Показано с 1 по 3 из 3

Тема: vmware ФЗ 152

  1. #1
    Почетный гость Аватар для apache
    Регистрация
    11.05.2018
    Сообщений
    43
    Статистика
    Баллы
    99
    Level
    3
    Активность
    Проблем
    0
    Проблем решено
    0
    Лучших ответов
    0
    Хороших ответов
    0
    Вес репутации
    0

    Question vmware ФЗ 152

    Приветствую! Коллеги можете разжевать - нужно ли как то защищать гипервизоры, в частности vmware, в случае если поднята виртуальная инфраструктура и там обрабатываются персональные данные?

  2. #2
    Супер модератор Аватар для Surf_rider
    Регистрация
    11.05.2018
    Город
    GreenCity
    Сообщений
    535
    Записей в дневнике
    2
    Статистика
    Баллы
    694
    Level
    9
    Активность
    Проблем
    0
    Проблем решено
    1
    Лучших ответов
    0
    Хороших ответов
    0
    Вес репутации
    1
    vGate вам в помощь


    Защита персональных данных, обрабатываемых в виртуальной инфраструктуре VMware vSphere, с помощью vGate R2.
    Продолжаем вам рассказывать о средстве номер 1 для обеспечения информационной безопасности VMware vSphere - vGate R2 от Кода Безопасности. Напомним, что это средство позволяет автоматически настраивать компоненты vSphere в соответствии с регламентами и стандартами, а также обеспечивать защиту от несанкционированного доступа.

    Сегодня мы поговорим о защите персональных данных (ПДн), которая является головной болью специалистов службы ИБ предприятия (ФЗ 152). Как многие из вас знают, при автоматизированной обработке ПДн защищенность информационной системы при использовании технологий виртуализации должна соответствовать требованиям российского законодательства.

    В этой сфере есть несколько законов, постановлений и руководящих документов, которые актуальны на сегодняшний день:
    Вложение 41

    Все эти документы не делают различия между физической и виртуальной средой. При этом в виртуальной инфраструктуре vSphere есть очень много новых рисков ИБ, о которых может не знать важа служба ИБ предприятия. Кроме того, в этих документах требования, зачастую, весьма неконкретны, поэтому непонятно, как их вообще выполнять, учитывая неоднозначность толкования.

    Например: согласно документу ФСТЭК нужно регистрировать вход-выход пользователей из системы, которая имеет доступ к ПДн. Очевидно, что это может быть виртуальная машина с этой системой. Но к ПДн имеет доступ также гипервизор хост-сервера (в том числе к выключенным машинам) - и значит операции по работе с ним (например, вход в консоль ESX / ESXi) также надо правильно регистрировать.

    Еще пример: требования к очистке (обнулению, обезличиванию) освобождаемых областей оперативной памяти информационной системы и внешних накопителей в условиях виртуальной среды также должны быть дополнены такими операциями, как очистка освобождаемых областей оперативной памяти после завершения работы ВМ и дисков виртуальных машин при их удалении.

    Наиболее жесткие требования к обеспечению защиты персональных данных предъявляются к информационным системам персональных данных (ИСПДн) класса К1, для которых процедура оценки соответствия является обязательной, а использу-
    емые технические средства защиты информации должны иметь сертификат ФСТЭК по уровню не ниже НДВ 4.

    К таким организациям относятся медицинские учреждения (данные о состоянии здоровья - категория 1), а также финансовые и телекоммуникационные компании. Российское законодательство любые организации, осуществляющие обработку персональных
    данных, признает оператором персональных данных.

    А теперь подумайте, как вручную настроить конфигурацию виртуальной инфраструктуры vSphere, чтобы она соответствовала всем руководящим документам? Ведь сама vSphere имеет сертификат ФСТЭК только для версии vSphere 4.0 Update 1 и у нее нет сертификата по НДВ, что автоматически делает ее средства обеспечения ИБ неприемлемыми для ПДн категории К1 (то есть всех медучреждений, где в ВМ хранятся данные о пациентах). И даже если вы сами сможете настроить все правильно, то представляете каковы будут эксплуатационные затраты на настройку при развертывании новых систем или изменении старых. А помимо общих документов, есть еще и специфические отраслевые стандарты вроде СТО БР ИСПДн (Банк России) и прочие.

    Соответственно вам нужно автоматизированное средство vGate R2, у которого есть все необходимые бумаги и сертификаты. Например, в vGate R2 есть политики для настройки инфраструктуры vSphere по российским РД и стандартам (СТО БР ИСПДн, АС разных классов, шаблон политик под ФЗ 152 и др).

  3. #3
    Участник Аватар для CheBuRek
    Регистрация
    11.05.2018
    Город
    Астана
    Сообщений
    152
    Записей в дневнике
    1
    Статистика
    Баллы
    291
    Level
    6
    Активность
    Проблем
    1
    Проблем решено
    0
    Лучших ответов
    0
    Хороших ответов
    1
    Вес репутации
    1
    Цитата Сообщение от Indeets Посмотреть сообщение
    Приветствую! Коллеги можете разжевать - нужно ли как то защищать гипервизоры, в частности vmware, в случае если поднята виртуальная инфраструктура и там обрабатываются персональные данные?
    Обзор нарыл

Метки этой темы

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •