ProHoster > Blog > Ma'muriyat > IaaS 152-FZ: shuning uchun sizga xavfsizlik kerak

IaaS 152-FZ: shuning uchun sizga xavfsizlik kerak

IaaS 152-FZ: shuning uchun sizga xavfsizlik kerak

152-FZ-ga rioya qilish bilan bog'liq afsona va afsonalarni qanchalik saralashingizdan qat'i nazar, har doim sahna ortida biror narsa qoladi. Bugun biz yirik kompaniyalar ham, juda kichik korxonalar ham duch kelishi mumkin bo'lgan har doim ham aniq bo'lmagan nuanslarni muhokama qilmoqchimiz:

  • PD tasnifining toifalarga bo'lgan nozikliklari - kichik onlayn-do'kon maxsus toifaga tegishli ma'lumotlarni hatto bu haqda bilmagan holda to'plashda;

  • yig'ilgan PDning zaxira nusxalarini saqlashingiz va ular ustida operatsiyalarni bajarishingiz mumkin bo'lgan joyda;

  • sertifikat va muvofiqlik xulosasi o'rtasidagi farq nima, provayderdan qanday hujjatlarni so'rash kerak va shunga o'xshash narsalar.

Va nihoyat, biz siz bilan sertifikatdan o'tish bo'yicha o'z tajribamiz bilan o'rtoqlashamiz. Bor!

Bugungi maqolada mutaxassis bo'ladi Aleksey Afanasyev, IT-GRAD va #CloudMTS bulut provayderlari uchun IS mutaxassisi (MTS guruhining bir qismi).

Tasniflashning nozik tomonlari

Biz tez-tez mijozning IS auditisiz ISPD uchun zarur xavfsizlik darajasini tezda aniqlash istagiga duch kelamiz. Ushbu mavzu bo'yicha Internetdagi ba'zi materiallar bu oddiy ish va xato qilish juda qiyin degan noto'g'ri taassurot qoldiradi.

KMni aniqlash uchun mijozning IS tomonidan qanday ma'lumotlar to'planishi va qayta ishlanishini tushunish kerak. Ba'zan himoya talablarini va biznes yuritadigan shaxsiy ma'lumotlar toifasini aniq aniqlash qiyin bo'lishi mumkin. Bir xil turdagi shaxsiy ma'lumotlar butunlay boshqacha tarzda baholanishi va tasniflanishi mumkin. Shu sababli, ba'zi hollarda korxonaning fikri auditor yoki hatto tekshiruvchining fikridan farq qilishi mumkin. Keling, bir nechta misollarni ko'rib chiqaylik.

Moshina to'xtash joyi. Bu juda an'anaviy biznes turiga o'xshaydi. Ko'pgina avtoulov parklari o'nlab yillar davomida faoliyat yuritib kelmoqda va ularning egalari yakka tartibdagi tadbirkorlar va jismoniy shaxslarni yollashadi. Qoida tariqasida, xodimlarning ma'lumotlari UZ-4 talablariga javob beradi. Biroq, haydovchilar bilan ishlash uchun nafaqat shaxsiy ma'lumotlarni to'plash, balki smenaga chiqishdan oldin avtotransport parki hududida tibbiy nazoratni amalga oshirish kerak va jarayonda to'plangan ma'lumotlar darhol haydovchilar toifasiga kiradi. tibbiy ma'lumotlar - va bu maxsus toifadagi shaxsiy ma'lumotlar. Bundan tashqari, avtopark sertifikatlarni so'rashi mumkin, keyinchalik ular haydovchining faylida saqlanadi. Bunday sertifikatni elektron shaklda skanerlash - sog'liq to'g'risidagi ma'lumotlar, maxsus toifadagi shaxsiy ma'lumotlar. Bu endi UZ-4 yetarli emasligini anglatadi, kamida UZ-3 kerak.

Onlayn do'kon. To'plangan ismlar, elektron pochta manzillari va telefon raqamlari ommaviy toifaga mos keladigan ko'rinadi. Biroq, agar mijozlaringiz halol yoki kosher kabi dietani afzal ko'rsatsa, bunday ma'lumotlar diniy mansublik yoki e'tiqod ma'lumotlari sifatida ko'rib chiqilishi mumkin. Shuning uchun, tekshirish yoki boshqa nazorat tadbirlarini amalga oshirishda inspektor siz to'plagan ma'lumotlarni shaxsiy ma'lumotlarning maxsus toifasi sifatida tasniflashi mumkin. Endi, agar onlayn-do'kon uning xaridori go'sht yoki baliqni afzal ko'rishi haqida ma'lumot to'plagan bo'lsa, ma'lumotlar boshqa shaxsiy ma'lumotlar sifatida tasniflanishi mumkin. Aytgancha, vegetarianlar haqida nima deyish mumkin? Axir, buni falsafiy e'tiqodlarga ham bog'lash mumkin, ular ham alohida toifaga kiradi. Ammo boshqa tomondan, bu go'shtni dietadan chiqarib tashlagan odamning munosabati bo'lishi mumkin. Afsuski, bunday "nozik" vaziyatlarda PD toifasini aniq belgilaydigan hech qanday belgi yo'q.

Reklama agentligi Ba'zi G'arbiy bulut xizmatidan foydalanib, u o'z mijozlarining ochiq ma'lumotlarini - to'liq ismlar, elektron pochta manzillari va telefon raqamlarini qayta ishlaydi. Ushbu shaxsiy ma'lumotlar, albatta, shaxsiy ma'lumotlarga tegishli. Savol tug'iladi: bunday qayta ishlashni amalga oshirish qonuniymi? Bunday ma'lumotlarni shaxsiylashtirishsiz Rossiya Federatsiyasidan tashqariga ko'chirish, masalan, ba'zi xorijiy bulutlarda zaxira nusxalarini saqlash mumkinmi? Albatta mumkin. Agentlik ushbu ma'lumotlarni Rossiyadan tashqarida saqlash huquqiga ega, ammo bizning qonunchiligimizga ko'ra, dastlabki yig'ish Rossiya Federatsiyasi hududida amalga oshirilishi kerak. Agar siz bunday ma'lumotlarning zaxira nusxasini yaratsangiz, unga asoslanib ba'zi statistik ma'lumotlarni hisoblang, tadqiqot o'tkazing yoki u bilan boshqa operatsiyalarni bajaring - bularning barchasini G'arb resurslarida amalga oshirish mumkin. Huquqiy nuqtai nazardan asosiy nuqta - bu shaxsiy ma'lumotlarning to'planishi. Shuning uchun dastlabki yig'ish va qayta ishlashni chalkashtirmaslik kerak.

Ushbu qisqa misollardan ko'rinib turibdiki, shaxsiy ma'lumotlar bilan ishlash har doim ham oddiy va oddiy emas. Kerakli xavfsizlik darajasini to'g'ri aniqlash uchun siz nafaqat ular bilan ishlayotganingizni bilishingiz, balki ularni to'g'ri tasniflash, IP qanday ishlashini tushunishingiz kerak. Ba'zi hollarda, tashkilot qanchalik shaxsiy ma'lumotlarga ega bo'lishi kerakligi haqida savol tug'ilishi mumkin. Eng "jiddiy" yoki oddiygina keraksiz ma'lumotlarni rad qilish mumkinmi? Bundan tashqari, regulyator imkon qadar shaxsiy ma'lumotlarni shaxsiylashtirishni tavsiya qiladi. 

Yuqoridagi misollarda bo'lgani kabi, ba'zida siz inspeksiya organlari to'plangan shaxsiy ma'lumotlarni o'zingiz baholaganingizdan biroz boshqacha talqin qilishiga duch kelishingiz mumkin.

Albatta, siz auditor yoki tizim integratorini yordamchi sifatida yollashingiz mumkin, ammo audit paytida tanlangan qarorlar uchun "yordamchi" javobgar bo'ladimi? Shuni ta'kidlash kerakki, javobgarlik har doim ISPD egasi - shaxsiy ma'lumotlar operatori zimmasiga tushadi. Shuning uchun kompaniya bunday ishlarni amalga oshirayotganda, bunday xizmatlar bozorida jiddiy ishtirokchilarga, masalan, sertifikatlashtirish ishlarini olib boradigan kompaniyalarga murojaat qilish muhimdir. Sertifikatlash kompaniyalari bunday ishlarni bajarishda katta tajribaga ega.

ISPD qurish imkoniyatlari

ISPD qurilishi nafaqat texnik, balki asosan huquqiy masaladir. CIO yoki xavfsizlik direktori har doim yuridik maslahatchi bilan maslahatlashishi kerak. Kompaniya har doim ham sizga kerak bo'lgan profilga ega bo'lgan mutaxassisga ega emasligi sababli, auditor-maslahatchilarga murojaat qilishga arziydi. Ko'p sirpanchiq nuqtalar umuman aniq bo'lmasligi mumkin.

Maslahat sizga qanday shaxsiy ma'lumotlar bilan shug'ullanayotganingizni va u qanday himoya darajasini talab qilishini aniqlash imkonini beradi. Shunga ko'ra, siz yaratilishi yoki xavfsizlik va operatsion xavfsizlik choralari bilan to'ldirilishi kerak bo'lgan IP haqida tasavvurga ega bo'lasiz.

Ko'pincha kompaniya uchun tanlov ikkita variant orasida bo'ladi:

  1. Tegishli ISni o'zingizning apparat va dasturiy echimlaringizda, ehtimol o'z server xonangizda yarating.

  2. Bulutli provayderga murojaat qiling va elastik yechimni, allaqachon sertifikatlangan "virtual server xonasi" ni tanlang.

Shaxsiy ma'lumotlarni qayta ishlaydigan ko'pgina axborot tizimlari an'anaviy yondashuvdan foydalanadi, uni biznes nuqtai nazaridan oson va muvaffaqiyatli deb atash qiyin. Ushbu variantni tanlashda, texnik dizayn uskunaning tavsifini, jumladan, dasturiy ta'minot va apparat echimlari va platformalarini o'z ichiga olishini tushunish kerak. Bu siz quyidagi qiyinchiliklar va cheklovlarga duch kelishingiz kerakligini anglatadi:

  • masshtabni o'lchash qiyinligi;

  • loyihani amalga oshirishning uzoq muddati: tizimni tanlash, sotib olish, o'rnatish, sozlash va tavsiflash kerak;

  • ko'plab "qog'oz" ishlari, misol sifatida - butun ISPD uchun to'liq hujjatlar to'plamini ishlab chiqish.

Bundan tashqari, biznes, qoida tariqasida, faqat IP-ning "yuqori" darajasini - u foydalanadigan biznes ilovalarini tushunadi. Boshqacha qilib aytganda, IT xodimlari o'z sohalarida malakali. Barcha "pastki darajalar" qanday ishlashi haqida hech qanday tushuncha yo'q: dasturiy ta'minot va apparat himoyasi, saqlash tizimlari, zaxiralash va, albatta, barcha talablarga muvofiq himoya vositalarini qanday sozlash, konfiguratsiyaning "apparat" qismini qurish. Tushunish juda muhim: bu mijozning biznesidan tashqarida joylashgan juda katta bilim qatlami. Bu erda sertifikatlangan "virtual server xonasi" ni taqdim etuvchi bulutli provayderning tajribasi foydali bo'lishi mumkin.

O'z navbatida, bulutli provayderlar shaxsiy ma'lumotlarni himoya qilish sohasidagi biznes ehtiyojlarining 99 foizini mubolag'asiz qoplashi mumkin bo'lgan bir qator afzalliklarga ega:

  • kapital xarajatlar operatsion xarajatlarga aylantiriladi;

  • provayder, o'z navbatida, tasdiqlangan standart yechim asosida zarur xavfsizlik darajasini va mavjudligini ta'minlashni kafolatlaydi;

  • ISPD ning apparat darajasida ishlashini ta'minlaydigan mutaxassislar shtatini saqlashga hojat yo'q;

  • provayderlar ancha moslashuvchan va elastik echimlarni taklif qiladi;

  • provayder mutaxassislari barcha kerakli sertifikatlarga ega;

  • muvofiqlik tartibga soluvchilarning talablari va tavsiyalarini inobatga olgan holda o'z arxitekturangizni qurishdan kam emas.

Shaxsiy ma'lumotlarni bulutda saqlash mumkin emasligi haqidagi eski afsona hali ham juda mashhur. Bu faqat qisman to'g'ri: PD haqiqatan ham joylashtirilmaydi birinchisida mavjud bulut. Muayyan texnik choralarga rioya qilish va ma'lum sertifikatlangan echimlardan foydalanish talab etiladi. Agar provayder barcha qonuniy talablarga javob bersa, shaxsiy ma'lumotlarning tarqalishi bilan bog'liq xavflar minimallashtiriladi. Ko'pgina provayderlar 152-FZ ga muvofiq shaxsiy ma'lumotlarni qayta ishlash uchun alohida infratuzilmaga ega. Biroq, etkazib beruvchini tanlashga ma'lum mezonlarni bilish bilan ham yondashish kerak, biz ularga quyida to'xtalib o'tamiz. 

Mijozlar ko'pincha bizga provayder bulutida shaxsiy ma'lumotlarni joylashtirish bo'yicha ba'zi tashvishlar bilan murojaat qilishadi. Keling, ularni darhol muhokama qilaylik.

  • Ma'lumotlar uzatish yoki ko'chirish paytida o'g'irlanishi mumkin

Bundan qo'rqishning hojati yo'q - provayder mijozga sertifikatlangan echimlar, pudratchilar va xodimlar uchun kengaytirilgan autentifikatsiya choralari asosida qurilgan xavfsiz ma'lumotlarni uzatish kanalini yaratishni taklif qiladi. Faqatgina tegishli himoya usullarini tanlash va ularni mijoz bilan ishlashning bir qismi sifatida amalga oshirish qoladi.

  • Ko'rsatish maskalari kelib, serverni tortib oladi/yopishadi/kesadi

Infratuzilma ustidan yetarlicha nazorat yoβ€˜qligi sababli biznes jarayonlari buzilishidan qoβ€˜rqqan mijozlar uchun bu juda tushunarli. Qoidaga ko'ra, apparati ilgari ixtisoslashtirilgan ma'lumotlar markazlarida emas, balki kichik server xonalarida joylashgan mijozlar bu haqda o'ylashadi. Darhaqiqat, ma'lumotlar markazlari jismoniy va axborotni himoya qilishning zamonaviy vositalari bilan jihozlangan. Bunday ma'lumotlar markazida etarli asoslar va hujjatlarsiz biron bir operatsiyani bajarish deyarli mumkin emas va bunday faoliyat bir qator tartib-qoidalarga rioya qilishni talab qiladi. Bundan tashqari, serveringizni ma'lumotlar markazidan "tortib olish" provayderning boshqa mijozlariga ta'sir qilishi mumkin va bu, albatta, hech kimga kerak emas. Bundan tashqari, hech kim "sizning" virtual serveringizga barmoq bilan ishora qila olmaydi, shuning uchun agar kimdir uni o'g'irlamoqchi bo'lsa yoki niqobli shou uyushtirmoqchi bo'lsa, birinchi navbatda juda ko'p byurokratik kechikishlarga duch kelishi kerak bo'ladi. Bu vaqt ichida siz boshqa saytga bir necha marta o'tishga vaqt topasiz.

  • Xakerlar bulutni buzishadi va ma'lumotlarni o'g'irlashadi

Internet va bosma nashrlar qanday qilib yana bir bulut kiberjinoyatchilar qurboniga aylangani va millionlab shaxsiy maΚΌlumotlarning internetga sizib chiqqani haqidagi sarlavhalarga toΚ»la. Aksariyat hollarda zaifliklar umuman provayder tomonida emas, balki jabrlanuvchilarning axborot tizimlarida topilgan: zaif yoki hatto standart parollar, veb-saytlar dvigatellari va ma'lumotlar bazalaridagi "teshiklar" va xavfsizlik choralarini tanlashda biznesdagi beparvolik. ma'lumotlarga kirish tartiblarini tashkil qilish. Barcha sertifikatlangan yechimlar zaifliklar uchun tekshiriladi. Biz, shuningdek, mustaqil ravishda ham, tashqi tashkilotlar orqali ham muntazam ravishda "nazorat" pentestlari va xavfsizlik auditlarini o'tkazamiz. Provayder uchun bu obro' va umuman biznes masalasidir.

  • Provayder/provayderning xodimlari shaxsiy manfaatlar uchun shaxsiy ma'lumotlarni o'g'irlashadi

Bu juda sezgir daqiqa. Axborot xavfsizligi dunyosining bir qator kompaniyalari o'z mijozlarini "qo'rqitadi" va "ichki xodimlar tashqi xakerlarga qaraganda xavfliroq" deb ta'kidlashadi. Bu ba'zi hollarda to'g'ri bo'lishi mumkin, ammo ishonchsiz biznesni qurish mumkin emas. Vaqti-vaqti bilan xabarlar paydo bo'ladiki, tashkilotning o'z xodimlari mijozlar ma'lumotlarini tajovuzkorlarga sizdiradi va ichki xavfsizlik ba'zan tashqi xavfsizlikdan ancha yomonroq tashkil etilgan. Bu erda har qanday yirik provayder salbiy holatlarga juda qiziqmasligini tushunish muhimdir. Provayder xodimlarining harakatlari yaxshi tartibga solingan, rollar va mas'uliyat sohalari bo'lingan. Barcha biznes-jarayonlar shunday tuzilganki, ma'lumotlarning sizib chiqishi holatlari juda kam va har doim ichki xizmatlar tomonidan seziladi, shuning uchun mijozlar bu tomondan muammolardan qo'rqmasliklari kerak.

  • Siz o'zingizning biznes ma'lumotlaringiz bilan xizmatlar uchun to'laganingiz uchun kam to'laysiz.

Yana bir afsona: xavfsiz infratuzilmani qulay narxda ijaraga olgan mijoz buning uchun o'z ma'lumotlari bilan to'laydi - bu ko'pincha yotishdan oldin bir nechta fitna nazariyalarini o'qishga qarshi bo'lmagan mutaxassislar tomonidan o'ylanadi. Birinchidan, sizning ma'lumotlaringiz bilan buyurtmada ko'rsatilganidan tashqari har qanday operatsiyalarni amalga oshirish imkoniyati deyarli nolga teng. Ikkinchidan, adekvat provayder siz bilan munosabatlarni va uning obro'sini qadrlaydi - sizdan tashqari uning ko'plab mijozlari bor. Aksincha, provayder o'z biznesi tayanadigan mijozlarining ma'lumotlarini g'ayrat bilan himoya qiladi.

ISPD uchun bulutli provayderni tanlash

Bugungi kunda bozor PD operatorlari bo'lgan kompaniyalar uchun ko'plab echimlarni taklif qiladi. Quyida to'g'ri tanlash bo'yicha tavsiyalarning umumiy ro'yxati keltirilgan.

  • Provayder shaxsiy ma'lumotlarni qayta ishlash kalitida tomonlarning mas'uliyati, SLA va mas'uliyat sohalarini tavsiflovchi rasmiy shartnoma tuzishga tayyor bo'lishi kerak. Aslida, siz va provayder o'rtasida, xizmat ko'rsatish shartnomasiga qo'shimcha ravishda, PDni qayta ishlash uchun buyurtma imzolanishi kerak. Qanday bo'lmasin, ularni diqqat bilan o'rganishga arziydi. Siz va provayder o'rtasidagi mas'uliyat taqsimotini tushunish muhimdir.

  • E'tibor bering, segment talablarga javob berishi kerak, ya'ni u sizning IP talab qilganidan past bo'lmagan xavfsizlik darajasini ko'rsatadigan sertifikatga ega bo'lishi kerak. Provayderlar sertifikatning faqat birinchi sahifasini nashr etadilar, undan juda oz narsa aniq bo'ladi yoki sertifikatning o'zini nashr etmasdan turib audit yoki muvofiqlik tartib-qoidalariga murojaat qiladi ("o'g'il bola bormi?"). Buni so'rashga arziydi - bu sertifikatlash kim tomonidan amalga oshirilganligi, amal qilish muddati, bulutdagi joylashuvi va boshqalarni ko'rsatadigan umumiy hujjat.

  • Provayder o'z saytlari (himoyalangan ob'ektlar) qayerda joylashganligi haqida ma'lumot berishi kerak, shunda siz ma'lumotlaringizni joylashtirishni nazorat qilishingiz mumkin. Eslatib o'tamiz, shaxsiy ma'lumotlarni dastlabki yig'ish Rossiya Federatsiyasi hududida amalga oshirilishi kerak, shunga ko'ra, shartnomada/sertifikatda ma'lumotlar markazining manzillarini ko'rish tavsiya etiladi.

  • Provayder sertifikatlangan axborot xavfsizligi va axborotni himoya qilish tizimlaridan foydalanishi shart. Albatta, ko'pchilik provayderlar o'zlari foydalanadigan texnik xavfsizlik choralari va yechim arxitekturasini reklama qilmaydi. Lekin siz, mijoz sifatida, bu haqda bilmasdan qolishingiz mumkin emas. Masalan, boshqaruv tizimiga (boshqaruv portali) masofadan ulanish uchun xavfsizlik choralarini qo'llash kerak. Provayder bu talabni chetlab o'ta olmaydi va sizga sertifikatlangan yechimlarni taqdim etadi (yoki foydalanishingizni talab qiladi). Sinov uchun resurslarni oling va siz qanday va nima ishlashini darhol tushunasiz. 

  • Bulutli provayder uchun axborot xavfsizligi sohasida qo'shimcha xizmatlarni taqdim etish juda ma'qul. Bu turli xizmatlar bo'lishi mumkin: DDoS hujumlaridan va WAF dan himoya qilish, virusga qarshi xizmat yoki sandbox va boshqalar. Bularning barchasi sizga xizmat sifatida himoyani olish, binolarni himoya qilish tizimlari bilan chalg'imaslik, balki biznes ilovalari ustida ishlash imkonini beradi.

  • Provayder FSTEC va FSB litsenziyasi bo'lishi kerak. Qoidaga ko'ra, bunday ma'lumotlar to'g'ridan-to'g'ri veb-saytga joylashtiriladi. Ushbu hujjatlarni so'rashni unutmang va xizmatlar ko'rsatish manzillari, provayder kompaniya nomi va boshqalar to'g'ri yoki yo'qligini tekshiring. 

Keling, xulosa qilaylik. Infratuzilmani ijaraga olish sizga CAPEX-dan voz kechish va faqat sizning biznes-ilovalaringizni va o'zingizning mas'uliyat sohangizdagi ma'lumotlarning o'zini saqlashga va apparat va dasturiy ta'minot va apparat vositalarini sertifikatlashning og'ir yukini provayderga topshirishga imkon beradi.

Biz sertifikatdan qanday o'tdik

Yaqinda biz "Secure Cloud FZ-152" infratuzilmasining shaxsiy ma'lumotlar bilan ishlash talablariga muvofiqligini qayta sertifikatlashdan muvaffaqiyatli o'tdik. Ish Milliy sertifikatlashtirish markazi tomonidan amalga oshirildi.

Hozirgi vaqtda "FZ-152 Secure Cloud" UZ-3 darajasi talablariga muvofiq shaxsiy ma'lumotlarni qayta ishlash, saqlash yoki uzatish (ISPDn) bilan bog'liq axborot tizimlarini joylashtirish uchun sertifikatlangan.

Sertifikatlash jarayoni bulutli provayder infratuzilmasi himoya darajasiga muvofiqligini tekshirishni oβ€˜z ichiga oladi. Provayderning o'zi IaaS xizmatini taqdim etadi va shaxsiy ma'lumotlar operatori emas. Jarayon ham tashkiliy (hujjatlar, buyruqlar va boshqalar), ham texnik chora-tadbirlarni (himoya vositalarini o'rnatish va h.k.) baholashni o'z ichiga oladi.

Buni ahamiyatsiz deb atash mumkin emas. Sertifikatlash tadbirlarini o'tkazish dasturlari va usullari bo'yicha GOST 2013 yilda paydo bo'lganiga qaramay, bulutli ob'ektlar uchun qat'iy dasturlar hali ham mavjud emas. Sertifikatlash markazlari ushbu dasturlarni o'zlarining tajribalari asosida ishlab chiqadilar. Yangi texnologiyalar paydo bo'lishi bilan dasturlar murakkablashadi va modernizatsiya qilinadi; shunga ko'ra, sertifikatlovchi bulutli echimlar bilan ishlash tajribasiga ega bo'lishi va o'ziga xos xususiyatlarni tushunishi kerak.

Bizning holatda, himoyalangan ob'ekt ikkita joydan iborat.

  • Bulutli resurslar (serverlar, saqlash tizimlari, tarmoq infratuzilmasi, xavfsizlik vositalari va boshqalar) to'g'ridan-to'g'ri ma'lumotlar markazida joylashgan. Albatta, bunday virtual ma'lumotlar markazi umumiy tarmoqlarga ulangan va shunga ko'ra, xavfsizlik devorining ma'lum talablari bajarilishi kerak, masalan, sertifikatlangan xavfsizlik devorlaridan foydalanish.

  • Ob'ektning ikkinchi qismi bulutni boshqarish vositalaridir. Bular himoyalangan segment boshqariladigan ish stantsiyalari (administratorning ish stantsiyalari).

Joylar CIPF asosida qurilgan VPN kanali orqali muloqot qiladi.

Virtualizatsiya texnologiyalari tahdidlarning paydo bo'lishi uchun old shartlarni yaratganligi sababli, biz qo'shimcha sertifikatlangan himoya vositalaridan ham foydalanamiz.

IaaS 152-FZ: shuning uchun sizga xavfsizlik kerakBlok diagrammasi "baholovchining ko'zi bilan"

Agar mijoz ISPD sertifikatini talab qilsa, IaaSni ijaraga olgandan so'ng, u faqat virtual ma'lumotlar markazi darajasidan yuqori axborot tizimini baholashi kerak bo'ladi. Ushbu protsedura infratuzilma va unda ishlatiladigan dasturiy ta'minotni tekshirishni o'z ichiga oladi. Barcha infratuzilma muammolari uchun provayder sertifikatiga murojaat qilishingiz mumkin bo'lganligi sababli, faqat dasturiy ta'minot bilan ishlashingiz kerak.

IaaS 152-FZ: shuning uchun sizga xavfsizlik kerakAbstraksiya darajasida ajratish

Xulosa qilib aytganda, bu erda shaxsiy ma'lumotlar bilan ishlayotgan yoki endigina rejalashtirayotgan kompaniyalar uchun kichik nazorat ro'yxati. Xo'sh, kuyib ketmasdan qanday kurashish kerak.

  1. Tahdidlar va tajovuzkorlarning modellarini tekshirish va ishlab chiqish uchun sertifikatlash laboratoriyalaridan kerakli hujjatlarni ishlab chiqishda yordam beradigan va sizni texnik echimlar bosqichiga olib keladigan tajribali maslahatchini taklif qiling.

  2. Bulutli provayderni tanlashda sertifikat mavjudligiga e'tibor bering. Agar kompaniya uni to'g'ridan-to'g'ri veb-saytda ommaga e'lon qilsa yaxshi bo'lardi. Provayder FSTEC va FSB litsenziati bo'lishi kerak va u taklif qilayotgan xizmat sertifikatlangan bo'lishi kerak.

  3. Shaxsiy ma'lumotlarni qayta ishlash bo'yicha rasmiy kelishuv va imzolangan yo'riqnomangiz borligiga ishonch hosil qiling. Shunga asoslanib, siz ham muvofiqlik tekshiruvini, ham ISPD sertifikatini amalga oshirishingiz mumkin.Agar bu ish texnik loyiha bosqichida va dizayn va texnik hujjatlarni yaratish siz uchun og'ir bo'lib tuyulsa, uchinchi tomon konsalting kompaniyalariga murojaat qilishingiz kerak. sertifikatlashtirish laboratoriyalari orasidan.

Agar shaxsiy ma'lumotlarni qayta ishlash masalalari sizga tegishli bo'lsa, 18 sentyabr, shu juma kuni biz sizni vebinarda ko'rishdan xursand bo'lamiz. "Sertifikatlangan bulutlarni qurish xususiyatlari".

Manba: www.habr.com

a Izoh qo'shish