ProHoster > Blog > uprava > IaaS 152-FZ: dakle, potrebna vam je sigurnost

IaaS 152-FZ: dakle, potrebna vam je sigurnost

IaaS 152-FZ: dakle, potrebna vam je sigurnost

Koliko god razjašnjavali mitove i legende koji okružuju usklađenost s 152-FZ, nešto uvijek ostaje iza kulisa. Danas želimo razgovarati o nekim ne uvijek očiglednim nijansama s kojima se mogu susresti i velike tvrtke i vrlo mala poduzeća:

  • suptilnosti klasifikacije PD-a u kategorije - kada mala internetska trgovina prikuplja podatke koji se odnose na posebnu kategoriju, a da za to i ne zna;

  • gdje možete pohraniti sigurnosne kopije prikupljenih PD-ova i izvoditi operacije na njima;

  • koja je razlika između potvrde i zaključka o sukladnosti, koje dokumente trebate tražiti od davatelja i slično.

Na kraju ćemo s vama podijeliti vlastito iskustvo prolaska certifikacije. Ići!

Stručnjak u današnjem članku će biti Aleksej Afanasjev, IS specijalist za cloud providere IT-GRAD i #CloudMTS (dio MTS grupe).

Suptilnosti klasifikacije

Često se susrećemo sa željom klijenta da brzo, bez revizije IS-a, utvrdi potrebnu razinu sigurnosti za ISPD. Neki materijali na Internetu o ovoj temi daju lažan dojam da je to jednostavan zadatak i da je prilično teško pogriješiti.

Da biste odredili KM, potrebno je razumjeti koje će podatke prikupljati i obrađivati ​​IS klijenta. Ponekad može biti teško nedvosmisleno odrediti zahtjeve zaštite i kategoriju osobnih podataka s kojima tvrtka posluje. Iste vrste osobnih podataka mogu se procjenjivati ​​i klasificirati na potpuno različite načine. Stoga se u nekim slučajevima mišljenje poduzeća može razlikovati od mišljenja revizora ili čak inspektora. Pogledajmo nekoliko primjera.

Parkiralište. Čini se kao prilično tradicionalna vrsta poslovanja. Mnogi vozni parkovi posluju desetljećima, a njihovi vlasnici angažiraju samostalne poduzetnike i pojedince. Podaci o zaposleniku u pravilu potpadaju pod uvjete UZ-4. No, za rad s vozačima potrebno je ne samo prikupiti osobne podatke, već i obaviti liječničku kontrolu na području voznog parka prije odlaska u smjenu, a informacije prikupljene u procesu odmah spadaju u kategoriju medicinski podaci - a to su osobni podaci posebne kategorije. Osim toga, vozni park može zatražiti potvrde, koje će se zatim čuvati u dosjeu vozača. Sken takve potvrde u elektroničkom obliku - zdravstveni podaci, osobni podaci posebne kategorije. To znači da UZ-4 više nije dovoljan, potreban je najmanje UZ-3.

Online trgovina. Čini se da se prikupljena imena, adrese e-pošte i telefonski brojevi uklapaju u kategoriju javnosti. Međutim, ako vaši kupci navedu prehrambene preferencije, kao što su halal ili košer, takve informacije mogu se smatrati podacima o vjerskoj pripadnosti ili uvjerenjima. Stoga inspektor može podatke koje prikupljate prilikom provjera ili provedbe drugih kontrolnih radnji razvrstati u posebnu kategoriju osobnih podataka. Sada, kada bi internetska trgovina prikupila informacije o tome preferira li njen kupac meso ili ribu, ti bi se podaci mogli klasificirati kao drugi osobni podaci. Usput, što je s vegetarijancima? Uostalom, to se može pripisati i filozofskim uvjerenjima, koja također spadaju u posebnu kategoriju. No, s druge strane, to jednostavno može biti stav osobe koja je izbacila meso iz svoje prehrane. Nažalost, ne postoji znak koji jednoznačno definira kategoriju PD-a u takvim "suptilnim" situacijama.

Agencija za oglašavanje Koristeći neki zapadni cloud servis obrađuje javno dostupne podatke svojih klijenata - imena i prezimena, e-mail adrese i brojeve telefona. Ti se osobni podaci, naravno, odnose na osobne podatke. Postavlja se pitanje: je li zakonito provoditi takvu obradu? Je li uopće moguće premjestiti takve podatke bez depersonalizacije izvan Ruske Federacije, na primjer, pohraniti sigurnosne kopije u neke strane oblake? Naravno, možete. Agencija ima pravo pohraniti ove podatke izvan Rusije, međutim, početno prikupljanje, prema našem zakonodavstvu, mora se provesti na teritoriju Ruske Federacije. Ako napravite sigurnosnu kopiju takvih informacija, izračunate neke statistike na temelju njih, provedete istraživanje ili izvršite neke druge operacije s njima - sve se to može učiniti na zapadnim resursima. S pravnog gledišta ključna je točka gdje se prikupljaju osobni podaci. Stoga je važno ne brkati početno prikupljanje i obradu.

Kao što proizlazi iz ovih kratkih primjera, rad s osobnim podacima nije uvijek jasan i jednostavan. Morate ne samo znati da radite s njima, već i biti u stanju ispravno ih klasificirati, razumjeti kako IP radi kako biste ispravno odredili potrebnu razinu sigurnosti. U nekim slučajevima može se postaviti pitanje koliko osobnih podataka organizacija zapravo treba za rad. Je li moguće odbiti "najozbiljnije" ili jednostavno nepotrebne podatke? Osim toga, regulator preporučuje depersonaliziranje osobnih podataka gdje je to moguće. 

Kao i u gornjim primjerima, ponekad se možete susresti s činjenicom da inspekcijska tijela prikupljene osobne podatke tumače nešto drugačije nego što ste ih Vi sami procijenili.

Naravno, možete angažirati revizora ili sistem integratora kao asistenta, ali hoće li “asistent” biti odgovoran za odluke koje ste odabrali u slučaju revizije? Važno je napomenuti da odgovornost uvijek leži na vlasniku ISPD-a – operateru osobnih podataka. Zato je važno kada tvrtka obavlja takve poslove, obratiti se ozbiljnim igračima na tržištu takvih usluga, primjerice tvrtkama koje provode poslove certificiranja. Certifikacijske tvrtke imaju veliko iskustvo u obavljanju takvih poslova.

Mogućnosti za izgradnju ISPD-a

Izgradnja ISPD-a nije samo tehničko, već i uglavnom pravno pitanje. CIO ili direktor sigurnosti uvijek bi se trebao posavjetovati s pravnim savjetnikom. Budući da tvrtka nema uvijek stručnjaka s profilom koji vam je potreban, vrijedi se obratiti revizorima-konzultantima. Mnoge skliske točke možda uopće nisu očite.

Savjetovanje će vam omogućiti da utvrdite s kojim osobnim podacima radite i koju razinu zaštite zahtijevaju. Sukladno tome, dobit ćete predodžbu o IP-u koji je potrebno izraditi ili dopuniti sigurnosnim i operativnim sigurnosnim mjerama.

Često je izbor za tvrtku između dvije opcije:

  1. Izgradite odgovarajući IS na vlastitim hardverskim i softverskim rješenjima, po mogućnosti u vlastitoj poslužiteljskoj sobi.

  2. Obratite se pružatelju usluga oblaka i odaberite elastično rješenje, već certificiranu “virtualnu poslužiteljsku sobu”.

Većina informacijskih sustava za obradu osobnih podataka koristi se tradicionalnim pristupom koji se, s poslovnog stajališta, teško može nazvati lakim i uspješnim. Prilikom odabira ove opcije potrebno je imati na umu da će tehnički projekt sadržavati opis opreme, uključujući softverska i hardverska rješenja i platforme. To znači da ćete se morati suočiti sa sljedećim poteškoćama i ograničenjima:

  • poteškoće skaliranja;

  • dugo razdoblje provedbe projekta: potrebno je odabrati, kupiti, instalirati, konfigurirati i opisati sustav;

  • puno "papirnatog" rada, kao primjer - razvoj cjelovitog paketa dokumentacije za cijeli ISPD.

Osim toga, tvrtka u pravilu razumije samo “najvišu” razinu svog IP-a - poslovne aplikacije koje koristi. Drugim riječima, IT osoblje je vješto u svom specifičnom području. Ne razumije se kako funkcioniraju sve "niže razine": softverska i hardverska zaštita, sustavi za pohranu, backup i, naravno, kako konfigurirati alate za zaštitu u skladu sa svim zahtjevima, izgraditi "hardverski" dio konfiguracije. Važno je razumjeti: ovo je ogroman sloj znanja koji se nalazi izvan poslovanja klijenta. Ovdje iskustvo pružatelja usluga oblaka koji pruža certificiranu "virtualnu poslužiteljsku sobu" može dobro doći.

S druge strane, pružatelji usluga oblaka imaju niz prednosti koje, bez pretjerivanja, mogu pokriti 99% poslovnih potreba u području zaštite osobnih podataka:

  • kapitalni troškovi se pretvaraju u troškove poslovanja;

  • pružatelj sa svoje strane jamči pružanje potrebne razine sigurnosti i dostupnosti na temelju provjerenog standardnog rješenja;

  • nema potrebe za održavanjem osoblja stručnjaka koji će osigurati rad ISPD-a na hardverskoj razini;

  • pružatelji usluga nude mnogo fleksibilnija i elastičnija rješenja;

  • stručnjaci pružatelja usluga imaju sve potrebne certifikate;

  • usklađenost nije niža nego kod izgradnje vlastite arhitekture, uzimajući u obzir zahtjeve i preporuke regulatora.

Stari mit da se osobni podaci ne mogu pohraniti u oblak još uvijek je iznimno popularan. To je samo djelomično točno: PD se stvarno ne može objaviti u prvom dostupnom oblak. Potrebno je poštivanje određenih tehničkih mjera i korištenje određenih certificiranih rješenja. Ako pružatelj usluga poštuje sve zakonske zahtjeve, rizici povezani s curenjem osobnih podataka su minimalizirani. Mnogi pružatelji usluga imaju zasebnu infrastrukturu za obradu osobnih podataka u skladu s 152-FZ. Međutim, izboru dobavljača također treba pristupiti s poznavanjem određenih kriterija, kojih ćemo se svakako dotaknuti u nastavku. 

Klijenti nam se često obraćaju s nedoumicama oko smještaja osobnih podataka u oblak pružatelja usluga. Pa, raspravimo ih odmah.

  • Podaci mogu biti ukradeni tijekom prijenosa ili migracije

Toga se ne treba bojati - pružatelj nudi klijentu stvaranje sigurnog kanala za prijenos podataka izgrađenog na certificiranim rješenjima, poboljšane mjere autentifikacije za izvođače i zaposlenike. Ostaje samo odabrati odgovarajuće metode zaštite i implementirati ih u sklopu rada s klijentom.

  • Show maske će doći i oduzeti/zapečatiti/isključiti struju serveru

Sasvim je razumljiv strah kupaca da će im poslovni procesi biti poremećeni zbog nedovoljne kontrole nad infrastrukturom. U pravilu o tome razmišljaju oni klijenti čiji se hardver prije nalazio u malim poslužiteljskim sobama, a ne u specijaliziranim podatkovnim centrima. U stvarnosti su podatkovni centri opremljeni suvremenim sredstvima fizičke i informacijske zaštite. U takvom podatkovnom centru gotovo je nemoguće obavljati bilo kakve poslove bez dovoljno temelja i papira, a takve aktivnosti zahtijevaju poštivanje niza procedura. Osim toga, "povlačenje" vašeg poslužitelja iz podatkovnog centra može utjecati na druge klijente pružatelja usluga, a to definitivno nikome nije potrebno. Osim toga, nitko neće moći uprijeti prstom konkretno u “vaš” virtualni server, pa će se, ako ga netko želi ukrasti ili prirediti maskenbal, prvo morati suočiti s brojnim birokratskim zastojima. Tijekom tog vremena najvjerojatnije ćete imati vremena nekoliko puta migrirati na drugu stranicu.

  • Hakeri će hakirati oblak i ukrasti podatke

Internet i tisak puni su naslova o tome kako je još jedan oblak postao žrtva kibernetičkih kriminalaca, a milijuni zapisa osobnih podataka procurili su online. U velikoj većini slučajeva ranjivosti uopće nisu pronađene na strani pružatelja usluga, već u informacijskim sustavima žrtava: slabe ili čak zadane lozinke, "rupe" u web stranicama i bazama podataka te banalna poslovna nepažnja pri odabiru sigurnosnih mjera i organiziranje postupaka pristupa podacima. Sva certificirana rješenja provjeravaju se na ranjivosti. Također redovito provodimo "kontrolne" pentestove i sigurnosne revizije, neovisno i putem vanjskih organizacija. Za davatelja je to pitanje ugleda i poslovanja općenito.

  • Pružatelj/zaposlenici pružatelja će ukrasti osobne podatke za osobnu korist

Ovo je prilično osjetljiv trenutak. Brojne tvrtke iz svijeta informacijske sigurnosti “plaše” svoje klijente i inzistiraju na tome da su “interni zaposlenici opasniji od vanjskih hakera”. To može biti točno u nekim slučajevima, ali posao se ne može graditi bez povjerenja. S vremena na vrijeme zabljesne vijest da vlastiti zaposlenici organizacije odaju podatke o klijentima napadačima, a interna sigurnost ponekad je organizirana puno gore od vanjske sigurnosti. Ovdje je važno razumjeti da je svaki veliki pružatelj krajnje nezainteresiran za negativne slučajeve. Radnje djelatnika davatelja dobro su regulirane, uloge i područja odgovornosti podijeljena. Svi poslovni procesi strukturirani su na način da su slučajevi curenja podataka vrlo malo vjerojatni i uvijek uočljivi internim službama, pa se klijenti ne trebaju bojati problema s ove strane.

  • Plaćate malo jer usluge plaćate svojim poslovnim podacima.

Još jedan mit: klijent koji iznajmljuje sigurnu infrastrukturu po ugodnoj cijeni zapravo to plaća svojim podacima - to često misle stručnjaci koji ne misle pročitati nekoliko teorija zavjere prije spavanja. Prvo, mogućnost provođenja bilo kakvih operacija s vašim podacima osim onih navedenih u nalogu je u biti ravna nuli. Drugo, adekvatan pružatelj usluga cijeni odnos s vama i svoju reputaciju - osim vas, on ima mnogo više klijenata. Vjerojatniji je suprotan scenarij u kojem će pružatelj revno štititi podatke svojih klijenata na kojima počiva njegovo poslovanje.

Odabir pružatelja usluga oblaka za ISPD

Danas tržište nudi mnoga rješenja za tvrtke koje su PD operateri. Ispod je opći popis preporuka za odabir pravog.

  • Pružatelj usluga mora biti spreman sklopiti službeni ugovor koji opisuje odgovornosti stranaka, SLA i područja odgovornosti u ključu obrade osobnih podataka. Naime, između Vas i davatelja, uz ugovor o pružanju usluge, mora biti potpisan nalog za obradu PD-a. U svakom slučaju, vrijedi ih pažljivo proučiti. Važno je razumjeti podjelu odgovornosti između vas i pružatelja usluga.

  • Imajte na umu da segment mora ispunjavati zahtjeve, što znači da mora imati certifikat koji označava razinu sigurnosti koja nije niža od one koju zahtijeva vaš IP. Događa se da pružatelji objave samo prvu stranicu certifikata, iz koje je malo toga jasno, ili se pozivaju na revizije ili postupke usklađenosti bez objave samog certifikata (“je li bio dječak?”). Vrijedi ga zatražiti - ovo je javni dokument koji pokazuje tko je izvršio certifikaciju, rok valjanosti, lokaciju u oblaku itd.

  • Pružatelj mora pružiti informacije o tome gdje se nalaze njegove stranice (zaštićeni objekti) kako biste mogli kontrolirati smještaj svojih podataka. Podsjetimo da se početno prikupljanje osobnih podataka mora provesti na području Ruske Federacije, stoga je preporučljivo vidjeti adrese podatkovnog centra u ugovoru/potvrdi.

  • Davatelj mora koristiti certificirane sustave informacijske sigurnosti i zaštite informacija. Naravno, većina pružatelja usluga ne oglašava tehničke sigurnosne mjere i arhitekturu rješenja koju koriste. Ali vi, kao klijent, ne možete ne znati za to. Na primjer, za daljinsko povezivanje sa sustavom upravljanja (portal za upravljanje) potrebno je koristiti sigurnosne mjere. Davatelj neće moći zaobići ovaj zahtjev i pružit će vam (ili zahtijevati da koristite) certificirana rješenja. Isprobajte resurse i odmah ćete shvatiti kako i što radi. 

  • Vrlo je poželjno da cloud provider pruža dodatne usluge u području informacijske sigurnosti. To mogu biti različite usluge: zaštita od DDoS napada i WAF, antivirusna usluga ili sandbox itd. Sve to će vam omogućiti da zaštitu dobijete kao uslugu, da vas ne ometa izgradnja zaštitnih sustava, već da radite na poslovnim aplikacijama.

  • Davatelj mora biti nositelj licence FSTEC-a i FSB-a. U pravilu se takve informacije objavljuju izravno na web stranici. Obavezno zatražite te dokumente i provjerite jesu li adrese za pružanje usluga, naziv tvrtke pružatelja i sl. ispravni. 

Sažmimo. Najam infrastrukture omogućit će vam da odustanete od CAPEX-a i zadržite samo svoje poslovne aplikacije i same podatke u svom području odgovornosti, a veliki teret certificiranja hardvera i softvera i hardvera prebacite na pružatelja usluga.

Kako smo prošli certifikaciju

Nedavno smo uspješno prošli recertifikaciju infrastrukture “Secure Cloud FZ-152” za usklađenost sa zahtjevima za rad s osobnim podacima. Radove je izveo Nacionalni centar za certifikaciju.

Trenutno je “FZ-152 Secure Cloud” certificiran za smještaj informacijskih sustava uključenih u obradu, pohranu ili prijenos osobnih podataka (ISPDn) u skladu sa zahtjevima razine UZ-3.

Postupak certifikacije uključuje provjeru usklađenosti infrastrukture pružatelja usluga oblaka s razinom zaštite. Sam pružatelj pruža uslugu IaaS i nije operater osobnih podataka. Proces uključuje procjenu kako organizacijskih (dokumentacija, nalozi, itd.) tako i tehničkih mjera (postavljanje zaštitne opreme, itd.).

Ne može se nazvati trivijalnim. Unatoč činjenici da se GOST o programima i metodama za provođenje aktivnosti certificiranja pojavio još 2013., strogi programi za objekte u oblaku još uvijek ne postoje. Certifikacijski centri razvijaju te programe na temelju vlastite stručnosti. Dolaskom novih tehnologija programi postaju sve složeniji i modernizirani, sukladno tome, certifikator mora imati iskustva u radu s cloud rješenjima i razumjeti specifičnosti.

U našem slučaju zaštićeni objekt sastoji se od dvije lokacije.

  • Resursi u oblaku (poslužitelji, sustavi za pohranu podataka, mrežna infrastruktura, sigurnosni alati itd.) nalaze se izravno u podatkovnom centru. Naravno, takav virtualni podatkovni centar povezan je s javnim mrežama te sukladno tome moraju biti zadovoljeni određeni zahtjevi vatrozida, primjerice korištenje certificiranih vatrozida.

  • Drugi dio objekta su alati za upravljanje oblakom. To su radne stanice (radne stanice administratora) s kojih se upravlja zaštićenim segmentom.

Lokacije komuniciraju putem VPN kanala izgrađenog na CIPF-u.

Budući da tehnologije virtualizacije stvaraju preduvjete za pojavu prijetnji, koristimo i dodatne certificirane alate za zaštitu.

IaaS 152-FZ: dakle, potrebna vam je sigurnostBlok dijagram “očima procjenitelja”

Ako klijent zahtijeva certifikaciju svog ISPD-a, nakon najma IaaS-a morat će samo procijeniti informacijski sustav iznad razine virtualnog podatkovnog centra. Ovaj postupak uključuje provjeru infrastrukture i softvera koji se na njoj koristi. Budući da se za sve infrastrukturne probleme možete pozvati na certifikat pružatelja usluga, sve što trebate učiniti je raditi sa softverom.

IaaS 152-FZ: dakle, potrebna vam je sigurnostRazdvajanje na razini apstrakcije

Za kraj, evo malog popisa za tvrtke koje već rade s osobnim podacima ili to tek planiraju. Dakle, kako to riješiti, a da se ne opečete.

  1. Za reviziju i razvoj modela prijetnji i uljeza pozovite iskusnog konzultanta iz certifikacijskih laboratorija koji će vam pomoći u izradi potrebnih dokumenata i dovesti vas do faze tehničkih rješenja.

  2. Prilikom odabira pružatelja usluga oblaka obratite pozornost na prisutnost certifikata. Bilo bi dobro da tvrtka to javno objavi izravno na web stranici. Pružatelj mora biti nositelj licence FSTEC-a i FSB-a, a usluga koju nudi mora biti certificirana.

  3. Provjerite imate li formalni ugovor i potpisanu uputu za obradu osobnih podataka. Na temelju toga moći ćete izvršiti i provjeru sukladnosti i ISPD certifikaciju. Ako vam se ovaj posao u fazi tehničkog projekta i izrade projektne i tehničke dokumentacije čini napornim, obratite se trećim konzultantskim tvrtkama iz reda certifikacijskih laboratorija.

Ako su vam pitanja obrade osobnih podataka relevantna, 18. rujna, ovog petka, rado ćemo vas vidjeti na webinaru “Značajke izgradnje certificiranih oblaka”.

Izvor: www.habr.com

Dodajte komentar