Защита персональных данных в облаке

В России действует 152-ФЗ «О персональных данных». В нем сказано, что лицо, которое собирает и обрабатывает персональные данные, обязано обеспечить их защиту, чтобы данные российских граждан не попали не в те руки.

По закону персональные данные — любые данные, относящиеся к конкретному физическому лицу, то есть субъекту персональных данных.

Например, данные анонимных опросов о политических убеждениях или предпочтениях в еде не будут персональными данными, под действие 152-ФЗ они не попадают. А вот если вы узнаете политические убеждения конкретных людей и запишете эту информацию в базу вместе с ФИО человека — это уже персональные данные.

По закону выделяют четыре типа персональных данных, это нужно для определения уровня защиты:

  1. Специальные: раса, национальность, политические, религиозные и философские убеждения, состояние здоровья.
  2. Биометрические: фото, отпечатки пальцев.
  3. Общедоступные: ФИО, дата и место рождения, адрес проживания, номер телефона, информация о профессии.
  4. Иные: прочие данные о конкретном человеке, такие как имя домашнего питомца или предпочтения в еде.

Компания, которая собирает и обрабатывает эти данные, считается оператором персональных данных.

Требования к оператору персональных данных

Согласно закону 152-ФЗ, чтобы собирать и обрабатывать персональные данные, вы должны:

  1. Обеспечить защиту ПДн в соответствии с требованиями закона.
  2. Зарегистрироваться в Роскомнадзоре как оператор персональных данных.
  3. Спрашивать у людей согласие на сбор и обработку персональных данных.

Рассмотрим каждый пункт реализации требований 152-ФЗ подробно.

Обеспечить защиту персональных данных

При хранении и обработке данных нужно обеспечить им уровень безопасность защита персональных данных в соответствии с «Постановлением Правительства РФ N 1119» и 21 приказом ФСТЭК.

Необходимый уровень защищенности зависит от четырех факторов:

  • Типа данных: специальные, биометрические, общедоступные или иные.
  • Отношений с субъектами персональных данных: это ваши сотрудники или люди, с которыми у вас нет трудового договора, например клиенты.
  • Количества субъектов персональных данных: больше 100 000 или меньше 100 000.
  • Типа актуальных угроз: 1, 2 или 3 тип.

Типы данных, отношения с субъектами и количество субъектов легко определить самостоятельно, а вот с типами угроз сложнее. Согласно документу «Методика определения актуальных угроз безопасности ПДн при их обработке», угрозами называются условия и факторы, которые могут обеспечить несанкционированный доступ к персональным данным и привести к их утечке или порче.

В законе они классифицируются так:

  • 1 тип — самые серьезные угрозы, связанные с недокументированными возможностями в системном программном обеспечении (ПО), например в операционной системе.
  • 2 тип — угрозы, связанные с недокументированными возможностями в прикладном ПО, например в установленных программах.
  • 3 тип — угрозы, не связанные с ПО, например уязвимости в оборудовании.

Универсального способа определить тип угроз, актуальных для вашей системы, нет. Принято считать, что если вы используете ПО, сертифицированное ФСТЭК, то недокументированных возможностей в нем нет, так что угрозы 1 и 2 типа можно считать неактуальными. А вот если сертификатов у ПО нет, уровень угроз может определить только специалист по технической безопасности. Если такого нет в штате, его можно нанять для консультации.

Как только определен тип данных, отношение с субъектами, количество субъектов и тип актуальных угроз, вы сможете понять, система какого уровня защищенности необходима.

Всего существует 4 уровня защищенности (доверия):

  1. 4 УЗ. Необходим для защиты общедоступных и иных данных с 3 типом угроз. Самый простой, требует несложных мер защиты вроде установки антивируса и регулярного обновления ПО.
  2. 3 УЗ. Кроме общедоступных и иных данных позволяет хранить биометрические и специальные данные, работать при 2 и 3 типе угроз. Требует регулярно искать и устранять уязвимости в оборудовании и ПО, а также ограничить доступ к настройкам информационной системы. Именно этот уровень подходит для большинства компаний.
  3. 2 УЗ. Подходит для хранения любых данных, для некоторых данных допускает даже 1 тип угроз. Требует установить систему обнаружения вторжений, защищать систему от спама, организовать резервное копирование.
  4. 1 УЗ. Позволяет хранить специальные и биометрические данные при 1 типе угроз. Технически самый сложный, к примеру, требует безотказной работы серверов и установки на компьютеры только ПО, заранее разрешенного службой безопасности.

Точные технические требования к каждому уровню прописаны в приложении к 21 приказу ФСТЭК. Если вы передаете данные в облако, часть этих требований соблюдаются на стороне облачного провайдера — например, именно он собирает информацию о событиях безопасности и контролирует физический доступ к серверам.

740 0

Другие новости

Разное

Авиабилеты Москва — Бали

Подробнее
Разное

Особенности производства пружинной проволоки

Подробнее
Разное

Какой лучше купить видеорегистратор?

Подробнее
Разное

Что такое вебкам

Подробнее
Lorem ipsum dolor sit amet consectetur adipisicing elit. Facilis aperiam porro in eos, perferendis fugit expedita, tempora possimus dolores fugiat aliquam sequi voluptate tenetur molestiae iste illum laborum, praesentium minima.