Вопросы защиты персональных данных в облаке 152-ФЗ

Чем облако 152-ФЗ отличается от обычных облачных сервисов, где проходят границы зон ответственности провайдер-клиент и правда ли, чем защищеннее, тем лучше? Отвечаем на самые популярные вопросы об облаке 152-ФЗ.

Облако 152-ФЗ: вопросы защиты персональных данных

По закону 152-ФЗ «О персональных данных» любая организация, обрабатывающая персональные данные (ПДн) клиентов и сотрудников, считается оператором ПДн. И не важно, что это за организация. Интернет-магазин, собирающий имена, e-mail и адреса покупателей. Образовательный сервис, хранящий ФИО, телефоны, адреса студентов и выпускников. Или кредитно-финансовая организация, оперирующая биометрическими данными.

Федеральный закон 152-ФЗ накладывает на всех операторов ПДн ряд формальных и процедурных требований к информационной безопасности. Организация может реализовать их самостоятельно, на собственных программно-аппаратных решениях. Например, вынести оборудование в серверную, подключить программно-аппаратные средства защиты, развернуть системы хранения, резервирования и пр. Или закрыть 90% потребностей в защите ПДн облаком 152-ФЗ. Рассказываем, как защита ПДн в облаке реализуется на практике и попутно отвечаем на самые острые вопросы облачной безопасности по закону 152-ФЗ.

Чем облако 152-ФЗ отличается от обычного облачного сервиса?

Для облака 152-ФЗ провайдер использует выделенное физическое оборудование, а сетевые сегменты изолируются от сетей остальных клиентов. Дополнительно облако 152-ФЗ защищается рядом технических мер и сертифицированных ФСТЭК решений. Например, у нас в Nubes инфраструктура IaaS 152-ФЗ защищена на шести уровнях:

1. Физический доступ, то есть доступ к оборудованию, на котором разворачивается облако.
2. Техническая сеть, в том числе средства для контроля связи с провайдерами и Интернетом.
3. Подсистемы, например среды виртуализации и служебных систем.
4. Доступы сотрудников, администрирующих облако.
5. Рабочие терминалы администраторов облака.
6. Логирование, обновление, анализ и ликвидация уязвимостей на уровне облака.

В обычном облаке могут использоваться пуcть и надежные, но не сертифицированные ФСТЭК СЗИ, а сетевые сегменты не отделяются от сетей других пользователей.

Где зона ответственности провайдера переходит в зону ответственности клиента?

Зоны ответственности провайдера заканчиваются там, где виртуальные мощности облака задействуются под создание виртуальных машин и запуск ПО пользователя. Таким образом, на стороне пользователя остается безопасность ПДн на уровне «выше IaaS»: доступ к интернету, антивирусная защита и устранение уязвимостей развернутых виртуальных машин, контроль доступа к рабочим терминалам, операционной системе и ПО, актуализация и логирование приложений, контроль действий пользователей.

В некоторых случаях зоны ответственности клиента и провайдера пересекаются. Например, в вопросе резервного копирования. У провайдера IaaS 152-ФЗ есть возможность выполнять резервное копирование и провайдер готов это делать, но за клиентом остается выбор данных для копирования, периодичность, время хранения бэкапов. Если клиент не определится, что, когда копировать и сколько хранить, процесс останется в зоне безответственности.

Минимизировать пограничные вопросы помогает четкое описание процедур. То есть клиент, передавая провайдеру ответственность за управление тем или иным процессом, должен точно определить зоны действия и меры контроля, детально описать параметры правильного состояния и пр. Чтобы провайдер знал, что контролировать, с какой точностью и периодичностью, на какой результат ориентироваться.

Облако 152-ФЗ подходит для хранения любых персональных данных?

Постановление Правительства РФ N 1119 выделяет четыре типа персональных данных и четыре уровня защищенности.

В публичном облаке, аттестованном на соответствие требованиям Федерального закона №152-ФЗ, разрешается хранить ПДн с третьим и четвертым уровнями защищенности. Это все ПДн с третьим типом актуальных угроз, а также общедоступные и иные ПДн со вторым типом актуальных угроз, за исключением организаций с количеством субъектов более 100 000. Большинство коммерческих торговых и производственных компаний работают именно с такими данными и им вполне достаточно возможностей защищенного облака 152-ФЗ. Если дополнить ИТ-систему вспомогательными средствами защиты, например ГОСТ VPN, в публичном облаке можно хранить и ПДн с УЗ-2.

Что касается ГИС, то по требованиям Приказа ФСТЭК России от 11.02.2013 №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» защиты облака 152-ФЗ достаточно для региональных и объектовых государственных информационных систем третьего класса.

Специальный, усиленный уровень безопасности требуется, когда бизнес или государственная организация:

• оперируют всеми типами ПДн при первом уровне угроз,
• обрабатывают специальные, биометрические ПДн при втором уровне,
• используют общедоступные или иные ПДн при втором уровне угроз и объеме более 100 000 субъектов.

Этот уровень обеспечивает частное облако или облако на изолированном выделенном гипервизоре. Оно проходит аттестацию ИСПДн на уровень защищенности УЗ-1, а клиенты сервиса могут реализовать требования приказа ФСТЭК №17 и провести аттестацию собственных информационных систем.

Чем облако защищеннее, тем лучше?

Чем больше мер по защите информации реализует провайдер, тем дороже услуги по защите информации в рамках 152-ФЗ. Если перестраховаться, завысить класс ГИС или УЗ персональных данных, придется создавать более дорогую в реализации и обслуживании систему. Более того, завысив уровень защищенности и пройдя аттестацию, которая не является обязательной для большинства коммерческих компаний, аттестованное облако нельзя будет изменить. При любой модернизации системы аттестат придется получать заново, а это сводит на нет практически все преимущества гибкости и масштабируемости облака. Вот почему мы рекомендуем точно определять требуемый уровень защищенности (класс ГИС) и выбирать защищенное облако с соответствующим уровнем защиты.

Напишите или позвоните нам: можем помочь и с анализом, и с выбором. Сертифицированные специалисты в области ИБ оценят ИСПДн и ГИС, предложат разные варианты защиты, комплекс мер безопасности в рамках облака 152-ФЗ и дополнительно к нему.