cloud and russian regulation
TRANSCRIPT
Облака и российское
законодательство
Лукацкий Алексей, менеджер по развитию бизнеса
Почему Cisco говорит о законодательстве?
ТК22 ТК122 ТК362 КЦ
АРБ
РГ
ЦБ
«Безопасность
ИТ» (ISO SC27 в
России)
«Защита
информации в
кредитных
учреждениях»
«Защита
информации»
при ФСТЭК
Консультации
банков по
вопросам ПДн
Разработка
рекомендаций по
ПДн и СТО БР
ИББС v4
ФСБ МКС НАУФОР Дума PCI
Экспертиза
документов Предложения Отраслевой
стандарт
Экспертиза
документов
Advisory
Board
БЕЗОПАСНОСТЬ ОБЛАКА
Сложности внедрения облачных технологий
36
30
23
23
20
19
18
18
16
19
0 5 10 15 20 25 30 35 40
Вопросы цены
Безопасность и privacy
Нет нужных приложений
Вопросы интеграции
Сложное ценообразование
Зависимость от текущего …
Слабый каналы связи
Слабая кастомизация
Производительность
Другое
Почему вы не думаете об аутсорсинге?
Источник: Forrester Research
Критерии выбора облачного провайдера
• Финансовая устойчивость облачного провайдера
• Клиентская база
• Архитектура
– SaaS, Paas, IaaS
• Безопасность и privacy
• Отказоустойчивость и резервирование
• Планы развития новых функций
Если вы решились
• Стратегия безопасности облачных вычислений
– Пересмотрите свой взгляд на понятие «периметра ИБ»
– Оцените риски – стратегические, операционные, юридические
– Сформируйте модель угроз
– Сформулируйте требования по безопасности
– Пересмотрите собственные процессы обеспечения ИБ
– Проведите обучение пользователей
– Продумайте процедуры контроля облачного провайдера
– Юридическая проработка взаимодействия с облачным
провайдером
• Стратегия выбора аутсорсера
– Чеклист оценки ИБ облачного провайдера
Выбор аутсорсера с точки зрения ИБ
• Защита данных и обеспечение privacy
• Управление уязвимостями
• Управление identity
• Объектовая охрана и персонал
• Доступность и производительность
• Безопасность приложений
• Управление инцидентами
• Непрерывность бизнеса и восстановление после катастроф
• Ведение журналов регистрации (eDiscovery)
• Сompliance
• Финансовые гарантии
• Завершение контракта
• Интеллектуальная собственность
Технический compliance: требований много
Законодательный compliance: пока есть вопросы
• Защита конфиденциальной информации
– Обеспечение конфиденциальности
– Уведомление о фактах утечки
– Оказание услуг в области шифрования
– Деятельность по технической защите конфиденциальной
информации
– Обеспечение безопасности
• Местоположение данных
• Защита прав субъектов персональных данных
• Защита интеллектуальной собственности
• Обеспечение СОРМ
• Сбор и хранение данных для судебных разбирательств
(eDiscovery)
• Юрисдикция и ответственность
ЧАСТНОЕ ИЛИ ПУБЛИЧНОЕ?
Типы облаков с точки зрения compliance
Частное
• Управляется организацией или третьим лицом
• Обеспечение безопасности легко реализуемо
• Вопросы законодательного регулирования легко решаемы
Публичное (локальное)
• Управляется одним юридическим лицом
• Обеспечение безопасности реализуемо средними усилиями
• Вопросы законодательного регулирования решаемы средними усилиями
Публичное (глобальное)
• Управляется множеством юридических лиц
• Требования по безопасности различаются в разных странах
• Законодательные требования различаются в разных странах
Рост нормативных требований в зависимости от «типа»
облака
Облако само по себе
Облако обрабатывает информацию ограниченного доступа
Облако предоставляет услуги по защите
ОБЛАКО САМО ПО СЕБЕ
Мнение Минкомсвязи
• «Помимо этого сервер, предоставляющий услугу облачных
вычислений, должен находиться в России. В какой-то
степени такие условия осложняют жизнь хостерам, потому
что придется взаимодействовать с такими службами, как
ФТЭК и ФСБ, но надо с чего-то начинать. Это необходимо
сделать, чтобы облачные платформы в будущем имели
возможность нормальной работы не только с госорганами,
но и с другими структурами»
– Илья Массух, советник министра связи и массовых
коммуникаций на конференции «Защита персональных
данных», 27 октября 2011 года
Облака заказали?
• Заказ Минкомсвязи №0173100007511000043
– Разработка предложений по созданию системы персональной
идентификации граждан в целях безопасного доступа к
государственным и муниципальным сервисам в электронном
виде
– Разработка системы правил обеспечения защиты прав
субъектов персональных данных при использовании облачных
вычислений, в том числе, трансграничных
– Исследование вопроса построения облачных трансграничных
систем хранения данных для предоставления услуг хостинга
интернет-сайтов и их влияния на национальную безопасность
страны
• Максимальный срок выполнения работ – 5 дней
• Требования к участника – лицензии ФСБ и ФСТЭК
Облака заказали?
• Разработка предложений по нормативным и организационным
мерам защиты частной жизни субъектов персональных данных
и обеспечения безопасности персональных данных при их
обработке в информационных системах Азиатско-
Тихоокеанского экономического сотрудничества (АТЭС),
использующих технологию облачных вычислений, в том числе
трансграничных
• Целью работы является всестороннее изучение особенностей
построения облачных трансграничных систем хранения данных
для предоставления услуг хостинга интернет-сайтов, их
топологии, а также возможностей облачного хостинга в части
безопасности, отказоустойчивости и блокировки доступа к
определенным Интернет-ресурсам на основании
сравнительного анализа российских и зарубежных сервисов
ОБЛАКО ОБРАБАТЫВАЕТ
ЗАЩИЩАЕМЫЕ СВЕДЕНИЯ
Виды защищаемой информации
• 65 видов тайн в
российском
законодательстве
• Персональные
данные
• Коммерческая тайна
• Банковская тайна
• Тайна переписки
• Инсайдерская
информация
В облака отдают конфиденциальную информацию!
• Управление предприятием (ERP)
• Поддержка пользователей (Service Desk)
• Управление контентом
• Управление персоналом (HRM)
• Управление заказами (ORM)
• Управление затратами и поставщиками (SRM)
• Унифицированные коммуникации
• Управление проектами
• Управление цепочками поставок (SCM)
• Управление электронной почтой и мгновенными сообщениями
• Биллинг
• Пользовательские приложения
Обеспечение конфиденциальности
• Инфраструктура хранения данных в облаке общая
• Требуется обеспечить конфиденциальность для данных каждого
владельца данных, обрабатываемых в облаке, и не дать им
перемешиваться с другими
• Конфиденциальность достигается различными техническими и
организационными мерами
Интеллектуальная собственность
• Какие виды интеллектуальной собственности могут
обрабатываться в облаке?
– Приложения (программы для ЭВМ) и базы данных
– Телевизионное вещание (IPTV)
– Секреты производства (ноу-хау)
– Промышленная собственность (изобретения и т.п.)
– Средства индивидуализации (товарные знаки и т.п.)
• Что с защитой интеллектуальной собственности?
– А она у вас оценена?
• Введен ли режим коммерческой тайны для секретов
производства?
СОРМ
• Регулирование
– Постановление Правительства Российской Федерации от 27 августа
2005 г. № 538 «Об утверждении Правил взаимодействия
операторов связи с уполномоченными государственными органами,
осуществляющими оперативно-разыскную деятельность»
– Приказ Мининформсвязи от 16 января 2008 г. № 6 «Об утверждении
требований к сетям электросвязи для проведения оперативно-
разыскных мероприятий. Часть I. Общие требования»
– Приказ Минкомсвязи от 27.05.2010 г. № 73 «Об утверждении
Требований к сетям электросвязи для проведения оперативно -
разыскных мероприятий. Часть II. Требования к сетям передачи
данных»
• Все зависит от типа облачных вычислений
– Для Webex (видео- и Web-конференции) требования СОРМ нет
– Для облачной почты такие требования есть
Юрисдикция или кому подчиняется ваше облако?
• Американские компании, действующие на территории других стран
остаются подотчетными американскому законодательству и
требованиям американских регуляторов
– Американские регуляторы могут затребовать любые данные у
американского облачного провайдера (Google, Oracle,
Microsoft/Skype и т.д.) без согласования с пользователем
облачных услуг
ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ
ПО ЗАЩИТЕ
Требования ФСТЭК
СТР-К
Ключевые системы
Персональные данные
Коммерческая тайна
«Служебная тайна» (СТР-К)
РД
МСЭ, СВТ…
АС
15408
Требования по защите
разных видов тайн
Требования к
разработке
средств защиты
Требования к
функциональности
средств защиты
Требования Банка России
СТО
Общие положения
1.0-2010
v4
Аудит ИБ 1.1-2007
v1
Методика оценки
соответствия 1.2-2010
v3
РС
Рекомендации по
документации в области ИБ
2.0-2007 v1
Руководство по самооценке
соответствия ИБ
2.1-2007 v1
Методика оценки рисков
2.2-2009 v1
Требования по ИБ ПДн 2.3-2010
v1
Отраслевая частная
модель угроз безопасности
ПДн 2.4-2010
v1
• Применяются не только к банкам
• Планируется накрытие этими требованиями всех участников Национальной платежной системы (НПС)
Требования во многом схожи
•Разграничение доступа (+ управление потоками)
•Идентификация / аутентификация
•Межсетевое взаимодействие
•Регистрация действий
•Учет и маркировка носителей (+ очистка памяти)
•Документальное сопровождение
•Физический доступ
•Контроль целостности
•Тестирование безопасности
•Сигнализация и реагирование
•Контроль целостности
•Защита каналов связи
•Обнаружение вторжений
•Антивирусная защита
•BCP
•Защита от утечки по техническим каналам
Общие
•Защита специфичных процессов (биллинг, АБС, PCI…)
•Защита приложений (Web, СУБД…)
•Нестандартные механизмы (ловушки, стеганография) Специфичные
Разная ответственность за защиту для разных архитектур
облаков
IaaS
Провайдер
Заказчик
VMs/Containers
ОС/Приложения
Данные
PaaS
Приложения
Провайдер
Заказчик Данные
SaaS
Провайдер
• Не все существующие требования регуляторов по ИБ могут быть реализованы в современной инфраструктуре облачного провайдера (например, в контексте виртуализации)
Некоторые особенности
Легитимный ввоз криптографии в соответствие
с правилами Таможенного союза
Использование легитимной криптографии
Сертификация (оценка соответствия) средств
защиты
Аттестация ЦОДов по требованиям ИБ
Лицензирование деятельности по защите
информации и по оказанию услуг в области
шифрования
О РОЛИ ПОСРЕДНИКА
О посредниках
• Облачный провайдер становится неотъемлемой частью
инфраструктуры (системы) заказчика облачных услуг
• При любом аудите (PCI DSS, ISO 27001, СТО БР ИББС и т.д.)
аудитор должен будет проверить выполнение требований,
применимых к заказчику облачных услуг и у самого облачного
провайдера
– Облачный провайдер готов к этому?
– В договоре с облачным провайдером это прописано?
• Аудитор контролирует и подразделение облачного заказчика,
ответственное за ИБ, и провайдера, оказывающего услугу
– Кто-то вообще ничего не контролирует
– Кому-то достаточно посмотреть, что между банком и вами ходят
бумажки с заявками
– Кто-то хочет детально все проверять
Пример СТО Банка России
• СТО БР ИББС 1.2
– М19.1 Определены ли в документах организации процедуры
мониторинга СОИБ и контроля защитных мер, которые
охватывают все реализованные и эксплуатируемые защитные
меры, входящие в СИБ, проводятся персоналом организации,
ответственным за обеспечение ИБ?
– М19.2 Фиксируются ли документально результаты выполнения
процедур мониторинга СОИБ и контроля защитных мер?
– М19.3 Определены ли в документах организации и выполняются
ли процедуры сбора и хранения информации о действиях
работников организации, событиях и параметрах, имеющих
отношение к функционированию защитных мер?
– И т .д.
Пример СТО Банка России
• Как проконтролировать выполнение этих мер в облаке?
– Банк вынужден требовать от исполнителя некоторых гарантий,
которые позволят ему выполнять свои обязанности в части
внутреннего контроля над информационными потоками
• Как аудитор получит доступ к провайдеру облачных услуг,
находящемуся заграницей?
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Персональные данные
• Хранение – это одна из форма обработки
• Трансграничные потоки персональных данных
• Адекватный уровень защиты
• В разных странах Евросоюза могут быть разные требования по
защите персональных данных
– В целом они похожи, но могут быть исключения и отличия
• Согласие на передачу ПДн клиентов/сотрудников облачного
заказчика облачному провайдеру
• Требования ФЗ-152 применяются, в основном, к операторам ПДн,
а не к обработчикам
– Облачный провайдер – это обработчик в терминологии
Европейской Конвенции
– По ФЗ-152 это лицо, осуществляющее обработку персональных
данных по поручению оператора
Субъект ПДн
Требования меняются в зависимости от статуса
Оператор ПДн Обработчик ПДн
Субъект ПДн Обработчик ПДн Оператор ПДн
Облачный провайдер – обработчик ПДн
• Условия обработки ПДн в облаке (должны быть прописаны в
договоре между облачным заказчиком и провайдером)
– Указание перечня действий (операций) с ПДн, которые будут
совершаться обработчиком и цели обработки
– Обеспечение конфиденциальность ПДн
– Обеспечение безопасности ПДн при их обработке
– Требования к защите обрабатываемых ПДн в соответствие с
ст.19 ФЗ-152
• Обработчик не обязан получать согласие субъекта ПДн
• Ответственность перед субъектом за действия обработчика все
равно несет оператор
– Обработчик несет ответственность перед оператором
Трансграничная передача данных
• Трансграничная передача персональных данных на территории
иностранных государств, являющихся сторонами Конвенции
Совета Европы о защите физических лиц при автоматизированной
обработке персональных данных, а также иных иностранных
государств, обеспечивающих адекватную защиту прав субъектов
персональных данных осуществляется в соответствие с ФЗ-152
– Перечень «неадекватных» определяет Роскомнадзор
– Вместе с тем…одним из критериев оценки государства в данном
аспекте может выступать факт ратификации им Конвенции…
• Сторона не должна запрещать или обусловливать специальным
разрешением трансграничные потоки персональных данных,
идущие на территорию другой Стороны, с единственной целью
защиты частной жизни
– Евроконвенция
Страны, обеспечивающие адекватность
• Ратифицировавшие Евроконвенцию
– Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия,
Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва,
Люксембург, Мальта, Нидерланды, Польша, Португалия,
Румыния, Словакия, Словения, Финляндия, Франция, Чехия,
Швеция, Эстония
• Страны, имеющие общенациональные нормативные правовые
акты в области защиты ПДн и уполномоченный надзорный орган
по защите прав субъектов ПДн
– Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн,
Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная
Корея, Япония
Условия передачи в неадекватные страны
• Письменное согласие на трансграничную передачу
• Наличие международного договора, подписанного Россией
• Наличие федеральных законов
• Исполнение договора, стороной которого является субъект ПДн
• Защита жизни, здоровья и иных жизненно важных интересов
субъекта ПДн или других лиц
ОБЛАКО БЕЗОПАСНОСТИ
Непростые вопросы
• Безопасность персональных данных при их обработке в
информационной системе обеспечивает оператор или лицо,
которому на основании договора оператор поручает обработку
персональных данных
– Постановление Правительства от 17.11.2008 №781
• ФЗ-128 «О лицензировании отдельных видов деятельности»
• Деятельность по технической защите конфиденциальной
информации
– Постановление Правительства от 15.08.2006 №504 «О
лицензировании деятельности по технической защите
конфиденциальной информации»
• Деятельность в области шифрования
– Постановление Правительства от 29.12.2007 № 957 «О
лицензировании отдельных видов деятельности, связанных с
шифровальными (криптографическими) средствами»
Теория и практика
• Иностранное юридическое лицо (облачный провайдер) имеет
возможность получить соответствующие лицензии ФСТЭК и ФСБ
– В теории
• Для получения лицензии требуются
– копии документов, подтверждающих квалификацию специалистов
по защите информации
– копии документов, подтверждающих право собственности на
помещения, предназначенные для осуществления лицензируемой
деятельности
– копии аттестатов соответствия защищаемых помещений
требованиям безопасности информации
– сведения о наличии производственного и контрольно-
измерительного оборудования
• Вопрос о наказании и блокировании предоставления услуг
иностранным облачным провайдером остается открытым
ПОДВОДЯ ИТОГИ
Что все это значит для вас?!
• Технически облако может быть эффективно защищено с
помощью технологий Cisco
• В настоящий момент вопросы законодательного регулирования
облачных вычислений находятся только в начале своего
развития
• На законодательном уровне наиболее просто решаются вопросы
регулирования частных облаков
• Наиболее сложный вопрос – публичное глобальное облако
– Разные юрисдикции, разные законы, разные требования по
защите
• Россия готовит ряд нормативных актов, регулирующих облачные
вычисления
– Основной акцент на национальную безопасность
• Ключевой вопрос – что прописано в договоре?!
Хотите узнать больше?
Спасибо! Просим Вас заполнить анкеты. Ваше мнение очень важно для нас.