Контакты
Подписка
МЕНЮ
Контакты
Подписка

Модель угроз и ЦОД - Форум по вопросам информационной безопасности

Модель угроз и ЦОД - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: 1 2 >

Автор: Ivan, Customs | 86067 31.01.2018 17:05
Добрый день, появился в нашей СИСПДн сторонний ЦОД, необходимо вносить в модель угроз и часть документов изменения, возникает куча вопросов:

ЦОД это территория КЗ?
Сотрудники ЦОД это внешний нарушитель или внутренний?

Автор: oko | 86076 31.01.2018 23:02
to Ivan
Так ихочется спросить: чего-чего?? Особенно про 'СИСПДн'...

Автор: Dfg | 86088 01.02.2018 07:30
Цод это кз но не ваша.
Сотрудники цод это внутренние нарушители.
В документах должно быть прописано про договоры охранять, недопущать и неразглашать.

Автор: Ivan, Customs | 86089 01.02.2018 09:00
to oko: СИСПДн - сегмент информационной системы перс. данных.

to Dfg: Спасибо, а если в договоре аренды ЦОДа не прописаны зоны ответственности за ПДн, то заключать с ними доп. договор?
Нужно ли шифровать трафик сертефицированным оборудованием? Защищать виртуалки?

Автор: Dfg | 86105 01.02.2018 12:14
1. Смотрите п.4 17 приказа фстэк как образец, должна быть приписана ответственность, для лиц предоставляющих мощности. ЦОД (компания) должна также иметь лицензию на ТЗКИ.
2. ЦОД должен иметь документ подтверждающий наличие необходимого уровня защищенности (по аналогии с аттестатом).
3. Траффик через сенр. крипту.

Автор: Breghnev | 86606 07.02.2018 09:40
to Dfg

2. ЦОД должен иметь документ подтверждающий наличие необходимого уровня защищенности (по аналогии с аттестатом).

П. 17.6 Приказа № 17: "В случае, если информационная система создается на базе центра обработки данных уполномоченного лица, такой центр обработки данных должен быть аттестован по классу защищенности не ниже класса защищенности, установленного для создаваемой информационной системы."
Где вы увидели "аналогию с аттестатом"? Конкретно прописано, что должен быть аттестован, то есть иметь аттестат.

3. Траффик через сенр. крипту.

Если не требуется обеспечение конфиденциальности информации, передаваемой в ЦОД, то никакой крипты не понадобится.

Автор: Константин | 86615 07.02.2018 11:21
Мне кажется важным уточнить.

Если сторонний ЦОД предоставляет только место для размещения вашего оборудования и интернет канал, то такой ЦОД, как мне кажется, не обрабатывает информацию системы и соотв. не является уполномоченным лицом согласно 17 приказу ФСТЭК, а соотв. и не должен получать аттестат.



Автор: oko | 86624 07.02.2018 13:52
ЦОД, если в нем циркулируют ПДн, - нераздельная часть ИСПДн. То ли дело ЦОД ЦОДу люпус эст. Иными словами, в ИСПДн входит не весь ЦОД (машзал сторонней организации), а только оборудование, напрямую взаимодействующее с оборудованием ИСПДн (серверные массивы, коммутаторы, маршрутизаторы, etc., размещенные в какой-либо стойке машзала). Вот и пляшите от этого. Считайте, что у вас территориально распределенная ИСПДн (в общем), часть оборудования которой размещена в помещениях сторонней организации. Как защищать в такой ситуации, надеюсь, знаете и понимаете. Ибо объяснять на форуме никто не будет - такие проекты нетиповые, можно сказать уникальные и затратные в каждом отдельном случае...

Автор: Константин | 86667 07.02.2018 15:17
2 oko

почему сразу территориально распределенная, почему не может быть локальной. Например всё оборудование ИСПДн размещено в ЦОД.
Прошла пара месяцев

Автор: Александ, Intercom | 92065 27.04.2018 14:43
Уважаемые, прошу помощи. Нам надо уточнять у ЦОД https://selectel.ru/ в итоге про

> 1. Смотрите п.4 17 приказа фстэк как образец, должна быть приписана ответственность, для лиц предоставляющих мощности. ЦОД (компания) должна также иметь лицензию на ТЗКИ.
> 2. ЦОД должен иметь документ подтверждающий наличие необходимого уровня защищенности (по аналогии с аттестатом).
> 3. Траффик через сенр. крипту.

Страницы: 1 2 >

Просмотров темы: 7307

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*