ProHoster > Blog > administrasie > IaaS 152-FZ: so, jy het sekuriteit nodig

IaaS 152-FZ: so, jy het sekuriteit nodig

IaaS 152-FZ: so, jy het sekuriteit nodig

Maak nie saak hoeveel jy die mites en legendes rondom voldoening aan 152-FZ uitsorteer nie, iets bly altyd agter die skerms. Vandag wil ons 'n paar nie altyd ooglopende nuanses bespreek wat beide groot maatskappye en baie klein ondernemings kan teëkom:

  • subtiliteite van PD-klassifikasie in kategorieë - wanneer 'n klein aanlynwinkel data insamel wat verband hou met 'n spesiale kategorie sonder om eers daarvan te weet;

  • waar jy rugsteun van versamelde PD kan stoor en bewerkings daarop kan uitvoer;

  • wat is die verskil tussen 'n sertifikaat en 'n gevolgtrekking van voldoening, watter dokumente moet jy van die verskaffer aanvra, en sulke goed.

Ten slotte sal ons ons eie ervaring van die slaag van die sertifisering met jou deel. Gaan!

Die kenner in vandag se artikel sal wees Alexey Afanasyev, IS spesialis vir wolkverskaffers IT-GRAD en #CloudMTS (deel van die MTS-groep).

Subtiliteite van klassifikasie

Ons kry dikwels 'n kliënt se begeerte om vinnig, sonder 'n IS-oudit, die vereiste vlak van sekuriteit vir 'n ISPD te bepaal. Sommige materiaal op die internet oor hierdie onderwerp gee die wanindruk dat dit 'n eenvoudige taak is en dit is nogal moeilik om 'n fout te maak.

Om KM te bepaal, is dit nodig om te verstaan ​​watter data deur die kliënt se IS ingesamel en verwerk sal word. Soms kan dit moeilik wees om die beskermingsvereistes en die kategorie van persoonlike data wat 'n besigheid bedryf ondubbelsinnig te bepaal. Dieselfde tipe persoonlike data kan op heeltemal verskillende maniere beoordeel en geklassifiseer word. Daarom kan die mening van die onderneming in sommige gevalle verskil van die mening van die ouditeur of selfs die inspekteur. Kom ons kyk na 'n paar voorbeelde.

Parkeerplek. Dit lyk na 'n redelik tradisionele tipe besigheid. Baie voertuigvlote werk al dekades lank, en hul eienaars huur individuele entrepreneurs en individue. As 'n reël val werknemerdata onder die vereistes van UZ-4. Om met bestuurders te werk, is dit egter nodig om nie net persoonlike data in te samel nie, maar ook om mediese beheer op die grondgebied van die voertuigvloot uit te voer voordat jy op 'n skof gaan, en die inligting wat in die proses ingesamel word, val onmiddellik in die kategorie van mediese data - en dit is persoonlike data van 'n spesiale kategorie. Daarbenewens kan die vloot sertifikate aanvra, wat dan in die bestuurder se lêer gehou sal word. 'n Skandering van so 'n sertifikaat in elektroniese vorm - gesondheidsdata, persoonlike data van 'n spesiale kategorie. Dit beteken dat UZ-4 nie meer genoeg is nie;

Интернет-магазин. Dit wil voorkom asof die name, e-posse en telefoonnommers wat ingesamel is, in die publieke kategorie pas. As jou klante egter dieetvoorkeure aandui, soos halal of kosher, kan sulke inligting as godsdienstige affiliasie of geloofsdata beskou word. Daarom, wanneer ander kontrole-aktiwiteite gekontroleer of uitgevoer word, kan die inspekteur die data wat jy insamel klassifiseer as 'n spesiale kategorie van persoonlike data. Nou, as 'n aanlynwinkel inligting ingesamel het oor of sy koper vleis of vis verkies, kan die data as ander persoonlike data geklassifiseer word. Terloops, wat van vegetariërs? Dit kan immers ook toegeskryf word aan filosofiese oortuigings, wat ook tot 'n besondere kategorie behoort. Maar aan die ander kant kan dit bloot die houding wees van 'n persoon wat vleis uit sy dieet uitgeskakel het. Helaas, daar is geen teken wat die kategorie van PD in sulke "subtiele" situasies ondubbelsinnig definieer nie.

Advertensie-agentskap Deur een of ander Westerse wolkdiens te gebruik, verwerk dit publiek beskikbare data van sy kliënte – volle name, e-posadresse en telefoonnommers. Hierdie persoonlike data hou natuurlik verband met persoonlike data. Die vraag ontstaan: is dit wettig om sulke verwerking uit te voer? Is dit selfs moontlik om sulke data sonder depersonalisering buite die Russiese Federasie te skuif, byvoorbeeld om rugsteun in sommige buitelandse wolke te stoor? Natuurlik kan jy. Die Agentskap het die reg om hierdie data buite Rusland te stoor, maar die aanvanklike versameling, volgens ons wetgewing, moet op die grondgebied van die Russiese Federasie uitgevoer word. As jy sulke inligting rugsteun, 'n paar statistieke op grond daarvan bereken, navorsing doen of ander bewerkings daarmee uitvoer - dit alles kan op Westerse hulpbronne gedoen word. Die sleutelpunt vanuit 'n regsoogpunt is waar persoonlike data ingesamel word. Dit is dus belangrik om nie aanvanklike versameling en verwerking te verwar nie.

Soos volg uit hierdie kort voorbeelde, is die werk met persoonlike data nie altyd reguit en eenvoudig nie. Jy moet nie net weet dat jy met hulle werk nie, maar ook in staat wees om hulle korrek te klassifiseer, te verstaan ​​hoe die IP werk om die vereiste vlak van sekuriteit korrek te bepaal. In sommige gevalle kan die vraag ontstaan ​​hoeveel persoonlike data die organisasie werklik nodig het om te bedryf. Is dit moontlik om die mees "ernstige" of bloot onnodige data te weier? Daarbenewens beveel die reguleerder aan om persoonlike data waar moontlik te depersonaliseer. 

Soos in die voorbeelde hierbo, kan jy soms die feit teëkom dat inspeksie-owerhede die versamelde persoonlike data effens anders interpreteer as wat jy dit self beoordeel het.

Natuurlik kan jy 'n ouditeur of 'n stelselintegreerder as 'n assistent aanstel, maar sal die "assistent" verantwoordelik wees vir die besluite wat gekies word in die geval van 'n oudit? Dit is opmerklik dat verantwoordelikheid altyd by die eienaar van die ISPD lê - die operateur van persoonlike data. Dit is hoekom, wanneer 'n maatskappy sulke werk doen, dit belangrik is om na ernstige rolspelers in die mark vir sulke dienste te wend, byvoorbeeld maatskappye wat sertifiseringswerk doen. Sertifiseringsmaatskappye het uitgebreide ondervinding in die uitvoering van sulke werk.

Opsies vir die bou van 'n ISPD

Die konstruksie van 'n ISPD is nie net 'n tegniese, maar ook grootliks 'n regskwessie. Die CIO of sekuriteitsdirekteur moet altyd met regsadviseur konsulteer. Aangesien die maatskappy nie altyd 'n spesialis het met die profiel wat jy nodig het nie, is dit die moeite werd om na ouditeur-konsultante te kyk. Baie gladde punte is dalk glad nie duidelik nie.

Die konsultasie sal jou toelaat om te bepaal met watter persoonlike data jy te doen het en watter vlak van beskerming dit vereis. Gevolglik sal u 'n idee kry van die IP wat geskep of aangevul moet word met sekuriteits- en operasionele sekuriteitsmaatreëls.

Dikwels is die keuse vir 'n maatskappy tussen twee opsies:

  1. Bou die ooreenstemmende IS op jou eie hardeware- en sagteware-oplossings, moontlik in jou eie bedienerkamer.

  2. Kontak 'n wolkverskaffer en kies 'n elastiese oplossing, 'n reeds gesertifiseerde "virtuele bedienerkamer".

Die meeste inligtingstelsels wat persoonlike data verwerk, gebruik 'n tradisionele benadering, wat uit 'n besigheidsoogpunt beswaarlik maklik en suksesvol genoem kan word. Wanneer u hierdie opsie kies, is dit nodig om te verstaan ​​dat die tegniese ontwerp 'n beskrywing van die toerusting sal insluit, insluitend sagteware en hardeware oplossings en platforms. Dit beteken dat jy die volgende probleme en beperkings sal moet trotseer:

  • moeilikheid om te skaal;

  • lang projekimplementeringstydperk: dit is nodig om die stelsel te kies, aan te koop, te installeer, op te stel en te beskryf;

  • baie "papier" werk, as voorbeeld - die ontwikkeling van 'n volledige pakket dokumentasie vir die hele ISPD.

Daarbenewens verstaan ​​'n besigheid, as 'n reël, slegs die "top" vlak van sy IP - die besigheidstoepassings wat dit gebruik. Met ander woorde, IT-personeel is vaardig in hul spesifieke area. Daar is geen begrip van hoe al die "laer vlakke" werk nie: sagteware- en hardewarebeskerming, bergingstelsels, rugsteun en, natuurlik, hoe om beskermingsnutsmiddels in te stel in ooreenstemming met alle vereistes, bou die "hardeware"-deel van die konfigurasie. Dit is belangrik om te verstaan: dit is 'n groot laag kennis wat buite die kliënt se besigheid lê. Dit is waar die ervaring van 'n wolkverskaffer wat 'n gesertifiseerde "virtuele bedienerkamer" verskaf, handig te pas kan kom.

Op hul beurt het wolkverskaffers 'n aantal voordele wat, sonder oordrywing, 99% van besigheidsbehoeftes op die gebied van persoonlike databeskerming kan dek:

  • kapitaalkoste word in bedryfskoste omgeskakel;

  • die verskaffer, op sy beurt, waarborg die verskaffing van die vereiste vlak van sekuriteit en beskikbaarheid gebaseer op 'n bewese standaardoplossing;

  • dit is nie nodig om 'n personeel van spesialiste in stand te hou wat die werking van die ISPD op hardewarevlak sal verseker nie;

  • verskaffers bied baie meer buigsame en elastiese oplossings;

  • die verskaffer se spesialiste het al die nodige sertifikate;

  • voldoening is nie laer as wanneer jy jou eie argitektuur bou nie, met inagneming van die vereistes en aanbevelings van reguleerders.

Die ou mite dat persoonlike data nie in die wolke gestoor kan word nie, is steeds uiters gewild. Dit is net gedeeltelik waar: PD kan regtig nie geplaas word nie in die eerste een beskikbaar wolk. Voldoening aan sekere tegniese maatreëls en die gebruik van sekere gesertifiseerde oplossings word vereis. As die verskaffer aan alle wetlike vereistes voldoen, word die risiko's wat verband hou met die lekkasie van persoonlike data tot die minimum beperk. Baie verskaffers het 'n aparte infrastruktuur vir die verwerking van persoonlike data in ooreenstemming met 152-FZ. Die keuse van verskaffer moet egter ook benader word met kennis van sekere kriteria ons sal dit beslis hieronder aanraak. 

Kliënte kom dikwels na ons toe met sekere kommer oor die plasing van persoonlike data in die verskaffer se wolk. Wel, kom ons bespreek hulle dadelik.

  • Data kan gesteel word tydens oordrag of migrasie

Dit is nie nodig om hiervoor bang te wees nie - die verskaffer bied die kliënt die skepping van 'n veilige data-oordragkanaal gebou op gesertifiseerde oplossings, verbeterde verifikasiemaatreëls vir kontrakteurs en werknemers. Al wat oorbly is om die toepaslike beskermingsmetodes te kies en dit as deel van jou werk met die kliënt te implementeer.

  • Wysmaskers sal kom en krag na die bediener wegneem/verseël/afsny

Dit is heel verstaanbaar vir kliënte wat vrees dat hul besigheidsprosesse ontwrig sal word weens onvoldoende beheer oor die infrastruktuur. As 'n reël dink daardie kliënte wie se hardeware voorheen in klein bedienerkamers eerder as gespesialiseerde datasentrums geleë was hieroor. In werklikheid is datasentrums toegerus met moderne middele van beide fisiese en inligtingbeskerming. Dit is byna onmoontlik om enige bedrywighede in so 'n datasentrum uit te voer sonder voldoende gronde en dokumente, en sulke aktiwiteite vereis nakoming van 'n aantal prosedures. Daarbenewens kan die "trek" van jou bediener van die datasentrum ander kliënte van die verskaffer beïnvloed, en dit is beslis vir niemand nodig nie. Daarbenewens sal niemand 'n vinger spesifiek na "jou" virtuele bediener kan wys nie, so as iemand dit wil steel of 'n maskervertoning wil opvoer, sal hulle eers baie burokratiese vertragings moet hanteer. Gedurende hierdie tyd sal jy heel waarskynlik tyd hê om verskeie kere na 'n ander werf te migreer.

  • Hackers sal die wolk hack en data steel

Die internet en gedrukte pers is vol nuus oor hoe nog 'n wolk die slagoffer van kubermisdadigers geword het, en miljoene persoonlike datarekords het aanlyn uitgelek. In die oorgrote meerderheid van gevalle is kwesbaarhede glad nie aan die verskaffer se kant gevind nie, maar in die slagoffers se inligtingstelsels: swak of selfs verstekwagwoorde, “gate” in webwerf-enjins en databasisse, en banale sake-agteloosheid by die keuse van sekuriteitsmaatreëls en datatoegangsprosedures te organiseer. Alle gesertifiseerde oplossings word nagegaan vir kwesbaarhede. Ons doen ook gereeld “beheer”-toetse en sekuriteitsoudits, beide onafhanklik en deur eksterne organisasies. Vir die verskaffer is dit 'n kwessie van reputasie en besigheid in die algemeen.

  • Die verskaffer/werknemers van die verskaffer sal persoonlike data vir persoonlike gewin steel

Dit is 'n taamlik sensitiewe oomblik. 'n Aantal maatskappye uit die inligtingsekuriteitswêreld "skrik" hul kliënte en dring daarop aan dat "interne werknemers gevaarliker is as hackers van buite." Dit kan in sommige gevalle waar wees, maar 'n besigheid kan nie sonder vertroue gebou word nie. Van tyd tot tyd flits nuus dat 'n organisasie se eie werknemers klantdata aan aanvallers uitlek, en interne sekuriteit is soms baie slegter georganiseer as eksterne sekuriteit. Dit is belangrik om hier te verstaan ​​dat enige groot verskaffer uiters ongeïnteresseerd is in negatiewe gevalle. Die optrede van die verskaffer se werknemers is goed gereguleer, rolle en verantwoordelikheidsareas is verdeel. Alle besigheidsprosesse is so gestruktureer dat gevalle van datalekkasie uiters onwaarskynlik is en altyd opvallend is vir interne dienste, so kliënte moet nie bang wees vir probleme van hierdie kant af nie.

  • Jy betaal min omdat jy vir dienste met jou besigheidsdata betaal.

Nog 'n mite: 'n kliënt wat veilige infrastruktuur teen 'n gerieflike prys huur, betaal eintlik daarvoor met sy data - dit word dikwels gedink deur kenners wat nie omgee om 'n paar samesweringsteorieë te lees voordat hy gaan slaap nie. Eerstens, die moontlikheid om enige bedrywighede uit te voer met jou data anders as dié wat in die bestelling gespesifiseer is, is in wese nul. Tweedens, 'n voldoende verskaffer waardeer die verhouding met jou en sy reputasie - behalwe jou, het hy baie meer kliënte. Die teenoorgestelde scenario is meer waarskynlik, waarin die verskaffer die data van sy kliënte, waarop sy besigheid berus, ywerig sal beskerm.

Die keuse van 'n wolkverskaffer vir ISPD

Vandag bied die mark baie oplossings vir maatskappye wat PD-operateurs is. Hieronder is 'n algemene lys van aanbevelings vir die keuse van die regte een.

  • Die verskaffer moet gereed wees om 'n formele ooreenkoms aan te gaan wat die verantwoordelikhede van die partye, SLA's en areas van verantwoordelikheid beskryf in die sleutel tot die verwerking van persoonlike data. Trouens, tussen jou en die verskaffer, benewens die diensooreenkoms, moet 'n bevel vir PD-verwerking onderteken word. In elk geval is dit die moeite werd om hulle noukeurig te bestudeer. Dit is belangrik om die verdeling van verantwoordelikhede tussen jou en die verskaffer te verstaan.

  • Neem asseblief kennis dat die segment aan die vereistes moet voldoen, wat beteken dit moet 'n sertifikaat hê wat 'n vlak van sekuriteit aandui wat nie laer is as wat deur jou IP vereis word nie. Dit gebeur dat verskaffers slegs die eerste bladsy van die sertifikaat publiseer, waaruit min duidelik is, of na oudits of voldoeningsprosedures verwys sonder om die sertifikaat self te publiseer (“was daar 'n seun?”). Dit is die moeite werd om daarvoor te vra - dit is 'n openbare dokument wat aandui wie die sertifisering, geldigheidstydperk, wolkligging, ens.

  • Die verskaffer moet inligting verskaf oor waar sy werwe (beskermde voorwerpe) geleë is sodat jy die plasing van jou data kan beheer. Laat ons u daaraan herinner dat die aanvanklike versameling van persoonlike data op die grondgebied van die Russiese Federasie uitgevoer moet word, dit is raadsaam om die adresse van die datasentrum in die kontrak/sertifikaat te sien.

  • Die verskaffer moet gesertifiseerde inligtingsekuriteit en inligtingbeskermingstelsels gebruik. Die meeste verskaffers adverteer natuurlik nie die tegniese sekuriteitsmaatreëls en oplossingsargitektuur wat hulle gebruik nie. Maar jy as kliënt kan nie anders as om daarvan te weet nie. Om byvoorbeeld op afstand aan 'n bestuurstelsel (bestuursportaal) te koppel, is dit nodig om sekuriteitsmaatreëls te gebruik. Die verskaffer sal nie hierdie vereiste kan omseil nie en sal vir jou gesertifiseerde oplossings voorsien (of vereis dat jy gebruik). Neem die hulpbronne vir 'n toets en jy sal dadelik verstaan ​​hoe en wat werk. 

  • Dit is hoogs wenslik dat die wolkverskaffer bykomende dienste op die gebied van inligtingsekuriteit lewer. Dit kan verskeie dienste wees: beskerming teen DDoS-aanvalle en WAF, antivirusdiens of sandbox, ens. Dit alles sal jou toelaat om beskerming as 'n diens te ontvang, om nie deur geboubeskermingstelsels afgelei te word nie, maar om aan besigheidstoepassings te werk.

  • Die verskaffer moet 'n lisensiehouer van FSTEC en FSB wees. As 'n reël word sulke inligting direk op die webwerf geplaas. Maak seker dat u hierdie dokumente aanvra en kyk of die adresse vir die verskaffing van dienste, die naam van die verskaffermaatskappy, ens. korrek is. 

Kom ons som op. Die huur van infrastruktuur sal jou toelaat om CAPEX te laat vaar en slegs jou besigheidstoepassings en die data self in jou verantwoordelikheidsgebied te behou, en die swaar las van sertifisering van hardeware en sagteware en hardeware aan die verskaffer oor te dra.

Hoe ons die sertifisering geslaag het

Mees onlangs het ons die hersertifisering van die infrastruktuur van die "Secure Cloud FZ-152" suksesvol geslaag vir voldoening aan die vereistes om met persoonlike data te werk. Die werk is deur die Nasionale Sertifiseringsentrum uitgevoer.

Tans is die "FZ-152 Secure Cloud" gesertifiseer om inligtingstelsels te huisves wat betrokke is by die verwerking, berging of oordrag van persoonlike data (ISPDn) in ooreenstemming met die vereistes van vlak UZ-3.

Die sertifiseringsprosedure behels die nagaan van die voldoening van die wolkverskaffer se infrastruktuur aan die vlak van beskerming. Die verskaffer self verskaf die IaaS-diens en is nie 'n operateur van persoonlike data nie. Die proses behels die assessering van beide organisatoriese (dokumentasie, bestellings, ens.) en tegniese maatreëls (opstel van beskermende toerusting, ens.).

Dit kan nie onbenullig genoem word nie. Ten spyte van die feit dat GOST oor programme en metodes vir die uitvoer van sertifiseringsaktiwiteite in 2013 verskyn het, bestaan ​​daar steeds nie streng programme vir wolkvoorwerpe nie. Sertifiseringsentrums ontwikkel hierdie programme op grond van hul eie kundigheid. Met die koms van nuwe tegnologieë word programme meer kompleks en gemoderniseer dienooreenkomstig, die sertifiseerder moet ondervinding hê om met wolkoplossings te werk en die besonderhede te verstaan.

In ons geval bestaan ​​die beskermde voorwerp uit twee liggings.

  • Wolkhulpbronne (bedieners, bergingstelsels, netwerkinfrastruktuur, sekuriteitsinstrumente, ens.) is direk in die datasentrum geleë. Natuurlik is so 'n virtuele datasentrum aan openbare netwerke gekoppel, en dienooreenkomstig moet daar aan sekere firewall-vereistes voldoen word, byvoorbeeld die gebruik van gesertifiseerde firewalls.

  • Die tweede deel van die voorwerp is wolkbestuurnutsmiddels. Dit is werkstasies (administrateur se werkstasies) vanwaar die beskermde segment bestuur word.

Liggings kommunikeer deur 'n VPN-kanaal wat op CIPF gebou is.

Aangesien virtualiseringstegnologiee voorwaardes skep vir die ontstaan ​​van bedreigings, gebruik ons ​​ook bykomende gesertifiseerde beskermingsinstrumente.

IaaS 152-FZ: so, jy het sekuriteit nodigBlokdiagram "deur die oë van die assessor"

As die kliënt sertifisering van sy ISPD benodig, sal hy, nadat hy IaaS gehuur het, slegs die inligtingstelsel bo die vlak van die virtuele datasentrum hoef te evalueer. Hierdie prosedure behels die nagaan van die infrastruktuur en sagteware wat daarop gebruik word. Aangesien u na die verskaffer se sertifikaat vir alle infrastruktuurkwessies kan verwys, hoef u net met die sagteware te werk.

IaaS 152-FZ: so, jy het sekuriteit nodigSkeiding op abstraksievlak

Ter afsluiting, hier is 'n klein kontrolelys vir maatskappye wat reeds met persoonlike data werk of net beplan. So, hoe om dit te hanteer sonder om verbrand te word.

  1. Om modelle van bedreigings en indringers te oudit en te ontwikkel, nooi 'n ervare konsultant uit die sertifiseringslaboratoriums wat sal help om die nodige dokumente te ontwikkel en jou na die stadium van tegniese oplossings te bring.

  2. Let op die teenwoordigheid van 'n sertifikaat wanneer u 'n wolkverskaffer kies. Dit sal goed wees as die maatskappy dit in die openbaar direk op die webwerf plaas. Die verskaffer moet 'n lisensiehouer van FSTEC en FSB wees, en die diens wat hy bied moet gesertifiseer wees.

  3. Maak seker dat jy 'n formele ooreenkoms en 'n getekende instruksie het vir die verwerking van persoonlike data. Op grond hiervan sal u beide 'n nakomingskontrole en ISPD-sertifisering kan uitvoer. As hierdie werk in die stadium van die tegniese projek en die skepping van ontwerp en tegniese dokumentasie vir u lastig lyk, moet u derdeparty-konsultasiemaatskappye kontak. uit die sertifiseringslaboratoriums.

As die kwessies van persoonlike dataverwerking vir jou relevant is, sal ons jou op 18 September, hierdie Vrydag, bly wees om jou by die webinar te sien "Kenmerke van die bou van gesertifiseerde wolke".

Bron: will.com

Voeg 'n opmerking