4 шага по работе с персональными данными в облаке. Чек-лист VK Cloud

Олег Бойко Директор по информационной безопасности VK Cloud

Среди ключевых барьеров — ограничения ИТ-инфраструктуры и недостаток компетенций технических сотрудников. Работать с ними помогают облачные технологии: бизнес получает необходимые мощности и преднастроенные сервисы для разработки и работы с данными на всех этапах.

Gartner прогнозирует, что к 2026 году 75% организаций будут использовать облака в качестве базовой платформы для цифровизации. Поэтому спрос на облачные сервисы для хранения и обработки данных будет расти.

Можно ли работать в облаке с персональными данными

Облачная инфраструктура позволяет работать с большими массивами данных. При этом сохраняется стереотип, что персональные данные (ПДн) надежнее хранить и обрабатывать на собственных серверах бизнеса.

Требования по обеспечению безопасности ПДн регламентируются 152-ФЗ и приказом № 21 ФСТЭК России, которые не запрещают работать с персональными данными в облаке.

Компании активно используют облака для работы с данными, в том числе, с ПДн, поскольку часть облачных провайдеров, например VK Cloud, обеспечивают соответствие инфраструктуры облака требованиям регуляторов. Это подтверждается аттестатом ФСТЭК России, который выдается после соответствующих проверок и испытаний.

Один из наших клиентов — компания «Комус» построила на платформе VK Cloud систему для Self-Service-аналитики. DNS развернула консолидированное хранилище, объединила данные из всех источников и повысила их доступность для аналитиков. АШАН построил решение для работы с большими данными: ритейлер хранит и обрабатывает в облаке, в том числе, персональные данные.

Разберем, как выстроить взаимодействие с облачной платформой, чтобы выполнить требования 152-ФЗ и не беспокоиться за сохранность данных.

Шаг 1. Определить требуемый уровень защищенности ПДн

Уровень защищенности персональных данных определяется в зависимости от категории ПДн и актуальных угроз, количества пользователей и их статуса — сотрудники это или клиенты.

Понять, какой уровень защищенности требуется, поможет таблица:

Первый тип угроз, наиболее критический, связан с уязвимостями или иными вредоносными программами системного ПО, второй — прикладного (системы управления базами данных, системы аналитика данных и пр.). К третьему типу относят все остальные угрозы, не связанные с наличием уязвимостей.

Уровень защищенности влияет на набор организационных и технических мер, а значит, на капитальные и операционные затраты компании.

Например, система защиты медицинских учреждений, которые обрабатывают информацию о состоянии здоровья нескольких тысяч пациентов, должна соответствовать уровню УЗ-3. Когда количество пациентов превысит 100 тыс., необходимо повысить уровень защиты до УЗ-2. Если организация начнет собирать биометрические данные, то для нее станет обязательным высший уровень защиты УЗ-1. При этом, если это учреждение использует систему контроля доступа в здание на основе биометрической идентификации сотрудников, вне зависимости от количества сотрудников — нужно обеспечить УЗ-2, если в системном ПО существует риск уязвимостей.

Шаг 2. Выбрать облачного провайдера

Построить внутри корпоративного ИТ-контура инфраструктуру, удовлетворяющую требованиям УЗ-1, можно, но это потребует существенных затрат и экспертизы. Проще воспользоваться услугами облачного провайдера, который уже обеспечил нужный уровень защищенности инфраструктуры и регулярно проходит проверки, в том числе, на уязвимости. Для получения аттестата соответствия облачный провайдер должен выполнить ряд требований. Среди них: дата-центры на территории России, контроль физического доступа к серверам платформы, система защиты облачной платформы.

Платформа VK Cloud позволяет обеспечить защищенность ПДн на уровне УЗ-1. Аттестат соответствия УЗ-1 разрешает обрабатывать в облаке любые категории персональных данных, в том числе биометрические и специальные. Облако может быть как публичным (Public Cloud), так и частным (Private Cloud). Например, в Private Cloud от VK — облачная инфраструктура для работы критических систем, разворачивается на собственных или арендованных серверах бизнеса и сохраняет бизнес-операции в контуре компании.

Шаг 3. Разграничить с провайдером зоны ответственности за обработку и безопасность данных

Защита персональных данных состоит из нескольких элементов, часть из которых реализуется непосредственно на стороне самой компании — оператора ПДн. Важно определить и зафиксировать, какие требования и меры по обработке и защите персональных данных реализует облачная платформа, а какие компания — оператор ПДн, сформировав матрицу разграничения ответственности.

Провайдер облачных сервисов обеспечивает защищенность своего контура: вплоть до уровня виртуальных машин — серверов и физической сети. Клиент получает инфраструктуру в соответствии с требованиями регулятора.

Управление доступом к данным и обеспечение защищенности бизнес-приложений, которые компания-оператор ПДн разместила в облаке, находится в ее зоне ответственности. Например, владелец бизнес-приложения должен внимательно подойти к настройкам доступа к данным.

Облачный провайдер обеспечивает защищенность и отказоустойчивость инфраструктуры и облачных сервисов, а разработчик бизнес-приложения может сосредоточиться на его доработке, масштабировании и развитии.

Важно также договориться о процессе взаимного информирования об инцидентах и авариях, в том числе, утвердить матрицу коммуникации для оперативного реагирования на непредвиденные ситуации.

Шаг 4. Создать систему защиты на стороне бизнеса и пройти аттестацию

После согласования матрицы разграничения ответственности, компания-оператор ПДн реализует меры, которые находятся в ее зоне ответственности. Для выполнения технических мер защиты ПДн организация может использовать сторонние средства защиты или сервисы облачной платформы.

Не стоит забывать и про организационные меры: смоделировать угрозы и нарушителей, классифицировать информационные системы ПДн, назначить ответственных за обработку и обеспечение безопасности ПДн, сформировать перечень защищаемых информационных ресурсов и другое.

Необходимые организационные и технические меры по обеспечению безопасности персональных данных устанавливает приказ ФСТЭК России. Как правило, компаниям, размещающим свои ИСПДн в облаке, остается:

• выбрать и внедрить средства защиты информации, которые соответствуют необходимому уровню защищенности;
• разработать организационные меры защиты и подготовить нормативные документы: политики доступа и инструкции к ним;
• провести испытания системы защиты информации с учетом того, что ряд мер уже реализован провайдером;
• выпустить аттестат на ИСПДн или провести оценку соответствия.

При этом, если при моделировании угроз установлено, что использование сертифицированных средств защиты не обязательно, то компании могут использовать встроенную функциональность безопасности программного обеспечения, а также решения на базе открытого исходного кода — open source.

Когда система защиты персональных данных создана, она должна пройти оценку соответствия требованиям безопасности. Оператор персональных данных решает, каким образом он сможет подтвердить выполнение требования: с помощью аттестации с участием ФСТЭК России или оценки эффективности мер. Аттестация — четко регламентированная на уровне приказов ФСТЭК России форма оценки, в то время как оценка эффективности мер позволяет выполнить оценку соответствия в форме, к примеру, приёмо-сдаточных испытаний.

Работа с персональными данными в облаке — дает ряд преимуществ компании-оператору ПДн. Например, избавляет от необходимости аттестовать инфраструктуру по нормативам ФСТЭК, что требует капитальных и операционных затрат. Эти расходы можно переложить на облачного провайдера, для которого предоставление безопасной ИТ-инфраструктуры и сервисов является основным бизнесом. Работа в облаке позволяет повысить эффективность затрат на ИТ-инфраструктуру и перевести капитальные затраты и в операционные.

Облачные сервисы позволяют быстро запускать проекты в области работы с данными, оперативно применять результаты аналитики для развития бизнеса. При этом компания разделяет задачи по защите ПДн с опытным партнером, понимающим все подводные камни работы с персональными данными.

Хранение и обработка данных, в том числе персональных, в облаке стала стандартной практикой в ряде сфер, например, ритейле. Но и более консервативные отрасли, включая финансовый сектор и промышленность, запускают песочницы в облаках и экспериментируют с аналитическими инструментами, которые провайдеры предоставляют по сервисной модели.

Больше материалов о том, как компании работают с данными в облаке на сайте.