Ваш регион: Екатеринбург

Система защиты персональных данных в аттестованном по требованиям безопасности информации облаке

Содержание



Законодательство РФ, в частности 152-ФЗ «О персональных данных» гарантирует защиту персональных данных (ПД) российских граждан. Компании обязаны обеспечить безопасность персональных данных сотрудников, клиентов, подписчиков. Сбор, обработка и хранение информации возможны только с письменного согласия людей.

Уровни защищённости персональных данных

Организации, занимающиеся сбором, обработкой и хранением данных (операторы персональных данных) должны работать таким образом, чтобы информация не попала в общий доступ или к злоумышленникам. Законодательство разрешает доверять хранение и обработку облачным структурам. Операторами являются практически все компании, хранящие данные о сотрудниках.

Требования к оператору по защите персональных данных согласно 152-ФЗ:

  • зарегистрироваться в Роскомнадзоре, уведомить о начале сбора ПД;
  • принять меры по обеспечению конфиденциальности;
  • записать персональные данные россиян на сервер, который физически находится на территории РФ;
  • прекратить сбор и обработку ПД по требованию их владельца.
Система защиты персональных данных в аттестованном по требованиям безопасности информации облаке
Перенос ИТ-инфраструктуры в частное аттестованное облако

На законодательном уровне установлены 4 уровня защищенности, при передаче данных в облако требования соблюдает облачный провайдер. Персональные данные делятся на 4 типа – специальные, биометрические, общедоступные, иные. В зависимости от типа выбирается уровень защиты.

Закон выделяет уровни угрозы:

  • первый тип – самые серьёзные угрозы, вызванные проблемами в операционной системе;
  • второй тип – уязвимости в прикладном ПО;
  • третий тип – проблемы с оборудованием.

Самостоятельно выявить тип угроз, присущий конкретной системе, сложно, лучше обратиться к специалисту по технической безопасности.

Уровень защищённости устанавливают с учётом факторов:

  • типа данных;
  • отношений с субъектами, имеет значение, это сотрудники или клиенты;
  • количества субъектов, больше или меньше 100000;
  • типа актуальных угроз.

По совокупности данных устанавливается один из четырёх уровней защищённости. Для передачи хранения информации в облако оператор не обязан получать согласие клиентов или сотрудников. В этом случае оператором остаётся компания, занимающаяся сбором информации, а не облачный провайдер. Руководитель компании должен установить, кому и на каких условиях можно сообщать информацию.

Защита персональных данных в облаке

Облачный провайдер обязан получить аттестат соответствия 152-ФЗ. Документ гарантирует, что инфраструктура облака соответствует требованиям приказов ФСТЭК. Приказы содержат технические требования к структуре для обеспечения безопасности. Сотрудничество с сертифицированным провайдером облегчает оператору получение регистрации в Роскомнадзоре.

Аттестат соответствия позволяет хранить данные, нуждающиеся в третьем и четвёртом уровне защищённости. Если же необходимо защищать данные первого и второго уровней доверия, можно использовать собственную инфраструктуру для разворачивания частного облака, обеспечить защиту, получить нужные сертификаты.

Компания SkyDynamics  предлагает организациям перенести ИТ-инфраструктуру  в частное аттестованное облако. В официальном договоре будут указаны уровни защищённости, методы защиты. После получения письменного согласия сотрудников на сбор и обработку персональных данных, разрабатываем решение.

Преимущества сотрудничества с компанией SkyDynamics:

  • экономия времени и финансов на прохождение аттестации;
  • грамотный выбор уровня защищенности, каждая конкретная компания получит тот уровень защиты, который ей необходим;
  • соответствие защиты требованиям законодательства, наши юристы следят за изменениями в законах, инженеры оперативно вносят изменения в ИТ-инфраструктуру;
  • экономия времени при смене уровня угрозы, замена инфраструктуры или провайдера требует длительного времени и денег, на облачной платформе, имеющей сертификаты защиты УЗ-1–УЗ-4, замена проходит быстро и безболезненно.

Оптимальное решение – выбор провайдера с высокими уровнями защиты, чтобы не пришлось мигрировать в другое облако. Наши ИТ-инженеры перенесут данные с сервера в частное облако без потери работоспособности, помогут подготовить регламенты по работе с персоналом.