GlobalTrust Solutions Корпоративный блог

Статус не указан

Возможность размещать посты на проекте остановлена

Редакция CNews готова принять пресс-релизы компаний на адрес news@cnews.ru.

Приглашаем вас делиться комментариями о материалах CNews на наших страницах платформ Facebook, Telegram и Twitter.

Надо ли доверять аттестованным ЦОД?

Некоторые дата-центы в целях отстройки от конкурентов проходят аттестацию по требованиям безопасности информации по уровням защищенности персональных данных УЗ3 или УЗ2, и предлагают компаниям размещение ИСПДн на таких площадках в качестве панацеи от требований регуляторов и ответственности за защиту ПДн. В нашей практике приведения организаций в соответствие с требованиями 152-ФЗ подобные ситуации встречаются регулярно. В связи с этим, прокомментирую вопрос о том, в какой степени операторам ПДн и прочим владельцам ИС стоит доверять аттестованным ЦОД и что при этом надо учесть.

Вопрос о доверии аттестованному ЦОД может ставиться, например, следующим образом. Сервис-провайдеры планируют размещать свои системы на арендованных мощностях каких-то аттестованных дата-центров. Соответственно вся физическая и сетевая безопасность обеспечивается силами дата-центра. Дата-центр, по понятным причинам, не горит желанием раскрывать информацию по используемым СЗИ, сетевой архитектуре и т.д. Можно ли проектировщику системы защиты в этом случае воспринимать дата-центр с его услугами как черный ящик, доверяя их аттестату? Для ответа на этот вопрос надо принять во внимание ряд изложенных ниже соображений.

Аттестация ЦОД (добровольная) - это прежде всего маркетинговая акция для отстройки от конкурентов и создания добавленной стоимости. Аттестующая организация не гарантирует защиту размещаемых в ЦОД систем или их соответствие каким-либо требованиям и никакой ответственности за это не несет. При аттестации проверяется выполнение требований конкретных нормативных документов в отношении предоставленного для аттестации конкретного оборудования, СЗИ, ПО (конкретных конфигураций), помещений и документов. Даже если серверная часть защищена, но сверху установить дырявое приложение с доступом из интернет, то очевидно, что система в целом (приложение + сервер + каналы связи + ...) не защищена и никаким требованиям не соответствует. Другими словами, то что у ЦОД имеется некий аттестат по УЗ3 или УЗ2 не означает, что размещаемые там ИС автоматически становятся защищены по УЗ3 или УЗ2, а оператор этих систем выполнил требования регуляторов.

Имеет смысл посмотреть, что написано в аттестате (область аттестации, нормативные документы, условия действия аттестата, сроки, исключения и т.д.). Может статься, что размещаемая в ЦОД система вообще никак не связана ни физически, ни логически с аттестованными объектами ЦОД. Также надо посмотреть, что написано в договоре с ЦОД и в SLA. Как определена область ответственности ЦОД в части реализации защитных мер, чем она ограничивается и чем обеспечивается. Если это четко в договоре не определено, то ответственность ЦОД ничем не отличается от ответственности обычного хостинг-провайдера, т.е. близка к нулю и укладывается в рамки действующего тарифа за обслуживание.

Подробнее: http://www.iso27000.ru/blogi/aleksandr-astahov/nado-li-doveryat-attestovannym-cod

Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.

1 год назад | категории: Безопасность: Администратору Безопасность: Госрегулирование Безопасность: Новости поставщиков Безопасность: Пользователю Безопасность: Стратегия безопасности Безопасность: Техническая защита ИТ-Аутсорсинг

Комментарии

Другие публикации

E-mail или ФИО:
Пароль:
Запомнить Забыли пароль?