11 лет защищаем компании от рисков
info@data-sec.ru
+7 800 350-11-52
+7 495 108-71-52
Заказать звонок
Центр безопасности данных
Услуги и решения
  • Персональные данные
  • Конфиденциальная информация
  • Защищенные приложения
  • Средства защиты информации
  • General Data Protection Regulation
  • Консалтинг и обучение
Каталог СЗИ
  • Защита серверов и рабочих станций
    Защита серверов и рабочих станций
    • Защита информации от НСД
    • Средства доверенной загрузки
  • Сетевая безопасность
    Сетевая безопасность
    • Межсетевое экранирование
Информация
  • Ликбез по персональным данным
  • Штрафы за нарушения
  • Статьи и публикации
  • Вопросы и ответы
  • Новости о ПДн
  • Законодательство
Компания
  • О компании
  • История
  • Лицензии и сертификаты
  • Клиенты
  • Партнеры
  • Вакансии
Контакты
    Услуги по приведению в соответствие требованиям закона о персональных данных
    Центр безопасности данных
    Услуги и решения
    • Персональные данные
    • Конфиденциальная информация
    • Защищенные приложения
    • Средства защиты информации
    • General Data Protection Regulation
    • Консалтинг и обучение
    Каталог СЗИ
    • Защита серверов и рабочих станций
      Защита серверов и рабочих станций
      • Защита информации от НСД
      • Средства доверенной загрузки
    • Сетевая безопасность
      Сетевая безопасность
      • Межсетевое экранирование
    Информация
    • Ликбез по персональным данным
    • Штрафы за нарушения
    • Статьи и публикации
    • Вопросы и ответы
    • Новости о ПДн
    • Законодательство
    Компания
    • О компании
    • История
    • Лицензии и сертификаты
    • Клиенты
    • Партнеры
    • Вакансии
    Контакты
      Центр безопасности данных
      Телефоны
      +7 800 350-11-52
      +7 495 108-71-52
      Заказать звонок
      • Услуги и решения
        • Назад
        • Услуги и решения
        • Персональные данные
        • Конфиденциальная информация
        • Защищенные приложения
        • Средства защиты информации
        • General Data Protection Regulation
        • Консалтинг и обучение
      • Каталог СЗИ
        • Назад
        • Каталог СЗИ
        • Защита серверов и рабочих станций
          • Назад
          • Защита серверов и рабочих станций
          • Защита информации от НСД
          • Средства доверенной загрузки
        • Сетевая безопасность
          • Назад
          • Сетевая безопасность
          • Межсетевое экранирование
      • Информация
        • Назад
        • Информация
        • Ликбез по персональным данным
        • Штрафы за нарушения
        • Статьи и публикации
        • Вопросы и ответы
        • Новости о ПДн
        • Законодательство
      • Компания
        • Назад
        • Компания
        • О компании
        • История
        • Лицензии и сертификаты
        • Клиенты
        • Партнеры
        • Вакансии
      • Контакты
      • +7 800 350-11-52
        • Назад
        • Телефоны
        • +7 800 350-11-52
        • +7 495 108-71-52
        • Заказать звонок
      info@data-sec.ru
      info@data-sec.ru
      • Главная
      • Ликбез
      • Хранение персональных данных в облаке

      Хранение персональных данных в облаке

      Хранение персональных данных в облаке

      Обойтись без сбора личной информации сейчас не может ни одна компания, но при этом не все до конца понимают, как правильно организовать её хранение, чтобы не нарушать требования действующего законодательства. Если с выбором мест хранения и способов защиты для ПДн, полученных на бумаге, все более-менее понятно — нужен сейф и закрываемое помещение, то с электронными базами сложнее. Существует два возможных решения:

      1. озаботиться созданием собственной ИТ-инфраструктуры;
      2. воспользоваться облачным хранилищем.

      Услугу аутсорсинга предоставляют сервис-провайдеры — это компании, располагающие техническими ресурсами для обеспечения сохранности ПДн (маршрутизаторами, специализированным софтом, межсетевыми экранами и т.д.). Кроме того, у них есть штатные сотрудники, которые контролируют систему и оборудование, а также выполняют функции администраторов, в том числе решают возникающие проблемы с доступом или отражением хакерских атак. Перед тем как делегировать обязательства, оператору необходимо понять, какие есть форматы сотрудничества, кто несет ответственность за конфиденциальные сведения, а также определиться с критериями выбора партнера.

      Варианты взаимодействия с аутсорсерами

      От того, как будут организованы взаимоотношения партнеров, зависят удобство работы с информацией и расходы на хранение ПДн в облаке. Делая выбор, нужно учитывать размер электронной базы, финансовые возможности, специализацию и особенности бизнес-процессов.

      Чаще всего операторы доверяют сервис-провайдерам хранение исключительно базы с ПДн либо размещение ИСПДн, при этом о защите рабочих мест заботятся самостоятельно. Преимущества такого сотрудничества заключаются в минимизации затрат и простоте, ведь аутсорсер лишь дает клиенту доступ к уже готовой и аккредитованной системе. Есть и другие варианты, которые больше подходят крупным организациям или тем, у кого есть особые требования к обеспечению доступа к личной информации: можно полностью перенести ИТ-инфраструктуру в облако либо разместить там ИС с ПДн, включая размещение рабочих мест.

      Предприниматели и компании, которые впервые сталкиваются с необходимостью использования облака, часто не понимают, чего ожидать от провайдеров. В спектр предоставляемых ими услуг входит:

      • разъяснение тонкостей сбора и сохранения ПДн в контексте вашего бизнеса;
      • предоставление рекомендаций по поводу организации системы получения и хранения личных данных;
      • выполнение расчета оптимальных вычислительных мощностей в виртуальном хранилище с учетом объема обрабатываемых сведений;
      • перенесение электронной базы в облако;
      • организация сегмента или полноценной сети с достаточным уровнем защиты от несанкционированного доступа. Закрытый контур создается с помощью ПО и технических средств, прошедших сертификацию в ФСБ и ФСТЭК;
      • помощь в составлении и редактировании внутренних нормативно-правовых актов, касающихся работы с ПДн.

      Фактически они обеспечивают всестороннюю консультационную и техническую поддержку в сфере хранения и обеспечения безопасности персональных данных клиентов, сотрудников и поставщиков.

      Облачное хранение персональных данных: обеспечение защиты

      Защищая права владельцев информации, ФЗ-152 позволяет использовать аутсорсеров исключительно при наличии согласия субъектов, которое должно быть зафиксировано в письменной форме. Для организации облачного хранения оператору нужно:

      • составить список действий в процессе обработки;
      • определить четкую цель получения и сохранения личной информации;
      • принять меры для обеспечения защиты, конфиденциальности и безопасности ПДн в течение всего периода работы с ними;
      • привести свою деятельность в соответствие с требованиями федерального законодательства.

      Возможность поручить сторонней фирме хранить конфиденциальную информацию существует только в том случае, если выполнены требования ФЗ-149, в частности, должна быть гарантирована защита обрабатываемых ПДн. За безопасность отвечает сервис-провайдер, который должен:

      1. позаботиться об ограничении доступа для профилактики кражи или обнародования данных о гражданах;
      2. контролировать вход в ИСПДн, своевременно обнаруживать и нейтрализовать несанкционированных пользователей;
      3. разработать и внедрить механизм действий на случай проникновения в систему злоумышленников;
      4. поддерживать функциональность технических средств обработки и хранения ПДн;
      5. отслеживать степень безопасности сведений и системы в целом;
      6. осуществлять резервное копирование на случай потери целостности либо исчезновения части данных.

      На подготовительном этапе провайдеру предстоит составить список потенциальных угроз в период переноса в облако, а затем принять меры для их устранения или минимизации. В момент перемещения система особенно уязвима, поэтому важно принять меры для обеспечения максимальной безопасности ПДн.

      Ответственность компании и провайдера

      У многих операторов, которые намерены заказывать аутсорсинг, возникает вопрос, можно ли хранить персональные данные в облаке, переложив всю ответственность на партнера. ФЗ-152 предусматривает возможность передачи части обязательств провайдеру, но оператор все равно будет отвечать перед законом, если вдруг конфиденциальная информация по тем или иным причинам будет обнародована, утеряна либо использована без согласия субъекта. Основная задача аутсорсинговой компании заключается в ведении технических работ, при этом она тоже должна иметь статус оператора ПДн.

      В дополнение к основному договору о предоставлении услуг с сервис-провайдером необходимо заключить договор-поручение, иначе хранение и обработка личных данных будет считаться незаконной.

      Учитывая совместную юридическую ответственность, фирме важно найти надежного партнера. Обязательным условием является наличие документального подтверждения, что компания прошла проверки ФСБ и ФСТЭК, причем важно, чтобы аттестован был закрытый контур, который является будущим хранилищем ПДн. Не лишним будет обратить внимание на отзывы клиентов, длительность работы на российском рынке, а также стоимость услуг. Современное оборудование и квалифицированный персонал требуют немалых затрат, поэтому хранение в облаке не может быть дешевым. Стоимость должна соответствовать качеству услуг. Договор можно заключить на разный срок (чем дольше, тем выгодней условия), выбрав подходящий объем виртуального диска.

      Где лучше хранить ПДн: преимущества и недостатки разных вариантов

      Среди плюсов облачного хранения можно отметить:

      • отсутствие необходимости обеспечивать техобслуживание, электропитание и безопасность оборудования;
      • доступность инфраструктуры;
      • минимальные усилия и временные затраты на получение доступа в информационную систему;
      • получение комплексного обслуживания в сфере хранения ПДн;
      • возможность подключения дополнительных инструментов обработки личной информации;
      • фиксированные ежемесячные затраты;
      • выбор оптимального объема облачного хранилища;
      • оперативное восстановление при утере или нарушении целостности персональных данных.

      Из минусов стоит назвать дополнительные затраты на услуги аутсорсинга, сложности с поиском проверенного провайдера и конфликты с распределением ответственности в случае утечки информации, а также невозможность контролировать все аспекты работы с ПДн.

      Желая обеспечить максимальную степень защиты хранимых сведений, фирма может самостоятельно заняться формированием и поддержкой ИТ-инфраструктуры. На это потребуется большое количество времени, денежных средств и трудозатрат, поскольку придется своими силами:

      • подбирать программное обеспечение;
      • искать, закупать, подключать и настраивать оборудование;
      • обеспечивать контроль работоспособности информационной системы;
      • выполнять мониторинг и отражать атаки злоумышленников;
      • проводить техническую модернизацию;
      • заниматься разработкой внутренних распорядительных документов;
      • нанимать штатных специалистов в дата-центр.

      Если подсчитать расходы на создание и последующее обеспечение корпоративной системы, они будут в несколько раз выше, чем при обращении к аутсорсерам, при этом предприятие будет нести полную ответственность за сохранность личной информации. Неудивительно, что бизнес активно переносит электронные базы в облако, причем если раньше услугами сервис-провайдеров пользовались преимущественно ИП и небольшие фирмы, то сейчас они популярны и у международных корпораций.

      Подведем итоги

      Перемещение базы с ПДн в облако — удобный и доступный каждому оператору способ оптимизации своей деятельности, но при этом нужно ответственно подойти к выбору провайдера. Аутсорсинговая компания должна действовать в соответствии с пунктами статей ФЗ-152, иметь аттестат о прохождении проверок ФСБ и ФСТЭК, а также предлагать адекватные цены и интересующий вас формат сотрудничества. Чтобы сделать правильный выбор, имеет смысл получить консультацию у нескольких партнеров, а также уделить внимание изучению условий договора-поручения — это позволит сократить риски и разделить юридическую ответственность с сервисом, обеспечивающим доступ к облаку.


      Теги
      персональные данные хранение
      • Prev
      • Next
      Другие статьи Ликбеза
      • Что такое персональные данные?
        Что такое персональные данные?
      • Виды персональных данных
        Виды персональных данных
      • Зачем защищать персональные данные?
        Зачем защищать персональные данные?
      • Штрафы в области персональных данных в 2023 году
        Штрафы в области персональных данных в 2023 году
      • Как защищать персональные данные?
        Как защищать персональные данные?
      • Автоматизированная и неавтоматизированная обработка персональных данных
        Автоматизированная и неавтоматизированная обработка персональных данных
      • Обработка персональных данных без использования средств автоматизации
        Обработка персональных данных без использования средств автоматизации
      • Обработка персональных данных с использованием средств автоматизации
        Обработка персональных данных с использованием средств автоматизации
      • Угрозы безопасности персональных данных
        Угрозы безопасности персональных данных
      • Типы угроз персональных данных
        Типы угроз персональных данных
      • Актуальные угрозы безопасности персональных данных
        Актуальные угрозы безопасности персональных данных
      • Методика определения актуальных угроз безопасности персональных данных
        Методика определения актуальных угроз безопасности персональных данных
      • Банк данных угроз безопасности информации
        Банк данных угроз безопасности информации
      • Модель угроз безопасности персональных данных
        Модель угроз безопасности персональных данных
      • Классификация информационных систем персональных данных (отменена)
        Классификация информационных систем персональных данных (отменена)
      • Информационная система типовая или специальная?
        Информационная система типовая или специальная?
      • Уведомление Роскомнадзора об обработке персональных данных
        Уведомление Роскомнадзора об обработке персональных данных
      • Образец уведомления об обработке персональных данных
        Образец уведомления об обработке персональных данных
      • Уведомление об изменении данных в Роскомнадзор
        Уведомление об изменении данных в Роскомнадзор
      • Уведомление о прекращении обработки персональных данных
        Уведомление о прекращении обработки персональных данных

      Услуги
      Разработка документации
      Разработка документации
      Приведение в соответствие требованиям 152-ФЗ. Разработка и внедрение организационных мер и пакета локальной документации по вопросам обработки и защиты персональных данных
      Консалтинг
      Консалтинг
      Центр безопасности данных имеет серьезный опыт в области внедрения систем информационной безопасности, организации систем обработки и защиты персональных данных, защиты служебной, конфиденциальной информации и коммерческой тайны.
      • Комментарии
      Загрузка комментариев...

      Назад к списку Следующая статья
      • Ликбез по персональным данным
      • Штрафы за нарушения
      • Статьи и публикации
      • Вопросы и ответы
      • Новости о ПДн
      • Законодательство
      Приведение в соответствие 152-ФЗ
      Всегда рядом
      Всегда рядом Оказываем услуги дистанционно на всей территории России
      Цены сбалансированы
      Цены сбалансированы Индивидуальный подход при формировании стоимости работ
      Привлекательные сроки
      Привлекательные сроки Приведение обработки ПДн в соответствие 152-ФЗ – от 10 рабочих дней
      Огромный опыт
      Огромный опыт На рынке защиты персональных данных с 2011 года
      Компания
      О компании
      История
      Лицензии и сертификаты
      Клиенты
      Партнеры
      Вакансии
      Контактная информация
      Услуги
      Персональные данные
      Конфиденциальная информация
      Защищенные приложения
      Средства защиты информации
      General Data Protection Regulation
      Консалтинг и обучение
      Стоимость услуг
      Информация
      Ликбез по персональным данным
      Штрафы за нарушения
      Статьи и публикации
      Вопросы и ответы
      Новости о ПДн
      Законодательство
      Карта сайта
      Мессенджеры для связи:
      Наши контакты:

      +7 800 350-11-52
      +7 495 108-71-52
      Пн - Пт: с 8:00 до 17:00
      info@data-sec.ru
      Пользовательское соглашение  ⋅  Политика обработки персональных данных  ⋅  Заявление о конфиденциальности  ⋅  Файлы «Cookie»  ⋅  Правила копирования материалов  ⋅  Письмо директору
      © 2011–2023 Центр безопасности данных

      О файлах «Cookie»

      Мы используем файлы «Cookie» для сбора и анализа информации о производительности и использовании сайта, а также для улучшения и индивидуальной настройки предоставления информации. Нажимая кнопку «Принять» или продолжая пользоваться данным сайтом, вы соглашаетесь на размещение файлов «Cookie»

      Подробнее