Задействование облачных серверов становится популярным не только среди частных компаний, но и государственных органов. Государственные структуры могут использовать системы хранения персональных данных для различных целей. Была сформирована единая инфраструктура для государственных органов, которая исключает дублирование систем со схожими функциями.

По результатам проведенного опроса, стало известно, что более 60% госорганов используют облачное программное обеспечение, однако большинство из них не уверенны в безопасности информации. Это обуславливает повышенные требования к дата-центрам, провайдерам и поставщикам ПО. Их работа ориентирована на обеспечение безопасности персональных данных. Должны осуществляться требования, предъявленные к ГИС и информационным системам, которые занимаются обработкой персональным данных и их хранением.

Под ГИС-ом понимаются федеральные и региональные системы, созданные для обеспечения передачи персональных данных между госорганами. Ежегодно появляются новые требования, предъявляемые к системам защиты персональных данных. На сегодняшний день можно выделить следующие законы и постановления, которые ориентированы на защиту персональных данных:

1. Законы:

- 149 Федеральный закон "Об информации, информационных технологиях и о защите информации";

- 152 ФЗ «О персональных данных»;

- Федеральный №242, который выступает в качестве уточнения к предыдущему закону;

- о коммерческой тайне;

- 161 ФЗ о национальной платежной системе.

2. Приказы:

- ФСТЭК Российской Федерации No17 и No21, где установлены требования к указанным выше законам;

- ФСБ No378 от 10.07.2014.

3. Постановления:

- No1119 от 01.11.12.

Безопасность персональных данных

Согласно законодательству РФ, защита персональных данных должна быть обеспечена на высоком уровне, потому как содержащаяся в них информация ориентирована на ограниченный доступ. Обработка персональных данных осуществляется в соответствии с законом 152-ФЗ "О персональных данных". Здесь регулируются вопросы, касающиеся обработки персональных данных, осуществляемой различными государственными органами. Закон предусматривает, что базы персональных данных граждан РФ должны храниться в России, однако это не препятствует дублированию информации на зарубежных серверах.

В качестве операторов персональных данных выступают мед и соц учреждения, учебные заведения, страховые компании и иные организации, которые работают с физическими лицами (включая зарубежные). При работе с персональными данными, операторами ПДн должен быть уведомлен Роскомнадзор о намерении проводить обработку персональных данных.

Как можно обеспечить защиту персональных данных?

Любое предприятие желает обеспечить безопасность персональных данных, для чего используются различные средства защиты информации. Чтобы не заниматься этим процессом самостоятельно, поскольку это сложно и дорого, лучше обращаться к коммерческим дата-центрам. Они позволяют вам размещать собственную информацию в ЦОД провайдера либо в облаке. В этой ситуации ответственность за защиту персональных данных лежит на центре обработки данных.

Компании должны учитывать существующий риск размещения информации в сторонних системах защиты персональных данных. Когда речь идет о ГИС либо ИСПДн, то здесь потребуется дополнительно защита со стороны ИТ-инфраструктуры провайдера.

Важно обговорить то, как требования предъявляются к центрам, осуществляющим обработку персональных данных.

Требования, которым должен соответствовать ЦОД

Центр хранения персональных данных и обеспечения их защиты должен полностью соответствовать существующим требованиям законодательства и Роскомнадзора. Регулированием этих вопросов занимаются ФСТЭК и ФСБ, выполняющие контроль и сертификацию систем, которые работают с персональными данными. Гарантировать безопасность персональных данных достаточно сложно, как и создать оптимальные условия для их хранения. Это предстает технической и многокритериальной задачей. Одним из средств защиты информации предстает реализация многоуровневой защиты. В этой ситуации будут использованы как технические, так и организационные средства защиты информации. В идеале эти параметры рассматриваются и учитываются на стадии планирования создания ИС.

С помощью многоуровневых систем защиты можно защитить базы персональных данных от вторжений и обнаружения, от вирусов, хищения информации и т.д. Система включает в себя различные средства, ориентированные на безопасность персональных данных. О полном соответствии требований свидетельствуют сертификаты и заключение SLA с заказчиком.

Несмотря на то, что сегодня многие осуществляют работу с персональными данными и услуги хостинга стремительно развиваются, имеется мало предложений по размещению ИС обработки и защиты персональных данных и ГИС, которые бы полностью соответствовали государственным требованиям. Сравнивая ГИС и ИСПДн, стоит отметить, что у первого имеются более высокие требования.

Законодательство не регулирует явным образом тот момент, каким образом компанией должна обеспечиваться защита персональных данных. К этому вопросу необходимо подходить индивидуально, основываясь на типе информации и существующих рисках. Когда речь идет о ИСПДн, то здесь компания должна определить необходимый уровень защищенности, основываясь на котором будут подбираться средства защиты информации. Этот уровень устанавливается в зависимости от того, какие данные будет обработаны, каков их объем и какие имеются актуальные угрозы. Помимо этого, в число обязанностей оператора ПДн можно отнести обеспечение законности передачи персональных данных, построение эффективной системы защиты, отправку уведомления в Роскомнадзор, оценку проведения защиты базы персональных данных и т.д.

Хорошая альтернатива - обращение к уже аттестованному виртуальному дата-центру, передав всю ответственность за защиту персональных данных на провайдера. Важно удостовериться в наличии у провайдера соответствующей лицензии на осуществление деятельности по технической защите и обработке персональных данных.

К основным требованиям относится наличие СЗИ на уровне виртуализации и программ, систем для мониторинга и выполнения регистрации события, наличие шифрования трафика, предоставление физической и дополнительной защиты персональных данных, а также осуществление иных задач. Такой виртуальный ЦОД будет соответствовать требованиям закона №152 ФЗ "О персональных данных".

Что предлагаем мы?

"Техносерв" предлагает своим клиентам качественную защиту персональных данных:

- устанавливается необходимый уровень защищенности, вследствие чего подбирается нужный сегмент платформы T1 Cloud;

- разрабатывается требуемая документация, которая необходима для удовлетворения требований Роскомнадзора и законодательства РФ. Сюда же относится и аттестация информационных систем;

- имеются лицензии ФСБ и ФСТЭК, которые позволяют проводить аттестацию информационных систем, поскольку имеются права аттестующего органа.

В нашей компании имеются две платформы для хранения персональных данных.

Платформа сегмента	Защищенный	Закрытый
Среды виртуализации	OpenStack-KVM, VMware	VMware
Цель использования	Размещение ИСПДн, которые не предъявляют специализированных требований к защите и хранению персональных данных заказчика. Размещение ИСПДн компаний, включая те, которые были задействованы в процессах обработки персональных данных держателей карт.	Размещение ГИС и ИСПДн, которые соответствуют самым высоким требованиям Роскомнадзора и законодательства РФ.
Соответствие действующему российскому законодательству	Приказ №21 ФСТЭК РФ (3-4 уровни) PCI DSS — общепринятый стандарт безопасности ПДн индустрии платёжных карт; Положение регулятора №382-п; Стандарт регулятора	Приказ №17 ФСТЭК РФ(1 класс) Приказ №21 ФСТЭК РФ(1 уровень) Федеральный Закон №152
Сертификация и Аттестация	Сертификат соответствия установленным требованиям Стандарта безопасности PCI DSS	Аттестат соответствия существующим требованиям по безопасности информации для размещения ИС и систем, осуществляющих обработку персональных данных до 1-го уровня защищенности
Информационная безопасность	Используемые средства защиты позволяют выполнить требования, предъявляемые: к ИСПДн до 3-го уровня защищенности включительно; стандартом PCI DSS; Положением регулятора №382-П. Стандартом ЦБ РФ	Применяемые средства защиты позволяют выполнить требования, предъявляемые: к ИСПДн до 1 -го класса защищенности включительно; к ИСПДн до 1-го уровня защищенности включительно.
Организационные меры защиты	Физическая безопасность: Управление и контроль доступом Сигнализация Пожаротушение в автоматическом режиме Система видеонаблюдения Сейфы Дополнительные мероприятия: Постоянный мониторинг и регулярные тестирования Присутствует и поддерживается политика безопасности Осуществляется управление возможными рисками и уязвимыми моментами, выполняется расследование инцидентов Регулярно проводятся внутренние и внешние проверки безопасности

Виртуальный дата-центр «Закрытый»

«Закрытый» виртуальный дата-центр предоставляет виртуальную IT-инфраструктуру, которая имеет высокую степень защиты персональных данных. В данном случае можно говорить о первом уровне защищенности, который сказывается и на хранении, и на передаче персональных данных.

Масштабируемая виртуальная инфраструктура с 99,95% доступности позволяет создать полноценный центр по обработке и хранению персональных данных в «закрытом» сегменте.

Облачный дата-центр позволит компании оптимизировать как финансовые, так и временные затраты, позволяя осуществлять хранение персональных данных в иной IT-инфраструктуре. Не нужно тратиться на обслуживание собственной системы, когда можно обратиться в дата-центр, обеспечивающий качественную работу с персональными данными, и где могут размещаться ГИС с высокими требованиями к безопасности.

Все предоставляемые нашей компанией средства защиты характеризуются наличием требуемых сертификатов от таких служб Российской Федерации как ФСБ и ФСТЭК. Многоуровневая защита, организационные меры, контроль, соответствие стандартам и многое другое обеспечивает достойное хранение персональных данных. Наша компания осуществляет регулярный внешний и внутренний аудит безопасности, постоянно проводится мониторинг данных и совершаемых действий, связанных с обработкой персональных данных. Нами не упускаются риски и уязвимости, а напротив, мы адаптированы под управление ими.

Предоставляемая услуга по хранению персональных данных имеет актуальность для многих государственных и частных компаний. Она вполне востребована операторами персональных данных, которые стремятся адаптировать свою систему под существующие законодательные требования и нормы. Если заказчик разместит свою информационную системы в закрытом сегменте облачной инфраструктуры, то он освобождается от выполнения всех регламентных работ, которые передаются центру по обработке персональных данных.


Если у вашей компании нестандартный проект или нетиповая задача. Не знаете, какое решение лучше использовать для построения защищенной ИТ-инфраструктуры и аттестации бизнес приложения? 

Отправьте запрос на почту team@ts-cloud.ru и воспользуйтесь комплексной консультацией от наших специалистов:

• Консультация по вопросам проектирования безопасной ИТ-инфраструктуры для хранения персональных данных;
  

• Проработка проекта с подробной технической экспертизой и вариантами реализации задачи;

• Расчет стоимости внедрения решений в рамках вашей инфраструктуры и экономическое обоснование;

• Техническое решение и план реализации защищенной ИТ-инфраструктуры с учетом требований регуляторов, сроков и бюджета.

Опыт нашей команды позволяет оказывать эффективную помощь по вопросам создания, внедрения и модернизации облачного проекта любой сложности.