ProHoster > Blogi > Haldamine > IaaS 152-FZ: nii et vajate turvalisust

IaaS 152-FZ: nii et vajate turvalisust

IaaS 152-FZ: nii et vajate turvalisust

Pole tähtis, kui palju te 152-FZ järgimist ümbritsevaid müüte ja legende välja selgitate, jääb alati midagi kulisside taha. Täna tahame arutada mõningaid mitte alati ilmseid nüansse, millega võivad kokku puutuda nii suured ettevõtted kui ka väga väikesed ettevõtted:

  • PD kategooriatesse klassifitseerimise peensused – kui väike veebipood kogub mingi erikategooriaga seotud andmeid sellest teadmata;

  • kus saate salvestada kogutud PD varukoopiaid ja teha nendega toiminguid;

  • mis vahe on sertifikaadil ja vastavusjäreldusel, milliseid dokumente peaks pakkujalt nõudma jms.

Lõpuks jagame teiega oma kogemust sertifikaadi läbimise kohta. Mine!

Tänase artikli ekspert on Aleksei Afanasjev, IS spetsialist pilvepakkujatele IT-GRAD ja #CloudMTS (osa MTS grupist).

Klassifitseerimise peensused

Sageli puutume kokku kliendi sooviga kiiresti, ilma IS-i auditita, määrata ISPD-le vajalik turvatase. Mõned selleteemalised Internetis leiduvad materjalid jätavad eksliku mulje, et tegemist on lihtsa ülesandega ja eksimine on üsna keeruline.

KM määramiseks on vaja aru saada, milliseid andmeid kliendi IS kogub ja töötleb. Mõnikord võib olla keeruline üheselt määratleda kaitsenõudeid ja isikuandmete kategooriat, mida ettevõte tegutseb. Sama tüüpi isikuandmeid saab hinnata ja klassifitseerida täiesti erineval viisil. Seetõttu võib mõnel juhul ettevõtte arvamus erineda audiitori või isegi inspektori arvamusest. Vaatame mõnda näidet.

Autoparkla. See näib olevat üsna traditsiooniline äri. Paljud sõidukipargid on tegutsenud aastakümneid ning nende omanikud palkavad nii üksikettevõtjaid kui ka eraisikuid. Töötajate andmed kuuluvad reeglina UZ-4 nõuete alla. Juhtidega töötamiseks on aga vaja mitte ainult koguda isikuandmeid, vaid ka enne vahetusse minekut läbi viia sõidukipargi territooriumil meditsiiniline kontroll ning selle käigus kogutud teave kuulub koheselt kategooriasse meditsiinilised andmed - ja need on erikategooria isikuandmed. Lisaks võib autopark nõuda sertifikaate, mida hoitakse seejärel juhi toimikus. Sellise tõendi skaneerimine elektroonilisel kujul - terviseandmed, erikategooria isikuandmed. See tähendab, et UZ-4-st enam ei piisa, vaja on vähemalt UZ-3.

Internetipood. Näib, et kogutud nimed, meilid ja telefoninumbrid sobivad avalikku kategooriasse. Kui aga teie kliendid viitavad toitumiseelistustele (nt halal või koššer), võidakse sellist teavet käsitleda usulise kuuluvuse või veendumuste andmetena. Seetõttu võib inspektor teie kogutavad andmed kontrollimisel või muude kontrollitoimingute läbiviimisel liigitada isikuandmete erikategooriasse. Kui nüüd veebipood koguks infot selle kohta, kas tema ostja eelistab liha või kala, võiksid andmed liigitada muude isikuandmete alla. Muide, kuidas on lood taimetoitlastega? Selle võib ju panna ka filosoofiliste tõekspidamiste arvele, mis samuti kuuluvad erikategooriasse. Kuid teisest küljest võib see olla lihtsalt inimese suhtumine, kes on liha toidust välja jätnud. Paraku pole ühtegi märki, mis sellistes "peentes" olukordades üheselt määratleks PD kategooria.

Reklaamiagentuur Mõnda Lääne pilveteenust kasutades töötleb ta oma klientide avalikult kättesaadavaid andmeid – täisnimesid, e-posti aadresse ja telefoninumbreid. Need isikuandmed on loomulikult seotud isikuandmetega. Tekib küsimus: kas sellise töötlemise läbiviimine on seaduslik? Kas selliseid andmeid on üldse võimalik ilma depersonaliseerimiseta väljapoole Vene Föderatsiooni teisaldada, näiteks varukoopiaid mõnesse välismaa pilve salvestada? Muidugi sa suudad. Agentuuril on õigus neid andmeid säilitada väljaspool Venemaad, kuid esialgne kogumine peab meie õigusaktide kohaselt toimuma Vene Föderatsiooni territooriumil. Kui sellist infot varundada, selle põhjal mingit statistikat arvutada, uuringuid teha või sellega mingeid muid toiminguid teha – seda kõike saab teha lääne ressurssidel. Õiguslikust aspektist on võtmeküsimus see, kus isikuandmeid kogutakse. Seetõttu on oluline mitte segi ajada esialgset kogumist ja töötlemist.

Nagu nendest lühikestest näidetest järeldub, ei ole isikuandmetega töötamine alati otsekohene ja lihtne. Nõutava turbetaseme õigeks määramiseks peate mitte ainult teadma, et töötate nendega, vaid ka suutma neid õigesti klassifitseerida, mõistma, kuidas IP töötab. Mõnel juhul võib tekkida küsimus, kui palju isikuandmeid organisatsioon tegelikult tegutsemiseks vajab. Kas on võimalik keelduda kõige "tõsisematest" või lihtsalt mittevajalikest andmetest? Lisaks soovitab regulaator võimaluse korral isikuandmeid depersonaliseerida. 

Nagu ülaltoodud näidetes, võite mõnikord kohata tõsiasja, et kontrolliasutused tõlgendavad kogutud isikuandmeid pisut teisiti, kui te ise neid hindasite.

Muidugi võib assistendiks palgata audiitori või süsteemiintegraatori, aga kas auditi puhul vastutab valitud otsuste eest “assistent”? Tasub teada, et vastutus lasub alati ISPD omanikul – isikuandmete haldajal. Seetõttu on ettevõtte selliste tööde tegemisel oluline pöörduda selliste teenuste turul tõsiste tegijate poole, näiteks sertifitseerimistööd tegevate ettevõtete poole. Sertifitseerivatel ettevõtetel on selliste tööde tegemisel laialdased kogemused.

ISPD koostamise võimalused

ISPD ehitamine pole mitte ainult tehniline, vaid suuresti ka juriidiline küsimus. CIO või turvadirektor peaks alati konsulteerima õigusnõustajaga. Kuna ettevõttes ei ole alati teile vajaliku profiiliga spetsialisti, tasub vaadata audiitori-konsultantide poole. Paljud libedad kohad ei pruugi üldse ilmneda.

Konsultatsioon võimaldab teil kindlaks teha, milliste isikuandmetega te tegelete ja millist kaitsetaset need nõuavad. Sellest lähtuvalt saate aimu IP-st, mis tuleb luua või täiendada turva- ja tööturbemeetmetega.

Sageli on ettevõtte valikul kaks võimalust:

  1. Ehitage vastav IS oma riist- ja tarkvaralahendustele, võimalusel oma serveriruumis.

  2. Võtke ühendust pilveteenuse pakkujaga ja valige elastne lahendus, juba sertifitseeritud "virtuaalne serveriruum".

Enamik isikuandmeid töötlevaid infosüsteeme kasutab traditsioonilist lähenemist, mida ärilisest seisukohast ei saa nimetada lihtsaks ja edukaks. Selle valiku valimisel tuleb mõista, et tehniline projekt sisaldab seadmete kirjeldust, sealhulgas tarkvara ja riistvara lahendusi ning platvorme. See tähendab, et peate silmitsi seisma järgmiste raskuste ja piirangutega:

  • skaleerimise raskused;

  • pikk projekti elluviimise periood: vaja on valida, osta, paigaldada, seadistada ja kirjeldada süsteem;

  • näiteks palju "paberitööd" - kogu ISPD jaoks tervikliku dokumentatsioonipaketi väljatöötamine.

Lisaks mõistab ettevõte reeglina ainult oma IP "ülaosa" - kasutatavaid ärirakendusi. Teisisõnu, IT-töötajad on oma ala oskuslikud. Pole aru saada, kuidas kõik “madalamad tasemed” töötavad: tarkvara- ja riistvarakaitse, salvestussüsteemid, varundamine ja loomulikult ka kaitsetööriistade kõikidele nõuetele vastava konfigureerimise, konfiguratsiooni “riistvara” osa ülesehitamine. Oluline on mõista: see on tohutu teadmistekiht, mis asub väljaspool kliendi äri. Siin võib kasuks tulla sertifitseeritud "virtuaalse serveriruumi" pakkuva pilveteenuse pakkuja kogemus.

Pilvepakkujatel on omakorda mitmeid eeliseid, mis liialdamata suudavad katta 99% ärivajadustest isikuandmete kaitse valdkonnas:

  • kapitalikulud arvestatakse ümber tegevuskuludeks;

  • teenusepakkuja tagab omalt poolt nõutud turvataseme ja kättesaadavuse tagamise, tuginedes tõestatud standardlahendusele;

  • puudub vajadus säilitada spetsialistide koosseisu, kes tagaks ISPD töö riistvara tasemel;

  • pakkujad pakuvad palju paindlikumaid ja elastsemaid lahendusi;

  • teenusepakkuja spetsialistidel on kõik vajalikud sertifikaadid;

  • vastavus ei ole madalam kui oma arhitektuuri ehitamisel, võttes arvesse reguleerivate asutuste nõudeid ja soovitusi.

Endiselt on ülipopulaarne vana müüt, et isikuandmeid ei saa pilves hoida. See on ainult osaliselt tõsi: PD-d ei saa tõesti postitada esimeses saadaolevas pilv. Nõutav on teatud tehniliste meetmete järgimine ja teatud sertifitseeritud lahenduste kasutamine. Kui pakkuja täidab kõik seadusest tulenevad nõuded, on isikuandmete lekkimisega seotud riskid viidud miinimumini. Paljudel teenusepakkujatel on vastavalt 152-FZ-le isikuandmete töötlemiseks eraldi infrastruktuur. Tarnija valikul tuleb aga läheneda ka teatud kriteeriume teades, neid käsitleme kindlasti allpool. 

Kliendid pöörduvad meie poole sageli murega seoses isikuandmete paigutamisega teenusepakkuja pilve. Noh, arutame neid kohe.

  • Andmeid võidakse varastada edastamise või migratsiooni ajal

Seda pole vaja karta – pakkuja pakub kliendile sertifitseeritud lahendustele üles ehitatud turvalise andmeedastuskanali loomist, täiustatud autentimismeetmeid töövõtjatele ja töötajatele. Jääb vaid valida sobivad kaitsemeetodid ja rakendada need osana oma tööst kliendiga.

  • Kuvamaskid tulevad ja võtavad serverilt toite ära/pitseerivad/katkestavad

See on täiesti arusaadav klientidele, kes kardavad, et nende äriprotsessid saavad häiritud ebapiisava kontrolli tõttu taristu üle. Selle peale mõtlevad reeglina need kliendid, kelle riistvara asus varem pigem väikestes serveriruumides kui spetsialiseeritud andmekeskustes. Tegelikkuses on andmekeskused varustatud kaasaegsete vahenditega nii füüsiliseks kui ka infokaitseks. Sellises andmekeskuses on ilma piisava aluse ja paberiteta peaaegu võimatu mingeid toiminguid teha ning selline tegevus nõuab mitmete protseduuride järgimist. Lisaks võib teie serveri andmekeskusest “tõmbamine” mõjutada teenusepakkuja teisi kliente ja see pole kindlasti kellelegi vajalik. Lisaks ei saa keegi konkreetselt “sinu” virtuaalserveri poole näpuga näidata, nii et kui keegi soovib seda varastada või maskietendust lavastada, tuleb esmalt leppida paljude bürokraatlike viivitustega. Selle aja jooksul on teil tõenäoliselt aega mitu korda teisele saidile üle minna.

  • Häkkerid häkkivad pilve ja varastavad andmeid

Internet ja trükiajakirjandus on täis pealkirju selle kohta, kuidas järjekordne pilv on küberkurjategijate ohvriks langenud ja miljoneid isikuandmete kirjeid on võrku lekkinud. Valdav osa juhtudest ei leitud turvaauke üldse mitte pakkuja poolel, vaid ohvrite infosüsteemides: nõrgad või isegi vaikimisi paroolid, “augud” veebilehtede mootorites ja andmebaasides ning banaalne äriline hoolimatus turvameetmete valikul ja andmetele juurdepääsu protseduuride korraldamine. Kõiki sertifitseeritud lahendusi kontrollitakse haavatavuste suhtes. Samuti viime regulaarselt läbi “kontroll” penteste ja turvaauditeid nii iseseisvalt kui ka väliste organisatsioonide kaudu. Teenusepakkuja jaoks on see maine ja üldiselt äriküsimus.

  • Pakkuja/teenuse osutaja töötajad varastavad isikuandmeid isikliku kasu saamise eesmärgil

See on üsna tundlik hetk. Paljud infoturbemaailma ettevõtted "hirmutavad" oma kliente ja nõuavad, et "sisemised töötajad on ohtlikumad kui välised häkkerid". See võib mõnel juhul tõsi olla, kuid ettevõtet ei saa luua ilma usalduseta. Aeg-ajalt vilksatab uudiseid, et organisatsiooni enda töötajad lekitavad kliendiandmeid ründajatele ning siseturvalisus on mõnikord palju kehvemini korraldatud kui väline turvalisus. Siinkohal on oluline mõista, et iga suur pakkuja pole negatiivsetest juhtumitest väga huvitatud. Pakkuja töötajate tegevus on hästi reglementeeritud, rollid ja vastutusvaldkonnad on jagatud. Kõik äriprotsessid on üles ehitatud selliselt, et andmelekete juhtumid on äärmiselt ebatõenäolised ja siseteenustele alati märgatavad, seega ei tasu klientidel sellest küljest probleeme karta.

  • Maksate vähe, kuna maksate teenuste eest oma äriandmetega.

Teine müüt: klient, kes rendib turvalist infrastruktuuri mugava hinnaga, maksab selle eest tegelikult oma andmetega – seda arvavad sageli eksperdid, kes ei viitsi enne magamaminekut paar vandenõuteooriat lugeda. Esiteks, võimalus teha teie andmetega muid toiminguid peale tellimuses märgitud on sisuliselt null. Teiseks hindab adekvaatne pakkuja suhet teiega ja oma mainet - peale teie on tal palju rohkem kliente. Tõenäolisem on vastupidine stsenaarium, kus teenusepakkuja kaitseb innukalt oma klientide andmeid, millel tema äri toetub.

ISPD jaoks pilveteenuse pakkuja valimine

Tänapäeval pakub turg palju lahendusi ettevõtetele, kes on PD operaatorid. Allpool on üldine soovituste loend õige valimiseks.

  • Pakkuja peab olema valmis sõlmima ametlikku lepingut, mis kirjeldab poolte kohustusi, SLA-sid ja vastutusvaldkondi isikuandmete töötlemise võtmes. Tegelikult tuleb teie ja teenusepakkuja vahel lisaks teenuselepingule allkirjastada PD töötlemise tellimus. Igal juhul tasub neid hoolikalt uurida. Oluline on mõista teie ja teenusepakkuja vahelist kohustuste jaotust.

  • Pange tähele, et segment peab vastama nõuetele, mis tähendab, et sellel peab olema sertifikaat, mis näitab turvalisuse taset, mis ei ole madalam kui teie IP nõutav. Juhtub, et pakkujad avaldavad ainult sertifikaadi esimese lehekülje, millest vähe selgeks saab, või viitavad audititele või vastavusprotseduuridele ilma sertifikaati ennast avaldamata (“kas seal oli poiss?”). Seda tasub küsida - see on avalik dokument, mis näitab, kes sertifitseeris, kehtivusaeg, pilve asukoht jne.

  • Teenusepakkuja peab andma teavet selle kohta, kus tema saidid (kaitstud objektid) asuvad, et saaksite kontrollida oma andmete paigutust. Tuletame meelde, et esialgne isikuandmete kogumine peab toimuma Vene Föderatsiooni territooriumil, seetõttu on soovitav lepingus/sertifikaadis näha andmekeskuse aadresse.

  • Pakkuja peab kasutama sertifitseeritud infoturbe- ja infokaitsesüsteeme. Loomulikult ei reklaami enamik pakkujaid kasutatavaid tehnilisi turvameetmeid ja lahenduste arhitektuuri. Kuid sina kui klient ei saa sellest midagi parata. Näiteks haldussüsteemiga (haldusportaaliga) kaugühenduse loomiseks on vaja kasutada turvameetmeid. Teenusepakkuja ei saa sellest nõudest mööda minna ja pakub teile (või nõuab teilt kasutamist) sertifitseeritud lahendusi. Võtke ressursid testimiseks ja saate kohe aru, kuidas ja mis töötab. 

  • Pilvepakkujal on väga soovitav infoturbe valdkonna lisateenuste pakkumine. Need võivad olla erinevad teenused: kaitse DDoS-i rünnakute ja WAF-i eest, viirusetõrjeteenus või liivakast jne. Kõik see võimaldab teil saada teenusena kaitset, et mitte lasta end häirida hoone kaitsesüsteemidest, vaid töötada ärirakendustega.

  • Pakkuja peab olema FSTECi ja FSB litsentsisaaja. Reeglina postitatakse selline teave otse veebisaidile. Küsige kindlasti need dokumendid ja kontrollige, kas teenuste osutamise aadressid, teenusepakkuja ettevõtte nimi jne on õiged. 

Teeme kokkuvõtte. Taristu rentimine võimaldab teil loobuda CAPEXist ja säilitada ainult teie ärirakendused ja andmed ise teie vastutusalas ning kanda riist- ja tarkvara ning riistvara sertifitseerimise raske koorem üle pakkujale.

Kuidas me sertifikaadi läbisime

Viimati läbisime edukalt "Secure Cloud FZ-152" infrastruktuuri ümbersertifitseerimise isikuandmetega töötamise nõuete täitmiseks. Tööd teostas Riiklik Sertifitseerimiskeskus.

Praegu on "FZ-152 Secure Cloud" sertifitseeritud isikuandmete töötlemise, salvestamise või edastamisega (ISPDn) seotud infosüsteemide majutamiseks vastavalt taseme UZ-3 nõuetele.

Sertifitseerimisprotseduur hõlmab pilveteenuse pakkuja infrastruktuuri kaitsetasemele vastavuse kontrollimist. Teenusepakkuja ise pakub IaaS-teenust ega ole isikuandmete haldaja. Protsess hõlmab nii organisatsiooniliste (dokumentatsioon, korraldused jne) kui ka tehniliste meetmete hindamist (kaitsevahendite paigaldamine jne).

Seda ei saa nimetada triviaalseks. Hoolimata asjaolust, et sertifitseerimistoimingute läbiviimise programmide ja meetodite GOST ilmus juba 2013. aastal, pole pilveobjektide jaoks rangeid programme endiselt olemas. Sertifitseerimiskeskused töötavad need programmid välja oma teadmiste põhjal. Uute tehnoloogiate tulekuga muutuvad programmid keerukamaks ja kaasajastuvad, sellest lähtuvalt peab sertifitseerijal olema pilvelahendustega töötamise kogemus ning mõistma selle eripära.

Meie puhul koosneb kaitsealune objekt kahest asukohast.

  • Pilveressursid (serverid, salvestussüsteemid, võrguinfrastruktuur, turvatööriistad jne) asuvad otse andmekeskuses. Loomulikult on selline virtuaalne andmekeskus ühendatud avalike võrkudega ja vastavalt sellele peavad olema täidetud teatud tulemüüri nõuded, näiteks sertifitseeritud tulemüüride kasutamine.

  • Objekti teine ​​osa on pilvehaldustööriistad. Need on tööjaamad (administraatori tööjaamad), kust kaitstud segmenti hallatakse.

Asukohad suhtlevad CIPF-ile ehitatud VPN-kanali kaudu.

Kuna virtualiseerimistehnoloogiad loovad eeldused ohtude tekkeks, kasutame ka täiendavaid sertifitseeritud kaitsevahendeid.

IaaS 152-FZ: nii et vajate turvalisustPlokkskeem "läbi hindaja silmade"

Kui klient nõuab oma ISPD sertifitseerimist, jääb tal pärast IaaS rentimist hinnata vaid virtuaalse andmekeskuse tasemest kõrgemat infosüsteemi. See protseduur hõlmab infrastruktuuri ja sellel kasutatava tarkvara kontrollimist. Kuna kõigi infrastruktuuriprobleemide puhul saate viidata teenusepakkuja sertifikaadile, peate vaid tarkvaraga töötama.

IaaS 152-FZ: nii et vajate turvalisustEraldamine abstraktsiooni tasandil

Kokkuvõtteks on siin väike kontrollnimekiri ettevõtetele, kes juba tegelevad isikuandmetega või alles plaanivad. Niisiis, kuidas sellega toime tulla ilma põletust saamata.

  1. Ohtude ja sissetungijate mudelite auditeerimiseks ja väljatöötamiseks kutsuge sertifitseerimislaborite hulgast kogenud konsultant, kes aitab välja töötada vajalikud dokumendid ja viib teid tehniliste lahenduste faasi.

  2. Pilvepakkujat valides pöörake tähelepanu sertifikaadi olemasolule. Oleks hea, kui ettevõte postitaks selle avalikult otse veebisaidile. Pakkuja peab olema FSTECi ja FSB litsentsisaaja ning tema pakutav teenus peab olema sertifitseeritud.

  3. Veenduge, et teil oleks isikuandmete töötlemiseks vormikohane leping ja allkirjastatud juhend. Selle põhjal saate läbi viia nii nõuetele vastavuse kontrolli kui ka ISPD sertifitseerimise Kui see töö tehnilise projekti staadiumis ning projekti ja tehnilise dokumentatsiooni koostamine tundub teile koormav, tuleks pöörduda kolmandate osapoolte konsultatsioonifirmade poole. sertifitseerimislaborite hulgast.

Kui isikuandmete töötlemise küsimused on Sulle aktuaalsed, ootame Sind 18. septembril sel reedel veebiseminaril "Sertifitseeritud pilvede loomise funktsioonid".

Allikas: www.habr.com

Lisa kommentaar