Некоторые дата-центы в целях отстройки от конкурентов проходят аттестацию по требованиям безопасности информации по уровням защищенности персональных данных УЗ3 или УЗ2, и предлагают компаниям размещение ИСПДн на таких площадках в качестве панацеи от требований регуляторов и ответственности за защиту ПДн. В нашей практике приведения организаций в соответствие с требованиями 152-ФЗ подобные ситуации встречаются регулярно. В связи с этим, прокомментирую вопрос о том, в какой степени операторам ПДн и прочим владельцам ИС стоит доверять аттестованным ЦОД и что при этом надо учесть.
Вопрос о доверии аттестованному ЦОД может ставиться, например, следующим образом. Сервис-провайдеры планируют размещать свои системы на арендованных мощностях каких-то аттестованных дата-центров. Соответственно вся физическая и сетевая безопасность обеспечивается силами дата-центра. Дата-центр, по понятным причинам, не горит желанием раскрывать информацию по используемым СЗИ, сетевой архитектуре и т.д. Можно ли проектировщику системы защиты в этом случае воспринимать дата-центр с его услугами как черный ящик, доверяя их аттестату? Для ответа на этот вопрос надо принять во внимание ряд изложенных ниже соображений.
Аттестация ЦОД (добровольная) — это прежде всего маркетинговая акция для отстройки от конкурентов и создания добавленной стоимости. Аттестующая организация не гарантирует защиту размещаемых в ЦОД систем или их соответствие каким-либо требованиям и никакой ответственности за это не несет. При аттестации проверяется выполнение требований конкретных нормативных документов в отношении предоставленного для аттестации конкретного оборудования, СЗИ, ПО (конкретных конфигураций), помещений и документов. Даже если серверная часть защищена, но сверху установить дырявое приложение с доступом из интернет, то очевидно, что система в целом (приложение + сервер + каналы связи + …) не защищена и никаким требованиям не соответствует. Другими словами, то что у ЦОД имеется некий аттестат по УЗ3 или УЗ2 не означает, что размещаемые там ИС автоматически становятся защищены по УЗ3 или УЗ2, а оператор этих систем выполнил требования регуляторов.
Имеет смысл посмотреть, что написано в аттестате (область аттестации, нормативные документы, условия действия аттестата, сроки, исключения и т.д.). Может статься, что размещаемая в ЦОД система вообще никак не связана ни физически, ни логически с аттестованными объектами ЦОД. Также надо посмотреть, что написано в договоре с ЦОД и в SLA. Как определена область ответственности ЦОД в части реализации защитных мер, чем она ограничивается и чем обеспечивается. Если это четко в договоре не определено, то ответственность ЦОД ничем не отличается от ответственности обычного хостинг-провайдера, т.е. близка к нулю и укладывается в рамки действующего тарифа за обслуживание.
Передача части ответственности за ИБ контрагентам — это стандартная практика в наше время, когда ИТ/ИБ — это в основном внешние сервисы, кем-то предоставляемые. Наша цель — минимизация рисков ИБ. Для оператора ПДн — это риски, связанные с возможными инцидентами, либо риски невыполнения регуляторных требований. Минимизация этих рисков в данном случае осуществляется совместными усилиями оператора, (в ряде случаев) его сервис-провайдера и ЦОД. В случае реализации риска (недоступность системы, утечка или искажение данных, претензии регуляторов и т.п.) убытки ложатся на оператора, который перекладывает часть этих убытков на сервис-провайдера, опираясь на договор с этим провайдером (если инцидент находится в зоне ответственности провайдера), налагает на него штрафы и компенсации доказанных потерь. Сервис-провайдер со своей стороны также поступает в отношении ЦОД.
В любом случае ответственность за выполнение требований нормативной базы (мер обеспечения ИБ) в отношении защищаемой системы с оператора ПДн никто не снимает, т.к. именно он организует процесс сбора и обработки ПДн и принимает на себя все связанные с этим риски. Поэтому в подобных схемах разделения ответственности должно быть определено какие требования/меры кем реализуются, на основании какого договора и чем обеспечивается выполнение данных обязательств. При проектирование системы защиты вопросы распределения ответственности должны быть отражение в проектной документации и ОРД. При заключении сервисных договоров эти вопросы должны быть в них подробно прописаны с конкретизацией по мерам ИБ, видам инцидентов, с указанием размеров штрафов и порядка компенсации ушерба. Если этого не сделано, то весь контроль за обработкой ПДн оказывается в руках провайдера и/или ЦОД, а вся ответственность и риски остаются к сожалению на операторе ПДн.