Реализация мер физической безопасности на стороне Selectel
Перечень мер физической безопасности, которые необходимо выполнить при размещении инфраструктуры в А-ЦОД, определяется Приказом ФСТЭК России от 11 февраля 2013 г. № 17 и Приказом ФСТЭК России от 18 февраля 2013 г. № 21.
Selectel реализует часть мер физической безопасности, которые находятся в его зоне ответственности, в соответствии с Приложением 2 к Условиям использования.
| Содержание меры по обеспечению безопасности персональных данных | Реализовано в Selectel | |
|---|---|---|
| ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования | Организовали контролируемую зону с постоянным размещением: - стационарных технических средств, которые обрабатывают информацию; - средств защиты информации; - средств обеспечения функционирования |
| ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены | Контролируем физический доступ к техническим средствам, средствам защиты информации, средствам обеспечения функционирования: - определили список лиц с допуском; - ведем учет физического доступа; - описали правила и процедуры управления физическим доступом во внутренней документации компании |
| ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | Не используем устройства вывода и отображения информации |
| ЗТС.5 | Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) | Располагаем А-ЦОД в дата-центрах, которые соответствуют требованиям Tier III. В них обеспечивается: - оперативное восстановление электроснабжения и системы кондиционирования; - соблюдение мер пожарной безопасности; - соблюдение условий эксплуатации оборудования и условий окружающей среды |
| УПД.3 | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами | Предоставляем услугу с условием подключения сервера через выделенный межсетевой экран. Применение межсетевого экрана позволяет пользователю выполнить требование по управлению информационными потоками |
| УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | Разделили роли администраторов информационной безопасности и сотрудников, обеспечивающих функционирование и описали их во внутренней документации компании |
| УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | Назначили минимально необходимые права и привилегии в соответствии с должностными обязанностями и описали должностные обязанности и роли во внутренней документации компании |
| ЗИС.17 | Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы | Предоставляем услугу с условием подключения сервера через выделенный межсетевой экран. Применение межсетевого экрана позволяет пользователю выполнить требование по разбиению информационной системы на сегменты и обеспечить защиту периметра сегмента |
| ЗНИ.1 | Учет машинных носителей информации | Ведем учет жестких дисков серверов |
| ЗНИ.2 | Управление доступом к машинным носителям информации | Управляем доступом к машинным носителям информации: - определили список сотрудников, у которых есть физический доступ; - описали правила и процедуры доступа во внутренней документации компании |
| ЗНИ.8 | Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) | Уничтожаем информацию на машинных носителях: - при отказе от услуги; - при выводе носителя из эксплуатации. Описали процедуру уничтожения и контроля уничтожения во внутренней документации компании |
| РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения | Определили регистрируемые события физической безопасности и сроки их хранения |
| РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | Определили состав и содержание информации о регистрируемых событиях физической безопасности и описали во внутренней документации компании |
| РСБ.3 | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | Собираем, записываем и храним информацию о событиях физической безопасности в течение установленного времени. Обеспечиваем централизованное автоматизированное управление сбором, записью и хранением информации |
| РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них | Рассматриваем и анализируем результаты регистрации событий физической безопасности и реагирование на них. Описали правила и процедуры мониторинга во внутренней документации компании |
| РСБ.7 | Защита информации о событиях безопасности | Защищаем информацию о событиях физической безопасности: - к записям аудита и функциям управления имеют доступ только ответственные сотрудники; - выполняется резервное копирование записей аудита |
| ОДТ.1 | Использование отказоустойчивых технических средств | Используем отказоустойчивые технические средства в инфраструктуре дата-центра: - определили предельные значения характеристик готовности и надежности; - записали значения характеристик готовности и надежности в условиях использования; - контролируем текущие значения характеристик готовности и надежности; - заменяем средства, которые достигают предельного значения |
| ОДТ.2 | Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы | Применяем резервные технические средства, каналы передачи информации и средства обеспечения функционирования. Вся инфраструктура дата-центра зарезервирована. Описали правила и процедуры резервирования во внутренней документации компании |
| ОДТ.3 | Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование | Контролируем безотказное функционирование инфраструктуры дата-центра: - обнаруживаем и локализуем отказы функционирования; - принимаем меры по восстановлению отказавших средств и тестируем их |
| ОДТ.7 | Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации | Контролируем состояние и качество предоставления ресурсов с помощью: - пользовательского соглашения; - условий использования отдельных сервисов; - поручений на обработку персональных данных |
| ИНЦ.1 | Определение лиц, ответственных за выявление инцидентов и реагирование на них | Определили список ответственных за выявление инцидентов физической безопасности и реагирование на них |
| ИНЦ.2 | Обнаружение, идентификация и регистрация инцидентов | Находим, идентифицируем и регистрируем инциденты физической безопасности |
| ИНЦ.3 | Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами | Сотрудники, которые участвуют в предоставлении и эксплуатации услуги, своевременно сообщают ответственным об инцидентах физической безопасности |
| ИНЦ.4 | Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий | В случае инцидента физической безопасности анализируем источники и причины возникновения, оцениваем последствия |
| ИНЦ.5 | Принятие мер по устранению последствий инцидентов | В случае инцидента физической безопасности принимаем меры по устранению последствий |
| ИНЦ.6 | Планирование и принятие мер по предотвращению повторного возникновения инцидентов | В случае инцидента физической безопасности планируем и принимаем меры, чтобы предотвратить повторное возникновение |
| УКФ.1 | Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты информации | Определили список сотрудников, которые могут вносить изменения в конфигурацию |
| УКФ.2 | Управление изменениями конфигурации информационной системы и системы защиты информации | Описали процесс управления изменениями конфигурации во внутренней документации компании |
| УКФ.3 | Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты информации на обеспечение защиты информации и согласование изменений в конфигурации информационной системы с должностным лицом, ответственным за обеспечение безопасности информации | Анализируем потенциальное воздействие планируемых изменений на обеспечение защиты информации и согласуем изменения с сотрудником, ответственным за обеспечение безопасности |
| УКФ.4 | Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты информации | Документируем информацию об изменениях: - в схеме подключения сервера; - схеме размещения сервера; - конфигурации сервера |