Хабрахабр

Защищённое облако на платформе DF Cloud 

ФЗ-152 «О защите персональных данных» распространяется на всех существующих субъектов: физических и юридических лиц, федеральные органы государственной власти и местного самоуправления. Фактически, этот закон распространяется на любые организации, обрабатывающие информацию и личные данные граждан РФ, независимо от формы собственности и размера организации.

Например, компания считается оператором персональных данных, если на ее сайте есть формы обратной связи, регистрации\авторизации и прочие формы сбора данных, по которым можно идентифицировать субъекта. Порой организация достаточно неожиданно для себя может обнаружить изначально неявные информационные системы персональных данных (ПДн).


Контроль и надзор в отношении соблюдения требований федерального закона «О персональных данных» осуществляют регуляторы:

  • Роскомнадзор в части защиты прав субъектов персональных данных;
  • ФСБ России в части выполнения требований в области криптографии;
  • ФСТЭК России в части соблюдения требований по защите информации от несанкционированного доступа и утечки по техническим каналам.

Так как ФЗ «О персональных данных» является лишь основой правового обеспечения защиты ПДн, его требования в дальнейшем были конкретизированы в актах Правительства РФ и Министерства связи, и иных нормативно-методических документах регуляторов.
Каждая организация, обрабатывающая персональные данные, сталкивается с проблемой приведения своих информационных систем в соответствие с требованиями законодательства. Защита персональных данных — один из самых актуальных вопросов, причем не только в России, но и в других странах. 

Виды персональных данных

Согласно ФЗ-152, персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). К примеру: ФИО, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование и т.д.

Персональные данные разделяют на несколько категорий:

Обработка персональных данных — это любое действие (операция) или совокупность действий с персональными данными с использованием средств автоматизации или без них, включая:

  • сбор,
  • запись,
  • систематизацию,
  • накопление,
  • хранение,
  • уточнение (обновление, изменение),
  • извлечение,
  • использование,
  • передачу (распространение, предоставление, доступ),
  • обезличивание,
  • блокирование,
  • удаление,
  • уничтожение персональных данных.

Ответственность за нарушения

Согласно статье 24 ФЗ-152, лица несут ответственность за нарушение закона в соответствии с законодательством Российской Федерации.

Проверка может быть как плановой, так и внеплановой — по фактам нарушений, а также для контроля ранее выданного предписания об их устранении. Проверяя компанию, регуляторы руководствуется ФЗ-152 и рядом подзаконных актов.

Лицам, нарушившим требования по защите ПДн может грозить не только гражданско-правовая и дисциплинарная, но также административная и даже уголовная ответственность.
 

Как соответствовать требованиям ФЗ-152?

Итак, компания или организация, обрабатывающая персональные данные или другую информацию ограниченного доступа, должна защищать эту информацию в соответствии с законодательством. Это не только требует серьезной экспертизы, знаний и опыта, но и сопряжено с техническими сложностями и немалыми затратами.

Согласно официальному определению, утвержденному ФСТЭК, «… Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных...»

Чтобы выполнить организационные, правовые и технические требования ФЗ-152, самостоятельно, нужно изучить не только сам закон, но и его подзаконные акты, разобраться в том, какие именно меры необходимо предпринять. Специалисты на аутсорсинге могут изучить процессы обработки персональных данных в компании, составить необходимые документы, внедрить средства защиты и т. д.

Комплексная система защиты информации включает в себя:

  • Средства предотвращения вторжений (IDS).
  • Межсетевое экранирование (FW).
  • Защиту от вредоносного ПО.
  • Систему мониторинга и регистрации событий безопасности.
  • Систему криптографической защиты каналов связи (шифрование).
  • Средства защиты виртуальной среды, систему защиты от несанкционированного доступа (НСД), идентификации и управления доступом.
  • Систему анализа защищенности/выявления уязвимостей и др.

Кроме того, комплексная информационная безопасность предполагает не только технические, но и организационные меры.

Облако ФЗ-152: особенности реализации

Ряд российских провайдеров оказывает услуги по предоставлению облачной инфраструктуры для размещения информационных систем в соответствии с требованиями федерального законодательства в части ПДн. При размещении систем клиента в облаке провайдер берет на себя решение многих вопросов ИБ, в том числе и касающихся защиты персональных данных. При миграции в облако он обеспечит защиту инфраструктуры ИТ, и это снимет часть обязанностей с клиента. Например, провайдер выполняет требования ФЗ-152, касающиеся защиты среды виртуализации.

Провайдеры также могут оказывать заказчикам экспертную поддержку в решении задачи защиты данных: определять требуемый уровень защищенности и в соответствии с этим предлагать вариант реализации; разрабатывать документацию для выполнения требований законодательства РФ.

Как правило, квалифицированные эксперты обеспечивают комплексное техническое сопровождение и поддержку, включая консалтинг и разработку пакета документов для аттестации в регулирующих органах, а платформа для оказания услуг соответствует строгим техническим стандартам и удовлетворяет необходимые организационные требования. Защищенное облако поможет оптимизировать затраты организации, сократив издержки на создание и обслуживание ИТ-инфраструктуры и внутренней системы защиты информации. Клиенты могут воспользоваться услугами по подготовке необходимой документации и защите ИСПДн на уровне приложений и операционной системы.

Квалифицированные специалисты обеспечивают круглосуточное сопровождение ИТ-инфраструктуры. Также предусмотрены процессы управления рисками и уязвимостями, расследование инцидентов, внутренние и внешние аудиты безопасности, а также регулярный мониторинг и тестирование сети, систем и процессов ИБ.

В совокупности эти меры обеспечивают соблюдение федерального законодательства в части защиты персональных данных.

Сертифицированная платформа

IBS DataFort предоставляет такой сервис на базе сертифицированной платформы DF Cloud. Вся техническая часть, администрирование и средства виртуализации данной платформы соответствуют нормам и требованиям ФЗ-152.

Архитектура защищенного облака IBS DataFort.

На платформе применяются сертифицированные межсетевые экраны, средства обнаружения и предотвращения вторжений (IDS/IPS), шифрование каналов связи (ГОСТ VPN), антивирусная защита, средства защиты от несанкционированного доступа, защита среды виртуализации, а также средства сканирования уязвимостей. Платформа обеспечивает гарантированную защиту ИСПДн (до 1-го уровня защищенности включительно), ГИС (до 1-го класса защищенности включительно) и безопасное хранение данных в ЦОД Tier III.

Облако ФЗ-152 — также подходящее решение для тех, кто предъявляет высокие требования к конфиденциальности и защите данных, хочет укрепить свою деловую репутацию или получить такое конкурентное преимущество как подтвержденный высокий уровень информационной безопасности.

Возможна ли «бесшовная миграция»? Как же «переехать» в такое облако? Например, IBS DataFort осуществляет безопасный перенос ИСПДн в свое защищенное облако, минимизируя простои и влияние на бизнес-процессы компании (в том числе, с зарубежных площадок). Вполне.

Приведение ИТ-инфраструктуры в соответствие с ФЗ-152

Процесс приведения ИТ-инфраструктуры клиента в соответствие с требованиями ФЗ-152 начинается с аудита и оценки текущего уровня защищенности.

Составляется отчет об обследовании с подробным описанием процессов обработки ПДн с технической точки зрения. Аудит ИТ-инфраструктуры клиента включает обследование процессов обработки и защиты ПДн и обследование ИСПДн заказчика.

По результатам аудита составляется частное ТЗ на систему защиты ИСПДн и определяющее требования к проектируемой системе. Работы предусматривают также моделирование угроз и нарушителей и составление акта определения уровня защищенности для ИСПДн.

При этом специалисты стараются оптимизировать затраты заказчика на внедрения средств защиты. Разрабатывается набор политик, инструкций, регламентов и прочих документов по защите ПДн.

IBS DataFort оказывает услуги по подготовке документации и защите ИСПДн для соблюдения федерального законодательства по защите персональных данных и может помочь в подготовке и прохождении аттестации (ИСПДн, ГИС, АС).

Прохождение такой аттестации подтверждает надежную защиту персональных данных партнеров и клиентов компании от внешних угроз, комплексное соответствие требованиям регуляторов. Аттестация проводится независимыми аудиторами, обладающими лицензиями ФСТЭК и ФСБ России. Важно, что клиенты получают удобство «одного окна»: все обеспечивает одна компания — IBS DataFort.

Для оператора персональных данных это означает готовность к проверкам Роскомнадзора, ФСТЭК и ФСБ, исключение рисков блокировки ресурсов, отсутствие претензий и санкций регулятора.

Размещение ИС в закрытом сегменте инфраструктуры провайдера, аттестованном по всем необходимым стандартам и требованиям, избавляет заказчика от необходимости самостоятельной организации всех работ. Такая услуга актуальна для многих категорий заказчиков государственного и корпоративного сегмента и может быть востребована операторами персональных данных, которые хотят привести свою деятельность в соответствие с законодательством.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть