Для хранения и обработки персональных данных или размещения ГИС (государственных информационных систем) современным центрам обработки данных (ЦОД) необходимо обеспечивать требования по защите информации в соответствии с законодательством РФ в частности 149 ФЗ (Об информации, информационных технологиях и о защите информации) и 152 ФЗ (о персональных данных), а также приказов № 17 и № 21 ФСТЭК России.

В Приказе № 17 ФСТЭК России появилось понятие информационной инфраструктуры центра обработки данных (ЦОД), под которой в соответствии с Методическими указаниями по осуществлению учета информационных систем и компонентов информационно-телекоммуникационной инфраструктуры, утвержденными приказом Минкомсвязи России от 31 мая 2013 г. N 127, понимается технологически и территориально обособленные серверные комплексы, включая рабочие станции, предназначенные для обслуживающего персонала, и технологическое оборудование, обеспечивающие функционирование серверов (стойки, источники бесперебойного питания, коммутационное оборудование и кабельные системы).

Архитектура современных ЦОД характеризуется широким применением технологий виртуализации и облачных вычислений, а также предоставлением различных типов облачных услуг потребителям, в частности:

В состав информационной инфраструктуры ЦОД (Рисунок 1), как правило входит:

Состав и содержание технических и организационных мер по обеспечению безопасности информации приведен в приказах № 21 (защита персональных данных) и № 17 (защита информации в ГИС) ФСТЭК России. В данных приказах меры принимаемые по защите информации определяются в соответствии с классом защищенности и уровнем защищенности ПДн ИС использующих инфраструктуру ЦОД. Класс защищенности информационных систем, в том числе ГИС, функционирование которых предполагается на базе инфраструктуры ЦОД, не должен быть выше класса защищенности (уровня защищенности ПДН) самой инфраструктуры ЦОД.

Аттестация ЦОД в соответствии с Требованиями Приказа № 17 ФСТЭК России является обязательной в случае размещения (создания) информационных систем на базе информационной инфраструктуры ЦОД, являющихся ГИС, в остальных случаях проводиться оценка эффективности применяемых мер и средств защиты с целью оценки возможностей по размещению в ЦОД различных типов ИС с учетом требований по обеспечению максимального класса (уровня) защищенности ИС.

Организационные и технические меры защиты информации согласно приказам ФСТЭК России, должны обеспечивать:

Для реализации техническим мер должны применяться средства защиты информации, прошедшие оценку соответствия, в том числе сертифицированные. При прохождении проверок эффективность предпринятых мер необходимо доказать, поэтому использование в своей деятельности сертифицированных средств защиты информации – это наиболее надёжное решение, минимизирующее риски, в том числе возникновения претензий со стороны регуляторов (ФСТЭК России и ФСБ России).

Исходя из нашего опыта аттестаций ЦОД в качестве средств защиты информации часто применяются:

а также дополнительно могут применяться системы сбора и корреляции событий информационной безопасности (SIEM) (например, KOMRAD Enterprise SIEM и т.п.), средства предотвращения утечек информации (DLP), средства контроля привилегированного доступа (PAM) и другие классы систем обеспечения информационной безопасности.

Необходимость применения СКЗИ для обеспечения защиты ПДн установлена пунктом 2 нормативного документа «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденного руководством 8 Центра ФСБ России 31 марта 2015 года № 149/7/2/6-432 (далее – «Методические рекомендации ФСБ»).

«Методическими рекомендациями ФСБ» установлены следующие случаи, в которых для обеспечения защиты ПДн необходимо применение СКЗИ:

Класс сертифицированных ФСБ России СКЗИ выбирается в соответствии с Приказом № 378 ФСБ России согласно определенным уровнем защищенности обрабатываемых ПДН.

Выполнение полного комплекса работ по защите информации позволит размещать ИСПДн и ГИС (МИС) на базе инфраструктуры ЦОД и снизить риски возникновения инцидентов, связанных с безопасностью информации, а также риски предъявления претензий (как государственными регуляторами, так и юридическими лицами, физическими лицами) в части организации обработки и обеспечения безопасности информации, в том числе персональных данных.

Компания ООО «НАЦ» располагает огромным опытом и всеми необходимыми ресурсами, достаточными для решения подобных задач. Нашими клиентами являются: ООО "ДАТАЛАЙН", ЗАО «1С» (сервис облачных услуг 1С:Фреш), ООО «ИТ-ГРАД», и другие.