ProCloud Yandex
08.12.2023
читать 4 минуты

Области ответственности клиента и облачного провайдера

/upload/iblock/135/xf9d65ah5o696myhv8eq6godg9v8khbv/blog_article_covers_3100x1000_opt.jpeg

В России довольно жесткие требования к хранению и использованию персональных данных (ПДн) в электронном виде. В связи с этим многие компании решили размещать их в облаке, чтобы не покупать дорогостоящее оборудование и не строить мощную систему защиты. Гораздо выгоднее сотрудничать с провайдером, который предлагает такие услуги и платить ему небольшую сумму. Но необходимо понимать, как должен работать поставщик облачных услуг, чтобы защита в облаке была на должном уровне и персональные данные не просочились в Интернет.

Позиция регулятора в отношении облака

Несмотря на то, что Роскомнадзор часто критикуют за отсутствие гибкости в решении ряда вопросов, позиция в отношении облака благоприятствует бизнесу. Закон не устанавливает ограничений на сбор, хранение и обработку ПДн с применением современных технологий.

Одним из актуальных вопросов является возможность использования облачных технологий в качестве базы данных (Software as a Service, SaaS), платформы (Platform as a Service, PaaS) или системы управления (SAP). Особенно, если эти услуги предоставляются компаниями, располагающими собственными или арендованными серверами на территории России, как это делает, например, SAP. Однако у заказчика нет точной информации о серверах, которые будут использоваться в каждом конкретном случае.

ФЗ-242, а также смежные нормативно-правовые акты, не устанавливают каких-либо технических требований, предписывающих контролеру персональных данных использовать какие-либо конкретные технологии их при сборе и хранении. Таким образом, оператор может использовать облачные технологии. Однако компания-провайдер обязана предоставлять и, при необходимости, знать и иметь возможность задокументировать местонахождение баз данных на территории Российской Федерации.

Персональные данные в течение периода сбора должны находиться на территории Российской Федерации в облаке или локально.

Аутсорсинг безопасности – общие требования

Аутсорсинг обработки ПДн возможен. При этом, существуют определенные требования к обеспечению безопасности сведений, которые передаются третьим лицам на хранение. Вот что относится к основным из них:

  • предотвращение несанкционированного доступа (DLS);
  • своевременное выявление фактов НИЗ.

Закон «О персональных данных» также предполагает возможность передачи обработки и хранения данных на аутсорсинг. Однако, важными элементами в этом процессе являются договор и согласие клиента. Содержание договора должно соответствовать определенным требованиям. Среди прочего, необходимо:

  • указать список действий (операций), которые будут выполняться;
  • определить цель обработки ПДН (достигнув цели, информация подлежит уничтожению в предусмотренном законом порядке или обезличивается; использование сведений для достижение других целей является нарушением действующего законодательства);
  • ввести обязательства по соблюдению конфиденциальности персональных данных;
  • обеспечить безопасное хранение персональных данных.

Основная информация о требованиях к хранению ПДн указана в статье 19 ФЗ-242.

Область ответственности оператора ПД

Перед тем как перенести данные в облако, нужно правильно распределить ответственность. Компания, являющаяся оператором персональных данных, должна самостоятельно определить для себя следующее:

  • какой тип угроз он считает актуальным и определяет уровень безопасности информационной системы защиты персональных данных (ISDN);
  • состав мер безопасности на основе набора первичных и адаптивных мер, которые должен предпринимать провайдер;
  • построить модель реальных угроз для своего IP-сегмента;
  • внедрить систему защиты в своем IP-сегменте.

Только после решения этих вопросов можно согласовывать процесс передачи ПДн поставщику облачных услуг.

Обязанности ответственного поставщика облачных услуг

Вот что должен предпринять поставщик облачных услуг:

  • получить лицензии ФСБ, ФСТЭК, а если дополнительно организована передача данных или предоставляются телематические услуги, то лицензию Министерства связи;
  • определить тип текущих угроз и максимальный уровень защиты для облака;
  • создать частную модель текущих облачных угроз;
  • внедрить систему защиты в облаке, отвечающую требованиям законодательства;
  • предоставить клиентам возможность развертывания дополнительных функций безопасности (PaaS или IaaS).;
  • помочь клиенту с внедрением мер безопасности на стороне клиента.

При выборе провайдера стоит изучить стоимость и список его услуг. Procloud предлагает свои услуги на выгодных условиях и работает строго в соответствии с требованиями действующего законодательства.

По поводу особенностей хранения персональных данных можно получить информацию у сотрудников технической поддержки.

Новости
27 декабря 202327.12.2023
Продуктовый дайджест 2023
20 декабря 202320.12.2023
читать 2 минутычитать 2 мин
Новые тарифы и возможности