Хранение персональных данных в облаке

Хранение персональных данных в облаке

Предмет этой статьи — всеми нами любимый и облако. Многие предприятия, мигрировавшие свою в облако, сталкиваются с одним подводным камнем — соответствием . Ведь при «переезде в облако» происходит перенос в облако и персональных данных.

Без облака

Когда облака нет, то все достаточно понятно (мы не пишем «просто»). Нужно определить уровень защищенности и принять предписанные законом меры по защите персональных данных — установить сертифицированные ФСТЭК антивирус, брандмауэр, настроить шифрование данных — при необходимости, «поднять» VPN, а также принять другие требуемые законодательством меры для защиты персональных данных. Кроме установки программного обеспечения, закон требует обеспечить и физическую охрану данных.

Появилось облако

Любая организация, старающаяся идти в ногу со временем, использует в той или иной мере облака. арендует виртуальный терминальный сервер и устанавливает на него , просто покупает облачное хранилище для хранения резервных копий, а вместе с резервными копиями в облако попадают и персональные данные.

При использовании облака, получается, что вы доверяете третьей стороне хранение и обработку персональных данных (сотрудников, клиентов ). Очень просто нарушить закон (что обойдется вам в копеечку), если вы сделаете неправильный выбор облачного провайдера.

Выбор облачного провайдера с точки зрения

При выборе облачного провайдера обратите внимание на два фактора: собственник и наличие необходимых лицензий ФСТЭК и ФСБ. Другими словами, провайдер должен иметь собственный ЦОД и все необходимые лицензии ФСТЭК и ФСБ. В противном случае хранение персональных данных в таком ЦОД будет нарушением закона.

Компания Xelent предлагает услугу виртуальный дата центр, Virtual Datacenter, которая строится на модели IaaS (infrastructure as a service). Данная услуга — идеальное решение для средних и крупных компаний. Клиент получает пул ресурсов, а затем создает нужное количество машин. Управление виртуальным производится через личный кабинет клиента.

Преимущества виртуального от Xelent следующие:

  1. Физически VDC размещен в собственном охраняемом ЦОД уровня TIER III.
  2. Наличие лицензий ФСТЭК и ФСБ.
  3. Наличие сертификата PCI DSS
  4. Стандартный SLA 99,9%
  5. Круглосуточная техническая поддержка
  6. Масштабируемость — клиент может изменить производительность на любом этапе жизненного проекта.
  7. Xelent обладает всеми необходимыми лицензиями для оказания услуг в области защиты персональных данных.
  8. Отсутствие затрат на электроснабжение и модернизацию аппаратуры.
  9. Возможность получить предустановленное ПО.
  10. Централизованное управление.

Виртуальный решает сразу множество проблем: вам не нужно беспокоиться ни о лицензиях (все лицензии есть у Xelent), ни о безопасности ваших данных (надежность услуги подтверждается теми же лицензиями ФСБ и ФСТЭК, а также сертификатом PCI DSS), ни о физической охране персональных данных. Все, что вам нужно — это воспользоваться услугой VDC от Xelent.

Аудитория

Услуга VDC будет актуальной для следующих предприятий:

  • .
  • Системы маркетинговых коммуникаций.
  • Системы бухгалтерского учета и отдела кадров.
  • Системы, осуществляющие обработку платежей.
  • Многие другие организации, которые предпочитают облачную инфраструктуру и не хотят иметь проблем с законом.

Дополнительная информация, в том числе конфигуратор виртуального , доступна по ссылке: https://www.xelent.ru/services/vdc/

Инфраструктура в облаке: реальный кейс

Рассмотрим реальный случай переноса инфраструктуры компании в облако в соответствии с . Вкратце предыстория: к нам обратился клиент, которому нужно перенести существующую инфраструктуру в облако с соблюдением всех требований . При этом системе персональных данных клиента присвоен класс К1, то есть нарушение заданной характеристики безопасности персональных данных, обрабатываемых в такой системе, может привести к значительным негативным последствиям для субъектов персональных данных.

Клиенту очень важно наличие ЦОД, в котором можно хранить и обрабатывать данные класса К1. Клиент попросил предоставить все подтверждающие это сертификаты, лицензии и модели угроз.

Проект подразумевал выделение трех виртуальных машин:

  1. Контроллер домена (2CPU/4RAM/50ГБ)
  2. Сервер приложения (8CPU/28RAM/500ГБ)
  3. Сервер БД (16CPU/48RAM/1000ГБ)

Подключение к ЦОД нужно организовать по защищенному каналу связи.

Также клиента интересовали следующие вопросы:

  1. Сроки предоставления всех документов.
  2. Есть ли возможность масштабирования выделенных ресурсов?
  3. Стоимость аренды оборудования в месяц.

В свою очередь, для расчета стоимости внедрения проекта нам, как провайдеру, понадобилась определенная информация, поэтому клиенту был задан список вопросов. Вопросы и ответы на них приведены в таблице 1.

Таблица 1. Информация, необходимая для произведения расчета стоимости

Вопрос Ответ
Что предоставляет собой ИС заказчика ИС предоставляет собой ГИС.
Планируется ли аттестация ИС? ГИС аттестована
Количество серверов 3
Нужна ли помощь с подготовкой необходимой документации ИС?

Документация будет подготовлена самостоятельно Какая полоса требуется для администрирования?
По умолчанию 20 Мбит/с

Читайте также:  Как добавить свою песню в itunes

20 Мбит/с достаточно Какие планируете использовать ОС?​
Обычные версии или дистрибутивы ФСТЭК?

Windows Server, обычные дистрибутивы Будут ли использоваться терминальные серверы на базе Windows Server?
Сколько пользователей в каждом?

— Нужны ли антивирусы для серверов с Linux?
Закон ФЗ 152 допускает отсутствие антивируса для ОС Linux при соответствующем оформлении модели документации ИС

— Кто будет выполнять администрирование ОС и установленных на серверах средств защиты в соответствии с требованиями ФЗ 152?

Администрирование будет выполняться силами заказчика

В соответствии с полученной от заказчика информацией, было подготовлено коммерческое предложение. В нем были учтены следующие моменты:

  1. Отображена стоимость аренды пула ресурсов.
  2. Стоимость резервного копирования данных.
  3. Стоимость серверных средств защиты информации. Нами были предложены следующие средства: средство защиты виртуализации vGate, сертифицированный ФСТЭК антивирус Dr. Web Desktop Security Suite, средство защиты от НСД Secret Net Studio, средство анализа защищенности XSpider.
  4. Стоимость средств защиты информации для АРМ: VPN client ГОСТ KC1 и Криптошлюз KC1.

В стоимость входит размещение в уровня Tier 3 (), сертифицированном по PCI/DSS, канал 10/100 Мбит/с, канал для администрирования 20 Мбит/с, защита среды виртуализации для серверов, выделенная сеть на 8 . Подробно обо всем этом написано в приведенном ниже коммерческом предложении.

Таблица 2. Коммерческое предложение: защищенная виртуальная инфраструктура с требованиями

После вступления в силу п.4 ч.2 ст.19 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных" каждое предприятие обязано привести свои информационные системы и процессы, связанные с обработкой персональных данных, в соответствие с требованиями Законодательства РФ.

Что это означает для юридических лиц?

Организации обязаны обеспечить защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Таким образом они становятся «организациями-операторами персональных данных». Контролировать выполнения требований Законодательства будет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), ФСТЭК и ФСБ России.

Федеральный закон касается компаний любой организационной формы – это и государственные органы, федеральные и муниципальные учреждения: банки, страховые компании, медицинские учреждения, операторы связи, интернет-магазины, торговые сети, производственные компании и прочие организации, обрабатывающие персональные данные, полученные от работников, клиентов и иных физических и юридических лиц.

В обязанности организации-оператора входит:

  • обеспечение законности обработки персональных данных;
  • построение системы защиты персональных данных в соответствии с требованиями ФСТЭК и ФСБ России;
  • отправка уведомления в Роскомнадзор;
  • разработка внутренней документации;
  • проведение аттестационных испытаний или оценки соответствия;
  • систематическая актуализация системы защиты персональных данных.

Зачастую, это оказывается сложной и затратной задачей, в том числе и из-за необходимости получения документа, подтверждающего эффективность принятых мер защиты персональных данных. Именно поэтому большинство компаний предпочитает оптимизировать этот процесс за счет поиска надежного партнера с готовым решением во внешней виртуальной инфраструктуре.

Для исполнения всеми юридическими лицами на территории России одноименного закона ФЗ-152 мы — хостинг Clodo.ru в сотрудничестве с компанией WELLSERVICE — предлагаем менее затратное и трудоёмкое решение: вынесение систем хранения и обработки персональных данных в защищенную облачную систему, которую мы называем – «ИСПДн в облаке».

Серверы для информационных систем персональных данных (ИСПДн) предоставляется любым компаниям, расположенным на территории и являющимися резидентами Российской Федерации.

Что такое «ИСПДн в облаке»?

Продукт «ИСПДн в облаке» – отдельный защищенный виртуальный сервер, по выбранному вами тарифу, полностью соответствующий требованиям ФЗ-152.

Каждый «ИСПДн в облаке» – полностью изолированный объект. Это означает, что доступ к вашему ИСПДн со стороны хостинг-провайдера заблокирован с помощью сертифицированных средств защиты и абсолютно конфиденциален!

Конфиденциальность обрабатываемой информации достигается за счет:

  • Доступ к данным находящимся на «ИСПДн в облаке» ограничен с помощью сертифицированных ФСТЭК России средств защиты от несанкционированного доступа (НСД) и с помощью функций гипервизора виртуальных машин (являющего частью сертифицированного средства защиты).
  • Данные, передаваемые по каналам связи от терминала организации-оператора персональных данных до сетевого интерфейса виртуальной машины, шифруются с помощью сертифицированного ФСБ России средства криптографической защиты информации (СКЗИ). Дисковые образы виртуальных машин также шифруются с помощью СКЗИ.
  • Ни один из дата-центров не обладает никакими ключами доступа к средствам СКЗИ, размещённым в виртуальной машине клиента. Так, например, для загрузки операционной системы на VPS клиент самостоятельно вводит пароль от криптоконтейнера, содержащего системный раздел. Эта процедура реализована с применением специально разработанного нашей компанией загрузчика операционной системы на виртуальной машине. При этом, ключи доступа в любой момент могут быть перегенерированы пользователем виртуальной машины самостоятельно, а криптоконтейнер соответственно может быть перешифрован.
  • Доступность и целостность обрабатываемой информации обеспечивается применением зарезервированных каналов связи, надёжных систем хранения данных, устройств охлаждения и бесперебойного питания. Наши партнеры – лучшие дата-центы России: Миран, IXCellerate, KIAEHOUSE.
Читайте также:  Portable dvd writer model se 208 драйвер

Что «ИСПДн в облаке» дает компаниям в России?

Простая процедура: мы возьмем на себя весь комплекс организационно-правовых и технических работ — разработка модели угроз безопасности, концепцию системы защиты, методику аттестации, непосредственное проведение аттестационных испытаний и оформление аттестата соответствия. Выбрав наш продукт «ИСПДн в облаке», вам НЕ ПОТРЕБУЕТСЯ ПОЛУЧАТЬ СОГЛАСИЕ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ при их сборе.

Существенная экономия: наш продукт освобождает компанию-заказчика от затрат на создание и владение защищенной IT-инфраструктурой для хранения, обработки и защиты персональных данных. Более того, размещение ИСПДн в облаке предоставляется как услуга, компания-заказчик не имеет капитальных затрат.

Наши преимущества:

  • защищенная система «ИСПДн в облаке» прошла все необходимые аттестации, как полностью соответствующая всем требованиям законодательства РФ в области персональных данных;
  • полное соответствие требованиям ФСТЭК и ФСБ России всех аппаратных, программных, а также сетевых элементов системы;
  • вам не потребуется получать согласие субъектов персональных данных при их сборе;
  • консультации и сопровождение на всех этапах внедрения и работы с продуктом.
  • полный пакет организационно-распорядительных и регламентирующих документов;
  • отсутствие капитальных затрат.

Каков процесс оказания услуг?

Регистрация представителя компании-заказчика на нашем сайте и последующее заполнение анкеты-заявки на услугу «ИСПДн в облаке»: необходимость аттестации, реквизиты организации, вид деятельности.

В зависимости от требований ИСПДн вы выбираете подходящий тарифный план с нужными параметрами сервера: объемом диска и оперативной памяти.

Заключение договора на оказание услуги «ИСПДн в облаке» и проведение оплаты.

На основании предоставленных данных мы подготовим для вас комплект организационно-распорядительных и регламентирующих документов, включая положение о персональных данных, акт классификации ИСПДн, модель угроз и другие необходимые документы. Специалист нашей компании проконтролирует правильность заполнения и утверждения этих документов.

Мы согласовываем с вами дату выездной аттестации рабочего места. После выезда специалиста и проверки всех требований к рабочему месту, вы получаете аттестат соответствия и весь пакет документов, удостоверяющий полное соответствие вашей ИСПДн требованиям и нормам №152-ФЗ "О персональных данных" и всех подзаконных актов.

Схема организации услуги

Наши лицензии и аттестаты

Тарифные планы

* Стоимость защищенного сервера ИСПДн с пакетом документов и процедурой аттестации при оплате за 1 год.

Продажа защищенной инфраструктуры для хранения и обработки персональных данных по представленным тарифным планам осуществляется с минимальным сроком — 1 год.

При заказе первого сервера в ИСПДн взымается установочная плата в размере 11 300 рублей.

Директор по развитию бизнеса

Рассказывает Максим Березин, директор по развитию КРОК Облачные сервисы

Об облачных услугах до сих пор существует множество мифов. Самые стойкие связаны с информационной безопасностью корпоративных данных и риском несанкционированного доступа инсайдеров и конкурентов. Дыма без огня не бывает: репутацию всему облачному рынку подмочили хостинг-провайдеры и бесплатные файлообменные сети, не обеспечивающие в должной мере защиту своих облачных сред. Чего только стоят истории массовых утечек данных из ICloud и хакерские взломы Dropbox.

По данным InfoWatch, несмотря на то, что общее количество утечек информации растёт, это всё реже происходит из-за недостаточно защищённых технических каналов, в том числе сетевых. Это говорит о том, что большинство провайдеров используют надёжное оборудование и наилучшие решения в области безопасности. Тем не менее, сегодня значительная доля зарегистрированных утечек вызвана действиями недобросовестных сотрудников самих компаний, которые пользуются облачными услугами.

Чужие против своих

В облаке за счёт высокой степени контроля доступа к инфраструктуре снижается риск утечек, вызванных человеческим фактором. Данные хранятся на удалённом сервере в зашифрованном виде, и из него не так-то просто изъять информацию и передать её третьим лицам. Доступ к святая святых облака — ЦОДу — ограничен и надёжно контролируется различными техническими средствами вплоть до биометрической идентификации сотрудников провайдера, имеющих право проходить в здание дата-центра.

Локальная инфраструктура многих компаний защищена менее эффективно, и это становится причиной множества инцидентов. Основываясь на них, американский исследовательский институт Ponemon Institute пришёл к такому выводу:

Читайте также:  Как выставить браузер по умолчанию

Одними из ключевых причин утечек в компаниях являются: оставленные без присмотра компьютеры, потерянные носители данных и конфиденциальные данные, хранящиеся на ноутбуке.

Безопасность в облаке по всему периметру

Gartner считает, что по сравнению с корпоративными инфраструктурами, к 2020 году публичные облака будут сталкиваться с атаками на 60 % реже. Это ещё раз подтверждает мысль о высоком уровне безопасности облачных сред, которые включают такие средства защиты, как системы обнаружения и блокирования DDoS-атак и системы межсетевого экранирования. Также для поиска уязвимостей во внутренней инфраструктуре используется автоматизированная система мониторинга, система контроля целостности и аудита событий безопасности. На регулярной основе проводятся различные сканирования для обнаружения новых, постоянно появляющихся уязвимостей. Для заказчика данные системы позволяют обеспечить должный уровень защищённости. Если требуются специфичные сервисы, например сканирование web-ресурсов на наличие уязвимостей и защита web-приложений в облаке или полная защита от DDoS-атак, их можно получить за дополнительную плату.

Безопасность для самых важных данных клиентов — персональных данных

Согласно федеральному закону № 152 для хранения персональных данных (а это фактически любая информация, по которой можно идентифицировать конкретного человека) должен обеспечиваться определённый уровень защищённости этих данных. В случае размещения персональных данных в облачной инфраструктуре, нужно не только соблюдать требования по безопасности самой облачной платформы, но и дополнительно к этому внедрить сертифицированные средства защиты системы для самой ИСПДн.

Как это реализуется на практике?

Строится многоступенчатая архитектура, которая включает в себя периметровые средства для мониторинга и контроля доступа к платформе, средства для её защиты и разграничения виртуальных сегментов заказчиков, а также антивирусы для всех компонентов платформы. Поверх этого внедряются системы, необходимые для информационной безопасности приложения, которое используется для хранения и обработки данных. Но самое важное — все применяемые средства должны быть сертифицированы ФСТЭК или ФСБ. Наличие аттестата у облачной платформы говорит о том, что она соответствует требованиям регулятора в части систем хранения персональных данных до третьего уровня включительно.

Кстати, нас часто спрашивают, где хранить и обрабатывать данные первого и второго уровня защищённости, например базу с медицинскими данными более 100 тыс. граждан Российской Федерации. Ответ простой — необходимо мигрировать систему на выделенное оборудование в ЦОД. Дело в том, что сейчас ни один из гипервизоров, используемых в составе облачных платформ популярных российских провайдеров, не сертифицирован и формально не может использоваться для размещения персональных данных первого и второго класса. До тех пор, пока ситуация не изменится, мы рекомендуем реализовывать информационные системы с персональными данными 1 и 2 уровня защищённости на выделенном оборудовании в надёжном дата-центре.

Кому доверить свою защиту?

В России работают порядка 10 облачных провайдеров, ориентированных на оказание услуг крупному бизнесу, и несчётное количество компаний, которые размещают в своих облаках инфраструктуру и сервисы для SMB и физических лиц. Естественно, первая категория предлагает более дорогие, кастомизированные услуги и строит платформы на базе надёжных решений, так как любые утечки и другие инциденты информационной безопасности могут привести к финансовым и репутационным рискам. Подобные компании детально прописывают правила работы в строгом SLA и могут подтвердить высокую степень защищённости рядом документов. Это и уже упомянутый сертификат соответствия облачной платформы требованиям ФЗ 152, и сертификат ISO/IEC 27001 — международного стандарта по информационной безопасности, и сертификат PCI DSS. Немаловажно также наличие полного комплекта сертификатов уровня Tier III от Uptime Institute (включает Tier III — Gold Certification of Operational Sustainability). Это говорит о грамотно выстроенных процессах эксплуатации дата-центра.

К слову, сертификация по стандарту PCI DSS хоть и регламентирует в первую очередь работу с платёжными картами и переводами, но также свидетельствует о высоком уровне защиты. Этот документ подтверждает не только наличие необходимых средств информационной безопасности, но и формализует организационные моменты — требования к сотрудникам, к их действиям в случае инцидентов. Отдельно он регламентирует требования к регулярности проведения «проверочных» мероприятий — различных тестов на проникновение, которые уважающий себя облачный провайдер устраивает один-два раза в год. Всё это помогает в том числе снизить влияние человеческого фактора, но уже на стороне поставщика облачных услуг и его команды.

Ссылка на основную публикацию
Adblock detector