ProHoster > Blog > administración > IaaS 152-FZ: entonces, necesitas seguridad

IaaS 152-FZ: entonces, necesitas seguridad

IaaS 152-FZ: entonces, necesitas seguridad

No importa cuánto se aclaren los mitos y leyendas que rodean el cumplimiento de la 152-FZ, siempre queda algo detrás de escena. Hoy queremos comentar algunos matices no siempre obvios que pueden encontrarse tanto en las grandes empresas como en las muy pequeñas:

  • las sutilezas de la clasificación de PD en categorías: cuando una pequeña tienda en línea recopila datos relacionados con una categoría especial sin siquiera saberlo;

  • donde puede almacenar copias de seguridad de los PD recopilados y realizar operaciones con ellos;

  • cuál es la diferencia entre un certificado y una conclusión de cumplimiento, qué documentos debe solicitar al proveedor y cosas así.

Finalmente, compartiremos contigo nuestra propia experiencia al aprobar la certificación. ¡Ir!

El experto en el artículo de hoy será Alexey Afanasiev, especialista en SI para proveedores de nube IT-GRAD y #CloudMTS (parte del grupo MTS).

Sutilezas de clasificación

A menudo nos encontramos con el deseo de un cliente de determinar rápidamente, sin una auditoría de SI, el nivel de seguridad requerido para un ISPD. Algunos materiales en Internet sobre este tema dan la falsa impresión de que se trata de una tarea sencilla y es bastante difícil cometer un error.

Para determinar KM, es necesario comprender qué datos serán recopilados y procesados ​​por el SI del cliente. A veces puede resultar difícil determinar sin ambigüedades los requisitos de protección y la categoría de datos personales que opera una empresa. Los mismos tipos de datos personales pueden evaluarse y clasificarse de formas completamente diferentes. Por tanto, en algunos casos, la opinión de la empresa puede diferir de la opinión del auditor o incluso del inspector. Veamos algunos ejemplos.

Estacionamiento. Parecería un tipo de negocio bastante tradicional. Muchas flotas de vehículos han estado funcionando durante décadas y sus propietarios contratan a empresarios individuales y a particulares. Como regla general, los datos de los empleados se ajustan a los requisitos de UZ-4. Sin embargo, para trabajar con los conductores, es necesario no solo recopilar datos personales, sino también realizar un control médico en el territorio de la flota de vehículos antes de comenzar un turno, y la información recopilada en el proceso cae inmediatamente en la categoría de datos médicos, y estos son datos personales de una categoría especial. Además, la flota podrá solicitar certificados, que luego se conservarán en el expediente del conductor. Un escaneo de dicho certificado en formato electrónico: datos de salud, datos personales de una categoría especial. Esto significa que el UZ-4 ya no es suficiente; se requiere al menos el UZ-3.

Tienda online. Parecería que los nombres, correos electrónicos y números de teléfono recopilados encajan en la categoría de público. Sin embargo, si sus clientes indican preferencias dietéticas, como halal o kosher, dicha información puede considerarse datos de creencias o afiliaciones religiosas. Por lo tanto, al verificar o realizar otras actividades de control, el inspector podrá clasificar los datos que recopile como una categoría especial de datos personales. Ahora bien, si una tienda online recopilara información sobre si su comprador prefiere carne o pescado, los datos podrían clasificarse como otros datos personales. Por cierto, ¿qué pasa con los vegetarianos? Después de todo, esto también se puede atribuir a creencias filosóficas, que también pertenecen a una categoría especial. Pero, por otro lado, esta puede ser simplemente la actitud de una persona que ha eliminado la carne de su dieta. Desgraciadamente, no existe ningún signo que defina inequívocamente la categoría de TP en situaciones tan “sutiles”.

La agencia de publicidad Utilizando algún servicio en la nube occidental, procesa datos disponibles públicamente de sus clientes: nombres completos, direcciones de correo electrónico y números de teléfono. Estos datos personales, por supuesto, se refieren a datos personales. Surge la pregunta: ¿es legal realizar dicho tratamiento? ¿Es posible incluso mover esos datos sin despersonalizarlos fuera de la Federación de Rusia, por ejemplo, para almacenar copias de seguridad en algunas nubes extranjeras? Por supuesto que puede. La Agencia tiene derecho a almacenar estos datos fuera de Rusia, sin embargo, la recopilación inicial, según nuestra legislación, debe realizarse en el territorio de la Federación Rusa. Si realiza una copia de seguridad de dicha información, calcula algunas estadísticas basadas en ella, realiza investigaciones o realiza otras operaciones con ella, todo esto se puede hacer con recursos occidentales. El punto clave desde un punto de vista legal es dónde se recopilan los datos personales. Por tanto, es importante no confundir la recogida inicial y el procesamiento.

Como se desprende de estos breves ejemplos, trabajar con datos personales no siempre es sencillo y sencillo. No solo necesita saber que está trabajando con ellos, sino también poder clasificarlos correctamente y comprender cómo funciona la IP para poder determinar correctamente el nivel de seguridad requerido. En algunos casos, puede surgir la pregunta de cuántos datos personales necesita realmente la organización para operar. ¿Es posible rechazar los datos más “serios” o simplemente innecesarios? Además, el regulador recomienda despersonalizar los datos personales siempre que sea posible. 

Como en los ejemplos anteriores, a veces puede encontrarse con el hecho de que las autoridades de inspección interpretan los datos personales recopilados de forma ligeramente diferente a como usted mismo los evaluó.

Por supuesto, se puede contratar a un auditor o un integrador de sistemas como asistente, pero ¿será el “asistente” responsable de las decisiones elegidas en caso de una auditoría? Vale la pena señalar que la responsabilidad siempre recae en el propietario del ISPD, el operador de los datos personales. Por eso, cuando una empresa realiza este tipo de trabajos, es importante recurrir a actores serios del mercado para tales servicios, por ejemplo, empresas que realizan trabajos de certificación. Las empresas certificadoras cuentan con una amplia experiencia en la realización de dichos trabajos.

Opciones para construir un ISPD

La construcción de un ISPD no es sólo una cuestión técnica, sino también, en gran medida, jurídica. El CIO o el director de seguridad siempre deben consultar con un asesor legal. Dado que la empresa no siempre cuenta con un especialista con el perfil que se necesita, conviene recurrir a auditores-consultores. Muchos puntos resbaladizos pueden no ser obvios en absoluto.

La consulta te permitirá determinar qué datos personales estás tratando y qué nivel de protección requiere. En consecuencia, tendrá una idea de la IP que debe crearse o complementarse con medidas de seguridad operativas y de seguridad.

A menudo, la elección de una empresa se encuentra entre dos opciones:

  1. Construya el IS correspondiente en sus propias soluciones de hardware y software, posiblemente en su propia sala de servidores.

  2. Póngase en contacto con un proveedor de la nube y elija una solución elástica, una “sala de servidores virtuales” ya certificada.

La mayoría de los sistemas de información que procesan datos personales utilizan un enfoque tradicional que, desde un punto de vista empresarial, difícilmente puede considerarse sencillo y exitoso. Al elegir esta opción, es necesario entender que el diseño técnico incluirá una descripción del equipo, incluidas las soluciones y plataformas de software y hardware. Esto significa que tendrás que afrontar las siguientes dificultades y limitaciones:

  • dificultad de escalar;

  • largo período de implementación del proyecto: es necesario seleccionar, comprar, instalar, configurar y describir el sistema;

  • mucho trabajo "papeleo", por ejemplo: el desarrollo de un paquete completo de documentación para todo el ISPD.

Además, una empresa, por regla general, comprende sólo el nivel "superior" de su propiedad intelectual: las aplicaciones comerciales que utiliza. En otras palabras, el personal de TI está capacitado en su área específica. No se comprende cómo funcionan todos los "niveles inferiores": protección de software y hardware, sistemas de almacenamiento, copias de seguridad y, por supuesto, cómo configurar las herramientas de protección de acuerdo con todos los requisitos, construir la parte de "hardware" de la configuración. Es importante entender: se trata de una enorme capa de conocimiento que se encuentra fuera del negocio del cliente. Aquí es donde la experiencia de un proveedor de nube que proporciona una “sala de servidores virtuales” certificada puede resultar útil.

A su vez, los proveedores de la nube cuentan con una serie de ventajas que, sin exagerar, pueden cubrir el 99% de las necesidades empresariales en el ámbito de la protección de datos personales:

  • los costos de capital se convierten en costos operativos;

  • el proveedor, por su parte, garantiza la provisión del nivel requerido de seguridad y disponibilidad basado en una solución estándar probada;

  • no es necesario mantener una plantilla de especialistas que garanticen el funcionamiento del ISPD a nivel de hardware;

  • los proveedores ofrecen soluciones mucho más flexibles y elásticas;

  • los especialistas del proveedor cuentan con todos los certificados necesarios;

  • El cumplimiento no es menor que cuando se construye su propia arquitectura, teniendo en cuenta los requisitos y recomendaciones de los reguladores.

El viejo mito de que los datos personales no se pueden almacenar en las nubes sigue siendo muy popular. Es cierto sólo en parte: los PD realmente no se pueden publicar en el primero disponible nube. Se requiere el cumplimiento de determinadas medidas técnicas y el uso de determinadas soluciones certificadas. Si el proveedor cumple con todos los requisitos legales, se minimizan los riesgos asociados a la fuga de datos personales. Muchos proveedores tienen una infraestructura separada para procesar datos personales de acuerdo con 152-FZ. Sin embargo, la elección del proveedor también debe abordarse conociendo ciertos criterios, que seguramente abordaremos a continuación. 

Los clientes suelen acudir a nosotros con algunas inquietudes sobre la ubicación de datos personales en la nube del proveedor. Bueno, hablemos de ellos de inmediato.

  • Los datos pueden ser robados durante la transmisión o la migración

No hay por qué tener miedo de esto: el proveedor ofrece al cliente la creación de un canal de transmisión de datos seguro basado en soluciones certificadas y medidas de autenticación mejoradas para contratistas y empleados. Todo lo que queda es elegir los métodos de protección adecuados e implementarlos como parte de su trabajo con el cliente.

  • Las máscaras de espectáculo vendrán y quitarán/sellarán/cortarán la energía al servidor

Es bastante comprensible para los clientes que temen que sus procesos comerciales se vean interrumpidos debido a un control insuficiente sobre la infraestructura. Por regla general, lo piensan aquellos clientes cuyo hardware antes estaba ubicado en pequeñas salas de servidores y no en centros de datos especializados. En realidad, los centros de datos están equipados con medios modernos de protección tanto física como de información. Es casi imposible realizar operaciones en un centro de datos de este tipo sin los motivos y la documentación suficientes, y tales actividades requieren el cumplimiento de una serie de procedimientos. Además, "sacar" su servidor del centro de datos puede afectar a otros clientes del proveedor, y esto definitivamente no es necesario para nadie. Además, nadie podrá señalar específicamente “su” servidor virtual, por lo que si alguien quiere robarlo o montar un espectáculo de máscaras, primero tendrá que lidiar con muchos retrasos burocráticos. Durante este tiempo, lo más probable es que tenga tiempo de migrar a otro sitio varias veces.

  • Los piratas informáticos piratearán la nube y robarán datos

Internet y la prensa escrita están llenos de titulares sobre cómo otra nube ha sido víctima de los ciberdelincuentes y se han filtrado en línea millones de registros de datos personales. En la gran mayoría de los casos, las vulnerabilidades no se encontraron en absoluto del lado del proveedor, sino en los sistemas de información de las víctimas: contraseñas débiles o incluso predeterminadas, "agujeros" en los motores de sitios web y bases de datos, y descuidos comerciales banales al elegir medidas de seguridad y organizar los procedimientos de acceso a los datos. Todas las soluciones certificadas se comprueban en busca de vulnerabilidades. También realizamos periódicamente pentests de “control” y auditorías de seguridad, tanto de forma independiente como a través de organizaciones externas. Para el proveedor, esto es una cuestión de reputación y de negocio en general.

  • El proveedor/empleados del proveedor robarán datos personales para beneficio personal

Éste es un momento bastante delicado. Varias empresas del mundo de la seguridad de la información "asustan" a sus clientes e insisten en que "los empleados internos son más peligrosos que los piratas informáticos externos". Esto puede ser cierto en algunos casos, pero no se puede construir un negocio sin confianza. De vez en cuando, aparecen noticias de que los propios empleados de una organización filtran datos de clientes a los atacantes y, a veces, la seguridad interna está mucho peor organizada que la seguridad externa. Es importante comprender aquí que cualquier gran proveedor no tiene ningún interés en los casos negativos. Las acciones de los empleados del proveedor están bien reguladas, los roles y áreas de responsabilidad están divididos. Todos los procesos comerciales están estructurados de tal manera que los casos de fuga de datos son extremadamente improbables y siempre son perceptibles para los servicios internos, por lo que los clientes no deben temer los problemas de este lado.

  • Pagas poco porque pagas los servicios con los datos de tu empresa.

Otro mito: un cliente que alquila una infraestructura segura a un precio cómodo, en realidad la paga con sus datos; esto lo piensan a menudo los expertos a quienes no les importa leer un par de teorías de conspiración antes de acostarse. En primer lugar, la posibilidad de realizar con sus datos operaciones distintas a las especificadas en el pedido es prácticamente nula. En segundo lugar, un proveedor adecuado valora la relación con usted y su reputación; además de usted, tiene muchos más clientes. Es más probable el escenario opuesto, en el que el proveedor protegerá celosamente los datos de sus clientes, en los que se basa su negocio.

Elegir un proveedor de nube para ISPD

Hoy en día, el mercado ofrece muchas soluciones para las empresas que son operadoras de PD. A continuación se muestra una lista general de recomendaciones para elegir el correcto.

  • El proveedor debe estar preparado para celebrar un acuerdo formal que describa las responsabilidades de las partes, los SLA y las áreas de responsabilidad en la clave del procesamiento de datos personales. De hecho, entre usted y el proveedor, además del contrato de servicio, se debe firmar una orden de procesamiento de PD. En cualquier caso, vale la pena estudiarlos detenidamente. Es importante comprender la división de responsabilidades entre usted y el proveedor.

  • Tenga en cuenta que el segmento debe cumplir con los requisitos, lo que significa que debe tener un certificado que indique un nivel de seguridad no inferior al requerido por su IP. Sucede que los proveedores publican sólo la primera página del certificado, de la que poco queda claro, o hacen referencia a auditorías o procedimientos de cumplimiento sin publicar el certificado en sí (“¿había un niño?”). Vale la pena solicitarlo: es un documento público que indica quién realizó la certificación, período de validez, ubicación en la nube, etc.

  • El proveedor debe proporcionar información sobre dónde se encuentran sus sitios (objetos protegidos) para que usted pueda controlar la ubicación de sus datos. Le recordamos que la recopilación inicial de datos personales debe realizarse en el territorio de la Federación Rusa, por lo que es recomendable consultar las direcciones del centro de datos en el contrato/certificado.

  • El proveedor deberá utilizar sistemas certificados de seguridad y protección de la información. Por supuesto, la mayoría de los proveedores no anuncian las medidas técnicas de seguridad ni la arquitectura de la solución que utilizan. Pero usted, como cliente, no puede evitar saberlo. Por ejemplo, para conectarse de forma remota a un sistema de gestión (portal de gestión), es necesario utilizar medidas de seguridad. El proveedor no podrá eludir este requisito y le proporcionará (o le exigirá que utilice) soluciones certificadas. Realice una prueba con los recursos e inmediatamente comprenderá cómo y qué funciona. 

  • Es muy deseable que el proveedor de la nube proporcione servicios adicionales en el campo de la seguridad de la información. Pueden ser varios servicios: protección contra ataques DDoS y WAF, servicio antivirus o sandbox, etc. Todo esto le permitirá recibir protección como un servicio, no distraerse construyendo sistemas de protección, sino trabajar en aplicaciones comerciales.

  • El proveedor debe ser licenciatario de FSTEC y FSB. Como regla general, dicha información se publica directamente en el sitio web. Asegúrese de solicitar estos documentos y comprobar si las direcciones de prestación de servicios, el nombre de la empresa proveedora, etc. son correctos. 

Resumamos. Alquilar infraestructura le permitirá abandonar CAPEX y retener solo sus aplicaciones comerciales y los datos en sí en su área de responsabilidad, y transferir la pesada carga de la certificación de hardware, software y hardware al proveedor.

Cómo pasamos la certificación

Más recientemente, superamos con éxito la recertificación de la infraestructura de "Secure Cloud FZ-152" para cumplir con los requisitos para trabajar con datos personales. El trabajo fue realizado por el Centro Nacional de Certificación.

Actualmente, la “Nube Segura FZ-152” está certificada para alojar sistemas de información involucrados en el procesamiento, almacenamiento o transmisión de datos personales (ISPDn) de acuerdo con los requisitos del nivel UZ-3.

El procedimiento de certificación implica comprobar que la infraestructura del proveedor de la nube cumple con el nivel de protección. El propio proveedor proporciona el servicio IaaS y no es un operador de datos personales. El proceso implica la evaluación de medidas tanto organizativas (documentación, pedidos, etc.) como técnicas (instalación de equipos de protección, etc.).

No se puede llamar trivial. A pesar de que GOST sobre programas y métodos para realizar actividades de certificación apareció en 2013, todavía no existen programas estrictos para objetos en la nube. Los centros de certificación desarrollan estos programas basándose en su propia experiencia. Con la llegada de las nuevas tecnologías, los programas se vuelven más complejos y modernizados, por lo que el certificador debe tener experiencia trabajando con soluciones en la nube y comprender los detalles.

En nuestro caso, el objeto protegido consta de dos ubicaciones.

  • Los recursos de la nube (servidores, sistemas de almacenamiento, infraestructura de red, herramientas de seguridad, etc.) se encuentran directamente en el centro de datos. Por supuesto, un centro de datos virtual de este tipo está conectado a redes públicas y, en consecuencia, se deben cumplir ciertos requisitos de firewall, por ejemplo, el uso de firewalls certificados.

  • La segunda parte del objeto son las herramientas de gestión de la nube. Se trata de estaciones de trabajo (estaciones de trabajo del administrador) desde las que se gestiona el segmento protegido.

Las ubicaciones se comunican a través de un canal VPN integrado en CIPF.

Dado que las tecnologías de virtualización crean condiciones previas para la aparición de amenazas, también utilizamos herramientas de protección certificadas adicionales.

IaaS 152-FZ: entonces, necesitas seguridadDiagrama de bloques “a través de los ojos del evaluador”

Si el cliente requiere la certificación de su ISPD, luego de alquilar IaaS, solo tendrá que evaluar el sistema de información por encima del nivel del centro de datos virtual. Este procedimiento implica verificar la infraestructura y el software utilizado en el mismo. Como puede consultar el certificado del proveedor para todos los problemas de infraestructura, todo lo que tiene que hacer es trabajar con el software.

IaaS 152-FZ: entonces, necesitas seguridadSeparación a nivel de abstracción.

En conclusión, aquí hay una pequeña lista de verificación para empresas que ya están trabajando con datos personales o que recién lo están planeando. Entonces, cómo manejarlo sin quemarse.

  1. Para auditar y desarrollar modelos de amenazas e intrusos, invite a un consultor experimentado entre los laboratorios de certificación que lo ayudará a desarrollar los documentos necesarios y lo llevará al escenario de soluciones técnicas.

  2. Al elegir un proveedor de nube, preste atención a la presencia de un certificado. Sería bueno que la empresa lo publicara públicamente directamente en el sitio web. El proveedor debe ser licenciatario de FSTEC y FSB, y el servicio que ofrece debe estar certificado.

  3. Asegúrese de tener un acuerdo formal y una instrucción firmada para el procesamiento de datos personales. En base a esto, podrá realizar tanto la verificación de cumplimiento como la certificación ISPD. Si este trabajo en la etapa del proyecto técnico y la creación del diseño y la documentación técnica le parece engorroso, debe comunicarse con empresas consultoras de terceros. de entre los laboratorios de certificación.

Si las cuestiones relacionadas con el procesamiento de datos personales son relevantes para usted, este viernes 18 de septiembre estaremos encantados de verlo en el seminario web. "Características de la construcción de nubes certificadas".

Fuente: habr.com

Añadir un comentario