На предыдущую страницу
Cloud Computing

Защита персональных данных в облаке: что нужно знать бизнесу, чтобы не нарушить закон

В 2023 году в России зафиксировали 168 случаев утечек персональных данных. Это на 20% больше чем в 2022 году. Закон №152-ФЗ «О персональных данных» предусматривает ответственность за утечки. Однако не все понимают, как он работает и как организовать хранение персональных данных в облаке или на сервере в соответствии с требованиями закона. Рассказываем, как бизнес может защитить данные сотрудников, партнеров и клиентов, и что будет, если этого не сделать.

Что такое №152-ФЗ

Федеральный закон №152 «О персональных данных» регулирует порядок действий при хранении, обработке и использовании персональных данных граждан РФ. Персональными считаются данные, по которым можно идентифицировать человека. Например, номер мобильного телефона к ним не относится, но если он указан вместе с ФИО человека, то это уже персональная информация, которая охраняется законом.

Закон вступил в силу в 2006 году, его соблюдение контролируют Роскомнадзор, ФСТЭК и (в особых случаях) ФСБ. Соблюдать №152-ФЗ обязаны все организации на территории России, которые работают с личными данными. При этом не играет роли масштаб компании, ее обороты, сфера деятельности и организационно-правовая форма. По сути, закон относится к каждому: от небольшого онлайн-магазина до банка или государственной организации.

Операторы ПДн и типы персональных данных

Компанию, государственное учреждение или физическое лицо которые собирают, хранят, обрабатывают и распространяют персональные данные, называют операторами ПДн. Если данные размещены не в сети, а на бумажных или физических носителях, они тоже попадают под действие закона «О персональных данных». Правда, в этом случае защитить их будет несложно. Достаточно положить бумаги в сейф, организовать видеонаблюдение и т.д. Чаще всего сложности у операторов ПДн возникают именно с хранением персональных данных в облаке.

Есть четыре типа персональных данных:

  • специальные данные включают расу, национальность, убеждения человека и состояние его здоровья;
  • к биометрическим данным относят отпечатки пальцев, изображение лица или сетчатки глаз, запись голоса;
  • разрешенные для распространения данные — это ФИО, дата рождения, адрес, номер телефона, информация об образовании или роде деятельности;
  • прочие данные — это информация о кличке домашнего питомца или стаже работы, ссылка на страницу в соцсетях и др.

Согласие на обработку персональных данных

Закон «О персональных данных» требует обязательно получать согласие на их обработку у субъекта ПДн. Субъект — это тот, чьи данные собираются и обрабатываются. Например, субъектом персональных данных может быть пользователь соцсетей или покупатель в онлайн-магазине. Когда мы говорим про обработку данных, мы имеем в виду сбор, хранение, извлечение, изменение, передачу удаление и любые другие действия.

В согласии на обработку данных указывают категории и цели обработки персональных данных. Получить его можно письменно или онлайн.

  • Письменное согласие требуется при сборе персональных данных сотрудников, при обработке биометрической информации или сведений о здоровье. Также такое согласие требуется при передаче данных в другие страны.
  • Согласие в интернете получают при сборе персональных данных в сети. Например, если сайт собирает Cookies, нужно согласие пользователя. Как правило, для этого достаточно соответствующей таблички, которая информирует, что «дальнейшее использование сайта означает автоматическое разрешение на сбор данных». В некоторых случаях пользователю нужно поставить галочку в специальном поле на сайте, без которой пользоваться ресурсом невозможно.

Ответственность за нарушение требований ФЗ №152

Оператор персональных данных должен не только спрашивать согласие на их обработку, но и следить, чтобы данные не попали в чужие руки. В противном случае его ждет наказание. Закон предусматривает разную ответственность для физических и юридических лиц, но с каждым годом правительство ужесточает наказание за утечки персональных данных.

Согласно КоАП и Уголовному кодексу, организация, в которой произошла утечка персональных данных, может выплатить оборотный штраф или даже понести уголовную ответственность с лишением свободы на срок до 5 лет. Поэтому многие предпочитают хранить и обрабатывать информацию в защищенном облаке, которое сокращает риск возникновения утечек.

Как устроено хранение персональных данных в облаке

Облачные провайдеры предлагают услугу облако ФЗ-152, благодаря которой организация получает доступ к облачной инфраструктуре, соответствующей требованиям закона «О персональных данных». Важное условие — размещение дата-центра провайдера на территории России.

По закону облачный провайдер не является оператором ПДн. Он предоставляет надежные инструменты для защиты и облако для хранения персональных данных, ответственность за которые несет организация. Например, компания самостоятельно решает, кому предоставлять доступ к информации. Облачный провайдер не может на это повлиять.

Уровни защищенности персональных данных и типы угроз

Уровень защищенности персональных данных в облаке выбирают в зависимости от:

  • их вида,
  • отношений с субъектами этих данных,
  • типов угроз.

Общедоступные данные не требуют конфиденциальности, поэтому здесь часто бывает достаточно базового уровня защиты. А специальные, биометрические и прочие данные нуждаются в первом, втором или третьем уровнях защиты.

Угрозы — это условия для несанкционированного доступа к ПДн. При определении вида угрозы руководствуются «Методикой определения актуальных угроз безопасности ПДн при их обработке». Их можно разделить на возникающие в системном ПО, прикладном ПО и не связанные с ПО. Самый опасный вид угроз — это угрозы в системном ПО, например, на уровне ОС. Угрозы второго типа могут возникать в установленных программах, а угрозы третьего типа могут быть связаны с оборудованием. При использовании программного обеспечения, сертифицированного ФСТЭК, компания может избежать угроз первого и второго типа.

Классификация опасных факторов ПДн по ФЗ и четыре уровня защищенности информации в облаке

Выделяют четыре основных уровня защищенности защищенного облака:

  • Четвертый уровень, самый простой. Его используют для защиты общедоступных и прочих данных с третьим, наименее опасным типом угроз. К нему относится обновление ПО и установка антивирусных программ.
  • Третий уровень подходит для большинства организаций. Нужен для защиты общедоступных, прочих, биометрических и специальных данных от угроз второго и третьего типа. Предусматривает поиск и устранение уязвимостей в программном и аппаратном обеспечении.
  • Второй уровень. Применяется для хранения данных любого типа с любыми типами угроз, включая первый. На этом уровне требуется установить систему обнаружения незаконных проникновений и резервного копирования.
  • Первый уровень защищенности. Можно хранить специальные и биометрические данные при опасном первом типе угроз. Для его обеспечения нужна бесперебойная работа серверов и серьезные ограничения по установке ПО.

Ответственность облачного провайдера

Облачный провайдер не несет ответственность за защиту персональных данных в облаке персональных данных. Однако он обязан обеспечить соответствие сервисов требованиям законодательства. При организации инфраструктуры облака важно учитывать приказы ФСТЭК и выполнить целый ряд требований.

В сферу ответственности облачного провайдера входят:

  • получение лицензии ФСТЭК и, при необходимости, ФСБ и Минкомсвязи;
  • выявление потенциальных угроз и выбор правильного уровня защиты облака;
  • принятие мер для защиты персональных данных в облаке;
  • обеспечение оператора необходимыми инструментами безопасности;
  • предоставление хостинга по требованиям 152-ФЗ;
  • помощь заказчикам с защитой ПДн с их стороны.

Требования к оператору персональных данных

В отличие от провайдера, оператор персональных данных несет полную ответственность за их безопасность. Прежде всего, он должен выбрать защищенное облако 152-ФЗ, которое позволит безопасно хранить и обрабатывать конфиденциальную информацию.

Также ФЗ 152 требует от провайдера:

  • выявить актуальный тип угроз;
  • выбирать подходящий уровень защищенности;
  • подбирать актуальные меры безопасности из набора стандартных и ситуативных мер;
  • защищать собственную ИТ-инфраструктуру от угроз.

Как устроена защита персональных данных в облаке ITGLOBAL.COM

Международный облачный провайдер ITGLOBAL.COM предоставляет защищенное облако ФЗ-152для работы с персональными данными. Облачный сервис полностью отвечает требованиям федерального закона «О персональных данных» и оснащен дополнительными средствами безопасности.

Клиенты провайдера могут хранить персональные  данные в публичном или частном облаке:

  • публичное подходит для ПДн третьего и четвертого уровней защищенности;
  • частное помогает обеспечить второй уровень защищенности данных.

Специалисты компании много лет работают в сфере применения ФЗ-152. Облака ITGLOBAL.COM имеют аттестаты соответствия ФЗ-152, которые позволяют поддерживать наиболее распространенные третий и четвертый уровни защищенности. Клиенту остается только использовать антивирус и сертифицированное программное обеспечение, регулярно обновлять ПО и использовать надежные пароли. Также у компании есть сертификат ISO 27001, лицензии ФСТЭК и ФСБ, подтверждающие обеспечение защиты конфиденциальных данных.

Дополнительно обеспечить безопасность персональных данных в облаке ITGLOBAL.COM помогают:

  • антивирус Kaspersky Endpoint Security для бизнеса;
  • криптошлюз Континент 4 IPC-50;
  • сканер уязвимостей СВ;
  • СЗИ VI vGate R2 Standard.
  • защита конечных точек Secret Net Studio 8;
  • шлюз ViPNet Coordinator HW1000 D 4.x;
  • средства криптографической защиты информации.

Вывод

Закон № 152-ФЗ «О персональных данных» обеспечивает защиту персональных данных пользователей. Компании, которые работают с информацией такого типа, должны позаботиться о ее безопасности. При размещении данных на площадках, предоставляемых облачным провайдером, ответственность за сохранность данных по-прежнему несет компания, а не провайдер. Поэтому важно выбирать облако с максимальным уровнем защиты персональных данных. Например, публичные и приватные облака ФЗ-152 от ITGLOBAL.COM.

Оцените данную статью

Узнавайте о выходе новых статей в блоге первыми!

Подпишитесь на нашу рассылку
Нажимая на кнопку, Вы соглашаетесь с условиями «Политики конфиденциальности»
Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies