ProHoster > Blog > Amministrazione > IaaS 152-FZ: cusì, avete bisognu di sicurità

IaaS 152-FZ: cusì, avete bisognu di sicurità

IaaS 152-FZ: cusì, avete bisognu di sicurità

Ùn importa micca quantu sguassate i miti è e leggende chì circundanu u rispettu di 152-FZ, qualcosa ferma sempre daretu à e scene. Oghje vulemu discutiri alcune sfumature micca sempre evidenti chì sia e grande imprese è assai picculi imprese ponu scontru:

  • suttilità di a classificazione PD in categurie - quandu una piccula tenda in linea raccoglie dati in relazione à una categuria speciale senza mancu sapè;

  • induve pudete almacenà e copie di salvezza di PD raccolti è eseguisce operazioni nantu à elli;

  • chì hè a diffarenza trà un certificatu è una cunclusione di cunfurmità, chì documenti duvete dumandà à u fornitore, è cose cusì.

Infine, sparteremu cun voi a nostra sperienza di passà a certificazione. Vai !

L'espertu in l'articulu d'oghje serà Alexey Afanasyev, IS specialista per i fornitori di nuvola IT-GRAD è #CloudMTS (parti di u gruppu MTS).

Sutilezza di a classificazione

Spessu scontru u desideriu di un cliente per rapidamente, senza un auditu IS, determinà u livellu di sicurità necessariu per un ISPD. Certi materiali in Internet nantu à questu tema dà a falsa impressione chì questu hè un compitu simplice è hè abbastanza difficiule di fà un sbagliu.

Per determinà KM, hè necessariu di capiscenu quali dati seranu cullucati è processati da u IS di u cliente. A volte pò esse difficiule di determinà senza ambiguità i requisiti di prutezzione è a categuria di dati persunali chì opera una impresa. I stessi tipi di dati persunali ponu esse valutati è classificati in modu completamente diffirenti. Dunque, in certi casi, l'opinione di l'affari pò differisce da l'opinione di l'auditore o ancu di l'ispettore. Fighjemu uni pochi di esempi.

Parcheghju. Sembra un tipu di cummerciale abbastanza tradiziunale. Parechje flotte di veiculi operanu per decennii, è i so patroni impieganu imprenditori individuali è individui. In regula, i dati di l'impiegati sò sottumessi à i requisiti di UZ-4. Tuttavia, per travaglià cù i cunduttori, hè necessariu micca solu di cullà i dati persunali, ma ancu di realizà u cuntrollu medico nantu à u territoriu di a flotta di veiculi prima di andà in un turnu, è l'infurmazioni raccolte in u prucessu sò subitu in a categuria di dati medichi - è questu hè dati persunali di una categuria speciale. Inoltre, a flotta pò dumandà certificati, chì saranu allora guardati in u schedariu di u cunduttore. Una scansione di un tali certificatu in forma elettronica - dati di salute, dati persunali di una categuria speciale. Questu significa chì UZ-4 ùn hè più abbastanza; almenu UZ-3 hè necessariu.

Store in linea. Sembra chì i nomi, l'email è i numeri di telefuni cullucati sò in a categuria publica. Tuttavia, se i vostri clienti indicanu preferenze dietetiche, cum'è halal o kosher, tali informazioni ponu esse cunsiderate affiliazione religiosa o dati di credenza. Per quessa, quandu cuntrolla o realizà altre attività di cuntrollu, l'ispettore pò classificà i dati chì cullate cum'è una categuria speciale di dati persunali. Avà, se una tenda in linea hà cullucatu infurmazione nantu à se u so cumpratore preferisce carne o pisci, i dati puderanu esse classificatu cum'è altri dati persunali. A propositu, chì ne di i vegetariani? Dopu tuttu, questu pò ancu esse attribuitu à e credenze filusòfiche, chì appartenenu ancu à una categuria speciale. Ma d'altra banda, questu pò esse solu l'attitudine di una persona chì hà eliminatu a carne da a so dieta. Alas, ùn ci hè micca un segnu chì definisce senza ambiguità a categuria di PD in tali situazioni "sottili".

Agenzia di publicità Utilizendu qualchì serviziu di nuvola occidentale, processa e dati dispunibuli publicamente di i so clienti - nomi completi, indirizzi email è numeri di telefunu. Sti dati persunali, di sicuru, riguardanu dati persunali. A quistione hè: hè legale per realizà un tali trattamentu? Hè ancu pussibule di spustà tali dati senza depersonalizazione fora di a Federazione Russa, per esempiu, per almacenà backups in certi nuvuli stranieri? Di sicuru, pudete. L'Agenzia hà u dirittu di almacenà sta dati fora di Russia, però, a cullizzioni iniziale, secondu a nostra legislazione, deve esse realizatu in u territoriu di a Federazione Russa. Se fate una copia di salvezza di tali informazioni, calculate alcune statistiche basate nantu à questu, fà ricerche o fà altre operazioni cù questu - tuttu questu pò esse fattu nantu à risorse occidentali. U puntu chjave da un puntu di vista legale hè induve e dati persunali sò cullate. Hè dunque impurtante ùn cunfundà a cullizzioni iniziale è a trasfurmazioni.

Comu seguita da questi brevi esempi, travaglià cù dati persunali ùn hè micca sempre simplice è simplice. Avete bisognu di sapè micca solu chì travagliate cun elli, ma ancu di pudè classificà currettamente, capisce cumu funziona l'IP per determinà currettamente u livellu di sicurità necessariu. In certi casi, a quistione pò esse di quantu dati persunali l'urganizazione hà veramente bisognu di operare. Hè pussibule di ricusà i dati più "serii" o simpliciamente inutili? Inoltre, u regulatore ricumanda di depersonalizà e dati persunali induve pussibule. 

Cum'è in l'esempii sopra, qualchì volta pudete scontru u fattu chì l'autorità di ispezione interpretanu i dati persunali raccolti in una manera ligeramente diversa da quella chì avete valutatu.

Di sicuru, pudete impiegà un auditore o un integratore di sistema cum'è assistente, ma l'"assistente" serà rispunsevuli di e decisioni scelte in casu d'auditu? Hè nutate chì a rispunsabilità hè sempre cù u pruprietariu di l'ISPD - l'operatore di dati persunali. Hè per quessa, quandu una sucità rializeghja tali travagliu, hè impurtante di vultà à attori serii in u mercatu per tali servizii, per esempiu, cumpagnie chì facenu un travagliu di certificazione. L'imprese di certificazione anu una larga sperienza in a realizazione di tali travagli.

Opzioni per custruisce un ISPD

A custruzzione di un ISPD ùn hè micca solu un prublema tecnicu, ma ancu largamente un prublema legale. U CIO o u direttore di sicurità deve sempre cunsultà cun un cunsigliu legale. Siccomu a cumpagnia ùn hà micca sempre un specialistu cù u prufilu chì avete bisognu, vale a pena guardà versu auditori-cunsulenti. Parechji punti slippery pò esse micca evidenti in tuttu.

A cunsultazione vi permetterà di determinà quali dati persunali avete trattatu è chì livellu di prutezzione hè bisognu. In cunsiquenza, averete una idea di l'IP chì deve esse creatu o cumplementatu cù misure di sicurezza è operative.

Spessu a scelta per una cumpagnia hè trà duie opzioni:

  1. Custruite l'IS currispundenti nantu à e vostre solu suluzioni hardware è software, possibbilmente in a vostra stanza di u servitore.

  2. Cuntattate un fornitore di nuvola è sceglite una suluzione elastica, una "sala di servitore virtuale" digià certificata.

A maiò parte di i sistemi d'informazioni chì trattanu e dati persunali utilizanu un accostu tradiziunale, chì, da un puntu di vista cummerciale, ùn pò micca esse chjamatu faciule è successu. Quandu sceglite sta opzione, hè necessariu di capisce chì u disignu tecnicu includerà una descrizzione di l'equipaggiu, cumpresi suluzioni software è hardware è e plataforme. Questu significa chì avete da affruntà e seguenti difficultà è limitazioni:

  • difficultà di scala;

  • longu periodu di implementazione di u prugettu: hè necessariu di selezziunà, cumprà, stallà, cunfigurà è discriva u sistema;

  • assai travagliu di "carta", cum'è un esempiu - u sviluppu di un pacchettu cumpletu di documentazione per tuttu u ISPD.

Inoltre, un affari, in regula, capisce solu u livellu "top" di a so IP - l'applicazioni cummerciale chì usa. In altre parolle, u persunale di l'IT hè qualificatu in a so area specifica. Ùn ci hè micca una cunniscenza di cumu tutti i "livelli più bassi" travaglianu: prutezzione di software è hardware, sistemi di almacenamento, copia di salvezza è, sicuru, cumu cunfigurà strumenti di prutezzione in cunfurmità cù tutti i requisiti, custruisce a parte "hardware" di a cunfigurazione. Hè impurtante di capiscenu: questu hè una grande capa di cunniscenza chì si trova fora di l'affari di u cliente. Questu hè induve l'esperienza di un fornitore di nuvola chì furnisce una "sala di servitore virtuale" certificata pò esse utile.

A so volta, i fornitori di nuvola anu una quantità di vantaghji chì, senza esagerazione, ponu copre u 99% di i bisogni di l'affari in u campu di a prutezzione di dati persunali:

  • i costi di capitale sò cunvertiti in costi operativi;

  • u fornitore, da a so parte, guarantisci a prestazione di u livellu di sicurità è dispunibilità necessariu basatu nantu à una suluzione standard pruvata;

  • ùn ci hè bisognu di mantene un staffu di specialisti chì assicurà l'operazione di l'ISPD à u livellu di hardware;

  • i fornituri offrenu suluzioni assai più flessibili è elastiche;

  • i specialisti di u fornitore anu tutti i certificati necessarii;

  • u cumplimentu ùn hè micca più bassu di quandu custruisce a vostra propria architettura, tenendu in contu i requisiti è i cunsiglii di i regulatori.

U vechju mitu chì i dati persunali ùn ponu esse guardati in u nuvulu hè sempre assai populari. Hè solu parzialmente veru: PD ùn pò micca esse publicatu in u primu dispunibule nuvola. U rispettu di certe misure tecniche è l'usu di certe soluzioni certificate sò richiesti. Se u fornitore rispetta tutti i requisiti legali, i risichi assuciati à a fuga di dati persunali sò minimizzati. Parechji fornituri anu una infrastruttura separata per u trattamentu di e dati persunali in cunfurmità cù 152-FZ. Tuttavia, a scelta di u fornitore deve esse ancu avvicinata cun a cunniscenza di certi criterii; certamenti li toccaremu quì sottu. 

I clienti spessu venenu à noi cù qualchì preoccupazione nantu à a piazza di dati persunali in u nuvulu di u fornitore. Ebbè, discutemu subitu.

  • I dati ponu esse arrubati durante a trasmissione o migrazione

Ùn ci hè micca bisognu di paura di questu - u fornitore offre à u cliente a creazione di un canale di trasmissione di dati sicuru custruitu nantu à soluzioni certificate, misure d'autentificazione rinfurzate per i contractors è l'impiegati. Tuttu ciò chì resta hè di sceglie i metudi di prutezzione apprupriati è implementà cum'è parte di u vostru travagliu cù u cliente.

  • Mostra i maschere venenu è piglianu / sigillanu / taglianu u putere à u servitore

Hè abbastanza comprensibile per i clienti chì temenu chì i so prucessi di cummerciale seranu disturbati per un cuntrollu insufficiente di l'infrastruttura. In regula, quelli clienti chì u so hardware era prima situatu in picculi stanze di servitori piuttostu cà centri di dati specializati pensanu à questu. In rialità, i centri di dati sò furnuti cù i mezi muderni di prutezzione fisica è di l'infurmazioni. Hè guasi impussibule di realizà ogni operazione in un tali centru di dati senza motivi è documenti sufficienti, è tali attività necessitanu u rispettu di una quantità di prucedure. Inoltre, "tirà" u vostru servitore da u centru di dati pò influenzà l'altri clienti di u fornitore, è questu ùn hè micca necessariu per nimu. Inoltre, nimu ùn puderà indicà un dito in modu specificu à u "u vostru" servitore virtuale, cusì se qualchissia vole arrubballu o mette in scena un spettaculu di maschere, prima avè da trattà cù assai ritardi burocratici. Duranti stu tempu, vi sarà più prubabile tempu di migrari à un altru situ parechje volte.

  • I pirate pirate u nuvulu è arrubbanu dati

L'Internet è a stampa stampata sò piene di tituli nantu à cumu un altru nuvulu hè cascatu vittima di i cibercriminali, è milioni di dati persunali sò filtrati in linea. In a maiò parte di i casi, i vulnerabili ùn sò micca stati trovati da u fornitore, ma in i sistemi d'infurmazioni di e vittime: password debbuli o ancu predeterminate, "buchi" in i mutori di siti web è basa di dati, è banale trascuranza di l'imprese quandu sceglite e misure di sicurezza. urganizà e prucedure di accessu à i dati. Tutte e soluzioni certificate sò verificate per vulnerabilità. Realemu ancu regularmente pente di "cuntrollu" è audit di sicurezza, sia indipindentamente sia attraversu organizzazioni esterne. Per u fornitore, questu hè una questione di reputazione è di cummerciale in generale.

  • U fornitore / l'impiegati di u fornitore arrubbanu e dati persunali per guadagnà persunale

Questu hè un mumentu piuttostu sensitivu. Una quantità di cumpagnie di u mondu di a sicurità di l'infurmazioni "spaventanu" i so clienti è insistenu chì "l'impiegati interni sò più periculosi cà i pirate di fora". Questu pò esse veru in certi casi, ma un affari ùn pò esse custruitu senza fiducia. Di tantu in tantu, e nutizie lampanu chì i propri impiegati di una urganizazione filtranu i dati di i clienti à l'attaccanti, è a sicurità interna hè qualchì volta organizata assai peghju chè a sicurità esterna. Hè impurtante di capisce quì chì ogni grande fornitore hè estremamente disinteressatu in i casi negativi. L'azzioni di l'impiegati di u fornitore sò ben regulati, i roli è i spazii di rispunsabilità sò spartuti. Tutti i prucessi di cummerciale sò strutturati in tale manera chì i casi di fuga di dati sò estremamente improbabile è sò sempre notevuli à i servizii internu, cusì i clienti ùn anu micca a paura di prublemi da questa parte.

  • Paghete pocu perchè pagate per servizii cù i vostri dati di cummerciale.

Un altru mitu: un cliente chì affitta una infrastruttura sicura à un prezzu cunfortu paga in realtà cù i so dati - questu hè spessu pensatu da l'esperti chì ùn importa micca di leghje un paru di teorii di cuspirazione prima di andà in lettu. Prima, a pussibilità di realizà ogni operazione cù i vostri dati altru da quelli specificati in l'ordine hè essenzialmente zero. Siconda, un fornitore adattatu valuta a relazione cù voi è a so reputazione - in più di voi, hà assai più clienti. U scenariu cuntrariu hè più prubabile, in quale u fornitore prutege zealously i dati di i so clienti, nantu à quale u so affari si basa.

Sceglie un fornitore di nuvola per ISPD

Oghje, u mercatu prupone parechje suluzioni per l'imprese chì sò operatori PD. Quì sottu hè una lista generale di cunsiglii per sceglie u dirittu.

  • U fornitore deve esse prontu à entre in un accordu formale chì descrive e rispunsabilità di i partiti, SLA è e zone di rispunsabilità in a chjave per u trattamentu di e dati persunali. In fatti, trà voi è u fornitore, in più di l'accordu di serviziu, deve esse firmatu un ordine per u prucessu di PD. In ogni casu, vale a pena studià cù cura. Hè impurtante di capisce a divisione di e responsabilità trà voi è u fornitore.

  • Per piacè nutate chì u segmentu deve risponde à i requisiti, chì significa chì deve avè un certificatu chì indicà un livellu di sicurità micca più bassu di quellu chì hè dumandatu da u vostru IP. Succede chì i fornituri publicanu solu a prima pagina di u certificatu, da quale pocu hè chjaru, o riferite à l'auditi o prucedure di cunfurmità senza publicà u certificatu stessu ("era un zitellu?"). Hè vale a pena dumandà - questu hè un documentu publicu chì indica quale hà realizatu a certificazione, u periodu di validità, u locu nuvola, etc.

  • U fornitore deve furnisce infurmazioni nantu à induve si trovanu i so siti (uggetti prutetti) per pudè cuntrullà a piazza di i vostri dati. Ricurdemu chì a cullizzioni iniziale di dati persunali deve esse realizatu in u territoriu di a Federazione Russa; per quessa, hè cunsigliatu di vede l'indirizzi di u centru di dati in u cuntrattu / certificatu.

  • U fornitore deve aduprà sistemi di sicurità di l'infurmazioni certificati è di prutezzione di l'infurmazioni. Di sicuru, a maiò parte di i fornituri ùn publicità micca e misure di sicurezza tecniche è l'architettura di suluzione chì utilizanu. Ma voi, cum'è un cliente, ùn pò micca aiutà à sapè. Per esempiu, per cunnette remotamente à un sistema di gestione (portale di gestione), hè necessariu di utilizà misure di sicurezza. U fornitore ùn serà micca capaci di scaccià stu requisitu è ​​vi darà (o richiederà di utilizà) suluzione certificata. Pigliate e risorse per una prova è capisce immediatamente cumu è ciò chì funziona. 

  • Hè assai desideratu per u fornitore di nuvola per furnisce servizii supplementari in u campu di a sicurità di l'infurmazioni. Quessi ponu esse diversi servizii: prutezzione contru attacchi DDoS è WAF, serviziu anti-virus o sandbox, etc. Tuttu chistu vi permetterà di riceve a prutezzione cum'è serviziu, per ùn esse distractatu da i sistemi di prutezzione di custruzzione, ma per travaglià nantu à l'applicazioni cummerciale.

  • U fornitore deve esse licenziatu di FSTEC è FSB. Comu regula, tali informazioni sò publicate direttamente nantu à u situ web. Assicuratevi di dumandà sti documenti è verificate se l'indirizzi per furnisce servizii, u nome di a cumpagnia di u fornitore, ecc. 

Riassumemu. L'infrastruttura di affittu vi permetterà di abbandunà CAPEX è di mantene solu e vostre applicazioni cummerciale è i dati stessi in a vostra zona di responsabilità, è trasfirì u pesu pesante di certificazione di hardware è software è hardware à u fornitore.

Cumu avemu passatu a certificazione

A più recente, avemu passatu successu a recertificazione di l'infrastruttura di u "Secure Cloud FZ-152" per u rispettu di i requisiti per travaglià cù e dati persunali. U travagliu hè statu realizatu da u Centru di Certificazione Naziunale.

Attualmente, u "FZ-152 Secure Cloud" hè certificatu per l'ospitu di sistemi d'informazione implicati in u processu, u almacenamentu o a trasmissione di dati persunali (ISPDn) in cunfurmità cù i requisiti di u livellu UZ-3.

A prucedura di certificazione implica a verificazione di a conformità di l'infrastruttura di u fornitore di nuvola cù u livellu di prutezzione. U fornitore stessu furnisce u serviziu IaaS è ùn hè micca un operatore di dati persunali. U prucessu implica a valutazione di e misure urganisative (documentazione, ordini, etc.) è tecniche (creazione di l'equipaggiu di prutezzione, etc.).

Ùn pò esse chjamatu triviale. Malgradu u fattu chì GOST nantu à i prugrammi è i metudi per a realizazione di l'attività di certificazione apparsu in u 2013, i prugrammi stretti per l'uggetti nuvola ùn esistenu micca. I centri di certificazione sviluppanu sti prugrammi basati nantu à a so propria sapè fà. Cù l'avventu di e novi tecnulugii, i prugrammi diventanu più cumplessi è mudernizzati; per quessa, u certificatore deve avè sperienza di travaglià cù soluzioni di nuvola è capisce i specifichi.

In u nostru casu, l'ughjettu prutettu hè custituitu da dui lochi.

  • E risorse di nuvola (servitori, sistemi di almacenamento, infrastruttura di rete, strumenti di sicurezza, etc.) sò situati direttamente in u centru di dati. Di sicuru, un tali centru di dati virtuale hè cunnessu à e rete publiche, è per quessa, certi esigenze di firewall deve esse cumpletu, per esempiu, l'usu di firewall certificati.

  • A seconda parte di l'ughjettu hè strumenti di gestione di nuvola. Quessi sò stazioni di travagliu (stazioni di travagliu di l'amministratore) da quale u segmentu prutettu hè amministratu.

I posti cumunicanu attraversu un canale VPN custruitu nantu à CIPF.

Siccomu e tecnulugia di virtualizazione creanu precondizioni per l'emergenza di minacce, avemu ancu aduprà strumenti di prutezzione certificati supplementari.

IaaS 152-FZ: cusì, avete bisognu di sicuritàSchema di blocu "à traversu l'ochji di l'assessore"

Se u cliente hà bisognu di certificazione di u so ISPD, dopu avè allughjatu IaaS, solu avarà da valutà u sistema d'infurmazione sopra à u livellu di u centru di dati virtuale. Questa prucedura implica a verificazione di l'infrastruttura è u software utilizatu. Siccomu pudete riferite à u certificatu di u fornitore per tutti i prublemi di infrastruttura, tuttu ciò chì avete da fà hè di travaglià cù u software.

IaaS 152-FZ: cusì, avete bisognu di sicuritàSeparazione à u livellu di astrazione

In cunclusioni, quì hè una piccula lista di cuntrollu per e cumpagnie chì sò digià travagliatu cù dati persunali o sò solu pianificà. Allora, cumu trattà senza esse brusgiatu.

  1. Per audità è sviluppà mudelli di minacce è intrusi, invitate un cunsultore espertu trà i laboratorii di certificazione chì vi aiuterà à sviluppà i ducumenti necessarii è vi portanu à u stadiu di soluzioni tecniche.

  2. Quandu sceglite un fornitore di nuvola, fate attenzione à a presenza di un certificatu. Saria bè chì a cumpagnia publicava publicamente direttamente nantu à u situ web. U fornitore deve esse un licenziatu di FSTEC è FSB, è u serviziu chì offre deve esse certificatu.

  3. Assicuratevi chì avete un accordu formale è una struzzione firmata per u trattamentu di e dati persunali. Basatu nantu à questu, puderete realizà sia un cuntrollu di cunfurmità sia una certificazione ISPD.Se stu travagliu in u stadiu di u prughjettu tecnicu è a creazione di u disignu è a documentazione tecnica vi parenu gravosa, duvete cuntattà cumpagnie di cunsulenza di terze parti. trà i laboratori di certificazione.

Sì i prublemi di u trattamentu di e dati persunali sò pertinenti per voi, u 18 di settembre, stu venneri, seremu felici di vedevi à u webinar "Caratteristiche di a creazione di nuvole certificate".

Source: www.habr.com

Add a comment