Все организации в Российской Федерации так или иначе обрабатывают персональные данные, а следовательно попадают под действие ФЗ №152. На текущий момент бОльшая часть из них вообще ничего не делала на тему защиты персональных данных.
Остальные же в какой-то мере привели обработку и защиту персональных данных в соответствие требованиям законодательства. Казалось бы, на этом можно объявить задачу по защите персональных данных завершенной и спокойно почивать на лаврах, выполняя лишь рутинные операции в рамках документированных и установленных процессов, но не тут-то было. Есть ряд причин, которые потребуют снова и снова возвращаться к вопросу приведения в соответствие закону ФЗ № 152.
Вот ряд из них:
Еще одной из проблем, которую требуется решить некоторым Операторам ПДн – необходимость хранения персональных данных на территории Российской Федерации начиная с 1 сентября 2015 года. Таким образом, Операторы, которые ранее хранили данные за рубежом, для обеспечения соответствия ФЗ №152 вынуждены изменять инфраструктуру и создавать свои центры обработки данных или обращаться к российским хостинг-провайдерам.
Самостоятельное решение таких задач в собственном ЦОДе потребует больших трудовых и финансовых затрат, а кроме того, может вызвать сложности с масштабированием решения. Мы стали думать как реализовать достаточно простую идею, а именно обеспечить защиту персональных данных «поверх» размещения информационной системы в облаке таким образом, чтобы с одной стороны уменьшить капитальные затраты клиента, то есть перевести все платежи в арендные, а с другой стороны минимизировать вовлеченность клиента в процесс, чтобы в идеале «всё было само защищено». О совместном решении Облакотеки (облачный провайдер) и компании «Андэк» (лицензиат) мы и хотим рассказать в статье. Может быть аналогичный подход будет интересен другим сервис-провайдерам.
Решать такую проблему не управляя инфраструктурой получается плохо, потому решение будет основано на базе IaaS-сервиса облачного провайдера, реализованного на основе системы виртуализации Microsoft Hyper-V. Забегая немного вперед, расскажем, что в рамках этого решения на сторону поставщиков решения будут возложены следующие функции:
А теперь попробуем рассказать про эти функции подробнее.
В первую очередь вы должны определиться с необходимостью использования сертифицированных средств защиты ПДн. На эту тему сломано немало копий, в том числе и на Хабре. Например отличная и развернутая статья написана пользователем teecat «Как поймать то, чего нет. Часть пятая: Миф о необходимости сертифицированного ПО». Поэтому предлагаем ограничиться конкретными тезисами относительно использования сертифицированных СЗИ:
Допустим, принято решение об использовании несертифицированных средств защиты.
Безусловно, хоть такой подход и законен, он несет в себе определенные риски. Это связано с тем, что регуляторы могут обладать собственным взглядом на закон вообще и обязательность использование сертифицированных средств защиты в частности. Таким образом, при выборе данного подхода Операторы ПДн должны понимать, что может потребоваться отстаивать свою точку зрения перед регуляторами, в том числе и в суде.
Часть требований ФСТЭК по защите персональных данных в этом случае мы выполним при помощи встроенных средств используемого программного и аппаратного обеспечения, например:
Тем не менее потребуются и дополнительные наложенные средства защиты, такие как антивирусы, средства защиты информации при передаче по открытым каналам связи, средства анализа защищенности и т.д.
Возможно, вы решили подстраховаться и использовать сертифицированные СЗИ, вне зависимости от того, встроенные это средства защиты или наложенные. В этом случае средства защиты должны:
Что бы наше решение было полноценным, облачный провайдер должен быть готов предоставлять наложенные СЗИ клиентам в аренду, иначе решения «под ключ» у нас не получится.
Теперь попробуем разобраться с распределением ответственности в этой схеме. Наш облачный провайдер предоставляет виртуальную инфраструктуру и каналы связи и никак не управляет тем что происходит внутри виртуальных машин. Таким образом он точно не является оператором персональных данных, так как не определяет цели обработки, состав ПДн и операции над ними.
Получается что облачный провайдер не отвечает перед регуляторами за выполнение требований законодательства, а должен выполнять те требования, что возложены на него договором с оператором. Так что же на него возложить?
Облачный провайдер не может отвечать за то что стоит внутри виртуальных машин, следовательно системы управления доступа и антивирусы (за исключением решений с безагентным антивирусом, таких как 5Nine) он взять на себя не может. А вот наложенными средствами защиты (межсетевые экраны, VPN-шлюзы и т.д.) и защитой виртуализации может управлять только облачный провайдер и больше никто. Указанное распределение обязанностей должно быть обязательно включено в договора, чтобы у клиента был выполнен требуемый набор мероприятий в «сумме» от лицензиата и облачного провайдера.
В итоге, мы разобрались с тем какие средства защиты нам использовать, что написать в договор, можно ли на этом остановиться?
Если наш клиент – оператор персональных данных — достаточно компетентен в вопросах защиты персональных данных и уже занимался ими, то конечно можно остановиться на технических мероприятиях по защите, но где нам найти таких клиентов. При проектировании сервиса мы исходили из предположения, что оператор не может сам написать модель угроз или нормативные документы по обработке ПДн. Следовательно наш сервис должен включать и поддержку оператора в этих вопросах, решать эту задачу можно по разному:
Разработанный сервис в том или ином виде решает все перечисленные вопросы.
Кроме того, сервис должен модифицироваться вслед за всеми изменениями в законодательстве по защите и обработке ПДн.
Вот теперь, похоже что наша задача решена, у нас есть решение по выполнению требований законодательства, которое требует минимум трудозатрат и финансовых вложений от клиента, при этом его соответствие текущему законодательству является «головной болью» облачного провайдера, а не оператора.
Остальные же в какой-то мере привели обработку и защиту персональных данных в соответствие требованиям законодательства. Казалось бы, на этом можно объявить задачу по защите персональных данных завершенной и спокойно почивать на лаврах, выполняя лишь рутинные операции в рамках документированных и установленных процессов, но не тут-то было. Есть ряд причин, которые потребуют снова и снова возвращаться к вопросу приведения в соответствие закону ФЗ № 152.
Вот ряд из них:
- Постоянно появляются новые требования законодательства в области защиты персональных данных;
- Изменяются решения и инфраструктура, используемые компаниями для обработки персональных данных;
- Внедряются новые сервисы и информационные системы, обрабатывающие ПДн.
Еще одной из проблем, которую требуется решить некоторым Операторам ПДн – необходимость хранения персональных данных на территории Российской Федерации начиная с 1 сентября 2015 года. Таким образом, Операторы, которые ранее хранили данные за рубежом, для обеспечения соответствия ФЗ №152 вынуждены изменять инфраструктуру и создавать свои центры обработки данных или обращаться к российским хостинг-провайдерам.
Самостоятельное решение таких задач в собственном ЦОДе потребует больших трудовых и финансовых затрат, а кроме того, может вызвать сложности с масштабированием решения. Мы стали думать как реализовать достаточно простую идею, а именно обеспечить защиту персональных данных «поверх» размещения информационной системы в облаке таким образом, чтобы с одной стороны уменьшить капитальные затраты клиента, то есть перевести все платежи в арендные, а с другой стороны минимизировать вовлеченность клиента в процесс, чтобы в идеале «всё было само защищено». О совместном решении Облакотеки (облачный провайдер) и компании «Андэк» (лицензиат) мы и хотим рассказать в статье. Может быть аналогичный подход будет интересен другим сервис-провайдерам.
Решать такую проблему не управляя инфраструктурой получается плохо, потому решение будет основано на базе IaaS-сервиса облачного провайдера, реализованного на основе системы виртуализации Microsoft Hyper-V. Забегая немного вперед, расскажем, что в рамках этого решения на сторону поставщиков решения будут возложены следующие функции:
- Создание и поддержание в актуальном состоянии документов по обработке и защите ПДн;
- Включение информационных систем клиентов лицензиата в защищенный контур, соответствующий требованиям ФЗ №152;
- Предоставление и администрирование виртуальной инфраструктуры, а также средств защиты;
- Отслеживание всех изменений в законодательстве по защите ПДн и информирование о них клиентов лицензиата.
А теперь попробуем рассказать про эти функции подробнее.
В первую очередь вы должны определиться с необходимостью использования сертифицированных средств защиты ПДн. На эту тему сломано немало копий, в том числе и на Хабре. Например отличная и развернутая статья написана пользователем teecat «Как поймать то, чего нет. Часть пятая: Миф о необходимости сертифицированного ПО». Поэтому предлагаем ограничиться конкретными тезисами относительно использования сертифицированных СЗИ:
- Непосредственно ФЗ №152 указывает на использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, лишь в числе прочих возможных, но не обязательных, мер защиты и не устанавливает конкретных требований к порядку оценки соответствия.
- Оценка соответствия не обязательно должна быть в форме сертификации.
- Регуляторы не имеют права расширять требования Закона «О персональных данных».
Допустим, принято решение об использовании несертифицированных средств защиты.
Безусловно, хоть такой подход и законен, он несет в себе определенные риски. Это связано с тем, что регуляторы могут обладать собственным взглядом на закон вообще и обязательность использование сертифицированных средств защиты в частности. Таким образом, при выборе данного подхода Операторы ПДн должны понимать, что может потребоваться отстаивать свою точку зрения перед регуляторами, в том числе и в суде.
Часть требований ФСТЭК по защите персональных данных в этом случае мы выполним при помощи встроенных средств используемого программного и аппаратного обеспечения, например:
- контроль доступа и регистрация событий внутри виртуальных машин могут быть реализованы при помощи средств операционных систем;
- управление доступом и регистрация событий внутри среды виртуализации реализуются при помощи гипервизора Microsoft Hyper-V;
- фильтрация траффика внутри виртуальной инфраструктуры может быть достигнута с помощью виртуальных межсетевых экранов, также реализованных средствами гипервизора.
Тем не менее потребуются и дополнительные наложенные средства защиты, такие как антивирусы, средства защиты информации при передаче по открытым каналам связи, средства анализа защищенности и т.д.
Возможно, вы решили подстраховаться и использовать сертифицированные СЗИ, вне зависимости от того, встроенные это средства защиты или наложенные. В этом случае средства защиты должны:
- Пройти проверку как минимум по 4-му уровню контроля отсутствия недекларированных возможностей (применимо для 1-го и 2-го уровней защищенности, а также для 3-го уровня защищенности если актуальны угрозы 2-го типа);
- Быть сертифицированными на определенный класс защиты, который зависит от уровня защищенности и устанавливается 21-м Приказом ФСТЭК .
Что бы наше решение было полноценным, облачный провайдер должен быть готов предоставлять наложенные СЗИ клиентам в аренду, иначе решения «под ключ» у нас не получится.
Теперь попробуем разобраться с распределением ответственности в этой схеме. Наш облачный провайдер предоставляет виртуальную инфраструктуру и каналы связи и никак не управляет тем что происходит внутри виртуальных машин. Таким образом он точно не является оператором персональных данных, так как не определяет цели обработки, состав ПДн и операции над ними.
Получается что облачный провайдер не отвечает перед регуляторами за выполнение требований законодательства, а должен выполнять те требования, что возложены на него договором с оператором. Так что же на него возложить?
Облачный провайдер не может отвечать за то что стоит внутри виртуальных машин, следовательно системы управления доступа и антивирусы (за исключением решений с безагентным антивирусом, таких как 5Nine) он взять на себя не может. А вот наложенными средствами защиты (межсетевые экраны, VPN-шлюзы и т.д.) и защитой виртуализации может управлять только облачный провайдер и больше никто. Указанное распределение обязанностей должно быть обязательно включено в договора, чтобы у клиента был выполнен требуемый набор мероприятий в «сумме» от лицензиата и облачного провайдера.
В итоге, мы разобрались с тем какие средства защиты нам использовать, что написать в договор, можно ли на этом остановиться?
Если наш клиент – оператор персональных данных — достаточно компетентен в вопросах защиты персональных данных и уже занимался ими, то конечно можно остановиться на технических мероприятиях по защите, но где нам найти таких клиентов. При проектировании сервиса мы исходили из предположения, что оператор не может сам написать модель угроз или нормативные документы по обработке ПДн. Следовательно наш сервис должен включать и поддержку оператора в этих вопросах, решать эту задачу можно по разному:
- Разрабатывать и отдавать клиенту шаблоны документов;
- В рамках подключения делать проект по приведению обработки и защиты ПДн в соответствие законодательству;
- Оказывать консалтинг по вопросам ПДн во время действия договора (в том числе и по вопросам внедрения новых систем и внесения изменений в старые);
- Помогать клиенту во взаимодействии с субъектами ПДн и регуляторами.
Разработанный сервис в том или ином виде решает все перечисленные вопросы.
Кроме того, сервис должен модифицироваться вслед за всеми изменениями в законодательстве по защите и обработке ПДн.
Вот теперь, похоже что наша задача решена, у нас есть решение по выполнению требований законодательства, которое требует минимум трудозатрат и финансовых вложений от клиента, при этом его соответствие текущему законодательству является «головной болью» облачного провайдера, а не оператора.
Комментарии (11)
fetis26
11.06.2015 10:19Если я делаю копию данных и храню их на каком-нибудь Яндекс.Диске это считается, что я храню данные в Росии по ФЗ-152 или нет?
MaximZakharenko Автор
11.06.2015 10:28Для простоты. Есть 242-ФЗ, который (внося изменения в 152-ФЗ) обязывает хранить и обрабатывать данные в РФ, то есть холодной копией в РФ не обойтись. Комментарии официальных лиц тоже ПОКА придерживаются этой точки зрения, но тема живая.
А есть сам 152-ФЗ, который вне зависимости от расположения накладывает требования по защите ПДн, то есть для любой информационной системы, содержащей персональные данные необходимо провести набор технических и организационных мероприятий. Один из вариантов проведения этих мероприятий, то есть получение их «как сервиса», описан в статье.fetis26
11.06.2015 12:09А что подразумевается под ПДн
Емайл юзера попадает под это? А адрес доставки в интернет-магазине?MaximZakharenko Автор
11.06.2015 12:19Это самый лучший вопрос всей этой темы!
Вообще говоря, любые данные прямо или косвенно относящиеся к субъекту (человеку). Есть понятие обезличенные данные, когда, например, известен адрес, покупки, телефон, но нет ФИО, то есть непонятно к кому они относятся. Есть общедоступные данные, например, из профиля vk или FB. Такие данные фактически не требуют защиты.
Но, связка: ФИО, телефон, адрес, e-mail, список покупок, предпочтения, по какой рекламе пришел… уже точно подпадает под защиту, пусть и по минимальному варианту (т.н. УЗ 3). Есть механизмы обезличивания, когда ФИО и ID в одной системе (фактически, общедоступные данные), а ID и всё остальное (обезличенные) в другой. Эти данные можно разложить по разным системам, но это надо программировать на уровне приложения и чтобы нигде данные не смешивались, то есть всегда не очень удобно. Мы здесь всю полноту темы не сможем раскрыть, собственно чтобы владельцу магазина не думать об этом, мы и сделали «как-сервис».
whiplash
Ок, с системами защиты всё понятно.
А вы сами почём персональные данные клиентов продаете? Скидки есть??
MaximZakharenko Автор
В таком же стиле отвечу:… защищать пока выгоднее, да и лицензию чего-то жалко. :)
whiplash
Не, ну можно личку!)
samodum
Настораживает это «пока». То есть, когда что-то изменится, будут возможны варианты?
MaximZakharenko Автор
Это была шутка в ответ на шутку. Со смайликом.
Напишу на всякий случай, вдруг кто-то что-то не то вычитает. :)