• Мифы о защите персональных данных в облаке
    0
    На данный момент, да. К тому же, коммерческим организациям нет необходимости выполнять аттестацию ИСПДн.
  • Мифы о защите персональных данных в облаке
    0
    А Вам спасибо за поддержку )! По пунктам:
    1. ФСТЭК уже «задумалась» о создании таких требований, так что ждем… На текущий момент основным требованием является необходимость использования сертифицированных средств защиты (152-ФЗ, ст.19, п.2.3), на него мы и ориентируемся.
    2. В посте как раз говорится, что аттестовать ИСПДн в публичном облаке не представляется возможным. В нашем публичном облаке мы предлагаем заказчикам сервисы безопасности на базе сертифицированных средств защиты.
  • Мифы о защите персональных данных в облаке
    +1
    По ряду данных, готовятся требования по защите облачных технологий.
  • Мифы о защите персональных данных в облаке
    0
    Вы правы в части того, что прежде всего необходимо думать об архитектуре защиты. Элементы архитектуры в посте приводятся:
    1) механизмы разграничения ресурсов и прав доступа самой облачной платформы;
    2) средства периметровой защиты облака;
    3) средства защиты, предлагаемые клиентам облака в виде ИБ-сервисов;
    4) средства защиты, разворачиваемые на виртуальных машинах внутри облака.
    Кроме того, любая, даже сверхзащищённая система не подойдёт для бизнеса (в части обработки и защиты персональных данных), если ее механизмы защиты не будут сертифицированы. То есть толку от неё не будет, пока не будет бумаг, подтверждающих для контролирующих органов, что она реально работает. Это требование регуляторов.
  • Защита в виртуальной среде: чеклист угроз
    +2
    Здесь сделана попытка заложиться под самый <тяжелый> с точки зрения регуляторов вариант.
  • Защита в виртуальной среде: чеклист угроз
    0
    На мой взгляд, на сегодняшний день разумно строить ИСПДн на основе гипервизоров, чьи механизмы безопасности сертифицированы ФСТЭК, дальше делайте выводы сами.
  • Защита в виртуальной среде: чеклист угроз
    0
    В моделях угроз администратора ИБ, как правило, исключают из перечня нарушителей. Обоснованием исключения является реализация комплекса организационных мер, например, повышенный контроль при приеме на работу, формулирование обязанностей в трудовом договоре, установление достойной заработной платы ;-).
  • Защита в виртуальной среде: чеклист угроз
    +2
    Это результат выжимки из практических наработок, одна из таблиц, которые начали составляться давно и постоянно доводятся. По охвату полнота есть, но, разумеется, каждую угрозу можно раскладывать на составные части очень и очень долго. На мой взгляд, основное, что нужно при разработке модели угроз ИСПДн при использовании виртуализации, здесь изложено. Буду рад, если предложите рассмотреть какие-то дополнительные угрозы и способы защиты от них. Потом совместно сможем взять это на вооружение.
  • Защита в виртуальной среде: чеклист угроз
    +1
    В тексте по каждой угрозе приведены возможные орг. и тех. меры защиты. Что именно нужно уточнить?