Законодательство РФ, в частности 152-ФЗ «О персональных данных» гарантирует защиту персональных данных (ПД) российских граждан. Компании обязаны обеспечить безопасность персональных данных сотрудников, клиентов, подписчиков. Сбор, обработка и хранение информации возможны только с письменного согласия людей.
Уровни защищённости персональных данных
Организации, занимающиеся сбором, обработкой и хранением данных (операторы персональных данных) должны работать таким образом, чтобы информация не попала в общий доступ или к злоумышленникам. Законодательство разрешает доверять хранение и обработку облачным структурам. Операторами являются практически все компании, хранящие данные о сотрудниках.
Требования к оператору по защите персональных данных согласно 152-ФЗ:
- зарегистрироваться в Роскомнадзоре, уведомить о начале сбора ПД;
- принять меры по обеспечению конфиденциальности;
- записать персональные данные россиян на сервер, который физически находится на территории РФ;
- прекратить сбор и обработку ПД по требованию их владельца.
На законодательном уровне установлены 4 уровня защищенности, при передаче данных в облако требования соблюдает облачный провайдер. Персональные данные делятся на 4 типа – специальные, биометрические, общедоступные, иные. В зависимости от типа выбирается уровень защиты.
Закон выделяет уровни угрозы:
- первый тип – самые серьёзные угрозы, вызванные проблемами в операционной системе;
- второй тип – уязвимости в прикладном ПО;
- третий тип – проблемы с оборудованием.
Самостоятельно выявить тип угроз, присущий конкретной системе, сложно, лучше обратиться к специалисту по технической безопасности.
Уровень защищённости устанавливают с учётом факторов:
- типа данных;
- отношений с субъектами, имеет значение, это сотрудники или клиенты;
- количества субъектов, больше или меньше 100000;
- типа актуальных угроз.
По совокупности данных устанавливается один из четырёх уровней защищённости. Для передачи хранения информации в облако оператор не обязан получать согласие клиентов или сотрудников. В этом случае оператором остаётся компания, занимающаяся сбором информации, а не облачный провайдер. Руководитель компании должен установить, кому и на каких условиях можно сообщать информацию.
Защита персональных данных в облаке
Облачный провайдер обязан получить аттестат соответствия 152-ФЗ. Документ гарантирует, что инфраструктура облака соответствует требованиям приказов ФСТЭК. Приказы содержат технические требования к структуре для обеспечения безопасности. Сотрудничество с сертифицированным провайдером облегчает оператору получение регистрации в Роскомнадзоре.
Аттестат соответствия позволяет хранить данные, нуждающиеся в третьем и четвёртом уровне защищённости. Если же необходимо защищать данные первого и второго уровней доверия, можно использовать собственную инфраструктуру для разворачивания частного облака, обеспечить защиту, получить нужные сертификаты.
Компания SkyDynamics предлагает организациям перенести ИТ-инфраструктуру в частное аттестованное облако. В официальном договоре будут указаны уровни защищённости, методы защиты. После получения письменного согласия сотрудников на сбор и обработку персональных данных, разрабатываем решение.
Преимущества сотрудничества с компанией SkyDynamics:
- экономия времени и финансов на прохождение аттестации;
- грамотный выбор уровня защищенности, каждая конкретная компания получит тот уровень защиты, который ей необходим;
- соответствие защиты требованиям законодательства, наши юристы следят за изменениями в законах, инженеры оперативно вносят изменения в ИТ-инфраструктуру;
- экономия времени при смене уровня угрозы, замена инфраструктуры или провайдера требует длительного времени и денег, на облачной платформе, имеющей сертификаты защиты УЗ-1–УЗ-4, замена проходит быстро и безболезненно.
Оптимальное решение – выбор провайдера с высокими уровнями защиты, чтобы не пришлось мигрировать в другое облако. Наши ИТ-инженеры перенесут данные с сервера в частное облако без потери работоспособности, помогут подготовить регламенты по работе с персоналом.
