Хранение и обработка персональных данных (ПДн) в облаке — удобное и гибкое решение. Однако практика показывает, что у компаний не всегда получается оптимизировать защиту такой информации. Меня зовут Марк Песков, я методолог по информационной безопасности в Selectel. В этой статье расскажу, как организовать безопасную обработку персональных данных в облачной инфраструктуре и что учесть при разделении зон ответственности оператора и провайдера.
Используйте навигацию, если не хотите читать текст полностью:
→ С чего начать
→ Кто участвует в реализации мер безопасности
→ Что оператору ПДн стоит сделать на своей стороне
→ Что дальше
С чего начать
Сферу обработки и защиты персональных данных регулируют федеральный закон №152, подзаконные нормативно-правовые и методические документы. Поэтапное выполнение их требований и рекомендаций позволяет выстроить адекватную систему управления информационной безопасностью.
Прежде всего необходимо проанализировать, какие данные и в каком объеме обрабатывает ваш сервис. Особое внимание здесь стоит уделить персональным данным.
Следующий шаг — определить основные внешние и внутренние условия, особенности работы сервиса и решаемые задачи. К внешним условиям относятся ожидания и потребности пользователей и партнеров, применимые требования законодательства и т. д. К внутренним — например, стратегия развития сервиса. Особенности — то, что отличает его от других продуктов: стек технологий, архитектура и прочее.
Анализ поможет вам сформулировать два ключевых показателя.
- Уровень защищенности персональных данных. Определяется в соответствии с требованиями к защите персональных данных, которые изложены в постановлении правительства №1119. Подробности описаны в Академии Selectel.
- Угрозы безопасности персональных данных и их вероятные источники. Определяются в соответствии с методикой оценки угроз безопасности информации.
Теперь необходимо сформировать набор правовых, организационных и технических мер по обеспечению безопасности персональных данных. Всего таких мер 109, они объединены в 15 групп — подробное описание можно найти в приказе ФСТЭК России №21.
Базовый набор мер безопасности формируется в зависимости от уровня защищенности персональных данных. Для четвертого (минимального) уровня их всего 27, а для первого (максимального) — 69.
Впрочем, состав мер может меняться. Например, если в информационной системе не применяются определенные технологии и процессы, связанные с ними меры могут быть исключены. И наоборот: если для системы актуальны определенные угрозы безопасности, для их нейтрализации могут быть добавлены дополнительные меры.
Группы мер по обеспечению безопасности персональных данных:
Все эти меры нужны, чтобы исключить любые несанкционированные действия с персональными данными. К таковым можно отнести случайное или умышленное уничтожение, изменение, блокирование, копирование, распространение, не связанные нормальной обработкой данных. При этом важно понимать, что защита ПДн — ответственность компании-оператора. Другими словами, кто собирает персональные данные, тот и отвечает за их безопасность. В то же время провайдер IT-услуг может обеспечить соблюдение части этих мер. Что именно можно поручить Selectel и как лучше организовать все процессы, разберем ниже.
Кто участвует в реализации мер безопасности
Безопасность персональных данных в облачной инфраструктуре обеспечивают оператор персональных данных и провайдер IT-инфраструктуры. Границы зон ответственности могут сдвигаться в ту или иную сторону. Это зависит от модели предоставления облачных сервисов (инфраструктурных или платформенных) и особенностей реализации конкретных мер безопасности.
Например, практически все правовые и организационные меры безопасности оператор реализует самостоятельно. Он делает это на основе организационно-распорядительной документации, которая:
- распределяет среди сотрудников оператора обязанности и ответственность за сопровождение сервиса и обеспечение его безопасности,
- детально описывает процессы и единые правила использования средств безопасности.
Все организационные меры по защите технических средств для любого уровня защищенности ПДн полностью реализованы на стороне Selectel. Только сотрудники провайдера имеют физический доступ к оборудованию в дата-центрах. То есть базовый набор мер безопасности, реализуемых оператором, сокращается за счет разделения зон ответственности.
Схема разделения зон ответственности.
Оператор ПДн и IT-провайдер реализуют технические меры безопасности на разных технологических уровнях. При этом оператор может использовать функции и специализированные сервисы Selectel.
Здесь важно понимать: часть работы остается за оператором. Например, можно поручить провайдеру организацию инфраструктуры для идентификации и аутентификации пользователей. Но задачу разграничения доступов придется решать самому оператору.
Что оператору ПДн стоит сделать на своей стороне
Ниже рассмотрим шаги, которые вам нужно сделать, чтобы легко выполнить требования 152-ФЗ.
Идентификация, аутентификация и управление доступом
В системном и прикладном ПО, а также специализированных средствах защиты информации есть встроенные механизмы безопасности в части идентификации, аутентификации и контроля доступа. Из-за этого иногда думают, что оператору персональных данных достаточно использовать только их. Стоит помнить, что не менее важен контроль доступа на уровне панели управления и программного интерфейса API.
Базовый сервис Identity and Access Management (IAM) — ролевая модель, которая позволяет создавать, изменять и удалять учетные записи, а также контролировать их доступ к управлению ресурсами. Федеративный доступ дает возможность использовать в качестве источника данных о пользователях собственную систему управления – Identity Provider: Keycloak, ADFS и другие SAML-совместимые системы. Благодаря этому можно обойтись без дополнительной аутентификации в панели управления. Достаточно технологии единого входа – Single Sign-On (SSO).
В дополнение к IAM можно ограничить доступ к панели управления и API на уровне сети передачи данных: по IP-адресу или подсети. Подробнее это описано в документации.
По умолчанию при входе в панель управления включена двухфакторная аутентификация. Мы рекомендуем не отключать ее, а также связываться с техподдержкой Selectel при любом подозрении на компрометацию учетной записи. Вход в панель управления с неизвестного IP-адреса будет зафиксирован в журнале авторизаций, а администратор аккаунта получит уведомление по электронной почте. В то же время компрометация может быть неявной, если у третьих лиц есть неконтролируемый доступ к данным аккаунта.
Файрвол в облачной платформе и выделенном оборудовании позволяет контролировать доступ к сетевым сервисам из интернета и в приватных сетях. С его помощью можно реализовать:
- фильтрацию IPv4-трафика для приватной подсети,
- открытие и закрытие определенных портов или их диапазонов,
- разрешение и запрет доступа с указанных IP-адресов или из подсетей с учетом состояния сетевых соединений.
Бывают и более сложные сценарии защиты сетевых сервисов. Например, обнаружение и предотвращение сетевых атак. Для их реализации вы можете арендовать межсетевой экран. А для защиты веб-сервисов от атак на прикладном уровне (L7) воспользуйтесь сервисом Web Application Firewall (WAF).
Чтобы было удобно ориентироваться в сервисах Selectel, связанных с идентификацией и аутентификацией учетных записей, мы собрали таблицу.
Условное обозначение |
Содержание мер по обеспечению безопасности персональных данных |
Сервисы Selectel, которые помогают реализовать меры |
ИАФ.1 |
Идентификация и аутентификация пользователей, являющихся работниками оператора |
IAM (все сервисы) |
ИАФ.3 |
Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов |
IAM (все сервисы) |
ИАФ.4 |
Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
IAM (все сервисы) |
ИАФ.6 |
Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) |
IAM (все сервисы) |
УПД.1 |
Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей |
IAM (все сервисы) |
УПД.2 |
Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа |
IAM (все сервисы) |
УПД.3 |
Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами |
Файрвол (облачная платформа), базовый файрвол (серверы и оборудование), WAF |
СОВ.1 |
Обнаружение вторжений |
Межсетевые экраны (Серверы и оборудование) |
СОВ.2 |
Обновление базы решающих правил |
Межсетевые экраны (Серверы и оборудование) |
ЗСВ.1 |
Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации |
IAM (все сервисы) |
ЗСВ.2 |
Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин |
IAM (все сервисы) |
ЗСВ.10 |
Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей |
Файрвол (облачная платформа), Межсетевые экраны (серверы и оборудование) |
ЗИС.17 |
Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы |
Файрвол (облачная платформа), базовый файрвол (серверы и оборудование), межсетевые экраны (серверы и оборудование) |
Обеспечение доступности
Доступность сервиса подразумевает, прежде всего, отказоустойчивость. Ее можно обеспечить с помощью резервирования компонентов в разных регионах и зонах доступности. Организовать доступ к этим компонентам из интернета и распределить нагрузку между ними поможет отказоустойчивый балансировщик нагрузки. Он же обеспечивает защиту от DDoS-атак для всего входящего трафика на уровнях L3 и L4.
Резервные копии (бэкапы) выделенных и облачных серверов обеспечивают защиту от потери данных и быстрое восстановление работы сервиса. А при использовании облачных баз данных резервное копирование ресурсов выполняется автоматически.
Ниже таблица, которая поможет разобраться в сервисах Selectel для обеспечения доступности сервисов и защиты средств виртуализации.
Условное обозначение |
Содержание мер по обеспечению безопасности персональных данных |
Сервисы Selectel, которые помогают реализовать меры |
ОДТ.2 |
Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы |
Отказоустойчивый балансировщик нагрузки (сетевые сервисы) |
ОДТ.4 |
Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных |
Бэкапы (облачная платформа), резервное копирование (серверы и оборудование) |
ОДТ.5 |
Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала |
Бэкапы (облачная платформа), резервное копирование (серверы и оборудование) |
ЗСВ.8 |
Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры |
Бэкапы (облачная платформа), резервное копирование (серверы и оборудование) |
Контроль конфигураций
Для контроля изменений в конфигурации компонентов можно использовать сервис мониторинга открытых портов. Он периодически сканирует диапазон сетевых адресов вашего проекта. При обнаружении новых открытых TCP-портов, которые не были помечены как доверенные, сервис отправляет уведомление администратору аккаунта по электронной почте или в Telegram. Это позволяет своевременно обнаружить подозрительную активность или ошибки, допущенные администратором при конфигурировании сетевых служб и файрвола.
Сервис мониторинга открытых портов Selectel помогает реализовать две меры безопасности:
- контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации,
- защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки персональных данных
Автоматизация управления ресурсами
Автоматизация управления ресурсами в больших проектах снижает влияние человеческого фактора на безопасность сервиса. Такие ошибки могут возникнуть, например, при конфигурировании ресурсов. К тому же, автоматизация позволяет без лишних действий документировать изменения конфигурации. А это уже реализация мер группы УКФ (управление конфигурацией информационной системы и системы защиты персональных данных).
Для управления конфигурациями ресурсов есть подход «инфраструктура как код» (Infrastructure as Code, IaC). Он заключается в том, что все вычислительные ресурсы и изменения в них описываются кодом. Так можно исключить много ручных операций и настроек, как следствие — минимизировать риски ошибок. К тому же, подход позволяет описывать и применять эталонные конфигурации ресурсов с учетом требований безопасности.
Конфигурирование базовых параметров безопасности при создании виртуальных машин в панели управления можно упростить. Для этого есть механизм задания пользовательских параметров (поле User Data). Он позволяет либо автоматически выполнить заданный набор действий с помощью bash-скрипта, либо задать параметры конфигурации отдельных сервисов с помощью механизма cloud-init.
С помощью User Data можно, например, автоматически настроить параметры sshd еще до запуска виртуальной машины. К этим параметрам относятся:
- отключение возможности входа пользователя root,
- отключение аутентификации по паролю,
- добавление публичного ключа администратора в файл authorized_keys и т. д.
API Selectel в сочетании с Terraform, а также User Data в облачной платформе помогают реализовать две меры безопасности:
- управление изменениями конфигурации информационной системы и системы защиты персональных данных,
- документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных.
Таким образом, конфигурирование ресурсов помогает оператору персональных данных реализовать часть мер безопасности в своей зоне ответственности еще на этапе создания виртуальных машин.
Резюме по мерам безопасности
При использовании инфраструктурных сервисов (IaaS) оператор ПДн реализует меры безопасности на уровне операционной системы и приложения. При использовании платформенных сервисов (PaaS) – только на уровне приложения.
Реализация следующих технических мер безопасности остается в зоне ответственности оператора ПДн.
- Идентификация и аутентификация субъектов и объектов доступа: управление персонифицированными учетными записями пользователей и их аутентификацию при попытках доступа к системе.
- Управление доступом: назначение пользователям прав доступа, ограничение количества попыток и способов входа в систему и т. д.
- Регистрация событий безопасности: настройка правил регистрации событий, сроков их хранения, доступа к файлам журналов и т. д. К событиям безопасности относятся, например, попытки доступа к системе, добавление и удаление учетных записей, изменение конфигураций, установка программных компонентов, доступ к файлам с конфиденциальной информацией, использование служебных утилит и т. д.
- Антивирусная защита.
- Обнаружение и предотвращение вторжений с использованием хостовых систем или путем интеграции в инфраструктуру (только для IaaS) специальных средств защиты уровня сети.
- Контроль и анализ защищенности персональных данных: использование сканеров безопасности или механизмов поиска уязвимостей.
- Обеспечение целостности информационной системы и персональных данных.
- Защита информационной системы, ее средств, систем связи и передачи данных на основе безопасных сетевых протоколов (HTTPS, SSH).
Что дальше
После реализации мер безопасности необходимо оценить их эффективность. Такую оценку оператор ПДн может провести самостоятельно или привлечь компанию-подрядчика. Обязательное требование для такой компании — наличие лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации.
Оценка эффективности может проводиться и в форме аттестации. Ее выполняет аккредитованная организация в соответствии с порядком, установленным ФСТЭК. В этом случае оператор должен применять средства защиты информации, имеющие сертификаты соответствия требованиям безопасности ФСТЭК или ФСБ. Аттестация обязательна только для государственных информационных систем. В иных случаях — по усмотрению оператора.
Однако иногда операторы все же должны провести аттестацию своей системы для выполнения условий договоров или подключения к некоторым государственным системам. К таким операторам часто относятся медицинские организации, разработчики B2G-сервисов, финансовые и страховые компании.
Selectel предоставляет по подписке средства защиты от несанкционированного доступа на уровне выделенных или виртуальных серверов, а также модули доверенной загрузки и средства антивирусной защиты.
Для безопасного сетевого взаимодействия со своими ресурсами вы можете использовать ГОСТ VPN. Услуга включает сертифицированные криптографические средства защиты.
Эффективность мер безопасности, которые реализованы Selectel, подтверждается результатами самостоятельной оценки эффективности или аттестатом соответствия требованиям безопасности.
ahhilless
Создается впечатление что защита персональных данных имеет формальный характер.
Treviz
Ещё бы! У меня, например, сантиметров 15 стопка всяких приказов и актов необходимых на случаи проверок чисто для 152-ФЗ. Это помимо дюжины разнообразных журналов по СКЗИ.
Shaman_RSHU
Да уж, ФАПСИ давно нет, а его нормативные документы по СКЗИ до сих пор исполняем в куче мукулатуры, а ФСБ на себя не берет переделать нормативку по современному. Не верю я, что за более 20 лет она не требует актуализации
Treviz
Требует. И законы меж собой противоречат.
Кроме ФСБ (они наиболее адекватные) есть ещё ФСТЭК и прокуратура. Последние очень любят даже без очных проверок выдать предостережение, мол, не исполняете.
Юрист, вздыхая (и немного матерясь), пишет что исполняем, вот, все документы есть. Отчётность ведётся. Доказываем что не верблюд.
Shaman_RSHU
По большинству нарушений подзаконных актов ФСТЭК нет наказания (за исключением КИИ наверное). Штрафы за нарушение защиты и обработки ПДн мизерные. Доказать почти ничего невозможно. В случае нарушения в "бумажках" выписывают предписание, которое потом можно выполнить, заказав услугу их рахработки у многочисленных интеграторов ИБ.
К фактичаской безопасности это к сожалению никакого отношения не имеет.
Treviz
Вы правы. У меня ещё и КИИ. И прочая херь. А для условного Васи Пупкина где из ПнД только данные работников проблем особых нет. Иногда проще заплатить штраф.
С другой стороны ст. 137 УК РФ. И неизвестно как обернётся.
Shaman_RSHU
Подобные услуги ЦОДов сильно упрощают выполнение требований по защите ПДн. Конечно нужно еще выпустить кучу мукулатуры, фактическую защиту то проверять никто не будет - нет компетенций.
Treviz
До первого инцедента. Там те же ФСБ с РКН и примкнувшая к ним прокуратура проверят так проверят.
И ФСБ, кстати, предлагает услуги аудита.:D Для бюджетников бесплатно. Повторюсь, они, по-крайней мере в Смоленской области, вполне адекватные. Есть конторы, которые пользуются.
Мы не пользовались - слишком много не сделано.
Shaman_RSHU
ФСБ и на Северо-Западе вполне адекватные и современные. Принимают вместо кипы бумаги сшитой нитками, файлы на носителе, подписанные ЭП. В части проверки порядка обращения СКЗИ не сталкивался, но по ПДн приходили и ничего сделать не смогли (в том числе спасибо юристам). В нормативных актах очень много нестыковок с ТК и ГК.
Treviz
Ой, не надо про нитки. Как я в первый раз пытался журнал с ними сделать...
Для несведующих. Журнал надо прошить и опечатать. То есть и без того уже продыроколенную стопку листов отдельно просверливаешь. Продеваешь суконные нитки. Сзади нитки завязываешь узлом. После узла на хвосты наклеивается полоска бумаги на которой все росписи ответственных. И сверху прошлёпывается печатью, чтоб половина на полоске, половина на листе.
Признайтесь, кто так на работе делает?
daggert
а что в этом сложного? Бывает и под сотню таких документов в отчетный период шью за недельку (: