Защита среды виртуализации в рамках персональных данных

Kaspersky Security для виртуальных сред - защита виртуальных рабочих станций, серверов и виртуальных сетей.  Я даю компании ЗАО «Лаборатория Касперского» прямое согласие на сбор и обработку моих личных данных, введенных мной в эту

Мария Сидорова, заместитель руководителя направления «Защита виртуальных инфраструктур» компании «Код Безопасности»
О СТО БР ИББС
Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) — комплекс документов Банка России, описывающий единый подход к построению системы обеспечения информационной безопасности организаций банковской сферы с учётом международных требований и российского законодательства. В данный момент для любой компании одной из наиболее важных задач в области информационной безопасности и нормативного соответствия является обеспечение защиты персональных данных в соответствии с Федеральным Законом №152 «О персональных данных», требования которого необходимо выполнить, начиная уже с 1 июля 2011 года. СТО БР ИББС включает в себя адаптированные для организаций банковской сферы требования этого закона. Внедрение стандартов Банка России позволит существенно облегчить выполнение требований нормативных документов в области защиты персональных данных. СТО БР ИББС рекомендован Банком России для применения во всех кредитно-финансовых организациях, осуществляющих свою деятельность на территории Российской Федерации. На текущий момент Банк России не наделен законодательным правом нормативного регулирования, однако, выдвигая высокоуровневые и гибкие требования, стандарт позволяет создавать и внедрять решения, учитывающие специфику бизнес-процессов банка и его информационной инфраструктуры.
С появлением СТО БР ИББС кредитно-финансовые организации встали перед выбором: принять стандарт СТО БР ИББС в полном объеме и приступить к обеспечению информационной безопасности при поддержке основного регулятора – Банка России, либо не принимать его и работать со ФСТЭК, ФСБ и Роскомнадзором на общих основаниях. Очевидно одно: проводить работу по приведению в соответствие стандарту СТО БР ИББС нужно. С одной стороны, это бесспорно повысит уровень обеспечения безопасности организации, так как стандарт основан, в том числе, и на положениях международных стандартов, таких как ISO 27001. С другой стороны, через какое-то время, когда будет превышен определенный порог соответствующих стандарту организаций банковского сектора, данный стандарт с высокой долей вероятности станет обязательным для всех. Отдельно следует отметить, что все процедуры по принятию стандарта СТО БР ИББС, в частности, приведение информационных систем организации, а также дальнейшая проверка соответствия системы требованиям стандарта, должны проводиться организацией самостоятельно либо с привлечением внешних консультантов.

защите персональных данных при использовании технологий виртуализации"  по защите, указанные в 11 разделе "Защита среды виртуализации (ЗСВ)" таблицы из  который выходит за рамки данной публикации, ознакомится с подробной

Защита персональных данных в контексте виртуализации
С каждым годом технологии виртуализации получают все большее распространение среди организаций банковской сферы. Использование виртуализации позволяет банкам получать ряд бесспорных преимуществ, среди которых эффективное использование ресурсов и, как следствие, снижение затрат на эксплуатацию инфраструктуры. С большим сожалением приходится констатировать, что большинство проектов по виртуализации до сих пор осуществляются без привлечения специалистов по информационной безопасности. В то время как эти технологии несут с собой не только выгоды, но и ряд дополнительных рисков, связанных, в первую очередь, с защитой информации в виртуальной среде.
На сегодняшний день, требования СТО БР ИББС не делают различий между физической и виртуальной средой обработки. Тем не менее, обработка данных в виртуальной среде имеет свои особенности, которые должны быть учтены при выполнении требований. Выполнение требований СТО БР ИББС по приведению в соответствие положениям по защите персональных данных при использовании технологий виртуализации имеет следующие особенности:
- выполнить некоторые требования в условиях виртуальной среды не всегда просто и возможно;
- к защищаемым информационным ресурсам также следует отнести все основные объекты виртуальной инфраструктуры;
- обязательным является составление частной модели угроз, где нужно отразить новые специфичные угрозы безопасности.
Рассмотрим каждую из обозначенных особенностей. Согласно одному из пунктов СТО БР ИББС должна осуществляться «очистка носителей информации и «освобождаемых областей памяти на носителях, ранее использованных для хранения персональных данных». Учитывая архитектуру виртуальной среды, данное требование должно выполняться для систем хранения данных и освобождаемых областей памяти в случае удаления виртуальной машины, на которой обрабатывались персональные данные. Возникает вопрос - какие именно области памяти и какое хранилище должны быть очищены при удалении виртуальной машины? Ответ на этот вопрос пока остается открытым, ведь виртуальная машина может в любой момент переместиться посредством таких технологий как vMotion или Fault Tolerance на другой сервер виртуализации или ее файлы могут быть перемещены в другое хранилище.

Мария Сидорова. СТО БР ИББС: защита персональных данных при  - защиту от утечек через специфические каналы среды виртуализации  Ответственность за информацию и оценки, высказанные в рамках интервью, лежит на интервьюируемых.23 июня 2011

Согласно действующему стандарту все информационные системы персональных данных (ИСПДн) кредитно-финансовых организаций относятся к специальным системам. Классификация таких систем осуществляется на основании модели угроз персональных данных. При этом может использоваться модель угроз, приведенная в отраслевом документе БР ИББС 2.4-2010, или может разрабатываться частная модель угроз. При переносе ИСПДн в виртуальную среду появляются новые угрозы безопасности. Поэтому составление частной модели угроз можно считать обязательным и новые угрозы безопасности должны быть в ней учтены. К примеру, гипервизор (составная часть сервера виртуализации) и средства управления виртуальной инфраструктурой — потенциальные каналы утечки, посредством которых нарушитель может получить доступ к обрабатываемым на виртуальных машинах данным. С помощью гипервизора или средств управления виртуальной инфраструктурой злоумышленник может перехватить потоки данных, идущие с виртуальных машин на устройства (HDD, USB и т.п.) или получить непосредственный доступ к дискам хранилища с файлами виртуальных машин, даже при использовании традиционных средств защиты информации. Злоумышленнику доступны диски хранилищ даже тогда, когда виртуальные машины выключены или не работают. Администраторы виртуальной инфраструктуры, обладающие широкими полномочиями по манипуляции с виртуальными машинами и их файлами (клонирование виртуальных машин, получение доступа к хранилищу виртуальных машин, просмотр и копирование файлов виртуальных машин и т. д.), являются по сути «суперпользователями», проконтролировать действия которых зачастую сложно или практически невозможно. А ведь системные администраторы, как и остальные сотрудники, не застрахованы от простых человеческих ошибок. Поэтому в виртуальной среде обработки к «защищаемым информационным ресурсам», помимо традиционных ресурсов, также следует отнести все основные объекты виртуальной инфраструктуры: виртуальные машины, хранилища файлов виртуальных машин, сервера виртуализации и средства управления виртуальной инфраструктурой.
Какие средства защиты информации использовать банкам?
При выборе средств защиты для виртуальной инфраструктуры организация может применять уже используемые средства защиты, либо создавать комплекс из традиционных средств защиты и решений, которые могут обеспечить защиту от новых специфичных угроз среды виртуализации. К сожалению, традиционные средства защиты информации не позволяют обеспечить полноценную защиту от новых специфичных угроз, присущих виртуальной среде. Поэтому вариант использования специальных средств защиты является наиболее правильным. Кроме того, следует отметить, что согласно пункту 6.3.2 РС БР ИББС-2.3-2010 «выполнение функций обеспечения безопасности персональных данных в ИСПДн должно обеспечиваться средствами защиты информации, прошедшими в установленным порядке процедуру оценки соответствия». Поскольку одной из стандартных и наиболее эффективных процедур оценки соответствия средств защиты информации является их сертификация, то все применяемые в организациях банковской сферы средства защиты информации персональных данных должны быть сертифицированы. Таким образом, в условиях виртуальной среды необходимы новые сертифицированные средства защиты информации, обеспечивающие прозрачное выполнение текущих требований отраслевых документов и защиту от новых специфичных угроз, присущих виртуальной среде.
Одним из таких средств защиты является решение vGate, разработки компании «Код Безопасности». Представляя собой средство защиты информации от несанкционированного доступа, vGate позволяет обеспечить:
- защиту от утечек через специфические каналы среды виртуализации;
- разделение объектов инфраструктуры на логические группы и сферы администрирования через мандатное и ролевое управление доступом;
- усиленную аутентификацию, разделение ролей и делегирование полномочий;
- управление и контроль над конфигурацией системы безопасности;
- автоматическое приведение инфраструктуры в соответствие требованиям (продукт содержит набор встроенных шаблонов по требованиям РС БР ИББС 2.3-2010) и постоянный контроль соответствия.
Как показывает статистика, аналитики, снабжающие рекомендациями международные хедж-фонды, чаще всего начинали карьеру в крупных инвестиционных банках, пишет Джулия Ля Рош в статье, которую публикует Business Insider. Список главных поставщиков дарований в сфере рыночной аналитики возглавляет Goldman Sachs. Российская компания «Тройка Диалог», которая в январе 2012 года вошла в состав Сбербанка и стала называться Sberbank CIB, занимает в этой табели о рангах скромное, но далеко не последнее место. 21.12.2015
480

В рамках Соглашения Оператор: 2.1.1. соблюдает принципы и правила обработки персональных данных в соответствии с положениями Федерального закона от 27.07.2006  3.5. Оператор обязан обеспечить меры по защите среды виртуализации.


Мифы о защите персональных данных в облаке. Среда, 18 Февраля 2015 г. 09:58  Это предполагает фиксацию используемого оборудования в рамках конкретного  виртуализованной сетью передачи данных, платформы виртуализации системы

Я работаю с защитой персональных данных, у меня и коллег  Системное администрирование, Блог компании КРОК. Защита данных в виртуальной среде — это «дивный новый мир», означающий серьёзное изменение


Срок исполнения документа может продлить

Сроки исполнения документов могут быть типовыми или индивидуальными.  с продленным сроком исполнения. не исполненные в срок.

Изменить срок исполнения документа может только руководитель, установивший его ранее.  Стоит заметить, что они стоят здесь до тех пор, пока не будет указан новый, продленный срок исполнения.

Подробнее...

Выберите стороны коллективного трудового спора

Из своего состава комиссия выбирает открытым голосованием председателя и секретаря, но они должны быть от разных  При согласии сторон коллективного трудового спора о рассмотрении коллективного трудового спора в трудовом

Из этого определения коллективного трудового спора в юридической литературе выделяют два его признака: коллективный характер и особый предмет разногласий. Коллективный характер проявляется в том, что одной из сторон спора выступают

Подробнее...

Иск о признании права собственности статья

Главная Образцы исковых заявлений возникающих в спорах между супругами Иск о признании права общей совместной собственности на жилой дом.  Или за статьями законов, написанными иными правоведами.29 ноября 2015

Эта статья о том, в каких случаях можно защитить нарушенные права с помощью иска о признании права собственности и иска о признании зарегистрированного права отсутствующим.

Подробнее...

Устав организации договора о коллективной безопасности

Общие сведения об Организации Договора о коллективной безопасности. года в Ташкенте  подписаны основополагающие документы, регламентирующие деятельность организации – Устав ОДКБ и Соглашение о правовом статусе ОДКБ.

1.2. Структура Организации Договора о коллективной безопасности 1.3. Современное положение.  2. ООН устав, цели, принципы, членство 3. Система органов ООН. 4. Региональные международные организации Содружество

Подробнее...