В России довольно жесткие требования к хранению и использованию персональных данных (ПДн) в электронном виде. В связи с этим многие компании решили размещать их в облаке, чтобы не покупать дорогостоящее оборудование и не строить мощную систему защиты. Гораздо выгоднее сотрудничать с провайдером, который предлагает такие услуги и платить ему небольшую сумму. Но необходимо понимать, как должен работать поставщик облачных услуг, чтобы защита в облаке была на должном уровне и персональные данные не просочились в Интернет.
Позиция регулятора в отношении облака
Несмотря на то, что Роскомнадзор часто критикуют за отсутствие гибкости в решении ряда вопросов, позиция в отношении облака благоприятствует бизнесу. Закон не устанавливает ограничений на сбор, хранение и обработку ПДн с применением современных технологий.
Одним из актуальных вопросов является возможность использования облачных технологий в качестве базы данных (Software as a Service, SaaS), платформы (Platform as a Service, PaaS) или системы управления (SAP). Особенно, если эти услуги предоставляются компаниями, располагающими собственными или арендованными серверами на территории России, как это делает, например, SAP. Однако у заказчика нет точной информации о серверах, которые будут использоваться в каждом конкретном случае.
ФЗ-242, а также смежные нормативно-правовые акты, не устанавливают каких-либо технических требований, предписывающих контролеру персональных данных использовать какие-либо конкретные технологии их при сборе и хранении. Таким образом, оператор может использовать облачные технологии. Однако компания-провайдер обязана предоставлять и, при необходимости, знать и иметь возможность задокументировать местонахождение баз данных на территории Российской Федерации.
Персональные данные в течение периода сбора должны находиться на территории Российской Федерации в облаке или локально.
Аутсорсинг безопасности – общие требования
Аутсорсинг обработки ПДн возможен. При этом, существуют определенные требования к обеспечению безопасности сведений, которые передаются третьим лицам на хранение. Вот что относится к основным из них:
- предотвращение несанкционированного доступа (DLS);
- своевременное выявление фактов НИЗ.
Закон «О персональных данных» также предполагает возможность передачи обработки и хранения данных на аутсорсинг. Однако, важными элементами в этом процессе являются договор и согласие клиента. Содержание договора должно соответствовать определенным требованиям. Среди прочего, необходимо:
- указать список действий (операций), которые будут выполняться;
- определить цель обработки ПДН (достигнув цели, информация подлежит уничтожению в предусмотренном законом порядке или обезличивается; использование сведений для достижение других целей является нарушением действующего законодательства);
- ввести обязательства по соблюдению конфиденциальности персональных данных;
- обеспечить безопасное хранение персональных данных.
Основная информация о требованиях к хранению ПДн указана в статье 19 ФЗ-242.
Область ответственности оператора ПД
Перед тем как перенести данные в облако, нужно правильно распределить ответственность. Компания, являющаяся оператором персональных данных, должна самостоятельно определить для себя следующее:
- какой тип угроз он считает актуальным и определяет уровень безопасности информационной системы защиты персональных данных (ISDN);
- состав мер безопасности на основе набора первичных и адаптивных мер, которые должен предпринимать провайдер;
- построить модель реальных угроз для своего IP-сегмента;
- внедрить систему защиты в своем IP-сегменте.
Только после решения этих вопросов можно согласовывать процесс передачи ПДн поставщику облачных услуг.
Обязанности ответственного поставщика облачных услуг
Вот что должен предпринять поставщик облачных услуг:
- получить лицензии ФСБ, ФСТЭК, а если дополнительно организована передача данных или предоставляются телематические услуги, то лицензию Министерства связи;
- определить тип текущих угроз и максимальный уровень защиты для облака;
- создать частную модель текущих облачных угроз;
- внедрить систему защиты в облаке, отвечающую требованиям законодательства;
- предоставить клиентам возможность развертывания дополнительных функций безопасности (PaaS или IaaS).;
- помочь клиенту с внедрением мер безопасности на стороне клиента.
При выборе провайдера стоит изучить стоимость и список его услуг. Procloud предлагает свои услуги на выгодных условиях и работает строго в соответствии с требованиями действующего законодательства.
По поводу особенностей хранения персональных данных можно получить информацию у сотрудников технической поддержки.