Зберігання та обробка персональних даних в хмарі

1. без хмари
2. з'явилася хмара
3. Вибір хмарного провайдера з точки зору ФЗ-152
4. аудиторія
5. Інфраструктура в хмарі: реальний кейс
6. умови:

Наша взаимовыгодная связь https://banwar.org/

Предмет цієї статті - всіма нами улюблений ФЗ-152 і хмара. Багато підприємств, що мігрували свою IT-інфраструктуру в хмару, стикаються з одним підводним каменем - відповідністю ФЗ-152. Адже при «переїзді в хмару» відбувається перенесення в хмару і персональних даних.

без хмари

Коли хмари немає, то все досить зрозуміло (ми не пишемо «просто»). Потрібно визначити рівень захищеності і прийняти запропоновані законом заходи щодо захисту персональних даних - встановити сертифіковані ФСТЕК антивірус, брандмауер, налаштувати шифрування даних - при необхідності, «підняти» VPN, а також прийняти інші необхідні законодавством заходи для захисту персональних даних. Крім установки програмного забезпечення, закон вимагає забезпечити і фізичну охорону даних.

з'явилася хмара

Будь-яка організація, яка намагається йти в ногу з часом, використовує в тій чи іншій мірі хмари. Хтось орендує віртуальний термінальний сервер і встановлює на нього 1C , Хтось просто купує хмарне сховище для зберігання резервних копій, а разом з резервними копіями в хмару потрапляють і персональні дані.

При використанні хмари, виходить, що ви довіряєте третій стороні зберігання і обробку персональних даних (співробітників, клієнтів і т. Д.). Дуже просто порушити закон (що обійдеться вам в копієчку), якщо ви зробите неправильний вибір хмарного провайдера.

Вибір хмарного провайдера з точки зору ФЗ-152

При виборі хмарного провайдера зверніть увагу на два фактори: власник дата-центру і наявність необхідних ліцензій ФСТЕК і ФСБ. Іншими словами, провайдер повинен мати власний ЦОД і всі необхідні ліцензії ФСТЕК і ФСБ. В іншому випадку зберігання персональних даних в такому ЦОД буде порушенням закону.

Компанія Xelent пропонує послугу віртуальний дата центр, Virtual Datacenter , Яка будується на моделі IaaS (infrastructure as a service). Дана послуга - ідеальне рішення для середніх і великих компаній. Клієнт отримує пул ресурсів, а потім створює потрібну кількість машин. Управління віртуальним дата-центром проводиться через особистий кабінет клієнта.

Переваги віртуального дата-центру від Xelent наступні:

1. Фізично VDC розміщений у власному об'єкті, що охороняється ЦОД рівня TIER III.
2. Наявність ліцензій ФСТЕК і ФСБ.
3. Наявність сертифіката PCI DSS
4. Стандартний SLA 99,9%
5. Цілодобова технічна підтримка
6. Масштабованість - клієнт може змінити продуктивність на будь-якому етапі життєвого проекту.
7. Xelent має всі необхідні ліцензії для надання послуг у сфері захисту персональних даних.
8. Відсутність витрат на електропостачання і модернізацію апаратури.
9. Можливість отримати встановлене ПЗ.
10. Централізоване управління.

Віртуальний дата-центр вирішує відразу безліч проблем: вам не потрібно турбуватися ні про ліцензії (всі ліцензії є у ​​Xelent), ні про безпеку ваших даних (надійність послуги підтверджується тими ж ліцензіями ФСБ і ФСТЕК, а також сертифікатом PCI DSS), ні про фізичну охорони персональних даних. Все, що вам потрібно - це скористатися послугою VDC від Xelent.

аудиторія

Послуга VDC буде актуальною для наступних підприємств:

• Інтернет магазини.
• Системи маркетингових комунікацій.
• Системи бухгалтерського обліку і відділу кадрів.
• Системи, що здійснюють обробку платежів.
• Багато інших організацій, які вважають за краще хмарну інфраструктуру і не хочуть мати проблем з законом.

Додаткова інформація, в тому числі конфигуратор віртуального дата-центру, доступна за посиланням: https://www.xelent.ru/services/vdc/

Якщо хмари для вас
не просто теорія

Широкий спектр послуг
по виділеним півночі
і мультіклауд-рішень

Конфігурація VPS і безкоштовний тест вже через 2 хвилини

Організація вашої IT-інфраструктури на основі мультіклауд-рішення

Інфраструктура в хмарі: реальний кейс

Розглянемо реальний випадок перенесення інфраструктури компанії в хмару відповідно до ФЗ-152. Коротенько передісторія: до нас звернувся клієнт, якому потрібно перенести існуючу інфраструктуру в хмару з дотриманням всіх вимог ФЗ-152. При цьому системі персональних даних клієнта присвоєно клас К1, тобто порушення заданої характеристики безпеки персональних даних, які обробляються в такій системі, може призвести до значних негативних наслідків для суб'єктів персональних даних.

Клієнту дуже важливо наявність ЦОД, в якому можна зберігати і обробляти дані класу К1. Клієнт попросив надати всі підтверджуючі це сертифікати, ліцензії та моделі загроз.

Проект мав на увазі виділення трьох віртуальних машин:

1. Контролер домену (2CPU / 4RAM / 50ГБ)
2. Сервер програми (8CPU / 28RAM / 500ГБ)
3. Сервер БД (16CPU / 48RAM / 1000Гб)

Підключення до ЦОД потрібно організувати по захищеному каналу зв'язку.

Також клієнта цікавили наступні питання:

1. Терміни надання всіх документів.
2. Чи є можливість масштабування виділених ресурсів?
3. Вартість оренди обладнання в місяць.

У свою чергу, для розрахунку вартості впровадження проекту нам, як провайдеру, знадобилася певна інформація, тому клієнту було наведено списку питань. Питання і відповіді на них наведені в таблиці 1.

Таблиця 1. Інформація, необхідна для твору розрахунку вартості

Питання Відповідь Що надає собою ІС замовника ІС надає собою ГІС. Чи планується атестація ІС? ГІС атестована Кількість серверів 3 Чи потрібна допомога з підготовкою необхідної документації ІС?
Документація буде підготовлена ​​самостійно Яка смуга потрібно для адміністрування?
За замовчуванням 20 Мбіт / с
20 Мбіт / с достаточно Які плануєте використовувати ОС?
Звичайні версії або дистрибутиви ФСТЕК?
Windows Server, звичайні дистрибутиви будуть використовуватися термінальні сервери на базі Windows Server?
Скільки користувачів в кожному?
- Чи потрібні антивіруси для серверів з Linux?
Закон ФЗ 152 допускає відсутність антивіруса для ОС Linux при відповідному оформленні моделі документації ІС
- Хто буде виконувати адміністрування ОС і встановлених на серверах засобів захисту відповідно до вимог ФЗ 152?
Адміністрування буде виконуватися силами замовника

Відповідно до отриманої від замовника інформацією, було підготовлено комерційну пропозицію. У ньому були враховані наступні моменти:

1. Відображено вартість оренди пулу ресурсів.
2. Вартість резервного копіювання даних.
3. Вартість серверних засобів захисту інформації. Нами були запропоновані наступні засоби: засіб захисту віртуалізації vGate, сертифікований ФСТЕК антивірус Dr. Web Desktop Security Suite, засіб захисту від несанкціонованого доступу Secret Net Studio, засіб аналізу захищеності XSpider.
4. Вартість засобів захисту інформації для АРМ: VPN client ГОСТ KC1 і Кріптошлюз С-Терра KC1.

У вартість входить проживання у дата-центрі рівня Tier 3 (TIA-942), сертифікованому по PCI / DSS, канал 10/100 Мбіт / с, канал для адміністрування 20 Мбіт / с, захист середовища віртуалізації для 2-х серверів, виділена мережа на 8 IPv4-адрес. Детально про все це написано в наведеному нижче комерційній пропозиції.

Таблиця 2. Комерційна пропозиція: захищена віртуальна інфраструктура до вимог ФЗ-152

Комерційна пропозиція (22.03.2018)
Захищена віртуальна інфраструктура відповідно до вимог
Федерального Закону №152 (ГІС) "Про персональні дані»

Оренда пулу ресурсів (Allocated)

№ Найменування ресурсу Орендна плата
за одиницю Кількість одиниць Сума 1 1Ghz Xeon 1vCPU 330 52 17 160,00 2 1Gb RAM ECC 630 80 50 400,00 3 1Gb HDD RAID-DP по FC / NFS, (0.1 IOps per 1Gb included) 5 0 0,00 4 1Gb HDD RAID-DP по FC / NFS, (1 IOps per 1Gb included) 9 1 550 13 950,00 5 1Gb SSD RAID-DP по FC / NFS, (30 IOps per 1Gb included) 50 0 0,00 6 Збільшення порога операцій введення-виведення для HDD (за 1 IOps) 6 0 0,00 Підсумок по оренді пулу обчислювальних ресурсів, за місяць: 81 510,00 Резервне копіювання даних (backup) 7 Резервування віртуальних машин (за машину) 525 3 1 575, 00 8 Резервне копіювання з глибиною зберігання - тиждень (7 щоденних копій), за 1 GB загального обсягу VM 5 1 550 7 750,00 9 Резервне копіювання з глибиною зберігання - місяць (7 щоденних, 3 щотижневі копії), за 1 GB загального обсягу VM 12 0 0,00 10 Створення резервних копій з глибиною зберігання - рік (7 щоденних, 3 щотижневі, 11 щомісячних стрічкових копій), за 1 GB загального обсягу VM 18 0 0 , 00 Підсумок з резервного копіювання даних: 9 325,00 Засоби захисту інформації (серверні) 11 Базовий набір ФЗ 152:
-ГОСТ VPN клас КС1 на базі S-Terra смуга 20 Мбіт / с
-Засіб захисту віртуалізації vGate для 2-х серверів
-Адміністрірованіе мережевий і віртуальної інфраструктури
-Знищення ПДН на носіях 20 000 1 20 000,00 12 Засіб захисту віртуалізації vGate для додаткової ВМ 6 000 1 6 000,00 13 сертифікованих ФСТЕК антивірус Dr. Web Desktop Security Suite (за 1 сервер) 100 0 0,00 14 Засіб захисту від несанкціонованого доступу Secret Net Studio (Включає Анівірусную захист, засіб від несанкціонованого доступу, СОВ, шифрування диска, до 3-х термінальних підключень) 1 000 3 3 000,00 15 Засіб аналізу захищеності xSpider (за 1 сервер) 900 3 2 700,00 Разом по серверним СЗІ, за місяць: 31 700,00 Засоби захисту інформації (АРМ) 16 VPN client ГОСТ KC1 для ОС Windows (ліцензія неконкурентна на 1 користувача) 900 1 900,00 17 Крітошлюз С-Терра KC1 (до 10 тунелей, смуга 40 Мбіт / сек) 7 470 1 7 470,00 Підсумок по клієнтським СЗІ, за місяць: 8 370,00 Разом вартість оренди інфраструктури 130 905 Інсталяційний пла теж:
(Проектування і первинна активація захищеного сегмента віртуальної інфраструктури,
настройка СЗІ) 165 768

умови:

• Розміщення в дата-центрі:
  Санкт-Петербург - StackDataNetworks, Tier 3 (TIA-942), PCI / DSS certified.
• У вартість включено:
  канал 10 / 100MBit / s (CIR / BIR), канал 20 Мбіт / с ГОСТ VPN КС1 для адміністрування ІС ПДН, захист середовища віртуалізації для 2-х серверів, виділена мережа на 8 IP v4 адрес (5 корисних), DNS сервера.
• оплата:
  щомісячна, за фактом надання послуг.
• Доступність віртуальної інфраструктури:
  99,9% по SLA.
• Пропозиція дійсна протягом місяця з дня його виставлення.
• Всі ціни наведені в рублях / міс, всі податки включені.
• Мінімальний термін надання послуги - 6 місяців
• Ліцензії засобів захисту інформації надаються в складі послуги
• Послуги адміністрування відповідно до вимог ФЗ 152 осущестляются на базі:
• CentOS 7.1 x64 (версія ядра 3.10.0-229);
• CentOS 6.5 x86 / x64 (версія ядра 2.6.32-431);
• Windows Server 2012 / Server 2012 R2;
• Windows Server 2008 SP2 / Server 2008 R2 SP1.