Clever Geek Handbook

クラウドセキュリティ









近年、情報セキュリティ市場の発展とこの分野の幅広い人々の関心の高まりは、個人データを保護するという緊急の問題によるものです。 多くの命令、2006年7月27日付けの連邦法No.152-「個人データについて」(152-)への追加、規制当局の方法と勧告がこのトピックに関して発行されました。



個人データとは何ですか? 定義により、これは特定の個人(個人データ主体)に直接または間接的に関連する情報です。 たとえば、サブジェクトのアドレスはあるがフルネームがない場合、これは個人データでもありますが、追加情報なしで個人データのサブジェクトを確立することはできないため、匿名化されます。 個人データの詳細な分類は、2012年11月1日付けの政府令1119「個人データ情報システムでの処理中の個人データの保護要件の承認について」(PP-1119)に記載されています。 匿名化された個人データに関する情報は152-FZにあります。



個人データの運営者である企業が個人データを含むシステムを保護する必要に直面した場合、重要な決定を下す必要があります。独自のインフラストラクチャに基づいてセキュリティシステムを作成するか、情報システムを「クラウド」に移行し、法的要件の履行をホスティングプロバイダーの処分に任せます。



この記事では、2番目のアプローチに焦点を当てます。



2014年7月21日のロシア連邦連邦法の施行に照らして、N242-「情報通信ネットワークにおける個人データの処理手順の明確化に関するロシア連邦の特定の立法法の改正について」ロシア連邦の領土に物理的に位置するサーバー上のシステムとデータベース、IaaSサービスを提供する多くのロシアのデータセンターオペレーターは、キャパシティビルディング、追加ソリューションの統合に従事 NIJの情報セキュリティ、法令遵守の枠組み内でのコンサルティングで容量コンピタンス。 現時点では、ホスティング市場の主要なプレーヤーは、情報保護ツールが事前にインストールされた実用的なインフラストラクチャを取得するための簡単で迅速な方法を顧客に提供できます。



個人データの「クラウド」情報システム(ISPDn)は、以下に最適です。





クラウドアプローチの利点は次のとおりです。





個人データを「クラウド」に転送する際のキーポイント。



ホスティングプロバイダーの選択。 現時点では、ホスティングサービスを提供している企業が非常に多くあります。 この分野に精通している友人がいなくても、サービスプロバイダーを正しく選択する方法は?



最初に注意する必要があるのは、データセンターがロシア連邦の領土にあるかどうかです。これは、242-FZの要件の1つです。 重要な要素は、国際標準(たとえば、ティア分類システム)に準拠するためのデータセンターの復元力の検証です。



ホスティングプロバイダーが情報保護サービスを提供するには、FSTEC(機密情報の技術的保護)およびFSB(情報保護の暗号化手段の使用)のライセンスが必要です。



大きな利点は、ホストされた情報システムのドキュメント開発サービスです。システムのドキュメントサポートのために追加の請負業者を探す必要がなく、規制当局によるチェック時に支援が提供されるため、コメント、指示、特に罰金なしでの通過が簡単になります。



ホストされるシステムのアーキテクチャの選択。 個人データを含むすべてのシステムコンポーネントを保護する必要があることに注意することが重要です。 したがって、次の方法に頼ることにより、情報セキュリティのコストを削減できます。





これらの方法を使用すると、システムをさらに開発することを忘れてはなりません。コスト最適化の方法によっては、スケーリングとメンテナンスが困難になる可能性があるためです。



情報セキュリティツールの選択。 これは、「クラウド」への移行プロジェクトで最も難しい選択です。特定の方法(ほとんどの場合、マイナス)でアプリケーションシステムに適用されるセキュリティ対策は、サービスのサービス性と可用性に影響するためです。



まず、PP-1119にある簡単なアルゴリズムを使用するか、インターネットに投稿されたよりシンプルなテーブルを使用して、システムのセキュリティレベルを決定する必要があります。 遵守しなければならない技術的要件が明確になると、技術的手段を選択するタスクが発生します。 ISPDセキュリティサービスを提供する企業では、すべての情報セキュリティツールがほとんどの一般的なオペレーティングシステムおよびアプリケーションソフトウェアとの互換性についてテストされているため、この問題に関しては、ホスティングプロバイダーの情報セキュリティスペシャリストのアドバイスに頼る方が適切です。 ただし、有効なFSTECまたはFSBコンプライアンス証明書を確認する必要があります(ほとんどの場合、それらは開発者のWebサイトで見つけることができます)。



脅威と侵入者モデルは、割り当てられたインフラストラクチャに対して作成されます。これにより、セキュリティ対策の選択が容易になります。一部の脅威は組織対策またはデータセンターインフラストラクチャによって中和できるためです。



システムの移行。 システムをクラウドに配置する最初の段階でテストループを作成し、システムの基本的なプロパティを確認し、さらに負荷テストを編成して、ホスティングプロバイダーの選択したネットワークインフラストラクチャがタスクに適しているかどうかを判断することをお勧めします。



追加サービス。 システムの移行とテストが完了すると、システムが稼働します。 信頼性を高めるには、適切な監視システムを構築するか、既存のホスティングプロバイダーシステムに接続する必要があります。 バックアップを忘れないでください。











規制当局による文書と検証。



ホスティングプロバイダーとの契約を締結する場合、個人データの処理に関する追加の契約義務を締結する必要があります。 したがって、会社-個人データの運営者が転送されるという事実-ホスティングプロバイダーへの個人データの処理プロセスの一部が記録されます。つまり、後者は、確立されたレベルのシステムセキュリティに対する法律の要件を遵守する責任を負います。 契約に加えて、確立された救済策が適用される脅威モデルを添付する必要があります。 これはチェック時に重要です。



これまで、個人データ処理要件への準拠はRoskomnadzorによって規制されています。 ISPDnのドキュメントがチェックされます。 それらには、個人データの処理手順、個人データ主体とのやり取りの手順の確立、ISPDとその保護対策などの記述が含まれている必要があります。検証中に困難な状況に陥らず、処理に時間を浪費しないように、文書のパッケージを事前に作成する必要があります。



多くのホスティングプロバイダーおよびインテグレーターがISPD認定を提供しています。 この手順は必須ではなく、非常に費用がかかるため、予算の制約があるため、この手順を無視し、次の法律で規制されているドキュメントの必須パッケージに焦点を当てる方が適切です。





最後に指定された決定はそれほど前に採択されておらず、2015年9月1日から、法律で確立された市民の個人データの処理手順に違反するすべての企業は、それに含まれるリスクを負い、ビジネスを行う際に特定の困難を伴う可能性があります。



したがって、あなたの会社は、ビジネスへの最小のコストと最大の利益で法律を順守する道を選択することができます。



いくつかの点を逃した場合、またはテキストを読んでいる間に追加の質問があった場合は、この記事へのコメントで直接質問してください。


More articles:


All Articles