С защитой персональных данных, которые хранятся на физическом оборудовании, все очевидно: контроль доступа, защищенные рабочие терминалы, парольные политики и пр. С персональными данными в облаке сложнее, поэтому провайдеры выделяют для ПДн соответствующие требованиям Федерального закона №152-ФЗ облака.
О специфике защищенных облаков и уровнях безопасности ПДн мы побеседовали со специалистами облачного провайдера Nubes. Они разворачивают облачные решения для промышленных, медицинских организаций, региональных и государственных информационных систем (ГИС), и досконально знают специфику обеспечения защиты персональных данных.
В чем особенности облачного сервиса по требованиям 152-ФЗ?
Чтобы обеспечить защиту ПДн по требованиям Федерального закона №152-ФЗ, провайдер разворачивает облако на выделенном физическом сервере и отводит для него изолированный сегмент сети. Дополнительно аппаратная база и виртуальные среды защищаются на нескольких уровнях:
-
За безопасностью физического оборудования следит система контроля доступа (видеонаблюдение, турникеты и пр.) в ЦОД,
-
Техническую сеть контролируют системы криптографической защиты и другие решения, сертифицированные ФСТЭК,
-
Безопасность служебных систем поддерживают средства защиты виртуальной среды,
-
Доступы администраторов облачного сервиса и их рабочие терминалы контролируют средства идентификации и управления доступом,
-
Системы логирования и ликвидации уязвимостей поддерживают инструменты мониторинга и регистрации событий безопасности.
В облаке 152-ФЗ можно хранить любые персональные данные?
В одних облаках можно хранить персональные данные со вторым уровнем защищенности (УЗ). В других — с первым. Это определяет тип ПДн и категории угроз.
Постановление Правительства РФ N 1119 делит ПДн на четыре типа: общие, специальные, биометрические и иные. Дополнительно ПДн классифицируют по количеству субъектов (больше 100 000 или меньше 100 000) и формату отношений с оператором, например, ПДн клиентов или сотрудников.
С угрозами проще, их всего три:
-
1 тип, когда функционал системного или прикладного ПО может привести к несанкционированной блокировке, удалению, изменению или краже личных данных.
-
2 тип, когда прикладное ПО может использоваться для несанкционированного доступа к личным данным или их изменению.
-
3 тип не связан с программным обеспечением или присваивается, когда в системном или прикладном ПО нет недокументированных (недекларированных) возможностей для доступа, изменения или удаления ПДн.
Совокупность всех четверых параметров — тип данных, количество субъектов ПДн, формат взаимоотношений и тип угроз — определяет уровень защищенности. Так, общедоступным ПДн со вторым типом угроз и количеством субъектов менее 100 000 достаточно третьего уровня защищенности. Специальным персональным данным с третьим типом угроз и в количестве более 100 000 нужен 2-УЗ.
Можно сделать облако с первым уровнем защищенности и спокойно хранить в нем все ПДн, не беспокоясь о типах и угрозах?
Можно, но получится дорого и сложно. Во-первых, нужна аттестация ИСПДн, а это совершенно другой ценовой уровень средств защиты. Во-вторых, после аттестации облако нельзя менять. Любое изменение архитектуры потребует переаттестации. Что долго, опять-таки дорого и сводит к минимуму все достоинства гибкой, масштабируемой IaaS инфраструктуры.
Именно поэтому в Nubes мы не предлагаем клиентам «самое защищенное» облако 152-ФЗ. Мы точно определяем требуемый уровень защищенности и подбираем облачную инфраструктуру с адекватным уровнем безопасности.
Как определить нужный уровень защищенности ПДн?
Методика подробно описана в Постановлении Правительства РФ N 1119. К ней есть дополнительные подзаконные акты. Неспециалистам достаточно сложно свести их в одну плоскость, поэтому если нужна помощь — напишите на info@nubes.ru или оставьте заявку на консультацию. Оценим ИСПДн и предложим адекватное техническое решение.