Аудит по 152‑ФЗ в облаке. Опыт Granatum Solutions

Granatum Solutions — это IT‑стартап, который создал онлайн‑платформу для эффективной совместной работы, обучения и развития бизнеса. Платформа размещена в Yandex Cloud.

Granatum Solutions сотрудничают с такими компаниями, как Сбер, Банк России, Ростелеком, Росатом. Для таких крупных компаний очень важно наличие и соблюдение положений по безопасности, в том числе безопасности персональных данных.

Для того, чтобы подтвердить соответствие высоким требованиям безопасности, Granatum Solutions обратились в компанию Б‑152, которая специализируется на защите персональных данных и занимается приведением бизнес‑процессов организаций в соответствие требованиям закона № 152‑ФЗ. Б‑152 провела аудит и помогла Granatum Solutions подготовиться к оценке эффективности всего за 3 месяца. Компания успешно прошла оценку эффективности мер защиты персональных данных в соответствии с требованиями приказа ФСТЭК № 21.

Granatum Solutions — IT‑стартап, а значит собственные вычислительные мощности ограничены. При этом для компании критически важно иметь возможность быстрого масштабирования, так как сложно предсказать пиковые нагрузки онлайн‑платформы, работающей с крупными компаниями с большим штатом сотрудников. Заранее закупать физические сервера для того, чтобы они эффективно утилизировались только во время пиковых нагрузок, — неэффективная стратегия, поэтому было принято решение о поиске подходящей облачной платформы.

Компания работает с персональными данными и планировала пройти оценку эффективности мер защиты в соответствии с законом № 152‑ФЗ. Granatum Solutions искали одновременно и подходящую облачную платформу в России, и специализированную компанию, которая бы провела аудит бизнес‑процессов и сформировала рекомендации к документации, программным продуктам, требования к IT‑инфраструктуре для успешного прохождения оценки.

Для решения задачи Granatum Solutions обратились в компанию Б‑152, которая более 10 лет занимается аудитом и приведением документации в соответствие требованиям № 152‑ФЗ.

Б‑152 имеет большой опыт работы с облачными провайдерами и рекомендовала Granatum Solutions облачную платформу Yandex Cloud по нескольким причинам.

Платформа Yandex Cloud имеет аттестат соответствия ИСПДн требованиям безопасности информации и персональных данных, выполняет постановление правительства РФ № 1119 и приказ ФСТЭК № 21, а также соответствует всем требованиям закона № 152‑ФЗ и имеет аттестат по высшему уровню защищённости — УЗ‑1.

Одно из преимуществ Yandex Cloud — соответствие требованиям законодательства всего единого сегмента публичного облака.

Клиенты могут размещать и обрабатывать в Yandex Cloud персональные данные любой категории. Требования законодательства, которые необходимо выполнить на стороне клиента, чётко определены в концепции разделения ответственности.

Кроме того, платформа Yandex Cloud обладает встроенными средствами защиты.

Для успешного проведения оценки Granatum Solutions и Б‑152 вместе решили несколько задач.

Команда проекта провела аудит регламентной документации и всех бизнес‑процессов компании. Для этого Granatum Solutions сначала потребовалось оценить бизнес‑процессы, в рамках которых обрабатываются персональные данные. После чего определить:

• цели обработки;
• состав обрабатываемых ПДн;
• порядок обработки ПДн, а также места и форму хранения ПДн;
• законные основания обработки ПДн.

А также было необходимо оценить возможный ущерб субъектам ПДн.

По результатам этих работ нужно было провести моделирование угроз безопасности персональных данных в ИСПДн, определить уровни защищённости ИСПДн согласно требованиям постановления правительства РФ № 1119 и создать необходимый набор документов.

Granatum Solutions предоставили Б‑152 доступ к рабочим местам, локальным серверам и облачным ресурсам для проверки на соответствие требованиям хранения и обработки персональных данных и реализации требований приказа № 21 ФСТЭК. Б‑152 провела оценку рисков и создала модель угроз.

Учитывая результаты предыдущего этапа, команда проекта начала разрабатывать техническое задание на создание системы защиты персональных данных и создавать технический проект на его основе. Затем компании начали внедрять систему защиты персональных данных — настроили средства защиты информации и разработали документацию.

Было необходимо спроектировать гибридную систему защиты персональных данных с учётом разграничения зон ответственности Granatum Solutions и Yandex Cloud. Входные данные информационной системы формируются на рабочих местах пользователей. Исходя из технологических уровней информационных систем, рабочие места входят в зону ответственности Granatum Solutions.

Поэтому Б‑152 предложила создать типовое изделие — системный блок или ноутбук с необходимым для выполнения работы ПО — и зафиксировать в документации доступ сотрудников с соответствующих типовому изделию рабочих мест. Этот подход позволит масштабировать коллектив и расширять действие сертификата соответствия на новые рабочие места.

Для создания системы защиты персональных данных в облаке максимально использовались сервисы Yandex Cloud. Так команда проекта организовала контроль доступа и аутентификацию пользователей с помощью Yandex Identity and Access Management, регистрацию событий — с помощью Audit Trails. Для защиты данных от раскрытия и модификации при передаче, а также для антивирусной защиты виртуальных машин использовали решения из Yandex Cloud Marketplace.

На следующем этапе были переработаны локальные акты, такие как согласия на обработку персональных данных. Часть документации была создана с нуля. Granatum Solutions опубликовали политику в отношении персональных данных и подписали согласия на обработку персональных данных с клиентами.

Когда все необходимые меры были приняты, а документы сформированы, Б‑152 приступила к проведению оценки. Компания проводит оценку эффективности по регламенту аттестационных испытаний, соответствующих приказу ФСТЭК № 71. Сначала был сформирован пакет документов:

• Программа и методика оценки эффективности системы защиты персональных данных, обрабатываемых в ИСПДн.
• Протокол оценки эффективности системы защиты персональных данных, обрабатываемых в ИСПДн.
• Заключение по результатам оценки эффективности системы защиты персональных данных, обрабатываемых в ИСПДн.
• Акт оценки эффективности системы защиты персональных данных, обрабатываемых в ИСПДн.

Затем, проведя испытания, Б‑152 подтвердила соответствие ИСПДн Granatum Solutions уровню защищённости УЗ‑3.

За 3 месяца Granatum Solutions с помощью Б‑152 провели аудит бизнес‑процессов, создали пакет документов, требуемых законодательством, реализовали технические меры безопасности и подтвердили соответствие ИСПДн уровню защищённости УЗ‑3.

Количество клиентов компании растёт, и в дальнейшем Granatum Solutions собираются расширить использование облачных вычислительных мощностей и проводить изменения в бизнес‑процессах с последующей аттестацией. Кроме того, компания планирует привести инфраструктуру в соответствие требованиям европейского законодательства по защите персональных данных GDPR.