152-ФЗ в облаке: хранение персональных данных в облаке

Виртуальная машина
бесплатно навсегда

Забрать

Статья

Время чтения

6 минут

Проблема защиты персональных данных (ПДн) актуальна для всего мира. Согласно исследованиям компании InfoWatch, специализирующейся на информационной безопасности в корпоративном секторе, в России за девять месяцев 2020 года зарегистрировано увеличение утечек на 5,6% — по сравнению с аналогичным показателем 2019 года. В результате потери информации в открытый доступ попали 96,5 млрд записей ПДн и платежной информации. Более 40% зарегистрированных утечек в России приходятся на хайтек и финансовый сектор, а каждый шестой случай компрометации конфиденциальных данных в России проходит через мессенджеры.

Ситуация удручающая, однако в РФ действует ФЗ 152 о персональных данных - он регламентирует, в частности, защиту информации, размещенной в облачных хранилищах. Рассказываем подробнее о законе и принципах защиты информации в облаке

Что такое №152-ФЗ?

27 июля 2006 года в России в силу вступил Федеральный закон №152 «О персональных данных», который регулирует деятельность по обработке и использованию персональных данных граждан Российской Федерации. Закон и подзаконные акты регламентируют защиту персональных данных, содержат правила обработки и обеспечения ПДн.

Нормы и требования, изложенные в документе, обязательны для организаций, действующих на территории РФ вне зависимости от размера, оборота и организационно-правовой формы. Исполнение организационно-документальных аспектов ФЗ 152 контролирует Управление по защите прав субъектов персональных данных, которое относится к Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Технические аспекты защиты ПДн находятся в юрисдикции Федеральной службы по техническому и экспортному контролю (ФСТЭК). Если деятельность компании связана с разработкой, производством, реализацией и эксплуатацией шифровальных (криптографических) средств защиты информации, к регулированию подключается Федеральная Служба Безопасности (ФСБ).

Категории персональных данных

Закон подразделяет ПДн на четыре класса:

  • Специальные: раса, национальность, политические, религиозные, философские убеждения, состояние здоровья.
  • Биометрические: фотография, отпечатки пальцев.
  • Данные, разрешенные субъектом для распространения: например, ФИО, дата и место рождения, адрес проживания, номер телефона, сведения о профессии.
  • Иные:другая информация о конкретном человеке, например, гастрономические предпочтения, кличка домашнего питомца и прочее.

Операторы ПДн

152 ФЗ о персональных данных напрямую касается операторов, которые выполняют обработку ПДн. К ним относятся: государственные и муниципальные учреждения, юридические и физические лица. Под обработкой персональных данных подразумевается не только компьютерная (автоматизированная) обработка, но и работа с картотеками и журналами на бумажном носителе.

Согласие на обработку персональных данных

Перед сбором персональных данных необходимо получить согласие на их обработку. Это делается двумя способами:

  • Письменное согласие подписывают, когда происходит сбор ПДн с работников организации, при трансграничной передаче ПДн в страны, которые, по мнению Роскомнадзора, не обеспечивают адекватную защиту прав субъектов ПДн, если обрабатываются биометрические ПДн или данные о здоровье.
  • Получение согласия через интернет, если сбор ПДн выполняется в сети. Обычно это реализуется через соответствующее поле на сайте: пользователь, поставив в него отметку, дает свое согласие на обработку его ПДн. При этом на сайте должна быть размещена Политика конфиденциальности.
Пример классического согласия на обработку данных (письменный вид)
Пример классического согласия на обработку данных (письменный вид)

С 1 марта 2021 года пользователь может запретить или разрешить распространение своих ПДн всем или определенному перечню операторов ПДн. SberCloud не распространяет ПДн пользователя, которые тот оставляет на сайте, и обеспечивает их надежную защиту.

Синкина Надеждаэксперт по методологии кибербезопасности Центра киберзащиты SberCloud

Примечание

Федеральный закон №152 не распространяется на обработку информации в официальных архивах, если данные отнесены к государственной тайне. Также ФЗ не действует, если физическое лицо обрабатывает ПДн для личных и семейных нужд (но при этом не нарушает права других граждан).

Ответственность за нарушение требований ФЗ №152

Нарушение закона о персональных данных грозит определенными санкциями. Если оператор не защитит информацию, и к ней получат доступ злоумышленники, то его оштрафуют. Размер штрафа зависит от статуса оператора:

  • Физическое лицо – от 1500 до 50 000 рублей;

  • Должностное лицо – от 6 000 до 800 000 рублей;

  • ИП – от 10 000 до 3 000 000 рублей;

  • Юридическое лицо – от 30 000 до 18 000 000 рублей.

Примечание

Ответственность за нарушение требований ФЗ 152 определяет ст. 24, специфика обработки персональных данных привязана к пунктам административного, уголовного, гражданского кодекса РФ.

Помимо денежного наказания, предусмотрены и иные административные санкции:

  • лишение свободы до 5 лет;

  • обязательство компенсации морального вреда;

  • принудительная приостановка или прекращение обработки персональных данных;

  • приостановление или аннулирование лицензий на деятельность оператора персональных данных.

Если сбор, обработка и хранение ПДн были выполнены без согласия человека, то нарушителю полагаются следующие штрафы:

  1. Физическое лицо – от 6 000 до 10 000 рублей;

  2. Должностное лицо или ИП – от 20 000 до 40 000 рублей;

  3. Юридическое лицо – от 30 000 до 150 000 рублей.

Примечание

Любой оператор ПДн, обрабатывающий их не только с целью исполнения ТК РФ, должен зарегистрироваться в соответствующем статусе в Роскомнадзоре.

Как устроено хранение персональных данных в облаке

ФЗ 152 не запрещает хранение персональных данных в облаке, но при этом дата-центр выбранного облачного провайдера должен находиться на территории России. В соответствии ФЗ 152 о персональных данных с разъяснениями Минкомсвязи, данные могут передаваться за рубеж, но первично их запись, а также систематизация, накопление, хранение, уточнение (обновление, изменение) или извлечение должны производиться на сервере, физически расположенном в России.

Примечание

Облачный провайдер не имеет доступ к информационным системам, размещенным в облаке, поэтому не берет на себя ответственность за персональные данные. В случае их утечки перед Роскомнадзором будет отвечать оператор.

Для защиты информации в облаке предусмотрены надежные инструменты, но управляет ими оператор персональных данных. Он также должен грамотно организовать доступ к сведениям внутри организации. Облачный провайдер не решает, кому и на каких условиях открывается доступ к информации компании.

Для примера сравним облако с флеш-накопителем: на нем хранится записанная информация, и владелец флешки следит за ее сохранностью. Облачный провайдер выполняет обязательства перед оператором ПДн в рамках заключенного соглашения – он не может просто так отдать информацию с флеш-накопителя, и должен ее защищать. Но провайдер ничего не сможет сделать, если вы сами разрешите любому желающему пользоваться информацией с флешки.

«При заключении договора на предоставление облачных услуг в нем прописываются условия об отсутствии доступа к размещаемым оператором данным, а также о разграничении зон ответственности.» Синкина Надежда, эксперт по методологии кибербезопасности Центра киберзащиты SberСloud

Примечание

Перед передачей информации провайдеру оператору персональных данных необходимо убедиться в надежности защиты, используемой в облаке.

Требования к уровню защищенности

Уровень защищенности информации зависит от четырех факторов:

  1. тип информации;

  2. отношения с субъектами персональных данных: сотрудниками или клиентами компании;

  3. число субъектов персональных данных: больше или меньше 100 000;

  4. тип актуальных угроз: 1, 2 или 3.

Тип данных, их количество и отношения с субъектами легко определить самостоятельно. Тип угроз определяется в соответствии с «Методикой определения актуальных угроз безопасности ПДн при их обработке». Угрозами называются условия, при которых возможен несанкционированный доступ к ПДн, их утечка или порча.

Примечание

Универсального способа определить тип угроз, которые могут быть актуальны для системы, не существует. Если компания использует софт, сертифицированный ФСТЭК, то угрозы 1 и 2 типа не актуальны. Если сертификатов у ПО нет, то угрозы может определить только специалист по технической безопасности.

Классификация опасных факторов ПДн по ФЗ и четыре уровня защищенности информации в облаке:

Тип угроз Уровень защищенности Примечания Техническая реализация
I тип – самые опасные угрозы. Они возникают в системном ПО — например, операционной системе. 4 уровень – обеспечивает защиту общедоступных и иных сведений с 3 типом угроз. Технически самый простой в реализации: например, установка антивируса и регулярное обновление ПО. Защита общедоступных и иных сведений. Установка антивируса и регулярное обновление ПО. Обеспечение сохранности носителей данных. Составление списка работников оператора, которые получают доступ к персональным данным.
II тип – угрозы, которые возникают в прикладном ПО, например, в установленном софте. 3 уровень – защищает не только общедоступную информацию, но и специальные и биометрические данные, работает при 2 и 3 уровне угроз. Реализован через регулярный поиск и устранение уязвимостей в оборудовании и ПО, ограничении доступа к настройкам информационной систем Выполнение всех требования, предусмотренных для четвертого уроня защищенности. Назначение должностного лица, которое будет нести ответственность за обеспечение безопасности данных в информационной системе.
III тип – угрозы, не связанные с ПО: уязвимости в оборудовании. 2 уровень – защищает данные любого типа. Для некоторой информации допускает 1 тип угроз. Реализован через установку системы обнаружения вторжений, защиты системы от спама, организации резервного копирования информации. Выполнение всех требований предусмотренных для третьего уровня защиты. Ограничение доступа к данным(только уполномоченные лица).
1 уровень – защищает данные специального и биометрического типа. Используется при 1 типе угроз. Реализуется через стабильную работу серверов и инсталляции на ПК софта, ранее разрешенного службой безопасности. Выполнение всех требований, предусмотренных для второго уровня защищенности. Обеспечение автоматической регистрации в электронном журнале безопасности.

Ответственность облачного провайдера

Для организации защиты персональных данных в облаке провайдер обязан выполнить требования законодательства, что подтверждается наличием аттестата соответствия 152-ФЗ. Он выдается контролирующими органами, и подтверждает, что инфраструктура облака соответствует приказам ФСТЭК, а информация надежно защищена. При передаче сведений в облако часть требований к каждому уровню защиты должен соблюдать облачный провайдер.

Провайдер облачных услуг при хранении персональных данных в облаке должен:

  • получить лицензии ФСБ и ФСТЭК. Если помимо хранения ПДн, выполняются услуги передачи данных или телематические услуги (услуги связи по передаче данных), то также необходимо получить лицензию Минкомсвязи;

  • определить актуальные угрозы и самый корректный уровень защиты облака;

  • создать частную модель актуальных угроз для облака;

  • реализовать защиту персональных данных в облаке;

  • предоставить оператору дополнительные инструменты безопасности;

  • помочь в реализации защиты ПДн с клиентской стороны.

Примечание

Аттестат соответствия 152 ФЗ дает право облачному провайдеру на хранение ПДн, которые требуют соответствующего уровня защищенности.

Ответственность оператора ПДн

В соответствии с ФЗ 152 о защите ПНд оператор персональных данных несет ответственность за сохранность информации в своих информационных системах, размещенных в облаке. Перед переносом ПДн для хранения ему необходимо:

  • определить актуальный для ПДн тип угроз;

  • выбрать уровень защищенности;

  • определить меры безопасности из набора стандартных и ситуативных мер;

  • создать частную модель актуальных угроз для собственного сегмента информационной системы;

  • защитить собственный сегмент информационной системы от угроз.

Как устроена защита персональных данных в облаке SberCloud

Защищенное облако в SberCloud согласно ФЗ-152 устроено на шести уровнях:

  1. Физический уровень. Дата-центр Tier III, контроль и управление доступом к оборудованию, видеонаблюдение:
    1. Защита информационных систем, средств, систем связи и передачи данных;
    2. Выявление проблем и их устранение;
    3. Управление конфигурацией ИС, и системы защиты данных.
  2. Сетевая подсистема. Защита от DDoS-атак, межсетевое экранирование и сегментирование:
    1. Защита среды виртуализации;
    2. Защита технических средств;
  3. Подсистема хранения информации. Резервное копирование:
    1. Контроль и анализ защищенности данных;
    2. Обеспечение целостности ИС и данных;
    3. Обеспечение доступности данных;
  4. Вычислительная подсистема. Выполнение контроля ОС и гипервизоров, целостности шаблонов и образов, изменения конфигураций, защита от вредоносного ПО:
    1. Контроль и анализ защищенности данных
    2. Регистрация событий безопасности;
    3. Защита от вирусов;
    4. Обнаружение вторжений;
  5. Подсистема управления. Контроль (анализ) защищенности, действий привилегированных пользователей, сбор и анализ событий информационной безопасности, управление доступом к инфраструктуре:
    1. Управление доступом субъектов доступа к объектам доступа;
    2. Ограничение программной среды;
    3. Защита машинных носителей информации;
  6. Интеграционная подсистема. Учет и шифрование межкомпонентных взаимодействий:
    1. Идентификация и аутентификация пользователей-сотрудников оператора;
    2. Управление субъектов к объектам.

Инфраструктуры облачных платформ SberCloud:

  • Публичное облако (IaaS);

  • Al Cloud (PaaS);

  • SberCloud Advanced (IaaS/PaaS);

  • Облако ГИС (IaaS).

Примечание

SberCloud имеет аттестаты соответствия требованиям безопасности информации всех перечисленных выше инфраструктур.

Резюме

В России действует федеральный закон № 152-ФЗ «О персональных данных», который обеспечивает гражданам защиту их персональных данных. В случае использования стороннего хостинга, вся информация находится в персональном облаке, которое предоставлено провайдером. При этом ответственность за сохранность данных несет организация, с которой пользователь заключил соглашение, поставив галочку и приняв политику конфиденциальности. Облако максимально защищает персональные данные, для чего, например, в SberCloud создана сложнейшая шестиуровневая защита, которая постоянно поддерживается в актуальном состоянии.

«В феврале 2021 года SberCloud получил сертификат соответствия системы менеджмента информационной безопасности требованиям стандарта ISO/IEC 27001:2013 с учетом правил ISO/IEC 27017:2015 и ISO/IEC 27018:2019. Это означает зрелость и соответствие услуг облачного провайдера, в том числе, связанных с ПДн, международным требованиям безопасности.» Синкина Надежда, эксперт по методологии кибербезопасности Центра киберзащиты SberCloud

Источники

Содержание

  • Что такое №152-ФЗ?
  • Категории персональных данных
  • Операторы ПДн
  • Согласие на обработку персональных данных
  • Ответственность за нарушение требований ФЗ №152
  • Как устроено хранение персональных данных в облаке
  • Требования к уровню защищенности
  • Классификация опасных факторов ПДн по ФЗ и четыре уровня защищенности информации в облаке:
  • Ответственность облачного провайдера
  • Ответственность оператора ПДн
  • Как устроена защита персональных данных в облаке SberCloud
  • Резюме
  • Источники

Вам может понравиться