ProHoster > Blog > Stjórnsýsla > IaaS 152-FZ: svo þú þarft öryggi

IaaS 152-FZ: svo þú þarft öryggi

IaaS 152-FZ: svo þú þarft öryggi

Sama hversu mikið þú flokkar goðsagnirnar og þjóðsögurnar sem umlykja samræmi við 152-FZ, þá er alltaf eitthvað eftir á bak við tjöldin. Í dag viljum við ræða nokkur ekki alltaf augljós blæbrigði sem bæði stór fyrirtæki og mjög lítil fyrirtæki gætu lent í:

  • næmni PD flokkunar í flokka - þegar lítil netverslun safnar gögnum sem tengjast sérstökum flokki án þess að vita af því;

  • þar sem þú getur geymt afrit af innheimtu PD og framkvæmt aðgerðir á þeim;

  • hver er munurinn á vottorði og niðurstöðu um samræmi, hvaða skjöl ættir þú að biðja um frá veitandanum og svoleiðis.

Að lokum munum við deila með þér eigin reynslu okkar af því að standast vottunina. Farðu!

Sérfræðingurinn í greininni í dag verður Alexey Afanasyev, IS sérfræðingur fyrir skýjaveitur IT-GRAD og #CloudMTS (hluti af MTS hópnum).

Fínleiki flokkunar

Við mætum oft löngun viðskiptavinarins til að fljótt, án IS-endurskoðunar, ákvarða nauðsynlegt öryggisstig fyrir ISPD. Sumt efni á netinu um þetta efni gefur ranga mynd af því að þetta sé einfalt verkefni og það sé frekar erfitt að gera mistök.

Til að ákvarða KM er nauðsynlegt að skilja hvaða gögnum verður safnað og unnið af IS viðskiptavinar. Stundum getur verið erfitt að ákvarða með ótvíræðum hætti verndarkröfur og flokk persónuupplýsinga sem fyrirtæki rekur. Hægt er að meta og flokka sömu tegundir persónuupplýsinga á gjörólíkan hátt. Því getur álit fyrirtækisins í sumum tilvikum verið frábrugðið skoðun endurskoðanda eða jafnvel skoðunarmanns. Við skulum skoða nokkur dæmi.

Bílastæði. Það virðist vera nokkuð hefðbundin tegund viðskipta. Margir bílaflotar hafa starfað í áratugi og eigendur þeirra ráða einstaka frumkvöðla og einstaklinga. Að jafnaði falla starfsmannagögn undir kröfur UZ-4. Hins vegar, til að vinna með ökumönnum, er ekki aðeins nauðsynlegt að safna persónuupplýsingum, heldur einnig að framkvæma lækniseftirlit á yfirráðasvæði ökutækjaflotans áður en farið er á vakt, og upplýsingarnar sem safnað er í ferlinu falla strax í flokkinn læknisfræðileg gögn - og þetta eru persónuupplýsingar í sérflokki. Að auki getur flotinn óskað eftir skírteinum sem síðan verða geymd í ökumannsskránni. Skönnun á slíku vottorði á rafrænu formi - heilsufarsgögn, persónuupplýsingar í sérflokki. Þetta þýðir að UZ-4 er ekki lengur nóg; að minnsta kosti UZ-3 er krafist.

Net verslun. Svo virðist sem nöfn, tölvupóstar og símanúmer sem safnað var falli undir almenna flokkinn. Hins vegar, ef viðskiptavinir þínir gefa til kynna mataræði, eins og halal eða kosher, geta slíkar upplýsingar talist trúarleg tengsl eða trúarupplýsingar. Þess vegna getur eftirlitsmaður flokkað gögnin sem þú safnar sem sérstakan flokk persónuupplýsinga þegar hann skoðar eða framkvæmir aðra eftirlitsstarfsemi. Nú, ef netverslun safnaði upplýsingum um hvort kaupandi hennar kýs kjöt eða fisk, gætu gögnin verið flokkuð sem önnur persónuupplýsingar. Við the vegur, hvað með grænmetisætur? Enda má líka rekja þetta til heimspekilegra viðhorfa, sem einnig tilheyra sérflokki. En á hinn bóginn getur þetta einfaldlega verið viðhorf einstaklings sem hefur útrýmt kjöti úr mataræði sínu. Því miður, það er engin merki sem skilgreinir ótvírætt flokk PD í svona „lúmskum“ aðstæðum.

Auglýsingastofa Með því að nota einhverja vestræna skýjaþjónustu vinnur það úr opinberum gögnum viðskiptavina sinna - fullt nöfn, netföng og símanúmer. Þessar persónuupplýsingar tengjast að sjálfsögðu persónuupplýsingum. Spurningin vaknar: er löglegt að framkvæma slíka vinnslu? Er jafnvel hægt að flytja slík gögn án afpersónugerðar út fyrir Rússland, til dæmis til að geyma afrit í erlendum skýjum? Auðvitað máttu það. Stofnunin hefur rétt til að geyma þessi gögn utan Rússlands, hins vegar verður upphafssöfnunin, samkvæmt löggjöf okkar, að fara fram á yfirráðasvæði Rússlands. Ef þú tekur öryggisafrit af slíkum upplýsingum, reiknar út einhverja tölfræði út frá þeim, framkvæmir rannsóknir eða framkvæmir einhverjar aðrar aðgerðir með þær - allt þetta er hægt að gera á vestrænum auðlindum. Lykilatriðið frá lagalegu sjónarmiði er hvar persónuupplýsingum er safnað. Því er mikilvægt að rugla ekki saman frumsöfnun og vinnslu.

Eins og kemur fram í þessum stuttu dæmum er vinna með persónuupplýsingar ekki alltaf einföld og einföld. Þú þarft ekki aðeins að vita að þú ert að vinna með þeim, heldur einnig að geta flokkað þau rétt, skilið hvernig IP virkar til að ákvarða rétt öryggisstig. Í sumum tilfellum getur spurningin vaknað um hversu mikið af persónuupplýsingum stofnunin þarf í raun og veru til að reka. Er hægt að neita „alvarlegustu“ eða einfaldlega óþarfa gögnum? Að auki mælir eftirlitsaðili með því að persónuupplýsingar séu afpersónulegar þar sem hægt er. 

Eins og í dæmunum hér að ofan gætirðu stundum lent í því að skoðunaryfirvöld túlka safnaðar persónuupplýsingar aðeins öðruvísi en þú sjálfur mat þær.

Auðvitað er hægt að ráða endurskoðanda eða kerfissamþættara sem aðstoðarmann, en mun „aðstoðarmaðurinn“ bera ábyrgð á þeim ákvörðunum sem valdar eru ef til endurskoðunar kemur? Rétt er að taka fram að ábyrgðin er alltaf hjá eiganda ISPD – rekstraraðila persónuupplýsinga. Þess vegna er mikilvægt þegar fyrirtæki sinnir slíku starfi að leita til alvarlegra aðila á markaði fyrir slíka þjónustu, til dæmis fyrirtækja sem stunda vottunarstörf. Vottunarfyrirtæki hafa mikla reynslu af slíkri vinnu.

Möguleikar til að byggja upp ISPD

Smíði ISPD er ekki aðeins tæknilegt, heldur einnig að miklu leyti lagalegt atriði. CIO eða öryggisstjóri ætti alltaf að hafa samráð við lögfræðing. Þar sem fyrirtækið hefur ekki alltaf sérfræðing með það snið sem þú þarft er vert að leita til endurskoðenda-ráðgjafa. Margir hálkupunktar eru kannski alls ekki augljósir.

Samráðið mun gera þér kleift að ákvarða hvaða persónuupplýsingar þú ert að fást við og hvaða verndarstig það krefst. Í samræmi við það færðu hugmynd um IP sem þarf að búa til eða bæta við öryggis- og rekstraröryggisráðstöfunum.

Oft er valið fyrir fyrirtæki á milli tveggja valkosta:

  1. Byggðu samsvarandi IS á eigin vélbúnaðar- og hugbúnaðarlausnum, hugsanlega í þínu eigin netþjónaherbergi.

  2. Hafðu samband við skýjafyrirtæki og veldu teygjanlega lausn, nú þegar vottað „sýndarmiðlaraherbergi“.

Flest upplýsingakerfi sem vinna persónuupplýsingar nota hefðbundna nálgun, sem frá viðskiptalegu sjónarmiði er vart hægt að kalla auðveld og farsæl. Þegar þessi valkostur er valinn er nauðsynlegt að skilja að tæknihönnunin mun innihalda lýsingu á búnaðinum, þar á meðal hugbúnaðar- og vélbúnaðarlausnum og kerfum. Þetta þýðir að þú verður að takast á við eftirfarandi erfiðleika og takmarkanir:

  • erfiðleikar við stigstærð;

  • langur framkvæmdartími verkefnis: það er nauðsynlegt að velja, kaupa, setja upp, stilla og lýsa kerfinu;

  • mikið af „pappírsvinnu“, sem dæmi - þróun á heildarpakka af skjölum fyrir alla ISPD.

Að auki skilur fyrirtæki, að jafnaði, aðeins „efri“ stig IP-tölunnar - viðskiptaforritin sem það notar. Með öðrum orðum, starfsmenn upplýsingatækni eru hæfir á sínu sérstaka sviði. Það er enginn skilningur á því hvernig öll „neðri stigin“ virka: hugbúnaðar- og vélbúnaðarvörn, geymslukerfi, öryggisafrit og auðvitað hvernig á að stilla verndarverkfæri í samræmi við allar kröfur, smíða „vélbúnaðar“ hluta stillingarinnar. Það er mikilvægt að skilja: þetta er gríðarstórt lag af þekkingu sem liggur utan viðskipta viðskiptavinarins. Þetta er þar sem reynsla skýjaveitu sem býður upp á vottað „sýndarmiðlaraherbergi“ getur komið sér vel.

Aftur á móti hafa skýjaveitur ýmsa kosti sem, án ýkju, geta staðið undir 99% af viðskiptaþörfum á sviði persónuverndar:

  • fjármagnskostnaði er breytt í rekstrarkostnað;

  • veitandinn ábyrgist fyrir sitt leyti að tilskilið öryggi og aðgengi sé veitt á grundvelli sannaðrar staðallausnar;

  • það er engin þörf á að halda úti starfsfólki sérfræðinga sem mun tryggja rekstur ISPD á vélbúnaðarstigi;

  • veitendur bjóða upp á mun sveigjanlegri og teygjanlegri lausnir;

  • Sérfræðingar þjónustuveitunnar hafa öll nauðsynleg vottorð;

  • samræmi er ekki lægra en þegar þú byggir þinn eigin arkitektúr, að teknu tilliti til krafna og tilmæla eftirlitsaðila.

Gamla goðsögnin um að ekki sé hægt að geyma persónuleg gögn í skýinu er enn mjög vinsæl. Það er aðeins að hluta til satt: PD er í raun ekki hægt að birta í þeim fyrsta sem til er ský. Nauðsynlegt er að farið sé að ákveðnum tæknilegum ráðstöfunum og notkun ákveðinna vottaðra lausna. Ef veitandinn uppfyllir allar lagalegar kröfur er áhættan sem tengist leka persónuupplýsinga lágmarkuð. Margir veitendur hafa sérstakan innviði til að vinna með persónuupplýsingar í samræmi við 152-FZ. Hins vegar verður einnig að nálgast val á birgi með þekkingu á ákveðnum forsendum, við munum örugglega snerta þau hér að neðan. 

Viðskiptavinir koma oft til okkar með nokkrar áhyggjur af staðsetningu persónuupplýsinga í skýi þjónustuveitunnar. Jæja, við skulum ræða þau strax.

  • Gögnum gæti verið stolið við sendingu eða flutning

Það er engin þörf á að óttast þetta - veitandinn býður viðskiptavinum að búa til örugga gagnaflutningsrás byggða á vottuðum lausnum, auknar auðkenningaraðgerðir fyrir verktaka og starfsmenn. Allt sem er eftir er að velja viðeigandi verndaraðferðir og innleiða þær sem hluta af vinnu þinni með viðskiptavininum.

  • Sýningargrímur munu koma og taka í burtu/innsigla/slökkva á rafmagni á netþjóninn

Það er alveg skiljanlegt fyrir viðskiptavini sem óttast að viðskiptaferlar þeirra raskist vegna ófullnægjandi eftirlits með innviðum. Að jafnaði hugsa þeir viðskiptavinir sem voru með vélbúnað áður í litlum netþjónaherbergjum frekar en sérhæfðum gagnaverum um þetta. Í raun og veru eru gagnaver búin nútímalegum aðferðum til bæði líkamlegrar og upplýsingaverndar. Það er nánast ómögulegt að framkvæma neinar aðgerðir í slíkri gagnaver án nægjanlegra forsenda og pappíra og slík starfsemi krefst þess að farið sé eftir ýmsum verklagsreglum. Að auki getur það haft áhrif á aðra viðskiptavini þjónustuveitunnar að „toga“ netþjóninn þinn úr gagnaverinu og það er örugglega ekki nauðsynlegt fyrir neinn. Að auki mun enginn geta beint fingri sérstaklega að „þinn“ sýndarþjónn, þannig að ef einhver vill stela honum eða setja upp grímusýningu verður hann fyrst að takast á við miklar skrifræðislegar tafir. Á þessum tíma muntu líklega hafa tíma til að flytja á aðra síðu nokkrum sinnum.

  • Tölvuþrjótar munu hakka skýið og stela gögnum

Netið og prentblöðin eru full af fyrirsögnum um hvernig enn eitt skýið hefur orðið fórnarlamb netglæpamanna og milljónir persónulegra gagna hafa lekið á netinu. Í langflestum tilfellum fundust veikleikar alls ekki hjá þjónustuveitanda, heldur í upplýsingakerfum fórnarlambanna: veik eða jafnvel sjálfgefin lykilorð, „göt“ í vefvélum og gagnagrunnum og banvænt kæruleysi í viðskiptum við val á öryggisráðstöfunum og skipulagningu gagnaaðgangsferla. Allar vottaðar lausnir eru athugaðar með tilliti til veikleika. Við gerum einnig reglulega „stjórn“ próf og öryggisúttektir, bæði sjálfstætt og í gegnum ytri stofnanir. Fyrir veitandann er þetta spurning um orðspor og viðskipti almennt.

  • Þjónustuveitan/starfsmenn þjónustuveitunnar munu stela persónuupplýsingum í eigin þágu

Þetta er frekar viðkvæmt augnablik. Fjöldi fyrirtækja úr upplýsingaöryggisheiminum „hræðir“ viðskiptavini sína og krefst þess að „innri starfsmenn séu hættulegri en utanaðkomandi tölvuþrjótar. Þetta getur verið satt í sumum tilfellum, en fyrirtæki er ekki hægt að byggja upp án trausts. Af og til berast fréttir af því að eigin starfsmenn fyrirtækja leki gögnum viðskiptavina til árásarmanna og innra öryggi er stundum skipulagt mun verra en ytra öryggi. Það er mikilvægt að skilja hér að allir stórir þjónustuaðilar hafa mjög lítinn áhuga á neikvæðum málum. Aðgerðir starfsmanna þjónustuveitunnar eru vel skipaðar, hlutverkum og ábyrgðarsviðum er skipt. Allir viðskiptaferli eru þannig uppbyggðir að tilvik um gagnaleka eru afar ólíkleg og eru alltaf áberandi fyrir innri þjónustu, svo viðskiptavinir ættu ekki að óttast vandamál frá þessari hlið.

  • Þú borgar lítið vegna þess að þú borgar fyrir þjónustu með viðskiptagögnum þínum.

Önnur goðsögn: viðskiptavinur sem leigir örugga innviði á þægilegu verði greiðir í raun fyrir það með gögnum sínum - þetta er oft hugsað af sérfræðingum sem hafa ekkert á móti því að lesa nokkrar samsæriskenningar áður en þeir fara að sofa. Í fyrsta lagi er möguleikinn á að framkvæma allar aðgerðir með gögnin þín önnur en þau sem tilgreind eru í pöntuninni í rauninni enginn. Í öðru lagi, fullnægjandi veitandi metur sambandið við þig og orðspor hans - fyrir utan þig hefur hann miklu fleiri viðskiptavini. Hið gagnstæða atburðarás er líklegri, þar sem veitandinn mun af kostgæfni vernda gögn viðskiptavina sinna, sem viðskipti hans hvíla á.

Að velja skýjaveitu fyrir ISPD

Í dag býður markaðurinn upp á margar lausnir fyrir fyrirtæki sem eru PD rekstraraðilar. Hér að neðan er almennur listi yfir ráðleggingar til að velja réttan.

  • Veitandi þarf að vera tilbúinn til að gera formlegan samning sem lýsir ábyrgð aðila, SLA og ábyrgðarsviðum í lyklinum að vinnslu persónuupplýsinga. Reyndar, milli þín og veitandans, auk þjónustusamningsins, þarf að undirrita pöntun um PD-vinnslu. Í öllum tilvikum er þess virði að kynna sér þær vandlega. Það er mikilvægt að skilja ábyrgðarskiptingu milli þín og þjónustuveitandans.

  • Vinsamlegast athugaðu að hluti verður að uppfylla kröfurnar, sem þýðir að hann verður að hafa vottorð sem gefur til kynna öryggisstig sem er ekki lægra en það sem IP-talan þín krefst. Það kemur fyrir að veitendur birta aðeins fyrstu síðu vottorðsins, þar sem fátt er skýrt, eða vísa til úttekta eða regluverks án þess að birta vottorðið sjálft ("var strákur?"). Það er þess virði að biðja um það - þetta er opinbert skjal sem gefur til kynna hver framkvæmdi vottunina, gildistíma, skýjastaðsetningu osfrv.

  • Þjónustuveitan verður að veita upplýsingar um hvar vefsvæði hans (verndaðir hlutir) eru staðsettar svo þú getir stjórnað staðsetningu gagna þinna. Við skulum minna þig á að fyrstu söfnun persónuupplýsinga verður að fara fram á yfirráðasvæði Rússlands; í samræmi við það er ráðlegt að sjá heimilisföng gagnaversins í samningnum/skírteininu.

  • Þjónustuveitan skal nota vottað upplýsingaöryggis- og upplýsingaverndarkerfi. Auðvitað auglýsa flestir veitendur ekki þær tæknilegu öryggisráðstafanir og lausnaarkitektúr sem þeir nota. En þú, sem viðskiptavinur, getur ekki annað en vitað um það. Til að mynda fjartengingu við stjórnunarkerfi (stjórnunargátt) er nauðsynlegt að nota öryggisráðstafanir. Þjónustuveitan mun ekki geta framhjá þessari kröfu og mun útvega þér (eða krefjast þess að þú notir) vottaðar lausnir. Taktu úrræði fyrir próf og þú munt strax skilja hvernig og hvað virkar. 

  • Það er mjög æskilegt að skýjaveitan veiti viðbótarþjónustu á sviði upplýsingaöryggis. Þetta getur verið ýmis þjónusta: vörn gegn DDoS árásum og WAF, vírusvarnarþjónusta eða sandkassi o.s.frv. Allt þetta gerir þér kleift að fá vernd sem þjónustu, ekki til að láta þig trufla þig af byggingarverndarkerfum, heldur til að vinna að viðskiptaumsóknum.

  • Veitandinn verður að vera leyfishafi FSTEC og FSB. Að jafnaði eru slíkar upplýsingar settar beint á vefsíðuna. Vertu viss um að biðja um þessi skjöl og athuga hvort heimilisföng til að veita þjónustu, nafn fyrirtækis sem veitir, osfrv. 

Við skulum draga saman. Að leigja innviði gerir þér kleift að yfirgefa CAPEX og halda aðeins viðskiptaforritum þínum og gögnunum sjálfum á þínu ábyrgðarsviði og flytja þunga byrðina af vottun vél- og hugbúnaðar og vélbúnaðar til veitandans.

Hvernig við stóðumst vottunina

Nú síðast stóðst við endurvottun innviða „Secure Cloud FZ-152“ með góðum árangri til að uppfylla kröfur um að vinna með persónuupplýsingar. Verkið var unnið af Landsvottunarmiðstöðinni.

Eins og er er „FZ-152 Secure Cloud“ vottað til að hýsa upplýsingakerfi sem taka þátt í vinnslu, geymslu eða sendingu persónuupplýsinga (ISPDn) í samræmi við kröfur UZ-3 stigs.

Vottunarferlið felur í sér að athuga hvort innviðir skýjaveitunnar séu í samræmi við verndarstigið. Veitandinn sjálfur veitir IaaS þjónustuna og er ekki rekstraraðili persónuupplýsinga. Ferlið felur í sér mat á bæði skipulagslegum (skjölum, pöntunum o.s.frv.) og tæknilegum ráðstöfunum (uppsetning hlífðarbúnaðar o.s.frv.).

Það er ekki hægt að kalla það léttvægt. Þrátt fyrir þá staðreynd að GOST um forrit og aðferðir til að framkvæma vottunarstarfsemi birtist aftur árið 2013, eru ströng forrit fyrir skýhluti enn ekki til. Vottunarmiðstöðvar þróa þessi forrit út frá eigin sérfræðiþekkingu. Með tilkomu nýrrar tækni verða forrit flóknari og nútímalegri; í samræmi við það verður vottunaraðilinn að hafa reynslu af að vinna með skýjalausnir og skilja sérstöðu.

Í okkar tilviki samanstendur verndaði hluturinn af tveimur stöðum.

  • Skýjaauðlindir (miðlarar, geymslukerfi, netkerfi, öryggisverkfæri osfrv.) eru staðsett beint í gagnaverinu. Auðvitað er slík sýndargagnaver tengd almennum netum og í samræmi við það þarf að uppfylla ákveðnar kröfur um eldvegg, til dæmis notkun vottaðra eldvegga.

  • Seinni hluti hlutarins eru skýstjórnunartæki. Þetta eru vinnustöðvar (vinnustöðvar stjórnanda) þar sem vernduðum hlutanum er stjórnað.

Staðsetningar hafa samskipti í gegnum VPN rás byggða á CIPF.

Þar sem sýndarvæðingartækni skapar forsendur fyrir tilkomu ógna notum við einnig viðbótarvottuð verndarverkfæri.

IaaS 152-FZ: svo þú þarft öryggiReiturmynd „með augum matsmanns“

Ef viðskiptavinurinn krefst vottunar á ISPD hans, eftir að hafa leigt IaaS, mun hann aðeins þurfa að meta upplýsingakerfið fyrir ofan stigi sýndargagnaversins. Þessi aðferð felur í sér að athuga innviði og hugbúnað sem notaður er á honum. Þar sem þú getur vísað til vottorðs veitunnar fyrir öll innviðamál, þarftu bara að vinna með hugbúnaðinn.

IaaS 152-FZ: svo þú þarft öryggiAðskilnaður á abstraktstigi

Að lokum er hér lítill gátlisti fyrir fyrirtæki sem eru nú þegar að vinna með persónuupplýsingar eða eru bara að skipuleggja. Svo, hvernig á að höndla það án þess að brenna.

  1. Til að endurskoða og þróa líkön af ógnum og boðflenna skaltu bjóða reyndum ráðgjafa úr hópi vottunarstofanna sem mun hjálpa til við að þróa nauðsynleg skjöl og koma þér á svið tæknilegra lausna.

  2. Þegar þú velur skýjaveitu skaltu fylgjast með tilvist vottorðs. Það væri gott ef fyrirtækið birti það opinberlega beint á vefsíðuna. Veitandi þarf að vera leyfishafi FSTEC og FSB og þjónustan sem hann býður upp á að vera vottuð.

  3. Gakktu úr skugga um að þú hafir formlegt samkomulag og undirritaða leiðbeiningar um vinnslu persónuupplýsinga. Á grundvelli þess munt þú geta framkvæmt bæði fylgniathugun og ISPD vottun.Ef þessi vinna á stigi tækniverkefnis og gerð hönnunar og tæknigagna virðist þér íþyngjandi ættir þú að hafa samband við þriðja aðila ráðgjafafyrirtæki. úr hópi vottunarstofa.

Ef málefni vinnslu persónuupplýsinga skipta þig máli, þann 18. september, þennan föstudag, munum við vera ánægð að sjá þig á vefnámskeiðinu „Eiginleikar þess að byggja upp vottuð ský“.

Heimild: www.habr.com

Bæta við athugasemd