Зоны ответственности заказчика и облачного провайдера (персональные данные в облаке, часть 3) - IaaS Blog

Зоны ответственности заказчика и облачного провайдера (персональные данные в облаке, часть 3)

Зоны ответственности заказчика и облачного провайдера (персональные данные в облаке, часть 3)

Поскольку российское законодательство накладывает ряд требований на процесс обработки и хранения персональных данных (ПДн), компании уже сегодня размещают собственные ПДн в облаке провайдера. Как не нарушить закон и соответствовать требованиям регулятора, какая ответственность возлагается на оператора ПДн и провайдера, что должен знать клиент, выбирая поставщика услуг хостинга персональных данных по ФЗ-152? На эти и другие вопросы ответим в сегодняшней статье.

Позиция регулятора в отношении облака

Несмотря на то что Роскомнадзор часто подвергается критике за несовременность, позиция регулятора в отношении использования облака все же положительная. Комментарий ниже говорит о том, что законодательство не устанавливает технологических ограничений при сборе, хранении ПДн и разрешает использовать любую технологию:

Можно ли в качестве базы данных использовать облачные технологии (SaaS, PaaS, SAP)? В том числе если эти технологии предоставляются компаниями, у которых есть в России свои или арендуемые серверы (как у того же SAP), но у клиента нет точной информации о том, какие именно серверы будут задействованы в конкретный миг работы?242-ФЗ, а также проекты подзаконных актов, разработанных во исполнение указанного закона, не устанавливают каких-либо технических требований, предписывающих необходимость оператора персональных данных использовать какие-то конкретные технологии при сборе и хранении персональных данных. Так, оператор может использовать облачные технологии, но при этом обязан обеспечить и при необходимости знать и иметь возможность документально подтвердить нахождение баз персональных данных на территории Российской Федерации.

При этом персональные данные в период сбора должны фиксироваться на территории РФ в облаке или локально.

Безопасность при аутсорсинге – общие требования

Безопасность при аутсорсинге – общие требования

Важный момент – передача на аутсорсинг обработки ПДн и организация технической защиты персональных данных прямо предусмотрены российским законодательством, в том числе законом «Об информационных технологиях и защите информации». При этом оператор информационной системы (ИС) должен принимать меры, обеспечивающие безопасность инфраструктуры:

  • Предотвращение несанкционированного доступа (НСД).
  • Своевременное обнаружение фактов НСД.
  • Предупреждение неблагоприятных последствий нарушения порядка доступа.
  • Недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование.
  • Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие НСД.
  • Постоянный контроль за обеспечением уровня защищенности информации.

Закон «О персональных данных» также предусматривает аутсорсинг обработки ПДн, но важнейшими элементами такого аутсорсинга являются договор и согласие субъекта ПДн. К содержанию договора предъявляются довольно жесткие требования. Необходимо:

  • Сформировать перечень выполняемых действий (операций).
  • Определить цель обработки ПДн.
  • Ввести обязанности по соблюдению конфиденциальности ПДн.
  • Обеспечить безопасность.
  • Выполнить требования, предусмотренные 19 статьей ФЗ «О персональных данных».
Это интересно!  На что обратить внимание при выборе услуги облачного PCI DSS хостинга

Зоны ответственности оператора ПДн

Прежде чем начать перенос данных в облако, необходимо правильно распределить обязанности. Оператор ПДн, планируя миграцию в облако и понимая, какие данные будут переноситься, должен для себя решить:

  • Какой тип угроз он считает актуальным и определить уровень защищенности информационной системы ПДн (ИСПДН).
  • Определить состав мер безопасности исходя из набора базовых и адаптивных мер, а также отразить в договоре с провайдером, какие меры безопасности будет принимать поставщик.
  • Построить частную модель актуальных угроз для собственного сегмента ИС.
  • Реализовать систему защиты в собственном сегменте ИС.

Что должен и может сделать ответственный провайдер облачных услуг

Поставщик услуг, в свою очередь, должен:

  • Получить лицензии ФСБ, ФСТЭК, а если дополнительно организуется передача данных или предоставляются телематические услуги, то и лицензию Минкомсвязи.
  • Определить тип актуальных угроз и максимальный уровень защищенности для облака.
  • Построить частную модель актуальных угроз для облака.
  • Реализовать систему защиты в облаке.
  • Предоставить оператору возможность развернуть дополнительные средства безопасности (PaaS или IaaS).
  • Помочь заказчику с реализацией мер защиты на клиентской стороне.

Облако как инструмент повышения безопасности и надежности функционирования информационных систем

Облако как инструмент повышения безопасности и надежности функционирования информационных систем

Облако позволяет добиться положительных результатов, в частности повысить уровень безопасности за счет применения комплекса мер. К тому же, используя облачные технологии, клиент получает следующие преимущества:

  • Отсутствует необходимость строить дорогую, сложную в поддержке и неравномерно используемую вычислительную инфраструктуру.
  • Отсутствует необходимость обеспечивать условия функционирования вычислительной инфраструктуры (электропитание, климатика, пожаротушение и прочее).
  • Простота обеспечения мобильности и организации доступа с различных устройств пользователей.
  • Снижение совокупной стоимости владения (Total Cost of Ownership, TCO).
  • Отсутствие необходимости нанимать в штат дорогостоящих специалистов.
  • Скорость и простота развертывания дополнительных вычислительных мощностей без дополнительного взаимодействия с провайдером.
  • Возможность простого и оперативного уменьшения расходов на вычислительную инфраструктуру при снижении требований к производительности.
  • Простота восстановления при авариях и иных опасных и непредвиденных событиях.
Это интересно!  «ИТ-ГРАД» сертифицировал свое облако по стандарту PCI DSS

На что обратить внимание при выборе провайдера, предлагающего услуги «по ФЗ-152»

На что обратить внимание при выборе провайдера, предлагающего услуги «по ФЗ-152»

Выбор провайдера – задача не из простых, поскольку это должна быть проверенная, надежная и ответственная компания. Потенциальный исполнитель (назовем его так) должен честно ответить на вопрос, какой максимальный уровень защищенности он обеспечивает в облаке, с указанием типа нейтрализуемых актуальных угроз. Причем сказанное лучше увидеть – попросите поставщика продемонстрировать подтверждение соответствия декларируемому уровню защищенности. Например, запросите документ, подтверждающий внешний аудит независимым исполнителем. В идеале это может быть аттестат, хотя аттестация облака – довольно сложная задача.

Кроме того, провайдер должен иметь модель угроз для защищенного сегмента облака и в случае необходимости ознакомить с ней клиента, включая описание мер и способов нейтрализации актуальных угроз. В договоре с провайдером должны быть учтены моменты, предусмотренные частью 3 статьи 6 закона «О персональных данных», включая сведения о типе актуальных угроз и уровнях защищенности.

Осторожно – «слова-маячки»!

Осторожно – «слова-маячки»!

При поиске облачного провайдера обращайте внимание на «слова-маячки». Если на веб-странице компании присутствуют термины: класс защищенности ПДн, типовая, специальная ИСПДН, лицензия на работу с персональными данными, аттестация и сертификация облака на соответствие требованиям ФСБ – стоит насторожиться, поскольку такие слова в современном лексиконе уже не используют. К тому же аттестации по требованиям ФСБ нет и никогда не было.

Дополнительно стоит обратить внимание на то, как обеспечивается резервное копирование и восстановление с точки зрения катастрофоустойчивости и территориальной распределенности. Поставщик должен быть готов предоставить сертифицированный крипто-шлюз как дополнительную или основную услугу при организации работы.

В результате установленных отношений с провайдером клиент получает на руки договор, в котором прописан уровень защищенности и определены меры по обеспечению безопасности. Это говорит о том, что обязанности оператора по технической защите ПДн выполнены и этого достаточно для подтверждения требований законодательства. При этом важно понимать, что сразу заключать договор с провайдером вовсе необязательно. Любой адекватный поставщик всегда готов предложить возможность протестировать облачный IaaS-сервис, чтобы понять, подходит ли предлагаемый сервис для решения задач клиента.

Остались вопросы? Переходите по ссылке на запись вебинара Облако в соответствии с законом «О персональных данных» и следите за новыми материалами первого блога о корпоративном IaaS.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (5 оценок, среднее: 5,00 из 5)
Загрузка...