Недавно Дата-центр RUVDS в Королеве прошел сертификацию на соответствие требованиям ФСТЭВ Россию .
Дата-центр Рукклауд спроектирован в соответствии с категорией надежности TIER III по стандарту TIA-942 (резервирование N+1 с уровнем отказоустойчивости 99,98%).
Получение сертификата ФТСЭК стало логичным шагом в соответствии с политикой РУВДС: обеспечение защиты данных клиентов остается одним из важнейших направлений нашего развития.
Что такое ФСТЭК и зачем нужна сертификация? Что это значит для нас и наших клиентов? Подробнее об этом ниже.
В это неспокойное время особое внимание уделяется информационной безопасности.
Вопросы информационной безопасности являются важной частью задач, решаемых государственными органами и организациями, коммерческими компаниями при разработке и эксплуатации информационных систем и баз персональных данных.
В связи с этим необходимо учитывать требования международного и российского законодательства к информационным системам, предназначенным для работы с такой информацией.
С каждым годом требования отечественных регуляторов ужесточаются: Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности, Минобороны, Службы внешней разведки, Федеральной службы безопасности, Минкомсвязи, Банк России.
Каждый из них действует в своей сфере компетенции, определенной законом.
Если, например, ФСБ «отвечает» за криптографию, а ФСТЭК «отвечает за все остальное» (фаерволы, антивирусы, системы предотвращения вторжений и т. д.).
Сертификация ФСТЭК
Почему сертификация FSTЭK? Именно ФСТ России, помимо другой деятельности, осуществляет следующие полномочия: «организует в соответствии с законодательством Российской Федерации работы по оценке соответствия (в том числе сертификационные работы) средств противодействия технической разведке, технических защита информации, обеспечение безопасности информационных технологий, используемых для формирования государственных информационных ресурсов, а также объектов информатизации и ключевых систем информационной инфраструктуры».
Сертификация - форма подтверждения соответствия объектов требованиям технических регламентов, положений стандартов, сводов правил или условий договоров, осуществляемая органом по сертификации.
В данном случае речь идет о РОСС RU.0001.01БИОО – «Система сертификации средств защиты информации по требованиям безопасности информации».
Существуют различные требования ФНСЭК по защите отдельных видов конфиденциальной информации.
По результатам процедуры подтверждения соответствия конкретного программного или аппаратного продукта требованиям безопасности выдается сертификат. Не выдадут ли его, зависит от результата.
Оценка соответствия используется во многих сферах, и информационная безопасность не является исключением.
В зарубежной практике существует стандарт ISO IEC 15408:2009, специально разработанный для описания критериев оценки ИТ с точки зрения информационной безопасности.
У России есть своя системы сертификации средства защиты.
Безопасность центра обработки данных
К программному обеспечению, используемому для построения ключевых систем информационной инфраструктуры, и к самим этим системам предъявляются особые требования.Кроме того, в дата-центре размещаются ценные информационные активы компаний и организаций, защита которых должна быть обеспечена на должном уровне и с учетом угроз информационной безопасности, требований российского законодательства и регуляторов.
Требования к дата-центрам 152-ФЗ «О персональных данных» , 21, 17, 31 приказы ФСТ России, требования ФСБ России по криптографической защите информации, требования Банка России, ФЗ-256 «О безопасности объектов топливно-энергетического комплекса».
И это только основные требования.
Например, согласно 152-ФЗ «О персональных данных», системы обработки и хранения персональной информации россиян должны не только находиться на территории нашего государства, но и соответствовать требованиям безопасности, установленным законодательством.
Особенно это актуально для операторов коммерческих дата-центров, для которых сохранность и защищенность информации о клиентах является одним из ключевых критериев оценки качества.
С момента вступления в силу 152-ФЗ обработка персональных данных, входящих в информационные системы, осуществляется в соответствии с этим законом, который требует от операторов выполнения всех требований к используемому программному обеспечению.
Согласно Федеральному закону 149-ФЗ, все программное обеспечение в государственных, правоохранительных, финансовых и других структурах, осуществляющих обработку официальной информации, подлежит сертификации ФСТЭК.
Закон разрешает таким организациям использовать только сертифицированное программное обеспечение.
Если персональные данные хранятся в коммерческом, корпоративном или государственном центре обработки данных, требования законодательства также требуют, среди прочего, принятия необходимых мер по их физической защите.
Конкретный набор таких мер зависит от уровня конфиденциальности, установленного для обрабатываемых данных.
Исходя из этого, класс безопасности дата-центра выбирается по нормам ФЗ и ФСТЭК и обеспечивается необходимая защита , в том числе физ.
Наиболее сбалансированным способом обеспечения физической безопасности дата-центра является реализация многоуровневой безопасности (с несколькими периметрами безопасности).
Как и в случае с эшелонированной обороной, прорыв на одном уровне не будет означать нарушение системы безопасности.
Наряду с организационными мероприятиями и документацией комплекс мер по защите персональных данных предполагает внедрение технических средств защиты.
Согласно сложившейся практике, это круглосуточное присутствие в дата-центре и на его территории специально обученной вооруженной охраны, а также оборудования видеонаблюдения, охватывающего внешний периметр дата-центра и внутренние помещения.
Ответственность за сохранность этих данных несут также организации, владеющие персональными данными граждан.
Необходимые меры физической защиты прямо или косвенно вытекают также из других стандартов и правил – международных и национальных, таких как TIA-942, Сарбейнса-Оксли, SSAE 16/SAS 70 и др.
В отношении физической безопасности выделяют следующие требования: организация режима обеспечения безопасности помещений, контроль физического доступа к инфраструктуре, в том числе помещениям и сооружениям, контроль входа и выхода оборудования, в том числе машинных носителей.
Важное внимание уделяется несанкционированному доступу к информации.
Правильное построение и документирование процедур контроля доступа позволяет соблюсти необходимые требования физической безопасности.
Какие именно системы и инструменты сертифицированы в нашем дата-центре?
Что сертифицировано?
В дата-центре РУВДС имеются сертифицированные автоматизированные рабочие места сотрудников (антивирусная защита, защита от взлома информационной системы), средства вывода (принтер), контроль доступа в помещения, защита от прослушивания.В частности, сертификат системы контроля и управления доступом (СКУД) гарантирует надежность физической безопасности серверов дата-центра.
Все действия постоянно протоколируются, активность на рабочем месте проверяется на подозрительную и при необходимости может быть заблокирована с уведомлением ответственных лиц.
Используется сертифицированное программное обеспечение, начиная с Сертифицированная ФНС ОС Windows и специализированное программное обеспечение для контроля доступа и фильтрации трафика до антивирусная защита и гипервизор.
Это защищает рабочую область, которая напрямую связана с данными клиентов.
Это осуществляется с помощью средств ОС на рабочих станциях, баз данных, специализированных защитных и антивирусных продуктов, межсетевых экранов, средств контроля доступа (СКУД), резервного копирования и восстановления, контроля уничтожения данных и удаления информации.
Если клиент просит перенести свою инфраструктуру на отдельную машину, ее можно полностью защитить, например, установив туда VipNet, SecretNet или какие-то специальные антивирусы.
При этом предоставляемые нами услуги будут сертифицированы, а нашего заключения о проведенных работах по защите инфраструктуры клиента будет достаточно для того, чтобы клиент отчитался в контролирующие органы.
Исключается этап сертификации ИТ-инфраструктуры заказчика, благодаря чему сокращается количество необходимых трудозатрат и времени до 50%, существенно снижается требуемый объем инвестиций, а также существенно облегчается процесс сертификации информационных систем.
Что касается персональных данных, то наши серверы физически расположены на территории Российской Федерации, также РУВДС имеет лицензии Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций № 137295 от 30.10.2015 («Телематические услуги связи») и № 137295 от 30.10.2015 («Телематические услуги связи») и № 137295. 137296 от 10.30. 2015 года («Услуги передачи данных, за исключением услуг передачи данных в целях передачи речевой информации»), поэтому можно быть спокойным за исполнение настоящего Федерального закона.
Почему дата-центр сертифицирован?
Поступление подтверждающих документов свидетельствует надежность провайдера и услуги, которые они предлагают. Сертификация, прежде всего, подтверждает ответственность компании перед всеми клиентами (а не только теми, кто работает с конфиденциальной информацией).Сам процесс лицензирования, по стандартам ФСТЭК, длительный и достаточно дорогой.
Его просто не могут себе позволить мелкие участники рынка или участники, заинтересованные в немедленной выгоде от проекта.
Получение лицензии ФСТЭК – это инвестиция в стратегическое развитие компании.
Лицензия ФНСЭК не только подтверждает компетентность компании по работе с персональными данными, но и дает возможность предлагать услуги компаниям, в том числе государственного сектора, которые обязаны соблюдать требования по защите конфиденциальной информации, по Например, они сами имеют лицензию ФНСЭК и передают нам как поставщику услуг данные, подлежащие защите по стандартам ФНСЭК.
Кроме серьезная защита и резервирование на уровне ЦОД и сертификация ФСТЭК, РУВДС заключил договор страхования персональные данные и корпоративная информация третьих лиц.
Помимо общего страхования, RUVDS совместно с AIG планирует предложить своим клиентам уникальные условия индивидуального страхования их деятельности и данных о виртуальные серверы компании.
И, конечно же, в нашем дата-центре ваши ресурсы будут защищен от DDoS-атак : анализ сетевого трафика осуществляется круглосуточно, а защита позволяет стабильно противостоять атакам пропускной способностью до 1500 Гбит/с.
Аналитическая система фильтрует трафик, поступающий на ваш адрес, удаляет вредоносную информацию, передавая на вашу сторону только легитимный, безопасный трафик.
Теги: #Сетевые технологии #Хостинг #ruvds #it-инфраструктура #сертификация #fstec
-
Как Правильно Писать Утверждения
19 Oct, 24 -
Обновление Для Ide Embitz 1.11
19 Oct, 24 -
Невозможные Креветки, Или Антарктический Мем
19 Oct, 24 -
Байнет2.2 - Встречаемся В Минске
19 Oct, 24 -
«Новый Роман Пелевина» Утек В Интернет
19 Oct, 24
