Автор: Ivan, Customs | 86067 | 31.01.2018 17:05 |
Добрый день, появился в нашей СИСПДн сторонний ЦОД, необходимо вносить в модель угроз и часть документов изменения, возникает куча вопросов:
ЦОД это территория КЗ? Сотрудники ЦОД это внешний нарушитель или внутренний? |
Автор: oko | 86076 | 31.01.2018 23:02 |
to Ivan
Так ихочется спросить: чего-чего?? Особенно про 'СИСПДн'... |
Автор: Dfg | 86088 | 01.02.2018 07:30 |
Цод это кз но не ваша.
Сотрудники цод это внутренние нарушители. В документах должно быть прописано про договоры охранять, недопущать и неразглашать. |
Автор: Ivan, Customs | 86089 | 01.02.2018 09:00 |
to oko: СИСПДн - сегмент информационной системы перс. данных.
to Dfg: Спасибо, а если в договоре аренды ЦОДа не прописаны зоны ответственности за ПДн, то заключать с ними доп. договор? Нужно ли шифровать трафик сертефицированным оборудованием? Защищать виртуалки? |
Автор: Dfg | 86105 | 01.02.2018 12:14 |
1. Смотрите п.4 17 приказа фстэк как образец, должна быть приписана ответственность, для лиц предоставляющих мощности. ЦОД (компания) должна также иметь лицензию на ТЗКИ.
2. ЦОД должен иметь документ подтверждающий наличие необходимого уровня защищенности (по аналогии с аттестатом). 3. Траффик через сенр. крипту. |
Автор: Breghnev | 86606 | 07.02.2018 09:40 |
to Dfg
2. ЦОД должен иметь документ подтверждающий наличие необходимого уровня защищенности (по аналогии с аттестатом). П. 17.6 Приказа № 17: "В случае, если информационная система создается на базе центра обработки данных уполномоченного лица, такой центр обработки данных должен быть аттестован по классу защищенности не ниже класса защищенности, установленного для создаваемой информационной системы." Где вы увидели "аналогию с аттестатом"? Конкретно прописано, что должен быть аттестован, то есть иметь аттестат. 3. Траффик через сенр. крипту. Если не требуется обеспечение конфиденциальности информации, передаваемой в ЦОД, то никакой крипты не понадобится. |
Автор: Константин | 86615 | 07.02.2018 11:21 |
Мне кажется важным уточнить.
Если сторонний ЦОД предоставляет только место для размещения вашего оборудования и интернет канал, то такой ЦОД, как мне кажется, не обрабатывает информацию системы и соотв. не является уполномоченным лицом согласно 17 приказу ФСТЭК, а соотв. и не должен получать аттестат. |
Автор: oko | 86624 | 07.02.2018 13:52 |
ЦОД, если в нем циркулируют ПДн, - нераздельная часть ИСПДн. То ли дело ЦОД ЦОДу люпус эст. Иными словами, в ИСПДн входит не весь ЦОД (машзал сторонней организации), а только оборудование, напрямую взаимодействующее с оборудованием ИСПДн (серверные массивы, коммутаторы, маршрутизаторы, etc., размещенные в какой-либо стойке машзала). Вот и пляшите от этого. Считайте, что у вас территориально распределенная ИСПДн (в общем), часть оборудования которой размещена в помещениях сторонней организации. Как защищать в такой ситуации, надеюсь, знаете и понимаете. Ибо объяснять на форуме никто не будет - такие проекты нетиповые, можно сказать уникальные и затратные в каждом отдельном случае...
|
Автор: Константин | 86667 | 07.02.2018 15:17 |
2 oko
почему сразу территориально распределенная, почему не может быть локальной. Например всё оборудование ИСПДн размещено в ЦОД. |
Автор: Александ, Intercom | 92065 | 27.04.2018 14:43 |
Уважаемые, прошу помощи. Нам надо уточнять у ЦОД
> 1. Смотрите п.4 17 приказа фстэк как образец, должна быть приписана ответственность, для лиц предоставляющих мощности. ЦОД (компания) должна также иметь лицензию на ТЗКИ. > 2. ЦОД должен иметь документ подтверждающий наличие необходимого уровня защищенности (по аналогии с аттестатом). > 3. Траффик через сенр. крипту. |
Просмотров темы: 7307