В последнее время часто поднимаются вопросы о возможности обработки и защиты персональных данных в «облаках» в соответствии с ФЗ №152 «О персональных данных». Всё это зачастую напоминает обсуждение мифов, поэтому рискну изложить свой взгляд на проблему защиты ИСПДн в облаках и попробую ответить на основные вопросы.
Примерный список вопросов таков:
- Можно ли, в принципе, размещать информационные системы персональных данных (ИСПДн) в «облаке» с учетом требований регулирующих органов по защите информации?
- Какими свойствами должно обладать «облако», чтобы его можно было использовать для построения информационных систем персональных данных (ИСПДн)?
- Что необходимо учесть оператору ПДн, решившему перенести свои информационные ресурсы в «облако»?
- Возможно ли аттестовать ИСПДн, размещенную в публичном «облаке»?
- Какие задачи по обеспечению ИБ возлагаются на облачного провайдера?
- Какие существуют гарантии того, что конкурент, размещенный в том же «облаке» по соседству, надежно отделен и не сможет атаковать, находясь внутри «облака»?
- От чего зависит ИСПДн какого класса можно построить в конкретном «облаке»?
В настоящий момент я активно работаю в направлении защиты Виртуального дата-центра КРОК в части возможности размещения в нем нашими заказчиками информационных систем персональных данных, поэтому хотелось бы поделиться идеями и опытом, наработанными в этом направлении.
Сразу отмечу, что акцент будет делаться преимущественно на технической стороне соответствия облачных ИСПДн требованиям регулирующих органов: организационные аспекты защиты останутся несколько в стороне.
Я основываюсь на практических наработках, полученных в рамках реализуемого в настоящий момент подхода к защите Виртуального дата-центра КРОК.
Вводная
Предположим, ставится задача построить распределенную ИСПДн, одна часть которой размещается на площадке самой организации, а другая — в «облаке» некоторого провайдера. Автоматизированные рабочие места (АРМ) пользователей размещаются в офисе организации, а серверные компоненты и база данных с персональными данными находятся в «облаке». Само «облако» находится на территории РФ. Вот так это выглядит:
Можно выделить три основных элемента, подлежащих защите:
- Совокупность АРМ пользователей на стороне организации;
- Канал связи между офисом организации и облаком (Интернет);
- Совокупность виртуальных машин в «облаке», на которых функционирует серверное ПО соответствующей ИСПДн.
FAQ
— Что нужно с точки зрения технических мер защиты такой ИСПДн?
Для устранения угроз информационной безопасности принципиальным моментом является необходимость использования сертифицированных средств защиты в отношении каждого из трех обозначенных выше элементов.
— Какие основные направления угроз необходимо учесть при построении системы защиты ИСПДн?
Основные источники угроз для элементов распределенной ИСПДн:
1. Внутренние пользователи организации, реализующие атаки на ресурсы ИСПДн, размещенные на площадке самой организации.
2. Внешние злоумышленники, реализующие атаки на ресурсы ИСПДн, размещенные на площадке организации.
Угрозы этих двух пунктов должны предотвращаться самой организацией с использованием сертифицированных средств защиты рабочих станций и сетевого окружения.
3. Внешние злоумышленники, атакующие канал связи снаружи с целью перехвата или искажения сетевого трафика ИСПДн.
Эта часть задачи решается использованием сертифицированных средств криптографической защиты сетевого трафика. Они могут предоставляться в виде ИБ-сервисов облачного провайдера.
4. Персонал облачного провайдера, обслуживающий компоненты облака.
Здесь нужны сертифицированные средства разграничения прав доступа персонала к ресурсам облачной платформы, которые могут быть интегрированы в саму платформу. Ещё могут использоваться сертифицированные средства защиты, разворачиваемые на серверных компонентах ИСПДн.
5. Внешние злоумышленники, реализующие атаки из-за пределов ЦОД облачного провайдера на ресурсы «облака» и, соответственно, на ресурсы ИСПДн, размещенные в «облаке».
Здесь также нужны сертифицированные средства защиты, которые могут как предоставляться в качестве сервиса безопасности клиенту «облака», так и являться инструментом защиты самого «облака» от внешних угроз. Плюс могут использоваться сертифицированные средства защиты, разворачиваемые на серверных компонентах ИСПДн.
6. Соседи по «облаку», которые используют слабые места платформы для атаки из своей облачной среды
Справиться с этой угрозой помогут средства разграничения ресурсов облачной платформы между заказчиками. Они также нуждаются в сертификации.
Иллюстрация соответствующих принципов защиты приведена на следующем рисунке:
— Можно ли, в принципе, размещать ИСПДн в «облаке» с учетом требований регулирующих органов по защите информации?
Да, при соблюдении существующих технических требований регулирующих органов. Очевидно, что, основное требование – это, опять же, сертификация средств защиты.
— Какими свойствами должно обладать «облако», чтобы его можно было использовать для построения информационных систем персональных данных?
Помимо разграничения ресурсов заказчиков, контроля обслуживающего персонала, защиты от внешних угроз, о которых уже было сказано, важен еще один момент. Поскольку «облака» строятся на основе платформ виртуализации, автоматически возникает необходимость использования сертифицированных гипервизоров при их построении.
— Что необходимо учесть при принятии решения о переносе информационных ресурсов в «облако»?
Проверить сертификацию компонентов защиты «облака», уточнить, какие есть сервисы для защиты именно персональных данных (пройтись по списку источников угроз выше как по чеклисту).
— Можно ли аттестовать ИСПДн, размещенную в публичном «облаке»?
В настоящий момент (с существующей нормативной базой) невозможно аттестовать ИСПДн, размещенную в публичном «облаке» по соседству с ресурсами других клиентов. Это связано с тем, что существующая нормативная база предписывает аттестовывать объект информатизации (фактически – это ЦОД/ЦОДы облачного провайдера). Это предполагает фиксацию используемого оборудования в рамках конкретного аттестата конкретной ИСПДн. Но в контексте облачных вычислений это невозможно, поскольку сама технология «облаков» предполагает использование одних и тех же аппаратно-программных ресурсов различными клиентами. При этом видимых ограничений по аттестации частного «облака» нет, поскольку можно выделить конкретный объект (или объекты) информатизации, находящийся в обслуживании конкретной организации, в том числе – внешней.
— Какие задачи по обеспечению ИБ возлагаются на облачного провайдера?
- Предоставить комплекс организационно-технических мер защиты, позволяющий обеспечить клиентам невозможность реализации угроз со стороны обслуживающего персонала и со стороны других клиентов, расположенных по соседству в «облаке».
- Предоставить сервисы безопасности (на основе сертифицированных средств защиты), которые могут быть использованы клиентами, размещающими свои ИСПДн в «облаке».
— Какие существуют гарантии того, что конкурент, размещенный в том же «облаке» по соседству, надежно отделен и не сможет атаковать, находясь внутри «облака»?
По сути, это достигается сертификацией механизмов виртуализации: гипервизора вычислительных ресурсов, системы управления виртуализованной сетью передачи данных, платформы виртуализации системы хранения данных.
— От чего зависит, ИСПДн какого класса можно построить в конкретном «облаке»?
От ограничений, указанных в сертификатах средств защиты «облака» с точки зрения нормативов.
Резюмируя, хочется отметить, что важным моментом с точки зрения размещения ИСПДн в «облаке» является его сертификация, т.е. наличие сертификатов на различные элементы «облака», реализующие функции защиты (гипервизор, средства защиты, интегрированные в облако, средства защиты, предлагаемые клиентам как сервисы безопасности). В настоящий момент мной и моими коллегами разворачиваются сервисы безопасности облака КРОК на базе сертифицированных средств защиты и есть планы по сертификации других компонентов облачной платформы в ближайшее время.