Выполнение требований регуляторов as a service

20 Августа 2015 09:17
Все организации банковской системы Российской Федерации, так или иначе, попадают под действие требований регуляторов в сфере информационной безопасности - 152-ФЗ «О персональных данных», положение ЦБ РФ № 382-П, комплекс СТО БР ИББС и PCI DSS и т.д.

Источников таких требований достаточно много, кроме того, необходимо постоянно отслеживать все изменения в них, не забывая и о глубокой взаимосвязи со всеми банковскими бизнес-процессами и инфраструктурой, которые также подвергаются постоянным коррективам. Данный процесс требует привлечения большого числа дополнительных ресурсов.

Тенденцией последнего времени стала передача инфраструктуры в центры обработки данных или облачным провайдерам. Плюсы такого процесса уже были не раз описаны, и нет необходимости их пересказывать. Мы, со своей стороны, попробуем рассмотреть, как же в этой ситуации обстоят дела с информационной безопасностью?

Большинство ЦОДов и облачных провайдеров включают требования по целостности информации и доступности сервисов в свои SLA. Однако, с обеспечением конфиденциальности, а тем более с compliance дела обстоят несколько хуже. В связи с этим, возникает вопрос, возможно ли создать сервис, который позволит клиентам уже на уровне подключения к сервису решить все или часть проблем по соответствию требованиям регуляторов, минимизировав вовлеченность клиентов в процесс выполнения этих требований?

Решать такую задачу, не управляя инфраструктурой, получается плохо, так как ее решение на базе ЦОД, оказывающего только услуги collocation, сведется к выполнению сервис-провайдером исключительно требований по физической защите инфраструктуры. По этой причине, было разработано функциональное решение, уже реализованное на данный момент в рамках ряда проектов на территории Российской Федерации. Решение основано на базе облачного сервиса, предоставляющего своим клиентам услуги хостинга виртуальных серверов.

Забегая немного вперед, расскажем, что в рамках этого решения на сторону облачного провайдера возложены следующие функции:

• Предоставление и администрирование виртуальной инфраструктуры, а также средств защиты;
• Включение информационных систем клиентов в защищенный контур, соответствующий заявленным требованиям регуляторов;
• Создание и поддержание в актуальном состоянии процессов защиты и необходимой для их реализации документации (в том числе документов, необходимых для выполнения требований 152-ФЗ);
• Отслеживание изменений в требованиях регуляторов и информирование о них клиентов.

Теперь попробуем рассказать про все функции подробнее.
Очевидно, что все требования государственных регуляторов никогда не удастся полностью переложить на сервис-провайдера, так как управлением, находящимся «внутри» виртуальных машин будет, по понятным причинам, заниматься сам клиент, работать с информационными системами также будут сотрудники клиента.

Однако, ничего не мешает сервис-провайдеру построить вокруг систем клиента защищенный контур, максимально обеспечив его средствами защиты, необходимыми для выполнения требований регуляторов. Как минимум, сервис-провайдер может взять на себя следующие задачи:

• управление доступом и регистрация событий внутри среды виртуализации;
• межсетевое экранирование;
• обнаружение/предотвращение вторжений на сетевом уровне;
• предоставление защищенных каналов связи;
• резервное копирование;
• сбор, а также, возможно, анализ событий информационной безопасности, происходящих в системах клиента;
• контроль уязвимостей.

Кроме требований к использованию средств защиты, регуляторы выдвигают множество требований к процессам управления и обеспечения информационной безопасности вокруг них. При построении сервиса провайдер услуг должен не забывать и о «правильном» построении собственных процессов, данный сервис поддерживающих. Тем не менее, клиенту в любом случае потребуются дополнительные наложенные средства защиты, например, антивирусы. Чтобы наше решение было полноценным, провайдер должен быть готов предоставлять наложенные СЗИ клиентам в аренду, иначе решения «под ключ» у нас не получится.

Теперь попробуем разобраться с распределением ответственности в этой схеме.
Наш облачный провайдер предоставляет виртуальную инфраструктуру и каналы связи, но не управляет тем, что происходит внутри виртуальных машин.

Возвращаясь к соответствию требованиям 152-ФЗ «О персональных данных», в значениях терминов мы видим, что сервис-провайдер не является Оператором, так как не определяет цели обработки, состав ПДн и операции над ними. Получается, исходя из 152-ФЗ, он является Обработчиком, не отвечает перед регуляторами за выполнения требований законодательства и должен выполнять те требования, которые возложены на него договором с Оператором. Так какие же требования необходимо включить в договор?

Провайдер не может отвечать за то, что стоит внутри виртуальных машин, следовательно, управление доступом и антивирусы (за исключением хитрых решений с безагентными антивирусами) он взять на себя не может. А вот наложенными средствами защиты, перечисленными выше, и защитой виртуализации может управлять только провайдер, и больше никто.

Итак, мы определились, какие средства защиты нам использовать, какие требования указать в договоре с провайдером, но что еще мы можем предложить для упрощения работы клиента?

Во-первых, будет полезно сертифицировать инфраструктуру провайдера, например, в соответствии с регулятором PCI DSS. Таким образом, гарантируется выполнение требований не только условиями договора, но и сертификатом, выданным внешним аудитором.

Во-вторых, у нас будет достаточно информации о клиенте и средствах защиты (как минимум, в части расположенной у сервис-провайдера), чтобы предложить более расширенный пакет услуг. Например, анализ событий информационной безопасности, консалтинг по вопросам применения требований регуляторов, помощь во взаимодействии с этими регуляторами и т.д.

Подводя итоги, мы видим, что сервис в силах помочь решить задачу по выполнению требований регуляторов, минимизировав трудозатраты и финансовые вложения клиента; соответствие сервиса текущим требованиям теперь является задачей провайдера, а не оператора.
вернуться назад

События

Новости

Корпоративные новости