Аттестованный сегмент ЦОД

Описание услуги

Услуга Аттестованный сегмент центра обработки данных (далее А-ЦОД) предназначена для размещения коммерческих и государственных информационных систем с высокими требованиями к обеспечению безопасности информации, в том числе для выполнения требований международных стандартов, российского законодательства и проведения аттестационных испытаний.

В услугу входит:

• Аттестованная инфраструктура, соответствующая требованиям для 1-го уровня защищенности персональных данных и 1-го класса защищенности информационных систем;
• Физическая изоляция сети от других клиентов дата-центра и сетей Selectel с использованием выделенного аппаратного межсетевого экрана;
• Административный доступ к управлению выделенным межсетевым экраном для полного контроля за сетевой безопасностью вашей информационной системы;
• Техническая поддержка 24 / 7;
• Коммутация оборудования по типовой или индивидуальной схеме подключения;
• возможность использования сертифицированных средств защиты информации по подписке;
• предоставляются схемы размещения технических средств, их состав и серийные номера, планы границ контролируемой зоны;
• Доступ к IPMI через выделенное сетевое оборудование;
• необходимые изменения во время эксплуатации инфраструктуры обязательно заранее согласовываются с заказчиком;
• Разграничение зон ответственности:
  • Selectel отвечает за выполнение требований регуляторов по размещению оборудования и контролю физического доступа;
  • Заказчик отвечает за безопасность своих информационных систем и удаленного доступа.

При заказе выделенных серверов без размещения в А-ЦОД используется общее коммутационное оборудование Selectel, серверы и сетевое оборудование находятся в разных стойках, а схемы размещения являются коммерческой тайной.

Оплата и биллинг

Чтобы оплатить услугу, пополните Основной баланс.

Подключение услуги

Услуга включает в себя:

• аренду Выделенного сервера произвольной конфигурации;
• отдельно заказанную услугу Межсетевой экран;
• отдельно заказанную услугу Размещение в Аттестованном сегменте для сервера и межсетевого экрана.

Схема подключения

До заказа услуги определите схему подключения (типовая или индивидуальная в соответствии с «Условиями использования отдельных сервисов: аттестованный сегмент ЦОД»), а также перечень планируемых дополнительных услуг и средств защиты.

Конфигурация сервера

Выберите конфигурацию выделенного сервера в конфигураторе. Для сервера действуют «Условия использования отдельных сервисов: аттестованный сегмент ЦОД».

Межсетевой экран

Для размещения сервера в А-ЦОД необходимо заказать межсетевой экран. Для этого в панели управления перейдите в раздел Сетевые сервисы на вкладку Межсетевые экраны и выберите необходимый.

В панели управления также доступны сертифицированные межсетевые экраны, в случае использования которых предоставляется «Акт установки средств защиты».

Если требуемая версия межсетевого экрана отсутствует, создайте тикет. В ответе на тикет мы предоставим необходимую информацию об услуге и о сроках поставки.

Средства защиты как сервис

При необходимости можно заказать дополнительные сертифицированные средства защиты, для которых действует Доступ к средствам защиты информации:

• Secret Net LSP
• Secret Net Studio
• ViPNet SafeBoot
• Kaspersky Endpoint Security

Размещение в Аттестованном сегменте ЦОД

Создайте тикет, в котором сообщите о необходимости размещения оборудования в Аттестованном сегменте ЦОД. Укажите выбранную схему подключения, конфигурацию сервера, номер заказанного межсетевого экрана, требуемую операционную систему и разметку диска и, если нужно, дополнительные средства защиты.

При заказе услуги важно, чтобы количество заказываемых услуг «Размещение оборудования (1U) в аттестованном сегменте ЦОД» соответствовало количеству юнитов, занимаемых сервером и межсетевым экраном.

Обработка заявки

После поступления заявки мы проверим корректность заказанных услуг, совместимость компонентов и средств защиты. Если услуги заказаны правильно, а аппаратная платформа совместима с выбранными средствами, то поступит ответ с описанием финальной конфигурации и просьбой ее подтвердить. В ином случае мы предложим альтернативную конфигурацию, совместимую с выбранными средствами защиты.

После согласования начнется сборка сервера.

Предоставление услуги

После подготовки инфраструктуры мы сообщим необходимые данные для доступа: адрес, логин и пароль межсетевого экрана; схему подключения; данные для доступа к серверу по IPMI; операционную систему и разметку диска.

В случае использования сертифицированных средств защиты информации, во вложении будет прикреплен «Акт установки средств защиты».

Для дальнейшей работы с предоставленной инфраструктурой следует учитывать, что сеть физически изолирована от сетей других клиентов и сетей Selectel, поэтому нет возможности управления из панели my.selectel, а производить настройку оборудования необходимо через межсетевой экран. По этой же причине нет возможности подключить Балансировщик нагрузки.

На данном этапе публичный IP-адрес прописан на межсетевом экране, а на сервере — приватный (локальный) IP-адрес, поэтому необходимо настроить правила для доступа к серверу.

Базовая настройка

Межсетевой экран

Для доступа к IPMI сервера необходимо настроить переадресацию следующих портов:

• TCP 80: HTTP
• TCP 443: HTTPS
• TCP 5900: виртуальная клавиатура и мышь
• TCP 5901: графическая консоль
• TCP 5120: виртуальный CD/DVD привод
• TCP 5123: виртуальный FDD привод
• UDP 623: IPMI

Для работы какого-либо сервиса, размещенного на сервере за межсетевым экраном, производится аналогичная настройка. Например, для удаленного управления по протоколу RDP необходимо настроить переадресацию порта TCP 3389, а для SSH – порта TCP 22.

Установка операционной системы

Для самостоятельной установки ОС необходимо подключить к серверу ISO-образ. Сделать это можно несколькими способами:

• создать тикет в панели управления с просьбой подключить внешний носитель с операционной системой к серверу;
• подключить ISO-образ через консоль IPMI: Virtual Media -> Virtual Storage -> ISO File -> выбрать образ -> Plug in.

Отказ от услуги

Если услуга Размещение оборудования в аттестованном сегменте ЦОД больше не требуется, отключите ежемесячный платеж услуги Выделенные серверы:

1. Откройте карточку сервера и перейдите на вкладку Услуги.
2. Раскройте меню (⋮) и нажмите Отключить платеж.

Когда оплаченный период закончится, услуга отключится автоматически. Сервер и все данные, хранящиеся на нем, будут удалены автоматически сразу по окончании оплаченного периода. При этом все дополнительные услуги, подключенные к данному серверу («Размещение оборудования (1U) в аттестованном сегменте ЦОД», Межсетевой экран, дополнительные средства защиты) тоже отменяются.

В случае отказа от услуги до истечения оплаченного периода возвращаются средства за полные неиспользованные месяцы. Подробнее в статье Отключение сервера.

В случае неоплаты основной услуги или услуги «Размещение оборудования (1U) в аттестованном сегменте ЦОД» приходит оповещение. В случае отказа от услуги или отсутствия оплаты по прошествии 7 дней производится демонтаж оборудования.

При использовании сертифицированных средств защиты отправляется «Акт изъятия средств защиты».

Документы

• Пользовательское соглашение
• Правила пользования сервисами и услугами
• Предоставление выделенного сервера
• Аттестованный сегмент ЦОД
• Доступ к средствам защиты информации

Аттестация информационной системы

Для аттестации информационных систем, размещенных на выделенных серверах в аттестованном сегменте ЦОД, по запросу предоставим схему расположения арендованных серверов относительно границ контролируемой зоны, необходимую для проведения аттестационных испытаний.

Поручение на обработку персональных данных

В случае обработки персональных данных на выделенных серверах в аттестованном сегменте ЦОД, необходимо подписать поручение на обработку персональных данных. Для этого создайте тикет в панели управления, указав в нем следующую информацию:

1. Уровень защищенности персональных данных:
   • 1 уровень защищенности;
   • 2 уровень защищенности;
   • 3 уровень защищенности;
   • 4 уровень защищенности.
2. Категории персональных данных:
   • специальные категории персональных данных;
   • биометрические категории персональных данных;
   • иные категории персональных данных;
   • общедоступные категории персональных данных.
3. Категории субъектов персональных данных:
   • сотрудники оператора персональных данных;
   • не сотрудники оператора персональных данных.
4. Количество субъектов персональных данных, данные которых обрабатываются:
   • менее 100 000;
   • более 100 000.
5. Тип актуальных угроз в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”:
   • угрозы 1-го типа — связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении;
   • угрозы 2-го типа — связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении;
   • угрозы 3-го типа — не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении.

На основании этих данных мы подготовим поручение, которое можно подписать через ЭДО.