Наша IaaS-платформа Cloud-152 одновременно сертифицирована по требованиям PCI DSS и имеет сертификат соответствия 152-ФЗ по УЗ-2 (без текущих угроз 1-го и 2-го типов).
Эта же платформа также включена в состав нашей системы управления информационной безопасностью (ISMS), сертифицированной по стандарту ISO/IEC 27001:2013. Об этом и о Альянс STAR Cloud Security (CSA) Я вам тоже когда-нибудь обязательно расскажу, но сегодня остановлюсь на преимуществах синергии PCI DSS и 152-ФЗ для наших клиентов.
Мы живем в России, наши клиенты в основном ведут бизнес в РФ, и каждый обязан соблюдать требования российского законодательства в области защиты персональных данных.
Тот же Федеральный закон «О персональных данных» от 27 июля 2006 г.
№ 152-ФЗ и изменения к нему от 242-ФЗ от 21 июля 2014 г.
об обработке персональных данных граждан Российской Федерации в базах данных, расположенных на территории Российской Федерации.
Не всем нужен GDPR, и я также вынесу эту тему за рамки данной статьи.
152-ФЗ был призван защитить права субъектов персональных данных.
Закон не дает готовых рецептов защиты персональных данных путем внедрения и настройки мер безопасности (СИБ).
Если опускаться на более «конкретный» уровень Постановления Правительства № 1119, Приказа ФСТЭК России № 21 и Приказа ФСБ России № 378, то речь идет скорее о факте наличия средств (в некоторых случаях сертифицированных), а не о том, как все это должно быть настроено, чтобы быть безопасным.
PCI DSS определяет требования к безопасности данных для индустрии платежных карт. Сфера его действия связана с деньгами, которые традиционно все оберегают особенно тщательно.
Там больше конкретики, требований и листов для чтения :).
Возможно, само соединение на одной платформе PCI DSS и 152-ФЗ кому-то покажется странным, но для нас это имеет смысл.
Это не просто два в одном флаконе, но и, что более важно, сочетание бумаги и практической безопасности.
Ниже я приведу несколько примеров этой системы «сдержек и противовесов».
Пример 1. Сертификат на инфраструктуру, соответствующую требованиям 152-ФЗ, выдается сроком на 3 года.
За это время ничего в инфраструктуре не должно меняться, либо это должно быть согласовано с организацией, выдавшей сертификат. Сертификация означает фиксацию системы на целых три года.
Насколько инфраструктура соответствует требованиям от проверки к проверке, зависит от совести сертифицированного человека.
PCI DSS имеет более короткий цикл аудита: аудит проводится каждый год. Помимо этого 2 раза в год проводится пентест (внешний и внутренний нарушитель) и 4 раза в год сканирование ASV (Approved Scanning Vendor).
Этого достаточно, чтобы поддерживать инфраструктуру в хорошем состоянии.
Пример 2. Сертификация по 152-ФЗ имеет свою цену, а это ограничения в выборе программного обеспечения и средств безопасности.
Если вы собираетесь проходить аттестацию, то все они должны быть проверенный .
Сертифицировано – значит не последние версии ПО и информационной безопасности.
Например, сертифицирован PAC CheckPoint, модельный ряд 2012 года, прошивка R77.10. Сертификация на данный момент R77.30, но ее поддержка вендорами заканчивается уже в сентябре 2019 года.
PCI DSS не имеет таких требований (кроме сканера — он должен быть из утвержденного списка).
Это позволяет параллельно использовать средства безопасности, у которых нет проблем с актуальностью версий.
Пример 3. И 152-ФЗ, и PCI DSS требуют межсетевого экрана (М?).
Только ФНС России просто требует его наличия, а в случае сертификации еще и наличия сертификата соответствия требованиям ФНС России.
При этом ФСТЭК не предъявляет никаких требований к его настройке и обслуживанию.
На самом деле фаервол может просто быть, но работает ли он корректно и работает ли в принципе, в документе не говорится.
Такая же ситуация и со средствами антивирусной защиты (AVP), средствами обнаружения вторжений (IDF) и средствами защиты информации от несанкционированного доступа (IPS от НСД).
Проверки сертифицирующих организаций также не могут гарантировать, что все работает так, как надо.
Зачастую все ограничивается загрузкой всех правил фаервола.
Бывает и так, что просто удаляют контрольные суммы из файлов ОС Gaia (CheckPoint OS).
Эти файлы изменяются динамически, как и их контрольная сумма.
Смысла в таких проверках мало.
Также существуют требования со стороны производителей сертифицированных средств защиты информации к их установке и эксплуатации.
Но в своей практике я видел очень мало сертификаций (не государственной тайны), в ходе которых проверялось бы выполнение технических условий на систему защиты информации.
Стандарт PCI DSS требует, чтобы владелец сертификата анализировал правила межсетевого экрана раз в шесть месяцев.
Раз в месяц специалисты центра киберзащиты «ДатаЛайн» проверяют правила М? в Облаке-152 найти ненужные, временные и неактуальные.
Каждое новое правило проходит через нашу Службу поддержки, и описание этого правила фиксируется в тикете.
При создании нового правила на M? в комментарии пишется номер заявки.
Пример 4. Приказ ФСТ России № 21 предполагает необходимость иметь сканер уязвимостей, опять-таки сертифицированный для сертификации.
В качестве дополнительной меры предусмотрен пен-тест, тестирование на проникновение IP в п.
11. Еще есть забавная вещь с отчетами этих сканеров.
Когда наши клиенты проходят сертификацию своего ИП, размещенного в Облаке-152, часто сертифицирующая организация хочет получить пустой отчет, в котором нет уязвимостей в сертифицируемом ИП.
Кроме того, эксперты обычно ограничиваются внутренним сканированием.
В моей практике внешнее сканирование аттестаторами проводилось всего несколько раз, и это были компании с именем.
В PCI DSS четко указано не просто наличие сканера, но и регулярное сканирование ASV (Approved Scanning Vendor) 4 раза в год. По его результатам инженеры вендора проверяют отчет и дают заключение.
А тестирование на проникновение Cloud-152 проводится 2 раза в год в соответствии с требованиями PCI DSS. Пример 5. Многофакторная аутентификация.
Приказ ФНС России № 21 такого требования прямо не содержит. PCI DSS требует многофакторной аутентификации.
Теперь посмотрим, как стандарт и закон «уживаются» на одной инфраструктуре.
Об устройстве Облако-152
Сегмент управления Cloud-152 и клиентская зона расположены на разном физическом оборудовании в выделенных стойках с контролем доступа и видеонаблюдением.Cloud-152 построен на базе VMware vSphere 6.0 (сертификат № 3659).
В ближайшее время перейдем на 6.5, а 6.7 уже находится на инспекционном контроле.
Мы не используем дополнительную информационную безопасность на уровне виртуализации, поскольку подписываем с нашими клиентами строгий SLA относительно доступности IaaS-платформы, поэтому стараемся минимизировать дополнительные точки отказа.
Сегмент управления Cloud-152 отделен от сетей DataLine, клиентских сетей и от сети Интернет с помощью сертифицированного межсетевого экрана и решения по обнаружению вторжений Check Point (Сертификат № 3634).
Перед доступом к виртуальным ресурсам администраторы на стороне клиента проходят двухфакторную аутентификацию SafeNet Trusted Access (STA).
Администраторы Cloud-152 подключаются к облаку через инструмент мониторинга и отслеживания действий привилегированных пользователей СКДПУ (сертификат №3352).
Затем они также проходят двухфакторную аутентификацию и только после этого получают доступ к управлению Cloud-152. Этого требует стандарт PCI DSS. Мы используем SecretNet Studio (сертификат №3675) как средство защиты от несанкционированного доступа.
Антивирусная защита обеспечивается посредством Kaspersky Security для виртуализации (сертификат № 3883).
Облако-152 использует сразу три сканера:
- сертифицирован XSpider (сертификат №3247) на соответствие требованиям 152-ФЗ.
Пользуемся раз в квартал.
- Nessus за реальную работу по поиску и анализу уязвимостей платформы Cloud-152.
- Qualys — тот сканер, который нам нужен для внешнего сканирования по требованиям PCI DSS. Пользуемся им ежемесячно, а иногда и чаще.
В настоящее время мы находимся в процессе поиска нового решения и проведения испытаний.
SIEM необходим для соответствия PCI DSS. 
Схема Облако-152
Теперь, когда я подробно описал, как соблюдение PCI DSS в IaaS-платформе по 152-ФЗ помогает достичь реальной безопасности, вы наверняка спросите: зачем все так усложнять, если можно заставить работать и без всякого PCI DSS. Да, можете, но вместе с PCI DSS у нас есть подтверждение этого в виде сертификата, который мы подтверждаем ежегодно.
Теги: #информационная безопасность #pci dss #ИТ-инфраструктура #облачные сервисы #152-ФЗ #Облачные вычисления #безопасность
-
Sieve: Фильтрация Почты На Стороне Сервера
19 Oct, 24 -
Отношения С Ит. Часть Третья. О Будущем
19 Oct, 24 -
Подробнее О Кино 2.0
19 Oct, 24 -
Бета-Версия Opera Mini 4.1
19 Oct, 24 -
Умный Дом – Общая Архитектура Системы
19 Oct, 24
