ProCloud Yandex
08.12.2023
читать 4 минуты

Области ответственности клиента и облачного провайдера

/upload/iblock/135/xf9d65ah5o696myhv8eq6godg9v8khbv/blog_article_covers_3100x1000_opt.jpeg

В России довольно жесткие требования к хранению и использованию персональных данных (ПДн) в электронном виде. В связи с этим многие компании решили размещать их в облаке, чтобы не покупать дорогостоящее оборудование и не строить мощную систему защиты. Гораздо выгоднее сотрудничать с провайдером, который предлагает такие услуги и платить ему небольшую сумму. Но необходимо понимать, как должен работать поставщик облачных услуг, чтобы защита в облаке была на должном уровне и персональные данные не просочились в Интернет.

Позиция регулятора в отношении облака

Несмотря на то, что Роскомнадзор часто критикуют за отсутствие гибкости в решении ряда вопросов, позиция в отношении облака благоприятствует бизнесу. Закон не устанавливает ограничений на сбор, хранение и обработку ПДн с применением современных технологий.

Одним из актуальных вопросов является возможность использования облачных технологий в качестве базы данных (Software as a Service, SaaS), платформы (Platform as a Service, PaaS) или системы управления (SAP). Особенно, если эти услуги предоставляются компаниями, располагающими собственными или арендованными серверами на территории России, как это делает, например, SAP. Однако у заказчика нет точной информации о серверах, которые будут использоваться в каждом конкретном случае.

ФЗ-242, а также смежные нормативно-правовые акты, не устанавливают каких-либо технических требований, предписывающих контролеру персональных данных использовать какие-либо конкретные технологии их при сборе и хранении. Таким образом, оператор может использовать облачные технологии. Однако компания-провайдер обязана предоставлять и, при необходимости, знать и иметь возможность задокументировать местонахождение баз данных на территории Российской Федерации.

Персональные данные в течение периода сбора должны находиться на территории Российской Федерации в облаке или локально.

Аутсорсинг безопасности – общие требования

Аутсорсинг обработки ПДн возможен. При этом, существуют определенные требования к обеспечению безопасности сведений, которые передаются третьим лицам на хранение. Вот что относится к основным из них:

  • предотвращение несанкционированного доступа (DLS);
  • своевременное выявление фактов НИЗ.

Закон «О персональных данных» также предполагает возможность передачи обработки и хранения данных на аутсорсинг. Однако, важными элементами в этом процессе являются договор и согласие клиента. Содержание договора должно соответствовать определенным требованиям. Среди прочего, необходимо:

  • указать список действий (операций), которые будут выполняться;
  • определить цель обработки ПДН (достигнув цели, информация подлежит уничтожению в предусмотренном законом порядке или обезличивается; использование сведений для достижение других целей является нарушением действующего законодательства);
  • ввести обязательства по соблюдению конфиденциальности персональных данных;
  • обеспечить безопасное хранение персональных данных.

Основная информация о требованиях к хранению ПДн указана в статье 19 ФЗ-242.

Область ответственности оператора ПД

Перед тем как перенести данные в облако, нужно правильно распределить ответственность. Компания, являющаяся оператором персональных данных, должна самостоятельно определить для себя следующее:

  • какой тип угроз он считает актуальным и определяет уровень безопасности информационной системы защиты персональных данных (ISDN);
  • состав мер безопасности на основе набора первичных и адаптивных мер, которые должен предпринимать провайдер;
  • построить модель реальных угроз для своего IP-сегмента;
  • внедрить систему защиты в своем IP-сегменте.

Только после решения этих вопросов можно согласовывать процесс передачи ПДн поставщику облачных услуг.

Обязанности ответственного поставщика облачных услуг

Вот что должен предпринять поставщик облачных услуг:

  • получить лицензии ФСБ, ФСТЭК, а если дополнительно организована передача данных или предоставляются телематические услуги, то лицензию Министерства связи;
  • определить тип текущих угроз и максимальный уровень защиты для облака;
  • создать частную модель текущих облачных угроз;
  • внедрить систему защиты в облаке, отвечающую требованиям законодательства;
  • предоставить клиентам возможность развертывания дополнительных функций безопасности (PaaS или IaaS).;
  • помочь клиенту с внедрением мер безопасности на стороне клиента.

При выборе провайдера стоит изучить стоимость и список его услуг. Procloud предлагает свои услуги на выгодных условиях и работает строго в соответствии с требованиями действующего законодательства.

По поводу особенностей хранения персональных данных можно получить информацию у сотрудников технической поддержки.

Новости
13 сентября 202413.09.2024
читать 2 минутычитать 2 мин
Дайджест обновлений продуктов
18 апреля 202418.04.2024
читать 2 минутычитать 2 мин
Дайджест обновлений продуктов Q1
5 апреля 202405.04.2024
читать 1 минутучитать 1 мин
ProCloud CPO Диана Беда в рейтинге ИТ-лидеров от Global CIO
Создать учетную
запись ProCloud
arrow
arrow hover
 
Имя, Фамилия*
Номер телефона
Электронный адрес*
Ваше сообщение*
Файл
Файл
Файл
Файл
Файл
Файл
Файл
Файл
Файл
Файл
Тип формы
ID тикета Zendesk
Продукт
IP
 

Создайте бесплатную учетную запись или напишите нам, чтобы узнать больше.

Нажимая «Отправить заявку» вы даете свое согласие на обработку своих персональных данных