Cервисы
Managed IT
Решения
Security
Импортозамещение
О компании

Защита персональных данных в облаке: что нужно знать бизнесу, чтобы не нарушить закон

В 2023 году в России зафиксировали 168 случаев утечек персональных данных. Это на 20% больше чем в 2022 году. Закон №152-ФЗ «О персональных данных» предусматривает ответственность за утечки. Однако не все понимают, как он работает и как организовать хранение персональных данных в облаке или на сервере в соответствии с требованиями закона. Рассказываем, как бизнес может защитить данные сотрудников, партнеров и клиентов, и что будет, если этого не сделать.

Что такое №152-ФЗ

Федеральный закон №152 «О персональных данных» регулирует порядок действий при хранении, обработке и использовании персональных данных граждан РФ. Персональными считаются данные, по которым можно идентифицировать человека. Например, номер мобильного телефона к ним не относится, но если он указан вместе с ФИО человека, то это уже персональная информация, которая охраняется законом.

Закон вступил в силу в 2006 году, его соблюдение контролируют Роскомнадзор, ФСТЭК и (в особых случаях) ФСБ. Соблюдать №152-ФЗ обязаны все организации на территории России, которые работают с личными данными. При этом не играет роли масштаб компании, ее обороты, сфера деятельности и организационно-правовая форма. По сути, закон относится к каждому: от небольшого онлайн-магазина до банка или государственной организации.

Операторы ПДн и типы персональных данных

Компанию, государственное учреждение или физическое лицо которые собирают, хранят, обрабатывают и распространяют персональные данные, называют операторами ПДн. Если данные размещены не в сети, а на бумажных или физических носителях, они тоже попадают под действие закона «О персональных данных». Правда, в этом случае защитить их будет несложно. Достаточно положить бумаги в сейф, организовать видеонаблюдение и т.д. Чаще всего сложности у операторов ПДн возникают именно с хранением персональных данных в облаке.

Есть четыре типа персональных данных:

Согласие на обработку персональных данных

Закон «О персональных данных» требует обязательно получать согласие на их обработку у субъекта ПДн. Субъект — это тот, чьи данные собираются и обрабатываются. Например, субъектом персональных данных может быть пользователь соцсетей или покупатель в онлайн-магазине. Когда мы говорим про обработку данных, мы имеем в виду сбор, хранение, извлечение, изменение, передачу удаление и любые другие действия.

В согласии на обработку данных указывают категории и цели обработки персональных данных. Получить его можно письменно или онлайн.

Ответственность за нарушение требований ФЗ №152

Оператор персональных данных должен не только спрашивать согласие на их обработку, но и следить, чтобы данные не попали в чужие руки. В противном случае его ждет наказание. Закон предусматривает разную ответственность для физических и юридических лиц, но с каждым годом правительство ужесточает наказание за утечки персональных данных.

Согласно КоАП и Уголовному кодексу, организация, в которой произошла утечка персональных данных, может выплатить оборотный штраф или даже понести уголовную ответственность с лишением свободы на срок до 5 лет. Поэтому многие предпочитают хранить и обрабатывать информацию в защищенном облаке, которое сокращает риск возникновения утечек.

Как устроено хранение персональных данных в облаке

Облачные провайдеры предлагают услугу облако ФЗ-152, благодаря которой организация получает доступ к облачной инфраструктуре, соответствующей требованиям закона «О персональных данных». Важное условие — размещение дата-центра провайдера на территории России.

По закону облачный провайдер не является оператором ПДн. Он предоставляет надежные инструменты для защиты и облако для хранения персональных данных, ответственность за которые несет организация. Например, компания самостоятельно решает, кому предоставлять доступ к информации. Облачный провайдер не может на это повлиять.

[banner_link img=»/wp-content/uploads/2024/02/152-fz.png» link=»https://itglobal.com/ru-ru/services/virtual-infrastructure/oblako-152-fz/» ][/banner_link]

Уровни защищенности персональных данных и типы угроз

Уровень защищенности персональных данных в облаке выбирают в зависимости от:

Общедоступные данные не требуют конфиденциальности, поэтому здесь часто бывает достаточно базового уровня защиты. А специальные, биометрические и прочие данные нуждаются в первом, втором или третьем уровнях защиты.

Угрозы — это условия для несанкционированного доступа к ПДн. При определении вида угрозы руководствуются «Методикой определения актуальных угроз безопасности ПДн при их обработке». Их можно разделить на возникающие в системном ПО, прикладном ПО и не связанные с ПО. Самый опасный вид угроз — это угрозы в системном ПО, например, на уровне ОС. Угрозы второго типа могут возникать в установленных программах, а угрозы третьего типа могут быть связаны с оборудованием. При использовании программного обеспечения, сертифицированного ФСТЭК, компания может избежать угроз первого и второго типа.

Классификация опасных факторов ПДн по ФЗ и четыре уровня защищенности информации в облаке

Выделяют четыре основных уровня защищенности защищенного облака:

Ответственность облачного провайдера

Облачный провайдер не несет ответственность за защиту персональных данных в облаке персональных данных. Однако он обязан обеспечить соответствие сервисов требованиям законодательства. При организации инфраструктуры облака важно учитывать приказы ФСТЭК и выполнить целый ряд требований.

В сферу ответственности облачного провайдера входят:

Требования к оператору персональных данных

В отличие от провайдера, оператор персональных данных несет полную ответственность за их безопасность. Прежде всего, он должен выбрать защищенное облако 152-ФЗ, которое позволит безопасно хранить и обрабатывать конфиденциальную информацию.

Также ФЗ 152 требует от провайдера:

Как устроена защита персональных данных в облаке ITGLOBAL.COM

Международный облачный провайдер ITGLOBAL.COM предоставляет защищенное облако ФЗ-152для работы с персональными данными. Облачный сервис полностью отвечает требованиям федерального закона «О персональных данных» и оснащен дополнительными средствами безопасности.

Клиенты провайдера могут хранить персональные  данные в публичном или частном облаке:

Специалисты компании много лет работают в сфере применения ФЗ-152. Облака ITGLOBAL.COM имеют аттестаты соответствия ФЗ-152, которые позволяют поддерживать наиболее распространенные третий и четвертый уровни защищенности. Клиенту остается только использовать антивирус и сертифицированное программное обеспечение, регулярно обновлять ПО и использовать надежные пароли. Также у компании есть сертификат ISO 27001, лицензии ФСТЭК и ФСБ, подтверждающие обеспечение защиты конфиденциальных данных.

Дополнительно обеспечить безопасность персональных данных в облаке ITGLOBAL.COM помогают:

Вывод

Закон № 152-ФЗ «О персональных данных» обеспечивает защиту персональных данных пользователей. Компании, которые работают с информацией такого типа, должны позаботиться о ее безопасности. При размещении данных на площадках, предоставляемых облачным провайдером, ответственность за сохранность данных по-прежнему несет компания, а не провайдер. Поэтому важно выбирать облако с максимальным уровнем защиты персональных данных. Например, публичные и приватные облака ФЗ-152 от ITGLOBAL.COM.