Comment convaincre tout le monde que vous avez un centre de données sécurisé?

Préambule . L'article est à titre informatif uniquement. Il est destiné aux clients potentiels du centre de données qui ont entendu parler de 152-, 149-, qui souhaitent dépenser des fonds budgétaires et ne savent pas que de tels systèmes existent. Pour faciliter la perception du matériel, l'auteur présentera les schémas à la première personne, bien qu'il n'ait jamais appliqué ces schémas. L'auteur ne suggère pas l'utilisation de ces schémas. L'auteur n'est pas un tribunal et ne sait pas si les régimes susmentionnés peuvent être classés conformément aux articles du Code civil / Code pénal. Mais il en est peut-être ainsi.

Schéma 1. Certification budgétaire

1. Choisissez n'importe quel ordinateur (par exemple, un ordinateur de secrétaire de patron obsolète, qu'ils allaient jeter / radier de toute façon).
2. Nous établissons les documents du demandeur. Comme nom de l'objet certifié de l'informatisation, nous sélectionnons "Protected Data Processing Center of Isteross"
3. Nous commandons la certification pour la conformité à toutes les exigences, même à l' UA . Le prix d'émission est d'environ 50 mille roubles.
4. Nous obtenons un certificat de conformité de l'objet d'informatisation «Protected Data Processing Center of Isteross» aux exigences de sécurité de l'information.
5. Nous écrivons sur le site: " Notre centre de traitement de données sécurisé d'Isteross a été certifié selon les exigences du FSTEC "

Avantages et inconvénients du régime

Schéma 2. Certification budgétaire ordinaire selon le 17ème ordre

1-2. Comme dans le schéma 1.
3. Nous commandons la certification pour la conformité aux exigences de la commande n ° 17 en classe K1. Le prix d'émission est d'environ 350 mille roubles. (100 mille roubles pour la certification et 250 mille pour l'équipement de protection (AVZ, NSD, SKN, SDZ, ME, SOV, UPS, SKZI avec la possibilité de connecter des clients mobiles et d'autres écoles secondaires)
4. Nous obtenons un certificat de conformité de l'objet d'informatisation "Protected Data Processing Center of Isteross" aux exigences de protection des informations pour la classe de sécurité K1.
5. Nous écrivons sur le site Web: " Notre centre de traitement des données protégé d'Isteross est certifié pour la classe maximale K1! Nous pouvons alimenter n'importe quel SIG / RNIS. Nous nous connectons à l'aide d'outils cryptographiques certifiés par le FSB "

Avantages et inconvénients du régime

Schéma 3. La certification la plus budgétaire par le 17ème ordre

1-2. Comme dans le schéma 2.
2a. Déconnectez-vous physiquement de l'Internet AWP.
3. Comme dans le schéma 2, mais moins cher: il n'y a pas d'Internet - aucun ME, SOV, CPSI n'est nécessaire. Le prix d'émission est réduit à 130 mille roubles. (100 000 roubles pour la certification et 30 000 pour les équipements de protection (AVZ, NSD, SKN, SDZ, UPS).
4. Comme dans le schéma 2.
5. Nous écrivons sur le site comme dans le schéma 2, mais un peu plus court: " Notre centre de traitement des données protégé d'Isterossa est certifié pour la classe maximale K1! Nous pouvons alimenter n'importe quel SIG / RNIS "

Avantages et inconvénients du régime

Schéma 4. Atterrissage correct

1. Nous appelons des agents de sécurité pratiques, des networkers normaux.
2. Nous achetons ce qu'ils disent (l'équipement familier à ces «tsiskars»).
3. Ils font tout, protègent conformément aux «meilleures pratiques».
4. Nous concevons une page Web sur le centre de données:
- parce que l'équipement acheté ne dispose pas de certificats vous permettant d'héberger une IP de haut niveau sur le site. Nous n'écrivons pas sur les cours, simplement: "la protection est organisée en utilisant xxxxx (certifié par le FSB et le FSTEC) "
- parce que il n'y a pas de certificat, et il n'y a pas d'avantages particuliers par rapport aux autres centres de données commerciaux, nous écrivons quelque chose que tout le monde a, mais nous le montrons comme un avantage: " Sécurité 24 heures, équipement de sauvegarde, matrices RAID, service 24 heures sur 24, utilisation de https "
- parce que il n'y a pas d'équipement de réseau cryptographique certifié, nous faisons juste des promesses de la forme « il peut être organisé si nécessaire ... » (oui, tout le monde sait que tout le monde en a besoin pour héberger des IP certifiées, et nous le donnerons comme un avantage);
- nous utilisons des phrases abstraites: «nous assurerons la sécurité / confidentialité / intégrité / accessibilité des informations» (l'essentiel n'est pas d'écrire les informations que nous voulons dire);
- vous pouvez toujours obtenir des feuilles de papier inutiles, de préférence dans les systèmes de certification volontaire de la catégorie " certificat de conformité pour 1 jour, selon deux documents, à moindre coût, sans enregistrement et sms) " et afficher sur le site Web la phrase que notre centre de données est certifié.

Avantages et inconvénients du régime

Schéma 5. Certification correcte selon la 17e commande

1. Choisissez un serveur / serveurs / rack / plusieurs racks à mettre en évidence sous la forme d'un "segment protégé du datacenter" ou de l'intégralité du datacenter à certifier.
2. Choisissez des schémas de prestation de services (colocation / IaaS / SaaS / ...). Rédigez une politique / déclaration dans laquelle vous marquez les points des actes juridiques qui sont prêts à être mis en œuvre (par exemple, nous protégeons tout au niveau de la virtualisation. Tout ce qui se trouve dans les machines virtuelles est la responsabilité du client). Nous achetons des équipements certifiés pour le segment des centres de données certifiés.
3. Nous commandons la certification pour la conformité aux exigences de l' ordonnance n ° 17 pour la classe K1 / K2 / K3 (pour cela, le responsable du marketing doit indiquer les IP dans le segment de marché cible). Le prix du problème diffère de la classe, du nombre de serveurs protégés, de l'approche de certification (segmentée ou non), du schéma de prestation de services, de la nomenclature des options pour organiser le flux de travail sécurisé du client, etc. etc. De plusieurs millions de roubles.
4. Nous obtenons un certificat de conformité de l'objet d'informatisation «Protected Data Processing Center of Isteross» aux exigences de protection des informations par classe de sécurité.
5. Nous écrivons sur le site Web: "Le centre de traitement des données protégées d'Isteross est certifié pour telle ou telle classe! Nous pouvons alimenter n'importe quel SIG / RNIS. Nous nous connectons à l'aide d'outils cryptographiques certifiés FSB "

Avantages et inconvénients du régime

Conclusions

1. Lors de l'organisation d'un centre de données sécurisé, ses propriétaires peuvent accéder à l'une de ces options ou choisir la leur.
2. Le client doit choisir le fournisseur de services. La responsabilité du choix incombe au client.
3. Le niveau de confiance dans le centre de données est déterminé par le client indépendamment (de "ils ont un beau signe" à l'audit préliminaire du centre de données et au suivi du niveau de prestation de services pour eux)