ProHoster > blog > administratie > IaaS 152-FZ: je hebt dus beveiliging nodig

IaaS 152-FZ: je hebt dus beveiliging nodig

IaaS 152-FZ: je hebt dus beveiliging nodig

Hoe goed je ook de mythen en legendes rond de naleving van 152-FZ uitzoekt, er blijft altijd iets achter de schermen. Vandaag willen we enkele niet altijd voor de hand liggende nuances bespreken waarmee zowel grote bedrijven als zeer kleine ondernemingen te maken kunnen krijgen:

  • subtiliteiten van PD-classificatie in categorieën - wanneer een kleine online winkel gegevens verzamelt met betrekking tot een speciale categorie zonder er zelfs maar van op de hoogte te zijn;

  • waar u back-ups van verzamelde PD kunt opslaan en er bewerkingen op kunt uitvoeren;

  • wat is het verschil tussen een certificaat en een conformiteitsverklaring, welke documenten moet je opvragen bij de aanbieder en dat soort dingen.

Ten slotte zullen we onze eigen ervaringen met het behalen van de certificering met u delen. Gaan!

De expert in het artikel van vandaag zal dat zijn Alexey Afanasiev, IS specialist voor cloudproviders IT-GRAD en #CloudMTS (onderdeel van de MTS-groep).

Subtiliteiten van classificatie

Het komt vaak voor dat een klant de wens heeft om snel, zonder IS-audit, het vereiste beveiligingsniveau voor een ISPD te bepalen. Sommige materialen op internet over dit onderwerp wekken de valse indruk dat dit een eenvoudige taak is en dat het vrij moeilijk is om een ​​fout te maken.

Om KM te bepalen, is het noodzakelijk om te begrijpen welke gegevens zullen worden verzameld en verwerkt door de IS van de klant. Soms kan het lastig zijn om ondubbelzinnig de beschermingseisen en de categorie persoonsgegevens die een bedrijf exploiteert vast te stellen. Dezelfde soorten persoonsgegevens kunnen op totaal verschillende manieren worden beoordeeld en geclassificeerd. Daarom kan in sommige gevallen de mening van het bedrijf afwijken van de mening van de auditor of zelfs de inspecteur. Laten we een paar voorbeelden bekijken.

Parkeerplaats. Het lijkt een vrij traditioneel type bedrijf. Veel wagenparken zijn al tientallen jaren actief en de eigenaren ervan huren individuele ondernemers en particulieren in. In de regel vallen werknemersgegevens onder de eisen van UZ-4. Om met chauffeurs te werken, is het echter niet alleen nodig om persoonlijke gegevens te verzamelen, maar ook om medische controles uit te voeren op het grondgebied van het wagenpark voordat u in dienst gaat, en de informatie die daarbij wordt verzameld, valt onmiddellijk in de categorie van medische gegevens - en dit zijn persoonsgegevens van een speciale categorie. Daarnaast kan het wagenpark certificaten opvragen, die vervolgens in het chauffeursdossier worden bewaard. Een scan van een dergelijk certificaat in elektronische vorm - gezondheidsgegevens, persoonlijke gegevens van een speciale categorie. Dit betekent dat UZ-4 niet meer voldoende is; minimaal UZ-3 is nodig.

Online winkel. Het lijkt erop dat de verzamelde namen, e-mails en telefoonnummers in de publieke categorie passen. Als uw klanten echter dieetvoorkeuren aangeven, zoals halal of koosjer, kan dergelijke informatie worden beschouwd als gegevens over religieuze overtuigingen of geloofsovertuigingen. Bij het controleren of uitvoeren van andere controleactiviteiten kan de inspecteur de door u verzamelde gegevens daarom classificeren als een bijzondere categorie persoonsgegevens. Als een online winkel nu informatie verzamelt over de vraag of de koper de voorkeur geeft aan vlees of vis, kunnen deze gegevens worden geclassificeerd als andere persoonlijke gegevens. Trouwens, hoe zit het met vegetariërs? Dit kan immers ook worden toegeschreven aan filosofische overtuigingen, die ook tot een bijzondere categorie behoren. Maar aan de andere kant kan dit eenvoudigweg de houding zijn van iemand die vlees uit zijn dieet heeft verwijderd. Helaas is er geen enkel teken dat de categorie van Parkinson ondubbelzinnig definieert in zulke ‘subtiele’ situaties.

Reclamebureau Met behulp van een westerse cloudservice verwerkt het openbaar beschikbare gegevens van zijn klanten: volledige namen, e-mailadressen en telefoonnummers. Deze persoonsgegevens hebben uiteraard betrekking op persoonsgegevens. De vraag rijst: is het legaal om een ​​dergelijke verwerking uit te voeren? Is het zelfs mogelijk om dergelijke gegevens zonder depersonalisatie buiten de Russische Federatie te verplaatsen, bijvoorbeeld om back-ups in sommige buitenlandse clouds op te slaan? Natuurlijk kan je dat. Het Agentschap heeft het recht om deze gegevens buiten Rusland op te slaan, maar de eerste verzameling moet volgens onze wetgeving worden uitgevoerd op het grondgebied van de Russische Federatie. Als u een back-up van dergelijke informatie maakt, er statistieken op baseert, onderzoek doet of er andere bewerkingen mee uitvoert - dit alles kan met westerse middelen worden gedaan. Het belangrijkste punt vanuit juridisch oogpunt is waar persoonlijke gegevens worden verzameld. Het is daarom belangrijk om initiële inzameling en verwerking niet te verwarren.

Zoals uit deze korte voorbeelden blijkt, is het werken met persoonsgegevens niet altijd eenvoudig en eenvoudig. U moet niet alleen weten dat u met hen samenwerkt, maar ze ook correct kunnen classificeren, begrijpen hoe het IP-adres werkt om het vereiste beveiligingsniveau correct te bepalen. In sommige gevallen kan de vraag rijzen hoeveel persoonsgegevens de organisatie daadwerkelijk nodig heeft om te kunnen werken. Is het mogelijk om de meest “serieuze” of simpelweg onnodige gegevens te weigeren? Daarnaast adviseert de toezichthouder om persoonsgegevens waar mogelijk te depersonaliseren. 

Net als in bovenstaande voorbeelden kan het voorkomen dat controle-instanties de verzamelde persoonsgegevens iets anders interpreteren dan u zelf heeft beoordeeld.

Natuurlijk kun je een auditor of een systeemintegrator als assistent inhuren, maar is de ‘assistent’ verantwoordelijk voor de keuzes die bij een audit worden gemaakt? Het is vermeldenswaard dat de verantwoordelijkheid altijd bij de eigenaar van de ISPD ligt – de beheerder van persoonlijke gegevens. Daarom is het belangrijk om, wanneer een bedrijf dergelijk werk uitvoert, zich te wenden tot serieuze spelers op de markt voor dergelijke diensten, bijvoorbeeld bedrijven die certificeringswerk uitvoeren. Certificerende bedrijven hebben ruime ervaring met het uitvoeren van dergelijke werkzaamheden.

Opties voor het bouwen van een ISPD

De constructie van een ISPD is niet alleen een technische, maar ook grotendeels een juridische kwestie. De CIO of beveiligingsdirecteur moet altijd overleg plegen met een juridisch adviseur. Omdat het bedrijf niet altijd een specialist heeft met het profiel dat u nodig heeft, is het de moeite waard om naar auditor-consulenten te kijken. Veel gladde punten zijn misschien helemaal niet voor de hand liggend.

Tijdens het consultatiegesprek kunt u bepalen met welke persoonsgegevens u te maken heeft en welk beschermingsniveau daarvoor vereist is. Dienovereenkomstig krijgt u een idee van de IP die moet worden gecreëerd of aangevuld met beveiligings- en operationele beveiligingsmaatregelen.

Vaak gaat de keuze voor een bedrijf tussen twee opties:

  1. Bouw de bijbehorende IS op uw eigen hardware- en softwareoplossingen, eventueel in uw eigen serverruimte.

  2. Neem contact op met een cloudprovider en kies voor een elastische oplossing, een reeds gecertificeerde ‘virtuele serverruimte’.

De meeste informatiesystemen die persoonsgegevens verwerken hanteren een traditionele aanpak, die vanuit zakelijk oogpunt nauwelijks eenvoudig en succesvol te noemen is. Wanneer u voor deze optie kiest, moet u begrijpen dat het technische ontwerp een beschrijving van de apparatuur zal omvatten, inclusief software- en hardwareoplossingen en platforms. Dit betekent dat u met de volgende moeilijkheden en beperkingen te maken krijgt:

  • moeilijkheidsgraad van schalen;

  • lange projectimplementatieperiode: het is noodzakelijk om het systeem te selecteren, aan te schaffen, te installeren, te configureren en te beschrijven;

  • veel ‘papieren’ werk bijvoorbeeld: de ontwikkeling van een compleet documentatiepakket voor de hele ISPD.

Bovendien begrijpt een bedrijf in de regel alleen het ‘topniveau’ van zijn IP: de bedrijfsapplicaties die het gebruikt. Met andere woorden, IT-personeel is bekwaam op hun specifieke gebied. Er is geen begrip van hoe alle “lagere niveaus” werken: software- en hardwarebescherming, opslagsystemen, back-up en, natuurlijk, hoe beveiligingstools moeten worden geconfigureerd in overeenstemming met alle vereisten, bouw het “hardware” deel van de configuratie. Het is belangrijk om te begrijpen: dit is een enorme kennislaag die buiten de business van de klant ligt. Hier kan de ervaring van een cloudprovider die een gecertificeerde “virtuele serverruimte” aanbiedt, van pas komen.

Op hun beurt hebben cloudproviders een aantal voordelen die, zonder overdrijven, 99% van de zakelijke behoeften op het gebied van de bescherming van persoonsgegevens kunnen dekken:

  • kapitaalkosten worden omgezet in exploitatiekosten;

  • de aanbieder op zijn beurt garandeert het bieden van het vereiste niveau van beveiliging en beschikbaarheid op basis van een bewezen standaardoplossing;

  • er is geen noodzaak om een ​​staf van specialisten aan te houden die de werking van de ISPD op hardwareniveau zal garanderen;

  • aanbieders bieden veel flexibelere en elastischere oplossingen;

  • de specialisten van de aanbieder beschikken over alle benodigde certificaten;

  • compliance is niet lager dan bij het bouwen van een eigen architectuur, rekening houdend met de eisen en aanbevelingen van toezichthouders.

De oude mythe dat persoonlijke gegevens niet in de cloud kunnen worden opgeslagen, is nog steeds enorm populair. Het is maar gedeeltelijk waar: PD kan echt niet worden gepost in de eerste die beschikbaar is wolk. Het voldoen aan bepaalde technische maatregelen en het gebruik van bepaalde gecertificeerde oplossingen zijn vereist. Als de aanbieder aan alle wettelijke eisen voldoet, worden de risico’s die gepaard gaan met het lekken van persoonlijke gegevens geminimaliseerd. Veel aanbieders beschikken over een aparte infrastructuur voor het verwerken van persoonsgegevens conform 152-FZ. De leverancierkeuze moet echter ook benaderd worden met kennis van bepaalde criteria; die zullen we hieronder zeker aanstippen. 

Klanten komen vaak bij ons met enige zorgen over de plaatsing van persoonsgegevens in de cloud van de provider. Laten we ze meteen bespreken.

  • Tijdens de overdracht of migratie kunnen gegevens worden gestolen

U hoeft hier niet bang voor te zijn: de aanbieder biedt de klant de creatie van een veilig datatransmissiekanaal gebouwd op gecertificeerde oplossingen en verbeterde authenticatiemaatregelen voor aannemers en werknemers. Het enige dat overblijft is het kiezen van de juiste beschermingsmethoden en deze implementeren als onderdeel van uw werk met de klant.

  • Er zullen showmaskers komen die de stroom naar de server wegnemen/verzegelen/onderbreken

Heel begrijpelijk voor klanten die vrezen dat hun bedrijfsprocessen verstoord raken door onvoldoende controle over de infrastructuur. In de regel denken klanten wier hardware zich voorheen in kleine serverruimtes bevond in plaats van in gespecialiseerde datacentra hierover na. In werkelijkheid zijn datacenters uitgerust met moderne middelen voor zowel fysieke bescherming als informatiebescherming. Zonder voldoende gronden en papieren is het bijna onmogelijk om in zo’n datacenter handelingen uit te voeren en dergelijke activiteiten vereisen het volgen van een aantal procedures. Bovendien kan het ‘halen’ van uw server uit het datacenter gevolgen hebben voor andere klanten van de provider, en dit is zeker voor niemand nodig. Bovendien zal niemand specifiek met de vinger naar ‘jouw’ virtuele server kunnen wijzen, dus als iemand deze wil stelen of een maskershow wil organiseren, zal hij of zij eerst met veel bureaucratische vertragingen te maken krijgen. Gedurende deze tijd heeft u waarschijnlijk de tijd om meerdere keren naar een andere site te migreren.

  • Hackers hacken de cloud en stelen gegevens

Het internet en de gedrukte pers staan ​​vol met krantenkoppen over hoe weer een cloud het slachtoffer is geworden van cybercriminelen, en hoe miljoenen persoonlijke gegevens online zijn gelekt. In de overgrote meerderheid van de gevallen werden kwetsbaarheden helemaal niet aan de kant van de aanbieder gevonden, maar in de informatiesystemen van de slachtoffers: zwakke of zelfs standaardwachtwoorden, “gaten” in website-engines en databases, en banale zakelijke onzorgvuldigheid bij het kiezen van beveiligingsmaatregelen en -systemen. het organiseren van procedures voor toegang tot gegevens. Alle gecertificeerde oplossingen worden gecontroleerd op kwetsbaarheden. Ook voeren wij regelmatig “control” pentests en security audits uit, zowel onafhankelijk als via externe organisaties. Voor de aanbieder is dit een kwestie van reputatie en zakendoen in het algemeen.

  • De aanbieder(s) van de aanbieder zullen persoonsgegevens stelen voor persoonlijk gewin

Dit is een nogal gevoelig moment. Een aantal bedrijven uit de informatiebeveiligingswereld ‘maken hun klanten bang’ en benadrukken dat ‘interne medewerkers gevaarlijker zijn dan externe hackers’. In sommige gevallen kan dit waar zijn, maar een bedrijf kan niet worden opgebouwd zonder vertrouwen. Van tijd tot tijd komt er nieuws dat de eigen medewerkers van een organisatie klantgegevens lekken naar aanvallers, en dat de interne beveiliging soms veel slechter is georganiseerd dan de externe beveiliging. Het is belangrijk om hier te begrijpen dat elke grote aanbieder uiterst ongeïnteresseerd is in negatieve gevallen. De acties van de medewerkers van de aanbieder zijn goed gereguleerd, de rollen en verantwoordelijkheidsgebieden zijn verdeeld. Alle bedrijfsprocessen zijn zo ingericht dat gevallen van datalekken uiterst onwaarschijnlijk zijn en altijd merkbaar zijn voor de interne dienstverlening. Klanten hoeven dus niet bang te zijn voor problemen van deze kant.

  • U betaalt weinig omdat u voor diensten betaalt met uw bedrijfsgegevens.

Een andere mythe: een klant die veilige infrastructuur huurt tegen een comfortabele prijs, betaalt daarvoor feitelijk met zijn data. Dit wordt vaak gedacht door deskundigen die het niet erg vinden om voor het slapengaan een paar complottheorieën te lezen. Ten eerste is de mogelijkheid om andere handelingen met uw gegevens uit te voeren dan die gespecificeerd in de bestelling in wezen nul. Ten tweede waardeert een adequate aanbieder de relatie met u en zijn reputatie - naast u heeft hij nog veel meer klanten. Het tegenovergestelde scenario is waarschijnlijker, waarin de aanbieder de gegevens van zijn klanten, waarop zijn bedrijf berust, ijverig zal beschermen.

Een cloudprovider kiezen voor ISPD

Tegenwoordig biedt de markt veel oplossingen voor bedrijven die PD-operatoren zijn. Hieronder vindt u een algemene lijst met aanbevelingen voor het kiezen van de juiste.

  • De aanbieder moet bereid zijn een formele overeenkomst aan te gaan waarin de verantwoordelijkheden van de partijen, SLA's en verantwoordelijkheidsgebieden met betrekking tot de sleutel tot de verwerking van persoonsgegevens worden beschreven. Sterker nog, tussen u en de aanbieder moet naast de serviceovereenkomst een opdracht voor PD-verwerking worden ondertekend. In ieder geval is het de moeite waard om ze zorgvuldig te bestuderen. Het is belangrijk om de verdeling van verantwoordelijkheden tussen u en de aanbieder te begrijpen.

  • Houd er rekening mee dat het segment aan de vereisten moet voldoen, wat betekent dat het een certificaat moet hebben dat een beveiligingsniveau aangeeft dat niet lager is dan vereist door uw IP. Het komt voor dat aanbieders alleen de eerste pagina van het certificaat publiceren, waaruit weinig duidelijk is, of verwijzen naar audits of nalevingsprocedures zonder het certificaat zelf te publiceren (“was er een jongen?”). Het is de moeite waard om ernaar te vragen: dit is een openbaar document dat aangeeft wie de certificering heeft uitgevoerd, de geldigheidsduur, de cloudlocatie, enz.

  • De aanbieder moet informatie verstrekken over waar zijn sites (beschermde objecten) zich bevinden, zodat u controle kunt uitoefenen over de plaatsing van uw gegevens. Wij herinneren u eraan dat de eerste verzameling van persoonlijke gegevens moet worden uitgevoerd op het grondgebied van de Russische Federatie; daarom is het raadzaam om de adressen van het datacenter in het contract/certificaat te zien.

  • De aanbieder moet gebruik maken van gecertificeerde informatiebeveiligings- en informatiebeschermingssystemen. Uiteraard maken de meeste aanbieders geen reclame voor de technische beveiligingsmaatregelen en oplossingsarchitectuur die zij gebruiken. Maar u als klant kunt het niet helpen, maar weet het wel. Om bijvoorbeeld op afstand verbinding te maken met een managementsysteem (managementportal) is het noodzakelijk om beveiligingsmaatregelen te treffen. De aanbieder kan deze eis niet omzeilen en zal u gecertificeerde oplossingen aanbieden (of van u eisen dat u deze gebruikt). Neem de middelen mee voor een test en je begrijpt meteen hoe en wat werkt. 

  • Het is zeer wenselijk dat de cloudaanbieder aanvullende diensten levert op het gebied van informatiebeveiliging. Dit kunnen verschillende diensten zijn: bescherming tegen DDoS-aanvallen en WAF, antivirusdienst of sandbox, enz. Dit alles stelt u in staat om bescherming als een dienst te ontvangen, niet om afgeleid te worden door het bouwen van beveiligingssystemen, maar om aan bedrijfsapplicaties te werken.

  • De aanbieder moet licentiehouder zijn van FSTEC en FSB. In de regel wordt dergelijke informatie rechtstreeks op de website geplaatst. Vraag deze documenten zeker aan en controleer of de adressen voor het verlenen van diensten, de naam van het dienstverlenerbedrijf, etc. correct zijn. 

Laten we het samenvatten. Door infrastructuur te huren, kunt u CAPEX achterwege laten en alleen uw bedrijfsapplicaties en de gegevens zelf binnen uw verantwoordelijkheidsgebied behouden, en de zware last van de certificering van hardware en software en hardware overdragen aan de provider.

Hoe we de certificering hebben behaald

Meest recentelijk hebben we met succes de hercertificering van de infrastructuur van de “Secure Cloud FZ-152” doorstaan ​​voor naleving van de vereisten voor het werken met persoonlijke gegevens. Het werk werd uitgevoerd door het National Certification Center.

Momenteel is de “FZ-152 Secure Cloud” gecertificeerd voor het hosten van informatiesystemen die betrokken zijn bij de verwerking, opslag of verzending van persoonsgegevens (ISPDn) in overeenstemming met de eisen van niveau UZ-3.

Bij de certificeringsprocedure wordt gecontroleerd of de infrastructuur van de cloudaanbieder voldoet aan het beschermingsniveau. De aanbieder levert zelf de IaaS-dienst en is geen beheerder van persoonsgegevens. Het proces omvat de beoordeling van zowel organisatorische (documentatie, bestellingen, etc.) als technische maatregelen (het opzetten van beschermingsmiddelen, etc.).

Triviaal kan het niet genoemd worden. Ondanks het feit dat GOST in 2013 over programma's en methoden voor het uitvoeren van certificeringsactiviteiten verscheen, bestaan ​​er nog steeds geen strikte programma's voor cloudobjecten. Certificeringscentra ontwikkelen deze programma’s vanuit hun eigen expertise. Met de komst van nieuwe technologieën worden programma's complexer en gemoderniseerd; dienovereenkomstig moet de certificeerder ervaring hebben met het werken met cloudoplossingen en de details begrijpen.

In ons geval bestaat het beschermde object uit twee locaties.

  • Cloudbronnen (servers, opslagsystemen, netwerkinfrastructuur, beveiligingstools, enz.) bevinden zich rechtstreeks in het datacenter. Uiteraard is zo'n virtueel datacenter verbonden met openbare netwerken en moet er daarom aan bepaalde firewallvereisten worden voldaan, bijvoorbeeld het gebruik van gecertificeerde firewalls.

  • Het tweede deel van het object zijn tools voor cloudbeheer. Dit zijn werkstations (werkstations van de beheerder) van waaruit het beveiligde segment wordt beheerd.

Locaties communiceren via een VPN-kanaal gebouwd op CIPF.

Omdat virtualisatietechnologieën randvoorwaarden scheppen voor het ontstaan ​​van bedreigingen, maken wij ook gebruik van aanvullende gecertificeerde beveiligingstools.

IaaS 152-FZ: je hebt dus beveiliging nodigBlokdiagram “door de ogen van de beoordelaar”

Als de klant certificering van zijn ISPD nodig heeft, hoeft hij na het huren van IaaS alleen het informatiesysteem te beoordelen boven het niveau van het virtuele datacenter. Deze procedure omvat het controleren van de infrastructuur en de software die erop wordt gebruikt. Omdat u voor alle infrastructuurvraagstukken kunt verwijzen naar het certificaat van de provider, hoeft u alleen maar met de software te werken.

IaaS 152-FZ: je hebt dus beveiliging nodigScheiding op abstractieniveau

Ter afsluiting volgt hier een kleine checklist voor bedrijven die al met persoonsgegevens werken of dit nog maar net aan het plannen zijn. Dus, hoe ermee om te gaan zonder te verbranden.

  1. Om modellen van bedreigingen en indringers te auditeren en te ontwikkelen, kunt u een ervaren consultant uit de certificeringslaboratoria uitnodigen die u zal helpen bij het ontwikkelen van de benodigde documenten en u naar het stadium van technische oplossingen zal brengen.

  2. Let bij het kiezen van een cloudprovider op de aanwezigheid van een certificaat. Het zou goed zijn als het bedrijf het rechtstreeks op de website zou plaatsen. De aanbieder moet licentiehouder zijn van FSTEC en FSB en de dienst die hij aanbiedt moet gecertificeerd zijn.

  3. Zorg ervoor dat u een formele overeenkomst en een ondertekende instructie heeft voor het verwerken van persoonsgegevens. Op basis hiervan kunt u zowel een nalevingscontrole als een ISPD-certificering uitvoeren. Als dit werk in de fase van het technische project en het maken van ontwerp en technische documentatie u belastend lijkt, kunt u contact opnemen met externe adviesbureaus uit de certificeringslaboratoria.

Als de kwesties van de verwerking van persoonsgegevens voor u relevant zijn, zien we u op 18 september aanstaande vrijdag graag bij het webinar “Kenmerken van het bouwen van gecertificeerde clouds”.

Bron: www.habr.com

Voeg een reactie