Модель ответственности и безопасность
Цель
Описать распределение ответственности между лабораторией и поставщиком TesLab за функции управления доступом, хранение и защиту данных, резервное копирование, логирование и обновление системы.
Область применения
Для клиентов, использующих облачную или гибридную модель TesLab, чтобы понять, за какие аспекты отвечают каждая сторона.
Термины
- Поставщик - ООО «Инженерная компания»;
- Лаборатория - клиент и пользователь системы;
- Облако TesLab - инфраструктура, управляемая поставщиком;
- Лабораторное облако - инфраструктура лаборатории.
| № | Категория | Ответственность лаборатории | Ответственность поставщика |
|---|---|---|---|
| 1 | Управление доступом | Создание и управление учётными записями пользователей, назначение ролей и паролей в системе TesLab согласно своим политиками ИБ | Механизм аутентификации/авторизации в ПО (поддержка HTTPS, шифрование канала) и за возможность интеграции с корпоративной АТС/АС (через API) |
| 2 | Резервное копирование и восстановление | Организацию собственного резервного копирования важной информации (при облачной модели – выгрузка данных на свой носитель) | Функции резервного копирования в сервисе (автоматическая отправка копий на FTP, WebDev, S3 и/или работу TesLab Sync Backup) и сохранность данных в облаке (регулярные снимки баз и файловой системы). При восстановлении облачной инсталляции из копий – поставщик осуществляет восстановление (по запросу) |
| 3 | Хранение данных | Ввод корректных данных и соблюдение процедур работы с ПО (например, своевременное создание резервных копий). При гибридном облаке – обеспечивает свои площадки хранения. | Физическую и сетевую безопасность серверов (центр обработки данных, шифрование каналов, защита от DDoS). TesLab зарегистрирован как российское ПО, что означает соответствие требованиям локального законодательства по защите данных. |
| 4 | Логирование и мониторинг | Анализ действий пользователей, мониторинг ошибок и событий | TesLab ведёт журналы действий/запросов и журналы ошибок по статусам/стекам, а также события обновления и выполнения планировщика. При on-prem ответственность за ограничение доступа к каталогам логов, резервное копирование архивов логов и соблюдение сроков хранения несёт лаборатория (в рамках своей ИТ-инфраструктуры). |
| 5 | Обновления и обслуживание | Планирование времени отката/внедрения обновлений и проведение входных проверок по своему регламенту | Подготовку и тестирование новых версий TesLab, публикацию релиз-нотов и уведомление клиентов. Также поставщик предоставляет обновления безопасности и фиксы по SLA |
Примечание: в традиционной модели (TesLab размещен на сервере лаборатории) все аспекты инфраструктуры и безопасности сводятся к ответственности лаборатории, поставщик ограничивается выпуском ПО и консультациями.