Рассказываем, какие данные являются персональными, что такое ФЗ-152 и как облачная платформа Yandex.Cloud защищает данные клиентов.
Какие данные являются персональными
Когда пользователь регистрируется в личном кабинете любого сервиса или заполняет форму для получения рассылки, он оставляет свои данные: ФИО, электронную почту, номер телефона. Сами по себе эти сведения не являются персональными данными. Даже ФИО человека не позволяет идентифицировать его с гарантией 100%. Однако собранные вместе ФИО, номер телефона, электронный адрес и даже куки станут персональными данными. Обращение с ними регулирует закон ФЗ-152.
Персональные данные делятся на четыре категории:
- общедоступные — сведения, напечатанные в бумажных справочниках;
- специальные — информация о здоровье, судимостях и национальности;
- биометрические — отпечатки пальцев и фотографии;
- иные — электронная почта, геолокация и куки.
Если сайт собирает информацию о пользователях, то владелец сайта становится оператором персональных данных и должен выполнять требования ФЗ-152. Собирать данные можно только с разрешения владельца этих данных. На языке закона владелец данных называется субъектом персональных данных.
Согласно ФЗ-152, оператор персональных данных обязан:
- зарегистрироваться в Роскомнадзоре как оператор;
- получить от субъектов согласие на сбор и обработку их данных;
- сообщить, для какой цели собираются персональные данные, кто и как их будет обрабатывать;
- написать инструкцию, как субъекту отозвать согласие на обработку его данных.
Согласие на получение персональных данных оформляется чек-боксом — всплывающим окном на сайте. Без согласия на обработку собирать данные нельзя. Все манипуляции с полученными персональными данными считаются их обработкой. Это запись, копирование, изменение, анализ и удаление данных.
Приказ ФСТЭК России N 21 обязывает оператора персональных данных защищать их от попадания в третьи руки. В том же приказе определены четыре уровня защиты — УЗ-1, УЗ-2, УЗ-3 и УЗ-4. Они зависят от типа собираемых данных и уровня угроз. Например, самый слабый уровень защиты УЗ-4 защищает общедоступные данные и достигается установкой антивируса и своевременным обновлением системного ПО, а наивысший уровень УЗ-1 позволяет хранить любые данные, в том числе биометрические.
Штрафы за нарушение ФЗ-152 могут достигать нескольких миллионов рублей
Выполнение закона контролирует Роскомнадзор. Он проверяет сайты и штрафует нарушителей согласно статье 13.11 КоАП РФ. Роскомнадзор уже наработал опыт проверок и знает процессы обработки персональных данных по большинству видов деятельности. За обработку данных без разрешения накладывается штраф от 1 до 30 тысяч рублей. Штраф за повторные нарушения может составить 50 тысяч рублей. Максимально возможный штраф — 18 миллионов рублей за отказ размещать персональные данные в России.
При отказе соблюдать ФЗ-152 сайт может быть заблокирован. Именно это произошло, например, с социальной сетью LinkedIn в 2016 году.
Хранение данных в облаке автоматизирует выполнение требований закона
Закон позволяет хранить персональные данные в облаке. Главное условие — центр обработки данных должен находиться в России. Если выбирать между локальным и облачным размещением персональных данных, то облачное решение имеет ряд преимуществ:
- готовая инфраструктура по фиксированной стоимости;
- доступ к данным с любых устройств и из любой точки;
- удобное решение для удаленной работы;
- возможность расширения объема памяти;
- быстрое восстановление данных, если нарушена их целостность;
- минимальный риск утечки.
Нужно помнить, что большинство облачных провайдеров не берут на себя функцию обработки персональных данных по поручению оператора. В таком случае вся ответственность по соблюдению ФЗ-152 остается на операторе.
Защита данных по УЗ-1 во всех сервисах
Yandex.Cloud предоставляет услуги обработки персональных данных и несет ответственность перед оператором. Платформа подтвердила соответствие требованиям законодательства о персональных данных и приказу ФСТЭК России N 21 по самому высокому уровню защиты — УЗ-1 (первый уровень защищенности).
Сертификат распространяется на всю платформу в целом, а не на ее отдельные части. То есть не только персональные данные, а любая информация обрабатываемая в Yandex.Cloud, защищается на уровне УЗ-1.
Клиентам обычно достаточно установить межсетевой экран на границе виртуальной сети и антивирус на виртуальные машин. Готовые решения для таких задач — Check Point Firewall, Kaspersky Security, UserGate NGFW и другие можно в несколько кликов установить из Marketplace. Безопасность на уровне инфраструктуры обеспечивает Yandex.Cloud . С помощью своих партнеров провайдер помогает операторам разработать и задокументировать процессы по соблюдению ФЗ-152.
Преимущества облачного хранения данных с соблюдением требований федерального закона ФЗ-152 позволяют развернуть на платформе Yandex.Cloud проект любого масштаба, выполняя все задачи обеспечения информационной безопасности.
