ご存知のように、ロシアでは、連邦法No. 152「個人データについて」が数年間有効です。
2006年の最初の公開中に、法律は大幅に変更され、データ自体をロシア連邦の領土に保存し、保護する必要があります。 実際には、これにより、データ処理に関するビジネス上の責任が増大します。 「個人データに関する」法律の要件を遵守することの難しさ、およびそれが実際の効果をもたらすかどうかについては、この記事で説明します。
ロシアの法的分野で組織された法人は、この規制の対象となります。 私たちのプロジェクトRUVDS法は、顧客の個人データの処理と、顧客が当社の機器で作業する情報の保護の両方に影響します。
保護にはいくつかのオブジェクトがあります。
最初のタイプのデータは、顧客データそのものです。 たとえば、これは彼の名前、生年月日、出生地、パスポートデータ、法人の場合-会社に関するデータです。 クライアントは、サービスの使用を開始する際に、この情報を処理のために当社に転送することに同意し、法律に従って作業することを約束します。 これは多かれ少なかれ明確であり、単なる保護の対象です。
2番目のタイプのデータは、クライアントがVDS / VPSサーバーに直接保存する情報です。 これは、保護のより重要で重要なオブジェクトです。 このようなデータの例としては、ソーシャルネットワークへのログインパスワード、メール、個人の個人会計などがあります。 また、法人にとっては、このような情報の範囲はさらに広く、これらはクライアントデータベース、会計、および特殊なソフトウェアです。
法律の観点から、保管または処理のためにデータを転送する法人は、この情報の保護に完全に責任を負います。 これが、銀行、ブローカー、大企業がデータストレージと処理を組織するための潜在的なパートナーをチェックしている理由です。 すべてがチェックされます。 物理メディアと通信チャネルが確実に保護され、スタッフが本当に有能であることを確認するために、一部のクライアントがデータセンターに来たことに注意する必要があります。
データ保護はどのように整理できますか?
個人情報に対する脅威のさまざまなソースがあります。たとえば、会社の従業員による個人的な目的での顧客データの使用、個人または法人であろうと顧客データの破壊、サーバーのハッキングによるデータ盗難などです。
これらはおそらく、すべての通信事業者が直面する最も有名で理解可能な脅威です。 リスト自体はもちろん、もっと広いです。
当然、データ保護にはさまざまな方法とレベルがあります。
第152法の観点から言えば、情報保護の段階は、脅威の特定、セキュリティ対策とメディアの開発、対策の適用とその有効性の評価、およびこのセキュリティシステム全体の監視としてリストできます。 当社は、最大限のデータ保護に必要なすべてのアクションを一貫して実行します。最初に作業を開始するのは人です。 当社の各従業員は、仕事に入ると、特に顧客の個人データを含む機密情報のリストを知っています。 彼は、ロシア連邦の法律の枠組み内でこのデータを扱う責任の下で購読しています。
しかし、この問題では意識だけに頼ることはできません。 そのため、情報保護の分野で認定された専門家によって開発された、アクセス権の詳細な記述と制御のシステムがあります。 要するに、顧客データ(前述の最初のタイプ)へのアクセスは、適切な資格を持つ従業員にのみ許可され、機密情報を扱うための証明書資格により、厳密に規制に従って確認されます。 さらに、アクセスは常にパーソナライズされ、すべての従業員のアクションのログが記録されます。 したがって、スペシャリストがクライアントに関するデータを変更、ダウンロード、送信、保存した場合、これは常に表示され、誰がそれを行ったかを明確に判断することができます。
ただし、従業員は、クライアントからのアプリケーションがある場合にのみサーバーに保存する顧客データ(2番目のタイプのデータ)にアクセスできます。たとえば、追加の特定のサービスのセットアップと提供を支援する場合です。 同時に、クライアントのサーバーで作業を行う従業員も機密情報を扱うことが認定されており、必要に応じてクライアントのデータにアクセスするコンピューターには、不正アクセスを防ぐための特別なソフトウェアが搭載され、連邦技術輸出サービスによって認定されています制御(FSTEC)。
このような作業の組織化は、本質的に、従業員による潜在的な悪意のある行為からの顧客データの保護を保証し、外部から保護されアクセスできないマシンの領域への情報漏洩の可能性を制限します。 ところで、私たちのオペレーターの部屋には、利用可能な写真固定ツールの助けを借りて漏れを防ぐために、24時間体制のビデオ監視が装備されています。
しかし、多くの企業のセキュリティサービスのシステム管理者や従業員が苦労している解決策、つまり情報システムのハッキングについては疑問が残ります。 仮想サーバーで作業する場合、ハッキングに対する保護の提供ははるかに単純で透過的であると言わなければなりません。 従業員の物理コンピューター間でデータ転送のセキュリティを確保する必要がある場合は、各個人が個別に機密情報を持っているため、各PCの動作をいつでも制御する必要があります。 また、1つの仮想サーバーにすべてのデータがある場合は、そのアクセスを制御するだけで済みます。 さらに、別のビジネスユニットとしてのデータセンター自体が、顧客データの保護、DDOS攻撃に対する保護をすでに行っていることを考慮する必要があります。 それとは別に、ホスティングサービスプロバイダーも同じタスクに取り組みました。 たとえば、データセンターでは、サーバー自体と、DDOS攻撃をすばやくブロックできるトラフィックアナライザーの両方を監視しています。 つまり、関係の開始時にクライアントは、「すぐに使える」深刻なレベルの保護を受けます。
さらに必要な場合は、DDOS保護のサービスを注文できます。 このサービスでは、サーバーは専用のサブネットからIPアドレスを受け取ります。このサブネットでは、既にフィルター処理されたデータストリームがアドレスに到着します。 これは、人気のあるサイト、オンラインバンク、ゲームリソースにも当てはまります。
同時に、サーバーへの一括アクセスを整理するとき、各アクセスはVPS自体と通信事業者の制御の両方によってパーソナライズされ、ログに記録されるため、データを使用した違法なアクティビティを簡単かつ迅速に特定して抑制することができます。
これは、多くの企業が一般的な開発から複数年の財務諸表やインターネット銀行の業務の保存に至るまで、データを使用してチームワークを仮想サーバーに移行する動機です。 安くて効率的です。
たとえば、クライアントには銀行やブローカーがいます。 それらとの連携には一定の特異性がありますが、実際には、データセキュリティの観点から、このようなクライアントとの連携は他のクライアントよりも複雑でも単純でもありません。 セキュリティ基準とサービスのレベルは、小規模の小売クライアントと大規模な法的クライアントの両方で同等に高くなっています。 なぜそう すべてのクライアントに関連する違反のためにライセンスを取り消すことができるからです。 そして、法人は、小売クライアントのデータを保護できないオペレーターにデータを委ねることができますか? ただし、大規模なクライアントのリクエストに応じて、クライアントにとって必要な追加の監視および保護ツールをインストールできると言う価値があります。 ここで私たちはいつも会います。 当然、大規模な顧客と仕事をするとき、誰もその言葉を信じません。 したがって、彼らの能力とレベルはライセンスによって確認されなければなりません。
通信センター(データセンター)経由でサービスを提供する通信事業者は、関連する活動のためにRoskomnadzorのライセンスを所有する必要があります。 たとえば、当社はテレマティック通信サービスおよびデータサービス(音声情報なし)を提供するライセンスを取得しています。 それとは別に、機密情報と州の秘密を扱うには、FSTECライセンスを取得する必要があります。 ライセンスを取得できるのは、情報を保護するための内部手順、データへのアクセスを制御するための特別な認定ソフトウェアと機器、および盗難や暴露からの記憶媒体の物理的保護がある場合のみです。 これは、法人と協力する際の重大な保証です。 RUVDSは、このライセンスを取得中です。
実際には、実際のデータ保護は、ビデオ監視、機器室へのパーソナライズされたアクセスを備えた部屋のセキュリティのいくつかのコードから始まり、機器自体とオペレーターの部屋も24時間監視されています。 すべての通信は認定された安全なスイッチを通過し、顧客とそのストレージの個人データの処理は、リークに対する保護を保証する専用ソフトウェアの制御下で専用のマシンで行われます。
部屋自体には少なくとも1メートルの厚さのブラインド壁があるため、盗聴を防ぐことができます。 多くの場合、このような保護条件は、一定の温度、途切れない通信および電力供給、ガス消火を維持するための技術的要素は言うまでもなく、オフィスの敷地内で作成することはできません。 本質的に、それは信頼できる銀行の金庫のレベルのデータバンクです。
なぜそのような手段ですか?
情報は一種のオイルであることが世界中で長い間知られています。 石油自体はかつて無料であるため、役に立たない可能性があります。 しかし、正しく使用すると、金鉱山になる可能性があります。 私たちの国では、彼らもこれに気づき、この資源を保護し始めました。 このような情報の最も簡単なアプリケーションは、潜在的な顧客のデータベースです。 おそらく、これはおそらく最も無害です。 アプリケーションの範囲は、犯罪データの収集や受け取った情報を使用した銀行口座のハッキングまで、最も広範囲です。 したがって、深刻かつ永続的な保護が必要です。
また、フォールトトレランスとデータバックアップの保存も忘れないでください。 サーバー全体の障害の事実はほとんどありえませんが、ほぼ不可能ですが、常にデータミラーリングシステムが存在する必要があります。また、深刻なクライアントの場合、原則として、永続的なバックアップ用に2倍のディスクボリュームが割り当てられます。 これは銀行、特にサーバーにインターネットバンキングを展開している銀行にのみ関係します。なぜなら、銀行はできるだけ早くリソースのバックアップコピーを「作成」する必要があるからです。 このようなシステムにより、これを行うことができます。
別のニュアンスは、インフラストラクチャのスケーリングです。 ハードウェアで同様の問題に直面している場合、2つの選択肢があります:負荷を減らす(これはおそらくあなたに合わないでしょう)、またはアーキテクチャが許すなら追加のコンポーネントを購入することでサーバーの容量を増やします。より強力なサーバーを購入するだけです。
現在の経済状況を考えると、このタスクは中小企業には耐えられず、単に採算が取れない場合があります。 新しい機器に対する返品の影響を評価することは非常に困難であり、そのためのお金はすぐに支払わなければなりません。
仮想サーバーを使用すると、このような問題は即座に解決されます。 リソースを注文するだけで、会社が必要な容量を割り当てます。 これは通常、数分以内に発生します。 1台のサーバーがすでに不足しているためにデータが大きくなりすぎて、データをより強力な新しいサーバーに転送する必要がある場合は、数時間かかります。 しかし、いずれにせよ、ハードウェアを購入してセットアップするのに比べて、非常に高速です。 そして、価格は桁違いに低くなります。 たとえば、50,000ルーブルの高品質のラップトップの容量を持つサーバーをレンタルすると、1,500ルーブルの費用がかかります(これには、年間の支払いの割引は含まれません)。 あなたは何を節約するのか理解しています。 これは、多くの従業員が一度にマシンで作業でき、弱い、安価なPCまたはタブレットからでも接続できることは言うまでもありません。 これに加えて、ソフトウェアの購入の節約を追加する必要があります。 ホスティングプロバイダーからチームのほぼすべてのソフトウェアをレンタルできます。