ProHoster > blogg > administration > IaaS 152-FZ: så du behöver säkerhet

IaaS 152-FZ: så du behöver säkerhet

IaaS 152-FZ: så du behöver säkerhet

Oavsett hur mycket du reder ut myterna och legenderna som omger efterlevnaden av 152-FZ, finns alltid något kvar bakom kulisserna. Idag vill vi diskutera några inte alltid uppenbara nyanser som både stora företag och mycket små företag kan stöta på:

  • subtiliteter av PD-klassificering i kategorier - när en liten onlinebutik samlar in data relaterade till en speciell kategori utan att ens veta om det;

  • där du kan lagra säkerhetskopior av insamlade PD och utföra operationer på dem;

  • vad är skillnaden mellan ett certifikat och en slutsats om överensstämmelse, vilka dokument ska du begära från leverantören och sånt.

Slutligen kommer vi att dela med oss ​​av vår egen erfarenhet av att klara certifieringen. Gå!

Experten i dagens artikel kommer att vara Alexey Afanasiev, IS specialist för molnleverantörer IT-GRAD och #CloudMTS (en del av MTS-gruppen).

Klassificeringens subtiliteter

Vi stöter ofta på en kunds önskan att snabbt, utan en IS-revision, fastställa vilken säkerhetsnivå som krävs för en ISPD. Vissa material på Internet om detta ämne ger ett felaktigt intryck av att detta är en enkel uppgift och det är ganska svårt att göra ett misstag.

För att bestämma KM är det nödvändigt att förstå vilken data som kommer att samlas in och bearbetas av kundens IS. Ibland kan det vara svårt att entydigt avgöra vilka skyddskrav och vilken kategori av personuppgifter som ett företag bedriver. Samma typer av personuppgifter kan bedömas och klassificeras på helt olika sätt. Därför kan i vissa fall verksamhetens uppfattning skilja sig från revisorns eller till och med inspektörens uppfattning. Låt oss titta på några exempel.

Parkering. Det verkar vara en ganska traditionell typ av verksamhet. Många fordonsflottor har funnits i decennier och deras ägare anställer enskilda företagare och privatpersoner. Som regel faller anställdas data under kraven i UZ-4. Men för att arbeta med förare är det nödvändigt att inte bara samla in personuppgifter utan också att utföra medicinsk kontroll på fordonsflottans territorium innan du går på ett skift, och informationen som samlas in i processen faller omedelbart in i kategorin medicinska uppgifter - och detta är personuppgifter av en speciell kategori. Dessutom kan flottan begära certifikat, som sedan förvaras i förarens fil. En skanning av ett sådant intyg i elektronisk form - hälsodata, personuppgifter av en speciell kategori. Det betyder att UZ-4 inte längre räcker, utan minst UZ-3 krävs.

Online butik. Det verkar som om de insamlade namnen, e-postmeddelandena och telefonnummer passar in i den offentliga kategorin. Men om dina kunder anger kostpreferenser, såsom halal eller kosher, kan sådan information betraktas som religiös tillhörighet eller övertygelsedata. Därför kan inspektören vid kontroll eller utförande av andra kontrollaktiviteter klassificera de uppgifter du samlar in som en särskild kategori av personuppgifter. Nu, om en nätbutik samlade in information om huruvida köparen föredrar kött eller fisk, kan uppgifterna klassificeras som andra personuppgifter. Förresten, hur är det med vegetarianer? Detta kan trots allt också hänföras till filosofiska övertygelser, som också tillhör en speciell kategori. Men å andra sidan kan detta helt enkelt vara attityden hos en person som har eliminerat kött från sin kost. Tyvärr finns det inga tecken som entydigt definierar kategorin PD i sådana "subtila" situationer.

Reklambyrå Med hjälp av någon västerländsk molntjänst bearbetar den offentligt tillgänglig data om sina kunder - fullständiga namn, e-postadresser och telefonnummer. Dessa personuppgifter hänför sig naturligtvis till personuppgifter. Frågan uppstår: är det lagligt att utföra sådan behandling? Är det ens möjligt att flytta sådana data utan depersonalisering utanför Ryska federationen, till exempel för att lagra säkerhetskopior i vissa utländska moln? Såklart du kan. Byrån har rätt att lagra dessa uppgifter utanför Ryssland, men den första insamlingen, enligt vår lagstiftning, måste utföras på Ryska federationens territorium. Om du säkerhetskopierar sådan information, beräknar en del statistik baserat på den, utför forskning eller utför några andra operationer med den - allt detta kan göras på västerländska resurser. Nyckelpunkten ur juridisk synvinkel är var personuppgifter samlas in. Det är därför viktigt att inte blanda ihop initial insamling och bearbetning.

Som följer av dessa korta exempel är arbetet med personuppgifter inte alltid okomplicerat och enkelt. Du behöver inte bara veta att du arbetar med dem, utan också kunna klassificera dem korrekt, förstå hur IP fungerar för att korrekt bestämma den nödvändiga säkerhetsnivån. I vissa fall kan frågan uppstå om hur mycket personuppgifter organisationen faktiskt behöver för att driva. Är det möjligt att vägra de mest "seriösa" eller helt enkelt onödiga uppgifterna? Dessutom rekommenderar tillsynsmyndigheten avpersonalisering av personuppgifter där så är möjligt. 

Som i exemplen ovan kan du ibland stöta på att kontrollmyndigheter tolkar de insamlade personuppgifterna något annorlunda än du själv bedömt dem.

Självklart kan man anlita en revisor eller en systemintegratör som assistent, men kommer ”assistenten” att ansvara för de beslut som väljs vid en eventuell revision? Det är värt att notera att ansvaret alltid ligger hos ägaren av ISPD – operatören av personuppgifter. Därför är det viktigt att när ett företag utför sådant arbete vänder sig till seriösa aktörer på marknaden för sådana tjänster, till exempel företag som bedriver certifieringsarbete. Certifierande företag har lång erfarenhet av att utföra sådant arbete.

Alternativ för att bygga en ISPD

Konstruktionen av en ISPD är inte bara en teknisk, utan också till stor del en juridisk fråga. CIO eller säkerhetschef bör alltid rådgöra med en juridisk rådgivare. Eftersom företaget inte alltid har en specialist med den profil du behöver är det värt att se sig mot revisor-konsulter. Många hala punkter kanske inte alls är uppenbara.

Samrådet gör att du kan avgöra vilka personuppgifter du har att göra med och vilken skyddsnivå den kräver. Följaktligen kommer du att få en uppfattning om vilken IP som behöver skapas eller kompletteras med säkerhets- och operativa säkerhetsåtgärder.

Ofta står valet för ett företag mellan två alternativ:

  1. Bygg motsvarande IS på dina egna hård- och mjukvarulösningar, eventuellt i ditt eget serverrum.

  2. Kontakta en molnleverantör och välj en elastisk lösning, ett redan certifierat "virtuellt serverrum".

De flesta informationssystem som behandlar personuppgifter använder ett traditionellt tillvägagångssätt, vilket ur affärssynpunkt knappast kan kallas enkelt och framgångsrikt. När du väljer detta alternativ är det nödvändigt att förstå att den tekniska designen kommer att innehålla en beskrivning av utrustningen, inklusive mjukvaru- och hårdvarulösningar och plattformar. Detta innebär att du kommer att behöva möta följande svårigheter och begränsningar:

  • svårighet att skala;

  • lång projektimplementeringsperiod: det är nödvändigt att välja, köpa, installera, konfigurera och beskriva systemet;

  • mycket "pappers" arbete, som ett exempel - utvecklingen av ett komplett paket med dokumentation för hela ISPD.

Dessutom förstår ett företag som regel bara den "översta" nivån av sin IP - de affärsapplikationer det använder. IT-personal är med andra ord skickliga inom sitt specifika område. Det finns ingen förståelse för hur alla "lägre nivåer" fungerar: mjukvaru- och hårdvaruskydd, lagringssystem, säkerhetskopiering och, naturligtvis, hur man konfigurerar skyddsverktyg i enlighet med alla krav, bygger "hårdvara"-delen av konfigurationen. Det är viktigt att förstå: detta är ett enormt lager av kunskap som ligger utanför kundens verksamhet. Det är här upplevelsen av en molnleverantör som tillhandahåller ett certifierat "virtuellt serverrum" kan komma väl till pass.

Molnleverantörer har i sin tur ett antal fördelar som utan att överdriva kan täcka 99 % av affärsbehoven inom området för skydd av personuppgifter:

  • kapitalkostnader omvandlas till driftskostnader;

  • Leverantören å sin sida garanterar tillhandahållandet av den nödvändiga säkerhetsnivån och tillgängligheten baserat på en beprövad standardlösning;

  • det finns inget behov av att upprätthålla en personal med specialister som kommer att säkerställa driften av ISPD på hårdvarunivå;

  • leverantörer erbjuder mycket mer flexibla och elastiska lösningar;

  • leverantörens specialister har alla nödvändiga certifikat;

  • efterlevnaden är inte lägre än när du bygger din egen arkitektur, med hänsyn till krav och rekommendationer från tillsynsmyndigheter.

Den gamla myten att personuppgifter inte kan lagras i molnet är fortfarande extremt populär. Det är bara delvis sant: PD kan verkligen inte publiceras i den första tillgängliga moln. Efterlevnad av vissa tekniska åtgärder och användning av vissa certifierade lösningar krävs. Om leverantören följer alla lagkrav minimeras riskerna förknippade med personuppgiftsläckage. Många leverantörer har en separat infrastruktur för behandling av personuppgifter i enlighet med 152-FZ. Men valet av leverantör måste också närma sig med kunskap om vissa kriterier, vi kommer säkert att beröra dem nedan. 

Kunder kommer ofta till oss med vissa farhågor om placeringen av personuppgifter i leverantörens moln. Nåväl, låt oss diskutera dem direkt.

  • Data kan stjälas under överföring eller migrering

Det finns ingen anledning att vara rädd för detta - leverantören erbjuder kunden att skapa en säker dataöverföringskanal byggd på certifierade lösningar, förbättrade autentiseringsåtgärder för entreprenörer och anställda. Allt som återstår är att välja lämpliga skyddsmetoder och implementera dem som en del av ditt arbete med klienten.

  • Showmasker kommer och tar bort/stänger/stänger av strömmen till servern

Det är ganska förståeligt för kunder som fruktar att deras affärsprocesser kommer att störas på grund av otillräcklig kontroll över infrastrukturen. Som regel tänker de klienter vars hårdvara tidigare var placerad i små serverrum snarare än specialiserade datacenter på detta. I verkligheten är datacenter utrustade med moderna metoder för både fysiskt skydd och informationsskydd. Det är nästan omöjligt att utföra några operationer i ett sådant datacenter utan tillräckliga grunder och papper, och sådana aktiviteter kräver efterlevnad av ett antal procedurer. Att "dra" din server från datacentret kan dessutom påverka andra klienter hos leverantören, och detta är definitivt inte nödvändigt för någon. Dessutom kommer ingen att kunna peka ett finger specifikt mot "din" virtuella server, så om någon vill stjäla den eller iscensätta en maskshow, måste de först ta itu med många byråkratiska förseningar. Under denna tid kommer du med största sannolikhet att hinna migrera till en annan webbplats flera gånger.

  • Hackare kommer att hacka molnet och stjäla data

Internet och tryckt press är fulla av rubriker om hur ännu ett moln har fallit offer för cyberbrottslingar, och miljontals personuppgifter har läckt ut på nätet. I de allra flesta fall hittades sårbarheter inte alls på leverantörens sida, utan i offrens informationssystem: svaga eller till och med standardlösenord, "hål" i webbplatsens motorer och databaser, och banala affärsmässiga slarv vid val av säkerhetsåtgärder och organisera förfaranden för dataåtkomst. Alla certifierade lösningar kontrolleras för sårbarheter. Vi genomför också regelbundet "kontroll"-test och säkerhetsrevisioner, både oberoende och genom externa organisationer. För leverantören är detta en fråga om rykte och affärer i allmänhet.

  • Leverantören/anställda hos leverantören kommer att stjäla personuppgifter för personlig vinning

Det här är ett ganska känsligt ögonblick. Ett antal företag från informationssäkerhetsvärlden "skrämmer" sina kunder och insisterar på att "interna anställda är farligare än externa hackare." Detta kan vara sant i vissa fall, men ett företag kan inte byggas utan förtroende. Då och då kommer nyheter om att en organisations egna anställda läcker kunddata till angripare och intern säkerhet är ibland organiserad mycket sämre än extern säkerhet. Det är viktigt att förstå här att alla stora leverantörer är extremt ointresserade av negativa fall. Handlingen hos leverantörens anställda är väl reglerad, roller och ansvarsområden är uppdelade. Alla affärsprocesser är strukturerade på ett sådant sätt att fall av dataläckage är extremt osannolika och alltid märks av interna tjänster, så kunderna ska inte vara rädda för problem från denna sida.

  • Du betalar lite eftersom du betalar för tjänster med din affärsdata.

En annan myt: en kund som hyr säker infrastruktur till ett bekvämt pris betalar faktiskt för det med sin data - detta tänker ofta experter som inte har något emot att läsa ett par konspirationsteorier innan de går och lägger sig. För det första är möjligheten att utföra andra operationer med dina uppgifter än de som anges i ordern i princip noll. För det andra, en adekvat leverantör värdesätter relationen med dig och hans rykte - förutom dig har han många fler kunder. Det motsatta scenariot är mer sannolikt, där leverantören nitiskt kommer att skydda sina kunders data, som dess verksamhet vilar på.

Att välja en molnleverantör för ISPD

Idag erbjuder marknaden många lösningar för företag som är PD-operatörer. Nedan finns en allmän lista med rekommendationer för att välja rätt.

  • Leverantören ska vara beredd att ingå ett formellt avtal som beskriver parternas ansvar, SLA och ansvarsområden i nyckeln till behandling av personuppgifter. Faktum är att mellan dig och leverantören, utöver serviceavtalet, måste en order för PD-behandling undertecknas. I alla fall är det värt att studera dem noggrant. Det är viktigt att förstå ansvarsfördelningen mellan dig och leverantören.

  • Observera att segmentet måste uppfylla kraven, vilket innebär att det måste ha ett certifikat som anger en säkerhetsnivå som inte är lägre än den som krävs av din IP. Det händer att leverantörer endast publicerar den första sidan av certifikatet, från vilken lite framgår, eller hänvisar till revisioner eller efterlevnadsförfaranden utan att publicera själva certifikatet ("fanns det en pojke?"). Det är värt att be om det - det här är ett offentligt dokument som anger vem som utförde certifieringen, giltighetsperiod, molnplats etc.

  • Leverantören måste ge information om var dess webbplatser (skyddade objekt) finns så att du kan kontrollera placeringen av dina uppgifter. Låt oss påminna dig om att den första insamlingen av personuppgifter måste utföras på Ryska federationens territorium; därför är det tillrådligt att se adresserna till datacentret i kontraktet/certifikatet.

  • Leverantören ska använda certifierade system för informationssäkerhet och informationsskydd. Naturligtvis annonserar de flesta leverantörer inte de tekniska säkerhetsåtgärder och lösningsarkitektur de använder. Men du som kund kan inte låta bli att veta om det. Till exempel, för att fjärransluta till ett ledningssystem (hanteringsportal), är det nödvändigt att använda säkerhetsåtgärder. Leverantören kommer inte att kunna kringgå detta krav och kommer att förse dig med (eller kräva att du använder) certifierade lösningar. Ta resurserna för ett test så förstår du omedelbart hur och vad som fungerar. 

  • Det är mycket önskvärt för molnleverantören att tillhandahålla ytterligare tjänster inom området informationssäkerhet. Det kan vara olika tjänster: skydd mot DDoS-attacker och WAF, antivirustjänst eller sandlåda osv. Allt detta gör att du kan få skydd som en tjänst, inte för att bli distraherad av byggnadsskyddssystem, utan att arbeta med affärsapplikationer.

  • Leverantören måste vara licenstagare av FSTEC och FSB. Sådan information läggs i regel upp direkt på hemsidan. Se till att begära in dessa dokument och kontrollera om adresserna för tillhandahållande av tjänster, namnet på leverantörsföretaget etc. stämmer. 

Låt oss sammanfatta. Genom att hyra infrastruktur kan du överge CAPEX och bara behålla dina affärsapplikationer och själva data inom ditt ansvarsområde, och överföra den tunga bördan av certifiering av hårdvara och mjukvara och hårdvara till leverantören.

Hur vi klarade certifieringen

Senast klarade vi omcertifieringen av infrastrukturen för "Secure Cloud FZ-152" för att uppfylla kraven för att arbeta med personuppgifter. Arbetet utfördes av National Certification Center.

För närvarande är "FZ-152 Secure Cloud" certifierat för att vara värd för informationssystem involverade i behandling, lagring eller överföring av personuppgifter (ISPDn) i enlighet med kraven på nivå UZ-3.

Certifieringsförfarandet innebär att kontrollera att molnleverantörens infrastruktur överensstämmer med skyddsnivån. Leverantören tillhandahåller själv IaaS-tjänsten och är inte en operatör av personuppgifter. Processen innebär bedömning av både organisatoriska (dokumentation, beställningar etc.) och tekniska åtgärder (uppsättning av skyddsutrustning etc.).

Det kan inte kallas trivialt. Trots att GOST om program och metoder för att utföra certifieringsaktiviteter dök upp redan 2013, finns det fortfarande inte strikta program för molnobjekt. Certifieringscentra utvecklar dessa program utifrån sin egen expertis. Med tillkomsten av ny teknik blir programmen mer komplexa och moderniserade, och därför måste certifieringsorganet ha erfarenhet av att arbeta med molnlösningar och förstå detaljerna.

I vårt fall består skyddsobjektet av två platser.

  • Molnresurser (servrar, lagringssystem, nätverksinfrastruktur, säkerhetsverktyg etc.) finns direkt i datacentret. Naturligtvis är ett sådant virtuellt datacenter kopplat till publika nätverk, och därför måste vissa brandväggskrav uppfyllas, till exempel användning av certifierade brandväggar.

  • Den andra delen av objektet är molnhanteringsverktyg. Dessa är arbetsstationer (administratörens arbetsstationer) från vilka det skyddade segmentet hanteras.

Platser kommunicerar via en VPN-kanal byggd på CIPF.

Eftersom virtualiseringsteknik skapar förutsättningar för uppkomsten av hot använder vi även ytterligare certifierade skyddsverktyg.

IaaS 152-FZ: så du behöver säkerhetBlockdiagram "genom bedömarens ögon"

Om kunden kräver certifiering av sin ISPD, efter att ha hyrt IaaS, behöver han bara utvärdera informationssystemet ovanför nivån för det virtuella datacentret. Denna procedur innebär att man kontrollerar infrastrukturen och programvaran som används på den. Eftersom du kan hänvisa till leverantörens certifikat för alla infrastrukturproblem, är allt du behöver göra att arbeta med programvaran.

IaaS 152-FZ: så du behöver säkerhetSeparation på abstraktionsnivå

Avslutningsvis kommer här en liten checklista för företag som redan arbetar med personuppgifter eller bara planerar. Så, hur man hanterar det utan att brännas.

  1. För att granska och utveckla modeller av hot och inkräktare, bjud in en erfaren konsult från certifieringslaboratorierna som hjälper dig att utveckla de nödvändiga dokumenten och ta dig till scenen för tekniska lösningar.

  2. När du väljer en molnleverantör, var uppmärksam på närvaron av ett certifikat. Det skulle vara bra om företaget offentligt publicerade det direkt på hemsidan. Leverantören måste vara licensinnehavare av FSTEC och FSB, och tjänsten han erbjuder måste vara certifierad.

  3. Se till att du har ett formellt avtal och en undertecknad instruktion för behandling av personuppgifter. Utifrån detta kommer du att kunna genomföra både en efterlevnadskontroll och ISPD-certifiering.Om detta arbete i det tekniska projektets skede och att skapa design och teknisk dokumentation verkar betungande för dig bör du kontakta tredje parts konsultföretag bland certifieringslaboratorierna.

Om frågorna om behandling av personuppgifter är relevanta för dig, den 18 september, denna fredag, ser vi dig gärna på webbinariet "Funktioner för att bygga certifierade moln".

Källa: will.com

Lägg en kommentar