Реализация мер физической безопасности на стороне Selectel

Перечень мер физической безопасности, которые необходимо выполнить при размещении инфраструктуры в А-ЦОД, определяется Приказом ФСТЭК России от 11 февраля 2013 г. № 17 и Приказом ФСТЭК России от 18 февраля 2013 г. № 21.

Selectel реализует часть мер физической безопасности, которые находятся в его зоне ответственности, в соответствии с Приложением 2 к Условиям использования.

Содержание меры по обеспечению безопасности персональных данных Реализовано в Selectel
ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования Организовали контролируемую зону с постоянным размещением:
- стационарных технических средств, которые обрабатывают информацию;
- средств защиты информации;
- средств обеспечения функционирования
ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены Контролируем физический доступ к техническим средствам, средствам защиты информации, средствам обеспечения функционирования:
- определили список лиц с допуском;
- ведем учет физического доступа;
- описали правила и процедуры управления физическим доступом во внутренней документации компании
ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр Не используем устройства вывода и отображения информации
ЗТС.5 Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) Располагаем А-ЦОД в дата-центрах, которые соответствуют требованиям Tier III. В них обеспечивается:
- оперативное восстановление электроснабжения и системы кондиционирования;
- соблюдение мер пожарной безопасности;
- соблюдение условий эксплуатации оборудования и условий окружающей среды
УПД.3 Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами Предоставляем услугу с условием подключения сервера через выделенный межсетевой экран. Применение межсетевого экрана позволяет пользователю выполнить требование по управлению информационными потоками
УПД.4 Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы Разделили роли администраторов информационной безопасности и сотрудников, обеспечивающих функционирование и описали их во внутренней документации компании
УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы Назначили минимально необходимые права и привилегии в соответствии с должностными обязанностями и описали должностные обязанности и роли во внутренней документации компании
ЗИС.17 Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы Предоставляем услугу с условием подключения сервера через выделенный межсетевой экран. Применение межсетевого экрана позволяет пользователю выполнить требование по разбиению информационной системы на сегменты и обеспечить защиту периметра сегмента
ЗНИ.1 Учет машинных носителей информации Ведем учет жестких дисков серверов
ЗНИ.2 Управление доступом к машинным носителям информации Управляем доступом к машинным носителям информации:
- определили список сотрудников, у которых есть физический доступ;
- описали правила и процедуры доступа во внутренней документации компании
ЗНИ.8 Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) Уничтожаем информацию на машинных носителях:
- при отказе от услуги;
- при выводе носителя из эксплуатации.
Описали процедуру уничтожения и контроля уничтожения во внутренней документации компании
РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения Определили регистрируемые события физической безопасности и сроки их хранения
РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации Определили состав и содержание информации о регистрируемых событиях физической безопасности и описали во внутренней документации компании
РСБ.3 Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения Собираем, записываем и храним информацию о событиях физической безопасности в течение установленного времени.
Обеспечиваем централизованное автоматизированное управление сбором, записью и хранением информации
РСБ.5 Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них Рассматриваем и анализируем результаты регистрации событий физической безопасности и реагирование на них.
Описали правила и процедуры мониторинга во внутренней документации компании
РСБ.7 Защита информации о событиях безопасности Защищаем информацию о событиях физической безопасности:
- к записям аудита и функциям управления имеют доступ только ответственные сотрудники;
- выполняется резервное копирование записей аудита
ОДТ.1 Использование отказоустойчивых технических средств Используем отказоустойчивые технические средства в инфраструктуре дата-центра:
- определили предельные значения характеристик готовности и надежности;
- записали значения характеристик готовности и надежности в условиях использования;
- контролируем текущие значения характеристик готовности и надежности;
- заменяем средства, которые достигают предельного значения
ОДТ.2 Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы Применяем резервные технические средства, каналы передачи информации и средства обеспечения функционирования. Вся инфраструктура дата-центра зарезервирована.
Описали правила и процедуры резервирования во внутренней документации компании
ОДТ.3 Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование Контролируем безотказное функционирование инфраструктуры дата-центра:
- обнаруживаем и локализуем отказы функционирования;
- принимаем меры по восстановлению отказавших средств и тестируем их
ОДТ.7 Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации Контролируем состояние и качество предоставления ресурсов с помощью:
- пользовательского соглашения;
- условий использования отдельных сервисов;
- поручений на обработку персональных данных
ИНЦ.1 Определение лиц, ответственных за выявление инцидентов и реагирование на них Определили список ответственных за выявление инцидентов физической безопасности и реагирование на них
ИНЦ.2 Обнаружение, идентификация и регистрация инцидентов Находим, идентифицируем и регистрируем инциденты физической безопасности
ИНЦ.3 Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами Сотрудники, которые участвуют в предоставлении и эксплуатации услуги, своевременно сообщают ответственным об инцидентах физической безопасности
ИНЦ.4 Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий В случае инцидента физической безопасности анализируем источники и причины возникновения, оцениваем последствия
ИНЦ.5 Принятие мер по устранению последствий инцидентов В случае инцидента физической безопасности принимаем меры по устранению последствий
ИНЦ.6 Планирование и принятие мер по предотвращению повторного возникновения инцидентов В случае инцидента физической безопасности планируем и принимаем меры, чтобы предотвратить повторное возникновение
УКФ.1 Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты информации Определили список сотрудников, которые могут вносить изменения в конфигурацию
УКФ.2 Управление изменениями конфигурации информационной системы и системы защиты информации Описали процесс управления изменениями конфигурации во внутренней документации компании
УКФ.3 Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты информации на обеспечение защиты информации и согласование изменений в конфигурации информационной системы с должностным лицом, ответственным за обеспечение безопасности информации Анализируем потенциальное воздействие планируемых изменений на обеспечение защиты информации и согласуем изменения с сотрудником, ответственным за обеспечение безопасности
УКФ.4 Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты информации Документируем информацию об изменениях:
- в схеме подключения сервера;
- схеме размещения сервера;
- конфигурации сервера