Поскольку российское законодательство накладывает ряд требований на процесс обработки и хранения персональных данных (ПДн), компании уже сегодня размещают собственные ПДн в облаке провайдера. Как не нарушить закон и соответствовать требованиям регулятора, какая ответственность возлагается на оператора ПДн и провайдера, что должен знать клиент, выбирая поставщика услуг хостинга персональных данных по ФЗ-152? На эти и другие вопросы ответим в сегодняшней статье.
Позиция регулятора в отношении облака
Несмотря на то что Роскомнадзор часто подвергается критике за несовременность, позиция регулятора в отношении использования облака все же положительная. Комментарий ниже говорит о том, что законодательство не устанавливает технологических ограничений при сборе, хранении ПДн и разрешает использовать любую технологию:
Можно ли в качестве базы данных использовать облачные технологии (SaaS, PaaS, SAP)? В том числе если эти технологии предоставляются компаниями, у которых есть в России свои или арендуемые серверы (как у того же SAP), но у клиента нет точной информации о том, какие именно серверы будут задействованы в конкретный миг работы?242-ФЗ, а также проекты подзаконных актов, разработанных во исполнение указанного закона, не устанавливают каких-либо технических требований, предписывающих необходимость оператора персональных данных использовать какие-то конкретные технологии при сборе и хранении персональных данных. Так, оператор может использовать облачные технологии, но при этом обязан обеспечить и при необходимости знать и иметь возможность документально подтвердить нахождение баз персональных данных на территории Российской Федерации.
При этом персональные данные в период сбора должны фиксироваться на территории РФ в облаке или локально.
Безопасность при аутсорсинге – общие требования
Важный момент – передача на аутсорсинг обработки ПДн и организация технической защиты персональных данных прямо предусмотрены российским законодательством, в том числе законом «Об информационных технологиях и защите информации». При этом оператор информационной системы (ИС) должен принимать меры, обеспечивающие безопасность инфраструктуры:
- Предотвращение несанкционированного доступа (НСД).
- Своевременное обнаружение фактов НСД.
- Предупреждение неблагоприятных последствий нарушения порядка доступа.
- Недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование.
- Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие НСД.
- Постоянный контроль за обеспечением уровня защищенности информации.
Закон «О персональных данных» также предусматривает аутсорсинг обработки ПДн, но важнейшими элементами такого аутсорсинга являются договор и согласие субъекта ПДн. К содержанию договора предъявляются довольно жесткие требования. Необходимо:
- Сформировать перечень выполняемых действий (операций).
- Определить цель обработки ПДн.
- Ввести обязанности по соблюдению конфиденциальности ПДн.
- Обеспечить безопасность.
- Выполнить требования, предусмотренные 19 статьей ФЗ «О персональных данных».
Зоны ответственности оператора ПДн
Прежде чем начать перенос данных в облако, необходимо правильно распределить обязанности. Оператор ПДн, планируя миграцию в облако и понимая, какие данные будут переноситься, должен для себя решить:
- Какой тип угроз он считает актуальным и определить уровень защищенности информационной системы ПДн (ИСПДН).
- Определить состав мер безопасности исходя из набора базовых и адаптивных мер, а также отразить в договоре с провайдером, какие меры безопасности будет принимать поставщик.
- Построить частную модель актуальных угроз для собственного сегмента ИС.
- Реализовать систему защиты в собственном сегменте ИС.
Что должен и может сделать ответственный провайдер облачных услуг
Поставщик услуг, в свою очередь, должен:
- Получить лицензии ФСБ, ФСТЭК, а если дополнительно организуется передача данных или предоставляются телематические услуги, то и лицензию Минкомсвязи.
- Определить тип актуальных угроз и максимальный уровень защищенности для облака.
- Построить частную модель актуальных угроз для облака.
- Реализовать систему защиты в облаке.
- Предоставить оператору возможность развернуть дополнительные средства безопасности (PaaS или IaaS).
- Помочь заказчику с реализацией мер защиты на клиентской стороне.
Облако как инструмент повышения безопасности и надежности функционирования информационных систем
Облако позволяет добиться положительных результатов, в частности повысить уровень безопасности за счет применения комплекса мер. К тому же, используя облачные технологии, клиент получает следующие преимущества:
- Отсутствует необходимость строить дорогую, сложную в поддержке и неравномерно используемую вычислительную инфраструктуру.
- Отсутствует необходимость обеспечивать условия функционирования вычислительной инфраструктуры (электропитание, климатика, пожаротушение и прочее).
- Простота обеспечения мобильности и организации доступа с различных устройств пользователей.
- Снижение совокупной стоимости владения (Total Cost of Ownership, TCO).
- Отсутствие необходимости нанимать в штат дорогостоящих специалистов.
- Скорость и простота развертывания дополнительных вычислительных мощностей без дополнительного взаимодействия с провайдером.
- Возможность простого и оперативного уменьшения расходов на вычислительную инфраструктуру при снижении требований к производительности.
- Простота восстановления при авариях и иных опасных и непредвиденных событиях.
На что обратить внимание при выборе провайдера, предлагающего услуги «по ФЗ-152»
Выбор провайдера – задача не из простых, поскольку это должна быть проверенная, надежная и ответственная компания. Потенциальный исполнитель (назовем его так) должен честно ответить на вопрос, какой максимальный уровень защищенности он обеспечивает в облаке, с указанием типа нейтрализуемых актуальных угроз. Причем сказанное лучше увидеть – попросите поставщика продемонстрировать подтверждение соответствия декларируемому уровню защищенности. Например, запросите документ, подтверждающий внешний аудит независимым исполнителем. В идеале это может быть аттестат, хотя аттестация облака – довольно сложная задача.
Кроме того, провайдер должен иметь модель угроз для защищенного сегмента облака и в случае необходимости ознакомить с ней клиента, включая описание мер и способов нейтрализации актуальных угроз. В договоре с провайдером должны быть учтены моменты, предусмотренные частью 3 статьи 6 закона «О персональных данных», включая сведения о типе актуальных угроз и уровнях защищенности.
Осторожно – «слова-маячки»!
При поиске облачного провайдера обращайте внимание на «слова-маячки». Если на веб-странице компании присутствуют термины: класс защищенности ПДн, типовая, специальная ИСПДН, лицензия на работу с персональными данными, аттестация и сертификация облака на соответствие требованиям ФСБ – стоит насторожиться, поскольку такие слова в современном лексиконе уже не используют. К тому же аттестации по требованиям ФСБ нет и никогда не было.
Дополнительно стоит обратить внимание на то, как обеспечивается резервное копирование и восстановление с точки зрения катастрофоустойчивости и территориальной распределенности. Поставщик должен быть готов предоставить сертифицированный крипто-шлюз как дополнительную или основную услугу при организации работы.
В результате установленных отношений с провайдером клиент получает на руки договор, в котором прописан уровень защищенности и определены меры по обеспечению безопасности. Это говорит о том, что обязанности оператора по технической защите ПДн выполнены и этого достаточно для подтверждения требований законодательства. При этом важно понимать, что сразу заключать договор с провайдером вовсе необязательно. Любой адекватный поставщик всегда готов предложить возможность протестировать облачный IaaS-сервис, чтобы понять, подходит ли предлагаемый сервис для решения задач клиента.
Остались вопросы? Переходите по ссылке на запись вебинара Облако в соответствии с законом «О персональных данных» и следите за новыми материалами первого блога о корпоративном IaaS.
