# vmware ФЗ 152



## apache (14.05.2018)

Приветствую! Коллеги можете разжевать - нужно ли как то защищать гипервизоры, в частности vmware, в случае если поднята виртуальная инфраструктура и там обрабатываются персональные данные?


----------



## Surf_rider (14.05.2018)

vGate вам в помощь https://www.securitycode.ru/products/vgate/




> Защита персональных данных, обрабатываемых в виртуальной инфраструктуре VMware vSphere, с помощью vGate R2.


Продолжаем вам рассказывать о средстве номер 1 для обеспечения информационной безопасности VMware vSphere - vGate R2 от Кода Безопасности. Напомним, что это средство позволяет автоматически настраивать компоненты vSphere в соответствии с регламентами и стандартами, а также обеспечивать защиту от несанкционированного доступа.

Сегодня мы поговорим о защите персональных данных (ПДн), которая является головной болью специалистов службы ИБ предприятия (ФЗ 152). Как многие из вас знают, при автоматизированной обработке ПДн защищенность информационной системы при использовании технологий виртуализации должна соответствовать требованиям российского законодательства.

В этой сфере есть несколько законов, постановлений и руководящих документов, которые актуальны на сегодняшний день:



Все эти документы не делают различия между физической и виртуальной средой. При этом в виртуальной инфраструктуре vSphere есть очень много новых рисков ИБ, о которых может не знать важа служба ИБ предприятия. Кроме того, в этих документах требования, зачастую, весьма неконкретны, поэтому непонятно, как их вообще выполнять, учитывая неоднозначность толкования.

Например: согласно документу ФСТЭК нужно регистрировать вход-выход пользователей из системы, которая имеет доступ к ПДн. Очевидно, что это может быть виртуальная машина с этой системой. Но к ПДн имеет доступ также гипервизор хост-сервера (в том числе к выключенным машинам) - и значит операции по работе с ним (например, вход в консоль ESX / ESXi) также надо правильно регистрировать.

Еще пример: требования к очистке (обнулению, обезличиванию) освобождаемых областей оперативной памяти информационной системы и внешних накопителей в условиях виртуальной среды также должны быть дополнены такими операциями, как очистка освобождаемых областей оперативной памяти после завершения работы ВМ и дисков виртуальных машин при их удалении.

Наиболее жесткие требования к обеспечению защиты персональных данных предъявляются к информационным системам персональных данных (ИСПДн) класса К1, для которых процедура оценки соответствия является обязательной, а использу-
емые технические средства защиты информации должны иметь сертификат ФСТЭК по уровню не ниже НДВ 4.

К таким организациям относятся медицинские учреждения (данные о состоянии здоровья - категория 1), а также финансовые и телекоммуникационные компании. Российское законодательство любые организации, осуществляющие обработку персональных
данных, признает оператором персональных данных.

А теперь подумайте, как вручную настроить конфигурацию виртуальной инфраструктуры vSphere, чтобы она соответствовала всем руководящим документам? Ведь сама vSphere имеет сертификат ФСТЭК только для версии vSphere 4.0 Update 1 и у нее нет сертификата по НДВ, что автоматически делает ее средства обеспечения ИБ неприемлемыми для ПДн категории К1 (то есть всех медучреждений, где в ВМ хранятся данные о пациентах). И даже если вы сами сможете настроить все правильно, то представляете каковы будут эксплуатационные затраты на настройку при развертывании новых систем или изменении старых. А помимо общих документов, есть еще и специфические отраслевые стандарты вроде СТО БР ИСПДн (Банк России) и прочие.

Соответственно вам нужно автоматизированное средство vGate R2, у которого есть все необходимые бумаги и сертификаты. Например, в vGate R2 есть политики для настройки инфраструктуры vSphere по российским РД и стандартам (СТО БР ИСПДн, АС разных классов, шаблон политик под ФЗ 152 и др).
http://www.vmgu.ru/news/vgate-r2-securing-personal-data


----------



## CheBuRek (14.05.2018)

Indeets сказал(а):


> Приветствую! Коллеги можете разжевать - нужно ли как то защищать гипервизоры, в частности vmware, в случае если поднята виртуальная инфраструктура и там обрабатываются персональные данные?


Обзор нарыл


----------

