ProHoster > Блог > Administracija > IaaS 152-FZ: dakle, potrebna vam je sigurnost

IaaS 152-FZ: dakle, potrebna vam je sigurnost

IaaS 152-FZ: dakle, potrebna vam je sigurnost

Bez obzira koliko razriješite mitove i legende koje okružuju usklađenost sa 152-FZ, uvijek nešto ostaje iza kulisa. Danas želimo da razgovaramo o nekim ne uvek očiglednim nijansama sa kojima se mogu susresti i velike kompanije i veoma mala preduzeća:

  • suptilnosti PD klasifikacije u kategorije - kada mala internet prodavnica prikuplja podatke vezane za posebnu kategoriju, a da o tome i ne zna;

  • gdje možete pohraniti sigurnosne kopije prikupljenih PD-a i izvršiti operacije na njima;

  • koja je razlika između sertifikata i zaključka o usklađenosti, koje dokumente treba tražiti od provajdera i slično.

Na kraju, podijelit ćemo s vama vlastito iskustvo polaganja certifikata. Idi!

Stručnjak u današnjem članku će biti Alexey Afanasyev, IS specijalista za cloud provajdere IT-GRAD i #CloudMTS (dio MTS grupe).

Suptilnosti klasifikacije

Često se susrećemo sa željom klijenta da brzo, bez revizije IS-a, utvrdi potreban nivo sigurnosti za ISPD. Neki materijali na Internetu na ovu temu daju lažan utisak da je ovo jednostavan zadatak i da je prilično teško pogriješiti.

Za određivanje KM potrebno je razumjeti koje podatke će prikupljati i obrađivati ​​klijentov IS. Ponekad može biti teško nedvosmisleno odrediti zahtjeve zaštite i kategoriju ličnih podataka kojima preduzeće posluje. Isti tipovi ličnih podataka mogu se procijeniti i klasificirati na potpuno različite načine. Stoga se u nekim slučajevima mišljenje poslovanja može razlikovati od mišljenja revizora ili čak inspektora. Pogledajmo nekoliko primjera.

Parking. To bi izgledalo kao prilično tradicionalna vrsta poslovanja. Mnogi vozni parkovi rade decenijama, a njihovi vlasnici angažuju samostalne preduzetnike i fizička lica. Podaci o zaposlenima po pravilu potpadaju pod zahtjeve UZ-4. Međutim, za rad sa vozačima potrebno je ne samo prikupljanje ličnih podataka, već i obavljanje medicinske kontrole na teritoriji voznog parka prije odlaska u smjenu, a informacije prikupljene u tom procesu odmah spadaju u kategoriju medicinski podaci - a to su lični podaci posebne kategorije. Osim toga, flota može zatražiti certifikate, koji će se zatim čuvati u dosijeu vozača. Skeniranje takve potvrde u elektronskom obliku - zdravstveni podaci, lični podaci posebne kategorije. To znači da UZ-4 više nije dovoljan, potreban je barem UZ-3.

Online prodavnica. Čini se da prikupljena imena, e-mailovi i brojevi telefona uklapaju u javnu kategoriju. Međutim, ako vaši kupci navedu prehrambene preferencije, kao što su halal ili košer, takve informacije se mogu smatrati podacima o vjerskoj pripadnosti ili uvjerenjima. Stoga, prilikom provjere ili obavljanja drugih kontrolnih radnji, inspektor može podatke koje prikupljate svrstati u posebnu kategoriju ličnih podataka. Sada, ako bi internet prodavnica prikupila informacije o tome da li njen kupac preferira meso ili ribu, podaci bi se mogli klasifikovati kao drugi lični podaci. Usput, šta je sa vegetarijancima? Uostalom, to se može pripisati i filozofskim uvjerenjima, koja također spadaju u posebnu kategoriju. Ali s druge strane, to može biti jednostavno stav osobe koja je izbacila meso iz svoje prehrane. Nažalost, ne postoji znak koji bi nedvosmisleno definirao kategoriju PD u takvim „suptilnim“ situacijama.

Reklamne agencije Koristeći neki zapadni servis u oblaku, obrađuje javno dostupne podatke svojih klijenata - puna imena, adrese e-pošte i brojeve telefona. Ovi lični podaci se, naravno, odnose na lične podatke. Postavlja se pitanje: da li je legalno vršiti takvu obradu? Je li uopće moguće premjestiti takve podatke bez depersonalizacije izvan Ruske Federacije, na primjer, pohraniti sigurnosne kopije u neke strane oblake? Naravno da možete. Agencija ima pravo čuvati ove podatke izvan Rusije, međutim, početno prikupljanje, prema našem zakonodavstvu, mora se izvršiti na teritoriji Ruske Federacije. Ako napravite rezervnu kopiju takvih informacija, izračunate neku statistiku na osnovu njih, sprovedete istraživanje ili izvršite neke druge operacije sa njima - sve se to može uraditi na zapadnim resursima. Ključna tačka sa pravne tačke gledišta je gde se prikupljaju lični podaci. Stoga je važno ne brkati početno prikupljanje i obradu.

Kao što slijedi iz ovih kratkih primjera, rad s ličnim podacima nije uvijek jasan i jednostavan. Ne samo da morate znati da radite s njima, već i biti u stanju da ih ispravno klasifikujete, razumete kako IP funkcioniše kako biste ispravno odredili potreban nivo sigurnosti. U nekim slučajevima može se postaviti pitanje koliko je ličnih podataka zapravo potrebno organizaciji za rad. Da li je moguće odbiti „najozbiljnije“ ili jednostavno nepotrebne podatke? Osim toga, regulator preporučuje depersonalizaciju ličnih podataka gdje je to moguće. 

Kao iu gornjim primjerima, ponekad se možete susresti s činjenicom da inspekcijski organi prikupljene lične podatke tumače nešto drugačije nego što ste ih sami procijenili.

Naravno, možete angažovati revizora ili sistem integratora kao asistenta, ali da li će „asistent“ biti odgovoran za odluke koje se izaberu u slučaju revizije? Vrijedi napomenuti da odgovornost uvijek leži na vlasniku ISPD-a – operateru ličnih podataka. Zato je, kada kompanija obavlja takav posao, važno da se obrati ozbiljnim igračima na tržištu za takve usluge, na primjer, kompanijama koje obavljaju poslove sertifikacije. Kompanije za sertifikaciju imaju veliko iskustvo u obavljanju takvih poslova.

Opcije za izgradnju ISPD-a

Izgradnja ISPD-a nije samo tehničko, već i uglavnom pravno pitanje. CIO ili direktor sigurnosti uvijek treba da se konsultuje sa pravnim savetnikom. Budući da kompanija nema uvijek stručnjaka sa profilom koji vam je potreban, vrijedi se obratiti revizorima-konsultantima. Mnoge klizave tačke možda uopšte nisu očigledne.

Konsultacije će vam omogućiti da utvrdite sa kojim ličnim podacima imate posla i koji nivo zaštite im je potreban. U skladu s tim, dobićete ideju o IP-u koji treba kreirati ili dopuniti sigurnosnim i operativnim sigurnosnim mjerama.

Često je izbor za kompaniju između dvije opcije:

  1. Izgradite odgovarajući IS na vlastitim hardverskim i softverskim rješenjima, po mogućnosti u vlastitoj serverskoj sobi.

  2. Kontaktirajte provajdera u oblaku i izaberite elastično rešenje, već sertifikovanu „virtuelnu server sobu“.

Većina informacionih sistema za obradu ličnih podataka koristi tradicionalan pristup, koji se sa poslovne tačke gledišta teško može nazvati lakim i uspešnim. Prilikom odabira ove opcije potrebno je razumjeti da će tehnički dizajn uključivati ​​opis opreme, uključujući softverska i hardverska rješenja i platforme. To znači da ćete se morati suočiti sa sljedećim poteškoćama i ograničenjima:

  • poteškoće skaliranja;

  • dug period implementacije projekta: potrebno je odabrati, kupiti, instalirati, konfigurirati i opisati sistem;

  • puno “papirnog” posla, kao primjer - izrada kompletnog paketa dokumentacije za cijeli ISPD.

Osim toga, preduzeće, po pravilu, razumije samo “najviši” nivo svoje IP adrese – poslovne aplikacije koje koristi. Drugim riječima, IT osoblje je stručno u svojoj specifičnoj oblasti. Nema razumijevanja kako funkcioniraju svi “niži nivoi”: softverska i hardverska zaštita, sistemi za pohranu, backup i, naravno, kako konfigurirati alate zaštite u skladu sa svim zahtjevima, izgraditi “hardverski” dio konfiguracije. Važno je razumjeti: ovo je ogroman sloj znanja koji se nalazi izvan poslovanja klijenta. Ovdje može dobro doći iskustvo provajdera u oblaku koji pruža certificiranu „virtuelnu serversku sobu“.

Zauzvrat, cloud provajderi imaju niz prednosti koje, bez preterivanja, mogu pokriti 99% poslovnih potreba u oblasti zaštite ličnih podataka:

  • kapitalni troškovi se pretvaraju u operativne troškove;

  • provajder sa svoje strane garantuje obezbeđivanje potrebnog nivoa sigurnosti i dostupnosti na osnovu dokazanog standardnog rešenja;

  • nema potrebe za održavanjem osoblja stručnjaka koji će osigurati rad ISPD-a na hardverskom nivou;

  • provajderi nude mnogo fleksibilnija i elastičnija rješenja;

  • stručnjaci provajdera imaju sve potrebne certifikate;

  • usklađenost nije niža nego kod izgradnje vlastite arhitekture, uzimajući u obzir zahtjeve i preporuke regulatora.

Stari mit da se lični podaci ne mogu pohraniti u oblak još uvijek je izuzetno popularan. To je samo djelimično tačno: PD zaista ne može biti objavljen u prvom dostupnom oblak. Potrebna je usklađenost sa određenim tehničkim mjerama i korištenje određenih certificiranih rješenja. Ako se dobavljač pridržava svih zakonskih zahtjeva, rizici povezani s curenjem ličnih podataka su minimizirani. Mnogi provajderi imaju zasebnu infrastrukturu za obradu ličnih podataka u skladu sa 152-FZ. Međutim, izboru dobavljača se mora pristupiti i sa poznavanjem određenih kriterija, kojih ćemo se svakako dotaknuti u nastavku. 

Klijenti nam se često javljaju sa nedoumicama u vezi s postavljanjem ličnih podataka u oblak provajdera. Pa, razgovarajmo o njima odmah.

  • Podaci mogu biti ukradeni tokom prijenosa ili migracije

Toga se ne treba bojati - provajder nudi klijentu stvaranje sigurnog kanala za prijenos podataka izgrađenog na certificiranim rješenjima, poboljšanim mjerama autentifikacije za izvođače i zaposlenike. Ostaje samo da odaberete odgovarajuće metode zaštite i implementirate ih u okviru svog rada sa klijentom.

  • Show maske će doći i oduzeti/zapečatiti/isključiti napajanje serveru

Sasvim je razumljivo za kupce koji strahuju da će im poslovni procesi biti poremećeni zbog nedovoljne kontrole nad infrastrukturom. O tome po pravilu razmišljaju oni klijenti čiji se hardver ranije nalazio u malim server sobama, a ne u specijalizovanim data centrima. U stvarnosti, data centri su opremljeni savremenim sredstvima fizičke i informacione zaštite. Gotovo je nemoguće obavljati bilo kakve operacije u ovakvom data centru bez dovoljno osnova i papira, a takve aktivnosti zahtijevaju poštovanje niza procedura. Osim toga, "izvlačenje" vašeg servera iz data centra može uticati na druge klijente provajdera, a to definitivno nikome nije potrebno. Osim toga, niko neće moći uprijeti prstom konkretno u "vaš" virtuelni server, pa ako neko želi da ga ukrade ili priredi šou sa maskama, prvo će morati da se nosi sa gomilom birokratskih kašnjenja. Tokom ovog vremena, najvjerovatnije ćete imati vremena da nekoliko puta migrirate na drugu lokaciju.

  • Hakeri će hakovati oblak i ukrasti podatke

Internet i štampana štampa pune su naslova o tome kako je još jedan oblak postao žrtva sajber kriminalaca, a milioni zapisa o ličnim podacima procurili su na internet. U velikoj većini slučajeva ranjivosti nisu pronađene na strani provajdera, već u informacionim sistemima žrtava: slabe ili čak podrazumevane lozinke, „rupe“ u motorima i bazama podataka i banalna poslovna nepažnja pri odabiru bezbednosnih mera i organizovanje procedura pristupa podacima. Sva certificirana rješenja provjeravaju se na ranjivosti. Takođe redovno sprovodimo „kontrolne“ pentestove i bezbednosne provere, kako nezavisno tako i preko eksternih organizacija. Za provajdera je ovo pitanje ugleda i poslovanja općenito.

  • Provajder/zaposlenici provajdera će ukrasti lične podatke radi lične koristi

Ovo je prilično osjetljiv trenutak. Brojne kompanije iz svijeta informatičke sigurnosti “plaše” svoje klijente i insistiraju da su “interni zaposleni opasniji od vanjskih hakera”. Ovo može biti tačno u nekim slučajevima, ali posao se ne može izgraditi bez poverenja. S vremena na vrijeme bljesne vijesti da zaposleni u organizaciji propuštaju podatke o klijentima napadačima, a interna sigurnost je ponekad organizirana mnogo lošije od vanjske sigurnosti. Ovdje je važno shvatiti da je svaki veliki provajder izuzetno nezainteresovan za negativne slučajeve. Postupanje zaposlenih u provajderu je dobro regulisano, uloge i oblasti odgovornosti su podeljene. Svi poslovni procesi su struktuirani na način da su slučajevi curenja podataka izuzetno mali i uvijek su uočljivi internim službama, tako da se klijenti ne bi trebali bojati problema sa ove strane.

  • Plaćate malo jer usluge plaćate svojim poslovnim podacima.

Još jedan mit: klijent koji iznajmljuje sigurnu infrastrukturu po povoljnoj cijeni zapravo to plaća svojim podacima - to često misle stručnjaci kojima ne smeta da prije spavanja pročitaju nekoliko teorija zavjere. Prvo, mogućnost izvođenja bilo kakvih operacija s vašim podacima osim onih navedenih u narudžbi je u suštini nula. Drugo, adekvatan provajder cijeni odnos s vama i svoju reputaciju - osim vas, ima mnogo više klijenata. Verovatniji je suprotan scenario, u kojem će provajder revnosno štititi podatke svojih klijenata, na kojima počiva njegovo poslovanje.

Odabir provajdera u oblaku za ISPD

Danas tržište nudi mnoga rješenja za kompanije koje su PD operateri. Ispod je opća lista preporuka za odabir pravog.

  • Provajder mora biti spreman da uđe u formalni sporazum koji opisuje odgovornosti strana, SLA i područja odgovornosti u ključu za obradu ličnih podataka. Naime, između vas i provajdera, pored ugovora o usluzi, mora biti potpisan nalog za obradu PD-a. U svakom slučaju, vrijedi ih pažljivo proučiti. Važno je razumjeti podelu odgovornosti između vas i dobavljača.

  • Imajte na umu da segment mora ispunjavati zahtjeve, što znači da mora imati certifikat koji ukazuje na nivo sigurnosti koji nije niži od onog koji zahtijeva vaš IP. Dešava se da provajderi objavljuju samo prvu stranicu sertifikata, sa koje je malo šta jasno, ili se pozivaju na revizije ili procedure usklađenosti bez objavljivanja samog sertifikata („da li je bilo dečaka?“). Vrijedi ga tražiti - ovo je javni dokument koji pokazuje ko je izvršio certifikaciju, rok važenja, lokaciju u oblaku itd.

  • Provajder mora pružiti informacije o tome gdje se nalaze njegove stranice (zaštićeni objekti) kako biste mogli kontrolirati smještaj svojih podataka. Podsjetimo, početno prikupljanje ličnih podataka mora se izvršiti na teritoriji Ruske Federacije, te je u skladu s tim preporučljivo vidjeti adrese data centra u ugovoru/potvrdi.

  • Provajder mora koristiti sertifikovane sisteme za sigurnost informacija i zaštitu informacija. Naravno, većina provajdera ne reklamira tehničke mjere sigurnosti i arhitekturu rješenja koje koriste. Ali vi, kao klijent, ne možete a da ne znate za to. Na primjer, za daljinsko povezivanje na sistem upravljanja (management portal), potrebno je koristiti sigurnosne mjere. Provajder neće moći zaobići ovaj zahtjev i pružit će vam (ili zahtijevati da koristite) certificirana rješenja. Uzmite resurse na test i odmah ćete shvatiti kako i šta funkcionira. 

  • Veoma je poželjno da cloud provajder pruža dodatne usluge u oblasti informacione bezbednosti. To mogu biti različite usluge: zaštita od DDoS napada i WAF-a, antivirusni servis ili sandbox itd. Sve ovo će vam omogućiti da dobijete zaštitu kao uslugu, da vas ne ometaju sistemi zaštite zgrada, već da radite na poslovnim aplikacijama.

  • Provajder mora biti vlasnik licence FSTEC-a i FSB-a. U pravilu se takve informacije objavljuju direktno na web stranici. Obavezno zatražite ove dokumente i provjerite da li su tačne adrese za pružanje usluga, naziv kompanije provajdera itd. 

Hajde da sumiramo. Iznajmljivanje infrastrukture omogućit će vam da napustite CAPEX i zadržite samo svoje poslovne aplikacije i same podatke u vašem području odgovornosti, te prebacite težak teret sertifikacije hardvera i softvera i hardvera na provajdera.

Kako smo prošli certifikaciju

Nedavno smo uspješno prošli recertifikaciju infrastrukture „Secure Cloud FZ-152“ za usklađenost sa zahtjevima za rad s ličnim podacima. Radove je izveo Nacionalni centar za sertifikaciju.

Trenutno je “FZ-152 Secure Cloud” certificiran za smještaj informacionih sistema uključenih u obradu, skladištenje ili prijenos ličnih podataka (ISPDn) u skladu sa zahtjevima nivoa UZ-3.

Procedura sertifikacije uključuje provjeru usklađenosti infrastrukture cloud provajdera sa nivoom zaštite. Sam provajder pruža IaaS uslugu i nije operater ličnih podataka. Proces uključuje procjenu kako organizacionih (dokumentacija, nalozi, itd.) tako i tehničkih mjera (postavljanje zaštitne opreme i sl.).

To se ne može nazvati trivijalnim. Unatoč činjenici da se GOST o programima i metodama za provođenje aktivnosti certifikacije pojavio još 2013. godine, strogi programi za objekte u oblaku još uvijek ne postoje. Certifikacijski centri razvijaju ove programe na osnovu vlastite stručnosti. Pojavom novih tehnologija, programi postaju složeniji i modernizirani, shodno tome, certifikator mora imati iskustvo u radu s cloud rješenjima i razumjeti specifičnosti.

U našem slučaju zaštićeni objekat se sastoji od dvije lokacije.

  • Cloud resursi (serveri, sistemi za skladištenje podataka, mrežna infrastruktura, sigurnosni alati, itd.) nalaze se direktno u data centru. Naravno, takav virtuelni data centar je povezan sa javnim mrežama, te shodno tome moraju biti ispunjeni određeni zahtevi za firewall, na primer, korišćenje sertifikovanih firewall-a.

  • Drugi dio objekta su alati za upravljanje oblakom. To su radne stanice (radne stanice administratora) sa kojih se upravlja zaštićenim segmentom.

Lokacije komuniciraju putem VPN kanala izgrađenog na CIPF-u.

Budući da tehnologije virtuelizacije stvaraju preduslove za nastanak prijetnji, koristimo i dodatne certificirane alate zaštite.

IaaS 152-FZ: dakle, potrebna vam je sigurnostBlok dijagram "očima ocjenjivača"

Ukoliko klijent zahtijeva sertifikaciju svog ISPD-a, nakon iznajmljivanja IaaS-a, morat će samo procijeniti informacioni sistem iznad nivoa virtuelnog data centra. Ovaj postupak uključuje provjeru infrastrukture i softvera koji se na njoj koristi. Budući da se za sva infrastrukturna pitanja možete pozvati na certifikat provajdera, sve što trebate učiniti je raditi sa softverom.

IaaS 152-FZ: dakle, potrebna vam je sigurnostRazdvajanje na nivou apstrakcije

U zaključku, evo male kontrolne liste za kompanije koje već rade sa ličnim podacima ili tek planiraju. Dakle, kako se nositi s tim a da se ne opečete.

  1. Za reviziju i razvoj modela prijetnji i uljeza pozovite iskusnog konsultanta iz sertifikacionih laboratorija koji će vam pomoći u izradi potrebne dokumentacije i dovesti vas u fazu tehničkih rješenja.

  2. Prilikom odabira provajdera u oblaku obratite pažnju na prisustvo sertifikata. Bilo bi dobro kada bi kompanija to javno objavila direktno na web stranici. Provajder mora imati licencu FSTEC-a i FSB-a, a usluga koju nudi mora biti sertifikovana.

  3. Uvjerite se da imate formalni ugovor i potpisano uputstvo za obradu ličnih podataka. Na osnovu toga, moći ćete da izvršite i provjeru usklađenosti i ISPD certifikaciju.Ako vam se ovaj posao u fazi tehničkog projekta i izrade projektno-tehničke dokumentacije čini opterećujućim, obratite se konsultantskim kućama treće strane iz redova sertifikacionih laboratorija.

Ukoliko su za Vas relevantna pitanja obrade ličnih podataka, 18. septembra, ovog petka, bit će nam drago vidjeti Vas na webinaru “Karakteristike izgradnje certificiranih oblaka”.

izvor: www.habr.com

Dodajte komentar