Новости Статьи VMware Veeam StarWind Microsoft ИТ-ГРАД Citrix Symantec 5nine События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Виртуализация vSphere, Hyper-V, XenServer и Red Hat

Более 4510 заметок о виртуализации и виртуальных машинах VMware, Microsoft, Citrix, Red Hat

VM Guru / Articles / Зоны ответственности заказчика и облачного провайдера (персональные данные в облаке, часть 3).

Зоны ответственности заказчика и облачного провайдера (персональные данные в облаке, часть 3).

Зоны ответственности заказчика и облачного провайдера (персональные данные в облаке, часть 3).

Автор: ИТ-ГРАД
Дата: 05/06/2018

Поскольку российское законодательство накладывает ряд требований на процесс обработки и хранения персональных данных (ПДн), компании уже сегодня размещают собственные ПДн в облаке провайдера. Как не нарушить закон и соответствовать требованиям регулятора, какая ответственность возлагается на оператора ПДн и провайдера, что должен знать клиент, выбирая поставщика услуг хостинга персональных данных по ФЗ-152? На эти и другие вопросы ответим в сегодняшней статье.

Позиция регулятора в отношении облака

Несмотря на то что Роскомнадзор часто подвергается критике за несовременность, позиция регулятора в отношении использования облака все же положительная. Комментарий ниже говорит о том, что законодательство не устанавливает технологических ограничений при сборе, хранении ПДн и разрешает использовать любую технологию:

Можно ли в качестве базы данных использовать облачные технологии (SaaS, PaaS, SAP)? В том числе если эти технологии предоставляются компаниями, у которых есть в России свои или арендуемые серверы (как у того же SAP), но у клиента нет точной информации о том, какие именно серверы будут задействованы в конкретный миг работы?242-ФЗ, а также проекты подзаконных актов, разработанных во исполнение указанного закона, не устанавливают каких-либо технических требований, предписывающих необходимость оператора персональных данных использовать какие-то конкретные технологии при сборе и хранении персональных данных. Так, оператор может использовать облачные технологии, но при этом обязан обеспечить и при необходимости знать и иметь возможность документально подтвердить нахождение баз персональных данных на территории Российской Федерации.

При этом персональные данные в период сбора должны фиксироваться на территории РФ в облаке или локально.

Безопасность при аутсорсинге – общие требования

Важный момент – передача на аутсорсинг обработки ПДн и организация технической защиты персональных данных прямо предусмотрены российским законодательством, в том числе законом «Об информационных технологиях и защите информации». При этом оператор информационной системы (ИС) должен принимать меры, обеспечивающие безопасность инфраструктуры:

  • Предотвращение несанкционированного доступа (НСД).
  • Своевременное обнаружение фактов НСД.
  • Предупреждение неблагоприятных последствий нарушения порядка доступа.
  • Недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование.
  • Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие НСД.
  • Постоянный контроль за обеспечением уровня защищенности информации.

Закон «О персональных данных» также предусматривает аутсорсинг обработки ПДн, но важнейшими элементами такого аутсорсинга являются договор и согласие субъекта ПДн. К содержанию договора предъявляются довольно жесткие требования. Необходимо:

  • Сформировать перечень выполняемых действий (операций).
  • Определить цель обработки ПДн.
  • Ввести обязанности по соблюдению конфиденциальности ПДн.
  • Обеспечить безопасность.
  • Выполнить требования, предусмотренные 19 статьей ФЗ «О персональных данных».

Зоны ответственности оператора ПДн

Прежде чем начать перенос данных в облако, необходимо правильно распределить обязанности. Оператор ПДн, планируя миграцию в облако и понимая, какие данные будут переноситься, должен для себя решить:

  • Какой тип угроз он считает актуальным и определить уровень защищенности информационной системы ПДн (ИСПДН).
  • Определить состав мер безопасности исходя из набора базовых и адаптивных мер, а также отразить в договоре с провайдером, какие меры безопасности будет принимать поставщик.
  • Построить частную модель актуальных угроз для собственного сегментаИС.
  • Реализовать систему защиты в собственном сегменте ИС.

Что должен и может сделать ответственный провайдер облачных услуг

Поставщик услуг, в свою очередь, должен:

  • Получить лицензии ФСБ, ФСТЭК, а если дополнительно организуется передача данных или предоставляются телематические услуги, то и лицензию Минкомсвязи.
  • Определить тип актуальных угроз и максимальный уровень защищенности для облака.
  • Построить частную модель актуальных угроз для облака.
  • Реализовать систему защиты в облаке.
  • Предоставить оператору возможность развернуть дополнительные средства безопасности (PaaS или IaaS).
  • Помочь заказчику с реализацией мер защиты на клиентской стороне.

Облако как инструмент повышения безопасности и надежности функционирования информационных систем

Облако позволяет добиться положительных результатов, в частности повысить уровень безопасности за счет применения комплекса мер. К тому же, используя облачные технологии, клиент получает следующие преимущества:

  • Отсутствует необходимость строить дорогую, сложную в поддержке и неравномерно используемую вычислительную инфраструктуру.
  • Отсутствует необходимость обеспечивать условия функционирования вычислительной инфраструктуры (электропитание, климатика, пожаротушение и прочее).
  • Простота обеспечения мобильности и организации доступа с различных устройств пользователей.
  • Снижение совокупной стоимости владения (Total Cost of Ownership, TCO).
  • Отсутствие необходимости нанимать в штат дорогостоящих специалистов.
  • Скорость и простота развертывания дополнительных вычислительных мощностей без дополнительного взаимодействия с провайдером.
  • Возможность простого и оперативного уменьшения расходов на вычислительную инфраструктуру при снижении требований к производительности.
  • Простота восстановления при авариях и иных опасных и непредвиденных событиях.

На что обратить внимание при выборе провайдера, предлагающего услуги «по ФЗ-152»

Выбор провайдера – задача не из простых, поскольку это должна быть проверенная, надежная и ответственная компания. Потенциальный исполнитель (назовем его так) должен честно ответить на вопрос, какой максимальный уровень защищенности он обеспечивает в облаке, с указанием типа нейтрализуемых актуальных угроз. Причем сказанное лучше увидеть – попросите поставщика продемонстрировать подтверждение соответствия декларируемому уровню защищенности. Например, запросите документ, подтверждающий внешний аудит независимым исполнителем. В идеале это может быть аттестат, хотя аттестация облака – довольно сложная задача.

Кроме того, провайдер должен иметь модель угроз для защищенного сегмента облака и в случае необходимости ознакомить с ней клиента, включая описание мер и способов нейтрализации актуальных угроз. В договоре с провайдером должны быть учтены моменты, предусмотренные частью 3 статьи 6 закона «О персональных данных», включая сведения о типе актуальных угроз и уровнях защищенности.

Осторожно – «слова-маячки»!

При поиске облачного провайдера обращайте внимание на «слова-маячки». Если на веб-странице компании присутствуют термины: класс защищенности ПДн, типовая, специальная ИСПДН, лицензия на работу с персональными данными, аттестация и сертификация облака на соответствие требованиям ФСБ – стоит насторожиться, поскольку такие слова в современном лексиконе уже не используют. К тому же аттестации по требованиям ФСБ нет и никогда не было.

Дополнительно стоит обратить внимание на то, как обеспечивается резервное копирование и восстановление с точки зрения катастрофоустойчивости и территориальной распределенности. Поставщик должен быть готов предоставить сертифицированный крипто-шлюз как дополнительную или основную услугу при организации работы.

В результате установленных отношений с провайдером клиент получает на руки договор, в котором прописан уровень защищенности и определены меры по обеспечению безопасности. Это говорит о том, что обязанности оператора по технической защите ПДн выполнены и этого достаточно для подтверждения требований законодательства. При этом важно понимать, что сразу заключать договор с провайдером вовсе необязательно. Любой адекватный поставщик всегда готов предложить возможность протестировать облачный IaaS-сервис, чтобы понять, подходит ли предлагаемый сервис для решения задач клиента.

Остались вопросы? Переходите по ссылке на запись вебинара Облако в соответствии с законом «О персональных данных» и следите за новыми материалами первого блога о корпоративном IaaS.

Оригинал статьи в блоге ИТ-ГРАД.

Реклама









Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

17/07/2018:  NetApp Directions 2018
11/09/2018:  Облака 2018: настало время PaaS
08/11/2018:  CNews Forum 2018: Информационные технологии завтра

Быстрый переход:
VMware IT-Grad 5nine Hardware Citrix StarWind Veeam VeeamON Nutanix vSphere RVTools Enterprise Security Code Offtopic Cisco vGate Microsoft Cloud SDRS Parallels IaaS HP VMFS PowerCLI VM Guru Oracle Red Hat Azure KVM VeeamOn 1cloud Docker Storage NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo vRealize VirtualBox Symantec Gartner Softline EMC Login VSI Xen Teradici Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter VMachines Webinar View VKernel Events Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs Sun VMC Xtravirt Novell IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V Horizon vCloud DRS App Volumes vSAN Labs OpenStack Backup Forum PowerShell SRM HA LSFS Lifecycle Tools Client Workspace Update vCSA Datacenter vROPs Visio NSX Intel Agent Networking esxtop VVols Book Photon VMworld Fusion Cloud Computing SSD Comparison Workstation Blast Performance Manager Nested AWS Log Insight XenDesktop VSA vNetwork SSO Host Client VMDK VTL iSCSI SDDC Virtual Appliance Whitepaper Appliance VUM V2V Cache Support Обучение Web Client Mobile Automation Replication Desktop Fault Tolerance DR Vanguard SaaS Connector Event Free SQL VSAN Sponsorship Finance FT Converter XenApp Snapshots VCP Auto Deploy SMB RDM Mirage XenClient MP Video Operations SC VMM Certification VDP Partners PCoIP RHEV vMA Award Network USB Licensing Logs Server Demo vCHS Calculator Бесплатно vExpert Beta SAN Exchange MAP ONE DaaS Monitoring VPLEX UCS SDK Poster VSPP Receiver vMotion VDI-in-a-Box Deduplication Reporter vShield ACE Go nworks iPad XCP Data Recovery Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V VirtualCenter NFS ThinPrint Upgrade Director API Troubleshooting Android Graphics Migration Diagram Bug Air CLI Plugin DPM Memory SIOC Flex Mac Open Source SSH VAAI Chargeback Heartbeat MSCS Ports SVMotion Storage DRS Bugs Composer
Интересные плакаты:

Постер VMware vSphere PowerCLI 6.3:

Постер VMware ESXi 5.1:

Постер VMware Hands-on Labs 2015:

Постер VMware Platform Services Controller 6.0:

Постер VMware vCloud Networking:

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Постер VMware vCenter Server Appliance:

Порты и соединения VMware vSphere 6:

Порты и соединения VMware Horizon 7:

Порты и соединения VMware NSX:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

Постер Veeam Backup & Replication v8 for VMware:

Постер Microsoft Windows Server 2012 Hyper-V R2:

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Сравнение Oracle VirtualBox и VMware Workstation.

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Проектирование инфраструктуры виртуализации VMware vSphere 4.

Как использовать возможности VMware vSphere Management Assistant (vMA).

Как поднять программный iSCSI Target на Windows 2003 Server для ESX

Бесплатные программы для VMware ESX / ESXi в среде Virtual Infrastructure / vSphere (часть 2).

Новые возможности VMware vSphere 5.0 - официально.

Отличия VMware ESXi 4 free (бесплатного), ESXi 4 и ESX 4 в составе VMware vSphere.

Все ресурсы о виртуализации:
Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Купить:

VMware vSphere 6.5


Veeam Backup 9.5


Полезные ресурсы:


Видео компании VMware

Видео про Citrix Xen

Видео о виртуализации Microsoft

Утилиты для виртуальных машин Microsoft.

Книги на английском языке

Блоги на английском языке

Блоги на русском языке

Агрегация статей в твиттере VMC:


Copyright VM Guru 2006 - 2018, Александр Самойленко. Правила перепечатки материалов.