Ora ketompo carane kita nganalisa mitos lan legenda sing ngubengi selaras karo 152-FZ, ana sing tetep ana ing mburi. Dina iki, kita pengin ngrembug babagan nuansa sing ora jelas sing bisa ditemoni dening perusahaan gedhe lan perusahaan cilik:
kerumitan nggolongake data pribadhi dadi kategori - nalika toko online cilik ngumpulake data sing ana gandhengane karo kategori khusus tanpa ngerti babagan iki;
ing ngendi sampeyan bisa nyimpen serep data pribadi sing diklumpukake lan nindakake operasi kasebut;
apa bedane sertifikat lan pratelan kesesuaian, dokumen apa sing dijaluk saka panyedhiya, lan kabeh perkara kasebut.
Pungkasan, kita bakal nuduhake pengalaman kita dhewe babagan lulus sertifikasi. Ayo budal!
Pakar ing artikel dina iki bakal dadi Alexey Afanasyev, spesialis ing masalah keamanan informasi panyedhiya maya IT-GRAD lan #CloudМТS (bagéan saka grup MTS).
Subtleties saka klasifikasi
Kita kerep nemoni kepinginan klien supaya cepet nemtokake tingkat keamanan sing dibutuhake kanggo ISPD tanpa audit IS. Sawetara materi ing Internet babagan topik iki nggawe kesan palsu yen iki minangka tugas sing prasaja lan cukup angel kanggo nggawe kesalahan.
Kanggo nemtokake PD, perlu ngerti data apa sing bakal diklumpukake lan diproses dening IS klien. Kadhangkala angel nemtokake kanthi jelas syarat perlindungan lan kategori PD sing ditindakake bisnis. Jinis data pribadhi sing padha bisa ditaksir lan diklasifikasikake kanthi cara sing beda. Mulane, ing sawetara kasus, panemu bisnis bisa beda karo pendapat auditor utawa malah inspektur. Ayo goleki sawetara conto.
Armada kendaraan. Kayane iki minangka jinis bisnis sing cukup tradisional. Akeh armada wis beroperasi nganti pirang-pirang dekade, lan pemilike nyewa pengusaha lan individu. Minangka aturan, data karyawan ana ing syarat UZ-4. Nanging, kanggo nggarap pembalap, perlu ora mung kanggo ngumpulake data kuesioner, nanging uga kanggo nganakake kontrol medis ing wilayah armada sadurunge pindhah menyang shift, lan informasi sing diklumpukake ing proses kasebut langsung dadi kategori data medis - lan iki minangka data pribadhi saka kategori khusus. Kajaba iku, armada bisa njaluk sertifikat sing banjur bakal disimpen ing file driver. Pindai sertifikat kasebut ing wangun elektronik - data babagan kahanan kesehatan, data pribadhi saka kategori khusus. Iki tegese UZ-4 ora cukup maneh, paling ora UZ-3 dibutuhake.
Toko online. Kayane jeneng, email lan nomer telpon sing diklumpukake cocog karo kategori sing bisa diakses umum. Nanging, yen pelanggan nuduhake preferensi gastronomi, kayata halal utawa kosher, informasi kasebut bisa uga dianggep minangka data babagan afiliasi agama lan kapercayan. Mula, nalika mriksa utawa nindakake langkah-langkah kontrol liyane, inspektur bisa nggolongake data sing diklumpukake minangka kategori data pribadhi khusus. Yen toko online ngumpulake informasi apa pelanggan luwih seneng daging utawa iwak, data kasebut bisa diklasifikasikake minangka kategori data pribadhi liyane. Miturut cara, apa sing kudu kita lakoni karo vegetarian? Sawise kabeh, iki uga bisa diklasifikasikake minangka kapercayan filosofis, sing uga kalebu kategori khusus. Nanging, ing tangan liyane, iki bisa uga mung dadi posisi wong sing ora kalebu daging saka diet. Alas, ora ana tabel sing nemtokake kanthi jelas kategori data pribadhi ing kahanan "subtle".
Agensi pariwara kanthi bantuan sawetara layanan maya Kulon ngolah data sing kasedhiya kanggo umum saka klien - jeneng lengkap, alamat email lan nomer telpon. Data pribadhi iki, mesthi ana hubungane karo PDn. Pitakonan muncul: apa legal kanggo nindakake proses kasebut? Apa bisa mindhah data kasebut tanpa depersonalisasi ing njaba Federasi Rusia, umpamane, kanggo nyimpen serep ing sawetara awan manca? Mesthi, iku bisa. Agensi kasebut nduweni hak kanggo nyimpen data kasebut ing njaba Rusia, nanging koleksi awal, miturut undang-undang kita, kudu ditindakake ing wilayah Federasi Rusia. Yen sampeyan nggawe serep informasi kasebut, ngetung sawetara statistik adhedhasar, nganakake riset utawa nindakake operasi liyane - kabeh iki bisa ditindakake kanthi sumber daya Kulon. Titik kunci saka sudut pandang undang-undang yaiku ing ngendi PDn dikumpulake. Mulane, penting ora mbingungake koleksi lan pangolahan awal.
Kaya ing ngisor iki saka conto cekak iki, nggarap PDn ora mesthi gampang lan gampang. Sampeyan ora mung kudu ngerti yen sampeyan nggarap dheweke, nanging uga bisa nggolongake kanthi bener, ngerti cara kerjane IS supaya bisa nemtokake tingkat perlindungan sing dibutuhake. Ing sawetara kasus, bisa uga ana pitakonan babagan volume PDn sing bener-bener dibutuhake kanggo organisasi bisa digunakake. Apa bisa nolak data sing paling "serius" utawa mung ora perlu? Kajaba iku, regulator nyaranake depersonalisasi PDn yen bisa.
Kaya ing conto ing ndhuwur, kadhangkala sampeyan bisa nemoni kahanan ing ngendi badan inspeksi menehi interpretasi PDn sing diklumpukake rada beda tinimbang sing sampeyan nimbang dhewe.
Mesthi, sampeyan bisa nyewa auditor utawa integrator sistem minangka asisten, nanging bakal "asisten" tanggung jawab kanggo pancasan ing acara audit? Wigati dicathet yen tanggung jawab tansah ana ing pemilik ISPDN - operator data pribadi. Pramila, nalika perusahaan nindakake pakaryan kasebut, penting kanggo hubungi pemain serius ing pasar layanan kasebut, contone, perusahaan sing nindakake karya sertifikasi. Perusahaan sertifikasi duwe pengalaman ekstensif kanggo nindakake pakaryan kasebut.
Pilihan kanggo mbangun ISPD
Mbangun ISPDN ora mung masalah teknis, nanging uga legal ing pirang-pirang cara. Direktur IT utawa direktur keamanan mesthine kudu takon karo pengacara. Wiwit perusahaan ora tansah duwe spesialis karo profil sing perlu, iku worth looking ing auditor lan konsultan. Akeh wektu sing lunyu bisa uga ora katon.
Konsultasi bakal ngidini sampeyan nemtokake data pribadhi apa sing sampeyan lakoni lan tingkat perlindungan sing dibutuhake. Dadi, sampeyan bakal entuk ide babagan IS sing kudu digawe utawa ditambah karo alat keamanan lan kegiatan operasional.
Asring perusahaan duwe rong pilihan kanggo milih:
Gawe sistem informasi sing cocog ing solusi piranti lunak lan hardware sampeyan dhewe, bisa uga ing ruangan server sampeyan dhewe.
Hubungi panyedhiya maya lan pilih solusi elastis, kayata "server virtual" sing wis disertifikasi.
Paling IS sing proses PDn nggunakake pendekatan tradisional, kang, saka sudut pandang bisnis, meh ora bisa disebut gampang lan sukses. Nalika milih pilihan iki, sampeyan kudu ngerti manawa proyek teknis bakal kalebu katrangan babagan peralatan, kalebu solusi lan platform piranti lunak lan hardware. Iki tegese sampeyan kudu ngadhepi kesulitan lan watesan ing ngisor iki:
kangelan scaling;
wektu implementasine project dawa: iku perlu kanggo milih, tuku, nginstal, ngatur lan njlèntrèhaké sistem;
akeh karya "kertas", contone, pangembangan paket lengkap dokumentasi kanggo kabeh sistem informasi data pribadi.
Kajaba iku, bisnis, minangka aturan, mung ngerti tingkat "ndhuwur" saka IS - aplikasi bisnis sing digunakake. Ing tembung liyane, personel IT nduweni kualifikasi ing lapangan sing sempit. Ora ana pangerten babagan cara kerja kabeh "tingkat ngisor": piranti lunak lan piranti proteksi hardware, sistem panyimpenan, serep, lan, mesthi, carane ngatur alat proteksi sing tundhuk karo kabeh syarat, mbangun bagean "hardware" saka konfigurasi. Penting kanggo mangerteni: iki minangka lapisan kawruh sing akeh banget sing ana ing njaba bisnis klien. Iki minangka pengalaman panyedhiya maya sing nyedhiyakake "server virtual" sing disertifikasi bisa migunani.
Sabanjure, panyedhiya maya duwe sawetara kaluwihan sing, tanpa exaggeration, bisa nutupi 99% kabutuhan bisnis ing area proteksi data pribadi:
belanja modal diowahi dadi belanja operasional;
panyedhiya, kanggo bagean kasebut, njamin nyedhiyakake tingkat keamanan lan kasedhiyan sing dibutuhake adhedhasar solusi standar sing wis kabukten;
ora perlu njaga staf spesialis sing bakal njamin operasi sistem informasi data pribadi ing tingkat hardware;
panyedhiya nawakake solusi sing luwih fleksibel lan elastis;
spesialis panyedhiya duwe kabeh sertifikat sing dibutuhake;
selaras ora luwih murah tinimbang nalika mbangun arsitektur dhewe, njupuk menyang akun syarat lan Rekomendasi saka regulator.
Mitos lawas yen data pribadhi ora bisa diselehake ing méga isih populer banget. Iku mung sebagéyan bener: data pribadhi tenan ora bisa diselehake sing pisanan aku ketemu awan. Sampeyan kudu netepi langkah-langkah teknis tartamtu, nggunakake solusi sing disertifikasi tartamtu. Yen panyedhiya nyukupi kabeh syarat legal, risiko sing ana gandhengane karo bocor PDn bakal diminimalisir. Akeh panyedhiya duwe infrastruktur kapisah kanggo ngolah PDn sesuai karo 152-FZ. Nanging, pilihan panyedhiya uga kudu dicedhaki kanthi kawruh babagan kritéria tartamtu, sing mesthi bakal kita demek ing ngisor iki.
Klien asring teka menyang kita kanthi prihatin babagan nempatake PDn ing awan panyedhiya. Lha, ayo langsung dirembug.
Data bisa dicolong sajrone transmisi utawa migrasi
Ora perlu kuwatir babagan iki - panyedhiya nawakake klien nggawe saluran transfer data sing aman sing dibangun ing solusi sing disertifikasi, langkah-langkah otentikasi sing ditingkatake kanggo mitra lan karyawan. Sing isih ana yaiku milih cara proteksi sing cocog lan ngetrapake minangka bagean saka nggarap klien.
Acara masked bakal teka lan njupuk adoh / segel / de-energize server
Bisa dingerteni manawa para pelanggan wedi yen proses bisnis bakal kaganggu amarga kontrol infrastruktur sing ora cukup. Biasane, iki minangka pamikiran para pelanggan sing hardware sadurunge ana ing kamar server cilik, lan dudu pusat data khusus. Ing kasunyatan, pusat data dilengkapi sarana modern kanggo keamanan fisik lan informasi. Sembarang operasi ing pusat data kasebut meh ora bisa ditindakake tanpa alasan lan dokumen sing cukup, lan kegiatan kasebut mbutuhake selaras karo sawetara prosedur. Kajaba iku, "narik" server sampeyan saka pusat data bisa mengaruhi klien panyedhiya liyane, lan ora ana sing butuh. Kajaba iku, ora ana sing bisa nudingi server virtual "sampeyan", dadi yen ana sing pengin nyolong utawa nggawe topeng, mula kudu ngadhepi akeh birokrasi. Sajrone wektu iki, sampeyan bakal duwe wektu kanggo pindhah menyang situs liyane kaping pirang-pirang.
Peretas bakal mlebu awan lan nyolong data
Internet lan media cetak kebak berita utama babagan carane awan liyane wis dadi korban cybercriminals, lan mayuta-yuta cathetan kanthi data pribadhi wis bocor online. Ing mayoritas kasus, kerentanan ora ditemokake ing sisih panyedhiya, nanging ing IS korban: sandhi sing lemah utawa standar, "bolongan" ing mesin lan database situs web, kecerobohan bisnis nalika milih alat proteksi lan ngatur prosedur akses data. Kabeh solusi sing disertifikasi dicenthang kanggo kerentanan. Kita uga rutin nindakake "kontrol" pentest lan audit keamanan kanthi mandiri lan liwat organisasi eksternal. Kanggo panyedhiya, iki minangka masalah reputasi lan bisnis sacara sakabehe.
Karyawan panyedhiya / panyedhiya bakal nyolong data pribadhi kanggo tujuan egois
Iki minangka masalah sing cukup sensitif. Sawetara perusahaan ing jagad keamanan informasi "ajrih" klien lan negesake manawa "karyawan internal luwih mbebayani tinimbang peretas saka njaba." Mbok menawa, ing sawetara kasus, iki bener, nanging bisnis ora bisa dibangun tanpa kapercayan. Saka wektu kanggo wektu, warta kelip-kelip manawa karyawan organisasi dhewe bocor data klien kanggo intruders, lan keamanan internal kadhangkala diatur luwih elek tinimbang njaba. Penting kanggo ngerti manawa panyedhiya gedhe ora kasengsem ing kasus negatif. Tumindak karyawan panyedhiya diatur kanthi apik, peran lan area tanggung jawab dibagi. Kabeh proses bisnis dibangun kanthi cara sing kasus kebocoran data arang banget lan tansah katon ing layanan internal, mula klien ora kudu wedi karo masalah saka sisih iki.
Sampeyan mbayar sethithik amarga sampeyan mbayar layanan nganggo data bisnis sampeyan.
Mitos liyane: klien nyewa infrastruktur sing aman kanthi rega sing nyaman bener-bener mbayar karo data - iki sing asring dipikirake para ahli, sing ora kepikiran maca sawetara teori konspirasi sadurunge turu. Kaping pisanan, kemungkinan nindakake operasi apa wae karo data sampeyan kajaba sing kasebut ing urutan kasebut sejatine nol. Kapindho, panyedhiya sing nyukupi nilai hubungane karo sampeyan lan reputasi - duwe akeh klien saliyane sampeyan. Skenario ngelawan luwih mungkin, ing ngendi panyedhiya bakal sregep nglindhungi data para klien, sing adhedhasar bisnise, antara liya.
Milih panyedhiya awan kanggo ISPDN
Saiki, pasar nawakake akeh solusi kanggo perusahaan sing dadi operator PDn. Ing ngisor iki minangka dhaptar umum rekomendasi kanggo milih sing bener.
Panyedhiya kudu siap kanggo nganakke persetujuan resmi njlèntrèhaké kewajiban saka pihak, SLA lan wilayah tanggung jawab ing tombol kanggo Processing PDn. Nyatane, antarane sampeyan lan panyedhiya, saliyane perjanjian layanan, instruksi kanggo ngolah PDn kudu ditandatangani. Ing kasus apa wae, kudu sinau kanthi teliti. Penting kanggo mangerteni delineasi wilayah tanggung jawab antarane sampeyan lan panyedhiya.
Elinga yen segmen kasebut kudu nyukupi syarat, tegese kudu duwe sertifikat sing nuduhake tingkat keamanan sing ora luwih murah tinimbang sing dibutuhake dening IS sampeyan. Mengkono sing panyedhiya nerbitaké mung kaca pisanan saka certificate, saka kang sethitik cetha, utawa deleng audit utawa selaras prosedur tanpa nerbitaké certificate dhewe ("Apa ana lanang?"). Perlu dijaluk - iki minangka dokumen umum sing nuduhake sapa sing nindakake sertifikasi, wektu validitas, lokasi awan, lsp.
Panyedhiya kudu menehi informasi babagan lokasi situs (obyek sing dilindhungi) supaya sampeyan bisa ngontrol panggonan data sampeyan. Ayo kita ngelingake yen koleksi awal PDn kudu ditindakake ing wilayah Federasi Rusia, mula luwih becik ndeleng alamat pusat data ing persetujuan / sertifikat.
Panyedhiya kudu nggunakake piranti keamanan informasi sing disertifikasi lan alat perlindungan informasi kriptografi. Mesthine, umume panyedhiya ora ngiklanake cara perlindungan teknis lan arsitektur solusi kasebut. Nanging sampeyan, minangka klien, ora bisa ngerti babagan iki. Contone, kanggo nyambungake jarak adoh menyang sistem manajemen (portal manajemen), sampeyan kudu nggunakake piranti keamanan. Panyedhiya ora bakal bisa ngliwati syarat iki lan bakal menehi sampeyan (utawa mbutuhake sampeyan nggunakake) solusi sing disertifikasi. Njupuk sumber daya kanggo test drive lan sampeyan bakal langsung ngerti carane lan apa disusun.
Apik banget yen panyedhiya awan nyedhiyakake layanan tambahan ing bidang keamanan informasi. Iki bisa dadi macem-macem layanan: pangayoman saka serangan DDoS lan WAF, layanan antivirus utawa kothak wedhi, lan liya-liyane.
Panyedhiya kudu dadi pemegang lisensi FSTEC lan FSB. Minangka aturan, informasi kasebut dikirim langsung ing situs web. Priksa manawa njaluk dokumen kasebut lan priksa manawa alamat panyedhiya layanan, jeneng perusahaan panyedhiya, lan liya-liyane dituduhake kanthi bener.
Ayo padha nyimpulake. Nyewa infrastruktur bakal ngidini sampeyan nolak CAPEX lan mung ninggalake aplikasi bisnis lan data dhewe ing wilayah tanggung jawab sampeyan, lan ngirim beban sertifikasi hardware lan piranti lunak menyang panyedhiya.
Kepiye carane kita lulus sertifikasi
Kita bubar kasil ngliwati sertifikasi ulang infrastruktur "Protected Cloud FZ-152" kanggo tundhuk karo syarat kanggo nggarap data pribadi. Karya kasebut ditindakake dening "Pusat Sertifikasi Nasional".
Saiki, "Awan Dilindungi FZ-152" disertifikasi kanggo hosting sistem informasi sing melu pangolahan, panyimpenan utawa transfer data pribadhi (ISPD) sesuai karo syarat level UZ-3.
Prosedur sertifikasi kalebu mriksa infrastruktur panyedhiya awan kanggo tundhuk karo tingkat perlindungan. Panyedhiya dhewe nyedhiyakake layanan IaaS lan dudu operator data pribadhi. Proses kasebut kalebu ngevaluasi langkah-langkah organisasi (dokumentasi, pesenan, lsp.) lan teknis (nyiapake alat keamanan, lsp.).
Ora bisa diarani sepele. Senadyan kasunyatan manawa GOST ing program lan cara kanggo nganakake kegiatan sertifikasi muncul maneh ing 2013, program sing ketat kanggo obyek awan isih ora ana. Pusat sertifikasi ngembangake program kasebut adhedhasar keahliane dhewe. Kanthi tekane teknologi anyar, program dadi luwih rumit lan modern, mula, sertifikasi kudu duwe pengalaman nggarap solusi awan lan ngerti spesifik.
Ing kasus kita, obyek sing dilindhungi kasusun saka rong lokasi.
Sumber daya awan (server, sistem panyimpenan, infrastruktur jaringan, alat keamanan, lan sapiturute) dumunung langsung ing pusat data. Mesthi, pusat data virtual kasebut disambungake menyang jaringan umum, lan, kanthi mangkono, syarat firewall tartamtu kudu dipenuhi, kayata nggunakake firewall sing disertifikasi.
Bagian kapindho obyek kasebut yaiku alat manajemen awan. Iki minangka stasiun kerja (stasiun kerja administrator) saka ngendi bagean sing dilindhungi dikelola.
Lokasi-lokasi kasebut disambungake liwat VPN- saluran sing dibangun ing piranti perlindungan informasi kriptografi.
Wiwit teknologi virtualisasi nggawe prasyarat kanggo munculé ancaman, kita uga nggunakake piranti keamanan certified tambahan.
Diagram struktural "liwat mata sertifikat"
Yen klien mbutuhake sertifikasi ISPDN, sawise nyewa IaaS, dheweke mung kudu nganakake penilaian sistem informasi ing ndhuwur tingkat pusat data virtual. Prosedur iki kalebu mriksa infrastruktur lan piranti lunak sing digunakake. Amarga sampeyan bisa ngrujuk menyang sertifikat panyedhiya kanggo kabeh masalah infrastruktur, sampeyan mung kudu nggarap piranti lunak kasebut.
Pemisahan ing tingkat abstraksi
Kesimpulane, kita bakal menehi dhaptar priksa cilik kanggo perusahaan sing wis nggarap PDn utawa mung ngrancang. Dadi, carane ngolah lan ora diobong.
Kanggo audit lan ngembangake model ancaman lan penyusup, ngajak konsultan berpengalaman saka laboratorium sertifikasi sing bakal mbantu ngembangake dokumen sing dibutuhake lan nggawa sampeyan menyang tahap solusi teknis.
Nalika milih panyedhiya maya, mbayar manungsa waé kanggo kasedhiyan sertifikat. Iku apik yen perusahaan wis publicly dikirim langsung ing website. Panyedhiya kudu dadi pemegang lisensi FSTEC lan FSB, lan layanan sing ditawakake kudu disertifikasi.
Priksa manawa sampeyan duwe persetujuan resmi lan pesenan sing ditandatangani kanggo ngolah PDn. Adhedhasar iki, sampeyan bakal bisa nindakake mriksa kepatuhan lan sertifikasi ISPDN. Yen kerjane ing tahap proyek teknis lan nggawe desain lan dokumentasi teknis katon abot kanggo sampeyan, mula kudu hubungi perusahaan konsultasi pihak katelu saka laboratorium sertifikasi.
Yen sampeyan kepengin ngolah data pribadhi, kita bakal seneng ndeleng sampeyan ing webinar tanggal 18 September, dina Jumuah iki. .
Source: www.habr.com
