Выйти из системы

Сменить пользователя

Защита обработки персональных данных в облаке по 152-ФЗ 

Обработка персональных данных регулируется ФЗ-152 и рядом других нормативных документов. 

В пошаговой инструкции по выполнению требований мы уже обсудили, что взаимодействие с ПДн по закону состоит из нескольких этапов:

– Подготовка организационно-распределительной документации

– Сбор и обработка ПДн в соответствии с нормами

– Определение уровня защищённости и защита 

Первые два этапа уже обсудили.

Сегодня поговорим о том, что нужно защищать, как и на каких уровнях – в том числе, в облаке.

Обработка персональных данных — какие процессы защищаем

В соответствии с пунктом 3, статьи 3, 152-ФЗ, обработка ПДн – это ЛЮБОЕ действие (операция) или совокупность действий (операций), включая:

– сбор, запись, систематизацию, накопление

– хранение 

– уточнение (обновление, изменение) 

– извлечение

– использование

– передачу (распространение, предоставление, доступ) 

– обезличивание

– блокирование, удаление, уничтожение ПДН

Для каждого перечисленного действия есть свой перечень требований, в соответствии с которым это действие выполняется. В частности, согласно ч.1 ст. 19 ФЗ-152 при обработке ПДн оператор обязан защищать персональные данные от неправомерных действий. То есть, от нарушения одного из обязательных критериев:

– конфиденциальность

– целостность

– доступность

Меры защиты бывают организационные и технические. 

Технические меры 

Защитить нужно три сегмента:

  1. Центр обработки данных (ЦОД). Важно: помещение, в котором находится стойка с сервером – это тоже ЦОД. 
  1. Серверный сегмент – от конкретного сервера внутри инфраструктуры до коммутационного оборудования.
  2. Пользовательский сегмент – от уровня защиты автоматизированных рабочих мест с точки зрения выполнения физических мер ИБ до уровня защиты ОС и ИС.

Теперь о том, каким требованиям должен соответствовать каждый сегмент. Общее: средства защиты должны быть сертифицированы ФСТЭК.

ЦОД

Контролируемая зона:

– Физически защищенная зона с ограниченным доступом только для уполномоченного персонала. 

– Установка системы видеонаблюдения и контроля доступа.

– Охрана периметра.

– Регулярное проведение аудитов и проверок на соответствие физической безопасности.

Инженерная защита:

– Обеспечение бесперебойного электроснабжения и резервных источников питания.

– Системы климат-контроля и противопожарной защиты.

– Регулярное техобслуживание инженерных систем.

Информационная защита:

– Шифрование данных при передаче и хранении.

– Регулярное обновление ПО.

– Разделение сети на зоны с различными уровнями доступа и защиты.

Серверный сегмент

Защита серверов:

– Использование антивирусного ПО и межсетевых экранов.

– Регулярное обновление и патчинг операционных систем и серверного ПО.

– Настройка систем логирования и мониторинга для отслеживания активности на серверах.

– Осуществление резервного копирования данных и их регулярная проверка.

Защита коммуникаций:

– Шифрование каналов связи (VPN, TLS).

– Настройка систем обнаружения и предотвращения вторжений (IDS/IPS).

– Сегментирование сети и использование VLAN для разграничения доступа.

Управление доступом:

– Реализация политики минимально необходимого доступа (least privilege).

– Использование многофакторной аутентификации (MFA).

– Регулярный пересмотр и обновление прав доступа.

Пользовательский сегмент

Физическая безопасность автоматизированных рабочих мест (АРМ):

– Обеспечение контроля доступа в помещения с АРМ 

– Использование замков, сейфов или других средств для защиты оборудования.

Защита операционных систем и приложений:

– Установка антивирусного ПО и регулярное обновление сигнатур.

– Настройка системного журнала и мониторинг активности на АРМ.

– Регулярное обновление операционных систем и прикладного ПО.

– Использование шифрования данных на дисках и в передаче (например, через VPN).

Управление доступом пользователей:

– Использование политик сложных паролей и их регулярная смена.

– Внедрение процедур регистрации и удаления пользователей.

– Ограничение привилегий пользователей и контроль за использованием учетных записей.

Организационные меры

В первую очередь при проверках регуляторы выясняют, соблюдаются ли семь принципов взаимодействия с персональными данными. Итак, все они напрямую или косвенно связаны с целями их обработки:

  • Данные нужно обрабатывать для достижения конкретной цели. Таким образом, прежде чем начать сбор данных, оператор должен определить, зачем ему ПДн и внести их в согласие на обработку.
  • Данные, которые собирают для различных целей, нельзя хранить и обрабатывать в одной базе, смешивать между собой.
  • Обработка должна быть законной и справедливой.
  • Обрабатывать только те данные, которые соответствуют целям.
  • Количество собираемых данных также должно соответствовать целям.
  • Срок хранения ПДн ограничен целями — после их достижения данные нужно удалить.
  • Точность, достаточность и актуальность ПДн.

Также к организационным мерам относится:

  • Подготовка документации.
  • Обучение и осведомленность пользователей:
  • Проведение регулярных тренингов и обучения по вопросам информационной безопасности.
  • Разработка и внедрение политик безопасности, инструкций и регламентов.
  • Пропаганда культуры безопасности данных и ответственности за защиту персональных данных.
  • Регулярное проведение анализа рисков и уязвимостей, связанных с обработкой и защитой ПДн.
  • Разработка и реализация планов мероприятий по снижению рисков и устранению уязвимостей.
  • Создание и внедрение процедуры управления инцидентами информационной безопасности, включая выявление, регистрацию, расследование и разрешение инцидентов, связанных с защитой ПДн.
  • Проведение регулярных проверок и аудитов на соответствие требованиям ФЗ-152 и внутренним политиками организации.
  • Документирование всех процессов, связанных с защитой ПДн.
  • Формирование процедур для обработки запросов субъектов ПДн о предоставлении доступа к их данным, исправлении, удалении и ограничении обработки данных.
  • Информирование субъектов ПДн о фактах утечки или нарушения безопасности их данных в установленные законом сроки.

Персональные данные в облаке: правила

Регуляторы не запрещают оператору персональных данных пользоваться инфраструктурой поставщиков услуг для хранения ПДн. Это снимает с субъекта ПДн ряд проблем, так как провайдер берёт на себя защиту ЦОДа и серверного сегментов сертифицированными ФСТЭК средствами защиты информации.

При этом ответственность за несоблюдение требований по-прежнему остаётся на операторе ПДн, поэтому к выбору поставщика важно отнестись крайне внимательно. Итак:

  1. Серверы провайдера должны находиться на территории РФ.
  2. Провайдер должен пройти аттестацию на соответствие требованиям защиты информации.
  3. Провайдер должен иметь возможность предоставить необходимый уровень защищённости.

Например, наше решение SafeCloud 152-ФЗ соответствует всем перечисленным требованиям и подходит для информационных систем ИСПДн, требующих четвёртого, третьего и второго уровня защищенности, включая:

  • размещение медицинской тайны. Так, например, поступила сеть клиник «Добрый доктор»;
  • специальных категорий;
  • данных несовершеннолетних; 
  • биометрических данных; 
  • государственных информационных систем 1 и 2 класса.

Размещение в SafeCloud 152-ФЗ может проходить по трём сценариям, вплоть реализации «под ключ» — от инфраструктуры до документации.

Заполните форму — и наши специалисты по информационной безопасности проведут бесплатный аудит вашего сайта на соответствие требованиям регуляторов и ответят на все вопросы по ФЗ-152.