現在の激動期における情報セキュリティには特別な注意が払われています。 ISの問題は、国家機関や組織、情報システムの開発と運用における営利企業、個人データベースによって解決されるタスクの重要な部分です。 この点で、そのような情報を扱うように設計された情報システムに関する国際法およびロシア法の要件を考慮する必要があります。
毎年、国内規制当局の要件が厳しくなります:技術および輸出管理のための連邦サービス、連邦安全保障サービス、防衛省、外国Intelligence報機関、連邦安全保障サービス、通信およびマスメディア省、およびロシア銀行。 それらはそれぞれ、法律で説明されている能力の分野で活動しています。
たとえば、FSBが暗号化の「責任」であり、FSTECが「その他すべて」(ファイアウォール、ウイルス対策、侵入防止システムなど)である場合。
FSTEC認証
FSTEC認定の理由 ロシアのFSTECは、他の活動に加えて、次の権限を行使します。「ロシア連邦の法律に従って、技術情報に対する対策の適合性評価(認証作業を含む)、情報の技術的保護、状態情報の形成に使用される情報技術のセキュリティの確保に取り組むリソース、情報化の対象、情報インフラストラクチャの主要システム」。
認証 -技術規制の要件、標準の規定、慣行のコード、または契約条件とオブジェクトの適合の認証機関による認証の形式。 この場合、ROSS RU.0001.01BIOO-「情報セキュリティ要件に対する情報セキュリティツールの認証システム」について話します。
特定の種類の機密情報の保護に関するFSTECのさまざまな要件があります。 特定のソフトウェアまたはハードウェアとソフトウェアのツールのセキュリティ要件への適合を確認する手順の結果に基づいて、証明書が発行されます。 または発行されません-結果によって異なります。
適合性評価は多くの分野で使用されており、ISも例外ではありません。 海外では、情報セキュリティの観点からITを評価するための基準を記述するために特別に設計された標準ISO IEC 15408:2009があります。 ロシアには、保護具に関する独自の認証システムがあります。
データセンターのセキュリティ
主要な情報インフラストラクチャシステムの構築に使用されるソフトウェア、およびこれらのシステム自体には特別な要件があります。 さらに、データセンターには企業や組織の貴重な情報資産が収容されており、適切なレベルで保護され、情報セキュリティに対する脅威、ロシアの法律および規制当局の要件を考慮に入れる必要があります。
データセンターには、 152-「個人データについて」 、ロシアのFSTECの21、17、31次の要件、暗号情報保護のためのロシア連邦セキュリティサービスの要件、ロシア銀行の要件、FZ-256「燃料およびエネルギー施設のセキュリティに関する要件」が提示されています複雑な」。 そして、これらは単なる基本的な要件です。
たとえば、152-「個人データについて」によれば、ロシア人の個人情報を処理および保存するシステムは、州の領土に配置するだけでなく、法律のセキュリティ要件にも準拠する必要があります。 これは特に、顧客データの安全性とセキュリティが品質を評価するための重要な基準の1つである商業データセンターのオペレーターに当てはまります。
152-FZの発効以来、情報システムに含まれる個人データの処理は、使用されるソフトウェアのすべての要件をオペレーターが履行することを含むこの法律に従って実行されます。
連邦法149-によると、公式情報を処理する州、法執行機関、金融機関、およびその他の構造のすべてのソフトウェアは、FSTEC認定の対象となります。 法律は、そのような組織が認証されたソフトウェアのみを使用することを許可しています。
個人データが商業、企業、または州のデータセンターに保存されている場合、それらの物理的保護に必要な措置も法律の要件に従います。 そのような対策の特定のセットは、処理されたデータに対して確立された機密性のレベルに依存します。 これに基づいて、連邦法およびFSTEC標準に従ってデータセンターのセキュリティクラスが選択され、物理的を含む必要な保護が提供されます。 データセンターの物理的なセキュリティを確保するための最もバランスの取れた方法は、マルチレベルの保護を実装することです(複数のセキュリティ境界を使用)。 階層化された防御と同様に、1レベルのブレークスルーはセキュリティシステムのブレークスルーを意味しません。
組織的な対策と文書化に加えて、個人データを保護するための一連の対策には、技術的な保護手段の導入が含まれます。 確立された慣行によれば、これはデータセンター内および特別に訓練された武装警備員の領域内、およびデータセンターの外部境界と内部施設をカバーするビデオ監視機器に24時間存在します。
市民の個人データを所有する組織も、これらのデータの安全性について責任を負います。 必要な物理的保護対策は、TIA-942、Sarbanes-Oxley、SSAE 16 / SAS 70などの国際および国内の他の規格および規制にも直接的または間接的に準拠しています。
物理的セキュリティに関しては、次の要件が区別されます:施設のセキュリティ体制の組織、施設や施設を含むインフラストラクチャへの物理的アクセスの制御、機械運搬船を含む機器の出入りの制御。 情報への不正アクセスには重要な注意が払われます。 アクセス制御手順の適切な構築と文書化により、物理的なセキュリティを確保するために必要な要件を遵守できます。
データセンターで認定されているシステムとツールは何ですか?
認定されているものは何ですか?
RUVDSデータセンターには、従業員向けの自動化された自動ワークステーション(ウイルス対策、情報システムのハッキングに対する保護)、出力手段(プリンター)、施設へのアクセス制御、およびリスニングに対する保護があります。 特に、アクセス制御および管理システム(ACS)の証明書は、データセンターサーバーの物理的なセキュリティの信頼性を保証します。
すべてのアクションは絶えず記録され、職場でのアクティビティは疑わしいアクティビティがないかチェックされ、必要に応じて、責任者への通知でブロックできます。 認証済みのソフトウェアが使用されます。認証済みのFSTEC Windows OSから始まり、アクセス制御およびウイルス対策保護とハイパーバイザーへのトラフィックのフィルタリング用の特殊なソフトウェアから始まります 。
これにより、顧客データに直接関連するワークスペースが保護されます。 これは、ワークステーション、データベース、特殊な保護およびウイルス対策製品、ファイアウォール、アクセス制御(ACS)、バックアップとリカバリ、データ破壊および情報削除制御のOSツールを使用して行われます。
クライアントが別のマシンでインフラストラクチャを削除するように要求する場合、VipNet、SecretNet、いくつかの特別なウイルス対策ソフトウェアをインストールするなど、完全に保護できます。 さらに、私たちが提供するサービスは認定され、クライアントのインフラストラクチャを保護するために行われた作業についての私たちの意見は、彼が規制当局に報告できるようになります。
顧客のITインフラストラクチャの認証段階が除外されるため、必要な労力と時間が最大50%削減され、必要な投資規模が大幅に削減され、情報システムの認証プロセスが大幅に促進されます。
個人データに関しては、当社のサーバーはロシア連邦に物理的に配置されており、RUVDSは、通信、情報技術、および大衆通信の連邦サービスNo.137295(2015年10月30日)(Telematic Communication Services)およびNo. 137296(30.10)のライセンスも持っています2015年(「音声情報を送信するためのデータ転送のための通信サービスを除く、データ転送のための通信サービス」)、この連邦法の実施について冷静にすることができます。
データセンターを認定する理由
サポート文書の受領は、プロバイダーとプロバイダーが提供するサービスの信頼性を示します。 認証は、まず、すべての顧客(機密情報を扱う人だけでなく)に対する会社の責任を確認します。 FSTEC規格に準拠したライセンスプロセスには時間がかかり、非常にコストがかかります。 小規模の市場参加者またはプロジェクトの当面の利益に興味のある参加者は、単にそれを買う余裕がありません。
FSTECライセンスの取得は、会社の戦略的開発への投資です。 FSTECライセンスは、個人データを扱う企業の能力を確認するだけでなく、機密情報の保護要件を満たすために必要な公共部門の企業を含む企業にサービスを提供することも可能にします。 FSTEC標準に従って保護されます。
RUVDSは、データセンターレベルでの深刻な保護とバックアップ、FSTEC認証に加えて、個人データの保険と第三者の企業情報に関する契約を締結しています。 損害保険に加えて、RUVDSとAIGは、顧客の活動と会社の仮想サーバー上のデータに対する個人保険に独自の条件を提供することを計画しています 。
そしてもちろん、データセンターでは、リソースはDDoS攻撃から保護されます。ネットワークトラフィック分析は24時間365日実行され、保護により最大1500 Gbit / sの攻撃に安定して耐えることができます。 分析システムは、あなたのアドレスに到着するトラフィックをフィルタリングし、悪意のある情報を削除し、正当な安全なトラフィックのみをあなたの側に渡します。