Хранение персональных данных в облаке

Обойтись без сбора личной информации сейчас не может ни одна компания, но при этом не все до конца понимают, как правильно организовать её хранение, чтобы не нарушать требования действующего законодательства. Если с выбором мест хранения и способов защиты для ПДн, полученных на бумаге, все более-менее понятно — нужен сейф и закрываемое помещение, то с электронными базами сложнее. Существует два возможных решения:

озаботиться созданием собственной ИТ-инфраструктуры;
воспользоваться облачным хранилищем.

Услугу аутсорсинга предоставляют сервис-провайдеры — это компании, располагающие техническими ресурсами для обеспечения сохранности ПДн (маршрутизаторами, специализированным софтом, межсетевыми экранами и т.д.). Кроме того, у них есть штатные сотрудники, которые контролируют систему и оборудование, а также выполняют функции администраторов, в том числе решают возникающие проблемы с доступом или отражением хакерских атак. Перед тем как делегировать обязательства, оператору необходимо понять, какие есть форматы сотрудничества, кто несет ответственность за конфиденциальные сведения, а также определиться с критериями выбора партнера.

Варианты взаимодействия с аутсорсерами

От того, как будут организованы взаимоотношения партнеров, зависят удобство работы с информацией и расходы на хранение ПДн в облаке. Делая выбор, нужно учитывать размер электронной базы, финансовые возможности, специализацию и особенности бизнес-процессов.

Чаще всего операторы доверяют сервис-провайдерам хранение исключительно базы с ПДн либо размещение ИСПДн, при этом о защите рабочих мест заботятся самостоятельно. Преимущества такого сотрудничества заключаются в минимизации затрат и простоте, ведь аутсорсер лишь дает клиенту доступ к уже готовой и аккредитованной системе. Есть и другие варианты, которые больше подходят крупным организациям или тем, у кого есть особые требования к обеспечению доступа к личной информации: можно полностью перенести ИТ-инфраструктуру в облако либо разместить там ИС с ПДн, включая размещение рабочих мест.

Предприниматели и компании, которые впервые сталкиваются с необходимостью использования облака, часто не понимают, чего ожидать от провайдеров. В спектр предоставляемых ими услуг входит:

разъяснение тонкостей сбора и сохранения ПДн в контексте вашего бизнеса;
предоставление рекомендаций по поводу организации системы получения и хранения личных данных;
выполнение расчета оптимальных вычислительных мощностей в виртуальном хранилище с учетом объема обрабатываемых сведений;
перенесение электронной базы в облако;
организация сегмента или полноценной сети с достаточным уровнем защиты от несанкционированного доступа. Закрытый контур создается с помощью ПО и технических средств, прошедших сертификацию в ФСБ и ФСТЭК;
помощь в составлении и редактировании внутренних нормативно-правовых актов, касающихся работы с ПДн.

Фактически они обеспечивают всестороннюю консультационную и техническую поддержку в сфере хранения и обеспечения безопасности персональных данных клиентов, сотрудников и поставщиков.

Облачное хранение персональных данных: обеспечение защиты

Защищая права владельцев информации, ФЗ-152 позволяет использовать аутсорсеров исключительно при наличии согласия субъектов, которое должно быть зафиксировано в письменной форме. Для организации облачного хранения оператору нужно:

составить список действий в процессе обработки;
определить четкую цель получения и сохранения личной информации;
принять меры для обеспечения защиты, конфиденциальности и безопасности ПДн в течение всего периода работы с ними;
привести свою деятельность в соответствие с требованиями федерального законодательства.

Возможность поручить сторонней фирме хранить конфиденциальную информацию существует только в том случае, если выполнены требования ФЗ-149, в частности, должна быть гарантирована защита обрабатываемых ПДн. За безопасность отвечает сервис-провайдер, который должен:

позаботиться об ограничении доступа для профилактики кражи или обнародования данных о гражданах;
контролировать вход в ИСПДн, своевременно обнаруживать и нейтрализовать несанкционированных пользователей;
разработать и внедрить механизм действий на случай проникновения в систему злоумышленников;
поддерживать функциональность технических средств обработки и хранения ПДн;
отслеживать степень безопасности сведений и системы в целом;
осуществлять резервное копирование на случай потери целостности либо исчезновения части данных.

На подготовительном этапе провайдеру предстоит составить список потенциальных угроз в период переноса в облако, а затем принять меры для их устранения или минимизации. В момент перемещения система особенно уязвима, поэтому важно принять меры для обеспечения максимальной безопасности ПДн.

Ответственность компании и провайдера

У многих операторов, которые намерены заказывать аутсорсинг, возникает вопрос, можно ли хранить персональные данные в облаке, переложив всю ответственность на партнера. ФЗ-152 предусматривает возможность передачи части обязательств провайдеру, но оператор все равно будет отвечать перед законом, если вдруг конфиденциальная информация по тем или иным причинам будет обнародована, утеряна либо использована без согласия субъекта. Основная задача аутсорсинговой компании заключается в ведении технических работ, при этом она тоже должна иметь статус оператора ПДн.

В дополнение к основному договору о предоставлении услуг с сервис-провайдером необходимо заключить договор-поручение, иначе хранение и обработка личных данных будет считаться незаконной.

Учитывая совместную юридическую ответственность, фирме важно найти надежного партнера. Обязательным условием является наличие документального подтверждения, что компания прошла проверки ФСБ и ФСТЭК, причем важно, чтобы аттестован был закрытый контур, который является будущим хранилищем ПДн. Не лишним будет обратить внимание на отзывы клиентов, длительность работы на российском рынке, а также стоимость услуг. Современное оборудование и квалифицированный персонал требуют немалых затрат, поэтому хранение в облаке не может быть дешевым. Стоимость должна соответствовать качеству услуг. Договор можно заключить на разный срок (чем дольше, тем выгодней условия), выбрав подходящий объем виртуального диска.

Где лучше хранить ПДн: преимущества и недостатки разных вариантов

Среди плюсов облачного хранения можно отметить:

отсутствие необходимости обеспечивать техобслуживание, электропитание и безопасность оборудования;
доступность инфраструктуры;
минимальные усилия и временные затраты на получение доступа в информационную систему;
получение комплексного обслуживания в сфере хранения ПДн;
возможность подключения дополнительных инструментов обработки личной информации;
фиксированные ежемесячные затраты;
выбор оптимального объема облачного хранилища;
оперативное восстановление при утере или нарушении целостности персональных данных.

Из минусов стоит назвать дополнительные затраты на услуги аутсорсинга, сложности с поиском проверенного провайдера и конфликты с распределением ответственности в случае утечки информации, а также невозможность контролировать все аспекты работы с ПДн.

Желая обеспечить максимальную степень защиты хранимых сведений, фирма может самостоятельно заняться формированием и поддержкой ИТ-инфраструктуры. На это потребуется большое количество времени, денежных средств и трудозатрат, поскольку придется своими силами:

подбирать программное обеспечение;
искать, закупать, подключать и настраивать оборудование;
обеспечивать контроль работоспособности информационной системы;
выполнять мониторинг и отражать атаки злоумышленников;
проводить техническую модернизацию;
заниматься разработкой внутренних распорядительных документов;
нанимать штатных специалистов в дата-центр.

Если подсчитать расходы на создание и последующее обеспечение корпоративной системы, они будут в несколько раз выше, чем при обращении к аутсорсерам, при этом предприятие будет нести полную ответственность за сохранность личной информации. Неудивительно, что бизнес активно переносит электронные базы в облако, причем если раньше услугами сервис-провайдеров пользовались преимущественно ИП и небольшие фирмы, то сейчас они популярны и у международных корпораций.

Подведем итоги

Перемещение базы с ПДн в облако — удобный и доступный каждому оператору способ оптимизации своей деятельности, но при этом нужно ответственно подойти к выбору провайдера. Аутсорсинговая компания должна действовать в соответствии с пунктами статей ФЗ-152, иметь аттестат о прохождении проверок ФСБ и ФСТЭК, а также предлагать адекватные цены и интересующий вас формат сотрудничества. Чтобы сделать правильный выбор, имеет смысл получить консультацию у нескольких партнеров, а также уделить внимание изучению условий договора-поручения — это позволит сократить риски и разделить юридическую ответственность с сервисом, обеспечивающим доступ к облаку.

Другие статьи Ликбеза

Услуги

Разработка документации

Приведение в соответствие требованиям 152-ФЗ. Разработка и внедрение организационных мер и пакета локальной документации по вопросам обработки и защиты персональных данных

Консалтинг

Центр безопасности данных имеет серьезный опыт в области внедрения систем информационной безопасности, организации систем обработки и защиты персональных данных, защиты служебной, конфиденциальной информации и коммерческой тайны.