ProHoster > Blog > Administrácia > IaaS 152-FZ: Takže potrebujete bezpečnosť

IaaS 152-FZ: Takže potrebujete bezpečnosť

IaaS 152-FZ: Takže potrebujete bezpečnosť

Bez ohľadu na to, ako veľmi vyriešite mýty a legendy, ktoré obklopujú dodržiavanie 152-FZ, vždy niečo zostane v zákulisí. Dnes chceme prediskutovať niektoré nie vždy zrejmé nuansy, s ktorými sa môžu stretnúť veľké spoločnosti aj veľmi malé podniky:

  • jemnosť klasifikácie PD do kategórií - keď malý internetový obchod zhromažďuje údaje týkajúce sa špeciálnej kategórie bez toho, aby o tom vedel;

  • kde môžete ukladať zálohy zhromaždených PD a vykonávať s nimi operácie;

  • aký je rozdiel medzi certifikátom a záverom o zhode, aké dokumenty by ste mali požadovať od poskytovateľa a podobne.

Na záver sa s vami podelíme o vlastné skúsenosti s absolvovaním certifikácie. Choď!

Odborníkom v dnešnom článku bude Alexej Afanasjev, IS špecialista pre cloudových poskytovateľov IT-GRAD a #CloudMTS (súčasť skupiny MTS).

Jemnosti klasifikácie

Často sa stretávame s prianím klienta rýchlo, bez auditu IS, určiť požadovanú úroveň bezpečnosti pre ISPD. Niektoré materiály na internete na túto tému vyvolávajú mylný dojem, že ide o jednoduchú úlohu a je dosť ťažké urobiť chybu.

Na určenie KM je potrebné pochopiť, aké údaje budú zhromažďovať a spracovávať IS klienta. Niekedy môže byť ťažké jednoznačne určiť požiadavky na ochranu a kategóriu osobných údajov, ktoré podnik prevádzkuje. Rovnaké typy osobných údajov možno posudzovať a klasifikovať úplne odlišnými spôsobmi. Preto sa v niektorých prípadoch môže názor podnikateľa líšiť od názoru audítora alebo dokonca inšpektora. Pozrime sa na pár príkladov.

Parkovisko. Zdalo by sa, že ide o pomerne tradičný typ podnikania. Mnohé vozové parky fungujú už desiatky rokov a ich majitelia si najímajú individuálnych podnikateľov a fyzické osoby. Údaje o zamestnancoch spravidla spadajú pod požiadavky UZ-4. Pre prácu s vodičmi je však potrebné nielen zhromažďovať osobné údaje, ale aj vykonávať lekársku kontrolu na území vozového parku pred nástupom na zmenu a informácie zhromaždené v procese okamžite patria do kategórie tzv. zdravotné údaje – a to sú osobné údaje osobitnej kategórie. Okrem toho môže vozový park požadovať certifikáty, ktoré sa potom uchovávajú v zložke vodiča. Sken takéhoto certifikátu v elektronickej podobe – zdravotné údaje, osobné údaje osobitnej kategórie. To znamená, že UZ-4 už nestačí, je potrebný aspoň UZ-3.

Internetový obchod. Zdalo by sa, že zozbierané mená, e-maily a telefónne čísla zapadajú do kategórie verejnosti. Ak však vaši zákazníci uvedú stravovacie preferencie, ako je halal alebo kóšer, takéto informácie možno považovať za údaje o náboženskej príslušnosti alebo viere. Preto môže inšpektor pri kontrole alebo vykonávaní iných kontrolných činností zaradiť Vami zhromažďované údaje do osobitnej kategórie osobných údajov. Ak by teraz internetový obchod zbieral informácie o tom, či jeho kupujúci uprednostňuje mäso alebo ryby, údaje by sa dali klasifikovať ako iné osobné údaje. Mimochodom, čo vegetariáni? Napokon za to môžu aj filozofické presvedčenia, ktoré tiež patria do osobitnej kategórie. Ale na druhej strane to môže byť jednoducho postoj človeka, ktorý vylúčil mäso zo svojho jedálnička. Žiaľ, neexistuje žiadny znak, ktorý by jednoznačne definoval kategóriu PD v takýchto „jemných“ situáciách.

Reklamná agentúra Pomocou niektorej západnej cloudovej služby spracúva verejne dostupné údaje svojich klientov – celé mená, emailové adresy a telefónne čísla. Tieto osobné údaje sa samozrejme týkajú osobných údajov. Vynára sa otázka: je takéto spracovanie legálne? Je vôbec možné presunúť takéto dáta bez depersonalizácie mimo Ruskej federácie, napríklad ukladať zálohy do nejakých zahraničných cloudov? Samozrejme môžete. Agentúra má právo uchovávať tieto údaje mimo Ruska, avšak prvotný zber musí byť podľa našej legislatívy vykonaný na území Ruskej federácie. Ak si takéto informácie zálohujete, vypočítate na základe nich nejaké štatistiky, vykonáte výskum alebo s nimi vykonáte nejaké iné operácie – to všetko sa dá robiť na západných zdrojoch. Kľúčovým bodom z právneho hľadiska je, kde sa zhromažďujú osobné údaje. Preto je dôležité nezamieňať prvotný zber a spracovanie.

Ako vyplýva z týchto krátkych príkladov, práca s osobnými údajmi nie je vždy priamočiara a jednoduchá. Musíte nielen vedieť, že s nimi pracujete, ale tiež ich vedieť správne klasifikovať, pochopiť, ako IP funguje, aby ste správne určili požadovanú úroveň zabezpečenia. V niektorých prípadoch môže vzniknúť otázka, koľko osobných údajov organizácia skutočne potrebuje na fungovanie. Je možné odmietnuť tie „najvážnejšie“ alebo jednoducho nepotrebné údaje? Okrem toho regulátor odporúča depersonalizáciu osobných údajov tam, kde je to možné. 

Podobne ako vo vyššie uvedených príkladoch sa niekedy môžete stretnúť s tým, že kontrolné orgány interpretujú zhromaždené osobné údaje trochu inak, ako ste ich vy sami posudzovali.

Samozrejme, môžete si najať audítora alebo systémového integrátora ako asistenta, ale bude „asistent“ zodpovedný za rozhodnutia zvolené v prípade auditu? Stojí za zmienku, že zodpovednosť vždy nesie vlastník ISPD – prevádzkovateľ osobných údajov. Preto je dôležité, keď spoločnosť vykonáva takúto prácu, obrátiť sa na serióznych hráčov na trhu s takýmito službami, napríklad na spoločnosti vykonávajúce certifikačné práce. Certifikačné spoločnosti majú rozsiahle skúsenosti s vykonávaním takýchto prác.

Možnosti budovania ISPD

Výstavba ISPD nie je len technickou, ale do značnej miery aj právnou otázkou. CIO alebo bezpečnostný riaditeľ by sa mali vždy poradiť s právnym poradcom. Keďže spoločnosť nemá vždy špecialistu s profilom, ktorý potrebujete, oplatí sa obrátiť na audítorov-konzultantov. Mnohé klzké body nemusia byť vôbec zjavné.

Konzultácia vám umožní určiť, s akými osobnými údajmi pracujete a akú úroveň ochrany vyžadujú. Podľa toho získate predstavu o IP, ktoré je potrebné vytvoriť alebo doplniť bezpečnostnými a prevádzkovými bezpečnostnými opatreniami.

Voľba spoločnosti je často medzi dvoma možnosťami:

  1. Vybudujte si zodpovedajúci IS na vlastných hardvérových a softvérových riešeniach, prípadne vo vlastnej serverovni.

  2. Kontaktujte poskytovateľa cloudu a vyberte si elastické riešenie, už certifikovanú „virtuálnu serverovňu“.

Väčšina informačných systémov spracúvajúcich osobné údaje využíva tradičný prístup, ktorý z obchodného hľadiska možno len ťažko nazvať ľahkým a úspešným. Pri výbere tejto možnosti je potrebné pochopiť, že technický návrh bude obsahovať popis zariadenia vrátane softvérových a hardvérových riešení a platforiem. To znamená, že budete musieť čeliť nasledujúcim ťažkostiam a obmedzeniam:

  • ťažkosti so škálovaním;

  • dlhá doba realizácie projektu: je potrebné vybrať, zakúpiť, nainštalovať, nakonfigurovať a popísať systém;

  • veľa „papierovej“ práce, napríklad vývoj kompletného balíka dokumentácie pre celú ISPD.

Okrem toho podnik spravidla chápe iba „najvyššiu“ úroveň svojej IP - obchodné aplikácie, ktoré používa. Inými slovami, IT pracovníci sú kvalifikovaní vo svojej konkrétnej oblasti. Nerozumieme tomu, ako fungujú všetky „nižšie úrovne“: softvérová a hardvérová ochrana, úložné systémy, zálohovanie a, samozrejme, ako nakonfigurovať ochranné nástroje v súlade so všetkými požiadavkami, zostaviť „hardvérovú“ časť konfigurácie. Je dôležité pochopiť: ide o obrovskú vrstvu vedomostí, ktorá leží mimo podnikania klienta. Tu sa môže hodiť skúsenosť poskytovateľa cloudu, ktorý poskytuje certifikovanú „virtuálnu serverovňu“.

Poskytovatelia cloudu majú zase množstvo výhod, ktoré bez preháňania dokážu pokryť 99 % obchodných potrieb v oblasti ochrany osobných údajov:

  • kapitálové náklady sa premieňajú na prevádzkové náklady;

  • poskytovateľ zo svojej strany garantuje poskytnutie požadovanej úrovne bezpečnosti a dostupnosti na základe osvedčeného štandardného riešenia;

  • nie je potrebné udržiavať personál špecialistov, ktorí budú zabezpečovať chod ISPD na hardvérovej úrovni;

  • poskytovatelia ponúkajú oveľa flexibilnejšie a pružnejšie riešenia;

  • špecialisti poskytovateľa majú všetky potrebné certifikáty;

  • zhoda nie je nižšia ako pri budovaní vlastnej architektúry s prihliadnutím na požiadavky a odporúčania regulátorov.

Starý mýtus, že osobné údaje nemožno ukladať do cloudu, je stále mimoriadne populárny. Je to pravda len čiastočne: PD naozaj nemožno zaúčtovať v prvej dostupnej oblak. Vyžaduje sa dodržiavanie určitých technických opatrení a používanie určitých certifikovaných riešení. Ak poskytovateľ dodrží všetky zákonné požiadavky, riziká spojené s únikom osobných údajov sú minimalizované. Mnohí poskytovatelia majú samostatnú infraštruktúru na spracovanie osobných údajov v súlade s 152-FZ. K výberu dodávateľa však treba pristupovať aj so znalosťou určitých kritérií, ktorých sa určite dotkneme nižšie. 

Klienti k nám často prichádzajú s obavami o umiestnenie osobných údajov v cloude poskytovateľa. No, poďme si ich hneď rozobrať.

  • Dáta môžu byť odcudzené počas prenosu alebo migrácie

Netreba sa toho báť – poskytovateľ ponúka klientovi vytvorenie bezpečného kanála na prenos dát postaveného na certifikovaných riešeniach, rozšírené autentifikačné opatrenia pre dodávateľov a zamestnancov. Zostáva len zvoliť vhodné spôsoby ochrany a realizovať ich v rámci práce s klientom.

  • Ukážkové masky prídu a odoberú/zapečatia/vypnú napájanie servera

Je to celkom pochopiteľné pre zákazníkov, ktorí sa obávajú, že ich obchodné procesy budú narušené z dôvodu nedostatočnej kontroly nad infraštruktúrou. Spravidla na to myslia tí klienti, ktorých hardvér bol predtým umiestnený v malých serverových miestnostiach a nie v špecializovaných dátových centrách. V skutočnosti sú dátové centrá vybavené modernými prostriedkami fyzickej aj informačnej ochrany. V takomto dátovom centre je takmer nemožné vykonávať akékoľvek operácie bez dostatočných podkladov a dokladov a takéto činnosti si vyžadujú dodržiavanie množstva postupov. Navyše „vytiahnutie“ vášho servera z dátového centra môže ovplyvniť aj ostatných klientov poskytovateľa, a to rozhodne nie je pre nikoho potrebné. Navyše nikto nebude môcť ukazovať prstom konkrétne na „váš“ virtuálny server, takže ak ho bude chcieť niekto ukradnúť alebo zinscenovať predstavenie masiek, bude sa musieť najskôr popasovať s množstvom byrokratických prieťahov. Počas tejto doby budete mať s najväčšou pravdepodobnosťou čas niekoľkokrát prejsť na inú stránku.

  • Hackeri hacknú cloud a ukradnú dáta

Internet a tlač sú plné titulkov o tom, ako sa ďalší cloud stal obeťou kyberzločincov a na internete unikli milióny záznamov o osobných údajoch. V drvivej väčšine prípadov sa nenašli zraniteľné miesta vôbec na strane poskytovateľa, ale v informačných systémoch obetí: slabé alebo dokonca predvolené heslá, „diery“ v motoroch a databázach webových stránok a banálna obchodná neopatrnosť pri výbere bezpečnostných opatrení a organizovanie postupov prístupu k údajom. Všetky certifikované riešenia sú kontrolované na slabé miesta. Pravidelne vykonávame aj „kontrolné“ pentesty a bezpečnostné audity, a to nezávisle aj prostredníctvom externých organizácií. Pre poskytovateľa je to vec dobrého mena a podnikania vo všeobecnosti.

  • Poskytovateľ/zamestnanci poskytovateľa ukradnú osobné údaje pre osobný zisk

Toto je dosť citlivý moment. Množstvo spoločností zo sveta informačnej bezpečnosti „straší“ svojich klientov a trvá na tom, že „interní zamestnanci sú nebezpečnejší ako hackeri zvonku“. V niektorých prípadoch to môže byť pravda, ale bez dôvery sa podnikanie vybudovať nedá. Z času na čas sa objavia správy o tom, že vlastní zamestnanci organizácie unikajú útočníkom údaje o zákazníkoch a interná bezpečnosť je niekedy organizovaná oveľa horšie ako externá. Tu je dôležité pochopiť, že akéhokoľvek veľkého poskytovateľa extrémne nezaujímajú negatívne prípady. Konanie zamestnancov poskytovateľa je dobre regulované, úlohy a oblasti zodpovednosti sú rozdelené. Všetky obchodné procesy sú štruktúrované tak, že prípady úniku dát sú extrémne nepravdepodobné a interné služby si ich vždy uvedomia, takže klienti by sa problémov z tejto strany nemali báť.

  • Platíte málo, pretože za služby platíte svojimi obchodnými údajmi.

Ďalší mýtus: klient, ktorý si prenajme zabezpečenú infraštruktúru za pohodlnú cenu, za to v skutočnosti zaplatí svojimi dátami – to si často myslia odborníci, ktorým nevadí, že si pred spaním prečítajú pár konšpiračných teórií. Po prvé, možnosť vykonávať akékoľvek operácie s vašimi údajmi okrem tých, ktoré sú uvedené v objednávke, je v podstate nulová. Po druhé, adekvátny poskytovateľ si cení vzťah s vami a jeho povesť - okrem vás má oveľa viac klientov. Pravdepodobnejší je opačný scenár, v ktorom bude poskytovateľ horlivo chrániť dáta svojich klientov, na ktorých stojí jeho biznis.

Výber poskytovateľa cloudu pre ISPD

Dnes trh ponúka mnoho riešení pre spoločnosti, ktoré sú prevádzkovateľmi PD. Nižšie je uvedený všeobecný zoznam odporúčaní pre výber toho správneho.

  • Poskytovateľ musí byť pripravený uzavrieť formálnu dohodu popisujúcu povinnosti strán, SLA a oblasti zodpovednosti v kľúči k spracovaniu osobných údajov. V skutočnosti medzi vami a poskytovateľom musí byť okrem zmluvy o poskytovaní služieb podpísaná aj objednávka na spracovanie PD. V každom prípade stojí za to ich pozorne preštudovať. Je dôležité pochopiť rozdelenie zodpovednosti medzi vami a poskytovateľom.

  • Upozorňujeme, že segment musí spĺňať požiadavky, čo znamená, že musí mať certifikát označujúci úroveň zabezpečenia, ktorá nie je nižšia, ako vyžaduje vaša IP. Stáva sa, že poskytovatelia zverejňujú len prvú stranu certifikátu, z ktorej je málo jasné, alebo sa odvolávajú na audity či postupy zhody bez zverejnenia samotného certifikátu („bol tam chlapec?“). Stojí za to požiadať - ide o verejný dokument, ktorý uvádza, kto vykonal certifikáciu, dobu platnosti, umiestnenie v cloude atď.

  • Poskytovateľ musí poskytnúť informácie o tom, kde sa nachádzajú jeho stránky (chránené objekty), aby ste mohli kontrolovať umiestnenie svojich údajov. Pripomeňme, že prvotný zber osobných údajov musí byť vykonaný na území Ruskej federácie, preto je vhodné v zmluve/certifikáte vidieť adresy dátového centra.

  • Poskytovateľ musí používať certifikované systémy informačnej bezpečnosti a ochrany informácií. Väčšina poskytovateľov samozrejme nepropaguje technické bezpečnostné opatrenia a architektúru riešení, ktoré používajú. Ale vy ako klient o tom neviete. Napríklad pre vzdialené pripojenie k riadiacemu systému (manažérskemu portálu) je potrebné použiť bezpečnostné opatrenia. Poskytovateľ nebude môcť túto požiadavku obísť a poskytne vám (alebo od vás bude vyžadovať používanie) certifikované riešenia. Vezmite zdroje na test a okamžite pochopíte, ako a čo funguje. 

  • Je veľmi žiaduce, aby poskytovateľ cloudu poskytoval doplnkové služby v oblasti informačnej bezpečnosti. Môžu to byť rôzne služby: ochrana pred DDoS útokmi a WAF, antivírusová služba alebo sandbox atď. To všetko vám umožní získať ochranu ako službu, nenechať sa rozptyľovať systémami ochrany budov, ale pracovať na podnikových aplikáciách.

  • Poskytovateľ musí byť držiteľom licencie FSTEC a FSB. Takéto informácie sa spravidla zverejňujú priamo na webovej stránke. Tieto dokumenty si určite vyžiadajte a skontrolujte, či sú správne adresy na poskytovanie služieb, názov spoločnosti poskytovateľa a pod. 

Poďme si to zhrnúť. Infraštruktúra prenájmu vám umožní opustiť CAPEX a ponechať si iba vaše podnikové aplikácie a samotné údaje vo vašej oblasti zodpovednosti a preniesť veľké bremeno certifikácie hardvéru, softvéru a hardvéru na poskytovateľa.

Ako sme prešli certifikáciou

Najnovšie sme úspešne prešli recertifikáciou infraštruktúry “Secure Cloud FZ-152” na súlad s požiadavkami na prácu s osobnými údajmi. Práce realizovalo Národné certifikačné centrum.

V súčasnosti je “FZ-152 Secure Cloud” certifikovaný pre hosting informačných systémov zapojených do spracovania, uchovávania alebo prenosu osobných údajov (ISPDn) v súlade s požiadavkami úrovne UZ-3.

Certifikačný postup zahŕňa kontrolu súladu infraštruktúry poskytovateľa cloudu s úrovňou ochrany. Samotný poskytovateľ poskytuje službu IaaS a nie je prevádzkovateľom osobných údajov. Proces zahŕňa posúdenie organizačných (dokumentácia, zákazky a pod.) aj technických opatrení (zriadenie ochranných prostriedkov a pod.).

Nemožno to nazvať triviálnym. Napriek tomu, že GOST o programoch a metódach vykonávania certifikačných činností sa objavila už v roku 2013, prísne programy pre cloudové objekty stále neexistujú. Certifikačné centrá vyvíjajú tieto programy na základe vlastných odborných znalostí. S príchodom nových technológií sa programy stávajú zložitejšími a modernizovanými, preto musí mať certifikátor skúsenosti s prácou s cloudovými riešeniami a rozumieť špecifikám.

V našom prípade sa chránený objekt skladá z dvoch lokalít.

  • Cloudové zdroje (servery, úložné systémy, sieťová infraštruktúra, bezpečnostné nástroje atď.) sú umiestnené priamo v dátovom centre. Takéto virtuálne dátové centrum je samozrejme napojené na verejné siete a podľa toho musia byť splnené určité požiadavky na firewall, napríklad používanie certifikovaných firewallov.

  • Druhou časťou objektu sú nástroje na správu cloudu. Ide o pracovné stanice (pracovné stanice správcu), z ktorých je spravovaný chránený segment.

Miesta komunikujú cez kanál VPN postavený na CIPF.

Keďže virtualizačné technológie vytvárajú predpoklady pre vznik hrozieb, využívame aj doplnkové certifikované ochranné nástroje.

IaaS 152-FZ: Takže potrebujete bezpečnosťBloková schéma „očami posudzovateľa“

Ak klient požaduje certifikáciu svojho ISPD, po prenájme IaaS bude musieť zhodnotiť iba informačný systém nad úrovňou virtuálneho dátového centra. Tento postup zahŕňa kontrolu infraštruktúry a softvéru, ktorý sa v nej používa. Keďže sa pri všetkých problémoch s infraštruktúrou môžete odvolávať na certifikát poskytovateľa, všetko, čo musíte urobiť, je pracovať so softvérom.

IaaS 152-FZ: Takže potrebujete bezpečnosťSeparácia na úrovni abstrakcie

Na záver uvádzame malý kontrolný zoznam pre firmy, ktoré už s osobnými údajmi pracujú alebo len plánujú. Ako to teda zvládnuť bez popálenia.

  1. Na audit a vývoj modelov hrozieb a narušiteľov si prizvite skúseného konzultanta z radov certifikačných laboratórií, ktorý vám pomôže vypracovať potrebné dokumenty a privedie vás do štádia technických riešení.

  2. Pri výbere poskytovateľa cloudu dbajte na prítomnosť certifikátu. Bolo by dobré, keby to spoločnosť verejne zverejnila priamo na stránke. Poskytovateľ musí byť držiteľom licencie FSTEC a FSB a služba, ktorú ponúka, musí byť certifikovaná.

  3. Uistite sa, že máte formálnu dohodu a podpísaný pokyn na spracovanie osobných údajov. Na základe toho budete môcť vykonať kontrolu súladu aj certifikáciu ISPD Ak sa vám táto práca v štádiu technického projektu a tvorby projektovej a technickej dokumentácie zdá zaťažujúca, obráťte sa na poradenské spoločnosti tretích strán spomedzi certifikačných laboratórií.

Ak sa Vás problematika spracúvania osobných údajov týka, 18. septembra, tento piatok, Vás radi uvidíme na webinári „Funkcie budovania certifikovaných cloudov“.

Zdroj: hab.com

Pridať komentár