/img/star (2).png.webp)
/img/news (2).png.webp)
/img/event.png.webp)
Время прочтения: 7 мин.
В прошлой публикации я рассказал о 152-ФЗ и о том, как определить уровень защищенности системы персональных данных. А сегодня хочу предложить рассмотреть нюансы передачи персональных данных на обработку облачному провайдеру, поговорить про сертификацию и аттестацию.
Можно ли передавать персональные данные на обработку третьей стороне?
По закону вы можете поручить обработку персональных данных другому лицу, например, облачному провайдеру, билетному агрегатору или call-центру. При этом ваш подрядчик должен гарантировать безопасность и защиту персональных данных субъектов. Чтобы все подтвердить не на словах, а документально, нужно прописать это в договоре. Можно оформить и отдельный документ поручения, в котором вы:
во-первых, перечислите, что подрядчик может делать с персональными данными.
Основные действия это: накопление, хранение и уничтожение.
Также укажите цели обработки персональных данных, которые должны быть описаны в договоре.
во-вторых, закрепите обязанность третьей стороны соблюдать конфиденциальность персональных данных и обеспечивать их безопасность.
в-третьих, укажите программные и технические требования по защите обрабатываемых персональных данных. Не путайте поручения и NDA — соглашение о неразглашении.
Cоглашение — документ добровольный с обеих сторон, и прописывать там вы можете какие угодно условия. А поручение обозначено в 152-ФЗ, про него нельзя забывать, если передаете персональные данные подрядчику.
Может случиться так, что ваш подрядчик (например, облачный провайдер) откажется подписать поручение. Это повод насторожиться. Скорее всего, он не готов нести ответственность, которая прописана для него по закону.
Важно помнить: даже с поручением вы не перестаете быть оператором персональных данных и отвечаете за них перед субъектами. Именно вы определяете политику обработки данных, получаете от своих клиентов подписанные согласия на обработку, предотвращаете и расследуете случаи утечки данных на сторону. Кстати, проверять Роскомнадзор, в первую очередь, будет тоже вас.
Получается, я могу пользоваться услугами облачного провайдера и хранить персональные данные в его облаке?
Да, можете, но нужно, чтобы облака провайдера соответствовали требованиям 152-ФЗ и были защищены не ниже уровня защищенности, чем для Информационной Системы Персональных Данных (далее- ИСПДн), которую вы в нем размещаете.
Это может подтвердить самооценка или заключение третьей стороны, в том числе аттестация. Самооценка и заключения оформляются в свободной форме. Аттестация подтверждает соответствие требованиям Федеральной службы по техническому и экспортному контролю России (далее- ФСТЭК России). Если у провайдера такое есть, то подписываем поручение — и вперед.
Я выбрал провайдера, у которого облако соответствует 152-ФЗ. От меня больше ничего не требуется?
Если вы разместили персональные данные в облаке, у провайдера которого есть документ, подтверждающий соответствие 152-ФЗ, это не значит, что вы автоматически стали выполнять требования закона. Вот как вы делите ответственность с провайдером:
Ваш провайдер защищает инфраструктуру облака по 152-ФЗ, в том числе собирает необходимый пакет документов и подбирает средства защиты: антивирус, firewall сканер уязвимостей и прочее, а также поддерживает инфраструктуру в рабочем состоянии. На схеме 1 эта часть выделена зелёным цветом.
А вы защищаете вашу ИСПДн. Вам нужно подготовить документы, подобрать средства защиты в соответствии с уровнем защищенности и обслуживать систему. Хорошие новости в том, что некоторые провайдеры готовы помочь с оформлением документов и предоставить средства защиты для вашей ИСПДн.
Логичный вопрос: а почему провайдеру нельзя сразу позаботиться обо всех уровнях? Он мог бы подготовить для клиентов образ виртуальных машин и сразу положить в них необходимые средства защиты. Но тогда вы, скорее всего, не смогли бы пользоваться привычным ПО и работать с нужными вам приложениями. Вас будут ждать только предустановленные средства защиты и навязанный софт- только «хардкор». Поэтому большинство провайдеров предоставляют клиентам в основном ресурсы Информационной аналитической системы (далее-ИАС), приведенные в соответствие со 152-ФЗ и не учитывающие уровень ИСПДн.
Вывод: при обращении к облачному провайдеру вы избавляетесь от необходимости приводить в соответствие ИАС платформу. Ваша задача — выполнить требования для ИСПДн, и некоторые провайдеры могут с этим помочь.
Обязан ли я использовать сертифицированные средства защиты системы персональных данных?
Сертифицированные ФСТЭК средства защиты понадобятся вам в том случае, если вы этого хотите или вам обязательно нужно провести аттестацию. Тогда вы выбираете средства защиты, ориентируясь на ваш уровень защищенности системы, совместимость средств защиты с ИСПДн и возможность их работы на конкретных платформах виртуализации.
Помните: у сертифицированных средств защиты есть требования по окружению, в котором они могут работать и продолжают быть сертифицированными.
Например, если вы решили использовать сертифицированные средства защиты, то для ИСПДн первого уровня защищенности вам понадобится средства защиты не ниже четвертого класса, а также средства вычислительной техники не ниже пятого класса. А если для вас актуальны угрозы первого или второго типов, связанные с недекларированными возможностями в системном и прикладном ПО, то необходимо применять средства защиты, программное обеспечение которых прошло проверку не ниже, чем по четвертому уровню контроля отсутствия закладок.
Если ваша компания не попадает в список тех, для кого аттестации обязательна, можно использовать средства защиты без сертификатов ФСТЭК. Но все же вам нужно обеспечить выполнение требований по применению средств защиты, прошедших в установленном порядке процедуру оценки соответствия. Как вариант, вы можете использовать сертифицированные в других системах сертификации средства защиты. Например, в системе сертификации ФСБ России или Газпромсерт, ведь они уже провели нужные проверки, и им можно доверять. Или можно провести оценку соответствии самим, для этого соберите внутреннюю комиссию и убедитесь в том, что СЗИ справляются со своими задачами. И составьте акт, который потом можно будет показать проверяющему.
Нужна ли мне аттестация на соответствие требованиям 152-ФЗ?
Аттестация нужна в нескольких случаях:
— если вы — государственный заказчик и обрабатываете персональные данные;
— если вы — коммерческая компания, которая работает с государственными предприятиями, и от вас требуют аттестат.
В этих двух случаях аттестацию для вас должна проводить компания-лицензиат ФСТЭК. Важный момент: если вам нужна аттестация, вы должны будете использовать сертифицированные средства защиты. Ну а если вы — обычная коммерческая компания, наличие аттестата для вас не обязательно. Достаточно получить документ об оценке соответствия требованиям 152-ФЗ. Заключение, акт, приказ, назовите его, как угодно.
Как его получить? Можно пригласить третью сторону, например, консалтинговую компанию, которая подготовит для вас бумаги. Или можно составить документ самим. Для этого создайте внутреннюю комиссию. Она проведет проверку, определит требуемый уровень защищенности системы и подходящие средства защиты. Все это следует зафиксировать в документе. Персональные данные должны защищать все операторы, а не только те, у кого есть деньги на сертифицированные СЗИ и аттестацию. Если ваш бюджет ограничен, сделайте документы сами, а деньги потратьте на систему реальной защиты.
Чем мне может помочь облачный провайдер?
Обычно провайдеры берут на себя разный уровень ответственности и договариваются с клиентами о том, что им понадобится на платформе. Некоторые облачные провайдеры будут готовы помочь вам со средствами защиты в виде дополнительных сервисов. При этом они могут предложить все это настроить, администрировать и поддерживать. Кроме облака, которое соответствует требованию 152-ФЗ, у провайдеров могут быть и другие сервисы для хранения и обработки персональных данных. Например, хранилище для документов и медиа файлов в облаке. Также провайдер может помочь вам с разработкой документов для регуляторов, не откажется подписать поручение на обработку персональных данных, передаст модель угроз облака и всю необходимую организационную документацию. Выбирайте того облачного провайдера, который позаботится о вас на всех этапах, обеспечит подходящую облачную платформу с необходимой документацией и средствами защиты, и поддержит в разработке документов для вашей ИСПДн. А средства защиты подбирайте, ориентируясь на совместимость с ИСПДн и с инфраструктурой облака провайдера.
Если вы сомневаетесь в облачном провайдере, то можно зашифровать ваши данные. Пример такого кода на Python на основе библиотеки cryptography:
pip install cryptography
from cryptography.fernet import Fernet
message = "Python"
key = Fernet.generate_key()
fernet = Fernet(key)
encMessage = fernet.encrypt(message.encode())
print("original string: ", message)
print("encrypted string: ", encMessage)
decMessage = fernet.decrypt(encMessage).decode()
print("decrypted string: ", decMessage)
В заключение хочу еще раз предостеречь. Если вы хотите передать на хранение ПДн подрядчику (третьей стороне), будьте предельно внимательны с этим выбором. Так как в случае утечки данных отвечать будете именно вы.