CNews: Что представляет из себя услуга по соответствию 152-ФЗ?

Максим Ежов: Услуга включает работы по аудиту, или же консалтинг по информационной безопасности (ИБ) ИТ-инфраструктуры заказчика. После этого мы поставляем и внедряем необходимые решения и сервисы. При этом заказчик может заключить с нами договор на любой объем работ. То есть мы предоставляем экспертизу в оценке текущего уровня защищенности ИТ-инфраструктуры заказчика, а также приводим его инфраструктуру в соответствие требованиям 152-ФЗ.

Услуга помогает компаниям, которые обрабатывают и хранят персональные данные клиентов или сотрудников, подготовить и подать все необходимые документы в Роскомнадзор в качестве оператора персональных данных.

CNews: Услуга предназначена для компаний, чьи ресурсы находятся в ЦОД Cloud?

Максим Ежов: Услуга ориентирована на логическую инфраструктуру заказчика и бизнес-процессы, в которых участвуют персональные данные клиентов. Поэтому ИТ-ресурсы клиента могут быть размещены за пределами ЦОДов Cloud. Это может быть любой ЦОД, любой офис, любая локация.

Услуга предназначена не только для того, чтобы снизить риски утечки ПДн, но, в первую очередь, для регистрации заказчика в качестве оператора ПДн.

Облачные платформы, в которых наши клиенты размещают свои виртуальные инфраструктуры, соответствуют требованиям 152-ФЗ в части хранения и доступа к данным. Мы предоставляем клиентам соответствующий набор подтверждающих документов для подготовки подачи заявки в Роскомнадзор.

CNews: Заказчик может расположить на ваших мощностях свои системы с ПДн (ИСПДн). Вы подтверждаете соответствие всей инфраструктуры?

Павел Павлов: Все наши облачные платформы аттестованы на соответствие требованиям 152-ФЗ. В Cloud на уровне инфраструктуры реализованы меры защиты ПДн в соответствии с подзаконными актами регуляторов. Это позволяет обрабатывать ПДн в нашем облаке, обеспечивая при этом максимальный 一 первый уровень защищенности данных. Но это не значит, что клиент может не беспокоиться о безопасности систем, размещаемых в облаке. Ему тоже следует принимать меры по защите своих информационных ресурсов.

Юлия Коршикова: Очень важно понимать распределение зон ответственности между заказчиком и провайдером сервисных услуг. За соответствие инфраструктуры, начиная с уровня физической защиты дата-центров, сети и хранилищ данных, защиты физических серверов и до уровня виртуализации, отвечает провайдер, то есть Cloud. Именно на этих технологических уровнях обеспечивается соответствие инфраструктуры Cloud требованиям 152-ФЗ.

При этом заказчик обязан обеспечить соответствие 152-ФЗ своей инфраструктуры на уровнях операционной системы, базы данных, приложений и самих данных. Стоить отметить, что содержимое данных заказчиков для Cloud 一 как черный ящик. Ответственность за их сохранность несет заказчик. В рамках услуги по соответствию 152-ФЗ мы помогаем сделать это правильно.

Максим Ежов: ИСПДн заказчика может быть распределенной: один элемент располагается в нашем ЦОДе, другой 一 в офисе компании, третий 一 на мощностях еще одного IaaS-провайдера. И вот даже каналы связи между этими площадками будут являться элементами ИСПДн. Так что соответствовать 152-ФЗ должны все элементы.

CNews: Как изменился спрос на услугу в 2022 году?

Максим Ежов: Операторы персональных данных всегда отвечают за корректное хранение и обработку персональных данных. Поэтому и потребность в подобных услугах есть всегда.

1 сентября 2022 года ужесточились требования по уведомлению Роскомнадзора об инцидентах с утечками персональных данных. С этого момента больше компаний стали внимательнее относиться к соответствию своей инфраструктуры требованиям 152-ФЗ.Соответственно, спрос на услугу резко вырос.

Павел Павлов: Действительно, заметны тенденции по усилению контроля со стороны регуляторов и по ужесточению санкций в отношении операторов ПДн за нарушения законодательства в области ПДн.

Помимо уже принятых в 2022 году поправок, в декабре прошлого года Минцифры сообщило о законопроекте, в котором предлагается ввести оборотные штрафы за утечку ПДн. Размер штрафов может достигнуть 3% от оборота компании. Сегодня штрафы для юрлиц составляют от ₽30 тыс. до ₽18 млн в зависимости от тяжести и повторения правонарушения. С 1 марта 2023 года вводятся новые положения по трансграничной передаче ПДн. Все эти факторы безусловно влияют на повышение актуальности услуги по защите ПДн в 2023 году.

CNews: Какие компании заказывают у вас услугу?

Максим Ежов: Это может быть и оператор связи, и магазин одежды, и небольшая компания, которая обрабатывает персональные данные своих 50 сотрудников. Чем больше объектов персональных данных у компании, тем больше потребность в услуге.

Если у компании есть сайт, на котором для личного кабинета надо указать ФИО и телефонный номер, то такая компания является оператором персональных данных и должна подать уведомление в Роскомнадзор. Многие организации не задумываются, насколько легко попасть под определение оператора персональных данных.

Чем более зрелый заказчик в области информационной безопасности, тем ниже спрос на услугу. Обычно в таких компаниях есть департаменты информационной безопасности, свои методологи и юристы в этой области. Ведь безопасность 一 это не только 152-ФЗ.

Павел Павлов: Услуга востребована компаниями, которые не могут или не заинтересованы своими силами обеспечивать защиту ПДн. Например, у клиента в штате отсутствуют специалисты с необходимыми компетенциями, или требуется срочно привести информационные системы, размещенные в облаке, в соответствие с требованиями 152-ФЗ в связи с предстоящей внеплановой проверкой регулятора. У нас есть эксперты, которые отлично знают особенности защиты ПДн в нашем облаке, могут оперативно подготовить всю необходимую организационную и техническую документацию, подобрать и внедрить средства защиты информации, помочь с аттестацией информационной системы персональных данных.

Юлия Коршикова: Cloud имеет все необходимые компетенции для выполнения работ в рамках услуги по соответствию 152-ФЗ. Речь не только о технической защите информации, но и о наличии методологии. Поэтому мы оказываем высококвалифицированные услуги в области ИБ.

CNews: Как вы определяете, какие меры нужны конкретной компании, чтобы обеспечить соответствие инфраструктуры требованиям 152-ФЗ?

Павел Павлов: Помимо нашей комплексной услуги по организации защиты ПДн мы даем возможность оценить необходимый перечень средств и мер по обеспечению безопасности ПДн с помощью бесплатного онлайн-сервиса на нашем сайте.

Любой наш потенциальный или действующий клиент может воспользоваться этим онлайн-сервисом. Необходимо указать параметры вашей информационной системы персональных данных (ИСПДн) и далее на email будет высланы наши базовые рекомендации по защите ПДн в Cloud.

В рамках предоставления сервиса в первую очередь мы обследуем информационную систему, с целью оценить ее текущую защищенность. Чтобы определить перечень мер защиты, мы применяем риск-ориентированный подход, формируя модель угроз и нарушителя. В результате перечень мер, который получает заказчик, направлен на нейтрализацию всех актуальных угроз безопасности.

При реализации рекомендаций могут применяться различные решения. Чтобы обеспечить техническую защиту ПДн, мы рекомендуем применять сервисы безопасности Cloud. Например, в качестве межсетевого экрана и системы обнаружения вторжения рекомендуем использовать NGFW Usergate, для обеспечения защищенного канала связи в облако 一 ГОСТ-VPN на базе VipNet, межсетевой экран уровня приложений 一 BI.ZONE WAF, средства антивирусной защиты 一 Kaspersky. Все эти средства сертифицированы регуляторами, то есть соответствуют требованиям безопасности, что значительно упрощает процесс аттестации ИСПДн.

Максим Ежов: Приведу пример на стандартном запросе клиента. К нам обратилась компания, в ИТ-отделе которой работает три человека и нет ИБ-специалиста. Требовалось определить, является ли компания оператором персональных данных. И если да, то пояснить, что нужно сделать, чтобы соответствовать требованиям законодательства.

Мы начали проверять бизнес-логику 一 на каких этапах у компании появляются персональные данные клиентов. Сразу же обнаружилось, что при оформлении покупки и указания номера телефона и адреса доставки через интернет-магазин нет согласия на обработку персональных данных. Это всем знакомая галочка, когда мы вводим свои персональные данные, например, при получении рассылочных материалов. Поэтому мы предоставили заказчику типовой шаблон формы согласия, и первым же шагом стала корректировка сайта 一программисты добавили опцию и разместили форму согласия на обработку персональных данных.

Далее мы увидели, что каналы связи не соответствуют требуемому уровню защищенности. Персональные данные клиентов заполнялись с личных мобильных устройств сотрудников и передавались в корпоративную базу данных по незащищенным каналам мобильного интернета. Мы установили специальное ПО, которое создает защищенный канал для передачи данных в зашифрованном виде и среду, которая не позволит утечь данным с недоверенного устройства.

Это не полный перечень работ на проекте, но именно эти два вида недочетов встречаются часто.

Другой пример, проект в более крупной компании, часть инфраструктуры которой расположена в Cloud и часть в собственном ЦОДе клиента. Компания повышала уровень защищенности 一 переходила с КС1 (средств криптографической защиты информации, СКЗИ) на КС3. На новом уровне компания не могла использовать виртуализацию, в том числе на каналах связи, а только физическое оборудование.

Мы составили план, какое физическое сетевое криптооборудование требовалось поставить компании вместо виртуального и как мигрировать с виртуальных средств на физические без перерыва в работе корпоративных систем.

Юлия Коршикова: Все проще, чем кажется. Заказчики приходят со своими задачами, например требуется уведомить Роскомнадзор или организовать защиту ПД при удаленном доступе. Иногда требуется комплексный аудит. Мы выбираем, как будем решать проблему заказчика.

Если мы говорим о соответствии инфраструктуры Cloud российскому законодательству, то мы применяем следующий подход:

• определяем, какого типа персональные данные будут обрабатываться в сегменте заказчика;
• определяем, какого уровня защиты персональных данных нам необходимо достичь, опираясь на постановление правительства № 1119;
• моделируем угрозы безопасности персональных данных по методологии ФСТЭК России, определяем актуальные угрозы;
• анализируем, какие меры защиты в соответствии с 21 приказом ФСТЭК России необходимо реализовать в инфраструктуре заказчика: часть необходимых для реализации мер можно реализовать уже имеющимися в виртуальной инфраструктуре Cloud средствами защиты информации, часть мер реализуются наложенными средствами защиты, которые заказчик может дополнительно приобрести у Cloud.

Также мы можем применять методологии зарубежных регуляторов, если это требуется заказчику, например ISO/IEC 27001 или PCI DSS. При построении системы защиты учитывается, где и как хранятся данные заказчика.

Если заказчик размещает данные в наших облаках, мы готовы обеспечить 1 первый уровень защищенности персональных данных. Также мы можем обеспечить 1 класс защиты для ГИС, реализацию мер защиты для 1 категории значимости ОКИИ, а также соответствие требованиям международных стандартов 一 ISO/IEC 27001, PCI DSS. Кроме того, мы предлагаем дополнительные меры защиты в соответствии с потребностями заказчика.

CNews: Как вы пришли к сертификации PCI DSS?

Юлия Коршикова: Мы исходили из потребностей одного из заказчиков в 2021 году. Это был первый подобный заказ, тем не менее мы не испугались и получили сертификат соответствия за три месяца, это очень быстро. Сжатые сроки назначил заказчик, который сразу приступил к сертификации своих систем.

Мы решили не останавливаться на достигнутом, и на сегодня большая часть инфраструктуры Cloud соответствует требованиям PCI DSS.

CNews: Бывает ли, что после оказания услуги производительность систем заказчика снижается?

Павел Павлов: Современные решения кибербезопасности позволяют ограничивать воздействие средств защиты на производительность защищаемых систем, например, в некоторых средствах антивирусной защиты можно указать максимально возможное потребление оперативной памяти. Это позволяет предостеречь от непредсказуемого влияния решения на быстродействие ОС.

Все наши сервисы безопасности проектируются с учетом системных требований, мы обязательно проводим все необходимые функциональные и нагрузочные тестирования в окружении, максимально приближенном к продуктивному.

CNews: Какие еще законодательные положения, кроме 152-ФЗ, должны учитывать российские компании при обеспечении информационной безопасности?

Юлия Коршикова: Указ президента от 5 мая 2022 года №250 обязал генеральных директоров компаний иметь заместителей по информационной безопасности. Малый и средний бизнес вводят эту роль, не расширяя штат. Например, сотрудник может быть одновременно коммерческим директором и директором ИБ. Такая расстановка не способствует усилению информационной безопасности, и в подобных случаях компаниям стоит задуматься об аутсорсинге услуг в области информационной безопасности. Cloud способен покрыть и такие потребности компаний.

■ erid:Pb3XmBtzt5wyhdjkY37roVUU36JTuU9d6knRjjeРекламодатель: ООО ОБЛАЧНЫЕ ТЕХНОЛОГИИИНН/ОГРН: 7736279160/5167746080057Сайт: https://sbercloud.ru/ru