В последние годы развитие рынка информационной безопасности и рост интереса у широкого круга лиц к данной сфере обусловлены актуальным вопросом защиты персональных данных. Немало приказов, дополнений к Федеральному закону № 152-ФЗ от 27.07.2006 г. «О персональных данных» (152-ФЗ), методик и рекомендаций регуляторов выпущено по этой теме.
Что же можно считать персональными данными? По определению это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Например, если есть адрес субъекта, но нет ФИО, это так же персональные данные, но обезличенные, так как установить субъекта персональных данных без дополнительной информации не представляется возможным. Подробная классификация персональных данных приведена в постановлении Правительства от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (ПП-1119). Информацию по обезличенным персональным данным можно найти в 152-ФЗ.
Когда компания — оператор персональных данных — сталкивается с необходимостью защиты системы, содержащей персональные данные, она должна принять важное решение: создавать систему защиты на базе собственной инфраструктуры или перенести информационную систему в «облако», отдав исполнение требований законодательства на откуп хостинг-провайдеру.
В данной статье речь пойдет о втором подходе.
В свете вступления в силу Федеральный закон Российской Федерации от 21 июля 2014 г. N 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», обязывающего операторов персональных данных граждан РФ переносить свои системы и базы данных на сервера, физически располагающиеся на территории РФ, многие российские операторы ЦОД, предоставляющие услуги IaaS, занялись наращиванием мощностей, интеграцией дополнительных решений по информационной безопасности, наращиванием компетенций в консалтинге в рамках соответствия законодательству. На данный момент ведущие игроки рынка хостинга могут предложить своим клиентам легкий и быстрый способ получить работоспособную инфраструктуру с предустановленными средствами защиты информации.
«Облачная» информационная система персональных данных (ИСПДн) идеальна для:
- разработчиков прикладного ПО и онлайн-сервисов;
- размещения разделяемых сервисов (Shared Services) крупных компаний;
- интернет-магазинов;
- стартапов;
- социальных сетей;
- сервисов микрофинансирования;
- и др.
Преимущества «облачного» подхода состоят в следующем:
- сокращение затрат на персонал;
- экономия на капитальных затратах;
- масштабируемость вычислительных мощностей;
- высокая доступность инфраструктуры;
- отсутствие расходов на модернизацию и поддержку оборудования;
- стандартизация сервисов компании.
Ключевые моменты при переносе персональных данных в «облако».
Выбор хостинг-провайдера. На текущий момент появилось огромное количество компаний, предлагающих услуги хостинга. Как грамотно выбрать поставщика услуг, не имея знакомых, разбирающихся в данной сфере?
Первое, на что стоит обратить внимание, — находится ли ЦОД на территории РФ, так как это одно из требований 242-ФЗ. Немаловажным фактором является проверка отказоустойчивости ЦОДа на соответствие международным стандартам (например, система классификации Tier).
Для того, чтобы хостинг-провайдер мог оказывать услуги защиты информации, необходимо наличие лицензий ФСТЭК (по технической защите конфиденциальной информации) и ФСБ (на использование криптографических средств защиты информации).
Большим преимуществом является услуга разработки документации для размещаемой информационной системы, так как отпадает необходимость искать дополнительного подрядчика для документального сопровождения системы и будет оказываться помощь при проверке регулятором, что упрощает ее прохождение без замечаний, предписаний и, тем более, штрафов.
Выбор архитектуры размещаемой системы. Важно обратить внимание, что все компоненты системы, содержащие персональные данные, должны быть защищены. Поэтому снизить затраты на средства защиты информации можно, прибегнув к следующим способам:
- обезличивание персональных данных. Применимо в системах, использующих персональные данные в качестве статистических;
- разделение базы персональных данных на базу обезличенных данных (БД 1) и базу данных, содержащую ссылки на БД 1 (БД 2). Исходя из требований законодательства соответствие уровню защищенности должно быть обеспечено только для БД 2 (относительно легитимности использования данного подхода единого мнения нет, поэтому каждый принимает решение на свой страх и риск);
- разделение системы на сегменты, содержащие и не содержащие ПД. Применимо для интернет-магазинов, порталов банковских услуг и т. д.;
- разделение одной крупной системы на две и более в зависимости от обрабатываемых персональных данных. Таким образом снижается уровень защищенности части системы, которая по документам становится самостоятельной информационной системой персональных данных (ИСПДн). Применимо для крупных корпоративных, медицинских, банковских и других систем.
Используя данные способы, нельзя забывать о дальнейшем развитии системы, так как некоторые способы оптимизации затрат могут привести к затруднениям в ее масштабировании и обслуживании.
Выбор средств защиты информации. Это самый сложный выбор в предстоящем проекте миграции в «облако», так как любые наложенные на прикладную систему средства защиты определенным образом (чаще всего негативным) влияют на работоспособность и доступность сервиса.
Вначале следует определить уровень защищенности системы с помощью нехитрого алгоритма, который можно найти в ПП-1119 или, воспользовавшись более простой таблицей, размещенной в Интернете. Когда технические требования, которые необходимо соблюсти, становятся ясными, встает задача выбора технических средств. В этом вопросе лучше довериться советам специалиста по информационной безопасности хостинг-провайдера, так как в компаниях, предлагающих услугу защиты ИСПДн, все средства защиты информации проверены на совместимость с большинством популярных операционных систем и прикладного ПО. Однако следует проверить наличие действительного сертификата соответствия ФСТЭК или ФСБ (чаще всего их можно найти на сайте разработчика).
Для выделяемой инфраструктуры создается модель угроз и нарушителя, что облегчает выбор средств защиты, так как некоторые угрозы можно нейтрализовать организационными мерами или инфраструктурой ЦОДа, в котором она размещена.
Миграция системы. Лучше всего на первом этапе размещения системы в «облаке» создать некий тестовый контур, в котором проверяются основные свойства системы, плюс организовать нагрузочное тестирование, чтобы установить подходит ли выбранная сетевая инфраструктура хостинг-провайдера под поставленные задачи.
Дополнительные сервисы. После того как система мигрирована и протестирована, она вводится в эксплуатацию. Для повышения надежности следует выстроить грамотную систему мониторинга или подключиться к существующей системе хостинг-провайдера. Не стоит также забывать о резервном копировании.
Документы и проверка регулятором.
При заключении договора с хостинг-провайдером необходимо заключить дополнительный договор-поручение обработки персональных данных. Таким образом, фиксируется факт передачи компанией — оператором персональных данных — части процесса обработки персональных данных хостинг-провайдеру, т. е. последний берет на себя ответственность соблюдения требований законодательства к установленному уровню защищенности системы. Дополнительно к договору должна быть приложена модель угроз, согласно которой применяются установленные средства защиты. Это важно при проверке.
На сегодняшний день соблюдение требований к обработке персональных данных регулирует Роскомнадзор. Проверяются документы на ИСПДн. Они должны содержать порядок обработки персональных данных, устанавливать порядок взаимодействия с субъектами персональных данных, описывать ИСПДн и меры по ее защите и др. Следует разработать пакет документов заранее, чтобы при проверке не оказаться в сложном положении и не тратить время на их доработку.
Многие хостинг-провайдеры и интеграторы предлагают аттестовать ИСПДн. Данная процедура не является обязательной и стоит достаточно дорого, поэтому при ограничениях в бюджете, лучше этой процедурой пренебречь и сосредоточиться на обязательном пакете документов, который регулируется следующими принятыми законодательными актами:
- 152-ФЗ «О персональных данных» — федеральный закон, регулирующий деятельность по обработке (использованию) персональных данных — основной закон;
- 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам осуществления государственного контроля (надзора) и муниципального контроля» — изменения к закону (в том числе хранение на территории РФ);
- ПП-1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»— уровни защищенности, классификация персональных данных;
- приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- приказ ФСБ России от 10.07.2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
- постановление Правительства от 19.08.2015 г. № 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных».
Последнее указанное постановление было принято не так давно, и с 1 сентября 2015 г. каждая компания, нарушающая установленный законодательством порядок обработки персональных данных граждан, рискует быть внесенной в него, что может повлечь определенные сложности ведения бизнеса.
Так что пусть ваша компания выберет свой путь соответствия законам с наименьшими затратами и с наибольшей выгодой для бизнеса.
Если мы упустили какие-то моменты или у вас возникли дополнительные вопросы при прочтении текста — задавайте их прямо в комментариях к этой статье.
chiliec
Такое ощущение, что закон направлен в первую очередь не на защиту персональных граждан, а на создание рычага давления на крупные компании. Тем не менее, требования закона лучше соблюдать. У нас вот данные в Амазоне хранились. После принятия закона о защите ПД компания приняла решение хранить данные на собственных серверах. Благо что компания айтишная и свои сисадмины имеются.
Вот это, наверное, главный плюс переноса данных в облако — снятие с себя ответственности перед регулятором, ведь защищенность системы зависит по большей части от прямоты рук, участвовавших при её реализации, а не от того, где она развернута.У вас уже был опыт проверки ваших клиентов Роскомнадзором? Если да, то было бы интересно узнать что конкретно проверяется и каким образом.
chivelev
Добрый день!
1. Про договор-поручение:
Защите подлежат все рабочие места, где обрабатываются персональные данные, а следовательно придется защищать и места сотрудников со всеми вытекающими, вроде закупки средств защиты и составления модели угроз.
Кроме того, являясь оператором персональных данных, необходимо иметь пакет документов на систему, который отвечает на вопрос: что это за система, что она обрабатывает, как она это обрабатывает, какие сотрудники имеют доступ и какой, как система защищается и почему именно так.
Договор-поручение закрывает лишь часть вопросов, но существенную.
2. Про проверки:
Опыт был, причем положительный. Проверку проходили компании, которые хостили системы, в том числе УЗ-1.
РКН проверяет документы на систему персональных данных, в технические подробности не смотрит.