Персональные данные в облаке: обязанности заказчика и облачного провайдера

15 Января 2019

Российское законодательство накладывает ряд требований на процесс обработки и хранения персональных данных (далее ПДн). Когда ПДн хранятся на локальных серверах компании все достаточно просто, но сегодня все больше компаний отдает предпочтение аренде виртуальных серверов, чем содержанию парка физических. Как быть с персональными данными? Ведь, по сути, они хранятся на серверах третьей стороны.

Что говорит регулятор?

Первым делом нужно поинтересоваться позицией Роскомнадзора в отношении облака. В ответ на наш запрос относительно размещения баз данных с использованием облачных технологий (SaaS, PaaS), были получены следующие сведения. Законодательство не устанавливает каких-либо ограничений или требований, предписывающих использование каких-либо определенных технологий при сборе и хранении персональных данных. Оператор может использовать облачные технологии, но при этом обязан при необходимости подтвердить документально нахождение баз ПДн на территории Российской Федерации. Другими словами, если ПДн будут храниться на территории РФ, никаких ограничений на их хранение и обработку — нет. Конечно, есть ряд требований и к облачному провайдеру, но о них мы поговорим чуть позже.

Обязанности заказчика

Защита ПДн — занятие ответственное и у каждого из участников данного процесса — у заказчика (он же оператор ПДн) и у исполнителя (он же — облачный провайдер) есть своя зона ответственности.

Прежде, чем переносить ПДн в облако, нужно четко понимать, за что будет отвечать оператор, а за что — облачный провайдер. Оператор, в первую очередь, должен для себя определиться, какие данные он будет хранить в облаке.

Обязанности оператора:

  1. Определить актуальные угрозы и уровень защищенности информационной системы персональных данных.
  2. Определить меры безопасности, необходимые для защиты от актуальных угроз, а также отразить в договоре с провайдером, какие меры безопасности будет принимать провайдер.
  3. Построить частную модель актуальных угроз для своего предприятия.
  4. Реализовать систему защиты в собственном сегменте информационной системы (другими словами, сделать так, чтобы не произошло утечки ПДн на стороне заказчика).
  5. Убедиться, что у выбранного облачного провайдера есть все необходимые лицензии (ФСБ, ФСТЭК)
Если облака для вас
не просто теория
Широкий спектр услуг
по выделенным северам
и мультиклауд-решениям
Конфигурация VPS и бесплатный тест уже через 2 минуты
Организация вашей IT-инфраструктуры на основе мультиклауд-решения

Обязанности провайдера

К обязанностям провайдера можно отнести следующие:

  1. Получить лицензии ФСБ, ФСТЕК, а также лицензию Минкомсвязи, если предоставляются телематические услуги.
  2. Определить тип актуальных угроз и максимальный уровень защищенности для облака.
  3. Построить частную модель угроз для облака.
  4. Реализовать систему защиты, основываясь на разработанной модели.
  5. Предоставить оператору возможность развернуть дополнительные средства безопасности.
  6. Помочь заказчику с реализацией мер защиты в его конкретном случае.

Необходимые лицензии

Когда речь идет о хранении ПДн в облаке, то первое с чего нужно начать выбор облачного провайдера — это наличие необходимых лицензий. Надежность ЦОД — тоже не пустое место, но если у провайдера нет необходимых лицензий, то с точки зрения законодательства, защитить ПДн не получится.

Как минимум у провайдера должны быть следующие лицензии:

  • Лицензия ФСБ (на проектирование, поставку систем шифрования, эксплуатацию и обслуживание информационных и телекоммуникационных систем с криптографической защитой данных, предоставление в аренду каналов связи и систем с защитой шифрованием).
  • Лицензия ФСТЭК (на деятельность по технической защите конфиденциальной информации)

Как выглядят эти лицензии, показано ниже:

лицензия1.jpg лицензия2.jpg

Проверить лицензию ФСТЭК можно на сайте ФСТЭК. Что же касается проверки лицензии ФСБ, то каких-либо общедоступных реестров не существует. Чтобы проверить подлинность такой лицензии, нужно направить запрос в адрес «Центра по лицензированию, сертификации и защите государственной тайны». Однако на нашей практике нам пока еще не встречались облачные провайдеры с поддельными лицензиями ФСБ. А вот лицензии ФСТЭК могут быть, как и бессрочными, так и с определенным сроком действия — не помешает проверить данный факт.
Безопасность ПДн в облаке — это уже реальность. Если у вас остались вопросы, обратитесь к специалистам ООО «СДН», которые помогут вам организовать безопасный процесс хранения и обработки ПДн.

Получить консультацию специалиста
Персональный ассистент
Cloud.Xelent