Интеграционная облачная платформа
Обратиться в техподдержку
Условия для партнеров

Защита персональных данных -aaS в Облакотеке

09.06.2015

Все организации в Российской Федерации так или иначе обрабатывают персональные данные, а следовательно попадают под действие ФЗ №152. На текущий момент бОльшая часть из них вообще ничего не делала на тему защиты персональных данных.

Остальные же в какой-то мере привели обработку и защиту персональных данных в соответствие требованиям законодательства. Казалось бы, на этом можно объявить задачу по защите персональных данных завершенной и спокойно почивать на лаврах, выполняя лишь рутинные операции в рамках документированных и установленных процессов, но не тут-то было. Есть ряд причин, которые потребуют снова и снова возвращаться к вопросу приведения в соответствие закону ФЗ № 152.

Вот ряд из них:
1. Постоянно появляются новые требования законодательства в области защиты персональных данных;

2. Изменяются решения и инфраструктура, используемые компаниями для обработки персональных данных;
3. Внедряются новые сервисы и информационные системы, обрабатывающие ПДн.


Еще одной из проблем, которую требуется решить некоторым Операторам ПДн – необходимость хранения персональных данных на территории Российской Федерации начиная с 1 сентября 2015 года. Таким образом, Операторы, которые ранее хранили данные за рубежом, для обеспечения соответствия ФЗ №152 вынуждены изменять инфраструктуру и создавать свои центры обработки данных или обращаться к российским хостинг-провайдерам.

Самостоятельное решение таких задач в собственном ЦОДе потребует больших трудовых и финансовых затрат, а кроме того, может вызвать сложности с масштабированием решения. Мы стали думать как реализовать достаточно простую идею, а именно обеспечить защиту персональных данных «поверх» размещения информационной системы в облаке таким образом, чтобы с одной стороны уменьшить капитальные затраты клиента, то есть перевести все платежи в арендные, а с другой стороны минимизировать вовлеченность клиента в процесс, чтобы в идеале «всё было само защищено». О совместном решении Облакотеки (облачный провайдер) и компании «Андэк» (лицензиат) мы и хотим рассказать в статье. Может быть аналогичный подход будет интересен другим сервис-провайдерам.

Решать такую проблему не управляя инфраструктурой получается плохо, потому решение будет основано на базе IaaS-сервиса облачного провайдера, реализованного на основе системы виртуализации Microsoft Hyper-V. Забегая немного вперед, расскажем, что в рамках этого решения на сторону поставщиков решения будут возложены следующие функции:

1. Создание и поддержание в актуальном состоянии документов по обработке и защите ПДн;
2. Включение информационных систем клиентов лицензиата в защищенный контур, соответствующий требованиям ФЗ №152;
3. Предоставление и администрирование виртуальной инфраструктуры, а также средств защиты;
4. Отслеживание всех изменений в законодательстве по защите ПДн и информирование о них клиентов лицензиата.

А теперь попробуем рассказать про эти функции подробнее.
В первую очередь вы должны определиться с необходимостью использования сертифицированных средств защиты ПДн. На эту тему сломано немало копий, в том числе и на Хабре. Например отличная и развернутая статья написана пользователем teecat «Как поймать то, чего нет. Часть пятая: Миф о необходимости сертифицированного ПО». Поэтому предлагаем ограничиться конкретными тезисами относительно использования сертифицированных СЗИ:

1. Непосредственно ФЗ №152 указывает на использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, лишь в числе прочих возможных, но не обязательных, мер защиты и не устанавливает конкретных требований к порядку оценки соответствия.
2. Оценка соответствия не обязательно должна быть в форме сертификации.
3. Регуляторы не имеют права расширять требования Закона «О персональных данных».

Допустим, принято решение об использовании несертифицированных средств защиты.
Безусловно, хоть такой подход и законен, он несет в себе определенные риски. Это связано с тем, что регуляторы могут обладать собственным взглядом на закон вообще и обязательность использование сертифицированных средств защиты в частности. Таким образом, при выборе данного подхода Операторы ПДн должны понимать, что может потребоваться отстаивать свою точку зрения перед регуляторами, в том числе и в суде.

Часть требований ФСТЭК по защите персональных данных в этом случае мы выполним при помощи встроенных средств используемого программного и аппаратного обеспечения, например:

1. контроль доступа и регистрация событий внутри виртуальных машин могут быть реализованы при помощи средств операционных систем;
2. управление доступом и регистрация событий внутри среды виртуализации реализуются при помощи гипервизора Microsoft Hyper-V;
3. фильтрация траффика внутри виртуальной инфраструктуры может быть достигнута с помощью виртуальных межсетевых экранов, также реализованных средствами гипервизора.

Тем не менее потребуются и дополнительные наложенные средства защиты, такие как антивирусы, средства защиты информации при передаче по открытым каналам связи, средства анализа защищенности и т.д.

Возможно, вы решили подстраховаться и использовать сертифицированные СЗИ, вне зависимости от того, встроенные это средства защиты или наложенные. В этом случае средства защиты должны:

1. Пройти проверку как минимум по 4-му уровню контроля отсутствия недекларированных возможностей (применимо для 1-го и 2-го уровней защищенности, а также для 3-го уровня защищенности если актуальны угрозы 2-го типа);
2. Быть сертифицированными на определенный класс защиты, который зависит от уровня защищенности и устанавливается 21-м Приказом ФСТЭК .

Что бы наше решение было полноценным, облачный провайдер должен быть готов предоставлять наложенные СЗИ клиентам в аренду, иначе решения «под ключ» у нас не получится.

Теперь попробуем разобраться с распределением ответственности в этой схеме. Наш облачный провайдер предоставляет виртуальную инфраструктуру и каналы связи и никак не управляет тем что происходит внутри виртуальных машин. Таким образом он точно не является оператором персональных данных, так как не определяет цели обработки, состав ПДн и операции над ними. Получается что облачный провайдер не отвечает перед регуляторами за выполнение требований законодательства, а должен выполнять те требования, что возложены на него договором с оператором. Так что же на него возложить?

Облачный провайдер не может отвечать за то что стоит внутри виртуальных машин, следовательно системы управления доступа и антивирусы (за исключением решений с безагентным антивирусом, таких как 5Nine) он взять на себя не может. А вот наложенными средствами защиты (межсетевые экраны, VPN-шлюзы и т.д.) и защитой виртуализации может управлять только облачный провайдер и больше никто. Указанное распределение обязанностей должно быть обязательно включено в договора, чтобы у клиента был выполнен требуемый набор мероприятий в «сумме» от лицензиата и облачного провайдера.

В итоге, мы разобрались с тем какие средства защиты нам использовать, что написать в договор, можно ли на этом остановиться?

Если наш клиент – оператор персональных данных — достаточно компетентен в вопросах защиты персональных данных и уже занимался ими, то конечно можно остановиться на технических мероприятиях по защите, но где нам найти таких клиентов. При проектировании сервиса мы исходили из предположения, что оператор не может сам написать модель угроз или нормативные документы по обработке ПДн. Следовательно наш сервис должен включать и поддержку оператора в этих вопросах, решать эту задачу можно по разному:

1. Разрабатывать и отдавать клиенту шаблоны документов;
2. В рамках подключения делать проект по приведению обработки и защиты ПДн в соответствие законодательству;
3. Оказывать консалтинг по вопросам ПДн во время действия договора (в том числе и по вопросам внедрения новых систем и внесения изменений в старые);
4. Помогать клиенту во взаимодействии с субъектами ПДн и регуляторами.

Разработанный сервис в том или ином виде решает все перечисленные вопросы.
Кроме того, сервис должен модифицироваться вслед за всеми изменениями в законодательстве по защите и обработке ПДн.

Вот теперь, похоже что наша задача решена, у нас есть решение по выполнению требований законодательства, которое требует минимум трудозатрат и финансовых вложений от клиента, при этом его соответствие текущему законодательству является «головной болью» облачного провайдера, а не оператора.

 

Источник: https://habrahabr.ru/company/oblakoteka/blog/259891/

×
Обратиться в Облакотеку
×