Как мы помогаем быстро аттестоваться по требованиям ИБ тем, кто переезжает в облако

kgvg7_tarnfrqea5snurtd5hyka.png

На сайте Роскомнадзора вывешивают в декабре плановые проверки на следующий год. Начинали с иностранных соцсетей, сейчас в очереди банки и ряд компаний на Дальнем Востоке. Не у всех всё гладко, а проверки подбираются близко. В результате это породило некоторую заинтересованность к переездам в аттестованное облако, поэтому хотелось бы рассказать подробнее про то, что может предстоять по ФЗ-149 и 152.

А ещё я видел, как аттестацию на соответствие ФЗ-152 делают по ошибке. Ниже поясню, почему она не всегда нужна.

Сейчас далеко не все понимают, что необходимо делать при развёртывании инфраструктуры не у себя в виде стойки. Российский рынок не сильно подкован в вопросах переезда в облако. Крупные госзаказчики интуитивно понимают, что облачные технологии (в частности гособлако) им необходимы, но не понимают, что нужно для этого сделать. У нас всё готово для таких ситуаций, есть специальный центр компетенций по информационной безопасности. Платформа аттестована по требованиям безопасности информации и позволяет размещать ГИС и ИСПДн, к которым предъявляются наивысшие требования по защите информации, остаётся только аттестовать решение клиента. С нашей помощью это обычно проходит за 2–3 месяца, что гораздо быстрее (самостоятельно это занимает обычно 6 месяцев).

Давайте рассмотрим такую процедуру на примере. Предположим, вы медицинская компания, которая очень охраняет персональные данные пациентов.

Короткий ликбез про то, чем лицензирование отличается от сертификации и аттестации:

  • Сертифицируются средства защиты (софт и железо), сертификаты получают производители у ФСБ и ФСТЭК. Такой сертификат, например, говорит, что криптография разрешена, закладок в ПО нет, стандарты для России соблюдаются.
  • Аттестуется готовый объект, собранный с использованием сертифицированных «деталей». Аттестация — это подтверждение, что объект информатизации выполняет набор мер, и правильно. То есть конструктор собран верно. Аттестат выдают лицензиаты ФСТЭК.
  • Лицензируется деятельность по ИБ. Например, мы, Техносерв, являемся одним из лицензиатов ФСТЭК и можем выдавать аттестаты из пункта выше.

Сначала сложная ситуация. Предположим, вы большая государственная медицинская организация. Ключевое слово — «государственная», то есть у вас случай ГИС. Федеральный закон 149 обязывает владельца информации и оператора информационной системы обеспечить защиту информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий (ст. 14 п. 9) путём принятия правовых, организационных и технических мер, направленных на соблюдение конфиденциальности информации ограниченного доступа и реализацию права на доступ к общедоступной информации (ст. 16).

Сначала оценивается уровень значимости информации и возможного ущерба, масштаб информационной системы. Для медицинской системы назначается Класс защищённости (К 1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.

Персональные данные регулируются ФЗ-152. Организации, являющиеся операторами по обработке персональных данных граждан Российской Федерации, обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.

Есть четыре категории ПДн: специальные, биометрические, общедоступные, иные. Уровни защищённости выглядят вот так:


Обрабатываемые ПДн



Объём ПДн



Тип актуальных угроз



Угрозы 1-го типа



Угрозы 2-го типа



Угрозы 3-го типа



Специальные категории ПДн



Более 100 тыс.



УЗ 1



УЗ 1



УЗ 2



Менее 100 тыс.



УЗ 1



УЗ 2



УЗ 3



Специальные категории ПДн сотрудников оператора



Любой



УЗ 1



УЗ 2



УЗ 3



Биометрические ПДн



Любой



УЗ 1



УЗ 2



УЗ 3



Иные категории ПДн



Более 100 тыс.



УЗ 1



УЗ 2



УЗ 3



Менее 100 тыс.



УЗ 1



УЗ 3



УЗ 4



Иные категории ПДн сотрудников оператора



Любой



УЗ 1



УЗ 3



УЗ 4



Общедоступные ПДн



Более 100 тыс.



УЗ 2



УЗ 2



УЗ 4



Менее 100 тыс.



УЗ 2



УЗ 3



УЗ 4



Общедоступные ПДн сотрудников оператора



Любой



УЗ 2



УЗ 3



УЗ 4


Чем выше определён Уровень защищённости ПДн, тем больше мер по обеспечению безопасности персональных данных требуется выполнить для нейтрализации угроз безопасности ПДн. Если по ошибке определить более высокий уровень защищённости, то, соответственно, придётся строить более дорогую систему защиты ПДн. Если определить более низкий уровень защищённости, то это приведёт к нарушению требования законодательства.

Кроме того, требуется ещё ряд защитных мер. Вот, например, таблица соответствия нашего облака «из коробки» без доделок под конкретного клиента:

Параметр сегмента


Защищенный


Закрытый


Среда виртуализации


OpenStack-KVM, VMware


VMware


Назначение


Размещение информационных систем, не предъявляющих специализированных требований к информационной безопасности.


Размещение информационных систем компаний и организаций, в том числе участвующих в процессах обработки данных держателей банковских карт


Размещение государственных информационных систем (ГИС) и информационных систем персональных данных (ИСПДн) с наивысшими требованиями к информационной безопасности


Соответствие законодательству РФ по информационной безопасности


● Приказ ФСТЭК России №21;


● Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных индустрии платёжных карт;


● Положение Банка России №382-п «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»;


● Стандарт Банка России (СТО БР ИББС)


● Приказ ФСТЭК России №17


● Приказ ФСТЭК России №21


● Закон РФ №149-ФЗ


● Закон РФ №152-ФЗ


● Закон РФ №242-ФЗ


Сертификация / Аттестация


Сертификат соответствия (в качестве сервис-провайдера) требованиям Стандарта безопасности данных индустрии платёжных карт (PCI DSS)


Аттестат соответствия инфраструктуры сегмента «Закрытый» требованиям по защите информации для размещения информационных систем и систем, обрабатывающих персональные данные до 1-го класса/уровня защищённости


Информационная безопасность


Применяемые средства защиты позволяют выполнить следующие требования, предъявляемые:


● к информационным системам персональных данных до 3-го уровня защищённости включительно;


● стандартом PCI DSS;


● Положением Банка России №382-П[MO1]


Применяемые средства защиты позволяют выполнить требования, предъявляемые:


● к информационным системам до 1-го класса защищённости включительно;


● к информационным системам персональных данных до 1-го уровня защищённости включительно.


Применяемые аппаратные и программные средства обеспечения информационной безопасности обладают сертификатами ФСТЭК России и/или ФСБ России


Физическая безопасность


Обеспечение физической безопасности ИТ-инфраструктуры:


● контроль и управление доступом в дата-центр;


● охранно-пожарная сигнализация;


● автоматическое пожаротушение;


● видеонаблюдение;


● сейфовые стойки


Обеспечение физической безопасности ИТ-инфраструктуры:


● контроль и управление доступом в дата-центр;


● охранно-пожарная сигнализация;


● автоматическое пожаротушение;


● видеонаблюдение;


● сейфовые стойки


Сетевой доступ


● Публичный Интернет;


● Через защищённое VPN-подключение поверх публичного Интернета (IPSec VPN — реализуется программными средствами платформы виртуализации);


● VPN канал


● Через отдельный, защищённый аппаратными средствами криптографической защиты канал связи;


● Через защищённое VPN-подключение поверх публичного Интернета (IPSec VPN с криптозащитой по ГОСТ



Информационная безопасность в облаке начинается с защиты периметра, защиты от DDoS с помощью внешнего центра очистки или подключения к провайдерам с необходимыми возможностями, а также состоит из предоставления и организации доступа и заканчивается разделением сетей.

Теперь, если вы негосударственная медорганизация, всё гораздо интереснее. Во-первых, надо разобраться, обрабатываете ли вы персональные данные. Простая формула такая:

{Ф.И. О. + дата рождения + адрес местожительства} = персональные данные
{Ф.И. О.} или {дата рождения} или {адрес местожительства} ≠ персональные данные

Факторов и сочетаний больше, поэтому надо сначала сделать оценку. Потом надо решить, нужна ли вам аттестация по защите персональных данных или нет. Для негосударственных коммерческих компаний она необязательная, проходится по желанию оператора. Но при этом ФСТЭК напоминает, что по ФЗ-152 должна регулярно проводиться оценка эффективности мер защиты персональных данных. Аттестация считается за такую оценку. То есть можно её не делать, но придётся делать другую процедуру оценки, поэтому многие её проходят, чтобы сразу и наверняка. Ещё одна причина — по ошибке, не разобравшись в требованиях. Третья причина — для самоконтроля, чтобы убедиться, что защита реально по нормативу, — в ФЗ-152 прописаны в целом очень здравые вещи. Здесь к нам иногда приходят просто потому, что мы заведомо умеем защищать системы с самым высоким классом защищённости и имеем инфраструктуру для этого.

Что делать до переезда?


Прежде чем переезжать в облачную инфраструктуру, особое внимание необходимо уделить вопросам тестирования. Именно на этом этапе у заказчика должно сложиться реальное представление о том, как само облако и сопутствующие услуги работают.

Тестирование нужно функциональное и нагрузочное. В результате функционального тестирования заказчик должен убедиться, что всё работает так, как он ожидает. В результате нагрузочного тестирования заказчик должен убедиться, что всё это ещё и не падает.

При первоначальной оценке инфраструктуры для тестирования рекомендуется использовать 1/10 часть от боевой. Например, надо взять 10 виртуалок вместо сотни и попробовать потестировать. Сценарии тестирования всегда совместно с заказчиком обсуждаются.

Что делать, если мы попали? В список на проверку?


Как правило, если заказчик попадает в список Роскомнадзора, то либо его уведомляют о внеплановой проверке, либо времени на детальные тесты уже нет. Вот типы проверок:

  • О плановых проверках Роскомнадзор предупреждает заранее. Как правило, не менее чем за три рабочих дня по почте или факсом отправляется уведомление с копией приказа о грядущем мероприятии. Узнать о запланированных проверках юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей можно на официальном сайте Роскомнадзора.
  • Внеплановые проверки чаще всего проводятся по жалобам, полученным от физических лиц. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.
  • Документарные проверки. Вид проверок, при которых Роскомнадзор запрашивает список документов, копии которых необходимо предоставить в территориальный орган Роскомнадзора.
  • Выездные проверки. При выездной проверке проводится инспектирование на местах, когда в организацию приезжают представители РКН (как правило, несколько человек). Происходит проверка на предмет соответствия требованиям ФЗ-152.


Особенно во втором случае — остаётся от 30 дней до суток на то, чтобы поправить дела. В этот момент заказчик обращается к нам и просит о помощи. Иногда времени хватает, чтобы не просто провести быстрые работы, а реально убедиться, что при проведении проверок всё будет хорошо. Мы готовы проверить процедуры, а также то, что у нас всё ОК. Мы же будем поддерживать заказчика во время проверки.

Поскольку платформа уже аттестована, это сильно снижает объем трудозатрат по выполнению требований законодательства по защите информации. В нашем облаке применяются все необходимые периметровые средства защиты (межсетевые экраны, средства обнаружения и предотвращения вторжений и атак, криптошлюзы) и средства защиты среды виртуализации. Соответственно, при проверке клиент может указать, что большинство функций по защите информации выполняет Техносерв, а мы готовы предоставить все необходимое для подтверждения этого.

В такой ситуации мы не получаем доступ к самим ПДн и платёжным данным, поэтому клиенту нужно самостоятельно пройти аттестацию. Но мы предоставляем все документы от платформы, а также помогаем оперативно разработать комплект документации для аттестации информационной системы, и поэтому это делается относительно просто и с первого раза. Сегмент облака аттестован по информационным системам до 1-го уровня, включая госсистемы. Инфраструктура изолирована от публичного облака — фактически получается виртуальное частное облако. Все средства защиты сертифицированы ФСТЭК и ФСБ.

То есть 80% работы мы уже сделали.

Компетенцию информационной безопасности мы предоставляем как аутсорсинг. Можно делать это самостоятельно, но за счёт большого опыта внедрений мы можем обеспечить очень сжатые сроки.

Архитектура


Вот два примера архитектуры расположения инфраструктуры в облаке. Они отличаются тем, собственный ли комплекс DDoS-защиты у организации или используется наш, поставляемый с платформой. Примерно таким же образом можно подойди к другим компонентам и средствам защиты информационной безопасности.

xmiohdwi2zunouujkg6_owu4pzu.png

r1vx4gkdesvr60y0gfotnfkftrs.png

Хронология работ без спешки


  1. Обследовать системы заказчика, определить требования к инфраструктуре и мерам защиты — 2 недели.
  2. План переезда и техдокументация — 2–3 недели.
  3. Новая организационно-распорядительная документация — 2 недели.
  4. Миграция систем — до 3 недель.
  5. Документы по аттестации и прохождение аттестации — ещё 2–3 недели.


Если есть практические вопросы, то вот страница с деталями и контакт: security@ts-cloud.ru

© Habrahabr.ru