ProHoster > blog > amministrazione > IaaS 152-FZ: quindi serve sicurezza

IaaS 152-FZ: quindi serve sicurezza

IaaS 152-FZ: quindi serve sicurezza

Non importa quanto si chiariscano i miti e le leggende che circondano la conformità con 152-FZ, qualcosa rimane sempre dietro le quinte. Oggi vogliamo parlare di alcune sfumature non sempre evidenti che possono incontrare sia le grandi aziende che le piccolissime imprese:

  • sottigliezze della classificazione della PD in categorie - quando un piccolo negozio online raccoglie dati relativi a una categoria speciale senza nemmeno saperlo;

  • dove è possibile archiviare i backup dei PD raccolti ed eseguire operazioni su di essi;

  • qual è la differenza tra un certificato e una conclusione di conformità, quali documenti dovresti richiedere al fornitore e cose del genere.

Infine, condivideremo con voi la nostra esperienza nel superare la certificazione. Andare!

L'esperto nell'articolo di oggi sarà Alexey Afanasiev, specialista IS per i provider cloud IT-GRAD e #CloudMTS (parte del gruppo MTS).

Sottigliezze di classificazione

Spesso incontriamo il desiderio di un cliente di determinare rapidamente, senza un audit IS, il livello di sicurezza richiesto per un ISPD. Alcuni materiali su Internet su questo argomento danno la falsa impressione che si tratti di un compito semplice ed è abbastanza difficile commettere un errore.

Per determinare il KM, è necessario comprendere quali dati verranno raccolti ed elaborati dall’IS del cliente. A volte può essere difficile determinare in modo inequivocabile i requisiti di protezione e la categoria di dati personali gestiti da un'azienda. Gli stessi tipi di dati personali possono essere valutati e classificati in modi completamente diversi. Pertanto, in alcuni casi, l'opinione dell'azienda può differire dall'opinione del revisore o addirittura dell'ispettore. Diamo un'occhiata ad alcuni esempi.

Parcheggio. Sembrerebbe un tipo di attività abbastanza tradizionale. Molte flotte di veicoli operano da decenni e i loro proprietari assumono singoli imprenditori e individui. Di norma, i dati dei dipendenti rientrano nei requisiti di UZ-4. Tuttavia, per lavorare con i conducenti, è necessario non solo raccogliere dati personali, ma anche effettuare un controllo medico sul territorio della flotta di veicoli prima di partire per un turno, e le informazioni raccolte nel processo rientrano immediatamente nella categoria dei dati medici - e questi sono dati personali di una categoria speciale. Inoltre, la flotta può richiedere certificati, che verranno poi conservati nella cartella del conducente. Una scansione di tale certificato in formato elettronico: dati sanitari, dati personali di una categoria speciale. Ciò significa che l’UZ-4 non è più sufficiente; occorre almeno l’UZ-3.

Negozio online Sembrerebbe che i nomi, le email e i numeri di telefono raccolti rientrino nella categoria pubblica. Tuttavia, se i tuoi clienti indicano preferenze alimentari, come halal o kosher, tali informazioni potrebbero essere considerate dati di affiliazione religiosa o convinzioni personali. Pertanto, durante il controllo o lo svolgimento di altre attività di controllo, l'ispettore può classificare i dati raccolti come una categoria speciale di dati personali. Ora, se un negozio online raccogliesse informazioni sulla preferenza del suo acquirente per la carne o il pesce, i dati potrebbero essere classificati come altri dati personali. A proposito, che dire dei vegetariani? Dopotutto, questo può essere attribuito anche a credenze filosofiche, che appartengono anche a una categoria speciale. Ma d'altra parte, questo potrebbe essere semplicemente l'atteggiamento di una persona che ha eliminato la carne dalla sua dieta. Purtroppo, non esiste alcun segno che definisca in modo inequivocabile la categoria del PD in situazioni così “sottili”.

Agenzia pubblicitaria Utilizzando alcuni servizi cloud occidentali, elabora i dati disponibili al pubblico dei suoi clienti: nomi completi, indirizzi e-mail e numeri di telefono. Questi dati personali, ovviamente, si riferiscono a dati personali. La domanda sorge spontanea: è legale effettuare tale trattamento? È possibile spostare tali dati senza spersonalizzazione al di fuori della Federazione Russa, ad esempio, per archiviare i backup in alcuni cloud stranieri? Certo che puoi. L'Agenzia ha il diritto di archiviare questi dati al di fuori della Russia, tuttavia, la raccolta iniziale, secondo la nostra legislazione, deve essere effettuata sul territorio della Federazione Russa. Se si esegue il backup di tali informazioni, si calcolano alcune statistiche basate su di esse, si conducono ricerche o si eseguono altre operazioni con esse, tutto ciò può essere fatto su risorse occidentali. Il punto chiave da un punto di vista legale è dove vengono raccolti i dati personali. È quindi importante non confondere la raccolta iniziale e il trattamento.

Come risulta da questi brevi esempi, lavorare con i dati personali non è sempre immediato e semplice. Devi non solo sapere che stai lavorando con loro, ma anche essere in grado di classificarli correttamente, capire come funziona l'IP per determinare correttamente il livello di sicurezza richiesto. In alcuni casi, può sorgere la domanda su quanti dati personali l’organizzazione abbia effettivamente bisogno per operare. È possibile rifiutare i dati più “gravi” o semplicemente non necessari? Inoltre, il regolatore raccomanda di depersonalizzare i dati personali ove possibile. 

Come negli esempi precedenti, a volte potresti riscontrare il fatto che le autorità di controllo interpretano i dati personali raccolti in modo leggermente diverso da come li hai valutati tu stesso.

Naturalmente è possibile assumere come assistente un auditor o un system integrator, ma l’“assistente” sarà responsabile delle decisioni scelte in caso di audit? Vale la pena notare che la responsabilità spetta sempre al titolare dell’ISPD – il gestore dei dati personali. Ecco perché, quando un'azienda svolge tale lavoro, è importante rivolgersi ad attori seri nel mercato di tali servizi, ad esempio le aziende che svolgono lavori di certificazione. Le società di certificazione hanno una vasta esperienza nello svolgimento di tale lavoro.

Opzioni per costruire un ISPD

La costruzione di un ISPD non è solo una questione tecnica, ma soprattutto giuridica. Il CIO o il direttore della sicurezza devono sempre consultare un consulente legale. Poiché non sempre l'azienda dispone di uno specialista con il profilo desiderato, vale la pena rivolgersi a consulenti-revisori. Molti punti sfuggenti potrebbero non essere affatto evidenti.

La consultazione ti consentirà di determinare quali dati personali stai trattando e quale livello di protezione richiede. Di conseguenza, avrai un'idea dell'IP che deve essere creato o integrato con misure di sicurezza e sicurezza operativa.

Spesso la scelta per un’azienda è tra due opzioni:

  1. Costruisci l'IS corrispondente sulle tue soluzioni hardware e software, possibilmente nella tua sala server.

  2. Contatta un cloud provider e scegli una soluzione elastica, una “sala server virtuale” già certificata.

La maggior parte dei sistemi informativi che elaborano i dati personali utilizzano un approccio tradizionale che, da un punto di vista aziendale, difficilmente può essere definito facile e di successo. Quando si sceglie questa opzione, è necessario comprendere che il progetto tecnico includerà una descrizione dell'apparecchiatura, comprese soluzioni e piattaforme software e hardware. Ciò significa che dovrai affrontare le seguenti difficoltà e limitazioni:

  • difficoltà di ridimensionamento;

  • lungo periodo di implementazione del progetto: è necessario selezionare, acquistare, installare, configurare e descrivere il sistema;

  • molto lavoro “cartaceo”, ad esempio: lo sviluppo di un pacchetto completo di documentazione per l'intero ISPD.

Inoltre, un'azienda, di norma, comprende solo il livello "superiore" del suo IP: le applicazioni aziendali che utilizza. In altre parole, il personale IT è specializzato nella propria area specifica. Non si capisce come funzionano tutti i "livelli inferiori": protezione software e hardware, sistemi di archiviazione, backup e, ovviamente, come configurare gli strumenti di protezione in conformità con tutti i requisiti, costruire la parte "hardware" della configurazione. È importante capire: si tratta di un enorme livello di conoscenza che si trova al di fuori dell'attività del cliente. È qui che può tornare utile l’esperienza di un fornitore cloud che fornisce una “sala server virtuale” certificata.

A loro volta, i fornitori di servizi cloud presentano una serie di vantaggi che, senza esagerare, possono coprire il 99% delle esigenze aziendali nel campo della protezione dei dati personali:

  • i costi di capitale vengono convertiti in costi operativi;

  • il fornitore, da parte sua, garantisce la fornitura del livello richiesto di sicurezza e disponibilità sulla base di una soluzione standard comprovata;

  • non è necessario mantenere uno staff di specialisti che garantirà il funzionamento dell'ISPD a livello hardware;

  • i fornitori offrono soluzioni molto più flessibili ed elastiche;

  • gli specialisti del fornitore dispongono di tutti i certificati necessari;

  • la conformità non è inferiore a quella di quando si costruisce la propria architettura, tenendo conto dei requisiti e delle raccomandazioni degli enti di regolamentazione.

Il vecchio mito secondo cui i dati personali non possono essere archiviati nel cloud è ancora estremamente popolare. È vero solo in parte: il PD non può davvero essere pubblicato nel primo disponibile nuvola. È richiesto il rispetto di alcune misure tecniche e l’utilizzo di alcune soluzioni certificate. Se il fornitore rispetta tutti i requisiti legali, i rischi associati alla fuga di dati personali sono ridotti al minimo. Molti fornitori dispongono di un'infrastruttura separata per il trattamento dei dati personali ai sensi della 152-FZ. La scelta del fornitore va però affrontata anche conoscendo alcuni criteri, di cui sicuramente parleremo di seguito. 

I clienti spesso si rivolgono a noi con alcune preoccupazioni circa il posizionamento dei dati personali nel cloud del fornitore. Bene, parliamone subito.

  • I dati potrebbero essere rubati durante la trasmissione o la migrazione

Non c'è bisogno di aver paura di questo: il fornitore offre al cliente la creazione di un canale di trasmissione dati sicuro basato su soluzioni certificate, misure di autenticazione avanzate per appaltatori e dipendenti. Non resta che scegliere i metodi di protezione adeguati e implementarli nell'ambito del lavoro con il cliente.

  • Verranno delle maschere che toglieranno/sigilleranno/interromperanno l'alimentazione al server

È abbastanza comprensibile che i clienti temano che i loro processi aziendali vengano interrotti a causa di un controllo insufficiente sull'infrastruttura. Di norma, ci pensano quei clienti il ​​cui hardware in precedenza si trovava in piccole sale server piuttosto che in data center specializzati. In realtà, i data center sono dotati di moderni mezzi di protezione sia fisica che informatica. È quasi impossibile eseguire qualsiasi operazione in un data center di questo tipo senza motivi e documenti sufficienti e tali attività richiedono il rispetto di una serie di procedure. Inoltre, "estrarre" il tuo server dal data center può influire su altri client del provider e questo sicuramente non è necessario per nessuno. Inoltre, nessuno potrà puntare il dito specificamente contro il “vostro” server virtuale, quindi se qualcuno vuole rubarlo o mettere in scena uno spettacolo in maschera, dovrà prima fare i conti con non pochi ritardi burocratici. Durante questo periodo, molto probabilmente avrai il tempo di migrare più volte su un altro sito.

  • Gli hacker hackereranno il cloud e ruberanno dati

Internet e la stampa sono pieni di titoli su come un altro cloud sia caduto vittima dei criminali informatici e su come milioni di record di dati personali siano trapelati online. Nella stragrande maggioranza dei casi, le vulnerabilità non sono state riscontrate dal lato del provider, ma nei sistemi informativi delle vittime: password deboli o addirittura predefinite, "buchi" nei motori dei siti web e nei database e banale disattenzione aziendale nella scelta delle misure di sicurezza e organizzazione delle procedure di accesso ai dati. Tutte le soluzioni certificate vengono controllate per individuare eventuali vulnerabilità. Inoltre, conduciamo regolarmente pentest di “controllo” e audit di sicurezza, sia in modo indipendente che tramite organizzazioni esterne. Per il fornitore si tratta di una questione di reputazione e di affari in generale.

  • Il fornitore/i dipendenti del fornitore ruberanno i dati personali per guadagno personale

Questo è un momento piuttosto delicato. Numerose aziende del mondo della sicurezza informatica “spaventano” i propri clienti e insistono sul fatto che “i dipendenti interni sono più pericolosi degli hacker esterni”. Ciò può essere vero in alcuni casi, ma non è possibile costruire un’impresa senza fiducia. Di tanto in tanto, giungono notizie secondo cui i dipendenti di un'organizzazione trapelano i dati dei clienti agli aggressori e la sicurezza interna a volte è organizzata molto peggio della sicurezza esterna. È importante capire qui che qualsiasi grande fornitore è estremamente disinteressato ai casi negativi. Le azioni dei dipendenti del fornitore sono ben regolamentate, i ruoli e le aree di responsabilità sono divisi. Tutti i processi aziendali sono strutturati in modo tale che i casi di perdita di dati siano estremamente improbabili e siano sempre visibili ai servizi interni, quindi i clienti non dovrebbero temere problemi da questo lato.

  • Paghi poco perché i servizi li paghi con i tuoi dati aziendali.

Un altro mito: un cliente che affitta un'infrastruttura sicura a un prezzo conveniente in realtà la paga con i suoi dati - questo lo pensano spesso gli esperti che non si preoccupano di leggere un paio di teorie del complotto prima di andare a letto. Innanzitutto, la possibilità di effettuare con i tuoi dati operazioni diverse da quelle specificate nell'ordine è sostanzialmente nulla. In secondo luogo, un fornitore adeguato apprezza il rapporto con te e la sua reputazione: oltre a te, ha molti più clienti. È più probabile lo scenario opposto, in cui il fornitore proteggerà con zelo i dati dei suoi clienti, su cui si basa la sua attività.

Scelta di un fornitore di servizi cloud per ISPD

Oggi il mercato offre numerose soluzioni per le aziende operatrici del PD. Di seguito è riportato un elenco generale di consigli per scegliere quello giusto.

  • Il fornitore deve essere pronto a stipulare un accordo formale che descriva le responsabilità delle parti, gli SLA e le aree di responsabilità in merito al trattamento dei dati personali. Tra te e il fornitore, infatti, oltre al contratto di servizio, deve essere firmato un ordine per l'elaborazione del PD. In ogni caso, vale la pena studiarli attentamente. È importante comprendere la divisione delle responsabilità tra te e il fornitore.

  • Tieni presente che il segmento deve soddisfare i requisiti, il che significa che deve avere un certificato che indichi un livello di sicurezza non inferiore a quello richiesto dal tuo IP. Succede che i fornitori pubblichino solo la prima pagina del certificato, da cui si capisce poco, oppure facciano riferimento a audit o procedure di conformità senza pubblicare il certificato stesso (“c'era un ragazzo?”). Vale la pena richiederlo: si tratta di un documento pubblico che indica chi ha effettuato la certificazione, il periodo di validità, l'ubicazione nel cloud, ecc.

  • Il fornitore deve fornire informazioni su dove si trovano i suoi siti (oggetti protetti) in modo che tu possa controllare la posizione dei tuoi dati. Ricordiamo che la prima raccolta dei dati personali deve essere effettuata sul territorio della Federazione Russa, pertanto è consigliabile vedere nel contratto/certificato gli indirizzi dei data center.

  • Il fornitore deve utilizzare sistemi certificati di sicurezza e protezione delle informazioni. Naturalmente la maggior parte dei fornitori non pubblicizza le misure tecniche di sicurezza e l’architettura della soluzione utilizzata. Ma tu, come cliente, non puoi fare a meno di saperlo. Ad esempio, per connettersi da remoto ad un sistema gestionale (portale gestionale), è necessario utilizzare misure di sicurezza. Il fornitore non sarà in grado di aggirare questo requisito e ti fornirà (o ti richiederà di utilizzare) soluzioni certificate. Prendi le risorse per un test e capirai subito come e cosa funziona. 

  • È altamente auspicabile che il fornitore di servizi cloud fornisca servizi aggiuntivi nel campo della sicurezza delle informazioni. Possono essere vari servizi: protezione contro attacchi DDoS e WAF, servizio antivirus o sandbox, ecc. Tutto ciò ti consentirà di ricevere protezione come servizio, di non distrarti costruendo sistemi di protezione, ma di lavorare su applicazioni aziendali.

  • Il fornitore deve essere licenziatario di FSTEC e FSB. Di norma, tali informazioni vengono pubblicate direttamente sul sito web. Assicurati di richiedere questi documenti e controlla se gli indirizzi per la fornitura di servizi, il nome della società fornitrice, ecc. sono corretti. 

Riassumiamo. Il noleggio dell'infrastruttura ti consentirà di abbandonare il CAPEX e di conservare solo le tue applicazioni aziendali e i dati stessi nella tua area di responsabilità, trasferendo al fornitore il pesante onere della certificazione dell'hardware, del software e dell'hardware.

Come abbiamo superato la certificazione

Più recentemente, abbiamo superato con successo la ricertificazione dell'infrastruttura del “Secure Cloud FZ-152” per la conformità ai requisiti per lavorare con i dati personali. Il lavoro è stato svolto dal Centro Nazionale di Certificazione.

Attualmente il "FZ-152 Secure Cloud" è certificato per l'hosting di sistemi informativi coinvolti nel trattamento, archiviazione o trasmissione di dati personali (ISPDn) in conformità con i requisiti del livello UZ-3.

La procedura di certificazione prevede la verifica della conformità dell'infrastruttura del cloud provider al livello di protezione. Il fornitore stesso fornisce il servizio IaaS e non è un operatore di dati personali. Il processo prevede la valutazione delle misure sia organizzative (documentazione, ordini, ecc.) che tecniche (installazione di dispositivi di protezione, ecc.).

Non si può definire banale. Nonostante il fatto che GOST su programmi e metodi per condurre attività di certificazione sia apparso nel 2013, non esistono ancora programmi rigorosi per gli oggetti cloud. I centri di certificazione sviluppano questi programmi in base alle proprie competenze. Con l'avvento delle nuove tecnologie, i programmi diventano più complessi e modernizzati; di conseguenza, il certificatore deve avere esperienza di lavoro con soluzioni cloud e comprenderne le specifiche.

Nel nostro caso, l'oggetto protetto è costituito da due posizioni.

  • Le risorse cloud (server, sistemi di storage, infrastrutture di rete, strumenti di sicurezza, ecc.) si trovano direttamente nel data center. Naturalmente, un data center virtuale di questo tipo è connesso a reti pubbliche e, di conseguenza, devono essere soddisfatti determinati requisiti firewall, ad esempio l'uso di firewall certificati.

  • La seconda parte dell'oggetto sono gli strumenti di gestione del cloud. Si tratta delle postazioni di lavoro (postazioni di lavoro dell'amministratore) da cui viene gestito il segmento protetto.

Le sedi comunicano tramite un canale VPN basato su CIPF.

Poiché le tecnologie di virtualizzazione creano i presupposti per l’insorgere di minacce, utilizziamo anche ulteriori strumenti di protezione certificati.

IaaS 152-FZ: quindi serve sicurezzaSchema a blocchi “attraverso gli occhi del valutatore”

Se il cliente richiede la certificazione del proprio ISPD, dopo aver noleggiato IaaS, dovrà solo valutare il sistema informativo al di sopra del livello del data center virtuale. Questa procedura prevede la verifica dell'infrastruttura e del software utilizzato su di essa. Poiché per tutte le questioni relative all’infrastruttura potete fare riferimento al certificato del fornitore, tutto ciò che dovete fare è lavorare con il software.

IaaS 152-FZ: quindi serve sicurezzaSeparazione a livello di astrazione

In conclusione, ecco una piccola lista di controllo per le aziende che stanno già lavorando con i dati personali o stanno solo pianificando. Quindi, come gestirlo senza scottarsi.

  1. Per verificare e sviluppare modelli di minacce e intrusi, invita un consulente esperto tra i laboratori di certificazione che ti aiuterà a sviluppare i documenti necessari e ti porterà alla fase delle soluzioni tecniche.

  2. Quando si sceglie un fornitore cloud, prestare attenzione alla presenza di un certificato. Sarebbe positivo se l’azienda lo pubblicasse pubblicamente direttamente sul sito web. Il fornitore deve essere licenziatario di FSTEC e FSB e il servizio che offre deve essere certificato.

  3. Assicurati di avere un accordo formale e un'istruzione firmata per il trattamento dei dati personali. In base a ciò potrai effettuare sia la verifica di conformità che la certificazione ISPD.Se questo lavoro in fase di progetto tecnico e di realizzazione della progettazione e della documentazione tecnica ti sembra oneroso, ti conviene rivolgerti a società di consulenza terze tra i laboratori di certificazione.

Se le questioni relative al trattamento dei dati personali ti interessano, il 18 settembre, questo venerdì, saremo lieti di vederti al webinar “Caratteristiche della creazione di cloud certificati”.

Fonte: habr.com

Aggiungi un commento