Защита персональных данных в облаке
В России действует 152-ФЗ «О персональных данных». В нем сказано, что лицо, которое собирает и обрабатывает персональные данные, обязано обеспечить их защиту, чтобы данные российских граждан не попали не в те руки.
По закону персональные данные — любые данные, относящиеся к конкретному физическому лицу, то есть субъекту персональных данных.
Например, данные анонимных опросов о политических убеждениях или предпочтениях в еде не будут персональными данными, под действие 152-ФЗ они не попадают. А вот если вы узнаете политические убеждения конкретных людей и запишете эту информацию в базу вместе с ФИО человека — это уже персональные данные.
По закону выделяют четыре типа персональных данных, это нужно для определения уровня защиты:
- Специальные: раса, национальность, политические, религиозные и философские убеждения, состояние здоровья.
- Биометрические: фото, отпечатки пальцев.
- Общедоступные: ФИО, дата и место рождения, адрес проживания, номер телефона, информация о профессии.
- Иные: прочие данные о конкретном человеке, такие как имя домашнего питомца или предпочтения в еде.
Компания, которая собирает и обрабатывает эти данные, считается оператором персональных данных.
Требования к оператору персональных данных
Согласно закону 152-ФЗ, чтобы собирать и обрабатывать персональные данные, вы должны:
- Обеспечить защиту ПДн в соответствии с требованиями закона.
- Зарегистрироваться в Роскомнадзоре как оператор персональных данных.
- Спрашивать у людей согласие на сбор и обработку персональных данных.
Рассмотрим каждый пункт реализации требований 152-ФЗ подробно.
Обеспечить защиту персональных данных
При хранении и обработке данных нужно обеспечить им уровень безопасность защита персональных данных в соответствии с «Постановлением Правительства РФ N 1119» и 21 приказом ФСТЭК.
Необходимый уровень защищенности зависит от четырех факторов:
- Типа данных: специальные, биометрические, общедоступные или иные.
- Отношений с субъектами персональных данных: это ваши сотрудники или люди, с которыми у вас нет трудового договора, например клиенты.
- Количества субъектов персональных данных: больше 100 000 или меньше 100 000.
- Типа актуальных угроз: 1, 2 или 3 тип.
Типы данных, отношения с субъектами и количество субъектов легко определить самостоятельно, а вот с типами угроз сложнее. Согласно документу «Методика определения актуальных угроз безопасности ПДн при их обработке», угрозами называются условия и факторы, которые могут обеспечить несанкционированный доступ к персональным данным и привести к их утечке или порче.
В законе они классифицируются так:
- 1 тип — самые серьезные угрозы, связанные с недокументированными возможностями в системном программном обеспечении (ПО), например в операционной системе.
- 2 тип — угрозы, связанные с недокументированными возможностями в прикладном ПО, например в установленных программах.
- 3 тип — угрозы, не связанные с ПО, например уязвимости в оборудовании.
Универсального способа определить тип угроз, актуальных для вашей системы, нет. Принято считать, что если вы используете ПО, сертифицированное ФСТЭК, то недокументированных возможностей в нем нет, так что угрозы 1 и 2 типа можно считать неактуальными. А вот если сертификатов у ПО нет, уровень угроз может определить только специалист по технической безопасности. Если такого нет в штате, его можно нанять для консультации.
Как только определен тип данных, отношение с субъектами, количество субъектов и тип актуальных угроз, вы сможете понять, система какого уровня защищенности необходима.
Всего существует 4 уровня защищенности (доверия):
- 4 УЗ. Необходим для защиты общедоступных и иных данных с 3 типом угроз. Самый простой, требует несложных мер защиты вроде установки антивируса и регулярного обновления ПО.
- 3 УЗ. Кроме общедоступных и иных данных позволяет хранить биометрические и специальные данные, работать при 2 и 3 типе угроз. Требует регулярно искать и устранять уязвимости в оборудовании и ПО, а также ограничить доступ к настройкам информационной системы. Именно этот уровень подходит для большинства компаний.
- 2 УЗ. Подходит для хранения любых данных, для некоторых данных допускает даже 1 тип угроз. Требует установить систему обнаружения вторжений, защищать систему от спама, организовать резервное копирование.
- 1 УЗ. Позволяет хранить специальные и биометрические данные при 1 типе угроз. Технически самый сложный, к примеру, требует безотказной работы серверов и установки на компьютеры только ПО, заранее разрешенного службой безопасности.
Точные технические требования к каждому уровню прописаны в приложении к 21 приказу ФСТЭК. Если вы передаете данные в облако, часть этих требований соблюдаются на стороне облачного провайдера — например, именно он собирает информацию о событиях безопасности и контролирует физический доступ к серверам.