Pull to refresh
7
0
Евгений Дружинин @drevg

User

Send message
На данный момент, да. К тому же, коммерческим организациям нет необходимости выполнять аттестацию ИСПДн.
А Вам спасибо за поддержку )! По пунктам:
1. ФСТЭК уже «задумалась» о создании таких требований, так что ждем… На текущий момент основным требованием является необходимость использования сертифицированных средств защиты (152-ФЗ, ст.19, п.2.3), на него мы и ориентируемся.
2. В посте как раз говорится, что аттестовать ИСПДн в публичном облаке не представляется возможным. В нашем публичном облаке мы предлагаем заказчикам сервисы безопасности на базе сертифицированных средств защиты.
По ряду данных, готовятся требования по защите облачных технологий.
Вы правы в части того, что прежде всего необходимо думать об архитектуре защиты. Элементы архитектуры в посте приводятся:
1) механизмы разграничения ресурсов и прав доступа самой облачной платформы;
2) средства периметровой защиты облака;
3) средства защиты, предлагаемые клиентам облака в виде ИБ-сервисов;
4) средства защиты, разворачиваемые на виртуальных машинах внутри облака.
Кроме того, любая, даже сверхзащищённая система не подойдёт для бизнеса (в части обработки и защиты персональных данных), если ее механизмы защиты не будут сертифицированы. То есть толку от неё не будет, пока не будет бумаг, подтверждающих для контролирующих органов, что она реально работает. Это требование регуляторов.
Здесь сделана попытка заложиться под самый <тяжелый> с точки зрения регуляторов вариант.
На мой взгляд, на сегодняшний день разумно строить ИСПДн на основе гипервизоров, чьи механизмы безопасности сертифицированы ФСТЭК, дальше делайте выводы сами.
В моделях угроз администратора ИБ, как правило, исключают из перечня нарушителей. Обоснованием исключения является реализация комплекса организационных мер, например, повышенный контроль при приеме на работу, формулирование обязанностей в трудовом договоре, установление достойной заработной платы ;-).
Это результат выжимки из практических наработок, одна из таблиц, которые начали составляться давно и постоянно доводятся. По охвату полнота есть, но, разумеется, каждую угрозу можно раскладывать на составные части очень и очень долго. На мой взгляд, основное, что нужно при разработке модели угроз ИСПДн при использовании виртуализации, здесь изложено. Буду рад, если предложите рассмотреть какие-то дополнительные угрозы и способы защиты от них. Потом совместно сможем взять это на вооружение.
В тексте по каждой угрозе приведены возможные орг. и тех. меры защиты. Что именно нужно уточнить?

Information

Rating
Does not participate
Works in
Registered
Activity