Как стать автором
Обновить

Комментарии 23

То есть риски утечки данных с машин устройств/имеющих доступ к облаку? Риски перехвата во время передачи (шифрование в связи с узкими каналами — вариант не всегда)? Риски доступа персонала центра и тд и тп — не учитываем?
Конечно же учитываем.
По поводу рисков доступа персонала в статье указано, что физический доступ в помещения с серверами, операторский зал только по персональным пропускам. Все под видеонаблюдением и логированием действий.

Касательно перехвата во время передачи. Вы правы, шифрование с узким каналом связи противоречит скорости передачи и для многих это критично. Здесь всегда нужно искать баланс. Как правило, разграничение типов передаваемой информации является здесь компромиссом.

Риски утечки информации с устройств, имеющих доступ к облаку со стороны компании мы контролируем персонифицированным доступом как к самому устройству, так и базе данных. На них работают только те специалисты, которые подтвердили свою квалификацию сертификатом. К примеру, техническая поддержка не имеет доступа к БД.

Риски утечки с устройств, которые подключаются к серверу извне по разрешению клиента, контролирует уже он сам.
Блин, я читаю материалы этой компании и всегда поражаюсь на сколько до них долго доходит, что Хабр-сообщество не место для рекламы. Уже их 3-х пользователей слили, теперь 4 на очереди. Тема «Закон «О персональных данных» и практика его применения в российской действительности» — где практика применения??? Вырезки из законов и взятые непонятно какие материалы: «Должен сказать, что при работе с виртуальным сервером обеспечить защиту от взлома значительно проще и прозрачнее.» — что Вы такое пишете??? А последний абзац — вообще чистая реклама.
Позволю не согласится.
В процессе построения любого бизнеса есть ряд вопросов, которые остаются до последнего без внимания. Вроде как и так все очевидно.
Однако потом оказывается, что есть регулирование, а еще нужно обязательно все задокументировать, отчитаться перед контролирующем органом. И оказывается, что очевидные моменты далеко не так просты.
Цель статьи побудить изучать вопрос, чтобы делать изначально все верно и по закону.

Касательно того, что здесь вырезки из законов. Сам закон обширен, но практическая часть по защите в нем достаточно четко выделена (статья 19 главы 14 152-ого ФЗ). Мы постарались понятным языком на примере нашей практики показать, как можно исполнять требования закона.

Естественно, всегда есть поле и для критики и мы на нее будем реагировать и стараться учитывать в своей деятельности.
я согласен с medved6216 что статья у вас рекламная, и пользы обществу никакой не принесет. я вот сейчас тоже пытаюсь разобраться как происходит сертификация на обработку персональных данных и надеялся что будет статья вида «1. сделать такую то бумажку, 2. поставить такой то софт 3. сходить сдать бумажку туда и тд и тп» а у вас какой то маркетинговый bullshit получился и это очень печально.
Если говорить о полном алгоритме получения лицензий, можно «Войну и мир» написать)
Постараемся раскрыть в следующей статье.
Благодарим Вас за данные ссылки.
Очень полезно.
Цель статьи как раз призвать изучить данный вопрос, несмотря на то, что «выжимка» опыта занимает 70 страниц.

Могу добавить еще, что многие, читая данный опыт и сайт ФСТЭК пойдут искать помощи у консультантов. Как раз здесь один из подводных камней, можно заплатить за консультационные услуги, а по факту, придется все изучать самим и делать самим.

Вот от этого хочется предостеречь.
Вы даете плохие «советы». Если у компании нет специалиста по защите информации, который в силу своей компетенции обязан знать технологии и способы организации хранения персональных данных, чтобы ФСТЭК и ФСБ не выписали предписание — это в лучшем случает, то они обращаются в сертифицированные компании у которых имеются лицензии на ведение соответствующей деятельности. К тому же для написание системы обработки и хранения персональных данных — необходима лицензия от ФСТЭК. Для передачи такой информации необходимо шифрование по ГОСТу. Тут много аспектов и Вы их не раскрыли. Цель Вашей статьи — только реклама, не какой пользы. Если Вы хотите сделать, что-то путное для сообщества, то лучше писать на темы в которых разбираетесь и не использовать рекламу. Рекомендую, например, написать статью по организации и работе Вашего программного обеспечения по виртализации и предоставления услуг, с какими проблемами столкнулись, как их решили, приведите листинг конфигов и т.д. По теме организации хостинга и облачных технологий можно написать много, к тому же у Вас есть практика, я надеюсь. А если хотите писать по тебе «Защита персональных данных». Пусть статью пишет специалист по защите этих самых данных.
Уважаемый medved6216,
мы не даем никаких советов. Все советы «оплачиваются в кассе».
Если говорить о том, что можно не иметь специалистов в штате, а пользоваться услугами сторонних компаний — да, можно. Некоторые прибегают к помощи номинальщиков-«мертвых душ» на время проверок. Это не наш путь.

По поводу системы обработки данных. Есть внутренние политики по работе с конфиденциальной информацией. Они утверждаются ФСТЭКом. Для разработки средств защиты конфиденциальной информации (СЗКИ), конечно, нужна лицензия. Мы в процессе ее получения. Но это не значит, что это нельзя делать заранее.

Я все таки подчеркну, что статья — вводная. Нельзя раскрыть в одной краткой статье алгоритм работы по сертификации, он действительно обширен. Мы постараемся в следующей статье рассказать как получать лицензию и с какими трудностями мы столкнулись в этом процессе.
Речь идет о том, что название статьи не соответствует содержанию. Откуда мне понять, что статья вводная? Если Вы планируете цикл статей, то так и пишите. Опять же в статье свелось все к тому, что арендую VDS у Вашей фирмы — пользователь будет защищен — очень много рекламы. Пользователей прошлых слили именно за рекламную направленность статей.
Мы Вас услышали. Постараемся в будущем учесть замечания.
Какие сертифицированные ФСТЭК средства защиты персональных данных в среде виртуализации существуют, и какие из них вы применяете на практике (предлагаете своим клиентам)?
Полный список таких средств лучше смотреть на сайте самого ФСТЭК .
По поводу того, что предлагаем клиентам — объект сугубо договорной. У всех свои требования. Да и каждое ПО стоит разных денег.

Если изучите список, увидите, что ОС Windows Server 2012 R2 Standart является сертифицированным средством защиты, заявил его на сертификацию ФГУП Управ делами Президента. Это, естественно, очевидный пример. Все наши внутренние моменты тут мы раскрывать не будем)
Я специально написал: в среде виртуализации.
Единственное сертифицированное на настоящие момент средство для среды виртуализации — vGate (для VMware и HyperV), и только оно удовлетворяет требованиям 21 приказа ФСТЭК.
Вы используете (судя по вашему сайту) Huawei FusionSphere Open Stack, на который сертификата нет (и вряд ли будет).
Про «нераскрытие моментов» — кто же вам пойдет, если не будет знать заранее, как это устроено? Аттестацию информационной системы «снизу вверх» на честном слове не пройти.
Мы не можем комментировать, будет ли сертификат для Huawei FusionSphere OpenStack.
Про «нераскрытие моментов» — мы их раскроем перед конкретным клиентом при соответствующих обязательствах.
При аттестации, естественно, всем заинтересованным сторонам такая информация так же раскрывается. На честное слово никто не верит, конечно.
То есть цель статьи: приходите к нам хранить ПДН по ФЗ 152 в нашей виртуализации. Но сертифицирована ли она вообще, мы просто так не скажем.
Спасибо.
Приношу извинения, не полностью ответил на вопрос.
Здесь нужно разделить подход.

Далеко не для всех нужна именно такая глубокая защита. Да, можно использовать указанный Вами vGate (для VMware и HyperV) или тот же Kaspersky Security для виртуальных сред 3.0 для всех, но это, с одной стороны, резко удорожит сам виртуальный сервер для конечного клиента, с другой — такая защита будет избыточной для такого клиента, в свете применяемых средств защиты помимо обсуждаемых Вами.

С другой стороны, для клиентов, которым данные средства являются действительно необходимыми, мы, по договоренности установим любое выбранное ими ПО. Тем более некоторые такие клиенты арендуют сервер целиком как физическую единицу, потому там может быть и отличная от обычной среда виртуализации и вообще набор программ.
upd.
Huawei FusionSphere OpenStack мы на текущий момент не продаем, данный продукт находится на стадии внедрения, о чем мы пишем в наших статьях https://habrahabr.ru/company/ruvds/blog/281086/ https://habrahabr.ru/company/ruvds/blog/280900/, и активно делимся с хабр сообществом.
Вы правильно указали, что его нет в списке сертифицированных программ.
А где вы нашли в этом списке «ОС Windows Server 2012 R2 Standart»? — номер сертификата пожалуйста
3366 срок до 18 декабря 2017 года.
Спасибо. А то мозг перестает уже работать — «Microsoft Windows Server Standart 2012 R2».

Хотелось бы заметить, что сертифицированным средством защиты являются только экземпляры дистрибутива Windows Server 2012, изготовленные и поставляемые Предприятием по поставкам продукции Управлениея делами Президента, а не вообще любой Windows Server 2012. Так написано в сертификате, на который вы ссылаетесь.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий