ProHoster > BLOG > administrare > IaaS 152-FZ: deci, ai nevoie de securitate

IaaS 152-FZ: deci, ai nevoie de securitate

IaaS 152-FZ: deci, ai nevoie de securitate

Indiferent cât de mult ai rezolva miturile și legendele care înconjoară conformitatea cu 152-FZ, ceva rămâne întotdeauna în culise. Astăzi dorim să discutăm câteva nuanțe nu întotdeauna evidente pe care le pot întâlni atât companiile mari, cât și întreprinderile foarte mici:

  • subtilități ale clasificării PD în categorii - când un mic magazin online colectează date legate de o categorie specială fără să știe măcar despre aceasta;

  • unde puteți stoca copii de siguranță ale PD colectate și puteți efectua operațiuni asupra acestora;

  • care este diferența dintre un certificat și o încheiere de conformitate, ce documente ar trebui să solicitați de la furnizor și chestii de genul acesta.

În cele din urmă, vă vom împărtăși propria noastră experiență de a promova certificarea. Merge!

Expertul din articolul de astăzi va fi Alexei Afanasiev, specialist IS pentru furnizorii de cloud IT-GRAD și #CloudMTS (parte a grupului MTS).

Subtilități ale clasificării

De multe ori întâlnim dorința unui client de a determina rapid, fără un audit IS, nivelul necesar de securitate pentru un ISPD. Unele materiale de pe Internet pe această temă dau impresia falsă că aceasta este o sarcină simplă și este destul de dificil să faci o greșeală.

Pentru a determina KM, este necesar să înțelegem ce date vor fi colectate și prelucrate de IS-ul clientului. Uneori poate fi dificil să se determine fără ambiguitate cerințele de protecție și categoria de date cu caracter personal pe care o operează o afacere. Aceleași tipuri de date cu caracter personal pot fi evaluate și clasificate în moduri complet diferite. Prin urmare, în unele cazuri, opinia afacerii poate diferi de opinia auditorului sau chiar a inspectorului. Să ne uităm la câteva exemple.

Parcare. Ar părea un tip de afacere destul de tradițional. Multe flote de vehicule funcționează de zeci de ani, iar proprietarii lor angajează antreprenori individuali și persoane fizice. De regulă, datele angajaților se încadrează în cerințele UZ-4. Cu toate acestea, pentru a lucra cu șoferii, este necesar nu numai colectarea datelor cu caracter personal, ci și efectuarea controlului medical pe teritoriul parcului de vehicule înainte de a merge într-o tură, iar informațiile colectate în proces se încadrează imediat în categoria de date medicale - și acestea sunt date personale dintr-o categorie specială. În plus, flota poate solicita certificate, care vor fi apoi păstrate în dosarul șoferului. O scanare a unui astfel de certificat în formă electronică - date de sănătate, date personale dintr-o categorie specială. Aceasta înseamnă că UZ-4 nu mai este suficient; cel puțin UZ-3 este necesar.

Magazin online. S-ar părea că numele, e-mailurile și numerele de telefon colectate se încadrează în categoria publică. Cu toate acestea, dacă clienții dvs. indică preferințe alimentare, cum ar fi halal sau cușer, astfel de informații pot fi considerate date de afiliere religioasă sau convingeri. Prin urmare, atunci când verifică sau desfășoară alte activități de control, inspectorul poate clasifica datele pe care le colectezi ca o categorie specială de date cu caracter personal. Acum, dacă un magazin online a colectat informații despre dacă cumpărătorul său preferă carnea sau peștele, datele ar putea fi clasificate ca alte date personale. Apropo, cum rămâne cu vegetarienii? La urma urmei, acest lucru poate fi atribuit și credințelor filozofice, care aparțin și ele unei categorii speciale. Dar, pe de altă parte, aceasta poate fi pur și simplu atitudinea unei persoane care a eliminat carnea din dieta sa. Din păcate, nu există niciun semn care să definească fără ambiguitate categoria PD în astfel de situații „subtile”.

Agentie de publicitate Folosind unele servicii cloud occidentale, prelucrează datele disponibile public ale clienților săi - nume complete, adrese de e-mail și numere de telefon. Aceste date personale, desigur, se referă la datele personale. Se pune întrebarea: este legal să se efectueze o astfel de prelucrare? Este chiar posibil să mutați astfel de date fără depersonalizare în afara Federației Ruse, de exemplu, pentru a stoca copii de rezervă în unele cloud-uri străine? Sigur ca poti. Agenția are dreptul de a stoca aceste date în afara Rusiei, cu toate acestea, colectarea inițială, conform legislației noastre, trebuie să fie efectuată pe teritoriul Federației Ruse. Dacă faceți o copie de rezervă a unor astfel de informații, calculați unele statistici pe baza acestora, efectuați cercetări sau efectuați alte operațiuni cu acestea - toate acestea se pot face pe resurse occidentale. Punctul cheie din punct de vedere juridic este locul în care sunt colectate datele personale. Prin urmare, este important să nu se confunde colectarea inițială și prelucrarea.

După cum reiese din aceste exemple scurte, lucrul cu datele personale nu este întotdeauna simplu și simplu. Trebuie să știți nu numai că lucrați cu ei, ci și să le puteți clasifica corect, să înțelegeți cum funcționează IP-ul pentru a determina corect nivelul de securitate necesar. În unele cazuri, poate apărea întrebarea cu privire la câte date cu caracter personal are nevoie organizația de fapt pentru a funcționa. Este posibil să refuzi datele cele mai „serioase” sau pur și simplu inutile? În plus, autoritatea de reglementare recomandă depersonalizarea datelor cu caracter personal acolo unde este posibil. 

Ca și în exemplele de mai sus, uneori vă puteți confrunta cu faptul că autoritățile de inspecție interpretează datele personale colectate ușor diferit decât le-ați evaluat dvs.

Desigur, puteți angaja un auditor sau un integrator de sistem ca asistent, dar „asistentul” va fi responsabil pentru deciziile alese în cazul unui audit? Este de remarcat faptul că responsabilitatea revine întotdeauna proprietarului ISPD – operatorul de date cu caracter personal. De aceea, atunci când o companie desfășoară o astfel de muncă, este important să apelați la jucători serioși de pe piață pentru astfel de servicii, de exemplu, companii care desfășoară lucrări de certificare. Companiile de certificare au o vastă experiență în realizarea unor astfel de lucrări.

Opțiuni pentru construirea unui ISPD

Construirea unui ISPD nu este doar o problemă tehnică, ci și în mare măsură juridică. CIO sau directorul de securitate ar trebui să se consulte întotdeauna cu consilierul juridic. Întrucât compania nu are întotdeauna un specialist cu profilul de care aveți nevoie, merită să vă uitați către auditor-consultanți. Multe puncte alunecoase pot să nu fie deloc evidente.

Consultarea vă va permite să determinați cu ce date personale aveți de-a face și ce nivel de protecție necesită. În consecință, vă veți face o idee despre IP-ul care trebuie creat sau completat cu măsuri de securitate și securitate operațională.

Adesea, alegerea unei companii este între două opțiuni:

  1. Construiți IS-ul corespunzător pe propriile soluții hardware și software, eventual în propria cameră de server.

  2. Contactați un furnizor de cloud și alegeți o soluție elastică, o „camera de server virtuală” deja certificată.

Majoritatea sistemelor informatice care prelucrează date cu caracter personal folosesc o abordare tradițională, care, din punct de vedere al afacerii, cu greu poate fi numită ușoară și de succes. Atunci când alegeți această opțiune, este necesar să înțelegeți că proiectarea tehnică va include o descriere a echipamentului, inclusiv soluții și platforme software și hardware. Aceasta înseamnă că va trebui să vă confruntați cu următoarele dificultăți și limitări:

  • dificultatea de scalare;

  • perioadă lungă de implementare a proiectului: este necesară selectarea, achiziția, instalarea, configurarea și descrierea sistemului;

  • multă muncă „de hârtie”, de exemplu - dezvoltarea unui pachet complet de documentație pentru întregul ISPD.

În plus, o afacere, de regulă, înțelege doar nivelul „superior” al IP-ului său - aplicațiile de afaceri pe care le folosește. Cu alte cuvinte, personalul IT este calificat în domeniul lor specific. Nu se înțelege cum funcționează toate „nivelurile inferioare”: protecție software și hardware, sisteme de stocare, backup și, desigur, cum să configurați instrumentele de protecție în conformitate cu toate cerințele, să construiți partea „hardware” a configurației. Este important de înțeles: acesta este un strat uriaș de cunoștințe care se află în afara afacerii clientului. Aici poate fi utilă experiența unui furnizor de cloud care furnizează o „camera de server virtuală” certificată.

La rândul lor, furnizorii de cloud au o serie de avantaje care, fără exagerare, pot acoperi 99% din nevoile afacerii în domeniul protecției datelor cu caracter personal:

  • costurile de capital sunt convertite în costuri de exploatare;

  • furnizorul, la rândul său, garantează asigurarea nivelului necesar de securitate și disponibilitate pe baza unei soluții standard dovedite;

  • nu este nevoie de mentinerea unui personal de specialisti care sa asigure functionarea ISPD la nivel hardware;

  • furnizorii oferă soluții mult mai flexibile și mai elastice;

  • specialiștii furnizorului au toate certificatele necesare;

  • conformitatea nu este mai mică decât atunci când vă construiți propria arhitectură, ținând cont de cerințele și recomandările autorităților de reglementare.

Vechiul mit conform căruia datele personale nu pot fi stocate în cloud este încă extrem de popular. Este doar parțial adevărat: PD chiar nu poate fi postat în primul disponibil nor. Sunt necesare respectarea anumitor măsuri tehnice și utilizarea anumitor soluții certificate. Dacă furnizorul respectă toate cerințele legale, riscurile asociate cu scurgerea datelor cu caracter personal sunt minimizate. Mulți furnizori au o infrastructură separată pentru prelucrarea datelor cu caracter personal în conformitate cu 152-FZ. Totuși, alegerea furnizorului trebuie abordată și cu cunoașterea anumitor criterii, cu siguranță le vom atinge mai jos; 

Clienții vin adesea la noi cu anumite îngrijorări cu privire la plasarea datelor personale în cloud-ul furnizorului. Ei bine, hai să le discutăm imediat.

  • Datele pot fi furate în timpul transmiterii sau migrării

Nu trebuie să vă temeți de acest lucru - furnizorul oferă clientului crearea unui canal securizat de transmisie a datelor construit pe soluții certificate, măsuri de autentificare îmbunătățite pentru contractori și angajați. Tot ce rămâne este să alegi metodele de protecție adecvate și să le implementezi ca parte a muncii tale cu clientul.

  • Afișați măștile vor veni și vor lua/sigilează/închide alimentarea serverului

Este destul de de înțeles pentru clienții care se tem că procesele lor de afaceri vor fi perturbate din cauza controlului insuficient asupra infrastructurii. De regulă, acei clienți al căror hardware era amplasat anterior în camere mici de server, mai degrabă decât în ​​centre de date specializate, se gândesc la asta. În realitate, centrele de date sunt dotate cu mijloace moderne de protecție atât fizică, cât și a informațiilor. Este aproape imposibil să efectuați operațiuni într-un astfel de centru de date fără temei și documente suficiente, iar astfel de activități necesită respectarea unui număr de proceduri. În plus, „tragerea” serverului dvs. din centrul de date poate afecta alți clienți ai furnizorului, iar acest lucru cu siguranță nu este necesar pentru nimeni. În plus, nimeni nu va putea arăta cu degetul în mod special către serverul virtual „tău”, așa că dacă cineva dorește să-l fure sau să organizeze un spectacol de măști, va trebui mai întâi să facă față multor întârzieri birocratice. În acest timp, cel mai probabil veți avea timp să migrați pe alt site de mai multe ori.

  • Hackerii vor pirata cloud-ul și vor fura date

Internetul și presa tipărită sunt pline de titluri despre cum un alt nor a căzut victimă infractorilor cibernetici, iar milioane de înregistrări de date personale s-au scurs online. În marea majoritate a cazurilor, vulnerabilitățile nu au fost găsite deloc din partea furnizorului, ci în sistemele informaționale ale victimelor: parole slabe sau chiar implicite, „găuri” în motoarele site-urilor și bazele de date și banala neglijență în afaceri în alegerea măsurilor de securitate și organizarea procedurilor de acces la date. Toate soluțiile certificate sunt verificate pentru vulnerabilități. De asemenea, efectuăm în mod regulat teste de „control” și audituri de securitate, atât în ​​mod independent, cât și prin organizații externe. Pentru furnizor, aceasta este o chestiune de reputație și de afaceri în general.

  • Furnizorul/angajații furnizorului vor fura datele personale pentru câștig personal

Acesta este un moment destul de sensibil. O serie de companii din lumea securității informațiilor își „speriiază” clienții și insistă că „angajații interni sunt mai periculoși decât hackerii externi”. Acest lucru poate fi adevărat în unele cazuri, dar o afacere nu poate fi construită fără încredere. Din când în când, apar știri că angajații unei organizații scurg date despre clienți către atacatori, iar securitatea internă este uneori organizată mult mai rău decât securitatea externă. Este important de înțeles aici că orice furnizor mare este extrem de neinteresat de cazurile negative. Acțiunile angajaților furnizorului sunt bine reglementate, rolurile și domeniile de responsabilitate sunt împărțite. Toate procesele de afaceri sunt structurate astfel încât cazurile de scurgere de date sunt extrem de puțin probabile și sunt întotdeauna vizibile pentru serviciile interne, astfel încât clienții nu ar trebui să se teamă de probleme din această parte.

  • Plătești puțin pentru că plătești pentru servicii cu datele companiei tale.

Un alt mit: un client care închiriază o infrastructură securizată la un preț confortabil plătește de fapt pentru aceasta cu datele sale - acest lucru este adesea gândit de experți care nu deranjează să citească câteva teorii ale conspirației înainte de a merge la culcare. În primul rând, posibilitatea de a efectua orice operațiuni cu datele dumneavoastră, altele decât cele specificate în comandă, este practic zero. În al doilea rând, un furnizor adecvat apreciază relația cu tine și reputația sa - în afară de tine, are mult mai mulți clienți. Este mai probabil scenariul opus, în care furnizorul va proteja cu zel datele clienților săi, pe care se bazează afacerea sa.

Alegerea unui furnizor de cloud pentru ISPD

Astăzi, piața oferă multe soluții pentru companiile care sunt operatori PD. Mai jos este o listă generală de recomandări pentru alegerea celei potrivite.

  • Furnizorul trebuie să fie pregătit să încheie un acord oficial care să descrie responsabilitățile părților, SLA-urile și domeniile de responsabilitate în cheia prelucrării datelor cu caracter personal. De fapt, între dumneavoastră și furnizor, pe lângă contractul de servicii, trebuie să fie semnată o comandă de prelucrare a datelor cu caracter personal. În orice caz, merită să le studiezi cu atenție. Este important să înțelegeți împărțirea responsabilităților dintre dumneavoastră și furnizor.

  • Vă rugăm să rețineți că segmentul trebuie să îndeplinească cerințele, ceea ce înseamnă că trebuie să aibă un certificat care să indice un nivel de securitate nu mai mic decât cel cerut de IP-ul dvs. Se întâmplă ca furnizorii să publice doar prima pagină a certificatului, din care puține sunt clare, sau să se refere la audituri sau proceduri de conformitate fără a publica certificatul în sine („a fost un băiat?”). Merită să-l cereți - acesta este un document public care indică cine a efectuat certificarea, perioada de valabilitate, locația în cloud etc.

  • Furnizorul trebuie să furnizeze informații despre locul în care se află site-urile sale (obiectele protejate), astfel încât să puteți controla plasarea datelor dumneavoastră. Vă reamintim că colectarea inițială a datelor cu caracter personal trebuie efectuată în consecință pe teritoriul Federației Ruse, este recomandabil să vedeți adresele centrului de date în contract/certificat.

  • Furnizorul trebuie să utilizeze sisteme certificate de securitate și protecție a informațiilor. Desigur, majoritatea furnizorilor nu fac publicitate măsurilor tehnice de securitate și arhitecturii soluțiilor pe care le folosesc. Dar tu, ca client, nu poți să nu știi despre asta. De exemplu, pentru a vă conecta de la distanță la un sistem de management (portal de management), este necesar să folosiți măsuri de securitate. Furnizorul nu va putea ocoli această cerință și vă va oferi (sau vă va cere să utilizați) soluții certificate. Luați resursele pentru un test și veți înțelege imediat cum și ce funcționează. 

  • Este foarte de dorit ca furnizorul de cloud să ofere servicii suplimentare în domeniul securității informațiilor. Acestea pot fi diverse servicii: protecție împotriva atacurilor DDoS și WAF, serviciu antivirus sau sandbox etc. Toate acestea vă vor permite să primiți protecție ca serviciu, să nu fiți distras de construirea sistemelor de protecție, ci să lucrați la aplicații de afaceri.

  • Furnizorul trebuie să fie licențiat al FSTEC și FSB. De regulă, astfel de informații sunt postate direct pe site. Asigurați-vă că solicitați aceste documente și verificați dacă adresele pentru prestarea serviciilor, numele companiei prestatoare etc. sunt corecte. 

Să rezumam. Închirierea infrastructurii vă va permite să abandonați CAPEX și să păstrați doar aplicațiile dvs. de afaceri și datele în sine în zona dvs. de responsabilitate și să transferați sarcina grea a certificării hardware și software și hardware către furnizor.

Cum am trecut certificarea

Cel mai recent, am trecut cu succes de recertificarea infrastructurii „Secure Cloud FZ-152” pentru conformitatea cu cerințele de lucru cu date personale. Lucrarea a fost realizată de Centrul Național de Certificare.

În prezent, „FZ-152 Secure Cloud” este certificat pentru găzduirea sistemelor informaționale implicate în procesarea, stocarea sau transmiterea datelor cu caracter personal (ISPDn) în conformitate cu cerințele nivelului UZ-3.

Procedura de certificare presupune verificarea conformității infrastructurii furnizorului de cloud cu nivelul de protecție. Furnizorul însuși furnizează serviciul IaaS și nu este un operator de date cu caracter personal. Procesul presupune evaluarea atât a măsurilor organizatorice (documentații, comenzi etc.) cât și a măsurilor tehnice (instalarea echipamentului de protecție etc.).

Nu poate fi numit trivial. În ciuda faptului că GOST privind programele și metodele de desfășurare a activităților de certificare a apărut în 2013, programe stricte pentru obiectele cloud încă nu există. Centrele de certificare dezvoltă aceste programe pe baza propriei expertize. Odată cu apariția noilor tehnologii, programele devin mai complexe și modernizate în consecință, certificatul trebuie să aibă experiență de lucru cu soluții cloud și să înțeleagă specificul;

În cazul nostru, obiectul protejat este format din două locații.

  • Resursele cloud (servere, sisteme de stocare, infrastructură de rețea, instrumente de securitate etc.) sunt situate direct în centrul de date. Desigur, un astfel de centru de date virtual este conectat la rețele publice și, în consecință, trebuie îndeplinite anumite cerințe de firewall, de exemplu, utilizarea firewall-urilor certificate.

  • A doua parte a obiectului este instrumentele de management cloud. Acestea sunt stații de lucru (stații de lucru ale administratorului) de pe care este gestionat segmentul protejat.

Locațiile comunică printr-un canal VPN construit pe CIPF.

Deoarece tehnologiile de virtualizare creează condiții prealabile pentru apariția amenințărilor, folosim și instrumente suplimentare de protecție certificate.

IaaS 152-FZ: deci, ai nevoie de securitateDiagrama bloc „prin ochii evaluatorului”

Dacă clientul solicită certificarea ISPD-ului său, după închirierea IaaS, va trebui doar să evalueze sistemul informațional peste nivelul centrului de date virtual. Această procedură implică verificarea infrastructurii și software-ului utilizat pe ea. Deoarece puteți consulta certificatul furnizorului pentru toate problemele de infrastructură, tot ce trebuie să faceți este să lucrați cu software-ul.

IaaS 152-FZ: deci, ai nevoie de securitateSepararea la nivel de abstractizare

În concluzie, iată o mică listă de verificare pentru companiile care lucrează deja cu date personale sau doar plănuiesc. Deci, cum să-l manevrezi fără să te arzi.

  1. Pentru a audita și a dezvolta modele de amenințări și intruși, invitați un consultant cu experiență din rândul laboratoarelor de certificare care vă va ajuta la elaborarea documentelor necesare și vă va aduce la stadiul de soluții tehnice.

  2. Atunci când alegeți un furnizor de cloud, acordați atenție prezenței unui certificat. Ar fi bine ca compania să-l posteze public direct pe site. Furnizorul trebuie să fie licențiat FSTEC și FSB, iar serviciul pe care îl oferă trebuie să fie certificat.

  3. Asigurați-vă că aveți un acord oficial și o instrucțiune semnată pentru prelucrarea datelor cu caracter personal. Pe baza acestui lucru, veți putea efectua atât o verificare a conformității, cât și o certificare ISPD Dacă această lucrare în stadiul proiectului tehnic și crearea de proiectare și documentație tehnică vi se pare împovărătoare, ar trebui să contactați companii de consultanță terțe. dintre laboratoarele de certificare.

Dacă problemele de prelucrare a datelor cu caracter personal sunt relevante pentru dvs., în data de 18 septembrie, vineri, vom fi bucuroși să vă vedem la webinar „Caracteristici ale construirii de nori certificate”.

Sursa: www.habr.com

Adauga un comentariu