IaaS 152-FZ: したがって、セキュリティが必要です

152-FZ への準拠をめぐる神話や伝説をどれだけ整理しても、舞台裏には常に何かが残っています。 今日は、大企業と非常に小規模な企業の両方が遭遇する可能性がある、必ずしも明白ではないニュアンスについて説明したいと思います。

• カテゴリへの PD 分類の微妙さ - 小規模オンライン ストアが、特別なカテゴリに関連するデータを、それについてさえ知らずに収集する場合。

• 収集された PD のバックアップを保存し、それらに対して操作を実行できます。

• 証明書と準拠の結論の違いは何ですか、プロバイダーにどのような文書を要求する必要があるかなどです。

最後に、認定に合格した私たち自身の経験を共有します。 行く！

今日の記事の専門家は次のとおりです。 アレクセイ・アファナシエフ, クラウドプロバイダーIT-GRADおよび#CloudMTS（MTSグループの一部）のISスペシャリスト。

分類の微妙さ

IS 監査を行わずに、ISPD に必要なセキュリティ レベルを迅速に決定したいというクライアントの要望によく遭遇します。 このトピックに関するインターネット上の一部の資料は、これが単純な作業であり、間違いを犯すのは非常に難しいという誤った印象を与えています。

KM を決定するには、クライアントの IS によってどのようなデータが収集および処理されるかを理解する必要があります。 場合によっては、企業が運用する個人データの保護要件とカテゴリを明確に決定することが難しい場合があります。 同じ種類の個人データでも、まったく異なる方法で評価および分類できます。 したがって、場合によっては、企業の意見と監査人、さらには検査官の意見が異なる場合もあります。 いくつかの例を見てみましょう。

駐車場。 それはかなり伝統的なタイプのビジネスのように思えます。 多くの車両群は数十年にわたって運行されており、その所有者は個人の起業家や個人を雇用しています。 原則として、従業員データは UZ-4 の要件に該当します。 ただし、ドライバーと協力するには、個人データを収集するだけでなく、シフトに入る前に車両の領域で医療管理を実行する必要があり、そのプロセスで収集された情報はすぐに次のカテゴリに分類されます。医療データ - これは特別なカテゴリーの個人データです。 さらに、フリートは証明書を要求する場合があり、証明書はドライバーのファイルに保存されます。 電子形式でのそのような証明書のスキャン - 健康データ、特別なカテゴリの個人データ。 これは、UZ-4 ではもはや十分ではなく、少なくとも UZ-3 が必要であることを意味します。

オンラインストア 収集された名前、メールアドレス、電話番号は公開のカテゴリーに該当すると思われます。 ただし、顧客がハラールやコーシャなどの食事の好みを示した場合、その情報は宗教への所属や信仰データとみなされる可能性があります。 したがって、検査またはその他の管理活動を実行する場合、検査官はお客様が収集したデータを個人データの特別なカテゴリとして分類する場合があります。 さて、オンライン ストアが購入者が肉と魚のどちらを好むかに関する情報を収集した場合、そのデータは他の個人データとして分類される可能性があります。 ところで、ベジタリアンの方はどうでしょうか？ 結局のところ、これはまた、特別なカテゴリーに属する哲学的信念に起因する可能性があります。 しかし一方で、これは単に食事から肉を排除した人の態度かもしれません。 残念ながら、そのような「微妙な」状況におけるPDのカテゴリーを明確に定義する兆候はありません。

広告代理店 欧米のクラウド サービスを使用して、顧客の氏名、電子メール アドレス、電話番号など、公開されているデータを処理します。 もちろん、これらの個人データは個人データに関連します。 このような処理を実行することは合法なのでしょうか?という疑問が生じます。 たとえばバックアップを外国のクラウドに保存するために、そのようなデータを非個人化せずにロシア連邦外に移動することは可能でしょうか? もちろんできます。 当庁はこのデータをロシア国外に保管する権利を有しますが、法律に従って最初の収集はロシア連邦の領土内で実行されなければなりません。 このような情報をバックアップし、それに基づいて統計を計算し、調査を実施したり、その他の操作を実行したりする場合、これらすべてを西側のリソースで行うことができます。 法的な観点から重要な点は、個人データがどこに収集されるかです。 したがって、最初の収集と処理を混同しないことが重要です。

これらの短い例から分かるように、個人データの取り扱いは必ずしも単純で単純であるとは限りません。 必要なセキュリティ レベルを正しく決定するには、IP アドレスを使用していることを認識するだけでなく、IP アドレスを正しく分類し、IP がどのように機能するかを理解する必要があります。 場合によっては、組織が実際に運用する必要がある個人データの量について疑問が生じることがあります。 最も「重大な」データ、または単に不要なデータを拒否することは可能ですか? さらに、規制当局は、可能な限り個人データを非個人化することを推奨しています。 

上記の例のように、収集された個人データを検査当局があなた自身の評価とは若干異なる解釈をしているという事実に遭遇する場合があります。

もちろん、監査人やシステムインテグレーターをアシスタントとして雇うこともできますが、「アシスタント」は監査の際に選択された決定に対して責任を負うのでしょうか? 責任は常に ISPD の所有者、つまり個人データの運営者にあることは注目に値します。 そのため、企業がそのような作業を行う場合は、そのようなサービスの市場における本格的なプレーヤー、たとえば認証作業を行う企業に頼ることが重要です。 認証企業は、そのような作業の実施において豊富な経験を持っています。

ISPD を構築するためのオプション

ISPD の構築は技術的な問題だけでなく、主に法的な問題でもあります。 CIO またはセキュリティ責任者は常に法律顧問に相談する必要があります。 会社には、あなたが必要とするプロフィールを備えた専門家が常にいるとは限らないため、監査コンサルタントに注目する価値があります。 多くの滑りやすい点はまったく明らかではないかもしれません。

相談により、どのような個人データを扱っているか、またどのような保護レベルが必要かを判断することができます。 したがって、セキュリティおよび運用上のセキュリティ対策を作成または追加する必要がある IP のアイデアが得られます。

多くの場合、企業は次の XNUMX つの選択肢から選択します。

1. 対応する IS を独自のハードウェアおよびソフトウェア ソリューション (場合によっては独自のサーバー ルーム) 上に構築します。

2. クラウド プロバイダーに問い合わせて、弾力性のあるソリューション、つまり認定済みの「仮想サーバー ルーム」を選択してください。

個人データを処理する情報システムのほとんどは従来のアプローチを使用していますが、ビジネスの観点からは、これは簡単で成功しているとは言いがたいです。 このオプションを選択する場合、技術設計にはソフトウェアおよびハードウェアのソリューションやプラットフォームを含む機器の説明が含まれることを理解する必要があります。 これは、次のような困難と制限に直面する必要があることを意味します。

• スケーリングの難しさ。

• プロジェクトの実装期間が長い: システムの選択、購入、インストール、構成、説明が必要です。

• 例としては、ISPD 全体のための文書の完全なパッケージの開発など、多くの「紙」作業が挙げられます。

さらに、企業は原則として、自社の IP の「最上位」レベル、つまり自社が使用するビジネス アプリケーションのみを理解します。 言い換えれば、IT スタッフは特定の分野に精通しているということです。 ソフトウェアとハ​​ードウェアの保護、ストレージ システム、バックアップ、そしてもちろん、すべての要件に準拠して保護ツールを構成する方法、構成の「ハードウェア」部分を構築する方法など、すべての「下位レベル」がどのように機能するかについては理解されていません。 理解しておくことが重要です。これは、クライアントのビジネスの外側にある膨大な知識の層です。 ここで、認定された「仮想サーバー ルーム」を提供するクラウド プロバイダーの経験が役に立ちます。

さらに、クラウド プロバイダーには、誇張することなく、個人データ保護の分野におけるビジネス ニーズの 99% をカバーできる多くの利点があります。

• 資本コストは運営コストに変換されます。

• プロバイダー側​​は、実証済みの標準ソリューションに基づいて、必要なレベルのセキュリティと可用性の提供を保証します。

• ハードウェア レベルで ISPD の動作を保証する専門スタッフを維持する必要はありません。

• プロバイダーは、より柔軟で弾力性のあるソリューションを提供します。

• プロバイダーの専門家は必要な証明書をすべて持っています。

• コンプライアンスは、規制当局の要件と推奨事項を考慮して独自のアーキテクチャを構築する場合と同じくらい重要です。

個人データをクラウドに保存できないという古い通説は、今でも非常に広く普及しています。 それは部分的にしか真実ではありません: PD は実際には投稿できません 最初に利用可能なもので 雲。 特定の技術的対策への準拠と特定の認定ソリューションの使用が必要です。 プロバイダーがすべての法的要件を遵守していれば、個人データの漏洩に関連するリスクは最小限に抑えられます。 多くのプロバイダーは、152-FZ に従って個人データを処理するための別のインフラストラクチャを備えています。 ただし、サプライヤーの選択には、特定の基準を知った上で行う必要があります。それらの基準については、以下で必ず触れます。 

クライアントは、プロバイダーのクラウドへの個人データの配置について懸念を持って私たちに相談されることがよくあります。 では、早速議論していきましょう。

• 送信中または移行中にデータが盗まれる可能性がある

これを恐れる必要はありません。プロバイダーは、認定ソリューションに基づいて構築された安全なデータ送信チャネルの作成、請負業者と従業員向けの強化された認証手段をクライアントに提供します。 残っているのは、適切な保護方法を選択し、クライアントとの作業の一環としてそれらを実装することだけです。

• ショーマスクがやって来て、サーバーの電源を奪う/封印する/遮断する

インフラストラクチャの制御が不十分なためにビジネス プロセスが中断されるのではないかと懸念する顧客の気持ちは十分に理解できます。 原則として、これまでハードウェアが専門のデータ センターではなく小さなサーバー ルームに置かれていたクライアントは、これについて考えます。 実際には、データセンターには、物理​​的保護と情報保護の両方の最新の手段が装備されています。 十分な根拠と書類がなければ、このようなデータセンターで何らかの運用を実行することはほとんど不可能であり、そのような活動には多くの手順を遵守する必要があります。 さらに、サーバーをデータセンターから「プル」すると、プロバイダーの他のクライアントに影響を与える可能性がありますが、これは誰にとっても絶対に必要ではありません。 さらに、誰も「あなたの」仮想サーバーを具体的に指差すことはできないため、誰かが仮想サーバーを盗んだり、仮面ショーを上演したりしようとすると、まず官僚的な多大な遅延に対処する必要があります。 この間、別のサイトに数回移行する時間がおそらくあります。

• ハッカーはクラウドをハッキングしてデータを盗みます

インターネットと印刷機は、さらに別のクラウドがサイバー犯罪の犠牲となり、何百万もの個人データ記録がオンラインに流出したという見出しでいっぱいです。 ほとんどの場合、脆弱性はプロバイダー側​​ではなく、被害者の情報システムで発見されました。パスワードが脆弱であったり、デフォルトのパスワードであったり、Web サイトのエンジンやデータベースの「穴」、セキュリティ対策やセキュリティ対策の選択における企業のありきたりな不注意などが原因でした。データアクセス手順を整理する。 すべての認定ソリューションには脆弱性がチェックされます。 また、当社は、独立して、または外部組織を通じて、「制御」侵入テストとセキュリティ監査を定期的に実施しています。 プロバイダーにとって、これは評判とビジネス全般の問題です。

• プロバイダーまたはプロバイダーの従業員が個人的な利益のために個人データを盗むこと

これはかなりセンシティブな瞬間です。 情報セキュリティ業界の多くの企業は、クライアントを「怖がらせ」、「社内の従業員は社外のハッカーよりも危険である」と主張しています。 確かにそうかもしれませんが、信頼がなければビジネスは成り立ちません。 組織の従業員が顧客データを攻撃者に漏洩するというニュースが時折流れますが、内部セキュリティは外部セキュリティよりもはるかに劣悪に組織されていることがあります。 ここで、大手プロバイダーはネガティブなケースにはまったく無関心であることを理解することが重要です。 プロバイダーの従業員の行動は十分に規制されており、役割と責任範囲が分割されています。 すべてのビジネス プロセスは、データ漏洩の可能性が非常に低く、常に内部サービスに気付かれるような方法で構造化されているため、クライアントはこの側からの問題を恐れる必要はありません。

• ビジネス データを使用してサービスの料金を支払うため、支払いはほとんどかかりません。

もう XNUMX つの迷信: 安全なインフラストラクチャを手頃な価格でレンタルしている顧客は、実際には自分のデータでその料金を支払っているということです。これは、寝る前にいくつかの陰謀論を読むことを厭わない専門家によってよく考えられます。 まず、注文時に指定されたもの以外のデータを使用して操作が実行される可能性は基本的にゼロです。 第二に、適切なプロバイダーはあなたとの関係と彼の評判を大切にしています。あなた以外にも、彼にはさらに多くのクライアントがいます。 逆のシナリオの可能性が高く、プロバイダーはビジネスの基盤であるクライアントのデータを熱心に保護します。

ISPD のクラウドプロバイダーの選択

現在、市場は PD オペレーターである企業向けに多くのソリューションを提供しています。 以下は、適切なものを選択するための一般的な推奨事項のリストです。

• プロバイダーは、個人データの処理の鍵となる当事者、SLA、および責任範囲の責任を説明する正式な契約を締結する準備ができている必要があります。 実際、お客様とプロバイダーの間では、サービス契約に加えて、PD 処理の注文に署名する必要があります。 いずれにせよ、それらを注意深く研究する価値があります。 あなたとプロバイダーの間の責任分担を理解することが重要です。

• セグメントは要件を満たしている必要があることに注意してください。つまり、IP で要求されるセキュリティ レベル以上のセキュリティ レベルを示す証明書が必要です。 プロバイダーが証明書の最初のページだけを公開し、そこからはほとんど明らかでないことや、証明書自体を公開せずに監査やコンプライアンス手順に言及することもあります (「少年はいたの?」)。 問い合わせる価値はあります。これは、誰が認定を実施したか、有効期間、クラウドの場所などを示す公的文書です。

• プロバイダーは、ユーザーがデータの配置を制御できるように、そのサイト (保護されたオブジェクト) がどこにあるかに関する情報を提供する必要があります。 個人データの最初の収集はロシア連邦領域内で実行する必要があるため、契約/証明書でデータ センターのアドレスを確認することをお勧めします。

• プロバイダーは、認定された情報セキュリティおよび情報保護システムを使用する必要があります。 もちろん、ほとんどのプロバイダーは、使用している技術的なセキュリティ対策やソリューション アーキテクチャを宣伝していません。 しかし、クライアントであるあなたはそれを知らざるを得ません。 例えば、管理システム（管理ポータル）にリモート接続するには、セキュリティ対策が必要です。 プロバイダーはこの要件を回避することはできず、認定されたソリューションを提供します (または使用を要求します)。 リソースをテストしてみると、何がどのように機能するかがすぐにわかります。 

• クラウドプロバイダーが情報セキュリティの分野で追加のサービスを提供することが非常に望ましいです。 これらには、DDoS 攻撃や WAF からの保護、ウイルス対策サービスやサンドボックスなど、さまざまなサービスが含まれます。 これらすべてにより、保護システムの構築に気を取られることなく、サービスとしての保護を受け取ることができ、ビジネス アプリケーションに取り組むことができます。

• プロバイダーは FSTEC および FSB のライセンシーである必要があります。 原則として、そのような情報はウェブサイトに直接掲載されます。 必ずこれらの書類を請求し、サービスを提供する住所、提供会社名等が正しいかご確認ください。 

要約しましょう。 インフラストラクチャをレンタルすることで、設備投資を放棄し、自分の責任範囲内のビジネス アプリケーションとデータ自体のみを保持し、ハードウェアとソフトウェア、およびハードウェアの認証という重い負担をプロバイダーに移すことができます。

認定に合格した経緯

つい最近、当社は個人データの取り扱い要件への準拠に関する「セキュア クラウド FZ-152」インフラストラクチャの再認定に合格しました。 この作業は国家認証センターによって実施されました。

現在、「FZ-152 セキュア クラウド」は、レベル UZ-3 の要件に従って、個人データ (ISPDn) の処理、保管、送信に関与する情報システムのホスティングとして認定されています。

認証手順には、クラウド プロバイダーのインフラストラクチャが保護レベルに準拠しているかどうかを確認することが含まれます。 プロバイダー自体は IaaS サービスを提供しており、個人データの運用者ではありません。 このプロセスには、組織的対策 (文書、命令など) と技術的対策 (保護具の設定など) の両方の評価が含まれます。

それは些細なこととは言えません。 認証活動を実施するためのプログラムと方法に関する GOST が 2013 年に登場したという事実にもかかわらず、クラウド オブジェクトに対する厳密なプログラムはまだ存在していません。 認定センターは、独自の専門知識に基づいてこれらのプログラムを開発します。 新しいテクノロジーの出現に伴い、プログラムはより複雑かつ最新化されているため、認証者はクラウド ソリューションを使用した経験があり、詳細を理解している必要があります。

この例では、保護オブジェクトは XNUMX つの場所で構成されています。

• クラウド リソース (サーバー、ストレージ システム、ネットワーク インフラストラクチャ、セキュリティ ツールなど) はデータ センターに直接配置されます。 もちろん、このような仮想データセンターはパブリック ネットワークに接続されているため、認定されたファイアウォールの使用など、特定のファイアウォール要件を満たす必要があります。

• オブジェクトの XNUMX 番目の部分はクラウド管理ツールです。 これらは、保護されたセグメントが管理されるワークステーション (管理者のワークステーション) です。

ロケーションは、CIPF 上に構築された VPN チャネルを通じて通信します。

仮想化テクノロジーは脅威の出現に対する前提条件を作り出すため、追加の認定された保護ツールも使用します。

「評価者の目から見た」ブロック図

クライアントが ISPD の認証を必要とする場合、IaaS をレンタルした後、仮想データセンターのレベルより上の情報システムを評価するだけで済みます。 この手順には、インフラストラクチャとそこで使用されているソフトウェアの確認が含まれます。 すべてのインフラストラクチャの問題についてプロバイダーの証明書を参照できるため、ソフトウェアを操作するだけで済みます。

抽象レベルでの分離

結論として、すでに個人データの取り扱いを行っている企業、またはこれから計画している企業向けの小さなチェックリストを以下に示します。 では、火傷をしないようにするにはどうすればよいでしょうか。

1. 脅威と侵入者のモデルを監査および開発するには、認証機関の中から経験豊富なコンサルタントを招待し、必要な文書の作成を支援し、技術的ソリューションの段階に導きます。

2. クラウドプロバイダーを選択するときは、証明書の存在に注意してください。 企業が直接ウェブサイトに公表すれば良いのに。 プロバイダーは FSTEC および FSB のライセンシーである必要があり、提供するサービスは認定されている必要があります。

3. 個人データの処理に関する正式な契約と署名済みの指示があることを確認してください。 これに基づいて、コンプライアンスチェックと ISPD 認証の両方を実行することができますが、技術プロジェクトの段階での作業や設計および技術文書の作成が煩雑であると思われる場合は、サードパーティのコンサルティング会社に問い合わせることをお勧めします。認証機関の中から。

個人データ処理の問題にご興味がございましたら、今週金曜日の 18 月 XNUMX 日に開催されるウェビナーでお会いできることを嬉しく思います。 「認定クラウド構築の特徴」.

出所： habr.com