152-ФЗ в облаке: хранение персональных данных в облаке

Ситуация удручающая, однако в РФ действует ФЗ 152 о персональных данных - он регламентирует, в частности, защиту информации, размещенной в облачных хранилищах. Рассказываем подробнее о законе и принципах защиты информации в облаке

Что такое №152-ФЗ?

27 июля 2006 года в России в силу вступил Федеральный закон №152 «О персональных данных», который регулирует деятельность по обработке и использованию персональных данных граждан Российской Федерации. Закон и подзаконные акты регламентируют защиту персональных данных, содержат правила обработки и обеспечения ПДн.

Нормы и требования, изложенные в документе, обязательны для организаций, действующих на территории РФ вне зависимости от размера, оборота и организационно-правовой формы. Исполнение организационно-документальных аспектов ФЗ 152 контролирует Управление по защите прав субъектов персональных данных, которое относится к Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Технические аспекты защиты ПДн находятся в юрисдикции Федеральной службы по техническому и экспортному контролю (ФСТЭК). Если деятельность компании связана с разработкой, производством, реализацией и эксплуатацией шифровальных (криптографических) средств защиты информации, к регулированию подключается Федеральная Служба Безопасности (ФСБ).

Категории персональных данных

Закон подразделяет ПДн на четыре класса:

• Специальные: раса, национальность, политические, религиозные, философские убеждения, состояние здоровья.
• Биометрические: фотография, отпечатки пальцев.
• Данные, разрешенные субъектом для распространения: например, ФИО, дата и место рождения, адрес проживания, номер телефона, сведения о профессии.
• Иные:другая информация о конкретном человеке, например, гастрономические предпочтения, кличка домашнего питомца и прочее.

Операторы ПДн

152 ФЗ о персональных данных напрямую касается операторов, которые выполняют обработку ПДн. К ним относятся: государственные и муниципальные учреждения, юридические и физические лица. Под обработкой персональных данных подразумевается не только компьютерная (автоматизированная) обработка, но и работа с картотеками и журналами на бумажном носителе.

Согласие на обработку персональных данных

Перед сбором персональных данных необходимо получить согласие на их обработку. Это делается двумя способами:

• Письменное согласие подписывают, когда происходит сбор ПДн с работников организации, при трансграничной передаче ПДн в страны, которые, по мнению Роскомнадзора, не обеспечивают адекватную защиту прав субъектов ПДн, если обрабатываются биометрические ПДн или данные о здоровье.
• Получение согласия через интернет, если сбор ПДн выполняется в сети. Обычно это реализуется через соответствующее поле на сайте: пользователь, поставив в него отметку, дает свое согласие на обработку его ПДн. При этом на сайте должна быть размещена Политика конфиденциальности.

Примечание

Федеральный закон №152 не распространяется на обработку информации в официальных архивах, если данные отнесены к государственной тайне. Также ФЗ не действует, если физическое лицо обрабатывает ПДн для личных и семейных нужд (но при этом не нарушает права других граждан).

Ответственность за нарушение требований ФЗ №152

Нарушение закона о персональных данных грозит определенными санкциями. Если оператор не защитит информацию, и к ней получат доступ злоумышленники, то его оштрафуют. Размер штрафа зависит от статуса оператора:

• Физическое лицо – от 1500 до 50 000 рублей;
• Должностное лицо – от 6 000 до 800 000 рублей;
• ИП – от 10 000 до 3 000 000 рублей;
• Юридическое лицо – от 30 000 до 18 000 000 рублей.

Примечание

Ответственность за нарушение требований ФЗ 152 определяет ст. 24, специфика обработки персональных данных привязана к пунктам административного, уголовного, гражданского кодекса РФ.

Помимо денежного наказания, предусмотрены и иные административные санкции:

• лишение свободы до 5 лет;
• обязательство компенсации морального вреда;
• принудительная приостановка или прекращение обработки персональных данных;
• приостановление или аннулирование лицензий на деятельность оператора персональных данных.

Если сбор, обработка и хранение ПДн были выполнены без согласия человека, то нарушителю полагаются следующие штрафы:

1. Физическое лицо – от 6 000 до 10 000 рублей;
2. Должностное лицо или ИП – от 20 000 до 40 000 рублей;
3. Юридическое лицо – от 30 000 до 150 000 рублей.

Примечание

Любой оператор ПДн, обрабатывающий их не только с целью исполнения ТК РФ, должен зарегистрироваться в соответствующем статусе в Роскомнадзоре.

Как устроено хранение персональных данных в облаке

ФЗ 152 не запрещает хранение персональных данных в облаке, но при этом дата-центр выбранного облачного провайдера должен находиться на территории России. В соответствии ФЗ 152 о персональных данных с разъяснениями Минкомсвязи, данные могут передаваться за рубеж, но первично их запись, а также систематизация, накопление, хранение, уточнение (обновление, изменение) или извлечение должны производиться на сервере, физически расположенном в России.

Примечание

Облачный провайдер не имеет доступ к информационным системам, размещенным в облаке, поэтому не берет на себя ответственность за персональные данные. В случае их утечки перед Роскомнадзором будет отвечать оператор.

Для защиты информации в облаке предусмотрены надежные инструменты, но управляет ими оператор персональных данных. Он также должен грамотно организовать доступ к сведениям внутри организации. Облачный провайдер не решает, кому и на каких условиях открывается доступ к информации компании.

Для примера сравним облако с флеш-накопителем: на нем хранится записанная информация, и владелец флешки следит за ее сохранностью. Облачный провайдер выполняет обязательства перед оператором ПДн в рамках заключенного соглашения – он не может просто так отдать информацию с флеш-накопителя, и должен ее защищать. Но провайдер ничего не сможет сделать, если вы сами разрешите любому желающему пользоваться информацией с флешки.

«При заключении договора на предоставление облачных услуг в нем прописываются условия об отсутствии доступа к размещаемым оператором данным, а также о разграничении зон ответственности.» Синкина Надежда, эксперт по методологии кибербезопасности Центра киберзащиты SberСloud

Примечание

Перед передачей информации провайдеру оператору персональных данных необходимо убедиться в надежности защиты, используемой в облаке.

Требования к уровню защищенности

Уровень защищенности информации зависит от четырех факторов:

1. тип информации;
2. отношения с субъектами персональных данных: сотрудниками или клиентами компании;
3. число субъектов персональных данных: больше или меньше 100 000;
4. тип актуальных угроз: 1, 2 или 3.

Тип данных, их количество и отношения с субъектами легко определить самостоятельно. Тип угроз определяется в соответствии с «Методикой определения актуальных угроз безопасности ПДн при их обработке». Угрозами называются условия, при которых возможен несанкционированный доступ к ПДн, их утечка или порча.

Примечание

Универсального способа определить тип угроз, которые могут быть актуальны для системы, не существует. Если компания использует софт, сертифицированный ФСТЭК, то угрозы 1 и 2 типа не актуальны. Если сертификатов у ПО нет, то угрозы может определить только специалист по технической безопасности.

Классификация опасных факторов ПДн по ФЗ и четыре уровня защищенности информации в облаке:

Ответственность облачного провайдера

Для организации защиты персональных данных в облаке провайдер обязан выполнить требования законодательства, что подтверждается наличием аттестата соответствия 152 ФЗ . Он выдается контролирующими органами, и подтверждает, что инфраструктура облака соответствует приказам ФСТЭК, а информация надежно защищена. При передаче сведений в облако часть требований к каждому уровню защиты должен соблюдать облачный провайдер.

Провайдер облачных услуг при хранении персональных данных в облаке должен:

• получить лицензии ФСБ и ФСТЭК. Если помимо хранения ПДн, выполняются услуги передачи данных или телематические услуги (услуги связи по передаче данных), то также необходимо получить лицензию Минкомсвязи;
• определить актуальные угрозы и самый корректный уровень защиты облака;
• создать частную модель актуальных угроз для облака;
• реализовать защиту персональных данных в облаке;
• предоставить оператору дополнительные инструменты безопасности;
• помочь в реализации защиты ПДн с клиентской стороны.

Примечание

Аттестат соответствия 152 ФЗ дает право облачному провайдеру на хранение ПДн, которые требуют соответствующего уровня защищенности.

Ответственность оператора ПДн

В соответствии с ФЗ 152 о защите ПНд оператор персональных данных несет ответственность за сохранность информации в своих информационных системах, размещенных в облаке. Перед переносом ПДн для хранения ему необходимо:

• определить актуальный для ПДн тип угроз;
• выбрать уровень защищенности;
• определить меры безопасности из набора стандартных и ситуативных мер;
• создать частную модель актуальных угроз для собственного сегмента информационной системы;
• защитить собственный сегмент информационной системы от угроз.

Как устроена защита персональных данных в облаке SberCloud

Защищенное облако в SberCloud согласно ФЗ-152 устроено на шести уровнях:

1. Физический уровень. Дата-центр Tier III, контроль и управление доступом к оборудованию, видеонаблюдение:
1. Защита информационных систем, средств, систем связи и передачи данных;
2. Выявление проблем и их устранение;
3. Управление конфигурацией ИС, и системы защиты данных.
2. Сетевая подсистема. Защита от DDoS-атак, межсетевое экранирование и сегментирование:
1. Защита среды виртуализации;
2. Защита технических средств;
3. Подсистема хранения информации. Резервное копирование:
1. Контроль и анализ защищенности данных;
2. Обеспечение целостности ИС и данных;
3. Обеспечение доступности данных;
4. Вычислительная подсистема. Выполнение контроля ОС и гипервизоров, целостности шаблонов и образов, изменения конфигураций, защита от вредоносного ПО:
1. Контроль и анализ защищенности данных
2. Регистрация событий безопасности;
3. Защита от вирусов;
4. Обнаружение вторжений;
5. Подсистема управления. Контроль (анализ) защищенности, действий привилегированных пользователей, сбор и анализ событий информационной безопасности, управление доступом к инфраструктуре:
1. Управление доступом субъектов доступа к объектам доступа;
2. Ограничение программной среды;
3. Защита машинных носителей информации;
6. Интеграционная подсистема. Учет и шифрование межкомпонентных взаимодействий:
1. Идентификация и аутентификация пользователей-сотрудников оператора;
2. Управление субъектов к объектам.

Инфраструктуры облачных платформ SberCloud:

• Публичное облако (IaaS);
• Al Cloud (PaaS);
• SberCloud Advanced (IaaS/PaaS);
• Облако ГИС (IaaS).

Примечание

SberCloud имеет аттестаты соответствия требованиям безопасности информации всех перечисленных выше инфраструктур.

Резюме

В России действует федеральный закон № 152-ФЗ «О персональных данных», который обеспечивает гражданам защиту их персональных данных. В случае использования стороннего хостинга, вся информация находится в персональном облаке, которое предоставлено провайдером. При этом ответственность за сохранность данных несет организация, с которой пользователь заключил соглашение, поставив галочку и приняв политику конфиденциальности. Облако максимально защищает персональные данные, для чего, например, в SberCloud создана сложнейшая шестиуровневая защита, которая постоянно поддерживается в актуальном состоянии.

«В феврале 2021 года SberCloud получил сертификат соответствия системы менеджмента информационной безопасности требованиям стандарта ISO/IEC 27001:2013 с учетом правил ISO/IEC 27017:2015 и ISO/IEC 27018:2019. Это означает зрелость и соответствие услуг облачного провайдера, в том числе, связанных с ПДн, международным требованиям безопасности.» Синкина Надежда, эксперт по методологии кибербезопасности Центра киберзащиты SberCloud

Источники

1. Федеральный закон от 27 07 2006 № 152-ФЗ «О персональных данных»
2. Вебинар "Соответствие 152-ФЗ: все о защите персональных данных в облаке SberCloud"
3. Аналитический отчет InfoWatch "Утечки информации ограниченного доступа: отчет за 9 месяцев 2020"