Нюансы защиты персональных данных в облаке

В облаке за счёт высокой степени контроля доступа к инфраструктуре снижается риск утечек, вызванных человеческим фактором. Данные хранятся на удалённом сервере в зашифрованном виде, и из него не так-то просто изъять информацию и передать её третьим лицам. Доступ к святая святых облака — ЦОДу — ограничен и надёжно контролируется различными техническими средствами вплоть до биометрической идентификации сотрудников провайдера, имеющих право проходить в здание дата-центра.

Локальная инфраструктура многих компаний защищена менее эффективно, и это становится причиной множества инцидентов. Основываясь на них, американский исследовательский институт Ponemon Institute пришёл к такому выводу:

Одними из ключевых причин утечек в компаниях являются: оставленные без присмотра компьютеры, потерянные носители данных и конфиденциальные данные, хранящиеся на ноутбуке.

Gartner считает, что по сравнению с корпоративными инфраструктурами, к 2020 году публичные облака будут сталкиваться с атаками на 60 % реже. Это ещё раз подтверждает мысль о высоком уровне безопасности облачных сред, которые включают такие средства защиты, как системы обнаружения и блокирования DDoS-атак и системы межсетевого экранирования. Также для поиска уязвимостей во внутренней инфраструктуре используется автоматизированная система мониторинга, система контроля целостности и аудита событий безопасности. На регулярной основе проводятся различные сканирования для обнаружения новых, постоянно появляющихся уязвимостей. Для заказчика данные системы позволяют обеспечить должный уровень защищённости. Если требуются специфичные сервисы, например сканирование web-ресурсов на наличие уязвимостей и защита web-приложений в облаке или полная защита от DDoS-атак, их можно получить за дополнительную плату.

Согласно федеральному закону № 152 для хранения персональных данных (а это фактически любая информация, по которой можно идентифицировать конкретного человека) должен обеспечиваться определённый уровень защищённости этих данных. В случае размещения персональных данных в облачной инфраструктуре, нужно не только соблюдать требования по безопасности самой облачной платформы, но и дополнительно к этому внедрить сертифицированные средства защиты системы для самой ИСПДн.

Строится многоступенчатая архитектура, которая включает в себя периметровые средства для мониторинга и контроля доступа к платформе, средства для её защиты и разграничения виртуальных сегментов заказчиков, а также антивирусы для всех компонентов платформы. Поверх этого внедряются системы, необходимые для защиты приложения, которое используется для хранения и обработки данных. Но самое важное — все применяемые средства должны быть сертифицированы госрегуляторами. Наличие аттестата у облачной платформы говорит о том, что она соответствует требованиям регулятора в части систем хранения персональных данных до третьего уровня включительно.

Кстати, нас часто спрашивают, где хранить и обрабатывать данные первого и второго уровня защищённости, например базу с медицинскими данными более 100 тыс. граждан Российской Федерации. Ответ простой — необходимо мигрировать систему на выделенное оборудование в ЦОД. Дело в том, что сейчас ни один из гипервизоров, используемых в составе облачных платформ популярных российских провайдеров, не сертифицирован и формально не может использоваться для размещения персональных данных первого и второго класса. До тех пор, пока ситуация не изменится, мы рекомендуем реализовывать информационные системы с персональными данными 1 и 2 уровня защищённости на выделенном оборудовании в надёжном дата-центре.

В России работают порядка 10 облачных провайдеров, ориентированных на оказание услуг крупному бизнесу, и несчётное количество компаний, которые размещают в своих облаках инфраструктуру и сервисы для SMB и физических лиц. Естественно, первая категория предлагает более дорогие, кастомизированные услуги и строит платформы на базе надёжных решений, так как любые утечки и другие инциденты безопасности могут привести к финансовым и репутационным рискам. Подобные компании детально прописывают правила работы в строгом SLA и могут подтвердить высокую степень защищённости рядом документов. Это и уже упомянутый сертификат соответствия облачной платформы требованиям ФЗ 152, и сертификат ISO/IEC 27001 — международного стандарта по управлению защитой ИТ-инфраструктуры, и сертификат PCI DSS. Немаловажно также наличие полного комплекта сертификатов уровня Tier III от Uptime Institute (включает Tier III — Gold Certification of Operational Sustainability). Это говорит о грамотно выстроенных процессах эксплуатации дата-центра.

К слову, сертификация по стандарту PCI DSS хоть и регламентирует в первую очередь работу с платёжными картами и переводами, но также свидетельствует о высоком уровне защиты. Этот документ подтверждает не только наличие необходимых средств защиты ИТ-инфраструктуры, но и формализует организационные моменты — требования к сотрудникам, к их действиям в случае инцидентов. Отдельно он регламентирует требования к регулярности проведения «проверочных» мероприятий — различных тестов на проникновение, которые уважающий себя облачный провайдер устраивает один-два раза в год. Всё это помогает в том числе снизить влияние человеческого фактора, но уже на стороне поставщика облачных услуг и его команды.