Как снизить риски утечки данных и санкций госрегуляторов: 152-ФЗ в Cloud.ru

Одновременно усилены требования к уведомлениям об обработке ПДн – теперь любой работодатель обязан уведомлять Роскомнадзор до начала обработки данных сотрудников. Чтобы не нарушать закон, бизнесу нужно соответствовать 152-ФЗ РФ и иметь экспертизу в сфере информационной безопасности (ИБ).

Помимо принятых в 2022 году поправок, в декабре прошлого года Минцифры сообщило о законопроекте, в котором предлагается ввести оборотные штрафы за утечку ПДн. Размер штрафов может достигнуть 3% от оборота компании. Сегодня штрафы для юрлиц составляют от 30 000 ₽ до 18 млн ₽ в зависимости от тяжести и повторения правонарушения. С 1 марта 2023 года ввели новые положения по трансграничной передаче ПДн. Все эти факторы влияют на повышение спроса на услуги кибербезопасности и защиту ПДн в 2023 году.

Кроме того, указ президента от 5 мая 2022 года №250 обязал генеральных директоров компаний иметь заместителей по информационной безопасности. Малый и средний бизнес вводят эту роль, не расширяя штат. Например, сотрудник может быть одновременно коммерческим директором и директором ИБ. Такая расстановка не помогает усилить информационную безопасность, поэтому компании рассматривают аутсорсинг услуг в области ИБ. Cloud.ru способен покрыть и такие потребности компаний.

Это может быть и оператор связи, и магазин одежды, и небольшая компания, которая обрабатывает персональные данные своих 50 сотрудников. Чем больше объектов персональных данных у компании, тем больше ответственности перед законом.

Дано: 

Компания, в IT-отделе которой работает три человека и нет ИБ-специалиста.

Задача:

Определить, является ли компания оператором персональных данных. Если да, то определить меры соответствия требованиям законодательства.

Решение:

Специалисты Cloud.ru проверили бизнес-логику 一 на каких этапах у компании появляются персональные данные клиентов. Обнаружили, что при оформлении покупки и указания номера телефона и адреса доставки через интернет-магазин нет согласия на обработку персональных данных.

Чтобы, как в случае с кейсом, соответствовать законодательству, избежать рисков утечки ПДн и корректно зарегистрироваться как оператор ПДн, компании пользуются аудитом на соответствие требованиям 152-ФЗ.

Cloud.ru проводит аудит информационной безопасности IT-инфраструктуры для любых сегментов и масштабов бизнеса – от крупнейших государственных предприятий до среднего и малого бизнеса. После аудита или консалтинга архитекторы кибербезопасности внедряют необходимые решения и сервисы, чтобы привести инфраструктуру в соответствие требованиям 152-ФЗ.

К аудиту обращаются компании, которые обрабатывают и хранят персональные данные клиентов или сотрудников, и обязаны подать все необходимые документы в Роскомнадзор в качестве оператора персональных данных. А также компании, которые не могут или не заинтересованы своими силами обеспечивать защиту ПДн. Например, в штате нет специалистов с необходимыми компетенциями, или из-за внеплановой проверки регулятора требуется срочно привести инфраструктуру в облаке в соответствие с требованиями 152-ФЗ.

Услуга предназначена не только для того, чтобы снизить риски утечки ПДн, но, в первую очередь, для регистрации заказчика в качестве оператора ПДн.

При аудите на соответствие 152-ФЗ архитекторы по информационной безопасности Cloud.ru предпринимают следующие шаги:

1. Определяют, какого типа персональные данные будут обрабатываться в сегменте заказчика;

2. Выявляют, какие уровни защиты персональных данных необходимо достичь, опираясь на постановление правительства № 1119;

3. Моделируют угрозы безопасности ПДн по методологии ФСТЭК России, определяют актуальные угрозы;

4. Анализируют, какие меры защиты в соответствии с 21 приказом ФСТЭК России необходимо реализовать в инфраструктуре заказчика – можно реализовать уже имеющимися в виртуальной инфраструктуре Cloud.ru средствами защиты информации, либо наложенными средствами защиты, которые можно дополнительно приобрести у Cloud.ru.

Услуга «Аудит на соответствие 152-ФЗ» ориентирована на логическую инфраструктуру заказчика и бизнес-процессы, в которых участвуют персональные данные клиентов. Поэтому IT-ресурсы клиента могут быть размещены за пределами ЦОД Cloud.ru. Это может быть любой ЦОД, любой офис, любая локация.

Информационная система ПДн (ИСПДн) может быть распределенной: один элемент располагается в ЦОД Cloud.ru, другой 一 в офисе компании, третий 一 на мощностях другого IaaS-провайдера. И даже каналы связи между этими площадками будут являться элементами ИСПДн. Так что соответствовать 152-ФЗ должны все элементы.

Облачные платформы, в которых клиенты Cloud.ru размещают свои виртуальные инфраструктуры, соответствуют требованиям 152-ФЗ в части хранения и доступа к данным.

Важно понимать распределение ответственности между клиентом и провайдером сервисных услуг. За соответствие инфраструктуры, начиная с уровня физической защиты дата-центров, сети и хранилищ данных, защиты физических серверов и до уровня виртуализации, отвечает провайдер. Именно на этих технологических уровнях обеспечивается соответствие инфраструктуры Cloud.ru требованиям 152-ФЗ.

При этом клиент обязан обеспечить соответствие 152-ФЗ своей инфраструктуры на уровнях операционной системы, базы данных, приложений и самих данных.

У каждой компании есть возможность оценить необходимый перечень средств и мер по обеспечению безопасности ПДн с помощью бесплатного конфигуратора системы защиты персональных данных в облаке.

Укажите параметры вашей информационной системы персональных данных, и получите на email базовые рекомендации по защите ПДн от Cloud.ru.

Чтобы обеспечить техническую защиту ПДн, ИБ-специалисты Cloud.ru рекомендуют применять различные сервисы безопасности. Например, межсетевой экран и систему обнаружения вторжения NGFW Usergate, межсетевой экран уровня приложений, средства антивирусной защиты. Все эти сервисы сертифицированы регуляторами, то есть соответствуют требованиям безопасности, что значительно упрощает процесс аттестации ИСПДн.

Современные решения кибербезопасности ограничивают воздействие средств защиты на производительность защищаемых систем, например, в некоторых средствах антивирусной защиты можно указать максимально возможное потребление оперативной памяти. Это позволяет предостеречь от непредсказуемого влияния решения на быстродействие ОС.

Российскому бизнесу нужно тщательно подходить к вопросам кибербезопасности и соответствовать требованиям регуляторов в области ПДн. Архитекторы Cloud.ru проводят аудит и консалтинг информационной безопасности и помогают компаниям соответствовать 152 ФЗ. Чтобы узнать больше и получить бесплатную консультацию наших экспертов, оставьте заявку на консультацию в форме ниже.