Нюансы защиты персональных данных в облаке
Мнение экспертов

Нюансы защиты персональных данных в облаке

2190
6 минут

Рассказывает Максим Березин, директор по развитию КРОК Облачные сервисы

Об облачных услугах до сих пор существует множество мифов. Самые стойкие связаны с информационной безопасностью корпоративных данных и риском несанкционированного доступа инсайдеров и конкурентов. Дыма без огня не бывает: репутацию всему облачному рынку подмочили хостинг-провайдеры и бесплатные файлообменные сети, не обеспечивающие в должной мере защиту своих облачных сред. Чего только стоят истории массовых утечек данных из ICloud и хакерские взломы Dropbox.

По данным InfoWatch, несмотря на то, что общее количество утечек информации растёт, это всё реже происходит из-за недостаточно защищённых технических каналов, в том числе сетевых. Это говорит о том, что большинство провайдеров используют надёжное оборудование и наилучшие решения в области безопасности. Тем не менее, сегодня значительная доля зарегистрированных утечек вызвана действиями недобросовестных сотрудников самих компаний, которые пользуются облачными услугами.

Чужие против своих

В облаке за счёт высокой степени контроля доступа к инфраструктуре снижается риск утечек, вызванных человеческим фактором. Данные хранятся на удалённом сервере в зашифрованном виде, и из него не так-то просто изъять информацию и передать её третьим лицам. Доступ к святая святых облака — ЦОДу — ограничен и надёжно контролируется различными техническими средствами вплоть до биометрической идентификации сотрудников провайдера, имеющих право проходить в здание дата-центра.

Локальная инфраструктура многих компаний защищена менее эффективно, и это становится причиной множества инцидентов. Основываясь на них, американский исследовательский институт Ponemon Institute пришёл к такому выводу:

Одними из ключевых причин утечек в компаниях являются: оставленные без присмотра компьютеры, потерянные носители данных и конфиденциальные данные, хранящиеся на ноутбуке.

Безопасность в облаке по всему периметру

Gartner считает, что по сравнению с корпоративными инфраструктурами, к 2020 году публичные облака будут сталкиваться с атаками на 60 % реже. Это ещё раз подтверждает мысль о высоком уровне безопасности облачных сред, которые включают такие средства защиты, как системы обнаружения и блокирования DDoS-атак и системы межсетевого экранирования. Также для поиска уязвимостей во внутренней инфраструктуре используется автоматизированная система мониторинга, система контроля целостности и аудита событий безопасности. На регулярной основе проводятся различные сканирования для обнаружения новых, постоянно появляющихся уязвимостей. Для заказчика данные системы позволяют обеспечить должный уровень защищённости. Если требуются специфичные сервисы, например сканирование web-ресурсов на наличие уязвимостей и защита web-приложений в облаке или полная защита от DDoS-атак, их можно получить за дополнительную плату.

Безопасность для самых важных данных клиентов — персональных данных

Согласно федеральному закону № 152 для хранения персональных данных (а это фактически любая информация, по которой можно идентифицировать конкретного человека) должен обеспечиваться определённый уровень защищённости этих данных. В случае размещения персональных данных в облачной инфраструктуре, нужно не только соблюдать требования по безопасности самой облачной платформы, но и дополнительно к этому внедрить сертифицированные средства защиты системы для самой ИСПДн.

Как это реализуется на практике?

Строится многоступенчатая архитектура, которая включает в себя периметровые средства для мониторинга и контроля доступа к платформе, средства для её защиты и разграничения виртуальных сегментов заказчиков, а также антивирусы для всех компонентов платформы. Поверх этого внедряются системы, необходимые для информационной безопасности приложения, которое используется для хранения и обработки данных. Но самое важное — все применяемые средства должны быть сертифицированы ФСТЭК или ФСБ. Наличие аттестата у облачной платформы говорит о том, что она соответствует требованиям регулятора в части систем хранения персональных данных до третьего уровня включительно.

Кстати, нас часто спрашивают, где хранить и обрабатывать данные первого и второго уровня защищённости, например базу с медицинскими данными более 100 тыс. граждан Российской Федерации. Ответ простой — необходимо мигрировать систему на выделенное оборудование в ЦОД. Дело в том, что сейчас ни один из гипервизоров, используемых в составе облачных платформ популярных российских провайдеров, не сертифицирован и формально не может использоваться для размещения персональных данных первого и второго класса. До тех пор, пока ситуация не изменится, мы рекомендуем реализовывать информационные системы с персональными данными 1 и 2 уровня защищённости на выделенном оборудовании в надёжном дата-центре.

Кому доверить свою защиту?

В России работают порядка 10 облачных провайдеров, ориентированных на оказание услуг крупному бизнесу, и несчётное количество компаний, которые размещают в своих облаках инфраструктуру и сервисы для SMB и физических лиц. Естественно, первая категория предлагает более дорогие, кастомизированные услуги и строит платформы на базе надёжных решений, так как любые утечки и другие инциденты информационной безопасности могут привести к финансовым и репутационным рискам. Подобные компании детально прописывают правила работы в строгом SLA и могут подтвердить высокую степень защищённости рядом документов. Это и уже упомянутый сертификат соответствия облачной платформы требованиям ФЗ 152, и сертификат ISO/IEC 27001 — международного стандарта по информационной безопасности, и сертификат PCI DSS. Немаловажно также наличие полного комплекта сертификатов уровня Tier III от Uptime Institute (включает Tier III — Gold Certification of Operational Sustainability). Это говорит о грамотно выстроенных процессах эксплуатации дата-центра.

К слову, сертификация по стандарту PCI DSS хоть и регламентирует в первую очередь работу с платёжными картами и переводами, но также свидетельствует о высоком уровне защиты. Этот документ подтверждает не только наличие необходимых средств информационной безопасности, но и формализует организационные моменты — требования к сотрудникам, к их действиям в случае инцидентов. Отдельно он регламентирует требования к регулярности проведения «проверочных» мероприятий — различных тестов на проникновение, которые уважающий себя облачный провайдер устраивает один-два раза в год. Всё это помогает в том числе снизить влияние человеческого фактора, но уже на стороне поставщика облачных услуг и его команды.

2 февраля 2022
Правила выбора IaaS высокой степени защищенности
Популярность инфраструктуры как сервис растет стабильно - если в прежние годы рост составлял 20%, по разным оценкам, то в пандемийный период он превысил 40%. При этом по-прежнему остается дискуссионным вопрос защищенности облачных сред. Однако эксперты утверждают, что поводов для беспокойства нет.
1 минута
248
31 января 2022
НАЦ «Информзащиты» провел аттестацию «КРОК Облачные сервисы» на соответствие требованиям к обработке персональных данных
30 декабря 2021 года команда КРОК Облачные сервисы получила аттестат, который подтверждает высший (первый) уровень защищенности облачной платформы для обработки любых типов персональных данных.
2 минуты
864
16 июля 2021
КРОК подтвердил соответствие международным стандартам информационной безопасности
ИТ-компания КРОК успешно прошла аудит Системы управления информационной безопасностью в соответствии с требованиями стандарта ISO/IEC 27001:2013, расширив ее область действия на требования нового стандарта по безопасности облачных вычислений ISO/IEC 27017:2015. Аудит проводила компания BSI, по его итогам не выявлено замечаний и несоответствий.
2 минуты
994
19 апреля 2021
Почему резервное копирование стало особенно актуальным для бизнеса в пандемию?
Резервирование данных и облачные услуги категории BaaS (Backup as a Service) относятся к устоявшимся и широко распространенным сервисам. Они обеспечивают возможность восстановления информации из копии в случае технических сбоев или ошибок, вызванных человеческим фактором.
1 минута
583
28 сентября 2020
Топ-6 ошибок безопасности при работе с облаком: уменьшаем риски
Безопасность — главный компонент любой облачной среды. Популярность облачных ресурсов растет с каждым годом, а с ней повышаются и риски утечки персональных данных. Поставщики облачных услуг с каждым годом совершенствуют свои системы безопасности, но киберпреступники не дремлют и стремятся использовать быстро расширяющийся фронт атаки. Есть ли способы избежать кибернападений и защититься от облачных угроз?
1 минута
510
scrollup