Попробуйте бесплатно
Пн-Пт: 9:00 - 18:00

Безопасный облачный дата-центр

07.11.2017

Изображение к статье Безопасный облачный дата-центр

Задействование облачных серверов становится популярным не только среди частных компаний, но и государственных органов. Государственные структуры могут использовать системы хранения персональных данных для различных целей. Была сформирована единая инфраструктура для государственных органов, которая исключает дублирование систем со схожими функциями.

По результатам проведенного опроса, стало известно, что более 60% госорганов используют облачное программное обеспечение, однако большинство из них не уверенны в безопасности информации. Это обуславливает повышенные требования к дата-центрам, провайдерам и поставщикам ПО. Их работа ориентирована на обеспечение безопасности персональных данных. Должны осуществляться требования, предъявленные к ГИС и информационным системам, которые занимаются обработкой персональным данных и их хранением.

Под ГИС-ом понимаются федеральные и региональные системы, созданные для обеспечения передачи персональных данных между госорганами. Ежегодно появляются новые требования, предъявляемые к системам защиты персональных данных. На сегодняшний день можно выделить следующие законы и постановления, которые ориентированы на защиту персональных данных:

1. Законы:

- 149 Федеральный закон "Об информации, информационных технологиях и о защите информации";

- 152 ФЗ «О персональных данных»;

- Федеральный №242, который выступает в качестве уточнения к предыдущему закону;

- о коммерческой тайне;

- 161 ФЗ о национальной платежной системе.

2. Приказы:

- ФСТЭК Российской Федерации No17 и No21, где установлены требования к указанным выше законам;

- ФСБ No378 от 10.07.2014.

3. Постановления:

- No1119 от 01.11.12.

Безопасность персональных данных

Согласно законодательству РФ, защита персональных данных должна быть обеспечена на высоком уровне, потому как содержащаяся в них информация ориентирована на ограниченный доступ. Обработка персональных данных осуществляется в соответствии с законом 152-ФЗ "О персональных данных". Здесь регулируются вопросы, касающиеся обработки персональных данных, осуществляемой различными государственными органами. Закон предусматривает, что базы персональных данных граждан РФ должны храниться в России, однако это не препятствует дублированию информации на зарубежных серверах.

В качестве операторов персональных данных выступают мед и соц учреждения, учебные заведения, страховые компании и иные организации, которые работают с физическими лицами (включая зарубежные). При работе с персональными данными, операторами ПДн должен быть уведомлен Роскомнадзор о намерении проводить обработку персональных данных.

Как можно обеспечить защиту персональных данных?

Любое предприятие желает обеспечить безопасность персональных данных, для чего используются различные средства защиты информации. Чтобы не заниматься этим процессом самостоятельно, поскольку это сложно и дорого, лучше обращаться к коммерческим дата-центрам. Они позволяют вам размещать собственную информацию в ЦОД провайдера либо в облаке. В этой ситуации ответственность за защиту персональных данных лежит на центре обработки данных.

Компании должны учитывать существующий риск размещения информации в сторонних системах защиты персональных данных. Когда речь идет о ГИС либо ИСПДн, то здесь потребуется дополнительно защита со стороны ИТ-инфраструктуры провайдера.

Важно обговорить то, как требования предъявляются к центрам, осуществляющим обработку персональных данных.

Требования, которым должен соответствовать ЦОД

Центр хранения персональных данных и обеспечения их защиты должен полностью соответствовать существующим требованиям законодательства и Роскомнадзора. Регулированием этих вопросов занимаются ФСТЭК и ФСБ, выполняющие контроль и сертификацию систем, которые работают с персональными данными. Гарантировать безопасность персональных данных достаточно сложно, как и создать оптимальные условия для их хранения. Это предстает технической и многокритериальной задачей. Одним из средств защиты информации предстает реализация многоуровневой защиты. В этой ситуации будут использованы как технические, так и организационные средства защиты информации. В идеале эти параметры рассматриваются и учитываются на стадии планирования создания ИС.

С помощью многоуровневых систем защиты можно защитить базы персональных данных от вторжений и обнаружения, от вирусов, хищения информации и т.д. Система включает в себя различные средства, ориентированные на безопасность персональных данных. О полном соответствии требований свидетельствуют сертификаты и заключение SLA с заказчиком.

Несмотря на то, что сегодня многие осуществляют работу с персональными данными и услуги хостинга стремительно развиваются, имеется мало предложений по размещению ИС обработки и защиты персональных данных и ГИС, которые бы полностью соответствовали государственным требованиям. Сравнивая ГИС и ИСПДн, стоит отметить, что у первого имеются более высокие требования.

Законодательство не регулирует явным образом тот момент, каким образом компанией должна обеспечиваться защита персональных данных. К этому вопросу необходимо подходить индивидуально, основываясь на типе информации и существующих рисках. Когда речь идет о ИСПДн, то здесь компания должна определить необходимый уровень защищенности, основываясь на котором будут подбираться средства защиты информации. Этот уровень устанавливается в зависимости от того, какие данные будет обработаны, каков их объем и какие имеются актуальные угрозы. Помимо этого, в число обязанностей оператора ПДн можно отнести обеспечение законности передачи персональных данных, построение эффективной системы защиты, отправку уведомления в Роскомнадзор, оценку проведения защиты базы персональных данных и т.д.

Хорошая альтернатива - обращение к уже аттестованному виртуальному дата-центру, передав всю ответственность за защиту персональных данных на провайдера. Важно удостовериться в наличии у провайдера соответствующей лицензии на осуществление деятельности по технической защите и обработке персональных данных.

К основным требованиям относится наличие СЗИ на уровне виртуализации и программ, систем для мониторинга и выполнения регистрации события, наличие шифрования трафика, предоставление физической и дополнительной защиты персональных данных, а также осуществление иных задач. Такой виртуальный ЦОД будет соответствовать требованиям закона №152 ФЗ "О персональных данных".

Что предлагаем мы?

"Техносерв" предлагает своим клиентам качественную защиту персональных данных:

- устанавливается необходимый уровень защищенности, вследствие чего подбирается нужный сегмент платформы Техносерв Cloud;

- разрабатывается требуемая документация, которая необходима для удовлетворения требований Роскомнадзора и законодательства РФ. Сюда же относится и аттестация информационных систем;

- имеются лицензии ФСБ и ФСТЭК, которые позволяют проводить аттестацию информационных систем, поскольку имеются права аттестующего органа.

В нашей компании имеются две платформы для хранения персональных данных.

Платформа сегмента

Защищенный

Закрытый

Среды виртуализации

OpenStack-KVM, VMware

VMware

Цель использования

· Размещение ИСПДн, которые не предъявляют специализированных требований к защите и хранению персональных данных заказчика.

· Размещение ИСПДн компаний, включая те, которые были задействованы в процессах обработки персональных данных держателей карт.

Размещение ГИС и ИСПДн, которые соответствуют самым высоким требованиям Роскомнадзора и законодательства РФ.

Соответствие действующему российскому

законодательству

· Приказ №21 ФСТЭК РФ (3-4 уровни)

· PCI DSS — общепринятый стандарт безопасности ПДн индустрии платёжных карт;

· Положение Банка РФ №382-п;

· Стандарт Банка РФ

· Приказ №17 ФСТЭК РФ(1 класс)

· Приказ №21 ФСТЭК РФ(1 уровень)

· Федеральный Закон №152

Сертификация и

Аттестация

Сертификат соответствия установленным требованиям Стандарта безопасности PCI DSS

· Аттестат соответствия существующим требованиям по безопасности информации для размещения ИС и систем, осуществляющих обработку персональных данных до 1-го уровня защищенности

Информационная безопасность

Используемые средства защиты позволяют выполнить требования, предъявляемые:

· к ИСПДн до 3-го уровня защищенности включительно;

· стандартом PCI DSS;

· Положением Банка России №382-П.

· Стандартом ЦБ РФ

Применяемые средства защиты позволяют выполнить требования, предъявляемые:

· к ИСПДн до 1 -го класса защищенности включительно;

· к ИСПДн до 1-го уровня защищенности включительно.

Организационные меры защиты

Физическая безопасность:

· Управление и контроль доступом

· Сигнализация

· Пожаротушение в автоматическом режиме

· Система видеонаблюдения

· Сейфы

Дополнительные мероприятия:

· Постоянный мониторинг и регулярные тестирования

· Присутствует и поддерживается политика безопасности

· Осуществляется управление возможными рисками и уязвимыми моментами, выполняется расследование инцидентов

· Регулярно проводятся внутренние и внешние проверки безопасности

Виртуальный дата-центр «Закрытый»

«Закрытый» виртуальный дата-центр предоставляет виртуальную IT-инфраструктуру, которая имеет высокую степень защиты персональных данных. В данном случае можно говорить о первом уровне защищенности, который сказывается и на хранении, и на передаче персональных данных.

Масштабируемая виртуальная инфраструктура с 99,95% доступности позволяет создать полноценный центр по обработке и хранению персональных данных в «закрытом» сегменте.

Облачный дата-центр позволит компании оптимизировать как финансовые, так и временные затраты, позволяя осуществлять хранение персональных данных в иной IT-инфраструктуре. Не нужно тратиться на обслуживание собственной системы, когда можно обратиться в дата-центр, обеспечивающий качественную работу с персональными данными, и где могут размещаться ГИС с высокими требованиями к безопасности.

Все предоставляемые нашей компанией средства защиты характеризуются наличием требуемых сертификатов от таких служб Российской Федерации как ФСБ и ФСТЭК. Многоуровневая защита, организационные меры, контроль, соответствие стандартам и многое другое обеспечивает достойное хранение персональных данных. Наша компания осуществляет регулярный внешний и внутренний аудит безопасности, постоянно проводится мониторинг данных и совершаемых действий, связанных с обработкой персональных данных. Нами не упускаются риски и уязвимости, а напротив, мы адаптированы под управление ими.

Предоставляемая услуга по хранению персональных данных имеет актуальность для многих государственных и частных компаний. Она вполне востребована операторами персональных данных, которые стремятся адаптировать свою систему под существующие законодательные требования и нормы. Если заказчик разместит свою информационную системы в закрытом сегменте облачной инфраструктуры, то он освобождается от выполнения всех регламентных работ, которые передаются центру по обработке персональных данных.

Оставайтесь на связи!

Подпишитесь, чтобы получать последние новости об облачных сервисах и трендах облачного рынка от Техносерв Cloud.
Без спама, отменить подписку можно в любое время.

Задать вопрос

У вас есть вопрос, идея, предложение или хотите стать нашим партнером? Просто отправьте нам сообщение в свободной форме, и в течение рабочего дня мы свяжемся с вами.

Имя*
Фамилия*
Компания
Категория вопроса
Телефон*
E-mail*
Вопрос*
Защита от автоматического заполнения
Введите символы с картинки*

* - Поля, обязательные для заполнения

Авторизация

Логин (e-mail)
Пароль
Забыли пароль?

Авторизация доступна заказчикам Техносерв Cloud. Чтобы стать нашим клиентом, свяжитесь с нами. Спасибо!

Восстановление пароля

Логин (e-mail)

На ваш e-mail будет отправлено письмо со ссылкой на страницу смены пароля

Контакты службы поддержки:
+7 (495) 790-79-79
support@technoserv.cloud

Сервис обратного звонка RedConnect