В сентябре Правительство России поддержало проект поправок в КоАП, увеличивающий штрафы для операторов персональных данных. В соответствии с поправками к КоАП предлагается установить штрафы до 15 млн рублей за утечку персональных данных, а при повторном правонарушении – оборотный штраф в размере до 500 млн рублей. Этот законопроект затрагивает и облачных провайдеров, и их клиентов, которые держат системы хранения и обработки персональных данных в облаках.
С увеличением штрафов за утечки ПДх операторам необходимо более тщательно подойти к реализации безопасности своих ИТ-систем и управлению рисками. И здесь, как ни парадоксально, им помогают сами поставщики облачных услуг, т.к. представители облачных провайдеров следуют передовым международным практикам для обеспечения конфиденциальности и безопасности данных, ведь от этого зависит развитие их бизнеса и репутация, и именно они в первую очередь мотивированы сделать предоставляемые сервисы максимально безопасными. Это значит, что у операторов персданных (клиентов облачных структур) уже имеется мощная защита ИТ-инфраструктуры, обеспеченная самими облачными провайдерами.
Напомним, что размещение инфраструктуры клиента в облаке разделяет зоны ответственности и безопасности для рабочих нагрузок между поставщиком облачных служб и пользователем сервисов. Представители отдела безопасности клиента должны понимать эту модель разделения ответственности, чтобы адаптировать свои процессы, инструменты и подходы ИБ с учетом особенностей облаков.
Большинство крупных поставщиков облачных сервисов имеют сертификаты и аккредитации на соответствие ИТ- инфраструктуры стандартам безопасности, которые требуются различным отраслями бизнеса для возможности осуществления деятельности. Однако пользователь несет самостоятельно ответственность за сохранность данных в приложениях и инфраструктуре, которые он сконфигурировал. Если данные попадут в руки злоумышленников, перед Роскомнадзором отвечать будет не провайдер, а оператор, то есть бизнес.
При обработке и хранении персональных данных в облаке клиенту нужно убедиться в надежности провайдера. В этом могут помочь общепринятые регламенты и стандарты, а также соответствие мер безопасности законодательству РФ, которые мы рассмотрим ниже.
________________________________________
Основные общепринятые стандарты
GDPR (General Data Protection Regulation). Генеральный регламент о защите данных (General Data Protection Regulation, GDPR), который регулирует сбор и обработку информации о физических лицах-гражданах Европейской экономической зоны. Он призван усилить защиту конфиденциальных данных и сделать прозрачными сбор, хранение и обработку информации в интернете.
ISO/IEC. Требования стандартов Международной организации по стандартизации (ISO) и Международной электротехнической комиссии (IEC).
• Стандарт ISO/IEC 27001 содержит требования к СУИБ: ее внедрению, поддержанию и непрерывному улучшению. Следование рекомендациям ISO/IEC 27001 помогает организациям обеспечить высокий уровень защиты основных информационных активов.
• Стандарт ISO/IEC 27017 включает набор практических рекомендаций по обеспечению информационной безопасности для облачных провайдеров. Эти рекомендации дополняют требования по реализации системы управления ИБ, изложенные в стандарте ISO/IEC 27001, и разработаны для провайдеров облачных сервисов.
• Стандарт ISO/IEC 27018 выдвигает требования к защите ПДн при их обработке провайдерами облачных сервисов. В стандарте изложены практические рекомендации по обеспечению ИБ для защиты личной информации клиентов. Эти рекомендации дополняют требования базового стандарта — ISO/IEC 27001.
PCI DSS. Стандарт содержит требования для защиты данных платежных карт. Они обязательны и распространяются на все компании, обрабатывающие данные Visa, MasterCard, American Express, JCB, МИР и других платежных систем.
Соответствие облачной инфраструктуры требованиям PCI DSS позволяет клиентам использовать облачные сервисы для обработки данных платежных карт и подтверждает высокий уровень безопасности.
PCI PIN Security. Стандарт индустрии платежных карт, который определяет требования, разработанные для безопасной обработки и передачи PIN-кодов, а также управления криптографическими ключами, используемыми для защиты PIN-кодов.
PCI 3-D Secure (PCI 3DS). Этот стандарт определяет требования к инфраструктуре, обеспечивающей прием платежей с использованием протокола 3-D Secure. Протокол реализует дополнительный запрос на подтверждение операции по карте. Такие компоненты протокола как Access Control Server (3DS Server или Directory Server) обычно расположены на стороне банка-эмитента карты.
Программа Security, Trust & Assurance Registry (STAR). STAR – общедоступный реестр, в котором документируются элементы управления безопасностью и конфиденциальностью, предоставляемые популярными предложениями облачных вычислений. Программа разработана CSA (Cloud Security Alliance) – международной инициативой объединения облачной безопасности для оценки безопасности облачных провайдеров.
________________________________________
Стандарты и законодательство РФ в отношении средств защиты
Федеральный закон Российской Федерации «О персональных данных» № 152-ФЗ. Федеральный закон затрагивает все виды деятельности, касающиеся обработки и использования информации, имеющей отношение к конкретному физическому лицу. Сюда входят ФИО, адрес, телефон, фотография и другие данные. Таким образом, под действие закона подпадают, например, различные организации, у которых хранится информация о клиентах, а также сайты, собирающие данные посетителей.
Закон ФЗ-152 делает оператора данных полностью ответственным за всё, что происходит с персональными данными. Это касается даже тех случаев, когда информация попадает к другим лицам для обработки данных или в результате утечки. Так что хранить персональную информацию можно только на защищенных серверах.
Уровни защиты делятся на 4 категории:
• УЗ-1 — самый высокий уровень защиты для специальных данных, использование которых во вред может нанести серьезный ущерб. Сюда может относиться информация о расовой и национальной принадлежности, о политических и религиозных взглядах, состоянии здоровья и др.
• УЗ-2 — данный уровень защиты необходим, чтобы хранить биометрические данные. Для обеспечения такого УЗ необходимо регулярное резервное копирование и системы защиты от взлома.
• УЗ-3 — предназначен для хранения всех иных данных. Здесь хватит ограничения доступа к месту хранения.
• УЗ-4 — наименее строгий уровень. На серверах с УЗ-4 можно хранить общедоступные данные. Для обеспечения безопасности хватит простого антивируса.
ГОСТ Р 57580.1-2017. Национальный стандарт безопасности банковских и финансовых операций. Стандарт предлагает комплексный подход к формированию процесса защиты информации в финансовых организациях, а также содержит требования к защите информации на всех этапах жизненного цикла автоматизированных систем и приложений, используемых компаниями и банками. Стандарт определяет обязанность применять меры защиты информации для кредитных и некредитных финансовых организаций.
Соответствие сервисов облачной платформы требованиям данного стандарта помогает организациям, размещающим в облаке свои системы и приложения, выполнить требования Центрального Банка (определены в положениях Банка России 683-П и 684-П) и обеспечить соответствие стандарту на стороне своих систем, развернутых в облаке.
Единый реестр российских программ для электронных вычислительных машин и баз данных. Реестр, созданный в соответствии со статьей 12.1 Федерального закона «Об информации, информационных технологиях и о защите информации», по основному классу 02.05 «Средства обеспечения облачных и распределенных вычислений, средства виртуализации и системы хранения данных» и дополнительным классам «02.09 Системы управления базами данных», «04.07 Лингвистическое программное обеспечение», «04.13 Системы сбора, хранения, обработки, анализа, моделирования и визуализации массивов данных».
Включение в Реестр подтверждает, что провайдер и отдельные его сервисы перечисленных выше классов являются российской разработкой, что может являться преимуществом для организаций, где предъявляются повышенные требования к использованию отечественного программного обеспечения.
Также важно иметь процессы/решения для регулярной оценки систем ИБ и принятия любых необходимых мер для обеспечения соответствия регламентам и стандартам. Существуют готовые продукты, которые позволяют непрерывно сканировать всю инфраструктуру в облаке, получать структурированную информацию о рисках и уязвимостях и вовремя их устранять.
Наша компания одна из первых на российском рынке разработала продукт NeoCAT, который помогает комплексно управлять безопасностью в облаке. Продукт позволяет непрерывно сканировать, выявлять, а также устранять риски безопасности облачной инфраструктуры и приложений без необходимости установки агентов и передачи данных вне облака. Он запускается в облаке клиента всего за 10 мин и сразу же отображает всю информацию о рисках безопасности инфраструктуры, а также уязвимостях ПО в режиме единого окна. Решение также инвентаризирует все ресурсы в облаке и оповещает о проблемах безопасности каждого.
Что важно, решение имеет широкую и регулярно пополняемую базу проверок, основанную на мировых и федеральных стандартах и законах безопасности ПДн. Таким образом, NeoCAT можно использовать как техническое средство обеспечения безопасности данных в соответствии с общепринятыми и федеральными требованиями законодательства и регуляторов в части безопасности.
Выводы
Чтобы обеспечить безопасность конфиденциальных данных, организациям необходимо понимать отраслевые нормы и стандарты, применимые к облачным хранилищам. Соответствие требованиям и стандартам помогает обеспечить безопасность и конфиденциальность данных, таких как финансовые данные, PCI или личную информацию. А также регламентирует ответственность сторон-участников (поставщика облачных услуг и клиента).
При развертывании бизнес-систем в облаках обязательным регламентом по безопасности в России в 2023 году является Федеральный закон Российской Федерации «О персональных данных» № 152-ФЗ. Однако только его применение при использовании облачных структур недостаточно для обеспечения гарантированной безопасности ваших учетных данных. Только в совокупности нескольких или всех перечисленных стандартов и требований можно обеспечить удовлетворительную или гарантированную безопасность облачных систем.
Выбирая облачного провайдера, убедитесь, что он соблюдает обязательные, желательно и дополнительные, стандарты и регламенты. Именно соблюдение обязательных и общепринятых законов и требований поможет вашей компании избежать штрафов и юридической ответственности, которые в настоящее время только ужесточаются.
Узнать подробнее о продукте для защиты облачной инфраструктуры компаний: