Центр Общих норм защиты данных (GDPR)

Контроль со стороны клиентов

Передача за пределы Европейской экономической зоны (ЕЭЗ)

Технические и организационные меры

• Как GDPR влияет на модель общей ответственности AWS?

  GDPR не меняет модель общей ответственности AWS. Она сохраняет свою актуальность для клиентов. Модель общей ответственности – полезный принцип, демонстрирующий разграничение ответственности AWS (в качестве обработчика данных или субподрядчика) и клиентов (как обработчиков данных или операторов данных) в рамках GDPR.

  В рамках модели общей ответственности на AWS налагаются определенные обязательства в отношении защиты безопасность базовой инфраструктуры, которая поддерживает сервисы AWS («безопасность облака»). Клиенты, выступающие в роли контролеров или операторов данных, несут ответственности за все персональные данные, которые они размещают в облаке («безопасность в облаке»).
  

  Ответственность AWS, «безопасность облака». AWS несет ответственность за защиту глобальной инфраструктуры, на которой работают все сервисы AWS. Данная инфраструктура состоит из аппаратного обеспечения, программного обеспечения, сетей и объектов, обеспечивающих работу сервисов AWS. Эти системы предоставляют клиентам мощные инструменты управления, в том числе инструменты настройки безопасности для обработки контента клиентов. AWS предоставляет ряд отчетов по соответствию требованиям от сторонних аудиторов, которые проверили наш уровень соответствия требованиям различных стандартов и положений по вычислительной безопасности (подробнее см. на странице Соответствие AWS нормативным требованиям). Благодаря этим отчетам наши клиенты могут быть уверены, что мы защищаем данные клиентов. Примером является соответствие AWS стандартам ISO 27001, 27017 и 27018. ISO 27018 содержит описание средств управления безопасностью, которые предназначены для защиты данных клиентов.
  

  Ответственность клиента, «безопасность в облаке». Клиенты AWS несут ответственность за создание архитектуры и обеспечение безопасности приложения и решений, которые они выбирают для развертывания сервисов AWS. Также клиенты AWS несут ответственность за настройку конфигурации сервисов AWS таким образом, который позволит удовлетворить потребности в конфиденциальности, целостности и безопасности данных клиентов. Конкретная ответственность, которую несет клиент относительно защиты данных клиентов, зависит от сервисов AWS, выбранных клиентом для использования, и от того, как эти сервисы интегрируются в ИТ-среды клиентов. Клиенты AWS пользуются преимуществами видимости и контроля над данными клиентов и могут реализовать гибкие средства обеспечения безопасности в зависимости от уровня конфиденциальности определенного типа данных клиентов. Это делается за счет применения собственных мер и инструментов обеспечения безопасности или применения мер и инструментов обеспечения безопасности, предоставляемых AWS или другими поставщиками. Таким образом клиенты могут реализовать дополнительные уровни безопасности для более конфиденциальных данных клиентов.
  

  AWS предоставляет продукты, инструменты и сервисы, которые клиенты могут использовать для создания архитектуры и обеспечения безопасности их приложений и решений и которые можно развернуть для соблюдения требований GDPR, в том числе следующих.

  • Сервис AWS Identity and Access Management (IAM) предоставляет организациям возможности безопасного управления доступом к сервисам и ресурсам AWS. С помощью IAM клиенты могут создавать пользователей AWS и группы пользователей, управлять ими, а также применять разрешения, чтобы предоставлять или запрещать доступ к ресурсам AWS. IAM – это возможность аккаунта AWS, которая предоставляется бесплатно.
  • AWS CloudTrail позволяет организациям вести журналы, осуществлять непрерывный мониторинг и сохранять информацию обо всех действиях аккаунта, связанных с ресурсами AWS. Это упрощает анализ безопасности, отслеживание изменений ресурсов, а также поиск и устранение ошибок (AWS CloudTrail включен по умолчанию во всех аккаунтах AWS).
  • Amazon GuardDuty – это управляемый сервис обнаружения угроз, который постоянно отслеживает вредоносное или несанкционированное поведение с целью защиты аккаунтов AWS и связанных рабочих нагрузок. Он отслеживает действия, которые могут представлять угрозу для аккаунтов, например необычные вызовы API или потенциально несанкционированные развертывания. GuardDuty также обнаруживает потенциально опасные инстансы или исследование систем злоумышленниками.
  • Amazon Macie – сервис, который использует машинное обучение для обнаружения и классификации персональных данных, хранящихся в Amazon S3

  См. наше техническое описание Navigating GDPR Compliance on AWS, чтобы получить дополнительные сведения о том, как использовать ресурсы AWS в соответствии с GDPR.
  

• Предлагают ли партнеры AWS продукты и сервисы для обеспечения соответствия GDPR?

  Да. Можно выполнить поиск в AWS Partner Solutions Finder по ключевому слову GDPR, чтобы помочь им находить независимых поставщиков программного обеспечения, поставщиков управляемых сервисов и системных интеграторов, продукты и сервисы которых помогают выполнить требования GDPR. Кроме того, искать решения по ключевому слову GDPR можно и на веб-сайте AWS Marketplace.

• Предоставляет ли AWS помощь по выполнению требований GDPR в рамках оказания профессиональных услуг?

  Да. Команда AWS Security Assurance Services проводит некоторые мероприятия для клиентов, помогая им обеспечить соответствие требованиям GDPR. Эта команда сертифицированных специалистов в области обеспечения соответствия требованиям помогает клиентам обеспечивать, поддерживать и автоматизировать обеспечение соответствия требованиям в облаке, связывая применимые стандарты обеспечения соответствия с определенными функциями и возможностями сервисов AWS. Подробнее о том, как консультанты AWS Professional Services помогают клиентам см. по этой ссылке.
  

• Как AWS Support помогает соответствовать требованиям GDPR?

  С помощью AWS Support клиенты могут получить технические инструкции, которые им помогут реализовать соответствие требованиям GDPR. В рамках этой деятельности у нас имеются специалисты по облачной поддержке и персональные менеджеры технической поддержки (TAM), которые подготовлены для помощи в обнаружении рисков в вопросах соответствия требованиям и их нейтрализации. Уровень поддержки, которую оказывает AWS, зависит от выбранного клиентом плана AWS Support. Подробная информация об AWS Premium Support для клиентов приведена в AWS Support Center на консоли управления AWS. Клиенты и партнеры APN могут воспользоваться контактными данными, приведенными в соглашении AWS об Enterprise Support, или перейти на страницу AWS Support. По вопросам GDPR клиентам с уровнем поддержки Enterprise Support следует обращаться к персональному техническому менеджеру.
  

  Клиентам, ориентированным на соответствие требованиям GDPR, могут пригодиться следующие две программы.
  

  • Cloud Operations Review. Программа доступна для клиентов AWS Enterprise Support и предназначена для определения пробелов в подходе клиентов к работе в облаке. Программа создана на основе ряда рекомендаций, полученных из опыта работы AWS с большим количеством типовых клиентов. Она представляет собой обзор облачных операций и соответствующих методов управления, поэтому может помочь организациям соответствовать требованиям GDPR. В программе использован четырехсторонний подход: подготовка, мониторинг, использование и оптимизация облачных систем для достижения эффективности бизнес-процессов.
  • Программа проверки архитектуры Well-Architected Review. Эта программа позволяет организациям сопоставить свою архитектуру с рекомендациями AWS с целью создания безопасной, надежной, высокопроизводительной и экономичной архитектуры. Оценки Well-Architected Review позволяют клиентам выявить риски в архитектуре и устранить их до начала эксплуатации приложений.
    
    

• Как AWS может помочь клиентам выполнять свои обязательства по уведомлениям об утечке персональных данных в рамках GDPR?

  В AWS реализован процесс мониторинга инцидентов безопасности и взлома данных, и клиенты будут получать уведомления о взломе системы безопасности AWS без задержки и в соответствии с Положением по обработке данных AWS. AWS также предоставляет клиентам набор инструментов для получения информации о том, кто, когда и откуда получил доступ к их ресурсам. Один из таких инструментов – AWS CloudTrail. Сервис позволяет управлять аккаунтом AWS, обеспечивать соответствие требованиям и проводить аудит операционных процессов и рисков. С помощью AWS CloudTrail можно вести журналы, осуществлять непрерывный мониторинг и сохранять информацию обо всех действиях в аккаунте в пределах всей используемой инфраструктуры AWS. Таким образом, в распоряжении организации находится информация о том, что происходит с корпоративной инфраструктурой AWS. Более того, компания может незамедлительно принимать меры в случае подозрительных действий. Подробнее о других инструментах безопасности, предоставляемых AWS клиентам для обеспечения соответствия требованиям GDPR как операторов данных, см. на странице Безопасность облака AWS.  

• Как AWS помогает защитить данные клиентов от кибератак?

  AWS предоставляет клиентам и партнерам APN ряд инструментов для обеспечения безопасности данных клиентов и защиты от кибератак. Один из таких инструментов – AWS Shield. Это управляемый сервис защиты от атак типа «распределенный отказ в обслуживании» (DDoS). Он защищает приложения и веб-сайты, работающие на AWS. AWS Shield Standard предоставляется бесплатно, он обеспечивает непрерывное обнаружение и автоматическую линейную нейтрализацию атак, сокращая время простоя и задержку приложений. Клиенты и партнеры APN могут оформить подписку на AWS Shield Advanced и обеспечить защиту более высокого уровня от атак, нацеленных на веб-приложения в сервисах AWS, которые используют ресурсы ELB, Amazon CloudFront и Amazon Route 53. Также AWS публикует и регулярно обновляет рекомендации AWS по обеспечению устойчивости к DDoS-атакам, которые помогают клиентам использовать AWS для создания приложений, устойчивых к DDoS-атакам.

  Другие инструменты AWS для защиты данных клиентов от кибератак перечислены ниже.

  • Сервис AWS Identity and Access Management (IAM) предоставляет организациям возможности безопасного управления доступом к сервисам и ресурсам AWS. С помощью IAM клиенты и партнеры APN могут создавать пользователей AWS и группы пользователей, управлять ими, а также применять разрешения, чтобы предоставлять или запрещать доступ к ресурсам AWS. IAM – это возможность аккаунта AWS, которая предоставляется бесплатно.
  • AWS Config позволяет клиентам и партнерам APN задействовать встроенные правила, которые проверяют правильность настройки и состояние соответствия для ресурсов AWS.
  • AWS CloudTrail позволяет организациям вести журналы, осуществлять непрерывный мониторинг и сохранять информацию обо всех действиях аккаунта, связанных с ресурсами AWS. Это упрощает анализ безопасности, отслеживание изменений ресурсов, а также поиск и устранение ошибок (AWS CloudTrail включен по умолчанию во всех аккаунтах AWS).
  • Amazon GuardDuty – это управляемый сервис обнаружения угроз, который постоянно отслеживает вредоносное или несанкционированное поведение с целью защиты аккаунтов AWS и связанных рабочих нагрузок. Он отслеживает действия, которые могут представлять угрозу для аккаунтов, например необычные вызовы API или потенциально несанкционированные развертывания. GuardDuty также обнаруживает потенциально опасные инстансы или исследование систем злоумышленниками.

• Какие есть инструменты для поиска персональных данных в контенте на AWS?

  Amazon Macie – это полностью управляемый сервис, который обеспечивает безопасности и конфиденциальности данных и использует Machine Learning и сопоставление с шаблонами для обнаружения и защиты персональных данных в AWS. По мере роста объема данных, с которыми работают организации, распознавание и защита больших объемов персональных данных становится все более сложной, дорогостоящей и трудоемкой задачей. Сервис Amazon Macie позволяет автоматизировать обнаружение персональных данных и снизить затраты на их защиту. Macie автоматически предоставляет перечень корзин Amazon S3, включая список незашифрованных и общедоступных корзин, а также корзин, доступ к которым предоставлен аккаунтам AWS, не включенным в AWS Organizations. Кроме того, сервис Macie применяет к выбранным корзинам методы Machine Learning и сопоставления с шаблонами, чтобы распознавать конфиденциальные данные и отправлять уведомления о них.
  

  Сервис Amazon Macie сертифицирован по признанным на международном уровне стандартам, например ISO 27017 в сфере безопасности в облаке и ISO 27018 в сфере конфиденциальности в облаке. Клиенты и партнеры APN могут использовать Macie для непрерывного мониторинга доступа к данным, чтобы обнаружить подозрительные действия на основе шаблонов доступа.
  

• Как управлять доступом к персональным данным в контенте на AWS?

  Чтобы помочь клиентам соответствовать требованиям GDPR, AWS предлагает ряд инструментов для контроля доступа к персональным данным, хранящимся как контент клиентов на AWS. Примеры таких инструментов показаны ниже.

  • Безопасность по умолчанию означает, что сервисы AWS спроектированы безопасными по умолчанию. При использовании конфигурации по умолчанию доступ к ресурсам предоставляется только владельцу аккаунта и администратору с правами root.
  • Сервис AWS Identity and Access Management (IAM) предоставляет клиентам возможности безопасного управления доступом к сервисам и ресурсам AWS. Используя сервис IAM, организации могут создавать пользователей и группы AWS и управлять ими, а также использовать разрешения, чтобы предоставлять или запрещать доступ к ресурсам AWS. IAM – это возможность аккаунта AWS, которая предоставляется бесплатно.
  • AWS Multi-Factor Authentication вводит дополнительный уровень защиты, помимо проверки имени пользователя и пароля. AWS предоставляет клиентам выбор аппаратного или виртуального устройства MFA.
  • AWS Directory Service позволяет клиентам выполнять интеграцию и федерализацию с корпоративными директориями для уменьшения административных накладных расходов и улучшения условий работы конечных пользователей.
  • AWS Config позволяет клиентам задействовать встроенные правила, которые проверяют правильность настройки и состояние соответствия для ресурсов AWS.
  • AWS CloudTrail позволяет клиентам вести журналы, осуществлять непрерывный мониторинг и сохранять информацию обо всех действиях аккаунта, связанных с действиями в инфраструктуре AWS. Это упрощает анализ безопасности, отслеживание изменений ресурсов, а также поиск и устранение ошибок (AWS CloudTrail включен по умолчанию во всех аккаунтах AWS).
  • Amazon Macie помогает клиентам предотвращать потерю данных, используя машинное обучение для автоматического обнаружения, классификации и защиты конфиденциальных данных в AWS. Amazon Macie является полностью управляемым сервисом. Он непрерывно выполняет мониторинг действий по доступу к данным для выявления отклонений от нормы и генерирует предупреждения, если обнаруживает риск несанкционированного доступа или неумышленной утечки данных, например когда клиент открыл доступ к конфиденциальным данным извне.
     

• Как зашифровать данные клиентов на AWS, чтобы предотвратить неавторизованный доступ?

  AWS предлагает клиентам и партнерам APN возможность добавить дополнительный уровень безопасности для данных клиентов, хранящихся в облаке, а также помогает им выполнять собственные обязательства (обязательства контролеров данных) в отношении безопасной обработки данных в рамках GDPR. К инструментам шифрования, доступным на AWS, относятся указанные ниже.

  • Функции шифрования данных, доступные в сервисах AWS для хранилищ и баз данных, таких как Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS и Redshift
  • Гибкие варианты управления ключами, включая AWS Key Management Service, позволяющие клиентам выбирать, сохранять полный контроль над ключами шифрования или передать управление ключами AWS
  • Очереди зашифрованных сообщений для передачи конфиденциальных данных с помощью шифрования на стороне сервера (SSE) в Amazon SQS
  • Выделенные аппаратные хранилища криптографических ключей, использующие AWS CloudHSM, которые позволяют клиентам обеспечить соответствие требованиям

   

  Кроме того, AWS предоставляет API, позволяющие клиентам и партнерам APN интегрировать шифрование и защиту данных с любыми сервисами, которые они разрабатывают или развертывают в среде AWS.

• С помощью каких сервисов AWS клиенты могут обеспечить соответствие требованиям GDPR?

  AWS предоставляет своим клиентам целый ряд возможностей и сервисов, с помощью которых они смогут достичь соответствия требованиям GDPR.

  Контроль доступа: возможность предоставления доступа к ресурсам AWS только авторизованным администраторам, пользователям и приложениям

  • Многофакторная аутентификация (MFA)
  • Тщательная настройка доступа к объектам в корзинах Amazon S3/Amazon SQS/Amazon SNS и других сервисах
  • Аутентификация через запрос API
  • Географические ограничения
  • Временные токены доступа, распределяемые с помощью AWS Security Token Service

  Мониторинг и ведение журналов: обзор процессов, происходящих в ресурсах AWS клиента

  • Управление ресурсами и их настройка с помощью AWS Config
  • Аудит на предмет соответствия требованиям и анализ безопасности с помощью AWS CloudTrail
  • Определение проблем конфигурации с помощью AWS Trusted Advisor
  • Тщательное ведение журналов доступа к объектам Amazon S3
  • Предоставление подробных сведений о сетевых потоках с помощью Amazon VPC-FlowLogs
  • Проверка конфигурации и принятие необходимых мер на основе правил, прописываемых в AWS Config Rules
  • Фильтрация и мониторинг доступа к приложениям по HTTP с использованием функций AWS WAF в составе AWS CloudFront

  Шифрование: шифрование данных в AWS

  • Шифрование сохраненных клиентских данных по стандарту AES256 (сервисы EBS/S3/Glacier/RDS)
  • Централизованное управление ключами (в пределах одного региона AWS)
  • Туннели IPsec, предоставляемые AWS сервисом VPN-Gateways
  • Выделение в облаке модулей HSM с помощью AWS CloudHSM

  Надежная платформа обеспечения соответствия и стандарты безопасности. Мы демонстрируем соответствие, соблюдая строгие международные стандарты, в том числе следующие.

  • ISO 27001 относительно технических мер
  • ISO 27017 относительно безопасности облака
  • ISO 27018 относительно конфиденциальности облака
  • SOC 1, SOC 2 и SOC 3, PCI DSS уровня 1,
  • Common Cloud Computing Controls Catalogue (C5) BSI
    
  • ENS высокого уровня