ProHoster > Blog > Administración > IaaS 152-FZ: entón necesitas seguridade

IaaS 152-FZ: entón necesitas seguridade

IaaS 152-FZ: entón necesitas seguridade

Por moito que resolvas os mitos e lendas que rodean o cumprimento da normativa 152-FZ, sempre queda algo detrás das escenas. Hoxe queremos discutir algúns matices non sempre obvios que poden atoparse tanto as grandes empresas como as moi pequenas:

  • sutilezas da clasificación do PD en categorías: cando unha pequena tenda en liña recolle datos relacionados cunha categoría especial sen saber sequera;

  • onde podes almacenar copias de seguridade da PD recollida e realizar operacións sobre elas;

  • cal é a diferenza entre un certificado e unha conclusión de cumprimento, que documentos debe solicitar ao provedor e cousas así.

Finalmente, compartiremos con vostede a nosa propia experiencia de aprobar a certificación. Vaia!

O experto no artigo de hoxe será Alexey Afanasyev, especialista en IS para provedores de nube IT-GRAD e #CloudMTS (parte do grupo MTS).

Sutilezas da clasificación

Moitas veces atopamos o desexo dun cliente de determinar rapidamente, sen unha auditoría de IS, o nivel de seguridade necesario para un ISPD. Algúns materiais en Internet sobre este tema dan a falsa impresión de que esta é unha tarefa sinxela e é bastante difícil cometer un erro.

Para determinar o KM, é necesario comprender que datos recollerá e procesará o IS do cliente. Ás veces pode ser difícil determinar sen ambigüidades os requisitos de protección e a categoría de datos persoais que opera unha empresa. Os mesmos tipos de datos persoais poden ser avaliados e clasificados de formas completamente diferentes. Polo tanto, nalgúns casos, a opinión da empresa pode diferir da opinión do auditor ou mesmo do inspector. Vexamos algúns exemplos.

Aparcadoiro. Parecería un tipo de negocio bastante tradicional. Moitas flotas de vehículos levan décadas operando, e os seus propietarios contratan empresarios individuais e particulares. Como regra xeral, os datos dos empregados están baixo os requisitos da UZ-4. Non obstante, para traballar cos condutores, é necesario non só recoller datos persoais, senón tamén realizar un control médico no territorio da flota de vehículos antes de entrar en quenda, e a información recollida no proceso entra inmediatamente na categoría de datos médicos, e estes son datos persoais dunha categoría especial. Ademais, a flota poderá solicitar certificados, que despois se conservarán no ficheiro do condutor. Unha dixitalización de tal certificado en formato electrónico: datos de saúde, datos persoais dunha categoría especial. Isto significa que UZ-4 xa non é suficiente, polo menos é necesario UZ-3.

Tenda en liña. Parece que os nomes, correos electrónicos e teléfonos recollidos encaixan na categoría pública. Non obstante, se os teus clientes indican preferencias dietéticas, como halal ou kosher, esta información pode considerarse afiliación relixiosa ou datos de crenzas. Polo tanto, ao comprobar ou realizar outras actividades de control, o inspector poderá clasificar os datos que recompila como unha categoría especial de datos persoais. Agora, se unha tenda en liña recollese información sobre se o seu comprador prefire carne ou peixe, os datos poderían clasificarse como outros datos persoais. Por certo, que pasa cos vexetarianos? Despois de todo, isto tamén se pode atribuír ás crenzas filosóficas, que tamén pertencen a unha categoría especial. Pero, por outra banda, esta pode ser simplemente a actitude dunha persoa que eliminou a carne da súa dieta. Por desgraza, non hai ningún sinal que defina inequívocamente a categoría de PD en situacións tan "sutís".

Axencia de publicidade Usando algún servizo na nube occidental, procesa datos dispoñibles públicamente dos seus clientes: nomes completos, enderezos de correo electrónico e números de teléfono. Estes datos persoais, por suposto, están relacionados con datos persoais. Xorde a pregunta: é legal realizar este tratamento? É posible mover tales datos sen despersonalización fóra da Federación Rusa, por exemplo, para almacenar copias de seguridade nalgunhas nubes estranxeiras? Por suposto que podes. A Axencia ten dereito a almacenar estes datos fóra de Rusia, non obstante, a recollida inicial, segundo a nosa lexislación, debe realizarse no territorio da Federación Rusa. Se fai unha copia de seguridade desta información, calcula algunhas estatísticas baseadas nela, realiza investigacións ou realiza outras operacións con ela, todo isto pódese facer con recursos occidentais. O punto clave desde o punto de vista legal é onde se recollen os datos persoais. Polo tanto, é importante non confundir recollida e procesamento inicial.

Como se desprende destes pequenos exemplos, traballar con datos persoais non sempre é sinxelo e sinxelo. Non só cómpre saber que está a traballar con eles, senón tamén poder clasificalos correctamente, comprender como funciona a IP para determinar correctamente o nivel de seguridade necesario. Nalgúns casos, pode xurdir a pregunta de cantos datos persoais realmente necesita a organización para operar. Pódese rexeitar os datos máis "serios" ou simplemente innecesarios? Ademais, o regulador recomenda despersonalizar os datos persoais sempre que sexa posible. 

Como nos exemplos anteriores, ás veces pode atoparse co feito de que as autoridades de inspección interpretan os datos persoais recollidos de forma lixeiramente diferente do que vostede mesmo os avaliou.

Por suposto, pode contratar un auditor ou un integrador de sistemas como asistente, pero será o "asistente" o responsable das decisións escollidas no caso dunha auditoría? Paga a pena sinalar que a responsabilidade sempre é do propietario do ISPD, o operador de datos persoais. É por iso que, cando unha empresa realiza este tipo de traballo, é importante recorrer a actores serios do mercado para estes servizos, por exemplo, empresas que realizan traballos de certificación. As empresas certificadoras teñen unha ampla experiencia na realización de tales traballos.

Opcións para construír un ISPD

A construción dun ISPD non é só unha cuestión técnica, senón tamén legal. O CIO ou o director de seguridade sempre deben consultar co asesor xurídico. Dado que a empresa non sempre dispón dun especialista co perfil que necesitas, paga a pena mirar cara aos auditores-consultores. Moitos puntos escorregadizos poden non ser obvios en absoluto.

A consulta permitirache determinar que datos persoais está a tratar e que nivel de protección require. En consecuencia, terás unha idea da IP que debes crear ou complementar con medidas de seguridade e de seguridade operativa.

A miúdo a elección dunha empresa é entre dúas opcións:

  1. Constrúe o IS correspondente nas túas propias solucións de hardware e software, posiblemente na túa propia sala de servidores.

  2. Póñase en contacto cun provedor de nube e elixe unha solución elástica, unha "sala de servidores virtuais" xa certificada.

A maioría dos sistemas de información que procesan datos persoais utilizan un enfoque tradicional que, desde o punto de vista empresarial, dificilmente se pode denominar fácil e exitoso. Ao elixir esta opción, é necesario entender que o deseño técnico incluirá unha descrición do equipo, incluíndo solucións e plataformas de software e hardware. Isto significa que terás que enfrontarte ás seguintes dificultades e limitacións:

  • dificultade para escalar;

  • longo período de execución do proxecto: é necesario seleccionar, comprar, instalar, configurar e describir o sistema;

  • moito traballo "en papel", como exemplo: o desenvolvemento dun paquete completo de documentación para todo o ISPD.

Ademais, unha empresa, por regra xeral, comprende só o nivel "superior" da súa IP: as aplicacións comerciais que usa. Noutras palabras, o persoal de TI é cualificado na súa área específica. Non se entende como funcionan todos os "niveis inferiores": protección de software e hardware, sistemas de almacenamento, copia de seguridade e, por suposto, como configurar ferramentas de protección de acordo con todos os requisitos, construír a parte "hardware" da configuración. É importante entender: esta é unha enorme capa de coñecemento que está fóra do negocio do cliente. Aquí é onde a experiencia dun provedor de nube que proporciona unha "sala de servidores virtuais" certificada pode ser útil.

Pola súa banda, os provedores de nube teñen unha serie de vantaxes que, sen esaxeración, poden cubrir o 99% das necesidades empresariais en materia de protección de datos persoais:

  • os custos de capital convértense en custos de explotación;

  • o provedor, pola súa banda, garante a prestación do nivel de seguridade e dispoñibilidade requirido baseándose nunha solución estándar probada;

  • non é necesario manter un persoal de especialistas que garantice o funcionamento do ISPD a nivel de hardware;

  • os provedores ofrecen solucións moito máis flexibles e elásticas;

  • os especialistas do provedor teñen todos os certificados necesarios;

  • O cumprimento non é menor que ao construír a súa propia arquitectura, tendo en conta os requisitos e recomendacións dos reguladores.

O vello mito de que os datos persoais non se poden almacenar na nube segue sendo moi popular. Só é certo en parte: PD realmente non se pode publicar no primeiro dispoñible nube. Requírese o cumprimento de determinadas medidas técnicas e a utilización de determinadas solucións certificadas. Se o provedor cumpre todos os requisitos legais, minimizan os riscos asociados á fuga de datos persoais. Moitos provedores teñen unha infraestrutura separada para procesar datos persoais de acordo co 152-FZ. Non obstante, a elección do provedor tamén se debe abordar co coñecemento de determinados criterios; seguro que os tocaremos a continuación. 

Os clientes adoitan acudir a nós con algunhas preocupacións sobre a colocación de datos persoais na nube do provedor. Ben, comentemos de inmediato.

  • Os datos poden ser roubados durante a transmisión ou a migración

Non hai que ter medo diso: o provedor ofrece ao cliente a creación dunha canle de transmisión de datos segura baseada en solucións certificadas, medidas de autenticación melloradas para contratistas e empregados. Só queda escoller os métodos de protección axeitados e implementalos como parte do seu traballo co cliente.

  • Mostrar máscaras virá e quitará/selará/cortará a enerxía do servidor

É bastante comprensible para os clientes que temen que os seus procesos comerciais se vexan interrompidos debido ao control insuficiente da infraestrutura. Como regra xeral, os clientes cuxo hardware estaba anteriormente situado en pequenas salas de servidores en lugar de centros de datos especializados pensan nisto. En realidade, os centros de datos están equipados con medios modernos de protección tanto física como da información. É case imposible levar a cabo ningunha operación nun centro de datos deste tipo sen motivos e papeis suficientes, e tales actividades requiren o cumprimento dunha serie de procedementos. Ademais, "tirar" o servidor do centro de datos pode afectar a outros clientes do provedor, e iso definitivamente non é necesario para ninguén. Ademais, ninguén poderá apuntar co dedo especificamente ao "seu" servidor virtual, polo que se alguén quere roubalo ou organizar un espectáculo de máscaras, primeiro terá que facer fronte a moitos atrasos burocráticos. Durante este tempo, probablemente teña tempo para migrar a outro sitio varias veces.

  • Os piratas informáticos hackearán a nube e roubarán datos

Internet e a prensa impresa están cheas de titulares sobre como outra nube foi vítima dos ciberdelincuentes, e millóns de rexistros de datos persoais filtáronse en liña. Na inmensa maioría dos casos, as vulnerabilidades non se atoparon no lado do provedor, senón nos sistemas de información das vítimas: contrasinais débiles ou incluso predeterminados, "buratos" nos motores de sitios web e bases de datos, e banal descoido empresarial á hora de elixir as medidas de seguridade e organizar os procedementos de acceso aos datos. Todas as solucións certificadas son verificadas para detectar vulnerabilidades. Tamén realizamos regularmente tests de "control" e auditorías de seguridade, tanto de forma independente como a través de organizacións externas. Para o provedor, esta é unha cuestión de reputación e de negocio en xeral.

  • O provedor/os empregados do provedor roubarán datos persoais para beneficio persoal

Este é un momento bastante sensible. Varias empresas do mundo da seguridade da información "asustan" aos seus clientes e insisten en que "os empregados internos son máis perigosos que os hackers externos". Isto pode ser certo nalgúns casos, pero non se pode construír un negocio sen confianza. De cando en vez, aparecen noticias de que os propios empregados dunha organización filtran os datos dos clientes aos atacantes e, ás veces, a seguridade interna está organizada moito peor que a externa. É importante entender aquí que calquera gran provedor non está interesado en casos negativos. As accións dos empregados do provedor están ben reguladas, os roles e as áreas de responsabilidade están divididas. Todos os procesos empresariais están estruturados de tal xeito que os casos de fuga de datos son moi improbables e sempre son perceptibles para os servizos internos, polo que os clientes non deben ter medo dos problemas deste lado.

  • Pagas pouco porque pagas servizos cos datos da túa empresa.

Outro mito: un cliente que aluga unha infraestrutura segura a un prezo cómodo paga por iso cos seus datos; isto adoita pensar os expertos aos que non lles importa ler un par de teorías de conspiración antes de durmir. En primeiro lugar, a posibilidade de realizar calquera operación cos seus datos distintas dos especificados na orde é esencialmente nula. En segundo lugar, un provedor adecuado valora a relación contigo e a súa reputación; ademais de ti, ten moitos máis clientes. É máis probable o escenario contrario, no que o provedor protexerá con celo os datos dos seus clientes, nos que se apoia o seu negocio.

Elixir un provedor de nube para ISPD

Hoxe, o mercado ofrece moitas solucións para as empresas que son operadores de PD. A continuación móstrase unha lista xeral de recomendacións para escoller a correcta.

  • O provedor debe estar preparado para celebrar un acordo formal que describa as responsabilidades das partes, os SLA e as áreas de responsabilidade na clave do tratamento dos datos persoais. De feito, entre vostede e o provedor, ademais do contrato de servizo, debe asinarse unha orde de tramitación de PD. En calquera caso, paga a pena estudalos con atención. É importante comprender a división de responsabilidades entre vostede e o provedor.

  • Ten en conta que o segmento debe cumprir os requisitos, o que significa que debe ter un certificado que indique un nivel de seguridade non inferior ao esixido pola túa IP. Acontece que os provedores publican só a primeira páxina do certificado, da que pouco queda claro, ou fan referencia a auditorías ou procedementos de cumprimento sen publicar o propio certificado (“¿houbo un rapaz?”). Paga a pena solicitalo: este é un documento público que indica quen realizou a certificación, período de validez, localización da nube, etc.

  • O provedor debe proporcionar información sobre onde se atopan os seus sitios (obxectos protexidos) para que poida controlar a colocación dos seus datos. Lembrámosche que a recollida inicial de datos persoais debe realizarse no territorio da Federación Rusa; polo tanto, é recomendable ver os enderezos do centro de datos no contrato/certificado.

  • O provedor debe utilizar sistemas certificados de seguridade e protección da información. Por suposto, a maioría dos provedores non anuncian as medidas de seguridade técnicas e a arquitectura de solucións que usan. Pero ti, como cliente, non podes deixar de saber iso. Por exemplo, para conectarse remotamente a un sistema de xestión (portal de xestión), é necesario utilizar medidas de seguridade. O provedor non poderá ignorar este requisito e proporcionaralle (ou requirirá que use) solucións certificadas. Toma os recursos para unha proba e entenderás inmediatamente como e que funciona. 

  • É moi desexable que o provedor da nube proporcione servizos adicionais no campo da seguridade da información. Estes poden ser diversos servizos: protección contra ataques DDoS e WAF, servizo antivirus ou sandbox, etc. Todo isto permitirache recibir protección como servizo, non para distraerte coa construción de sistemas de protección, senón para traballar en aplicacións empresariais.

  • O provedor debe ser licenciado de FSTEC e FSB. Como regra xeral, esta información publícase directamente no sitio web. Asegúrese de solicitar estes documentos e comprobar se os enderezos de prestación de servizos, o nome da empresa provedora, etc. son correctos. 

Imos resumir. O aluguer de infraestruturas permitirache abandonar o CAPEX e manter só as túas aplicacións empresariais e os propios datos na túa área de responsabilidade, e transferirlle ao provedor a pesada carga da certificación de hardware e software e hardware.

Como pasamos a certificación

Máis recentemente, aprobamos con éxito a recertificación da infraestrutura do "Secure Cloud FZ-152" para o cumprimento dos requisitos para traballar con datos persoais. O traballo foi realizado polo Centro Nacional de Certificación.

Actualmente, o “FZ-152 Secure Cloud” está certificado para aloxar sistemas de información implicados no tratamento, almacenamento ou transmisión de datos persoais (ISPDn) de acordo cos requisitos do nivel UZ-3.

O procedemento de certificación consiste en comprobar o cumprimento da infraestrutura do provedor da nube co nivel de protección. O propio provedor proporciona o servizo IaaS e non é un operador de datos persoais. O proceso implica a valoración das medidas tanto organizativas (documentación, pedidos, etc.) como técnicas (configuración de equipos de protección, etc.).

Non se pode chamar trivial. A pesar de que GOST sobre programas e métodos para realizar actividades de certificación apareceu en 2013, aínda non existen programas estritos para obxectos na nube. Os centros de certificación desenvolven estes programas baseándose na súa propia experiencia. Coa chegada das novas tecnoloxías, os programas fanse máis complexos e modernízanse; polo tanto, o certificador debe ter experiencia traballando con solucións na nube e comprender os detalles específicos.

No noso caso, o obxecto protexido consta de dúas localizacións.

  • Os recursos na nube (servidores, sistemas de almacenamento, infraestrutura de rede, ferramentas de seguridade, etc.) sitúanse directamente no centro de datos. Por suposto, un centro de datos virtual deste tipo está conectado a redes públicas e, en consecuencia, deben cumprirse certos requisitos de firewall, por exemplo, o uso de firewalls certificados.

  • A segunda parte do obxecto son as ferramentas de xestión da nube. Trátase de estacións de traballo (estación de traballo do administrador) desde as que se xestiona o segmento protexido.

As localizacións comunícanse a través dunha canle VPN construída en CIPF.

Dado que as tecnoloxías de virtualización crean condicións previas para a aparición de ameazas, tamén utilizamos ferramentas de protección certificadas adicionais.

IaaS 152-FZ: entón necesitas seguridadeDiagrama de bloques "a través dos ollos do avaliador"

Se o cliente require a certificación do seu ISPD, despois de alugar IaaS, só terá que avaliar o sistema de información por riba do nivel do centro de datos virtual. Este procedemento consiste na comprobación da infraestrutura e do software utilizado nel. Xa que podes consultar o certificado do provedor para todos os problemas de infraestrutura, todo o que tes que facer é traballar co software.

IaaS 152-FZ: entón necesitas seguridadeSeparación a nivel de abstracción

En conclusión, aquí tes unha pequena lista de verificación para empresas que xa están traballando con datos persoais ou que só están a planificar. Entón, como tratalo sen queimar.

  1. Para auditar e desenvolver modelos de ameazas e intrusos, invite a un consultor experimentado de entre os laboratorios de certificación que lle axude a elaborar os documentos necesarios e lle achegue á fase de solucións técnicas.

  2. Ao escoller un provedor de nube, preste atención á presenza dun certificado. Sería bo que a empresa o publicase publicamente directamente no sitio web. O provedor debe ser licenciado de FSTEC e FSB, e o servizo que ofrece debe estar certificado.

  3. Asegúrese de ter un acordo formal e unha instrución asinada para o tratamento de datos persoais. En base a isto, poderás realizar tanto unha comprobación de conformidade como a certificación ISPD Se este traballo na fase de proxecto técnico e a elaboración do deseño e documentación técnica che parece gravoso, debes contactar con empresas consultoras alleas. entre os laboratorios de certificación.

Se os temas de tratamento de datos persoais son relevantes para ti, o 18 de setembro, este venres, estaremos encantados de verte no webinar "Características da construción de nubes certificadas".

Fonte: www.habr.com

Engadir un comentario