ProHoster > Blog > administration > IaaS 152-FZ: så du har brug for sikkerhed

IaaS 152-FZ: så du har brug for sikkerhed

IaaS 152-FZ: så du har brug for sikkerhed

Uanset hvor meget du sorterer de myter og legender, der omgiver overholdelse af 152-FZ, forbliver der altid noget bag kulisserne. I dag vil vi diskutere nogle ikke altid indlysende nuancer, som både store virksomheder og meget små virksomheder kan støde på:

  • finesser af PD-klassificering i kategorier - når en lille onlinebutik indsamler data relateret til en særlig kategori uden selv at vide om det;

  • hvor du kan gemme sikkerhedskopier af indsamlede PD og udføre operationer på dem;

  • hvad er forskellen mellem et certifikat og en konklusion om overensstemmelse, hvilke dokumenter skal du anmode om fra udbyderen og sådan noget.

Til sidst vil vi dele vores egen erfaring med at bestå certificeringen med dig. Gå!

Eksperten i dagens artikel bliver Alexey Afanasyev, IS specialist for cloud-udbydere IT-GRAD og #CloudMTS (en del af MTS-gruppen).

Klassificeringens finesser

Vi støder ofte på en kundes ønske om hurtigt, uden en IS-revision, at bestemme det nødvendige sikkerhedsniveau for en ISPD. Nogle materialer på internettet om dette emne giver det falske indtryk, at dette er en simpel opgave, og det er ret svært at lave en fejl.

For at bestemme KM er det nødvendigt at forstå, hvilke data der vil blive indsamlet og behandlet af kundens IS. Nogle gange kan det være svært entydigt at fastlægge beskyttelseskravene og kategorien af ​​persondata, som en virksomhed driver. De samme typer af personoplysninger kan vurderes og klassificeres på helt forskellige måder. Derfor kan virksomhedens mening i nogle tilfælde afvige fra revisors eller endda inspektørens udtalelse. Lad os se på et par eksempler.

Parkeringsplads. Det virker som en ret traditionel virksomhedstype. Mange bilflåder har eksisteret i årtier, og deres ejere ansætter individuelle iværksættere og enkeltpersoner. Som regel falder medarbejderdata under kravene i UZ-4. Men for at arbejde med chauffører er det nødvendigt ikke kun at indsamle personlige data, men også at udføre medicinsk kontrol på køretøjsflådens territorium, før du går på et skift, og de oplysninger, der indsamles i processen, falder straks i kategorien medicinske data - og det er persondata af en særlig kategori. Derudover kan flåden anmode om certifikater, som derefter opbevares i førerens kartotek. En scanning af et sådant certifikat i elektronisk form - sundhedsdata, personlige data af en særlig kategori. Det betyder, at UZ-4 ikke længere er nok; mindst UZ-3 er påkrævet.

Online butik. Det ser ud til, at de indsamlede navne, e-mails og telefonnumre passer ind i den offentlige kategori. Men hvis dine kunder angiver kostpræferencer, såsom halal eller kosher, kan sådanne oplysninger blive betragtet som religiøse tilhørsforhold eller trosdata. Derfor kan inspektøren ved kontrol eller udførelse af andre kontrolaktiviteter klassificere de data, du indsamler, som en særlig kategori af personoplysninger. Nu, hvis en onlinebutik indsamlede oplysninger om, hvorvidt dens køber foretrækker kød eller fisk, kan dataene klassificeres som andre personlige data. Forresten, hvad med vegetarer? Det kan jo også henføres til filosofiske overbevisninger, som også hører til en særlig kategori. Men på den anden side kan dette simpelthen være holdningen hos en person, der har elimineret kød fra sin kost. Ak, der er ingen tegn, der entydigt definerer kategorien af ​​PD i sådanne "subtile" situationer.

Reklamebureau Ved at bruge en vestlig cloud-tjeneste behandler den offentligt tilgængelige data om sine kunder - fulde navne, e-mailadresser og telefonnumre. Disse persondata vedrører naturligvis persondata. Spørgsmålet opstår: er det lovligt at udføre en sådan behandling? Er det overhovedet muligt at flytte sådanne data uden depersonalisering uden for Den Russiske Føderation, for eksempel for at gemme sikkerhedskopier i nogle udenlandske skyer? Selvfølgelig kan du. Agenturet har ret til at opbevare disse data uden for Rusland, dog skal den indledende indsamling i henhold til vores lovgivning udføres på Den Russiske Føderations territorium. Hvis du sikkerhedskopierer sådanne oplysninger, beregner nogle statistikker baseret på dem, udfører forskning eller udfører nogle andre operationer med dem - alt dette kan gøres på vestlige ressourcer. Det centrale fra et juridisk synspunkt er, hvor persondata indsamles. Det er derfor vigtigt ikke at forveksle indledende indsamling og behandling.

Som det fremgår af disse korte eksempler, er arbejdet med persondata ikke altid ligetil og enkelt. Du skal ikke kun vide, at du arbejder med dem, men også være i stand til at klassificere dem korrekt, forstå, hvordan IP'en fungerer for korrekt at bestemme det nødvendige sikkerhedsniveau. I nogle tilfælde kan der opstå spørgsmål om, hvor meget persondata organisationen reelt skal bruge for at drive drift. Er det muligt at afvise de mest "seriøse" eller simpelthen unødvendige data? Derudover anbefaler tilsynsmyndigheden at depersonalisere personlige data, hvor det er muligt. 

Som i eksemplerne ovenfor kan du nogle gange støde på, at kontrolmyndighederne fortolker de indsamlede personoplysninger lidt anderledes, end du selv vurderede dem.

Du kan selvfølgelig hyre en revisor eller en systemintegrator som assistent, men vil ”assistenten” stå for de beslutninger, der vælges i tilfælde af revision? Det er værd at bemærke, at ansvaret altid ligger hos ejeren af ​​ISPD'en - operatøren af ​​personlige data. Derfor er det, når en virksomhed udfører et sådant arbejde, vigtigt at henvende sig til seriøse aktører på markedet for sådanne ydelser, for eksempel virksomheder, der udfører certificeringsarbejde. Certificeringsvirksomheder har stor erfaring med at udføre sådant arbejde.

Muligheder for at bygge en ISPD

Konstruktionen af ​​en ISPD er ikke kun et teknisk, men også i høj grad et juridisk spørgsmål. CIO'en eller sikkerhedsdirektøren bør altid rådføre sig med en juridisk rådgiver. Da virksomheden ikke altid har en specialist med den profil, du har brug for, er det værd at kigge mod revisor-konsulenter. Mange glatte punkter er måske slet ikke indlysende.

Konsultationen giver dig mulighed for at afgøre, hvilke personoplysninger du har at gøre med, og hvilket beskyttelsesniveau det kræver. Derfor vil du få en idé om den IP, der skal oprettes eller suppleres med sikkerheds- og driftssikkerhedsforanstaltninger.

Ofte står valget for en virksomhed mellem to muligheder:

  1. Byg den tilsvarende IS på dine egne hardware- og softwareløsninger, eventuelt i dit eget serverrum.

  2. Kontakt en cloud-udbyder og vælg en elastisk løsning, et allerede certificeret "virtuelt serverrum".

De fleste informationssystemer, der behandler persondata, anvender en traditionel tilgang, som fra et forretningsmæssigt synspunkt næppe kan kaldes let og vellykket. Når du vælger denne mulighed, er det nødvendigt at forstå, at det tekniske design vil omfatte en beskrivelse af udstyret, herunder software- og hardwareløsninger og platforme. Det betyder, at du bliver nødt til at stå over for følgende vanskeligheder og begrænsninger:

  • vanskeligheder med skalering;

  • lang projektimplementeringsperiode: det er nødvendigt at vælge, købe, installere, konfigurere og beskrive systemet;

  • en masse "papir" arbejde, som et eksempel - udvikling af en komplet pakke af dokumentation for hele ISPD.

Derudover forstår en virksomhed som regel kun det "øverste" niveau af sin IP - de forretningsapplikationer, den bruger. IT-medarbejdere er med andre ord dygtige inden for deres specifikke område. Der er ingen forståelse for, hvordan alle de "lavere niveauer" fungerer: software- og hardwarebeskyttelse, lagringssystemer, backup og, selvfølgelig, hvordan man konfigurerer beskyttelsesværktøjer i overensstemmelse med alle krav, bygger "hardware"-delen af ​​konfigurationen. Det er vigtigt at forstå: Dette er et enormt lag af viden, der ligger uden for kundens forretning. Det er her oplevelsen af ​​en cloud-udbyder, der leverer et certificeret "virtuelt serverrum", kan komme til nytte.

Til gengæld har cloud-udbydere en række fordele, der uden overdrivelse kan dække 99 % af virksomhedens behov inden for beskyttelse af persondata:

  • kapitalomkostninger omregnes til driftsomkostninger;

  • udbyderen på sin side garanterer leveringen af ​​det nødvendige niveau af sikkerhed og tilgængelighed baseret på en gennemprøvet standardløsning;

  • der er ikke behov for at opretholde en stab af specialister, der vil sikre driften af ​​ISPD'en på hardwareniveau;

  • udbydere tilbyder meget mere fleksible og elastiske løsninger;

  • udbyderens specialister har alle de nødvendige certifikater;

  • compliance er ikke lavere end når du bygger din egen arkitektur, under hensyntagen til regulatorernes krav og anbefalinger.

Den gamle myte om, at personlige data ikke kan gemmes i skyen, er stadig ekstremt populær. Det er kun delvist sandt: PD kan virkelig ikke sendes i den første tilgængelige Sky. Overholdelse af visse tekniske foranstaltninger og brug af visse certificerede løsninger er påkrævet. Hvis udbyderen overholder alle lovkrav, minimeres risiciene forbundet med persondatalækage. Mange udbydere har en separat infrastruktur til behandling af personoplysninger i overensstemmelse med 152-FZ. Valget af leverandør skal dog også tilgås med kendskab til visse kriterier, dem vil vi helt sikkert komme ind på nedenfor. 

Kunder kommer ofte til os med nogle bekymringer om placeringen af ​​personlige data i udbyderens sky. Nå, lad os diskutere dem med det samme.

  • Data kan blive stjålet under transmission eller migrering

Der er ingen grund til at være bange for dette - udbyderen tilbyder kunden at skabe en sikker datatransmissionskanal bygget på certificerede løsninger, forbedrede autentificeringsforanstaltninger for entreprenører og medarbejdere. Tilbage er blot at vælge de passende beskyttelsesmetoder og implementere dem som en del af dit arbejde med klienten.

  • Vis masker vil komme og tage væk/forsegle/afbryde strømmen til serveren

Det er ganske forståeligt for kunder, der frygter, at deres forretningsprocesser vil blive forstyrret på grund af utilstrækkelig kontrol over infrastrukturen. Som regel tænker de klienter, hvis hardware tidligere var placeret i små serverrum frem for specialiserede datacentre, over dette. I virkeligheden er datacentre udstyret med moderne midler til både fysisk og informationsbeskyttelse. Det er næsten umuligt at udføre nogen operationer i et sådant datacenter uden tilstrækkelig begrundelse og papirer, og sådanne aktiviteter kræver overholdelse af en række procedurer. Derudover kan det påvirke andre klienter hos udbyderen at "trække" din server fra datacentret, og det er bestemt ikke nødvendigt for nogen. Derudover vil ingen være i stand til at pege en finger specifikt på "din" virtuelle server, så hvis nogen vil stjæle den eller iscenesætte et maskeshow, vil de først skulle håndtere en masse bureaukratiske forsinkelser. I løbet af denne tid vil du højst sandsynligt have tid til at migrere til et andet websted flere gange.

  • Hackere vil hacke skyen og stjæle data

Internettet og den trykte presse er fyldt med overskrifter om, hvordan endnu en sky er blevet offer for cyberkriminelle, og millioner af personlige data er lækket online. I langt de fleste tilfælde fandt man sårbarheder slet ikke på udbyderens side, men i ofrenes informationssystemer: svage eller endda standardadgangskoder, "huller" i hjemmesidens motorer og databaser og banal forretningsmæssig skødesløshed ved valg af sikkerhedsforanstaltninger og organisering af procedurer for dataadgang. Alle certificerede løsninger kontrolleres for sårbarheder. Vi udfører også regelmæssigt "kontrol" pentests og sikkerhedsrevisioner, både uafhængigt og gennem eksterne organisationer. For udbyderen er dette et spørgsmål om omdømme og forretning generelt.

  • Udbyderen/medarbejderne hos udbyderen vil stjæle persondata for personlig vinding

Dette er et ret følsomt øjeblik. En række virksomheder fra informationssikkerhedsverdenen "skræmmer" deres kunder og insisterer på, at "interne medarbejdere er farligere end eksterne hackere." Dette kan være sandt i nogle tilfælde, men en virksomhed kan ikke bygges uden tillid. Fra tid til anden kommer der nyheder om, at en organisations egne medarbejdere lækker kundedata til angribere, og intern sikkerhed er nogle gange organiseret meget dårligere end ekstern sikkerhed. Det er vigtigt at forstå her, at enhver stor udbyder er ekstremt uinteresseret i negative sager. Udbyderens medarbejderes handlinger er velregulerede, roller og ansvarsområder er opdelt. Alle forretningsprocesser er struktureret på en sådan måde, at tilfælde af datalækage er ekstremt usandsynlige og altid er mærkbare for interne tjenester, så kunder bør ikke være bange for problemer fra denne side.

  • Du betaler lidt, fordi du betaler for tjenester med dine virksomhedsdata.

En anden myte: en klient, der lejer sikker infrastruktur til en behagelig pris, betaler faktisk for det med sine data - dette tænkes ofte af eksperter, der ikke har noget imod at læse et par konspirationsteorier, før de går i seng. For det første er muligheden for at udføre andre handlinger med dine data end dem, der er angivet i ordren, i det væsentlige nul. For det andet værdsætter en passende udbyder forholdet til dig og hans omdømme - udover dig har han mange flere kunder. Det modsatte scenario er mere sandsynligt, hvor udbyderen nidkært vil beskytte sine kunders data, som dens forretning hviler på.

Valg af cloud-udbyder til ISPD

I dag tilbyder markedet mange løsninger til virksomheder, der er PD-operatører. Nedenfor er en generel liste over anbefalinger til at vælge den rigtige.

  • Udbyderen skal være klar til at indgå en formel aftale, der beskriver parternes ansvar, SLA'er og ansvarsområder i nøglen til behandling af personoplysninger. Faktisk skal der udover serviceaftalen mellem dig og udbyderen underskrives en ordre om PD-behandling. Under alle omstændigheder er det værd at studere dem omhyggeligt. Det er vigtigt at forstå ansvarsfordelingen mellem dig og udbyderen.

  • Bemærk venligst, at segmentet skal opfylde kravene, hvilket betyder, at det skal have et certifikat, der angiver et sikkerhedsniveau, der ikke er lavere end det, der kræves af din IP. Det sker, at udbydere kun offentliggør den første side af certifikatet, hvorfra lidt er klart, eller henviser til revisioner eller overholdelsesprocedurer uden at offentliggøre selve certifikatet ("var der en dreng?"). Det er værd at bede om det - dette er et offentligt dokument, der angiver, hvem der udførte certificeringen, gyldighedsperiode, skyplacering osv.

  • Udbyderen skal give oplysninger om, hvor dens websteder (beskyttede genstande) er placeret, så du kan kontrollere placeringen af ​​dine data. Lad os minde dig om, at den første indsamling af personlige data skal udføres på Den Russiske Føderations område; derfor er det tilrådeligt at se adresserne på datacentret i kontrakten/certifikatet.

  • Udbyderen skal anvende certificerede informationssikkerheds- og informationsbeskyttelsessystemer. Selvfølgelig annoncerer de fleste udbydere ikke de tekniske sikkerhedsforanstaltninger og løsningsarkitektur, de bruger. Men du kan som klient ikke undgå at kende til det. For at fjernoprette forbindelse til et administrationssystem (administrationsportal) er det for eksempel nødvendigt at bruge sikkerhedsforanstaltninger. Udbyderen vil ikke være i stand til at omgå dette krav og vil give dig (eller kræve, at du bruger) certificerede løsninger. Tag ressourcerne til en test, og du vil straks forstå, hvordan og hvad der virker. 

  • Det er yderst ønskeligt for cloud-udbyderen at levere yderligere tjenester inden for informationssikkerhed. Det kan være forskellige tjenester: beskyttelse mod DDoS-angreb og WAF, antivirus-tjeneste eller sandbox mv. Alt dette vil give dig mulighed for at modtage beskyttelse som en service, ikke at blive distraheret af bygningsbeskyttelsessystemer, men at arbejde på forretningsapplikationer.

  • Udbyderen skal være licenshaver af FSTEC og FSB. Sådanne oplysninger lægges som udgangspunkt direkte på hjemmesiden. Sørg for at anmode om disse dokumenter og tjek, om adresserne til at levere tjenester, navnet på udbydervirksomheden osv. er korrekte. 

Lad os opsummere. Leje af infrastruktur vil give dig mulighed for at opgive CAPEX og kun beholde dine forretningsapplikationer og selve dataene i dit ansvarsområde og overføre den tunge byrde med certificering af hardware og software og hardware til udbyderen.

Hvordan vi bestod certificeringen

Senest har vi bestået gencertificeringen af ​​infrastrukturen i "Secure Cloud FZ-152" for overholdelse af kravene til at arbejde med personlige data. Arbejdet blev udført af National Certification Center.

I øjeblikket er "FZ-152 Secure Cloud" certificeret til hosting af informationssystemer involveret i behandling, lagring eller transmission af personlige data (ISPDn) i overensstemmelse med kravene i niveau UZ-3.

Certificeringsproceduren involverer kontrol af, om cloududbyderens infrastruktur er i overensstemmelse med beskyttelsesniveauet. Udbyderen leverer selv IaaS-tjenesten og er ikke operatør af persondata. Processen involverer vurdering af både organisatoriske (dokumentation, ordrer mv.) og tekniske foranstaltninger (opsætning af værnemidler mv.).

Det kan ikke kaldes trivielt. På trods af at GOST om programmer og metoder til udførelse af certificeringsaktiviteter dukkede op tilbage i 2013, eksisterer der stadig ikke strenge programmer til skyobjekter. Certificeringscentre udvikler disse programmer baseret på deres egen ekspertise. Med fremkomsten af ​​nye teknologier bliver programmerne mere komplekse og moderniserede, derfor skal certificeringsorganet have erfaring med at arbejde med cloud-løsninger og forstå de specifikke detaljer.

I vores tilfælde består den beskyttede genstand af to steder.

  • Cloud-ressourcer (servere, lagersystemer, netværksinfrastruktur, sikkerhedsværktøjer osv.) er placeret direkte i datacentret. Et sådant virtuelt datacenter er naturligvis forbundet med offentlige netværk, og derfor skal visse firewallkrav opfyldes, for eksempel brugen af ​​certificerede firewalls.

  • Den anden del af objektet er cloud management værktøjer. Disse er arbejdsstationer (administrators arbejdsstationer), hvorfra det beskyttede segment styres.

Steder kommunikerer gennem en VPN-kanal bygget på CIPF.

Da virtualiseringsteknologier skaber forudsætninger for fremkomsten af ​​trusler, bruger vi også yderligere certificerede beskyttelsesværktøjer.

IaaS 152-FZ: så du har brug for sikkerhedBlokdiagram "gennem bedømmerens øjne"

Hvis kunden kræver certificering af sin ISPD, efter at have lejet IaaS, skal han kun evaluere informationssystemet over niveauet for det virtuelle datacenter. Denne procedure involverer kontrol af den infrastruktur og software, der bruges på den. Da du kan henvise til udbyderens certifikat for alle infrastrukturproblemer, er det eneste, du skal gøre, at arbejde med softwaren.

IaaS 152-FZ: så du har brug for sikkerhedAdskillelse på abstraktionsniveau

Afslutningsvis er her en lille tjekliste til virksomheder, der allerede arbejder med persondata eller blot planlægger. Så hvordan man håndterer det uden at blive brændt.

  1. For at auditere og udvikle modeller for trusler og ubudne gæster, inviter en erfaren konsulent blandt certificeringslaboratorierne, som vil hjælpe med at udvikle de nødvendige dokumenter og bringe dig til scenen med tekniske løsninger.

  2. Når du vælger en cloud-udbyder, skal du være opmærksom på tilstedeværelsen af ​​et certifikat. Det ville være godt, hvis virksomheden offentligt offentliggjorde det direkte på hjemmesiden. Udbyderen skal være licenshaver af FSTEC og FSB, og den service, han tilbyder, skal være certificeret.

  3. Sørg for, at du har en formel aftale og en underskrevet instruktion for behandling af personoplysninger. På baggrund heraf vil du kunne udføre både et overensstemmelsestjek og ISPD-certificering Hvis dette arbejde på det tekniske projekts stadie og oprettelse af design og teknisk dokumentation virker byrdefuldt for dig, bør du kontakte tredjeparts konsulentvirksomheder blandt certificeringslaboratorierne.

Hvis spørgsmålene om behandling af personoplysninger er relevante for dig, vil vi den 18. september, denne fredag, være glad for at se dig på webinaret "Funktioner ved at bygge certificerede skyer".

Kilde: www.habr.com

Tilføj en kommentar