ProHoster > Блог > адміністрування > IaaS 152-ФЗ: отже, вам потрібна безпека

IaaS 152-ФЗ: отже, вам потрібна безпека

IaaS 152-ФЗ: отже, вам потрібна безпека

Хоч би скільки розбирали міфи та легенди, якими оточено відповідність 152-ФЗ, щось завжди залишається за кадром. Сьогодні ми хочемо обговорити не завжди очевидні нюанси, з якими можуть зіткнутися як великі компанії, так і невеликі підприємства:

  • тонкощі класифікації ПДН за категоріями — коли невеликий інтернет-магазин збирає дані, що належать до спеціальної категорії, навіть не знаючи про це;

  • де можна зберігати бекапи зібраних ПДн та проводити над ними операції;

  • чим відрізняється атестат і висновок про відповідність, які документи запитувати у провайдера і все в такому дусі.

Насамкінець ми поділимося з вами власним досвідом проходження атестації. Поїхали!

Експертом у сьогоднішній статті виступить Олексій Афанасьєв, спеціаліст з питань ІБ хмарних провайдерів «ІТ-ГРАД» та #CloudМТS (входять до групи МТС).

Тонкощі класифікації

Ми часто стикаємося з бажанням клієнта швидко, без аудиту ІС визначити необхідний рівень захищеності для ІСПДн. Деякі матеріали в інтернеті на цю тему створюють помилкове враження, що це просте завдання і припуститися помилки досить складно.

Для визначення УЗ необхідно розуміти, які дані збиратимуться та оброблятимуться ІВ клієнта. Іноді однозначно визначити вимоги до захисту та категорії ПДн, якими оперує бізнес, буває непросто. Одні й самі типи персональних даних може бути по-різному оцінені і класифіковані. Тому в ряді випадків думка бізнесу може розходитися з думкою аудитора чи навіть перевіряючого. Розглянемо кілька прикладів.

Автопарк. Здавалося б, досить традиційний вид бізнесу. Багато автопарків працюють десятиліттями, і їхні власники наймають ІП, фізосіб. Як правило, дані працівників підпадають під вимоги УЗ-4. Однак для роботи з водіями необхідно не тільки збирати анкетні дані, а й проводити медичний контроль на території автопарку перед виходом на зміну, і інформація, що збирається в процесі, відразу потрапляє в категорію медичних даних – а це персональні дані спеціальної категорії. Крім того, автопарк може вимагати довідки, які далі зберігатимуться у справі водія. Скан такої довідки в електронному вигляді – дані про стан здоров'я, персональні дані спеціальної категорії. Отже, УЗ-4 не обійтися, потрібно мінімум УЗ-3.

Інтернет магазин. Здавалося б, імена, що збираються, emailи і телефони вкладаються в загальнодоступну категорію. Однак, якщо ваші клієнти вказують гастрономічні уподобання, наприклад халяль або кошер, така інформація може бути розцінена як дані про релігійну приналежність та переконання. Тому при перевірці або проведенні інших контрольних заходів перевіряючий може віднести дані, що збираються, до спеціальної категорії ПДн. Ось якби інтернет-магазин збирав інформацію про те, чи воліє його покупець м'ясо чи рибу, дані можна було б віднести до категорії інших ПДН. До речі, а що робити із вегетаріанцями? Адже це теж можна віднести до філософських переконань, які також належать до спецкатегорії. Але, з іншого боку, це може бути просто позицією людини, яка виключила м'ясо зі свого раціону. На жаль, жодної таблички, яка однозначно визначала категорію ПДН у таких тонких ситуаціях, немає.

Рекламна агенція за допомогою будь-якого західного хмарного сервісу обробляє загальнодоступні дані своїх клієнтів - ПІБ, адреси електронної пошти та телефони. Ці анкетні дані, звичайно, відносяться до ПДН. Виникає питання: чи легально проводити таку обробку? Чи можна взагалі переміщати такі дані без знеособлення за межі РФ, наприклад, зберігати бекапи в якихось зарубіжних хмарах? Звичайно можна. Агентство має право зберігати ці дані і не в Росії, проте первісний збір, згідно з нашим законодавством, необхідно виконувати на території РФ. Якщо ви бекапіте таку інформацію, розраховуєте на її основі якусь статистику, проводите дослідження чи виконуєте з ними якісь інші операції — все це можна робити і на західних ресурсах. Ключовий момент із погляду законодавства — де відбувається збір ПДН. Тому важливо не плутати початковий збір та обробку.

Як випливає з цих коротких прикладів, не завжди робота з ПДН є однозначною і простою. Потрібно не просто знати, що ви з ними працюєте, а й уміти їх правильно класифікувати, розуміти, як працює ІВ, щоб правильно визначити потрібний рівень захищеності. У деяких випадках може бути питання, який обсяг ПДн реально необхідний організації до роботи. Чи можливо відмовитися від найбільш «серйозних» чи просто зайвих даних? Крім того, регулятор рекомендує знеособлювати ПДн там, де це можливо. 

Як у прикладах вище, іноді можна зіткнутися з тим, що перевіряючі органи інтерпретують ПДн, що збираються, трохи інакше, ніж ви самі їх оцінили.

Звичайно, можна взяти до помічників аудитора чи системного інтегратора, але чи буде «помічник» відповідальним за обрані рішення у разі перевірки? Слід зазначити, що відповідальність завжди лежить на власника ІСПДн – оператор персональних даних. Саме тому, коли компанія проводить подібні роботи, важливо звернутися до серйозних гравців на ринку таких послуг, наприклад, до компаній, які проводять атестаційні роботи. Компанії-атестатори мають великий досвід у проведенні таких робіт.

Варіанти побудови ІСПДн

Побудова ІСПДн — не лише технічне, а й багато в чому юридичне питання. ІТ-директор або директор з безпеки має обов'язково проконсультуватися з юристом. Оскільки в компанії далеко не завжди є фахівець із потрібним вам профілем, варто подивитися у бік аудиторів-консалтерів. Багато слизьких моментів можуть аж ніяк не очевидні.

Консультація дозволить визначити, з якими персональними даними маєте справу, який рівень захищеності їм потрібний. Відповідно, ви отримаєте уявлення про ІВ, яку необхідно створити або доповнити засобами захисту та ОРД.

Часто вибір для компанії складається з двох варіантів:

  1. Побудувати відповідну ІВ на своїх програмно-апаратних рішеннях, можливо, у своїй серверній.

  2. Звернутися до хмарного провайдера та вибрати еластичне рішення, вже атестовану таку «віртуальну серверну».

Більшість ІС, що обробляють ПДН, використовує традиційний підхід, який, з погляду бізнесу, важко назвати легким та вдалим. При виборі цього варіанта необхідно розуміти, що технічний проект включатиме опис обладнання, включаючи програмно-апаратні рішення та платформи. Отже, вам доведеться зіткнутися з такими труднощами та обмеженнями:

  • складність масштабування;

  • довгий термін реалізації проекту: потрібно вибрати, закупити, встановити, налаштувати та описати систему;

  • маса «паперової» роботи, як приклад – розробка повного пакета документації на всю ІСПДн.

Крім того, бізнес, як правило, розуміється лише на «верхньому» рівні своєї ІВ — у бізнес-додатках, що використовуються. Іншими словами, ІТ-персонал кваліфікований у своїй вузькій галузі. Відсутнє розуміння того, як працюють усі «нижні рівні»: програмно-апаратні засоби захисту, системи зберігання, резервне копіювання та, звичайно, як з дотриманням усіх вимог налаштувати засоби захисту, побудувати «залізну» частину конфігурації. Важливо розуміти, що це величезний пласт знань, які лежать за межами бізнесу клієнта. Саме тут і може стати в нагоді досвід хмарного провайдера, що надає атестовану «віртуальну серверну».

У свою чергу, хмарні провайдери мають низку переваг, які, без перебільшення, здатні закрити 99% потреб бізнесу в галузі захисту персональних даних:

  • капітальні витрати перетворюються на операційні;

  • провайдер зі свого боку гарантує забезпечення необхідного рівня безпеки та доступності на базі перевіреного типового рішення;

  • немає необхідності утримувати штат фахівців, які забезпечуватимуть роботу ІСПД на рівні «заліза»;

  • провайдери пропонують набагато більш гнучкі та еластичні рішення;

  • спеціалісти провайдера мають усі необхідні сертифікати;

  • compliance не нижче, ніж при побудові власної архітектури, з урахуванням вимог та рекомендацій регуляторів.

Старий міф про те, що розміщувати персональні дані у хмарах не можна, досі надзвичайно популярний. Правдивий він лише частково: ПДн справді не можна розміщувати у першому-ліпшому хмарі. Потрібно дотримання деяких технічних заходів, застосування певних сертифікованих рішень. Якщо провайдер відповідає всім вимогам законодавства, ризики, пов'язані з витоком ПДН, зводяться до мінімуму. Багато провайдерів мають окрему інфраструктуру для обробки ПДн відповідно до 152-ФЗ. Однак до вибору постачальника теж потрібно підходити зі знанням певних критеріїв, їх ми обов'язково торкнемося нижче. 

Клієнти нерідко приходять до нас з деякими побоюваннями щодо розміщення ПДн у хмарі провайдера. Що ж, давайте одразу їх обговоримо.

  • Дані можуть бути викрадені під час передачі або міграції

Побоюватися цього не варто - провайдер пропонує клієнту створення захищеного каналу передачі даних, побудованого на сертифікованих рішеннях, посилені заходи автентифікації для контрагентів та співробітників. Залишається вибрати відповідні засоби захисту та імплементувати їх у рамках роботи з клієнтом.

  • Приїдуть маски-шоу і віднесуть/опечатають/знеструмлять сервер

Цілком можна зрозуміти замовників, які побоюються, що їхні бізнес-процеси будуть порушені внаслідок недостатнього контролю за інфраструктурою. Як правило, про це думають ті клієнти, чиє залізо раніше розташовувалося у невеликих серверних, а не спеціалізованих ЦОД. Насправді ЦОДи оснащені сучасними засобами як фізичного, і інформаційного захисту. Будь-які операції в такому дата-центрі практично неможливо зробити без достатніх підстав і паперів, а подібні активності вимагають дотримання цілого ряду процедур. До того ж, «висмикування» вашого сервера з ЦОД може торкнутися інших клієнтів провайдера, і це вже точно нікому не потрібно. До того ж, ніхто не зможе вказати пальцем саме на «ваш» віртуальний сервер, тому, якщо хтось і захоче його вкрасти або влаштувати маски-шоу, спочатку йому доведеться зіткнутися з масою бюрократичної тяганини. За цей час ви, швидше за все, встигнете кілька разів мігрувати на інший майданчик.

  • Хакери зламають хмару та вкрадуть дані

Інтернет і друкована преса рясніють заголовками про те, як чергова хмара впала жертвою кіберзлочинців, а мільйони записів з ПДН вибігли в мережу. У переважній більшості випадків уразливості виявлялися зовсім не на боці провайдера, а в ІС жертв: слабкі або взагалі паролі за замовчуванням, «дірки» в движках сайтів та БД, банальна безтурботність бізнесу при виборі засобів захисту та організації процедур доступу до даних. Усі атестовані рішення перевіряються на наявність уразливостей. Ми також регулярно проводимо «контрольні» пентести та аудити безпеки як самостійно, так і засобами зовнішніх організацій. Для провайдера це питання репутації та бізнесу загалом.

  • Провайдер/співробітники провайдера вкрадуть ПДН з корисливою метою

Це досить педантичний момент. Ряд компаній зі світу ІБ «лякають» своїх клієнтів і наполягають, що «внутрішні співробітники небезпечніші за хакерів ззовні». Можливо, часом це так, але бізнес не можна побудувати без довіри. Іноді з'являються новини про те, що власні співробітники організацій зливають дані клієнтів зловмисникам, а внутрішня безпека часом організована набагато гірше, ніж зовнішня. Тут важливо розуміти, що будь-який великий провайдер не зацікавлений у негативних кейсах. Дії співробітників провайдера добре регламентовані, розділені ролі та зони відповідальності. Всі бізнес-процеси побудовані так, що випадки витоку даних вкрай малоймовірні і завжди помітні внутрішнім службам, тому клієнтам проблем із цього боку не варто побоюватися.

  • Ви мало платите, тому що оплачуєте послуги даними свого бізнесу.

Ще один міф: клієнт, який орендує захищену інфраструктуру за комфортною ціною, насправді платить за неї своїми даними - так нерідко думають фахівці, які не проти прочитати перед сном пару теорій змови. По-перше, можливість проведення якихось операцій з вашими даними, крім тих, що зазначені в дорученні, по суті дорівнює нулю. По-друге, адекватний провайдер дорожить відносинами з вами та своєю репутацією - крім вас у нього ще безліч клієнтів. Найімовірніший зворотний сценарій, за якого провайдер завзято захищатиме дані своїх клієнтів, на яких тримається навіть його бізнес.

Вибираємо хмарного провайдера для ІСПДн

На сьогоднішній день ринок пропонує чимало рішень для компаній, які є операторами ПДН. Наведемо нижче загальний список рекомендацій щодо вибору відповідного.

  • Провайдер повинен бути готовий укласти офіційний договір з описом обов'язків сторін, SLA та зон відповідальності у ключі обробки ПДн. Фактично, між вами та провайдером, окрім договору на сервіс, має бути підписано доручення на обробку ПДн. У будь-якому випадку варто уважно їх вивчити. Важливо розуміти розмежування зон відповідальності між вами та провайдером.

  • Зверніть увагу, що сегмент повинен відповідати вимогам, а значить мати атестат із зазначенням рівня захищеності не нижче, ніж потрібно вашої ІС. Буває, що провайдери публікують лише першу сторінку атестату, з якої мало що зрозуміло, або посилаються на аудит чи проходження процедур відповідності, не публікуючи сам атестат («Чи був хлопчик?»). Варто його запитати – це публічний документ, у якому вказується, ким було проведено атестацію, термін дії, розташування хмари тощо.

  • Провайдер повинен надавати інформацію про те, де знаходяться його майданчики (об'єкти захисту), щоб ви могли контролювати розміщення ваших даних. Нагадаємо, що початковий збір ПДН має виконуватися на території РФ, відповідно у договорі/атестаті бажано бачити адреси ЦОД.

  • Провайдер повинен використовувати сертифіковані СЗІ та СКЗІ. Звичайно, більшість провайдерів не афішують використовувані технічні засоби захисту та архітектуру рішень. Але ви як клієнт не зможете не знати про це. Так, наприклад, для віддаленого підключення до системи керування (порталу керування) необхідно використовувати засоби захисту. Провайдер не зможе обійти цю вимогу і надасть вам (або вимагатиме від вас використовувати) сертифіковані рішення. Візьміть у тест ресурси і ви зрозумієте, як і що влаштовано. 

  • Дуже бажано, щоб хмарний провайдер надавав додаткові послуги у сфері ІБ. Це можуть бути різні сервіси: захист від DDoS-атак та WAF, антивірусний сервіс чи пісочниця тощо. Все це дозволить вам отримувати захист як сервіс, не відволікатися на побудову систем захисту, а займатися бізнес-додатками.

  • Провайдер має бути ліцензіатом ФСТЕК та ФСБ. Як правило, така інформація розміщується прямо на сайті. Обов'язково запитайте ці документи та перевірте, чи правильно вказані адреси надання послуг, назва компанії провайдера тощо. 

Давайте підсумуємо. Оренда інфраструктури дозволить відмовитися від CAPEX та залишити у своїй зоні відповідальності лише свої бізнес-додатки та самі дані, а важкий тягар атестації «заліза» та програмно-апаратних засобів передати провайдеру.

Як ми проходили атестацію

Нещодавно ми успішно пройшли переатестацію інфраструктури «Захищеної хмари ФЗ-152» на відповідність вимогам для роботи з персональними даними. Роботи проводив Національний атестаційний центр.

На даний момент «Захищена хмара ФЗ-152» атестована для розміщення інформаційних систем, що беруть участь у обробці, зберіганні або передачі персональних даних (ІСПД) відповідно до вимог рівня УЗ-3.

Процедура атестації передбачає перевірку відповідності інфраструктури хмарного провайдера на відповідність до рівня захисту. Сам провайдер надає сервіс IaaS та не є оператором персональних даних. Процес передбачає оцінку як організаційних (документація, накази тощо), так і технічних заходів (налаштування засобів захисту та ін.).

Тривіальним його назвати не можна. Незважаючи на те, що ГОСТ за програмами та методиками проведення атестаційних заходів з'явився ще у 2013 році, жорстких програм для хмарних об'єктів досі не існує. Атестаційні центри розробляють ці програми, виходячи з власної експертизі. З появою нових технологій програми ускладнюються та модернізуються, відповідно, атестатор повинен мати досвід роботи з хмарними рішеннями та розуміти специфіку.

У нашому випадку об'єкт захисту складається із двох локацій.

  • Безпосередньо у ЦОД розташовані хмарні ресурси (сервера, СГД, мережева інфраструктура, засоби захисту та ін.). Безумовно, такий віртуальний ЦОД підключений до мереж загального користування, відповідно, повинні виконуватись певні вимоги до міжмережевого екранування, наприклад, використання сертифікованих міжмережевих екранів.

  • Друга частина об'єкта – засоби управління хмарою. Це робочі станції (АРМ адміністратора), з яких здійснюється керування захищеним сегментом.

Локації зв'язуються через VPN-канал, збудований на СКЗІ.

Оскільки технології віртуалізації створюють передумови виникнення загроз, ми використовуємо і додаткові сертифіковані засоби захисту.

IaaS 152-ФЗ: отже, вам потрібна безпекаСтруктурна схема «очима атестатора»

Якщо клієнту потрібна атестація його ІСПДн, після оренди IaaS йому залишиться лише провести оцінку інформаційної системи вище за рівень віртуального ЦОД. Ця процедура передбачає перевірку інфраструктури та ПЗ, що використовується на ньому. Так як з усіх інфраструктурних питань ви можете посилатися на атестат провайдера, вам залишиться лише провести роботи з програмним забезпеченням.

IaaS 152-ФЗ: отже, вам потрібна безпекаПоділ на рівні абстракції

Насамкінець наведемо невеликий чек-лист для компаній, які вже працюють з ПДн або тільки планують. Отже, як обробляти і не обпектися.

  1. Для аудиту та розробки моделей загроз та порушника запросіть досвідченого консалтера з числа атестаційних лабораторій, які допоможуть розробити необхідні документи та доведуть вас до етапу технічних рішень.

  2. На етапі вибору хмарного провайдера звертайте увагу на наявність атестату. Добре, якщо компанія публічно розмістила його на сайті. Провайдер має бути ліцензіатом ФСТЕК та ФСБ, а пропонований ним сервіс атестований.

  3. Переконайтеся, що у вас буде укладено офіційний договір та підписано доручення на обробку ПДН. На підставі цього ви зможете провести як перевірку на відповідність, так і атестацію ІСПДн. Якщо ці роботи на етапі технічного проекту та створення проектно-технічної документації вам здаються обтяжливими, варто звернутися до сторонніх консалтингових компаній з числа атестаційних лабораторій.

Якщо вам актуальні питання обробки ПДн, 18 вересня, цієї п'ятниці, будемо раді бачити вас на вебінарі «Особливості побудови атестованих хмар».

Джерело: habr.com

Додати коментар або відгук