ProHoster > blog > administrasi > IaaS 152-FZ: jadi, Anda memerlukan keamanan

IaaS 152-FZ: jadi, Anda memerlukan keamanan

IaaS 152-FZ: jadi, Anda memerlukan keamanan

Tidak peduli seberapa banyak Anda memilah mitos dan legenda seputar kepatuhan terhadap 152-FZ, selalu ada sesuatu yang tertinggal di balik layar. Hari ini kami ingin membahas beberapa nuansa yang tidak selalu jelas yang mungkin dihadapi oleh perusahaan besar dan perusahaan sangat kecil:

  • seluk-beluk klasifikasi PD ke dalam kategori - ketika toko online kecil mengumpulkan data yang berkaitan dengan kategori khusus tanpa menyadarinya;

  • tempat Anda dapat menyimpan cadangan PD yang dikumpulkan dan melakukan operasi pada PD tersebut;

  • apa perbedaan antara sertifikat dan kesimpulan kepatuhan, dokumen apa yang harus Anda minta dari penyedia, dan hal-hal seperti itu.

Terakhir, kami akan berbagi dengan Anda pengalaman kami dalam lulus sertifikasi. Pergi!

Pakar dalam artikel hari ini adalah Alexey Afanasiev, Spesialis IS untuk penyedia cloud IT-GRAD dan #CloudMTS (bagian dari grup MTS).

Seluk-beluk klasifikasi

Kita sering menghadapi keinginan klien untuk dengan cepat, tanpa audit IS, menentukan tingkat keamanan yang diperlukan untuk ISPD. Beberapa materi di Internet tentang topik ini memberikan kesan yang salah bahwa ini adalah tugas yang sederhana dan cukup sulit untuk membuat kesalahan.

Untuk menentukan KM, perlu dipahami data apa saja yang akan dikumpulkan dan diproses oleh IS klien. Terkadang sulit untuk menentukan dengan jelas persyaratan perlindungan dan kategori data pribadi yang dijalankan suatu bisnis. Jenis data pribadi yang sama dapat dinilai dan diklasifikasikan dengan cara yang sangat berbeda. Oleh karena itu, dalam beberapa kasus, opini bisnis mungkin berbeda dengan opini auditor atau bahkan inspektur. Mari kita lihat beberapa contoh.

Tempat parkir mobil. Tampaknya ini merupakan jenis bisnis yang cukup tradisional. Banyak armada kendaraan telah beroperasi selama beberapa dekade, dan pemiliknya mempekerjakan pengusaha perorangan dan perorangan. Biasanya, data karyawan termasuk dalam persyaratan UZ-4. Namun, untuk bekerja dengan pengemudi, perlu tidak hanya mengumpulkan data pribadi, tetapi juga melakukan kontrol medis di wilayah armada kendaraan sebelum melakukan shift, dan informasi yang dikumpulkan dalam proses tersebut segera masuk dalam kategori data medis - dan ini adalah data pribadi dari kategori khusus. Selain itu, armada dapat meminta sertifikat, yang kemudian disimpan di arsip pengemudi. Pemindaian sertifikat tersebut dalam bentuk elektronik - data kesehatan, data pribadi dari kategori khusus. Artinya UZ-4 saja tidak cukup lagi, setidaknya diperlukan UZ-3.

Toko online. Tampaknya nama, email, dan nomor telepon yang dikumpulkan masuk dalam kategori publik. Namun, jika pelanggan Anda menunjukkan preferensi makanan, seperti halal atau halal, informasi tersebut dapat dianggap sebagai data afiliasi agama atau kepercayaan. Oleh karena itu, ketika memeriksa atau melakukan aktivitas pengendalian lainnya, pemeriksa dapat mengklasifikasikan data yang Anda kumpulkan sebagai kategori data pribadi khusus. Kini, jika sebuah toko online mengumpulkan informasi apakah pembelinya lebih menyukai daging atau ikan, data tersebut dapat diklasifikasikan sebagai data pribadi lainnya. Ngomong-ngomong, bagaimana dengan vegetarian? Bagaimanapun, ini juga dapat dikaitkan dengan keyakinan filosofis, yang juga termasuk dalam kategori khusus. Namun di sisi lain, ini mungkin sekadar sikap seseorang yang menghilangkan daging dari pola makannya. Sayangnya, tidak ada tanda yang secara jelas mendefinisikan kategori PD dalam situasi “halus” seperti itu.

Biro iklan Dengan menggunakan beberapa layanan cloud Barat, ia memproses data kliennya yang tersedia untuk umum - nama lengkap, alamat email, dan nomor telepon. Data pribadi tersebut tentunya berhubungan dengan data pribadi. Timbul pertanyaan: apakah sah melakukan pengolahan seperti itu? Apakah mungkin untuk memindahkan data tersebut tanpa depersonalisasi ke luar Federasi Rusia, misalnya, untuk menyimpan cadangan di beberapa cloud asing? Tentu saja Anda bisa. Badan berhak menyimpan data ini di luar Rusia, namun pengumpulan awal, menurut undang-undang kami, harus dilakukan di wilayah Federasi Rusia. Jika Anda mencadangkan informasi tersebut, menghitung beberapa statistik berdasarkan informasi tersebut, melakukan penelitian, atau melakukan beberapa operasi lain dengannya - semua ini dapat dilakukan dengan sumber daya Barat. Poin kunci dari sudut pandang hukum adalah tempat pengumpulan data pribadi. Oleh karena itu, penting untuk tidak mengacaukan pengumpulan dan pemrosesan awal.

Sebagai berikut dari contoh singkat ini, menangani data pribadi tidak selalu mudah dan sederhana. Anda tidak hanya perlu mengetahui bahwa Anda sedang bekerja dengannya, tetapi juga dapat mengklasifikasikannya dengan benar, memahami cara kerja IP untuk menentukan tingkat keamanan yang diperlukan dengan benar. Dalam beberapa kasus, mungkin timbul pertanyaan mengenai berapa banyak data pribadi yang sebenarnya dibutuhkan organisasi untuk beroperasi. Apakah mungkin untuk menolak data yang paling “serius” atau tidak diperlukan? Selain itu, regulator merekomendasikan untuk melakukan depersonalisasi data pribadi jika memungkinkan. 

Seperti contoh di atas, terkadang Anda mungkin menemukan fakta bahwa otoritas inspeksi menafsirkan data pribadi yang dikumpulkan sedikit berbeda dari penilaian Anda sendiri.

Tentu saja, Anda dapat mempekerjakan seorang auditor atau integrator sistem sebagai asisten, tetapi apakah “asisten” tersebut akan bertanggung jawab atas keputusan yang dipilih pada saat audit? Perlu dicatat bahwa tanggung jawab selalu berada di tangan pemilik ISPD – operator data pribadi. Oleh karena itu, ketika sebuah perusahaan melakukan pekerjaan tersebut, penting untuk beralih ke pemain serius di pasar layanan tersebut, misalnya, perusahaan yang melakukan pekerjaan sertifikasi. Perusahaan sertifikasi memiliki pengalaman luas dalam melaksanakan pekerjaan tersebut.

Pilihan untuk membangun ISPD

Pembangunan ISPD tidak hanya merupakan permasalahan teknis, namun sebagian besar juga merupakan permasalahan hukum. CIO atau direktur keamanan harus selalu berkonsultasi dengan penasihat hukum. Karena perusahaan tidak selalu memiliki spesialis dengan profil yang Anda butuhkan, ada baiknya mencari konsultan auditor. Banyak titik licin yang mungkin tidak terlihat jelas sama sekali.

Konsultasi ini akan memungkinkan Anda menentukan data pribadi apa yang Anda tangani dan tingkat perlindungan apa yang diperlukan. Oleh karena itu, Anda akan mendapatkan gambaran tentang IP yang perlu dibuat atau dilengkapi dengan langkah-langkah pengamanan dan pengamanan operasional.

Seringkali pilihan bagi suatu perusahaan berada di antara dua pilihan:

  1. Bangun IS yang sesuai pada solusi perangkat keras dan perangkat lunak Anda sendiri, mungkin di ruang server Anda sendiri.

  2. Hubungi penyedia cloud dan pilih solusi elastis, “ruang server virtual” yang sudah tersertifikasi.

Sebagian besar sistem informasi yang memproses data pribadi menggunakan pendekatan tradisional, yang dari sudut pandang bisnis, sulit disebut mudah dan berhasil. Saat memilih opsi ini, perlu dipahami bahwa desain teknis akan mencakup deskripsi peralatan, termasuk solusi dan platform perangkat lunak dan perangkat keras. Ini berarti Anda harus menghadapi kesulitan dan keterbatasan berikut:

  • kesulitan penskalaan;

  • periode implementasi proyek yang panjang: perlu untuk memilih, membeli, menginstal, mengkonfigurasi dan menjelaskan sistem;

  • banyak pekerjaan “kertas”, misalnya - pengembangan paket dokumentasi lengkap untuk seluruh ISPD.

Selain itu, sebuah bisnis, pada umumnya, hanya memahami tingkat "atas" dari IP-nya - aplikasi bisnis yang digunakannya. Dengan kata lain, staf TI terampil di bidang spesifiknya. Tidak ada pemahaman tentang cara kerja semua “tingkat bawah”: perlindungan perangkat lunak dan perangkat keras, sistem penyimpanan, pencadangan dan, tentu saja, cara mengonfigurasi alat perlindungan sesuai dengan semua persyaratan, membangun bagian “perangkat keras” dari konfigurasi. Penting untuk dipahami: ini adalah lapisan besar pengetahuan yang berada di luar bisnis klien. Di sinilah pengalaman penyedia cloud yang menyediakan “ruang server virtual” bersertifikat bisa berguna.

Pada gilirannya, penyedia cloud memiliki sejumlah keunggulan yang, tanpa berlebihan, dapat memenuhi 99% kebutuhan bisnis di bidang perlindungan data pribadi:

  • biaya modal diubah menjadi biaya operasional;

  • penyedia, pada bagiannya, menjamin penyediaan tingkat keamanan dan ketersediaan yang diperlukan berdasarkan solusi standar yang telah terbukti;

  • tidak perlu memiliki staf spesialis yang akan memastikan pengoperasian ISPD di tingkat perangkat keras;

  • penyedia menawarkan solusi yang jauh lebih fleksibel dan elastis;

  • spesialis penyedia memiliki semua sertifikat yang diperlukan;

  • kepatuhannya tidak lebih rendah dibandingkan saat membangun arsitektur Anda sendiri, dengan mempertimbangkan persyaratan dan rekomendasi regulator.

Mitos lama bahwa data pribadi tidak dapat disimpan di cloud masih sangat populer. Hal ini hanya sebagian benar: PD benar-benar tidak dapat diposting di yang pertama tersedia awan. Kepatuhan terhadap langkah-langkah teknis tertentu dan penggunaan solusi bersertifikat tertentu diperlukan. Jika penyedia mematuhi semua persyaratan hukum, risiko yang terkait dengan kebocoran data pribadi dapat diminimalkan. Banyak penyedia memiliki infrastruktur terpisah untuk memproses data pribadi sesuai dengan 152-FZ. Namun, pemilihan pemasok juga harus didekati dengan pengetahuan tentang kriteria tertentu, kami pasti akan membahasnya di bawah ini. 

Klien sering kali datang kepada kami dengan kekhawatiran tentang penempatan data pribadi di cloud penyedia. Baiklah, mari kita bahas segera.

  • Data mungkin dicuri selama transmisi atau migrasi

Tidak perlu takut akan hal ini - penyedia menawarkan kepada klien pembuatan saluran transmisi data aman yang dibangun berdasarkan solusi bersertifikat, peningkatan langkah otentikasi untuk kontraktor dan karyawan. Yang tersisa hanyalah memilih metode perlindungan yang tepat dan menerapkannya sebagai bagian dari pekerjaan Anda dengan klien.

  • Pertunjukan topeng akan datang dan mengambil/menyegel/memutus aliran listrik ke server

Hal ini cukup dimaklumi bagi pelanggan yang khawatir proses bisnisnya akan terganggu karena kurangnya kontrol terhadap infrastruktur. Biasanya, klien yang perangkat kerasnya sebelumnya berlokasi di ruang server kecil, dan bukan di pusat data khusus, memikirkan hal ini. Pada kenyataannya, pusat data dilengkapi dengan sarana perlindungan fisik dan informasi modern. Hampir tidak mungkin untuk melakukan operasi apa pun di pusat data seperti itu tanpa alasan dan dokumen yang memadai, dan aktivitas tersebut memerlukan kepatuhan terhadap sejumlah prosedur. Selain itu, "menarik" server Anda dari pusat data dapat memengaruhi klien penyedia lainnya, dan ini jelas tidak diperlukan bagi siapa pun. Selain itu, tidak ada seorang pun yang bisa menuding server virtual “Anda”, jadi jika seseorang ingin mencurinya atau mengadakan pertunjukan topeng, pertama-tama mereka harus menghadapi banyak penundaan birokrasi. Selama waktu ini, kemungkinan besar Anda akan memiliki waktu untuk bermigrasi ke situs lain beberapa kali.

  • Peretas akan meretas cloud dan mencuri data

Internet dan media cetak penuh dengan berita utama tentang bagaimana cloud kembali menjadi korban penjahat dunia maya, dan jutaan catatan data pribadi telah bocor secara online. Dalam sebagian besar kasus, kerentanan tidak ditemukan di pihak penyedia sama sekali, tetapi di sistem informasi korban: kata sandi yang lemah atau bahkan default, “lubang” di mesin situs web dan database, dan kecerobohan bisnis yang dangkal ketika memilih langkah-langkah keamanan dan mengatur prosedur akses data. Semua solusi bersertifikat diperiksa kerentanannya. Kami juga secara rutin melakukan pengujian “kontrol” dan audit keamanan, baik secara independen maupun melalui organisasi eksternal. Bagi penyedia, ini adalah masalah reputasi dan bisnis secara umum.

  • Penyedia/pegawai penyedia akan mencuri data pribadi untuk kepentingan pribadi

Ini adalah momen yang agak sensitif. Sejumlah perusahaan di dunia keamanan informasi “menakut-nakuti” klien mereka dan bersikeras bahwa “karyawan internal lebih berbahaya daripada peretas luar.” Hal ini mungkin benar dalam beberapa kasus, namun bisnis tidak dapat dibangun tanpa kepercayaan. Dari waktu ke waktu, muncul berita bahwa karyawan suatu organisasi membocorkan data pelanggan kepada penyerang, dan keamanan internal terkadang diatur jauh lebih buruk daripada keamanan eksternal. Penting untuk dipahami di sini bahwa penyedia besar mana pun sangat tidak tertarik dengan kasus-kasus negatif. Tindakan karyawan penyedia diatur dengan baik, peran dan tanggung jawab terbagi. Semua proses bisnis disusun sedemikian rupa sehingga kasus kebocoran data sangat kecil kemungkinannya dan selalu terlihat oleh layanan internal, sehingga klien tidak perlu takut dengan masalah dari sisi ini.

  • Anda membayar sedikit karena Anda membayar layanan dengan data bisnis Anda.

Mitos lain: klien yang menyewa infrastruktur aman dengan harga nyaman sebenarnya membayarnya dengan datanya - hal ini sering dipikirkan oleh para ahli yang tidak keberatan membaca beberapa teori konspirasi sebelum tidur. Pertama, kemungkinan melakukan operasi apa pun dengan data Anda selain yang ditentukan dalam urutan pada dasarnya adalah nol. Kedua, penyedia yang memadai menghargai hubungan dengan Anda dan reputasinya - selain Anda, ia memiliki lebih banyak klien. Skenario sebaliknya lebih mungkin terjadi, di mana penyedia akan dengan bersemangat melindungi data kliennya, yang menjadi sandaran bisnisnya.

Memilih penyedia cloud untuk ISPD

Saat ini, pasar menawarkan banyak solusi bagi perusahaan yang merupakan operator PD. Di bawah ini adalah daftar umum rekomendasi untuk memilih yang tepat.

  • Penyedia harus siap untuk membuat perjanjian formal yang menjelaskan tanggung jawab para pihak, SLA, dan bidang tanggung jawab dalam kunci pemrosesan data pribadi. Padahal, antara Anda dan penyedia, selain perjanjian layanan, harus ditandatangani perintah pemrosesan PD. Bagaimanapun, ada baiknya mempelajarinya dengan cermat. Penting untuk memahami pembagian tanggung jawab antara Anda dan penyedia layanan.

  • Harap dicatat bahwa segmen tersebut harus memenuhi persyaratan, yang berarti harus memiliki sertifikat yang menunjukkan tingkat keamanan tidak lebih rendah dari yang disyaratkan oleh IP Anda. Hal ini terjadi karena penyedia hanya menerbitkan halaman pertama sertifikat, yang tidak begitu jelas, atau mengacu pada audit atau prosedur kepatuhan tanpa menerbitkan sertifikat itu sendiri (“apakah ada anak laki-laki?”). Layak untuk ditanyakan - ini adalah dokumen publik yang menunjukkan siapa yang melakukan sertifikasi, masa berlaku, lokasi cloud, dll.

  • Penyedia harus memberikan informasi tentang lokasi situsnya (objek yang dilindungi) sehingga Anda dapat mengontrol penempatan data Anda. Izinkan kami mengingatkan Anda bahwa pengumpulan awal data pribadi harus dilakukan di wilayah Federasi Rusia; oleh karena itu, disarankan untuk melihat alamat pusat data dalam kontrak/sertifikat.

  • Penyedia harus menggunakan sistem keamanan informasi dan perlindungan informasi bersertifikat. Tentu saja, sebagian besar penyedia tidak mengiklankan langkah-langkah keamanan teknis dan arsitektur solusi yang mereka gunakan. Tapi Anda, sebagai klien, pasti mengetahuinya. Misalnya, untuk terhubung dari jarak jauh ke sistem manajemen (portal manajemen), perlu menggunakan langkah-langkah keamanan. Penyedia tidak akan dapat mengabaikan persyaratan ini dan akan memberi Anda (atau mengharuskan Anda menggunakan) solusi bersertifikat. Ambil sumber daya untuk mengujinya dan Anda akan segera memahami cara dan apa yang berhasil. 

  • Penyedia cloud sangat diharapkan untuk menyediakan layanan tambahan di bidang keamanan informasi. Ini bisa berupa berbagai layanan: perlindungan terhadap serangan DDoS dan WAF, layanan anti-virus atau sandbox, dll. Semua ini akan memungkinkan Anda menerima perlindungan sebagai layanan, tidak terganggu oleh membangun sistem perlindungan, tetapi untuk mengerjakan aplikasi bisnis.

  • Penyedia harus merupakan pemegang lisensi FSTEC dan FSB. Biasanya, informasi tersebut diposting langsung di situs web. Pastikan untuk meminta dokumen-dokumen ini dan periksa apakah alamat penyediaan layanan, nama perusahaan penyedia, dll. 

Mari kita rangkum. Menyewa infrastruktur akan memungkinkan Anda untuk meninggalkan CAPEX dan hanya menyimpan aplikasi bisnis dan data itu sendiri di wilayah tanggung jawab Anda, dan mengalihkan beban berat sertifikasi perangkat keras, perangkat lunak, dan perangkat keras ke penyedia.

Bagaimana kami lulus sertifikasi

Baru-baru ini, kami berhasil lulus sertifikasi ulang infrastruktur “Secure Cloud FZ-152” untuk memenuhi persyaratan untuk bekerja dengan data pribadi. Pekerjaan itu dilakukan oleh Pusat Sertifikasi Nasional.

Saat ini, “FZ-152 Secure Cloud” disertifikasi untuk menampung sistem informasi yang terlibat dalam pemrosesan, penyimpanan, atau transmisi data pribadi (ISPDn) sesuai dengan persyaratan level UZ-3.

Prosedur sertifikasi melibatkan pemeriksaan kepatuhan infrastruktur penyedia cloud dengan tingkat perlindungan. Penyedia sendiri menyediakan layanan IaaS dan bukan merupakan operator data pribadi. Prosesnya melibatkan penilaian terhadap tindakan organisasi (dokumentasi, perintah, dll.) dan teknis (penyiapan peralatan pelindung, dll.).

Hal ini tidak bisa disebut sepele. Terlepas dari kenyataan bahwa GOST tentang program dan metode untuk melakukan kegiatan sertifikasi muncul kembali pada tahun 2013, masih belum ada program ketat untuk objek cloud. Pusat sertifikasi mengembangkan program ini berdasarkan keahlian mereka sendiri. Dengan munculnya teknologi baru, program menjadi lebih kompleks dan modern; oleh karena itu, pemberi sertifikasi harus memiliki pengalaman bekerja dengan solusi cloud dan memahami secara spesifik.

Dalam kasus kami, objek yang dilindungi terdiri dari dua lokasi.

  • Sumber daya cloud (server, sistem penyimpanan, infrastruktur jaringan, alat keamanan, dll.) terletak langsung di pusat data. Tentu saja, pusat data virtual tersebut terhubung ke jaringan publik, dan oleh karena itu, persyaratan firewall tertentu harus dipenuhi, misalnya penggunaan firewall bersertifikat.

  • Bagian kedua dari objek ini adalah alat manajemen cloud. Ini adalah stasiun kerja (stasiun kerja administrator) tempat segmen yang dilindungi dikelola.

Lokasi berkomunikasi melalui saluran VPN yang dibangun di CIPF.

Karena teknologi virtualisasi menciptakan prasyarat munculnya ancaman, kami juga menggunakan alat perlindungan tambahan yang bersertifikat.

IaaS 152-FZ: jadi, Anda memerlukan keamananDiagram blok “melalui sudut pandang penilai”

Jika klien memerlukan sertifikasi ISPD-nya, setelah menyewa IaaS, ia hanya perlu mengevaluasi sistem informasi di atas tingkat pusat data virtual. Prosedur ini melibatkan pemeriksaan infrastruktur dan perangkat lunak yang digunakan di dalamnya. Karena Anda dapat merujuk pada sertifikat penyedia untuk semua masalah infrastruktur, yang harus Anda lakukan hanyalah bekerja dengan perangkat lunak tersebut.

IaaS 152-FZ: jadi, Anda memerlukan keamananPemisahan pada tingkat abstraksi

Kesimpulannya, berikut adalah daftar periksa kecil untuk perusahaan yang sudah bekerja dengan data pribadi atau baru berencana. Lantas, bagaimana cara mengatasinya agar tidak gosong.

  1. Untuk mengaudit dan mengembangkan model ancaman dan penyusup, undanglah konsultan berpengalaman dari laboratorium sertifikasi yang akan membantu mengembangkan dokumen yang diperlukan dan membawa Anda ke tahap solusi teknis.

  2. Saat memilih penyedia cloud, perhatikan keberadaan sertifikat. Alangkah baiknya jika perusahaan mempublikasikannya langsung di website. Penyedia harus merupakan pemegang lisensi FSTEC dan FSB, dan layanan yang ditawarkannya harus bersertifikat.

  3. Pastikan Anda memiliki perjanjian formal dan instruksi yang ditandatangani untuk memproses data pribadi. Berdasarkan hal ini, Anda akan dapat melakukan pemeriksaan kepatuhan dan sertifikasi ISPD. Jika pekerjaan ini pada tahap proyek teknis dan pembuatan desain serta dokumentasi teknis tampaknya membebani Anda, Anda harus menghubungi perusahaan konsultan pihak ketiga. dari antara laboratorium sertifikasi.

Jika masalah pemrosesan data pribadi relevan bagi Anda, pada tanggal 18 September, Jumat ini, kami akan dengan senang hati bertemu Anda di webinar “Fitur membangun cloud bersertifikat”.

Sumber: www.habr.com

Tambah komentar