Защита ЦОД для хранения персональных данных
Недавно мы рассказывали, что, согласно требованиям регуляторов, оператор персональных данных обязан защитить три сегмента:
- ЦОД
- Серверный
- Пользовательский
Как это сделать — рассказывали тут. А в связи с тем, что в 2024 году популярна аренда ЦОДов, есть миф — провайдер уже защитил дата-центр, о первом сегменте можно не беспокоиться.
Однако, договор на оказание услуг по аренде ЦОД не всегда равно, а чаще всего не равно договору по аренде защищенного ЦОД или ЦОД, предназначенного для обработки ПДн.
Поговорим о том, какие услуги предоставляют провайдеры и каковы границы ответственности в области защиты информации в разных вариантах.
IaaS — инфраструктура как услуга
IaaS (Инфраструктура как сервис) — предоставление вычислительных ресурсов в аренду сторонним компаниям. Облачный провайдер владеет и управляет IT-инфраструктурой, а его клиенты используют ее мощности для решения своих задач.
Важно понимать, что провайдер не сдает в аренду само IT-оборудование. Вместо этого он виртуализирует физические серверы и хранилища. Виртуализация — это создание на одном физическом носителе, например, сервере нескольких виртуальных серверов. Именно их и получают клиенты.
Типы внедрений IaaS:
Публичная IaaS предназначена для использования разными организациями. Физическая инфраструктура (ЦОД) при этом принадлежит, управляется и эксплуатируется провайдером.
Частная IaaS используется исключительно одной организацией. Физическая инфраструктура при этом может принадлежать и эксплуатироваться как этой организацией, так и третьей стороной или быть в их совместном пользовании. Сам ЦОД может находиться на территории предприятия или на отдельной охраняемой территории.
Отличие частной виртуальной инфраструктуры от обычного ЦОДа: ЦОД — это физическая инфраструктура, поверх которой создается частная IaaS.
Гибридная IaaS используется если организация работает на собственном оборудовании, а в облаке развертывает только сервисы под определенные задачи — это называется гибридной инфраструктурой. Часто к ней прибегают, когда у предприятия не хватает своих ресурсов или они нужны на какое-то время.
PaaS — платформа как сервис
PaaS (Платформа как сервис) — способ предоставления вычислительных ресурсов в облаке, когда пользователь получает уже готовый сервис или платформу для запуска своего кода и хранения данных.
Облачный провайдер обеспечивает бесперебойную работу и автоматизированное управление инфраструктурой. В рамках PaaS пользователь получает предварительно настроенные среды выполнения с понятными настройками масштабирования, хранения и безопасности.
Предусмотрен также доступ к библиотекам, инструментам и настройкам конфигурации, но базовая ОС или сетевые настройки управляются провайдером.
SaaS — программное обеспечение как сервис
SaaS (ПО как сервис) — это облачная модель предоставления программного обеспечения. Приложения и данные размещаются на удалённых серверах, а пользователи получают к ним доступ с помощью устройств, подключённых к интернету.
Например, так работают мессенджеры. Пользователь устанавливает себе приложение, но при этом вся нужная информация — сообщения, фото, видео и контакты — хранится на серверах.
Типы развертывания SaaS:
- Публичное облако. Сервис размещается в инфраструктуре, которая предоставляется для общего пользования. Один и тот же сервер могут использовать несколько разных компаний, а мощность устройства будет делиться пропорционально бизнес-потребностям каждой из них.
- Гибридное облако. Это сочетание публичного и частного облаков. Банк может хранить данные клиентов в частном облаке, а наращивать вычислительные мощности с помощью облачного провайдера.
- Частное облако. ПО находится в инфраструктуре, которой пользуется исключительно одна компания. Как правило, используется оборудование в контуре компании.
Границы ответственности в защите информации
Безопасность систем, использующих облачные сервисы, требует разделения ответственности между клиентом (владельцем ИС) и облачным провайдером (владельцем облачной инфраструктуры):
Разделение ответственности, в зависимости от модели облачного сервиса, выглядит так:
| Собственная инфраструктура | IaaS | PaaS | SaaS | |
| Управление доступом к данным | Клиент | Клиент | Клиент | Клиент |
| Безопасность приложений | Клиент | Клиент | Клиент | ЦОД |
| Безопасность ОС | Клиент | Клиент | ЦОД | ЦОД |
| Сетевая безопасность | Клиент | Клиент | ЦОД | ЦОД |
| Резервирование | Клиент | Клиент | ЦОД | ЦОД |
| Шифрование | Клиент | Клиент | ЦОД | ЦОД |
| Логи аудита | Клиент | ЦОД | ЦОД | ЦОД |
| Безопасность хранилища данных и оборудования | Клиент | ЦОД | ЦОД | ЦОД |
| Физическая безопасность и катастрофоустойчивость | Клиент | ЦОД | ЦОД | ЦОД |
Разделение ответственности за обеспечение безопасности
ВАЖНО! Во всех четырех ситуациях только клиент контролирует и управляет правами доступа.
Собственная инфраструктура
На клиенте лежит вся ответственность за обеспечение безопасности на всех уровнях.
IaaS
Ответственность провайдера — физическая безопасность и отказоустойчивость платформы, защита сети, сбор и анализ событий гипервизоров и компонентов инфраструктуры. Клиент отвечает за безопасность гостевых машин, виртуальной сети и учётных записей пользователей, контролирует доступ к ресурсам, осуществляет резервное копирование виртуальных машин.
PaaS
Клиент самостоятельно проводит классификацию данных, обеспечивает разграничение доступа к данным, настраивает процессы для их защиты, а также отвечает за управление правами пользователей и взаимодействие со сторонними сервисами. Провайдер несёт ответственность за обеспечение защиты компонентов управляемых сервисов.
SaaS
В решениях SaaS клиент отвечает за управление доступом пользователей к данным. Провайдер несёт ответственность за большинство аспектов безопасности: доступность и целостность данных, мониторинг и логирование, защиту сети, компонентов сервиса и самого приложения, обеспечение безопасности на физическом уровне.
Законные основания
Все ЦОД предлагают своим клиентам заключение договора оказания услуг со стандартным перечнем: сбор и хранение любой информации, определенная степень отказоустойчивости, степень и уровень резервирования, возможность организации выделенных зон и обеспечение физической и IT-безопасности от общих внешних угроз.
ВАЖНО! Такой договор не позволит привлечь ЦОД к ответственности перед оператором в случае утечки ПДн, поскольку в его условиях прямо не прописано, что ЦОД будет осуществлять обработку и хранение ПДн, а также не устанавливается порядок осуществления таких действий.
152-ФЗ говорит об ином договоре – договоре об обработке и хранении ПДн. Такой договор может быть заключен в виде договора оказания услуг или договора поручения.
Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные 152-ФЗ.
В поручении Оператора должны быть определены перечень действий с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со ст. 19 152-ФЗ (в ней приведены меры по обеспечению безопасности ПДн при их обработке).
ВАЖНО! Согласно ч. 4 и 5 ст. 6 152-ФЗ лицо, осуществляющее обработку ПДн по поручению Оператора, не обязано получать согласие субъекта ПДн на обработку его ПДн.
ЦОД должен обеспечить те же принципы, цели и порядок обработки ПДн, что и Оператор.
Оператор должен получить согласие в письменной форме Субъекта ПДн на передачу ПДн третьему лицу с четко сформулированной целью.
Только при включении указанных положений в договор с ЦОД возможна реализация положения 152-ФЗ об ответственности лица, осуществляющего обработку ПДн по поручению оператора.
Мы предлагаем одно решение для закрытия всех задач по требованиям регуляторов в информационной безопасности и обработке, хранению и защите ПДн. Подробнее о SafeCloud 152-ФЗ рассказывали тут.
Заполните форму, наши специалисты свяжутся с вами и проведут бесплатный аудит вашего сайта на соответствие требованиям.