ФСТЕК дає «добро»

безпеки

Інформаційній безпеці нині приділяється особлива увага. Питання ІБ – важлива частина завдань, вирішуваних державними установами та організаціями, комерційними компаніями розробки та експлуатації інформаційних систем, баз персональних даних. У зв'язку з цим необхідно враховувати вимоги міжнародного та українського законодавства до інформаційних систем, призначені для роботи з такою інформацією.

З кожним роком посилюються вимоги вітчизняних регуляторів: Федеральної служби з технічного та експортного контролю, Федеральної служби безпеки, Міністерства оборони, Служби зовнішньої розвідки, Федеральної служби охорони, Міністерства зв'язку та масових комунікацій, Банку України. Кожен з них діє у сфері компетенції, описаної законодавством.

Якщо, наприклад, ФСБ «відповідає» за криптографію, а ФСТЕК – «за все інше» (міжмережеві екрани, антивіруси, системи запобігання вторгненням тощо).

Сертифікація ФСТЕК

Чому сертифікація ФСТЕК? Саме ФСТЕК України, крім іншої діяльності, здійснює такі повноваження: «організує відповідно до законодавства України проведення робіт з оцінки відповідності (включаючи роботи з сертифікації) засобів протидії технічним розвідкам, технічного захисту інформації, забезпечення безпеки інформаційних технологій, що застосовуються для формування державних інформаційних ресурсів , а також об'єктів інформатизації та ключових систем інформаційної інфраструктури».

ФСТЕК

Сертифікація - форма здійснюваного органом із сертифікації підтвердження відповідності об'єктів вимогам технічних регламентів, положенням стандартів, склепінь правил або умов договорів. В даному випадку йдеться проРОСС RU.0001.01БІОО – «Системи сертифікації засобів захисту інформації за вимогами безпеки інформації».

Існують різні вимоги ФСТЕК щодо захисту тих чи інших видів конфіденційної інформації. За підсумками процедури підтвердження відповідності того чи іншого програмного чи програмно-апаратного засобу вимогам безпеки видається сертифікат. Або не видається – залежить від результату.

Оцінка відповідності застосовується у багатьох областях, і ІБ не виняток. У зарубіжній практиці існує стандарт ISO IEC 15408:2009, призначений для опису критеріїв оцінки ІТ з точки зору інформаційної безпеки. В Україні діють свої системи сертифікації засобів захисту.

Безпека ЦОД

До програмного забезпечення, що використовується для побудови ключових систем інформаційної інфраструктури, і до цих систем пред'являються особливі вимоги. Крім того, у ЦОД розміщуються цінні інформаційні активи компаній та організацій, захист яких повинен забезпечуватися на належному рівні та з урахуванням загроз інформаційній безпеці, вимог законодавства України та регуляторів.

ФСТЕК

До ЦОДу пред'являються вимоги 152-ФЗ «Про персональні дані», 21-го, 17-го, 31-го наказів ФСТЕК Укаїни, вимоги ФСБ Укаїни щодо криптографічного захисту інформації, вимоги Банку Укаїни, ФЗ-256 «Про безпеку об'єктів паливно-енергетичного комплексу». І це лише основні вимоги.

Наприклад, згідно з 152-ФЗ «Про персональні дані», системи обробки та зберігання персональної інформації українців повинні не тільки розташовуватися на території нашої держави, а й відповідати вимогам у сфері безпеки, що висуваються законодавством. Особливо це стосується операторів комерційнихЦОД, для яких безпека та безпека інформації клієнтів є одним із ключових критеріїв оцінки якості.

З моменту набрання чинності 152-ФЗ обробка персональних даних, включених до інформаційних систем, здійснюється відповідно до цього закону, що передбачає виконання операторами всіх вимог до програмного забезпечення, що використовується.

Відповідно до федерального закону 149-ФЗ, все програмне забезпечення у державних, правоохоронних, фінансових та інших структурах, що обробляють службову інформацію, підлягає сертифікації ФСТЕК. Закон дозволяє таким організаціям використовувати лише сертифіковане програмне забезпечення.

Якщо у комерційному, корпоративному чи державному ЦОД зберігаються персональні дані, з вимог законодавства серед іншого випливають також необхідні заходи щодо їх фізичного захисту. Конкретний набір заходів залежить від рівня конфіденційності, встановленого для оброблюваних даних. Виходячи з цього, вибирається клас захищеності ЦОД за нормами ФЗ та ФСТЕК та забезпечується необхідний захист, у тому числі і фізичний. Найбільш збалансований спосіб забезпечити фізичну безпеку ЦОД – реалізувати багаторівневий захист (з кількома периметрами безпеки). Як і при ешелонованій обороні, прорив одного рівня не означатиме прориву системи безпеки.

інформації

Щодо фізичної безпеки виділяють такі вимоги: організація режиму забезпечення безпеки приміщень, контроль фізичного доступу до інфраструктури, у тому числі до приміщень та споруд, контроль внесення та винесення обладнання, включаючи машинні носії. Важлива увага приділяється несанкціонованому доступу до інформації. Правильна побудова та документування процедур контролю доступу дозволяютьдотримуватися необхідних вимог щодо забезпечення фізичної безпеки.

Які саме системи та засоби атестовані в нашому дата-центрі?

Що атестовано?

У ЦОД RUVDS атестовано автоматизовані робочі місця співробітників (антивірусний захист, захист від злому інформаційної системи), засоби виведення (принтер), контроль доступу до приміщення, засоби захисту від прослуховування. Зокрема, атестат системи контролю та управління доступом (СКУД) гарантує надійність фізичної безпеки серверів ЦОД.

Усі дії постійно протоколюються, активність за робочим місцем перевіряється на підозрілу та за необхідності, може бути заблокована з оповіщенням відповідальних осіб. Використовується сертифіковане програмне забезпечення, починаючи з сертифікованої ФСТЕК ОС Windows та спеціалізованого програмного забезпечення для контролю доступу та фільтрації трафіку до антивірусного захисту та гіпервізора.

Таким чином, захищається робочий простір, який має пряме відношення до даних клієнтів. Це робиться засобами ОС на робочих станціях, баз даних, спеціалізованими захисними та антивірусними продуктами, міжмережевими екранами, засобами контролю доступу (СКУД), резервного копіювання та відновлення, знищення даних та контролю видалення інформації.

Якщо клієнт попросить винести свою інфраструктуру на окрему машину, можна повністю захистити її, наприклад, встановити туди VipNet, SecretNet, якісь спеціальні антивіруси. І при цьому послуги, які ми надаємо, будуть сертифіковані, а нашого висновку про проведену роботу із захисту інфраструктури клієнта буде достатньо, щоб той міг звітувати перед регулюючими органами.

Виключається етап атестації ІТ-інфраструктури замовника, тим самим до 50% знижується обсягнеобхідних трудовитрат і часу, значно скорочується необхідний обсяг інвестицій, значно полегшується процес атестації інформаційних систем.

Навіщо сертифікують ЦОД

Отримання документів, що підтверджують, говорить про надійність провайдера і пропонованих ним послуг. Сертифікація насамперед підтверджує відповідальність компанії перед усіма клієнтами (не тільки тими, хто працює з конфіденційною інформацією). Сам процес ліцензування за нормативами ФСТЕК є тривалим та досить витратним. Його просто не можуть собі дозволити невеликі учасники ринку або учасники, зацікавлені в вигоді від проекту.

безпеки

Отримання ліцензії ФСТЕК - це інвестиції у стратегічний розвиток компанії. Ліцензія ФСТЕК не тільки підтверджує компетентність компанії для роботи з персональними даними, але й дає можливість пропонувати послуги компаніям, у тому числі з державного сектора, які зобов'язані дотримуватись вимог щодо захисту конфіденційної інформації, наприклад, самі мають ліцензію ФСТЕК і передають нам як провайдеру послуг дані , що підлягають захисту за нормативами ФСТЕК Крім серйозного захисту та резервування на рівні дата-центру та сертифікації ФСТЕК, RUVDS уклала угоду про страхування персональних даних та корпоративної інформації третіх осіб. Крім загального страхування, RUVDS спільно з AIG планує запропонувати своїм клієнтам унікальні умови індивідуального страхування їхньої діяльності та даних на віртуальних серверах компанії.