152-фз в облаке: хранение персональных данных в облаке

Облако в законе. соответствие фз-152

Уровни защищённости персональных данных и типы угроз

Выбор технологических мер для обеспечения защиты персональных данных зависит от 4 критериев:

  • кто является субъектом обработки ПДн: сотрудники или нет;

  • количество субъектов обработки;

  • категории обрабатываемых персональных данных;

  • тип угроз.

Если с первыми тремя критериями всё довольно ясно, то на типах угроз необходимо остановиться подробнее. 

Существует 3 типа актуальных угроз, которым может быть подтверждена ИСПДн. Актуальные угрозы безопасности персональных данных — это совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в ИСПДн, который может привести к уничтожению, изменению, блокированию, копированию, предоставлению, распространению персональных данных и другим неправомерным действиям.

Все типы угроз определены в Постановлении Правительства №1119:

Угрозы 1-го типа вам грозят, если в системном программном обеспечении вашей информационной системы есть недокументированные (незадекларированные) возможности.

Угрозы 2-го типа актуальны для информационной системы, где имеются недокументированные (незадекларированные) возможности в прикладном программном обеспечении.

Угрозы 3-го типа предполагают наличие угроз, не связанных с наличием недокументированных (незадекларированных) возможностей в системном и прикладном программном обеспечении.

Определение типа угроз безопасности персональных данных, актуальных для информационной системы, осуществляется оператором с учётом оценки возможного вреда. Такая оценка проводится на основании пункта 5 части 1 статьи 18.1 152-ФЗ и в соответствии с нормативными правовыми актами, указанными в 5 части 19 статьи 152-ФЗ. К этим правовым актам относится «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

Чёткого разграничения о том, каким операторам свойственно иметь те или иные типы угроз, нет. Угрозы 1-го и 2-го типа не актуальны для тех операторов, чья работа ИСПДн планируется на лицензионном системном программном обеспечении, в защищённой информационной среде, созданной на основе сертифицированных средств защиты информации.

На основе вышеупомянутых критериев системе присваивается один из четырёх уровней защищённости (УЗ). Приведём таблицу уровней защищённости в зависимости от 4 критериев:

Для каждого уровня защищённости необходимо использовать набор организационных и технических мер, определённых в Постановлении Правительства №1119 и Приказе ФСТЭК №21. 

Чтобы создать 4-й уровень защищённости, требуется:

  • обеспечить безопасность помещения, в котором размещена ИСПДн;

  • организовать сохранность носителей с ПДн;

  • утвердить документ с перечнем лиц, которым необходим доступ к персональным данным для выполнения рабочих обязанностей;

  • использовать средства защиты информации (СЗИ), прошедшие процедуру оценки.

Для обеспечения 3-го уровня защищённости нужно:

  • обеспечить 4-й уровень;

  • назначить ответственного за безопасность персональных данных.

Для обеспечения 2-го уровня защищённости необходимо:

  • обеспечить 3-й уровень;

  • ограничить доступ к электронному журналу сообщений.

Для обеспечения 1-го уровня защищённости требуется:

  • обеспечить 2 уровень;

  • организовать автоматическую регистрацию изменений полномочий сотрудников по доступу к персональным данным в электронном журнале;

  • создать отдел или возложить на существующий ответственность за безопасность ИСПДн.

Все технологические меры по обеспечению того или иного уровня защищённости перечислены в Приказе ФСТЭК №21: всего там 15 категорий, в которые в общей сумме входит 109 мер. 

Обработка персональных данных: образцы всех документов 2022

Работодатель – оператор персональных данных

Защита и обработка персональных данных регулируется Федеральным законом от 27.07.2006 N 152-ФЗ.

Персональные данные люди передают многим юридическим лицам (например, банкам, магазинам или салонам красоты).

Работодатель также признается оператором персональных данных. Однако уведомлять об их обработке Роскомнадзор не надо, поскольку данные используются только в рамках трудовых отношений (ст. ст. 3, 22 Закона N 152-ФЗ). Вместе с этим, на работодателе лежит ответственность за корректную организацию системы обработки и защиты персональных данных своих сотрудников.

Поскольку без этой информации не сможете принять его на работу. Если по должности обязательно образование, можете обрабатывать данные диплома или аттестата сотрудника.

А если для работы нужен медосмотр, сможете также запросить информацию о состоянии его здоровья (ст. 213 ТК).

Полный список документов с видами персональных данных, которые они содержат, смотрите в таблице.

Положение о защите персональных данных в 2022 году

Чтобы учесть все новшества законодательства о персональных данных в 2022 году в положении о защите персональных данных работников установите порядок работы с данными, перечень лиц, имеющих к ним доступ, правила хранения личных дел и других кадровых документов, способы защиты электронных документов. Утвердите положение приказом руководителя и ознакомьте с ним работников под роспись (ст. 88 ТК РФ).

Положение о защите персональных данных зачастую называют Положением о работе с персональными данными. Никакой ошибки в этом нет. Суть документа зависит от содержания, а не от названия. Главное, чтобы в Положении были определены: порядок работы с данными, перечень лиц, имеющих к ним доступ, правила хранения личных дел и других кадровых документов, способы защиты электронных документов.

Приведем образец приказа об утверждении положения о защите персональных данных в 2022 году. Образец самого положения, актуальный в 2022 году, вы можете скачать в конце этой статьи.

Приказ о назначении ответственного за перс.данные

Назначьте ответственного за обработку персональных данных, с него и с остальных лиц, имеющих к ним доступ, возьмите обязательство о неразглашении. Приведем примеры этих документов.

Обязательство о неразглашении перс.данных

Если человек (работник организации) имеет доступ к персональным данным работников, то с него нужно взять обязательство о неразглашении этих сведений. Приведем пример обязательства о неразглашении персональных данных сотрудников:

Согласие работника на обработку перс.данных

При приеме на работу оформите согласие работника на обработку персональных данных. Можно сделать отдельный документ или включить условие о согласии в трудовой договор.

Срок действия согласия закон не ограничивает, поэтому можно указать любой срок. Например, до дня его отзыва (ст. 9 Закона N 152-ФЗ). Подробнее об оформлении согласия вы можете прочитать в отдельной статье “Каким должно быть согласие на обработку персональных данных“. В этой же статье вы посмотреть образец согласия, актуальный в 2022 году.

Согласие на передачу персональных данных

Имейте в виду, что персональные данные без согласия работника можно передать третьим лицам только в установленных законом случаях, например, в налоговый орган, ПФР и ФСС. В других ситуациях надо получить письменное согласие работника (ст. 88 ТК РФ).

Актуально на 27 января 2022
Положение о работе с персональными данными (образец)

Актуально на 27 января 2022
Бланк положения о защите персональных данных работников

Как регулируется хранение персональных данных на сервере

Закон «О персональных данных» особенно актуален при покупке сервера. Компании, которые планируют арендовать сервер в России, должны понимать, что их деятельность будет законной только при соблюдении ФЗ-152. С этой целью необходимо соблюдать ряд условий. Во-первых, сервер компании должен находится на территории России. Во-вторых, представители компании должны соблюдать принципы обработки персональных данных. Они не должны запрашивать лишнюю информацию, которая не будет использоваться в процессе работы. В-третьих, для обработки персональных данных необходимо получить согласие физлица.

Компаниям, которые планируют хранить личные данные своих клиентов на сервере, также желательно:

  • опубликовать политику безопасности компании;
  • обеспечить возможность блокировки или уничтожения данных по требованию владельца;
  • обеспечить защиту персональных данных от копирования и неправомерного доступа третьих лиц.

Стоит добавить, что если на сервере не хранится информация о гражданах РФ, то в этом случае можно арендовать сервера, которые находятся не на территории России (например, в США или Западной Европе).

Если ресурсы компании находятся не в ЦОД Cloud.ru

Услуга «Аудит на соответствие 152-ФЗ» ориентирована на логическую инфраструктуру заказчика и бизнес-процессы, в которых участвуют персональные данные клиентов. Поэтому IT-ресурсы клиента могут быть размещены за пределами ЦОД Cloud.ru. Это может быть любой ЦОД, любой офис, любая локация.

Информационная система ПДн (ИСПДн) может быть распределенной: один элемент располагается в ЦОД Cloud.ru, другой 一 в офисе компании, третий 一 на мощностях другого IaaS-провайдера. И даже каналы связи между этими площадками будут являться элементами ИСПДн. Так что соответствовать 152-ФЗ должны все элементы.

Облачные платформы, в которых клиенты Cloud.ru размещают свои виртуальные инфраструктуры, соответствуют требованиям 152-ФЗ в части хранения и доступа к данным.

Увеличили штрафы за нарушения законодательства о персональных данных

Опубликован Федеральный закон от 12.12.2023 № 589-ФЗ, который внес изменения в КоАП РФ. Все операторы, которые обрабатывают персональные данные своих сотрудников и клиентов, должны проверить свои документы. О том, как поправки повлияют на бизнес и к каким изменениям готовиться, рассказываем в материале.

Как изменились штрафы

Возросли штрафы за нарушения в случаях, когда оператор обрабатывает персональные данные:

  • Без письменного согласия субъекта персданных на их обработку, если наличие такого согласия обязательно. При этом в таких действиях нет признаков уголовно наказуемого деяния (ч. 2 ст. 13.11 КоАП РФ).
  • С таким согласием, но без обязательных сведений, которые должны быть в него включены (ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ, далее — Закон о персональных данных).

Операторами персональных данных могут быть:

  • Российские юридические и физические лица, а также государственные и муниципальные органы.
  • Иностранные юридические и физические лица, если они заключили договор или соглашение с гражданином РФ либо получили его согласие на обработку (ч. 1.1 ст. 1 Закона о персональных данных).

Каким другим критериям нужно соответствовать, чтобы считаться оператором? Что такое обработка персданных? Ответы на эти и другие вопросы — в материале «Кто обрабатывает персональные данные».

Как изменились размеры штрафов:

На кого наложат штраф

Старые размеры штрафов, ₽

Новые размеры штрафов, ₽

Первичное правонарушение

Повторное правонарушение

Первичное правонарушение

Повторное правонарушение

Гражданин

От 6 000 до 10 000

От 10 000 до 20 000

От 10 000 до 15 000

От 15 000 до 30 000

ИП

От 20 000 до 40 000

От 100 000 до 300 000

От 100 000 до 300 000

От 500 000 до 1 000 000

Должностное лицо

От 40 000 до 100 000

От 300 000 до 500 000

Юрлицо

От 30 000 до 150 000

От 300 000 до 500 000

От 300 000 до 700 000

От 1 000 000 до 1 500 000

Оператор может обрабатывать персданные, если получил на это согласие субъекта (п. 1 ч. 1 ст. 6, п. 1 ч. 2 ст. 10, ч. 1 ст. 11 Закона о персональных данных). Но в ряде случаев оно не требуется.

Чтобы избежать претензий контролирующих органов, всем операторам нужно:

  1. Проверить, в каких случаях обязательно получать письменное согласие субъекта на обработку персданных, и оформить согласия, если это необходимо. Перечень случаев — в статье .
  2. Привести формы согласия на обработку персданных в соответствие с требованиями Закона о персональных данных. Перечень сведений, которые должны быть включены в согласие, — в материале .

Смотрите образец согласия на обработку персональных данных →

Также Федеральный закон от 12.12.2023 № 589-ФЗ дополнительно предусмотрел штрафы за нарушения в области размещения биометрических персональных данных в ЕБС. Штраф для юрлиц — до 1 000 000 ₽.

К каким изменениям готовиться

В Госдуме РФ находятся на рассмотрении два законопроекта, которые ужесточат ответственность за нарушения законодательства о персональных данных. Так, планируют:

  • Предусмотреть новые составы в КоАП РФ — например, установить административную ответственность за то, что оператор не уведомил Роскомнадзор о намерении осуществлять обработку персданных, а также об утечке таких данных (законопроект № 502104-8).
  • Увеличить административные штрафы за обработку избыточных по содержанию и объему персданных, а также их обработку в случаях, которые не предусмотрены законодательством (законопроект № 502104-8).
  • Ввести уголовную ответственность за незаконные использование, передачу, сбор и хранение компьютерной информации, которая содержит персданные. Также к ответственности смогут привлечь за создание или обеспечение функционирования ресурсов, на которых такие данные хранят и через которые распространяют (законопроект № 502113-8).
Персональные данные
Как организовать процесс обработки персданных, чтобы избежать штрафов? Как правильно уведомить Роскомнадзор об обработке и утечке персданных и обеспечить их надлежащую защиту? Ответы на эти и другие вопросы, а также формы и образцы заполнения необходимых документов — в нашей инструкции.
 

Елизавета Аришак, эксперт по юридическим вопросам

Екатерина Дорохова, редактор

Этот состав не распространяется на правонарушения, которые связаны с обработкой персданных в условиях незаконного распространения сведений о защищаемых лицах ( КоАП РФ).

Как устроено хранение персональных данных в облаке

ФЗ 152 не запрещает хранение персональных данных в облаке, но при этом дата-центр выбранного облачного провайдера должен находиться на территории России. В соответствии ФЗ 152 о персональных данных с разъяснениями Минкомсвязи, данные могут передаваться за рубеж, но первично их запись, а также систематизация, накопление, хранение, уточнение (обновление, изменение) или извлечение должны производиться на сервере, физически расположенном в России.

Для защиты информации в облаке предусмотрены надежные инструменты, но управляет ими оператор персональных данных. Он также должен грамотно организовать доступ к сведениям внутри организации. Облачный провайдер не решает, кому и на каких условиях открывается доступ к информации компании.

Для примера сравним облако с флеш-накопителем: на нем хранится записанная информация, и владелец флешки следит за ее сохранностью. Облачный провайдер выполняет обязательства перед оператором ПДн в рамках заключенного соглашения – он не может просто так отдать информацию с флеш-накопителя, и должен ее защищать. Но провайдер ничего не сможет сделать, если вы сами разрешите любому желающему пользоваться информацией с флешки.

«При заключении договора на предоставление облачных услуг в нем прописываются условия об отсутствии доступа к размещаемым оператором данным, а также о разграничении зон ответственности.» Синкина Надежда, эксперт по методологии кибербезопасности Центра киберзащиты SberСloud

Что такое персональные данные?

Согласно ФЗ-152, под понятием «персональные данные» подразумевается ФИО, место жительства и прочие сведения, относящиеся к физическому лицу. Простыми словами, персональные данные являются эквивалентом паспортных сведений. Также под этим понятием подразумевается информация о семейном положении, образовании, трудовой деятельности, доходах, имущественном и социальном положении. В понятие «персональные данные» также входят номера СНИЛС, ИНН и медицинской страховки.

На этом список персональных данных не исчерпывается. Судебные инстанции могут признать персональными данными и другую информацию, касающуюся определенного человека. Так, известно множество случаев, когда персональными данными признавали:

  • номер мобильного телефона;
  • фотографию физического лица;
  • информацию о смерти физлица.

Облако 152-ФЗ: вопросы защиты персональных данных

Федеральный закон 152-ФЗ накладывает на всех операторов ПДн ряд формальных и процедурных требований к информационной безопасности. Организация может реализовать их самостоятельно, на собственных программно-аппаратных решениях. Например, вынести оборудование в серверную, подключить программно-аппаратные средства защиты, развернуть системы хранения, резервирования и пр. Или закрыть 90% потребностей в защите ПДн облаком 152-ФЗ. Рассказываем, как защита ПДн в облаке реализуется на практике и попутно отвечаем на самые острые вопросы облачной безопасности по закону 152-ФЗ.

id=»ob-obnovlenii-152-fz-korotko» id=»ob-obnovlenii-152-fz-korotko» >Об обновлении 152-ФЗ коротко

  1. Персональные данные — это любая информация, которая идентифицирует человека: ФИО, дата рождения, номер телефона, адрес почты. Если компания собирает персональные данные клиентов и пользователей, то считается их оператором и обязана соблюдать 152-ФЗ. 

  2. Поправки в 152-ФЗ должны минимизировать утечки личной информации. Если утечка всё же произошла, в течение суток необходимо оповестить Роскомнадзор. А в течение трёх — расследовать инцидент и отчитаться о результатах. В скором времени ФСБ разработает порядок взаимодействия с ГосСОПКой: её тоже надо будет информировать об инцидентах. 

  3. До начала обработки ПД отправьте уведомление в Роскомнадзор. Их же следует поставить в известность, если произошли изменения в персональных данных, либо вы прекратили их обрабатывать. Все формы уведомлений есть в Приказе, срок — десять рабочих дней. 

  4. Обновите согласия на обработку персональных данных, политику конфиденциальности и все локальные акты в этой сфере. Уберите положения, которые ограничивают права пользователей, пропишите цели сбора ПД. 

  5. На запросы пользователей отвечайте в течение десяти дней. В этот же срок прекратите обрабатывать личную информацию, если человек на этом настаивает. 

  6. Не отказывайте клиенту в обслуживании, ссылаясь на его отказ сдать биометрию: это нарушение 152-ФЗ. 

  7. До 1 марта 2023 года организация, которая передаёт ПД через границу, обязана получать одобрение Роскомнадзора. Подать уведомление можно через официальный портал. Если служба не даст разрешения, трансграничную передачу персональных данных придётся прекратить, а ранее переданные сведения — уничтожить.

Как это реализуется на практике?

Строится многоступенчатая архитектура, которая включает в себя периметровые средства для мониторинга и контроля доступа к платформе, средства для её защиты и разграничения виртуальных сегментов заказчиков, а также антивирусы для всех компонентов платформы. Поверх этого внедряются системы, необходимые для информационной безопасности приложения, которое используется для хранения и обработки данных

Но самое важное — все применяемые средства должны быть сертифицированы ФСТЭК или ФСБ. Наличие аттестата у облачной платформы говорит о том, что она соответствует требованиям регулятора в части систем хранения персональных данных до третьего уровня включительно

Кстати, нас часто спрашивают, где хранить и обрабатывать данные первого и второго уровня защищённости, например базу с медицинскими данными более 100 тыс. граждан Российской Федерации. Ответ простой — необходимо мигрировать систему на выделенное оборудование в ЦОД. Дело в том, что сейчас ни один из гипервизоров, используемых в составе облачных платформ популярных российских провайдеров, не сертифицирован и формально не может использоваться для размещения персональных данных первого и второго класса. До тех пор, пока ситуация не изменится, мы рекомендуем реализовывать информационные системы с персональными данными 1 и 2 уровня защищённости на выделенном оборудовании в надёжном дата-центре.

ВОТ ВЫДЕРЖКА ИЗ ЗАКОНА 152 о защите персональных данных

“При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона» (ч. 5 ст. 18 ФЗ “О персональных данных”).”

Под термином “Оператор” стоит понимать

Если проигнорировать эти поправки в закон, то вы рискуете получить штраф в размере до 75000 рублей за одно нарушение. А если их больше, то сумма штрафа возрастет (о нарушении законодательства РФ в области персональных данных — статья 13.11 КоАП РФ)

Лицензия ФСБ РФ на криптографию и шифрование

Работать со средствами криптографической защиты информации могут только облачные провайдеры, у которых есть лицензия ФСБ. Она дает право разрабатывать, производить и распространять криптографические средства и ИТ-системы, защищенные с использованием этих средств.

Например, если банк перенесет инфраструктуру в облако к лицензированному поставщику услуг, то он сможет создать защищенные каналы связи с использованием шифрования, организовать документооборот с применением электронных подписей и подключиться к системам межведомственного электронного взаимодействия.

Лицензия ФСБ на государственную тайну

Облачные провайдеры с лицензией ФСБ на гостайну могут хранить сведения о государственной тайне и разрабатывать средства для их защиты. Эти данные обычно касаются военной, внешнеполитической, экономической или разведывательной области, а их разглашение может нанести ущерб безопасности РФ.Если у поставщика услуг есть лицензия ФСБ на гостайну, это означает, что облако подходит для размещения инфраструктуры таких серьезных органов власти, как МВД, Аппарат Президента или Минобрнаука. Поэтому бизнес может быть уверен, что конфиденциальная информация о стратегических планах, новых проектах и выручке не утечет к конкурентам.

Ответственность в информационной безопасности

Важно понимать распределение ответственности между клиентом и провайдером сервисных услуг. За соответствие инфраструктуры, начиная с уровня физической защиты дата-центров, сети и хранилищ данных, защиты физических серверов и до уровня виртуализации, отвечает провайдер

Именно на этих технологических уровнях обеспечивается соответствие инфраструктуры Cloud.ru требованиям 152-ФЗ.

При этом клиент обязан обеспечить соответствие 152-ФЗ своей инфраструктуры на уровнях операционной системы, базы данных, приложений и самих данных.

Стоит отметить, что содержимое данных заказчиков для Cloud.ru 一 как черный ящик. Ответственность за их сохранность несет клиент. В рамках услуги по соответствию 152-ФЗ мы помогаем сделать это правильно.Юлия Коршиковаархитектор по информационной безопасности Cloud.ru

Цена вопроса

За помощь в подготовке внутренних распорядительных документов и настройку средств безопасности сервис-провайдер попросит 75-100 тысяч рублей разовым платежом плюс ежемесячные отчисления в размере 15-20 тысяч рублей – за предоставление средств защиты для серверов и рабочих мест пользователя и их администрирование. Стоимость такой услуги из расчета на 3 года, как правило, на 50-100% ниже, чем внедрение решения у себя. Оплачивать эту услугу вы будете на ежемесячной основе по счетам, выставляемым сервис-провайдером.

Если задача, которая стоит перед бизнесом, выбивается из данного описания, это не значит, что сервис-провайдер не сможет организовать защиту персональных данных конкретно под ваш кейс, просто потребуется более серьезная проработка решения.

Вывод: не важно сколько лицензий у облачного провайдера, важно какие

Когда перед недобросовестным облачным провайдером маячит многомиллионный контракт, он выкладывает на стол все сертификаты и лицензии

Причем не важно, какую силу они имеют, кем и когда выданы, полезны ли они будут для конкретного клиента, его отрасли, задач и потребностей. Например, PCI-DSS необходим только бизнесу, который хранит данные держателей карты, а вендорские документы о сертификации специалистов нужны единицам

Часто презентация с кипой бумаг производит сильное впечатление на заказчика, потому что количество поражает, но нет времени и желания вникать в каждый документ. Проблемы начинаются после подписания договора и начала работы, когда данные утекают в сеть или регуляторы приходят с проверкой, а у поставщика услуг нет нужной лицензии. Тогда клиенту приходится платить огромные штрафы и искать замену исполнителю.Редакция Компьютерры советует бизнесу заранее обсудить со своими юристами и специалистами ИБ, чтобы вместе определить, наличие каких документов станут критерием для выбора облачного провайдера

Это поможет держать фокус на важном, быть устойчивыми к громким словам и заявлениям потенциального партнера и выбрать поставщика услуг, с которым сложится действительно плодотворное и долгосрочное сотрудничество

Понравилась статья? Поделиться с друзьями:
Бухгалтерия Галилео
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: