主持人 > 博客 > 管理 > IaaS 152-FZ:所以,您需要安全性

IaaS 152-FZ:所以,您需要安全性

IaaS 152-FZ:所以,您需要安全性

无论您如何理清有关 152-FZ 合规性的神话和传说,总有一些事情隐藏在幕后。 今天我们想讨论大公司和小型企业都可能遇到的一些并不总是明显的细微差别:

  • PD 分类的微妙之处 - 当一家小型在线商店在不知情的情况下收集与特殊类别相关的数据时;

  • 您可以在其中存储收集的 PD 的备份并对它们执行操作;

  • 证书和合规结论之间有什么区别,您应该向提供商索取哪些文件,等等。

最后跟大家分享一下我们自己的通过认证的经验。 去!

今天这篇文章的专家将是 阿列克谢·阿凡纳西耶夫(Alexey Afanasiev),云提供商 IT-GRAD 和 #CloudMTS(MTS 集团的一部分)的 IS 专家。

分类的微妙之处

我们经常遇到客户希望在不进行 IS 审计的情况下快速确定 ISPD 所需的安全级别的情况。 互联网上有关此主题的一些材料给人一种错误的印象,即这是一项简单的任务,并且很难犯错误。

为了确定 KM,有必要了解客户的 IS 将收集和处理哪些数据。 有时,明确确定企业运营的个人数据的保护要求和类别可能很困难。 相同类型的个人数据可以以完全不同的方式进行评估和分类。 因此,在某些情况下,企业的意见可能与审计师甚至检查员的意见不同。 让我们看几个例子。

停车场。 这似乎是一种相当传统的业务类型。 许多车队已经运营了几十年,其所有者雇用个体企业家和个人。 通常,员工数据符合 UZ-4 的要求。 然而,与司机合作,不仅需要收集个人数据,还需要在上班前对车队范围内进行医疗控制,而在此过程中收集的信息立即属于此类医疗数据 - 这是特殊类别的个人数据。 此外,车队可能会要求提供证书,然后将其保存在驾驶员的档案中。 电子形式的此类证书的扫描件 - 健康数据、特殊类别的个人数据。 这意味着 UZ-4 已经不够了;至少需要 UZ-3。

网上商店。 收集到的姓名、电子邮件和电话号码似乎属于公共类别。 但是,如果您的客户表明饮食偏好,例如清真或犹太洁食,则此类信息可能会被视为宗教信仰或信仰数据。 因此,在检查或进行其他控制活动时,检查员可能会将您收集的数据归类为特殊类别的个人数据。 现在,如果一家在线商店收集有关其买家喜欢肉还是鱼的信息,则该数据可以归类为其他个人数据。 顺便问一下,素食者怎么样? 毕竟,这也可以归结为哲学信仰,它也属于一个特殊的范畴。 但另一方面,这可能只是一个从饮食中剔除肉类的人的态度。 唉,在这种“微妙”的情况下,没有任何迹象可以明确定义 PD 的类别。

广告代理 它使用一些西方云服务来处理其客户的公开数据——全名、电子邮件地址和电话号码。 这些个人数据当然与个人数据有关。 问题出现了:进行此类处理是否合法? 是否有可能在不去个人化的情况下将这些数据转移到俄罗斯联邦之外,例如将备份存储在某些外国云中? 当然可以。 该机构有权在俄罗斯境外存储这些数据,但是,根据我们的立法,最初的收集必须在俄罗斯联邦境内进行。 如果你备份这些信息,根据它计算一些统计数据,进行研究或用它执行一些其他操作 - 所有这些都可以在西方资源上完成。 从法律角度来看,关键点是个人数据的收集地点。 因此,重要的是不要混淆初始收集和处理。

从这些简短的示例中可以看出,处理个人数据并不总是直截了当和简单的。 您不仅需要知道您正在使用它们,还需要能够正确对它们进行分类,了解 IP 的工作原理,以便正确确定所需的安全级别。 在某些情况下,可能会出现组织实际需要多少个人数据才能运营的问题。 是否可以拒绝最“严重”或根本不必要的数据? 此外,监管机构建议尽可能对个人数据进行非个性化处理。 

正如上面的例子,有时您可能会遇到这样的情况:检查机构对收集的个人数据的解释与您自己评估的数据略有不同。

当然,您可以聘请审计员或系统集成商作为助理,但“助理”会负责审计时所选择的决策吗? 值得注意的是,责任始终在于 ISPD 的所有者(个人数据的运营商)。 这就是为什么当公司开展此类工作时,向市场上的重要参与者寻求此类服务非常重要,例如进行认证工作的公司。 认证公司在开展此类工作方面拥有丰富的经验。

建立 ISPD 的选项

ISPD的建设不仅是一个技术问题,而且在很大程度上也是一个法律问题。 CIO 或安全总监应始终咨询法律顾问。 由于公司并不总是拥有符合您需要的专家,因此值得寻找审计顾问。 许多滑点可能根本不明显。

通过咨询,您可以确定您正在处理哪些个人数据以及需要何种程度的保护。 因此,您将了解需要创建或补充安全和操作安全措施的 IP。

通常,公司的选择有两种:

  1. 在您自己的硬件和软件解决方案上构建相应的 IS,可能是在您自己的服务器机房中。

  2. 联系云提供商并选择弹性解决方案,即已经认证的“虚拟服务器机房”。

大多数处理个人数据的信息系统都使用传统的方法,从商业角度来看,这很难说是简单和成功的。 选择此选项时,需要了解技术设计将包括设备的描述,包括软件和硬件解决方案和平台。 这意味着您将不得不面对以下困难和限制:

  • 扩展难度;

  • 项目实施周期长:需要对系统进行选型、采购、安装、配置和描述;

  • 大量的“纸质”工作,例如,为整个 ISPD 开发一整套文档。

此外,企业通常只了解其 IP 的“顶层”——其使用的业务应用程序。 换句话说,IT 员工在其特定领域拥有熟练技能。 人们不了解所有“较低级别”的工作原理:软件和硬件保护、存储系统、备份,当然还有如何根据所有要求配置保护工具,构建配置的“硬件”部分。 重要的是要理解:这是客户业务之外的大量知识。 这就是云提供商提供经过认证的“虚拟服务器机房”的经验可以派上用场的地方。

反过来,云提供商拥有多项优势,毫不夸张地说,可以覆盖个人数据保护领域99%的业务需求:

  • 资本成本转化为运营成本;

  • 提供商则保证基于经过验证的标准解决方案提供所需级别的安全性和可用性;

  • 无需维持专家团队来确保ISPD在硬件层面的运行;

  • 提供商提供更加灵活和有弹性的解决方案;

  • 提供商的专家拥有所有必要的证书;

  • 考虑到监管机构的要求和建议,合规性不低于构建自己的架构时。

个人数据无法存储在云中的古老神话仍然非常流行。 这只是部分正确:PD 确实不能发布 在第一个可用的 云。 需要遵守某些技术措施并使用某些经过认证的解决方案。 如果提供商遵守所有法律要求,则与个人数据泄露相关的风险就会降至最低。 许多提供商拥有独立的基础设施来根据 152-FZ 处理个人数据。 然而,选择供应商时还必须了解某些标准;我们肯定会在下面讨论这些标准。 

客户经常向我们提出对提供商云中个人数据放置的担忧。 好吧,让我们立即讨论它们。

  • 数据在传输或迁移过程中可能被窃取

无需担心这一点 - 提供商为客户提供基于认证解决方案的安全数据传输通道的创建,以及针对承包商和员工的增强身份验证措施。 剩下的就是选择适当的保护方法并将其作为与客户合作的一部分实施。

  • 表演面具将到来并带走/密封/切断服务器的电源

对于担心由于对基础设施控制不足而导致业务流程中断的客户来说,这是完全可以理解的。 通常,那些硬件以前位于小型服务器机房而不是专门的数据中心的客户会考虑这一点。 事实上,数据中心配备了现代的物理和信息保护手段。 如果没有足够的依据和文件,在这样的数据中心进行任何操作几乎是不可能的,并且此类活动需要遵守许多程序。 另外,从数据中心“拉”出你的服务器可能会影响提供商的其他客户,这对任何人来说绝对没有必要。 此外,没有人能够专门针对“您的”虚拟服务器,因此如果有人想要窃取它或上演面具表演,他们首先必须处理大量的官僚拖延。 在此期间,您很可能有时间多次迁移到另一个站点。

  • 黑客将入侵云并窃取数据

互联网和印刷媒体充斥着关于又一个云如何成为网络犯罪分子的受害者以及数百万个人数据记录如何在网上泄露的头条新闻。 在绝大多数情况下,漏洞根本不是在提供商方面发现的,而是在受害者的信息系统中发现的:弱密码甚至默认密码、网站引擎和数据库中的“漏洞”,以及选择安全措施和服务时的平庸的业务粗心。组织数据访问程序。 所有经过认证的解决方案都会检查是否存在漏洞。 我们还定期独立或通过外部组织进行“控制”渗透测试和安全审计。 对于提供商而言,这总体上是声誉和业务问题。

  • 提供商/提供商的员工将窃取个人数据以谋取个人利益

这是一个相当敏感的时刻。 许多信息安全领域的公司“吓唬”他们的客户,并坚称“内部员工比外部黑客更危险”。 在某些情况下可能是这样,但没有信任就无法建立企业。 有时,会有新闻报道称组织自己的员工将客户数据泄露给攻击者,而内部安全组织有时比外部安全组织更糟糕。 重要的是要理解,任何大型提供商对负面案例都极其不感兴趣。 提供商员工的行为受到良好监管,角色和责任范围也被划分。 所有业务流程的结构都使得数据泄露的情况极不可能发生,并且总是能够被内部服务注意到,因此客户不应该害怕这方面的问题。

  • 您只需支付很少的费用,因为您可以使用业务数据来支付服务费用。

另一个神话:以舒适的价格租用安全基础设施的客户实际上是用他的数据来支付的——专家们通常认为这是不介意在睡觉前阅读一些阴谋论的专家。 首先,除了订单中指定的操作之外,对您的数据进行任何操作的可能性基本上为零。 其次,一个合格的供应商重视与你的关系和他的声誉——除了你之外,他还有更多的客户。 相反的情况更有可能发生,即提供商将热心保护其业务所依赖的客户数据。

为 ISPD 选择云提供商

如今,市场为 PD 运营商提供了许多解决方案。 以下是选择合适的建议的一般列表。

  • 提供商必须准备好签订正式协议,描述各方的责任、SLA 以及处理个人数据的关键责任范围。 事实上,您与提供商之间,除了服务协议外,还必须签署PD处理订单。 无论如何,它们都值得仔细研究。 了解您和提供商之间的责任划分非常重要。

  • 请注意,该段必须满足要求,这意味着它必须具有表明安全级别不低于您的 IP 要求的安全级别的证书。 有时候,提供商只发布证书的第一页,其中几乎没有什么内容是清楚的,或者参考审计或合规程序而不发布证书本身(“有一个男孩吗?”)。 值得一问 - 这是一份公开文件,表明谁进行了认证、有效期、云位置等。

  • 提供商必须提供有关其站点(受保护对象)所在位置的信息,以便您可以控制数据的放置。 我们提醒您,个人数据的初始收集必须在俄罗斯联邦境内进行;因此,建议在合同/证书中查看数据中心的地址。

  • 提供商必须使用经过认证的信息安全和信息保护系统。 当然,大多数提供商不会宣传他们使用的技术安全措施和解决方案架构。 但作为客户的您却无法不了解这一点。 例如,要远程连接到管理系统(管理门户),就需要使用安全措施。 提供商将无法绕过此要求,并将为您提供(或要求您使用)经过认证的解决方案。 拿资源进行测试,您将立即了解如何工作以及什么是有效的。 

  • 云提供商非常希望在信息安全领域提供附加服务。 这些服务可以是各种服务:防御 DDoS 攻击和 WAF、防病毒服务或沙箱等。 所有这一切都将使您能够获得保护即服务,而不会因为构建保护系统而分心,而是可以专注于业务应用程序。

  • 提供商必须是 FSTEC 和 FSB 的被许可人。 通常,此类信息直接发布在网站上。 请务必索取这些文件,并检查提供服务的地址、提供公司的名称等是否正确。 

我们来总结一下。 租赁基础设施将让您放弃CAPEX,只保留您负责范围内的业务应用程序和数据本身,并将软硬件认证的繁重负担转移给提供商。

我们是如何通过认证的

最近,我们成功通过了“安全云 FZ-152”基础设施的重新认证,符合处理个人数据的要求。 该工作由国家认证中心承担。

目前,“FZ-152安全云”已根据UZ-3级的要求获得认证,可用于托管涉及个人数据处理、存储或传输的信息系统(ISPDn)。

认证程序涉及检查云提供商的基础设施是否符合保护级别。 提供商本身提供IaaS服务,并非个人数据的运营者。 该过程涉及对组织(文件、命令等)和技术措施(设置防护设备等)的评估。

这不能称之为微不足道。 尽管关于进行认证活动的程序和方法的 GOST 早在 2013 年就出现了,但针对云对象的严格程序仍然不存在。 认证中心根据自己的专业知识开发这些计划。 随着新技术的出现,程序变得更加复杂和现代化;因此,认证者必须具有使用云解决方案的经验并了解具体细节。

在我们的例子中,受保护对象由两个位置组成。

  • 云资源(服务器、存储系统、网络基础设施、安全工具等)直接位于数据中心。 当然,这样的虚拟数据中心连接到公共网络,因此必须满足一定的防火墙要求,例如使用经过认证的防火墙。

  • 该对象的第二部分是云管理工具。 这些是管理受保护段的工作站(管理员工作站)。

位置通过基于 CIPF 构建的 VPN 通道进行通信。

由于虚拟化技术为威胁的出现创造了先决条件,因此我们还使用其他经过认证的保护工具。

IaaS 152-FZ:所以,您需要安全性“通过评估者的眼睛”框图

如果客户要求对其ISPD进行认证,则在租用IaaS后,他只需评估虚拟数据中心级别以上的信息系统即可。 此过程涉及检查其上使用的基础设施和软件。 由于您可以参考提供商的证书来了解所有基础设施问题,因此您所要做的就是使用该软件。

IaaS 152-FZ:所以,您需要安全性抽象层面的分离

总之,这里有一个小清单,供那些已经在处理个人数据或正在计划中的公司使用。 那么,如何处理才不会被烧伤呢?

  1. 要审核和开发威胁和入侵者模型,请从认证实验室邀请经验丰富的顾问,他们将帮助开发必要的文件并带您进入技术解决方案的阶段。

  2. 选择云提供商时,请注意是否有证书。 如果公司直接在网站上公开发布就好了。 提供商必须是 FSTEC 和 FSB 的持牌人,并且他提供的服务必须经过认证。

  3. 确保您拥有处理个人数据的正式协议和签署的说明。 在此基础上,您将能够进行合规性检查和ISPD认证。如果技术项目阶段的这项工作以及设计和技术文档的创建对您来说很繁重,您应该联系第三方咨询公司来自认证实验室。

如果个人数据处理问题与您相关,我们很高兴在 18 月 XNUMX 日(本周五)的网络研讨会上见到您 “构建认证云的特点”.

来源: habr.com

添加评论