残りは、ある程度、個人データの処理と保護を法律の要件に合わせました。 これで、完了した個人データを保護するタスクを宣言し、文書化され確立されたプロセスの一部として日常業務のみを実行し、私たちの栄冠に落ち着いて休むことができるように思えますが、それはありませんでした。 連邦法No. 152を法律に準拠させる問題に再び戻ることを何度も要求する多くの理由があります。
以下にそれらのいくつかを示します。
- 個人データ保護の分野における新しい法的要件が常に現れています。
- 企業が個人データを処理するために使用する意思決定とインフラストラクチャは変化しています。
- 個人データを処理する新しいサービスと情報システムが導入されています。
一部のPDオペレーターが解決する必要がある別の問題は、2015年9月1日からロシア連邦に個人データを保存する必要があることです。 したがって、連邦法No. 152への準拠を確保するために、以前に海外にデータを保存していたオペレーターは、インフラストラクチャを変更し、独自のデータセンターを作成するか、ロシアのホスティングプロバイダーに連絡する必要があります。
独自のデータセンターでこのような問題を個別に解決するには、多大な人件費と財務コストが必要になり、さらに、ソリューションのスケーリングに問題が生じる可能性があります。 かなりシンプルなアイデアを実装する方法を考え始めました。つまり、一方ではクライアントの資本コストを削減する、つまり、すべての支払いを賃貸料に振り替え、他方では顧客の関与を最小限に抑えるような方法で情報システムをクラウドに配置することで個人データを保護します理想的には、「すべてが自己保護されていました」。 また、Cloudbox(クラウドプロバイダー)とAndek会社(ライセンシー)の共同決定について記事で伝えたいと思います。 他のサービスプロバイダーにとっても、同様のアプローチが興味深いかもしれません。
ソリューションは、Microsoft Hyper-V仮想化システムに基づいて実装されるクラウドプロバイダーのIaaSサービスに基づいているため、インフラストラクチャを管理せずにこの問題を解決するのは良くありません。 少し先に進んで、このソリューションのフレームワーク内で、次の機能がソリューションプロバイダーに委ねられることを伝えます。
- PDの処理と保護に関するドキュメントの作成とメンテナンス。
- 連邦法第152号の要件を満たす保護された回路に、ライセンシーのクライアントの情報システムを含める。
- 仮想インフラストラクチャとセキュリティ機能の提供と管理。
- 個人データの保護に関する法律のすべての変更を追跡し、それらについてライセンシーの顧客に通知する。
次に、これらの機能について詳しく説明してみましょう。
まず、認定された個人用保護具を使用する必要性を判断する必要があります。 この主題については、Habréを含む多くのコピーが破損しています。 たとえば、ユーザーteecatによって、優れた大規模な記事が執筆されました。 パート5:認定ソフトウェアの必要性の神話」 したがって、認定SZIの使用に関する特定の論文に限定することを提案します。
- 直接連邦法第152号は、規定の方法で適合性評価手順に合格した情報セキュリティツールの使用を示しており、他の可能な、ただし必須ではない保護手段のみで、適合性評価手順の特定の要件を確立していません。
- 適合性評価は認証の形式である必要はありません。
- 規制当局には、個人データに関する法律の要件を拡大する権利はありません。
認定されていない救済策を使用する決定が下されたとします。
もちろん、このアプローチは合法ですが、特定のリスクが伴います。 これは、規制当局が法律全般について独自の見解を持っている可能性があり、特に認定された救済策を強制的に使用している可能性があるためです。 したがって、このアプローチを選択する場合、PDオペレーターは、法廷を含む規制当局の前に自分の視点を守る必要があるかもしれないことを理解する必要があります。
この場合、使用されるソフトウェアおよびハードウェアの組み込みツールを使用して、個人データの保護に関するFSTECの要件の一部を満たします。例:
- 仮想マシン内のアクセス制御とイベントロギングは、オペレーティングシステムツールを使用して実装できます。
- 仮想化環境内のアクセス制御とイベントロギングは、Microsoft Hyper-Vハイパーバイザーを使用して実装されます。
- 仮想インフラストラクチャ内のトラフィックのフィルタリングは、仮想ファイアウォールを使用して実現でき、これもハイパーバイザーによって実装されます。
それでも、アンチウイルス、オープンな通信チャネルを介した伝送のための情報保護ツール、セキュリティ分析ツールなどの追加のセキュリティツールが必要になります。
おそらく、あなたはそれを安全にプレイし、組み込みの保護か強制かに関わらず、認定されたSZIを使用することに決めました。 この場合、保護装置は以下を行う必要があります。
- 宣言されていない機能がないか、少なくとも第4レベルの制御を確認します(第1および第2のセキュリティレベル、および第2のタイプの脅威が関連する場合は第3のセキュリティレベルに適用可能)。
- 特定の保護クラスに対して認定される。これは、保護レベルに依存し、FSTECの21階級によって確立されます。
ソリューションを完了するには、クラウドプロバイダーがスーパーインポーズされたDSSをクライアントにリースする準備ができている必要があります。そうしないと、ターンキーソリューションに成功しません。
ここで、このスキームでの責任の分散に対処してみましょう。 当社のクラウドプロバイダーは、仮想インフラストラクチャと通信チャネルを提供し、仮想マシン内で何が起こっているかを制御しません。 したがって、彼は間違いなく個人データのオペレーターではありません。なぜなら、彼は処理の目的、個人データの構成およびそれらとの操作を決定しないからです。
クラウドプロバイダーは、法の要件を満たすために規制当局に責任を負わないが、オペレーターとの合意によってそれに割り当てられた要件を満たさなければならないことがわかります。 それで彼に何を着せますか?
クラウドプロバイダーは、仮想マシン内にあるものに対して責任を負わないため、アクセス制御システムとウイルス対策を引き継ぐことはできません(5Nineなどのエージェントレスウイルス対策ソリューションを除く)。 ただし、課せられたセキュリティ機能(ファイアウォール、VPNゲートウェイなど)と仮想化保護は、クラウドプロバイダーのみが制御でき、他のユーザーは制御できません。 クライアントがライセンシーとクラウドプロバイダーからの「金額」で必要な一連の措置を完了するように、指定された職務の分配を契約に含める必要があります。
その結果、どの保護手段を使用する必要があるか、契約に何を書くべきかを考えましたが、そこで停止できますか?
個人データの運用者であるクライアントが個人データの保護に十分な能力があり、すでに対処している場合、もちろん保護のための技術的手段について詳しく調べることができますが、そのようなクライアントはどこで見つけることができますか? サービスを設計するとき、私たちはオペレーターがPD処理自体に脅威モデルまたは規制文書を書くことができないという仮定から進めました。 したがって、当社のサービスにはこれらの問題にオペレーターのサポートが含まれている必要があります。この問題はさまざまな方法で解決できます。
- クライアントドキュメントテンプレートを開発して提供します。
- 接続の一環として、PDの処理と保護を法律に準拠させるプロジェクトを作成します。
- 契約期間中にPDの問題に関するアドバイスを提供する(新しいシステムの導入や古いシステムへの変更を含む)。
- PDの被験者や規制当局とのやり取りでクライアントを支援します。
何らかの形で開発されたサービスは、これらすべての問題を解決します。
さらに、個人データの保護と処理に関する法律のすべての変更に続いて、サービスを変更する必要があります。
現在、私たちのタスクは解決されたようです。法律の要件を満たすためのソリューションがあります。これは、最小限の人件費とクライアントからの金融投資を必要としますが、現在の法律への準拠は、オペレーターではなくクラウドプロバイダーの「頭痛」です。