Как обеспечить современную защиту персональных данных в облаке?

Обеспечение сохранности персональной информации о сотрудниках и клиентах является требованием законодательства РФ. При этом не запрещается хранить и обрабатывать эти данные в облачной среде. Данные процессы регулируются ФЗ №152, фактически представляющим собой закон о защите персональных данных в облаке.

Данные и их операторы

Согласно Федеральному Закону №152, собирающее и обрабатывающее персональную информацию лицо должно защищать ее от попадания к третьим лицам. Какие же данные являются персональными? Для этой категории информации существуют четкие формулировки.

В соответствии с ФЗ №152, защита данных в облаке касается лишь информации, относящейся к конкретным личностям. На результаты анонимных опросов и т.п. действие закона не распространяется.

Персональная информация делится на 4 типа:

• специальную (сведения о расе, национальности, вероисповедании, здоровье, политических, философских и религиозных взглядах);
• биометрическую (фотографии, отпечатки папиллярных линий и т.д.);
• общедоступную (фамилия, имя, отчество, биографические и адресные данные, контактная информация);
• иную (сведения о деятельности, хобби, привычках, предпочтениях и т.д.).

Лицо, хранящее и обрабатывающее такую информацию, по закону является оператором, ответственным за безопасность персональных данных в облаке.

Обязанности оператора

Законодательство требует, чтобы оператор персональной информации:

• обеспечивал ее защиту в соответствии с законами Российской Федерации;
• прошел регистрацию в «Роскомнадзоре» (для этого требуется аттестация по 152 ФЗ);
• заручился согласием лиц на предоставление и обработку персональной информации.

Соответствие защиты законодательным требованиям определяется уровнем защищенности, согласно правительственному постановлению №1119 и приказу ФСТЭК. Уровень определяется четырьмя факторами:

• типом персональной информации;
• отношениями с его субъектами (партнерские, клиентские и т.д.);
• числом субъектов (более или менее 100 тысяч);
• типом актуальной угрозы.

Первые три фактора достаточно легко подвергаются самостоятельному определению, а вот тип угрозы определить достаточно сложно. Существует следующие 3 типа угроз, негативно воздействующие на безопасность данных в облаке:

• первого типа, связанные с воздействием на уровне ОС;
• второго типа, связанные с воздействием на уровне прикладного программного обеспечения;
• третьего типа, не относящиеся к программному обеспечению (к примеру, уязвимость в оборудовании).

Как обеспечить защиту в облаке?

Самый частый вопрос, возникающий у клиентов облачного провайдера - это безопасность в облаке. В соответствии с типами опасности в облачной среде определяются 4 уровня защиты, которые может обеспечить облачный провайдер:

1. Четвертый уровень, требуемый при защите от угроз третьего типа, поддерживается установкой антивируса и регулярным обновлением программного обеспечения;
2. Третий уровень, позволяющий защищаться от угроз второго и третьего типов, требует поиска и устранения уязвимостей.
3. Второй уровень соответствует всем типам угроз, включая первый. Поддерживается защитой от спама и резервным копированием.
4. Первый уровень предназначен для устранения угроз исключительно первого типа. Требует постоянной проверки ПО компетентными специалистами.

Приоритетный вопрос для специалистов, которые работают над обеспечением безопасности ПДн, состоит в прогнозировании рисков и поиска факторов, негативно влияющих на безопасность данных для определенной системы. На этом анализе основывается итоговое заключение, насколько защищены ПДн и какие меры принять дополнительно. Ответственность за исполнение закона 152-ФЗ несет клиент, пользующийся услугами облачных провайдеров, так как он является лицом, непосредственно работающим с ПДн и должен выполнять требования закона. Облачный провайдер, в свою очередь,  обеспечивает необходимые требования по безопасности данных, но на своём уровне ИТ-инфраструктуры, подкрепляя это необходимыми документами, к примеру: документ по аттестации согласно 152-ФЗ; соответствие требованиям и соблюдение приказа № 21 ФСТЭК; соответствие одному или нескольким уровням защищенности данных.

Сервисы облачного провайдера mClouds предоставляют возможность размещения и работы с персональными данными (ПДн) c высоким уровнем защиты в сегменте облачной инфраструктуры, так как полностью отвечают требованиям закона №152-ФЗ.