2. Почему Cisco говорит о законодательстве?
КЦ РГ
ТК22 ТК122 ТК362
АРБ ЦБ
«Безопасность «Защита «Защита Консультации Разработка
ИТ» (ISO SC27 в информации в информации» банков по рекомендаций по
России) кредитных при ФСТЭК вопросам ПДн ПДн и СТО БР
учреждениях» ИББС v4
ФСБ МКС НАУФОР Дума PCI
Экспертиза Отраслевой Экспертиза Advisory
документов Предложения стандарт документов Board
4. Сложности внедрения облачных технологий
Почему вы не думаете об аутсорсинге?
Другое 19
Производительность 16
Слабая кастомизация 18
Слабый каналы связи 18
Зависимость от текущего… 19
Сложное ценообразование 20
Вопросы интеграции 23
Нет нужных приложений 23
Безопасность и privacy 30
Вопросы цены 36
0 5 10 15 20 25 30 35 40
Источник: Forrester Research
5. Критерии выбора облачного провайдера
• Финансовая устойчивость облачного провайдера
• Клиентская база
• Архитектура
– SaaS, Paas, IaaS
• Безопасность и privacy
• Отказоустойчивость и резервирование
• Планы развития новых функций
6. Если вы решились
• Стратегия безопасности облачных вычислений
– Пересмотрите свой взгляд на понятие «периметра ИБ»
– Оцените риски – стратегические, операционные, юридические
– Сформируйте модель угроз
– Сформулируйте требования по безопасности
– Пересмотрите собственные процессы обеспечения ИБ
– Проведите обучение пользователей
– Продумайте процедуры контроля облачного провайдера
– Юридическая проработка взаимодействия с облачным
провайдером
• Стратегия выбора аутсорсера
– Чеклист оценки ИБ облачного провайдера
7. Выбор аутсорсера с точки зрения ИБ
• Защита данных и обеспечение privacy
• Управление уязвимостями
• Управление identity
• Объектовая охрана и персонал
• Доступность и производительность
• Безопасность приложений
• Управление инцидентами
• Непрерывность бизнеса и восстановление после катастроф
• Ведение журналов регистрации (eDiscovery)
• Сompliance
• Финансовые гарантии
• Завершение контракта
• Интеллектуальная собственность
9. Законодательный compliance: пока есть вопросы
• Защита конфиденциальной информации
– Обеспечение конфиденциальности
– Уведомление о фактах утечки
– Оказание услуг в области шифрования
– Деятельность по технической защите конфиденциальной
информации
– Обеспечение безопасности
• Местоположение данных
• Защита прав субъектов персональных данных
• Защита интеллектуальной собственности
• Обеспечение СОРМ
• Сбор и хранение данных для судебных разбирательств
(eDiscovery)
• Юрисдикция и ответственность
11. Типы облаков с точки зрения compliance
Публичное Публичное
Частное
(локальное) (глобальное)
• Управляется • Управляется одним • Управляется
организацией или юридическим множеством
третьим лицом лицом юридических лиц
• Обеспечение • Обеспечение • Требования по
безопасности легко безопасности безопасности
реализуемо реализуемо различаются в
• Вопросы средними разных странах
законодательного усилиями • Законодательные
регулирования • Вопросы требования
легко решаемы законодательного различаются в
регулирования разных странах
решаемы
средними
усилиями
12. Рост нормативных требований в зависимости от «типа»
облака
Облако само по себе
Облако обрабатывает
информацию
ограниченного доступа
Облако предоставляет
услуги по защите
14. Мнение Минкомсвязи
• «Помимо этого сервер, предоставляющий услугу облачных
вычислений, должен находиться в России. В какой-то
степени такие условия осложняют жизнь хостерам, потому
что придется взаимодействовать с такими службами, как
ФТЭК и ФСБ, но надо с чего-то начинать. Это необходимо
сделать, чтобы облачные платформы в будущем имели
возможность нормальной работы не только с госорганами,
но и с другими структурами»
– Илья Массух, советник министра связи и массовых
коммуникаций на конференции «Защита персональных
данных», 27 октября 2011 года
15. Облака заказали?
• Заказ Минкомсвязи №0173100007511000043
– Разработка предложений по созданию системы персональной
идентификации граждан в целях безопасного доступа к
государственным и муниципальным сервисам в электронном
виде
– Разработка системы правил обеспечения защиты прав
субъектов персональных данных при использовании облачных
вычислений, в том числе, трансграничных
– Исследование вопроса построения облачных трансграничных
систем хранения данных для предоставления услуг хостинга
интернет-сайтов и их влияния на национальную безопасность
страны
• Максимальный срок выполнения работ – 5 дней
• Требования к участника – лицензии ФСБ и ФСТЭК
16. Облака заказали?
• Разработка предложений по нормативным и организационным
мерам защиты частной жизни субъектов персональных данных
и обеспечения безопасности персональных данных при их
обработке в информационных системах Азиатско-
Тихоокеанского экономического сотрудничества (АТЭС),
использующих технологию облачных вычислений, в том числе
трансграничных
• Целью работы является всестороннее изучение особенностей
построения облачных трансграничных систем хранения данных
для предоставления услуг хостинга интернет-сайтов, их
топологии, а также возможностей облачного хостинга в части
безопасности, отказоустойчивости и блокировки доступа к
определенным Интернет-ресурсам на основании
сравнительного анализа российских и зарубежных сервисов
18. Виды защищаемой информации
• 65 видов тайн в
российском
законодательстве
• Персональные
данные
• Коммерческая тайна
• Банковская тайна
• Тайна переписки
• Инсайдерская
информация
19. В облака отдают конфиденциальную информацию!
• Управление предприятием (ERP)
• Поддержка пользователей (Service Desk)
• Управление контентом
• Управление персоналом (HRM)
• Управление заказами (ORM)
• Управление затратами и поставщиками (SRM)
• Унифицированные коммуникации
• Управление проектами
• Управление цепочками поставок (SCM)
• Управление электронной почтой и мгновенными сообщениями
• Биллинг
• Пользовательские приложения
20. Обеспечение конфиденциальности
• Инфраструктура хранения данных в облаке общая
• Требуется обеспечить конфиденциальность для данных каждого
владельца данных, обрабатываемых в облаке, и не дать им
перемешиваться с другими
• Конфиденциальность достигается различными техническими и
организационными мерами
21. Интеллектуальная собственность
• Какие виды интеллектуальной собственности могут
обрабатываться в облаке?
– Приложения (программы для ЭВМ) и базы данных
– Телевизионное вещание (IPTV)
– Секреты производства (ноу-хау)
– Промышленная собственность (изобретения и т.п.)
– Средства индивидуализации (товарные знаки и т.п.)
• Что с защитой интеллектуальной собственности?
– А она у вас оценена?
• Введен ли режим коммерческой тайны для секретов
производства?
22. СОРМ
• Регулирование
– Постановление Правительства Российской Федерации от 27 августа
2005 г. № 538 «Об утверждении Правил взаимодействия
операторов связи с уполномоченными государственными органами,
осуществляющими оперативно-разыскную деятельность»
– Приказ Мининформсвязи от 16 января 2008 г. № 6 «Об утверждении
требований к сетям электросвязи для проведения оперативно-
разыскных мероприятий. Часть I. Общие требования»
– Приказ Минкомсвязи от 27.05.2010 г. № 73 «Об утверждении
Требований к сетям электросвязи для проведения оперативно -
разыскных мероприятий. Часть II. Требования к сетям передачи
данных»
• Все зависит от типа облачных вычислений
– Для Webex (видео- и Web-конференции) требования СОРМ нет
– Для облачной почты такие требования есть
23. Юрисдикция или кому подчиняется ваше облако?
• Американские компании, действующие на территории других стран
остаются подотчетными американскому законодательству и
требованиям американских регуляторов
– Американские регуляторы могут затребовать любые данные у
американского облачного провайдера (Google, Oracle,
Microsoft/Skype и т.д.) без согласования с пользователем
облачных услуг
25. Требования ФСТЭК
СТР-К РД
15408
МСЭ,
Ключевые Персональные Коммерческая «Служебная
АС
СВТ…
системы данные тайна тайна» (СТР-К)
Требования по защите Требования к Требования к
разных видов тайн разработке функциональности
средств защиты средств защиты
26. Требования Банка России
СТО РС
Отраслевая
Рекомендации Руководство по
Общие Методика частная
Аудит ИБ по самооценке Методика Требования по
положения оценки модель угроз
1.1-2007 документации в соответствия оценки рисков ИБ ПДн
1.0-2010 соответствия безопасности
области ИБ ИБ 2.2-2009 2.3-2010
v1 1.2-2010 ПДн
v4 2.0-2007 2.1-2007 v1 v1
v3 2.4-2010
v1 v1
v1
• Применяются не только к банкам
• Планируется накрытие этими требованиями всех участников
Национальной платежной системы (НПС)
27. Требования во многом схожи
•Разграничение доступа (+ управление потоками)
•Идентификация / аутентификация
•Межсетевое взаимодействие
•Регистрация действий
•Учет и маркировка носителей (+ очистка памяти)
•Документальное сопровождение
•Физический доступ
Общие
•Контроль целостности
•Тестирование безопасности
•Сигнализация и реагирование
•Контроль целостности
•Защита каналов связи
•Обнаружение вторжений
•Антивирусная защита
•BCP
•Защита от утечки по техническим каналам
•Защита специфичных процессов (биллинг, АБС, PCI…)
Специфичные •Защита приложений (Web, СУБД…)
•Нестандартные механизмы (ловушки, стеганография)
28. Разная ответственность за защиту для разных архитектур
облаков
Провайдер
Данные Заказчик
Данные
Заказчик
ОС/Приложения Приложения
VMs/Containers
Провайдер
Провайдер
IaaS PaaS SaaS
• Не все существующие требования регуляторов по ИБ могут
быть реализованы в современной инфраструктуре облачного
провайдера (например, в контексте виртуализации)
29. Некоторые особенности
Легитимный ввоз криптографии в соответствие
с правилами Таможенного союза
Использование легитимной криптографии
Сертификация (оценка соответствия) средств
защиты
Аттестация ЦОДов по требованиям ИБ
Лицензирование деятельности по защите
информации и по оказанию услуг в области
шифрования
31. О посредниках
• Облачный провайдер становится неотъемлемой частью
инфраструктуры (системы) заказчика облачных услуг
• При любом аудите (PCI DSS, ISO 27001, СТО БР ИББС и т.д.)
аудитор должен будет проверить выполнение требований,
применимых к заказчику облачных услуг и у самого облачного
провайдера
– Облачный провайдер готов к этому?
– В договоре с облачным провайдером это прописано?
• Аудитор контролирует и подразделение облачного заказчика,
ответственное за ИБ, и провайдера, оказывающего услугу
– Кто-то вообще ничего не контролирует
– Кому-то достаточно посмотреть, что между банком и вами ходят
бумажки с заявками
– Кто-то хочет детально все проверять
32. Пример СТО Банка России
• СТО БР ИББС 1.2
– М19.1 Определены ли в документах организации процедуры
мониторинга СОИБ и контроля защитных мер, которые
охватывают все реализованные и эксплуатируемые защитные
меры, входящие в СИБ, проводятся персоналом организации,
ответственным за обеспечение ИБ?
– М19.2 Фиксируются ли документально результаты выполнения
процедур мониторинга СОИБ и контроля защитных мер?
– М19.3 Определены ли в документах организации и выполняются
ли процедуры сбора и хранения информации о действиях
работников организации, событиях и параметрах, имеющих
отношение к функционированию защитных мер?
– И т .д.
33. Пример СТО Банка России
• Как проконтролировать выполнение этих мер в облаке?
– Банк вынужден требовать от исполнителя некоторых гарантий,
которые позволят ему выполнять свои обязанности в части
внутреннего контроля над информационными потоками
• Как аудитор получит доступ к провайдеру облачных услуг,
находящемуся заграницей?
35. Персональные данные
• Хранение – это одна из форма обработки
• Трансграничные потоки персональных данных
• Адекватный уровень защиты
• В разных странах Евросоюза могут быть разные требования по
защите персональных данных
– В целом они похожи, но могут быть исключения и отличия
• Согласие на передачу ПДн клиентов/сотрудников облачного
заказчика облачному провайдеру
• Требования ФЗ-152 применяются, в основном, к операторам ПДн,
а не к обработчикам
– Облачный провайдер – это обработчик в терминологии
Европейской Конвенции
– По ФЗ-152 это лицо, осуществляющее обработку персональных
данных по поручению оператора
36. Требования меняются в зависимости от статуса
Субъект ПДн Оператор ПДн Обработчик ПДн
Субъект ПДн Обработчик ПДн Оператор ПДн
37. Облачный провайдер – обработчик ПДн
• Условия обработки ПДн в облаке (должны быть прописаны в
договоре между облачным заказчиком и провайдером)
– Указание перечня действий (операций) с ПДн, которые будут
совершаться обработчиком и цели обработки
– Обеспечение конфиденциальность ПДн
– Обеспечение безопасности ПДн при их обработке
– Требования к защите обрабатываемых ПДн в соответствие с
ст.19 ФЗ-152
• Обработчик не обязан получать согласие субъекта ПДн
• Ответственность перед субъектом за действия обработчика все
равно несет оператор
– Обработчик несет ответственность перед оператором
38. Трансграничная передача данных
• Трансграничная передача персональных данных на территории
иностранных государств, являющихся сторонами Конвенции
Совета Европы о защите физических лиц при автоматизированной
обработке персональных данных, а также иных иностранных
государств, обеспечивающих адекватную защиту прав субъектов
персональных данных осуществляется в соответствие с ФЗ-152
– Перечень «неадекватных» определяет Роскомнадзор
– Вместе с тем…одним из критериев оценки государства в данном
аспекте может выступать факт ратификации им Конвенции…
• Сторона не должна запрещать или обусловливать специальным
разрешением трансграничные потоки персональных данных,
идущие на территорию другой Стороны, с единственной целью
защиты частной жизни
– Евроконвенция
39. Страны, обеспечивающие адекватность
• Ратифицировавшие Евроконвенцию
– Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия,
Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва,
Люксембург, Мальта, Нидерланды, Польша, Португалия,
Румыния, Словакия, Словения, Финляндия, Франция, Чехия,
Швеция, Эстония
• Страны, имеющие общенациональные нормативные правовые
акты в области защиты ПДн и уполномоченный надзорный орган
по защите прав субъектов ПДн
– Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн,
Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная
Корея, Япония
40. Условия передачи в неадекватные страны
• Письменное согласие на трансграничную передачу
• Наличие международного договора, подписанного Россией
• Наличие федеральных законов
• Исполнение договора, стороной которого является субъект ПДн
• Защита жизни, здоровья и иных жизненно важных интересов
субъекта ПДн или других лиц
42. Непростые вопросы
• Безопасность персональных данных при их обработке в
информационной системе обеспечивает оператор или лицо,
которому на основании договора оператор поручает обработку
персональных данных
– Постановление Правительства от 17.11.2008 №781
• ФЗ-128 «О лицензировании отдельных видов деятельности»
• Деятельность по технической защите конфиденциальной
информации
– Постановление Правительства от 15.08.2006 №504 «О
лицензировании деятельности по технической защите
конфиденциальной информации»
• Деятельность в области шифрования
– Постановление Правительства от 29.12.2007 № 957 «О
лицензировании отдельных видов деятельности, связанных с
шифровальными (криптографическими) средствами»
43. Теория и практика
• Иностранное юридическое лицо (облачный провайдер) имеет
возможность получить соответствующие лицензии ФСТЭК и ФСБ
– В теории
• Для получения лицензии требуются
– копии документов, подтверждающих квалификацию специалистов
по защите информации
– копии документов, подтверждающих право собственности на
помещения, предназначенные для осуществления лицензируемой
деятельности
– копии аттестатов соответствия защищаемых помещений
требованиям безопасности информации
– сведения о наличии производственного и контрольно-
измерительного оборудования
• Вопрос о наказании и блокировании предоставления услуг
иностранным облачным провайдером остается открытым
45. Что все это значит для вас?!
• Технически облако может быть эффективно защищено с
помощью технологий Cisco
• В настоящий момент вопросы законодательного регулирования
облачных вычислений находятся только в начале своего
развития
• На законодательном уровне наиболее просто решаются вопросы
регулирования частных облаков
• Наиболее сложный вопрос – публичное глобальное облако
– Разные юрисдикции, разные законы, разные требования по
защите
• Россия готовит ряд нормативных актов, регулирующих облачные
вычисления
– Основной акцент на национальную безопасность
• Ключевой вопрос – что прописано в договоре?!