Персональные данные смотрят в небо
Как бизнесу выполнять требования закона о защите чувствительной информации в облаке
Во многих отраслях эффективная работа с данными, в том числе персональными, становится залогом роста бизнеса. Когда информации становится много, удобнее хранить и обрабатывать ее в облаке — это понимает 75% компаний, которые уже используют облачные решения для работы с данными или планируют перейти на них в ближайшее время, показало исследование VK Cloud. Однако некоторые компании не знают, что в облаке можно обрабатывать, в том числе, персональные данные. Как организовать работу с чувствительными данными в облачной среде в соответствии с законодательством, разбирался "Ъ".
Фото: Олег Харсеев, Коммерсантъ
Экономика данных в России ежегодно растет: по прогнозу Ассоциации больших данных, при консолидации действий бизнеса и государства ее объем увеличится со 170 млрд руб. в 2021 году до 319 млрд руб. к концу 2024 года. Бизнес накапливает все больше данных — растет и потребность в вычислительных ресурсах для их хранения и обработки. Постоянно расширять собственную IT-инфраструктуру и до 2022 года было достаточно дорого, сейчас компании сильно ограничены в выборе IT-оборудования, а сроки поставок увеличились. Поэтому все чаще бизнес стартует проекты по работе с данными в облаках. Но когда речь заходит о персональных данных (ПДн), компании все еще опасаются выпускать их из своего контура.
С начала 2023 года Роскомнадзор зафиксировал 27 утечек персональных данных, которые привели к публикации в сети 165 млн записей о россиянах. Для снижения числа подобных инцидентов обсуждается возможность усиления ответственности в отношении оператора персональных данных, допустившего утечку. В частности, в январе президент поручил правительству рассмотреть законопроект об оборотных штрафах.
В большинстве случаев инциденты обусловлены спланированными хакерскими атаками, а злоумышленники использовали неизвестные ранее уязвимости в софте, серверах и телекоммуникационном оборудовании, поясняли в Роскомнадзоре. При этом нередко бывают случаи, когда инциденты становятся возможными по внутренним причинам: сотрудники компаний по невнимательности или умышленно пренебрегают правилами безопасной работы с данными.
Сегодня сбор и обработка ПДн регулируется законом «О персональных данных» №152-ФЗ. Любые действия с ними разрешается производить только на серверах, расположенных на территории России, говорит главный юрисконсульт практики интеллектуальной собственности юридической компании ЭБР Кирилл Ляхманов. Закон не запрещает работать с персональными данными в облаках, физическая инфраструктура которых расположена в России.
От данных к персоналиям
Персональные данные — это любая информация, прямо или косвенно связанная с человеком. Они делятся на несколько категорий. Первая — общедоступные данные. Это информация, которую человек согласился опубликовать в общедоступных источниках. К ним чаще всего относятся ФИО, дата и место рождения, адрес, номер телефона, информация о профессии. Вторая категория — иные данные, например имя любимого домашнего питомца или предпочтения в еде. Третья категория — специальные данные, такие как национальность, религиозные убеждения, состояние здоровья. Еще одна категория — биометрические данные.
Персональные данные используются для различных целей. В госсекторе — для предоставления госуслуг, в финансовых организациях — для скоринга, в ритейле — для разработки программ лояльности, рекомендательных систем и запуска новых сервисов.
Выбор надежности
Закон 152-ФЗ устанавливает разные требования к обеспечению безопасности персональных данных — они зависят от типа ПДн, количества и статуса пользователей, потенциальных угроз. Операторы персональных данных должны пройти оценку соответствия своей инфраструктуры и информационных систем 152-ФЗ и получить аттестат ФСТЭК, подтверждающий выполнение требований по обеспечению безопасности ПДн по одному из уровней: УЗ-1, УЗ-2, УЗ-3.
Например, если компания использует общедоступные данные менее 100 тыс. пользователей, то достаточным будет уровень защищенности УЗ-3 или УЗ-2. Это зависит в том числе от того, какое используется программное обеспечение. Если оно сертифицировано ФСТЭК, уровень угроз для нее всегда будет третий. Если же компания собирает различные данные, в том числе специальные, а количество пользователей превышает 100 тыс. человек, то потребуется самый высокий уровень защиты УЗ-1.
Если компания работает с персональными данными локально, то она должна обеспечить требуемый уровень защиты как физической инфраструктуры, так и информационных систем (ИСПДн). При работе в облаке инфраструктуру для работы с ПДн может предоставить провайдер (если он прошел аттестацию по требованиям 152-ФЗ). У облака должен быть аттестат соответствия информационной системы персональных данных (ИСПДн), уточняет господин Ляхманов: «Этот документ выдается после прохождения провайдером комплексной проверки на соответствие требованиям российского законодательства, предъявляемых к ИСПДн определенного уровня защищенности».
«Облачные провайдеры аттестуют свою инфраструктуру по той же методологии, что и операторы персональных данных, — отмечает Олег Бойко, директор по информационной безопасности VK Cloud. — Например, VK Cloud имеет аттестат соответствия УЗ-1. Это позволяет хранить в нашем облаке любые типы ПДн, в том числе биометрические и специальные. Кроме того, у нас есть дополнительные оценки эффективности — сертификат PCI DSS и аттестат соответствия стандартам по безопасности финансовых (банковских) операций ГОСТ Р 57580».
Важно понимать, что провайдер предоставляет сертифицированную по 152-ФЗ инфраструктуру, но не имеет доступа к системам компании, размещенным в облаке. Поэтому оператор персональных данных, который арендует вычислительные ресурсы в облаке, должен самостоятельно обеспечить аттестацию своих ИСПДн. «Разделение ответственности между клиентом и провайдером в случае работы с персональными данными такая же, как и при хранении и обработке любых данных. Провайдер обеспечивает катастрофоустойчивость инфраструктуры и информационную безопасность облачных сервисов до уровня виртуальных машин (включительно), пользователи облака на своей стороне защищают системы и данные, которые размещают в облаке», — отмечает Олег Бойко из VK Cloud.
Таким образом, при работе с ПДн в облаке компании нужно выбрать облачного провайдера, который аттестовал свою платформу и сервисы в качестве ИСПДн. При этом важно согласовать с ним матрицу разделения ответственности, чтобы понимать, какие задачи закрывает платформа, а какие остаются на стороне компании. С технической точки зрения необходимо обеспечить защиту канала связи между облаком и своей инфраструктурой и аттестовать или провести процедуру оценки соответствия требованиям законодательства своей ИСПДн, размещаемой в облаке.
Облачные кейсы
Компании из разных отраслей уже работают с персональными данными в облаках. Так, медицинский сервис Med.me хранил персональные данные пациентов в облаке глобального вендора, которое соответствовало третьему уровню защищенности. Когда компания стала работать с государственными организациями, ей потребовалось соответствие второму уровню защищенности (УЗ-2) и сертификация по 152-ФЗ — этого международный провайдер предоставить уже не мог. Поэтому компания стала искать альтернативу на российском рынке.
«Можно было создать и аттестовать такую инфраструктуру самостоятельно, но это очень дорого и трудоемко», — рассказывает гендиректор Med.me Александр Наследников. В результате компания перешла в облако VK Cloud: «Вся миграция заняла несколько месяцев, основное время ушло на подготовку документов для сертификации. Если самостоятельно сертифицировать инфраструктуру под требования 152-ФЗ, ушло бы намного больше времени».
«АШАН» развернул платформу работы с большими данными в публичном облаке VK Cloud, и ключевыми факторами в принятии решения стали наличие у провайдера аттестата 152-ФЗ, закрепленное в договоре разделение ответственности между провайдером и клиентом и помощь в проведении процедуры оценки соответствия ИСПДн требованиям 21 приказа ФСТЭК, рассказал IT-директор «АШАН Ритейл Россия» Максим Строгий.
Облако на заказ
В то же время некоторые персональные данные могут быть особо чувствительными — к этой категории относится критически важная информация, компрометация которой нарушает неприкосновенность частной жизни. Это, например, данные о доходах и медицинских диагнозах частных лиц, гостайна и данные объектов критической информационной инфраструктуры (КИИ).
Такие данные также можно хранить в облаке, даже если клиент не хочет выпускать их из своего IT-контура: для этого есть частное облако (Private Cloud), которое предназначено для инсталляции в периметре организации и находится внутри ее корпоративной сети. «Инсталляция частного облака Private Cloud от VK отвечает всем регуляторным требованиям по безопасности, разворачивается на оборудовании заказчика и входит в реестр отечественного ПО», — отметил Олег Бойко, директор по информационной безопасности VK Cloud.
Крупный IT-интегратор с помощью технологий Private Cloud от VK создал частное облако на базе своего центра обработки данных. Оно позволяет быстро разворачивать IT-сервисы, обеспечивать безопасность критически важных систем и чувствительных данных.
«Если создавать облачную платформу на базе технологий частного облака в партнерстве с провайдером, то можно получить все современные сервисы для разработки и работы с данными внутри своего IT-периметра, — говорит Олег Бойко. — Такую модель работы нередко выбирают, например, компании из нефтегаза и атомной отрасли».
Таким образом, в облаках можно работать с персональными данными и чувствительной информацией. В зависимости от внутренних ограничений и требований безопасности можно выбрать публичное или частное облако. Если грамотно интегрировать облачные технологии в свою IT-стратегию и корпоративный контур, то уровень надежности и безопасности инфраструктуры только увеличится.