bumuo ng mga modelo ng mga pagbabanta at nanghihimasok, mag-imbita ng isang may karanasang consultant mula sa mga laboratoryo ng sertipikasyon na tutulong sa pagbuo ng mga kinakailangang dokumento at dalhin ka sa yugto ng mga teknikal na solusyon.

2. Kapag pumipili ng cloud provider, bigyang-pansin ang pagkakaroon ng isang sertipiko. Makabubuti kung direktang i-post ito sa publiko ng kumpanya sa website. Ang provider ay dapat na isang lisensyado ng FSTEC at FSB, at ang serbisyong inaalok niya ay dapat na sertipikado.

3. Tiyaking mayroon kang isang pormal na kasunduan at isang nilagdaang tagubilin para sa pagproseso ng personal na data. Batay dito, magagawa mong magsagawa ng parehong pagsusuri sa pagsunod at sertipikasyon ng ISPD. Kung ang gawaing ito sa yugto ng teknikal na proyekto at ang paglikha ng disenyo at teknikal na dokumentasyon ay tila mabigat sa iyo, dapat kang makipag-ugnayan sa mga kumpanya ng pagkonsulta sa third-party mula sa mga laboratoryo ng sertipikasyon.

Kung may kaugnayan sa iyo ang mga isyu sa pagproseso ng personal na data, sa Setyembre 18, ngayong Biyernes, ikalulugod naming makita ka sa webinar "Mga tampok ng pagbuo ng mga sertipikadong ulap".

Pinagmulan: www.habr.com