Защита обработки персональных данных в облаке по 152-ФЗ
Обработка персональных данных регулируется ФЗ-152 и рядом других нормативных документов.
В пошаговой инструкции по выполнению требований мы уже обсудили, что взаимодействие с ПДн по закону состоит из нескольких этапов:
– Подготовка организационно-распределительной документации
– Сбор и обработка ПДн в соответствии с нормами
– Определение уровня защищённости и защита
Первые два этапа уже обсудили.
Сегодня поговорим о том, что нужно защищать, как и на каких уровнях – в том числе, в облаке.
Обработка персональных данных — какие процессы защищаем
В соответствии с пунктом 3, статьи 3, 152-ФЗ, обработка ПДн – это ЛЮБОЕ действие (операция) или совокупность действий (операций), включая:
– сбор, запись, систематизацию, накопление
– хранение
– уточнение (обновление, изменение)
– извлечение
– использование
– передачу (распространение, предоставление, доступ)
– обезличивание
– блокирование, удаление, уничтожение ПДН
Для каждого перечисленного действия есть свой перечень требований, в соответствии с которым это действие выполняется. В частности, согласно ч.1 ст. 19 ФЗ-152 при обработке ПДн оператор обязан защищать персональные данные от неправомерных действий. То есть, от нарушения одного из обязательных критериев:
– конфиденциальность
– целостность
– доступность
Меры защиты бывают организационные и технические.
Технические меры
Защитить нужно три сегмента:
- Центр обработки данных (ЦОД). Важно: помещение, в котором находится стойка с сервером – это тоже ЦОД.
- Серверный сегмент – от конкретного сервера внутри инфраструктуры до коммутационного оборудования.
- Пользовательский сегмент – от уровня защиты автоматизированных рабочих мест с точки зрения выполнения физических мер ИБ до уровня защиты ОС и ИС.
Теперь о том, каким требованиям должен соответствовать каждый сегмент. Общее: средства защиты должны быть сертифицированы ФСТЭК.
ЦОД
Контролируемая зона:
– Физически защищенная зона с ограниченным доступом только для уполномоченного персонала.
– Установка системы видеонаблюдения и контроля доступа.
– Охрана периметра.
– Регулярное проведение аудитов и проверок на соответствие физической безопасности.
Инженерная защита:
– Обеспечение бесперебойного электроснабжения и резервных источников питания.
– Системы климат-контроля и противопожарной защиты.
– Регулярное техобслуживание инженерных систем.
Информационная защита:
– Шифрование данных при передаче и хранении.
– Регулярное обновление ПО.
– Разделение сети на зоны с различными уровнями доступа и защиты.
Серверный сегмент
Защита серверов:
– Использование антивирусного ПО и межсетевых экранов.
– Регулярное обновление и патчинг операционных систем и серверного ПО.
– Настройка систем логирования и мониторинга для отслеживания активности на серверах.
– Осуществление резервного копирования данных и их регулярная проверка.
Защита коммуникаций:
– Шифрование каналов связи (VPN, TLS).
– Настройка систем обнаружения и предотвращения вторжений (IDS/IPS).
– Сегментирование сети и использование VLAN для разграничения доступа.
Управление доступом:
– Реализация политики минимально необходимого доступа (least privilege).
– Использование многофакторной аутентификации (MFA).
– Регулярный пересмотр и обновление прав доступа.
Пользовательский сегмент
Физическая безопасность автоматизированных рабочих мест (АРМ):
– Обеспечение контроля доступа в помещения с АРМ
– Использование замков, сейфов или других средств для защиты оборудования.
Защита операционных систем и приложений:
– Установка антивирусного ПО и регулярное обновление сигнатур.
– Настройка системного журнала и мониторинг активности на АРМ.
– Регулярное обновление операционных систем и прикладного ПО.
– Использование шифрования данных на дисках и в передаче (например, через VPN).
Управление доступом пользователей:
– Использование политик сложных паролей и их регулярная смена.
– Внедрение процедур регистрации и удаления пользователей.
– Ограничение привилегий пользователей и контроль за использованием учетных записей.
Организационные меры
В первую очередь при проверках регуляторы выясняют, соблюдаются ли семь принципов взаимодействия с персональными данными. Итак, все они напрямую или косвенно связаны с целями их обработки:
- Данные нужно обрабатывать для достижения конкретной цели. Таким образом, прежде чем начать сбор данных, оператор должен определить, зачем ему ПДн и внести их в согласие на обработку.
- Данные, которые собирают для различных целей, нельзя хранить и обрабатывать в одной базе, смешивать между собой.
- Обработка должна быть законной и справедливой.
- Обрабатывать только те данные, которые соответствуют целям.
- Количество собираемых данных также должно соответствовать целям.
- Срок хранения ПДн ограничен целями — после их достижения данные нужно удалить.
- Точность, достаточность и актуальность ПДн.
Также к организационным мерам относится:
- Подготовка документации.
- Обучение и осведомленность пользователей:
- Проведение регулярных тренингов и обучения по вопросам информационной безопасности.
- Разработка и внедрение политик безопасности, инструкций и регламентов.
- Пропаганда культуры безопасности данных и ответственности за защиту персональных данных.
- Регулярное проведение анализа рисков и уязвимостей, связанных с обработкой и защитой ПДн.
- Разработка и реализация планов мероприятий по снижению рисков и устранению уязвимостей.
- Создание и внедрение процедуры управления инцидентами информационной безопасности, включая выявление, регистрацию, расследование и разрешение инцидентов, связанных с защитой ПДн.
- Проведение регулярных проверок и аудитов на соответствие требованиям ФЗ-152 и внутренним политиками организации.
- Документирование всех процессов, связанных с защитой ПДн.
- Формирование процедур для обработки запросов субъектов ПДн о предоставлении доступа к их данным, исправлении, удалении и ограничении обработки данных.
- Информирование субъектов ПДн о фактах утечки или нарушения безопасности их данных в установленные законом сроки.
Персональные данные в облаке: правила
Регуляторы не запрещают оператору персональных данных пользоваться инфраструктурой поставщиков услуг для хранения ПДн. Это снимает с субъекта ПДн ряд проблем, так как провайдер берёт на себя защиту ЦОДа и серверного сегментов сертифицированными ФСТЭК средствами защиты информации.
При этом ответственность за несоблюдение требований по-прежнему остаётся на операторе ПДн, поэтому к выбору поставщика важно отнестись крайне внимательно. Итак:
- Серверы провайдера должны находиться на территории РФ.
- Провайдер должен пройти аттестацию на соответствие требованиям защиты информации.
- Провайдер должен иметь возможность предоставить необходимый уровень защищённости.
Например, наше решение SafeCloud 152-ФЗ соответствует всем перечисленным требованиям и подходит для информационных систем ИСПДн, требующих четвёртого, третьего и второго уровня защищенности, включая:
- размещение медицинской тайны. Так, например, поступила сеть клиник «Добрый доктор»;
- специальных категорий;
- данных несовершеннолетних;
- биометрических данных;
- государственных информационных систем 1 и 2 класса.
Размещение в SafeCloud 152-ФЗ может проходить по трём сценариям, вплоть реализации «под ключ» — от инфраструктуры до документации.
Заполните форму — и наши специалисты по информационной безопасности проведут бесплатный аудит вашего сайта на соответствие требованиям регуляторов и ответят на все вопросы по ФЗ-152.