13 Февраля, 2014

Трудная дорога в облака. Часть 1: паранойя.

Алексей Волков
Об использовании "облачных технологий", о великом будущем давно известной старушки-виртуализации, одетой ИТ-маркетологами в новую обертку и распиаренную с оглушительным масштабом, о выгодах, benefits и value, которые чудесным образом появляются везде, где есть возможность приладить "облако" - обо всем этом не говорит сейчас только ленивый вендор или интегратор. Маркетинг напирает и, наверное, уже не осталось ни одного заказчика, который бы хоть раз не читал продактшит или вайтпапер с броским словом "cloud" в заголовке. "Заказчик" - понятие собирательное, и каждая элементарная частица этого "сборища" воспринимает и реагирует на входящую информацию по разному: практичный бизнес и прогрессивный ИТ считают value, а ретроград-"безопасник" со всей своей подозрительностью зарывается в детали и, как правило, в них же и погибает.

Не миновали "облака" и автора этого блога: только за последний год я участвовал в рассмотрении почти двух десятков практических кейсов, связанных с переносом различных частей ИТ-инфраструктуры из "внутреннего" облака во "внешнее", интеграцией "частного" облака с другими такими же или передачей некоторых ИТ-сервисов во внешнее "облако" с различными моделями обслуживания. Так же, как и многие из вас, я изучал маркетинговые материалы и вникал в детали предложений - долго и дотошно. Когда предложения стали расти словно грибы после дождя, а бизнес стал требовать немедленной их оценки - время на анализ резко сократилось и возникла острая необходимость выработки критериев, отработав которые можно было бы вынести вердикт. Оказалось, что задачка эта с большим "подвохом"...

Признаюсь честно - первой моей реакцией на первый вопрос от бизнеса по поводу возможного использования "внешних" облаков для решения ИТ-задач было огромное внутреннее сопротивление. Как же так - мы тут, значит, создавали систему защиты, внедряли оргмеры, покупали и ставили техсредства, и только вроде все наладилось, и что - теперь все это никому не нужно? А как же люди, которые всем этим занимаются, включая меня самого - мы-то чем будем заниматься? Эти вопросы моментально продырявили мою голову и, понятное дело, инстинкт самосохранения потребовал выставить заградительные барьеры для внешних облачных поползновений на долгое время вперед. Наблюдая "лучшие практики" я давно уяснил, что самый эффективный инструмент для выставления барьеров - это законодательство РФ, а наиболее подходящими для этой цели являются набившие оскомину "персональные данные" и не столь популярная, но для меня актуальная "коммерческая тайна".

Пока я изучал предметную область и думал, как бы напугать вопрошающих про "облака" непреодолимыми законодательными барьерами и вернуть их на землю-матушку, моя паранойя понемногу начала угасать. Оказалось, что ни один провайдер облачных услуг ничего не будет делать за бесплатно: в базовое предложение, как правило, входит ограниченный и бестолковый набор опций, связанный с обеспечением безопасности, а все "вкусное" либо не предоставляется вообще, либо предоставляется за отдельную плату и весьма существенно увеличивает стоимость услуги. Ответ "да" на резонный вопрос от бизнеса "а нужны ли нам эти опции" аргументировался наличием двух обстоятельств.

Первое - это существенное расширение круга лиц, имеющих возможность получения полного доступа к информации (сотрудники провайдера, его подрядчика, "соседи", спецслужбы и т.д.) и, как следствие, необходимость более тщательного контроля. Второе - это необходимость реализации уже существующих мер безопасности в "чужой" инфраструктуре. Отказываться от шифрования сообщений электронной почты сертификатами корпоративного УЦ или управления доступом к ERP-системе бизнес не хотел, провайдер за меня все это делать вообще не собирался, и поэтому мне необходимо было обеспечить интеграцию его площадки в свою ИБ-инфраструктуру.

Мысль о том, что работы у ИБ не убавится, а совсем наоборот, окончательно придавила облачную паранойю здравым смыслом, и позволила мне трезво взглянуть на требования и ограничения законодательства. Прежде всего - на "персональные данные". В отсутствие "облаков" они обрабатываются привычным образом "внутри" организации, в том числе в ИТ-инфраструктуре. "Обрабатываются" - значит "собираются, записываются, систематизируются, накапливаются, хранятся, уточняются (обновляются, изменяются), извлекаются, используются, передаются (распространяются, предоставляются, организуется доступ), обезличиваются, блокируются, удаляются, уничтожаются" и что еще угодно. И если хотя бы одно из этих действий с ПДн планируется осуществлять в "чужой" инфраструктуре - перед началом необходимо "обернуть" задачу в увесистый рулон бумаги.

Самый простой пример - "облачная" система хранения данных. Можно долго рассуждать о том, является ли провайдер такого облака "лицом, осуществляющим обработку ПДн по поручению оператора", если он (провайдер) не знает, что за данные хранит в его СХД оператор. От этого, конечно, зависит многое: нужно ли заключать с провайдером договор-"поручение оператора", нужно ли вносить изменения в форму согласия субъекта на обработку ПДн и повторно собирать его, наконец - нужно ли решать проблему наличия сертифицированных СЗИ у иностранного провайдера и сертифицированных СКЗИ при трансграничной передаче. Да и какие "цели обработки ПДн" написать в таком "поручении"?

Ответ на этот вопрос в законодательстве отсутствует, а значит - переведен в плоскость отношений "регулятор-оператор-субъект" и отдан на откуп экспертам. Конечно, оператор может воспользоваться этим "нюансом", но ведь принцип добросовестности никто не отменял: как ни крути, а обработка все же организуется при помощи ресурсов стороннего юридического лица, и что бы кто не говорил о незнании о характере хранимых в облаке данных и не писал в договорах об отсутствии доступа сотрудников провайдера к ним - это, конечно же, не так. А если у провайдера эти данные из СХД "утащат" - как оператору доказать, что утекшие данные были переданы провайдеру, и потому провайдер теоретически мог допустить утечку? А ведь без доказательства вины нельзя возместить ущерб.

Да и не одними персональными данными живет ИБ: в случае с коммерческой тайной просто необходимо указать, какая именно информация будет передана в "облако", хотя бы для того, чтобы иметь основания для обеспечения провайдером ее конфиденциальности и отрегулировать связанные с коммерческой тайной вопросы (учет лиц, организация доступа, маркирование носителей, технические меры защиты) в соответствующем договоре. В противном случае у обладателя коммерческой тайны (то есть меня) не будет никаких законных оснований даже заикнуться о компенсации ущерба в результате разглашения контрагентом (то есть "облачным" провайдером) информации, составляющей коммерческую тайну.

Обдумав все хорошенько, я решил, что "облачный" провайдер, все же, должен знать, какие данные я ему передаю. Получалось, что перед стартом мне необходимо организовать внесение изменений в согласия на обработку ПДн и пересобрать их, а также заключить договор с провайдером, в котором описать все, что требует законодательство в области персональных данных и коммерческой тайны, плюс организационные и технические меры защиты, которые необходимы мне для реализации внутренних требований, и самое главное - вопросы, связанные с компенсацией возможного ущерба "в случае чего".

По поводу защиты каналов передачи данных исключительно сертифицированными СЗИ и/или СКЗИ я особо "не парился", и отдал его на откуп бизнесменам. Да, риск претензий со стороны регуляторов существует, я его отметил и, конечно, в случае с российским провайдером можно использовать сертифицированный ГОСТ - но это дополнительные затраты. В случае с "забугорным" провайдером появляется неустранимый риск "выключенного рубильника" - он реализуется, если наша Дума вдруг надумает отрубить РФ от мирового интернет-пространства, и его я тоже отметил. Как использовать сертифицированные СЗИ и СКЗИ на территории иностранных государств регуляторы пока не придумали, поэтому ничего страшного не будет, если VPN до провайдера будет построен на забугорном оборудовании. От предписаний еще никто не умирал: придут, проверят, напишут как - сделаем.

А вот вопрос с компенсацией ущерба меня заставил серьезно задуматься: и в случае с персональными данными, и (что гораздо ближе к телу) с коммерческой тайной я упирался именно в него. Здесь нужно было "поковырять" поглубже - поэтому я запросил у нескольких "облачных" провайдеров, предлагавших свои услуги, полный пакет документов, которые предстояло заключить мне, как потенциальному клиенту.

Продолжение следует...