Комментарии 4
Хотелось бы более детально уточнить некоторые технические вопросы, связанные со статьей. Вы говорите, что:
Сегмент «Закрытый» реализован с использованием решений VMware. Инфраструктура соответствует требованиям приказов №17 и №21 ФСТЭК для обеспечения до 1-го класса защиты ГИС и 1-го уровня защищенности ПДн включительно. Собственно говоря, решение позволяет, в том числе, государственным органам размещать ИС с наивысшими требованиями к информационной безопасности, что подтверждается наличием аттестата соответствия требованиям защиты информации, установленным ФСТЭК России.
Предположим, что коммерческая компания, хочет разместить в вашем облаке SaaS-решение, предназначенное для органов государственной власти или органов местного самоуправления. Приложение является системой обработки ПДн. И поскольку ИС обработки ПДн — это не только сервера, но и ПО, а также клиентские рабочие места и сеть, то:
- как сертифицируется само ПО, которое такая компания-разработчик размещает и требуется ли такая сертификация?
- как сертифицируются клиентские рабочие места конкретного заказчика — пользователя SaaS-решения, а также каналы связи с ним?
- как сертифицируются клиентские рабочие места сотрудников компании-разработчика SaaS-решения, с которых выполняются работы по обслуживанию системы, а также каналы связи?
- какие бумаги, гарантирующие что конкретный заказчик (пользователя SaaS-решения) исполняет закон о защите ПДн, вы предоставляете?
SVVer, спасибо за комментарий! Приятно видеть, что наш материал вас заинтересовал! Отвечаем на ваш вопрос. Как и описано выше, при размещении ИС клиента в облаке Техносерв Cloud обе стороны обязательно составляют полный реестр требований по информационной безопасности (ИБ) и разграничивают зоны ответственности. Наша компания ответственна за защиту периметра от внешних угроз (межсетевое экранирование, защита от сетевых атак) и за защиту виртуальной инфраструктуры, а клиент ответственен за обеспечение ИБ внутри предоставленных ему провайдером виртуальных машин.
Таким образом, «Техносерв» в рамках предоставления услуги размещения ИС в сегменте «Закрытый» не занимается сертификацией ПО, а предоставляет аттестованную по требованиям защиты информации инфраструктуру.
Необходимость сертификации ПО из приведенного вами примера зависит от конкретного случая. Важно понимать функционал данного ПО: реализует ли оно какие-либо механизмы защиты, какие именно, применяются ли клиентами наложенные СЗИ, какие функции они выполняют и являются ли сертифицированными.
Что касается рабочих мест удаленных пользователей и разработчиков, это в зоне ответственности клиента. При этом, мы предоставляем защищенный удаленный доступ посредством ГОСТ VPN. Выбор технических и программных средств, которые организуют защищенное соединение, зависит от предпочтений клиента.
По поводу бумаг для государственных информационных систем — аттестация. Для ИСПДн — либо аттестация ИСПДн, либо экспертное заключение, которое выдается после подтверждения того, что клиент выполняет все предъявляемые к нему требования по защите.
Таким образом, «Техносерв» в рамках предоставления услуги размещения ИС в сегменте «Закрытый» не занимается сертификацией ПО, а предоставляет аттестованную по требованиям защиты информации инфраструктуру.
Необходимость сертификации ПО из приведенного вами примера зависит от конкретного случая. Важно понимать функционал данного ПО: реализует ли оно какие-либо механизмы защиты, какие именно, применяются ли клиентами наложенные СЗИ, какие функции они выполняют и являются ли сертифицированными.
Что касается рабочих мест удаленных пользователей и разработчиков, это в зоне ответственности клиента. При этом, мы предоставляем защищенный удаленный доступ посредством ГОСТ VPN. Выбор технических и программных средств, которые организуют защищенное соединение, зависит от предпочтений клиента.
По поводу бумаг для государственных информационных систем — аттестация. Для ИСПДн — либо аттестация ИСПДн, либо экспертное заключение, которое выдается после подтверждения того, что клиент выполняет все предъявляемые к нему требования по защите.
Ох как вовремя!
Можно глупый вопрос?
«предоставляет аттестованную по требованиям защиты информации инфраструктуру.» — Изоляция сегмента заказчика идет внутри VmWare или VmWare внутри сегмента находится?
Можно глупый вопрос?
«предоставляет аттестованную по требованиям защиты информации инфраструктуру.» — Изоляция сегмента заказчика идет внутри VmWare или VmWare внутри сегмента находится?
Mordva_givi, спасибо, что читаете нас! Внутри аттестованного сегмента изоляция заказчиков происходит на уровне VMware. По запросу заказчиков также можем выполнять частные проекты — строить физически отдельные сегменты (частные облака в нашем дата-центре).
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Время смелых. Как мигрировать в облака, не нарушая требований регуляторов?