Как обеспечить современную защиту персональных данных в облаке?
Обеспечение сохранности персональной информации о сотрудниках и клиентах является требованием законодательства РФ. При этом не запрещается хранить и обрабатывать эти данные в облачной среде. Данные процессы регулируются ФЗ №152, фактически представляющим собой закон о защите персональных данных в облаке.
Данные и их операторы
Согласно Федеральному Закону №152, собирающее и обрабатывающее персональную информацию лицо должно защищать ее от попадания к третьим лицам. Какие же данные являются персональными? Для этой категории информации существуют четкие формулировки.
В соответствии с ФЗ №152, защита данных в облаке касается лишь информации, относящейся к конкретным личностям. На результаты анонимных опросов и т.п. действие закона не распространяется.
Персональная информация делится на 4 типа:
- специальную (сведения о расе, национальности, вероисповедании, здоровье, политических, философских и религиозных взглядах);
- биометрическую (фотографии, отпечатки папиллярных линий и т.д.);
- общедоступную (фамилия, имя, отчество, биографические и адресные данные, контактная информация);
- иную (сведения о деятельности, хобби, привычках, предпочтениях и т.д.).
Лицо, хранящее и обрабатывающее такую информацию, по закону является оператором, ответственным за безопасность персональных данных в облаке.
Обязанности оператора
Законодательство требует, чтобы оператор персональной информации:
- обеспечивал ее защиту в соответствии с законами Российской Федерации;
- прошел регистрацию в «Роскомнадзоре» (для этого требуется аттестация по 152 ФЗ);
- заручился согласием лиц на предоставление и обработку персональной информации.
Соответствие защиты законодательным требованиям определяется уровнем защищенности, согласно правительственному постановлению №1119 и приказу ФСТЭК. Уровень определяется четырьмя факторами:
- типом персональной информации;
- отношениями с его субъектами (партнерские, клиентские и т.д.);
- числом субъектов (более или менее 100 тысяч);
- типом актуальной угрозы.
Первые три фактора достаточно легко подвергаются самостоятельному определению, а вот тип угрозы определить достаточно сложно. Существует следующие 3 типа угроз, негативно воздействующие на безопасность данных в облаке:
- первого типа, связанные с воздействием на уровне ОС;
- второго типа, связанные с воздействием на уровне прикладного программного обеспечения;
- третьего типа, не относящиеся к программному обеспечению (к примеру, уязвимость в оборудовании).
Как обеспечить защиту в облаке?
Самый частый вопрос, возникающий у клиентов облачного провайдера - это безопасность в облаке. В соответствии с типами опасности в облачной среде определяются 4 уровня защиты, которые может обеспечить облачный провайдер:
- Четвертый уровень, требуемый при защите от угроз третьего типа, поддерживается установкой антивируса и регулярным обновлением программного обеспечения;
- Третий уровень, позволяющий защищаться от угроз второго и третьего типов, требует поиска и устранения уязвимостей.
- Второй уровень соответствует всем типам угроз, включая первый. Поддерживается защитой от спама и резервным копированием.
- Первый уровень предназначен для устранения угроз исключительно первого типа. Требует постоянной проверки ПО компетентными специалистами.
Приоритетный вопрос для специалистов, которые работают над обеспечением безопасности ПДн, состоит в прогнозировании рисков и поиска факторов, негативно влияющих на безопасность данных для определенной системы. На этом анализе основывается итоговое заключение, насколько защищены ПДн и какие меры принять дополнительно. Ответственность за исполнение закона 152-ФЗ несет клиент, пользующийся услугами облачных провайдеров, так как он является лицом, непосредственно работающим с ПДн и должен выполнять требования закона. Облачный провайдер, в свою очередь, обеспечивает необходимые требования по безопасности данных, но на своём уровне ИТ-инфраструктуры, подкрепляя это необходимыми документами, к примеру: документ по аттестации согласно 152-ФЗ; соответствие требованиям и соблюдение приказа № 21 ФСТЭК; соответствие одному или нескольким уровням защищенности данных.
Сервисы облачного провайдера mClouds предоставляют возможность размещения и работы с персональными данными (ПДн) c высоким уровнем защиты в сегменте облачной инфраструктуры, так как полностью отвечают требованиям закона №152-ФЗ.
Оптимизируем процесс машинного обучения с помощью правильного подбора GPU: расскажем, как не потеряться в характеристиках и выбрать лучшую видеокарту для нейросетей.
30 октября, 2024Какой дистрибутив Linux выбрать для сервераКак выбрать оптимальный дистрибутив Linux для сервера. Рассматриваем популярные отечественные и зарубежные варианты.
28 октября, 20245 ключевых критериев выбора облачного сервера в арендуКак выбрать облачного провайдера, чтобы обеспечить эффективность и безопасность ИТ-инфраструктуры бизнеса — рассмотрим в этой статье.
24 октября, 2024