Реализация мер физической безопасности на стороне Selectel
Перечень мер физической безопасности, которые необходимо выполнить при размещении инфраструктуры в А-ЦОД, определяется Приказом ФСТЭК России от 11 февраля 2013 г. № 17 и Приказом ФСТЭК России от 18 февраля 2013 г. № 21.
Зоны ответственности
Selectel
Selectel реализует часть мер физической безопасности, которые находятся в его зоне ответственности, в соответствии с Приложением 2 к Условиям использования.
| Содержание меры по обеспечению безопасности информации | Реализовано в Selectel | |
|---|---|---|
| УПД.4 (с усилением) | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | Разделили роли администраторов информационной безопасности и сотрудников, обеспечивающих функционирование и описали их во внутренней документации компании |
| УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирован�ие информационной системы | Назначили минимально необходимые права и привилегии в соответствии с должностными обязанностями и описали должностные обязанности и роли во внутренней документации компании |
| РСБ.1 (с усилением) | Определение событий безопасности, подлежащих регистрации, и сроков их хранения | Во внутренней документации компании определили регистрируемые события физической безопасности и сроки их хранения |
| РСБ.2 (с усилением) | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | Во внутренней документации компании определили состав и содержание информации о регистрируемых событиях физической безопасности |
| РСБ.3 (с усилением) | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | Собираем, записываем и храним информацию о событиях физической безопасности в течение установленного времени.
|
| РСБ.5 (с усилением) | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них | Рассматриваем и анализируем результаты регистрации событий физической безопасности и реагирование на них.
|
| РСБ.7 (с усилением) | Защита информации о событиях безопасности | Защищаем информацию о событиях физической безопасности:
|
| ОДТ.1 | Использование отказоустойчивых технических средств | Используем отказоустойчивые технические средства в инфраструктуре дата-центра:
|
| ОДТ.2 | Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы | Применяем резервные технические средства, каналы передачи информации и средства обеспечения функционирования.
Вся инфраструктура дата-центра зарезервирована.
|
| ОДТ.3 (с усилением) | Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование | Контролируем безотказное функционирование инфраструктуры дата-центра:
|
| ОДТ.7 | Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации | Обеспечиваем контроль состояния и качество предоставления ресурсов, которые размещаются на ресурсах инженерной инфраструктуры |
| ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования | Организовали контролируемую зону с постоянным размещением компонентов инженерной инфраструктуры |
| ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены | Контролируем физический доступ к компонентам инфраструктуры и техническим средствам, размещающимся на ее базе:
|
| ЗТС.5 | Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) | Располагаем А-ЦОД в дата-центрах, которые соответствуют требованиям Tier III. В них обеспечивается:
|
| ИНЦ.1 | Определение лиц, ответственных за выявление инцидентов и реагирование на них | Определили список ответственных за выявление инцидентов физической безопасности и реагирование на них |
| ИНЦ.2 | Обнаружение, идентификация и регистрация инцидентов | Находим, идентифицируем и регистрируем инциденты физической безопасности |
| ИНЦ.3 | Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами | Сотрудники, которые участвуют в предоставлении и эксплуатации услуги, своеврем�енно сообщают ответственным об инцидентах физической безопасности |
| ИНЦ.4 | Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий | В случае инцидента физической безопасности анализируем источники и причины возникновения, оцениваем последствия |
| ИНЦ.5 | Принятие мер по устранению последствий инцидентов | В случае инцидента физической безопасности принимаем меры по устранению последствий |
| ИНЦ.6 | Планирование и принятие мер по предотвращению повторного возникновения инцидентов | В случае инцидента физической безопасности планируем и принимаем меры, чтобы предотвратить повторное возникновение |
| УКФ.1 | Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты информации | Определили список сотрудников, которые могут вносить изменения в инженерную инфраструктуру |
| УКФ.2 | Управление изменениями конфигурации информационной системы и системы защиты информации | Описали процесс управления изменениями конфигурации во внутренней документации компании |
| УКФ.3 | Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты информации на обеспечение защиты информации и согласование изменений в конфигурации информационной системы с должностным лицом, ответственным за обеспечение безопасности информации | Анализируем потенциальное воздействие планируемых изменений на обеспечение защиты информации и согласуем изменения с сотрудником, ответственным за обеспечение безопасности |
| УКФ.4 | Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты информации | Документируем информацию об изменениях в инженерной инфраструктуре в соответствии с внутренними документами компании |
Пользователь
Использование услуги Аттестованный сегмент ЦОД Selectel позволит выполнить часть мер безопасности в зоне ответственности клиента.
| Содержание меры по обеспечению безопасности информации | Реализация в зоне ответственности клиента | |
|---|---|---|
| УПД.3 | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами | Предоставляем услугу с условием подключения сервера через выделенный межсетевой экран. Применение межсетевого экрана позволяет пользователю выполнить требование по управлению информационными потоками |
| ЗИС.17 | Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы | Предоставляем услугу с условием подключения сервера через выделенный межсетевой экран. Применение межсетевого экрана позволяет пользователю выполнить требование по �разбиению информационной системы на сегменты и обеспечить защиту периметра сегмента |
| ЗНИ.1 | Учет машинных носителей информации | Ведем учет дисков, используемых в выделенных серверах, арендуемых клиентом |
| ЗНИ.2 | Управление доступом к машинным носителям информации | Управляем доступом к помещениям, в которых размещаются технические средства, включая машинные носители информации:
|
| ЗНИ.8 | Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) | Уничтожаем информацию на машинных носителях:
|