13 Февраля, 2014

Трудная дорога в облака. Часть 1: паранойя.

Алексей Волков
Об использовании "облачных технологий", о великом будущем давно известной старушки-виртуализации, одетой ИТ-маркетологами в новую обертку и распиаренную с оглушительным масштабом, о выгодах, benefits и value, которые чудесным образом появляются везде, где есть возможность приладить "облако" - обо всем этом не говорит сейчас только ленивый вендор или интегратор. Маркетинг напирает и, наверное, уже не осталось ни одного заказчика, который бы хоть раз не читал продактшит или вайтпапер с броским словом "cloud" в заголовке. "Заказчик" - понятие собирательное, и каждая элементарная частица этого "сборища" воспринимает и реагирует на входящую информацию по разному: практичный бизнес и прогрессивный ИТ считают value, а ретроград-"безопасник" со всей своей подозрительностью зарывается в детали и, как правило, в них же и погибает.

Не миновали "облака" и автора этого блога: только за последний год я участвовал в рассмотрении почти двух десятков практических кейсов, связанных с переносом различных частей ИТ-инфраструктуры из "внутреннего" облака во "внешнее", интеграцией "частного" облака с другими такими же или передачей некоторых ИТ-сервисов во внешнее "облако" с различными моделями обслуживания. Так же, как и многие из вас, я изучал маркетинговые материалы и вникал в детали предложений - долго и дотошно. Когда предложения стали расти словно грибы после дождя, а бизнес стал требовать немедленной их оценки - время на анализ резко сократилось и возникла острая необходимость выработки критериев, отработав которые можно было бы вынести вердикт. Оказалось, что задачка эта с большим "подвохом"...

Признаюсь честно - первой моей реакцией на первый вопрос от бизнеса по поводу возможного использования "внешних" облаков для решения ИТ-задач было огромное внутреннее сопротивление. Как же так - мы тут, значит, создавали систему защиты, внедряли оргмеры, покупали и ставили техсредства, и только вроде все наладилось, и что - теперь все это никому не нужно? А как же люди, которые всем этим занимаются, включая меня самого - мы-то чем будем заниматься? Эти вопросы моментально продырявили мою голову и, понятное дело, инстинкт самосохранения потребовал выставить заградительные барьеры для внешних облачных поползновений на долгое время вперед. Наблюдая "лучшие практики" я давно уяснил, что самый эффективный инструмент для выставления барьеров - это законодательство РФ, а наиболее подходящими для этой цели являются набившие оскомину "персональные данные" и не столь популярная, но для меня актуальная "коммерческая тайна".

Пока я изучал предметную область и думал, как бы напугать вопрошающих про "облака" непреодолимыми законодательными барьерами и вернуть их на землю-матушку, моя паранойя понемногу начала угасать. Оказалось, что ни один провайдер облачных услуг ничего не будет делать за бесплатно: в базовое предложение, как правило, входит ограниченный и бестолковый набор опций, связанный с обеспечением безопасности, а все "вкусное" либо не предоставляется вообще, либо предоставляется за отдельную плату и весьма существенно увеличивает стоимость услуги. Ответ "да" на резонный вопрос от бизнеса "а нужны ли нам эти опции" аргументировался наличием двух обстоятельств.

Первое - это существенное расширение круга лиц, имеющих возможность получения полного доступа к информации (сотрудники провайдера, его подрядчика, "соседи", спецслужбы и т.д.) и, как следствие, необходимость более тщательного контроля. Второе - это необходимость реализации уже существующих мер безопасности в "чужой" инфраструктуре. Отказываться от шифрования сообщений электронной почты сертификатами корпоративного УЦ или управления доступом к ERP-системе бизнес не хотел, провайдер за меня все это делать вообще не собирался, и поэтому мне необходимо было обеспечить интеграцию его площадки в свою ИБ-инфраструктуру.

Мысль о том, что работы у ИБ не убавится, а совсем наоборот, окончательно придавила облачную паранойю здравым смыслом, и позволила мне трезво взглянуть на требования и ограничения законодательства. Прежде всего - на "персональные данные". В отсутствие "облаков" они обрабатываются привычным образом "внутри" организации, в том числе в ИТ-инфраструктуре. "Обрабатываются" - значит "собираются, записываются, систематизируются, накапливаются, хранятся, уточняются (обновляются, изменяются), извлекаются, используются, передаются (распространяются, предоставляются, организуется доступ), обезличиваются, блокируются, удаляются, уничтожаются" и что еще угодно. И если хотя бы одно из этих действий с ПДн планируется осуществлять в "чужой" инфраструктуре - перед началом необходимо "обернуть" задачу в увесистый рулон бумаги.

Самый простой пример - "облачная" система хранения данных. Можно долго рассуждать о том, является ли провайдер такого облака "лицом, осуществляющим обработку ПДн по поручению оператора", если он (провайдер) не знает, что за данные хранит в его СХД оператор. От этого, конечно, зависит многое: нужно ли заключать с провайдером договор-"поручение оператора", нужно ли вносить изменения в форму согласия субъекта на обработку ПДн и повторно собирать его, наконец - нужно ли решать проблему наличия сертифицированных СЗИ у иностранного провайдера и сертифицированных СКЗИ при трансграничной передаче. Да и какие "цели обработки ПДн" написать в таком "поручении"?

Ответ на этот вопрос в законодательстве отсутствует, а значит - переведен в плоскость отношений "регулятор-оператор-субъект" и отдан на откуп экспертам. Конечно, оператор может воспользоваться этим "нюансом", но ведь принцип добросовестности никто не отменял: как ни крути, а обработка все же организуется при помощи ресурсов стороннего юридического лица, и что бы кто не говорил о незнании о характере хранимых в облаке данных и не писал в договорах об отсутствии доступа сотрудников провайдера к ним - это, конечно же, не так. А если у провайдера эти данные из СХД "утащат" - как оператору доказать, что утекшие данные были переданы провайдеру, и потому провайдер теоретически мог допустить утечку? А ведь без доказательства вины нельзя возместить ущерб.

Да и не одними персональными данными живет ИБ: в случае с коммерческой тайной просто необходимо указать, какая именно информация будет передана в "облако", хотя бы для того, чтобы иметь основания для обеспечения провайдером ее конфиденциальности и отрегулировать связанные с коммерческой тайной вопросы (учет лиц, организация доступа, маркирование носителей, технические меры защиты) в соответствующем договоре. В противном случае у обладателя коммерческой тайны (то есть меня) не будет никаких законных оснований даже заикнуться о компенсации ущерба в результате разглашения контрагентом (то есть "облачным" провайдером) информации, составляющей коммерческую тайну.

Обдумав все хорошенько, я решил, что "облачный" провайдер, все же, должен знать, какие данные я ему передаю. Получалось, что перед стартом мне необходимо организовать внесение изменений в согласия на обработку ПДн и пересобрать их, а также заключить договор с провайдером, в котором описать все, что требует законодательство в области персональных данных и коммерческой тайны, плюс организационные и технические меры защиты, которые необходимы мне для реализации внутренних требований, и самое главное - вопросы, связанные с компенсацией возможного ущерба "в случае чего".

По поводу защиты каналов передачи данных исключительно сертифицированными СЗИ и/или СКЗИ я особо "не парился", и отдал его на откуп бизнесменам. Да, риск претензий со стороны регуляторов существует, я его отметил и, конечно, в случае с российским провайдером можно использовать сертифицированный ГОСТ - но это дополнительные затраты. В случае с "забугорным" провайдером появляется неустранимый риск "выключенного рубильника" - он реализуется, если наша Дума вдруг надумает отрубить РФ от мирового интернет-пространства, и его я тоже отметил. Как использовать сертифицированные СЗИ и СКЗИ на территории иностранных государств регуляторы пока не придумали, поэтому ничего страшного не будет, если VPN до провайдера будет построен на забугорном оборудовании. От предписаний еще никто не умирал: придут, проверят, напишут как - сделаем.

А вот вопрос с компенсацией ущерба меня заставил серьезно задуматься: и в случае с персональными данными, и (что гораздо ближе к телу) с коммерческой тайной я упирался именно в него. Здесь нужно было "поковырять" поглубже - поэтому я запросил у нескольких "облачных" провайдеров, предлагавших свои услуги, полный пакет документов, которые предстояло заключить мне, как потенциальному клиенту.

Продолжение следует...

или введите имя

CAPTCHA
Cron
13 Февраля, 2014
Облака Ростелекома.
Вот это тема! Ростелеком предоставляет такие же параноидальные облака без ИБ. Погуглите МИС О7. Актуально! Автор пиши дальше.
0 |
ьрп
14 Февраля, 2014
по сути верно, но "вайтпапер"...
0 |