Попробуйте бесплатно
Пн-Пт: 9:00 - 18:00
безопасность-1.png

Безопасность

Корпоративная информационная система любой крупной организации представляет собой распределенную и неоднородную систему, включающую в свой состав множество процессов:управления персоналом, пользователями, информационной безопасностью, программными и техническими средствами и др. Эта система обычно взаимодействует с различными сетями общего пользования и глобальными корпоративными сетями. В связи с этим значительно усложняется задача правильного, эффективного и безопасного управления этой системой, конфигурирования различных ее компонент и обеспечения защищенного взаимодействия между ними. Как следствие, увеличивается количество недостатков, нарушений и уязвимых мест в системе.

Вместе с тем, в последние годы неуклонно растет число кибератак, более того, с каждым годом атаки становятся все более сложными и изощренными. В 2017 году ключевыми были атаки вымогателей WannaCry, ExPetr и BadRabbit. Данные атаки показали, что под ударом могут оказаться частные компании и государственные учреждения любого размера и любого рода деятельности.

В то же время законодательство не стоит на месте, постоянно выходят новые нормативно-правовые акты, определяющие требования по защите информации. На данный момент наиболее зарегулированными областями являются следующее:

При этом законодательством определены не только требования по защите информации, но и проверки регулирующими органами выполнения этих требований.

Таким образом, одной из самых критичных задач любого российского предприятия и государственного органа, которое обрабатывает информацию ограниченного доступа, является обеспечение информационной безопасности.

Построение системы защиты информации

Создание системы информационной безопасности, отвечающей требованиям российского законодательства, собственными силами является, как правило, технически сложной и затратной задачей, так как необходимо за ограниченный промежуток времени решить огромное количество задач: разработка проектного решения, внедрение средств защиты, разработка организационно-распорядительной документации и внедрение процессов информационной безопасности, обучение работников и прочее.

Схематично, основные этапы процесса построения системы защиты информации приведены на рисунке ниже.

5_1

На этапе обследования осуществляется сбор и анализ данных об информационной системе клиента и применимых требований законодательства РФ, уточнение потребностей клиента, окончательный выбор изолированного сегмента платформы Техносерв Cloud («Защищенный» или «Закрытый» ) и выработка предложений по разграничению зон ответственности в части обеспечения информационной безопасности.

Разработка (актуализация) модели угроз и нарушителя, а также актов классификации (для государственных систем и систем персональных данных) производится опционально по вашему желанию.

На этапе проектирования, наши специалисты разрабатывают техническое задание и технический проект системы защиты информационной системы, размещенной в изолированном сегменте платформы Техносерв Cloud. При этом в рамках технического проектирования учитываются средства защиты, уже применяемые для обеспечения информационной безопасности инфраструктуры изолированного сегмента Техносерв Cloud (периметровые средства защиты, средства защиты среды виртуализации и др.).

В рамках миграции специалисты компании «Техносерв» оказывают сопровождение миграции информационной системы и применяемых клиентом средств защиты в изолированный сегмент Техносерв Cloud.

По вашему желанию специалисты «Техносерв» могут дополнительно оказать следующие услуги:

5_2

Также специалисты компании «Техносерв» всегда оказывают клиентам консультационную помощь в рамках решения любой из вышеуказанных задач.

Свои вопросы, связанные с информационной безопасностью в облаке, направляйте, пожалуйста, на адрес security@ts-cloud.ru.

Два изолированных сегмента Техносерв Cloud

Платформа Техносерв Cloud разделена на два изолированных друг от друга сегмента: сегмент «Защищенный» и сегмент «Закрытый». Необходимость размещения информационных систем клиентов в том или ином сегменте определяется требованиями законодательства РФ и внутренних документов клиента к обеспечению информационной безопасности.

В таблице ниже приведены различия между закрытым и защищенным сегментами платформы Техносерв Cloud.

Параметр сегмента

Защищенный

Закрытый

Размещение систем, в которых обрабатываются сведения, составляющие коммерческую тайну клиента

Да

Да

Размещение информационных систем персональных данных

До 3 уровня защищенности персональных данных включительно

До 1 уровня защищенности персональных данных включительно

Размещение государственных информационных системНетДо 1 класса защищенности включительно
Размещение систем, обрабатывающих сведения о переводах денежных средств и/или данные держателей банковских картДаНет

Соответствие законодательству РФ

  • Приказ ФСТЭК России от 18.02.2013 №21 (3 и 4 уровни защищенности);
  • Payment Card Industry Data Security Standard (PCI DSS);
  • Положение Банка России от 09.06.2012 №382-п;
  • Стандарт Банка России (СТО БР).

  • Приказ ФСТЭК России от 11.02.2013 №17 (до 1 класса защищенности включительно);
  • Приказ ФСТЭК России от 18.02.2013 №21 (до 1 уровня защищенности включительно).
Среды виртуализацииOpenStack-KVM, VMwareVMware
Средства защитыСертифицированные и несертифицированные средства защитыИсключительно сертифицированные средства защиты

Сертификация/

Аттестация

Сертификат соответствия (в качестве сервис-провайдера) требованиям PCI DSS

Инфраструктура сегмента аттестована на соответствие требованиям защиты информации, предъявляемым к государственным системам до 1 класса защищенности включительно и системам персональных данных с уровнем защищенности до 1 включительно.

СПРАВОЧНАЯ ИНФОРМАЦИЯ

Классификация государственных информационных систем

Классификация государственных информационных систем осуществляется по трем классам защищенности в соответствии с требованиями Приказа ФСТЭК России от 11.02.2013 №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Класс государственной информационной системы определяется в зависимости от значимости, обрабатываемой в ней информации и масштаба системы.

Значимость информации определяется степенью возможного ущерба для обладателя информации или оператора от нарушения конфиденциальности (неправомерного доступа, копирования, предоставления или распространения), целостности (неправомерных уничтожений или модифицирований) или доступности (неправомерного блокирования) информации. Степень возможного ущерба определяется обладателем информации или оператором самостоятельно (экспертным или иными методами) и может быть высокой, средней или низкой.

Масштаб государственной информационной может быть следующим:

Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.

Непосредственно класс защищенности определяется в соответствии со сведениями, приведенными в таблице ниже.

Уровень значимости (УЗ) информации

Масштаб информационной системы

Федеральный

Региональный

Объектовый

УЗ 1

К 1

К 1

К 1

УЗ 2

К 1

К 2

К 2

УЗ 3

К 2

К 3

К 3


Определение уровня защищенности персональных данных

Уровень защищенности персональных данных при их обработке в информационной системе персональных данных определяется в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Уровень защищенности персональных данных определяется по следующим критериям:

Правила определения уровня защищенности персональных данных приведены в таблице ниже.

Обрабатываемые персональные данныеОбъем персональных данныхТип актуальных угроз
Угрозы 1-го типаУгрозы 2-го типаУгрозы 3-го типа
Специальные категории ПДнБолее 100 тыс.УЗ 1УЗ 1УЗ 2
Менее 100 тыс.УЗ 1УЗ 2УЗ 3
Специальные категории ПДн сотрудников оператораЛюбойУЗ 1УЗ 2УЗ 3
Биометрические ПДнЛюбойУЗ 1УЗ 2УЗ 3
Иные категории ПДнБолее 100 тыс.УЗ 1УЗ 2УЗ 3
Менее 100 тыс.УЗ 1УЗ 3УЗ 4
Иные категории ПДн сотрудников оператораЛюбойУЗ 1УЗ 3УЗ 4
Общедоступные ПДнБолее 100 тыс.УЗ 2УЗ 2УЗ 4
Менее 100 тыс.
УЗ 2УЗ 3УЗ 4
Общедоступные ПДн сотрудников оператораЛюбойУЗ 2УЗ 3УЗ 4

Чем выше уровень защищенности персональных данных (класс защищенности государственной системы), тем больше мер по защите информации требуется выполнить. Если по ошибке определить более высокий уровень защищенности персональных данных (класс защищенности государственной системы), то, соответственно, придется создавать более дорогую систему защиты информации. При этом выбор более низкого уровня защищенности персональных данных (класса защищенности государственной системы), чем он есть на самом деле, может привести к нарушению требования законодательства.



Познакомьтесь со всеми преимуществами платформы





Задать вопрос

У вас есть вопрос, идея, предложение или хотите стать нашим партнером? Просто отправьте нам сообщение в свободной форме, и в течение рабочего дня мы свяжемся с вами.

Имя*
Фамилия*
Компания
Категория вопроса
Телефон*
E-mail*
Вопрос*
Защита от автоматического заполнения
Введите символы с картинки*

* - Поля, обязательные для заполнения

Авторизация

Логин (e-mail)
Пароль
Забыли пароль?

Авторизация доступна заказчикам Техносерв Cloud. Чтобы стать нашим клиентом, свяжитесь с нами. Спасибо!

Восстановление пароля

Логин (e-mail)

На ваш e-mail будет отправлено письмо со ссылкой на страницу смены пароля

Контакты службы поддержки:
+7 (495) 790-79-79
support@technoserv.cloud

Сервис обратного звонка RedConnect