ProHoster > Blog > administration > IaaS 152-FZ : il faut donc de la sécurité

IaaS 152-FZ : il faut donc de la sécurité

IaaS 152-FZ : il faut donc de la sécurité

Peu importe à quel point vous démêlez les mythes et légendes qui entourent le respect du 152-FZ, il reste toujours quelque chose dans les coulisses. Aujourd’hui, nous souhaitons aborder certaines nuances pas toujours évidentes que peuvent rencontrer aussi bien les grandes entreprises que les très petites entreprises :

  • subtilités de la classification PD en catégories - lorsqu'une petite boutique en ligne collecte des données liées à une catégorie spéciale sans même le savoir ;

  • où vous pouvez stocker des sauvegardes des PD collectées et effectuer des opérations sur celles-ci ;

  • quelle est la différence entre un certificat et une conclusion de conformité, quels documents devez-vous demander au fournisseur, etc.

Enfin, nous partagerons avec vous notre propre expérience de réussite de la certification. Aller!

L'expert de l'article d'aujourd'hui sera Alexey Afanasiev, spécialiste du SI pour les fournisseurs de cloud IT-GRAD et #CloudMTS (qui fait partie du groupe MTS).

Subtilités de classification

Nous rencontrons souvent la volonté d’un client de déterminer rapidement, sans audit du SI, le niveau de sécurité requis pour un ISPD. Certains documents sur Internet sur ce sujet donnent la fausse impression qu'il s'agit d'une tâche simple et qu'il est assez difficile de se tromper.

Pour déterminer le KM, il est nécessaire de comprendre quelles données seront collectées et traitées par le SI du client. Il peut parfois être difficile de déterminer sans ambiguïté les exigences de protection et la catégorie de données personnelles exploitées par une entreprise. Les mêmes types de données personnelles peuvent être évalués et classés de manières complètement différentes. Par conséquent, dans certains cas, l’opinion de l’entreprise peut différer de celle de l’auditeur ou même de l’inspecteur. Regardons quelques exemples.

Parking. Cela semble être un type d’entreprise assez traditionnel. De nombreuses flottes de véhicules fonctionnent depuis des décennies et leurs propriétaires embauchent des entrepreneurs individuels et des particuliers. En règle générale, les données des employés répondent aux exigences de l'UZ-4. Cependant, pour travailler avec les conducteurs, il est nécessaire non seulement de collecter des données personnelles, mais également d'effectuer un contrôle médical sur le territoire de la flotte de véhicules avant de prendre un poste, et les informations collectées au cours du processus entrent immédiatement dans la catégorie des données médicales - et il s'agit de données personnelles d'une catégorie particulière. De plus, la flotte pourra demander des attestations, qui seront ensuite conservées dans le dossier du conducteur. Une numérisation d'un tel certificat sous forme électronique - données de santé, données personnelles d'une catégorie spéciale. Cela signifie que l'UZ-4 ne suffit plus, il faut au moins l'UZ-3.

Magasin en ligne Il semblerait que les noms, emails et numéros de téléphone collectés rentrent dans la catégorie publique. Cependant, si vos clients indiquent des préférences alimentaires, telles que halal ou casher, ces informations peuvent être considérées comme des données d'affiliation religieuse ou de croyance. Par conséquent, lors de la vérification ou de la réalisation d'autres activités de contrôle, l'inspecteur peut classer les données que vous collectez dans une catégorie particulière de données personnelles. Désormais, si une boutique en ligne collectait des informations indiquant si son acheteur préfère la viande ou le poisson, ces données pourraient être classées parmi les autres données personnelles. Au fait, qu’en est-il des végétariens ? Après tout, cela peut aussi être attribué aux croyances philosophiques, qui appartiennent également à une catégorie particulière. Mais d’un autre côté, il peut s’agir simplement de l’attitude d’une personne qui a éliminé la viande de son alimentation. Hélas, il n'existe aucun signe qui définisse sans ambiguïté la catégorie de MP dans des situations aussi « subtiles ».

Agence de publicité À l'aide d'un service cloud occidental, il traite les données accessibles au public de ses clients - noms complets, adresses e-mail et numéros de téléphone. Ces données personnelles concernent bien entendu des données personnelles. La question se pose : est-il légal de procéder à un tel traitement ? Est-il même possible de déplacer ces données sans dépersonnalisation en dehors de la Fédération de Russie, par exemple pour stocker des sauvegardes dans certains cloud étrangers ? Bien sûr vous pouvez. L'Agence a le droit de stocker ces données en dehors de la Russie, cependant, la collecte initiale, selon notre législation, doit être effectuée sur le territoire de la Fédération de Russie. Si vous sauvegardez ces informations, calculez des statistiques sur cette base, effectuez des recherches ou effectuez d'autres opérations avec celles-ci - tout cela peut être fait sur les ressources occidentales. Le point clé d’un point de vue juridique est le lieu où les données personnelles sont collectées. Il est donc important de ne pas confondre collecte initiale et traitement.

Comme il ressort de ces courts exemples, travailler avec des données personnelles n’est pas toujours simple et direct. Vous devez non seulement savoir que vous travaillez avec eux, mais également être capable de les classer correctement, de comprendre le fonctionnement de l'IP afin de déterminer correctement le niveau de sécurité requis. Dans certains cas, la question peut se poser de savoir de quelle quantité de données personnelles l’organisation a réellement besoin pour fonctionner. Est-il possible de refuser les données les plus « graves » ou simplement inutiles ? De plus, le régulateur recommande de dépersonnaliser les données personnelles lorsque cela est possible. 

Comme dans les exemples ci-dessus, vous pouvez parfois constater que les autorités de contrôle interprètent les données personnelles collectées légèrement différemment de la façon dont vous les avez vous-même évaluées.

Bien sûr, vous pouvez embaucher un auditeur ou un intégrateur de systèmes comme assistant, mais « l'assistant » sera-t-il responsable des décisions choisies en cas d'audit ? Il convient de noter que la responsabilité incombe toujours au propriétaire de l'ISPD – l'exploitant des données personnelles. C'est pourquoi, lorsqu'une entreprise réalise de tels travaux, il est important de se tourner vers des acteurs sérieux du marché de tels services, par exemple des entreprises réalisant des travaux de certification. Les entreprises de certification possèdent une vaste expérience dans la réalisation de tels travaux.

Options pour créer un ISPD

La construction d’un ISPD n’est pas seulement une question technique, mais aussi en grande partie une question juridique. Le DSI ou le directeur de la sécurité doit toujours consulter un conseiller juridique. Comme l’entreprise ne dispose pas toujours d’un spécialiste ayant le profil dont vous avez besoin, il vaut la peine de se tourner vers des auditeurs-consultants. De nombreux points glissants peuvent ne pas être évidents du tout.

La consultation vous permettra de déterminer quelles données personnelles vous traitez et quel niveau de protection elles nécessitent. Ainsi, vous aurez une idée de l'IP qui doit être créée ou complétée par des mesures de sécurité et de sécurité opérationnelle.

Souvent, le choix pour une entreprise se situe entre deux options :

  1. Construisez le SI correspondant sur vos propres solutions matérielles et logicielles, éventuellement dans votre propre salle serveur.

  2. Contactez un fournisseur cloud et choisissez une solution élastique, une « salle de serveurs virtuelle » déjà certifiée.

La plupart des systèmes d'information traitant des données personnelles utilisent une approche traditionnelle qui, d'un point de vue commercial, peut difficilement être qualifiée de simple et de réussie. Lors du choix de cette option, il est nécessaire de comprendre que la conception technique comprendra une description de l’équipement, y compris les solutions et plates-formes logicielles et matérielles. Cela signifie que vous devrez faire face aux difficultés et limitations suivantes :

  • difficulté de mise à l'échelle;

  • longue période de mise en œuvre du projet : il est nécessaire de sélectionner, d'acheter, d'installer, de configurer et de décrire le système ;

  • beaucoup de travail « papier », à titre d'exemple - le développement d'un ensemble complet de documentation pour l'ensemble de l'ISPD.

De plus, en règle générale, une entreprise ne comprend que le niveau « supérieur » de sa propriété intellectuelle : les applications métiers qu'elle utilise. En d’autres termes, le personnel informatique est compétent dans son domaine spécifique. On ne comprend pas comment fonctionnent tous les « niveaux inférieurs » : protection logicielle et matérielle, systèmes de stockage, sauvegarde et, bien sûr, comment configurer les outils de protection conformément à toutes les exigences, construire la partie « matérielle » de la configuration. Il est important de comprendre : il s’agit d’une énorme couche de connaissances qui se situe en dehors de l’activité du client. C’est là que l’expérience d’un fournisseur de cloud fournissant une « salle de serveurs virtuelle » certifiée peut s’avérer utile.

À leur tour, les fournisseurs de cloud présentent un certain nombre d'avantages qui, sans exagération, peuvent couvrir 99 % des besoins des entreprises dans le domaine de la protection des données personnelles :

  • les coûts d'investissement sont convertis en coûts d'exploitation ;

  • le prestataire, quant à lui, garantit la fourniture du niveau de sécurité et de disponibilité requis sur la base d'une solution standard éprouvée ;

  • il n'est pas nécessaire de maintenir une équipe de spécialistes qui assureront le fonctionnement de l'ISPD au niveau matériel ;

  • les prestataires proposent des solutions beaucoup plus flexibles et élastiques ;

  • les spécialistes du fournisseur disposent de tous les certificats nécessaires ;

  • la conformité n'est pas inférieure à celle de la construction de votre propre architecture, en tenant compte des exigences et des recommandations des régulateurs.

Le vieux mythe selon lequel les données personnelles ne peuvent pas être stockées dans le cloud est toujours extrêmement populaire. Ce n'est qu'en partie vrai : les PD ne peuvent vraiment pas être publiés dans le premier disponible nuage. Le respect de certaines mesures techniques et l'utilisation de certaines solutions certifiées sont requis. Si le prestataire respecte toutes les exigences légales, les risques liés à la fuite de données personnelles sont minimisés. De nombreux prestataires disposent d'une infrastructure distincte pour le traitement des données personnelles conformément au 152-FZ. Cependant, le choix du fournisseur doit également être abordé en connaissance de certains critères, nous les aborderons certainement ci-dessous. 

Les clients nous contactent souvent avec des inquiétudes concernant le placement de données personnelles dans le cloud du fournisseur. Eh bien, parlons-en tout de suite.

  • Les données peuvent être volées lors de la transmission ou de la migration

Il n'y a pas lieu d'avoir peur : le fournisseur propose au client la création d'un canal de transmission de données sécurisé construit sur des solutions certifiées, des mesures d'authentification renforcées pour les sous-traitants et les employés. Il ne reste plus qu'à choisir les méthodes de protection appropriées et à les mettre en œuvre dans le cadre de votre travail avec le client.

  • Les masques d'exposition viendront et enlèveront/scelleront/couperont l'alimentation du serveur

C'est tout à fait compréhensible pour les clients qui craignent que leurs processus métiers soient perturbés en raison d'un contrôle insuffisant sur l'infrastructure. En règle générale, les clients dont le matériel était auparavant situé dans de petites salles de serveurs plutôt que dans des centres de données spécialisés y pensent. En réalité, les centres de données sont équipés de moyens modernes de protection physique et informatique. Il est presque impossible d'effectuer des opérations dans un tel centre de données sans motifs et papiers suffisants, et de telles activités nécessitent le respect d'un certain nombre de procédures. De plus, « retirer » votre serveur du centre de données peut affecter d’autres clients du fournisseur, et cela n’est certainement nécessaire pour personne. De plus, personne ne pourra pointer du doigt spécifiquement « votre » serveur virtuel, donc si quelqu’un veut le voler ou organiser un spectacle de masques, il devra d’abord faire face à de nombreux retards bureaucratiques. Pendant ce temps, vous aurez probablement le temps de migrer plusieurs fois vers un autre site.

  • Les pirates pirateront le cloud et voleront des données

Internet et la presse écrite regorgent de gros titres sur la façon dont un autre cloud a été victime de cybercriminels et des millions de données personnelles ont été divulguées en ligne. Dans la grande majorité des cas, les vulnérabilités n'ont pas été découvertes du côté du fournisseur, mais dans les systèmes d'information des victimes : mots de passe faibles, voire par défaut, « trous » dans les moteurs et les bases de données des sites Web, et négligence banale des entreprises dans le choix des mesures de sécurité et organiser les procédures d’accès aux données. Toutes les solutions certifiées sont vérifiées pour les vulnérabilités. Nous effectuons également régulièrement des pentests de « contrôle » et des audits de sécurité, aussi bien de manière indépendante que par l’intermédiaire d’organismes externes. Pour le fournisseur, il s’agit d’une question de réputation et d’activité en général.

  • Le/les employés du fournisseur voleront des données personnelles à des fins personnelles.

C'est un moment assez sensible. Un certain nombre d’entreprises du monde de la sécurité de l’information « font peur » à leurs clients et insistent sur le fait que « les employés internes sont plus dangereux que les pirates informatiques externes ». Cela peut être vrai dans certains cas, mais une entreprise ne peut se bâtir sans confiance. De temps en temps, des nouvelles éclatent selon lesquelles les propres employés d'une organisation divulguent des données clients à des attaquants, et la sécurité interne est parfois bien pire que la sécurité externe. Il est important de comprendre ici que tout grand fournisseur est extrêmement indifférent aux cas négatifs. Les actions des employés du prestataire sont bien réglementées, les rôles et les domaines de responsabilité sont divisés. Tous les processus commerciaux sont structurés de telle manière que les cas de fuite de données sont extrêmement improbables et toujours visibles par les services internes. Les clients ne doivent donc pas avoir peur des problèmes de ce côté.

  • Vous payez peu car vous payez des services avec les données de votre entreprise.

Autre mythe : un client qui loue une infrastructure sécurisée à un prix confortable la paie en réalité avec ses données - c'est ce que pensent souvent les experts qui n'hésitent pas à lire quelques théories du complot avant de se coucher. Premièrement, la possibilité d'effectuer des opérations avec vos données autres que celles précisées dans la commande est essentiellement nulle. Deuxièmement, un fournisseur adéquat valorise la relation avec vous et sa réputation - en plus de vous, il a beaucoup plus de clients. Le scénario inverse est plus probable, dans lequel le fournisseur protégera avec zèle les données de ses clients, sur lesquelles repose son activité.

Choisir un fournisseur de cloud pour ISPD

Aujourd’hui, le marché propose de nombreuses solutions pour les entreprises opérateurs de PD. Vous trouverez ci-dessous une liste générale de recommandations pour choisir la bonne.

  • Le prestataire doit être prêt à conclure un accord formel décrivant les responsabilités des parties, les SLA et les domaines de responsabilité en matière de traitement des données personnelles. En effet, entre vous et le prestataire, en plus du contrat de service, une commande de traitement PD doit être signée. Dans tous les cas, cela vaut la peine de les étudier attentivement. Il est important de comprendre la répartition des responsabilités entre vous et le prestataire.

  • Veuillez noter que le segment doit répondre aux exigences, ce qui signifie qu'il doit disposer d'un certificat indiquant un niveau de sécurité non inférieur à celui requis par votre IP. Il arrive que des prestataires publient uniquement la première page du certificat, dont peu de choses ressortent clairement, ou font référence à des audits ou à des procédures de conformité sans publier le certificat lui-même (« y avait-il un garçon ? »). Cela vaut la peine de le demander - il s'agit d'un document public qui indique qui a effectué la certification, la période de validité, l'emplacement du cloud, etc.

  • Le fournisseur doit fournir des informations sur l'emplacement de ses sites (objets protégés) afin que vous puissiez contrôler le placement de vos données. Rappelons que la collecte initiale des données personnelles doit être effectuée sur le territoire de la Fédération de Russie ; il est donc conseillé de voir les adresses du centre de données dans le contrat/certificat.

  • Le fournisseur doit utiliser des systèmes certifiés de sécurité et de protection des informations. Bien entendu, la plupart des fournisseurs ne font pas de publicité sur les mesures de sécurité techniques et l’architecture des solutions qu’ils utilisent. Mais vous, en tant que client, ne pouvez pas ne pas le savoir. Par exemple, pour se connecter à distance à un système de gestion (portail de gestion), il est nécessaire d'utiliser des mesures de sécurité. Le fournisseur ne pourra pas contourner cette exigence et vous fournira (ou vous demandera d’utiliser) des solutions certifiées. Prenez les ressources pour un test et vous comprendrez immédiatement comment et ce qui fonctionne. 

  • Il est hautement souhaitable que le fournisseur de cloud fournisse des services supplémentaires dans le domaine de la sécurité de l'information. Il peut s'agir de divers services : protection contre les attaques DDoS et WAF, service antivirus ou sandbox, etc. Tout cela vous permettra de bénéficier d'une protection en tant que service, de ne pas vous laisser distraire par les systèmes de protection des bâtiments, mais de travailler sur des applications métiers.

  • Le fournisseur doit être titulaire d'une licence FSTEC et FSB. En règle générale, ces informations sont publiées directement sur le site Internet. Assurez-vous de demander ces documents et de vérifier si les adresses de prestation des services, le nom de la société prestataire, etc. sont corrects. 

Résumons. La location d'infrastructure vous permettra d'abandonner les CAPEX et de conserver uniquement vos applications métiers et les données elles-mêmes dans votre domaine de responsabilité, et de transférer la lourde charge de certification du matériel et des logiciels et du matériel au fournisseur.

Comment nous avons passé la certification

Plus récemment, nous avons passé avec succès la recertification de l'infrastructure du « Secure Cloud FZ-152 » pour la conformité aux exigences relatives au travail avec des données personnelles. Les travaux ont été réalisés par le Centre National de Certification.

Actuellement, le « FZ-152 Secure Cloud » est certifié pour l'hébergement de systèmes d'information impliqués dans le traitement, le stockage ou la transmission de données personnelles (ISPDn) conformément aux exigences du niveau UZ-3.

La procédure de certification consiste à vérifier la conformité de l'infrastructure du fournisseur de cloud avec le niveau de protection. Le fournisseur fournit lui-même le service IaaS et n'est pas un opérateur de données personnelles. La démarche implique l'évaluation de mesures tant organisationnelles (documentation, commandes, etc.) que techniques (mise en place d'équipements de protection, etc.).

Cela ne peut pas être qualifié de trivial. Malgré le fait que GOST sur les programmes et les méthodes de conduite des activités de certification soit apparu en 2013, il n'existe toujours pas de programmes stricts pour les objets cloud. Les centres de certification développent ces programmes en fonction de leur propre expertise. Avec l'avènement des nouvelles technologies, les programmes deviennent plus complexes et modernisés ; par conséquent, le certificateur doit avoir une expérience de travail avec des solutions cloud et en comprendre les spécificités.

Dans notre cas, l'objet protégé est constitué de deux emplacements.

  • Les ressources cloud (serveurs, systèmes de stockage, infrastructure réseau, outils de sécurité, etc.) sont situées directement dans le data center. Bien entendu, un tel centre de données virtuel est connecté aux réseaux publics et, par conséquent, certaines exigences en matière de pare-feu doivent être respectées, par exemple l'utilisation de pare-feu certifiés.

  • La deuxième partie de l'objet concerne les outils de gestion cloud. Il s'agit de postes de travail (postes administrateur) à partir desquels le segment protégé est géré.

Les emplacements communiquent via un canal VPN construit sur CIPF.

Étant donné que les technologies de virtualisation créent des conditions préalables à l'émergence de menaces, nous utilisons également des outils de protection certifiés supplémentaires.

IaaS 152-FZ : il faut donc de la sécuritéSchéma fonctionnel « à travers les yeux de l’évaluateur »

Si le client demande une certification de son ISPD, après avoir loué l'IaaS, il n'aura plus qu'à évaluer le système d'information au-dessus du niveau du data center virtuel. Cette procédure consiste à vérifier l'infrastructure et les logiciels utilisés sur celle-ci. Puisque vous pouvez vous référer au certificat du fournisseur pour tous les problèmes d’infrastructure, il vous suffit de travailler avec le logiciel.

IaaS 152-FZ : il faut donc de la sécuritéSéparation au niveau de l'abstraction

En conclusion, voici une petite liste de contrôle pour les entreprises qui travaillent déjà avec des données personnelles ou qui envisagent tout juste de le faire. Alors, comment le gérer sans se brûler.

  1. Pour auditer et élaborer des modèles de menaces et d'intrus, invitez un consultant expérimenté parmi les laboratoires de certification qui vous aidera à élaborer les documents nécessaires et vous amènera à l'étape des solutions techniques.

  2. Lors du choix d'un fournisseur cloud, faites attention à la présence d'un certificat. Ce serait bien si l'entreprise le publiait publiquement directement sur le site Web. Le fournisseur doit être titulaire d'une licence FSTEC et FSB et le service qu'il propose doit être certifié.

  3. Assurez-vous d'avoir un accord formel et une instruction signée pour le traitement des données personnelles. Sur cette base, vous pourrez effectuer à la fois un contrôle de conformité et une certification ISPD. Si ce travail au stade du projet technique et la création de la conception et de la documentation technique vous semblent fastidieux, vous devez contacter des sociétés de conseil tierces. parmi les laboratoires de certification.

Si les problématiques du traitement des données personnelles vous concernent, le 18 septembre, ce vendredi, nous serons heureux de vous retrouver au webinaire « Caractéristiques de la création de cloud certifiés ».

Source: habr.com

Ajouter un commentaire