ProHoster > Blog > διαχείριση > IaaS 152-FZ: λοιπόν, χρειάζεστε ασφάλεια

IaaS 152-FZ: λοιπόν, χρειάζεστε ασφάλεια

IaaS 152-FZ: λοιπόν, χρειάζεστε ασφάλεια

Ανεξάρτητα από το πόσο τακτοποιείτε τους μύθους και τους θρύλους που περιβάλλουν τη συμμόρφωση με το 152-FZ, κάτι παραμένει πάντα στα παρασκήνια. Σήμερα θέλουμε να συζητήσουμε μερικές όχι πάντα προφανείς αποχρώσεις που μπορεί να συναντήσουν τόσο οι μεγάλες εταιρείες όσο και οι πολύ μικρές επιχειρήσεις:

  • λεπτές αποχρώσεις της ταξινόμησης PD σε κατηγορίες - όταν ένα μικρό ηλεκτρονικό κατάστημα συλλέγει δεδομένα που σχετίζονται με μια ειδική κατηγορία χωρίς καν να το γνωρίζει.

  • όπου μπορείτε να αποθηκεύσετε αντίγραφα ασφαλείας των συλλεχθέντων PD και να εκτελέσετε λειτουργίες σε αυτά.

  • ποια είναι η διαφορά μεταξύ ενός πιστοποιητικού και ενός συμπεράσματος συμμόρφωσης, ποια έγγραφα πρέπει να ζητήσετε από τον πάροχο και άλλα τέτοια.

Τέλος, θα μοιραστούμε μαζί σας τη δική μας εμπειρία από τη λήψη της πιστοποίησης. Πηγαίνω!

Ο ειδικός στο σημερινό άρθρο θα είναι Alexey Afanasiev, είναι ειδικός για παρόχους cloud IT-GRAD και #CloudMTS (μέρος του ομίλου MTS).

Λεπτομέρειες ταξινόμησης

Συχνά συναντάμε την επιθυμία ενός πελάτη να καθορίσει γρήγορα, χωρίς έλεγχο IS, το απαιτούμενο επίπεδο ασφάλειας για ένα ISPD. Ορισμένα υλικά στο Διαδίκτυο σχετικά με αυτό το θέμα δίνουν την εσφαλμένη εντύπωση ότι πρόκειται για μια απλή εργασία και ότι είναι αρκετά δύσκολο να κάνετε λάθος.

Για να προσδιοριστεί το KM, είναι απαραίτητο να κατανοήσουμε ποια δεδομένα θα συλλέγονται και θα υποβάλλονται σε επεξεργασία από το IS του πελάτη. Μερικές φορές μπορεί να είναι δύσκολο να καθοριστούν με σαφήνεια οι απαιτήσεις προστασίας και η κατηγορία των προσωπικών δεδομένων που λειτουργεί μια επιχείρηση. Τα ίδια είδη προσωπικών δεδομένων μπορούν να αξιολογηθούν και να ταξινομηθούν με εντελώς διαφορετικούς τρόπους. Επομένως, σε ορισμένες περιπτώσεις, η γνώμη της επιχείρησης μπορεί να διαφέρει από τη γνώμη του ελεγκτή ή ακόμη και του επιθεωρητή. Ας δούμε μερικά παραδείγματα.

Πάρκινγκ. Φαίνεται σαν ένα αρκετά παραδοσιακό είδος επιχείρησης. Πολλοί στόλοι οχημάτων λειτουργούν εδώ και δεκαετίες και οι ιδιοκτήτες τους προσλαμβάνουν μεμονωμένους επιχειρηματίες και ιδιώτες. Κατά κανόνα, τα δεδομένα των εργαζομένων εμπίπτουν στις απαιτήσεις του UZ-4. Ωστόσο, για να εργαστείτε με οδηγούς, είναι απαραίτητο όχι μόνο να συλλέγετε προσωπικά δεδομένα, αλλά και να διεξάγετε ιατρικό έλεγχο στην επικράτεια του στόλου οχημάτων πριν πάτε σε βάρδια και οι πληροφορίες που συλλέγονται κατά τη διαδικασία εμπίπτουν αμέσως στην κατηγορία των ιατρικά δεδομένα - και αυτά είναι προσωπικά δεδομένα ειδικής κατηγορίας. Επιπλέον, ο στόλος μπορεί να ζητήσει πιστοποιητικά, τα οποία στη συνέχεια θα διατηρηθούν στο αρχείο του οδηγού. Σάρωση τέτοιου πιστοποιητικού σε ηλεκτρονική μορφή - δεδομένα υγείας, προσωπικά δεδομένα ειδικής κατηγορίας. Αυτό σημαίνει ότι το UZ-4 δεν είναι πλέον αρκετό· απαιτείται τουλάχιστον το UZ-3.

Ηλεκτρονικό κατάστημα. Φαίνεται ότι τα ονόματα, τα email και οι αριθμοί τηλεφώνου που συλλέχθηκαν ταιριάζουν στη δημόσια κατηγορία. Ωστόσο, εάν οι πελάτες σας υποδεικνύουν διατροφικές προτιμήσεις, όπως halal ή kosher, αυτές οι πληροφορίες μπορεί να θεωρηθούν δεδομένα θρησκευτικών πεποιθήσεων ή πεποιθήσεων. Επομένως, κατά τον έλεγχο ή τη διεξαγωγή άλλων δραστηριοτήτων ελέγχου, ο επιθεωρητής μπορεί να ταξινομήσει τα δεδομένα που συλλέγετε ως ειδική κατηγορία προσωπικών δεδομένων. Τώρα, εάν ένα ηλεκτρονικό κατάστημα συνέλεγε πληροφορίες σχετικά με το εάν ο αγοραστής του προτιμά κρέας ή ψάρι, τα δεδομένα θα μπορούσαν να ταξινομηθούν ως άλλα προσωπικά δεδομένα. Με την ευκαιρία, τι γίνεται με τους χορτοφάγους; Άλλωστε, αυτό μπορεί να αποδοθεί και σε φιλοσοφικές πεποιθήσεις, που ανήκουν επίσης σε μια ειδική κατηγορία. Αλλά από την άλλη, αυτή μπορεί απλώς να είναι η στάση ενός ατόμου που έχει αποκλείσει το κρέας από τη διατροφή του. Αλίμονο, δεν υπάρχει κανένα σημάδι που να καθορίζει ξεκάθαρα την κατηγορία της PD σε τέτοιες «λεπτές» καταστάσεις.

Διαφημιστική Χρησιμοποιώντας κάποια υπηρεσία Western cloud, επεξεργάζεται δημόσια διαθέσιμα δεδομένα των πελατών της - πλήρη ονόματα, διευθύνσεις email και αριθμούς τηλεφώνου. Αυτά τα προσωπικά δεδομένα, φυσικά, σχετίζονται με προσωπικά δεδομένα. Τίθεται το ερώτημα: είναι νόμιμη η διενέργεια τέτοιας επεξεργασίας; Είναι ακόμη δυνατή η μεταφορά τέτοιων δεδομένων χωρίς αποπροσωποποίηση εκτός της Ρωσικής Ομοσπονδίας, για παράδειγμα, για αποθήκευση αντιγράφων ασφαλείας σε ορισμένα ξένα σύννεφα; Φυσικά μπορείτε να. Ο Οργανισμός έχει το δικαίωμα να αποθηκεύει αυτά τα δεδομένα εκτός Ρωσίας, ωστόσο, η αρχική συλλογή, σύμφωνα με τη νομοθεσία μας, πρέπει να πραγματοποιείται στην επικράτεια της Ρωσικής Ομοσπονδίας. Εάν δημιουργήσετε αντίγραφα ασφαλείας τέτοιων πληροφοριών, υπολογίσετε κάποια στατιστικά στοιχεία με βάση αυτά, διεξάγετε έρευνα ή εκτελέσετε κάποιες άλλες λειτουργίες με αυτές - όλα αυτά μπορούν να γίνουν σε δυτικούς πόρους. Το βασικό σημείο από νομική άποψη είναι το πού συλλέγονται προσωπικά δεδομένα. Επομένως, είναι σημαντικό να μην συγχέουμε την αρχική συλλογή και την επεξεργασία.

Όπως προκύπτει από αυτά τα σύντομα παραδείγματα, η εργασία με προσωπικά δεδομένα δεν είναι πάντα απλή και απλή. Πρέπει όχι μόνο να γνωρίζετε ότι εργάζεστε μαζί τους, αλλά και να είστε σε θέση να τα ταξινομήσετε σωστά, να κατανοήσετε πώς λειτουργεί η IP για να προσδιορίσετε σωστά το απαιτούμενο επίπεδο ασφάλειας. Σε ορισμένες περιπτώσεις, μπορεί να προκύψει το ερώτημα πόσα προσωπικά δεδομένα χρειάζεται πραγματικά ο οργανισμός για να λειτουργήσει. Είναι δυνατόν να αρνηθείτε τα πιο «σοβαρά» ή απλά περιττά δεδομένα; Επιπλέον, η ρυθμιστική αρχή συνιστά την αποπροσωποποίηση των προσωπικών δεδομένων όπου είναι δυνατόν. 

Όπως και στα παραπάνω παραδείγματα, μερικές φορές μπορεί να αντιμετωπίσετε το γεγονός ότι οι αρχές επιθεώρησης ερμηνεύουν τα συλλεγέντα προσωπικά δεδομένα ελαφρώς διαφορετικά από ό,τι εσείς οι ίδιοι τα αξιολογήσατε.

Φυσικά, μπορείτε να προσλάβετε έναν ελεγκτή ή έναν ολοκληρωμένο συστήματος ως βοηθό, αλλά θα είναι ο «βοηθός» υπεύθυνος για τις αποφάσεις που επιλέγονται σε περίπτωση ελέγχου; Αξίζει να σημειωθεί ότι την ευθύνη φέρει πάντα ο ιδιοκτήτης του ISPD - ο χειριστής των προσωπικών δεδομένων. Αυτός είναι ο λόγος για τον οποίο, όταν μια εταιρεία εκτελεί τέτοιες εργασίες, είναι σημαντικό να απευθυνθεί σε σοβαρούς παίκτες στην αγορά για τέτοιες υπηρεσίες, για παράδειγμα, εταιρείες που εκτελούν εργασίες πιστοποίησης. Οι εταιρείες πιστοποίησης έχουν μεγάλη εμπειρία στην εκτέλεση τέτοιων εργασιών.

Επιλογές για τη δημιουργία ISPD

Η κατασκευή ενός ISPD δεν είναι μόνο τεχνικό, αλλά και σε μεγάλο βαθμό νομικό ζήτημα. Ο CIO ή ο διευθυντής ασφαλείας θα πρέπει πάντα να συμβουλεύεται νομικό σύμβουλο. Δεδομένου ότι η εταιρεία δεν έχει πάντα έναν ειδικό με το προφίλ που χρειάζεστε, αξίζει να αναζητήσετε ελεγκτές-συμβούλους. Πολλά ολισθηρά σημεία μπορεί να μην είναι καθόλου εμφανή.

Η διαβούλευση θα σας επιτρέψει να προσδιορίσετε ποια προσωπικά δεδομένα έχετε να κάνετε και ποιο επίπεδο προστασίας απαιτεί. Αντίστοιχα, θα έχετε μια ιδέα για την IP που πρέπει να δημιουργηθεί ή να συμπληρωθεί με μέτρα ασφαλείας και λειτουργικής ασφάλειας.

Συχνά η επιλογή για μια εταιρεία είναι μεταξύ δύο επιλογών:

  1. Δημιουργήστε το αντίστοιχο IS στις δικές σας λύσεις υλικού και λογισμικού, πιθανώς στο δικό σας δωμάτιο διακομιστή.

  2. Επικοινωνήστε με έναν πάροχο cloud και επιλέξτε μια ελαστική λύση, ένα ήδη πιστοποιημένο "εικονικό δωμάτιο διακομιστή".

Τα περισσότερα πληροφοριακά συστήματα που επεξεργάζονται προσωπικά δεδομένα χρησιμοποιούν μια παραδοσιακή προσέγγιση, η οποία, από επιχειρηματική άποψη, δύσκολα μπορεί να χαρακτηριστεί εύκολη και επιτυχημένη. Όταν επιλέγετε αυτήν την επιλογή, είναι απαραίτητο να κατανοήσετε ότι ο τεχνικός σχεδιασμός θα περιλαμβάνει περιγραφή του εξοπλισμού, συμπεριλαμβανομένων λύσεων και πλατφορμών λογισμικού και υλικού. Αυτό σημαίνει ότι θα πρέπει να αντιμετωπίσετε τις ακόλουθες δυσκολίες και περιορισμούς:

  • δυσκολία κλιμάκωσης?

  • μακρά περίοδος υλοποίησης έργου: είναι απαραίτητο να επιλέξετε, να αγοράσετε, να εγκαταστήσετε, να διαμορφώσετε και να περιγράψετε το σύστημα.

  • πολλή «χάρτινη» δουλειά, για παράδειγμα - η ανάπτυξη ενός πλήρους πακέτου τεκμηρίωσης για ολόκληρο το ISPD.

Επιπλέον, μια επιχείρηση, κατά κανόνα, κατανοεί μόνο το «ανώτατο» επίπεδο της IP της - τις επιχειρηματικές εφαρμογές που χρησιμοποιεί. Με άλλα λόγια, το προσωπικό πληροφορικής είναι εξειδικευμένο στον συγκεκριμένο τομέα του. Δεν υπάρχει κατανόηση του πώς λειτουργούν όλα τα «κατώτερα επίπεδα»: προστασία λογισμικού και υλικού, συστήματα αποθήκευσης, δημιουργία αντιγράφων ασφαλείας και, φυσικά, πώς να διαμορφώσετε τα εργαλεία προστασίας σύμφωνα με όλες τις απαιτήσεις, να δημιουργήσετε το τμήμα «υλισμικού» της διαμόρφωσης. Είναι σημαντικό να κατανοήσουμε: αυτό είναι ένα τεράστιο επίπεδο γνώσης που βρίσκεται έξω από την επιχείρηση του πελάτη. Εδώ μπορεί να είναι χρήσιμη η εμπειρία ενός παρόχου cloud που παρέχει ένα πιστοποιημένο "εικονικό δωμάτιο διακομιστή".

Με τη σειρά τους, οι πάροχοι cloud έχουν μια σειρά από πλεονεκτήματα που, χωρίς υπερβολές, μπορούν να καλύψουν το 99% των επιχειρηματικών αναγκών στον τομέα της προστασίας προσωπικών δεδομένων:

  • Το κόστος κεφαλαίου μετατρέπεται σε λειτουργικό κόστος.

  • ο πάροχος, από την πλευρά του, εγγυάται την παροχή του απαιτούμενου επιπέδου ασφάλειας και διαθεσιμότητας βάσει μιας δοκιμασμένης τυπικής λύσης·

  • δεν υπάρχει ανάγκη διατήρησης προσωπικού ειδικών που θα διασφαλίζουν τη λειτουργία του ISPD σε επίπεδο υλικού.

  • Οι πάροχοι προσφέρουν πολύ πιο ευέλικτες και ελαστικές λύσεις.

  • οι ειδικοί του παρόχου διαθέτουν όλα τα απαραίτητα πιστοποιητικά·

  • η συμμόρφωση δεν είναι χαμηλότερη από ό,τι κατά την κατασκευή της δικής σας αρχιτεκτονικής, λαμβάνοντας υπόψη τις απαιτήσεις και τις συστάσεις των ρυθμιστικών αρχών.

Ο παλιός μύθος ότι τα προσωπικά δεδομένα δεν μπορούν να αποθηκευτούν στο cloud είναι ακόμα εξαιρετικά δημοφιλής. Είναι μόνο εν μέρει αλήθεια: Το PD πραγματικά δεν μπορεί να αναρτηθεί στο πρώτο διαθέσιμο σύννεφο. Απαιτείται η συμμόρφωση με ορισμένα τεχνικά μέτρα και η χρήση ορισμένων πιστοποιημένων λύσεων. Εάν ο πάροχος συμμορφώνεται με όλες τις νομικές απαιτήσεις, ελαχιστοποιούνται οι κίνδυνοι που σχετίζονται με τη διαρροή προσωπικών δεδομένων. Πολλοί πάροχοι διαθέτουν ξεχωριστή υποδομή για την επεξεργασία προσωπικών δεδομένων σύμφωνα με το 152-FZ. Ωστόσο, η επιλογή του προμηθευτή πρέπει επίσης να προσεγγιστεί με γνώση ορισμένων κριτηρίων· σίγουρα θα τα θίξουμε παρακάτω. 

Οι πελάτες συχνά έρχονται σε εμάς με κάποιες ανησυχίες σχετικά με την τοποθέτηση προσωπικών δεδομένων στο cloud του παρόχου. Λοιπόν, ας τα συζητήσουμε αμέσως.

  • Τα δεδομένα ενδέχεται να κλαπούν κατά τη μετάδοση ή τη μετεγκατάσταση

Δεν χρειάζεται να το φοβάστε αυτό - ο πάροχος προσφέρει στον πελάτη τη δημιουργία ενός ασφαλούς καναλιού μετάδοσης δεδομένων που βασίζεται σε πιστοποιημένες λύσεις, βελτιωμένα μέτρα ελέγχου ταυτότητας για εργολάβους και εργαζόμενους. Το μόνο που μένει είναι να επιλέξετε τις κατάλληλες μεθόδους προστασίας και να τις εφαρμόσετε ως μέρος της εργασίας σας με τον πελάτη.

  • Οι μάσκες εμφάνισης θα έρθουν και θα αφαιρέσουν/σφραγίσουν/διακόψουν το ρεύμα στον διακομιστή

Είναι απολύτως κατανοητό για τους πελάτες που φοβούνται ότι οι επιχειρηματικές τους διαδικασίες θα διαταραχθούν λόγω ανεπαρκούς ελέγχου της υποδομής. Κατά κανόνα, οι πελάτες των οποίων το υλικό βρισκόταν προηγουμένως σε μικρά δωμάτια διακομιστών αντί σε εξειδικευμένα κέντρα δεδομένων το σκέφτονται αυτό. Στην πραγματικότητα, τα κέντρα δεδομένων είναι εξοπλισμένα με σύγχρονα μέσα φυσικής και προστασίας πληροφοριών. Είναι σχεδόν αδύνατο να πραγματοποιηθούν λειτουργίες σε ένα τέτοιο κέντρο δεδομένων χωρίς επαρκείς λόγους και έγγραφα, και τέτοιες δραστηριότητες απαιτούν συμμόρφωση με μια σειρά διαδικασιών. Επιπλέον, το «τράβηγμα» του διακομιστή σας από το κέντρο δεδομένων μπορεί να επηρεάσει άλλους πελάτες του παρόχου και αυτό σίγουρα δεν είναι απαραίτητο για κανέναν. Επιπλέον, κανείς δεν θα μπορεί να κουνήσει το δάχτυλο συγκεκριμένα στον εικονικό διακομιστή «σου», οπότε αν κάποιος θέλει να τον κλέψει ή να οργανώσει μια παράσταση με μάσκα, θα πρέπει πρώτα να αντιμετωπίσει πολλές γραφειοκρατικές καθυστερήσεις. Κατά τη διάρκεια αυτής της περιόδου, πιθανότατα θα έχετε χρόνο να κάνετε μετεγκατάσταση σε άλλο ιστότοπο πολλές φορές.

  • Οι χάκερ θα χακάρουν το cloud και θα κλέψουν δεδομένα

Το Διαδίκτυο και ο έντυπος τύπος είναι γεμάτοι τίτλους για το πώς ένα ακόμη σύννεφο έπεσε θύμα κυβερνοεγκληματιών και εκατομμύρια αρχεία προσωπικών δεδομένων έχουν διαρρεύσει στο διαδίκτυο. Στη συντριπτική πλειονότητα των περιπτώσεων, ευπάθειες δεν εντοπίστηκαν καθόλου από την πλευρά του παρόχου, αλλά στα συστήματα πληροφοριών των θυμάτων: αδύναμοι ή ακόμα και προεπιλεγμένοι κωδικοί πρόσβασης, «τρύπες» στις μηχανές και τις βάσεις δεδομένων ιστοτόπων και απλή επιχειρηματική απροσεξία κατά την επιλογή μέτρων ασφαλείας και οργάνωση διαδικασιών πρόσβασης σε δεδομένα. Όλες οι πιστοποιημένες λύσεις ελέγχονται για τρωτά σημεία. Διενεργούμε επίσης τακτικά επιθεωρήσεις «ελέγχου» και ελέγχους ασφαλείας, τόσο ανεξάρτητα όσο και μέσω εξωτερικών οργανισμών. Για τον πάροχο, αυτό είναι θέμα φήμης και επιχειρηματικής δραστηριότητας γενικότερα.

  • Ο πάροχος/υπάλληλοι του παρόχου θα κλέψουν προσωπικά δεδομένα για προσωπικό όφελος

Αυτή είναι μια αρκετά ευαίσθητη στιγμή. Ορισμένες εταιρείες από τον κόσμο της ασφάλειας πληροφοριών «τρομάζουν» τους πελάτες τους και επιμένουν ότι «οι εσωτερικοί υπάλληλοι είναι πιο επικίνδυνοι από τους εξωτερικούς χάκερ». Αυτό μπορεί να ισχύει σε ορισμένες περιπτώσεις, αλλά μια επιχείρηση δεν μπορεί να χτιστεί χωρίς εμπιστοσύνη. Από καιρό σε καιρό, αναβοσβήνουν ειδήσεις ότι οι υπάλληλοι ενός οργανισμού διαρρέουν δεδομένα πελατών σε εισβολείς και η εσωτερική ασφάλεια οργανώνεται μερικές φορές πολύ χειρότερα από την εξωτερική ασφάλεια. Είναι σημαντικό να καταλάβουμε εδώ ότι οποιοσδήποτε μεγάλος πάροχος είναι εξαιρετικά αδιάφορος για αρνητικές υποθέσεις. Οι ενέργειες των εργαζομένων του παρόχου είναι καλά ρυθμισμένες, οι ρόλοι και οι τομείς ευθύνης είναι κατανεμημένοι. Όλες οι επιχειρηματικές διαδικασίες είναι δομημένες με τέτοιο τρόπο ώστε οι περιπτώσεις διαρροής δεδομένων να είναι εξαιρετικά απίθανες και να είναι πάντα εμφανείς στις εσωτερικές υπηρεσίες, επομένως οι πελάτες δεν πρέπει να φοβούνται προβλήματα από αυτήν την πλευρά.

  • Πληρώνετε λίγα επειδή πληρώνετε για υπηρεσίες με τα δεδομένα της επιχείρησής σας.

Ένας άλλος μύθος: ένας πελάτης που νοικιάζει ασφαλή υποδομή σε βολική τιμή την πληρώνει πραγματικά με τα δεδομένα του - αυτό συχνά πιστεύουν οι ειδικοί που δεν τους πειράζει να διαβάσουν μερικές θεωρίες συνωμοσίας πριν πάνε για ύπνο. Πρώτον, η δυνατότητα πραγματοποίησης οποιωνδήποτε πράξεων με τα δεδομένα σας εκτός από αυτές που καθορίζονται στην παραγγελία είναι ουσιαστικά μηδενική. Δεύτερον, ένας επαρκής πάροχος εκτιμά τη σχέση μαζί σας και τη φήμη του - εκτός από εσάς, έχει πολλούς περισσότερους πελάτες. Το αντίθετο σενάριο είναι πιο πιθανό, στο οποίο ο πάροχος θα προστατεύει με ζήλο τα δεδομένα των πελατών του, στα οποία βασίζεται η επιχείρησή του.

Επιλογή παρόχου cloud για ISPD

Σήμερα, η αγορά προσφέρει πολλές λύσεις για εταιρείες που είναι χειριστές PD. Παρακάτω είναι μια γενική λίστα συστάσεων για την επιλογή του σωστού.

  • Ο πάροχος πρέπει να είναι έτοιμος να συνάψει επίσημη συμφωνία που να περιγράφει τις ευθύνες των μερών, τις SLA και τους τομείς ευθύνης στο κλειδί για την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Μάλιστα, μεταξύ εσάς και του παρόχου, εκτός από τη σύμβαση παροχής υπηρεσιών, πρέπει να υπογραφεί και παραγγελία για επεξεργασία PD. Σε κάθε περίπτωση, αξίζει να τα μελετήσετε προσεκτικά. Είναι σημαντικό να κατανοήσετε τον καταμερισμό των ευθυνών μεταξύ εσάς και του παρόχου.

  • Λάβετε υπόψη ότι το τμήμα πρέπει να πληροί τις απαιτήσεις, πράγμα που σημαίνει ότι πρέπει να διαθέτει πιστοποιητικό που να υποδεικνύει ένα επίπεδο ασφάλειας όχι χαμηλότερο από αυτό που απαιτείται από την IP σας. Συμβαίνει ότι οι πάροχοι δημοσιεύουν μόνο την πρώτη σελίδα του πιστοποιητικού, από την οποία λίγα είναι σαφή, ή αναφέρονται σε ελέγχους ή διαδικασίες συμμόρφωσης χωρίς να δημοσιεύουν το ίδιο το πιστοποιητικό («υπήρχε αγόρι;»). Αξίζει να το ζητήσετε - αυτό είναι ένα δημόσιο έγγραφο που υποδεικνύει ποιος πραγματοποίησε την πιστοποίηση, περίοδο ισχύος, τοποθεσία cloud κ.λπ.

  • Ο πάροχος πρέπει να παρέχει πληροφορίες σχετικά με το πού βρίσκονται οι τοποθεσίες του (προστατευμένα αντικείμενα), ώστε να μπορείτε να ελέγχετε την τοποθέτηση των δεδομένων σας. Να σας υπενθυμίσουμε ότι η αρχική συλλογή προσωπικών δεδομένων πρέπει να πραγματοποιείται στην επικράτεια της Ρωσικής Ομοσπονδίας· συνεπώς, συνιστάται να δείτε τις διευθύνσεις του κέντρου δεδομένων στη σύμβαση/πιστοποιητικό.

  • Ο πάροχος πρέπει να χρησιμοποιεί πιστοποιημένα συστήματα ασφάλειας και προστασίας πληροφοριών. Φυσικά, οι περισσότεροι πάροχοι δεν διαφημίζουν τα τεχνικά μέτρα ασφαλείας και την αρχιτεκτονική λύσεων που χρησιμοποιούν. Αλλά εσείς, ως πελάτης, δεν μπορείτε παρά να το γνωρίζετε. Για παράδειγμα, για να συνδεθείτε απομακρυσμένα σε ένα σύστημα διαχείρισης (πύλη διαχείρισης), είναι απαραίτητο να χρησιμοποιήσετε μέτρα ασφαλείας. Ο πάροχος δεν θα μπορεί να παρακάμψει αυτήν την απαίτηση και θα σας παράσχει (ή θα σας ζητήσει να χρησιμοποιήσετε) πιστοποιημένες λύσεις. Πάρτε τους πόρους για μια δοκιμή και θα καταλάβετε αμέσως πώς και τι λειτουργεί. 

  • Είναι πολύ επιθυμητό ο πάροχος cloud να παρέχει πρόσθετες υπηρεσίες στον τομέα της ασφάλειας πληροφοριών. Αυτές μπορεί να είναι διάφορες υπηρεσίες: προστασία από επιθέσεις DDoS και WAF, υπηρεσία προστασίας από ιούς ή sandbox κ.λπ. Όλα αυτά θα σας επιτρέψουν να λαμβάνετε προστασία ως υπηρεσία, να μην αποσπάτε την προσοχή σας από συστήματα προστασίας κτιρίων, αλλά να εργάζεστε σε επαγγελματικές εφαρμογές.

  • Ο πάροχος πρέπει να είναι κάτοχος άδειας της FSTEC και της FSB. Κατά κανόνα, τέτοιες πληροφορίες δημοσιεύονται απευθείας στον ιστότοπο. Φροντίστε να ζητήσετε αυτά τα έγγραφα και ελέγξτε εάν οι διευθύνσεις για την παροχή υπηρεσιών, το όνομα της εταιρείας παροχής κ.λπ. είναι σωστές. 

Ας συνοψίσουμε. Η ενοικίαση υποδομών θα σας επιτρέψει να εγκαταλείψετε το CAPEX και να διατηρήσετε μόνο τις επιχειρηματικές σας εφαρμογές και τα ίδια τα δεδομένα στον τομέα ευθύνης σας και να μεταφέρετε το βαρύ βάρος της πιστοποίησης του υλικού και του λογισμικού και του υλικού στον πάροχο.

Πώς περάσαμε την πιστοποίηση

Πιο πρόσφατα, περάσαμε με επιτυχία την επαναπιστοποίηση της υποδομής του "Secure Cloud FZ-152" για συμμόρφωση με τις απαιτήσεις για εργασία με προσωπικά δεδομένα. Οι εργασίες πραγματοποιήθηκαν από το Εθνικό Κέντρο Πιστοποίησης.

Επί του παρόντος, το "FZ-152 Secure Cloud" είναι πιστοποιημένο για τη φιλοξενία πληροφοριακών συστημάτων που εμπλέκονται στην επεξεργασία, αποθήκευση ή μετάδοση προσωπικών δεδομένων (ISPDn) σύμφωνα με τις απαιτήσεις του επιπέδου UZ-3.

Η διαδικασία πιστοποίησης περιλαμβάνει τον έλεγχο της συμμόρφωσης της υποδομής του παρόχου cloud με το επίπεδο προστασίας. Ο ίδιος ο πάροχος παρέχει την υπηρεσία IaaS και δεν είναι φορέας εκμετάλλευσης προσωπικών δεδομένων. Η διαδικασία περιλαμβάνει την αξιολόγηση τόσο των οργανωτικών (τεκμηρίωση, παραγγελίες κ.λπ.) όσο και των τεχνικών μέτρων (εγκατάσταση προστατευτικού εξοπλισμού κ.λπ.).

Δεν μπορεί να ονομαστεί ασήμαντο. Παρά το γεγονός ότι το GOST για προγράμματα και μεθόδους για τη διεξαγωγή δραστηριοτήτων πιστοποίησης εμφανίστηκε το 2013, αυστηρά προγράμματα για αντικείμενα cloud εξακολουθούν να μην υπάρχουν. Τα κέντρα πιστοποίησης αναπτύσσουν αυτά τα προγράμματα με βάση τη δική τους εμπειρία. Με την έλευση των νέων τεχνολογιών, τα προγράμματα γίνονται πιο περίπλοκα και εκσυγχρονισμένα· κατά συνέπεια, ο πιστοποιητής πρέπει να έχει εμπειρία εργασίας με λύσεις cloud και να κατανοεί τις ιδιαιτερότητες.

Στην περίπτωσή μας, το προστατευμένο αντικείμενο αποτελείται από δύο θέσεις.

  • Οι πόροι του cloud (διακομιστές, συστήματα αποθήκευσης, υποδομή δικτύου, εργαλεία ασφαλείας κ.λπ.) βρίσκονται απευθείας στο κέντρο δεδομένων. Φυσικά, ένα τέτοιο εικονικό κέντρο δεδομένων είναι συνδεδεμένο με δημόσια δίκτυα και, κατά συνέπεια, πρέπει να πληρούνται ορισμένες απαιτήσεις του τείχους προστασίας, για παράδειγμα, η χρήση πιστοποιημένων τειχών προστασίας.

  • Το δεύτερο μέρος του αντικειμένου είναι τα εργαλεία διαχείρισης cloud. Αυτοί είναι σταθμοί εργασίας (σταθμοί εργασίας διαχειριστή) από τους οποίους γίνεται η διαχείριση του προστατευμένου τμήματος.

Οι τοποθεσίες επικοινωνούν μέσω ενός καναλιού VPN που είναι χτισμένο σε CIPF.

Δεδομένου ότι οι τεχνολογίες εικονικοποίησης δημιουργούν προϋποθέσεις για την εμφάνιση απειλών, χρησιμοποιούμε επίσης πρόσθετα πιστοποιημένα εργαλεία προστασίας.

IaaS 152-FZ: λοιπόν, χρειάζεστε ασφάλειαΜπλοκ διάγραμμα "μέσα από τα μάτια του αξιολογητή"

Εάν ο πελάτης απαιτεί πιστοποίηση του ISPD του, μετά την ενοικίαση του IaaS, θα πρέπει μόνο να αξιολογήσει το πληροφοριακό σύστημα πάνω από το επίπεδο του εικονικού κέντρου δεδομένων. Αυτή η διαδικασία περιλαμβάνει τον έλεγχο της υποδομής και του λογισμικού που χρησιμοποιείται σε αυτήν. Εφόσον μπορείτε να ανατρέξετε στο πιστοποιητικό του παρόχου για όλα τα ζητήματα υποδομής, το μόνο που έχετε να κάνετε είναι να εργαστείτε με το λογισμικό.

IaaS 152-FZ: λοιπόν, χρειάζεστε ασφάλειαΔιαχωρισμός σε επίπεδο αφαίρεσης

Συμπερασματικά, εδώ είναι μια μικρή λίστα ελέγχου για εταιρείες που ήδη εργάζονται με προσωπικά δεδομένα ή απλώς σχεδιάζουν. Λοιπόν, πώς να το χειριστείτε χωρίς να καείτε.

  1. Για να ελέγξετε και να αναπτύξετε μοντέλα απειλών και εισβολέων, προσκαλέστε έναν έμπειρο σύμβουλο από τα εργαστήρια πιστοποίησης που θα σας βοηθήσει να αναπτύξετε τα απαραίτητα έγγραφα και να σας φέρει στο στάδιο των τεχνικών λύσεων.

  2. Όταν επιλέγετε έναν πάροχο cloud, δώστε προσοχή στην παρουσία ενός πιστοποιητικού. Καλό θα ήταν η εταιρεία να το αναρτούσε δημόσια απευθείας στον ιστότοπο. Ο πάροχος πρέπει να είναι κάτοχος άδειας FSTEC και FSB και η υπηρεσία που προσφέρει πρέπει να είναι πιστοποιημένη.

  3. Βεβαιωθείτε ότι έχετε μια επίσημη συμφωνία και μια υπογεγραμμένη οδηγία για την επεξεργασία προσωπικών δεδομένων. Με βάση αυτό, θα μπορείτε να πραγματοποιήσετε τόσο έλεγχο συμμόρφωσης όσο και πιστοποίηση ISPD. Εάν αυτή η εργασία στο στάδιο του τεχνικού έργου και η δημιουργία σχεδιασμού και τεχνικής τεκμηρίωσης σας φαίνεται επαχθής, θα πρέπει να επικοινωνήσετε με τρίτες εταιρείες συμβούλων από τα εργαστήρια πιστοποίησης.

Εάν τα θέματα επεξεργασίας προσωπικών δεδομένων σας αφορούν, στις 18 Σεπτεμβρίου, αυτή την Παρασκευή, θα χαρούμε να σας δούμε στο διαδικτυακό σεμινάριο "Χαρακτηριστικά της κατασκευής πιστοποιημένων σύννεφων".

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο