主持人 > 博客 > 管理 > IaaS 152-FZ:所以您需要安全性

IaaS 152-FZ:所以您需要安全性

IaaS 152-FZ:所以您需要安全性

無論您如何理清有關 152-FZ 合規性的神話和傳說,總有一些事情隱藏在幕後。 今天我們想討論大公司和小型企業都可能遇到的一些並不總是明顯的細微差別:

  • PD 分類的微妙之處 - 當一家小型在線商店在不知情的情況下收集與特殊類別相關的數據時;

  • 您可以在其中存儲收集的 PD 的備份並對它們執行操作;

  • 證書和合規結論之間有什麼區別,您應該向提供商索取哪些文件,等等。

最後跟大家分享一下我們自己的通過認證的經驗。 去!

今天這篇文章的專家將是 阿列克謝·阿法納西耶夫,雲提供商 IT-GRAD 和 #CloudMTS(MTS 集團的一部分)的 IS 專家。

分類的微妙之處

我們經常遇到客戶希望在不進行 IS 審計的情況下快速確定 ISPD 所需的安全級別的情況。 互聯網上有關此主題的一些材料給人一種錯誤的印象,即這是一項簡單的任務,並且很難犯錯誤。

為了確定 KM,有必要了解客戶的 IS 將收集和處理哪些數據。 有時,明確確定企業運營的個人數據的保護要求和類別可能很困難。 相同類型的個人數據可以以完全不同的方式進行評估和分類。 因此,在某些情況下,企業的意見可能與審計師甚至檢查員的意見不同。 讓我們看幾個例子。

停車場。 這似乎是一種相當傳統的業務類型。 許多車隊已經運營了幾十年,其所有者僱用個體企業家和個人。 通常,員工數據符合 UZ-4 的要求。 然而,與司機合作,不僅需要收集個人數據,還需要在上班前對車隊領土進行醫療控制,而在此過程中收集的信息立即屬於此類醫療數據 - 這是特殊類別的個人數據。 此外,車隊可能會要求提供證書,然後將其保存在駕駛員的檔案中。 電子形式的此類證書的掃描件 - 健康數據、特殊類別的個人數據。 這意味著 UZ-4 已經不夠了;至少需要 UZ-3。

網上商城。 收集到的姓名、電子郵件和電話號碼似乎屬於公共類別。 但是,如果您的客戶表明飲食偏好,例如清真或猶太潔食,則此類信息可能會被視為宗教信仰或信仰數據。 因此,在檢查或進行其他控制活動時,檢查員可能會將您收集的數據歸類為特殊類別的個人數據。 現在,如果一家在線商店收集有關其買家喜歡肉還是魚的信息,則該數據可以歸類為其他個人數據。 順便問一下,素食者怎麼樣? 畢竟,這也可以歸結為哲學信仰,它也屬於一個特殊的範疇。 但另一方面,這可能只是一個從飲食中剔除肉類的人的態度。 唉,在這種“微妙”的情況下,沒有任何跡象可以明確定義 PD 的類別。

廣告代理 它使用一些西方雲服務來處理其客戶的公開數據——全名、電子郵件地址和電話號碼。 這些個人數據當然與個人數據有關。 問題出現了:進行此類處理是否合法? 是否有可能在不去個人化的情況下將這些數據轉移到俄羅斯聯邦之外,例如將備份存儲在某些外國雲中? 當然可以。 該機構有權在俄羅斯境外存儲這些數據,但是,根據我們的立法,最初的收集必須在俄羅斯聯邦境內進行。 如果你備份這些信息,根據它計算一些統計數據,進行研究或用它執行一些其他操作 - 所有這些都可以在西方資源上完成。 從法律角度來看,關鍵點是個人數據的收集地點。 因此,重要的是不要混淆初始收集和處理。

從這些簡短的示例中可以看出,處理個人數據並不總是直截了當和簡單的。 您不僅需要知道您正在使用它們,還需要能夠正確對它們進行分類,了解 IP 的工作原理,以便正確確定所需的安全級別。 在某些情況下,可能會出現組織實際需要多少個人數據才能運營的問題。 是否可以拒絕最“嚴重”或根本不必要的數據? 此外,監管機構建議盡可能對個人數據進行非個性化處理。 

正如上面的例子,有時您可能會遇到這樣的情況:檢查機構對收集的個人數據的解釋與您自己評估的數據略有不同。

當然,您可以聘請審計員或系統集成商作為助理,但“助理”會負責審計時所選擇的決策嗎? 值得注意的是,責任始終在於 ISPD 的所有者(個人數據的運營商)。 這就是為什麼當公司開展此類工作時,向市場上的重要參與者尋求此類服務非常重要,例如進行認證工作的公司。 認證公司在開展此類工作方面擁有豐富的經驗。

建立 ISPD 的選項

ISPD的建設不僅是一個技術問題,而且在很大程度上也是一個法律問題。 CIO 或安全總監應始終諮詢法律顧問。 由於公司並不總是擁有符合您需要的專家,因此值得尋找審計顧問。 許多滑點可能根本不明顯。

通過諮詢,您可以確定您正在處理哪些個人數據以及需要何種程度的保護。 因此,您將了解需要創建或補充安全和操作安全措施的 IP。

通常,公司的選擇有兩種:

  1. 在您自己的硬件和軟件解決方案上構建相應的 IS,可能是在您自己的服務器機房中。

  2. 聯繫雲提供商並選擇彈性解決方案,即已經認證的“虛擬服務器機房”。

大多數處理個人數據的信息系統都使用傳統的方法,從商業角度來看,這很難說是簡單和成功的。 選擇此選項時,需要了解技術設計將包括設備的描述,包括軟件和硬件解決方案和平台。 這意味著您將不得不面對以下困難和限制:

  • 擴展難度;

  • 項目實施週期長:需要對系統進行選型、採購、安裝、配置和描述;

  • 大量的“紙質”工作,例如,為整個 ISPD 開發一整套文檔。

此外,企業通常只了解其 IP 的“頂層”——其使用的業務應用程序。 換句話說,IT 員工在其特定領域擁有熟練技能。 人們不了解所有“較低級別”的工作原理:軟件和硬件保護、存儲系統、備份,當然還有如何根據所有要求配置保護工具,構建配置的“硬件”部分。 重要的是要理解:這是客戶業務之外的大量知識。 這就是雲提供商提供經過認證的“虛擬服務器機房”的經驗可以派上用場的地方。

反過來,雲提供商擁有多項優勢,毫不誇張地說,可以覆蓋個人數據保護領域99%的業務需求:

  • 資本成本轉化為運營成本;

  • 提供商則保證基於經過驗證的標準解決方案提供所需級別的安全性和可用性;

  • 無需維持專家團隊來確保ISPD在硬件層面的運行;

  • 提供商提供更加靈活和有彈性的解決方案;

  • 提供商的專家擁有所有必要的證書;

  • 考慮到監管機構的要求和建議,合規性不低於構建自己的架構時。

個人數據無法存儲在雲中的古老神話仍然非常流行。 這只是部分正確:PD 確實不能發布 在第一個可用的 雲。 需要遵守某些技術措施並使用某些經過認證的解決方案。 如果提供商遵守所有法律要求,則與個人數據洩露相關的風險就會降至最低。 許多提供商擁有獨立的基礎設施來根據 152-FZ 處理個人數據。 然而,選擇供應商時還必須了解某些標準;我們肯定會在下面討論這些標準。 

客戶經常向我們提出對提供商雲中個人數據放置的擔憂。 好吧,讓我們立即討論它們。

  • 數據在傳輸或遷移過程中可能被竊取

無需擔心這一點 - 提供商為客戶提供基於認證解決方案的安全數據傳輸通道的創建,以及針對承包商和員工的增強身份驗證措施。 剩下的就是選擇適當的保護方法並將其作為與客戶合作的一部分實施。

  • 表演面具將到來並帶走/密封/切斷服務器的電源

對於擔心由於對基礎設施控制不足而導致業務流程中斷的客戶來說,這是完全可以理解的。 通常,那些硬件以前位於小型服務器機房而不是專門的數據中心的客戶會考慮這一點。 事實上,數據中心配備了現代的物理和信息保護手段。 如果沒有足夠的依據和文件,在這樣的數據中心進行任何操作幾乎是不可能的,並且此類活動需要遵守許多程序。 另外,從數據中心“拉”出你的服務器可能會影響提供商的其他客戶,這對任何人來說絕對沒有必要。 此外,沒有人能夠專門針對“您的”虛擬服務器,因此如果有人想要竊取它或上演面具表演,他們首先必須處理大量的官僚拖延。 在此期間,您很可能有時間多次遷移到另一個站點。

  • 黑客將入侵雲並竊取數據

互聯網和印刷媒體充斥著關於又一個云如何成為網絡犯罪分子的受害者以及數百萬個人數據記錄如何在網上洩露的頭條新聞。 在絕大多數情況下,漏洞根本不是在提供商方面發現的,而是在受害者的信息系統中發現的:弱密碼甚至默認密碼、網站引擎和數據庫中的“漏洞”,以及選擇安全措施和服務時的平庸的業務粗心。組織數據訪問程序。 所有經過認證的解決方案都會檢查是否存在漏洞。 我們還定期獨立或通過外部組織進行“控制”滲透測試和安全審計。 對於提供商而言,這總體上是聲譽和業務問題。

  • 提供商/提供商的員工將竊取個人數據以謀取個人利益

這是一個相當敏感的時刻。 許多信息安全領域的公司“嚇唬”他們的客戶,並堅稱“內部員工比外部黑客更危險”。 在某些情況下可能是這樣,但沒有信任就無法建立企業。 有時,會有新聞報導稱組織自己的員工將客戶數據洩露給攻擊者,而內部安全組織有時比外部安全組織更糟糕。 重要的是要理解,任何大型提供商對負面案例都極其不感興趣。 提供商員工的行為受到良好監管,角色和責任範圍也被劃分。 所有業務流程的結構都使得數據洩露的情況極不可能發生,並且總是能夠被內部服務注意到,因此客戶不應該害怕這方面的問題。

  • 您只需支付很少的費用,因為您可以使用業務數據來支付服務費用。

另一個神話:以舒適的價格租用安全基礎設施的客戶實際上是用他的數據來支付的——專家們通常認為這是不介意在睡覺前閱讀一些陰謀論的專家。 首先,除了訂單中指定的操作之外,對您的數據進行任何操作的可能性基本上為零。 其次,一個合格的供應商重視與你的關係和他的聲譽——除了你之外,他還有更多的客戶。 相反的情況更有可能發生,即提供商將熱心保護其業務所依賴的客戶數據。

為 ISPD 選擇雲提供商

如今,市場為 PD 運營商提供了許多解決方案。 以下是選擇合適的建議的一般列表。

  • 提供商必須準備好簽訂正式協議,描述各方的責任、SLA 以及處理個人數據的關鍵責任範圍。 事實上,您與提供商之間,除了服務協議外,還必須簽署PD處理訂單。 無論如何,它們都值得仔細研究。 了解您和提供商之間的責任劃分非常重要。

  • 請注意,該段必須滿足要求,這意味著它必須具有表明安全級別不低於您的 IP 要求的安全級別的證書。 有時候,提供商只發布證書的第一頁,其中幾乎沒有什麼內容是清楚的,或者參考審計或合規程序而不發布證書本身(“有一個男孩嗎?”)。 值得一問 - 這是一份公開文件,表明誰進行了認證、有效期、雲位置等。

  • 提供商必須提供有關其站點(受保護對象)所在位置的信息,以便您可以控制數據的放置。 我們提醒您,個人數據的初始收集必須在俄羅斯聯邦境內進行;因此,建議在合同/證書中查看數據中心的地址。

  • 提供商必須使用經過認證的信息安全和信息保護系統。 當然,大多數提供商不會宣傳他們使用的技術安全措施和解決方案架構。 但作為客戶的您卻無法不了解這一點。 例如,要遠程連接到管理系統(管理門戶),就需要使用安全措施。 提供商將無法繞過此要求,並將為您提供(或要求您使用)經過認證的解決方案。 使用資源進行測試,您將立即了解如何以及什麼是有效的。 

  • 雲提供商非常希望在信息安全領域提供附加服務。 這些服務可以是各種服務:防禦 DDoS 攻擊和 WAF、防病毒服務或沙箱等。 所有這一切都將使您能夠獲得保護即服務,而不會因為構建保護系統而分心,而是可以專注於業務應用程序。

  • 提供商必須是 FSTEC 和 FSB 的被許可人。 通常,此類信息直接發佈在網站上。 請務必索取這些文件,並檢查提供服務的地址、提供公司的名稱等是否正確。 

我們來總結一下。 租賃基礎設施將讓您放棄CAPEX,只保留您負責範圍內的業務應用程序和數據本身,並將軟硬件認證的繁重負擔轉移給提供商。

我們是如何通過認證的

最近,我們成功通過了“安全雲 FZ-152”基礎設施的重新認證,符合處理個人數據的要求。 該工作由國家認證中心承擔。

目前,“FZ-152安全雲”已根據UZ-3級的要求獲得認證,可用於託管涉及個人數據處理、存儲或傳輸的信息系統(ISPDn)。

認證程序涉及檢查雲提供商的基礎設施是否符合保護級別。 提供商本身提供IaaS服務,並非個人數據的運營者。 該過程涉及對組織(文件、命令等)和技術措施(設置防護設備等)的評估。

這不能稱之為微不足道。 儘管關於進行認證活動的程序和方法的 GOST 早在 2013 年就出現了,但針對雲對象的嚴格程序仍然不存在。 認證中心根據自己的專業知識開發這些計劃。 隨著新技術的出現,程序變得更加複雜和現代化;因此,認證者必須具有使用雲解決方案的經驗並了解具體細節。

在我們的例子中,受保護對象由兩個位置組成。

  • 雲資源(服務器、存儲系統、網絡基礎設施、安全工具等)直接位於數據中心。 當然,這樣的虛擬數據中心連接到公共網絡,因此必須滿足一定的防火牆要求,例如使用經過認證的防火牆。

  • 該對象的第二部分是雲管理工具。 這些是管理受保護段的工作站(管理員工作站)。

位置通過基於 CIPF 構建的 VPN 通道進行通信。

由於虛擬化技術為威脅的出現創造了先決條件,因此我們還使用其他經過認證的保護工具。

IaaS 152-FZ:所以您需要安全性“通過評估者的眼睛”框圖

如果客戶要求對其ISPD進行認證,則在租用IaaS後,他只需評估虛擬數據中心級別以上的信息系統即可。 此過程涉及檢查其上使用的基礎設施和軟件。 由於您可以參考提供商的證書來了解所有基礎設施問題,因此您所要做的就是使用該軟件。

IaaS 152-FZ:所以您需要安全性抽象層面的分離

總之,這裡有一個小清單,供那些已經在處理個人數據或正在計劃中的公司使用。 那麼,如何處理才不會被燒傷呢?

  1. 要審核和開發威脅和入侵者模型,請從認證實驗室邀請經驗豐富的顧問,他們將幫助開發必要的文件並帶您進入技術解決方案的階段。

  2. 選擇雲提供商時,請注意是否有證書。 如果公司直接在網站上公開發布就好了。 提供商必須是 FSTEC 和 FSB 的持牌人,並且他提供的服務必須經過認證。

  3. 確保您擁有處理個人數據的正式協議和簽署的說明。 在此基礎上,您將能夠進行合規性檢查和ISPD認證。如果技術項目階段的這項工作以及設計和技術文檔的創建對您來說是繁重的,您應該聯繫第三方諮詢公司來自認證實驗室。

如果個人數據處理問題與您相關,我們很高興在 18 月 XNUMX 日(本週五)的網絡研討會上見到您 “構建認證雲的特點”.

來源: www.habr.com

添加評論