Хранением и обработкой персональных данных занимаются практически все организации. Однако это сложный процесс и самостоятельно обеспечить соблюдение всех требований законодательства не всегда возможно. В статье рассмотрим, как следует хранить персональную информацию в защищённом облаке, а также требования, которые предъявляются к процессу миграции данных.
Что означает ФЗ-152
152-й Федеральный закон регламентирует взаимодействие с персональными данными (ПДн). Сюда включена вся информация, которая прямо или косвенно касается какого-либо физического лица. Это физическое лицо называется субъектом персональных данных.
К персональным данным относятся ФИО, номер телефона, e-mail, адрес, фотоснимок и многое другое. Т.е. все те данные, по которым можно опознать конкретного человека.
Все действия, которые выполняются над персональными данными (сюда входят сбор, запись, хранение, использование, удаление), считаются обработкой персональных данных. Тот, кто выполняет обработку персональных данных, называется оператором персональных данных. Это может быть как гос.орган или юридическое лицо, так и физлицо.
ФЗ-152 служит для защиты личной информации от неразрешённого доступа, нелегального хранения и использования. Оператор персональных данных должен обеспечить соблюдение требований закона, в противном случае будут накладываться штрафы. Все манипуляции с личной информацией должны производиться только в том случае, если на это дано разрешение субъекта ПДн.
Операторами являются практически все организации. Если в компании есть трудоустроенные сотрудники, вся информация о них – ПДн. Если у бизнеса есть сайт с формой обратной связи – он тоже собирает ПДн. Поэтому проблема соблюдения ФЗ-152 настолько актуальна.
Самостоятельно обеспечить соблюдение требований ФЗ-152 для инфраструктуры проблематично, потому для многих компаний проще воспользоваться готовым решением. Таким решением является «Облако ФЗ-152». Воспользовавшись услугой, компании снимают с себя львиную долю ответственности, провайдер берёт на себя соблюдение всех законодательных требований.
Чем облако 152-ФЗ отличается от обычного облачного сервиса?
Облако ФЗ-152 – это полностью готовое решение, защищённая аттестованная инфраструктура, которую можно взять в аренду. Она оснащена сертифицированными средствами защиты, имеет всю необходимую документацию и соответствует всем требованиям закона ФЗ-152.
Требования к облаку ФЗ-152:
-
ПДн должны храниться в изолированном облаке, которое защищено сертифицированными средствами защиты информации.
-
Под защитой должна находиться не только СХД, но и вся архитектура, в которую входят гипервизор, платформу виртуализации, систему управления.
-
Физически данные также должны быть защищены в соответствии с требованиями Роскомнадзора, ФСТЭК и ФСБ. Оборудование должно располагаться в ЦОДах уровня защищённости Tier-3.
-
Физически сервера с данными должны располагаться на территории Российской Федерации.
Провайдер облачных услуг обязан иметь лицензии ФСБ и ФСТЭК, а также Минкомсвязи, если он дополнительно оказывает услуги передачи данных.
Особенности миграции ПДн
Требования к самому облаку понятны. Но для того, чтобы безопасно и в соответствии с законом ФЗ-152 перенести данные в облако, также должен соблюдаться ряд требований:
-
Защищённый канал связи ГОСТ VPN. Средства, которыми делается защищённый канал должны быть сертифицированы ФСБ.
-
Облако, в которое происходит миграция, должно иметь сертификат соответствия уровнем не ниже, чем информационная система заказчика.
-
Если в системе обрабатываются ПДн, необходимо поручительство на хранение персональных данных облачного провайдера.
Благодаря облачным провайдерам и возможности хостинга 152 ФЗ в защищённой инфраструктуре, компании могут не погружаться в тонкости законодательства. Решение простое, безопасное и подойдёт для большинства организаций.
