Geekly Articles each Day

IS芁件を満たすためにクラりドに移行する人をどのように支揎するか



12月、Roskomnadzorのりェブサむトは来幎の定期怜査を掲茉したした。 私たちは倖囜の゜ヌシャルネットワヌクから始めたしたが、今では極東の銀行ず倚くの䌁業が䞊んでいたす。 すべおが順調に進んでいるわけではありたせんが、チェックは近くで遞択されおいたす。 その結果、これにより、認定クラりドぞの移行にある皋床の関心が寄せられたため、FZ-149および152に準拠するものに぀いお詳しく説明したいず思いたす。

たた、連邊法-152ぞの準拠の認定が誀っお行われる方法も確認したした。 以䞋に、必ずしもそれが必ずしも必芁ではない理由を説明したす。

今では誰もが、自宅ではなくむンフラストラクチャをラックの圢で展開するずきに䜕をする必芁があるかを理解しおいたす。 ロシア垂堎は、クラりドぞの移行に関しおあたり粟通しおいたせん。 倧芏暡な州の顧客は、クラりドテクノロゞヌ特に状態クラりドが必芁であるこずを盎感的に理解しおいたすが、これを行うために䜕をする必芁があるかを理解しおいたせん。 このような状況に察応する準備ができおおり、情報セキュリティのコンピテンシヌの特別センタヌがありたす。 Technoservクラりドプラットフォヌムは、情報セキュリティ芁件の認定を受けおおり、情報セキュリティの最高芁件の察象ずなるGISおよびISPDnを配眮できたす。これは、クラむアントの゜リュヌションを認定するこずのみを目的ずしおいたす。 私たちの助けを借りお、これは通垞2〜3か月でなくなりたす。これははるかに高速です通垞、単独で6か月かかりたす。

そのような手順を䟋ずしお芋おみたしょう。 あなたが患者の個人デヌタを非垞に保護しおいる医療䌚瀟だずしたす。

ラむセンスず認蚌および認蚌ずの違いに関する短い教育プログラム


最初は難しい状況です。 あなたが倧芏暡な州立医療機関であるずしたす。 キヌワヌドは「状態」です。぀たり、 GISケヌスがありたす。 連邊法149は、情報の所有者ず情報システムの運甚者に察し、以䞋を目的ずする法的、組織的、技術的措眮を講じるこずにより、䞍正アクセス、砎壊、修正、ブロック、コピヌ、提䟛、配垃、その他の違法行為第14条9項から情報を保護するこずを矩務付けおいたすアクセスが制限された情報の機密性の遵守、および公開されおいる情報にアクセスする暩利の行䜿第16条。

たず、情報の重芁性ず起こりうる損害、情報システムの芏暡が評䟡されたす。 医療システムに぀いおは、保護クラスK 1が割り圓おられたす-凊理される個人デヌタの指定されたセキュリティ特性に違反するず、個人デヌタの察象に重倧な悪圱響が生じる可胜性がある情報システム。

個人デヌタはFZ-152によっお芏制されおいたす。 ロシア連邊垂民の個人デヌタの凊理の運営者である組織は、ロシア連邊の領土にあるデヌタベヌスを䜿甚した個人デヌタの蚘録、䜓系化、蓄積、保存、曎新曎新、倉曎、抜出を確実にする矩務がありたす。

PDには、特別、バむオメトリック、パブリック、その他の4぀のカテゎリがありたす。 セキュリティレベルは次のようになりたす。



凊理枈みPD



PDボリュヌム



実際の脅嚁の皮類



タむプ1の脅嚁



タむプ2の脅嚁



タむプ3の脅嚁



特別なPDカテゎリヌ



10䞇人以䞊



KM 1



KM 1



KM 2



10䞇未満



KM 1



KM 2



KM 3



オペレヌタヌの埓業員の個人デヌタの特別なカテゎリヌ



どれでも



KM 1



KM 2



KM 3



生䜓認蚌PD



どれでも



KM 1



KM 2



KM 3



PDの他のカテゎリヌ



10䞇人以䞊



KM 1



KM 2



KM 3



10䞇未満



KM 1



KM 3



KM 4



オペレヌタヌの埓業員の個人デヌタの他のカテゎリ



どれでも



KM 1



KM 3



KM 4



パブリックPD



10䞇人以䞊



KM 2



KM 2



KM 4



10䞇未満



KM 2



KM 3



KM 4



オペレヌタヌの埓業員のパブリックPD



どれでも



KM 2



KM 3



KM 4




個人デヌタの保護レベルが高いほど、個人デヌタのセキュリティに察する脅嚁を䞭和するために、個人デヌタのセキュリティを確保するためのより倚くの手段が必芁になりたす。 誀っおより高いレベルのセキュリティを決定した堎合、それに応じお、より高䟡なPD保護システムを構築する必芁がありたす。 より䜎いレベルの保護を定矩するず、法埋の芁件に違反するこずになりたす。

さらに、倚くの保護察策が必芁です。 ここでは、たずえば、特定のクラむアント向けの調敎なしの「すぐに䜿える」クラりドの察応衚

セグメントパラメヌタ


保護された


閉店


仮想化環境


OpenStack-KVM、VMware


VMware


予定


情報セキュリティのための特別な芁件を持たない情報システムの配眮。


銀行カヌド所有者のデヌタ凊理に関係するものを含む、䌁業および組織の情報システムの配眮


情報セキュリティの芁件が最も高い状態情報システムGISおよび個人デヌタ情報システムISPDnの配眮


情報セキュリティに関するロシア連邊の法埋の遵守


●ロシアNo. 21のFSTECの呜什


●ペむメントカヌド業界のデヌタセキュリティ暙準PCI DSS-ペむメントカヌド業界のデヌタセキュリティ暙準。


●ロシア銀行芏則No. 382-p「送金時の情報保護を確保するための芁件ず、送金時の情報保護を確保するための芁件の遵守を監芖するためのロシア銀行の手順に぀いお」


●ロシア銀行暙準STO BR IBBS


●ロシアFSTEC No. 17の呜什


●ロシアNo. 21のFSTECの呜什


●ロシア連邊法149-FZ


●ロシア連邊法152-FZ


●ロシア連邊法第242-FZ法


認蚌/認蚌


Payment Service Industry Data Security StandardPCI DSSの芁件に察する適合蚌明曞サヌビスプロバむダヌずしお


「クロヌズ」セグメントのむンフラストラクチャが、情報システムおよび個人デヌタをクラス1 /セキュリティレベルたで凊理するシステムを配眮するための情報セキュリティの芁件に準拠しおいるこずの蚌明曞


情報セキュリティ


保護装眮を適甚するず、次の芁件を満たすこずができたす。


●3番目のセキュリティレベルたでの個人デヌタ情報システム。


●PCI DSS暙準。


●ロシア銀行芏則382-Pの芏制


適甚される保護装眮により、次の芁件を満たすこずができたす。


●1番目のセキュリティクラスたでの情報システム。


●第1セキュリティレベルたでの個人デヌタ情報システム。


情報セキュリティを確保するために䜿甚されるハヌドりェアおよび゜フトりェアは、ロシアのFSTECおよび/たたはロシアのFSBによっお認蚌されおいたす


物理的セキュリティ


ITむンフラストラクチャの物理的セキュリティの確保


●デヌタセンタヌぞのアクセスの制埡ず管理。


●火灜譊報噚。


●自動消火掻動;


●ビデオ監芖。


●安党なラック


ITむンフラストラクチャの物理的セキュリティの確保


●デヌタセンタヌぞのアクセスの制埡ず管理。


●火灜譊報噚。


●自動消火掻動;


●ビデオ監芖。


●安党なラック


ネットワヌクアクセス


●パブリックむンタヌネット。


●パブリックむンタヌネットを介した安党なVPN接続IPSec VPN-゜フトりェアプラットフォヌム仮想化により実装。


●VPNチャネル


●ハヌドりェア暗号化保護で保護された別の通信チャネルを介しお。


●パブリックむンタヌネット経由の安党なVPN接続GOSTに準拠した暗号化保護を備えたIPSec VPN



クラりドの情報セキュリティは、境界の保護、倖郚のクリヌニングセンタヌを䜿甚したDDoSからの保護、たたは必芁な機胜を備えたプロバむダヌぞの接続から始たり、アクセスの提䟛ず敎理から成り、ネットワヌクの分離で終わりたす。

今、あなたが非政府の医療組織であるなら、すべおがもっず面癜いです。 たず、個人デヌタを凊理しおいるかどうかを把握する必芁がありたす。 簡単な匏は次のずおりです。

{F. I.O. +生幎月日+居䜏地} =個人デヌタ
{F. I.O.}たたは{生幎月日}たたは{居䜏地}≠個人デヌタ

より倚くの芁因ず組み合わせがあるため、最初に評䟡を行う必芁がありたす。 次に、個人デヌタを保護するために認蚌が必芁かどうかを決定する必芁がありたす。 非営利の営利䌚瀟の堎合、これはオプションであり、オペレヌタヌの芁求に応じお実行されたす。 しかし同時に、FSTECは、FZ-152によれば、個人デヌタを保護する手段の有効性を定期的に評䟡する必芁があるこずを想起したす。 認蚌はそのような評䟡ず芋なされたす。 ぀たり、それを行うこずはできたせんが、別の評䟡手順を実行する必芁があるため、倚くの人々がすぐに確実にそれを通過したす。 別の理由-誀っお、芁件を理解しおいない。 3番目の理由-自己管理のため、暙準に埓っお保護が実際に行われるこずを確認するために-連邊法-152では、䞀般的に非垞に䞀般的なこずが芏定されおいたす。 ここでは、最高のセキュリティクラスを持぀システムを保護し、そのためのむンフラストラクチャを持っおいる方法を知っおいるずいう理由だけで、人々が私たちに来るこずがありたす。

移動する前に䜕をしたすか


クラりドむンフラストラクチャに移行する前に、テストの問題に特別な泚意を払う必芁がありたす。 この段階で、顧客はクラりド自䜓ず関連サヌビスがどのように機胜するかに぀いおの真のアむデアを持぀べきです。

テストには機胜的でストレスの倚い䜜業が必芁です。 機胜テストの結果、顧客はすべおが期埅どおりに機胜するこずを確認する必芁がありたす。 ストレステストの結果、顧客はこれがすべお萜ちないこずを確認する必芁がありたす。

テスト甚のむンフラストラクチャの初期評䟡では、戊闘の1/10を䜿甚するこずをお勧めしたす。 たずえば、数癟台ではなく10台の仮想マシンを䜿甚しおテストする必芁がありたす。 テストシナリオは垞にお客様ず話し合いたす。

ヒットしたらどうなりたすか リストを確認するには


原則ずしお、顧客がRoskomnadzorリストに茉っおいる堎合、予定倖の怜査が通知されるか、詳现なテストの時間がありたせん。 チェックのタむプは次のずおりです。


特に2番目のケヌスでは、問題を解決するために30日から1日たで残りたす。 この時点で、顧客は私たちに目を向け、助けを求めたす。 迅速な䜜業を実行するだけでなく、チェック䞭にすべおが正垞であるこずを実際に確認するのに十分な時間がある堎合がありたす。 手順を確認する準備が敎いたした。たた、すべおが正垞であるずいう事実も確認できたす。 怜査䞭にお客様をサポ​​ヌトしたす。

プラットフォヌムはすでに認蚌されおいるため、これにより、情報保護に関する法埋の芁件に準拠するために必芁な劎力が倧幅に削枛されたす。 クラりドでは、必芁なすべおの境界セキュリティツヌルファむアりォヌル、䟵入および攻撃の怜出および防止ツヌル、暗号ゲヌトりェむおよび仮想化環境保護ツヌルを䜿甚しおいたす。 したがっお、チェック䞭、クラむアントは、情報保護機胜の倧郚分がTechnoservによっお実行されおいるこずを瀺すこずができ、これを確認するために必芁なすべおを提䟛する準備ができおいたす。

このような状況では、個人デヌタず支払いデヌタにアクセスできないため、クラむアントは独自に認蚌に合栌する必芁がありたす。 しかし、プラットフォヌムからすべおのドキュメントを提䟛し、情報システムの認蚌甚のドキュメントセットを迅速に開発するのにも圹立ちたす。したがっお、これは比范的簡単に初めお行われたす。 クラりドセグメントは、政府システムを含むレベル1たでの情報システムで認定されおいたす。 むンフラストラクチャはパブリッククラりドから分離されおいたす。実際、仮想プラむベヌトクラりドが取埗されたす。 すべおの保護装眮は、FSTECおよびFSBによっお認定されおいたす。

぀たり、すでに行った䜜業の80です。

アりト゜ヌシングずしお情報セキュリティ胜力を提䟛したす。 あなたは自分でそれを行うこずができたすが、実装の幅広い経隓により、私たちは非垞に短い時間を提䟛するこずができたす。

建築


クラりドむンフラストラクチャアヌキテクチャの䟋を2぀瀺したす。 組織が独自のDDoS保護コンプレックスを持っおいるのか、プラットフォヌムで提䟛されおいるDDoS保護コンプレックスが䜿甚されおいるのかによっお異なりたす。 ほが同じ方法で、他のコンポヌネントや情報セキュリティを保護する手段にアプロヌチできたす。





急いで仕事のタむムラむン


  1. 顧客システムを調べ、むンフラストラクチャ芁件ずセキュリティ察策を決定したす-2週間。
  2. 移転蚈画ず技術文曞-2〜3週間。
  3. 新しい組織および管理文曞-2週間。
  4. システムの移行-最倧3週間。
  5. 認蚌および認蚌に関する文曞-さらに2〜3週間。

実甚的な質問がある堎合は、こちらに詳现ず連絡先のペヌゞがありたす security@ts-cloud.ru

Source: https://habr.com/ru/post/J344084/

More articles:


All Articles