Содержание
После вступления в 1996 году в Совет Европы, Россия в 2001 году подписала европейскую Конвенцию «О защите физических лиц при автоматизированной обработке персональных данных». После ратификации Конвенции (ФЗ-160 от 19 декабря 2005 года) во исполнение международных обязательств наконец-то был принят известный всем Федеральный Закон №152 «О персональных данных» от 27 июля 2006 г.
Заканчивая краткий исторический экскурс, стоит отметить еще одну дату – 1 сентября 2015 г., когда начал действовать 242-ФЗ от 21.07.2014, который обязывал оператора «обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».
Благодаря этим законотворческим инициативам мы теперь знаем, что:
- «персональными данными» является «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»;
- «оператор персональных данных» - государственный орган, муниципальный орган, юридическое или физическое лицо осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия, совершаемые с персональными данными;
- сбор и обработку персональных данных нужно производить на территории РФ (а уже потом можно куда-нибудь передать, согласно Конвенции) и т.д.
Как обеспечить защиту персональных данных
Согласно Статье 19 152-ФЗ, для обеспечения безопасности персональных данных при их обработке требуется ряд серьезных мер как организационного, так и технического плана. При этом в зависимости от «возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, актуальности угроз безопасности персональных данных» установлены четыре уровня защищенности персональных данных. По мере роста уровня от четвертого к первому возрастают требования к используемым средствам защиты информации.
Отсутствие должной защиты персональных данных может привести не только к серьезным штрафам и личной ответственности руководителей, но и к попаданию сайта организации в реестр запрещенных интернет-ресурсов, что приведет к его немедленной блокировке. Коммерческий риск дополняется имиджевым и суммарный ущерб для компании может быть непоправимым.
К счастью для бизнеса, п.3 ст.6 152-ФЗ гласит, что «оператор вправе поручить обработку персональных данных другому лицу» и «лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом».
Это и позволяет нашим клиентам сбросить груз забот по обеспечению защиты персональных данных на заботливые надежные плечи профессионалов и перенести информационные системы, содержащие персональные данные в «Защищенное облако Softline».
Техническая сторона
Технически «Защищенное облако» построено на сертифицированной платформе FlexPod, в основе которой — вычислительные мощности и коммутаторы Cisco, системы хранения NetApp и программное обеспечение VMware. FlexPod уже много лет эксплуатируется на 7 площадках Softline Cloud в разных городах и показал себя безусловно надежной платформой. Безграничные возможности горизонтального масштабирования, отказоустойчивость и гарантированная совместимость оборудования и ПО – залог стабильной работы инфраструктуры клиентов облачной платформы.
Для обеспечения выполнения требований законодательства мы использовали средства защиты информации, являющиеся «де факто» стандартами рынка – Лаборатория Касперского, Код Безопасности, КриптоПро — и построили публичное мультитенантное облако, которое позволяет размещать информационные системы персональных данных уровня защищенности 3-4. При необходимости размещения ИСПДн уровней защищенности 1-2 инфраструктура выделяется в отдельное частное облако, построенное на схожем технологическом решении.
Защищенное облако Softline аттестовано лицензиатом ФСБ, что является гарантией соблюдения требований законодательства как для нашего клиента, так и для проверяющих органов.
Документы готовы
При размещении ИСПДн в Защищенном облаке предоставляется весь необходимый пакет документов: модель угроз безопасности ПД; акты классификации Защищенного облака; описание подсистемы защиты; приказы об утверждении регламентных документов обеспечения информационной безопасности (модели здоровья, регламент РК и пр.); поручение об обработке ПД (хранение персональных данных и предоставление этих персональных данных для обработки пользователям Заказчика).
Компании-оператору персональных данных остается обеспечить защиту канала связи до облака, подключаемых рабочих мест и отправить уведомление в Роскомнадзор.
Но следует помнить, что кроме размещения ИСПДн в Защищенном облаке, требуется соблюдение правил работы организации с персональными данными и с 1 июля 2017 были внесены поправки в ст.13.11 КоАП, ужесточающие требования к обработке ПД и увеличивающие штрафы за нарушения.
Автор: Динар Гарипов, руководитель направления развития бизнеса Департамента облачных технологий
