СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Блоги
Б-152
4 февраля
#Статьи #ИБ#Инфра

Чек-лист проверки ЦОД и его сервисов

Чек-лист проверки ЦОД и его сервисов

Изображение: recraft

Практический список действий и вопросов для оценки соответствия провайдера и его сервисов требованиям по защите информации. Формулировки и критерии уточнены с учетом комментариев эксперта.

1) Быстрая проверка публичной информации

  • На сайте провайдера прямо указано, что предоставляемые ресурсы защищены и соответствуют требованиям законодательства.
  • Размещена информация о прохождении аттестации и уровне/классе/категории защиты (если аттестация проводилась).
  • Есть возможность запросить подтверждающие документы (например, аттестат соответствия).

Что зафиксировать: срок действия аттестата соответствия, присланные подтверждающие документы от провайдера, а также в соответствии с каким уровнем защищенности/категорией значимости/классом защиты выдан аттестат.

2) Запрос документации у провайдера

  • Отправлен официальный запрос с просьбой подтвердить соответствие НПА и предоставить документацию (например, аттестат соответствия).
  • Уточнен порядок обмена документами: провайдер предоставляет ответы только после заключения NDA или готов делиться базовой информацией без NDA.
  • Получены ответы и приложены документы/письма в досье по провайдеру.

Пример запроса:

Мы в поиске подходящего провайдера услуг для размещения нашей инфраструктуры в ЦОД по требованиям [указать номера НПА]. Подскажите, есть ли такая услуга?
Просим предоставить таблицу распределения зон ответственности в части защиты информации (Приказ ФСТЭК № …) и соответствующее подтверждение выполнения требований защиты (Приказ ФСТЭК № …), в частности аттестат соответствия.

3) Проверка соответствия предоставляемых сервисов (SaaS)

  • Запрошено письменное подтверждение, что сервисы защищены и проходили проверку на соответствие требованиям регуляторов.
  • Получены материалы/отчеты/письма провайдера о результатах таких проверок.
  • Зафиксировано, требуется ли NDA для предоставления указанных материалов.

Что зафиксировать: список сервисов, уровень защищенности/категория значимости/класс защиты по каждому сервису, срок действия документов провайдера.

4) Анализ договора на услуги ЦОД

В договоре должно быть прозрачно описано, кто и за что отвечает.

  • Определена ответственность каждой из сторон.
  • Описано разделение зон ответственности в зависимости от типа аренды.
  • Ясно сформулировано, что провайдер вправе делать в отношении арендуемой оператором вычислительной мощности, а что нет.

Что зафиксировать: пункты договора, страницы и разделы, по которым приняты решения.

5) Услуги по защите информации и СЗИ

  • Выяснено, какие услуги по защите информации предоставляет ЦОД и на каких условиях.
  • Не ожидать «по умолчанию» сертифицированные или прошедшие процедуру соответствия СЗИ от ЦОД: такие средства можно брать в аренду, но базовая защита инфраструктуры остается на стороне оператора.
  • Если услуги провайдера аттестованы, оценить возможность их использования для аттестации отдельных сегментов инфраструктуры.

Что зафиксировать: перечень доступных услуг/СЗИ, условия аренды, статус и срок действия аттестации услуг провайдера.

6) Итоги проверки и действия оператора

  • Сформирован пакет подтверждений (аттестаты, письма, выдержки из договора, таблицы распределения зон ответственности).
  • Принято решение: провайдер соответствует / условно соответствует / не подтверждено соответствие (указать по каким сервисам).
  • Определены дополнительные меры оператора, если подтверждения недостаточны (например, запросить недостающие документы, уточнить зоны ответственности, скорректировать условия договора, предусмотреть аренду СЗИ).

Памятка фиксации результатов

Рекомендуется фиксировать следующие данные:

  • срок действия аттестата соответствия;
  • тип аренды;
  • распределение зон ответственности;
  • ссылки на источники (страницы сайта провайдера, письма, приложения к договору);
  • статус по каждому сервису: «подтверждено документами» / «подтверждено письмом» / «ожидаем ответ (NDA)».

Красные флаги (для внутренней отметки)

  • На сайте нет упоминаний о соответствии/аттестации, и провайдер не готов предоставить подтверждения.
  • В договоре разделение зон ответственности размыто или отсутствует.
  • Ожидания «ЦОД все защитит сам» без подтвержденных услуг/СЗИ и без участия оператора в защите инфраструктуры.

Приложение: чек-лист для звонка/встречи (короткая форма)

  1. Есть ли у вас действующий аттестат соответствия? Какой уровень/класс/категория определен?
  2. Можно получить подтверждающие документы (например, аттестат соответствия)?
  3. Ваши SaaS-сервисы проходили проверку на соответствие? Есть письма/отчеты?
  4. Как у вас устроено NDA для обмена документами?
  5. Как в договоре описаны зоны ответственности и ваши права в части арендуемой мощности?

Какие услуги по защите информации доступны? Есть ли аттестованные сервисы, которые можно использовать при нашей аттестации?

Б-152
Автор: Б-152
Б-152 — консалтинговая компания. Более 14 лет помогаем бизнесу соответствовать требованиям в сфере персональных данных и информационной безопасности. Мы работаем в области privacy, входим в рабочую группу Роскомнадзора, разрабатываем собственные продукты и сопровождаем клиентов на всех этапах — от аудита до прохождения проверок. Б-152 — команда, которая говорит с ИБ на одном языке. Мы поможем не только формально соблюсти 152-ФЗ, но и выстроить настоящую защиту данных: модели угроз, ТЗ на СЗИ, аудит и тестирование.
Комментарии: