Защита персональных данных: как легче соблюдать закон с Cloud.ru и сохранять спокойствие

Ниже краткий обзор по работе с персональными данными (ПД), чтобы вы могли быть уверены в их безопасности. Сжато рассказываем о регулирующих федеральных законах, приказах и постановлениях, сопоставляем требования законодательных норм и возможности облачных платформ Cloud.ru, а также делимся инструментами, которые используем для защиты, и делаем акцент на том, что можете применить и вы.

Что следует знать о персональных данных

Что это такое. Под персональными данными (ПД) — согласно 152-ФЗ — понимают любую информацию, относящуюся прямо или косвенно к субъекту персональных данных. Такая формулировка выглядит достаточно «расплывчатой» и не всегда позволяет в точности понять, что можно, а что нельзя отнести к личным данным. Однако по закону персональные данные необходимо защищать любой организации, которая их обрабатывает, независимо от того, речь идет о персональных данных сотрудников или контрагентов.

Есть четыре категории ПД:

• общедоступные — это данные, которые человек обнародовал сам или дал на это разрешение. Примерами могут быть адрес регистрации или номер телефона; 
• биометрические — отпечатки пальцев, рисунок сетчатки глаза; 
• специальные — например, национальность и мед. показания; 
• иные — которые нельзя отнести к вышеназванным группам.

Как защищаются персданные. Требования к защите ПД описаны в постановлении правительства №1119, а в приказе №21 ФСТЭК установлены необходимые для этого меры. Есть четыре уровня защищенности систем персональных данных.

• УЗ-4. Уровень защиты с базовыми требованиями. Меры защиты, которые необходимо выполнять на этом уровне, входят в обязательном порядке в меры защиты более высоких уровней. Описание мер и их состав приводятся в приложении к №21 приказу ФСТЭК.  
• УЗ-3. Усиления требований, позволяющих обеспечить повышенную безопасность при обработке биометрических и специальных данных. Необходима защита от уязвимостей в приложениях и оборудовании с помощью специализированных систем мониторинга и инструментов контроля доступа к инфраструктуре. 
• УЗ-2. Можно работать с любыми типами данных. Необходимо резервное копирование, системы обнаружения и предотвращения вторжений в корпоративные сети, чтобы противостоять атакам на инфраструктуру. 
• УЗ-1. Наивысший уровень защиты, который также позволяет работать с любыми типами данных. Главное отличие — тут необходимо настраивать инструменты, способные противостоять уязвимостям не только в приложениях и аппаратном обеспечении, но и в операционных системах.

Кто должен следовать закону. Следовать 152-ФЗ и строить защиту автоматизированной системы, в которой обрабатываются персональные данные, по рекомендациям ФСТЭК, обязаны все организации, обрабатывающие ПД. Для предприятий банковского сектора требования к защите такой информации дополняются общими требованиями Центрального банка России. Регулятор выпускает приказы для кредитных организаций и других участников финансового рынка. Определенные требования к защите IT-инфраструктуры и организации процессов также выдвигают платежные системы.

Примером может быть стандарт PCI DSS. Ему должны следовать все организации и торговые предприятия, обрабатывающие данные платежных карт клиентов. При работе с ним организации обязаны использовать шифрование данных, межсетевое экранирование, многофакторную аутентификацию, периодическое сканирование на уязвимости, плюс — проводить пентесты силами независимых подрядчиков. Мы как облачный провайдер выполняем требования стандарта PCI DSS и упрощаем прохождение процедуры сертификации для наших клиентов.

За соблюдением законодательства в сфере персональных данных следит специальное подразделение Роскомнадзора. Техническую часть контролирует ФСТЭК, а если используется криптография, то Федеральная служба безопасности.

Что будет, если нарушить закон. За нарушения предусмотрены штрафы — они могут достигать сотен тысяч рублей. Помимо денежного наказания, существует риск отзыва лицензий и запрета на обработку персональных данных. Стоит отметить и потенциальный репутационный ущерб, который несет допустившая утечку компания, и связанные с этим компенсации морального и материального вреда.

Если речь идет о небольшом интернет-магазине, соответствовать нормам законодательства получится без каких-либо проблем. В таком случае не нужно беспокоиться о лицензиях ФСБ и ФСТЭК, а также усиливать защиту инфраструктуры. От крупных игроков выполнение нормативов потребует больших усилий. Скорее всего, им придется закупить оборудование, пройти аудиты, разобраться в профильных тонкостях законодательства. Конечно же, упростить задачу способны готовые решения на стороне облачных платформ. На примере наших площадок поговорим о том, как обеспечить безопасность IT-инфраструктуры и какие типы данных можно обрабатывать в облаке.

Облачные платформы и их возможности

Все наши площадки прошли процедуру оценки соответствия 21 приказа ФСТЭК и получили аттестаты, выданные независимым лицензиатом ФСТЭК. Он подтверждает, что система защиты информации построена согласно нормативным документам, плюс — проведены испытания по безопасности. В Cloud.ru есть три облачные платформы. Каждая из них имеет соответствующие аттестаты, поэтому может обрабатывать разные типы данных в зависимости от задач at hand.

• Cloud.ru Enterprise — IaaS-платформа корпоративного уровня. Есть аттестат соответствия 152-ФЗ и первый уровень защищенности (УЗ-1). Так, клиенты Cloud.ru Enterprise могут работать со всеми типами ПД в IT-инфраструктуре провайдера. В то же время площадка соответствует требованиям 187-ФЗ, приказ №239 ФСТЭК К-3, а также требованиям PCI DSS, что позволяет размещать финансовые сервисы.
• Cloud.ru Advanced. Предлагает более 50 PaaS- и IaaS-сервисов для развертывания и управления IT-инфраструктурой. Как и предыдущая площадка имеет сертификат 152-ФЗ с первым уровнем защищенности.
• ML Space. Это платформа для автоматизации процессов машинного обучения. В её основе лежат два суперкомпьютера Christofari и Christofari Neo, суммарная мощность которых превышает 1700 GPU. Платформа имеет сертификацию 152-ФЗ и первый уровень защищенности (УЗ-1). Это значит, что обучать ML-модели здесь можно даже на биометрических данных. Это может пригодиться, если вы хотите, например, идентифицировать по лицу VIP-покупателей или распознавать сотрудников производств даже в средствах индивидуальной защиты.

Инструменты безопасности для защиты

Мы распределили наши ресурсы по регионам, три из которых — для публичных клиентов. Такой подход позволяет удовлетворять требования заказчиков — в зависимости от их задач мы подбираем подходящий регион и облачную платформу.

Например, если клиент не хочет решать сложные технические вопросы по размещению, настройке сервисов, но планирует использовать наибольшее количество сервисов, мы предлагаем платформу Cloud.ru Advanced.

Для тех, кто привык строить IT-инфраструктуру на базе мирового вендора, мы предлагаем классическое IaaS-решение на платформе Cloud.ru Enterprise.

Для задач машинного обучения и развертывания сервисов на базе обученных моделей ИИ мы предоставляем специализированное решение – ML Space, платформу для ML-разработки полного цикла, выделенную в отдельный регион. Клиенты не могут туда мигрировать, но они легко могут работать там с любой инфраструктуры, ведь это не просто пространство для размещения, а полноценный набор инструментов для работы с данными, артефактами машинного обучения и деплоями.

При необходимости размещения разных систем в нескольких регионах мы обеспечим сетевую связанность между ними.

Что касается инструментов для защиты облачных платформ, то в Cloud.ru они работают на шести уровнях.

Физический уровень. Серверное и сетевое оборудование установлено в ЦОДах категории Tier III. Войти на территорию такого предприятия можно только с пропуском, а доступ к аппаратному обеспечению строго ограничен. Дополнительный уровень защиты обеспечивает система видеонаблюдения с архивом записей.

Все дата-центры такого класса оборудованы системами автоматического пожаротушения, а каналы связи и инфраструктура (включая системы кондиционирования, ИБП и дизель-генераторные установки) продублирована, что позволяет обслуживать «железо» без отключений. Такой подход повышает доступность и обеспечивает сохранность данных даже в случае ЧП.

Сетевая подсистема. Безопасность сетевого периметра обеспечивают системы Next-Generation Firewall (NGFW). Это межсетевые экраны нового поколения. Они проводят всесторонний анализ трафика для выявления в нем несанкционированных действий.

В составе NGFW функционируют компоненты IPS. Задача IPS — оградить сервер от вредоносных подключений, если они по какой-то причине удовлетворяют политикам безопасности. Они сравнивают паттерны трафика с отпечатками в базе данных известных атак и при выявлении аномалии уведомить сисадмина и предотвратить неавторизованный доступ.

В облаке провайдера также есть инструменты, упрощающие настройку безопасных сетевых подключений. Например, технология VPN site-to-site позволяет соединить виртуальные машины, размещенные в разных вЦОД или на площадке клиента. Нашим клиентам также доступна базовая защита интернет-канала Anti-DDoS на уровне L3/L4. При необходимости можно подключить более продвинутое решение с защитой конечных ИС — Anti-DDoS+WAF. Оно обеспечивает бесперебойную работу приложений на HTTP/HTTPS.

Cloud.ru Anti-DDoS+WAF

Обеспечьте стабильную работу клиентских сайтов и веб-сервисов по протоколам HTTP/HTTPS на облачной платформе Cloud.ru Enterprise на базе технологий VMware

Узнать больше

Хранилища данных. На этом уровне работают различные программные решения. Например, наш сервис Database Security Service на платформе Advanced выявляет инъекции SQL-кода и следит за целостностью журналов аудита базы данных. Еще один механизм защиты — резервное копирование на платформе Enterprise. При сбое он позволяет восстановить как целые виртуальные машины, так и отдельные файлы и документы.

Вычислительная подсистема. В облаке Cloud.ru Advanced за защиту от вредоносных атак и взлома отвечает служба Host Security Service. Она находит потенциальные уязвимости в программном обеспечении и системах управления содержимым веб-страниц и сообщает администратору о необходимости изменить настройки. В то же время существуют решения, которые защищают не виртуальные машины, а отдельные контейнеры. Такой сервис называется Container Guard Service. Он сканирует образы файловых систем контейнеров и реализует политики безопасности, чтобы минимизировать киберриски.

Host Security Service

Обеспечьте безопасность сервера от вредоносных атак и взлома на облачной платформе Cloud.ru Advanced

Узнать больше

Подсистема управления. На этом уровне в Cloud.ru Enterprise работает система управления пользователями и ролями Identity and Access Management (IAM). Мы также предлагаем инструменты мониторинга для сбора актуальной информации об инфраструктурных угрозах и механизмах противодействия. 

Интеграционная подсистема. На этом уровне облачная платформа отвечает за шифрование сообщений, которые передаются между компонентами инфраструктуры. Сюда же можно отнести аутентификацию сотрудников оператора, отвечающих за обслуживание «железа» — как мы уже говорили, доступ к нему имеет строго ограниченный круг инженеров.

Что запомнить

Основные требования к защите персональных данных в России прописаны в 152-ФЗ и 21 приказе ФСТЭК. Для отдельных отраслей — например, банковского сектора — действуют дополнительные нормативы вроде стандарта PCI DSS. Набор требований, описанный в нормативных актах, достаточно обширный, но разобраться во всех тонкостях и даже взять на себя часть задач по их выполнению может облачная платформа. Для этого она проходит необходимые аудиты, получает релевантные сертификаты и предлагает широкий набор инструментов, которые помогают обеспечить безопасность ПД клиентов.

Если у вас есть вопросы, вы всегда можете оставить заявку на бесплатную консультацию и рассказать о своем кейсе. Специалисты «погрузятся» в задачу и подскажут, как начать обрабатывать персональные данные по закону, и какая облачная платформа лучше подойдет в каждом конкретном случае.