Prohoster > Blog > quản lý > IaaS 152-FZ: vậy, bạn cần bảo mật

IaaS 152-FZ: vậy, bạn cần bảo mật

IaaS 152-FZ: vậy, bạn cần bảo mật

Cho dù bạn có sắp xếp được những huyền thoại và truyền thuyết xung quanh việc tuân thủ 152-FZ đến mức nào thì vẫn luôn có điều gì đó ẩn giấu đằng sau hậu trường. Hôm nay chúng tôi muốn thảo luận về một số sắc thái không phải lúc nào cũng rõ ràng mà cả công ty lớn và doanh nghiệp rất nhỏ đều có thể gặp phải:

  • sự tinh tế của việc phân loại PD thành các danh mục - khi một cửa hàng trực tuyến nhỏ thu thập dữ liệu liên quan đến một danh mục đặc biệt mà không hề biết về nó;

  • nơi bạn có thể lưu trữ các bản sao lưu của PD đã thu thập và thực hiện các thao tác trên chúng;

  • sự khác biệt giữa chứng chỉ và kết luận tuân thủ là gì, bạn nên yêu cầu những tài liệu nào từ nhà cung cấp và những thứ tương tự.

Cuối cùng, chúng tôi sẽ chia sẻ với bạn kinh nghiệm vượt qua chứng chỉ của chính chúng tôi. Đi!

Chuyên gia trong bài viết hôm nay sẽ là Alexey Afanasyev, Chuyên gia IS cho các nhà cung cấp đám mây IT-GRAD và #CloudMTS (một phần của nhóm MTS).

Sự tinh tế của phân loại

Chúng tôi thường gặp phải mong muốn của khách hàng là nhanh chóng xác định mức độ bảo mật cần thiết cho ISPD mà không cần kiểm tra IS. Một số tài liệu trên Internet về chủ đề này gây ấn tượng sai lầm rằng đây là một nhiệm vụ đơn giản và khá khó mắc lỗi.

Để xác định KM, cần phải hiểu dữ liệu nào sẽ được IS của khách hàng thu thập và xử lý. Đôi khi có thể khó xác định rõ ràng các yêu cầu bảo vệ và danh mục dữ liệu cá nhân mà doanh nghiệp vận hành. Các loại dữ liệu cá nhân giống nhau có thể được đánh giá và phân loại theo những cách hoàn toàn khác nhau. Vì vậy, trong một số trường hợp, ý kiến ​​của doanh nghiệp có thể khác với ý kiến ​​của kiểm toán viên hay thậm chí là thanh tra viên. Hãy xem xét một vài ví dụ.

Bãi đỗ xe. Nó có vẻ giống như một loại hình kinh doanh khá truyền thống. Nhiều đội xe đã hoạt động trong nhiều thập kỷ và chủ sở hữu của chúng thuê các cá nhân và doanh nhân. Theo quy định, dữ liệu nhân viên thuộc các yêu cầu của UZ-4. Tuy nhiên, để làm việc với người lái xe, không chỉ cần thu thập dữ liệu cá nhân mà còn phải thực hiện kiểm soát y tế trên lãnh thổ của đội xe trước khi chuyển ca và thông tin thu thập được trong quá trình này ngay lập tức thuộc loại dữ liệu y tế - và đây là dữ liệu cá nhân thuộc danh mục đặc biệt. Ngoài ra, đội xe có thể yêu cầu chứng chỉ, sau đó sẽ được lưu trong hồ sơ của người lái xe. Bản quét chứng chỉ đó ở dạng điện tử - dữ liệu sức khỏe, dữ liệu cá nhân thuộc danh mục đặc biệt. Điều này có nghĩa là UZ-4 không còn đủ nữa; ít nhất cần phải có UZ-3.

Cửa hàng trực tuyến. Có vẻ như tên, email và số điện thoại được thu thập phù hợp với danh mục công khai. Tuy nhiên, nếu khách hàng của bạn cho biết sở thích về chế độ ăn uống, chẳng hạn như halal hoặc kosher, thông tin đó có thể được coi là dữ liệu về liên kết tôn giáo hoặc tín ngưỡng. Do đó, khi kiểm tra hoặc thực hiện các hoạt động kiểm soát khác, thanh tra viên có thể phân loại dữ liệu bạn thu thập thành một danh mục dữ liệu cá nhân đặc biệt. Giờ đây, nếu một cửa hàng trực tuyến thu thập thông tin về việc người mua thích thịt hay cá thì dữ liệu đó có thể được phân loại là dữ liệu cá nhân khác. Nhân tiện, còn người ăn chay thì sao? Rốt cuộc, điều này cũng có thể được quy cho niềm tin triết học, cũng thuộc một phạm trù đặc biệt. Nhưng mặt khác, đây có thể chỉ đơn giản là thái độ của một người đã loại bỏ thịt khỏi chế độ ăn uống của mình. Than ôi, không có dấu hiệu nào xác định rõ ràng loại PD trong những tình huống “tinh vi” như vậy.

Công ty quảng cáo Sử dụng một số dịch vụ đám mây của phương Tây, nó xử lý dữ liệu có sẵn công khai của khách hàng - tên đầy đủ, địa chỉ email và số điện thoại. Tất nhiên, những dữ liệu cá nhân này liên quan đến dữ liệu cá nhân. Câu hỏi đặt ra: việc thực hiện việc xử lý như vậy có hợp pháp không? Thậm chí có thể di chuyển những dữ liệu đó mà không cần cá nhân hóa ra bên ngoài Liên bang Nga, chẳng hạn như để lưu trữ các bản sao lưu trên một số đám mây nước ngoài không? Tất nhiên bạn có thể. Cơ quan có quyền lưu trữ dữ liệu này bên ngoài nước Nga, tuy nhiên, việc thu thập ban đầu, theo luật của chúng tôi, phải được thực hiện trên lãnh thổ Liên bang Nga. Nếu bạn sao lưu thông tin đó, tính toán một số thống kê dựa trên nó, tiến hành nghiên cứu hoặc thực hiện một số hoạt động khác với nó - tất cả những điều này có thể được thực hiện trên các tài nguyên của phương Tây. Điểm mấu chốt từ quan điểm pháp lý là nơi thu thập dữ liệu cá nhân. Do đó, điều quan trọng là không nhầm lẫn giữa việc thu thập và xử lý ban đầu.

Như sau từ những ví dụ ngắn này, việc xử lý dữ liệu cá nhân không phải lúc nào cũng đơn giản và dễ dàng. Bạn không chỉ cần biết rằng bạn đang làm việc với họ mà còn phải có khả năng phân loại chính xác chúng, hiểu cách hoạt động của IP để xác định chính xác mức độ bảo mật cần thiết. Trong một số trường hợp, câu hỏi có thể đặt ra là tổ chức thực sự cần bao nhiêu dữ liệu cá nhân để vận hành. Có thể từ chối dữ liệu “nghiêm trọng” nhất hoặc đơn giản là không cần thiết? Ngoài ra, cơ quan quản lý khuyến nghị phi cá nhân hóa dữ liệu cá nhân nếu có thể. 

Như trong các ví dụ trên, đôi khi bạn có thể gặp phải thực tế là các cơ quan kiểm tra diễn giải dữ liệu cá nhân được thu thập hơi khác so với cách bạn tự đánh giá chúng.

Tất nhiên, bạn có thể thuê một kiểm toán viên hoặc một nhà tích hợp hệ thống làm trợ lý, nhưng liệu “trợ lý” đó có chịu trách nhiệm về các quyết định được lựa chọn trong trường hợp kiểm toán không? Điều đáng chú ý là trách nhiệm luôn thuộc về chủ sở hữu ISPD – người vận hành dữ liệu cá nhân. Đó là lý do tại sao, khi một công ty thực hiện công việc như vậy, điều quan trọng là phải hướng tới những người chơi nghiêm túc trên thị trường cung cấp các dịch vụ đó, chẳng hạn như các công ty tiến hành công việc chứng nhận. Các công ty chứng nhận có nhiều kinh nghiệm trong việc thực hiện công việc như vậy.

Các tùy chọn để xây dựng ISPD

Việc xây dựng ISPD không chỉ là vấn đề kỹ thuật mà còn là vấn đề pháp lý. CIO hoặc giám đốc an ninh phải luôn tham khảo ý kiến ​​của cố vấn pháp lý. Vì công ty không phải lúc nào cũng có chuyên gia có hồ sơ như bạn cần, nên bạn nên tìm đến kiểm toán viên-tư vấn. Nhiều điểm trơn trượt có thể không rõ ràng chút nào.

Việc tư vấn sẽ cho phép bạn xác định dữ liệu cá nhân nào bạn đang xử lý và mức độ bảo vệ cần thiết. Theo đó, bạn sẽ có ý tưởng về IP cần được tạo hoặc bổ sung các biện pháp bảo mật và bảo mật hoạt động.

Thông thường sự lựa chọn của một công ty là giữa hai lựa chọn:

  1. Xây dựng IS tương ứng trên các giải pháp phần cứng và phần mềm của riêng bạn, có thể trong phòng máy chủ của riêng bạn.

  2. Liên hệ với nhà cung cấp đám mây và chọn một giải pháp linh hoạt, một “phòng máy chủ ảo” đã được chứng nhận.

Hầu hết các hệ thống thông tin xử lý dữ liệu cá nhân đều sử dụng cách tiếp cận truyền thống, theo quan điểm kinh doanh, khó có thể gọi là dễ dàng và thành công. Khi chọn tùy chọn này, cần phải hiểu rằng thiết kế kỹ thuật sẽ bao gồm mô tả về thiết bị, bao gồm các giải pháp và nền tảng phần mềm và phần cứng. Điều này đồng nghĩa với việc bạn sẽ phải đối mặt với những khó khăn và hạn chế sau:

  • khó khăn trong việc mở rộng quy mô;

  • thời gian thực hiện dự án dài: cần phải lựa chọn, mua, cài đặt, cấu hình và mô tả hệ thống;

  • Ví dụ, rất nhiều công việc “giấy tờ” - việc phát triển một gói tài liệu hoàn chỉnh cho toàn bộ ISPD.

Ngoài ra, theo quy định, một doanh nghiệp chỉ hiểu được cấp độ IP “cao nhất” của mình - các ứng dụng kinh doanh mà doanh nghiệp đó sử dụng. Nói cách khác, nhân viên CNTT có kỹ năng trong lĩnh vực cụ thể của họ. Không hiểu cách thức hoạt động của tất cả các “cấp thấp hơn”: bảo vệ phần mềm và phần cứng, hệ thống lưu trữ, sao lưu và tất nhiên, cách định cấu hình các công cụ bảo vệ tuân thủ mọi yêu cầu, xây dựng phần “phần cứng” của cấu hình. Điều quan trọng là phải hiểu: đây là một lớp kiến ​​thức khổng lồ nằm ngoài hoạt động kinh doanh của khách hàng. Đây là lúc kinh nghiệm của nhà cung cấp đám mây cung cấp “phòng máy chủ ảo” được chứng nhận có thể hữu ích.

Đổi lại, các nhà cung cấp đám mây có một số lợi thế mà không cần cường điệu, có thể đáp ứng 99% nhu cầu kinh doanh trong lĩnh vực bảo vệ dữ liệu cá nhân:

  • chi phí vốn được chuyển thành chi phí hoạt động;

  • về phần mình, nhà cung cấp đảm bảo cung cấp mức độ bảo mật và tính khả dụng cần thiết dựa trên giải pháp tiêu chuẩn đã được chứng minh;

  • không cần phải duy trì đội ngũ chuyên gia sẽ đảm bảo hoạt động của ISPD ở cấp độ phần cứng;

  • các nhà cung cấp đưa ra các giải pháp linh hoạt và linh hoạt hơn nhiều;

  • các chuyên gia của nhà cung cấp có tất cả các chứng chỉ cần thiết;

  • mức độ tuân thủ không thấp hơn so với khi xây dựng kiến ​​trúc của riêng bạn, có tính đến các yêu cầu và khuyến nghị của cơ quan quản lý.

Quan niệm cũ cho rằng dữ liệu cá nhân không thể được lưu trữ trên đám mây vẫn còn cực kỳ phổ biến. Điều đó chỉ đúng một phần: PD thực sự không thể đăng được trong cái đầu tiên có sẵn đám mây. Cần phải tuân thủ các biện pháp kỹ thuật nhất định và sử dụng các giải pháp được chứng nhận nhất định. Nếu nhà cung cấp tuân thủ tất cả các yêu cầu pháp lý thì rủi ro liên quan đến rò rỉ dữ liệu cá nhân sẽ được giảm thiểu. Nhiều nhà cung cấp có cơ sở hạ tầng riêng để xử lý dữ liệu cá nhân theo 152-FZ. Tuy nhiên, việc lựa chọn nhà cung cấp cũng phải dựa trên kiến ​​thức về các tiêu chí nhất định; 

Khách hàng thường đến với chúng tôi với một số lo ngại về việc lưu trữ dữ liệu cá nhân trên đám mây của nhà cung cấp. Vâng, hãy thảo luận về chúng ngay lập tức.

  • Dữ liệu có thể bị đánh cắp trong quá trình truyền hoặc di chuyển

Không cần phải lo lắng về điều này - nhà cung cấp cung cấp cho khách hàng khả năng tạo kênh truyền dữ liệu an toàn được xây dựng trên các giải pháp được chứng nhận, các biện pháp xác thực nâng cao cho nhà thầu và nhân viên. Tất cả những gì còn lại là chọn các phương pháp bảo vệ thích hợp và triển khai chúng như một phần công việc của bạn với khách hàng.

  • Hiển thị mặt nạ sẽ đến và mang đi/bịt kín/cắt điện cho máy chủ

Điều khá dễ hiểu là những khách hàng lo sợ rằng quy trình kinh doanh của họ sẽ bị gián đoạn do không đủ khả năng kiểm soát cơ sở hạ tầng. Theo quy định, những khách hàng có phần cứng trước đây được đặt trong các phòng máy chủ nhỏ thay vì các trung tâm dữ liệu chuyên dụng sẽ nghĩ đến điều này. Trên thực tế, các trung tâm dữ liệu được trang bị các phương tiện hiện đại để bảo vệ cả vật lý và thông tin. Hầu như không thể thực hiện bất kỳ hoạt động nào trong một trung tâm dữ liệu như vậy nếu không có đủ cơ sở và giấy tờ, đồng thời các hoạt động đó đòi hỏi phải tuân thủ một số quy trình. Ngoài ra, việc “rút” máy chủ của bạn khỏi trung tâm dữ liệu có thể ảnh hưởng đến các máy khách khác của nhà cung cấp và điều này chắc chắn là không cần thiết đối với bất kỳ ai. Ngoài ra, sẽ không ai có thể chỉ tay cụ thể vào máy chủ ảo “của bạn”, vì vậy nếu ai đó muốn đánh cắp nó hoặc dàn dựng một buổi trình diễn mặt nạ, trước tiên họ sẽ phải đối mặt với rất nhiều sự chậm trễ quan liêu. Trong thời gian này, rất có thể bạn sẽ có thời gian để di chuyển sang trang khác nhiều lần.

  • Hacker sẽ hack đám mây và đánh cắp dữ liệu

Internet và báo in tràn ngập các tiêu đề về việc một đám mây khác đã trở thành nạn nhân của tội phạm mạng như thế nào và hàng triệu hồ sơ dữ liệu cá nhân đã bị rò rỉ trực tuyến. Trong phần lớn các trường hợp, các lỗ hổng được tìm thấy không phải từ phía nhà cung cấp mà là ở hệ thống thông tin của nạn nhân: mật khẩu yếu hoặc thậm chí mặc định, “lỗ hổng” trong công cụ trang web và cơ sở dữ liệu cũng như sự bất cẩn tầm thường của doanh nghiệp khi lựa chọn các biện pháp bảo mật và tổ chức các thủ tục truy cập dữ liệu. Tất cả các giải pháp được chứng nhận đều được kiểm tra lỗ hổng. Chúng tôi cũng thường xuyên tiến hành các cuộc kiểm tra bảo mật và kiểm tra bảo mật “kiểm soát”, cả độc lập và thông qua các tổ chức bên ngoài. Đối với nhà cung cấp, đây là vấn đề danh tiếng và kinh doanh nói chung.

  • Nhà cung cấp/nhân viên của nhà cung cấp sẽ đánh cắp dữ liệu cá nhân để thu lợi cá nhân

Đây là thời điểm khá nhạy cảm. Một số công ty trong thế giới bảo mật thông tin “dọa” khách hàng của họ và nhấn mạnh rằng “nhân viên nội bộ nguy hiểm hơn tin tặc bên ngoài”. Điều này có thể đúng trong một số trường hợp, nhưng doanh nghiệp không thể được xây dựng nếu không có sự tin tưởng. Thỉnh thoảng, có tin tức cho biết nhân viên của chính tổ chức đã rò rỉ dữ liệu khách hàng cho những kẻ tấn công và an ninh nội bộ đôi khi được tổ chức kém hơn nhiều so với an ninh bên ngoài. Điều quan trọng cần phải hiểu ở đây là bất kỳ nhà cung cấp lớn nào cũng cực kỳ không quan tâm đến các trường hợp tiêu cực. Hành động của nhân viên nhà cung cấp được quy định rõ ràng, vai trò và lĩnh vực trách nhiệm được phân chia. Tất cả các quy trình kinh doanh đều được cấu trúc theo cách mà các trường hợp rò rỉ dữ liệu cực kỳ khó xảy ra và luôn được các dịch vụ nội bộ chú ý, vì vậy khách hàng không nên lo ngại các vấn đề từ phía này.

  • Bạn trả ít tiền vì bạn trả tiền cho các dịch vụ bằng dữ liệu doanh nghiệp của mình.

Một lầm tưởng khác: một khách hàng thuê cơ sở hạ tầng an toàn với mức giá thoải mái thực sự trả tiền bằng dữ liệu của mình - điều này thường được các chuyên gia nghĩ ra, những người không ngại đọc một vài thuyết âm mưu trước khi đi ngủ. Thứ nhất, khả năng thực hiện bất kỳ thao tác nào với dữ liệu của bạn ngoài những thao tác được chỉ định trong đơn hàng về cơ bản là bằng không. Thứ hai, một nhà cung cấp phù hợp coi trọng mối quan hệ với bạn và danh tiếng của anh ta - ngoài bạn, anh ta còn có nhiều khách hàng hơn. Kịch bản ngược lại có nhiều khả năng xảy ra hơn, trong đó nhà cung cấp sẽ nhiệt tình bảo vệ dữ liệu của khách hàng, nền tảng hoạt động kinh doanh của họ.

Chọn nhà cung cấp đám mây cho ISPD

Ngày nay, thị trường cung cấp nhiều giải pháp cho các công ty vận hành PD. Dưới đây là danh sách chung các khuyến nghị để chọn đúng.

  • Nhà cung cấp phải sẵn sàng ký kết một thỏa thuận chính thức mô tả trách nhiệm của các bên, SLA và các lĩnh vực trách nhiệm trong chìa khóa xử lý dữ liệu cá nhân. Trên thực tế, giữa bạn và nhà cung cấp, ngoài thỏa thuận dịch vụ, còn phải ký đơn đặt hàng xử lý PD. Trong mọi trường hợp, đáng để nghiên cứu chúng một cách cẩn thận. Điều quan trọng là phải hiểu sự phân chia trách nhiệm giữa bạn và nhà cung cấp.

  • Xin lưu ý rằng phân khúc phải đáp ứng các yêu cầu, nghĩa là phân khúc đó phải có chứng chỉ cho biết mức độ bảo mật không thấp hơn mức mà IP của bạn yêu cầu. Điều xảy ra là các nhà cung cấp chỉ xuất bản trang đầu tiên của chứng chỉ, trong đó có rất ít thông tin rõ ràng hoặc đề cập đến các cuộc kiểm toán hoặc thủ tục tuân thủ mà không xuất bản chính chứng chỉ (“có cậu bé không?”). Bạn nên yêu cầu điều đó - đây là tài liệu công khai cho biết ai đã thực hiện chứng nhận, thời hạn hiệu lực, vị trí đám mây, v.v.

  • Nhà cung cấp phải cung cấp thông tin về vị trí đặt các trang web của họ (đối tượng được bảo vệ) để bạn có thể kiểm soát vị trí đặt dữ liệu của mình. Hãy để chúng tôi nhắc bạn rằng việc thu thập dữ liệu cá nhân ban đầu phải được thực hiện trên lãnh thổ Liên bang Nga, do đó, bạn nên xem địa chỉ của trung tâm dữ liệu trong hợp đồng/chứng chỉ.

  • Nhà cung cấp phải sử dụng hệ thống bảo vệ thông tin và bảo mật thông tin đã được chứng nhận. Tất nhiên, hầu hết các nhà cung cấp không quảng cáo các biện pháp bảo mật kỹ thuật và kiến ​​trúc giải pháp mà họ sử dụng. Nhưng bạn, với tư cách là một khách hàng, không thể không biết về nó. Ví dụ, để kết nối từ xa với hệ thống quản lý (cổng quản lý) cần sử dụng các biện pháp bảo mật. Nhà cung cấp sẽ không thể bỏ qua yêu cầu này và sẽ cung cấp cho bạn (hoặc yêu cầu bạn sử dụng) các giải pháp đã được chứng nhận. Lấy tài nguyên để kiểm tra và bạn sẽ hiểu ngay cách thức và những gì hoạt động. 

  • Nhà cung cấp đám mây rất mong muốn cung cấp các dịch vụ bổ sung trong lĩnh vực bảo mật thông tin. Đây có thể là các dịch vụ khác nhau: bảo vệ chống lại các cuộc tấn công DDoS và WAF, dịch vụ chống vi-rút hoặc hộp cát, v.v. Tất cả điều này sẽ cho phép bạn nhận được sự bảo vệ như một dịch vụ, không bị phân tâm khi xây dựng hệ thống bảo vệ mà có thể hoạt động trên các ứng dụng kinh doanh.

  • Nhà cung cấp phải là người được FSTEC và FSB cấp phép. Theo quy định, thông tin đó được đăng trực tiếp trên trang web. Hãy nhớ yêu cầu những tài liệu này và kiểm tra xem địa chỉ cung cấp dịch vụ, tên công ty cung cấp, v.v. có chính xác hay không. 

Hãy tóm tắt. Việc thuê cơ sở hạ tầng sẽ cho phép bạn từ bỏ CAPEX và chỉ giữ lại các ứng dụng kinh doanh cũng như dữ liệu trong khu vực trách nhiệm của bạn, đồng thời chuyển gánh nặng chứng nhận phần cứng, phần mềm và phần cứng cho nhà cung cấp.

Chúng tôi đã vượt qua chứng nhận như thế nào

Gần đây nhất, chúng tôi đã vượt qua thành công chứng nhận lại cơ sở hạ tầng của “Đám mây bảo mật FZ-152” về việc tuân thủ các yêu cầu khi làm việc với dữ liệu cá nhân. Công việc này được thực hiện bởi Trung tâm Chứng nhận Quốc gia.

Hiện tại, “FZ-152 Secure Cloud” được chứng nhận để lưu trữ các hệ thống thông tin liên quan đến việc xử lý, lưu trữ hoặc truyền dữ liệu cá nhân (ISPDn) theo yêu cầu của cấp UZ-3.

Quy trình chứng nhận bao gồm việc kiểm tra sự tuân thủ của cơ sở hạ tầng của nhà cung cấp đám mây với mức độ bảo vệ. Bản thân nhà cung cấp cung cấp dịch vụ IaaS và không phải là nhà điều hành dữ liệu cá nhân. Quá trình này bao gồm việc đánh giá cả về mặt tổ chức (tài liệu, mệnh lệnh, v.v.) và các biện pháp kỹ thuật (lắp đặt thiết bị bảo hộ, v.v.).

Nó không thể được gọi là tầm thường. Mặc dù thực tế là GOST về các chương trình và phương pháp tiến hành hoạt động chứng nhận đã xuất hiện từ năm 2013, nhưng các chương trình nghiêm ngặt dành cho các đối tượng đám mây vẫn chưa tồn tại. Các trung tâm chứng nhận phát triển các chương trình này dựa trên kiến ​​thức chuyên môn của họ. Với sự ra đời của các công nghệ mới, các chương trình trở nên phức tạp và hiện đại hơn, người chứng nhận phải có kinh nghiệm làm việc với các giải pháp đám mây và hiểu rõ các chi tiết cụ thể.

Trong trường hợp của chúng tôi, đối tượng được bảo vệ bao gồm hai vị trí.

  • Tài nguyên đám mây (máy chủ, hệ thống lưu trữ, cơ sở hạ tầng mạng, công cụ bảo mật, v.v.) được đặt trực tiếp tại trung tâm dữ liệu. Tất nhiên, một trung tâm dữ liệu ảo như vậy được kết nối với mạng công cộng và theo đó, phải đáp ứng một số yêu cầu tường lửa nhất định, chẳng hạn như việc sử dụng tường lửa được chứng nhận.

  • Phần thứ hai của đối tượng là các công cụ quản lý đám mây. Đây là các máy trạm (máy trạm của quản trị viên) mà phân đoạn được bảo vệ được quản lý.

Các vị trí giao tiếp thông qua kênh VPN được xây dựng trên CIPF.

Vì công nghệ ảo hóa tạo điều kiện tiên quyết cho sự xuất hiện của các mối đe dọa nên chúng tôi cũng sử dụng các công cụ bảo vệ được chứng nhận bổ sung.

IaaS 152-FZ: vậy, bạn cần bảo mậtSơ đồ khối “qua con mắt của người đánh giá”

Nếu khách hàng yêu cầu chứng nhận ISPD của mình thì sau khi thuê IaaS, họ sẽ chỉ phải đánh giá hệ thống thông tin trên mức trung tâm dữ liệu ảo. Quy trình này liên quan đến việc kiểm tra cơ sở hạ tầng và phần mềm được sử dụng trên đó. Vì bạn có thể tham khảo chứng chỉ của nhà cung cấp về tất cả các vấn đề về cơ sở hạ tầng nên tất cả những gì bạn phải làm là làm việc với phần mềm.

IaaS 152-FZ: vậy, bạn cần bảo mậtTách biệt ở mức độ trừu tượng

Tóm lại, đây là một danh sách kiểm tra nhỏ dành cho các công ty đang làm việc với dữ liệu cá nhân hoặc chỉ đang lập kế hoạch. Vậy làm cách nào để xử lý mà không bị bỏng.

  1. Để kiểm tra và phát triển các mô hình về các mối đe dọa và kẻ xâm nhập, hãy mời một nhà tư vấn có kinh nghiệm trong số các phòng thí nghiệm chứng nhận, người sẽ giúp phát triển các tài liệu cần thiết và đưa bạn đến giai đoạn giải pháp kỹ thuật.

  2. Khi chọn nhà cung cấp đám mây, hãy chú ý đến sự hiện diện của chứng chỉ. Sẽ thật tốt nếu công ty đăng công khai trực tiếp trên trang web. Nhà cung cấp phải là người được FSTEC và FSB cấp phép, đồng thời dịch vụ mà họ cung cấp phải được chứng nhận.

  3. Đảm bảo rằng bạn có thỏa thuận chính thức và hướng dẫn đã ký để xử lý dữ liệu cá nhân. Dựa trên điều này, bạn sẽ có thể thực hiện cả kiểm tra tuân thủ và chứng nhận ISPD. Nếu công việc này diễn ra ở giai đoạn của dự án kỹ thuật và việc tạo tài liệu thiết kế và kỹ thuật có vẻ nặng nề đối với bạn, thì bạn nên liên hệ với các công ty tư vấn bên thứ ba. trong số các phòng thí nghiệm chứng nhận.

Nếu các vấn đề về xử lý dữ liệu cá nhân có liên quan đến bạn thì vào ngày 18 tháng XNUMX, thứ Sáu tuần này, chúng tôi rất vui được gặp bạn tại hội thảo trên web “Các tính năng của việc xây dựng đám mây được chứng nhận”.

Nguồn: www.habr.com

Thêm một lời nhận xét