Перейти к основному содержимому
Реализация мер физической безопасности на стороне Selectel

Реализация мер физической безопасности на стороне Selectel

Перечень мер физической безопасности, которые необходимо выполнить при размещении инфраструктуры в А-ЦОД, определяется Приказом ФСТЭК России от 11 февраля 2013 г. № 17 и Приказом ФСТЭК России от 18 февраля 2013 г. № 21.

Selectel реализует часть мер физической безопасности, которые находятся в его зоне ответственности, в соответствии с Приложением 2 к Условиям использования.

Содержание меры по обеспечению безопасности персональных данныхРеализовано в Selectel
ЗТС.2Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционированияОрганизовали контролируемую зону с постоянным размещением:
- стационарных технических средств, которые обрабатывают информацию;
- средств защиты информации;
- средств обеспечения функционирования
ЗТС.3Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установленыКонтролируем физический доступ к техническим средствам, средствам защиты информации, средствам обеспечения функционирования:
- определили список лиц с допуском;
- ведем учет физического доступа;
- описали правила и процедуры управления физическим доступом во внутренней документации компании
ЗТС.4Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотрНе используем устройства вывода и отображения информации
ЗТС.5Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов)Располагаем А-ЦОД в дата-центрах, которые соответствуют требованиям Tier III. В них обеспечивается:
- оперативное восстановление электроснабжения и системы кондиционирования;
- соблюдение мер пожарной безопасности;
- соблюдение условий эксплуатации оборудования и условий окружающей среды
УПД.3Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системамиПредоставляем услугу с условием подключения сервера через выделенный межсетевой экран. Применение межсетевого экрана позволяет пользователю выполнить требование по управлению информационными потоками
УПД.4Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системыРазделили роли администраторов информационной безопасности и сотрудников, обеспечивающих функционирование и описали их во внутренней документации компании
УПД.5Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системыНазначили минимально необходимые права и привилегии в соответствии с должностными обязанностями и описали должностные обязанности и роли во внутренней документации компании
ЗИС.17Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системыПредоставляем услугу с условием подключения сервера через выделенный межсетевой экран. Применение межсетевого экрана позволяет пользователю выполнить требование по разбиению информационной системы на сегменты и обеспечить защиту периметра сегмента
ЗНИ.1Учет машинных носителей информацииВедем учет жестких дисков серверов
ЗНИ.2Управление доступом к машинным носителям информацииУправляем доступом к машинным носителям информации:
- определили список сотрудников, у которых есть физический доступ;
- описали правила и процедуры доступа во внутренней документации компании
ЗНИ.8Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания)Уничтожаем информацию на машинных носителях:
- при отказе от услуги;
- при выводе носителя из эксплуатации.
Описали процедуру уничтожения и контроля уничтожения во внутренней документации компании
РСБ.1Определение событий безопасности, подлежащих регистрации, и сроков их храненияОпределили регистрируемые события физической безопасности и сроки их хранения
РСБ.2Определение состава и содержания информации о событиях безопасности, подлежащих регистрацииОпределили состав и содержание информации о регистрируемых событиях физической безопасности и описали во внутренней документации компании
РСБ.3Сбор, запись и хранение информации о событиях безопасности в течение установленного времени храненияСобираем, записываем и храним информацию о событиях физической безопасности в течение установленного времени.
Обеспечиваем централизованное автоматизированное управление сбором, записью и хранением информации
РСБ.5Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на нихРассматриваем и анализируем результаты регистрации событий физической безопасности и реагирование на них.
Описали правила и процедуры мониторинга во внутренней документации компании
РСБ.7Защита информации о событиях безопасностиЗащищаем информацию о событиях физической безопасности:
- к записям аудита и функциям управления имеют доступ только ответственные сотрудники;
- выполняется резервное копирование записей аудита
ОДТ.1Использование отказоустойчивых технических средствИспользуем отказоустойчивые технические средства в инфраструктуре дата-центра:
- определили предельные значения характеристик готовности и надежности;
- записали значения характеристик готовности и надежности в условиях использования;
- контролируем текущие значения характеристик готовности и надежности;
- заменяем средства, которые достигают предельного значения
ОДТ.2Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системыПрименяем резервные технические средства, каналы передачи информации и средства обеспечения функционирования. Вся инфраструктура дата-центра зарезервирована.
Описали правила и процедуры резервирования во внутренней документации компании
ОДТ.3Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестированиеКонтролируем безотказное функционирование инфраструктуры дата-центра:
- обнаруживаем и локализуем отказы функционирования;
- принимаем меры по восстановлению отказавших средств и тестируем их
ОДТ.7Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информацииКонтролируем состояние и качество предоставления ресурсов с помощью:
- пользовательского соглашения;
- условий использования отдельных сервисов;
- поручений на обработку персональных данных
ИНЦ.1Определение лиц, ответственных за выявление инцидентов и реагирование на нихОпределили список ответственных за выявление инцидентов физической безопасности и реагирование на них
ИНЦ.2Обнаружение, идентификация и регистрация инцидентовНаходим, идентифицируем и регистрируем инциденты физической безопасности
ИНЦ.3Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторамиСотрудники, которые участвуют в предоставлении и эксплуатации услуги, своевременно сообщают ответственным об инцидентах физической безопасности
ИНЦ.4Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствийВ случае инцидента физической безопасности анализируем источники и причины возникновения, оцениваем последствия
ИНЦ.5Принятие мер по устранению последствий инцидентовВ случае инцидента физической безопасности принимаем меры по устранению последствий
ИНЦ.6Планирование и принятие мер по предотвращению повторного возникновения инцидентовВ случае инцидента физической безопасности планируем и принимаем меры, чтобы предотвратить повторное возникновение
УКФ.1Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты информацииОпределили список сотрудников, которые могут вносить изменения в конфигурацию
УКФ.2Управление изменениями конфигурации информационной системы и системы защиты информацииОписали процесс управления изменениями конфигурации во внутренней документации компании
УКФ.3Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты информации на обеспечение защиты информации и согласование изменений в конфигурации информационной системы с должностным лицом, ответственным за обеспечение безопасности информацииАнализируем потенциальное воздействие планируемых изменений на обеспечение защиты информации и согласуем изменения с сотрудником, ответственным за обеспечение безопасности
УКФ.4Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты информацииДокументируем информацию об изменениях:
- в схеме подключения сервера;
- схеме размещения сервера;
- конфигурации сервера