ProHoster > Log > administrasjon > IaaS 152-FZ: så du trenger sikkerhet

IaaS 152-FZ: så du trenger sikkerhet

IaaS 152-FZ: så du trenger sikkerhet

Uansett hvor mye du sorterer ut mytene og legendene som omgir samsvar med 152-FZ, er det alltid noe som forblir bak kulissene. I dag ønsker vi å diskutere noen ikke alltid åpenbare nyanser som både store selskaper og svært små bedrifter kan møte:

  • finesser av PD-klassifisering i kategorier - når en liten nettbutikk samler inn data relatert til en spesiell kategori uten engang å vite om det;

  • hvor du kan lagre sikkerhetskopier av innsamlet PD og utføre operasjoner på dem;

  • hva er forskjellen mellom et sertifikat og en konklusjon om samsvar, hvilke dokumenter bør du be om fra leverandøren, og sånt.

Til slutt vil vi dele med deg vår egen erfaring med å bestå sertifiseringen. Gå!

Eksperten i dagens artikkel vil være Alexey Afanasyev, IS-spesialist for skyleverandører IT-GRAD og #CloudMTS (del av MTS-gruppen).

Finesser av klassifisering

Vi møter ofte en kundes ønske om raskt, uten en IS-revisjon, å bestemme det nødvendige sikkerhetsnivået for en ISPD. Noen materialer på Internett om dette emnet gir et falskt inntrykk av at dette er en enkel oppgave, og det er ganske vanskelig å gjøre en feil.

For å bestemme KM, er det nødvendig å forstå hvilke data som vil bli samlet inn og behandlet av kundens IS. Noen ganger kan det være vanskelig å entydig fastslå beskyttelseskravene og kategorien av personopplysninger som en virksomhet driver. De samme typer personopplysninger kan vurderes og klassifiseres på helt forskjellige måter. Derfor, i noen tilfeller, kan virksomhetens oppfatning avvike fra oppfatningen til revisor eller til og med inspektøren. La oss se på noen få eksempler.

Bilparkering. Det virker som en ganske tradisjonell type virksomhet. Mange bilflåter har vært i drift i flere tiår, og eierne deres ansetter individuelle gründere og enkeltpersoner. Som regel faller ansattes data inn under kravene i UZ-4. For å jobbe med sjåfører er det imidlertid nødvendig ikke bare å samle inn personopplysninger, men også å utføre medisinsk kontroll på kjøretøyflåtens territorium før du går på skift, og informasjonen som samles inn i prosessen faller umiddelbart inn i kategorien medisinske data - og dette er personopplysninger av en spesiell kategori. I tillegg kan flåten be om sertifikater, som deretter vil bli oppbevart i sjåførens fil. En skanning av et slikt sertifikat i elektronisk form - helsedata, personopplysninger av en spesiell kategori. Dette betyr at UZ-4 ikke lenger er nok, minst UZ-3 kreves.

Nettbutikk. Det ser ut til at navnene, e-postene og telefonnumrene som ble samlet inn passer inn i den offentlige kategorien. Men hvis kundene dine angir kostholdspreferanser, for eksempel halal eller kosher, kan slik informasjon betraktes som religiøs tilknytning eller trosdata. Derfor kan inspektøren ved kontroll eller gjennomføring av andre kontrollaktiviteter klassifisere dataene du samler inn som en spesiell kategori av personopplysninger. Nå, hvis en nettbutikk samlet inn informasjon om hvorvidt kjøperen foretrekker kjøtt eller fisk, kan dataene bli klassifisert som andre personopplysninger. Forresten, hva med vegetarianere? Tross alt kan dette også tilskrives filosofiske overbevisninger, som også tilhører en spesiell kategori. Men på den annen side kan dette ganske enkelt være holdningen til en person som har eliminert kjøtt fra kostholdet sitt. Akk, det er ingen tegn som entydig definerer kategorien PD i slike "subtile" situasjoner.

Reklamebyrå Ved å bruke noen vestlige skytjenester, behandler den offentlig tilgjengelige data om kundene sine - fullt navn, e-postadresser og telefonnumre. Disse personopplysningene er selvfølgelig knyttet til personopplysninger. Spørsmålet oppstår: er det lovlig å utføre slik behandling? Er det til og med mulig å flytte slike data uten depersonalisering utenfor den russiske føderasjonen, for eksempel for å lagre sikkerhetskopier i noen utenlandske skyer? Selvfølgelig kan du. Byrået har rett til å lagre disse dataene utenfor Russland, men den første innsamlingen, i henhold til vår lovgivning, må utføres på den russiske føderasjonens territorium. Hvis du sikkerhetskopierer slik informasjon, beregner statistikk basert på den, utfører undersøkelser eller utfører andre operasjoner med den - alt dette kan gjøres på vestlige ressurser. Nøkkelpunktet fra et juridisk synspunkt er hvor personopplysninger samles inn. Det er derfor viktig å ikke forveksle innledende innsamling og behandling.

Som det følger av disse korte eksemplene, er det ikke alltid like enkelt og greit å jobbe med personopplysninger. Du må ikke bare vite at du jobber med dem, men også være i stand til å klassifisere dem riktig, forstå hvordan IP-en fungerer for å kunne bestemme det nødvendige sikkerhetsnivået. I noen tilfeller kan det oppstå spørsmål om hvor mye personopplysninger organisasjonen faktisk trenger for å drive. Er det mulig å nekte de mest "seriøse" eller rett og slett unødvendige dataene? I tillegg anbefaler regulatoren å depersonalisere personopplysninger der det er mulig. 

Som i eksemplene ovenfor kan du noen ganger støte på at tilsynsmyndighetene tolker de innsamlede personopplysningene litt annerledes enn du selv vurderte dem.

Du kan selvfølgelig leie inn en revisor eller en systemintegrator som assistent, men vil «assistenten» være ansvarlig for de beslutninger som velges ved revisjon? Det er verdt å merke seg at ansvaret alltid ligger hos eieren av ISPD - operatøren av personopplysninger. Derfor er det viktig når en bedrift utfører slikt arbeid å henvende seg til seriøse aktører i markedet for slike tjenester, for eksempel bedrifter som driver sertifiseringsarbeid. Sertifiseringsbedrifter har lang erfaring med å utføre slikt arbeid.

Alternativer for å bygge en ISPD

Konstruksjonen av en ISPD er ikke bare et teknisk, men også i stor grad et juridisk spørsmål. CIO eller sikkerhetsdirektør bør alltid rådføre seg med juridisk rådgiver. Siden selskapet ikke alltid har en spesialist med den profilen du trenger, er det verdt å se mot revisor-konsulenter. Mange glatte punkter er kanskje ikke åpenbare i det hele tatt.

Konsultasjonen vil tillate deg å finne ut hvilke personopplysninger du har å gjøre med og hvilket beskyttelsesnivå de krever. Følgelig vil du få en ide om IP-en som må opprettes eller suppleres med sikkerhets- og operasjonelle sikkerhetstiltak.

Ofte står valget for et selskap mellom to alternativer:

  1. Bygg tilsvarende IS på dine egne maskin- og programvareløsninger, eventuelt i ditt eget serverrom.

  2. Kontakt en skyleverandør og velg en elastisk løsning, et allerede sertifisert "virtuelt serverrom".

De fleste informasjonssystemer som behandler personopplysninger bruker en tradisjonell tilnærming, som fra et forretningsmessig synspunkt vanskelig kan kalles enkel og vellykket. Når du velger dette alternativet, er det nødvendig å forstå at den tekniske designen vil inkludere en beskrivelse av utstyret, inkludert programvare- og maskinvareløsninger og plattformer. Dette betyr at du må møte følgende vanskeligheter og begrensninger:

  • vanskeligheter med å skalere;

  • lang prosjektgjennomføringsperiode: det er nødvendig å velge, kjøpe, installere, konfigurere og beskrive systemet;

  • mye "papir" arbeid, som et eksempel - utvikling av en komplett pakke med dokumentasjon for hele ISPD.

I tillegg forstår en bedrift som regel bare "toppnivået" av IP-en sin - forretningsapplikasjonene den bruker. IT-medarbeidere er med andre ord dyktige på sitt spesifikke område. Det er ingen forståelse for hvordan alle "lavere nivåer" fungerer: programvare- og maskinvarebeskyttelse, lagringssystemer, sikkerhetskopiering og selvfølgelig hvordan du konfigurerer beskyttelsesverktøy i samsvar med alle krav, bygger "maskinvare"-delen av konfigurasjonen. Det er viktig å forstå: dette er et enormt lag med kunnskap som ligger utenfor kundens virksomhet. Det er her opplevelsen av en skyleverandør som tilbyr et sertifisert "virtuelt serverrom" kan komme godt med.

På sin side har skyleverandører en rekke fordeler som uten overdrivelse kan dekke 99 % av virksomhetens behov innen personopplysningsbeskyttelse:

  • kapitalkostnader konverteres til driftskostnader;

  • leverandøren på sin side garanterer levering av det nødvendige nivået av sikkerhet og tilgjengelighet basert på en velprøvd standardløsning;

  • det er ikke nødvendig å opprettholde en stab av spesialister som vil sikre driften av ISPD på maskinvarenivå;

  • leverandører tilbyr mye mer fleksible og elastiske løsninger;

  • leverandørens spesialister har alle nødvendige sertifikater;

  • samsvar er ikke lavere enn når du bygger din egen arkitektur, med hensyn til kravene og anbefalingene fra regulatorer.

Den gamle myten om at personopplysninger ikke kan lagres i skyen er fortsatt ekstremt populær. Det er bare delvis sant: PD kan virkelig ikke legges ut i den første tilgjengelige Sky. Overholdelse av visse tekniske tiltak og bruk av visse sertifiserte løsninger er påkrevd. Hvis leverandøren overholder alle lovkrav, minimeres risikoen forbundet med persondatalekkasje. Mange tilbydere har en egen infrastruktur for behandling av personopplysninger i henhold til 152-FZ. Valget av leverandør må imidlertid også tilnærmes med kjennskap til visse kriterier, vi vil helt sikkert komme inn på dem nedenfor. 

Kunder kommer ofte til oss med noen bekymringer om plassering av personopplysninger i leverandørens sky. Vel, la oss diskutere dem med en gang.

  • Data kan bli stjålet under overføring eller migrering

Det er ingen grunn til å være redd for dette - leverandøren tilbyr kunden å lage en sikker dataoverføringskanal bygget på sertifiserte løsninger, forbedrede autentiseringstiltak for entreprenører og ansatte. Alt som gjenstår er å velge de riktige beskyttelsesmetodene og implementere dem som en del av ditt arbeid med klienten.

  • Vis masker vil komme og ta bort/forsegle/kutt av strømmen til serveren

Det er ganske forståelig for kunder som frykter at deres forretningsprosesser vil bli forstyrret på grunn av utilstrekkelig kontroll over infrastrukturen. Som regel tenker de klientene hvis maskinvare tidligere var plassert i små serverrom i stedet for spesialiserte datasentre på dette. I virkeligheten er datasentre utstyrt med moderne midler for både fysisk beskyttelse og informasjonsbeskyttelse. Det er nesten umulig å utføre noen operasjoner i et slikt datasenter uten tilstrekkelig grunnlag og papirer, og slike aktiviteter krever overholdelse av en rekke prosedyrer. I tillegg kan det å "trekke" serveren din fra datasenteret påvirke andre klienter til leverandøren, og dette er definitivt ikke nødvendig for noen. I tillegg vil ingen være i stand til å peke en finger spesifikt på "din" virtuelle server, så hvis noen vil stjele den eller sette opp et maskeshow, vil de først måtte håndtere mange byråkratiske forsinkelser. I løpet av denne tiden vil du mest sannsynlig ha tid til å migrere til et annet nettsted flere ganger.

  • Hackere vil hacke skyen og stjele data

Internett og trykt presse er fulle av overskrifter om hvordan enda en sky har blitt offer for nettkriminelle, og millioner av personopplysninger har lekket ut på nettet. I de aller fleste tilfeller ble det ikke funnet sårbarheter på leverandørens side i det hele tatt, men i ofrenes informasjonssystemer: svake eller til og med standard passord, "hull" i nettsidemotorer og databaser, og banal forretningsmessig uforsiktighet ved valg av sikkerhetstiltak og organisere datatilgangsprosedyrer. Alle sertifiserte løsninger sjekkes for sårbarheter. Vi gjennomfører også regelmessig «kontroll»-testing og sikkerhetsrevisjoner, både uavhengig og gjennom eksterne organisasjoner. For tilbyderen er dette et spørsmål om omdømme og virksomhet generelt.

  • Leverandøren/ansatte hos leverandøren vil stjele personopplysninger for personlig vinning

Dette er et ganske følsomt øyeblikk. En rekke selskaper fra informasjonssikkerhetsverdenen "skremmer" sine klienter og insisterer på at "interne ansatte er farligere enn eksterne hackere." Dette kan være sant i noen tilfeller, men en virksomhet kan ikke bygges uten tillit. Fra tid til annen kommer det nyheter om at en organisasjons egne ansatte lekker kundedata til angripere, og intern sikkerhet er noen ganger organisert mye dårligere enn ekstern sikkerhet. Det er viktig å forstå her at enhver stor leverandør er ekstremt uinteressert i negative saker. Handlingen til leverandørens ansatte er godt regulert, roller og ansvarsområder er delt. Alle forretningsprosesser er strukturert på en slik måte at tilfeller av datalekkasje er ekstremt usannsynlige og alltid er merkbare for interne tjenester, så klienter bør ikke være redde for problemer fra denne siden.

  • Du betaler lite fordi du betaler for tjenester med bedriftsdataene dine.

En annen myte: en klient som leier sikker infrastruktur til en behagelig pris betaler faktisk for det med dataene sine - dette blir ofte tenkt av eksperter som ikke har noe imot å lese et par konspirasjonsteorier før de legger seg. For det første er muligheten for å utføre andre operasjoner med dataene dine enn de som er spesifisert i bestillingen i hovedsak null. For det andre verdsetter en tilstrekkelig leverandør forholdet til deg og hans rykte - i tillegg til deg har han mange flere kunder. Det motsatte scenariet er mer sannsynlig, der leverandøren nidkjært vil beskytte dataene til kundene sine, som virksomheten hviler på.

Velge en skyleverandør for ISPD

I dag tilbyr markedet mange løsninger for selskaper som er PD-operatører. Nedenfor er en generell liste over anbefalinger for å velge riktig.

  • Tilbyder må være klar til å inngå en formell avtale som beskriver partenes ansvar, SLAer og ansvarsområder i nøkkelen til behandling av personopplysninger. Faktisk, mellom deg og leverandøren, i tillegg til tjenesteavtalen, må en ordre om PD-behandling signeres. I alle fall er det verdt å studere dem nøye. Det er viktig å forstå ansvarsfordelingen mellom deg og leverandøren.

  • Vær oppmerksom på at segmentet må oppfylle kravene, noe som betyr at det må ha et sertifikat som indikerer et sikkerhetsnivå som ikke er lavere enn det som kreves av din IP. Det hender at tilbydere publiserer kun den første siden av sertifikatet, som lite er klart fra, eller refererer til revisjoner eller etterlevelsesprosedyrer uten å publisere selve sertifikatet ("var det en gutt?"). Det er verdt å be om det - dette er et offentlig dokument som indikerer hvem som utførte sertifiseringen, gyldighetsperioden, skyplasseringen, etc.

  • Tilbyderen må gi informasjon om hvor dens nettsteder (beskyttede objekter) befinner seg slik at du kan kontrollere plasseringen av dataene dine. La oss minne deg om at den første innsamlingen av personopplysninger må utføres på territoriet til Den russiske føderasjonen; derfor er det tilrådelig å se adressene til datasenteret i kontrakten/sertifikatet.

  • Tilbyder skal bruke sertifiserte informasjonssikkerhets- og informasjonsbeskyttelsessystemer. De fleste tilbydere annonserer selvfølgelig ikke de tekniske sikkerhetstiltakene og løsningsarkitekturen de bruker. Men du som klient kan ikke unngå å vite om det. For eksempel, for å eksternt koble til et styringssystem (administrasjonsportal), er det nødvendig å bruke sikkerhetstiltak. Leverandøren vil ikke kunne omgå dette kravet og vil gi deg (eller kreve at du bruker) sertifiserte løsninger. Ta ressursene for en test og du vil umiddelbart forstå hvordan og hva som fungerer. 

  • Det er svært ønskelig for skyleverandøren å tilby tilleggstjenester innen informasjonssikkerhet. Dette kan være ulike tjenester: beskyttelse mot DDoS-angrep og WAF, antivirustjeneste eller sandkasse osv. Alt dette vil tillate deg å motta beskyttelse som en tjeneste, ikke å bli distrahert av bygningsbeskyttelsessystemer, men å jobbe med forretningsapplikasjoner.

  • Tilbyderen må være rettighetshaver av FSTEC og FSB. Som regel legges slik informasjon ut direkte på nettsiden. Sørg for å be om disse dokumentene og sjekk om adressene for å levere tjenester, navnet på leverandørselskapet osv. er korrekte. 

La oss oppsummere. Å leie infrastruktur vil tillate deg å forlate CAPEX og beholde bare dine forretningsapplikasjoner og selve dataene i ditt ansvarsområde, og overføre den tunge byrden med sertifisering av maskinvare og programvare og maskinvare til leverandøren.

Hvordan vi besto sertifiseringen

Senest har vi bestått resertifiseringen av infrastrukturen til "Secure Cloud FZ-152" for overholdelse av kravene for å jobbe med personopplysninger. Arbeidet ble utført av Nasjonalt sertifiseringssenter.

For øyeblikket er "FZ-152 Secure Cloud" sertifisert for å være vert for informasjonssystemer involvert i behandling, lagring eller overføring av personopplysninger (ISPDn) i samsvar med kravene til nivå UZ-3.

Sertifiseringsprosedyren innebærer å sjekke at skyleverandørens infrastruktur samsvarer med beskyttelsesnivået. Leverandøren selv leverer IaaS-tjenesten og er ikke en operatør av personopplysninger. Prosessen innebærer vurdering av både organisatoriske (dokumentasjon, pålegg etc.) og tekniske tiltak (oppsetting av verneutstyr etc.).

Det kan ikke kalles trivielt. Til tross for at GOST på programmer og metoder for å utføre sertifiseringsaktiviteter dukket opp tilbake i 2013, eksisterer fortsatt ikke strenge programmer for skyobjekter. Sertifiseringssentre utvikler disse programmene basert på egen kompetanse. Med bruken av nye teknologier blir programmene mer komplekse og moderniserte, og sertifiseringen må derfor ha erfaring med å jobbe med skyløsninger og forstå detaljene.

I vårt tilfelle består verneobjektet av to lokasjoner.

  • Skyressurser (servere, lagringssystemer, nettverksinfrastruktur, sikkerhetsverktøy osv.) er plassert direkte i datasenteret. Selvfølgelig er et slikt virtuelt datasenter koblet til offentlige nettverk, og følgelig må visse brannmurkrav oppfylles, for eksempel bruk av sertifiserte brannmurer.

  • Den andre delen av objektet er skyadministrasjonsverktøy. Dette er arbeidsstasjoner (administrators arbeidsstasjoner) som det beskyttede segmentet administreres fra.

Steder kommuniserer gjennom en VPN-kanal bygget på CIPF.

Siden virtualiseringsteknologier skaper forutsetninger for fremveksten av trusler, bruker vi også ekstra sertifiserte beskyttelsesverktøy.

IaaS 152-FZ: så du trenger sikkerhetBlokkdiagram "gjennom vurdererens øyne"

Hvis klienten krever sertifisering av sin ISPD, etter å ha leid IaaS, vil han bare måtte evaluere informasjonssystemet over nivået til det virtuelle datasenteret. Denne prosedyren innebærer å sjekke infrastrukturen og programvaren som brukes på den. Siden du kan referere til leverandørens sertifikat for alle infrastrukturproblemer, er alt du trenger å gjøre å jobbe med programvaren.

IaaS 152-FZ: så du trenger sikkerhetSeparasjon på abstraksjonsnivå

Avslutningsvis kommer her en liten sjekkliste for bedrifter som allerede jobber med persondata eller bare planlegger. Så, hvordan håndtere det uten å bli brent.

  1. For å revidere og utvikle modeller for trusler og inntrengere, inviter en erfaren konsulent fra sertifiseringslaboratoriene som vil hjelpe deg med å utvikle de nødvendige dokumentene og bringe deg til scenen med tekniske løsninger.

  2. Når du velger en skyleverandør, vær oppmerksom på tilstedeværelsen av et sertifikat. Det ville vært bra om selskapet offentlig la det ut direkte på nettsiden. Tilbyderen skal være rettighetshaver av FSTEC og FSB, og tjenesten han tilbyr skal være sertifisert.

  3. Sørg for at du har en formell avtale og en signert instruks for behandling av personopplysninger. Basert på dette vil du kunne gjennomføre både samsvarskontroll og ISPD-sertifisering Dersom dette arbeidet på stadiet av det tekniske prosjektet og opprettelse av design og teknisk dokumentasjon virker belastende for deg, bør du kontakte tredjeparts konsulentselskaper blant sertifiseringslaboratoriene.

Hvis spørsmål om behandling av personopplysninger er relevante for deg, 18. september, denne fredagen, vil vi gjerne se deg på webinaret "Funksjoner ved å bygge sertifiserte skyer".

Kilde: www.habr.com

Legg til en kommentar