ProHoster > Blog > Administrazioa > IaaS 152-FZ: beraz, segurtasuna behar duzu

IaaS 152-FZ: beraz, segurtasuna behar duzu

IaaS 152-FZ: beraz, segurtasuna behar duzu

152-FZ betetzea inguratzen duten mitoak eta kondairak zenbat ordenatu arren, beti geratzen da zerbait atzean. Gaurkoan, enpresa handiek zein enpresa oso txikiek aurki ditzaketen ñabardurak eztabaidatu nahi ditugu:

  • PD kategorietan sailkatzearen ñabardurak - lineako denda txiki batek kategoria berezi bati lotutako datuak biltzen dituenean horren berri ere jakin gabe;

  • non bildutako PDren babeskopiak gorde ditzakezu eta horietan eragiketak egin ditzakezu;

  • zer desberdintasun dagoen ziurtagiri baten eta betetze-ondorio baten artean, zer dokumentu eskatu behar diozun hornitzaileari eta horrelako gauzak.

Azkenik, ziurtagiria gainditzeko dugun esperientzia partekatuko dugu zurekin. Joan!

Gaurko artikuluan aditua izango da Alexey Afanasyev, IT-GRAD eta #CloudMTS hodeiko hornitzaileentzako IS espezialista (MTS taldekoa).

Sailkapenaren sotiltasunak

Sarritan, bezero baten nahia aurkitzen dugu ISPD baten segurtasun-maila azkar, IS auditoriarik gabe, zehazteko. Gai honi buruzko Interneten dauden material batzuek inpresio faltsua ematen dute lan sinplea dela eta nahiko zaila dela akatsak egitea.

KM zehazteko, bezeroaren ISek zer datu bildu eta prozesatuko dituen ulertu behar da. Batzuetan zaila izan daiteke negozio batek lan egiten duen babes-eskakizunak eta datu pertsonalen kategoria modu argian zehaztea. Datu pertsonal mota berdinak modu guztiz ezberdinetan ebaluatu eta sailkatu daitezke. Hori dela eta, zenbait kasutan, negozioaren iritzia ikuskariaren edo baita ikuskatzailearen iritziaren aldea izan daiteke. Ikus ditzagun adibide batzuk.

Aparkalekua. Negozio mota nahiko tradizionala dirudi. Ibilgailu flota askok hamarkadak daramatzate lanean, eta haien jabeek banakako ekintzaileak eta pertsonak kontratatzen dituzte. Oro har, langileen datuak UZ-4-ren eskakizunen menpe daude. Dena den, gidariekin lan egiteko, beharrezkoa da datu pertsonalak biltzeaz gain, ibilgailuen flotaren lurraldean kontrol medikoa egitea ere txanda egin aurretik, eta prozesuan bildutako informazioa berehala sartzen da. datu medikoak - eta kategoria berezi bateko datu pertsonalak dira. Horrez gain, flotak ziurtagiriak eska ditzake, gero gidariaren fitxategian gordeko direnak. Ziurtagiri horren eskaneatzea forma elektronikoan - osasun datuak, kategoria berezi bateko datu pertsonalak. Horrek esan nahi du UZ-4 jada ez dela nahikoa; gutxienez UZ-3 behar da.

Online denda. Badirudi bildutako izenak, posta elektronikoak eta telefono zenbakiak kategoria publikoan sartzen direla. Hala ere, zure bezeroek dieta-hobespenak adierazten badituzte, halal edo kosher adibidez, informazio hori erlijio-afiliazio edo sinesmen datutzat har daiteke. Beraz, beste kontrol-jarduera batzuk egiaztatzen edo burutzean, ikuskatzaileak biltzen dituzun datuak datu pertsonalen kategoria berezi gisa sailka ditzake. Orain, lineako denda batek bere erosleak haragia edo arraina nahiago duen ala ez jakiteko informazioa bilduko balu, datuak beste datu pertsonal gisa sailka litezke. Bide batez, zer gertatzen da barazkijaleekin? Azken finean, hori sinesmen filosofikoei ere egotz dakieke, hauek ere kategoria berezi batekoak. Baina, bestetik, hauxe izan daiteke haragia dietatik kendu duen pertsona baten jarrera besterik ez. Ai, ez dago halako egoera "sotiletan" PDren kategoria modu argian definitzen duen seinalerik.

Publizitate agentzia Mendebaldeko hodeiko zerbitzu batzuk erabiliz, publikoki eskuragarri dauden bere bezeroen datuak prozesatzen ditu: izen-abizenak, helbide elektronikoak eta telefono zenbakiak. Datu pertsonal hauek, noski, datu pertsonalei dagozkie. Galdera sortzen da: legezkoa al da tratamendu hori egitea? Posible al da datu horiek Errusiar Federaziotik kanpo despertsonalizatzerik gabe mugitzea, adibidez, babeskopiak gordetzeko atzerriko hodei batzuetan? Noski ahal duzula. Agentziak datu hauek Errusiatik kanpo gordetzeko eskubidea du, hala ere, hasierako bilketa, gure legediaren arabera, Errusiako Federazioaren lurraldean egin behar da. Informazio horren babeskopiak egiten badituzu, kalkulatu estatistikak oinarritzat hartuta, ikerketak egin edo harekin beste eragiketa batzuk egin - hori guztia Mendebaldeko baliabideetan egin daiteke. Ikuspegi juridikotik funtsezkoa da datu pertsonalak non biltzen diren. Beraz, garrantzitsua da hasierako bilketa eta prozesamendua ez nahastea.

Adibide labur hauen ondorioz, datu pertsonalekin lan egitea ez da beti erraza eta erraza. Haiekin lan egiten ari zarela jakin ez ezik, behar bezala sailkatzeko gai izan behar duzu, IP-ak nola funtzionatzen duen ulertu behar duzun segurtasun-maila behar bezala zehazteko. Zenbait kasutan, erakundeak benetan funtzionatu behar duen zenbat datu pertsonal behar dituen galdera sor daiteke. Posible al da datu "serioenak" edo besterik gabe beharrezkoak ez direnei uko egitea? Horrez gain, datu pertsonalak ahal den neurrian despertsonalizatzea gomendatzen du arautzaileak. 

Goiko adibideetan bezala, batzuetan ikuskatze-agintariek bildutako datu pertsonalak zuk zeuk ebaluatu dituzun baino zertxobait desberdin interpretatzen dituztela aurki dezakezu.

Jakina, auditore bat edo sistema integratzaile bat kontrata dezakezu laguntzaile gisa, baina “laguntzailea” izango al da auditoretza bat gertatuz gero aukeratutako erabakiez? Aipatzekoa da erantzukizuna ISPDren jabearena dela beti, datu pertsonalen operadorearena. Horregatik, enpresa batek horrelako lanak egiten dituenean, garrantzitsua da horrelako zerbitzuetarako merkatuko eragile serioengana jotzea, adibidez, ziurtagiri lanak egiten dituzten enpresengana. Enpresa ziurtatzaileek esperientzia handia dute horrelako lanak egiten.

ISPD bat eraikitzeko aukerak

ISPD baten eraikuntza ez da arazo tekniko bat bakarrik, baizik eta, neurri handi batean, legezko arazo bat ere. CIO edo segurtasun zuzendariak aholkulari juridikoarekin kontsultatu beharko luke beti. Enpresak ez duenez beti behar duzun profila duen espezialistarik, merezi du ikuskari-aholkularietara begiratzea. Puntu labainkor asko agian ez dira batere begi-bistakoak izango.

Kontsultak zer datu pertsonal tratatzen ari zaren eta zer babes-maila behar duen zehazteko aukera emango dizu. Horren arabera, segurtasun eta segurtasun operatiboko neurriekin sortu edo osatu behar den IParen ideia izango duzu.

Askotan enpresa baten aukera bi aukeren artean dago:

  1. Eraiki dagokion IS zure hardware eta software soluzioetan, agian zure zerbitzari gelan.

  2. Jarri harremanetan hodeiko hornitzaile batekin eta aukeratu irtenbide elastiko bat, dagoeneko ziurtatutako "zerbitzari gela birtuala".

Datu pertsonalak prozesatzen dituzten informazio-sistema gehienek ikuspegi tradizionala erabiltzen dute, negozioaren ikuspuntutik nekez esan daiteke erraza eta arrakastatsua. Aukera hau aukeratzerakoan, diseinu teknikoak ekipamenduaren deskribapena barne hartuko duela ulertu behar da, software eta hardware soluzio eta plataformak barne. Horrek esan nahi du honako zailtasun eta muga hauei aurre egin beharko diezula:

  • eskalatzeko zailtasuna;

  • proiektua gauzatzeko epe luzea: sistema hautatu, erosi, instalatu, konfiguratu eta deskribatu behar da;

  • "paperezko" lan asko, adibide gisa - ISPD osorako dokumentazio pakete osoa garatzea.

Gainera, negozio batek, oro har, bere IParen "goiena" maila baino ez du ulertzen - erabiltzen dituen negozio-aplikazioak. Beste era batera esanda, informatikako langileak trebeak dira beren arlo zehatzean. Ez dago ulertzen nola funtzionatzen duten "beheko maila" guztiak: software eta hardware babesa, biltegiratze sistemak, babeskopia eta, noski, babes-tresnak nola konfiguratu baldintza guztiak betez, konfigurazioaren "hardware" zatia eraiki. Garrantzitsua da ulertzea: bezeroaren negoziotik kanpo dagoen ezagutza-geruza handi bat da. Hona hemen hodeiko hornitzaile baten esperientzia "zerbitzari birtual gela" ziurtatua eskaintzen duena.

Era berean, hodeiko hornitzaileek hainbat abantaila dituzte, gehiegikeriarik gabe, datu pertsonalen babesaren arloan negozio-beharren % 99 estal ditzaketenak:

  • kapital-kostuak ustiapen-kostu bihurtzen dira;

  • hornitzaileak, bere aldetik, frogatutako irtenbide estandar batean oinarrituta behar den segurtasun- eta erabilgarritasun-maila eskaintzea bermatzen du;

  • ez da hardware mailan ISPDren funtzionamendua bermatuko duen espezialisten plantilla mantendu beharrik;

  • hornitzaileek askoz irtenbide malguagoak eta elastikoagoak eskaintzen dituzte;

  • hornitzailearen espezialistek beharrezko ziurtagiri guztiak dituzte;

  • betetzea ez da zure arkitektura eraikitzean baino txikiagoa, arautzaileen eskakizunak eta gomendioak kontuan hartuta.

Datu pertsonalak hodeian gorde ezin direla dioen mito zaharra oraindik oso ezaguna da. Neurri batean egia da: PD benetan ezin da argitaratu eskuragarri dagoen lehenengoan Hodei. Neurri tekniko batzuk betetzea eta konponbide ziurtatu batzuk erabiltzea eskatzen da. Hornitzaileak legezko baldintza guztiak betetzen baditu, datu pertsonalen ihesarekin lotutako arriskuak gutxitzen dira. Hornitzaile askok datu pertsonalak prozesatzeko azpiegitura bereizia dute 152-FZren arabera. Dena den, hornitzailea aukeratzera ere irizpide jakin batzuk ezagutu behar dira; zalantzarik gabe, jarraian ukituko ditugu. 

Bezeroak askotan etortzen zaizkigu datu pertsonalak hornitzailearen hodeian jartzeari buruzko kezka batzuekin. Tira, eztabaida ditzagun berehala.

  • Baliteke datuak lapurtzea transmisioan edo migrazioan

Ez dago horren beldur izan beharrik - hornitzaileak bezeroari eskaintzen dio datu-transmisiorako kanal seguru bat sortzea, ziurtatutako soluzioetan eraikia, kontratista eta langileentzako autentifikazio neurri hobetuak. Bakarrik geratzen da babes-metodo egokiak aukeratzea eta bezeroarekin zure lanaren zati gisa ezartzea.

  • Erakutsi maskarak etorriko dira eta zerbitzariari energia kendu/zigilatu/moztuko diote

Nahiko ulergarria da beren negozio-prozesuak etengo ote diren beldur diren bezeroentzat, azpiegituraren gaineko kontrol nahikoa ez dela-eta. Oro har, hardware-a zerbitzari-gela txikietan kokatuta zegoen bezeroek, datu-zentro espezializatuetan baino gehiago, hau pentsatzen dute. Egia esan, datu-zentroak babes fisiko zein informazioa babesteko baliabide modernoez hornituta daude. Ia ezinezkoa da halako datu-zentro batean eragiketarik egitea arrazoi eta paper nahikorik gabe, eta horrelako jarduerek hainbat prozedura bete behar dituzte. Gainera, zure zerbitzaria datu-zentrotik "tiratzeak" hornitzailearen beste bezeroei eragin diezaieke, eta hori ez da beharrezkoa inorentzat. Horrez gain, inork ezin izango du hatz bat berariaz seinalatu “zure” zerbitzari birtuala, beraz, norbaitek lapurtu nahi badu edo maskara-ikuskizun bat antolatu nahi badu, lehenik eta behin atzerapen burokratiko askori aurre egin beharko dio. Denbora horretan, ziurrenik beste gune batera hainbat aldiz migratzeko denbora izango duzu.

  • Hackerrek hodeia hackeatu eta datuak lapurtuko dituzte

Internetek eta prentsa inprimatuek titularrez beteta daude beste hodei bat ziberkriminalen biktima nola erori den, eta milioika datu pertsonalen erregistro sarean filtratu dira. Kasu gehienetan, ahultasunak ez dira hornitzailearen aldetik batere aurkitu, biktimen informazio-sistemetan baizik: pasahitz ahulak edo lehenetsiak ere, webguneetako motor eta datu-baseetan "zuloak" eta segurtasun neurriak aukeratzerakoan negozioen arduragabekeria hutsala eta datuak eskuratzeko prozedurak antolatzea. Ziurtatutako soluzio guztiak ahultasunik dauden egiaztatzen dira. Gainera, aldizka, "kontroleko" pentestak eta segurtasun-ikuskaritzak egiten ditugu, modu independentean zein kanpoko erakundeen bidez. Hornitzailearentzat, ospearen eta negozioaren kontua da, oro har.

  • Hornitzailearen hornitzaileak/langileek datu pertsonalak lapurtuko dituzte etekin pertsonalerako

Une nahiko sentikorra da hau. Informazioaren segurtasunaren munduko hainbat konpainiak bezeroak "beldurtzen" dituzte eta "barneko langileak kanpoko hackerrak baino arriskutsuagoak direla" azpimarratzen dute. Hau egia izan daiteke kasu batzuetan, baina negozio bat ezin da eraiki konfiantzarik gabe. Noizbehinka, erakunde bateko langileek bezeroen datuak erasotzaileei isurtzen dizkiete eta barne segurtasuna kanpoko segurtasuna baino askoz okerrago antolatzen da batzuetan. Garrantzitsua da ulertzea hemen edozein hornitzaile handi kasu negatiboetan oso interesaturik ez dagoela. Hornitzaileen langileen ekintzak ondo araututa daude, eginkizunak eta ardura eremuak banatuta daude. Negozio-prozesu guztiak egituratuta daude datu-ihesaren kasuak oso zailak diren eta barne-zerbitzuetan beti nabaritzen direla, beraz, bezeroek ez lukete arazoen beldur izan behar alde horretatik.

  • Gutxi ordaintzen duzu zure negozioaren datuekin zerbitzuak ordaintzen dituzulako.

Beste mito bat: prezio erosoan azpiegitura segurua alokatzen duen bezero batek bere datuekin ordaintzen du; hori uste dute askotan oheratu aurretik konspirazio teoria pare bat irakurtzea axola ez zaien adituek. Lehenik eta behin, eskaeran zehaztutakoak ez diren zure datuekin edozein eragiketa egiteko aukera, funtsean, nulua da. Bigarrenik, hornitzaile egoki batek zurekin duen harremana eta bere ospea balioesten ditu - zu gain, askoz bezero gehiago ditu. Kontrako eszenatokia litekeena da, hornitzaileak bere bezeroen datuak gogoz babestuko dituena, zeinetan oinarritzen den bere negozioa.

ISPDrako hodeiko hornitzaile bat aukeratzea

Gaur egun, merkatuak irtenbide ugari eskaintzen ditu PD operadoreak diren enpresentzat. Jarraian, egokia aukeratzeko gomendioen zerrenda orokorra dago.

  • Hornitzaileak prest egon behar du datu pertsonalak prozesatzeko klabean alderdien, SLAren eta erantzukizun-eremuen erantzukizunak deskribatzen dituen akordio formal bat egiteko. Izan ere, zure eta hornitzailearen artean, zerbitzu-hitzarmenaz gain, PD izapidetzeko agindua sinatu behar da. Nolanahi ere, merezi du arretaz aztertzea. Garrantzitsua da zure eta hornitzailearen arteko erantzukizunen banaketa ulertzea.

  • Kontuan izan segmentuak baldintzak bete behar dituela, hau da, zure IP-ak eskatzen duenetik beherako segurtasun maila adierazten duen ziurtagiri bat izan behar duela. Gertatzen da hornitzaileek ziurtagiriaren lehen orrialdea baino ez dutela argitaratzen, eta hortik gutxi argi geratzen da, edo auditoretzak edo betetze-prozedurak aipatzen dituztela ziurtagiria bera argitaratu gabe ("mutikorik al zen?"). Merezi du eskatzea - ​​ziurtagiria nork egin zuen adierazten duen dokumentu publikoa da, baliozkotasun epea, hodeiaren kokapena, etab.

  • Hornitzaileak bere guneak (objektu babestuak) non dauden buruzko informazioa eman behar du, zure datuen kokapena kontrolatu ahal izateko. Gogorarazten dizugu datu pertsonalen hasierako bilketa Errusiako Federazioaren lurraldean egin behar dela; horren arabera, komenigarria da datu-zentroaren helbideak kontratuan/ziurtagirian ikustea.

  • Hornitzaileak ziurtatutako informazioaren segurtasun eta informazioa babesteko sistemak erabili behar ditu. Jakina, hornitzaile gehienek ez dituzte erabiltzen dituzten segurtasun-neurri teknikoak eta irtenbide-arkitekturak iragartzen. Baina zuk, bezero gisa, ezin duzu horren berri jakin. Adibidez, kudeaketa sistema batera (kudeaketa ataria) urrunetik konektatzeko, beharrezkoa da segurtasun neurriak erabiltzea. Hornitzaileak ezin izango du eskakizun hori gainditu eta ziurtatutako irtenbideak emango dizkizu (edo erabiltzeko eskatuko dizu). Hartu baliabideak proba baterako eta berehala ulertuko duzu nola eta zer funtzionatzen duen. 

  • Oso komenigarria da hodeiko hornitzaileak informazio-segurtasunaren arloan zerbitzu osagarriak eskaintzea. Hainbat zerbitzu izan daitezke: DDoS erasoen eta WAFen aurkako babesa, birusen aurkako zerbitzua edo sandbox, etab. Horrek guztiak babesa zerbitzu gisa jasotzeko aukera emango dizu, ez babesteko sistemak eraikitzen distraitzeko, baizik eta negozio-aplikazioetan lan egiteko.

  • Hornitzaileak FSTEC eta FSB lizentziadun izan behar du. Oro har, informazio hori zuzenean webgunean argitaratzen da. Ziurtatu dokumentu hauek eskatu eta egiaztatu zerbitzuak emateko helbideak, enpresa hornitzailearen izena, etab. zuzenak diren. 

Laburtu dezagun. Alokairuaren azpiegiturak CAPEX alde batera utzi eta zure negozio-aplikazioak eta datuak berak bakarrik gordeko ditu zure erantzukizun-eremuan, eta hardware- eta software- eta hardware-ziurtagiriaren zama handia hornitzaileari transferitzeko.

Ziurtagiria nola gainditu genuen

Duela gutxi, arrakastaz gainditu dugu "Secure Cloud FZ-152" azpiegituraren birziurtapena, datu pertsonalekin lan egiteko baldintzak betetzeko. Ziurtagiriaren Zentro Nazionalak egin zuen lana.

Gaur egun, "FZ-152 Hodei Segurua" datu pertsonalen tratamendu, biltegiratze edo transmisioan (ISPDn) parte hartzen duten informazio sistemak ostatatzeko ziurtagiria du UZ-3 mailaren eskakizunen arabera.

Ziurtagiriaren prozedurak hodeiko hornitzailearen azpiegiturak babes-maila betetzen duen egiaztatzea dakar. Hornitzaileak berak eskaintzen du IaaS zerbitzua eta ez da datu pertsonalen operadorea. Prozesuak neurri antolamenduzkoak (dokumentazioa, aginduak...) zein teknikoak (babes-ekipoak ezartzea, etab.) ebaluatzen ditu.

Ezin da hutsala deitu. 2013an ziurtagiri-jarduerak egiteko GOST programak eta metodoak agertu ziren arren, oraindik ez dira existitzen hodeiko objektuetarako programa zorrotzak. Ziurtagiri-zentroek beren espezializazioan oinarrituta garatzen dituzte programa hauek. Teknologia berrien etorrerarekin, programak konplexuagoak eta modernizatu egiten dira; horren arabera, ziurtatzaileak esperientzia izan behar du hodeiko soluzioekin lan egiten eta zehaztapenak ulertu.

Gure kasuan, babestutako objektuak bi kokapen ditu.

  • Hodeiko baliabideak (zerbitzariak, biltegiratze sistemak, sareko azpiegiturak, segurtasun tresnak, etab.) datu-zentroan zuzenean kokatzen dira. Jakina, halako datu-zentro birtual bat sare publikoetara konektatuta dago, eta horren arabera, suebaki-baldintza batzuk bete behar dira, adibidez, ziurtatutako suebakiak erabiltzea.

  • Objektuaren bigarren zatia hodeia kudeatzeko tresnak dira. Hauek dira babestutako segmentua kudeatzen duten lan-estazioak (administratzaileen lan-estazioak).

Kokapenak CIPF-n eraikitako VPN kanal baten bidez komunikatzen dira.

Birtualizazio-teknologiek mehatxuak agertzeko aurrebaldintzak sortzen dituztenez, babes-tresna osagarriak ere erabiltzen ditugu.

IaaS 152-FZ: beraz, segurtasuna behar duzuBloke diagrama "ebaluatzailearen begietatik"

Bezeroak bere ISPDren ziurtagiria eskatzen badu, IaaS alokatu ondoren, informazio-sistema datu-zentro birtualeko mailatik gora baino ez du ebaluatu beharko. Prozedura honek bertan erabilitako azpiegitura eta softwarea egiaztatzea dakar. Azpiegitura-arazo guztietarako hornitzailearen ziurtagiria kontsulta dezakezunez, egin behar duzun guztia softwarearekin lan egitea da.

IaaS 152-FZ: beraz, segurtasuna behar duzuAbstrakzio mailan bereiztea

Amaitzeko, hona hemen datu pertsonalekin lanean ari diren edo planifikatzen ari diren enpresentzako kontrol-zerrenda txiki bat. Beraz, nola maneiatu erre gabe.

  1. Mehatxuen eta intrusoen ereduak ikuskatzeko eta garatzeko, gonbidatu esperientziadun aholkulari bat ziurtapen-laborategietatik, beharrezko dokumentuak garatzen lagunduko dizuna eta irtenbide teknikoen fasera eramango zaituena.

  2. Hodeiko hornitzaile bat aukeratzerakoan, arreta jarri ziurtagiri baten presentziari. Ona litzateke enpresak publikoki webgunean zuzenean argitaratzea. Hornitzaileak FSTEC eta FSB lizentziadun izan behar du, eta eskaintzen duen zerbitzua ziurtatuta egon behar du.

  3. Ziurtatu hitzarmen formala eta datu pertsonalak tratatzeko instrukzio sinatuta dituzula. Horren arabera, betetze-kontrola eta ISPD ziurtagiria egin ahal izango dituzu.Proiektu teknikoaren fasean eta diseinu eta dokumentazio teknikoa sortzeak zama egiten bazaizu, hirugarrenen aholkularitza-enpresekin harremanetan jarri beharko zenuke. ziurtapen laborategien artean.

Datu pertsonalen tratamenduaren gaiak zuretzako garrantzitsuak badira, irailaren 18an, ostiral honetan, pozik ikusiko zaitugu webinar-ean "Hodei ziurtatuak eraikitzearen ezaugarriak".

Iturria: www.habr.com

Gehitu iruzkin berria