Зоны ответственности заказчика и облачного провайдера

Поскольку российское законодательство накладывает ряд требований на процесс обработки и хранения персональных данных (ПДн), компании уже сегодня размещают собственные ПДн в облаке провайдера. Ранее наши коллеги из «ИТ-ГРАД» уже рассказали, что такое персональные данные и каковы принципы работы с ними.

Теперь поговорим, как не нарушить закон и соответствовать требованиям регулятора, какая ответственность возлагается на оператора ПДн и провайдера, что должен знать клиент, выбирая поставщика услуг хостинга персональных данных по ФЗ-152[1]? На эти и другие вопросы ответим в сегодняшней статье.

Позиция регулятора в отношении облака

Несмотря на то что Роскомнадзор часто подвергается критике за несовременность, позиция регулятора в отношении использования облака все же положительная. Комментарий ниже говорит о том, что законодательство не устанавливает технологических ограничений при сборе, хранении ПДн и разрешает использовать любую технологию:

Можно ли в качестве базы данных использовать облачные технологии (SaaS[2], PaaS[3], SAP[4])? В том числе если эти технологии предоставляются компаниями, у которых есть в России свои или арендуемые серверы (как у того же SAP), но у клиента нет точной информации о том, какие именно серверы будут задействованы в конкретный миг работы?

242-ФЗ[5], а также проекты подзаконных актов, разработанных во исполнение указанного закона, не устанавливают каких-либо технических требований, предписывающих необходимость оператора персональных данных использовать какие-то конкретные технологии при сборе и хранении персональных данных. Так, оператор может использовать облачные технологии, но при этом обязан обеспечить и при необходимости знать и иметь возможность документально подтвердить нахождение баз персональных данных на территории Российской Федерации.

При этом персональные данные в период сбора должны фиксироваться на территории РФ в облаке или локально.

Безопасность при аутсорсинге – общие требования

Ответственность облачного провайдера

Передача на аутсорсинг обработки ПДн и организация технической защиты персональных данных прямо предусмотрены российским законодательством, в том числе законом «Об информационных технологиях и защите информации». При этом оператор информационной системы (ИС) должен принимать меры, обеспечивающие безопасность инфраструктуры:

  • предотвращение несанкционированного доступа (НСД);
  • своевременное обнаружение фактов НСД;
  • предупреждение неблагоприятных последствий нарушения порядка доступа;
  • недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
  • возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие НСД;
  • постоянный контроль за обеспечением уровня защищенности информации.

Закон «О персональных данных» также предусматривает аутсорсинг обработки ПДн, но важнейшими элементами такого аутсорсинга являются договор и согласие субъекта ПДн. К содержанию договора предъявляются довольно жесткие требования. Необходимо:

  • сформировать перечень выполняемых действий (операций);
  • определить цель обработки ПДн (после достижения этой цели персональные данные должны быть уничтожены или обезличены, является нарушением использование ПНд для достижения иных целей);
  • ввести обязанности по соблюдению конфиденциальности ПДн;
  • обеспечить безопасность;
  • выполнить требования, предусмотренные 19 статьей ФЗ «О персональных данных».

Зоны ответственности оператора ПДн

Прежде чем начать перенос данных в облако, необходимо правильно распределить обязанности. Оператор ПДн, планируя миграцию в облако и понимая, какие данные будут переноситься, должен для себя решить:

  • какой тип угроз он считает актуальным и определить уровень защищенности информационной системы ПДн (ИСПДН);
  • определить состав мер безопасности исходя из набора базовых и адаптивных мер, а также отразить в договоре с провайдером, какие меры безопасности будет принимать поставщик;
  • построить частную модель актуальных угроз для собственного сегмента ИС;
  • реализовать систему защиты в собственном сегменте ИС.

Что должен и может сделать ответственный провайдер облачных услуг

Поставщик услуг, в свою очередь, должен:

  • получить лицензии ФСБ, ФСТЭК (Федеральная служба по техническому и экспертному контролю), а если дополнительно организуется передача данных или предоставляются телематические услуги, то и лицензию Минкомсвязи;
  • определить тип актуальных угроз и максимальный уровень защищенности для облака;
  • построить частную модель актуальных угроз для облака;
  • реализовать систему защиты в облаке;
  • предоставить оператору возможность развернуть дополнительные средства безопасности (PaaS или IaaS);
  • помочь заказчику с реализацией мер защиты на клиентской стороне.

Облако как инструмент повышения безопасности и надежности функционирования информационных систем

Облачные решения и персональные данные

Облако позволяет добиться положительных результатов, в частности повысить уровень безопасности за счет применения комплекса мер. К тому же, используя облачные технологии, клиент получает следующие преимущества:

  • отсутствует необходимость строить дорогую, сложную в поддержке и неравномерно используемую вычислительную инфраструктуру;
  • отсутствует необходимость обеспечивать условия функционирования вычислительной инфраструктуры (электропитание, климатика, пожаротушение и прочее);
  • простота обеспечения мобильности и организации доступа с различных устройств пользователей;
  • снижение совокупной стоимости владения (Total Cost of Ownership, TCO);
  • отсутствие необходимости нанимать в штат дорогостоящих специалистов;
  • скорость и простота развертывания дополнительных вычислительных мощностей без дополнительного взаимодействия с провайдером;
  • возможность простого и оперативного уменьшения расходов на вычислительную инфраструктуру при снижении требований к производительности;
  • простота восстановления при авариях и иных опасных и непредвиденных событиях.

На что обратить внимание при выборе провайдера, предлагающего услуги «по ФЗ-152»

Как выбрать облачного провайдера

Выбор провайдера – задача не из простых, поскольку это должна быть проверенная, надежная и ответственная компания. Потенциальный исполнитель (назовем его так) должен честно ответить на вопрос, какой максимальный уровень защищенности он обеспечивает в облаке, с указанием типа нейтрализуемых актуальных угроз. Причем сказанное лучше увидеть – попросите поставщика продемонстрировать подтверждение соответствия декларируемому уровню защищенности.

Например, запросите документ, подтверждающий внешний аудит независимым исполнителем. В идеале это может быть аттестат, хотя аттестация облака – довольно сложная задача.

Кроме того, провайдер должен иметь модель угроз для защищенного сегмента облака и в случае необходимости ознакомить с ней клиента, включая описание мер и способов нейтрализации актуальных угроз. В договоре с провайдером должны быть учтены моменты, предусмотренные частью 3 статьи 6 закона «О персональных данных», включая сведения о типе актуальных угроз и уровнях защищенности.

Осторожно – «слова-маячки»!

На что обращать внимание при выборе провайдера облачного сервиса

При поиске облачного провайдера обращайте внимание на «слова-маячки». Если на веб-странице компании присутствуют термины: класс защищенности ПДн, типовая, специальная ИСПДН, лицензия на работу с персональными данными, аттестация и сертификация облака на соответствие требованиям ФСБ – стоит насторожиться, поскольку такие слова в современном лексиконе уже не используют.

К тому же аттестации по требованиям ФСБ нет и никогда не было.

Дополнительно стоит обратить внимание на то, как обеспечивается резервное копирование и восстановление с точки зрения катастрофоустойчивости и территориальной распределенности. Поставщик должен быть готов предоставить сертифицированный крипто-шлюз[6] как дополнительную или основную услугу при организации работы.

В результате установленных отношений с провайдером клиент получает на руки договор, в котором прописан уровень защищенности и определены меры по обеспечению безопасности. Это говорит о том, что обязанности оператора по технической защите ПДн выполнены и этого достаточно для подтверждения требований законодательства.

При этом важно понимать, что сразу заключать договор с провайдером вовсе необязательно. Любой адекватный поставщик всегда готов предложить возможность протестировать облачный IaaS-сервис, чтобы понять, подходит ли предлагаемый сервис для решения задач клиента.

Материал подготовлен на базе статьи «ИТ-ГРАД».

Присоединяйтесь к нам,
чтобы получать чек-листы, реальные кейсы, а также
обзоры сервисов раз в 2 недели.
Нас читает уже 1290 руководителей!

Смотрите также:

Обработка персональных данных работников Защита персональных данных сотрудников

Каков порядок обработки персональных данных работников, их родственников, в т.ч. при размещении их в облаке. Каков объем прав у сотрудников на защиту их персональных данных, нужно ли получать согласие работников.

Организация защиты данных на предприятии Организация обработки и защиты персональных данных

Организация данных и информации на предприятии - какие мероприятия требуется провести, как составить их план, кого назначить ответственным. Построение эффективной системы защиты информации и персональных данных на предприятии.

Современный IT аутсорсинг IT аутсорсинг в 2020 г

Краткая история, текущее состояние и ближайшее будущее интернет-маркетинга в рунете. Чего ждать в ближайшие года, к чему готовиться: больше внимания защите информации, автоматизации процессов.

Соответствие 152-ФЗ Соответствие фз 152

Как и нужно ли проводить проверку на соответствие организации, ее бизнес-процессов, сайта, серверов на соответствие Федеральному закону №152-ФЗ «О персональных данных».