В российском законодательстве предусмотрены требования, предъявляемые к обработке и хранению персональных данных (ПНд). Они распространяются и на те данные, которые хранятся в облаке.
Облачные технологии, используемые для хранения баз данных, могут использовать любые сервера. Главным условием является обеспечение безопасности информации, которая должна фиксироваться и храниться только на территории Российской Федерации.
При передаче ПНд на обработку техническая защита данных должна соответствовать закону «Об информационных технологиях и защите информации».
Оператор, отвечающий за обработку, обязан:
- предотвращать несанкционированный доступ;
- своевременно обнаруживать его;
- предупреждать о возможных последствиях при нарушении порядка доступа;
- не допускать воздействий, способных нарушить функционирование средств обработки;
- незамедлительно восстанавливать утраченную информацию;
- постоянно контролировать уровень защиты ПНд.
Важнейший элемент аутсорсинга обработки данных по закону «О персональных данных» - наличие согласия субъекта ПНд и договор с ним, регламентирующий цели обработки, перечень допустимых действий, обязанности оператора по обеспечению конфиденциальности.
Оператор ПНд, переносящий информацию в облако, должен:
- определить тип возможных угроз и требуемый уровень защиты;
- определить меры безопасности;
- выстроить модель угроз для своего сегмента;
- реализовать систему защиты.
Провайдер, предоставляющий облачные услуги, обязан:
- иметь лицензию ФСБ/ФСТЭК;
- определять тип возможных угроз и максимум защиты облака;
- реализовать защиту;
- дать возможность оператору использовать дополнительные средства для обеспечения безопасности;
- помогать реализовать защитные меры на стороне клиента.
Облачные технологии имеют ряд преимуществ при выстраивании системы безопасности:
- нет необходимости строить дорогую вычислительную инфраструктуру и обеспечивать ее функционирование;
- мобильность доступа;
- небольшая совокупная стоимость владения;
- в штат не требуются дорогостоящие специалисты;
- развертывание требуемых мощностей без обращения к провайдеру;
- уменьшение расходов на инфраструктуру;
- быстрота и легкость восстановления информации при ЧП.
Выбирая провайдера, оказывающего услуги в рамках Федерального закона № 152-ФЗ, необходимо удостовериться в его надежности. Самый простой способ – увидеть подтверждение декларируемого уровня защищенности (документ о внешнем аудите, аттестат облака, предъявление описания моделей угроз и способов их нейтрализации).
Поставщик обязан предоставлять клиенту в качестве дополнительной или основной услуги крипто-шлюз, имеющий сертификацию. По результатам договора с провайдером клиент должен получить договор, где указаны требуемые уровень защищенности и меры безопасности.
Подробнее: https://integrus.ru/blog/it-decisions/zony-otvetstvennosti-zakazchika-oblachnogo-provajdera.html
