e-mail
phone
mobile

Зоны ответственности заказчика и облачного провайдера (персональные данные в облаке, часть 3)

Безопасность
01.06.2018
4281
10 min
Зоны ответственности заказчика и облачного провайдера (персональные данные в облаке, часть 3)
#пдн #фз-152

Зоны ответственности заказчика и облачного провайдера (персональные данные в облаке, часть 3)

Поскольку российское законодательство накладывает ряд требований на процесс обработки и хранения персональных данных (ПДн), компании уже сегодня размещают собственные ПДн в облаке провайдера. Как не нарушить закон и соответствовать требованиям регулятора, какая ответственность возлагается на оператора ПДн и провайдера, что должен знать клиент, выбирая поставщика услуг хостинга персональных данных по ФЗ-152? На эти и другие вопросы ответим в сегодняшней статье.

Позиция регулятора в отношении облака

Несмотря на то что Роскомнадзор часто подвергается критике за несовременность, позиция регулятора в отношении использования облака все же положительная. Комментарий ниже говорит о том, что законодательство не устанавливает технологических ограничений при сборе, хранении ПДн и разрешает использовать любую технологию:

Можно ли в качестве базы данных использовать облачные технологии (SaaSPaaSSAP)? В том числе если эти технологии предоставляются компаниями, у которых есть в России свои или арендуемые серверы (как у того же SAP), но у клиента нет точной информации о том, какие именно серверы будут задействованы в конкретный миг работы?242-ФЗ, а также проекты подзаконных актов, разработанных во исполнение указанного закона, не устанавливают каких-либо технических требований, предписывающих необходимость оператора персональных данных использовать какие-то конкретные технологии при сборе и хранении персональных данных. Так, оператор может использовать облачные технологии, но при этом обязан обеспечить и при необходимости знать и иметь возможность документально подтвердить нахождение баз персональных данных на территории Российской Федерации.

При этом персональные данные в период сбора должны фиксироваться на территории РФ в облаке или локально.

Безопасность при аутсорсинге – общие требования

Безопасность при аутсорсинге – общие требования

Важный момент – передача на аутсорсинг обработки ПДн и организация технической защиты персональных данных прямо предусмотрены российским законодательством, в том числе законом «Об информационных технологиях и защите информации». При этом оператор информационной системы (ИС) должен принимать меры, обеспечивающие безопасность инфраструктуры:

  • Предотвращение несанкционированного доступа (НСД).
  • Своевременное обнаружение фактов НСД.
  • Предупреждение неблагоприятных последствий нарушения порядка доступа.
  • Недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование.
  • Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие НСД.
  • Постоянный контроль за обеспечением уровня защищенности информации.

Закон «О персональных данных» также предусматривает аутсорсинг обработки ПДн, но важнейшими элементами такого аутсорсинга являются договор и согласие субъекта ПДн. К содержанию договора предъявляются довольно жесткие требования. Необходимо:

  • Сформировать перечень выполняемых действий (операций).
  • Определить цель обработки ПДн.
  • Ввести обязанности по соблюдению конфиденциальности ПДн.
  • Обеспечить безопасность.
  • Выполнить требования, предусмотренные 19 статьей ФЗ «О персональных данных».

Зоны ответственности оператора ПДн

Прежде чем начать перенос данных в облако, необходимо правильно распределить обязанности. Оператор ПДн, планируя миграцию в облако и понимая, какие данные будут переноситься, должен для себя решить:

  • Какой тип угроз он считает актуальным и определить уровень защищенности информационной системы ПДн (ИСПДН).
  • Определить состав мер безопасности исходя из набора базовых и адаптивных мер, а также отразить в договоре с провайдером, какие меры безопасности будет принимать поставщик.
  • Построить частную модель актуальных угроз для собственного сегмента ИС.
  • Реализовать систему защиты в собственном сегменте ИС.

Что должен и может сделать ответственный провайдер облачных услуг

Поставщик услуг, в свою очередь, должен:

  • Получить лицензии ФСБ, ФСТЭК, а если дополнительно организуется передача данных или предоставляются телематические услуги, то и лицензию Минкомсвязи.
  • Определить тип актуальных угроз и максимальный уровень защищенности для облака.
  • Построить частную модель актуальных угроз для облака.
  • Реализовать систему защиты в облаке.
  • Предоставить оператору возможность развернуть дополнительные средства безопасности (PaaS или IaaS).
  • Помочь заказчику с реализацией мер защиты на клиентской стороне.

Облако как инструмент повышения безопасности и надежности функционирования информационных систем

Облако как инструмент повышения безопасности и надежности функционирования информационных систем

Облако позволяет добиться положительных результатов, в частности повысить уровень безопасности за счет применения комплекса мер. К тому же, используя облачные технологии, клиент получает следующие преимущества:

  • Отсутствует необходимость строить дорогую, сложную в поддержке и неравномерно используемую вычислительную инфраструктуру.
  • Отсутствует необходимость обеспечивать условия функционирования вычислительной инфраструктуры (электропитание, климатика, пожаротушение и прочее).
  • Простота обеспечения мобильности и организации доступа с различных устройств пользователей.
  • Снижение совокупной стоимости владения (Total Cost of Ownership, TCO).
  • Отсутствие необходимости нанимать в штат дорогостоящих специалистов.
  • Скорость и простота развертывания дополнительных вычислительных мощностей без дополнительного взаимодействия с провайдером.
  • Возможность простого и оперативного уменьшения расходов на вычислительную инфраструктуру при снижении требований к производительности.
  • Простота восстановления при авариях и иных опасных и непредвиденных событиях.

На что обратить внимание при выборе провайдера, предлагающего услуги «по ФЗ-152»

На что обратить внимание при выборе провайдера, предлагающего услуги «по ФЗ-152»

Выбор провайдера – задача не из простых, поскольку это должна быть проверенная, надежная и ответственная компания. Потенциальный исполнитель (назовем его так) должен честно ответить на вопрос, какой максимальный уровень защищенности он обеспечивает в облаке, с указанием типа нейтрализуемых актуальных угроз. Причем сказанное лучше увидеть – попросите поставщика продемонстрировать подтверждение соответствия декларируемому уровню защищенности. Например, запросите документ, подтверждающий внешний аудит независимым исполнителем. В идеале это может быть аттестат, хотя аттестация облака – довольно сложная задача.

Кроме того, провайдер должен иметь модель угроз для защищенного сегмента облака и в случае необходимости ознакомить с ней клиента, включая описание мер и способов нейтрализации актуальных угроз. В договоре с провайдером должны быть учтены моменты, предусмотренные частью 3 статьи 6 закона «О персональных данных», включая сведения о типе актуальных угроз и уровнях защищенности.

Осторожно – «слова-маячки»!

Осторожно – «слова-маячки»!

При поиске облачного провайдера обращайте внимание на «слова-маячки». Если на веб-странице компании присутствуют термины: класс защищенности ПДн, типовая, специальная ИСПДН, лицензия на работу с персональными данными, аттестация и сертификация облака на соответствие требованиям ФСБ – стоит насторожиться, поскольку такие слова в современном лексиконе уже не используют. К тому же аттестации по требованиям ФСБ нет и никогда не было.

Дополнительно стоит обратить внимание на то, как обеспечивается резервное копирование и восстановление с точки зрения катастрофоустойчивости и территориальной распределенности. Поставщик должен быть готов предоставить сертифицированный крипто-шлюз как дополнительную или основную услугу при организации работы.

В результате установленных отношений с провайдером клиент получает на руки договор, в котором прописан уровень защищенности и определены меры по обеспечению безопасности. Это говорит о том, что обязанности оператора по технической защите ПДн выполнены и этого достаточно для подтверждения требований законодательства. При этом важно понимать, что сразу заключать договор с провайдером вовсе необязательно. Любой адекватный поставщик всегда готов предложить возможность протестировать облачный IaaS-сервис, чтобы понять, подходит ли предлагаемый сервис для решения задач клиента.

Остались вопросы? Переходите по ссылке на запись вебинара Облако в соответствии с законом «О персональных данных» и следите за новыми материалами первого блога о корпоративном IaaS.


Екатерина Юдина
Профильный эксперт
Наш сайт использует cookie
Информацию о cookie, целях их использования и способах отказа от таковых, можно найти в «Политике использования файлов «cookie». Продолжая использовать наш Сайт, Вы выражаете согласие на обработку файлов «cookie», а также подтверждаете факт ознакомления с «Политикой использования файлов «cookie». Если Вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.