Попробуйте бесплатно
Пн-Пт: 9:00 - 19:00
безопасность-1.png

Безопасность

Одной из самых критичных задач любого российского предприятия, которое обрабатывает персональные данные или другую информацию ограниченного доступа, является обеспечение информационной безопасности.

Согласно законодательству Российской Федерации, основными документами, определяющими требования к защите информации, являются:

Самостоятельная реализация требований информационной безопасности становится, как правило, технически сложной и затратной задачей для предприятия, так как в короткие сроки необходимо создать и в дальнейшем поддерживать собственную экспертизу в данном вопросе, а именно:

По запросу компания «Техносерв» оказывает заказчикам следующую экспертную поддержку в решении задачи защиты данных:

Аудит систем наших клиентов на предмет информационной безопасности

Аудит ИБ

Свои вопросы, связанные с информационной безопасностью в облаке, направляйте, пожалуйста, на адрес security@ts-cloud.ru.

Два изолированных сегмента Техносерв Cloud

Обеспечение физической безопасности ИТ-инфраструктуры:

  • Контроль и управление доступом в дата-центре
  • Охранно-пожарная сигнализация
  • Автоматическое пожаротушение
  • Видеонаблюдение
  • Сейфовые стойки

Дополнительные меры защиты:

  • Регулярный мониторинг и тестирование сети, а также систем и процессов обеспечения безопасности
  • Наличие и поддержка политик безопасности, стандартов конфигурации
  • Наличие процессов управления рисками, управления уязвимостями, расследования инцидентов
  • Внутренние и внешние аудиты безопасности платформы

Параметр сегмента

Защищенный

Закрытый

Среды виртуализации

OpenStack-KVM, VMware

VMware

Назначение

  • Размещение информационных систем, не предъявляющих специализированных требований к средствам виртуализации
  • Размещение информационных систем компаний и организаций, в том числе участвующих в процессах обработки данных держателей банковских карт

Размещение государственных информационных систем (ГИС) и информационных систем персональных данных (ИСПДн) с наивысшими требованиями к информационной безопасности

Соответствие законодательству РФ

  • Приказ №21 ФСТЭК России для обеспечения 3-го и 4-го уровней защищенности ПДн
  • Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных индустрии платёжных карт;
  • Положение Банка России №382-п «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»;
  • Стандарт Банка России (СТО БР ИББС).

  • Приказ №17 ФСТЭК России для обеспечения 1-го класса защиты ГИС
  • Приказ №21 ФСТЭК России для обеспечения 1-го уровня защищенности ПДн включительно
  • Закон №152-ФЗ

Сертификация/

Аттестация

Сертификат соответствия (в качестве сервис-провайдера) требованиям Стандарта безопасности данных индустрии платежных карт (PCI DSS)

Аттестат соответствия требованиям по безопасности информации для размещения информационных систем и систем, обрабатывающих персональные данные до 1-го класса/уровня защищенности

Информационная безопасность

Применяемые средства защиты позволяют выполнить следующие требования, предъявляемые:
  • к информационным системам персональных данных до 3 уровня защищенности включительно;
  • стандартом PCI DSS;
  • Положением Банка России №382-П.
  • Стандартом ЦБ РФ (СТО БР ИББС)

Применяемые средства защиты позволяют выполнить требования, предъявляемые:

  • к информационным системам до 1 класса защищенности включительно;
  • к информационным системам персональных данных до 1 уровня защищенности включительно.

Применяемые аппаратные и программные средства обеспечения информационной безопасности обладают сертификатами ФСТЭК России и/или ФСБ России.

Организационные меры защиты

Обеспечение физической безопасности ИТ-инфраструктуры:

  • Контроль и управление доступом в дата-центре
  • Охранно-пожарная сигнализация
  • Автоматическое пожаротушение
  • Видеонаблюдение
  • Сейфовые стойки

Дополнительные меры защиты:

  • Регулярный мониторинг и тестирование сети, а также систем и процессов обеспечения безопасности
  • Наличие и поддержка политик безопасности, стандартов конфигурации
  • Наличие процессов управления рисками, управления уязвимостями, расследования инцидентов
  • Внутренние и внешние аудиты безопасности платформы

СПРАВОЧНАЯ ИНФОРМАЦИЯ

Классификация ГИС

Классификация ГИС по четырем установленным классам защищенности проводится в зависимости от значимости, обрабатываемой в ней информации и масштаба ГИС: федерального, регионального, объектового (см. Табл.1).

Уровень значимости информации определяется степенью возможного ущерба для обладателя информации или оператора от нарушения конфиденциальности (неправомерного доступа, копирования, предоставления или распространения), целостности (неправомерных уничтожений или модифицирований) или доступности (неправомерного блокирования) информации. Степень возможного ущерба определяется обладателем информации или оператором самостоятельно (экспертным или иными методами).


Определение класса защищенности ГИС

Уровень значимости (УЗ) информации

Масштаб информационной системы

Федеральный

Региональный

Объектовый

УЗ 1

К 1

К 1

К 1

УЗ 2

К 1

К 2

К 2

УЗ 3

К 2

К 3

К 3


Определение уровня защищенности ПДн

Обрабатываемые ПДнОбъем ПДнТип актуальных угроз
Угрозы 1-го типаУгрозы 2-го типаУгрозы 3-го типа
Специальные категории ПДнБолее 100 тыс.УЗ 1УЗ 1УЗ 2
Менее 100 тыс.УЗ 1УЗ 2УЗ 3
Специальные категории ПДн сотрудников оператораЛюбойУЗ 1УЗ 2УЗ 3
Биометрические ПДнЛюбойУЗ 1УЗ 2УЗ 3
Иные категории ПДнБолее 100 тыс.УЗ 1УЗ 2УЗ 3
Менее 100 тыс.УЗ 1УЗ 3УЗ 4
Иные категории ПДн сотрудников оператораЛюбойУЗ 1УЗ 3УЗ 4
Общедоступные ПДнБолее 100 тыс.УЗ 2УЗ 2УЗ 4
Менее 100 тыс.
УЗ 2УЗ 3УЗ 4
Общедоступные ПДн сотрудников оператораЛюбойУЗ 2УЗ 3УЗ 4

Чем выше выбранный класс защищенности ГИС, тем больше мер по обеспечению информационной безопасности требуется выполнить для нейтрализации угроз безопасности. Если по ошибке определить более высокий класс защищенности, то, соответственно, придется строить более дорогую систему защиты информации.  Выбор более низкого класса защищенности может привести к нарушению требования законодательства.

Категории и уровни защищенности ПДн

Закон №152-ФЗ определяет четыре категории ПДн, которые разделяются по степени информативности (см. Табл.2). Классификация ИСПДн производится в соответствии с категорией обрабатываемых ПДн.

Постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» определены четыре уровня защищенности Персональных данных, различающихся составом необходимых к выполнению требований по защите информационных систем.

Таким образом, уровень защищенности ПДн является комплексным показателем с набором требований, нейтрализующих угрозы безопасности для ИСПДн.

Каждый оператор обязан определить для своей ИСПДн требуемый законодательством уровень защищенности, исходя из четырех критериев, характеризующих информационную систему (см. Табл.2).



Познакомьтесь со всеми преимуществами платформы





Задать вопрос

У вас есть вопрос, идея, предложение или хотите стать нашим партнером? Просто отправьте нам сообщение в свободной форме, и в течение рабочего дня мы свяжемся с вами.

Имя*
Фамилия*
Компания
Категория вопроса
Телефон*
E-mail*
Вопрос*
Защита от автоматического заполнения
Введите символы с картинки*

* - Поля, обязательные для заполнения

Авторизация

Логин (e-mail)
Пароль
Забыли пароль?

Авторизация доступна заказчикам Техносерв Cloud. Чтобы стать нашим клиентом, свяжитесь с нами. Спасибо!

Восстановление пароля

Логин (e-mail)

На ваш e-mail будет отправлено письмо со ссылкой на страницу смены пароля

Контакты службы поддержки:
+7 (495) 790-79-79
support@technoserv.cloud

Сервис обратного звонка RedConnect