Заявка на услуги DST
Наш специалист свяжется с вами, обсудит оптимальную стратегию сотрудничества,
поможет сформировать бизнес требования и рассчитает стоимость услуг.
Что такое и зачем нужно облако ФЗ-152. Специалисты компании DST Global расскажут какие нюансы законодательства необходимо удовлетворять, какие риски несет несоблюдение требований об обработке персональных данных.
Одна из услуг, которую предлагают облачные провайдеры – Облако ФЗ-152. Это защищённое частное облако, соответствующее требованиям ФЗ-152, где можно безопасно держать персональные данные клиентов или сотрудников. В статье разберём, что собой представляет закон о защите личной информации, почему важно его соблюдать и что такое облако ФЗ-152.
В чём заключается закон ФЗ-152
Федеральный закон № 152-ФЗ «О персональных данных» затрагивает все виды деятельности, касающиеся обработки и использования информации, имеющей отношение к конкретному физическому лицу. Сюда водят ФИО, адрес, телефон, фотография и тому подобные данные. Закон касается как органов власти, так и юридических и физических лиц (исключая личные и семейные нужды).
Таким образом, под действие закона подпадают, например, различные организации, у которых хранится информация о клиентах, а также сайты, собирающие данные посетителей. По закону вести сбор и обработку личных данных можно, получив разрешение человека.
Более подробно остановимся на дальнейшем хранении персональных данных, так как к нему предъявляется множество требований по ФЗ-152:
- Следует хранить то количество данных, которых достаточно для обработки.
- Объём информации должен быть дос0таточным для идентификации субъекта.
- Если данных недостаточно, либо в них есть ошибки, эти данные необходимо уточнить или удалить.
- Нельзя объединять базы с персональной информацией, взятой для различных целей.
- После того, как персональные данные будут обработаны, их следует уничтожить или обезличить.
- При передаче данных в другую страну необходимо убедиться, что там есть необходимая система защиты, а субъект на это согласен.
Закон ФЗ-152 также делает оператора полностью ответственным за всё, что происходит с персональными данными. Это касается даже тех случаев, когда информация попадает к другим лицам для обработки данных или в результате утечки. Так что хранить персональную информацию можно только на защищённых серверах. В зависимости от уровня защиты (УЗ) сервера делятся на 4 категории:
УЗ-1 — самый высокий уровень защиты для специальных данных, использование которых во вред может нанести серьёзный ущерб. Сюда может относиться информация о расовой и национальной принадлежности, о политических и религиозных взглядах, состоянии здоровья и др.
УЗ-2 — данный уровень защиты необходим, чтобы хранить биометрические данные. Для обеспечения такого УЗ необходимо регулярное резервное копирование и системы защиты от взлома.
УЗ-3 — предназначен для хранения всех иных данных. Здесь хватит ограничения доступа к месту хранения.
УЗ-4 — наименее строгий уровень. На серверах с УЗ-4 можно хранить общедоступные данные. Для обеспечения безопасности хватит простого антивируса. Требований к безопасности серверов более сотни, но из общих стоит упомянуть:
- Серверы должны располагаться в защищённом месте.
- Не должно быть возможности подключения к ним напрямую.
- Доступ к данным должен быть только у тех, у кого есть соответствующие права.
- На сервера должны использоваться сертифицированные средства защиты от угроз.
Чем грозит несоблюдение закона?
Так как те или иные данные собирает практически любая компания, вопрос соблюдения ФЗ-152 касается всех. Вопрос только, в какой степени. Важно понимать, что за несоблюдение норм хранения и обработки предусмотрены административная, уголовная и гражданско-правовая ответственность.
Если обеспечить соответствие УЗ-4 и даже УЗ-3 легко, то более высоких уровней защиты добиться на своих физических серверах достаточно сложно. Это потребует больших затрат времени и финансов, так как потребуется оборудование, лицензионный софт и квалифицированные сотрудники, способные всё настроить должным образом. Чтобы сэкономить и при этом гарантированно обеспечить соблюдение закона, можно воспользоваться облачными услугами.
Защита персональных данных в облаке: что нужно знать по 152-ФЗ
По российскому законодательству компании обязаны обеспечить безопасность персональных данных сотрудников и клиентов: хранить и обрабатывать их так, чтобы они не попали в руки злоумышленников или общий доступ. При этом не запрещено доверять хранение и обработку таких данных третьей стороне — облаку. Расскажем, как в этом случае соблюсти требования закона.
Операторы персональных данных и типы данных
В России действует 152-ФЗ «О персональных данных». В нем сказано, что лицо, которое собирает и обрабатывает персональные данные, обязано обеспечить их защиту, чтобы данные российских граждан не попали не в те руки.
По закону персональные данные — любые данные, относящиеся к конкретному физическому лицу, то есть субъекту персональных данных.
Например, данные анонимных опросов о политических убеждениях или предпочтениях в еде не будут персональными данными, под действие 152-ФЗ они не попадают. А вот если вы узнаете политические убеждения конкретных людей и запишете эту информацию в базу вместе с ФИО человека — это уже персональные данные.
По закону выделяют четыре типа персональных данных, это нужно для определения уровня защиты:
1. Специальные: раса, национальность, политические, религиозные и философские убеждения, состояние здоровья.
2. Биометрические: фото, отпечатки пальцев.
3. Общедоступные: ФИО, дата и место рождения, адрес проживания, номер телефона, информация о профессии.
4. Иные: прочие данные о конкретном человеке, такие как имя домашнего питомца или предпочтения в еде.
Компания, которая собирает и обрабатывает эти данные, считается оператором персональных данных.
Требования к оператору персональных данных
Согласно закону 152-ФЗ, чтобы собирать и обрабатывать персональные данные, вы должны:
1. Обеспечить защиту ПДн в соответствии с требованиями закона.
2. Зарегистрироваться в Роскомнадзоре как оператор персональных данных.
3. Спрашивать у людей согласие на сбор и обработку персональных данных.
Рассмотрим каждый пункт реализации требований 152-ФЗ подробно.
Обеспечить защиту персональных данных
При хранении и обработке данных нужно обеспечить им уровень защищенности в соответствии с «Постановлением Правительства РФ N 1119» и 21 приказом ФСТЭК.
Необходимый уровень защищенности зависит от четырех факторов:
- Типа данных: специальные, биометрические, общедоступные или иные.
- Отношений с субъектами персональных данных: это ваши сотрудники или люди, с которыми у вас нет трудового договора, например клиенты.
- Количества субъектов персональных данных: больше 100 000 или меньше 100 000.
- Типа актуальных угроз: 1, 2 или 3 тип.
Типы данных, отношения с субъектами и количество субъектов легко определить самостоятельно, а вот с типами угроз сложнее. Согласно документу «Методика определения актуальных угроз безопасности ПДн при их обработке», угрозами называются условия и факторы, которые могут обеспечить несанкционированный доступ к персональным данным и привести к их утечке или порче.
В законе они классифицируются так:
1 тип — самые серьезные угрозы, связанные с недокументированными возможностями в системном программном обеспечении (ПО), например в операционной системе.
2 тип — угрозы, связанные с недокументированными возможностями в прикладном ПО, например в установленных программах.
3 тип — угрозы, не связанные с ПО, например уязвимости в оборудовании.
Универсального способа определить тип угроз, актуальных для вашей системы, нет. Принято считать, что если вы используете ПО, сертифицированное ФСТЭК, то недокументированных возможностей в нем нет, так что угрозы 1 и 2 типа можно считать неактуальными. А вот если сертификатов у ПО нет, уровень угроз может определить только специалист по технической безопасности. Если такого нет в штате, его можно нанять для консультации.
Как только определен тип данных, отношение с субъектами, количество субъектов и тип актуальных угроз, вы сможете понять, система какого уровня защищенности необходима.
Всего существует 4 уровня защищенности (доверия):
1. 4 УЗ. Необходим для защиты общедоступных и иных данных с 3 типом угроз. Самый простой, требует несложных мер защиты вроде установки антивируса и регулярного обновления ПО.
2. 3 УЗ. Кроме общедоступных и иных данных позволяет хранить биометрические и специальные данные, работать при 2 и 3 типе угроз. Требует регулярно искать и устранять уязвимости в оборудовании и ПО, а также ограничить доступ к настройкам информационной системы. Именно этот уровень подходит для большинства компаний.
3. 2 УЗ. Подходит для хранения любых данных, для некоторых данных допускает даже 1 тип угроз. Требует установить систему обнаружения вторжений, защищать систему от спама, организовать резервное копирование.
4. 1 УЗ. Позволяет хранить специальные и биометрические данные при 1 типе угроз. Технически самый сложный, к примеру, требует безотказной работы серверов и установки на компьютеры только ПО, заранее разрешенного службой безопасности.
Точные технические требования к каждому уровню прописаны в приложении к 21 приказу ФСТЭК. Если вы передаете данные в облако, часть этих требований соблюдаются на стороне облачного провайдера — например, именно он собирает информацию о событиях безопасности и контролирует физический доступ к серверам.
Всего в приложении к приказу 109 мер, для каждого УЗ отмечены обязательные меры. Например, при 1 уровне защищенности нужно выполнить 69 требований.
Чтобы было проще понять, какой уровень защищенности нужен вашим данным, мы составили таблицу на основе Постановления Правительства РФ N 1119:
Например, вы собираете общедоступные данные о клиентах. Клиентов менее 100 000, а тип актуальных угроз вы определили как 3. Тогда для соблюдения норм законодательства нужно обеспечить 4 уровень защищенности персональных данных, то есть минимальный. Если среди информации о клиентах есть фотографии, это уже биометрические данные — нужно обеспечить 3 уровень защищенности.
Подтвердить уровень защищенности данных можно несколькими способами. Самый сложный — пройти аттестацию в контролирующих органах и получить сертификат. По закону это необязательно, достаточно в любой форме подтвердить соответствие средств защиты требованиям, например с помощью технической документации.
Если вы хотите пройти аттестацию, специалисты DST Global проконсультируют по всем вопросам, помогут в сертификации комплекса технических и программных средств и построении системы защиты данных по требованиям ФСТЭК.
Зарегистрироваться в Роскомнадзоре
После того как вы обеспечили защиту данных, нужно зарегистрироваться в качестве оператора персональных данных в Роскомнадзоре. Это делается через интернет. В форме необходимо указать, какие меры вы предприняли для защиты персональных данных, какие именно данные и где будете хранить. Чтобы правильно заполнить форму, лучше делать это с юристом, который специализируется на персональных данных.
Роскомнадзор иногда проверяет организации — смотрит, зарегистрировались ли они в качестве операторов. Если не зарегистрируетесь, можете получить штраф — от 1000 рублей для физлица и ИП, от 30 000 рублей для юрлица. Все штрафы прописаны в статье 13.11 КоАП.
Даже если у вас небольшая компания, к примеру, маленький интернет-магазин с базой на 100–200 клиентов, вы должны зарегистрироваться в Роскомнадзоре и соблюсти требования безопасности. Даже если клиент всего один, регистрироваться все равно придется.
Спрашивать согласие на обработку персональных данных
При сборе персональных данных нужно спрашивать разрешение у пользователя. Это делается двумя способами:
- Лично через подписание договора, например с сотрудником.
- На сайте, через чекбокс о согласии на сбор и обработку персональных данных.
Перед подписанием согласия нужно рассказать пользователю, что вы будете делать с его персональными данными, как хранить и кому передавать. Обычно для этого на сайте добавляют страницу с политикой конфиденциальности.
«Если бизнес хранит информацию в облаке, он не обязан предупреждать об этом своих клиентов или сотрудников. Люди также дают согласие на обработку персональных данных, отмечая галочкой соответствующее поле на сайте или при заполнении анкеты офлайн. Потом предприниматель может передавать эти данные в облако, не спрашивая дополнительного согласия».
Облако в законе: можно ли передавать провайдеру персональные данные
В 152-ФЗ нет запрета на хранение данных в облаке. Главное условие — дата-центр выбранного облачного провайдера должен находиться в России. По разъяснениям Минкомсвязи данные можно передавать и за рубеж, например для обработки. Но первый раз их нужно записать на сервер, который физически находится на территории РФ.
Облачный провайдер — это не оператор персональных данных, оператором остается предприниматель. Если данные попадут в руки злоумышленников, перед Роскомнадзором отвечать будет не провайдер, а оператор, то есть бизнес.
Чтобы такого не случилось, предусмотрена надежная защита ПДн в облаке, однако компании нужно ими правильно управлять, грамотно организовать доступ к информации внутри организации. Провайдер не может решать, кому и на каких условиях открывать данные компании, поэтому владелец данных и инфраструктуры должен внимательно подойти к настройкам доступа.
Можно сравнить облако с флэшкой — вы просто записываете туда информацию, но сами отвечаете за ее сохранность, например, следите, чтобы флэшка не потерялась или не попала не в те руки. У облачного провайдера есть определенные обязательства перед компанией в рамках заключенного договора, то есть он не может никому просто так отдать данные с флэшки и должен их защищать. Однако провайдер не может ничего сделать, если вы сами разрешите любому желающему брать флэшку и скачивать данные.
При передаче персональных данных в облако предприниматель не снимает с себя ответственность за их сохранность. Поэтому он обязан убедиться в надежности провайдера.
Как защищены персональные данные при хранении в облаке
Единственный критерий защищенности облака — наличие у облачного провайдера аттестата соответствия 152-ФЗ. Этот аттестат выдают контролирующие органы, он гарантирует, что инфраструктура облака построена в соответствии с требованиями приказов ФСТЭК, а данные там надежно защищены.
«При выборе облака стоит отдавать предпочтение провайдерам, имеющим аттестацию ФСТЭК и ФСБ. Ее наличие гарантирует, что провайдер исполняет требования приказа № 21 ФСТЭК, в котором прописаны технические требования к обеспечению безопасности. Главный плюс аттестации облака в том, что при проверке компании у Роскомнадзора возникает меньше вопросов: данные в облаке, облако аттестовано, значит, все надежно и безопасно».
Аттестат соответствия 152-ФЗ позволяет хранить в облаке данные, которые требуют 3 и 4 уровня защищенности. Большинство компаний работают именно с такими общедоступными или иными данными: контактами, ФИО, информацией о работе и месте проживания, составе семьи. В этом случае делать практически ничего не нужно — просто пользуйтесь сертифицированным ПО, обновляйте программы и антивирус и защищайте паролями компьютеры с доступом в облако.
Иногда у бизнеса или государственных компаний возникает потребность хранить данные 1 и 2 уровня доверия. В обычном публичном облаке не всегда получится организовать такой уровень защиты, не все провайдеры могут его обеспечить. Однако в публичном облаке можно хранить персональные данные в соответствии с УЗ-2.
Также, если требуется хранить данные УЗ-1 и УЗ-2 в облаке, можно развернуть частное облако на собственной инфраструктуре, обеспечить ее защищенность, при необходимости получить нужные сертификаты. В есть возможность сертификации по УЗ-1 и УЗ-2, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе.
При построении гибридной инфраструктуры для хранения персональных данных на платформе вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать.
Как работать с персональными данными в облаке по закону
1. Если вы собираете данные о клиентах или сотрудниках — вы оператор персональных данных. Это значит, что вы обязаны соответствовать требованиям 152-ФЗ и обеспечить защиту данных.
2. Чтобы собирать и обрабатывать персональные данные, нужно обеспечить их защиту в соответствии с 21 приказом ФСТЭК, зарегистрироваться в Роскомнадзоре и спрашивать у людей согласие на сбор и обработку данных.
3. Передавать данные в облако можно. Данные там надежно защищены, однако вы должны правильно настроить доступ к ним.
4. С точки зрения закона, передавать данные можно только облачным провайдерам, которые аттестованы на соответствие 152-ФЗ.
Наш специалист свяжется с вами, обсудит оптимальную стратегию сотрудничества,
поможет сформировать бизнес требования и рассчитает стоимость услуг.
Ижевск, ул. Воткинское шоссе, д. 170 Е, Технопарк Нобель, офис 1117
Задать вопрос по почте