ProHoster > Blog > Adminisztráció > IaaS 152-FZ: tehát biztonságra van szüksége

IaaS 152-FZ: tehát biztonságra van szüksége

IaaS 152-FZ: tehát biztonságra van szüksége

Nem számít, mennyire válogatja a 152-FZ-nek való megfelelést körülvevő mítoszokat és legendákat, valami mindig a színfalak mögött marad. Ma szeretnénk megvitatni néhány nem mindig nyilvánvaló árnyalatot, amellyel mind a nagyvállalatok, mind a nagyon kisvállalkozások találkozhatnak:

  • a PD kategóriákba sorolásának finomságai - amikor egy kis online áruház egy speciális kategóriához kapcsolódó adatokat gyűjt anélkül, hogy tudna róla;

  • ahol az összegyűjtött PD biztonsági másolatait tárolhatja és műveleteket hajthat végre rajtuk;

  • mi a különbség a tanúsítvány és a megfelelőségi következtetés között, milyen dokumentumokat kell kérni a szolgáltatótól, stb.

Végül megosztjuk Önnel a minősítés átadásával kapcsolatos saját tapasztalatainkat. Megy!

A mai cikk szakértője az lesz Alekszej Afanasjev, az IT-GRAD és a #CloudMTS (az MTS csoport része) felhőszolgáltatók IS specialistája.

Az osztályozás finomságai

Gyakran találkozunk azzal, hogy az ügyfelek gyorsan, IS audit nélkül határozzák meg az ISPD szükséges biztonsági szintjét. Az interneten található egyes anyagok ebben a témában azt a hamis benyomást keltik, hogy ez egy egyszerű feladat, és meglehetősen nehéz hibázni.

A KM meghatározásához meg kell érteni, hogy az ügyfél IS-je milyen adatokat gyűjt és dolgoz fel. Néha nehéz lehet egyértelműen meghatározni a védelmi követelményeket és a személyes adatok kategóriáját, amelyet egy vállalkozás működtet. Az azonos típusú személyes adatok teljesen eltérő módon értékelhetők és osztályozhatók. Ezért bizonyos esetekben a vállalkozás véleménye eltérhet a könyvvizsgáló vagy akár az ellenőr véleményétől. Nézzünk néhány példát.

Parkoló. Ez egy meglehetősen hagyományos üzlettípusnak tűnik. Számos járműpark évtizedek óta működik, tulajdonosai egyéni vállalkozókat és magánszemélyeket alkalmaznak. Az alkalmazottak adatai általában az UZ-4 követelményei alá tartoznak. A járművezetőkkel való együttműködéshez azonban nemcsak személyes adatok gyűjtése szükséges, hanem a műszakba lépés előtt orvosi ellenőrzést is kell végezni a járműpark területén, és a folyamatban gyűjtött információk azonnal a egészségügyi adatok - és ez egy speciális kategóriájú személyes adat. Ezenkívül a flotta igazolásokat kérhet, amelyeket aztán a sofőr aktájában őriznek meg. Egy ilyen tanúsítvány beolvasása elektronikus formában - egészségügyi adatok, speciális kategóriájú személyes adatok. Ez azt jelenti, hogy az UZ-4 már nem elég, legalább UZ-3 szükséges.

Online áruház. Úgy tűnik, hogy az összegyűjtött nevek, e-mail-címek és telefonszámok beleférnek a nyilvános kategóriába. Ha azonban ügyfelei étkezési preferenciákat jeleznek, például halal vagy kóser, az ilyen információk vallási hovatartozásra vagy meggyőződésre vonatkozó adatoknak minősülhetnek. Ezért az ellenőr az egyéb ellenőrzési tevékenységek ellenőrzésekor vagy végzése során az Ön által gyűjtött adatokat a személyes adatok speciális kategóriájába sorolhatja. Most, ha egy webáruház információt gyűjtött arról, hogy vásárlója a húst vagy a halat részesíti előnyben, az adatok egyéb személyes adatoknak minősülhetnek. Egyébként mi a helyzet a vegetáriánusokkal? Hiszen ez a filozófiai hiedelmeknek is betudható, amelyek szintén egy speciális kategóriába tartoznak. De másrészt lehet, hogy ez egyszerűen egy olyan ember hozzáállása, aki kiiktatta a húst az étrendjéből. Sajnos nincs olyan jel, amely egyértelműen meghatározná a PD kategóriáját ilyen „finom” helyzetekben.

Reklámügynökség Egyes nyugati felhőszolgáltatások segítségével feldolgozza ügyfelei nyilvánosan elérhető adatait - teljes nevét, e-mail címét és telefonszámát. Ezek a személyes adatok természetesen személyes adatokra vonatkoznak. Felmerül a kérdés: jogszerű-e ilyen feldolgozást végezni? Egyáltalán lehetséges-e ilyen adatokat személytelenítés nélkül áthelyezni az Orosz Föderáción kívülre, például biztonsági másolatok tárolására néhány külföldi felhőben? Természetesen megteheti. Az Ügynökségnek jogában áll ezeket az adatokat Oroszországon kívül tárolni, azonban az első gyűjtést jogszabályaink szerint az Orosz Föderáció területén kell végrehajtani. Ha biztonsági másolatot készít ezekről az információkról, statisztikát számol ezek alapján, kutatást végez vagy egyéb műveleteket végez vele - mindez nyugati forrásokon is megtehető. Jogi szempontból a kulcskérdés az, hogy hol gyűjtik a személyes adatokat. Ezért fontos, hogy ne keverjük össze a kezdeti begyűjtést és a feldolgozást.

Amint ezekből a rövid példákból az következik, a személyes adatokkal való munka nem mindig egyértelmű és egyszerű. Nemcsak tudnia kell, hogy dolgozik velük, hanem képesnek kell lennie helyesen besorolni őket, meg kell értenie az IP működését a szükséges biztonsági szint helyes meghatározásához. Egyes esetekben felmerülhet a kérdés, hogy valójában mennyi személyes adatra van szüksége a szervezetnek a működéséhez. Lehetséges-e visszautasítani a „legsúlyosabb” vagy egyszerűen csak felesleges adatokat? Ezenkívül a szabályozó javasolja a személyes adatok személytelenítését, ahol lehetséges. 

A fenti példákhoz hasonlóan néha találkozhat azzal a ténnyel, hogy az ellenőrző hatóságok kissé eltérően értelmezik az összegyűjtött személyes adatokat, mint ahogyan Ön értékelte azokat.

Asszisztensnek természetesen felvehet könyvvizsgálót vagy rendszerintegrátort, de vajon az „asszisztens” lesz-e felelős a választott döntésekért egy audit esetén? Érdemes megjegyezni, hogy a felelősség mindig az ISPD tulajdonosát – a személyes adatok kezelőjét – terheli. Éppen ezért, amikor egy cég ilyen munkát végez, fontos, hogy az ilyen szolgáltatások piacának komoly szereplőihez forduljanak, például a tanúsítási munkát végző cégekhez. A tanúsító cégek nagy tapasztalattal rendelkeznek az ilyen jellegű munkák elvégzésében.

ISPD felépítésének lehetőségei

Az ISPD felépítése nemcsak műszaki, hanem nagyrészt jogi kérdés is. A CIO-nak vagy a biztonsági igazgatónak mindig konzultálnia kell jogi tanácsadóval. Mivel a cégnél nem mindig van olyan profilú szakember, akire szüksége van, érdemes a könyvvizsgáló-tanácsadók felé fordulni. Sok csúszós pont lehet, hogy egyáltalán nem nyilvánvaló.

A konzultáció lehetővé teszi, hogy meghatározza, milyen személyes adatokkal foglalkozik, és milyen szintű védelmet igényel. Ennek megfelelően képet kap arról, hogy milyen IP-címet kell létrehozni vagy kiegészíteni biztonsági és működési biztonsági intézkedésekkel.

Egy vállalat gyakran két lehetőség közül választhat:

  1. Építse fel a megfelelő IS-t saját hardver- és szoftvermegoldásaira, esetleg saját szerverszobájában.

  2. Vegye fel a kapcsolatot egy felhőszolgáltatóval, és válasszon rugalmas megoldást, egy már tanúsított „virtuális szerverszobát”.

A legtöbb személyes adatokat feldolgozó információs rendszer hagyományos megközelítést alkalmaz, amely üzleti szempontból aligha nevezhető könnyűnek és sikeresnek. Ennek az opciónak a kiválasztásakor meg kell érteni, hogy a műszaki terv tartalmazza a berendezés leírását, beleértve a szoftver- és hardvermegoldásokat és platformokat. Ez azt jelenti, hogy a következő nehézségekkel és korlátokkal kell szembenéznie:

  • méretezési nehézség;

  • hosszú projekt megvalósítási időszak: szükséges a rendszer kiválasztása, beszerzése, telepítése, konfigurálása és leírása;

  • sok „papír” munka, példaként - a teljes dokumentációs csomag kidolgozása a teljes ISPD számára.

Ezenkívül egy vállalkozás általában csak IP-jének „felső” szintjét - az általa használt üzleti alkalmazásokat - érti. Más szóval, az informatikusok szakképzettek az adott területen. Nem érthető az összes „alacsonyabb szint” működése: szoftveres és hardveres védelem, tárolórendszerek, biztonsági mentés és természetesen a védelmi eszközök minden követelménynek megfelelő konfigurálása, a konfiguráció „hardveres” részének felépítése. Fontos megérteni: ez egy hatalmas tudásréteg, amely kívül esik az ügyfél vállalkozásán. Itt jöhet jól a tanúsított „virtuális szerverszobát” biztosító felhőszolgáltató tapasztalata.

A felhőszolgáltatók viszont számos olyan előnnyel rendelkeznek, amelyek túlzás nélkül az üzleti igények 99%-át képesek fedezni a személyes adatok védelme terén:

  • a tőkeköltségeket működési költségekké alakítják át;

  • a szolgáltató a maga részéről garantálja a szükséges szintű biztonság és rendelkezésre állás biztosítását bevált szabványos megoldás alapján;

  • nincs szükség olyan szakembergárdára, amely hardver szinten biztosítja az ISPD működését;

  • a szolgáltatók sokkal rugalmasabb és rugalmasabb megoldásokat kínálnak;

  • a szolgáltató szakemberei rendelkeznek minden szükséges tanúsítvánnyal;

  • a megfelelőség nem alacsonyabb, mint a saját architektúra felépítésekor, figyelembe véve a szabályozók követelményeit és ajánlásait.

Még mindig rendkívül népszerű az a régi mítosz, hogy a személyes adatokat nem lehet felhőben tárolni. Ez csak részben igaz: a PD-t valóban nem lehet közzétenni az első elérhetőben felhő. Bizonyos műszaki intézkedések betartása és bizonyos tanúsított megoldások alkalmazása szükséges. Ha a szolgáltató megfelel minden jogszabályi követelménynek, a személyes adatok kiszivárgásával kapcsolatos kockázatok minimálisra csökkennek. Sok szolgáltató külön infrastruktúrával rendelkezik a személyes adatok feldolgozására a 152-FZ szerint. A beszállító kiválasztását azonban bizonyos kritériumok ismeretében is meg kell közelíteni, ezekre az alábbiakban mindenképpen kitérünk. 

Ügyfeleink gyakran fordulnak hozzánk bizonyos aggályaikkal a személyes adatoknak a szolgáltató felhőjében való elhelyezésével kapcsolatban. Nos, azonnal beszéljük meg őket.

  • Az adatok ellophatók átvitel vagy migráció során

Ettől nem kell megijedni – a szolgáltató biztonságos, hitelesített megoldásokra épülő adatátviteli csatorna kialakítását, fokozott hitelesítési intézkedéseket kínál a megrendelőnek a kivitelezők és a munkavállalók számára. Már csak a megfelelő védelmi módszerek kiválasztása és az ügyféllel folytatott munka részeként való bevezetése van hátra.

  • Megjelenik a maszkok, és elveszik/lezárják/lekapcsolják a szerver áramellátását

Teljesen érthető az ügyfelek számára, akik attól tartanak, hogy üzleti folyamataik megszakadnak az infrastruktúra nem megfelelő ellenőrzése miatt. Általában azok a kliensek gondolnak erre, akiknek hardvere korábban kis szerverszobákban volt, nem pedig speciális adatközpontokban. A valóságban az adatközpontok modern fizikai és információvédelmi eszközökkel vannak felszerelve. Egy ilyen adatközpontban kellő indok és papírok nélkül szinte lehetetlen bármilyen műveletet végrehajtani, és az ilyen tevékenységekhez számos eljárás betartása szükséges. Ráadásul a szerverének „lehúzása” az adatközpontból a szolgáltató többi kliensére is hatással lehet, és erre senkinek nincs szüksége. Ráadásul senki nem fog tudni ujjal mutogatni kifejezetten a „te” virtuális szerveredre, így ha valaki el akarja lopni, vagy maszkshow-t szeretne rendezni, először sok bürokratikus késéssel kell megküzdenie. Ez idő alatt valószínűleg többször lesz ideje áttérni egy másik webhelyre.

  • A hackerek feltörik a felhőt és ellopják az adatokat

Az internet és a nyomtatott sajtó tele van hírekkel arról, hogy egy újabb felhő esett a kiberbűnözők áldozatává, és több millió személyes adatrekord szivárgott ki az internetre. Az esetek túlnyomó többségében egyáltalán nem a szolgáltató oldalán, hanem az áldozatok információs rendszerében találtak sebezhetőséget: gyenge vagy akár alapértelmezett jelszavakat, „lyukakat” a weboldalmotorokban és adatbázisokban, valamint banális üzleti figyelmetlenséget a biztonsági intézkedések megválasztásakor, ill. adathozzáférési eljárások megszervezése. Minden tanúsított megoldást ellenőriznek sebezhetőség szempontjából. Rendszeresen végzünk „ellenőrző” penteszteket és biztonsági auditokat is, függetlenül és külső szervezeteken keresztül. A szolgáltató számára ez a hírnév és általában az üzleti élet kérdése.

  • A szolgáltató/a szolgáltató alkalmazottai személyes haszonszerzés céljából ellopják a személyes adatokat

Ez egy meglehetősen érzékeny pillanat. Az információbiztonsági világ számos vállalata „megijeszti” ügyfeleit, és kitart amellett, hogy „a belső alkalmazottak veszélyesebbek, mint a külső hackerek”. Ez bizonyos esetekben igaz lehet, de bizalom nélkül nem lehet vállalkozást felépíteni. Időről időre felvillannak a hírek arról, hogy egy szervezet saját alkalmazottai ügyféladatokat szivárogtatnak ki a támadóknak, és a belső biztonság olykor sokkal rosszabbul van megszervezve, mint a külső biztonság. Itt fontos megérteni, hogy minden nagy szolgáltatót rendkívül érdektelen a negatív eset. A szolgáltató alkalmazottainak tevékenysége jól szabályozott, a szerepek és a felelősségi területek megosztottak. Minden üzleti folyamat úgy van felépítve, hogy az adatszivárgás esetei rendkívül valószínűtlenek, és a belső szolgálatok számára mindig észrevehetők, így az ügyfeleknek nem kell félniük az ezen oldalról érkező problémáktól.

  • Keveset fizet, mert a szolgáltatásokért az üzleti adataival fizet.

Egy másik mítosz: a biztonságos infrastruktúrát kényelmes áron bérlő ügyfél valójában az adataival fizet – ezt gondolják gyakran azok a szakértők, akik nem bánják, ha lefekvés előtt elolvasnak néhány összeesküvés-elméletet. Először is, lényegében nulla annak lehetősége, hogy az Ön adataival a megrendelésben meghatározottaktól eltérő műveleteket hajtsanak végre. Másodszor, egy megfelelő szolgáltató értékeli az Önnel való kapcsolatot és a hírnevét - rajtad kívül sokkal több ügyfele van. Valószínűbb az ellenkező forgatókönyv, amelyben a szolgáltató buzgón védi ügyfelei adatait, amelyeken az üzlete nyugszik.

Felhőszolgáltató kiválasztása az ISPD számára

Napjainkban a piac számos megoldást kínál a PD üzemeltetők számára. Az alábbiakban felsoroljuk az általános ajánlásokat a megfelelő választáshoz.

  • A szolgáltatónak készen kell állnia arra, hogy hivatalos megállapodást kössön, amelyben leírja a felek felelősségét, az SLA-kat és a felelősségi területeket a személyes adatok feldolgozásának kulcsában. Valójában Ön és a szolgáltató között a szolgáltatási szerződésen túlmenően egy PD-feldolgozási megrendelést is alá kell írni. Mindenesetre érdemes alaposan áttanulmányozni őket. Fontos megérteni a felelősségek megosztását Ön és a szolgáltató között.

  • Felhívjuk figyelmét, hogy a szegmensnek meg kell felelnie a követelményeknek, ami azt jelenti, hogy olyan tanúsítvánnyal kell rendelkeznie, amely nem alacsonyabb biztonsági szintet jelez, mint az Ön IP-címe. Előfordul, hogy a szolgáltatók a tanúsítványnak csak az első oldalát teszik közzé, amelyből kevés derül ki, vagy a tanúsítvány közzététele nélkül hivatkoznak ellenőrzésekre vagy megfelelőségi eljárásokra („volt egy fiú?”). Érdemes kérni - ez egy nyilvános dokumentum, amely jelzi, hogy ki végezte a tanúsítást, az érvényességi időt, a felhő helyét stb.

  • A szolgáltatónak tájékoztatást kell adnia arról, hogy hol találhatók webhelyei (védett objektumai), hogy Ön ellenőrizhesse adatai elhelyezését. Emlékeztetjük, hogy a személyes adatok kezdeti gyűjtését az Orosz Föderáció területén kell végrehajtani, ennek megfelelően célszerű az adatközpont címét a szerződésben/tanúsítványban látni.

  • A szolgáltatónak tanúsított információbiztonsági és információvédelmi rendszereket kell használnia. Természetesen a legtöbb szolgáltató nem hirdeti az általa használt technikai biztonsági intézkedéseket és megoldási architektúrát. De Ön, mint ügyfél, nem tudja nem tudni róla. Például egy felügyeleti rendszerhez (felügyeleti portálhoz) való távoli csatlakozáshoz biztonsági intézkedéseket kell alkalmazni. A szolgáltató nem tudja megkerülni ezt a követelményt, és tanúsított megoldásokat fog biztosítani Önnek (vagy megköveteli, hogy használja). Vegye ki az erőforrásokat egy tesztre, és azonnal megérti, hogyan és mi működik. 

  • Nagyon kívánatos, hogy a felhőszolgáltató további szolgáltatásokat nyújtson az információbiztonság területén. Ezek különböző szolgáltatások lehetnek: DDoS támadások és WAF elleni védelem, víruskereső szolgáltatás vagy homokozó stb. Mindez lehetővé teszi, hogy szolgáltatásként védelmet kapjon, hogy ne vonja el figyelmét az épületvédelmi rendszerek, hanem üzleti alkalmazásokon dolgozzon.

  • A szolgáltatónak az FSTEC és az FSB engedélyesének kell lennie. Általában az ilyen információkat közvetlenül a webhelyen teszik közzé. Feltétlenül kérje be ezeket a dokumentumokat, és ellenőrizze, hogy a szolgáltatásnyújtás címe, a szolgáltató cég neve stb. 

Foglaljuk össze. Az infrastruktúra bérbeadása lehetővé teszi, hogy elhagyja a CAPEX-et, és csak az üzleti alkalmazásait és magát az adatokat tartsa meg az Ön felelősségi körében, valamint áthárítsa a hardver, szoftver és hardver tanúsításával járó súlyos terhet a szolgáltatóra.

Hogyan adtuk át a minősítést

Legutóbb sikeresen teljesítettük a „Secure Cloud FZ-152” infrastruktúrájának újratanúsítását a személyes adatokkal való munkavégzés követelményeinek való megfelelés érdekében. A munkát az Országos Tanúsító Központ végezte.

Jelenleg az „FZ-152 Secure Cloud” tanúsítvánnyal rendelkezik a személyes adatok feldolgozásával, tárolásával vagy továbbításával (ISPDn) foglalkozó információs rendszerek tárolására az UZ-3 szint követelményeivel összhangban.

A tanúsítási eljárás során ellenőrizni kell, hogy a felhőszolgáltató infrastruktúrája megfelel-e a védelmi szintnek. A szolgáltató maga nyújtja az IaaS szolgáltatást, és nem a személyes adatok üzemeltetője. A folyamat magában foglalja a szervezeti (dokumentáció, megrendelések stb.) és a technikai intézkedések (védőfelszerelések felállítása stb.) értékelését is.

Nem nevezhető triviálisnak. Annak ellenére, hogy 2013-ban megjelent a GOST a tanúsítási tevékenységek végrehajtásának programjairól és módszereiről, a felhőobjektumokra vonatkozó szigorú programok még mindig nem léteznek. A tanúsító központok saját szakértelmük alapján dolgozzák ki ezeket a programokat. Az új technológiák megjelenésével a programok összetettebbé, modernebbé válnak, ennek megfelelően a tanúsítónak rendelkeznie kell felhőmegoldásokkal való munkavégzési tapasztalattal, és ismernie kell a sajátosságokat.

Esetünkben a védett objektum két helyszínből áll.

  • A felhőforrások (szerverek, tárolórendszerek, hálózati infrastruktúra, biztonsági eszközök stb.) közvetlenül az adatközpontban találhatók. Természetesen egy ilyen virtuális adatközpont nyilvános hálózatokhoz csatlakozik, és ennek megfelelően bizonyos tűzfalkövetelményeknek is meg kell felelni, például tanúsított tűzfalak használata.

  • Az objektum második része a felhőkezelő eszközök. Ezek olyan munkaállomások (rendszergazdai munkaállomások), amelyekről a védett szegmenst kezelik.

A helyek egy CIPF-re épített VPN-csatornán keresztül kommunikálnak.

Mivel a virtualizációs technológiák előfeltételeket teremtenek a fenyegetések megjelenéséhez, további tanúsított védelmi eszközöket is használunk.

IaaS 152-FZ: tehát biztonságra van szükségeBlokkdiagram „az értékelő szemével”

Ha az ügyfél igényli az ISPD tanúsítását, akkor az IaaS bérbeadása után csak a virtuális adatközpont szintje felett kell értékelnie az információs rendszert. Ez az eljárás magában foglalja az infrastruktúra és a rajta használt szoftver ellenőrzését. Mivel minden infrastrukturális problémával kapcsolatban hivatkozhat a szolgáltató tanúsítványára, csak a szoftverrel kell dolgoznia.

IaaS 152-FZ: tehát biztonságra van szükségeElkülönülés az absztrakció szintjén

Végezetül álljon itt egy kis ellenőrző lista azoknak a cégeknek, amelyek már dolgoznak személyes adatokkal, vagy csak tervezik. Szóval, hogyan kell kezelni anélkül, hogy megégne.

  1. A fenyegetések és behatolók modelljének auditálásához és fejlesztéséhez hívjon meg egy tapasztalt tanácsadót a tanúsító laboratóriumok közül, aki segít a szükséges dokumentumok kidolgozásában, és elvezeti Önt a műszaki megoldások szakaszába.

  2. Felhőszolgáltató kiválasztásakor ügyeljen a tanúsítvány meglétére. Jó lenne, ha a cég nyilvánosan közzétenné közvetlenül a weboldalon. A szolgáltatónak az FSTEC és az FSB engedélyesének kell lennie, és az általa kínált szolgáltatásnak tanúsítottnak kell lennie.

  3. Győződjön meg arról, hogy rendelkezik a személyes adatok feldolgozására vonatkozó hivatalos megállapodással és aláírt utasítással. Ez alapján a megfelelőségi ellenőrzést és az ISPD-tanúsítványt is el tudja végezni.Ha ez a munka a műszaki projekt szakaszában, valamint a tervezési és műszaki dokumentáció elkészítése megterhelőnek tűnik az Ön számára, vegye fel a kapcsolatot harmadik fél tanácsadó cégekkel. a tanúsító laboratóriumok közül.

Ha a személyes adatok kezelésének kérdései aktuálisak, akkor szeptember 18-án, pénteken várjuk Önt a webináriumon „A tanúsított felhők építésének jellemzői”.

Forrás: will.com

Hozzászólás