Хранение и обработка персональных данных в облаке

28 Марта 2018

Предмет этой статьи — всеми нами любимый ФЗ-152 и облако. Многие предприятия, мигрировавшие свою IT-инфраструктуру в облако, сталкиваются с одним подводным камнем — соответствием ФЗ-152. Ведь при «переезде в облако» происходит перенос в облако и персональных данных.

cloud облако

Без облака

Когда облака нет, то все достаточно понятно (мы не пишем «просто»). Нужно определить уровень защищенности и принять предписанные законом меры по защите персональных данных — установить сертифицированные ФСТЭК антивирус, брандмауэр, настроить шифрование данных — при необходимости, «поднять» VPN, а также принять другие требуемые законодательством меры для защиты персональных данных. Кроме установки программного обеспечения, закон требует обеспечить и физическую охрану данных.

Появилось облако

Любая организация, старающаяся идти в ногу со временем, использует в той или иной мере облака. Кто-то арендует виртуальный терминальный сервер и устанавливает на него 1C, кто-то просто покупает облачное хранилище для хранения резервных копий, а вместе с резервными копиями в облако попадают и персональные данные.

При использовании облака, получается, что вы доверяете третьей стороне хранение и обработку персональных данных (сотрудников, клиентов и т. д.). Очень просто нарушить закон (что обойдется вам в копеечку), если вы сделаете неправильный выбор облачного провайдера.

Выбор облачного провайдера с точки зрения ФЗ-152

При выборе облачного провайдера обратите внимание на два фактора: собственник дата-центра и наличие необходимых лицензий ФСТЭК и ФСБ. Другими словами, провайдер должен иметь собственный ЦОД и все необходимые лицензии ФСТЭК и ФСБ. В противном случае хранение персональных данных в таком ЦОД будет нарушением закона.

Компания Xelent предлагает услугу виртуальный дата центр, Virtual Datacenter, которая строится на модели IaaS (infrastructure as a service). Данная услуга — идеальное решение для средних и крупных компаний. Клиент получает пул ресурсов, а затем создает нужное количество машин. Управление виртуальным дата-центром производится через личный кабинет клиента.

Преимущества виртуального дата-центра от Xelent следующие:

  1. Физически VDC размещен в собственном охраняемом ЦОД уровня TIER III.
  2. Наличие лицензий ФСТЭК и ФСБ.
  3. Наличие сертификата PCI DSS
  4. Стандартный SLA 99,9%
  5. Круглосуточная техническая поддержка
  6. Масштабируемость — клиент может изменить производительность на любом этапе жизненного проекта.
  7. Xelent обладает всеми необходимыми лицензиями для оказания услуг в области защиты персональных данных.
  8. Отсутствие затрат на электроснабжение и модернизацию аппаратуры.
  9. Возможность получить предустановленное ПО.
  10. Централизованное управление.

Виртуальный дата-центр решает сразу множество проблем: вам не нужно беспокоиться ни о лицензиях (все лицензии есть у Xelent), ни о безопасности ваших данных (надежность услуги подтверждается теми же лицензиями ФСБ и ФСТЭК, а также сертификатом PCI DSS), ни о физической охране персональных данных. Все, что вам нужно — это воспользоваться услугой VDC от Xelent.

Аудитория

Услуга VDC будет актуальной для следующих предприятий:

  • Интернет-магазины.
  • Системы маркетинговых коммуникаций.
  • Системы бухгалтерского учета и отдела кадров.
  • Системы, осуществляющие обработку платежей.
  • Многие другие организации, которые предпочитают облачную инфраструктуру и не хотят иметь проблем с законом.

Дополнительная информация, в том числе конфигуратор виртуального дата-центра, доступна по ссылке: https://www.xelent.ru/services/vdc/

Если облака для вас
не просто теория
Широкий спектр услуг
по выделенным северам
и мультиклауд-решениям
Конфигурация VPS и бесплатный тест уже через 2 минуты
Организация вашей IT-инфраструктуры на основе мультиклауд-решения

Инфраструктура в облаке: реальный кейс

Рассмотрим реальный случай переноса инфраструктуры компании в облако в соответствии с ФЗ-152. Вкратце предыстория: к нам обратился клиент, которому нужно перенести существующую инфраструктуру в облако с соблюдением всех требований ФЗ-152. При этом системе персональных данных клиента присвоен класс К1, то есть нарушение заданной характеристики безопасности персональных данных, обрабатываемых в такой системе, может привести к значительным негативным последствиям для субъектов персональных данных.

Клиенту очень важно наличие ЦОД, в котором можно хранить и обрабатывать данные класса К1. Клиент попросил предоставить все подтверждающие это сертификаты, лицензии и модели угроз.

Проект подразумевал выделение трех виртуальных машин:

  1. Контроллер домена (2CPU/4RAM/50ГБ)
  2. Сервер приложения (8CPU/28RAM/500ГБ)
  3. Сервер БД (16CPU/48RAM/1000ГБ)

Подключение к ЦОД нужно организовать по защищенному каналу связи.

Также клиента интересовали следующие вопросы:

  1. Сроки предоставления всех документов.
  2. Есть ли возможность масштабирования выделенных ресурсов?
  3. Стоимость аренды оборудования в месяц.

В свою очередь, для расчета стоимости внедрения проекта нам, как провайдеру, понадобилась определенная информация, поэтому клиенту был задан список вопросов. Вопросы и ответы на них приведены в таблице 1.

Таблица 1. Информация, необходимая для произведения расчета стоимости

Вопрос Ответ
Что предоставляет собой ИС заказчика ИС предоставляет собой ГИС.
Планируется ли аттестация ИС? ГИС аттестована
Количество серверов 3
Нужна ли помощь с подготовкой необходимой документации ИС?

Документация будет подготовлена самостоятельно
Какая полоса требуется для администрирования?
По умолчанию 20 Мбит/с

20 Мбит/с достаточно
Какие планируете использовать ОС?​
Обычные версии или дистрибутивы ФСТЭК?

Windows Server, обычные дистрибутивы
Будут ли использоваться терминальные серверы на базе Windows Server? 
Сколько пользователей в каждом?

-
Нужны ли антивирусы для серверов с Linux?
Закон ФЗ 152 допускает отсутствие антивируса для ОС Linux при соответствующем оформлении модели документации ИС

-
Кто будет выполнять администрирование ОС и установленных на серверах средств защиты в соответствии с требованиями ФЗ 152?

Администрирование будет выполняться силами заказчика

В соответствии с полученной от заказчика информацией, было подготовлено коммерческое предложение. В нем были учтены следующие моменты:

  1. Отображена стоимость аренды пула ресурсов.
  2. Стоимость резервного копирования данных.
  3. Стоимость серверных средств защиты информации. Нами были предложены следующие средства: средство защиты виртуализации vGate, сертифицированный ФСТЭК антивирус Dr. Web Desktop Security Suite, средство защиты от НСД Secret Net Studio, средство анализа защищенности XSpider.
  4. Стоимость средств защиты информации для АРМ: VPN client ГОСТ KC1 и Криптошлюз С-Терра KC1.

В стоимость входит размещение в дата-центре уровня Tier 3 (TIA-942), сертифицированном по PCI/DSS, канал 10/100 Мбит/с, канал для администрирования 20 Мбит/с, защита среды виртуализации для 2-х серверов, выделенная сеть на 8 IPv4-адресов. Подробно обо всем этом написано в приведенном ниже коммерческом предложении.

Таблица 2. Коммерческое предложение: защищенная виртуальная инфраструктура с требованиями ФЗ-152

Коммерческое предложение (22.03.2018)
Защищенная виртуальная инфраструктура в соответствии с требованиями
Федерального Закона №152 (ГИС) «О персональных данных»

Аренда пула ресурсов (Allocated)              
Наименование ресурса Арендная плата
за единицу
Кол-во единиц Сумма
1 1Ghz Xeon 1vCPU 330 52 17 160,00
2 1Gb RAM ECC 630 80 50 400,00
3 1Gb HDD RAID-DP по FC/NFS, (0.1 IOps per 1Gb included) 5 0 0,00
4 1Gb HDD RAID-DP по FC/NFS, (1 IOps per 1Gb included) 9 1 550 13 950,00
5 1Gb SSD RAID-DP по FC/NFS, (30 IOps per 1Gb included) 50 0 0,00
6 Увеличение порога операций ввода-вывода для HDD (за 1 IOps) 6 0 0,00
Итог по аренде пула вычислительных ресурсов, за месяц: 81 510,00
                   
Резервное копирование данных (backup)      
7 Резервирование виртуальных машин (за машину) 525 3 1 575,00
8 Резервное копирование с глубиной хранения - неделя (7 ежедневных копий), за 1 GB общего объема VM 5 1 550 7 750,00
9 Резервное копирование с глубиной хранения - месяц  (7 ежедневных, 3 еженедельные копии), за 1 GB общего объема VM 12 0 0,00
10 Резервное копирование с глубиной хранения - год  (7 ежедневных, 3 еженедельные, 11 ежемесячных ленточных копий), за 1 GB общего объема VM 18 0 0,00
Итог по резервному копированию данных: 9 325,00
                   
Средства защиты информации (серверные)      
11 Базовый набор ФЗ 152:
-ГОСТ VPN класс КС1 на базе S-Terra полоса 20 мбит/с
-Средство защиты виртуализации vGate для 2-х серверов
-Администрирование сетевой и виртуальной инфраструктуры
-Уничтожение ПДн на носителях
20 000 1 20 000,00
12 Средство защиты виртуализации vGate для дополнительной ВМ 6 000 1 6 000,00
13 Cертифицированный ФСТЭК антивирус Dr. Web Desktop Security Suite (за 1 сервер) 100 0 0,00
14 Средство защиты от НСД Secret Net Studio(Включает Анивирусную защиту, средство от НСД, СОВ, шифрование диска, до 3-х терминальных подключений) 1 000 3 3 000,00
15 Средство анализа защищенности xSpider(за 1 сервер) 900 3 2 700,00
Итого по серверным СЗИ, за месяц: 31 700,00
                   
Средства защиты информации (АРМ)      
16 VPN client ГОСТ KC1 для ОС Windows (лицензия неконкурентная на 1 пользователя) 900 1 900,00
17 Критошлюз С-Терра KC1 (до 10 тунелей, полоса 40 Мбит/сек) 7 470 1 7 470,00
Итог по клиентским СЗИ, за месяц: 8 370,00
                   
Итого стоимость аренды инфраструктуры: 130 905
Инсталляционный платеж:
(проектирование и первичная активация защищенного сегмента виртуальной инфраструктуры,
настройка СЗИ):
165 768

Условия:

  • Размещение в дата-центре:
    Санкт-Петербург – StackDataNetworks, Tier 3 (TIA-942), PCI/DSS certified.
  • В стоимость включено:
    канал 10/100MBit/s (CIR/BIR), канал 20 Мбит/с ГОСТ VPN КС1 для администрирования ИС ПДн, защита среды виртуализации для 2-х серверов, выделенная сеть на 8 IP v4 адресов (5 полезных), DNS сервера.
  • Оплата:
    ежемесячная, по факту оказания услуг.
  • Доступность виртуальной инфраструктуры:
    99,9% по SLA.
  • Предложение действительно в течение месяца со дня его выставления.
  • Все цены приведены в рублях/мес, все налоги включены.
  • Минимальный срок оказания услуги - 6 месяцев
  • Лицензии средств защиты информации предоставляются в составе услуги
  • Услуги администрирования в соответствии с требованиями ФЗ 152 осущестляются на базе:
    • CentOS 7.1 x64 (версия ядра 3.10.0-229);
    • CentOS 6.5 x86/x64 (версия ядра 2.6.32-431); 
    • Windows Server 2012/Server 2012 R2; 
    • Windows Server 2008 SP2/Server 2008 R2 SP1.

Получить консультацию специалиста
Персональный ассистент
Cloud.Xelent