ProHoster > Blog > administracja > IaaS 152-FZ: potrzebujesz więc bezpieczeństwa

IaaS 152-FZ: potrzebujesz więc bezpieczeństwa

IaaS 152-FZ: potrzebujesz więc bezpieczeństwa

Niezależnie od tego, jak bardzo uporządkujesz mity i legendy dotyczące zgodności z normą 152-FZ, coś zawsze pozostanie za kulisami. Dziś chcemy omówić kilka nie zawsze oczywistych niuansów, z którymi mogą spotkać się zarówno duże firmy, jak i bardzo małe przedsiębiorstwa:

  • subtelności klasyfikacji PD na kategorie - gdy mały sklep internetowy zbiera dane związane ze specjalną kategorią, nawet o tym nie wiedząc;

  • gdzie możesz przechowywać kopie zapasowe zebranych PD i wykonywać na nich operacje;

  • jaka jest różnica między certyfikatem a stwierdzeniem zgodności, jakich dokumentów należy zażądać od dostawcy i tym podobne.

Na koniec podzielimy się z Wami naszymi własnymi doświadczeniami z przejścia certyfikacji. Iść!

Ekspertem w dzisiejszym artykule będzie Aleksiej Afanasjew, specjalista IS dla dostawców usług chmurowych IT-GRAD i #CloudMTS (część grupy MTS).

Subtelności klasyfikacji

Często spotykamy się z potrzebą klienta, aby szybko, bez audytu IS, określić wymagany poziom bezpieczeństwa dla ISPD. Niektóre materiały w Internecie na ten temat sprawiają fałszywe wrażenie, że jest to zadanie proste i dość trudno popełnić błąd.

Aby określić KM, konieczne jest zrozumienie, jakie dane będą zbierane i przetwarzane przez IS klienta. Czasami jednoznaczne określenie wymogów ochrony i kategorii danych osobowych, którymi operuje przedsiębiorstwo, może być trudne. Te same rodzaje danych osobowych można oceniać i klasyfikować w zupełnie inny sposób. Dlatego w niektórych przypadkach opinia przedsiębiorstwa może różnić się od opinii biegłego rewidenta, a nawet inspektora. Spójrzmy na kilka przykładów.

Parking. Wydawać by się mogło, że jest to dość tradycyjny rodzaj działalności. Wiele flot pojazdów funkcjonuje już od kilkudziesięciu lat, a ich właściciele zatrudniają indywidualnych przedsiębiorców i osoby prywatne. Co do zasady dane pracowników podlegają wymogom UZ-4. Jednak do pracy z kierowcami konieczne jest nie tylko zebranie danych osobowych, ale także przeprowadzenie kontroli lekarskiej na terenie floty pojazdów przed wyjazdem na zmianę, a informacje zebrane w tym procesie od razu zaliczają się do kategorii dane medyczne – a są to dane osobowe szczególnej kategorii. Ponadto flota może zażądać certyfikatów, które następnie będą przechowywane w aktach kierowcy. Skan takiego zaświadczenia w formie elektronicznej – dane dotyczące stanu zdrowia, dane osobowe kategorii specjalnej. Oznacza to, że UZ-4 już nie wystarczy, potrzebny jest przynajmniej UZ-3.

Sklep internetowy. Wydawałoby się, że zebrane nazwiska, e-maile i numery telefonów mieszczą się w kategorii publicznej. Jeśli jednak Twoi klienci wskażą preferencje żywieniowe, takie jak halal lub koszerność, takie informacje mogą zostać uznane za dane dotyczące przynależności religijnej lub przekonań. Dlatego przy sprawdzaniu lub wykonywaniu innych czynności kontrolnych inspektor może zaliczyć zbierane przez Ciebie dane do szczególnej kategorii danych osobowych. Teraz, gdyby sklep internetowy zbierał informacje o tym, czy jego kupujący preferuje mięso czy ryby, dane te mogłyby zostać zaliczone do innych danych osobowych. Swoją drogą, co z wegetarianami? Przecież można to również przypisać przekonaniom filozoficznym, które również należą do specjalnej kategorii. Ale z drugiej strony może to być po prostu postawa osoby, która wyeliminowała mięso ze swojej diety. Niestety, nie ma przesłanki jednoznacznie definiującej kategorię PD w tak „subtelnych” sytuacjach.

Agencja reklamowa Korzystając z niektórych zachodnich usług chmurowych, przetwarza publicznie dostępne dane swoich klientów – imiona i nazwiska, adresy e-mail i numery telefonów. Te dane osobowe dotyczą oczywiście danych osobowych. Powstaje pytanie: czy dokonywanie takiego przetwarzania jest zgodne z prawem? Czy jest w ogóle możliwe przeniesienie takich danych bez depersonalizacji poza Federację Rosyjską, na przykład w celu przechowywania kopii zapasowych w jakichś obcych chmurach? Oczywiście, że możesz. Agencja ma prawo przechowywać te dane poza granicami Rosji, jednakże wstępne gromadzenie, zgodnie z naszym ustawodawstwem, musi odbywać się na terytorium Federacji Rosyjskiej. Jeśli utworzysz kopię zapasową takich informacji, obliczysz na ich podstawie jakieś statystyki, przeprowadzisz badania lub wykonasz na nich inne operacje - wszystko to można zrobić na zachodnich zasobach. Kluczową kwestią z prawnego punktu widzenia jest miejsce gromadzenia danych osobowych. Dlatego ważne jest, aby nie mylić początkowego gromadzenia i przetwarzania.

Jak wynika z tych krótkich przykładów, praca z danymi osobowymi nie zawsze jest prosta i prosta. Trzeba nie tylko wiedzieć, że z nimi współpracujesz, ale także potrafić je poprawnie sklasyfikować, zrozumieć, jak działa IP, aby poprawnie określić wymagany poziom bezpieczeństwa. W niektórych przypadkach może pojawić się pytanie, ile danych osobowych faktycznie potrzebuje organizacja do działania. Czy można odmówić najbardziej „poważnych” lub po prostu niepotrzebnych danych? Ponadto regulator zaleca, o ile to możliwe, depersonalizację danych osobowych. 

Podobnie jak w powyższych przykładach, czasami możesz spotkać się z faktem, że organy kontrolne interpretują zebrane dane osobowe nieco inaczej niż Ty je sam oceniłeś.

Można oczywiście zatrudnić audytora lub integratora systemów w charakterze asystenta, jednak czy „asystent” będzie odpowiadał za decyzje podejmowane w przypadku audytu? Warto zaznaczyć, że odpowiedzialność zawsze spoczywa na właścicielu ISPD – operatorze danych osobowych. Dlatego też, gdy firma wykonuje takie prace, ważne jest, aby zwrócić się do poważnych graczy na rynku takich usług, na przykład firm prowadzących prace certyfikacyjne. Firmy certyfikujące posiadają duże doświadczenie w wykonywaniu tego typu prac.

Opcje budowania ISPD

Budowa ISPD to nie tylko kwestia techniczna, ale w dużej mierze także prawna. CIO lub dyrektor ds. bezpieczeństwa powinni zawsze konsultować się z radcą prawnym. Ponieważ firma nie zawsze posiada specjalistę o wymaganym profilu, warto zwrócić się w stronę audytorów-konsultantów. Wiele śliskich punktów może w ogóle nie być oczywistych.

Konsultacja pozwoli Ci określić, z jakimi danymi osobowymi masz do czynienia i jakiego stopnia ochrony wymagają. W związku z tym będziesz miał pojęcie o adresie IP, który należy utworzyć lub uzupełnić o środki bezpieczeństwa i bezpieczeństwa operacyjnego.

Często firma dokonuje wyboru pomiędzy dwiema opcjami:

  1. Zbuduj odpowiedni IS na własnym sprzęcie i oprogramowaniu, ewentualnie we własnej serwerowni.

  2. Skontaktuj się z dostawcą chmury i wybierz elastyczne rozwiązanie, jakim jest już certyfikowana „wirtualna serwerownia”.

Większość systemów informatycznych przetwarzających dane osobowe wykorzystuje tradycyjne podejście, które z biznesowego punktu widzenia trudno nazwać łatwym i skutecznym. Wybierając tę ​​opcję należy mieć świadomość, że projekt techniczny będzie zawierał opis sprzętu, w tym rozwiązania programowe i sprzętowe oraz platformy. Oznacza to, że będziesz musiał stawić czoła następującym trudnościom i ograniczeniom:

  • trudność skalowania;

  • długi okres realizacji projektu: konieczny jest wybór, zakup, instalacja, konfiguracja i opis systemu;

  • na przykład dużo pracy „papierkowej” - opracowanie kompletnego pakietu dokumentacji dla całego ISPD.

Ponadto firma z reguły rozumie tylko „najwyższy” poziom swojego adresu IP - aplikacje biznesowe, z których korzysta. Innymi słowy, pracownicy IT są wykwalifikowani w swojej konkretnej dziedzinie. Nie wiadomo, jak działają wszystkie „niższe poziomy”: ochrona oprogramowania i sprzętu, systemy pamięci masowej, kopie zapasowe i oczywiście, jak skonfigurować narzędzia zabezpieczające zgodnie ze wszystkimi wymaganiami, zbudować „sprzętową” część konfiguracji. Warto zrozumieć: to ogromna warstwa wiedzy, która leży poza biznesem Klienta. Tutaj z pomocą może przyjść doświadczenie dostawcy chmury udostępniającego certyfikowaną „wirtualną serwerownię”.

Z kolei dostawcy usług chmurowych mają szereg zalet, które bez przesady mogą pokryć 99% potrzeb biznesowych w zakresie ochrony danych osobowych:

  • koszty kapitałowe przelicza się na koszty operacyjne;

  • dostawca ze swojej strony gwarantuje zapewnienie wymaganego poziomu bezpieczeństwa i dostępności w oparciu o sprawdzone standardowe rozwiązanie;

  • nie ma potrzeby utrzymywania kadry specjalistów, którzy zapewnią działanie ISPD na poziomie sprzętowym;

  • dostawcy oferują znacznie bardziej elastyczne i elastyczne rozwiązania;

  • specjaliści dostawcy posiadają wszystkie niezbędne certyfikaty;

  • zgodność jest nie mniejsza niż przy budowaniu własnej architektury, z uwzględnieniem wymagań i zaleceń organów regulacyjnych.

Wciąż niezwykle popularny jest stary mit, że danych osobowych nie można przechowywać w chmurze. Jest to tylko częściowo prawdą: PD naprawdę nie można wysłać w pierwszym dostępnym Chmura. Wymagane jest przestrzeganie określonych środków technicznych i stosowanie określonych certyfikowanych rozwiązań. Jeśli dostawca spełnia wszystkie wymogi prawne, ryzyko związane z wyciekiem danych osobowych jest zminimalizowane. Wielu dostawców posiada odrębną infrastrukturę do przetwarzania danych osobowych zgodnie z 152-FZ. Do wyboru dostawcy trzeba jednak podchodzić także ze znajomością pewnych kryteriów, o których z pewnością porozmawiamy poniżej. 

Klienci często zgłaszają się do nas z obawami dotyczącymi umieszczenia danych osobowych w chmurze dostawcy. Cóż, omówmy je od razu.

  • Dane mogą zostać skradzione podczas transmisji lub migracji

Nie ma się czego bać – dostawca oferuje klientowi utworzenie bezpiecznego kanału transmisji danych zbudowanego w oparciu o certyfikowane rozwiązania, wzmocnione mechanizmy uwierzytelniania dla kontrahentów i pracowników. Pozostaje tylko wybrać odpowiednie metody ochrony i wdrożyć je w ramach swojej pracy z klientem.

  • Pokaż maski przyjdą i zabiorą/zablokują/odetną zasilanie serwera

Jest to zrozumiałe dla klientów, którzy obawiają się, że ich procesy biznesowe zostaną zakłócone na skutek niewystarczającej kontroli nad infrastrukturą. Z reguły myślą o tym klienci, których sprzęt znajdował się wcześniej w małych serwerowniach, a nie w wyspecjalizowanych centrach danych. W rzeczywistości centra danych wyposażone są w nowoczesne środki ochrony fizycznej i informacji. Przeprowadzenie jakichkolwiek operacji w takim centrum danych bez odpowiednich podstaw i dokumentów jest prawie niemożliwe, a działalność taka wymaga przestrzegania szeregu procedur. Ponadto „wyciągnięcie” Twojego serwera z centrum danych może mieć wpływ na innych klientów dostawcy, a to zdecydowanie nie jest dla nikogo konieczne. Poza tym nikt nie będzie w stanie wskazać palcem konkretnie „twojego” serwera wirtualnego, więc jeśli ktoś będzie chciał go ukraść lub zorganizować pokaz masek, będzie musiał najpierw uporać się z dużą ilością biurokratycznych opóźnień. W tym czasie najprawdopodobniej będziesz miał czas na kilkakrotną migrację do innej witryny.

  • Hakerzy włamują się do chmury i kradną dane

Internet i prasa drukowana są pełne nagłówków o tym, jak kolejna chmura padła ofiarą cyberprzestępców, a miliony rekordów danych osobowych wyciekły do ​​Internetu. W zdecydowanej większości przypadków luki wykryto nie po stronie dostawcy, ale w systemach informatycznych ofiar: słabe lub nawet domyślne hasła, „dziury” w silnikach stron internetowych i bazach danych oraz banalna nieostrożność biznesowa przy wyborze środków bezpieczeństwa i organizowanie procedur dostępu do danych. Wszystkie certyfikowane rozwiązania są sprawdzane pod kątem luk. Regularnie przeprowadzamy także pentesty „kontrolne” i audyty bezpieczeństwa, zarówno samodzielnie, jak i za pośrednictwem organizacji zewnętrznych. Dla dostawcy jest to kwestia reputacji i biznesu w ogóle.

  • Dostawca/pracownicy dostawcy kradną dane osobowe w celu osiągnięcia korzyści osobistych

To dość wrażliwy moment. Wiele firm ze świata bezpieczeństwa informacji „straszy” swoich klientów i upiera się, że „wewnętrzni pracownicy są bardziej niebezpieczni niż zewnętrzni hakerzy”. Może to być prawdą w niektórych przypadkach, ale firmy nie da się zbudować bez zaufania. Od czasu do czasu pojawiają się informacje, że pracownicy organizacji ujawniają dane klientów atakującym, a bezpieczeństwo wewnętrzne jest czasami zorganizowane znacznie gorzej niż bezpieczeństwo zewnętrzne. Ważne jest, aby zrozumieć, że każdy duży dostawca jest wyjątkowo niezainteresowany negatywnymi przypadkami. Działania pracowników dostawcy są dobrze uregulowane, role i obszary odpowiedzialności są podzielone. Wszystkie procesy biznesowe są skonstruowane w taki sposób, aby przypadki wycieku danych były niezwykle mało prawdopodobne i zawsze były zauważalne dla służb wewnętrznych, dlatego klienci nie powinni obawiać się problemów z tej strony.

  • Płacisz niewiele, bo za usługi płacisz danymi biznesowymi.

Kolejny mit: klient wynajmujący bezpieczną infrastrukturę za wygodną cenę faktycznie płaci za nią swoimi danymi – często tak myślą eksperci, którzy nie mają nic przeciwko przeczytaniu kilku teorii spiskowych przed pójściem spać. Po pierwsze, możliwość wykonania na Twoich danych jakichkolwiek innych operacji niż określone w zamówieniu jest w zasadzie zerowa. Po drugie, odpowiedni dostawca ceni sobie relację z Tobą i swoją reputację - oprócz Ciebie ma znacznie więcej klientów. Bardziej prawdopodobny jest scenariusz odwrotny, w którym dostawca będzie gorliwie chronił dane swoich klientów, na których opiera się jego biznes.

Wybór dostawcy chmury dla ISPD

Obecnie rynek oferuje wiele rozwiązań dla firm będących operatorami PD. Poniżej znajduje się ogólna lista zaleceń dotyczących wyboru odpowiedniego.

  • Dostawca musi być gotowy do zawarcia formalnej umowy opisującej obowiązki stron, SLA i obszary odpowiedzialności w kluczu przetwarzania danych osobowych. W rzeczywistości między Tobą a dostawcą, oprócz umowy o świadczenie usług, musi zostać podpisane zlecenie przetwarzania PD. W każdym razie warto je dokładnie przestudiować. Ważne jest, aby zrozumieć podział obowiązków pomiędzy Tobą a dostawcą.

  • Pamiętaj, że segment musi spełniać wymagania, co oznacza, że ​​musi posiadać certyfikat wskazujący poziom bezpieczeństwa nie niższy niż wymagany przez Twoje IP. Zdarza się, że dostawcy publikują jedynie pierwszą stronę certyfikatu, z której niewiele wynika lub odwołują się do audytów lub procedur compliance, nie publikując samego certyfikatu („czy był chłopiec?”). Warto o to poprosić – jest to dokument publiczny, który wskazuje, kto przeprowadził certyfikację, okres ważności, lokalizację w chmurze itp.

  • Dostawca musi udostępnić informacje o tym, gdzie znajdują się jego witryny (obiekty chronione), abyś mógł kontrolować rozmieszczenie swoich danych. Przypomnijmy, że wstępne gromadzenie danych osobowych musi odbywać się na terytorium Federacji Rosyjskiej, w związku z tym wskazane jest, aby adresy centrum danych były widoczne w umowie/certyfikacie.

  • Dostawca musi stosować certyfikowane systemy bezpieczeństwa i ochrony informacji. Oczywiście większość dostawców nie reklamuje stosowanych przez siebie technicznych środków bezpieczeństwa i architektury rozwiązań. Ale Ty, jako klient, nie możesz o tym nie wiedzieć. Przykładowo, aby zdalnie połączyć się z systemem zarządzania (portalem zarządzania), konieczne jest zastosowanie zabezpieczeń. Dostawca nie będzie mógł ominąć tego wymogu i dostarczy Ci (lub będzie wymagał użycia) certyfikowanych rozwiązań. Weź zasoby do testu, a od razu zrozumiesz, jak i co działa. 

  • Wysoce pożądane jest, aby dostawca chmury świadczył dodatkowe usługi z zakresu bezpieczeństwa informacji. Mogą to być różne usługi: ochrona przed atakami DDoS i WAF, usługa antywirusowa czy sandbox itp. Wszystko to pozwoli Ci otrzymać ochronę w formie usługi, a nie zajmować się systemami ochrony budynków, ale pracować nad aplikacjami biznesowymi.

  • Dostawca musi być licencjobiorcą FSTEC i FSB. Z reguły taka informacja zamieszczana jest bezpośrednio na stronie internetowej. Pamiętaj, aby poprosić o te dokumenty i sprawdzić, czy adresy świadczenia usług, nazwa firmy dostawcy itp. są prawidłowe. 

Podsumujmy. Wynajęcie infrastruktury pozwoli Ci zrezygnować z nakładów inwestycyjnych i zachować jedynie aplikacje biznesowe i same dane w swoim obszarze odpowiedzialności, a duży ciężar certyfikacji sprzętu i oprogramowania oraz sprzętu przeniesie na dostawcę.

Jak przeszliśmy certyfikację

W ostatnim czasie pomyślnie przeszliśmy recertyfikację infrastruktury „Secure Cloud FZ-152” na zgodność z wymogami pracy z danymi osobowymi. Prace wykonało Krajowe Centrum Certyfikacji.

Aktualnie „FZ-152 Secure Cloud” posiada certyfikat umożliwiający hosting systemów informatycznych zajmujących się przetwarzaniem, przechowywaniem lub transmisją danych osobowych (ISPDn) zgodnie z wymaganiami poziomu UZ-3.

Procedura certyfikacji polega na sprawdzeniu zgodności infrastruktury dostawcy chmury z poziomem ochrony. Dostawca sam świadczy usługę IaaS i nie jest operatorem danych osobowych. Proces obejmuje ocenę zarówno środków organizacyjnych (dokumentacja, zamówienia itp.), jak i technicznych (zakładanie środków ochronnych itp.).

Nie można tego nazwać banalnym. Pomimo faktu, że GOST dotyczący programów i metod prowadzenia działań certyfikacyjnych pojawił się w 2013 roku, nadal nie istnieją ścisłe programy dla obiektów w chmurze. Centra certyfikacji opracowują te programy w oparciu o własną wiedzę specjalistyczną. Wraz z pojawieniem się nowych technologii programy stają się coraz bardziej złożone i unowocześniane, dlatego osoba certyfikująca musi mieć doświadczenie w pracy z rozwiązaniami chmurowymi i rozumieć specyfikę.

W naszym przypadku chroniony obiekt składa się z dwóch lokalizacji.

  • Zasoby chmurowe (serwery, systemy pamięci masowej, infrastruktura sieciowa, narzędzia bezpieczeństwa itp.) zlokalizowane są bezpośrednio w centrum danych. Oczywiście takie wirtualne centrum danych jest podłączone do sieci publicznych i w związku z tym należy spełnić określone wymagania dotyczące firewalli, na przykład zastosowanie certyfikowanych firewalli.

  • Drugą część obiektu stanowią narzędzia do zarządzania chmurą. Są to stacje robocze (stacje administratora), z których zarządzany jest segment chroniony.

Lokalizacje komunikują się za pośrednictwem kanału VPN zbudowanego na CIPF.

Ponieważ technologie wirtualizacji stwarzają warunki do pojawienia się zagrożeń, korzystamy również z dodatkowych certyfikowanych narzędzi ochrony.

IaaS 152-FZ: potrzebujesz więc bezpieczeństwaSchemat blokowy „oczami asesora”

Jeśli klient będzie potrzebował certyfikacji swojego ISPD, po wynajęciu IaaS będzie musiał jedynie ocenić system informatyczny powyżej poziomu wirtualnego centrum danych. Procedura ta polega na sprawdzeniu infrastruktury i wykorzystywanego na niej oprogramowania. Ponieważ we wszystkich kwestiach związanych z infrastrukturą możesz odwoływać się do certyfikatu dostawcy, wystarczy pracować z oprogramowaniem.

IaaS 152-FZ: potrzebujesz więc bezpieczeństwaSeparacja na poziomie abstrakcji

Podsumowując, oto mała lista kontrolna dla firm, które już pracują z danymi osobowymi lub dopiero planują. Jak więc sobie z tym poradzić, aby się nie poparzyć.

  1. Do audytu i opracowania modeli zagrożeń i intruzów zaproś doświadczonego konsultanta spośród laboratoriów certyfikujących, który pomoże opracować niezbędne dokumenty i doprowadzi Cię do etapu rozwiązań technicznych.

  2. Wybierając dostawcę chmury, zwróć uwagę na obecność certyfikatu. Dobrze byłoby, gdyby firma zamieściła go publicznie bezpośrednio na stronie internetowej. Dostawca musi posiadać licencję FSTEC i FSB, a oferowane przez niego usługi muszą posiadać certyfikat.

  3. Upewnij się, że masz formalną umowę i podpisaną instrukcję przetwarzania danych osobowych. Na tej podstawie będziesz mógł przeprowadzić zarówno weryfikację zgodności, jak i certyfikację ISPD.Jeśli ta praca na etapie projektu technicznego i tworzenia dokumentacji projektowej i technicznej wydaje Ci się uciążliwa, powinieneś skontaktować się z zewnętrznymi firmami doradczymi spośród laboratoriów certyfikujących.

Jeżeli kwestie przetwarzania danych osobowych są dla Ciebie istotne, już 18 września, w najbliższy piątek, będzie nam miło spotkać się z Tobą na webinarze „Funkcje budowania certyfikowanych chmur”.

Źródło: www.habr.com

Dodaj komentarz