Тема номера
Ю.С. Чемеркин
ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ КАК ИНСТРУМЕНТ ОБРАБОТКИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
Облачные технологии являются на сегодняшний день наиболее многообещающими за счет своей гибкости, эффективности и экономической выгоды, приводя к тому, что до сих пор имеют место быть диспуты на тему недостаточной защищенности со стороны данных технологий. Именно поэтому целесообразно оценить имеющиеся проблемы и охарактеризовать вероятное их влияние, чтобы иметь возможность оценить возможные пути решения возникающих проблем или снижения рисков при внедрении облачных технологий.
В статье рассмотрены проблемы юридических документов в отношении вопросов регулирования облачных вычислений, выявлены пробелы современного российского законодательства в данной области, а также проблемы правовой защиты конфиденциальной информации с применением данных технических решений. Проведен анализ документов, связанных с обработкой персональных данных.
Ключевые слова: UML персональные данные, облачные вычисления, Amazon Web Service (AWS), облачные инструменты защиты и обработки информации, конфиденциальная информация, трансграничная передача данных.
Облачные вычисления (англ. cloud computing) представляют собой модель обеспечения повсеместного сетевого доступа по требованию к общему пулу конфигурируемых вычислительных ресурсов (например, сетям передачи данных, серверам, устройствам хранения данных, приложениям и сервисам), которые могут быть оперативно предоставлены и освобождены с мини© Чемеркин Ю.С., 2012
Ю.С. Чемеркин
мальными эксплуатационными затратами и/или обращениями к провайдеру. Облачные вычисления, как правило, обладают следующими функциональными характеристиками:
- самообслуживание по требованию (self service on demand), позволяющее потребителю определять и изменять вычислительные потребности без взаимодействия с представителем поставщика услуг;
- универсальный доступ по сети, позволяющий получать услуги по сети передачи данных вне зависимости от используемого терминального устройства;
- объединение ресурсов (resource pooling), позволяющее поставщику услуг объединять ресурсы для обслуживания большого числа потребителей в единый пул для динамического перераспределения мощностей между потребителями в условиях постоянного изменения спроса на мощности;
- эластичность, позволяющая предоставлять услуги, расширять и сужать их спектр в любой момент времени без дополнительных издержек на взаимодействие с поставщиком;
- учет потребления, позволяющий унифицировать потребляемые ресурсы с использованием определенного уровня абстракции, например объем хранимых данных, пропускная способность, количество пользователей, количество транзакций.
На сегодняшний день существуют следующие модели развертывания.
Частное облако (private cloud) - инфраструктура, предназначенная для использования, как правило, одной организацией. Частное облако может находиться в собственности, управлении и эксплуатации как самой организации, так и третьей стороны, и она может физически существовать как внутри, так и вне юрисдикции владельца.
Публичное облако (public cloud) - инфраструктура, предназначенная для свободного использования широкой публикой. Публичное облако может находиться в собственности, управлении и эксплуатации коммерческих, научных и правительственных организаций. Публичное облако физически существует в юрисдикции владельца - поставщика услуг.
Общественное облако (community cloud) - вид инфраструктуры, предназначенный для использования конкретным сообществом потребителей из организаций, имеющих общие задачи (например, миссии, требований безопасности, политики и соответствия различным требованиям). Общественное облако может
Облачные вычисления как инструмент обработки конфиденциальной информации
находиться в совместной собственности, управлении и эксплуатации одной или более из организаций сообщества или третьей стороны, и она может физически существовать как внутри, так и вне юрисдикции владельца.
Гибридное облако (hybrid cloud) - это комбинация из двух или более различных облачных инфраструктур (частных, публичных или общественных), остающихся уникальными объектами, но связанных между собой стандартизованными или частными технологиями передачи данных и приложений.
В данной статье будет рассматриваться AWS-решение от компании Amazon, далее именуемое AWS, или Amazon. Amazon Web Services (AWS) - инфраструктура Web Services платформы в облаке, представленная компанией Amazon в начале 2006 г. В данной инфраструктуре представлено много сервисов для предоставления различных услуг, таких как: хранение данных (файловый хостинг, распределенные хранилища данных), аренда виртуальных серверов, предоставление вычислительных мощностей и др.
Под конфиденциальной информацией понимается та информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, которая представляет собой коммерческую, служебную, личную тайну или иной вид тайн, исключая государственную тайну, охраняющиеся ее владельцем. Так как соблюдение конфиденциальности является обязательным при обработке информации с ограниченным доступом, защита строится с применением как технических, так и правовых мер1 (ФЗ № 149, ст. 9) с целью предотвращения неправомерных действий по осуществлению доступа и/или передачи со стороны не имеющих права на доступ к информации лиц (уничтожение, модифицирование, блокирование, копирование, предоставление, распространение). Также, согласно букве закона, должно обеспечиваться своевременное обнаружение фактов несанкционированного доступа к информации, возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней, и постоянный контроль обеспечения уровня защищенности информации. Необходимо отметить, что последним пунктом является возможность возникновения «ограничений использования определенных средств защиты информации» со стороны Федерального закона, что часто неверно трактуется как невозможность применения зарубежных несертифицированных средств защиты.
Ю.С. Чемеркин
Для дальнейшего рассмотрения требуется привлечение документов, регулирующих возникающие при обработке персональных данных правовые отношения в соответствии с приложением УП РФ № 1882. Так, согласно ст. 19 ФЗ № 152 «О персональных данных» при обработке должны приниматься необходимые меры или обеспечиваться их принятие, состав которых устанавливается «федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий» и раскрыт в приказе Федеральной службы по техническому и экспортному контролю (ФСТЭК)3. Также в соответствии со ст. 18.1 и 22.1 данного ФЗ лицами, ответственными за организацию обработки персональных данных, являются оператор и назначаемое им ответственное за обработку лицо, что показывает возможность привлечения третьих лиц для обеспечения адекватного уровня защиты при обработке информации.
Ключевыми моментами приказа ФСТЭК, исключая ряд пунктов, не применимых в условиях облачной парадигмы, являются:
• реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
• ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
• разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
• регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
• резервирование технических средств, дублирование массивов и носителей информации;
• использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
• использование защищенных каналов связи;
• организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
Облачные вычисления как инструмент обработки конфиденциальной информации
• предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок;
• межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;
• обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
• анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
• защита информации при ее передаче по каналам связи;
• использование средств антивирусной защиты;
• централизованное управление системой защиты персональных данных информационной системы;
• использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей.
Данный список удобнее представить в следующем виде:
- обеспечение конфиденциальности с точки зрения ограничения по сферам использования по отношению к внутренним и внешним заказчикам;
- уведомление обо всех известных утечках, так как в противном случае это ставит под угрозу конфиденциальность и целостность данных;
- раскрытие в той или иной мере с учетом законодательства данных для судебных разбирательств с предварительным уведомлением заказчиков о факте по требованию правоохранительных органов;
- оказание услуг в области шифрования в отношении хранимых (например, отдельного сервиса криптоконтейнеров) и передаваемых данных;
- переносимость данных как возможность выгрузки данных для передачи через Интернет;
- защита прав субъектов персональных данных и трансграничная передача данных при обработке персональных данных, а также вопросы в отношении местоположения виртуальных хранилищ данных в виде списка стран и наличия инструментальных средств работы с ними.
Ю.С. Чемеркин
Целью данной работы является анализ документов, регулирующих вопросы, связанные с обработкой конфиденциальной информации и персональных данных с использованием облачных решений.
Для достижения поставленной цели необходимо решение следующих задач: во-первых, оценка степени разрешимости данных вопросов с позиции законодательных документов, EULA-доку-ментов (End-user license agreement, лицензионное соглашение с конечным пользователем) и SLA-документов (Service-level agreement, соглашение об уровне услуг) и во-вторых, оценка степени необходимости вовлечения дополнительных технических решений для соответствия законодательно предъявляемым требованиям.
В данной работе планируется акцентировать внимание на анализе законодательных документов в большей степени, чем EULA-документов и SLA-документов.
Последовательное рассмотрение обозначенных задач предпочтительно начать с таких вопросов, как, например, разграничение данных и их раскрытие. Инструменты управления и вообще сама архитектура облачных вычислений представляют собой4 пласт виртуализированных сущностей (сервер, дисковое хранилище и т. п.), которые по умолчанию являются приватными (закрытыми), в том числе и сущности, связанные с сетевой передачей данных; однако последние публичны (открыты), как правило, по 2-3 протоколам передачи данных, известных как HTTP, HTTPS и RDP. Для осуществления непосредственного доступа, как это сделано в AWS, требуется точно указание виртуального хранилища и разрешение политики безопасности. Политика безопасности позволяет организовывать контроль на любое возникающее событие из доступного множества так называемых API-функций. Поэтому случайное подключение к чужой сущности невозможно, да еще и в обход политик ИБ, даже в режиме «по умолчанию» (т. е. с отсутствием разрешительных настроек всех, кроме обладателя ресурса).
Вопрос раскрытия данных в отношении третьих лиц в рекламных или иных целях должен заранее оговариваться и регламентироваться, ровно так же как и сроки использования информации. Очевидно, что рассматриваемые случаи при возникновении судебного процесса явно различаются между собой, но в общем виде могут быть сведены к двум различным вариантам развития событий, первым из которых является судебная повестка, адресованная
Облачные вычисления как инструмент обработки конфиденциальной информации
непосредственно лицу, чьи данные планируется раскрыть. Здесь требование раскрытия будет обязательным, однако существуют отдельные случаи, при которых поставщику услуг запрещается оповещать лицо о самом факте; обычно этот список законодательно оговорен в отношении представителей правоохранительных органов. Второй вариант развития событий - это случай, при котором повестка адресована другому лицу, и оповещения о факте раскрытия данных может и не быть. Так как судебные трактовки заранее не могут быть известны или недостаточно конкретны, достаточным решением будет выглядеть применение средств шифрования данных, в том числе и собственных (или сторонних, но отличающихся от встроенных). Таким образом, повестка будет требовать, чтобы облачный провайдер предоставил суду данные и доступ к ним, но у провайдера не будет ключей доступа к ним. В связи с этим суд должен будет отправить соответствующую повестку, что является вполне сопоставимым контролем над собственными данными в облачной среде, вне зависимости от типов последних.
Так, например, сервис Amazon S35, представляющий собой виртуальное дисковое хранилище, позволяет включать так называемое серверное шифрование, т. е. шифрование со стороны сервера в отношении каждого файла. При этом никто не запрещает загружать объекты, зашифрованные с использованием сертифицированных крипторешений или целиком криптоконтейнеры. Также присутствует возможность осуществлять шифрование виртуальных сущностей EC2 целиком, использовать ключи шифрования или хотя бы пароль для получения доступа к системе. Таким образом, рассматриваемая задача оказания услуг по шифрованию вполне разрешима уже с использованием предлагаемых облачным провайдером решений для хранения.
Рассмотрение вопроса касательно передачи выглядит аналогичным образом. Amazon по умолчанию использует SSL (Secure Sockets Layer, уровень защищенных сокетов; криптографический протокол, который обеспечивает установление безопасного соединения между клиентом и сервером) для передачи данных между своими сервисами. Возможна разработка приложений, использующих свои собственные механизмы передачи данных поверх https-протокола, либо же встраиваемых на уровне протокола, так как присутствует возможность спроектировать всю виртуальную архитектуру, включая внутренний DNS-сервер, с учетом требуемой специфики. Однако документация AWS четко разграничивает
Ю.С. Чемеркин
(что удобно в контексте защиты и обработки различных типов данных) сферу применения своего набора решений, поэтому не рекомендуется использовать AWS EC2, которое представляет собой, упрощая, виртуальный сервер типа Windows Server для хранения и шифрования данных с учетом AWS-рекомендаций. Для разрешения этой проблемы применяется решение Amazon S3, тогда как вопросы передачи данных между различными сервисами, как внутри AWS, так и за ее пределами, решаются созданием и использованием облачных программ.
Вопросы, связанные с переносимостью (выгрузкой) данных решаются либо штатными средствами в штатном режиме, либо разработкой приложений, учитывающих конкретную специфику задач. Например, известный агрегатор облачных хранилищ SMEStorage позволяет автоматически выбирать хранилище для резервирования информации с конкретной виртуальной сущностью другого облака и автоматизировать процесс резервирования данных. Это также является решением вопросов компрометации, так как при возникновении последней и успешности определения вектора атаки с последующей временной оценкой случившегося процесс нескомпрометированной сущности будет занимать меньше 2-3 минут, что представляет собой самое минимальное время простоя. Однако надо отметить, что при этом будет иметь место финансовый вопрос, так как все облачные решения спроектированы так, что выгрузка данных обходится дороже, чем загрузка, а количество обращений к ресурсам тоже лимитировано в отношении тарифной сетки.
Дополнительным интересным аспектом является соблюдение требования удаления хранимой информации; в рамках возможностей AWS есть возможность задать автоматический предел хранения объекта, по истечению которого он становится недоступным. Учитывая понятие виртуализации с архитектурной стороны вопроса, можно провести аналогию с «драйвером дефрагмента-ции», так как «свободное» место учитывается при выделении другого объекта в региональных рамках расположения серверов и затирается при создании новой виртуальной сущности. Здесь уместна некая аналогия с форматированием жесткого/логического диска, которым в данном случае является виртуальная сущность, приводящим к конечному виду (формату) для использования клиентом. Таким образом, обеспечивается право субъекта по ст. 14 ч. 1 ФЗ № 152 в отношении уничтожения данных6. Иногда действительно существуют некоторые проблемы с обеспе-
Облачные вычисления как инструмент обработки конфиденциальной информации
чением требования удаления персональных данных об отдельном субъекте отношений. Наглядно это проявляется в финансовом секторе, когда для сохранения отчетности, порой помещенной в архив, необходимо оставить информацию о субъекте. Однако данная проблема не является проблемой именно облачных вычислений, а является непосредственно недоработкой ФЗ № 152 «О персональных данных» в отношении временных рамок обработки информации.
На первый взгляд облачные вычисления ставят под сомнение возможность обработки данных за рубежом. Как известно, хранение уже является формой обработки. Согласно ст. 3 ФЗ № 152 «оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных», а обработчик (в том числе и инструментальный) - это облачный провайдер и/или непосредственно его решения по обработке информации в зависимости от того, кто является конечным лицом, осуществляющим обработку информации. Так, например, решение Microsoft Office 365 (онлайн-сервис от Microsoft, предлагаемый в аренду по типу SaaS) может быть предоставлено на территории России не непосредственно Microsoft, а иным представителем, например СКБ Контур. Если рассматривать прямой контакт с облачным провайдером, то возникают только два субъекта отношений с их договорными обязательствами. В случае прочих представителей или партнеров облачных провайдеров, предоставляющих свои ресурсы (например, в AWS предоставление ресурсов разрешено и технически легко реализуемо в отношении любого клиента), их количество увеличивается, но в договорные обязательства все также включены два субъекта со следующими поправками: рекомендуется оговаривание степени ответственности со стороны партнера, а также предоставление партнером информации о степени ответственности облачного провайдера в том случае, когда партнер напрямую не несет ответственности в отношении ряда пунктов договорных обязательств. Например, предоставление партнером своих ресурсов не привносит ответственности за их недоступность, если это произошло по вине Amazon по причине сбоя.
Требования ФЗ № 152 применяются как к официальным лицам, занимающимся обработкой информации, так и к лицам, непосредственно осуществляющим обработку по поручению оператора. Таким лицом будет являться облачный оператор и/или его
Ю.С. Чемеркин
партнер, который также обязан обеспечить конфиденциальность данных в соответствии со ст. 6 и 7 ФЗ № 152. При этом обработчик не обязан получать согласие на обработку, хотя отметка о последнем должна присутствовать в договорных документах между заказчиком и оператором (ч. 4 ст. 9 ФЗ № 152); при этом третье лицо (как непосредственный обработчик данных) несет ответственность перед оператором, который поручил обработку. Примером являются договорные обязательства между клиентом и оператором сотовой связи T-Mobile, в которых указано, что провайдер использует технические средства, поставляемые компанией Carrier IQ для целей обеспечения услуги поддержки работоспособности своих сервисов и быстрого реагирования на возникающие инциденты. При этом данное техническое решение может собирать чувствительную информацию для перечисленных целей.
В соответствии со ст. 14 ФЗ № 152 «субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи...». В качестве примера соответствий данным требованиям можно привести выборку из EULA- и SLA- документов сервиса Amazon, в которых говорится, что «компания Amazon не раскрывает информации о том, где физически располагаются их центры обработки данных; она просто декларирует, что каждый из центров размещается в ничем не примечательном здании с охраной периметра по типу армейской. Даже если мы знаем, что некий сервер базы данных находится в зоне доступности us-east-1a, мы все равно не знаем, ни где располагаются центры обработки данных, формирующие эту зону, ни даже какую из трех зон доступности на восточном побережье США представляет зона доступности us-east-1 а». Виртуализация сама по себе подчеркивает невозможность определения географического местонахождения пользовательских данных. Во-первых, данные хранятся в области, зарезервированной за пользователем. Во-вторых, данная область является эластичной, т. е. для нее со стороны пользовательских сценариев нет ограничений на размер данных, точнее данный размер автоматически растет с учетом изменения требований к ресурсам. В-третьих, данные хранятся с учетом архитектуры Amazon S3 избыточно, т. е. каждый файл представим, например, 12 частями,
Облачные вычисления как инструмент обработки конфиденциальной информации
из которых 8 являются значащими. Данная избыточность, как правило, позволяет исправлять ошибки в блоках данных. Таким образом, при работе с данными получение доступа (непосредственное) к «сырым» данным не приводит к получению данных на логическом (верхнем) уровне, чтобы последние представляли собой осмысленный документ, файл (зашифрованный или нет). AWS-инструменты позволяют в отношении своих ресурсов осуществлять непосредственно выбор географического местоположения виртуальных сущностей в пределах списка стран, где физически расположены их серверы. Это США, Ирландия, недавно в этот список был добавлен азиатский географический регион. Как известно, законодательство Евросоюза позволяет осуществлять обмен персональными данными не только со странами ЕС, но и со странами, которые обеспечили так называемый «адекватный уровень защиты персональных данных»7. К таким странам относятся следующие: Австрия, Андорра, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Израиль, Ирландия, Исландия, Испания, Италия, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Нидерланды, Норвегия, Польша, Португалия, Румыния, Сербия, Словакия, Словения, Финляндия, Франция, Хорватия, Черногория, Чехия, Швейцария, Швеция, Эстония. Одной из стран является Ирландия, которая входит в список стран, ратифицировавших Европейскую конвенцию по защите физических лиц при автоматизированной обработке персональных данных8 и входит в список AWS-стран, где физически располагаются виртуальные сущности. Ратификация странами ЕС акцентирует для каждой из них запрещение накладывать дополнительные ограничения на передачу данных, если это не требуется для обеспечения конституционного строя, а также в отношении требований сертифицированных средств по причине того, что каждая страна-участница выполняет рекомендации по защите, принятые у нее, которые в свою очередь являются достаточными.
В ходе данной работы были решены следующие поставленные задачи:
- проведен анализ правовых документов по вопросам регулирования процессов обработки конфиденциальной информации и персональных данных;
- выявлена степень вовлеченности технических решений (в особенности интегрированных) для выполнения законодательных требований по применению инструментов обработки, в том числе сертифицированных средств.
Ю.С. Чемеркин
На основании полученных результатов были сделаны следующие выводы:
1) рассмотренные правовые документы не предъявляют каких-либо существенных требований к ПО; непосредственные требования в части ПО, предусмотренные Приказом ФСТЭК России, имеют отношение исключительно к технологической платформе, а не к ее конфигурации;
2) существующие решения, построенные на основе облачных вычислений, могут быть использованы для целей обработки конфиденциальной информации и персональных данных;
3) облачные решения предоставляют как встроенные механизмы, позволяющие обеспечить соответствующую степень защиты информации, так и позволяют встраивать собственные сертифицированные механизмы;
4) несмотря на возможность расположения данных вне пределов РФ, ФЗ № 152 прямо предусматривает возможность трансграничной передачи данных согласно ст. 12;
5) отсутствие необходимости применения отечественных сертифицированных средств для целей обработки информации, не связанных с государственной тайной, с учетом ратифицированной европейской конвенции.
Представленные в данной работе наработки могут использоваться как для построения корректных регламентов ИБ, модели безопасности, политик безопасности и рабочих инструкций при эксплуатации облачных вычислений, так и для построения дополнительных инструментов обработки.
Целью дальнейшего исследования является более детальная проработка ЕИЬЛ-документов и 8ЬЛ-документов различных облачных провайдеров для оценки степени сложности построения гибридных решений с применением решений от различных провайдеров.
Примечания
1 См.: Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информа-
ционных технологиях и о защите информации» (ред. от 06.04.2011) // Российская газета. 2006. 29.07. № 165.
2 См.: Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня
сведений конфиденциального характера» (с изменениями от 23 сентября 2005 г.) // Собрание законодательства РФ. 26.09.2005. № 39. Ст. 3925.
Облачные вычисления как инструмент обработки конфиденциальной информации
3 См.: Приказ Федеральной службы по техническому и экспортному контролю
от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» // Российская газета. 2010. 05.03. № 46.
4 См.: Архитектура облачных решений AWS. [Электронный ресурс] [М.,
2012].URL: http://aws.amazon.com/documentation/ (дата обращения: 05.02.2012).
5 См.: Чемеркин Ю.С. Проблемы новых парадигм и необходимости новых подхо-
дов к управлению облачными ресурсами // Информационная безопасность. 2012. № 1.
6 См.: Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 25.07.2011) «О персо-
нальных данных».
7 См.: Письмо Министерства связи и массовых коммуникаций РФ от 13 мая
2009 г. № ДС-П11-2502 «Об осуществлении трансграничной передачи персональных данных». [Электронный ресурс] М., 2012.URL: http:// www.busi-nesspravo.ru/ Docum/DocumShow_DocumID_153827.html (дата обращения: 05.02.2012)
8 См.: Европейская конвенция по защите физических лиц при автоматизирован-
ной обработке персональных данных. 1981. [Электронный ресурс] // Сайт Роскомнадзора. [М., 2012].URL: http://64.rsoc.ru/law/p1262/p8861/ (дата обращения: 05.02.2012).