ProHoster > Blog > Pentadbiran > IaaS 152-FZ: jadi, anda memerlukan keselamatan

IaaS 152-FZ: jadi, anda memerlukan keselamatan

IaaS 152-FZ: jadi, anda memerlukan keselamatan

Tidak kira berapa banyak anda menyelesaikan mitos dan legenda yang mengelilingi pematuhan dengan 152-FZ, sesuatu sentiasa berada di belakang tabir. Hari ini kami ingin membincangkan beberapa nuansa yang tidak selalu jelas yang mungkin dihadapi oleh kedua-dua syarikat besar dan perusahaan kecil:

  • kehalusan klasifikasi PD ke dalam kategori - apabila kedai dalam talian kecil mengumpul data yang berkaitan dengan kategori khas tanpa mengetahuinya;

  • di mana anda boleh menyimpan sandaran PD yang dikumpul dan melakukan operasi padanya;

  • apakah perbezaan antara sijil dan kesimpulan pematuhan, apakah dokumen yang perlu anda minta daripada pembekal, dan perkara seperti itu.

Akhir sekali, kami akan berkongsi dengan anda pengalaman kami sendiri dalam lulus pensijilan. Pergi!

Pakar dalam artikel hari ini akan menjadi Alexey Afanasyev, IS pakar untuk penyedia awan IT-GRAD dan #CloudMTS (sebahagian daripada kumpulan MTS).

Kehalusan klasifikasi

Kami sering menghadapi keinginan pelanggan untuk cepat, tanpa audit IS, menentukan tahap keselamatan yang diperlukan untuk ISPD. Sesetengah bahan di Internet mengenai topik ini memberikan tanggapan palsu bahawa ini adalah tugas yang mudah dan agak sukar untuk membuat kesilapan.

Untuk menentukan KM, adalah perlu untuk memahami data yang akan dikumpul dan diproses oleh IS pelanggan. Kadangkala sukar untuk menentukan dengan jelas keperluan perlindungan dan kategori data peribadi yang dikendalikan oleh perniagaan. Jenis data peribadi yang sama boleh dinilai dan diklasifikasikan dengan cara yang berbeza. Oleh itu, dalam beberapa kes, pendapat perniagaan mungkin berbeza daripada pendapat juruaudit atau pemeriksa. Mari lihat beberapa contoh.

Tempat letak kereta. Ia kelihatan seperti jenis perniagaan yang agak tradisional. Banyak armada kenderaan telah beroperasi selama beberapa dekad, dan pemiliknya mengupah usahawan individu dan individu. Sebagai peraturan, data pekerja berada di bawah keperluan UZ-4. Walau bagaimanapun, untuk bekerja dengan pemandu, bukan sahaja perlu untuk mengumpul data peribadi, tetapi juga untuk menjalankan kawalan perubatan di wilayah armada kenderaan sebelum melakukan peralihan, dan maklumat yang dikumpul dalam proses serta-merta jatuh ke dalam kategori data perubatan - dan ini adalah data peribadi kategori khas. Di samping itu, armada boleh meminta sijil, yang kemudiannya akan disimpan dalam fail pemandu. Imbasan sijil sedemikian dalam bentuk elektronik - data kesihatan, data peribadi kategori khas. Ini bermakna UZ-4 tidak lagi mencukupi; sekurang-kurangnya UZ-3 diperlukan.

Kedai dalam talian. Nampaknya nama, e-mel dan nombor telefon yang dikumpul sesuai dengan kategori awam. Walau bagaimanapun, jika pelanggan anda menunjukkan keutamaan diet, seperti halal atau halal, maklumat tersebut boleh dianggap sebagai data gabungan agama atau kepercayaan. Oleh itu, apabila menyemak atau menjalankan aktiviti kawalan lain, pemeriksa boleh mengklasifikasikan data yang anda kumpulkan sebagai kategori khas data peribadi. Sekarang, jika kedai dalam talian mengumpul maklumat tentang sama ada pembelinya lebih suka daging atau ikan, data itu boleh diklasifikasikan sebagai data peribadi lain. By the way, bagaimana dengan vegetarian? Lagipun, ini juga boleh dikaitkan dengan kepercayaan falsafah, yang juga tergolong dalam kategori istimewa. Tetapi sebaliknya, ini mungkin hanya sikap seseorang yang telah menghapuskan daging daripada dietnya. Malangnya, tidak ada tanda yang mentakrifkan dengan jelas kategori PD dalam situasi "halus" sedemikian.

Agensi pengiklanan Menggunakan beberapa perkhidmatan awan Barat, ia memproses data pelanggannya yang tersedia secara terbuka - nama penuh, alamat e-mel dan nombor telefon. Data peribadi ini, sudah tentu, berkaitan dengan data peribadi. Timbul persoalan: adakah sah untuk menjalankan pemprosesan sedemikian? Adakah mungkin untuk memindahkan data sedemikian tanpa penyahperibadian di luar Persekutuan Rusia, sebagai contoh, untuk menyimpan sandaran dalam beberapa awan asing? Sudah tentu boleh. Agensi mempunyai hak untuk menyimpan data ini di luar Rusia, bagaimanapun, pengumpulan awal, menurut undang-undang kami, mesti dilakukan di wilayah Persekutuan Rusia. Jika anda menyandarkan maklumat sedemikian, kira beberapa statistik berdasarkannya, menjalankan penyelidikan atau melakukan beberapa operasi lain dengannya - semua ini boleh dilakukan pada sumber Barat. Perkara utama dari sudut undang-undang ialah tempat data peribadi dikumpul. Oleh itu, adalah penting untuk tidak mengelirukan pengumpulan dan pemprosesan awal.

Seperti berikut daripada contoh ringkas ini, bekerja dengan data peribadi tidak selalunya mudah dan mudah. Anda bukan sahaja perlu mengetahui bahawa anda bekerja dengan mereka, tetapi juga dapat mengklasifikasikannya dengan betul, memahami cara IP berfungsi untuk menentukan tahap keselamatan yang diperlukan dengan betul. Dalam sesetengah kes, persoalan mungkin timbul tentang berapa banyak data peribadi yang sebenarnya perlu dikendalikan oleh organisasi. Adakah mungkin untuk menolak data yang paling "serius" atau hanya tidak diperlukan? Di samping itu, pengawal selia mengesyorkan menyahperibadi data peribadi jika boleh. 

Seperti dalam contoh di atas, kadangkala anda mungkin menghadapi hakikat bahawa pihak berkuasa pemeriksaan mentafsir data peribadi yang dikumpul sedikit berbeza daripada yang anda sendiri menilai mereka.

Sudah tentu, anda boleh mengupah juruaudit atau penyepadu sistem sebagai pembantu, tetapi adakah "pembantu" akan bertanggungjawab ke atas keputusan yang dipilih sekiranya audit? Perlu diingat bahawa tanggungjawab sentiasa terletak pada pemilik ISPD - pengendali data peribadi. Itulah sebabnya, apabila syarikat menjalankan kerja sedemikian, adalah penting untuk beralih kepada pemain yang serius dalam pasaran untuk perkhidmatan sedemikian, contohnya, syarikat yang menjalankan kerja pensijilan. Syarikat yang mengesahkan mempunyai pengalaman yang luas dalam melaksanakan kerja tersebut.

Pilihan untuk membina ISPD

Pembinaan ISPD bukan sahaja teknikal, tetapi sebahagian besarnya juga merupakan isu undang-undang. CIO atau pengarah keselamatan hendaklah sentiasa berunding dengan penasihat undang-undang. Memandangkan syarikat itu tidak selalunya mempunyai pakar dengan profil yang anda perlukan, adalah wajar melihat ke arah juruaudit-perunding. Banyak titik licin mungkin tidak jelas sama sekali.

Perundingan akan membolehkan anda menentukan data peribadi yang anda hadapi dan tahap perlindungan yang diperlukan. Sehubungan itu, anda akan mendapat idea tentang IP yang perlu dibuat atau ditambah dengan langkah keselamatan dan keselamatan operasi.

Selalunya pilihan untuk syarikat adalah antara dua pilihan:

  1. Bina IS yang sepadan pada penyelesaian perkakasan dan perisian anda sendiri, mungkin dalam bilik pelayan anda sendiri.

  2. Hubungi pembekal awan dan pilih penyelesaian anjal, "bilik pelayan maya" yang telah diperakui.

Kebanyakan sistem maklumat memproses data peribadi menggunakan pendekatan tradisional, yang, dari sudut pandangan perniagaan, sukar dikatakan mudah dan berjaya. Apabila memilih pilihan ini, adalah perlu untuk memahami bahawa reka bentuk teknikal akan merangkumi penerangan peralatan, termasuk penyelesaian dan platform perisian dan perkakasan. Ini bermakna anda perlu menghadapi kesukaran dan batasan berikut:

  • kesukaran skala;

  • tempoh pelaksanaan projek yang panjang: adalah perlu untuk memilih, membeli, memasang, mengkonfigurasi dan menerangkan sistem;

  • banyak kerja "kertas", sebagai contoh - pembangunan pakej lengkap dokumentasi untuk keseluruhan ISPD.

Di samping itu, perniagaan, sebagai peraturan, hanya memahami tahap "atas" IPnya - aplikasi perniagaan yang digunakannya. Dengan kata lain, kakitangan IT mahir dalam bidang khusus mereka. Tidak ada pemahaman tentang cara semua "peringkat bawah" berfungsi: perlindungan perisian dan perkakasan, sistem storan, sandaran dan, sudah tentu, cara mengkonfigurasi alat perlindungan dengan mematuhi semua keperluan, membina bahagian "perkakasan" konfigurasi. Adalah penting untuk memahami: ini adalah lapisan besar pengetahuan yang terletak di luar perniagaan pelanggan. Di sinilah pengalaman penyedia awan yang menyediakan "bilik pelayan maya" yang diperakui boleh berguna.

Sebaliknya, pembekal awan mempunyai beberapa kelebihan yang, tanpa keterlaluan, boleh meliputi 99% keperluan perniagaan dalam bidang perlindungan data peribadi:

  • kos modal ditukar kepada kos operasi;

  • pembekal, bagi pihaknya, menjamin penyediaan tahap keselamatan dan ketersediaan yang diperlukan berdasarkan penyelesaian standard yang terbukti;

  • tidak perlu mengekalkan kakitangan pakar yang akan memastikan operasi ISPD di peringkat perkakasan;

  • pembekal menawarkan penyelesaian yang lebih fleksibel dan anjal;

  • pakar pembekal mempunyai semua sijil yang diperlukan;

  • pematuhan tidak lebih rendah daripada semasa membina seni bina anda sendiri, dengan mengambil kira keperluan dan cadangan pengawal selia.

Mitos lama bahawa data peribadi tidak boleh disimpan dalam awan masih sangat popular. Ia hanya sebahagiannya benar: PD benar-benar tidak boleh disiarkan dalam yang pertama tersedia awan. Pematuhan dengan langkah teknikal tertentu dan penggunaan penyelesaian yang diperakui tertentu diperlukan. Jika pembekal mematuhi semua keperluan undang-undang, risiko yang berkaitan dengan kebocoran data peribadi diminimumkan. Banyak pembekal mempunyai infrastruktur yang berasingan untuk memproses data peribadi mengikut 152-FZ. Walau bagaimanapun, pilihan pembekal juga mesti didekati dengan pengetahuan tentang kriteria tertentu, kami pasti akan menyentuhnya di bawah. 

Pelanggan sering datang kepada kami dengan beberapa kebimbangan mengenai penempatan data peribadi dalam awan penyedia. Baiklah, mari kita bincangkannya dengan segera.

  • Data mungkin dicuri semasa penghantaran atau penghijrahan

Tidak perlu takut tentang ini - pembekal menawarkan pelanggan penciptaan saluran penghantaran data selamat yang dibina di atas penyelesaian yang diperakui, langkah pengesahan yang dipertingkatkan untuk kontraktor dan pekerja. Apa yang tinggal ialah memilih kaedah perlindungan yang sesuai dan melaksanakannya sebagai sebahagian daripada kerja anda dengan pelanggan.

  • Tunjukkan topeng akan datang dan mengambil/menyegel/mematikan kuasa ke pelayan

Ia agak difahami bagi pelanggan yang bimbang proses perniagaan mereka akan terganggu kerana kawalan yang tidak mencukupi ke atas infrastruktur. Sebagai peraturan, pelanggan yang perkakasannya sebelum ini terletak di bilik pelayan kecil dan bukannya pusat data khusus memikirkan perkara ini. Pada hakikatnya, pusat data dilengkapi dengan cara moden untuk perlindungan fizikal dan maklumat. Hampir mustahil untuk menjalankan sebarang operasi di pusat data sedemikian tanpa alasan dan kertas yang mencukupi, dan aktiviti sedemikian memerlukan pematuhan dengan beberapa prosedur. Di samping itu, "menarik" pelayan anda dari pusat data mungkin menjejaskan pelanggan pembekal yang lain, dan ini pastinya tidak diperlukan untuk sesiapa pun. Di samping itu, tiada siapa yang akan dapat menuding jari secara khusus pada pelayan maya "anda", jadi jika seseorang ingin mencurinya atau mengadakan pertunjukan topeng, mereka perlu terlebih dahulu menangani banyak kelewatan birokrasi. Pada masa ini, anda berkemungkinan besar akan mempunyai masa untuk berhijrah ke tapak lain beberapa kali.

  • Penggodam akan menggodam awan dan mencuri data

Internet dan akhbar cetak penuh dengan tajuk berita tentang bagaimana awan lain telah menjadi mangsa penjenayah siber, dan berjuta-juta rekod data peribadi telah bocor dalam talian. Dalam kebanyakan kes, kelemahan tidak ditemui pada pihak penyedia sama sekali, tetapi dalam sistem maklumat mangsa: kata laluan yang lemah atau lalai, "lubang" dalam enjin dan pangkalan data laman web, dan kecuaian perniagaan yang cetek apabila memilih langkah keselamatan dan mengatur prosedur capaian data. Semua penyelesaian yang diperakui disemak untuk mencari kelemahan. Kami juga kerap menjalankan pentest "kawalan" dan audit keselamatan, secara bebas dan melalui organisasi luar. Bagi pembekal, ini adalah soal reputasi dan perniagaan secara umum.

  • Pembekal/pekerja pembekal akan mencuri data peribadi untuk kepentingan peribadi

Ini adalah saat yang agak sensitif. Sebilangan syarikat dari dunia keselamatan maklumat "menakut-nakutkan" pelanggan mereka dan menegaskan bahawa "pekerja dalaman lebih berbahaya daripada penggodam luar." Ini mungkin benar dalam beberapa kes, tetapi perniagaan tidak boleh dibina tanpa kepercayaan. Dari semasa ke semasa, berita tersiar bahawa pekerja organisasi sendiri membocorkan data pelanggan kepada penyerang, dan keselamatan dalaman kadangkala lebih teruk daripada keselamatan luaran. Adalah penting untuk memahami di sini bahawa mana-mana pembekal besar sangat tidak berminat dalam kes negatif. Tindakan pekerja pembekal dikawal dengan baik, peranan dan bidang tanggungjawab dibahagikan. Semua proses perniagaan distrukturkan sedemikian rupa sehingga kes kebocoran data sangat tidak mungkin dan sentiasa ketara kepada perkhidmatan dalaman, jadi pelanggan tidak perlu takut dengan masalah dari pihak ini.

  • Anda membayar sedikit kerana anda membayar perkhidmatan dengan data perniagaan anda.

Mitos lain: pelanggan yang menyewa infrastruktur selamat pada harga yang selesa sebenarnya membayarnya dengan datanya - ini sering difikirkan oleh pakar yang tidak keberatan membaca beberapa teori konspirasi sebelum tidur. Pertama, kemungkinan untuk menjalankan sebarang operasi dengan data anda selain daripada yang dinyatakan dalam perintah itu pada dasarnya adalah sifar. Kedua, pembekal yang mencukupi menghargai hubungan dengan anda dan reputasinya - selain anda, dia mempunyai lebih ramai pelanggan. Senario sebaliknya lebih berkemungkinan, di mana pembekal akan bersungguh-sungguh melindungi data pelanggannya, di mana perniagaannya terletak.

Memilih pembekal awan untuk ISPD

Hari ini, pasaran menawarkan banyak penyelesaian untuk syarikat yang merupakan pengendali PD. Di bawah ialah senarai umum cadangan untuk memilih yang betul.

  • Pembekal mesti bersedia untuk menandatangani perjanjian rasmi yang menerangkan tanggungjawab pihak, SLA dan bidang tanggungjawab dalam kunci pemprosesan data peribadi. Malah, antara anda dan pembekal, sebagai tambahan kepada perjanjian perkhidmatan, pesanan untuk pemprosesan PD mesti ditandatangani. Walau apa pun, ia patut dikaji dengan teliti. Adalah penting untuk memahami pembahagian tanggungjawab antara anda dan pembekal.

  • Sila ambil perhatian bahawa segmen mesti memenuhi keperluan, yang bermaksud ia mesti mempunyai sijil yang menunjukkan tahap keselamatan tidak lebih rendah daripada yang diperlukan oleh IP anda. Ia berlaku bahawa pembekal hanya menerbitkan halaman pertama sijil, yang mana sedikit yang jelas, atau merujuk kepada audit atau prosedur pematuhan tanpa menerbitkan sijil itu sendiri (β€œadakah budak lelaki?”). Perlu memintanya - ini adalah dokumen awam yang menunjukkan siapa yang menjalankan pensijilan, tempoh sah, lokasi awan, dsb.

  • Pembekal mesti memberikan maklumat tentang lokasi tapaknya (objek yang dilindungi) supaya anda boleh mengawal penempatan data anda. Biar kami mengingatkan anda bahawa pengumpulan awal data peribadi mesti dilakukan di wilayah Persekutuan Rusia; oleh itu, adalah dinasihatkan untuk melihat alamat pusat data dalam kontrak/sijil.

  • Pembekal mesti menggunakan sistem keselamatan maklumat dan perlindungan maklumat yang diperakui. Sudah tentu, kebanyakan pembekal tidak mengiklankan langkah keselamatan teknikal dan seni bina penyelesaian yang mereka gunakan. Tetapi anda, sebagai pelanggan, tidak boleh tidak mengetahui tentangnya. Sebagai contoh, untuk menyambung dari jauh ke sistem pengurusan (portal pengurusan), perlu menggunakan langkah keselamatan. Pembekal tidak akan dapat memintas keperluan ini dan akan memberikan anda (atau memerlukan anda menggunakan) penyelesaian yang diperakui. Ambil sumber untuk ujian dan anda akan segera memahami cara dan perkara yang berkesan. 

  • Adalah sangat wajar bagi penyedia awan untuk menyediakan perkhidmatan tambahan dalam bidang keselamatan maklumat. Ini boleh menjadi pelbagai perkhidmatan: perlindungan terhadap serangan DDoS dan WAF, perkhidmatan anti-virus atau kotak pasir, dsb. Semua ini akan membolehkan anda menerima perlindungan sebagai perkhidmatan, bukan untuk terganggu oleh membina sistem perlindungan, tetapi untuk bekerja pada aplikasi perniagaan.

  • Pembekal mestilah pemegang lesen FSTEC dan FSB. Sebagai peraturan, maklumat tersebut disiarkan terus di laman web. Pastikan anda meminta dokumen ini dan semak sama ada alamat untuk menyediakan perkhidmatan, nama syarikat pembekal, dsb. adalah betul. 

Mari kita ringkaskan. Penyewaan infrastruktur akan membolehkan anda meninggalkan CAPEX dan mengekalkan hanya aplikasi perniagaan anda dan data itu sendiri dalam bidang tanggungjawab anda, dan memindahkan beban berat pensijilan perkakasan dan perisian serta perkakasan kepada pembekal.

Bagaimana kami lulus pensijilan

Terbaru, kami berjaya meluluskan pensijilan semula infrastruktur "Secure Cloud FZ-152" untuk pematuhan dengan keperluan untuk bekerja dengan data peribadi. Kerja-kerja itu dijalankan oleh Pusat Pensijilan Kebangsaan.

Pada masa ini, "FZ-152 Secure Cloud" diperakui untuk mengehos sistem maklumat yang terlibat dalam pemprosesan, penyimpanan atau penghantaran data peribadi (ISPDn) mengikut keperluan tahap UZ-3.

Prosedur pensijilan melibatkan pemeriksaan pematuhan infrastruktur penyedia awan dengan tahap perlindungan. Pembekal itu sendiri menyediakan perkhidmatan IaaS dan bukan pengendali data peribadi. Proses ini melibatkan penilaian kedua-dua organisasi (dokumentasi, pesanan, dll.) dan langkah teknikal (menyediakan peralatan perlindungan, dll.).

Ia tidak boleh dikatakan remeh. Walaupun fakta bahawa GOST pada program dan kaedah untuk menjalankan aktiviti pensijilan muncul pada tahun 2013, program ketat untuk objek awan masih tidak wujud. Pusat pensijilan membangunkan program ini berdasarkan kepakaran mereka sendiri. Dengan kemunculan teknologi baharu, program menjadi lebih kompleks dan dimodenkan; oleh itu, pengesah mesti mempunyai pengalaman bekerja dengan penyelesaian awan dan memahami spesifikasinya.

Dalam kes kami, objek yang dilindungi terdiri daripada dua lokasi.

  • Sumber awan (pelayan, sistem storan, infrastruktur rangkaian, alat keselamatan, dll.) terletak terus di pusat data. Sudah tentu, pusat data maya sedemikian disambungkan ke rangkaian awam, dan oleh itu, keperluan tembok api tertentu mesti dipenuhi, contohnya, penggunaan tembok api yang diperakui.

  • Bahagian kedua objek ialah alat pengurusan awan. Ini adalah stesen kerja (stesen kerja pentadbir) yang daripadanya segmen yang dilindungi diuruskan.

Lokasi berkomunikasi melalui saluran VPN yang dibina pada CIPF.

Memandangkan teknologi virtualisasi mewujudkan prasyarat untuk kemunculan ancaman, kami juga menggunakan alat perlindungan diperakui tambahan.

IaaS 152-FZ: jadi, anda memerlukan keselamatanGambar rajah blok "melalui mata penilai"

Jika pelanggan memerlukan pensijilan ISPDnya, selepas menyewa IaaS, dia hanya perlu menilai sistem maklumat di atas tahap pusat data maya. Prosedur ini melibatkan pemeriksaan infrastruktur dan perisian yang digunakan padanya. Memandangkan anda boleh merujuk kepada sijil pembekal untuk semua isu infrastruktur, anda hanya perlu bekerja dengan perisian tersebut.

IaaS 152-FZ: jadi, anda memerlukan keselamatanPemisahan pada tahap abstraksi

Kesimpulannya, berikut adalah senarai semak kecil untuk syarikat yang sudah bekerja dengan data peribadi atau hanya merancang. Jadi, bagaimana untuk mengendalikannya tanpa melecur.

  1. Untuk mengaudit dan membangunkan model ancaman dan penceroboh, jemput perunding berpengalaman daripada kalangan makmal pensijilan yang akan membantu membangunkan dokumen yang diperlukan dan membawa anda ke peringkat penyelesaian teknikal.

  2. Apabila memilih pembekal awan, perhatikan kehadiran sijil. Alangkah baiknya jika syarikat menyiarkannya secara terbuka secara langsung di laman web. Pembekal mestilah pemegang lesen FSTEC dan FSB, dan perkhidmatan yang ditawarkannya mesti diperakui.

  3. Pastikan anda mempunyai perjanjian rasmi dan arahan yang ditandatangani untuk memproses data peribadi. Berdasarkan ini, anda akan dapat menjalankan kedua-dua semakan pematuhan dan pensijilan ISPD. Jika kerja ini di peringkat projek teknikal dan penciptaan reka bentuk serta dokumentasi teknikal kelihatan membebankan anda, anda harus menghubungi syarikat perunding pihak ketiga dari kalangan makmal pensijilan.

Jika isu pemprosesan data peribadi adalah berkaitan dengan anda, pada 18 September, Jumaat ini, kami gembira dapat berjumpa anda di webinar β€œCiri-ciri membina awan yang diperakui”.

Sumber: www.habr.com

Tambah komen