ProHoster > Блог > Administrado > IaaS 152-FZ: do, vi bezonas sekurecon

IaaS 152-FZ: do, vi bezonas sekurecon

IaaS 152-FZ: do, vi bezonas sekurecon

Kiom ajn vi ordigas la mitojn kaj legendojn, kiuj ĉirkaŭas la plenumon de 152-FZ, io ĉiam restas malantaŭ la scenoj. Hodiaŭ ni volas diskuti kelkajn ne ĉiam evidentajn nuancojn, kiujn povas renkonti kaj grandaj kompanioj kaj tre malgrandaj entreprenoj:

  • subtleties of PD classification into categories - kiam malgranda reta vendejo kolektas datumojn rilatajn al speciala kategorio eĉ sen scii pri ĝi;

  • kie vi povas konservi sekurkopiojn de kolektitaj PD kaj fari operaciojn sur ili;

  • kio estas la diferenco inter atestilo kaj konkludo de konformeco, kiajn dokumentojn vi petu de la provizanto, kaj tiajn aferojn.

Fine, ni dividos kun vi nian propran sperton pri trapaso de la atestado. Iru!

La fakulo en la hodiaŭa artikolo estos Aleksej Afanasiev, IS-specialisto por nubaj provizantoj IT-GRAD kaj #CloudMTS (parto de la grupo MTS).

Subtilecoj de klasifiko

Ni ofte renkontas la deziron de kliento rapide, sen IS-revizio, determini la bezonatan nivelon de sekureco por ISPD. Iuj materialoj en la interreto pri ĉi tiu temo donas la falsan impreson, ke tio estas simpla tasko kaj estas sufiĉe malfacile erari.

Por determini KM, necesas kompreni, kiaj datumoj estos kolektitaj kaj prilaboritaj de la IS de la kliento. Kelkfoje povas esti malfacile senambigue determini la protektopostulojn kaj la kategorion de personaj datumoj, kiujn kompanio funkciigas. La samaj specoj de personaj datumoj povas esti taksataj kaj klasifikitaj en tute malsamaj manieroj. Tial, en iuj kazoj, la opinio pri la komerco povas diferenci de la opinio de la revizoro aŭ eĉ la inspektisto. Ni rigardu kelkajn ekzemplojn.

Parkejo. Ĝi ŝajnus sufiĉe tradicia speco de komerco. Multaj veturilflotoj funkciis dum jardekoj, kaj iliaj posedantoj dungas individuajn entreprenistojn kaj individuojn. Kiel regulo, dungitaj datumoj estas sub la postuloj de UZ-4. Tamen, por labori kun ŝoforoj, necesas ne nur kolekti personajn datumojn, sed ankaŭ efektivigi medicinan kontrolon sur la teritorio de la veturilo-floto antaŭ ol iri al deĵoro, kaj la informoj kolektitaj en la procezo tuj falas en la kategorion de. medicinaj datumoj - kaj ĉi tio estas personaj datumoj de speciala kategorio. Krome, la floto povas peti atestilojn, kiuj tiam estos konservitaj en la dosiero de la ŝoforo. Skanado de tia atestilo en elektronika formo - sanaj datumoj, personaj datumoj de speciala kategorio. Ĉi tio signifas, ke UZ-4 ne plu sufiĉas; almenaŭ UZ-3 estas postulata.

Reta vendejo. Ŝajnus, ke la nomoj, retpoŝtoj kaj telefonnumeroj kolektitaj taŭgas en la publika kategorio. Tamen, se viaj klientoj indikas dietajn preferojn, kiel halal aŭ koŝera, tiaj informoj povas esti konsiderataj religiaj alligiteco aŭ kredadatumoj. Sekve, kiam kontrolas aŭ faras aliajn kontrolajn agadojn, la inspektisto povas klasifiki la datumojn, kiujn vi kolektas, kiel specialan kategorion de personaj datumoj. Nun, se reta vendejo kolektis informojn pri ĉu ĝia aĉetanto preferas viandon aŭ fiŝon, la datumoj povus esti klasifikitaj kiel aliaj personaj datumoj. Cetere, kio pri vegetaranoj? Ja tio ankaŭ povas esti atribuita al filozofiaj kredoj, kiuj ankaŭ apartenas al speciala kategorio. Sed aliflanke, ĉi tio simple povas esti la sinteno de homo, kiu forigis viandon el sia dieto. Ve, ne ekzistas signo, kiu senambigue difinas la kategorion de PD en tiaj "subtilaj" situacioj.

Reklama agentejo Uzante iun okcidentan nuban servon, ĝi prilaboras publike disponeblajn datumojn de siaj klientoj - plenaj nomoj, retadresoj kaj telefonnumeroj. Ĉi tiuj personaj datumoj, kompreneble, rilatas al personaj datumoj. Estiĝas la demando: ĉu estas laŭleĝe efektivigi tian prilaboradon? Ĉu eĉ eblas movi tiajn datumojn sen malpersonigo ekster la Rusa Federacio, ekzemple, por konservi sekurkopiojn en iuj eksterlandaj nuboj? Kompreneble vi povas. La Agentejo rajtas konservi ĉi tiujn datumojn ekster Rusio, tamen la komenca kolekto, laŭ nia leĝaro, devas esti farita sur la teritorio de la Rusa Federacio. Se vi rezervas tiajn informojn, kalkulu iujn statistikojn surbaze de ĝi, faras esplorojn aŭ faras iujn aliajn operaciojn kun ĝi - ĉio ĉi povas esti farita per okcidentaj rimedoj. La ŝlosila punkto de jura vidpunkto estas kie personaj datumoj estas kolektitaj. Tial gravas ne konfuzi komencan kolekton kaj prilaboradon.

Kiel sekvas el ĉi tiuj mallongaj ekzemploj, labori kun personaj datumoj ne ĉiam estas simpla kaj simpla. Vi devas ne nur scii, ke vi laboras kun ili, sed ankaŭ povi ĝuste klasifiki ilin, kompreni kiel funkcias la IP por ĝuste determini la bezonatan nivelon de sekureco. En iuj kazoj, la demando povas ekesti pri kiom da personaj datumoj la organizo efektive bezonas funkcii. Ĉu eblas rifuzi la plej "gravajn" aŭ simple nenecesajn datumojn? Krome, la reguligisto rekomendas malpersonigi personajn datumojn kiam eblas. 

Kiel en la supraj ekzemploj, foje vi povas renkonti la fakton, ke inspektaj aŭtoritatoj interpretas la kolektitajn personajn datumojn iomete malsame ol vi mem taksis ilin.

Kompreneble, vi povas dungi revizoron aŭ sistemintegranton kiel asistanton, sed ĉu la "asistanto" respondecos pri la decidoj elektitaj okaze de revizio? Indas noti, ke respondeco ĉiam estas de la posedanto de la ISPD - la funkciigisto de personaj datumoj. Tial, kiam kompanio faras tian laboron, gravas turni sin al seriozaj ludantoj en la merkato por tiaj servoj, ekzemple kompanioj farantaj atestan laboron. Atestantaj kompanioj havas ampleksan sperton en farado de tia laboro.

Opcioj por konstrui ISPD

La konstruado de ISPD estas ne nur teknika, sed ankaŭ plejparte jura afero. La CIO aŭ sekureca direktoro devas ĉiam konsulti kun jura konsilado. Ĉar la kompanio ne ĉiam havas specialiston kun la profilo, kiun vi bezonas, indas rigardi al revizoroj-konsultistoj. Multaj glitigaj punktoj eble tute ne estas evidentaj.

La konsulto permesos al vi determini kun kiuj personaj datumoj vi traktas kaj kian nivelon de protekto ĝi postulas. Sekve, vi havos ideon pri la IP, kiu devas esti kreita aŭ kompletigita per sekurecaj kaj funkciaj sekurecaj mezuroj.

Ofte la elekto por kompanio estas inter du opcioj:

  1. Konstruu la respondan IS sur viaj propraj aparataj kaj programaj solvoj, eble en via propra servila ĉambro.

  2. Kontaktu nuban provizanton kaj elektu elastan solvon, jam atestitan "virtuala servila ĉambro".

Plej multaj informsistemoj prilaboranta personajn datumojn uzas tradician aliron, kiu, el komerca vidpunkto, apenaŭ povas esti nomata facila kaj sukcesa. Elektinte ĉi tiun opcion, necesas kompreni, ke la teknika dezajno inkluzivos priskribon de la ekipaĵo, inkluzive de programaro kaj aparataro solvoj kaj platformoj. Ĉi tio signifas, ke vi devos alfronti la jenajn malfacilaĵojn kaj limojn:

  • malfacileco de grimpi;

  • longa periodo de efektivigo de projekto: necesas elekti, aĉeti, instali, agordi kaj priskribi la sistemon;

  • multe da "papera" laboro, ekzemple - la disvolviĝo de kompleta pako de dokumentaro por la tuta ISPD.

Krome, komerco, kiel regulo, komprenas nur la "supran" nivelon de sia IP - la komercajn aplikaĵojn kiujn ĝi uzas. Alivorte, IT-personaro estas lerta en sia specifa areo. Ne estas kompreno pri kiel funkcias ĉiuj "malsuperaj niveloj": protekto de programaro kaj aparataro, konservado de sistemoj, sekurkopio kaj, kompreneble, kiel agordi protektajn ilojn konforme al ĉiuj postuloj, konstrui la parton de "aparataro" de la agordo. Gravas kompreni: ĉi tio estas grandega tavolo de scio, kiu kuŝas ekster la komerco de la kliento. Jen kie la sperto de nuba provizanto provizanta atestitan "virtuala servila ĉambro" povas esti utila.

Siavice, nubaj provizantoj havas kelkajn avantaĝojn kiuj, sen troigo, povas kovri 99% de komercaj bezonoj en la kampo de personaj datumoj protekto:

  • kapitalkostoj estas konvertitaj en operaciajn kostojn;

  • la provizanto, siaflanke, garantias la provizon de la bezonata nivelo de sekureco kaj havebleco surbaze de provita norma solvo;

  • ne necesas konservi stabon de specialistoj, kiuj certigos la funkciadon de la ISPD ĉe la aparataro;

  • provizantoj ofertas multe pli flekseblajn kaj elastajn solvojn;

  • la specialistoj de la provizanto havas ĉiujn necesajn atestojn;

  • plenumo ne estas pli malalta ol kiam oni konstruas vian propran arkitekturon, konsiderante la postulojn kaj rekomendojn de regulistoj.

La malnova mito, ke personaj datumoj ne povas esti stokitaj en la nubo, estas ankoraŭ ege populara. Ĝi estas nur parte vera: PD vere ne povas esti afiŝita en la unua disponebla nubo. Respekto de certaj teknikaj mezuroj kaj la uzo de certaj atestitaj solvoj estas postulataj. Se la provizanto plenumas ĉiujn leĝajn postulojn, la riskoj asociitaj kun elfluado de personaj datumoj estas minimumigitaj. Multaj provizantoj havas apartan infrastrukturon por prilabori personajn datumojn laŭ 152-FZ. Tamen, la elekto de provizanto ankaŭ devas esti alirita konante iujn kriteriojn; ni certe tuŝos ilin sube. 

Klientoj ofte venas al ni kun iuj zorgoj pri la lokado de personaj datumoj en la nubo de la provizanto. Nu, ni tuj diskutu ilin.

  • Datumoj povas esti ŝtelitaj dum transdono aŭ migrado

Ne necesas timi ĉi tion - la provizanto ofertas al la kliento la kreadon de sekura transdona kanalo konstruita sur atestitaj solvoj, plifortigitaj aŭtentigaj mezuroj por entreprenistoj kaj dungitoj. Restas nur elekti la taŭgajn protektajn metodojn kaj efektivigi ilin kiel parto de via laboro kun la kliento.

  • Montru maskojn venos kaj forprenos/sigelos/malŝaltos potencon al la servilo

Ĝi estas sufiĉe komprenebla por klientoj, kiuj timas, ke iliaj komercaj procezoj estos interrompitaj pro nesufiĉa kontrolo de la infrastrukturo. Kiel regulo, tiuj klientoj, kies aparataro antaŭe troviĝis en malgrandaj servilaj ĉambroj prefere ol specialigitaj datumcentroj, pensas pri tio. Fakte, datumcentroj estas ekipitaj per modernaj rimedoj de fizika kaj informa protekto. Estas preskaŭ neeble efektivigi ajnajn operaciojn en tia datumcentro sen sufiĉaj kialoj kaj paperoj, kaj tiaj agadoj postulas plenumon de kelkaj proceduroj. Krome, "tiri" vian servilon de la datumcentro povas influi aliajn klientojn de la provizanto, kaj ĉi tio certe ne estas necesa por iu ajn. Krome, neniu povos montri fingron specife al "via" virtuala servilo, do se iu volas ŝteli ĝin aŭ aranĝi maskospektaklon, li unue devos trakti multajn burokratiajn prokrastojn. Dum ĉi tiu tempo, vi plej verŝajne havos tempon por migri al alia retejo plurfoje.

  • Hakistoj hakos la nubon kaj ŝtelos datumojn

Interreto kaj presita gazetaro estas plenaj de fraptitoloj pri kiel ankoraŭ alia nubo viktimiĝis de ciberkrimuloj, kaj milionoj da personaj datenrekordoj likis interrete. En la granda plimulto de kazoj, vundeblecoj estis trovitaj tute ne flanke de la provizanto, sed en la informsistemoj de la viktimoj: malfortaj aŭ eĉ defaŭltaj pasvortoj, "truoj" en retejo-motoroj kaj datumbazoj, kaj banala komerca neglektemo dum elekto de sekurecaj rimedoj kaj organizado de proceduroj de aliro al datumoj. Ĉiuj atestitaj solvoj estas kontrolitaj por vundeblecoj. Ni ankaŭ regule faras "kontrolajn" provojn kaj sekurecajn reviziojn, kaj sendepende kaj per eksteraj organizoj. Por la provizanto, ĉi tio estas demando pri reputacio kaj komerco ĝenerale.

  • La provizanto/dungitoj de la provizanto ŝtelos personajn datumojn por persona gajno

Ĉi tio estas sufiĉe sentema momento. Kelkaj kompanioj de la informa sekureca mondo "timigas" siajn klientojn kaj insistas, ke "internaj dungitoj estas pli danĝeraj ol eksteraj piratoj." Ĉi tio povas esti vera en iuj kazoj, sed komerco ne povas esti konstruita sen fido. De tempo al tempo, novaĵoj fulmas ke la propraj dungitoj de organizo likas klientajn datumojn al atakantoj, kaj interna sekureco estas foje organizita multe pli malbona ol ekstera sekureco. Gravas kompreni ĉi tie, ke iu ajn granda provizanto estas ekstreme neinteresita pri negativaj kazoj. La agoj de la dungitoj de la provizanto estas bone reguligitaj, roloj kaj respondecaj kampoj estas dividitaj. Ĉiuj komercaj procezoj estas strukturitaj tiel, ke kazoj de datumfluo estas ekstreme neverŝajnaj kaj ĉiam videblas al internaj servoj, do klientoj ne devas timi problemojn de ĉi tiu flanko.

  • Vi pagas malmulte ĉar vi pagas por servoj per viaj komercaj datumoj.

Alia mito: kliento, kiu luas sekuran infrastrukturon je komforta prezo, efektive pagas ĝin per siaj datumoj - tio ofte estas pensata de spertuloj, kiuj ne ĝenas legi kelkajn konspirajn teoriojn antaŭ enlitiĝi. Unue, la ebleco fari ajnajn operaciojn kun viaj datumoj krom tiuj specifitaj en la ordo estas esence nula. Due, adekvata provizanto taksas la rilaton kun vi kaj lian reputacion - krom vi, li havas multajn pli da klientoj. La kontraŭa scenaro estas pli verŝajna, en kiu la provizanto fervore protektos la datumojn de siaj klientoj, sur kiuj ripozas ĝia komerco.

Elektante nuban provizanton por ISPD

Hodiaŭ, la merkato ofertas multajn solvojn por kompanioj, kiuj estas PD-funkciigistoj. Malsupre estas ĝenerala listo de rekomendoj por elekti la ĝustan.

  • La provizanto devas esti preta eniĝi en formalan interkonsenton priskribanta la respondecojn de la partioj, SLAoj kaj respondecejoj en la ŝlosilo por prilaborado de personaj datumoj. Fakte, inter vi kaj la provizanto, krom la serva interkonsento, ordono por PD-prilaborado devas esti subskribita. Ĉiukaze indas studi ilin zorge. Gravas kompreni la dividon de respondecoj inter vi kaj la provizanto.

  • Bonvolu noti, ke la segmento devas plenumi la postulojn, kio signifas, ke ĝi devas havi atestilon indikantan nivelon de sekureco ne pli malalta ol tiu postulata de via IP. Okazas, ke provizantoj publikigas nur la unuan paĝon de la atestilo, el kiu malmulto estas klara, aŭ rilatas al revizioj aŭ plenumaj proceduroj sen publikigi la atestilon mem ("ĉu estis knabo?"). Indas peti ĝin - ĉi tio estas publika dokumento, kiu indikas, kiu plenumis la atestadon, validecperiodon, nuban lokon, ktp.

  • La provizanto devas doni informojn pri kie troviĝas ĝiaj retejoj (protektitaj objektoj), por ke vi povu kontroli la lokigon de viaj datumoj. Ni memorigu vin, ke la komenca kolekto de personaj datumoj devas esti farita sur la teritorio de Rusa Federacio; sekve, estas rekomendinde vidi la adresojn de la datumcentro en la kontrakto/atestilo.

  • La provizanto devas uzi atestitajn informsekurecon kaj informprotektajn sistemojn. Kompreneble, plej multaj provizantoj ne reklamas la teknikajn sekurecajn mezurojn kaj solvan arkitekturon, kiujn ili uzas. Sed vi, kiel kliento, ne povas ne scii pri ĝi. Ekzemple, por malproksime konekti al mastruma sistemo (administra portalo), necesas uzi sekurecajn mezurojn. La provizanto ne povos preterpasi ĉi tiun postulon kaj provizos al vi (aŭ postulos, ke vi uzu) atestitajn solvojn. Prenu la rimedojn por testo kaj vi tuj komprenos kiel kaj kio funkcias. 

  • Estas tre dezirinde por la nuba provizanto provizi pliajn servojn en la kampo de informa sekureco. Ĉi tiuj povas esti diversaj servoj: protekto kontraŭ DDoS-atakoj kaj WAF, kontraŭvirusa servo aŭ sandbox, ktp. Ĉio ĉi permesos al vi ricevi protekton kiel servon, ne esti distrita per konstruado de protektaj sistemoj, sed labori pri komercaj aplikoj.

  • La provizanto devas esti licencito de FSTEC kaj FSB. Kiel regulo, tiaj informoj estas afiŝitaj rekte en la retejo. Nepre petu ĉi tiujn dokumentojn kaj kontrolu ĉu la adresoj por liverado de servoj, la nomo de la provizanta kompanio, ktp. 

Ni resumu. Luado de infrastrukturo permesos al vi forlasi CAPEX kaj konservi nur viajn komercajn aplikaĵojn kaj la datumojn mem en via areo de respondeco, kaj transdoni la pezan ŝarĝon de atestado de aparataro kaj programaro kaj aparataro al la provizanto.

Kiel ni pasis la atestadon

Plej lastatempe, ni sukcese pasigis la recertigon de la infrastrukturo de la "Secure Cloud FZ-152" por plenumado de la postuloj por labori kun personaj datumoj. La laboro estis farita de la Nacia Atesta Centro.

Nuntempe, la "FZ-152 Secure Cloud" estas atestita por gastigado de informsistemoj implikitaj en la prilaborado, konservado aŭ transdono de personaj datumoj (ISPDn) laŭ la postuloj de nivelo UZ-3.

La atesta proceduro implikas kontroli la konformecon de la infrastrukturo de la nuba provizanto kun la nivelo de protekto. La provizanto mem provizas la IaaS-servon kaj ne estas funkciigisto de personaj datumoj. La procezo implikas la taksadon de kaj organizaj (dokumentado, mendoj, ktp.) kaj teknikaj mezuroj (instalado de protekta ekipaĵo, ktp.).

Ĝi ne povas esti nomata bagatela. Malgraŭ tio, ke GOST pri programoj kaj metodoj por fari atestajn agadojn aperis en 2013, striktaj programoj por nubaj objektoj ankoraŭ ne ekzistas. Atestaj centroj evoluigas ĉi tiujn programojn surbaze de sia propra kompetenteco. Kun la apero de novaj teknologioj, programoj fariĝas pli kompleksaj kaj modernigitaj; sekve, la atestanto devas havi sperton pri laborado kun nubaj solvoj kaj kompreni la specifaĵojn.

En nia kazo, la protektita objekto konsistas el du lokoj.

  • Nubaj rimedoj (serviloj, stokadsistemoj, retaj infrastrukturoj, sekurecaj iloj, ktp.) situas rekte en la datumcentro. Kompreneble, tia virtuala datumcentro estas konektita al publikaj retoj, kaj sekve, certaj fajroŝirmiloj devas esti plenumitaj, ekzemple, la uzo de atestitaj fajroŝirmiloj.

  • La dua parto de la objekto estas iloj pri nuba administrado. Ĉi tiuj estas laborstacioj (laborstacioj de administranto) de kiuj la protektita segmento estas administrita.

Lokoj komunikas per VPN-kanalo konstruita sur CIPF.

Ĉar virtualigaj teknologioj kreas antaŭkondiĉojn por la apero de minacoj, ni ankaŭ uzas kromajn atestitajn protektajn ilojn.

IaaS 152-FZ: do, vi bezonas sekureconBlokdiagramo "per la okuloj de la asistanto"

Se la kliento postulas ateston pri sia ISPD, post lui IaaS, li nur devos taksi la informsistemon super la nivelo de la virtuala datumcentro. Ĉi tiu proceduro implikas kontroli la infrastrukturon kaj programaron uzatan sur ĝi. Ĉar vi povas raporti al la atestilo de la provizanto por ĉiuj infrastrukturaj aferoj, vi nur devas fari estas labori kun la programaro.

IaaS 152-FZ: do, vi bezonas sekureconApartigo ĉe la abstrakta nivelo

Konklude, jen malgranda kontrola listo por kompanioj, kiuj jam laboras kun personaj datumoj aŭ nur planas. Do, kiel manipuli ĝin sen bruliĝi.

  1. Por revizii kaj disvolvi modelojn de minacoj kaj entruduloj, invitu spertan konsultiston el la atestadaj laboratorioj, kiu helpos evoluigi la necesajn dokumentojn kaj alporti vin al la stadio de teknikaj solvoj.

  2. Elektante nuban provizanton, atentu la ĉeeston de atestilo. Estus bone, se la kompanio publike afiŝus ĝin rekte en la retejo. La provizanto devas esti licencito de FSTEC kaj FSB, kaj la servo, kiun li proponas, devas esti atestita.

  3. Certiĝu, ke vi havas formalan interkonsenton kaj subskribitan instrukcion pri prilaborado de personaj datumoj. Surbaze de ĉi tio, vi povos efektivigi kaj konformecon kaj ISPD-atestadon.Se ĉi tiu laboro en la stadio de la teknika projekto kaj la kreado de dezajno kaj teknika dokumentado ŝajnas al vi ŝarĝaj, vi devus kontakti triajn konsultajn kompaniojn. el inter la atestadaj laboratorioj.

Se la aferoj de personaj datumtraktado rilatas al vi, la 18-an de septembro, ĉi-vendredon, ni ĝojos vidi vin ĉe la retseminario "Ecoj de konstruado de atestitaj nuboj".

fonto: www.habr.com

Aldoni komenton