ProHoster > Blog > Administrasi > IaaS 152-FZ: janten, anjeun peryogi kaamanan

IaaS 152-FZ: janten, anjeun peryogi kaamanan

IaaS 152-FZ: janten, anjeun peryogi kaamanan

Henteu paduli sabaraha anjeun nyortir mitos sareng legenda anu ngurilingan patuh 152-FZ, aya anu tetep aya di balik layar. Dinten ieu kami hoyong ngabahas sababaraha nuansa anu teu jelas anu tiasa dipendakan ku perusahaan ageung sareng perusahaan alit:

  • subtleties klasifikasi PD kana kategori - nalika toko online leutik ngumpulkeun data nu patali jeung kategori husus tanpa malah nyaho ngeunaan eta;

  • dimana anjeun tiasa nyimpen cadangan PD anu dikumpulkeun sareng ngalaksanakeun operasiana;

  • naon bedana sertipikat sareng kacindekan patuh, dokumén naon anu anjeun kedah nyuhunkeun ti panyadia, sareng hal-hal sapertos kitu.

Tungtungna, kami bakal ngabagikeun sareng anjeun pangalaman sorangan pikeun lulus sertifikasi. indit!

Ahli dina artikel dinten ieu bakal Alexey Afanasyev, IS spesialis pikeun panyadia awan IT-GRAD na #CloudMTS (bagian tina grup MTS).

Subtleties klasifikasi

Urang mindeng sapatemon kahayang klien pikeun gancang, tanpa Inok IS, nangtukeun tingkat kaamanan diperlukeun pikeun ISPD. Sababaraha bahan dina Internét dina topik ieu masihan gambaran palsu yén ieu téh tugas basajan tur rada hese nyieun kasalahan.

Pikeun nangtukeun KM, perlu ngartos naon data bakal dikumpulkeun sarta diolah ku klien urang IS. Kadang-kadang tiasa sesah pikeun sacara jelas nangtukeun syarat panyalindungan sareng kategori data pribadi anu dijalankeun ku bisnis. Jenis data pribadi anu sami tiasa ditaksir sareng digolongkeun dina cara anu béda-béda. Ku alatan éta, dina sababaraha kasus, pamadegan bisnis bisa jadi béda ti pamadegan auditor publik atawa malah inspektur. Hayu urang nempo sababaraha conto.

Parkir mobil. Ieu bakal sigana kawas tipe cukup tradisional bisnis. Seueur armada kendaraan parantos beroperasi mangtaun-taun, sareng pamilikna nyéwa pangusaha individu sareng individu. Sakumaha aturan, data karyawan digolongkeun dina sarat UZ-4. Nanging, pikeun damel sareng supir, henteu ngan ukur kedah ngumpulkeun data pribadi, tapi ogé ngalaksanakeun kontrol médis di daérah armada kendaraan sateuacan ngalih, sareng inpormasi anu dikumpulkeun dina prosés langsung digolongkeun kana kategori data médis - sarta ieu data pribadi tina kategori husus. Salaku tambahan, armada tiasa menta sertipikat, anu teras bakal disimpen dina file supir. A scan tina sertipikat misalna dina formulir éléktronik - data kaséhatan, data pribadi tina kategori husus. Ieu ngandung harti yén UZ-4 geus euweuh cukup; sahenteuna UZ-3 diperlukeun.

Toko online. Éta sigana yén nami, email sareng nomer telepon anu dikumpulkeun cocog kana kategori umum. Sanajan kitu, lamun konsumén Anjeun nunjukkeun preferensi dietary, kayaning halal atawa halal, informasi misalna bisa dianggap afiliasi agama atawa data kapercayaan. Ku alatan éta, nalika mariksa atanapi ngalaksanakeun kagiatan kontrol anu sanés, inspektur tiasa ngagolongkeun data anu anjeun kumpulkeun salaku kategori khusus data pribadi. Ayeuna, upami toko online ngumpulkeun inpormasi ngeunaan naha pembelina resep daging atanapi lauk, datana tiasa digolongkeun kana data pribadi anu sanés. Ku jalan kitu, kumaha upami vegetarian? Barina ogé, ieu ogé bisa attributed ka aqidah filosofis, nu ogé milik kategori husus. Tapi di sisi anu sanés, ieu ngan saukur sikep jalma anu ngaleungitkeun daging tina dietna. Alas, teu aya tanda anu jelas nangtukeun kategori PD dina kaayaan "halus".

Agénsi Iklan Ngagunakeun sababaraha ladenan awan Kulon, éta ngolah data para klienna anu sayogi pikeun umum - nami lengkep, alamat email sareng nomer telepon. Data pribadi ieu, tangtosna, aya hubunganana sareng data pribadi. Patarosan timbul: naha éta sah pikeun ngalaksanakeun pamrosesan sapertos kitu? Naha mungkin pikeun mindahkeun data sapertos kitu tanpa depersonalisasi di luar Féderasi Rusia, contona, pikeun nyimpen cadangan dina sababaraha awan asing? Tangtu bisa. Badan boga hak pikeun nyimpen data ieu di luar Rusia, kumaha oge, kumpulan awal, nurutkeun panerapan urang, kudu dilaksanakeun di wewengkon Féderasi Rusia. Upami anjeun nyadangkeun inpormasi sapertos kitu, ngitung sababaraha statistik dumasar kana éta, ngalaksanakeun panalungtikan atanapi ngalakukeun sababaraha operasi sanés sareng éta - sadayana ieu tiasa dilakukeun dina sumber daya Kulon. Titik konci tina sudut pandang hukum nyaéta dimana data pribadi dikumpulkeun. Éta kituna penting teu galau koleksi awal jeung ngolah.

Sapertos kieu tina conto pondok ieu, damel sareng data pribadi henteu salawasna lugas sareng saderhana. Anjeun kedah henteu ngan ukur terang yén anjeun damel sareng aranjeunna, tapi ogé tiasa leres-leres mengklasifikasikeunana, ngartos kumaha IP jalanna pikeun leres-leres nangtukeun tingkat kaamanan anu diperyogikeun. Dina sababaraha kasus, patarosan tiasa timbul ngeunaan sabaraha data pribadi anu leres-leres kedah dioperasikeun ku organisasi. Naha mungkin pikeun nolak data anu paling "serius" atanapi ngan saukur teu perlu? Salaku tambahan, régulator nyarankeun depersonalisasi data pribadi upami mungkin. 

Saperti dina conto di luhur, kadang anjeun bisa sapatemon kanyataan yén otoritas inspeksi napsirkeun data pribadi dikumpulkeun rada béda ti anjeun sorangan ditaksir aranjeunna.

Tangtosna, anjeun tiasa nyéwa auditor atanapi integrator sistem salaku asistén, tapi bakal "asisten" nanggung jawab kana kaputusan anu dipilih upami aya audit? Eta sia noting yén tanggung jawab salawasna perenahna jeung nu boga ISPD - operator data pribadi. Éta sababna, nalika perusahaan ngalaksanakeun padamelan sapertos kitu, penting pikeun giliran pamaén serius di pasar pikeun jasa sapertos kitu, contona, perusahaan anu ngalaksanakeun sertifikasi. Perusahaan sertifikasi gaduh pangalaman éksténsif dina ngalaksanakeun padamelan sapertos kitu.

Pilihan pikeun ngawangun ISPD

Pangwangunan ISPD sanés ngan ukur téknis, tapi ogé seueur masalah hukum. CIO atanapi diréktur kaamanan kedah salawasna konsultasi sareng panaséhat hukum. Kusabab perusahaan henteu salawasna ngagaduhan spesialis sareng profil anu anjeun peryogikeun, éta patut ningali ka auditor-konsultan. Loba titik leueur bisa jadi teu atra pisan.

Konsultasi bakal ngamungkinkeun anjeun pikeun nangtukeun data pribadi naon anu anjeun urus sareng tingkat panyalindungan anu diperyogikeun. Sasuai, anjeun bakal nampi ide ngeunaan IP anu kedah didamel atanapi ditambah ku ukuran kaamanan sareng kaamanan operasional.

Seringna pilihan pikeun perusahaan nyaéta antara dua pilihan:

  1. Bangun IS anu saluyu sareng solusi parangkat lunak sareng parangkat lunak anjeun nyalira, sigana di kamar server anjeun nyalira.

  2. Hubungi panyadia awan sareng pilih solusi anu elastis, "kamar server virtual" anu parantos disertipikasi.

Kaseueuran sistem inpormasi ngolah data pribadi nganggo pendekatan tradisional, anu, tina sudut pandang bisnis, boro tiasa disebat gampang sareng suksés. Nalika milih pilihan ieu, anjeun kedah ngartos yén desain téknis bakal kalebet pedaran alat, kalebet solusi sareng platform parangkat lunak sareng hardware. Ieu hartosna anjeun kedah nyanghareupan kasusah sareng watesan ieu:

  • kasusah skala;

  • jaman palaksanaan proyék panjang: perlu milih, meuli, install, ngonpigurasikeun sarta ngajelaskeun sistem;

  • loba karya "kertas", salaku conto - ngembangkeun paket lengkep dokuméntasi pikeun sakabéh ISPD.

Salaku tambahan, bisnis, sakumaha aturan, ngan ukur ngartos tingkat "luhureun" IP na - aplikasi bisnis anu dianggo. Dina basa sejen, staf IT anu terampil di wewengkon husus maranéhanana. Teu aya pamahaman kumaha sadaya "tingkat handap" jalan: perlindungan parangkat lunak sareng hardware, sistem panyimpen, cadangan sareng, tangtosna, kumaha ngonpigurasikeun alat panyalindungan saluyu sareng sadaya syarat, ngawangun bagian "hardware" tina konfigurasi. Kadé ngartos: ieu lapisan badag pangaweruh anu perenahna di luar bisnis klien urang. Ieu dimana pangalaman panyadia awan anu nyayogikeun "ruang server virtual" anu disertipikasi tiasa dianggo.

Sabalikna, panyadia awan ngagaduhan sababaraha kaunggulan anu, tanpa kaleuleuwihan, tiasa nutupan 99% kabutuhan bisnis dina widang panyalindungan data pribadi:

  • waragad modal dirobah jadi waragad operasi;

  • panyadia, pikeun bagian na, ngajamin penyediaan tingkat diperlukeun kaamanan sarta kasadiaan dumasar kana solusi baku kabuktian;

  • teu kedah ngajaga staf spesialis anu bakal mastikeun operasi tina ISPD di tingkat hardware;

  • panyadia nawiskeun solusi anu langkung fleksibel sareng elastis;

  • spesialis panyadia boga sagala sertipikat diperlukeun;

  • patuh henteu langkung handap nalika ngawangun arsitéktur anjeun nyalira, kalayan tumut kana syarat sareng saran régulator.

Mitos kuno yén data pribadi teu tiasa disimpen dina méga masih populer pisan. Ieu ngan sabagean bener: PD bener teu bisa dipasang dina kahiji sadia awan. Patuh kana ukuran téknis anu tangtu sareng panggunaan solusi anu disertipikasi tangtu diperyogikeun. Upami panyadia saluyu sareng sadaya sarat hukum, résiko anu aya hubunganana sareng bocor data pribadi bakal diminimalkeun. Seueur panyadia gaduh infrastruktur anu misah pikeun ngolah data pribadi saluyu sareng 152-FZ. Nanging, pilihan supplier ogé kedah dideukeutan ku pangaweruh ngeunaan kriteria anu tangtu; urang pasti bakal nyabak aranjeunna di handap. 

Klién sering datang ka kami kalayan sababaraha masalah ngeunaan panempatan data pribadi dina awan panyadia. Nya, hayu urang bahas aranjeunna langsung.

  • Data tiasa dipaling nalika pangiriman atanapi migrasi

Teu kedah sieun ieu - panyadia nawiskeun klien nyiptakeun saluran pangiriman data anu aman anu diwangun dina solusi anu disertipikasi, ukuran auténtikasi anu ditingkatkeun pikeun kontraktor sareng karyawan. Sadaya anu tetep nyaéta milih metode panyalindungan anu cocog sareng nerapkeunana salaku bagian tina padamelan anjeun sareng klien.

  • Témbongkeun masker bakal datang jeung nyokot jauh / segel / neukteuk off kakuatan ka server

Éta cukup kaharti pikeun para nasabah anu sieun yén prosés bisnisna bakal kaganggu kusabab kontrol anu teu cekap pikeun infrastruktur. Sakumaha aturan, éta klien anu hardware saméméhna lokasina di kamar server leutik tinimbang puseur data husus pikir ngeunaan ieu. Dina kanyataanana, puseur data dilengkepan sarana modern duanana panyalindungan fisik jeung informasi. Ampir teu mungkin pikeun ngalaksanakeun operasi naon waé di pusat data sapertos kitu tanpa alesan sareng kertas anu cekap, sareng kagiatan sapertos kitu peryogi patuh kana sababaraha prosedur. Sajaba ti éta, "narik" server anjeun ti puseur data bisa mangaruhan klien sejenna panyadia, sarta ieu pasti teu dipikabutuh pikeun saha. Sajaba ti éta, teu saurang ogé bakal bisa nunjuk ramo husus dina "anjeun" server maya, jadi lamun batur hayang maok atawa panggung acara topeng, aranjeunna mimitina kudu nungkulan loba telat birokrasi. Salila ieu, anjeun paling dipikaresep bakal boga waktu pikeun migrasi ka loka sejen sababaraha kali.

  • Peretas bakal hack awan sareng maok data

Internét sareng pers citak pinuh ku headline ngeunaan kumaha awan anu sanés parantos janten korban cybercriminals, sareng jutaan rékaman data pribadi parantos bocor online. Dina seuseueurna kasus, kerentanan henteu dipendakan di sisi panyadia, tapi dina sistem inpormasi korban: kecap konci anu lemah atanapi standar, "liang" dina mesin wéb sareng pangkalan data, sareng kacerobohan bisnis banal nalika milih ukuran kaamanan sareng ngatur prosedur aksés data. Sadaya solusi anu disertipikasi dipariksa pikeun kerentanan. Urang ogé rutin ngalaksanakeun "kontrol" pentests sarta audits kaamanan, duanana mandiri jeung ngaliwatan organisasi éksternal. Pikeun panyadia, ieu mangrupikeun masalah reputasi sareng bisnis sacara umum.

  • Panyadia / karyawan panyadia bakal maok data pribadi pikeun kauntungan pribadi

Ieu momen rada sénsitip. Sajumlah perusahaan ti dunya kaamanan inpormasi "nyingsieunan" klienna sareng keukeuh yén "karyawan internal langkung bahaya tibatan peretas luar." Ieu bisa jadi bener dina sababaraha kasus, tapi usaha teu bisa diwangun tanpa kapercayaan. Ti waktos ka waktos, wartos terang yén karyawan hiji organisasi nyalira ngabocorkeun data palanggan ka panyerang, sareng kaamanan internal kadang-kadang diatur langkung parah tibatan kaamanan éksternal. Kadé ngartos didieu yén sagala panyadia badag pisan uninterested dina kasus négatip. Laku lampah karyawan panyadia diatur ogé, kalungguhan sareng daérah tanggung jawab dibagi. Sadaya prosés bisnis disusun ku cara anu kasus bocor data pisan teu mungkin sareng sok katingali ku jasa internal, ku kituna para klien henteu kedah sieun masalah ti sisi ieu.

  • Anjeun mayar sakedik sabab mayar jasa nganggo data bisnis anjeun.

Mitos anu sanés: klien anu nyéwa infrastruktur anu aman kalayan harga anu saé leres-leres mayar éta kalayan datana - ieu sering dipikiran ku para ahli anu henteu kapikiran maca sababaraha téori konspirasi sateuacan bobo. Anu mimiti, kamungkinan ngalaksanakeun operasi naon waé sareng data anjeun sanés anu ditunjuk dina pesenan dasarna nol. Kadua, panyadia anu nyukupan ngahargaan hubungan sareng anjeun sareng reputasi na - salian ti anjeun, anjeunna gaduh seueur deui klien. Skenario sabalikna langkung dipikaresep, dimana panyadia bakal ngajagi data klienna, dimana usahana aya.

Milih panyadia awan pikeun ISPD

Kiwari, pasar nawiskeun seueur solusi pikeun perusahaan anu operator PD. Di handap ieu daptar umum rekomendasi pikeun milih anu leres.

  • Panyadia kudu siap asup kana hiji perjangjian formal ngajéntrékeun tanggung jawab pihak, SLAs sarta wewengkon tanggung jawab dina konci pikeun ngolah data pribadi. Nyatana, antara anjeun sareng panyadia, salian ti perjanjian jasa, pesenan pikeun ngolah PD kedah ditandatanganan. Dina sagala hal, éta patut diajar aranjeunna taliti. Kadé ngartos division tina tanggung jawab antara anjeun jeung panyadia nu.

  • Punten dicatet yén bagéan éta kedah nyumponan sarat, anu hartosna éta kedah gaduh sertipikat anu nunjukkeun tingkat kaamanan henteu langkung handap tina anu diperyogikeun ku IP anjeun. Éta kajadian yén panyadia mung nyebarkeun halaman mimiti sertipikat, anu sakedik jelas, atanapi ngarujuk kana pamariksaan atanapi prosedur patuh tanpa nyebarkeun sertipikat sorangan ("aya budak lalaki?"). Éta patut ditaroskeun - ieu mangrupikeun dokumén umum anu nunjukkeun saha anu ngalaksanakeun sertifikasi, jaman validitas, lokasi awan, jsb.

  • Panyadia kedah nyayogikeun inpormasi ngeunaan dimana situsna (objék anu ditangtayungan) ayana supados anjeun tiasa ngontrol panempatan data anjeun. Hayu urang ngingetan yén kumpulan awal data pribadi kudu dilaksanakeun di wewengkon Féderasi Rusia; sasuai, éta sasaena ningali alamat puseur data dina kontrak / sertipikat.

  • Panyadia kedah nganggo kaamanan inpormasi sareng sistem panyalindungan inpormasi anu disertipikasi. Tangtosna, kalolobaan panyadia henteu ngiklankeun ukuran kaamanan téknis sareng arsitéktur solusi anu aranjeunna anggo. Tapi anjeun, salaku klien, teu tiasa ngabantosan tapi terang ngeunaan éta. Contona, jarak jauh nyambung ka sistem manajemen (portal manajemén), perlu ngagunakeun ukuran kaamanan. Panyadia moal tiasa ngalangkungan sarat ieu sareng bakal nyayogikeun anjeun (atanapi ngabutuhkeun anjeun ngagunakeun) solusi anu disertipikasi. Candak sumberdaya pikeun tés sareng anjeun bakal langsung ngartos kumaha sareng naon anu dianggo. 

  • Hal ieu kacida desirable pikeun panyadia awan nyadiakeun ladenan tambahan dina widang kaamanan informasi. Ieu tiasa rupa-rupa jasa: panyalindungan ngalawan serangan DDoS sareng WAF, jasa anti-virus atanapi kotak pasir, jsb. Sadaya ieu bakal ngamungkinkeun anjeun nampi panyalindungan salaku jasa, henteu kaganggu ku ngawangun sistem panyalindungan, tapi pikeun ngerjakeun aplikasi bisnis.

  • Panyadia kedah janten lisénsina FSTEC sareng FSB. Sakumaha aturan, inpormasi sapertos ieu dipasang langsung dina situs wéb. Pastikeun pikeun menta dokumén ieu sareng pariksa naha alamat pikeun nyayogikeun jasa, nami perusahaan panyadia, jsb. 

Hayu urang nyimpulkeun. Infrastruktur nyéwa bakal ngantep anjeun ngantunkeun CAPEX sareng ngan ukur nahan aplikasi bisnis anjeun sareng data sorangan di daérah tanggung jawab anjeun, sareng nransferkeun beban beurat sertifikasi hardware sareng software sareng hardware ka panyadia.

Kumaha urang lulus sertifikasi

Paling anyar, urang hasil lulus recertification tina infrastruktur "Awan Awan FZ-152" pikeun minuhan sarat pikeun gawé bareng data pribadi. Karya dilaksanakeun ku Pusat Sertifikasi Nasional.

Ayeuna, "FZ-152 Secure Cloud" geus Certified pikeun hosting sistem informasi aub dina ngolah, neundeun atawa pangiriman data pribadi (ISPDn) luyu jeung sarat tingkat UZ-3.

Prosedur sertifikasi ngalibatkeun mariksa patuh infrastruktur panyadia awan sareng tingkat panyalindungan. Panyadia sorangan nyayogikeun ladenan IaaS sareng sanés operator data pribadi. Prosésna ngalibatkeun penilaian boh organisasi (dokumentasi, pesenan, jsb.) sareng ukuran téknis (nyetél alat pelindung, jsb.).

Ieu teu bisa disebut trivial. Sanaos kanyataan yén GOST dina program sareng metode pikeun ngalaksanakeun kagiatan sertifikasi muncul deui dina 2013, program anu ketat pikeun objék awan masih teu aya. Puseur sertifikasi ngembangkeun program ieu dumasar kana kaahlian sorangan. Kalayan munculna téknologi anyar, program janten langkung rumit sareng dimodernisasi; sasuai, sertipikat kedah gaduh pangalaman damel sareng solusi awan sareng ngartos spésifikna.

Dina hal urang, obyék anu ditangtayungan diwangun ku dua lokasi.

  • Sumber daya awan (server, sistem panyimpen, infrastruktur jaringan, alat kaamanan, sareng sajabana) lokasina langsung di pusat data. Tangtosna, pusat data virtual sapertos dihubungkeun ka jaringan umum, sareng sasuai, sarat firewall anu tangtu kedah nyumponan, contona, panggunaan firewall anu disertipikasi.

  • Bagian kadua obyék nyaéta alat manajemén awan. Ieu mangrupikeun stasiun kerja (stasiun kerja administrator) dimana bagean anu dijagi diurus.

Lokasi komunikasi ngaliwatan saluran VPN diwangun dina CIPF.

Kusabab téknologi virtualisasi nyiptakeun prasyarat pikeun munculna ancaman, kami ogé ngagunakeun alat panyalindungan anu disertipikasi tambahan.

IaaS 152-FZ: janten, anjeun peryogi kaamananDiagram blok "ngaliwatan panon penilai"

Upami klien peryogi sertifikasi ISPD na, saatos nyéwa IaaS, anjeunna ngan ukur kedah ngevaluasi sistem inpormasi saluhureun tingkat pusat data virtual. Prosedur ieu ngalibatkeun mariksa infrastruktur sareng parangkat lunak anu dianggo dina éta. Kusabab anjeun tiasa ngarujuk kana sertipikat panyadia pikeun sadaya masalah infrastruktur, anu anjeun kedah laksanakeun nyaéta damel sareng parangkat lunak.

IaaS 152-FZ: janten, anjeun peryogi kaamananSeparation dina tingkat abstraksi

Dina kacindekan, ieu mangrupikeun daptar pariksa leutik pikeun perusahaan anu parantos damel sareng data pribadi atanapi ngan ukur ngarencanakeun. Janten, kumaha carana ngadamelna henteu kaduruk.

  1. Pikeun ngaudit sareng ngembangkeun modél ancaman sareng penceroboh, ngajak konsultan anu berpengalaman ti antara laboratorium sertifikasi anu bakal ngabantosan anjeun ngembangkeun dokumén anu diperyogikeun sareng nyandak anjeun kana tahapan solusi téknis.

  2. Nalika milih panyadia awan, perhatikeun ayana sertipikat. Éta langkung saé upami perusahaan sacara umum masangkeunana langsung dina halaman wéb. Panyadia kedah janten lisénsina FSTEC sareng FSB, sareng jasa anu ditawarkeunana kedah disertipikasi.

  3. Pastikeun yén anjeun gaduh perjanjian formal sareng instruksi anu ditandatanganan pikeun ngolah data pribadi. Dumasar ieu, anjeun bakal tiasa ngalaksanakeun pamariksaan matuh sareng sertifikasi ISPD.. Upami padamelan ieu dina tahap proyék téknis sareng nyiptakeun desain sareng dokuméntasi téknis sigana beurat ka anjeun, anjeun kedah ngahubungi perusahaan konsultan pihak katilu. ti antara laboratorium sertifikasi.

Upami masalah ngolah data pribadi relevan pikeun anjeun, dina 18 Séptémber dinten Jumaah ieu, kami bakal bungah ningali anjeun dina webinar "Fitur ngawangun awan anu disertipikasi".

sumber: www.habr.com

Tambahkeun komentar