Автор: Nicke, Администрация Эдема | 91783 | 25.04.2018 00:08 |
2 12
Спасибо за ответ. Из Вашего ответа вытекает следующий вопрос. Мы физически находимся на Чукотке. ЦОД физически находится в Москве. Каким образом мы можем обеспечить исполнение требований 17 приказа не имея физического доступа к ЦОДу? Или нам достаточно будет сделать свой пакет нормативных документов для ИС? |
Автор: oko | 91784 | 25.04.2018 00:58 |
to Nicke
Запросите у владельца "аттестованного ЦОД" перечень пунктов 17 Приказа, которые выполняет их система защиты. А также официальный документ, какие меры защиты он (владелец) предоставляет для размещения вашей ИС. + не помешало бы ознакомиться с их Моделью угроз и Политикой инф.безопасности (наверняка не дадут, но попытаться надо). От этого и отталкивайтесь. По-идее, если арендуется только виртуальное пространство, то владелец ЦОД должен выполнять меры по: - защите среды виртуализации на уровне гипервизора и доступа к виртуальным машинам (но не на уровне гостевых систем!); - ИАФ, УПД, РСБ при локальном (подчеркиваю) доступе к оборудованию (всему оборудованию, которое вы, как эксплуатант, будете использовать в рамках аренды, ага); - МЭ (фильтрация и доверенная маршрутизация) и СОВ (для ГИС 1-2 классов, ага) на "входных" каналах связи; - защищенный удаленный доступ для администрирования арендованной виртуальной инфраструктуры (не обязательно СКЗИ по ФСБ, кстати); - ДЗ всех используемых эксплуатантом (арендатором) средств вычислительной техники (для ГИС 1-2 классов, ага); - ведение журналов, инструкций и проч. бумажной работы в части физического доступа сотрудников ЦОД и иных лиц к оборудованию арендатора; - ведение и передача эксплуатанту в копии перечня ТС (с зав. номерами, ага), на которых размещается ИС эксплуатанта. От арендатора: - ИАФ, УПД, РСБ, АВЗ и проч. на уровне гостевых ОС (если Частная модель угроз не "ликвидирует" часть этих мер, ага); - усиления МЭ, СОВ, ДЗ; - защищенный удаленный (сетевой) доступ к гостевым ОС и, собственно, ресурсам ИС; - инструкции, приказы, журналы и проч. в части удаленного доступа к защищенной среде ЦОД, а также непосредственно к ресурсам и базам данных ИС (тут уже конкретика ИС важна, список может расширяться до бесконечности); - ведение собственных перечней ТС и ПО в составе вашей ИС в целом (не только ЦОД, но и оконечные точки подключения, хотя тут возможны варианты). ЗЫ На правах выражения "знаю, видел даже". Аттестованные ЦОД Ростелекома, которые мне попадались, это одна-две серверных стойки, под завязку набитые всяческим барахлом. Причем ИС конечного Заказчика (эксплуатанта) на серверах в этих "аттестованных" стойках не крутится и крутиться никогда не будет. Зато бумажка выдана красивая от совершенно неизвестной конторы-лицензиата... |
Автор: Nicke, Администрация Эдема | 91924 | 26.04.2018 01:26 |
to oko
Огромное спасибо за исчерпывающий ответ. |
Просмотров темы: 10381