Добавить в корзинуПозвонить
Найти в Дзене
hoster.by
19 подписчиков

Защищенная инфраструктура и аттестация СЗИ: как обеспечить проекту высокие стандарты безопасности

2
5 мин
В соответствии с требованиями Приказа ОАЦ № 66 компании должны обрабатывать данные ограниченного распространения в информационной системе с аттестованной СЗИ. В свою очередь аттестация СЗИ — это комплекс мер по проектированию, созданию и непосредственно аттестации системы защиты информации.
При работе с персональными данными и другой информацией ограниченного распространения организации должны использовать специализированный защищенный хостинг или самостоятельно реализовать высокие стандарты безопасности. И при этом — не забыть об аттестации СЗИ.
А в зависимости от выбранного компанией инфраструктурного решения может отличаться и процесс прохождения аттестации СЗИ. Самый дорогой и сложный вариант: с технической, организационной и финансовой точки зрения. При таком формате организация берет на себя расходы на покупку, настройку и обслуживание необходимого сертифицированного оборудования и средств защиты информации.
При этом компания должна обеспечить своим системам рег
Оглавление

Защищенный контур: способы реализации

В соответствии с требованиями Приказа ОАЦ № 66 компании должны обрабатывать данные ограниченного распространения в информационной системе с аттестованной СЗИ. В свою очередь аттестация СЗИ — это комплекс мер по проектированию, созданию и непосредственно аттестации системы защиты информации.

При работе с персональными данными и другой информацией ограниченного распространения организации должны использовать специализированный защищенный хостинг или самостоятельно реализовать высокие стандарты безопасности. И при этом — не забыть об аттестации СЗИ.

А в зависимости от выбранного компанией инфраструктурного решения может отличаться и процесс прохождения аттестации СЗИ.

Локальное размещение

Самый дорогой и сложный вариант: с технической, организационной и финансовой точки зрения. При таком формате организация берет на себя расходы на покупку, настройку и обслуживание необходимого сертифицированного оборудования и средств защиты информации.

При этом компания должна обеспечить своим системам регламентированный контроль доступа, систему охлаждения, бесперебойную подачу электричества и другие условия дата-центра.

Хорошая новость: с установкой сертифицированных устройств и программ могут помочь наши специалисты в рамках услуги по подготовке к аттестации СЗИ. В таком случае можно решить следующие задачи:

  • Настроить сетевые устройства и межсетевой экран, построить сетевую топологию.
  • Установить антивирусы и интегрировать с системой средства защиты информации.
  • Настроить сбор событий ИБ.
  • Установить системы логирования, настроить мониторинг.
  • Установить и настроить системы резервного копирования.
  • Провести миграцию, развернуть платформу виртуализации для построения частного облака.
  • Создать и настроить Active Directory. Перенести пользователей и настройки с предыдущей AD.
  • Настроить синхронизацию времени (NTP) для необходимых элементов инфраструктуры.
  • Помочь устранить выявленные при сканировании сети уязвимости.

При локальном размещении организацию ожидает прохождение всех этапов аттестации СЗИ, включая проектирование и создание системы защиты информации.

-2

Размещение в защищенном контуре провайдера

При таком варианте организация исходя из своих задач выбирает подходящий формат хостинга: виртуальный, облачный или выделенные серверы. В таком случае компания избегает капитальных расходов и ограничивается только ежемесячными выплатами за арендуемые мощности и оплату дополнительных услуг.

При размещении на нашей защищенной инфраструктуре вы обеспечиваете своему проекту высокие стандарты безопасности:

  • Антивирусы, систему обнаружения и защиты от вторжений, защиту от DDoS-атак.
  • Межсетевое экранирование и защиту web-приложений, средства канального шифрования.
  • Изолированный контур дата-центра для размещения серверного оборудования.
  • Резервирование критически важных объектов инфраструктуры.
  • Видеонаблюдение 24/7, систему контроля управления доступами и другие необходимые условия.

В зависимости от объема вашего проекта и его требований к инфраструктуре можно выбрать разные форматы размещения с повышенными стандартами безопасности.

  • Виртуальный хостинг. Включает множество тарифов с фиксированным объемом ресурсов. Подходит большинству сайтов — от лендингов и промо-страниц до небольших интернет-магазинов с невысокой и стабильной прогнозируемой нагрузкой.
  • Облако. Обеспечивает гибкое управление виртуальной инфраструктурой с оплатой только используемых ресурсов и возможностью в любой момент менять параметры конфигурации. Поддерживает управление в личном кабинете и подключение S3-хранилища, защищенных баз данных и многих других сервисов.
  • Выделенные серверы. Обеспечивают максимальную производительность для вычислений любой сложности. Предоставляют полный контроль над всей мощностью системы. Можно выбрать готовый сервер или собрать конфигурацию индивидуально для задач своего проекта.
-3

Перечень работ аттестации СЗИ

Полная процедура аттестации СЗИ включает множество этапов:

  • определение класса обрабатываемых данных;
  • проектирование и создание системы защиты информации;
  • проверку на соответствие требованиям по технической и криптографической защите информации;
  • выдачу аттестата соответствия.

Если компания размещается локально, то ей предстоит пройти этот путь полностью.

На этапе проектирования разрабатываются:

  • политика ИБ, структурная и логическая схема ИС;
  • ТЗ на создание СЗИ;
  • проекты локальных правовых актов и других организационно-распорядительных документов по вопросам применения СЗИ.

В рамках создания СЗИ:

  • при необходимости корректируются разработанные ранее структурная и логическая схема ИС, проекты актов и документов;
  • проводится внедрение сертифицированных средств защиты.

В рамках этапа аттестации СЗИ проходит комплексную оценку и вместе с тем выполняется множество шагов:

  • разработка программы и методики аттестации;
  • проверка определения классов ИС;
  • проверка реализации мер по защите информации, включая анализ ЛПА и других документов по работе СЗИ и соответствию требованиям законодательства о защите информации;
  • Тестирование СЗИ, проверка возможности эксплуатации СЗИ для нарушения безопасности системы;
  • оценка эффективности защищенности ИС классов «3-бг» и (или) «3-дсп» (тестирование на проникновение);
  • оформление технического отчета и протокола испытаний;
  • оформление аттестата соответствия сроком на 5 лет.

С полным перечнем работ и другими требованиями по вопросам аттестации СЗИ можно ознакомиться в Приказе Оперативно-аналитического центра при Президенте Республики Беларусь № 66.

-4

Как пройти аттестацию СЗИ на упрощенных условиях?

В этом поможет выполнение всего двух шагов:

  • Размещение ресурсов в защищенном контуре провайдера, например у нас — на любом хостинге с высокими стандартами безопасности.
  • Подключения услуги администрирования серверов — круглосуточного мониторинга инфраструктуры с настройкой резервного копирования и диагностикой ошибок с оперативным восстановлением работоспособности в случае сбоя.

При выполнении этих двух условий организация получает возможность пройти аттестацию СЗИ у нас на упрощенных условиях в рамках тарифа «Экспресс». В таком случае львиная доля работ уже будет реализована, и процедура фактически сводится только к выдаче аттестата соответствия.

Прохождение аттестации СЗИ полностью закрывает требования Приказа ОАЦ № 66, а именно — по части технической и криптографической защиты информации. Однако при этом остается открытым вопрос реализации организационных и правовых мер работы с персональными данными. И сюда относится всё, что связано с законностью сбора и использования ПД:

  • какие данные допустимо собирать, а какие являются избыточными в конкретной ситуации;
  • сколько можно хранить такие данные;
  • кому и при каких условиях можно давать доступ к персональным данным;
  • как получать согласия на обработку ПД;
  • как оформить отношения с владельцами используемых сервисов;
  • какие локальные акты необходимо разработать и что в них включить.

Можно решить оба вопроса сразу и пройти аттестацию СЗИ с аудитом персональных данных в рамках комплексной услуги.

Гаджеты и электроника
5,73 млн интересуются