پرو ہوسٹر > بلاگ > انتظامیہ > IaaS 152-FZ: تو، آپ کو سیکورٹی کی ضرورت ہے۔

IaaS 152-FZ: تو، آپ کو سیکورٹی کی ضرورت ہے۔

IaaS 152-FZ: تو، آپ کو سیکورٹی کی ضرورت ہے۔

اس سے کوئی فرق نہیں پڑتا ہے کہ آپ 152-FZ کے ساتھ تعمیل کے ارد گرد کے افسانوں اور افسانوں کو کتنی ہی ترتیب دیں، کچھ ہمیشہ پردے کے پیچھے رہتا ہے۔ آج ہم کچھ ایسی باریکیوں پر بات کرنا چاہتے ہیں جو ہمیشہ واضح نہیں ہوتیں جن کا سامنا بڑی کمپنیوں اور بہت چھوٹے اداروں دونوں کو ہو سکتا ہے:

  • زمرہ جات میں PD کی درجہ بندی کی باریکیاں - جب ایک چھوٹا آن لائن اسٹور کسی خاص زمرے سے متعلق ڈیٹا جمع کرتا ہے یہاں تک کہ اس کے بارے میں جانے بغیر؛

  • جہاں آپ جمع شدہ PD کے بیک اپ کو محفوظ کر سکتے ہیں اور ان پر آپریشن کر سکتے ہیں۔

  • سرٹیفکیٹ اور تعمیل کے نتیجے میں کیا فرق ہے، آپ کو فراہم کنندہ سے کن دستاویزات کی درخواست کرنی چاہیے، اور اس طرح کی چیزیں۔

آخر میں، ہم آپ کے ساتھ سرٹیفیکیشن پاس کرنے کے اپنے تجربے کا اشتراک کریں گے۔ جاؤ!

آج کے مضمون میں ماہر ہو جائے گا الیکسی افاناسیف، کلاؤڈ فراہم کرنے والے IT-GRAD اور #CloudMTS (MTS گروپ کا حصہ) کے لیے IS ماہر ہے۔

درجہ بندی کی باریکیاں

ہم اکثر ایک کلائنٹ کی خواہش کا سامنا کرتے ہیں کہ وہ IS آڈٹ کے بغیر، ISPD کے لیے سیکیورٹی کی مطلوبہ سطح کا تعین کرے۔ اس موضوع پر انٹرنیٹ پر کچھ مواد غلط تاثر دیتے ہیں کہ یہ ایک آسان کام ہے اور غلطی کرنا کافی مشکل ہے۔

KM کا تعین کرنے کے لیے، یہ سمجھنا ضروری ہے کہ کلائنٹ کے IS کے ذریعے کون سا ڈیٹا اکٹھا اور اس پر کارروائی کی جائے گی۔ بعض اوقات غیر مبہم طور پر تحفظ کے تقاضوں اور ذاتی ڈیٹا کے زمرے کا تعین کرنا مشکل ہو سکتا ہے جو کاروبار چلاتا ہے۔ ایک ہی قسم کے ذاتی ڈیٹا کو بالکل مختلف طریقوں سے جانچا اور درجہ بندی کیا جا سکتا ہے۔ لہذا، بعض صورتوں میں، کاروبار کی رائے آڈیٹر یا یہاں تک کہ انسپکٹر کی رائے سے مختلف ہو سکتی ہے۔ آئیے چند مثالیں دیکھتے ہیں۔

کار پارک. یہ کافی روایتی قسم کا کاروبار لگتا ہے۔ کئی گاڑیوں کے بیڑے دہائیوں سے کام کر رہے ہیں، اور ان کے مالکان انفرادی کاروباری افراد اور افراد کو ملازمت پر رکھتے ہیں۔ ایک اصول کے طور پر، ملازمین کا ڈیٹا UZ-4 کی ضروریات کے تحت آتا ہے۔ تاہم، ڈرائیوروں کے ساتھ کام کرنے کے لیے، نہ صرف ذاتی ڈیٹا اکٹھا کرنا ضروری ہے، بلکہ شفٹ پر جانے سے پہلے گاڑیوں کے بیڑے کی سرزمین پر طبی کنٹرول بھی کرنا ضروری ہے، اور اس عمل میں جمع کی گئی معلومات فوری طور پر کے زمرے میں آتی ہیں۔ طبی ڈیٹا - اور یہ ایک خاص زمرے کا ذاتی ڈیٹا ہے۔ اس کے علاوہ، بیڑا سرٹیفکیٹ کی درخواست کر سکتا ہے، جسے پھر ڈرائیور کی فائل میں رکھا جائے گا۔ الیکٹرانک شکل میں اس طرح کے سرٹیفکیٹ کا اسکین - صحت کے اعداد و شمار، ایک خاص قسم کے ذاتی ڈیٹا. اس کا مطلب ہے کہ UZ-4 اب کافی نہیں ہے؛ کم از کم UZ-3 کی ضرورت ہے۔

آن لائن سٹور. ایسا لگتا ہے کہ جمع کیے گئے نام، ای میلز اور ٹیلی فون نمبر عوامی زمرے میں فٹ ہیں۔ تاہم، اگر آپ کے گاہک غذائی ترجیحات کی نشاندہی کرتے ہیں، جیسے کہ حلال یا کوشر، تو ایسی معلومات کو مذہبی وابستگی یا عقیدہ ڈیٹا سمجھا جا سکتا ہے۔ لہذا، جب دیگر کنٹرول سرگرمیوں کو چیک کرتے یا انجام دیتے ہیں، تو انسپکٹر آپ کے جمع کردہ ڈیٹا کو ذاتی ڈیٹا کے ایک خاص زمرے کے طور پر درجہ بندی کر سکتا ہے۔ اب، اگر کوئی آن لائن اسٹور اس بارے میں معلومات جمع کرتا ہے کہ آیا اس کا خریدار گوشت یا مچھلی کو ترجیح دیتا ہے، تو ڈیٹا کو دوسرے ذاتی ڈیٹا کے طور پر درجہ بندی کیا جا سکتا ہے۔ ویسے، سبزی خوروں کا کیا ہوگا؟ سب کے بعد، یہ بھی فلسفیانہ عقائد سے منسوب کیا جا سکتا ہے، جو بھی ایک خاص قسم سے تعلق رکھتا ہے. لیکن دوسری طرف، یہ محض اس شخص کا رویہ ہو سکتا ہے جس نے اپنی خوراک سے گوشت کو ختم کر دیا ہو۔ افسوس، ایسی کوئی علامت نہیں ہے جو اس طرح کے "لطیف" حالات میں PD کے زمرے کو واضح طور پر بیان کرتی ہو۔

ایڈورٹائزنگ ایجنسی کچھ مغربی کلاؤڈ سروس کا استعمال کرتے ہوئے، یہ اپنے کلائنٹس کے عوامی طور پر دستیاب ڈیٹا - مکمل نام، ای میل ایڈریس اور ٹیلی فون نمبر پر کارروائی کرتا ہے۔ یہ ذاتی ڈیٹا، یقینا، ذاتی ڈیٹا سے متعلق ہے. سوال یہ پیدا ہوتا ہے کہ کیا اس طرح کی کارروائی کرنا قانونی ہے؟ کیا یہ بھی ممکن ہے کہ ایسے ڈیٹا کو غیر ذاتی نوعیت کے بغیر روسی فیڈریشن سے باہر منتقل کیا جا سکے، مثال کے طور پر، کچھ غیر ملکی بادلوں میں بیک اپ اسٹور کرنا؟ یقیناً آپ کر سکتے ہیں۔ ایجنسی کو اس ڈیٹا کو روس سے باہر ذخیرہ کرنے کا حق حاصل ہے، تاہم، ہماری قانون سازی کے مطابق، ابتدائی مجموعہ روسی فیڈریشن کی سرزمین پر ہونا چاہیے۔ اگر آپ ایسی معلومات کا بیک اپ لیتے ہیں، اس کی بنیاد پر کچھ اعدادوشمار کا حساب لگائیں، تحقیق کریں یا اس کے ساتھ کچھ اور آپریشن کریں - یہ سب کچھ مغربی وسائل پر کیا جا سکتا ہے۔ قانونی نقطہ نظر سے اہم نکتہ وہ ہے جہاں ذاتی ڈیٹا اکٹھا کیا جاتا ہے۔ لہذا یہ ضروری ہے کہ ابتدائی جمع کرنے اور پروسیسنگ کو الجھن میں نہ ڈالیں۔

جیسا کہ ان مختصر مثالوں سے درج ذیل ہے، ذاتی ڈیٹا کے ساتھ کام کرنا ہمیشہ سیدھا اور آسان نہیں ہوتا ہے۔ آپ کو نہ صرف یہ جاننے کی ضرورت ہے کہ آپ ان کے ساتھ کام کر رہے ہیں، بلکہ ان کی صحیح درجہ بندی کرنے کے قابل بھی ہوں گے، یہ سمجھیں گے کہ آئی پی کس طرح کام کرتا ہے تاکہ سیکیورٹی کی مطلوبہ سطح کا صحیح طریقے سے تعین کیا جا سکے۔ کچھ معاملات میں، یہ سوال پیدا ہو سکتا ہے کہ تنظیم کو کام کرنے کے لیے اصل میں کتنے ذاتی ڈیٹا کی ضرورت ہے۔ کیا انتہائی "سنگین" یا محض غیر ضروری ڈیٹا سے انکار کرنا ممکن ہے؟ اس کے علاوہ، ریگولیٹر تجویز کرتا ہے کہ جہاں ممکن ہو ذاتی ڈیٹا کو غیر ذاتی نوعیت کا بنایا جائے۔ 

جیسا کہ اوپر دی گئی مثالوں میں، کبھی کبھی آپ کو اس حقیقت کا سامنا کرنا پڑ سکتا ہے کہ معائنہ کرنے والے حکام جمع کیے گئے ذاتی ڈیٹا کی اس سے قدرے مختلف تشریح کرتے ہیں جس کا آپ نے خود اندازہ کیا ہے۔

بلاشبہ، آپ ایک آڈیٹر یا سسٹم انٹیگریٹر کو بطور معاون رکھ سکتے ہیں، لیکن کیا "اسسٹنٹ" آڈٹ کی صورت میں منتخب کیے گئے فیصلوں کے لیے ذمہ دار ہوگا؟ یہ بات قابل غور ہے کہ ذمہ داری ہمیشہ ISPD کے مالک پر عائد ہوتی ہے - ذاتی ڈیٹا کا آپریٹر۔ اسی لیے، جب کوئی کمپنی ایسا کام کرتی ہے، تو اس طرح کی خدمات کے لیے مارکیٹ میں سنجیدہ کھلاڑیوں کی طرف رجوع کرنا ضروری ہے، مثال کے طور پر، سرٹیفیکیشن کا کام کرنے والی کمپنیاں۔ تصدیق کرنے والی کمپنیوں کے پاس اس طرح کے کام کو انجام دینے کا وسیع تجربہ ہے۔

ISPD بنانے کے اختیارات

آئی ایس پی ڈی کی تعمیر نہ صرف ایک تکنیکی ہے بلکہ بڑی حد تک ایک قانونی مسئلہ بھی ہے۔ CIO یا سیکورٹی ڈائریکٹر کو ہمیشہ قانونی مشیر سے مشورہ کرنا چاہیے۔ چونکہ کمپنی کے پاس آپ کے مطلوبہ پروفائل کے ساتھ ہمیشہ کوئی ماہر نہیں ہوتا ہے، اس لیے یہ آڈیٹر کنسلٹنٹس کی طرف دیکھنے کے قابل ہے۔ بہت سے پھسلنے والے پوائنٹس بالکل واضح نہیں ہوسکتے ہیں۔

مشاورت آپ کو یہ تعین کرنے کی اجازت دے گی کہ آپ کس ذاتی ڈیٹا کے ساتھ کام کر رہے ہیں اور اسے کس سطح کے تحفظ کی ضرورت ہے۔ اس کے مطابق، آپ کو آئی پی کا اندازہ ہو جائے گا جسے سیکورٹی اور آپریشنل حفاظتی اقدامات کے ساتھ بنانے یا اس کی تکمیل کرنے کی ضرورت ہے۔

اکثر کمپنی کا انتخاب دو اختیارات کے درمیان ہوتا ہے:

  1. متعلقہ IS کو اپنے ہارڈ ویئر اور سافٹ ویئر سلوشنز پر بنائیں، ممکنہ طور پر اپنے سرور روم میں۔

  2. کلاؤڈ فراہم کنندہ سے رابطہ کریں اور ایک لچکدار حل منتخب کریں، جو پہلے سے تصدیق شدہ "ورچوئل سرور روم" ہے۔

ذاتی ڈیٹا پر کارروائی کرنے والے زیادہ تر انفارمیشن سسٹم روایتی نقطہ نظر کا استعمال کرتے ہیں، جسے کاروباری نقطہ نظر سے مشکل ہی سے آسان اور کامیاب کہا جا سکتا ہے۔ اس اختیار کا انتخاب کرتے وقت، یہ سمجھنا ضروری ہے کہ تکنیکی ڈیزائن میں آلات کی تفصیل شامل ہوگی، بشمول سافٹ ویئر اور ہارڈ ویئر کے حل اور پلیٹ فارم۔ اس کا مطلب ہے کہ آپ کو درج ذیل مشکلات اور حدود کا سامنا کرنا پڑے گا۔

  • پیمانے کی دشواری؛

  • پراجیکٹ پر عمل درآمد کی طویل مدت: سسٹم کو منتخب کرنا، خریدنا، انسٹال کرنا، ترتیب دینا اور بیان کرنا ضروری ہے۔

  • بہت سارے "کاغذی" کام، مثال کے طور پر - پورے ISPD کے لیے دستاویزات کے مکمل پیکیج کی ترقی۔

اس کے علاوہ، ایک کاروبار، ایک اصول کے طور پر، اپنے IP کی صرف "ٹاپ" سطح کو سمجھتا ہے - وہ کاروباری ایپلی کیشنز جو وہ استعمال کرتا ہے۔ دوسرے لفظوں میں، آئی ٹی کا عملہ اپنے مخصوص علاقے میں ہنر مند ہے۔ اس بات کی کوئی سمجھ نہیں ہے کہ تمام "نچلی سطحیں" کیسے کام کرتی ہیں: سافٹ ویئر اور ہارڈویئر پروٹیکشن، سٹوریج سسٹم، بیک اپ اور یقیناً، تمام تقاضوں کے مطابق پروٹیکشن ٹولز کو کنفیگر کرنے کا طریقہ، کنفیگریشن کا "ہارڈ ویئر" حصہ بنائیں۔ یہ سمجھنا ضروری ہے: یہ علم کی ایک بہت بڑی تہہ ہے جو کلائنٹ کے کاروبار سے باہر ہے۔ یہ وہ جگہ ہے جہاں کلاؤڈ فراہم کنندہ کا ایک مصدقہ "ورچوئل سرور روم" فراہم کرنے کا تجربہ کام آسکتا ہے۔

اس کے نتیجے میں، کلاؤڈ فراہم کرنے والوں کے بہت سے فوائد ہیں جو کہ مبالغہ آرائی کے بغیر، ذاتی ڈیٹا کے تحفظ کے شعبے میں کاروباری ضروریات کا 99% پورا کر سکتے ہیں:

  • سرمائے کے اخراجات آپریٹنگ اخراجات میں بدل جاتے ہیں۔

  • فراہم کنندہ، اپنی طرف سے، ایک ثابت شدہ معیاری حل کی بنیاد پر مطلوبہ سطح کی حفاظت اور دستیابی کی ضمانت دیتا ہے۔

  • ماہرین کے عملے کو برقرار رکھنے کی ضرورت نہیں ہے جو ہارڈ ویئر کی سطح پر ISPD کے آپریشن کو یقینی بنائے۔

  • فراہم کرنے والے بہت زیادہ لچکدار اور لچکدار حل پیش کرتے ہیں۔

  • فراہم کنندہ کے ماہرین کے پاس تمام ضروری سرٹیفکیٹ ہیں؛

  • ریگولیٹرز کی ضروریات اور سفارشات کو مدنظر رکھتے ہوئے تعمیل آپ کے اپنے فن تعمیر کی تعمیر سے کم نہیں ہے۔

پرانا افسانہ کہ ذاتی ڈیٹا کلاؤڈ میں محفوظ نہیں کیا جا سکتا اب بھی انتہائی مقبول ہے۔ یہ صرف جزوی طور پر سچ ہے: PD واقعی پوسٹ نہیں کیا جا سکتا پہلے دستیاب میں بادل کچھ تکنیکی اقدامات کی تعمیل اور کچھ مصدقہ حلوں کے استعمال کی ضرورت ہے۔ اگر فراہم کنندہ تمام قانونی تقاضوں کی تعمیل کرتا ہے، تو ذاتی ڈیٹا کے رساو سے وابستہ خطرات کو کم کیا جاتا ہے۔ بہت سے فراہم کنندگان کے پاس 152-FZ کے مطابق ذاتی ڈیٹا پر کارروائی کرنے کے لیے ایک علیحدہ انفراسٹرکچر ہے۔ تاہم، سپلائی کرنے والے کے انتخاب کے لیے بھی کچھ معیارات کے علم کے ساتھ رابطہ کیا جانا چاہیے؛ ہم یقینی طور پر ذیل میں ان پر بات کریں گے۔ 

کلائنٹ اکثر ہمارے پاس فراہم کنندہ کے کلاؤڈ میں ذاتی ڈیٹا کی جگہ کے بارے میں کچھ خدشات کے ساتھ آتے ہیں۔ ٹھیک ہے، آئیے ابھی ان پر بات کرتے ہیں۔

  • ٹرانسمیشن یا منتقلی کے دوران ڈیٹا چوری ہو سکتا ہے۔

اس سے ڈرنے کی کوئی ضرورت نہیں ہے - فراہم کنندہ کلائنٹ کو ایک محفوظ ڈیٹا ٹرانسمیشن چینل بنانے کی پیشکش کرتا ہے جو مصدقہ حل پر بنایا گیا ہے، ٹھیکیداروں اور ملازمین کے لیے تصدیق کے بہتر اقدامات۔ بس بچا ہے مناسب تحفظ کے طریقوں کا انتخاب کرنا اور انہیں کلائنٹ کے ساتھ اپنے کام کے حصے کے طور پر لاگو کرنا۔

  • دکھائیں ماسک آئیں گے اور سرور کو بجلی لے جائیں گے/مہر/کاٹ دیں گے۔

یہ بات ان صارفین کے لیے کافی قابل فہم ہے جنہیں ڈر ہے کہ انفراسٹرکچر پر ناکافی کنٹرول کی وجہ سے ان کے کاروباری عمل میں خلل پڑ جائے گا۔ ایک اصول کے طور پر، وہ کلائنٹ جن کا ہارڈ ویئر پہلے چھوٹے سرور رومز میں موجود تھا بجائے کہ خصوصی ڈیٹا سینٹرز اس بارے میں سوچتے ہیں۔ حقیقت میں، ڈیٹا سینٹرز جسمانی اور معلومات کے تحفظ کے جدید ذرائع سے لیس ہیں۔ کافی بنیادوں اور کاغذات کے بغیر اس طرح کے ڈیٹا سینٹر میں کوئی بھی کارروائی کرنا تقریباً ناممکن ہے، اور ایسی سرگرمیوں کے لیے متعدد طریقہ کار کی تعمیل کی ضرورت ہوتی ہے۔ اس کے علاوہ، ڈیٹا سینٹر سے آپ کے سرور کو "کھینچنا" فراہم کنندہ کے دوسرے کلائنٹس کو متاثر کر سکتا ہے، اور یہ یقینی طور پر کسی کے لیے بھی ضروری نہیں ہے۔ اس کے علاوہ، کوئی بھی خاص طور پر "آپ کے" ورچوئل سرور پر انگلی نہیں اٹھا سکے گا، لہذا اگر کوئی اسے چوری کرنا چاہتا ہے یا ماسک شو کرنا چاہتا ہے، تو اسے سب سے پہلے بیوروکریٹک تاخیر سے نمٹنا پڑے گا۔ اس وقت کے دوران، آپ کے پاس کئی بار دوسری سائٹ پر منتقل ہونے کا زیادہ امکان ہوگا۔

  • ہیکرز کلاؤڈ کو ہیک کر کے ڈیٹا چوری کر لیں گے۔

انٹرنیٹ اور پرنٹ پریس اس بارے میں سرخیوں سے بھرے پڑے ہیں کہ کس طرح ایک اور کلاؤڈ سائبر کرائمینلز کا شکار ہوا، اور لاکھوں ذاتی ڈیٹا ریکارڈ آن لائن لیک ہو گئے۔ زیادہ تر معاملات میں، کمزوریاں فراہم کنندہ کی طرف سے بالکل نہیں، بلکہ متاثرین کے انفارمیشن سسٹم میں پائی گئیں: کمزور یا حتیٰ کہ پہلے سے طے شدہ پاس ورڈ، ویب سائٹ کے انجنوں اور ڈیٹا بیس میں "چھید"، اور حفاظتی اقدامات کا انتخاب کرتے وقت غیر معمولی کاروباری لاپرواہی اور ڈیٹا تک رسائی کے طریقہ کار کو منظم کرنا۔ تمام مصدقہ حل کمزوریوں کے لیے چیک کیے جاتے ہیں۔ ہم آزادانہ طور پر اور بیرونی تنظیموں کے ذریعے باقاعدگی سے "کنٹرول" پینٹسٹ اور سیکیورٹی آڈٹ بھی کرتے ہیں۔ فراہم کنندہ کے لیے، یہ عام طور پر ساکھ اور کاروبار کا معاملہ ہے۔

  • فراہم کنندہ کے فراہم کنندہ/ملازمین ذاتی فائدے کے لیے ذاتی ڈیٹا چوری کریں گے۔

یہ ایک انتہائی حساس لمحہ ہے۔ انفارمیشن سیکیورٹی کی دنیا کی متعدد کمپنیاں اپنے کلائنٹس کو "ڈراتی" ہیں اور اصرار کرتی ہیں کہ "اندرونی ملازمین باہر کے ہیکرز سے زیادہ خطرناک ہیں۔" یہ کچھ معاملات میں درست ہو سکتا ہے، لیکن اعتماد کے بغیر کاروبار نہیں بنایا جا سکتا۔ وقتاً فوقتاً، خبریں آتی رہتی ہیں کہ کسی تنظیم کے اپنے ملازمین حملہ آوروں کے لیے کسٹمر کا ڈیٹا لیک کرتے ہیں، اور بعض اوقات اندرونی سیکیورٹی بیرونی سیکیورٹی سے کہیں زیادہ خراب ہوتی ہے۔ یہاں یہ سمجھنا ضروری ہے کہ کوئی بھی بڑا فراہم کنندہ منفی معاملات میں انتہائی غیر دلچسپی رکھتا ہے۔ فراہم کنندہ کے ملازمین کے اعمال کو اچھی طرح سے منظم کیا جاتا ہے، کردار اور ذمہ داری کے شعبوں کو تقسیم کیا جاتا ہے۔ تمام کاروباری عمل کو اس طرح سے ترتیب دیا گیا ہے کہ ڈیٹا لیک ہونے کا امکان بہت کم ہوتا ہے اور وہ ہمیشہ اندرونی خدمات کے لیے قابل توجہ ہوتے ہیں، اس لیے کلائنٹس کو اس طرف سے مسائل سے خوفزدہ نہیں ہونا چاہیے۔

  • آپ بہت کم ادائیگی کرتے ہیں کیونکہ آپ اپنے کاروباری ڈیٹا کے ساتھ خدمات کے لیے ادائیگی کرتے ہیں۔

ایک اور افسانہ: ایک کلائنٹ جو محفوظ انفراسٹرکچر کو آرام دہ قیمت پر کرایہ پر لیتا ہے دراصل اپنے ڈیٹا سے اس کی ادائیگی کرتا ہے - یہ اکثر ماہرین کے خیال میں ہوتا ہے جنہیں سونے سے پہلے سازشی تھیوریوں کے ایک دو کو پڑھنے میں کوئی اعتراض نہیں ہوتا۔ سب سے پہلے، ترتیب میں بیان کردہ اعداد و شمار کے علاوہ آپ کے ڈیٹا کے ساتھ کوئی بھی کارروائی کرنے کا امکان بنیادی طور پر صفر ہے۔ دوم، ایک مناسب فراہم کنندہ آپ کے ساتھ تعلقات اور اس کی ساکھ کی قدر کرتا ہے - آپ کے علاوہ، اس کے اور بھی بہت سے کلائنٹس ہیں۔ اس کے برعکس صورت حال زیادہ امکان ہے، جس میں فراہم کنندہ اپنے کلائنٹس کے ڈیٹا کی جوش و خروش سے حفاظت کرے گا، جس پر اس کا کاروبار قائم ہے۔

ISPD کے لیے کلاؤڈ فراہم کنندہ کا انتخاب

آج، مارکیٹ ان کمپنیوں کے لیے بہت سے حل پیش کرتی ہے جو PD آپریٹرز ہیں۔ ذیل میں صحیح کو منتخب کرنے کے لیے سفارشات کی ایک عمومی فہرست ہے۔

  • فراہم کنندہ کو ایک رسمی معاہدہ کرنے کے لیے تیار ہونا چاہیے جس میں فریقین، SLAs اور ذاتی ڈیٹا پر کارروائی کی کلید میں ذمہ داری کے شعبوں کی ذمہ داریوں کو بیان کیا جائے۔ درحقیقت، آپ اور فراہم کنندہ کے درمیان، سروس کے معاہدے کے علاوہ، PD پروسیسنگ کے آرڈر پر دستخط ہونا ضروری ہے۔ کسی بھی صورت میں، یہ احتیاط سے ان کا مطالعہ کرنے کے قابل ہے. آپ اور فراہم کنندہ کے درمیان ذمہ داریوں کی تقسیم کو سمجھنا ضروری ہے۔

  • براہ کرم نوٹ کریں کہ سیگمنٹ کو تقاضوں کو پورا کرنا چاہیے، جس کا مطلب ہے کہ اس کے پاس ایک سرٹیفکیٹ ہونا چاہیے جو آپ کے IP کے لیے درکار سیکیورٹی کی سطح سے کم نہ ہو۔ ایسا ہوتا ہے کہ فراہم کنندگان سرٹیفکیٹ کا صرف پہلا صفحہ شائع کرتے ہیں، جس سے بہت کم واضح ہوتا ہے، یا سرٹیفکیٹ کو شائع کیے بغیر آڈٹ یا تعمیل کے طریقہ کار کا حوالہ دیتے ہیں ("کیا کوئی لڑکا تھا؟")۔ یہ پوچھنے کے قابل ہے - یہ ایک عوامی دستاویز ہے جو اس بات کی نشاندہی کرتی ہے کہ سرٹیفیکیشن، میعاد کی مدت، کلاؤڈ لوکیشن وغیرہ کو کس نے انجام دیا۔

  • فراہم کنندہ کو اس بارے میں معلومات فراہم کرنی چاہیے کہ اس کی سائٹس (محفوظ اشیاء) کہاں واقع ہیں تاکہ آپ اپنے ڈیٹا کی جگہ کو کنٹرول کر سکیں۔ ہم آپ کو یاد دلاتے ہیں کہ ذاتی ڈیٹا کا ابتدائی مجموعہ روسی فیڈریشن کی سرزمین پر کیا جانا چاہیے؛ اس کے مطابق، معاہدہ/سرٹیفکیٹ میں ڈیٹا سینٹر کے پتے دیکھنے کا مشورہ دیا جاتا ہے۔

  • فراہم کنندہ کو تصدیق شدہ معلومات کی حفاظت اور معلومات کے تحفظ کے نظام کا استعمال کرنا چاہیے۔ بلاشبہ، زیادہ تر فراہم کنندگان تکنیکی حفاظتی اقدامات اور حل فن تعمیر کی تشہیر نہیں کرتے جو وہ استعمال کرتے ہیں۔ لیکن آپ، ایک کلائنٹ کے طور پر، مدد نہیں کر سکتے لیکن اس کے بارے میں جان سکتے ہیں۔ مثال کے طور پر، انتظامی نظام (منیجمنٹ پورٹل) سے دور سے جڑنے کے لیے، حفاظتی اقدامات کا استعمال کرنا ضروری ہے۔ فراہم کنندہ اس ضرورت کو نظرانداز نہیں کر سکے گا اور آپ کو تصدیق شدہ حل فراہم کرے گا (یا آپ کو استعمال کرنے کی ضرورت ہے)۔ ٹیسٹ کے لیے وسائل لیں اور آپ فوری طور پر سمجھ جائیں گے کہ کیسے اور کیا کام کرتا ہے۔ 

  • کلاؤڈ فراہم کنندہ کے لیے معلومات کی حفاظت کے شعبے میں اضافی خدمات فراہم کرنا انتہائی ضروری ہے۔ یہ مختلف خدمات ہو سکتی ہیں: DDoS حملوں اور WAF کے خلاف تحفظ، اینٹی وائرس سروس یا سینڈ باکس وغیرہ۔ یہ سب آپ کو ایک خدمت کے طور پر تحفظ حاصل کرنے کی اجازت دے گا، تحفظ کے نظام کی تعمیر سے مشغول نہ ہوں، بلکہ کاروباری ایپلی کیشنز پر کام کریں۔

  • فراہم کنندہ FSTEC اور FSB کا لائسنس یافتہ ہونا ضروری ہے۔ ایک اصول کے طور پر، اس طرح کی معلومات کو براہ راست ویب سائٹ پر پوسٹ کیا جاتا ہے. ان دستاویزات کی درخواست کرنا یقینی بنائیں اور چیک کریں کہ آیا خدمات فراہم کرنے کے پتے، فراہم کنندہ کمپنی کا نام وغیرہ درست ہیں۔ 

آئیے خلاصہ کرتے ہیں۔ انفراسٹرکچر کرایہ پر لینے سے آپ CAPEX کو ترک کر سکتے ہیں اور آپ کی ذمہ داری کے علاقے میں صرف آپ کی کاروباری ایپلیکیشنز اور ڈیٹا کو برقرار رکھنے کی اجازت دے گا، اور ہارڈ ویئر اور سافٹ ویئر اور ہارڈ ویئر کے سرٹیفیکیشن کا بھاری بوجھ فراہم کنندہ کو منتقل کر دے گا۔

ہم نے سرٹیفیکیشن کیسے پاس کیا۔

ابھی حال ہی میں، ہم نے ذاتی ڈیٹا کے ساتھ کام کرنے کے تقاضوں کی تعمیل کے لیے "Secure Cloud FZ-152" کے بنیادی ڈھانچے کا دوبارہ سرٹیفیکیشن کامیابی سے پاس کر لیا ہے۔ یہ کام نیشنل سرٹیفیکیشن سینٹر کی طرف سے کیا گیا تھا.

فی الحال، "FZ-152 سیکیور کلاؤڈ" لیول UZ-3 کی ضروریات کے مطابق ذاتی ڈیٹا (ISPDn) کی پروسیسنگ، اسٹوریج یا ٹرانسمیشن میں ملوث انفارمیشن سسٹمز کی میزبانی کے لیے تصدیق شدہ ہے۔

سرٹیفیکیشن کے طریقہ کار میں تحفظ کی سطح کے ساتھ کلاؤڈ فراہم کنندہ کے بنیادی ڈھانچے کی تعمیل کی جانچ کرنا شامل ہے۔ فراہم کنندہ خود IaaS سروس فراہم کرتا ہے اور ذاتی ڈیٹا کا آپریٹر نہیں ہے۔ اس عمل میں تنظیمی (دستاویزات، آرڈرز، وغیرہ) اور تکنیکی اقدامات (حفاظتی آلات کی ترتیب وغیرہ) دونوں کی تشخیص شامل ہے۔

اسے معمولی نہیں کہا جا سکتا۔ اس حقیقت کے باوجود کہ GOST پروگراموں اور سرٹیفیکیشن کی سرگرمیوں کو انجام دینے کے طریقوں پر 2013 میں دوبارہ ظاہر ہوا، کلاؤڈ اشیاء کے لیے سخت پروگرام اب بھی موجود نہیں ہیں۔ سرٹیفیکیشن مراکز ان پروگراموں کو اپنی مہارت کی بنیاد پر تیار کرتے ہیں۔ نئی ٹیکنالوجیز کی آمد کے ساتھ، پروگرام زیادہ پیچیدہ اور جدید ہو جاتے ہیں؛ اس کے مطابق، تصدیق کنندہ کو کلاؤڈ سلوشنز کے ساتھ کام کرنے کا تجربہ ہونا چاہیے اور تفصیلات کو سمجھنا چاہیے۔

ہمارے معاملے میں، محفوظ آبجیکٹ دو مقامات پر مشتمل ہے۔

  • کلاؤڈ وسائل (سرور، اسٹوریج سسٹم، نیٹ ورک انفراسٹرکچر، سیکورٹی ٹولز وغیرہ) براہ راست ڈیٹا سینٹر میں واقع ہیں۔ بلاشبہ، ایسا ورچوئل ڈیٹا سینٹر پبلک نیٹ ورکس سے منسلک ہوتا ہے، اور اس کے مطابق، فائر وال کے کچھ تقاضوں کو پورا کرنا ضروری ہے، مثال کے طور پر، مصدقہ فائر والز کا استعمال۔

  • آبجیکٹ کا دوسرا حصہ کلاؤڈ مینجمنٹ ٹولز ہے۔ یہ ورک سٹیشنز (ایڈمنسٹریٹر کے ورک سٹیشن) ہیں جہاں سے محفوظ طبقہ کا انتظام کیا جاتا ہے۔

مقامات CIPF پر بنائے گئے VPN چینل کے ذریعے بات چیت کرتے ہیں۔

چونکہ ورچوئلائزیشن ٹیکنالوجیز خطرات کے ظہور کے لیے پیشگی شرائط پیدا کرتی ہیں، اس لیے ہم اضافی مصدقہ تحفظ کے اوزار بھی استعمال کرتے ہیں۔

IaaS 152-FZ: تو، آپ کو سیکورٹی کی ضرورت ہے۔بلاک ڈایاگرام "تجزیہ کار کی نظروں سے"

اگر کلائنٹ کو IaaS کرایہ پر لینے کے بعد، اپنے ISPD کی تصدیق کی ضرورت ہے، تو اسے صرف ورچوئل ڈیٹا سینٹر کی سطح سے اوپر کے انفارمیشن سسٹم کا جائزہ لینا ہوگا۔ اس طریقہ کار میں اس پر استعمال ہونے والے انفراسٹرکچر اور سافٹ ویئر کو چیک کرنا شامل ہے۔ چونکہ آپ انفراسٹرکچر کے تمام مسائل کے لیے فراہم کنندہ کے سرٹیفکیٹ کا حوالہ دے سکتے ہیں، اس لیے آپ کو صرف سافٹ ویئر کے ساتھ کام کرنا ہے۔

IaaS 152-FZ: تو، آپ کو سیکورٹی کی ضرورت ہے۔تجریدی سطح پر علیحدگی

آخر میں، یہاں ان کمپنیوں کے لیے ایک چھوٹی سی چیک لسٹ ہے جو پہلے سے ہی ذاتی ڈیٹا کے ساتھ کام کر رہی ہیں یا صرف منصوبہ بندی کر رہی ہیں۔ تو، جلانے کے بغیر اسے کیسے ہینڈل کرنا ہے.

  1. خطرات اور گھسنے والوں کے ماڈلز کا آڈٹ کرنے اور تیار کرنے کے لیے، سرٹیفیکیشن لیبارٹریوں میں سے ایک تجربہ کار کنسلٹنٹ کو مدعو کریں جو ضروری دستاویزات تیار کرنے اور آپ کو تکنیکی حل کے مرحلے تک پہنچانے میں مدد کرے گا۔

  2. کلاؤڈ فراہم کنندہ کا انتخاب کرتے وقت، سرٹیفکیٹ کی موجودگی پر توجہ دیں۔ یہ اچھا ہو گا اگر کمپنی عوامی طور پر اسے براہ راست ویب سائٹ پر پوسٹ کرے۔ فراہم کنندہ کا FSTEC اور FSB کا لائسنس یافتہ ہونا ضروری ہے، اور وہ جو سروس پیش کرتا ہے اس کا تصدیق شدہ ہونا ضروری ہے۔

  3. یقینی بنائیں کہ آپ کے پاس ذاتی ڈیٹا پر کارروائی کرنے کے لیے ایک رسمی معاہدہ اور دستخط شدہ ہدایت ہے۔ اس کی بنیاد پر، آپ تعمیل کی جانچ اور ISPD سرٹیفیکیشن دونوں انجام دینے کے قابل ہو جائیں گے۔ اگر تکنیکی منصوبے کے مرحلے میں یہ کام اور ڈیزائن اور تکنیکی دستاویزات کی تخلیق آپ کے لیے بوجھل معلوم ہوتی ہے، تو آپ کو فریق ثالث کی مشاورتی کمپنیوں سے رابطہ کرنا چاہیے۔ سرٹیفیکیشن لیبارٹریوں میں سے۔

اگر ذاتی ڈیٹا پروسیسنگ کے مسائل آپ سے متعلقہ ہیں، تو 18 ستمبر کو، اس جمعہ کو، ہمیں آپ کو ویبینار میں دیکھ کر خوشی ہوگی۔ "مصدقہ بادلوں کی تعمیر کی خصوصیات".

ماخذ: www.habr.com

نیا تبصرہ شامل کریں