Зоны ответственности заказчика и облачного провайдера

Поскольку российское законодательство накладывает ряд требований на процесс обработки и хранения персональных данных (ПДн), компании уже сегодня размещают собственные ПДн в облаке провайдера. Ранее наши коллеги из «ИТ-ГРАД» уже рассказали, что такое персональные данные и каковы принципы работы с ними.

Теперь поговорим, как не нарушить закон и соответствовать требованиям регулятора, какая ответственность возлагается на оператора ПДн и провайдера, что должен знать клиент, выбирая поставщика услуг хостинга персональных данных по ФЗ-152^[1]Федеральный закон №152-ФЗ О персональных данных? На эти и другие вопросы ответим в сегодняшней статье.

Позиция регулятора в отношении облака

Несмотря на то что Роскомнадзор часто подвергается критике за несовременность, позиция регулятора в отношении использования облака все же положительная. Комментарий ниже говорит о том, что законодательство не устанавливает технологических ограничений при сборе, хранении ПДн и разрешает использовать любую технологию:

Можно ли в качестве базы данных использовать облачные технологии (SaaS^[2]software as a service, буквально программное обеспечение как услуга, технология при которой пользователю предоставляется прикладное программное обеспечение удаленно, обслуживаемое провайдером, PaaS^[3]platform as a service, буквально платформа как услуга, технология предоставления пользователю доступа к системам управления базами данных (СУБД), операционным системам (ОС), средствам разработки/тестирования и другим информационным платформам, размещаемым (развернутым) на сервере провайдера (в облаке) – провайдер же берет на себя полное обслуживание систем, SAP^[4]немецкая компания, занимающаяся производством программного обеспечения для управления торговлей, финансами, бухгалтерского учета и т.д. - и одновременно программное обеспечение данной компании)? В том числе если эти технологии предоставляются компаниями, у которых есть в России свои или арендуемые серверы (как у того же SAP), но у клиента нет точной информации о том, какие именно серверы будут задействованы в конкретный миг работы?

242-ФЗ^[5]Федеральный закон №242-ФЗ О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам применения информационных технологий в сфере охраны здоровья, а также проекты подзаконных актов, разработанных во исполнение указанного закона, не устанавливают каких-либо технических требований, предписывающих необходимость оператора персональных данных использовать какие-то конкретные технологии при сборе и хранении персональных данных. Так, оператор может использовать облачные технологии, но при этом обязан обеспечить и при необходимости знать и иметь возможность документально подтвердить нахождение баз персональных данных на территории Российской Федерации.

При этом персональные данные в период сбора должны фиксироваться на территории РФ в облаке или локально.

Безопасность при аутсорсинге – общие требования

Передача на аутсорсинг обработки ПДн и организация технической защиты персональных данных прямо предусмотрены российским законодательством, в том числе законом «Об информационных технологиях и защите информации». При этом оператор информационной системы (ИС) должен принимать меры, обеспечивающие безопасность инфраструктуры:

• предотвращение несанкционированного доступа (НСД);
• своевременное обнаружение фактов НСД;
• предупреждение неблагоприятных последствий нарушения порядка доступа;
• недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
• возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие НСД;
• постоянный контроль за обеспечением уровня защищенности информации.

Закон «О персональных данных» также предусматривает аутсорсинг обработки ПДн, но важнейшими элементами такого аутсорсинга являются договор и согласие субъекта ПДн. К содержанию договора предъявляются довольно жесткие требования. Необходимо:

• сформировать перечень выполняемых действий (операций);
• определить цель обработки ПДн (после достижения этой цели персональные данные должны быть уничтожены или обезличены, является нарушением использование ПНд для достижения иных целей);
• ввести обязанности по соблюдению конфиденциальности ПДн;
• обеспечить безопасность;
• выполнить требования, предусмотренные 19 статьей ФЗ «О персональных данных».

Зоны ответственности оператора ПДн

Прежде чем начать перенос данных в облако, необходимо правильно распределить обязанности. Оператор ПДн, планируя миграцию в облако и понимая, какие данные будут переноситься, должен для себя решить:

• какой тип угроз он считает актуальным и определить уровень защищенности информационной системы ПДн (ИСПДН);
• определить состав мер безопасности исходя из набора базовых и адаптивных мер, а также отразить в договоре с провайдером, какие меры безопасности будет принимать поставщик;
• построить частную модель актуальных угроз для собственного сегмента ИС;
• реализовать систему защиты в собственном сегменте ИС.

Что должен и может сделать ответственный провайдер облачных услуг

Поставщик услуг, в свою очередь, должен:

• получить лицензии ФСБ, ФСТЭК (Федеральная служба по техническому и экспертному контролю), а если дополнительно организуется передача данных или предоставляются телематические услуги, то и лицензию Минкомсвязи;
• определить тип актуальных угроз и максимальный уровень защищенности для облака;
• построить частную модель актуальных угроз для облака;
• реализовать систему защиты в облаке;
• предоставить оператору возможность развернуть дополнительные средства безопасности (PaaS или IaaS);
• помочь заказчику с реализацией мер защиты на клиентской стороне.

Облако как инструмент повышения безопасности и надежности функционирования информационных систем

Облако позволяет добиться положительных результатов, в частности повысить уровень безопасности за счет применения комплекса мер. К тому же, используя облачные технологии, клиент получает следующие преимущества:

• отсутствует необходимость строить дорогую, сложную в поддержке и неравномерно используемую вычислительную инфраструктуру;
• отсутствует необходимость обеспечивать условия функционирования вычислительной инфраструктуры (электропитание, климатика, пожаротушение и прочее);
• простота обеспечения мобильности и организации доступа с различных устройств пользователей;
• снижение совокупной стоимости владения (Total Cost of Ownership, TCO);
• отсутствие необходимости нанимать в штат дорогостоящих специалистов;
• скорость и простота развертывания дополнительных вычислительных мощностей без дополнительного взаимодействия с провайдером;
• возможность простого и оперативного уменьшения расходов на вычислительную инфраструктуру при снижении требований к производительности;
• простота восстановления при авариях и иных опасных и непредвиденных событиях.

На что обратить внимание при выборе провайдера, предлагающего услуги «по ФЗ-152»

Выбор провайдера – задача не из простых, поскольку это должна быть проверенная, надежная и ответственная компания. Потенциальный исполнитель (назовем его так) должен честно ответить на вопрос, какой максимальный уровень защищенности он обеспечивает в облаке, с указанием типа нейтрализуемых актуальных угроз. Причем сказанное лучше увидеть – попросите поставщика продемонстрировать подтверждение соответствия декларируемому уровню защищенности.

Например, запросите документ, подтверждающий внешний аудит независимым исполнителем. В идеале это может быть аттестат, хотя аттестация облака – довольно сложная задача.

Кроме того, провайдер должен иметь модель угроз для защищенного сегмента облака и в случае необходимости ознакомить с ней клиента, включая описание мер и способов нейтрализации актуальных угроз. В договоре с провайдером должны быть учтены моменты, предусмотренные частью 3 статьи 6 закона «О персональных данных», включая сведения о типе актуальных угроз и уровнях защищенности.

Осторожно – «слова-маячки»!

При поиске облачного провайдера обращайте внимание на «слова-маячки». Если на веб-странице компании присутствуют термины: класс защищенности ПДн, типовая, специальная ИСПДН, лицензия на работу с персональными данными, аттестация и сертификация облака на соответствие требованиям ФСБ – стоит насторожиться, поскольку такие слова в современном лексиконе уже не используют.

К тому же аттестации по требованиям ФСБ нет и никогда не было.

Дополнительно стоит обратить внимание на то, как обеспечивается резервное копирование и восстановление с точки зрения катастрофоустойчивости и территориальной распределенности. Поставщик должен быть готов предоставить сертифицированный крипто-шлюз^[6]аппаратно-программный комплекс защиты трафика данных на основе шифрования пакетов как дополнительную или основную услугу при организации работы.

В результате установленных отношений с провайдером клиент получает на руки договор, в котором прописан уровень защищенности и определены меры по обеспечению безопасности. Это говорит о том, что обязанности оператора по технической защите ПДн выполнены и этого достаточно для подтверждения требований законодательства.

При этом важно понимать, что сразу заключать договор с провайдером вовсе необязательно. Любой адекватный поставщик всегда готов предложить возможность протестировать облачный IaaS-сервис, чтобы понять, подходит ли предлагаемый сервис для решения задач клиента.

Материал подготовлен на базе статьи «ИТ-ГРАД».