Персональные данные, облака и сертификация средств защиты

Три мифа

Преимущества облаков с точки зрения ускорения бизнеса и внедрения инноваций настолько очевидны, что переход в облака – лишь вопрос времени. Сегодня крупнейшие поставщики облачных сервисов обеспечивают более высокий уровень безопасности, чем компании  способны реализовать в собственных центрах обработки данных.

Так считают 73% респондентов отчета Oracle и KPMG об угрозах для облаков  в 2019 году (Oracle and KPMG Cloud Threat Report 2019). Тем не менее, сомнения остаются. Среди них обеспокоенность по соблюдению российского законодательства, особенно в части персональных данных (ПДн). Почему происходят нарушения облачной безопасности, можно ли размещать ПДн в базах данных за рубежом и надо ли сертифицировать локальную систему их защиты, на конференции Oracle Security Day 2020 обсудили признанные российские эксперты в области безопасности и развенчали ряд мифов.

Миф 1. Облака содержат множество уязвимостей

Такие происшествия, как кража персональных данных 147 млн клиентов бюро кредитных клиентов Equifax или утечка данных 14 млн клиентов одного из крупнейших хостинг-провайдеров мира Hostinger, привлекают повышенное внимание к безопасности облаков. Хотя страх потерять данные в облаке сродни отказу от поездки в автомобиле по причине возможной аварии на дороге. Факты подтверждают, что число инцидентов в облаках меньше аналогичного показателя в корпоративных дата-центрах.

«Для облачных провайдеров безопасность является требованием рынка. Новость о брешах именно в их безопасности, а не в приложениях пользователей, принесет им значительные потери», – поясняет Артем Федоров, руководитель практики по обеспечению безопасности облачных систем, PricewaterhouseCoopers.

Масштабы бизнеса позволяют облачным провайдерам использовать все современные сервисы и технологии ИБ при меньших относительных затратах.

Облачные провайдеры могут быстро и рационально масштабировать и перераспределить ресурсы для фильтрации и формирования трафика, аутентификации, шифрования и т.д., например, для отражения  DDoS атаки. Выявленные уязвимости оперативно устраняются с помощью таких технологий, как автономные вычисления. При обнаружении уязвимости в микропроцессорах Intel в 2018 году Oracle всего за 4 часа обновила операционную систему примерно на 1,5 млн серверов под управлением Linux.

Почему же число утечек продолжает расти? Большинство случаев нарушений безопасности и кражи данных из облака связано с неправильной конфигурацией клиентом приложений и сервисов, а не с уязвимостью самих облаков. «Открытая информация – везде открыта. Если вы оставили ключи от двери под ковриком, то говорит ли это о ненадежности двери? 62% проблем с облачной безопасностью – это проблемы правильной настройки облака», – приводит данные Артем Федоров.

Перенос данных и приложений в облако не снимает с заказчика ответственности за безопасность, даже когда основные задачи берет на себя поставщик, как в случае использования модели SaaS, т.е. «программное обеспечение как сервис».

«Если остаются открытые порты, не контролируется доступ, используются незащищенные каналы, то кто в этом виноват, если не сам пользователь? – подчеркивает Антон Федоров. – Модель совместной ответственности позволяет четко разграничить задачи между провайдером и клиентом, но при этом всегда остается совместная зона ответственности».

Обеспечение информационной безопасности предполагает правильное применение технологий, которые предоставляет провайдер, но у компаний часто не хватает ресурсов или экспертизы для их надлежащего использования. Для повышения уровня знаний можно задействовать курсы для специалистов в области облачной безопасности Oracle Certified Cloud Security Professional и привлекать партнеров Oracle к разработке стратегии облачной безопасности и проектированию систем защиты данных.

Миф 2. Персональные данные нельзя отдавать в облако

Требование законодательства о локализации персональных данных действует около 5 лет, но до сих пор живет миф, что все ПДн должны обязательно храниться на территории России. «В законе написано следующее: ПДн российских  граждан в период их сбора должны размещаться в базах данных РФ, – подчеркивает Михаил Емельянников, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры». – Речь идет исключительно о периоде сбора персональных данных, а не об их дальнейшем использовании».

Закон не обязывает дальнейшие действия с персональными данными выполнять только на территории России. Никаких препятствий для передачи данных за пределы РФ не существует, если созданная база данных поддерживается в актуальном состоянии и соблюдается порядок трансграничной передачи. Однако, использование ПДн должно соответствовать целям, заявленным при их сборе. Если данные собирались для подбора персонала, то их нельзя использовать для целей продвижения продукции.

Если в информационной системе генерируются какие-либо сведения о субъекте ПДн с использованием ее функциональных возможностей, то их локализовывать не нужно. «Если в системе кадрового администрирования рассчитывается уровень компетентности сотрудника или создается напоминание о необходимости направить его на повышение квалификации, то такие данные не подлежат обязательной локализации, поскольку они получены не от субъекта ПДн», – поясняет Михаил Емельянников.

Не каждая система, где могут появиться персональные данные, например, учетные данные пользователей, является информационной системой персональных данных с точки зрения закона. Например, Oracle Management Cloud, комплексное и интегрированное облачное решение для операционной ИТ-аналитики, безопасности и управления, такой базы не содержит, поскольку она не нужна для целей передачи телеметрической информации.

Для практических целей важное значение имеет вопрос, что понимать под базой данных. Создание полноценного электронного хранилища может потребовать от оператора персональных данных перестройки ИТ-инфраструктуры. Кроме того, оно влечет необходимость реализации системы защиты для такой базы данных. Все вместе выливается в значительные затраты.

Согласно определению «Роскомнадзора» под базой данных понимается упорядоченный массив данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных). Иначе говоря, базой данных можно считать, например, таблицу в формате Excel или Word, в которую занесены персональные данные граждан. Более того, база данных может представлять собой сборник бумажных документов (например, подшивка анкет).

Полностью соответствует требованиям законодательства о персональных данных облачный сервис Oracle Exadata Cloud at Customer (“Облако Oracle у клиента»). Такая модель позволяет получить все преимущества облачных вычислений, которые дает облако Oracle. При этом на площадке заказчика устанавливается комплекс, на котором уже есть система управления базой данных и все данные локализуются и фиксируются в автоматическом режиме на территории России.

Кроме того, большинство компаний в России могут использовать облака зарубежных провайдеров. Запрет распространяется лишь на государственные и муниципальные органы власти, унитарные предприятия и учреждения; объекты критической инфраструктуры, причем не все, а только значимые; кредитные финансовые организации (только в части размещения электронных баз данных) и электронные торговые площадки закупок для обеспечения государственных и муниципальных нужд.

Миф 3. Средства защиты ПДн подлежат обязательной сертификации

Незнание законов не освобождает от ответственности. Но в случае ИБ незнание законов порой приводит к тому, что сотрудники отделов безопасности накладывают на организации излишние обязательства. Так, многие ошибочно считают, что средства защиты персональных данных подлежат обязательной сертификации, а сами данные необходимо шифровать. Для бизнеса это означает не только неоправданные расходы, но и задержки при выводе на рынок новых продуктов и сервисов.

«В законе о персональных данных отсутствует требование применять сертифицированные средства защиты. Более того, в нем нет требования и об обязательном шифровании обрабатываемых данных, – объясняет Алексей Лукацкий, бизнес-консультант по безопасности, Cisco. – Да, в законе есть положение про обеспечение конфиденциальности, но это не одно и то же, что шифрование. Конфиденциальность – это непредоставление данных третьим лицам без согласия их обладателя (субъекта ПДн в случае ПДн). При наличии согласия данные можно передавать даже в открытом виде».

Средства защиты должны лишь пройти оценку соответствия в установленном порядке. Это может быть, например, приемка или ввод в эксплуатацию. «Если вы разработали программную методику испытаний и провели их, то после выхода приказа о вводе информационной системы, включая используемые средства защиты, в промышленную эксплуатацию, все требования законодательства считаются выполненными с точки зрения оценки соответствия средств защиты. Вы не обязаны в этом случае применять сертифицированное средство защиты», – говорит Алексей Лукацкий.

Согласно разъяснению ФСТЭК обязательная сертификация нужна только для средств защиты персональных данных в соответствующих государственных информационных системах. Во всех остальных случаях организации вольны выбирать форму оценки соответствия. Это позволяет подобрать наиболее подходящее решение по функциональности, цене, удобству использования и другим параметрам.

Не все облака одинаковы

Как защищать и где хранить данные – в облаке или собственном ЦОД – каждая компания решает в зависимости от сферы деятельности и приоритетов бизнеса. Но преимущества облаков настолько весомы, что для большинства коммерческих организаций при переходе в облако вопрос стоит лишь когда, а не зачем. Прошедший год отмечен стремительным ростом не только числа организаций, которые используют облака для бизнес-задач, но и тех, кто оценивает, какие данные и приложения в нем размещать. Согласно ежегодному отчету Oracle и KPMG семь из десяти опрошенных организаций стали использовать больше критичных для бизнеса облачных сервисов, чем в 2018 году. И здесь главное – не ошибиться с выбором провайдера.

«Облако Oracle Cloud отличается от всех остальных облаков: оно спроектировано безопасным на всех уровнях – инфраструктуры, базы данных, платформы и приложений – и является автономным с самого начала, – отметил Анджело Бозис, директор Oracle по предпроектному консалтингу в области ИБ. – Фундаментальное преимущество облака Oracle состоит в том, что его архитектура минимизирует распространение вредоносного кода. А наши автономные сервисы, представляющие новое революционное поколение технологий, повышают защищенность, предотвращают потерю данных, сокращают риски и устраняют человечески ошибки».

Источник: блог Oracle

 

 

Похожие записи