ProHoster > Bloc > Administració > IaaS 152-FZ: per tant, necessiteu seguretat

IaaS 152-FZ: per tant, necessiteu seguretat

IaaS 152-FZ: per tant, necessiteu seguretat

Per molt que resolgueu els mites i llegendes que envolten el compliment de 152-FZ, sempre queda alguna cosa darrere de les escenes. Avui volem parlar d'alguns matisos no sempre evidents que poden trobar tant les grans empreses com les molt petites:

  • subtileses de la classificació de PD en categories: quan una petita botiga en línia recull dades relacionades amb una categoria especial sense ni tan sols saber-ne;

  • on podeu emmagatzemar còpies de seguretat de la PD recollida i fer-hi operacions;

  • quina diferència hi ha entre un certificat i una conclusió de compliment, quins documents hauríeu de sol·licitar al proveïdor i coses com aquestes.

Finalment, compartirem amb vosaltres la nostra pròpia experiència de superació de la certificació. Va!

L'expert de l'article d'avui serà Alexei Afanasiev, especialista en SI per als proveïdors de núvol IT-GRAD i #CloudMTS (part del grup MTS).

Subtileses de la classificació

Sovint ens trobem amb el desig d'un client de determinar ràpidament, sense una auditoria d'IS, el nivell de seguretat necessari per a un ISPD. Alguns materials a Internet sobre aquest tema donen la falsa impressió que es tracta d'una tasca senzilla i que és bastant difícil equivocar-se.

Per determinar el KM, cal entendre quines dades recolliran i tractaran el SI del client. De vegades pot ser difícil determinar sense ambigüitats els requisits de protecció i la categoria de dades personals que opera una empresa. Els mateixos tipus de dades personals es poden avaluar i classificar de maneres completament diferents. Per tant, en alguns casos, l'opinió de l'empresa pot diferir de l'opinió de l'auditor o fins i tot de l'inspector. Vegem-ne uns quants exemples.

Aparcament. Semblaria un tipus de negoci força tradicional. Moltes flotes de vehicles funcionen des de fa dècades i els seus propietaris contracten empresaris individuals i particulars. Per regla general, les dades dels empleats entren sota els requisits de l'UZ-4. No obstant això, per treballar amb els conductors, és necessari no només recollir dades personals, sinó també dur a terme un control mèdic al territori de la flota de vehicles abans de fer un torn, i la informació recollida en el procés entra immediatament a la categoria de dades mèdiques, i es tracta de dades personals d'una categoria especial. A més, la flota pot sol·licitar certificats, que després es conservaran a l'expedient del conductor. Escaneig d'aquest certificat en forma electrònica: dades de salut, dades personals d'una categoria especial. Això vol dir que ja no n'hi ha prou amb UZ-4; com a mínim es requereix UZ-3.

Botiga en línia. Sembla que els noms, correus electrònics i números de telèfon recollits encaixen en la categoria pública. Tanmateix, si els vostres clients indiquen preferències dietètiques, com ara halal o kosher, aquesta informació es pot considerar afiliació religiosa o dades de creences. Per tant, en comprovar o dur a terme altres activitats de control, l'inspector pot classificar les dades que reculli com a categoria especial de dades personals. Ara, si una botiga en línia recopilava informació sobre si el seu comprador prefereix la carn o el peix, les dades es podrien classificar com a altres dades personals. Per cert, què passa amb els vegetarians? Després de tot, això també es pot atribuir a les creences filosòfiques, que també pertanyen a una categoria especial. Però, d'altra banda, aquesta pot ser simplement l'actitud d'una persona que ha eliminat la carn de la seva dieta. Per desgràcia, no hi ha cap senyal que defineixi sense ambigüitats la categoria de PD en situacions tan "subtils".

Agència de publicitat Utilitzant algun servei al núvol occidental, processa les dades disponibles públicament dels seus clients: noms complets, adreces de correu electrònic i números de telèfon. Aquestes dades personals, per descomptat, es relacionen amb dades personals. Es planteja la pregunta: és legal dur a terme aquest tractament? Fins i tot és possible moure aquestes dades sense despersonalització fora de la Federació Russa, per exemple, per emmagatzemar còpies de seguretat en alguns núvols estrangers? Per descomptat que pot. L'Agència té el dret d'emmagatzemar aquestes dades fora de Rússia, però, la recollida inicial, segons la nostra legislació, s'ha de dur a terme al territori de la Federació Russa. Si feu una còpia de seguretat d'aquesta informació, calculeu algunes estadístiques basades en ella, feu investigacions o realitzeu altres operacions amb ella, tot això es pot fer amb recursos occidentals. El punt clau des del punt de vista legal és on es recullen les dades personals. Per tant, és important no confondre la recollida inicial i el processament.

Com es desprèn d'aquests breus exemples, treballar amb dades personals no sempre és senzill i senzill. Cal no només saber que esteu treballant amb ells, sinó també poder classificar-los correctament, entendre com funciona la IP per determinar correctament el nivell de seguretat requerit. En alguns casos, pot sorgir la pregunta de quantes dades personals realment necessita l'organització per operar. És possible rebutjar les dades més “greus” o simplement innecessàries? A més, el regulador recomana despersonalitzar les dades personals sempre que sigui possible. 

Com en els exemples anteriors, de vegades podeu trobar-vos amb el fet que les autoritats d'inspecció interpreten les dades personals recollides d'una manera lleugerament diferent del que vosaltres mateixos les vau avaluar.

Per descomptat, podeu contractar un auditor o un integrador de sistemes com a assistent, però l'"assistent" serà responsable de les decisions escollides en cas d'auditoria? Val la pena assenyalar que la responsabilitat sempre recau en el propietari de l'ISPD, l'operador de dades personals. Per això, quan una empresa realitza aquest tipus de treball, és important recórrer a actors seriosos del mercat d'aquests serveis, per exemple, empreses que realitzen treballs de certificació. Les empreses de certificació tenen una àmplia experiència en la realització d'aquests treballs.

Opcions per construir un ISPD

La construcció d'un ISPD no és només una qüestió tècnica, sinó també en gran mesura legal. El CIO o el director de seguretat sempre han de consultar amb un assessor legal. Com que l'empresa no sempre disposa d'un especialista amb el perfil que necessiteu, val la pena mirar cap als auditors-assessors. Molts punts relliscosos poden no ser evidents.

La consulta us permetrà determinar amb quines dades personals esteu tractant i quin nivell de protecció requereixen. En conseqüència, tindreu una idea de la IP que cal crear o complementar amb mesures de seguretat i operativa.

Sovint, l'elecció d'una empresa és entre dues opcions:

  1. Creeu l'IS corresponent a les vostres pròpies solucions de maquinari i programari, possiblement a la vostra sala de servidors.

  2. Contacta amb un proveïdor de núvol i tria una solució elàstica, una "sala de servidors virtuals" ja certificada.

La majoria dels sistemes d'informació que tracten dades personals utilitzen un enfocament tradicional que, des d'un punt de vista empresarial, difícilment es pot qualificar de fàcil i d'èxit. En triar aquesta opció, cal entendre que el disseny tècnic inclourà una descripció de l'equip, incloses solucions i plataformes de programari i maquinari. Això vol dir que hauràs d'enfrontar-te a les següents dificultats i limitacions:

  • dificultat per escalar;

  • llarg període d'execució del projecte: cal seleccionar, comprar, instal·lar, configurar i descriure el sistema;

  • molta feina "en paper", com a exemple: el desenvolupament d'un paquet complet de documentació per a tot l'ISPD.

A més, una empresa, per regla general, només entén el nivell "superior" de la seva IP: les aplicacions empresarials que utilitza. En altres paraules, el personal informàtic està qualificat en la seva àrea específica. No s'entén com funcionen tots els "nivells inferiors": protecció de programari i maquinari, sistemes d'emmagatzematge, còpia de seguretat i, per descomptat, com configurar les eines de protecció d'acord amb tots els requisits, crear la part de "maquinari" de la configuració. És important entendre: aquesta és una gran capa de coneixement que es troba fora del negoci del client. Aquí és on l'experiència d'un proveïdor de núvol que proporciona una "sala de servidor virtual" certificada pot ser útil.

Al seu torn, els proveïdors de núvol tenen una sèrie d'avantatges que, sense exagerar, poden cobrir el 99% de les necessitats empresarials en l'àmbit de la protecció de dades personals:

  • els costos de capital es converteixen en costos operatius;

  • el proveïdor, per la seva banda, garanteix la prestació del nivell de seguretat i disponibilitat requerit a partir d'una solució estàndard contrastada;

  • no cal mantenir una plantilla d'especialistes que vetlli pel funcionament de l'ISPD a nivell de maquinari;

  • els proveïdors ofereixen solucions molt més flexibles i elàstiques;

  • els especialistes del proveïdor tenen tots els certificats necessaris;

  • el compliment no és menor que quan es construeix la seva pròpia arquitectura, tenint en compte els requisits i recomanacions dels reguladors.

El vell mite que les dades personals no es poden emmagatzemar al núvol segueix sent molt popular. Només en part és cert: realment no es pot publicar PD en el primer disponible núvol. Es requereix el compliment de determinades mesures tècniques i l'ús de determinades solucions certificades. Si el proveïdor compleix tots els requisits legals, es minimitzen els riscos associats a la fuga de dades personals. Molts proveïdors tenen una infraestructura separada per processar dades personals d'acord amb 152-FZ. No obstant això, l'elecció del proveïdor també s'ha d'abordar amb el coneixement d'uns criteris, sens dubte els tocarem a continuació. 

Els clients solen venir a nosaltres amb algunes preocupacions sobre la col·locació de dades personals al núvol del proveïdor. Bé, parlem-ne de seguida.

  • Les dades es poden robar durant la transmissió o la migració

No cal tenir por d'això: el proveïdor ofereix al client la creació d'un canal de transmissió de dades segur basat en solucions certificades, mesures d'autenticació millorades per a contractistes i empleats. Només queda triar els mètodes de protecció adequats i implementar-los com a part del vostre treball amb el client.

  • Mostra les màscares vindran i emportaran/segellaran/tallaran l'alimentació al servidor

És bastant comprensible per als clients que temen que els seus processos empresarials es veuran interromputs a causa d'un control insuficient sobre la infraestructura. Per regla general, aquells clients el maquinari dels quals es trobava anteriorment en petites sales de servidors en lloc de centres de dades especialitzats pensen en això. En realitat, els centres de dades estan equipats amb mitjans moderns de protecció tant física com de la informació. És gairebé impossible dur a terme cap operació en un centre de dades d'aquest tipus sense motius i documents suficients, i aquestes activitats requereixen el compliment d'una sèrie de procediments. A més, "treure" el vostre servidor des del centre de dades pot afectar altres clients del proveïdor, i això definitivament no és necessari per a ningú. A més, ningú podrà assenyalar específicament el "teu" servidor virtual, de manera que si algú vol robar-lo o fer un espectacle de màscares, primer haurà de fer front a molts retards burocràtics. Durant aquest temps, probablement tindreu temps per migrar a un altre lloc diverses vegades.

  • Els pirates informàtics piratejaran el núvol i robaran dades

Internet i la premsa impresa estan plenes de titulars sobre com un altre núvol ha estat víctima dels ciberdelinqüents, i milions de registres de dades personals s'han filtrat en línia. En la gran majoria dels casos, les vulnerabilitats no es van trobar del costat del proveïdor, sinó en els sistemes d'informació de les víctimes: contrasenyes dèbils o fins i tot predeterminades, "forats" en els motors de llocs web i bases de dades, i banal negligència empresarial a l'hora d'escollir mesures de seguretat i organitzar els procediments d'accés a les dades. Totes les solucions certificades es revisen per detectar vulnerabilitats. També realitzem regularment pentests de "control" i auditories de seguretat, tant de manera independent com a través d'organitzacions externes. Per al proveïdor, això és una qüestió de reputació i de negoci en general.

  • El proveïdor/els empleats del proveïdor robaran les dades personals per obtenir beneficis personals

Aquest és un moment bastant sensible. Diverses empreses del món de la seguretat de la informació "espanten" els seus clients i insisteixen que "els empleats interns són més perillosos que els pirates informàtics externs". Això pot ser cert en alguns casos, però no es pot construir un negoci sense confiança. De tant en tant, apareixen notícies que els propis empleats d'una organització filtren les dades dels clients als atacants i, de vegades, la seguretat interna s'organitza molt pitjor que la seguretat externa. És important entendre aquí que qualsevol gran proveïdor no està molt interessat en els casos negatius. Les accions dels empleats del proveïdor estan ben regulades, els rols i les àrees de responsabilitat estan dividides. Tots els processos de negoci s'estructuren de manera que els casos de fuga de dades són extremadament improbables i sempre són perceptibles als serveis interns, de manera que els clients no haurien de tenir por dels problemes d'aquest costat.

  • Pagueu poc perquè pagueu serveis amb les vostres dades empresarials.

Un altre mite: un client que lloga una infraestructura segura a un preu còmode, realment ho paga amb les seves dades; això ho pensen sovint els experts que no els importa llegir un parell de teories de conspiració abans d'anar a dormir. En primer lloc, la possibilitat de realitzar qualsevol operació amb les seves dades diferents de les especificades a la comanda és essencialment nul·la. En segon lloc, un proveïdor adequat valora la relació amb tu i la seva reputació; a més de tu, té molts més clients. És més probable l'escenari contrari, en què el proveïdor protegirà amb zel les dades dels seus clients, sobre els quals descansa el seu negoci.

Escollir un proveïdor de núvol per a ISPD

Actualment, el mercat ofereix moltes solucions per a les empreses que són operadores de PD. A continuació es mostra una llista general de recomanacions per triar la correcta.

  • El proveïdor ha d'estar preparat per subscriure un acord formal que descrigui les responsabilitats de les parts, els SLA i les àrees de responsabilitat en la clau del tractament de les dades personals. De fet, entre vostè i el proveïdor, a més de l'acord de servei, s'ha de signar una ordre de tramitació de la PD. En qualsevol cas, val la pena estudiar-los amb atenció. És important entendre la divisió de responsabilitats entre vostè i el proveïdor.

  • Tingueu en compte que el segment ha de complir els requisits, és a dir, ha de tenir un certificat que indiqui un nivell de seguretat no inferior a l'exigit per la vostra IP. Succeeix que els proveïdors publiquen només la primera pàgina del certificat, de la qual queda poc clar, o fan referència a auditories o procediments de compliment sense publicar el propi certificat (“hi havia un noi?”). Val la pena demanar-ho: aquest és un document públic que indica qui va realitzar la certificació, període de validesa, ubicació del núvol, etc.

  • El proveïdor ha de proporcionar informació sobre on es troben els seus llocs (objectes protegits) perquè pugueu controlar la ubicació de les vostres dades. Us recordem que la recollida inicial de dades personals s'ha de dur a terme al territori de la Federació Russa; per tant, és recomanable veure les adreces del centre de dades al contracte/certificat.

  • El proveïdor ha d'utilitzar sistemes certificats de seguretat i protecció de la informació. Per descomptat, la majoria de proveïdors no anuncien les mesures de seguretat tècniques i l'arquitectura de solucions que utilitzen. Però tu, com a client, no pots deixar de saber-ho. Per exemple, per connectar-se de forma remota a un sistema de gestió (portal de gestió), cal utilitzar mesures de seguretat. El proveïdor no podrà saltar aquest requisit i us proporcionarà (o us demanarà que utilitzeu) solucions certificades. Agafeu els recursos per a una prova i de seguida entendreu com i què funciona. 

  • És molt desitjable que el proveïdor de núvol proporcioni serveis addicionals en l'àmbit de la seguretat de la informació. Aquests poden ser diversos serveis: protecció contra atacs DDoS i WAF, servei antivirus o sandbox, etc. Tot això et permetrà rebre protecció com a servei, no deixar-te distret amb la construcció de sistemes de protecció, sinó treballar en aplicacions empresarials.

  • El proveïdor ha de ser titular de llicència de FSTEC i FSB. Per regla general, aquesta informació es publica directament al lloc web. Assegureu-vos de sol·licitar aquests documents i comprovar si les adreces de prestació de serveis, el nom de l'empresa proveïdora, etc. són correctes. 

Resumim. El lloguer d'infraestructures us permetrà abandonar CAPEX i retenir només les vostres aplicacions empresarials i les dades en si en la vostra àrea de responsabilitat, i transferir la gran càrrega de certificació de maquinari i programari i maquinari al proveïdor.

Com vam passar la certificació

Més recentment, hem aprovat amb èxit la recertificació de la infraestructura del "Secure Cloud FZ-152" per complir amb els requisits per treballar amb dades personals. El treball ha estat realitzat pel Centre Nacional de Certificació.

Actualment, el “FZ-152 Secure Cloud” està certificat per allotjar sistemes d'informació implicats en el tractament, emmagatzematge o transmissió de dades personals (ISPDn) d'acord amb els requisits del nivell UZ-3.

El procediment de certificació consisteix a comprovar el compliment de la infraestructura del proveïdor del núvol amb el nivell de protecció. El propi proveïdor proporciona el servei IaaS i no és un operador de dades personals. El procés implica la valoració de mesures tant organitzatives (documentació, comandes, etc.) com tècniques (configuració d'equips de protecció, etc.).

No es pot dir trivial. Malgrat que el 2013 va aparèixer GOST sobre programes i mètodes per dur a terme activitats de certificació, encara no existeixen programes estrictes per a objectes en núvol. Els centres de certificació desenvolupen aquests programes a partir de la seva pròpia experiència. Amb l'arribada de les noves tecnologies, els programes es tornen més complexos i modernitzats; per tant, el certificador ha de tenir experiència treballant amb solucions al núvol i entendre les especificitats.

En el nostre cas, l'objecte protegit consta de dues ubicacions.

  • Els recursos del núvol (servidors, sistemes d'emmagatzematge, infraestructura de xarxa, eines de seguretat, etc.) es troben directament al centre de dades. Per descomptat, aquest centre de dades virtual està connectat a xarxes públiques i, per tant, s'han de complir determinats requisits de tallafoc, per exemple, l'ús de tallafocs certificats.

  • La segona part de l'objecte són les eines de gestió del núvol. Són estacions de treball (estacions de treball de l'administrador) des de les quals es gestiona el segment protegit.

Les ubicacions es comuniquen mitjançant un canal VPN construït a CIPF.

Com que les tecnologies de virtualització creen condicions prèvies per a l'aparició d'amenaces, també fem servir eines de protecció certificades addicionals.

IaaS 152-FZ: per tant, necessiteu seguretatDiagrama de blocs "a través dels ulls de l'avaluador"

Si el client requereix la certificació del seu ISPD, després de llogar IaaS, només haurà d'avaluar el sistema d'informació per sobre del nivell del centre de dades virtual. Aquest procediment consisteix a comprovar la infraestructura i el programari utilitzat en ell. Com que podeu consultar el certificat del proveïdor per a tots els problemes d'infraestructura, tot el que heu de fer és treballar amb el programari.

IaaS 152-FZ: per tant, necessiteu seguretatSeparació a nivell d'abstracció

En conclusió, aquí teniu una petita llista de verificació per a les empreses que ja estan treballant amb dades personals o només estan planejant. Així doncs, com manejar-lo sense cremar-se.

  1. Per auditar i desenvolupar models d'amenaces i intrusos, convideu a un consultor experimentat d'entre els laboratoris de certificació que us ajudarà a desenvolupar els documents necessaris i us portarà a l'etapa de solucions tècniques.

  2. Quan escolliu un proveïdor de núvol, presteu atenció a la presència d'un certificat. Seria bo que l'empresa ho pengés públicament directament al lloc web. El proveïdor ha de ser llicenciat de FSTEC i FSB, i el servei que ofereix ha d'estar certificat.

  3. Assegureu-vos que teniu un acord formal i una instrucció signada per al tractament de dades personals. A partir d'això, podràs realitzar tant una comprovació de compliment com una certificació ISPD.Si aquesta feina en l'etapa del projecte tècnic i la creació del disseny i la documentació tècnica us sembla onerosa, heu de posar-vos en contacte amb empreses consultores alienes. entre els laboratoris de certificació.

Si els temes del tractament de dades personals són rellevants per a vostè, el 18 de setembre, aquest divendres, estarem encantats de veure't al webinar "Característiques de la creació de núvols certificats".

Font: www.habr.com

Afegeix comentari