Найти в Дзене
Yandex.Cloud
2384 подписчика

Где хранить персональные данные клиентов, не нарушая закон

1183
3 мин
Три варианта размещения и хранения: собственный сервер, облако или облако, аттестованное по закону ФЗ-152. Согласно закону хранить персональные данные можно не только на собственном сервере, но и в арендованном облачном хранилище. Можно пользоваться облаками иностранных провайдеров и даже хранить данные в облаках, которые не аттестованы по ФЗ-152. Есть только одно существенное ограничение — облако должно находиться на территории России. Рассмотрим варианты хранения персональных данных: Хранение данных на своем сервере Федеральный закон “О персональных данных” (ФЗ-152) ввел понятие «информационная система персональных данных». Она состоит из следующих компонентов: Когда организация хранит персональные данные на своем сервере, она самостоятельно определяет уровень угроз. Затем разрабатывает и внедряет средства защиты баз данных, серверов и компьютеров. При наивысших уровнях защиты УЗ-1 и УЗ-2 организация должна выполнить следующие действия. Установить серверы в защищенном месте, ограничи
Оглавление

Три варианта размещения и хранения: собственный сервер, облако или облако, аттестованное по закону ФЗ-152.

Согласно закону хранить персональные данные можно не только на собственном сервере, но и в арендованном облачном хранилище. Можно пользоваться облаками иностранных провайдеров и даже хранить данные в облаках, которые не аттестованы по ФЗ-152. Есть только одно существенное ограничение — облако должно находиться на территории России.

Рассмотрим варианты хранения персональных данных:

  • на собственном сервере,
  • в облаке,
  • в облаке, аттестованном по ФЗ-152.

Хранение данных на своем сервере

Федеральный закон “О персональных данных” (ФЗ-152) ввел понятие «информационная система персональных данных». Она состоит из следующих компонентов:

  1. персональные данные,
  2. базы данных, в которые собраны персональные данные,
  3. серверы, на которых хранятся базы данных,
  4. софт, который обрабатывает персональные данные, например, CRM.
  5. компьютеры
  6. ПО для защиты персональных данных — антивирусы, криптозащита, межсетевые экраны и прочее.

Когда организация хранит персональные данные на своем сервере, она самостоятельно определяет уровень угроз. Затем разрабатывает и внедряет средства защиты баз данных, серверов и компьютеров.

При наивысших уровнях защиты УЗ-1 и УЗ-2 организация должна выполнить следующие действия.

Установить серверы в защищенном месте, ограничить к ним доступ и установить запрет на подключение напрямую. Определить, какие сотрудники будут работать с персональными данными и только им настроить доступ. Установить ПО для защиты от угроз — межсетевые экраны и антивирусы, а также использовать в работе ПО, сертифицированное ФСТЭК. Также необходимо обеспечить резервное копирование данных. При самом высоком уровне угроз УЗ-1 — установить криптографическую защиту.

Полный список мер по обеспечению безопасности описан в 21 приказе ФСТЭК.

Хранение данных в облаке, не аттестованном по ФЗ-152

Закон разрешает хранить данные в таком облаке, главное, чтобы оно находилось в России. В этом варианте организация арендует у провайдера сервер или виртуальную машину. Меры защиты внедряет самостоятельно. Провайдер лишь предоставляет инфраструктуру. Взять на себя часть ответственности по соблюдению ФЗ-152 он не сможет, так как облако не аттестовано.

Если организация размещает данные в облаке, но не доверяет провайдеру, она может использовать криптографическую защиту. Зашифровать можно виртуальные машины и каналы передачи данных. Для этого нужны средства криптографической защиты с сертификатом ФСБ.

Хранение данных в облаке, аттестованном по ФЗ-152

В этом варианте задача хранения персональных данных упрощается. Облачный провайдер берет на себя защиту облачной инфраструктуры клиента согласно требованиям Роскомнадзора и ФСТЭК. Вдобавок он помогает организации внедрить меры защиты на клиентской стороне. Кроме того, облачный провайдер может предоставить возможность развернуть дополнительные средства безопасности по модели IaaS или PaaS.

Важный момент: при размещении персональных данных в сертифицированном облаке организация остается оператором персональных данных и продолжает нести ответственность согласно ФЗ-152. Облачный провайдер только хранит и уничтожает персональные данные, а также защищает инфраструктуру, которую сдает в аренду. То есть провайдер отвечает перед оператором, а оператор перед законом.

Провайдер получает сертификат на соответствие инфраструктуры ФЗ-152 двумя путями:

  1. Сертифицирует изолированный виртуальный сервер или отдельное облако на платформе.
  2. Сертифицирует всю облачную платформу со всеми сервисами на ней.

В первом случае организация помещает свои персональные данные в отдельное облако или виртуальный сервер.

Во втором случае абсолютно все данные, находящиеся на платформе, защищены согласно заявленному уровню защиты. Клиентам облака достаточно установить систему защиты на своей стороне — межсетевые экраны на границе локальной сети и антивирусы на виртуальные машины. Второй вариант наиболее удобен для крупных организаций. Он позволяет использовать все сервисы облачной платформы и сохранять наивысший уровень конфиденциальности — ведь провайдер даже не знает, какие данные размещены на платформе.

Пример. Платформа Yandex.Cloud аттестована согласно Ф-152 и имеет наивысший уровень защиты — УЗ-1.

Какое решение лучше

Выбор зависит от задач. Небольшой компании достаточно собственного сервера, который защищен согласно требованиям закона. Крупной организации лучше подойдет облачная платформа, где соответствие ФЗ-152— это лишь часть инфраструктуры со множеством сервисов.

Если статья оказалась полезной, ставьте 👍

Не забывайте подписываться на наши соцсети: Вконтакте, Facebook, Telegram, VC, YouTube.

Безопасность и правопорядок
95,2 тыс интересуются