Суббота , 24 июля 2021

Защита персональных данных в облаке: как соответствовать закону 152-ФЗ

Защита персональных данных в облаке

Использовать Dropbox, «Яндекс.Диск», Google Docs или облачные сервисы удобно и выгодно. Вот только, если дело касается обработки персональных данных, должно быть не только удобно-выгодно, но и законно. Мы попросили специалистов дата-центра GreenBushDC рассказать, как организовать процесс хранения и обработки персональных данных в облаке в соответствии со 152-ФЗ.

Как защищать персональные данные по закону

Чтобы разобраться с этим вопросом, вспомним о том, что относится к персональным данным и какими они бывают.

ФИО, дата и место рождения, фотография, отпечатки пальцев, сведения о доходе, номер телефона, e-mail, данные паспорта, СНИЛС или ИНН — все это персональные данные.

По сути, все компании так или иначе хранят и обрабатывают персональные данные, то есть являются операторами ПД. При этом ПД делятся на общедоступные, биометрические, специальные и иные, количество субъектов ПД может быть до или более 100 000, а защищать персональные данные нужно от трех типов угроз. От этих трех параметров — количество субъектов ПД, категории и типа угроз — зависит уровень защищенности.

Всего есть четыре уровня защищенности. Первый — самый жесткий и строгий, для него нужно реализовать 69 требований. Четвертый — базовый, он рассчитан на начальный уровень защиты.

Важно! Законодательство РФ не оговаривает разницу между защитой ПД на физических носителях и в облаке. В обоих случаях вы должно обеспечить данным соответствующие меры безопасности.

Защита ПД в облаке

В облачных сервисах к мерам защиты персональных данных относятся:

  1. Подтверждение согласия субъекта ПД на обработку данных. Здесь у юристов есть две позиции. Одни считают, что от клиентов/партнеров/сотрудников нужно получить согласие на обработку данных в облачном сервисе. Другие уверены, что достаточно согласия без указания места хранения и обработки. Вопрос спорный, правового свойства, но в любом случае, согласие должно быть.
  2. Реализовать требования в соответствии с уровнем защиты. Для четвертого уровня достаточно антивируса и регулярного обновления ПО, для третьего все вышеперечисленное, плюс контроль уязвимостей и ограничение доступа к настройкам системы. Для первого и второго уровней понадобится приватное облако на собственном оборудовании и аттестация в соответствии с 152-ФЗ.
  3. Реализовать требования по локализации. Закон 152-ФЗ не запрещает передачу персональных данных граждан РФ на зарубежные сервера, но изначально они должны быть локализованы в базе данных на территории России.

Кто несет ответственность за соблюдение требований закона?

Ответственность за хранение и обработку персональных данных несет оператор, то есть организация или физическое лицо, которое эти данные получило и использует. Провайдер, который предоставляет доступ к облачному сервису, не владеет этими данными и не имеет к ним доступа, поэтому и не несет за них ответственность. Ответственность провайдера услуги, в нашем случае ЦОДа, распространяется на уничтожение ПД (после расторжения контракта) и стабильность IT-инфраструктуры, развернутой на физических серверах. Сетевая безопасность, поддержание изолированной инфраструктуры и контроль доступа к облаку с персональными данными лежит в сфере ответственности оператора.

Смотрите также

Аренда выделенного сервера

Аренда выделенного сервера: преимущества и особенности

Изобилие предложений на рынке современного хостинга вынуждает заказчиков искать наиболее рациональное решение при выборе площадки …

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *