Принципы инфозащиты Zone Media OÜ

Общие положения

Миссия Zone заключается в предложении простых, быстрых и надежных решений для передачи информации и ее обработки в Интернете.

Инфозащита имеет критическое значение в выполнении миссии нашего предприятия, и правление и работники Zone делают все для сохранения конфиденциальности, целостности и применимости инфоресурсов предприятия и его клиентов.

Например, при обработке персональных данных мы выполняем две одинаково важных роли – в зависимости от контекста мы можем быть как ответственным обработчиком, так и уполномоченным обработчиком персональных данных.

В контексте общего постановления о защите персональных данных наша главная задача — применять для своих услуг и инфраструктуры (площади размещения, серверы, сетевые устройства и т. д.) достаточные технические и организационные меры безопасности, чтобы обрабатываемые клиентами данные были защищены от случайного или противозаконного удаления, неавторизованного доступа или разглашения.

В данном инфолисте мы знакомим вас с тем, что мы делаем для защиты обрабатываемых в нашей инфраструктуре данных (в т. ч. персональных данных).

Крайне важно, чтобы вы ознакомились с этим инфолистом, поскольку регуляция Европейского парламента и совета 2016/679, т. е. общее постановление о защите персональных данных отмечает следующее:

Если персональные данные обрабатываются от имени ответственного обработчика, то ответственный обработчик использует только таких уполномоченных обработчиков, которые дают достаточную гарантию, что применяют уместные технические и организационные меры таким образом, что обработка соответствует требованиям настоящего постановления и при этом обеспечивается защита прав субъекта данных.

Ответственный обработчик – это вы. Вы должны убедиться, что мы в качестве уполномоченного обработчика защищаем свою организацию, услуги и инфраструктуру (площади размещения, техническое обеспечение, программное обеспечение, сети обмена данных и прочие ресурсы) в соответствии с требуемыми в законах и распространенными в сфере лучшими практиками. Разумеется, вы также должны знать свои задачи и ответственность при обработке персональных данных.

Характер услуг

Начнем с общего описания своих услуг.

Пользуясь нашими услугами, вы должны иметь в виду, что подавляющую часть наших услуг мы предлагаем клиентам в виде универсальной облачной услуги. Это означает, что они по умолчанию не адаптированы индивидуально для вас, а соответствуют общим требованиям рынка. Однако индивидуальные соглашения и адаптации все же возможны.

В качестве предприятия, предлагающего облачные услуги, у нас отсутствует контроль над тем, какие данные вы загружаете в нашу инфраструктуру или с какими данными обращаетесь. Это означает, что по умолчанию мы не знаем, пользуются ли нашими услугами для обработки персональных данных, какие персональные данные обрабатываются и является ли такая обработка законной. При необходимости вы должны сами оценить влияние обработки данных и ее соответствие действующему законодательству.

Классы услуг

Большинство предлагаемых Zone услуг классифицируются как облачные услуги. Они основаны на основных моделях облачных услуг:

  • приложение как услуга, или «Software as a Service» (SaaS), доставляет клиенту уже готовое для пользования приложение;
  • платформа как услуга, или «Platform as a Service» (PaaS), предлагает необходимые для внедрения приложения условия;
  • Инфраструктура как услуга, или «Infrastructure as a Service» (IaaS), предлагает клиенту виртуальные серверы для создания своей платформы.

Объем задач Zone и клиента варьирует в рамках этих моделей согласно выбранной услуге. Помимо прочего, мы это описываем в инфолисте каждой нашей услуги в секции «Распределение ответственности».

Общую картину предлагает следующая схема:

 

Содержащиеся в услуге виртуального сервера э-почта, DNS и ZoneCloud представляют собой услугу SaaS, и ответственность Zone расширяется также на слой приложения.

Важно иметь в виду, что безопасность транспорта паролей, приложений и данных почти всегда по умолчанию находится в сфере ответственности клиента.

Модели реализации услуг

Применяются три модели реализации услуг:

  • общее пользование;
  • отдельное пользование;
  • гибридное пользование.

Общее пользование означает, что одними и теми же серверами пользуются несколько организаций. На общем пользовании базируются такие услуги, как Виртуальный сервер, Облачный сервер VPS, Облачный сервер Pro и Умный облачный сервер. Эти услуги дешевле, однако с ними связано больше рисков, чем с отдельным пользованием – дополнительные риски связаны в основном с другими пользователями услугой.

Например, при общем пользовании существует возможность, что при чрезмерном потреблении ресурсов один клиент может отрицательно повлиять на возможность пользования веб-сайтами других клиентов. В предложении базирующихся на общем пользовании услуг Zone имеет долговременный опыт, и в нашей программной платформе уже встроены средства, уменьшающие такой риск, однако полностью риски, связанные с доступностью ресурсов, среде общего пользования уменьшить невозможно.

При отдельном пользовании серверы находятся в распоряжении только одного клиента. Отдельное пользование применяется при услугах Приватного сервера и частично Умного приватного сервера, в рамках которых клиенту гарантированно выделяются приватные серверные ресурсы. При отдельном пользовании клиент не делит серверные ресурсы с другими клиентами, что существенно уменьшает риски, связанны с применимостью услуги и конфиденциальностью данных. Отдельное пользование позволяет также при необходимости применять к серверу(ам) ориентированные на клиента меры инфозащиты.

Самое большое преимущество отдельного пользования заключается в том, что в случае возможных инцидентов приоритетным является восстановление услуги конкретному клиенту. При общем пользовании исходят из интересов большинства клиентов. Небольшим недостатком является более высокая цена за отдельное пользование.

При гибридном пользовании можно в компонентах услуги применять различные модели.  По умолчанию гибридная модель применяется в случае Умного приватного сервера, чьи веб-приложения и базу данных обслуживающий сервер ориентирован только на одного клиента, но услуга э-почты и DNS делит ресурсы с другими клиентами. В случае специальных решений это разделение, разумеется, может варьировать – по желанию мы можем предложить также приватные серверы э-почты и т. п.

Инфозащита в Zone

Процесс и организация инфозащиты

Первостепенное значение имеет сосредоточенность организации на инфозащите. Для этого правление ввело на предприятии политику инфозащиты, которая применяется на всем предприятии – соблюдения установленных принципов ожидают от руководителей и работников Zone,  а также подрядчиков, участвующих в работе нашего предприятия.  Соответствие политики современным требованиям оценивают не реже одного раза в год.

За составление, дополнение и применение политики инфозащиты в Zone отвечает руководитель по инфозащите.

Руководителя по инфозащите в его работе поддерживают рабочая группа по инфозащите и специалист по защите персональных данных. Разумеется, в процесс инфозащиты вовлечены все структурные подразделения и работники предприятия.

Свою политику в сфере инфозащиты мы выстроили согласно стандарту ISO/IEC 27001:2014 и наша цель – подтвердить в будущем соответствие стандарту, пройдя официальную сертификацию.

В управлении рисками в сфере инфозащиты Zone исходит из рекомендаций стандарта ISO/IEC 27005:2014 и применяет основанную на ресурсах качественную методику взвешивания рисков.

Уровень безопасности инфоресурсов клиента

Ответственным обработчиком сохраняемых и обрабатываемых в ИТ-системах Zone инфоресурсов клиента (файлы, базы данных, э-письма и т. д.) является клиент.

Уровень безопасности инфоресурсов клиента на нашем предприятии является конфиденциальным и означает следующее: использование информации разрешается только конкретным группам пользователей, доступ к информации разрешен в случае обоснованного интереса ходатайствующего о доступе лица (например, это нужно для выполнения трудовых обязанностей).

Действующий в Zone уровень безопасности не распространяется автоматически за пределы предприятия.  Клиент должен сохранять, обрабатывать и передавать свою информацию в ИТ-системах Zone в соответствии с назначенными им для своих инфоресурсов уровнями безопасности, взвешенными рисками и организовать для них применение соответствующих мер безопасности.

Мы никогда никому не продаем загруженные когда-то в инфраструктуру Zone, загруженные пользователями клиента или созданные в сервере в ходе пользования клиентом услугой данные и не используем такие данные без разрешения клиента в своих непосредственных экономических целях. Zone обрабатывает такие данные только в объеме, необходимом для предложения своих услуг или связанной с ними пользовательской поддержки.

Защита персональных данных в Zone

Для осуществления надзора за защитой персональных данных мы создали роль специалиста по защите данных, исполнитель которой прошел акцептируемую Инспекцией по защите данных программу обучения.

Мы ведем учет как обрабатываемых персональных данных, так и влияния обработки на эти данные.

Подробнее об обработке персональных данных можно прочитать в Уведомлении о приватности Zone Media OÜ.

Местонахождение данных

Мы оказываем свои услуги в физически безопасных условиях. Применяемые Zone центры данных находятся на территории Европейского союза.

Наша инфраструктура с целью уменьшения рисков инфозащиты, рисков сохранности и бизнес-рисков, а также предложения клиентам уникальных возможностей распределена по 5 центрам данных, 4 из которых находятся в Эстонии, в Таллинне, и 1 находится в Голландии, в Амстердаме.  При размещении инфраструктуры Zone сотрудничает с такими признанными партнерами, как Equinix, Linxtelecom, Telia и Elisa.

Применяемые Zone центры данных находятся в зданиях, построенных или специально приспособленных для размещения устройств информационно-коммуникационной технологии и изолированы от общественных помещений. Устройства расположены в центрах данных на изолированной защитным ограждением площади или в запертых шкафах. Доступ ограничен лицами, которым он необходим в связи с их трудовыми обязанностями.

Центра данных оснащены камерами видеонаблюдения и охранной сигнализацией, относительно входа в центры ведутся логи. Применяются автоматическая пожарная сигнализация и автоматическая система газотушения.

Для поддержания температуры и относительной влажности воздуха на нужном для серверов и устройств обмена данных уровне все центры данных оснащены устройствами и системами охлаждения.

Для обеспечения более надежного электроснабжения все устройства Zone подключены к источникам буферного питания (UPS), здания оснащены электрогенераторами.

Для обеспечения возможности пользования во всех центрах данных применяется избыточность устройств и технических систем.

Территориям, где находятся используемые Zone здания, не угрожают опасности, обусловленные погодными условиями или местной геологией, до сих пор они не причиняли ущерба центрам данных.

Обмен данными

Для уменьшения связанных с обменом данными рисков инфозащиты, рисков сохранности и бизнес-рисков, а также с целью предложения клиентам уникальных возможностей Zone сотрудничает со многими надежными телекоммуникационными предприятиями.  Партнерами Zone по обмену данными являются Cogent Communications, Level3 Communications, Linxtelecom, Telia и Elisa.

В Эстонии Zone параллельно использует три, а в Голландии два транзитных интернет-соединения – избыточность соединений обеспечивает клиентам подключение также в случае одиночного нарушения соединения или во время работ по обслуживанию.

Между центрами размещений Эстонии Zone построил уникальную приватную региональную сеть, цель которой – дополнительно уменьшить обусловленные внешними факторами риски для возможности пользования услугами. Оказывающие серверные услуги центры данных одновременно соединены с двумя другими центрами – образовавшийся в результате сетевой круг позволяет сохранять в центре подключение также при неисправности одного соединения или во время работ по обслуживанию.

Со многими эстонскими телекоммуникационными предприятиями и предприятиями, предлагающими интернет-услуги, Zone также соединен с помощью двух крупнейших прямых соединительных узлов эстонского Интернета — TLLIX и RTIX.

Zone заботится о том, чтобы в нормальной ситуации соединения обмена данными работали с неполной нагрузкой и дополнительные ресурсы были быстро доступны.

Для уменьшения рисков, обусловленных специфическими атаками на услуги, интернет-соединения Zone оснащены специальными устройствами, уменьшающими отрицательное воздействие атак.

Архивирование данных

Zone делает резервные копии с серверов, связанных с управляемыми Zone услугами, согласно следующим правилам:

  • резервную копию расположенных на веб-серверах файлов, баз данных SQL и почтовых ящиков нужно делать не реже одного раза в день;
  • резервную копию должно быть возможно использовать для восстановления архивированных данных как минимум в течение 14 дней с момента создания резервной копии;
  • при необходимости резервные копии нужно делать перед крупными программными обновлениями или изменениями, которые могут угрожать целостности данных.

Резервные копии с серверов, применяемых для предложения управляемых Zone услуг, мы храним отдельно от производственной среды.

В случае базирующихся на отдельном пользовании услуг можно адаптировать политику архивирования к потребностям клиента.

Как клиент вы должны учитывать, что время восстановления данных непосредственно зависит от характера и объема данных, а в случае общего пользования и от других использующих этот же ресурс клиентов.

Мониторинг

Zone наблюдает за работой оказывающих услуги серверов 24 часа в сутки и 7 дней в неделю.

В частности Zone отслеживает ссылки на компрометацию платформы или услуг клиентов, в т. ч. запуск неизвестных процессов, неожиданное открытие сетевых портов, активность пользователей, оправление спама и т. д.

Активный мониторинг осуществляется по будним дням в 08.30-17.30, во время активного мониторинга работники Zone Media отслеживают выход системы мониторинга в реальном времени, система мониторинга информирует техников Zone также посредством сети мобильной связи.    Реагирование на инциденты происходит немедленно.

Пассивный мониторинг проводится по будним дням в 17.30-08.30 и по выходным круглосуточно, во время пассивного мониторинга система мониторинга информирует дежурного техника Zone о проблемах посредством сети мобильной связи.  Дежурный техник реагирует на инциденты незамедлительно.

Клиентская поддержка

Телефонная поддержка Zone и поддержка по э-почте работают по будним дням в 09.00 – 17.00 (часовой пояс EET/EEST).

Телефон клиентской поддержки: +372 688 6886
Э-почта клиентской поддержки: info@zone.ee

По вопросам, касающимся обработки персональных данных, можно обращаться непосредственно к специалисту Zone по защите данных по адресу dataprotection@zone.ee.

Состояние сервисной платформы Zone отражается на сайте http://status.zone.eu.

Принятой в нерабочее время э-почтой занимается дежурная команда, организующая реагирование на критические инциденты.

Для клиентов услуг отдельного пользования при необходимости доступен 24/7 номер дежурного телефона, предусмотренный для информирования о критических инцидентах.

Привлеченные Zone уполномоченные обработчики

Для обработки клиентских данных мы можем привлекать уполномоченных обработчиков.

Мы делаем это, если достаточно уверены в том, что они применяют уместные технические и организационные меры способом, обеспечивающим соответствие обработки данных представленным в соответствующих законах требованиям.

Список привлеченных к обработке клиентских данных важных уполномоченных обработчиков мы публикуем на своем сайте (https://www.zone.ee/et/lepingud/volitatud-tootlejad/).