Как снизить риски утечки данных и санкций госрегуляторов: 152-ФЗ в Cloud.ru
Статья
Время чтения
6 минут
1 сентября 2022 года ужесточились требования по уведомлению Роскомнадзора об инцидентах с утечками персональных данных (ПДн). С этого момента компании, которые являются операторами персональных данных, обязаны уведомлять госорганы об утечках ПДн.
Одновременно усилены требования к уведомлениям об обработке ПДн – теперь любой работодатель обязан уведомлять Роскомнадзор до начала обработки данных сотрудников. Чтобы не нарушать закон, бизнесу нужно соответствовать 152-ФЗ РФ и иметь экспертизу в сфере информационной безопасности (ИБ).
Помимо принятых в 2022 году поправок, в декабре прошлого года Минцифры сообщило о законопроекте, в котором предлагается ввести оборотные штрафы за утечку ПДн. Размер штрафов может достигнуть 3% от оборота компании. Сегодня штрафы для юрлиц составляют от 30 000 ₽ до 18 млн ₽ в зависимости от тяжести и повторения правонарушения. С 1 марта 2023 года ввели новые положения по трансграничной передаче ПДн. Все эти факторы влияют на повышение спроса на услуги кибербезопасности и защиту ПДн в 2023 году.
Кроме того, указ президента от 5 мая 2022 года №250 обязал генеральных директоров компаний иметь заместителей по информационной безопасности. Малый и средний бизнес вводят эту роль, не расширяя штат. Например, сотрудник может быть одновременно коммерческим директором и директором ИБ. Такая расстановка не помогает усилить информационную безопасность, поэтому компании рассматривают аутсорсинг услуг в области ИБ. Cloud.ru способен покрыть и такие потребности компаний.
Какой бизнес должен соответствовать требованиям 152-ФЗ РФ
Это может быть и оператор связи, и магазин одежды, и небольшая компания, которая обрабатывает персональные данные своих 50 сотрудников. Чем больше объектов персональных данных у компании, тем больше ответственности перед законом.
Если у компании есть сайт, на котором для личного кабинета надо указать ФИО и телефонный номер, то такая компания является оператором персональных данных и должна подать уведомление в Роскомнадзор. Многие организации не задумываются, насколько легко попасть под определение оператора персональных данных.
Кейс: как ИБ-аудит защищает данные и бизнес
Дано:
Компания, в IT-отделе которой работает три человека и нет ИБ-специалиста.
Задача:
Определить, является ли компания оператором персональных данных. Если да, то определить меры соответствия требованиям законодательства.
Решение:
Специалисты Cloud.ru проверили бизнес-логику 一 на каких этапах у компании появляются персональные данные клиентов. Обнаружили, что при оформлении покупки и указания номера телефона и адреса доставки через интернет-магазин нет согласия на обработку персональных данных.
Поэтому мы предоставили заказчику типовой шаблон формы согласия, и первым же шагом стала корректировку сайта 一 программисты добавили опцию и разместили форму согласия на обработку персональных данных. Далее мы увидели, что каналы связи не соответствуют требуемому уровню защищенности. Персональные данные клиентов заполнялись с личных мобильных устройств сотрудников и передавались в корпоративную базу данных по незащищенным каналам мобильного интернета. Мы установили специальное ПО, которое создает защищенный канал для передачи данных в зашифрованном виде и среду, которая не позволит утечь данным с недоверенного устройства. Это не полный перечень работ на проекте, но именно эти два вида недочетов встречаются часто.
Аудит по соответствию 152-ФЗ
Чтобы, как в случае с кейсом, соответствовать законодательству, избежать рисков утечки ПДн и корректно зарегистрироваться как оператор ПДн, компании пользуются аудитом на соответствие требованиям 152-ФЗ.
Cloud.ru проводит аудит информационной безопасности IT-инфраструктуры для любых сегментов и масштабов бизнеса – от крупнейших государственных предприятий до среднего и малого бизнеса. После аудита или консалтинга архитекторы кибербезопасности внедряют необходимые решения и сервисы, чтобы привести инфраструктуру в соответствие требованиям 152-ФЗ.
К аудиту обращаются компании, которые обрабатывают и хранят персональные данные клиентов или сотрудников, и обязаны подать все необходимые документы в Роскомнадзор в качестве оператора персональных данных. А также компании, которые не могут или не заинтересованы своими силами обеспечивать защиту ПДн. Например, в штате нет специалистов с необходимыми компетенциями, или из-за внеплановой проверки регулятора требуется срочно привести инфраструктуру в облаке в соответствие с требованиями 152-ФЗ.
Услуга предназначена не только для того, чтобы снизить риски утечки ПДн, но, в первую очередь, для регистрации заказчика в качестве оператора ПДн.
При аудите на соответствие 152-ФЗ архитекторы по информационной безопасности Cloud.ru предпринимают следующие шаги:
Определяют, какого типа персональные данные будут обрабатываться в сегменте заказчика;
Выявляют, какие уровни защиты персональных данных необходимо достичь, опираясь на постановление правительства № 1119;
Моделируют угрозы безопасности ПДн по методологии ФСТЭК России, определяют актуальные угрозы;
Анализируют, какие меры защиты в соответствии с 21 приказом ФСТЭК России необходимо реализовать в инфраструктуре заказчика – можно реализовать уже имеющимися в виртуальной инфраструктуре Cloud.ru средствами защиты информации, либо наложенными средствами защиты, которые можно дополнительно приобрести у Cloud.ru.
Также мы можем применять методологии зарубежных регуляторов, если требуется, например, ISO/IEC 27001 или PCI DSS. При построении системы защиты учитывается, где и как хранятся данные заказчика.
Если ресурсы компании находятся не в ЦОД Cloud.ru
Услуга «Аудит на соответствие 152-ФЗ» ориентирована на логическую инфраструктуру заказчика и бизнес-процессы, в которых участвуют персональные данные клиентов. Поэтому IT-ресурсы клиента могут быть размещены за пределами ЦОД Cloud.ru. Это может быть любой ЦОД, любой офис, любая локация.
Информационная система ПДн (ИСПДн) может быть распределенной: один элемент располагается в ЦОД Cloud.ru, другой 一 в офисе компании, третий 一 на мощностях другого IaaS-провайдера. И даже каналы связи между этими площадками будут являться элементами ИСПДн. Так что соответствовать 152-ФЗ должны все элементы.
Облачные платформы, в которых клиенты Cloud.ru размещают свои виртуальные инфраструктуры, соответствуют требованиям 152-ФЗ в части хранения и доступа к данным.
Все наши облачные платформы аттестованы на соответствие требованиям 152-ФЗ. В Cloud.ru на уровне инфраструктуры реализованы меры защиты ПДн в соответствии с подзаконными актами регуляторов. Это позволяет обрабатывать ПДн в нашем облаке, обеспечивая при этом максимальный 一 первый уровень защищенности данных. Но это не значит, что клиент может не беспокоиться о безопасности систем, размещаемых в облаке. Ему тоже следует принимать меры по защите своих информационных ресурсов.
Ответственность в информационной безопасности
Важно понимать распределение ответственности между клиентом и провайдером сервисных услуг. За соответствие инфраструктуры, начиная с уровня физической защиты дата-центров, сети и хранилищ данных, защиты физических серверов и до уровня виртуализации, отвечает провайдер. Именно на этих технологических уровнях обеспечивается соответствие инфраструктуры Cloud.ru требованиям 152-ФЗ.
При этом клиент обязан обеспечить соответствие 152-ФЗ своей инфраструктуры на уровнях операционной системы, базы данных, приложений и самих данных.
Стоит отметить, что содержимое данных заказчиков для Cloud.ru 一 как черный ящик. Ответственность за их сохранность несет клиент. В рамках услуги по соответствию 152-ФЗ мы помогаем сделать это правильно.
Бесплатный конфигуратор, который подскажет, как обеспечить соответствие инфраструктуры требованиям 152-ФЗ
У каждой компании есть возможность оценить необходимый перечень средств и мер по обеспечению безопасности ПДн с помощью бесплатного конфигуратора системы защиты персональных данных в облаке.
Укажите параметры вашей информационной системы персональных данных, и получите на email базовые рекомендации по защите ПДн от Cloud.ru.
После аудита
Чтобы обеспечить техническую защиту ПДн, ИБ-специалисты Cloud.ru рекомендуют применять различные сервисы безопасности. Например, межсетевой экран и систему обнаружения вторжения NGFW Usergate, межсетевой экран уровня приложений, средства антивирусной защиты. Все эти сервисы сертифицированы регуляторами, то есть соответствуют требованиям безопасности, что значительно упрощает процесс аттестации ИСПДн.
ИБ-решения снижают производительность: миф или реальность?
Современные решения кибербезопасности ограничивают воздействие средств защиты на производительность защищаемых систем, например, в некоторых средствах антивирусной защиты можно указать максимально возможное потребление оперативной памяти. Это позволяет предостеречь от непредсказуемого влияния решения на быстродействие ОС.
Все наши сервисы безопасности проектируются с учетом системных требований, мы обязательно проводим все необходимые функциональные и нагрузочные тестирования в окружении, максимально приближенном к продуктивному.
Заключение
Российскому бизнесу нужно тщательно подходить к вопросам кибербезопасности и соответствовать требованиям регуляторов в области ПДн. Архитекторы Cloud.ru проводят аудит и консалтинг информационной безопасности и помогают компаниям соответствовать 152 ФЗ. Чтобы узнать больше и получить бесплатную консультацию наших экспертов, оставьте заявку на консультацию в форме ниже.
