Geekly articles weekly

¿Cómo convencer a todos de que tiene un centro de datos seguro?

Preámbulo El artículo es solo para fines informativos. Está destinado a clientes potenciales del centro de datos que han escuchado acerca de 152-, 149-, quieren gastar fondos presupuestarios y no saben que tales esquemas existen. Para facilitar la percepción del material, el autor presentará los esquemas en primera persona, aunque nunca los ha aplicado. El autor no sugiere el uso de estos esquemas. El autor no es un tribunal y no sabe si los esquemas anteriores pueden clasificarse de acuerdo con los artículos del Código Civil / Código Penal. Pero puede ser así.


Esquema 1. Certificación de presupuesto


1. Elija cualquier computadora (por ejemplo, la computadora de una secretaria de jefe obsoleta, que iban a tirar / descartar de todos modos).
2. Hacemos los documentos del solicitante. Como nombre del objeto certificado de información, seleccionamos "Centro de procesamiento de datos protegidos de Isteross"
3. Solicitamos la certificación para el cumplimiento de cualquier requisito, incluso en la UA . El precio de emisión es de unos 50 mil rublos.
4. Obtenemos un certificado de cumplimiento del objeto de información "Centro de procesamiento de datos protegidos de Isteross" con los requisitos de seguridad de la información.
5. Escribimos en el sitio web: " Nuestro Centro de procesamiento seguro de datos de Isteross ha sido certificado de acuerdo con los requisitos de la FSTEC "

Ventajas y desventajas del esquema.

Los beneficiosDesventajas
Para un proveedor de servicios:Barato MuyEstán ausentes
Para el consumidor de servicios:Los datos del cliente pueden ser protegidos.
Los datos del cliente no pueden filtrarse
Lo más probable es que sea más barato que otras opciones
El cliente también puede decirle a todos los que usan un centro de datos certificado		Puede establecer el precio como si todo estuviera certificado, y el cliente no cree que sea sospechosamente barato. Si es requerido por ley, decreto o cualquier regulación para almacenar los datos del cliente en un centro de datos certificado, entonces durante la verificación, los funcionarios del cliente no serán recompensados ​​por el presupuesto guardado


Esquema 2. Certificación de presupuesto ordinario según el orden 17


1-2. Como en el esquema 1.
3. Ordenamos la certificación para el cumplimiento de los requisitos de la Orden No. 17 en la clase K1. El precio de emisión es de unos 350 mil rublos. (100 mil rublos para certificación y 250 mil para equipos de protección (AVZ, NSD, SKN, SDZ, ME, SOV, UPS, SKZI con la capacidad de conectar clientes móviles y otras escuelas secundarias)
4. Obtenemos un certificado de cumplimiento del objeto de informatización "Centro de procesamiento de datos protegidos de Isteross" con los requisitos de protección de la información para la clase de seguridad K1.
5. Escribimos en el sitio web: "¡ Nuestro Centro de procesamiento de datos protegidos de Isteross está certificado para la clase máxima K1! Podemos proporcionar energía a cualquier SIG / RDSI. Nos conectamos utilizando herramientas criptográficas certificadas por el FSB "

Ventajas y desventajas del esquema.

Los beneficiosDesventajas
Para un proveedor de servicios:BaratoSin embargo, es necesario comprar diferentes medios de protección (el networker dice que no son necesarios), y este no será Cisco
Para el consumidor de servicios:Los sistemas de información del cliente no pueden ser pirateados.
Los datos del cliente no pueden tener fugas.
No es una opción costosa.		Dos opciones: iniciar el IS del cliente en esta máquina certificada y, como resultado, el IS funcionará lentamente o (lo más probable) no se ejecutará en esta máquina, pero el cliente tendrá una velocidad normal


Esquema 3. La certificación más presupuestaria por el orden 17


1-2. Como en el esquema 2.
2a. Desconectarse físicamente de Internet AWP.
3. Como en el esquema 2, pero más barato: no hay Internet, no se necesita ME, SOV ni CPSI. El precio de emisión se reduce a 130 mil rublos. (100 mil rublos para certificación y 30 mil para equipos de protección (AVZ, NSD, SKN, SDZ, UPS).
4. Como en el esquema 2.
5. Escribimos en el sitio como en el esquema 2, pero un poco más corto: "¡ Nuestro Centro de procesamiento de datos protegidos de Isterossa está certificado para la clase máxima K1! Podemos proporcionar energía a cualquier SIG / RDSI "

Ventajas y desventajas del esquema.

Los beneficiosDesventajas
Para un proveedor de servicios:Más barato que la opción 2Sin embargo, es necesario comprar varios medios de protección, pero no lo suficiente.
Para el consumidor de servicios:Los sistemas de información del cliente no pueden ser pirateados.
Los datos del cliente no pueden tener fugas.
Opción no muy cara.
Puede escribir en el sitio web que el cliente puede seleccionar el canal de comunicación de cifrado certificado para el centro de datos, incluso si se utiliza la red de criptomonedas del cliente (No. XXXXX), además, no impone al cliente la compra de criptomonedas certificadas compatibles con el equipo del centro de datos		Como en casos anteriores, el IS del cliente no funcionará en el segmento de centro de datos certificado


Esquema 4. Aterrizaje correcto


1. Llamamos a guardias de seguridad prácticos, networkers normales.
2. Compramos lo que dicen (el equipo familiar para estos "tsiskars").
3. Hacen todo, protegen de acuerdo con las "mejores prácticas".
4. Diseñamos una página web sobre el centro de datos:
porque el equipo comprado no tiene certificados que le permitan alojar IP de clase alta en el sitio. No escribimos sobre clases, simplemente: "la protección se organiza usando xxxxx (certificado por el FSB y FSTEC) ";
porque no hay certificado y no hay ventajas particulares sobre otros centros de datos comerciales, escribimos algo que todos tienen, pero lo mostramos como una ventaja: " seguridad las 24 horas, equipos de respaldo, matrices RAID, servicio de 24 horas, usando https ";
porque no hay un equipo de red criptográfica certificado, solo prometemos la forma " se puede organizar si es necesario ... " (sí, todos saben que todos necesitan esto para alojar IP certificadas, y lo daremos como una ventaja);
- utilizamos frases abstractas: "aseguraremos la seguridad / confidencialidad / integridad / accesibilidad de la información" (lo principal es no escribir a qué información nos referimos);
- aún puede obtener piezas de papel innecesarias, preferiblemente en sistemas de certificación voluntaria de la categoría " certificado de conformidad por 1 día, de acuerdo con dos documentos, a bajo costo, sin registro y sms " y publicar en el sitio web la frase de que nuestro centro de datos está certificado.

Ventajas y desventajas del esquema.

Los beneficiosDesventajas
Para un proveedor de servicios:Sin costos adicionales para la seguridad de la información.Es difícil responder preguntas específicas sobre la certificación de acuerdo con los requisitos del FSTEC de Rusia y el FSB de Rusia
Para el consumidor de servicios:Los sistemas de información del cliente no pueden ser pirateados.
Los datos del cliente no pueden tener fugas.
Opción no muy cara.
Podemos decir que los datos están protegidos de acuerdo con las "mejores prácticas"		Las autoridades de supervisión utilizan otras "mejores prácticas" en sus actividades, por lo que puede haber un malentendido entre el cliente y la comisión.
Como en casos anteriores, la IP del cliente no funcionará en el segmento de centro de datos certificado.


Esquema 5. Certificación correcta de acuerdo con el orden 17


1. Elija un servidor / servidores / rack / varios racks para resaltar en la forma de un "segmento protegido del centro de datos" o el centro de datos completo para la certificación.
2. Elija los esquemas de entrega de servicios (colocación / IaaS / SaaS / ...). Escriba una Política / Declaración en la que marque los puntos de los actos legales que están listos para implementarse (por ejemplo, protegemos todo al nivel de virtualización. Todo lo que está en las máquinas virtuales es responsabilidad del cliente). Compramos equipos certificados para el segmento de centros de datos certificados.
3. Solicitamos la certificación para el cumplimiento de los requisitos de la Orden Núm. 17 para la clase K1 / K2 / K3 (para esto, el vendedor debe decir qué IP están en el segmento del mercado objetivo). El precio de emisión difiere de la clase, el número de servidores protegidos, el enfoque de certificación (segmentado o no), el esquema de prestación de servicios, la nomenclatura de opciones para organizar el flujo de trabajo seguro del cliente, etc. etc. De varios millones de rublos.
4. Obtenemos un certificado de cumplimiento del objeto de información "Centro de procesamiento de datos protegidos de Isteross" con los requisitos de protección de la información por clase de seguridad.
5. Escribimos en el sitio web: "¡El Centro de procesamiento de datos protegidos de Isteross está certificado para tal y tal clase! Podemos proporcionar energía a cualquier SIG / RDSI. Nos conectamos utilizando herramientas criptográficas FSB certificadas "

Ventajas y desventajas del esquema.

Los beneficiosDesventajas
Para un proveedor de servicios:Puede ofrecerle al cliente que realice una auditoría del segundo / tercero, monitorear la ubicación de la IP del cliente en el segmento certificado, someterse a cualquier inspección FSB / FSTEC con respecto a la IP del clienteCaro Necesitamos un metodólogo normal que mantenga correctamente toda la documentación, organice la aceptación de nuevos bastidores.
Para el consumidor de servicios:Sus sistemas de información no pueden ser pirateados.
Sus datos no pueden filtrarse.
Su IP está realmente protegida por los requisitos de FSB / FSTEC		Una opción costosa.


Conclusiones


1. Al organizar un centro de datos seguro, sus propietarios pueden acceder a cualquiera de estas opciones o elegir la suya propia.
2. El cliente debe elegir el proveedor de servicios. La responsabilidad de la elección recae en el cliente.
3. El nivel de confianza en el centro de datos lo determina el cliente de forma independiente (desde "tienen una hermosa señal" hasta la auditoría preliminar del centro de datos y el seguimiento del nivel de servicio)

Source: https://habr.com/ru/post/453098/

More articles:


All Articles