Среди услуг облачных провайдеров есть Облако ФЗ-152. Его идея в том, чтобы обеспечить бизнесу безопасное частное облако, которое отвечает требованиям Федерального закона № 152 "О персональных данных". В нём можно безопасно хранить личные данные клиентов или работников компании. В статье рассмотрим, о чём говорит закон по защите персональной информации, почему необходимо тщательно соблюдать его требования и как в этом помогает облако ФЗ-152.
О федеральном законе ФЗ-152
Федеральный закон № 152-ФЗ "О персональных данных" относится ко всем видам деятельности, так или иначе связанным со сбором. обработкой и различным использованием информации о физических лицах. Сюда входят Фамилия, Имя, Отчество, адрес проживания, номер телефона, фотопортрет и др. Закон одинаково актуален как для органов власти, так и для юридических и физических лиц (не считая личных и семейных потребностей).
Из этого следует, что закон ФЗ-152 охватывает большинство организаций, которые хранят сведения о клиентах, а также сайты, собирающие данные пользователей, которые на них заходят. По закону, сбор и обработка ПДн возможны только после получения согласия субъекта.
Выделяют четыре категории ПДн:
- Общедоступные - это информация, которая была опубликована самим человеком или с его согласия. Например, список участников соревнований и их возраст, который организаторы размещают на своем сайте или в социальных сетях.
- Биометрические - это информация о биологических и физиологических характеристиках человека. Это включает голосовой слепок, скан радужной оболочки глаза, фотографии и отпечатки пальцев, которые используются для биометрической идентификации.
- Специальные - это информация о расовой принадлежности, национальности, политических и религиозных взглядах, уголовных судимостях, а также состоянии здоровья человека.
- Иные - это все остальные сведения, которые не входят в первые три категории. К таким данным относятся, например, адрес электронной почты, стаж работы, даты отпуска, текущее местоположение и т.д.
Требования к компаниям-операторам
Закон ФЗ-152 включает пункт 2 статьи 3, где определяется, кто будет считаться операторам персональных данных. Это государственный или муниципальный орган, юридическое или физическое лицо, которые самостоятельно или вместе с прочими лицами организуют и выполняют обработку ПДн, а также решают, каковы цели их обработки, какие именно данные подлежат обработке, какие действия должны быть осуществлены.
На деле, операторами является большинство компаний, так как у них хранятся сведения о сотрудниках и клиентах. Даже обычный сайт с регистрацией пользователей делает его владельца оператором ПДн.
К хранению персональных данных предъявляется множество строгих требований по ФЗ-152. Вот основные из них:
- Количество сведений должно быть достаточным для выполнения обработки.
- Объема информации должно хватать для идентификации субъекта.
- Если данных не хватает или они содержат ошибки, их необходимо уточнить или удалить.
- Нельзя объединять базы с личной информацией, которая собиралась для различных целей.
- После обработки ПДн необходимо уничтожить, либо обезличить.
- При передаче данных за границу важно убедиться в наличии необходимой системы защиты и согласии субъекта на эту процедуру.
По закону ФЗ-152 оператор считается ответственным за всё, что происходит с личными сведениями, включая передачу их другим лицам или утечки. Поэтому хранение персональной информации допустимо только на защищенных серверах. По уровню защиты серверы делятся на четыре категории: УЗ-1 (самый высокий уровень), УЗ-2, УЗ-3 и УЗ-4 (наименее строгий уровень).
УЗ-1 – это наивысший уровень, предназначенный для особых данных, использование которых вредит личности и может причинить серьезный вред. Это может быть информация о расовой и национальной принадлежности, политических и религиозных взглядах, а также сведения о состоянии здоровья и другие подобные сведения.
УЗ-2 – этот уровень необходим для хранения биометрических данных. Чтобы обеспечить такую защиту, требуется регулярное резервное копирование и системы защиты от взлома.
УЗ-3 – нужен для хранения всех остальных данных. В этом случае, достаточно ограничить доступ к месту хранения.
УЗ-4 – это самый слабый уровень. На серверах с этим уровнем можно хранить общедоступные сведения, и для их безопасности достаточно простого антивируса. Однако все сервера, вне зависимости от уровня защиты, должны соответствовать ряду обязательных требований:
- Сервера должны быть установлены в защищенных помещениях.
- Не должно быть возможности прямого подключения к серверам.
- Доступ к данным должен предоставляться только уполномоченным лицам.
- На серверах должны применяться сертифицированные средства защиты от угроз.
Чем грозит невыполнение закона
Несоблюдение закона ФЗ-152 может повлечь административную, уголовную или гражданско-правовую ответственность. Поскольку практически все компании собирают какие-либо данные, вопрос соблюдения этого закона касается всех.
Так, например, обработка ПДн без согласия субъекта в письменной форме может повлечь штраф для юрлиц до 150 000 рублей и до 500 000 за повторное нарушение. А обработка данных без применения средств автоматизации и выполнения условий, гарантирующих сохранность данных грозит штрафом до 100 000 для юрлиц.
Для некоторых уровней защиты, таких как УЗ-3 и УЗ-4, создать безопасные условия на собственных физических серверах может быть сложно. Это потребует значительного времени и денег. Чтобы обеспечить соблюдение закона, а также гарантировать безопасность, многие компании предпочитают использовать облачные услуги вместо физических серверов, что сэкономит время и ресурсы на обеспечение соответствия закону ФЗ-152.
Что такое облако ФЗ
Добиться полного соответствия закону о защите ПДн в собственной локальной инфраструктуре очень сложно. Требуется специализированное оборудование, а также глубокая экспертиза сотрудников, занимающихся настройкой и обслуживанием. Учитывая, что несоблюдение требований грозит штрафами, надёжнее доверить данные облачному провайдеру, предлагающему соответствующие услуги.
Облако ФЗ-152 представляет собой готовое решение, состоящее из защищенной облачной инфраструктуры. Клиент может взять ресурсы в аренду и разместить в них базы. Сервис предоставляется в формате IaaS (инфраструктура как сервис), в него входит полноценный комплект сертифицированных средств защиты, вся необходимая документация.
Компания получает возможность использовать виртуальную IT-инфраструктуру, которая отвечает всем требованиям законодательства РФ, касающегося охраны информации. В первую очередь, относящегося к размещению информационных систем, содержащих персональные данные.
ПДн размещаются в изолированном облаке, которое оснащается сертифицированными средствами защиты информации. Вся архитектура виртуализации, включая гипервизор, платформу виртуализации, аппаратную платформу, СХД, также находится под защитой. Регулярно выполняется резервное копирование.
Сервис обеспечивает комплекс мер, гарантирующих физическую и информационную безопасность данных. Каждая информационная система с персональными данными клиента размещается в защищенной и изолированной виртуальной среде. Таким образом хранение личной информации соответствует требованиям Роскомнадзора, ФСТЭК, ФСБ.
Для доступа к защищённому облаку применяются сертифицированные средства защиты.
Все вычислительные мощности, которые предоставляются клиенту под хранение ПДн, можно легко масштабировать в случае роста потребностей компании. Можно получить дополнительные облачные ресурсы под разработку и тестирование.
Различные облачные провайдеры предлагают услугу облака ФЗ-152, но уровни защищённости могут отличаться. Для хранения общедоступных ПДн сложностей с выбором облака не возникнет, а если требуется высший уровень, то такой смогут предложить далеко не все.
Преимущества облака ФЗ-152
Теперь разберём, почему же удобнее и надёжнее воспользоваться облачными услугами вместо того, чтобы организовывать хранение данных у себя в локальной инфраструктуре.
1. Освобождение от юридической ответственности в соответствии с законом 152-ФЗ. В случае самостоятельного хранения, вы на 100% отвечаете перед законом.
2. Не требуется закупка специализированного оборудования, лицензий профессиональных средств защиты. Вы используете оборудование и ПО от облачного провайдера.
3. Необходимую аттестацию выполняет провайдер.
4. Не требуется держать в штате своего специалиста по информационной безопасности. Вас полностью консультируют квалифицированные сотрудники провайдера.
5. Не нужно разбираться в хитросплетениях законодательства.
6. Не требуется готовить аудиторскую и отчётную документацию в исполнительные органы. Этим занимаются специалисты облака.
Облако ФЗ-152 от Cloud4Y
Облачный провайдер Cloud4Y предлагает услугу защищённого облака ФЗ-152. Мы предлагаем проведение аудита инфраструктуры, определение уровня защищённости персональных данных и требований к защите.
Наши специалисты могут разработать модель угроз в соответствии с методиками ФСБ, спроектировать архитектуру системы защиты ПДн, разработать документацию, внедрить средства информационной безопасности, разработать программу и методологию оценки эффективности мер информационной безопасности в соответствии с 21 приказом ФСТЭК России.
Преимущества хранения данных в облаке Cloud4Y:
- Есть аттестаты УЗ1-4, 1К, 1Г
- Наши средства защиты информации (СЗИ) лицензированы ФСБ и ФСТЭк
- Есть все необходимые сертификаты на защитные элементы облака
- Настроена защита от несанкционированного доступа
- Доступна работа с базами данных SQL, 1C
- Почасовой биллинг и постоплата, вы платите только за потреблённые ресурсы.