ProHoster > Blog > administração > IaaS 152-FZ: então você precisa de segurança

IaaS 152-FZ: então você precisa de segurança

IaaS 152-FZ: então você precisa de segurança

Não importa o quanto você resolva os mitos e lendas que cercam a conformidade com 152-FZ, algo sempre permanece nos bastidores. Hoje queremos discutir algumas nuances nem sempre óbvias que tanto as grandes empresas como as muito pequenas empresas podem encontrar:

  • sutilezas da classificação do PD em categorias - quando uma pequena loja online coleta dados relacionados a uma categoria especial, mesmo sem saber;

  • onde você pode armazenar backups de PD coletados e realizar operações neles;

  • qual a diferença entre um certificado e uma conclusão de conformidade, quais documentos você deve solicitar ao fornecedor e coisas assim.

Por fim, compartilharemos com você nossa própria experiência de aprovação na certificação. Ir!

O especialista do artigo de hoje será Alexey Afanasiev, especialista em SI para provedores de nuvem IT-GRAD e #CloudMTS (parte do grupo MTS).

Sutilezas de classificação

Muitas vezes nos deparamos com o desejo de um cliente de determinar rapidamente, sem uma auditoria de SI, o nível de segurança necessário para um ISPD. Alguns materiais na Internet sobre esse assunto dão a falsa impressão de que se trata de uma tarefa simples e bastante difícil de cometer erros.

Para determinar o GC é necessário entender quais dados serão coletados e processados ​​pelo SI do cliente. Às vezes pode ser difícil determinar de forma inequívoca os requisitos de proteção e a categoria de dados pessoais que uma empresa opera. Os mesmos tipos de dados pessoais podem ser avaliados e classificados de formas completamente diferentes. Portanto, em alguns casos, a opinião da empresa pode diferir da opinião do auditor ou mesmo do fiscal. Vejamos alguns exemplos.

Estacionamento. Pareceria um tipo de negócio bastante tradicional. Muitas frotas de veículos operam há décadas e seus proprietários contratam empreendedores individuais e pessoas físicas. Via de regra, os dados dos funcionários se enquadram nos requisitos do UZ-4. Porém, para trabalhar com os motoristas é necessário não só coletar dados pessoais, mas também realizar o controle médico no território da frota de veículos antes do deslocamento, e as informações coletadas no processo enquadram-se imediatamente na categoria de dados médicos - e estes são dados pessoais de uma categoria especial. Além disso, a frota poderá solicitar certificados, que serão mantidos no arquivo do motorista. Uma digitalização de tal certificado em formato eletrônico - dados de saúde, dados pessoais de uma categoria especial. Isso significa que o UZ-4 não é mais suficiente; pelo menos o UZ-3 é necessário.

Loja online. Parece que os nomes, e-mails e números de telefone recolhidos enquadram-se na categoria pública. No entanto, se os seus clientes indicarem preferências alimentares, como halal ou kosher, tais informações poderão ser consideradas afiliação religiosa ou dados de crenças. Portanto, ao verificar ou realizar outras atividades de controle, o inspetor poderá classificar os dados coletados como uma categoria especial de dados pessoais. Agora, se uma loja online coletasse informações sobre se seu comprador prefere carne ou peixe, os dados poderiam ser classificados como outros dados pessoais. A propósito, e os vegetarianos? Afinal, isso também pode ser atribuído às crenças filosóficas, que também pertencem a uma categoria especial. Mas, por outro lado, esta pode ser simplesmente a atitude de uma pessoa que eliminou a carne da sua dieta. Infelizmente, não há nenhum sinal que defina inequivocamente a categoria de DP em situações tão “sutis”.

Agencia de propaganda Usando algum serviço de nuvem ocidental, ela processa dados publicamente disponíveis de seus clientes – nomes completos, endereços de e-mail e números de telefone. Estes dados pessoais referem-se, obviamente, a dados pessoais. Surge a questão: é legal realizar tal tratamento? É mesmo possível mover esses dados sem despersonalização para fora da Federação Russa, por exemplo, para armazenar backups em algumas nuvens estrangeiras? Claro que você pode. A Agência tem o direito de armazenar estes dados fora da Rússia, no entanto, a recolha inicial, de acordo com a nossa legislação, deve ser realizada no território da Federação Russa. Se você fizer backup dessas informações, calcular algumas estatísticas com base nelas, realizar pesquisas ou realizar outras operações com elas - tudo isso pode ser feito com recursos ocidentais. O ponto chave do ponto de vista jurídico é onde os dados pessoais são coletados. Por isso, é importante não confundir a recolha inicial com o processamento.

Como se depreende destes breves exemplos, trabalhar com dados pessoais nem sempre é direto e simples. Você precisa não apenas saber que está trabalhando com eles, mas também ser capaz de classificá-los corretamente, entender como funciona o IP para determinar corretamente o nível de segurança exigido. Em alguns casos, pode surgir a questão de saber quantos dados pessoais a organização realmente precisa para operar. É possível recusar os dados mais “graves” ou simplesmente desnecessários? Além disso, o regulador recomenda a despersonalização dos dados pessoais sempre que possível. 

Tal como nos exemplos acima, por vezes poderá deparar-se com o facto de as autoridades de inspeção interpretarem os dados pessoais recolhidos de forma ligeiramente diferente da que você os avaliou.

Claro que você pode contratar um auditor ou integrador de sistemas como assistente, mas será o “assistente” o responsável pelas decisões escolhidas em caso de auditoria? Vale ressaltar que a responsabilidade é sempre do titular do ISPD – operador dos dados pessoais. Por isso, quando uma empresa realiza esse tipo de trabalho, é importante recorrer a players sérios no mercado desses serviços, por exemplo, empresas que realizam trabalhos de certificação. As empresas certificadoras possuem ampla experiência na realização desse tipo de trabalho.

Opções para construir um ISPD

A construção de um ISPD não é apenas uma questão técnica, mas também, em grande parte, uma questão jurídica. O CIO ou diretor de segurança deve sempre consultar o consultor jurídico. Como nem sempre a empresa conta com um especialista com o perfil que você precisa, vale a pena procurar auditores-consultores. Muitos pontos escorregadios podem não ser óbvios.

A consulta permitir-lhe-á determinar quais os dados pessoais com que está a lidar e que nível de proteção estes requerem. Assim, você terá uma ideia do IP que precisa ser criado ou complementado com medidas de segurança e segurança operacional.

Muitas vezes a escolha de uma empresa se dá entre duas opções:

  1. Construa o IS correspondente em suas próprias soluções de hardware e software, possivelmente em sua própria sala de servidores.

  2. Entre em contato com um provedor de nuvem e escolha uma solução elástica, uma “sala de servidores virtuais” já certificada.

A maioria dos sistemas de informação que processam dados pessoais utiliza uma abordagem tradicional que, do ponto de vista empresarial, dificilmente pode ser considerada fácil e bem-sucedida. Ao escolher esta opção, é necessário entender que o projeto técnico incluirá uma descrição do equipamento, incluindo soluções e plataformas de software e hardware. Isso significa que você terá que enfrentar as seguintes dificuldades e limitações:

  • dificuldade de dimensionamento;

  • longo período de implantação do projeto: é necessário selecionar, adquirir, instalar, configurar e descrever o sistema;

  • muito trabalho de “papel”, por exemplo - o desenvolvimento de um pacote completo de documentação para todo o ISPD.

Além disso, uma empresa, via de regra, entende apenas o nível “superior” de seu IP – os aplicativos de negócios que utiliza. Em outras palavras, a equipe de TI é qualificada em sua área específica. Não há compreensão de como funcionam todos os “níveis inferiores”: proteção de software e hardware, sistemas de armazenamento, backup e, claro, como configurar as ferramentas de proteção em conformidade com todos os requisitos, construir a parte “hardware” da configuração. É importante entender: trata-se de uma enorme camada de conhecimento que está fora do negócio do cliente. É aqui que a experiência de um provedor de nuvem que fornece uma “sala de servidores virtuais” certificada pode ser útil.

Por sua vez, os fornecedores de cloud apresentam uma série de vantagens que, sem exagero, podem cobrir 99% das necessidades empresariais no domínio da proteção de dados pessoais:

  • os custos de capital são convertidos em custos operacionais;

  • o fornecedor, por sua vez, garante o fornecimento do nível de segurança e disponibilidade exigido com base numa solução padrão comprovada;

  • não há necessidade de manter um quadro de especialistas que garanta o funcionamento do ISPD ao nível do hardware;

  • os fornecedores oferecem soluções muito mais flexíveis e elásticas;

  • os especialistas do fornecedor possuem todos os certificados necessários;

  • a conformidade não é menor do que ao construir sua própria arquitetura, levando em consideração os requisitos e recomendações dos reguladores.

O velho mito de que os dados pessoais não podem ser armazenados nas nuvens ainda é extremamente popular. É apenas parcialmente verdade: PD realmente não pode ser publicado no primeiro disponível nuvem. É necessário o cumprimento de determinadas medidas técnicas e a utilização de determinadas soluções certificadas. Se o fornecedor cumprir todos os requisitos legais, os riscos associados à fuga de dados pessoais são minimizados. Muitos provedores possuem uma infraestrutura separada para processamento de dados pessoais de acordo com 152-FZ. Porém, a escolha do fornecedor também deve ser feita com conhecimento de alguns critérios, certamente os abordaremos a seguir. 

Os clientes muitas vezes chegam até nós com algumas preocupações sobre a colocação de dados pessoais na nuvem do provedor. Bem, vamos discuti-los imediatamente.

  • Os dados podem ser roubados durante a transmissão ou migração

Não há necessidade de ter medo disso - o provedor oferece ao cliente a criação de um canal seguro de transmissão de dados baseado em soluções certificadas, medidas aprimoradas de autenticação para contratados e funcionários. Resta escolher os métodos de proteção adequados e implementá-los como parte do seu trabalho com o cliente.

  • Mostrar máscaras virão e tirarão/selarão/cortarão a energia do servidor

É perfeitamente compreensível para os clientes que temem que os seus processos de negócio sejam interrompidos devido ao controlo insuficiente sobre a infra-estrutura. Via de regra, os clientes cujo hardware estava anteriormente localizado em pequenas salas de servidores, e não em data centers especializados, pensam nisso. Na realidade, os data centers estão equipados com meios modernos de proteção física e de informação. É quase impossível realizar qualquer operação em tal data center sem motivos e documentos suficientes, e tais atividades exigem o cumprimento de uma série de procedimentos. Além disso, “puxar” seu servidor do data center pode afetar outros clientes do provedor, e isso definitivamente não é necessário para ninguém. Além disso, ninguém poderá apontar o dedo especificamente para “seu” servidor virtual, portanto, se alguém quiser roubá-lo ou fazer um show de máscaras, primeiro terá que lidar com muitos atrasos burocráticos. Durante esse período, você provavelmente terá tempo para migrar para outro site várias vezes.

  • Hackers vão hackear a nuvem e roubar dados

A Internet e a imprensa escrita estão repletas de manchetes sobre como mais uma nuvem foi vítima de cibercriminosos e como milhões de registos de dados pessoais vazaram online. Na grande maioria dos casos, as vulnerabilidades não foram encontradas do lado do provedor, mas nos sistemas de informação das vítimas: senhas fracas ou mesmo padrão, “buracos” nos motores e bancos de dados dos sites e banal descuido empresarial na escolha de medidas de segurança e organizar procedimentos de acesso a dados. Todas as soluções certificadas são verificadas quanto a vulnerabilidades. Também realizamos regularmente testes de “controle” e auditorias de segurança, tanto de forma independente quanto por meio de organizações externas. Para o fornecedor, trata-se de uma questão de reputação e de negócios em geral.

  • O fornecedor/funcionários do fornecedor roubarão dados pessoais para ganho pessoal

Este é um momento bastante delicado. Várias empresas do mundo da segurança da informação “assustam” os seus clientes e insistem que “os funcionários internos são mais perigosos do que os hackers externos”. Isto pode ser verdade em alguns casos, mas um negócio não pode ser construído sem confiança. De tempos em tempos, surgem notícias de que os próprios funcionários de uma organização vazam dados de clientes para invasores, e a segurança interna às vezes é organizada de maneira muito pior do que a segurança externa. É importante entender aqui que qualquer grande fornecedor é extremamente desinteressado em casos negativos. As ações dos colaboradores do fornecedor são bem regulamentadas, as funções e áreas de responsabilidade são divididas. Todos os processos de negócio estão estruturados de forma que os casos de fuga de dados sejam extremamente improváveis ​​​​e sejam sempre perceptíveis para os serviços internos, pelo que os clientes não devem ter medo de problemas desta parte.

  • Você paga pouco porque paga pelos serviços com os dados do seu negócio.

Outro mito: um cliente que aluga uma infraestrutura segura a um preço confortável, na verdade paga por ela com os seus dados - isto é frequentemente pensado por especialistas que não se importam de ler algumas teorias da conspiração antes de irem para a cama. Em primeiro lugar, a possibilidade de realizar quaisquer operações com os seus dados diferentes das especificadas no pedido é essencialmente zero. Em segundo lugar, um fornecedor adequado valoriza o relacionamento com você e sua reputação - além de você, ele tem muito mais clientes. O cenário oposto é mais provável, em que o fornecedor protegerá zelosamente os dados dos seus clientes, sobre os quais assenta o seu negócio.

Escolhendo um provedor de nuvem para ISPD

Hoje, o mercado oferece diversas soluções para empresas operadoras de PD. Abaixo está uma lista geral de recomendações para escolher o caminho certo.

  • O fornecedor deve estar pronto para celebrar um acordo formal descrevendo as responsabilidades das partes, SLAs e áreas de responsabilidade na chave para o processamento de dados pessoais. Na verdade, entre você e o fornecedor, além do contrato de prestação de serviços, deve ser assinado um pedido de processamento de PD. De qualquer forma, vale a pena estudá-los com atenção. É importante compreender a divisão de responsabilidades entre você e o fornecedor.

  • Observe que o segmento deve atender aos requisitos, o que significa que deve possuir um certificado que indique um nível de segurança não inferior ao exigido pelo seu IP. Acontece que os prestadores publicam apenas a primeira página do certificado, da qual pouco fica claro, ou referem-se a auditorias ou procedimentos de compliance sem publicar o certificado em si (“havia um menino?”). Vale a pena solicitá-lo - trata-se de um documento público que indica quem realizou a certificação, prazo de validade, localização na nuvem, etc.

  • O provedor deve fornecer informações sobre a localização de seus sites (objetos protegidos) para que você possa controlar a colocação de seus dados. Lembramos que a recolha inicial de dados pessoais deve ser realizada no território da Federação Russa; portanto, é aconselhável consultar os endereços do data center no contrato/certificado.

  • O provedor deve usar sistemas certificados de segurança e proteção da informação. É claro que a maioria dos provedores não anuncia as medidas técnicas de segurança e a arquitetura de soluções que utilizam. Mas você, como cliente, não pode deixar de saber disso. Por exemplo, para conectar-se remotamente a um sistema de gestão (portal de gestão), é necessário utilizar medidas de segurança. O provedor não poderá ignorar esse requisito e fornecerá (ou exigirá que você use) soluções certificadas. Leve os recursos para um teste e você entenderá imediatamente como e o que funciona. 

  • É altamente desejável que o provedor de nuvem forneça serviços adicionais na área de segurança da informação. Podem ser vários serviços: proteção contra ataques DDoS e WAF, serviço antivírus ou sandbox, etc. Tudo isso permitirá que você receba proteção como um serviço, não para se distrair construindo sistemas de proteção, mas para trabalhar em aplicações de negócios.

  • O fornecedor deve ser licenciado do FSTEC e FSB. Via de regra, essas informações são postadas diretamente no site. Não deixe de solicitar esses documentos e verificar se os endereços de prestação dos serviços, o nome da empresa prestadora, etc. 

Vamos resumir. Alugar infraestrutura permitirá abandonar o CAPEX e reter apenas suas aplicações de negócio e os próprios dados em sua área de responsabilidade, além de transferir o pesado fardo da certificação de hardware e software e hardware para o fornecedor.

Como passamos na certificação

Mais recentemente, passamos com sucesso na recertificação da infraestrutura “Secure Cloud FZ-152” para conformidade com os requisitos para trabalhar com dados pessoais. O trabalho foi realizado pelo Centro Nacional de Certificação.

Atualmente, o “FZ-152 Secure Cloud” está certificado para hospedar sistemas de informação envolvidos no processamento, armazenamento ou transmissão de dados pessoais (ISPDn) de acordo com os requisitos do nível UZ-3.

O procedimento de certificação envolve a verificação da conformidade da infraestrutura do provedor de nuvem com o nível de proteção. O próprio provedor fornece o serviço IaaS e não é operador de dados pessoais. O processo envolve a avaliação de medidas organizacionais (documentação, ordens, etc.) e técnicas (instalação de equipamentos de proteção, etc.).

Não pode ser chamado de trivial. Apesar do GOST sobre programas e métodos para conduzir atividades de certificação ter surgido em 2013, ainda não existem programas rigorosos para objetos em nuvem. Os centros de certificação desenvolvem esses programas com base em sua própria experiência. Com o advento de novas tecnologias, os programas tornam-se mais complexos e modernizados; portanto, o certificador deve ter experiência em trabalhar com soluções em nuvem e entender as especificidades.

No nosso caso, o objeto protegido consiste em dois locais.

  • Os recursos da nuvem (servidores, sistemas de armazenamento, infraestrutura de rede, ferramentas de segurança, etc.) estão localizados diretamente no data center. É claro que esse data center virtual está conectado a redes públicas e, portanto, certos requisitos de firewall devem ser atendidos, por exemplo, o uso de firewalls certificados.

  • A segunda parte do objeto são as ferramentas de gerenciamento em nuvem. Estas são estações de trabalho (estações de trabalho do administrador) a partir das quais o segmento protegido é gerenciado.

Os locais se comunicam por meio de um canal VPN construído em CIPF.

Como as tecnologias de virtualização criam condições prévias para o surgimento de ameaças, também utilizamos ferramentas de proteção adicionais certificadas.

IaaS 152-FZ: então você precisa de segurançaDiagrama de blocos “pelos olhos do avaliador”

Caso o cliente exija a certificação do seu ISPD, após alugar o IaaS, apenas terá de avaliar o sistema de informação acima do nível do data center virtual. Este procedimento envolve a verificação da infraestrutura e do software utilizado nela. Como você pode consultar o certificado do provedor para todos os problemas de infraestrutura, tudo o que você precisa fazer é trabalhar com o software.

IaaS 152-FZ: então você precisa de segurançaSeparação no nível de abstração

Concluindo, aqui vai um pequeno checklist para empresas que já trabalham com dados pessoais ou estão apenas planejando. Então, como lidar com isso sem se queimar.

  1. Para auditar e desenvolver modelos de ameaças e intrusos, convide um consultor experiente dentre os laboratórios de certificação que o ajudará a desenvolver os documentos necessários e levá-lo à fase de soluções técnicas.

  2. Ao escolher um provedor de nuvem, preste atenção à presença de um certificado. Seria bom se a empresa publicasse isso diretamente no site. O fornecedor deve ser licenciado do FSTEC e FSB, e o serviço que oferece deve ser certificado.

  3. Certifique-se de ter um acordo formal e uma instrução assinada para o processamento de dados pessoais. Com base nisso, você poderá realizar uma verificação de conformidade e uma certificação ISPD.Se este trabalho na fase do projeto técnico e da criação do projeto e da documentação técnica lhe parecer oneroso, você deve entrar em contato com empresas de consultoria terceirizadas dentre os laboratórios de certificação.

Se as questões de tratamento de dados pessoais são relevantes para você, no dia 18 de setembro, esta sexta-feira, teremos o maior prazer em vê-lo no webinar “Recursos de construção de nuvens certificadas”.

Fonte: habr.com

Adicionar um comentário