Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

152 ready

Т
Татьяна Янкина

В рамках сервиса Cloud-152 мы предоставляем облачную инфраструктуру, построенную в соответствии с требованиями к защите персональных данных ФЗ-152, и оказываем комплексную поддержку при аттестации ваших информационных систем.

1 of 26
Download to read offline
152 READY: инфраструктура для размещения персональных данных
заголовок DataLine — специализированный поставщик услуг ИТ-аутсорсинга на базе собственной сети ЦОД в Москве и один из ведущих провайдеров облачных сервисов в России. Сеть дата-центров уровня Tier III 3 703 стойки 38 200 кВА установленная мощность Сертификаты ISO/IEC 27001:2013, ISO 9001:2011, PCI DSS v. 3.1, ISAE 3402 Uptime Institute: Management and Operations Tier III Certified: Design Tier III Certified: Facility Лицензии ФСТЭК и ФСБ Лидер российского рынка коммерческих ЦОД (Cnews, IDC, iKS-Consulting, Современные телекоммуникации)
ЧТО ТАКОЕ CLOUD-152 Cloud-152 – облачная инфраструктура, построенная в соответствии с новыми требованиями к защите персональных данных:  Community cloud для размещения персональных данных с уровнем защищенности #2 и #3  Private cloud для размещения данных с уровнем защищенности #1.
Новые требования к защите данных и провайдерам ИТ-инфраструктуры
КАК ОПРЕДЕЛЯЮТСЯ ТРЕБОВАНИЯ К ЗАЩИТЕ ДАННЫХ Персональные данные разделены на 4 категории – уровни защищенности. Для каждого уровня защищенности предписаны свои требования к организации защиты персональных данных. В свою очередь, эти требования варьируются в зависимости от типа угроз, актуальных для каждой отдельной информационной системы, а также от того, подключена ли система к Интернет .
ФАКТОРЫ, ОПРЕДЕЛЯЮЩИЕ УРОВЕНЬ ЗАЩИЩЕННОСТИ ДАННЫХ Категория данных Субъекты Количество субъектов Тип актуальных угроз  Сотрудники  Контрагенты  Общедоступные  Специальные  Биометрические  Иные  < 100 000  > 100 000 3 категории угроз
ТИПЫ АКТУАЛЬНЫХ УГРОЗ 1. Угрозы, обусловленные недекларируемыми (недокументированными) возможностями в системном ПО. 2. Угрозы, обусловленные недекларируемыми возможностями в прикладном ПО. 3. Угрозы, обусловленные иными факторами. Категория данных Субъекты Количество субъектов ТИПЫ УГРОЗ Определение типа угроз не регламентировано.
УРОВНИ ЗАЩИЩЕННОСТИ Категория данных Сотрудники оператора Количество субъектов Тип актуальных угроз 1 2 3 (НДВ* ОС) (НДВ* ПО) (Без НДВ*) Специальные Нет > 100 000 УЗ-1 УЗ-1 УЗ-2 Нет < 100 000 УЗ-1 УЗ-2 УЗ-3 Да Биометрические УЗ-1 УЗ-2 УЗ-3 Иные Нет > 100 000 УЗ-1 УЗ-2 УЗ-3 Нет < 100 000 УЗ-2 УЗ-3 УЗ-4 Да Общедоступные Нет > 100 000 УЗ-2 УЗ-2 УЗ-4 Нет < 100 000 УЗ-2 УЗ-3 УЗ-4 Да * НДВ – недекларируемые возможности
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ УРОВЕНЬ ЗАЩИЩЕННОСТИ УЗ-1, УЗ- 2 УЗ-3 УЗ-4 ТИП УГРОЗ 3 1, 2, 3 2 3 3 ПОДКЛЮЧЕНИЕ К ИНТЕРНЕТ нет да - да нет - Средства вычислительной техники 5 класс* 6 класс Система обнаружения вторжений 4 класс 5 класс 5 класс Средства антивирусной защиты Межсетевой экран 4 класс 3 класс 4 класс Другие средства защиты информации Любые технические условия или задания по безопасности *Для каждой категории инструментов разработана отдельная классификация ФСТЭК
МОДЕЛИ ИНФРАСТРУКТУРЫ & ТРЕБОВАНИЯ К ЗАЩИТЕ ДАННЫХ Межсетевое экранирование Защита виртуализации Защита каналов связи Физическая безопасность COLOCATION ОБЛАКО
ТРЕБОВАНИЯ К ПРОВАЙДЕРУ  Лицензия ФСТЭК на деятельность по разработке и (или) производству средств защиты конфиденциальности информации  Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации.  Лицензия ФСБ на использование средств криптографии  Сертификаты ФСТЭК на используемые средства защиты информации  Договоры аренды покупки на используемые средства защиты
НАШ ПОДХОД
ИНФРАСТРУКТУРА-152: ЧТО МЫ ПРЕДЛАГАЕМ  Платформу виртуализации размещение физического оборудования в соответствии со всеми требованиями ФЗ  Возможность интеграции ваших инструментов ИБ / оборудования в архитектуру нашего решения.  Сопровождение ИС*:  разработка модели угроз  подготовка документации  аттестация информационной системы *Сервис предоставляется совместно с партнерами.
НАШИ СЕРТИФИКАТЫ И ЛИЦЕНЗИИ  Premier VSSP VMware  Microsoft GOLD Hosting Provider  Oracle Gold Partner  SAP for Business All-in-One in Application Management and Hosting Services  HP GOLD Partner  ISO/IEC 27001:2013  ISO 9001:2011  Uptime Institute Management and Operations  Uptime Institute Tier III Certified (Design)  PCI DSS v. 3.0  ISAE 3402  Лицензия ФСТЭК #0763: На деятельность по разработке и (или) производству средств защиты конфиденциальности информации  Лицензия ФСТЭК #1279: На деятельность по технической защите конфиденциальной информации.  Лицензия ФСБ #0011865 на оказание услуг с использованием средств криптографии
ФИЗИЧЕСКАЯ БЕЗОПАСНОСТЬ  Многоуровневый контроль доступа  Круглосуточное видеонаблюдение с хранением видеозаписей в течение 3-х месяцев  Отдельные ограждения для стоек  Решения по СКУД на ограждение стойку, биометрия  Выделенные решения по видеонаблюдению (APC Netbotz, etc.)  Дополнительные датчики на открытие дверей стоек  Сейфовая стойка
СЕТЕВАЯ БЕЗОПАСНОСТЬ  Сертифицированные ФСТЭК оборудование и ПО.  Сегментация сетей в облаке через VLAN и МЭ Check Point Security Gateway  Контроль взаимодействия с внешними сетями через систему обнаружения вторжений Check Point Security Gateway  Защита каналов связи средствами криптографии  Шифрование ГОСТ через виртуальный криптошлюз С-Терра  Шифрование на втором уровне с помощью протокола MacSec  Организация VPN с использованием кодирования AES, 3DES
СЕТЕВАЯ БЕЗОПАСНОСТЬ CLOUD-152 Cloud core switch’s ESXi ESXi ESXi ESXi S-Terra Виртуальный Шлюз DataLine Admins Remote user sites Check Point Security Gateway’s (FW/IDS) DataCenter core switch’s Site-to-site VPN INTERNET
CLOUD-152: ВАРИАНТЫ IAAS  Private cloud для размещения персональных данных с уровнем защищенности #1  Community cloud для размещения персональных данных с уровнями защищенности #2*, #3 и #4 Стандартное решение предполагает отказоустойчивую архитектуру на базе дата-центра NORD-4. Также может быть организовано катастрофоустойчивое облако-152 на базе локаций ЦОД NORD и OST. *2-ой уровень защищенности в Community Cloud обеспечивается только для 3 типа актуальных угроз.
PRIVATE CLOUD-152 ДЛЯ ДАННЫХ С УЗ-1 Для информационных систем, обрабатывающих персональные данные с уровнем защищенности #1 разрабатывается индивидуальный проект на выделенном физическом оборудовании. Такое решение также может быть отказоустойчивым или катастрофоустойчивым.
COMMUNITY CLOUD: АРХИТЕКТУРА
COMMUNTY CLOUD: СРЕДСТВА ЗАЩИТЫ Все средства защиты, используемые в архитектуре Cloud-152, сертифицированы ФСТЭК*:  vGate R2 (средство защиты виртуализации)  CheckPoint IDS (система обнаружения вторжений)  CheckPoint FW (межсетевой экран)  Wallix (прокси-сервер с записью сессий)  Kaspersky (антивирусная защита)  С-Терра (VPN шлюз)  SecretNet и ПАК Соболь (защита от несанкционированного доступа) * Реестр средств защиты, сертифицированных ФСТЭК.
ИНФРАСТРУКТУРА-152: АЛГОРИТМ Модель угроз Миграция в Cloud-152 Пакет документов (ОРД***) Аттестация системы**** Подача документов в Роскомнадзор Технический проект** Аудит системы* * Для текущих проектов действующих систем. Развертывание ИС с нуля начинается с разработки модели угроз. ** Технический проект включает в себя список средств защиты в соответствии с уровнем защищенности используемых персональных данных и типом угроз, актуальным для данной системы. *** Комплект документов включает : модель угроз, технический проект, организационная документация, письмо в Роскомнадзор **** В рамках аттестации проверяется соответствие системы модели угроз и техническому проекту
максимальный допустимый простой сервиса в месяц* ≥ 1700 0,37ч. максимальный допустимый простой сервиса в месяц* 0,15ч. MIPS / 1 vCPU 250 IOPS/ 500 GB HDD IOPS время доступа к диску на ВМ≤20мс 99,982% доступность ЦОД и сетевой инфраструктуры 10 минут время реакции на запрос 99,98% доступность сервиса для данных с УЗ-3 99,95% доступность сервиса для данных с УЗ-2 SLA: КЛЮЧЕВЫЕ ПАРАМЕТРЫ * С учетом технологических простоев (на обслуживание инфраструктуры)
SLA для данных с УЗ-2: почему 99,95% Снижение гарантированной доступности сервиса обусловлено запретом на удаленный доступ к хосту при организации защиты персональных данных с уровнем защищенности #2. Для ИС с этой категорией данных возможна только ручная перезагрузка серверов.
$11 $3,23 $6,44 $0,12 $0,26$0,51 HDD SATA, за 1 Гб HDD SAS, за 1 Гб SSD, за 1 Гб RAM, за 1 Гб CPU, за 1 Ггц Средства защиты, за vCPU СКОЛЬКО ЭТО СТОИТ
ИНТЕРЕСНО, НО ОСТАЛИСЬ ВОПРОСЫ? Любые дополнительные вопросы по вариантам организации размещения персональных данных можно задать нам по телефону +7 (495) 784 65 05 доб.1162 моб. +7911 9999 656 Татьяна или электронной почте tyankina@dtln.ru

More Related Content

152 ready

  • 2. заголовок DataLine — специализированный поставщик услуг ИТ-аутсорсинга на базе собственной сети ЦОД в Москве и один из ведущих провайдеров облачных сервисов в России. Сеть дата-центров уровня Tier III 3 703 стойки 38 200 кВА установленная мощность Сертификаты ISO/IEC 27001:2013, ISO 9001:2011, PCI DSS v. 3.1, ISAE 3402 Uptime Institute: Management and Operations Tier III Certified: Design Tier III Certified: Facility Лицензии ФСТЭК и ФСБ Лидер российского рынка коммерческих ЦОД (Cnews, IDC, iKS-Consulting, Современные телекоммуникации)
  • 3. ЧТО ТАКОЕ CLOUD-152 Cloud-152 – облачная инфраструктура, построенная в соответствии с новыми требованиями к защите персональных данных:  Community cloud для размещения персональных данных с уровнем защищенности #2 и #3  Private cloud для размещения данных с уровнем защищенности #1.
  • 4. Новые требования к защите данных и провайдерам ИТ-инфраструктуры
  • 5. КАК ОПРЕДЕЛЯЮТСЯ ТРЕБОВАНИЯ К ЗАЩИТЕ ДАННЫХ Персональные данные разделены на 4 категории – уровни защищенности. Для каждого уровня защищенности предписаны свои требования к организации защиты персональных данных. В свою очередь, эти требования варьируются в зависимости от типа угроз, актуальных для каждой отдельной информационной системы, а также от того, подключена ли система к Интернет .
  • 6. ФАКТОРЫ, ОПРЕДЕЛЯЮЩИЕ УРОВЕНЬ ЗАЩИЩЕННОСТИ ДАННЫХ Категория данных Субъекты Количество субъектов Тип актуальных угроз  Сотрудники  Контрагенты  Общедоступные  Специальные  Биометрические  Иные  < 100 000  > 100 000 3 категории угроз
  • 7. ТИПЫ АКТУАЛЬНЫХ УГРОЗ 1. Угрозы, обусловленные недекларируемыми (недокументированными) возможностями в системном ПО. 2. Угрозы, обусловленные недекларируемыми возможностями в прикладном ПО. 3. Угрозы, обусловленные иными факторами. Категория данных Субъекты Количество субъектов ТИПЫ УГРОЗ Определение типа угроз не регламентировано.
  • 8. УРОВНИ ЗАЩИЩЕННОСТИ Категория данных Сотрудники оператора Количество субъектов Тип актуальных угроз 1 2 3 (НДВ* ОС) (НДВ* ПО) (Без НДВ*) Специальные Нет > 100 000 УЗ-1 УЗ-1 УЗ-2 Нет < 100 000 УЗ-1 УЗ-2 УЗ-3 Да Биометрические УЗ-1 УЗ-2 УЗ-3 Иные Нет > 100 000 УЗ-1 УЗ-2 УЗ-3 Нет < 100 000 УЗ-2 УЗ-3 УЗ-4 Да Общедоступные Нет > 100 000 УЗ-2 УЗ-2 УЗ-4 Нет < 100 000 УЗ-2 УЗ-3 УЗ-4 Да * НДВ – недекларируемые возможности
  • 9. СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ УРОВЕНЬ ЗАЩИЩЕННОСТИ УЗ-1, УЗ- 2 УЗ-3 УЗ-4 ТИП УГРОЗ 3 1, 2, 3 2 3 3 ПОДКЛЮЧЕНИЕ К ИНТЕРНЕТ нет да - да нет - Средства вычислительной техники 5 класс* 6 класс Система обнаружения вторжений 4 класс 5 класс 5 класс Средства антивирусной защиты Межсетевой экран 4 класс 3 класс 4 класс Другие средства защиты информации Любые технические условия или задания по безопасности *Для каждой категории инструментов разработана отдельная классификация ФСТЭК
  • 10. МОДЕЛИ ИНФРАСТРУКТУРЫ & ТРЕБОВАНИЯ К ЗАЩИТЕ ДАННЫХ Межсетевое экранирование Защита виртуализации Защита каналов связи Физическая безопасность COLOCATION ОБЛАКО
  • 11. ТРЕБОВАНИЯ К ПРОВАЙДЕРУ  Лицензия ФСТЭК на деятельность по разработке и (или) производству средств защиты конфиденциальности информации  Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации.  Лицензия ФСБ на использование средств криптографии  Сертификаты ФСТЭК на используемые средства защиты информации  Договоры аренды покупки на используемые средства защиты
  • 13. ИНФРАСТРУКТУРА-152: ЧТО МЫ ПРЕДЛАГАЕМ  Платформу виртуализации размещение физического оборудования в соответствии со всеми требованиями ФЗ  Возможность интеграции ваших инструментов ИБ / оборудования в архитектуру нашего решения.  Сопровождение ИС*:  разработка модели угроз  подготовка документации  аттестация информационной системы *Сервис предоставляется совместно с партнерами.
  • 14. НАШИ СЕРТИФИКАТЫ И ЛИЦЕНЗИИ  Premier VSSP VMware  Microsoft GOLD Hosting Provider  Oracle Gold Partner  SAP for Business All-in-One in Application Management and Hosting Services  HP GOLD Partner  ISO/IEC 27001:2013  ISO 9001:2011  Uptime Institute Management and Operations  Uptime Institute Tier III Certified (Design)  PCI DSS v. 3.0  ISAE 3402  Лицензия ФСТЭК #0763: На деятельность по разработке и (или) производству средств защиты конфиденциальности информации  Лицензия ФСТЭК #1279: На деятельность по технической защите конфиденциальной информации.  Лицензия ФСБ #0011865 на оказание услуг с использованием средств криптографии
  • 15. ФИЗИЧЕСКАЯ БЕЗОПАСНОСТЬ  Многоуровневый контроль доступа  Круглосуточное видеонаблюдение с хранением видеозаписей в течение 3-х месяцев  Отдельные ограждения для стоек  Решения по СКУД на ограждение стойку, биометрия  Выделенные решения по видеонаблюдению (APC Netbotz, etc.)  Дополнительные датчики на открытие дверей стоек  Сейфовая стойка
  • 16. СЕТЕВАЯ БЕЗОПАСНОСТЬ  Сертифицированные ФСТЭК оборудование и ПО.  Сегментация сетей в облаке через VLAN и МЭ Check Point Security Gateway  Контроль взаимодействия с внешними сетями через систему обнаружения вторжений Check Point Security Gateway  Защита каналов связи средствами криптографии  Шифрование ГОСТ через виртуальный криптошлюз С-Терра  Шифрование на втором уровне с помощью протокола MacSec  Организация VPN с использованием кодирования AES, 3DES
  • 17. СЕТЕВАЯ БЕЗОПАСНОСТЬ CLOUD-152 Cloud core switch’s ESXi ESXi ESXi ESXi S-Terra Виртуальный Шлюз DataLine Admins Remote user sites Check Point Security Gateway’s (FW/IDS) DataCenter core switch’s Site-to-site VPN INTERNET
  • 18. CLOUD-152: ВАРИАНТЫ IAAS  Private cloud для размещения персональных данных с уровнем защищенности #1  Community cloud для размещения персональных данных с уровнями защищенности #2*, #3 и #4 Стандартное решение предполагает отказоустойчивую архитектуру на базе дата-центра NORD-4. Также может быть организовано катастрофоустойчивое облако-152 на базе локаций ЦОД NORD и OST. *2-ой уровень защищенности в Community Cloud обеспечивается только для 3 типа актуальных угроз.
  • 19. PRIVATE CLOUD-152 ДЛЯ ДАННЫХ С УЗ-1 Для информационных систем, обрабатывающих персональные данные с уровнем защищенности #1 разрабатывается индивидуальный проект на выделенном физическом оборудовании. Такое решение также может быть отказоустойчивым или катастрофоустойчивым.
  • 21. COMMUNTY CLOUD: СРЕДСТВА ЗАЩИТЫ Все средства защиты, используемые в архитектуре Cloud-152, сертифицированы ФСТЭК*:  vGate R2 (средство защиты виртуализации)  CheckPoint IDS (система обнаружения вторжений)  CheckPoint FW (межсетевой экран)  Wallix (прокси-сервер с записью сессий)  Kaspersky (антивирусная защита)  С-Терра (VPN шлюз)  SecretNet и ПАК Соболь (защита от несанкционированного доступа) * Реестр средств защиты, сертифицированных ФСТЭК.
  • 22. ИНФРАСТРУКТУРА-152: АЛГОРИТМ Модель угроз Миграция в Cloud-152 Пакет документов (ОРД***) Аттестация системы**** Подача документов в Роскомнадзор Технический проект** Аудит системы* * Для текущих проектов действующих систем. Развертывание ИС с нуля начинается с разработки модели угроз. ** Технический проект включает в себя список средств защиты в соответствии с уровнем защищенности используемых персональных данных и типом угроз, актуальным для данной системы. *** Комплект документов включает : модель угроз, технический проект, организационная документация, письмо в Роскомнадзор **** В рамках аттестации проверяется соответствие системы модели угроз и техническому проекту
  • 23. максимальный допустимый простой сервиса в месяц* ≥ 1700 0,37ч. максимальный допустимый простой сервиса в месяц* 0,15ч. MIPS / 1 vCPU 250 IOPS/ 500 GB HDD IOPS время доступа к диску на ВМ≤20мс 99,982% доступность ЦОД и сетевой инфраструктуры 10 минут время реакции на запрос 99,98% доступность сервиса для данных с УЗ-3 99,95% доступность сервиса для данных с УЗ-2 SLA: КЛЮЧЕВЫЕ ПАРАМЕТРЫ * С учетом технологических простоев (на обслуживание инфраструктуры)
  • 24. SLA для данных с УЗ-2: почему 99,95% Снижение гарантированной доступности сервиса обусловлено запретом на удаленный доступ к хосту при организации защиты персональных данных с уровнем защищенности #2. Для ИС с этой категорией данных возможна только ручная перезагрузка серверов.
  • 25. $11 $3,23 $6,44 $0,12 $0,26$0,51 HDD SATA, за 1 Гб HDD SAS, за 1 Гб SSD, за 1 Гб RAM, за 1 Гб CPU, за 1 Ггц Средства защиты, за vCPU СКОЛЬКО ЭТО СТОИТ
  • 26. ИНТЕРЕСНО, НО ОСТАЛИСЬ ВОПРОСЫ? Любые дополнительные вопросы по вариантам организации размещения персональных данных можно задать нам по телефону +7 (495) 784 65 05 доб.1162 моб. +7911 9999 656 Татьяна или электронной почте tyankina@dtln.ru