Облако 152-ФЗ

Защита персональных данных — это прямая обязанность оператора персональный данных. То есть любой организации, которая самостоятельно или совместно с другими лицами организует или осуществляет обработку персональных данных, определяет цели и методы обработки персональных данных, а также их состав.

В соответствии с ч.1 ст. 19 152-ФЗ, оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Безопасность персональных данных в информационной системе обеспечивается с помощью системы защиты персональных данных (СЗПДн), нейтрализующей актуальные угрозы безопасности.

Актуальные угрозы безопасности персональным данным определяются в ходе оценки угроз безопасности и отражаются в модели угроз.

В зависимости от категории обрабатываемых персональных данных, их принадлежности, количества и типа актуальных угроз, в соответствии с Постановлением Правительства РФ от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", для ИСПДн определяется один из четырех уровней защищенности. 

Система защиты персональных данных включает в себя организационные и технические меры, определенные исходя из актуальных угроз безопасности, требуемого уровня защищенности и информационных технологий, используемых в ИСПДн в соответствии с Приказом ФСТЭК России от 18 февраля 2013 г. № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

В общем случае процесс создания системы защиты персональных данных состоит из следующих этапов:

1. Обследование ИСПДн

2. Разработка модели угроз безопасности персональных данных

3. Разработка технического задания на создание СЗПДн

4. Разработка технического проекта на создание СЗПДн

5. Разработка локальных нормативных актов (ЛНА) и организационно-распорядительной документации (ОРД)

6. Установка, настройка СЗИ, СКЗИ

7. Оценка эффективности принимаемых мер по обеспечению безопасности или аттестация ИСПДн

Можно выделить 3 основных отличия «Защищенного» облака от обычного:

1. Соответствие «Защищенного» облака необходимым стандартам и требованиям информационной безопасности.

2. Реализация провайдером организационных и технических меры, включая предоставление, установку, настройку и техническую поддержку СЗИ и СКЗИ.

3. Возможность предоставления провайдером облачных услуг необходимых подтверждающих документов и наличие у него лицензий ФСТЭК и ФСБ России.

Элементы инфраструктуры на которых базируется защищенное облако, включая: ЦОД, электроснабжение, кондиционирование, КПП, СКУД, СВН, сетевое и серверное оборудование, платформа виртуализации, отвечает соответствующим стандартам и требованиям к надежности и информационной безопасности. 

К таким требованиям и стандартам, в зависимости от принадлежности, отрасли и специфики информационной системы, могут относиться:

• TIA-942 Telecommunications Infrastructure Standard for Data Centers

•  ГОСТ Р 58811-2020 «Центры обработки данных. Инженерная инфраструктура. Стадии создания»

•  ГОСТ Р 58812-2020 «Центры обработки данных. Инженерная инфраструктура. Операционная модель эксплуатации. Спецификация»

•  ГОСТ Р ИСО/МЭК 17799 — «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением — ISO/IEC 17799:2005

•  ГОСТ Р ИСО/МЭК 27001 — «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта — ISO/IEC 27001:2005

•  Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ

•  Постановление Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

•  Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

•  Приказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"

•  СТО БР ИББС-1.0-2014 — Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».

•  PCI DSS (Payment Card Industry Data Security Standard) — Стандарт безопасности данных индустрии платёжных карт

• Идентификация и аутентификация субъектов доступа и объектов доступа

• Управление доступом субъектов доступа к объектам доступа

• Ограничение программной среды

• Защита машинных носителей персональных данных

• Регистрация событий безопасности

• Антивирусная защита

• Обнаружение вторжений

• Контроль (анализ) защищенности персональных данных

• Обеспечение целостности информационной системы и персональных данных

• Обеспечение доступности персональных данных

• Защита среды виртуализации

• Защита технических средств

• Защита информационной системы, ее средств, систем связи и передачи данных

• Выявление инцидентов и реагирование на них

• Управление конфигурацией информационной системы и системы защиты персональных данных

В защищенном облаке провайдер может предоставить все необходимые для реализации вышеуказанных мер СЗИ и СКЗИ как услугу по модели IaaS.

Что включает в себя предоставление,  настройку, при необходимости доставку, и техническую поддержку следующих типов СЗИ и СКЗИ;

• Сертифицированные операционные системы ОС

• Наложенные средства защиты от несанкционированного доступа СЗИ от НСД

• Средства антивирусной защиты

• Средства обнаружения и предотвращения вторжений

• Средства контроля и анализа защищенности

• Средства резервного копирования

• Средства защиты среды виртуализации

• Средства межсетевого экранирования

• Средства защиты веб-приложений

• Средства криптографической защиты информации СКЗИ

• Средства управление событиями безопасности SIEM

• Средства предотвращения утечек информации DLP

Помимо выполнения организационные и технические требований по информационной безопасности, оператору и владельцу информационной системы необходимо иметь подтверждающие документы, которые могут быть затребованы в ходе аудиторской проверки или проверки контролирующих органов.

К таким документам могут относится:

• Модель угроз

• Локальные нормативные акты

• Организационно-распорядительная документация

• Политика в отношении обработки персональных данных

• Договор-поручение на обработку персональных данных

• Документы, подтверждающие использование СЗИ

• Сертификаты на СЗИ/СКЗИ и лицензии ФСТЭК/ФСБ

• Результаты внутреннего контроля или аудита

• Аттестат на информационную систему

При необходимости, оператор «Защищенного» облака предоставит все необходимые документы и информацию.