Безопасный доступ к облачным инфраструктурам
В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Безопасный доступ к облачным инфраструктурам
В последние годы стали активно развиваться облачные сервисы, нашедшие свое применение в основном в корпоративном секторе. В настоящее время различают следующие модели обслуживания: SaaS – ПО как сервис, PaaS – платформа как сервис, IaaS – инфраструктура как сервис. Здесь мы рассмотрим лишь одну модель обслуживания, которая является самой распространенной и востребованной в корпоративном секторе, – SaaS, но данные подходы можно применять и к другим моделям.
Алексей Ковязин
Ведущий инженер – специалист по комплексному
обеспечению безопасности информации, компания “ИВК"
Ведущий инженер – специалист по комплексному
обеспечению безопасности информации, компания “ИВК"
SaaS – модель, в которой заказчику сервиса предоставляется возможность использования прикладного ПО поставщика сервиса, работающего в облачной инфраструктуре и доступного с различных клиентских устройств или посредством тонкого клиента, например из браузера или с помощью интерфейса специализированной программы.
Защита облачной инфраструктуры
Контроль и управление основной физической и виртуальной инфраструктурой облака, в том числе сетью, серверами, операционными системами, системами хранения или даже индивидуальными возможностями приложения (за исключением ограниченного набора пользовательских настроек конфигурации приложения), осуществляется провайдером предоставляемого сервиса. Так как часто провайдером используются различные методы виртуализации для реализации сервиса на собственной инфраструктуре, то необходимо обеспечить ее адекватную защиту в соответствии с требованиями регулятора. Сегодня пока еще нет утвержденных регулятором требований к защите подобных инфраструктур, поэтому предполагается, что защиту инфраструктуры провайдер производит самостоятельно.
Анализ
Перед тем как приступить к проектированию системы защиты информации, передаваемой, хранимой и обрабатываемой с участием облачных сервисов, следует рассмотреть бизнес-процесс предприятия и выделить ключевую информацию (данные), а также системы передачи, хранения и обработки такой информации, подлежащие защите. Также следует определить основные критерии информационной безопасности для такой информации и средств ее хранения, передачи и обработки, а именно конфиденциальность, целостность, доступность и, возможно, другие ключевые критерии ИБ, характерные для данной информации.
Система защиты информации и доступа к корпоративному сервису не должна противоречить существующему законодательству в области информационных технологий и информационной безопасности Российской Федерации, если в нем передается, обрабатывается и/или хранится информация, отнесенная к коммерческой тайне и/или к персональным данным, а также к государственной тайне РФ.
Следуя букве закона
В случае когда сервис не является ключевым и не подпадает под действие законодательства РФ в области защиты информации, компания может пренебречь специальными средствами контроля и разграничения доступа и использовать стандартные для таких сервисов механизмы доступа и каналы связи.
Перед тем как приступить к проектированию системы защиты информации, передаваемой, хранимой и обрабатываемой с участием облачных сервисов, следует рассмотреть бизнес-процесс предприятия и выделить ключевую информацию (данные), а также системы передачи, хранения и обработки такой информации, подлежащие защите.
Если сервис передает, обрабатывает и/или хранит информацию, составляющую коммерческую тайну, но не содержащую информации, отнесенной к персональным данным, то такой сервис подпадает под действие закона о коммерческой тайне. Так как в Федеральном законе от 29 июля 2004 г. № 98-ФЗ "О коммерческой тайне" не сказано, что информацию, отнесенную к коммерческой тайне следует защищать при помощи средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, а указывает лишь на меры (Федеральный закон от 29 июля 2004 г. № 98-ФЗ "О коммерческой тайне", ст. 10, п. 5), которые необходимо принять для обеспечения конфиденциальности информации, то владелец такой информации вправе применять при необходимости лишь средства и методы технической защиты конфиденциальности этой информации, явно не противоречащие указанному закону (ст. 10, п. 4). Из чего следует, что с точки зрения законодательства Российской Федерации в области защиты информации, если сервис обеспечивает блокирование доступа к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя, возможности использования работниками информации, составляющей коммерческую тайну, и передачи ее контрагентам без нарушения режима коммерческой тайны, то можно пренебречь специальными средствами контроля и разграничения доступа и использовать стандартные для таких сервисов механизмы доступа и каналы связи при удовлетворении требований заказчика сервиса. Только сам заказчик принимает риски, связанные с передачей такой информации по открытым каналам связи, ее хранением и обработкой.
Если сервис передает, обрабатывает и/или хранит информацию, составляющую ПДн, то такой сервис подпадает под действие закона о персональных данных (Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных"). В соответствии с этим законом и соответствующими ему подзаконными актами, такие системы подлежат защите средствами защиты информации, прошедшими в установленном порядке процедуру оценки соответствия. Средства защиты выбираются в соответствии с уровнем защиты, который необходимо обеспечить для ИСПДн, в которой производится передача, хранение и обработка персональных данных. Взаимодействие клиента (заказчика сервиса) с таким сервисом, расположенным на территории Российской Федерации, находящимся не в пределах организации – владельца сервиса, должен осуществляться по защищенному, зашифрованному каналу связи (приказ ФСТЭК России от 18 февраля 2013 г. № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"). На данный момент подходящим средством является любое VPN-соединение, имеющее сертификат соответствия по требованиям ФСБ России на криптосредство, на котором оно базируется.
Трансграничность
По поводу персональных данных есть еще один момент, который стоит рассмотреть отдельно. Это тот случай, когда сервис, предоставляющий возможность передачи, обработки и/или хранения персональных данных, находится вне территории Российской Федерации. В таком случае если страна, в которой располагается сервис, подписала и ратифицировала Конвенцию о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. или входит в список стран с адекватной защитой ПДн, утвержденный Роскомнадзором, то часть ИСПДн, использующая данный сервис, будет рассматриваться как внешняя по отношению к основному сегменту ИСПДн, располагающемуся в компании. При составлении разрешения на обработку персональных данных необходимо будет указать согласие субъекта ПДн на обработку его данных на территории другой страны, то есть будет производиться трансграничная передача ПДн, и поставщик сервиса, на котором будет обрабатываться и храниться информация, отнесенная к ПДн, будет обеспечивать адекватную защиту персональных данных. В таком случае защита ПДн будет осуществляться в соответствии с законодательством той страны, на территории которой размещен сервис, тогда нет необходимости закупать и устанавливать средства, прошедшие в установленном порядке процедуру оценки соответствия.
Практически ничего нельзя сказать о применимости облачных инфраструктур для обработки сведений, составляющих государственную тайну РФ, опять-таки в связи с отсутствием утвержденных требований для защиты информации в таких системах.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2014
