すべての人々は2つのカテゴリに分けられます。まだバックアップを行っていない人と、 すでにバックアップをしている人です。
データのバックアップの重要性と、バックアップの欠如に伴うリスクについて話す必要はないと思います。 この問題で全員が団結すると思います-バックアップが必要です!
この問題に関する私たちの意見では、私たちは政府の罰の手と情報保護の分野の規制当局に加わりました。 私たちは皆、FSTECの17、21、31の命令で表明された法律の要件を覚えています。 また、金融セクターの規制当局がバックアップとバックアップの要件を作成しました。
そして、2018年1月1日から、2017年7月26日の連邦法第187-FZ、「ロシア連邦の重要な情報インフラストラクチャのセキュリティについて」では、4つの「セキュリティシステムの基本的なタスクの1つがそれらに追加されます(施行されます)」重要な情報インフラストラクチャの重要なオブジェクトは次のとおりです。「重要な情報インフラストラクチャの重要なオブジェクトの機能を復元します。これは、特に、これに必要な情報のバックアップコピーを作成および保存することによって保証されます。」
したがって、これらの要件は実際にはすべての分野の法人によってカバーされています。 そして、規制当局は私たちにとって何が一番好きですか?
私たちの実践からの正しい答えは、確立された方法で適合性評価に合格した資金をあなたの活動に使用することです(読み取り-認定)。 このような状況で、バックアップの分野で国際的なベストプラクティスと認定製品を組み合わせて使用するよりも、何が良いでしょうか? この組み合わせは、Veeam Backup&Replicationで見つかりました。 理解するには-この製品について少し。
Veeam Backup&Replicationは、仮想化されたアプリケーションとデータの効果的なバックアップ、レプリケーション、およびリカバリを提供します。 このソリューションは、仮想マシン内のエージェントを使用せずに、VMwareおよびHyper-V仮想マシンの高速で信頼性の高いバックアップを提供します。 Veeam Backup&Replicationは、バックアッププロセスを大幅に高速化し、データストレージコストを削減できます。
Veeam Backup&Replicationの認定バージョンは、情報を保護するように設計されています。
- セキュリティクラス1までの状態情報システム。
- セキュリティクラス1までの生産および技術プロセスの自動制御システム。
- 個人データ情報システム(第1、第2、または第3のタイプの脅威が関連するものとして分類されている)で、セキュリティクラス1まで(使用手順に従う場合)。
製品の満たされた要件に関する製造元からの情報(完全版はwww.veeam.com/en/fstec-certified-products-requirements.htmlで入手可能です)
規定の方法で適合性評価に合格したツールの使用を必要とする情報システムの要件を検討してください。
州情報システム(GIS)
GISに含まれる情報の保護の要件は、2013年2月11日付のロシアFSTECの命令により決定されます。 No. 17「州の情報システムに含まれる州の秘密を構成しない情報の保護要件の承認について」。
「情報システムに含まれる情報の保護を確保するため、2002年12月27日の連邦法第5条に基づく情報セキュリティ要件への準拠の強制認証の形で適合性評価に合格した情報保護ツールN184-」 「」-ドキュメントの第11条。
個人データ情報システム(ISPDn)
ISPDに含まれる個人データの保護の要件は、2013年2月18日付けロシア連邦FSTEC命令第21号「個人データ情報システムでの処理中の個人データのセキュリティを確保するための組織的および技術的措置の構成および内容の承認について」によって決定されます。
国有の個人データオペレーターの場合、適合性評価は常に、必須の認証とその後の認証の形で実行されます。
「国家情報システムでの処理中に個人データのセキュリティを確保するため、2013年2月11日付けのロシアのFSTECの命令で承認された要件に加えて、政府によって確立された要件(個人データの保護レベルの決定を含む) 2012年11月1日のロシア連邦N1119。さらに、2013年2月11日のロシアのFSTECの命令により承認された要件のパラグラフ27 N 17に従って、 状態情報システムのセキュリティクラスと個人データのセキュリティレベルとの一般的な相関関係。 確立された手順で指定された個人データのセキュリティレベルが、国家情報システムの確立されたセキュリティクラスよりも高い場合、セキュリティクラスは、2013年2月11日付ロシアFSTEC命令により承認された要件のパラグラフ27への準拠を保証する値まで増加します。
(2013年7月15日N 240/22/2637のFSTECからの情報メッセージ)。
個人データの営利事業者の場合、適合性評価は認証の形式とオペレーターの選択により異なる形式の両方で実行できますが、認証製品の選択は製品の認証が自動的に行われるため、情報システムの評価コストを削減できる場合があることに注意してください適合性評価が製造業者によってすでに実行されていることを証明します。
ISPDnのセキュリティレベルに応じた適合性評価に合格した情報セキュリティツールの使用に関する要件:
重要施設のACS TP
ISMSに含まれる情報の保護の要件は、2014年3月14日付ロシアFSTECの命令第31号で決定されます。「重要な施設、潜在的に危険な施設、および施設における生産および技術プロセスの自動制御システムの情報保護要件の承認について人間の生命と健康、そして環境に対する危険性の増大を表しています。」
「自動制御システムでは、技術規制に関するロシア連邦の法律に従って適合性評価に合格した情報保護が使用されます」(第11条)。 認定された保護具を使用すると、製品が適合性チェックに合格したことを証明書が証明するため、この段落の実装コストを削減できます。 証明書を持たない製品の使用も可能ですが、技術規制に関する法律で規定されている認証またはその他の適合性評価活動のために、購入者からの追加費用が必要です。
起こりうる損害の評価:2007年5月21日のロシア連邦政府の法令N 304「自然および人為的緊急事態の分類について」を参照
ACS TPセキュリティクラスと、適合性評価に合格したバックアップツールを使用する必要性は、表に従って決定されます。
適合性評価に合格した手段の使用を必要とする、自動化された制御システムの情報保護対策と、対応するセキュリティクラスの基本セット(情報のバックアップの確保に関して)の構成:
クラウドは何ができますか?
サービスとしてのバックアップの例を考えてみましょう。 Cloud4Yバックアップは、あらゆる量のデータの信頼できるストレージを提供するクラウドベースのバックアップを提供します。
このようなサービスを整理するための少なくとも3つのオプションがあり、インターネットを介した暗号化を備えた無料のVPNが、リストされているすべてのオプションに提供されます。
1. Veeam Backupに基づくサービスとしてのバックアップサービスを使用すると、ストレージからバックアップを保存および復元するために必要なディスク容量を取得できます。 これに加えて、次のモードで一定時間のリカバリを保証できます。
1. SLA「基本」10-19 / 5
2. SLAプライオリティ9-21 / 7
3. SLA「クリティカル」24/7
4. SLA「VIP」24/7
2. Veeam Endpoint Protectionを使用する場合、Veeamのバックアップが作成され、提供されたディスク容量のプレートに従って支払いが行われます。
3. IaaSサービスを使用して、ボール(LinuxまたはWindows-プリファレンスに依存)のサーバー(VM)がリースされ、テナントはVMを独立して発生および構成し、そこにバックアップを保存するためのボールを作成し、クラウド内のサーバー(VM)をバックアップサーバーに独立して接続します。 すべてのリソースは、VMware vCloud Directorを介してリアルタイムで追加または変更できます。