ProHoster > Blog > Uprava > IaaS 152-FZ: torej potrebujete varnost

IaaS 152-FZ: torej potrebujete varnost

IaaS 152-FZ: torej potrebujete varnost

Ne glede na to, koliko razpravljate o mitih in legendah, ki obkrožajo skladnost s 152-FZ, nekaj vedno ostane v ozadju. Danes želimo razpravljati o nekaterih ne vedno očitnih odtenkih, s katerimi se lahko srečajo tako velika podjetja kot zelo majhna podjetja:

  • tankosti razvrščanja PD v kategorije - ko majhna spletna trgovina zbira podatke, povezane s posebno kategorijo, ne da bi za to sploh vedela;

  • kjer lahko shranjujete varnostne kopije zbranih PD in izvajate operacije na njih;

  • kakšna je razlika med certifikatom in zaključkom o skladnosti, katere dokumente zahtevati od ponudnika in podobno.

Za konec pa bomo z vami delili še lastno izkušnjo pri opravljanju certificiranja. Pojdi!

Strokovnjak v današnjem članku bo Aleksej Afanasjev, IS specialist za ponudnike v oblaku IT-GRAD in #CloudMTS (del skupine MTS).

Tankosti klasifikacije

Pogosto se srečujemo z željo naročnika, da hitro, brez revizije IS, določi zahtevano stopnjo varnosti za ISPD. Nekatera gradiva na internetu o tej temi dajejo napačen vtis, da je to preprosta naloga in da je precej težko narediti napako.

Za določitev KM je treba razumeti, katere podatke bo zbiral in obdeloval naročnikov IS. Včasih je težko nedvoumno določiti zahteve glede varstva in kategorijo osebnih podatkov, s katerimi podjetje upravlja. Iste vrste osebnih podatkov je mogoče oceniti in razvrstiti na povsem različne načine. Zato se lahko v nekaterih primerih mnenje podjetja razlikuje od mnenja revizorja ali celo inšpektorja. Poglejmo si nekaj primerov.

Parkirišče. Zdi se, da je to precej tradicionalna vrsta posla. Številni vozni parki delujejo že desetletja, njihovi lastniki pa najemajo samostojne podjetnike in posameznike. Podatki o zaposlenih praviloma spadajo pod zahteve UZ-4. Vendar pa je za delo z vozniki potrebno ne samo zbiranje osebnih podatkov, temveč tudi zdravniški nadzor na območju voznega parka pred odhodom na izmeno, pri tem zbrane informacije pa takoj sodijo v kategorijo zdravstveni podatki - in to so osebni podatki posebne kategorije. Poleg tega lahko vozni park zahteva potrdila, ki bodo nato shranjena v voznikovi kartoteki. Sken takega potrdila v elektronski obliki - zdravstveni podatki, osebni podatki posebne kategorije. To pomeni, da UZ-4 ni več dovolj, potreben je vsaj UZ-3.

Spletna trgovina. Zdi se, da zbrana imena, e-poštni naslovi in ​​telefonske številke spadajo v javno kategorijo. Če pa vaše stranke navedejo prehranske preference, kot sta halal ali košer, se lahko takšne informacije obravnavajo kot podatki o verski pripadnosti ali prepričanju. Zato lahko inšpektor pri preverjanju ali izvajanju drugih nadzornih dejavnosti podatke, ki jih zbirate, uvrsti v posebno kategorijo osebnih podatkov. Zdaj, če bi spletna trgovina zbirala podatke o tem, ali ima kupec raje meso ali ribe, bi podatke lahko označili kot druge osebne podatke. Mimogrede, kaj pa vegetarijanci? Navsezadnje gre to pripisati tudi filozofskim prepričanjem, ki prav tako sodijo v posebno kategorijo. Po drugi strani pa je to lahko preprosto odnos osebe, ki je meso črtala iz svoje prehrane. Žal, ni znaka, ki bi nedvoumno opredelil kategorijo PD v tako "subtilnih" situacijah.

Oglaševalska agencija S pomočjo neke zahodne oblačne storitve obdeluje javno dostopne podatke svojih strank – imena, elektronske naslove in telefonske številke. Ti osebni podatki se seveda nanašajo na osebne podatke. Postavlja se vprašanje: ali je zakonito izvajati takšno obdelavo? Ali je sploh mogoče takšne podatke brez depersonalizacije premakniti zunaj Ruske federacije, na primer za shranjevanje varnostnih kopij v nekaterih tujih oblakih? Seveda lahko. Agencija ima pravico hraniti te podatke izven Rusije, vendar mora biti prvotno zbiranje v skladu z našo zakonodajo opravljeno na ozemlju Ruske federacije. Če naredite varnostno kopijo takšnih informacij, izračunate nekaj statističnih podatkov, ki temeljijo na njih, izvedete raziskave ali izvedete druge operacije z njimi - vse to je mogoče storiti na zahodnih virih. Ključno s pravnega vidika je, kje se osebni podatki zbirajo. Zato je pomembno, da ne zamenjujete začetnega zbiranja in predelave.

Kot izhaja iz teh kratkih primerov, delo z osebnimi podatki ni vedno preprosto in preprosto. Ne samo, da morate vedeti, da delate z njimi, ampak jih morate tudi pravilno razvrstiti, razumeti, kako deluje IP, da pravilno določite zahtevano raven varnosti. V nekaterih primerih se lahko pojavi vprašanje, koliko osebnih podatkov organizacija dejansko potrebuje za delovanje. Ali je mogoče zavrniti najbolj "resne" ali preprosto nepotrebne podatke? Poleg tega regulator priporoča depersonalizacijo osebnih podatkov, kjer je to mogoče. 

Tako kot v zgornjih primerih se lahko včasih srečate s tem, da inšpekcijski organi zbrane osebne podatke interpretirajo nekoliko drugače, kot ste jih sami ocenili.

Seveda lahko za pomočnika najamete presojevalca ali sistemskega integratorja, ampak ali bo v primeru presoje »pomočnik« odgovoren za izbrane odločitve? Opozoriti je treba, da odgovornost vedno nosi lastnik ISPD – upravljavec osebnih podatkov. Zato je pomembno, da se podjetje, ko izvaja takšno delo, obrne na resne igralce na trgu tovrstnih storitev, na primer na podjetja, ki izvajajo certifikacijska dela. Certifikacijska podjetja imajo bogate izkušnje pri izvajanju tovrstnih del.

Možnosti za izdelavo ISPD

Izgradnja ISPD ni samo tehnično, ampak tudi v veliki meri pravno vprašanje. Direktor informatike ali varnostni direktor se mora vedno posvetovati s pravnim svetovalcem. Ker podjetje nima vedno strokovnjaka s profilom, ki ga potrebujete, se je vredno obrniti na revizorje-svetovalce. Številne spolzke točke morda sploh niso očitne.

Posvetovanje vam bo omogočilo, da ugotovite, s katerimi osebnimi podatki imate opravka in kakšno raven zaščite zahtevajo. V skladu s tem boste dobili predstavo o IP-ju, ki ga je treba ustvariti ali dopolniti z varnostnimi in operativnimi varnostnimi ukrepi.

Pogosto se podjetje odloča med dvema možnostma:

  1. Zgradite ustrezen IS na lastni strojni in programski rešitvi, po možnosti v svoji strežniški sobi.

  2. Obrnite se na ponudnika oblaka in izberite elastično rešitev, že certificirano »virtualno strežniško sobo«.

Večina informacijskih sistemov za obdelavo osebnih podatkov uporablja tradicionalen pristop, ki ga s poslovnega vidika težko imenujemo enostaven in uspešen. Pri izbiri te možnosti je treba razumeti, da bo tehnična zasnova vključevala opis opreme, vključno s programskimi in strojnimi rešitvami ter platformami. To pomeni, da se boste morali soočiti z naslednjimi težavami in omejitvami:

  • težave pri skaliranju;

  • dolgo obdobje izvajanja projekta: potrebno je izbrati, kupiti, namestiti, konfigurirati in opisati sistem;

  • veliko "papirnatega" dela, kot primer - razvoj celotnega paketa dokumentacije za celoten ISPD.

Poleg tega podjetje praviloma razume samo "najvišjo" raven svojega IP - poslovne aplikacije, ki jih uporablja. Z drugimi besedami, osebje IT je usposobljeno na svojem specifičnem področju. Ne razumemo, kako delujejo vse "nižje ravni": zaščita programske in strojne opreme, sistemi za shranjevanje, varnostno kopiranje in seveda, kako konfigurirati zaščitna orodja v skladu z vsemi zahtevami, zgraditi "strojni" del konfiguracije. Pomembno je razumeti: to je ogromna plast znanja, ki je zunaj strankinega posla. Tu lahko pridejo prav izkušnje ponudnika oblaka, ki zagotavlja certificirano »virtualno strežniško sobo«.

Ponudniki v oblaku pa imajo številne prednosti, ki brez pretiravanja lahko pokrijejo 99 % poslovnih potreb na področju varstva osebnih podatkov:

  • stroški kapitala se pretvorijo v stroške poslovanja;

  • ponudnik s svoje strani jamči za zagotavljanje zahtevane stopnje varnosti in razpoložljivosti na podlagi preverjene standardne rešitve;

  • ni potrebe po vzdrževanju osebja strokovnjakov, ki bodo zagotavljali delovanje ISPD na ravni strojne opreme;

  • ponudniki ponujajo veliko bolj fleksibilne in elastične rešitve;

  • strokovnjaki ponudnika imajo vse potrebne certifikate;

  • skladnost ni nižja kot pri gradnji lastne arhitekture ob upoštevanju zahtev in priporočil regulatorjev.

Stari mit, da osebnih podatkov ni mogoče shraniti v oblak, je še vedno izjemno priljubljen. Le delno drži: PD res ni mogoče objaviti v prvem, ki je na voljo oblak. Zahtevana je skladnost z določenimi tehničnimi ukrepi in uporaba določenih certificiranih rešitev. Če ponudnik upošteva vse zakonske zahteve, so tveganja, povezana z uhajanjem osebnih podatkov, minimalna. Mnogi ponudniki imajo ločeno infrastrukturo za obdelavo osebnih podatkov v skladu s 152-FZ. K izbiri dobavitelja pa je treba pristopiti tudi s poznavanjem določenih kriterijev, ki se jih bomo zagotovo dotaknili v nadaljevanju. 

Stranke se pogosto obračajo na nas s pomisleki glede umestitve osebnih podatkov v ponudnikov oblak. No, takoj se pogovorimo o njih.

  • Podatki so lahko ukradeni med prenosom ali selitvijo

Tega se ni treba bati – ponudnik naročniku ponuja vzpostavitev varnega kanala za prenos podatkov, zgrajenega na certificiranih rešitvah, izboljšanih avtentikacijskih ukrepih za izvajalce in zaposlene. Preostane vam le, da izberete ustrezne načine zaščite in jih implementirate v okviru dela s stranko.

  • Show maske bodo prišle in odvzele/zapečatile/prekinile napajanje strežnika

Povsem razumljivo je, da se kupci bojijo, da bodo zaradi premajhnega nadzora nad infrastrukturo moteni njihovi poslovni procesi. O tem praviloma razmišljajo tisti odjemalci, katerih strojna oprema se je prej nahajala v majhnih strežniških sobah in ne v specializiranih podatkovnih centrih. V resnici so podatkovni centri opremljeni s sodobnimi sredstvi tako fizične kot informacijske zaščite. V takem podatkovnem centru je skoraj nemogoče izvajati kakršno koli dejavnost brez zadostne podlage in papirjev, poleg tega je za tovrstne dejavnosti potrebno upoštevati vrsto postopkov. Poleg tega lahko "vlečenje" vašega strežnika iz podatkovnega centra vpliva na druge naročnike ponudnika, kar pa zagotovo ni potrebno nikomur. Poleg tega nihče ne bo mogel s prstom pokazati konkretno na »vaš« virtualni strežnik, tako da se bo moral, če ga bo kdo želel ukrasti ali uprizoriti predstavo z maskami, najprej soočiti s številnimi birokratskimi zamudami. V tem času boste najverjetneje imeli čas, da se večkrat preselite na drugo spletno mesto.

  • Hekerji bodo vdrli v oblak in ukradli podatke

Internet in tiskani mediji so polni naslovov o tem, kako je še en oblak postal žrtev kibernetskih kriminalcev, na spletu pa je ušlo na milijone zapisov osebnih podatkov. V veliki večini primerov ranljivosti sploh niso bile odkrite na strani ponudnika, temveč v informacijskih sistemih žrtev: šibka ali celo privzeta gesla, "luknje" v spletnih pogonih in bazah podatkov ter banalna poslovna malomarnost pri izbiri varnostnih ukrepov in organiziranje postopkov dostopa do podatkov. Vse certificirane rešitve so preverjene glede ranljivosti. Redno izvajamo tudi »kontrolne« penteste in varnostne revizije, tako samostojno kot preko zunanjih organizacij. Za ponudnika je to stvar ugleda in poslovanja nasploh.

  • Ponudnik/zaposleni pri ponudniku bodo ukradli osebne podatke za osebno korist

To je precej občutljiv trenutek. Številna podjetja iz sveta informacijske varnosti »strašijo« svoje stranke in vztrajajo, da so »notranji zaposleni nevarnejši od zunanjih hekerjev«. To je morda res v nekaterih primerih, vendar podjetja ni mogoče zgraditi brez zaupanja. Od časa do časa zabliskajo novice, da zaposleni v organizaciji razkrivajo podatke o strankah napadalcem, notranja varnost pa je včasih organizirana veliko slabše od zunanje varnosti. Pri tem je pomembno razumeti, da je vsak večji ponudnik skrajno nezainteresiran za negativne primere. Delovanje zaposlenih pri ponudniku je dobro urejeno, vloge in področja odgovornosti so razdeljena. Vsi poslovni procesi so strukturirani tako, da so primeri uhajanja podatkov izredno malo verjetni in internim službam vedno opazni, zato se naročnikom težav s te strani ne sme bati.

  • Plačate malo, ker storitve plačujete s svojimi poslovnimi podatki.

Še en mit: stranka, ki najame varno infrastrukturo po ugodni ceni, to v resnici plača s svojimi podatki – to pogosto mislijo strokovnjaki, ki jim je vseeno, da pred spanjem preberejo nekaj teorij zarote. Prvič, možnost izvajanja kakršnih koli operacij z vašimi podatki, razen tistih, ki so navedene v naročilu, je v bistvu enaka nič. Drugič, ustrezen ponudnik ceni odnos z vami in svoj ugled - poleg vas ima veliko več strank. Verjetnejši je nasprotni scenarij, v katerem bo ponudnik vneto varoval podatke svojih strank, na katerih sloni njegov posel.

Izbira ponudnika oblaka za ISPD

Trg danes ponuja številne rešitve za podjetja, ki so operaterji PD. Spodaj je splošen seznam priporočil za izbiro pravega.

  • Ponudnik mora biti pripravljen na sklenitev uradne pogodbe, ki opisuje odgovornosti strank, SLA in področja odgovornosti v ključu za obdelavo osebnih podatkov. Pravzaprav mora biti med vami in ponudnikom poleg storitvene pogodbe podpisana tudi naročilnica za obdelavo PD. V vsakem primeru jih je vredno natančno preučiti. Pomembno je razumeti delitev odgovornosti med vami in ponudnikom.

  • Upoštevajte, da mora segment izpolnjevati zahteve, kar pomeni, da mora imeti certifikat, ki označuje raven varnosti, ki ni nižja od tiste, ki jo zahteva vaš IP. Dogaja se, da ponudniki objavijo samo prvo stran certifikata, iz katere je malo razvidnega, ali pa se sklicujejo na revizije ali postopke zagotavljanja skladnosti, ne da bi objavili sam certifikat (»a je bil fant?«). Splača se ga vprašati - to je javna listina, ki navaja, kdo je izvedel certificiranje, obdobje veljavnosti, lokacijo v oblaku itd.

  • Ponudnik mora posredovati informacije o tem, kje se nahajajo njegove strani (varovani objekti), da lahko nadzirate namestitev svojih podatkov. Naj vas spomnimo, da mora biti začetno zbiranje osebnih podatkov izvedeno na ozemlju Ruske federacije, zato je priporočljivo videti naslove podatkovnega centra v pogodbi/potrdilu.

  • Ponudnik mora uporabljati certificirane sisteme informacijske varnosti in zaščite informacij. Seveda večina ponudnikov ne oglašuje tehničnih varnostnih ukrepov in arhitekture rešitev, ki jih uporabljajo. Toda vi, kot stranka, ne morete pomagati, da ne bi vedeli za to. Na primer, za oddaljeno povezavo s sistemom upravljanja (portal za upravljanje) je treba uporabiti varnostne ukrepe. Ponudnik te zahteve ne bo mogel zaobiti in vam bo zagotovil (ali zahteval uporabo) certificirane rešitve. Preizkusite vire in takoj boste razumeli, kako in kaj deluje. 

  • Zelo zaželeno je, da ponudnik oblaka zagotavlja dodatne storitve na področju informacijske varnosti. To so lahko različne storitve: zaščita pred napadi DDoS in WAF, protivirusna storitev ali peskovnik itd. Vse to vam bo omogočilo, da prejmete zaščito kot storitev, ne da bi vas motila izgradnja zaščitnih sistemov, ampak da delate na poslovnih aplikacijah.

  • Ponudnik mora biti imetnik licence FSTEC in FSB. Takšne informacije so praviloma objavljene neposredno na spletnem mestu. Vsekakor zahtevajte te dokumente in preverite, ali so naslovi za opravljanje storitev, ime podjetja ponudnika ipd. pravilni. 

Naj povzamemo. Najem infrastrukture vam bo omogočil, da opustite CAPEX in obdržite samo vaše poslovne aplikacije in same podatke v vašem območju odgovornosti ter prenesete veliko breme certificiranja strojne in programske ter strojne opreme na ponudnika.

Kako smo opravili certificiranje

Pred kratkim smo uspešno opravili recertifikacijo infrastrukture »Secure Cloud FZ-152« za skladnost z zahtevami za delo z osebnimi podatki. Delo je izvedel Nacionalni certifikacijski center.

Trenutno je »FZ-152 Secure Cloud« certificiran za gostovanje informacijskih sistemov, ki se ukvarjajo z obdelavo, hrambo ali prenosom osebnih podatkov (ISPDn) v skladu z zahtevami stopnje UZ-3.

Postopek certificiranja vključuje preverjanje skladnosti infrastrukture ponudnika oblaka s stopnjo zaščite. Ponudnik sam zagotavlja storitev IaaS in ni upravljavec osebnih podatkov. Postopek zajema presojo tako organizacijskih (dokumentacija, odredbe ipd.) kot tehničnih ukrepov (postavitev zaščitne opreme ipd.).

Ne moremo ga imenovati trivialno. Kljub dejstvu, da se je GOST o programih in metodah za izvajanje certifikacijskih dejavnosti pojavil že leta 2013, strogi programi za objekte v oblaku še vedno ne obstajajo. Certifikacijski centri razvijajo te programe na podlagi lastnega strokovnega znanja. S prihodom novih tehnologij postajajo programi bolj kompleksni in posodobljeni, zato mora imeti certifikator izkušnje z delom z oblačnimi rešitvami in razumeti posebnosti.

V našem primeru je varovani objekt sestavljen iz dveh lokacij.

  • Sredstva v oblaku (strežniki, sistemi za shranjevanje, omrežna infrastruktura, varnostna orodja itd.) se nahajajo neposredno v podatkovnem centru. Seveda je tak virtualni podatkovni center povezan z javnimi omrežji, zato morajo biti izpolnjene nekatere zahteve požarnega zidu, na primer uporaba certificiranih požarnih zidov.

  • Drugi del predmeta so orodja za upravljanje oblaka. To so delovne postaje (skrbnikove delovne postaje), s katerih se upravlja zaščiteni segment.

Lokacije komunicirajo prek kanala VPN, zgrajenega na CIPF.

Ker virtualizacijske tehnologije ustvarjajo predpogoje za nastanek groženj, uporabljamo tudi dodatna certificirana zaščitna orodja.

IaaS 152-FZ: torej potrebujete varnostBlokovni diagram “skozi oči ocenjevalca”

Če bo naročnik zahteval certificiranje svojega ISPD, bo moral po najemu IaaS le oceniti informacijski sistem nad nivojem virtualnega podatkovnega centra. Ta postopek vključuje preverjanje infrastrukture in programske opreme, ki se na njej uporablja. Ker se lahko za vse težave z infrastrukturo sklicujete na potrdilo ponudnika, morate le delati s programsko opremo.

IaaS 152-FZ: torej potrebujete varnostLočitev na ravni abstrakcije

Za zaključek je tukaj majhen kontrolni seznam za podjetja, ki že delajo z osebnimi podatki ali šele načrtujejo. Torej, kako ravnati, ne da bi se opekli.

  1. Za revizijo in razvoj modelov groženj in vsiljivcev povabite izkušenega svetovalca iz certifikacijskih laboratorijev, ki vam bo pomagal razviti potrebne dokumente in vas pripeljal do stopnje tehničnih rešitev.

  2. Pri izbiri ponudnika oblaka bodite pozorni na prisotnost certifikata. Dobro bi bilo, če bi podjetje to javno objavilo neposredno na spletni strani. Ponudnik mora biti imetnik licence FSTEC in FSB, storitev, ki jo ponuja, pa mora biti certificirana.

  3. Poskrbite, da boste imeli uradno pogodbo in podpisano navodilo za obdelavo osebnih podatkov. Na podlagi tega boste lahko izvedli tako preverjanje skladnosti kot tudi certificiranje ISPD.Če se vam to delo v fazi tehničnega projekta in izdelave projektne in tehnične dokumentacije zdi obremenjujoče, se obrnite na svetovalna podjetja tretjih oseb. izmed certifikacijskih laboratorijev.

Če so vprašanja obdelave osebnih podatkov pomembna za vas, vas bomo 18. septembra, ta petek, z veseljem videli na spletnem seminarju »Funkcije gradnje certificiranih oblakov«.

Vir: www.habr.com

Dodaj komentar