Geekly articles weekly

Como convencer a todos que você tem um data center seguro?

Preâmbulo . O artigo é apenas para fins informativos. Destina-se a clientes em potencial do data center que ouviram falar em 152-, 149-, desejam gastar fundos do orçamento e não sabem que esses esquemas existem. Para facilitar a percepção do material, o autor apresentará os esquemas na primeira pessoa, embora nunca os tenha aplicado. O autor não sugere o uso desses esquemas. O autor não é um tribunal e não sabe se os esquemas acima podem ser classificados de acordo com os artigos do Código Civil / Código Penal. Mas pode ser que sim.


Esquema 1. Certificação orçamentária


1. Escolha qualquer computador (por exemplo, o computador de uma secretária-chefe desatualizada, que eles descartariam / eliminariam de qualquer maneira).
2. Nós fazemos os documentos do requerente. Como o nome do objeto certificado de informatização, selecionamos "Centro de processamento de dados protegido de Isteross"
3. Solicitamos a certificação para conformidade com quaisquer requisitos, mesmo na UA . O preço de emissão é de cerca de 50 mil rublos.
4. Obtemos um certificado de conformidade do objeto de informatização “Centro de Processamento de Dados Protegido de Isteross” com os requisitos de segurança da informação.
5. Escrevemos no site: " Nosso Centro de Processamento de Dados Seguro da Isteross foi certificado de acordo com os requisitos do FSTEC "

Vantagens e desvantagens do regime

Os benefíciosDesvantagens
Para um provedor de serviços:Barato. Muito.Estão ausentes
Para o consumidor de serviços:Os dados do cliente podem ser protegidos.
Os dados do cliente podem não vazar
Muito provavelmente será mais barato que outras opções
O cliente também pode dizer a todos que usam um data center certificado		Você pode definir o preço como se tudo estivesse certificado e o cliente não achar que seja suspeito e barato. Se for exigido por lei, decreto ou qualquer regulamento para armazenar os dados do cliente em um data center certificado, durante a verificação, os funcionários do cliente não serão recompensados ​​pelo orçamento economizado


Esquema 2. Certificação orçamentária ordinária de acordo com a 17ª ordem


1-2. Como no esquema 1.
3. Solicitamos a certificação para conformidade com os requisitos do Pedido nº 17 da classe K1. O preço de emissão é de cerca de 350 mil rublos. (100 mil rublos para certificação e 250 mil para equipamentos de proteção (AVZ, NSD, SKN, SDZ, ME, SOV, UPS, SKZI com a capacidade de conectar clientes móveis e outras escolas secundárias)
4. Obtemos um certificado de conformidade do objeto de informatização "Protected Data Processing Center of Isteross" com os requisitos de proteção de informações para a classe de segurança K1.
5. Escrevemos no site: " Nosso Centro de Processamento de Dados Protegido da Isteross é certificado para a classe máxima K1! Podemos fornecer energia a qualquer GIS / ISDN. Conectamos usando ferramentas criptográficas certificadas pelo FSB "

Vantagens e desvantagens do regime

Os benefíciosDesvantagens
Para um provedor de serviços:Barato.É necessário, no entanto, comprar diferentes meios de proteção (o networker diz que eles não são necessários), e isso não será o caso da Cisco.
Para o consumidor de serviços:Os sistemas de informações do cliente não podem ser invadidos.
Os dados do cliente podem não vazar.
Não é uma opção cara.		Duas opções: iniciar o IS do cliente nesta máquina certificada - e, como resultado, o IS funcionará lentamente ou (provavelmente) não será executado nesta máquina, mas o cliente terá velocidade normal


Esquema 3. A certificação mais orçamentária da 17ª ordem


1-2. Como no esquema 2.
2a Desconecte-se fisicamente da Internet AWP.
3. Como no esquema 2, mas mais barato: não há Internet - não são necessários ME, SOV, CPSI. O preço de emissão é reduzido para 130 mil rublos. (100 mil rublos para certificação e 30 mil para equipamentos de proteção (AVZ, NSD, SKN, SDZ, UPS).
4. Como no esquema 2.
5. Escrevemos no site como no esquema 2, mas um pouco mais curto: " Nosso Centro de Processamento de Dados Protegido de Isterossa é certificado para a classe máxima K1! Podemos fornecer energia a qualquer GIS / ISDN "

Vantagens e desvantagens do regime

Os benefíciosDesvantagens
Para um provedor de serviços:Mais barato que a opção 2É necessário, no entanto, comprar vários meios de proteção, mas não o suficiente
Para o consumidor de serviços:Os sistemas de informações do cliente não podem ser invadidos.
Os dados do cliente podem não vazar.
Opção muito não cara.
Você pode escrever no site que o canal de comunicação de criptografia certificado para o datacenter pode ser selecionado pelo cliente; até mesmo a rede criptográfica do cliente (nº XXXXX) é usada; além disso, você não impõe ao cliente a compra de criptomoedas certificadas compatíveis com o equipamento do datacenter		Como nos casos anteriores, o IS do cliente não funcionará no segmento de data center certificado


Esquema 4. Aterragem correta


1. Chamamos guardas de segurança práticos, pessoas comuns de rede.
2. Compramos o que eles dizem (o equipamento familiar a esses "tsiskars").
3. Eles fazem tudo, protegem de acordo com as “melhores práticas”.
4. Criamos uma página da web sobre o data center:
- porque o equipamento adquirido não possui certificados que permitem hospedar IP de alta classe no site; não escrevemos sobre classes simplesmente: "a proteção é organizada usando xxxxx (certificado pelo FSB e FSTEC) ";
- porque não há certificado e não há vantagens particulares sobre outros data centers comerciais, escrevemos algo que todos têm, mas mostramos como uma vantagem: " segurança 24 horas, equipamento de backup, matrizes RAID, serviço de serviço 24 horas, usando https ";
- porque não há equipamento de rede criptográfico certificado, apenas fazemos promessas no formato “ se necessário, ele pode ser organizado ... ” (sim, todo mundo sabe que todo mundo precisa disso para hospedar IPs certificados, e nós o daremos como vantagem);
- usamos frases abstratas: “garantiremos a segurança / confidencialidade / integridade / acessibilidade das informações” (a principal coisa é não escrever as informações que queremos dizer);
- você ainda pode obter pedaços de papel desnecessários, de preferência em sistemas de certificação voluntários da categoria " certificado de conformidade por 1 dia, de acordo com dois documentos, de forma barata, sem registro e sms) " e postar no site a frase que nosso data center está certificado.

Vantagens e desvantagens do regime

Os benefíciosDesvantagens
Para um provedor de serviços:Sem custos adicionais para segurança da informaçãoÉ difícil responder a perguntas específicas sobre certificação de acordo com os requisitos do FSTEC da Rússia e do FSB da Rússia
Para o consumidor de serviços:Os sistemas de informações do cliente não podem ser invadidos.
Os dados do cliente podem não vazar.
Opção muito não cara.
Podemos dizer que os dados são protegidos de acordo com as "melhores práticas"		As autoridades de supervisão usam outras "melhores práticas" em suas atividades; portanto, pode haver um mal-entendido entre o cliente e a comissão.
Como nos casos anteriores, o IP do cliente não funcionará no segmento de data center certificado.


Esquema 5. Certificação correta de acordo com a 17ª ordem


1. Escolha um servidor / servidores / rack / vários racks para destacar na forma de um "segmento protegido do data center" ou o data center inteiro para certificação.
2. Escolha os esquemas de entrega de serviços (colocation / IaaS / SaaS / ...). Escreva uma política / declaração na qual marque os pontos dos atos legais prontos para serem implementados (por exemplo, protegemos tudo ao nível da virtualização. Tudo nas máquinas virtuais é de responsabilidade do cliente). Compramos equipamentos certificados para o segmento de data center certificado.
3. Solicitamos a certificação para conformidade com os requisitos do Pedido nº 17 para a classe K1 / K2 / K3 (para isso, o profissional de marketing deve dizer quais IPs estão no segmento de mercado alvo). O preço de emissão difere da classe, do número de servidores protegidos, da abordagem de certificação (segmentada ou não), do esquema de entrega de serviços, da nomenclatura de opções para organizar o fluxo de trabalho seguro do cliente, etc. etc. De vários milhões de rublos.
4. Obtemos um certificado de conformidade do objeto de informatização “Protected Data Processing Center of Isteross” com os requisitos de proteção de informações por classe de segurança.
5. Escrevemos no site: "O Centro de Processamento de Dados Protegido de Isterossa é certificado para tal e qual classe! Podemos fornecer energia a qualquer GIS / ISDN. Conectamos usando ferramentas criptográficas FSB certificadas "

Vantagens e desvantagens do regime

Os benefíciosDesvantagens
Para um provedor de serviços:Você pode oferecer ao cliente a realização de uma auditoria de segunda / terceira parte, monitorar a localização do IP do cliente no segmento certificado, passar por qualquer inspeção FSB / FSTEC referente ao IP do clienteCaro Precisamos de um metodologista normal que mantenha corretamente toda a documentação, organize a aceitação de novos racks
Para o consumidor de serviços:Seus sistemas de informação não podem ser invadidos.
Seus dados podem não vazar.
Seu IP está realmente protegido pelos requisitos do FSB / FSTEC		Uma opção cara.


Conclusões


1. Ao organizar um data center seguro, seus proprietários podem acessar qualquer uma dessas opções ou escolher suas próprias.
2. O cliente deve escolher o provedor de serviços. A responsabilidade pela escolha é do cliente.
3. O nível de confiança no data center é determinado pelo cliente de forma independente (de "eles têm um belo sinal" até a auditoria preliminar do data center e o monitoramento do nível de serviço a eles)

Source: https://habr.com/ru/post/pt453098/

More articles:


All Articles