Как называется технология хранения данных способная обеспечить надежную защиту персональных данных

Обновлено: 04.07.2024

Кто предоставляет услугу обработки персональных данных?

Чаще всего компании, предоставляющие услугу обработки персональных данных, – это облачные сервис-провайдеры. Они имеют необходимые ресурсы для обработки и хранения персональных данных: межсетевые экраны, маршрутизаторы, ПО для защиты от несанкционированного доступа, антивирусы, и еще у них есть сотрудники для администрирования средств защиты.

Что именно я отдам на аутсорсинг?

Сценариев может быть несколько.

• Передать на обслуживание аутсорсинговой компании всю IT-инфраструктуру, в том числе и защиту персональных данных.
• Передать на обслуживание информационную систему, содержащую персональные данные. Сервис-провайдер разместит ее в защищенном облаке вместе с рабочими местами пользователей этой системы.
• Разместить в защищенном облаке информационную систему, содержащую персональные данные, а защитой рабочих мест пользователей заниматься самостоятельно.
• Разместить в защищенном облаке только базу данных с персональными данными.

На рынке наибольшей популярностью пользуются третий и четвертый сценарии – это наиболее простые решения, поэтому и самые тиражируемые. Они удобны для провайдера, так как у него уже создана и аттестована техническая база под данные услуги, требуется лишь обеспечить доступ заказчиков в инфраструктуру. Первый и второй сценарии выбирают, как правило, крупные компании с большим бюджетом и специфическими бизнес-задачами.

Чего ждать от сервис-провайдера?

Вы точно можете рассчитывать на партнерство и консультационную поддержку. Что именно делает сервис-провайдер?

• Дает рекомендации. Нюансов в сфере хранения персональных данных действительно много. Все они связаны со спецификой конкретного бизнеса.
• Делает расчет необходимых вычислительных мощностей в облаке.
• Переносит ваши системы на эти мощности.
• Организует закрытый контур для персональных данных. Закрытый контур – сеть или сегмент сети, защищенный с помощью сертифицированных технических и программных средств. Если закрытый контур в облаке аттестован ФСТЭК и ФСБ, это, как правило, снимает большую часть вопросов при проверке Роскомнадзора.
• Помогает с подготовкой необходимых документов и внутренних регламентов для работы с персональными данными.

Цена вопроса

15 топ-менеджеров , которые вывели свои компании на лидирующие позиции в рейтинге ESG.

За помощь в подготовке внутренних распорядительных документов и настройку средств безопасности сервис-провайдер попросит 75-100 тысяч рублей разовым платежом плюс ежемесячные отчисления в размере 15-20 тысяч рублей – за предоставление средств защиты для серверов и рабочих мест пользователя и их администрирование. Стоимость такой услуги из расчета на 3 года, как правило, на 50-100% ниже, чем внедрение решения у себя. Оплачивать эту услугу вы будете на ежемесячной основе по счетам, выставляемым сервис-провайдером.

При самостоятельной организации хранения персональных данных только на оборудование и покупку лицензий уйдет 200-300 тысяч рублей. Трудозатраты и дальнейшая поддержка информационной системы – отдельная статья расходов.

Если задача, которая стоит перед бизнесом, выбивается из данного описания, это не значит, что сервис-провайдер не сможет организовать защиту персональных данных конкретно под ваш кейс, просто потребуется более серьезная проработка решения.

Кто будет нести ответственность?

Закон позволяет передать информационные системы, в которых обрабатываются персональные данные, на аутсорсинг. Cервис-провайдер может взять на себя все технические работы по обработке персональных данных и разделить юридическую ответственность оператора персональных данных.

В ФЗ-152 очень четко определена ответственность. Оператор отвечает непосредственно перед субъектом персональных данных, поэтому каждый сервис-провайдер должен быть оператором персональных данных.

При покупке услуги по их хранению и обработке, помимо основного договора, необходимо заключить договор-поручение. В этом документе один оператор персональных данных (заказчик) поручает другому оператору (сервис-провайдеру) хранение и обработку персональных данных субъектов.

Важно понимать, что, согласно 152-ФЗ, при такой схеме работы сервис-провайдер безусловно несет ответственность за сохранность данных, но с заказчика (первого оператора) никто ответственность не снимает, поэтому нужно очень внимательно подходить к выбору делового партнера.

Кому отдавать персональные данные?

Операторам, которые имеют аттестацию ФСТЭК и ФСБ и работают в рамках ФЗ-152. Поменьше обращайте внимание на красивые презентации от облачного провайдера. Чтобы понять, действительно ли можно доверять сервис-провайдеру, узнайте, аттестован ли закрытый контур, в котором планируется хранить ваши данные.

Хотя аттестация необязательна, ее наличие свидетельствует о том, что решение, которое предлагает сервис-провайдер, соответствует требованиям 21 приказа ФСТЭК (в нем описаны организационные и технические меры по защите персональных данных) и прошло проверку аккредитованным органам по аттестации ФСТЭК.

Где безопаснее хранить персональные данные…

. в облаке или в своей IT-инфраструктуре?

Это очень популярный вопрос.

Безопасность информационных систем (ИС), работающих в облаке, обеспечивают те же аппаратные и программные средства, что и безопасность ИС в ШЕ-инфраструктуре крупного предприятия, владеющего собственным дата-центром и часто своим облаком в этом дата-центре. Такая техническая база обеспечивает максимальную безопасность, но стоит дорого. Для малых и средних компаний подобные технические решения часто неподъемны и по финансовым соображениям, и из-за нехватки специалистов необходимой квалификации.

В облаке стоимость обеспечения информационной безопасности распределяется на большое количество заказчиков. В итоге стоимость услуг несопоставима со стоимостью покупки аппаратных и программных средств для обеспечения такого же уровня безопасности.

Кроме того, на провайдера ложатся все задачи по своевременному обновлению средств информационной безопасности.

За возможные инциденты облачный провайдер несет финансовую ответственность перед заказчиками. Любой сбой или утечка информации тут же становятся известны на рынке, риски потерять клиентов очень высоки.

Будет ли провайдер иметь доступ к персональным данным, которые я храню?

Нет, провайдер не имеет доступа к персональным данным, которые принадлежат вашей компании.

Что в итоге?

Если вы планируете организовать хранение персональных данных с нуля и еще не успели погрузиться в проблему достаточно глубоко, мы рекомендуем обратиться к провайдеру хотя бы для первичной консультации, чтобы вам помогли правильно определить категорию персональных данных и уровень защиты, который требуется обеспечить.

Подводных камней множество, поэтому вам не помешает серьезная экспертиза. Вам вполне могут рассказать то, чего вы не знали, или предложат решение, которое может оказаться дешевле и проще, чем вы представляли.

Рекомендуем ставить задачу сразу перед несколькими провайдерами, а дальше смотреть на предложенные решения и конечную стоимость услуг.

Если вы уже давно обрабатываете персональные данные, но ваше решение не в полной мере соответствует закону, четко определите свой бюджет и условия работы и приходите к провайдеру с конкретным техническим заданием. Внимательно изучите договор-поручение, чтобы понимать, какие риски вы сможете впоследствии переадресовать провайдеру.

Одна из услуг, которую предлагают облачные провайдеры – Облако ФЗ-152. Это защищённое частное облако, соответствующее требованиям ФЗ-152, где можно безопасно держать персональные данные клиентов или сотрудников. В статье разберём, что собой представляет закон о защите личной информации, почему важно его соблюдать и что такое облако ФЗ-152.

В чём заключается закон ФЗ-152

Таким образом, под действие закона подпадают, например, различные организации, у которых хранится информация о клиентах, а также сайты, собирающие данные посетителей. По закону вести сбор и обработку личных данных можно, получив разрешение человека.

Более подробно остановимся на дальнейшем хранении персональных данных, так как к нему предъявляется множество требований по ФЗ-152:

• Следует хранить то количество данных, которых достаточно для обработки.
• Объём информации должен быть дос0таточным для идентификации субъекта.
• Если данных недостаточно, либо в них есть ошибки, эти данные необходимо уточнить илиудалить.
• Нельзя объединять базы с персональной информацией, взятой для различных целей.
• После того, как персональные данные будут обработаны, их следует уничтожить или обезличить.
• При передаче данных в другую страну необходимо убедиться, что там есть необходимая система защиты, а субъект на это согласен.

Закон ФЗ-152 также делает оператора полностью ответственным за всё, что происходит с персональными данными. Это касается даже тех случаев, когда информация попадает к другим лицам для обработки данных или в результате утечки. Так что хранить персональную информацию можно только на защищённых серверах. В зависимости от уровня защиты (УЗ) сервера делятся на 4 категории:

УЗ-1 — самый высокий уровень защиты для специальных данных, использование которых во вред может нанести серьёзный ущерб. Сюда может относиться информация о расовой и национальной принадлежности, о политических и религиозных взглядах, состоянии здоровья и др.

УЗ-2 — данный уровень защиты необходим, чтобы хранить биометрические данные. Для обеспечения такого УЗ необходимо регулярное резервное копирование и системы защиты от взлома.

УЗ-3 — предназначен для хранения всех иных данных. Здесь хватит ограничения доступа к месту хранения.

УЗ-4 — наименее строгий уровень. На серверах с УЗ-4 можно хранить общедоступные данные. Для обеспечения безопасности хватит простого антивируса.Требований к безопасности серверов более сотни, но из общих стоит упомянуть:

• Серверы должны располагаться в защищённом месте.
• Не должно быть возможности подключения к ним напрямую.
• Доступ к данным должен быть только у тех, у кого есть соответствующие права.
• На сервера должны использоваться сертифицированные средства защиты от угроз.

Чем грозит несоблюдение закона?

Так как те или иные данные собирает практически любая компания, вопрос соблюдения ФЗ-152 касается всех. Вопрос только, в какой степени. Важно понимать, что за несоблюдение норм хранения и обработки предусмотрены административная, уголовная и гражданско-правовая ответственность.

Если обеспечить соответствие УЗ-4 и даже УЗ-3 легко, то более высоких уровней защиты добиться на своих физических серверах достаточно сложно. Это потребует больших затрат времени и финансов, так как потребуется оборудование, лицензионный софт и квалифицированные сотрудники, способные всё настроить должным образом. Чтобы сэкономить и при этом гарантированно обеспечить соблюдение закона, можно воспользоваться облачными услугами.

Облако ФЗ-152

Именно с этого сервиса началась данная статья. Облачные провайдеры, в частности Cloud4Y, предлагают услугу Облако ФЗ-152. Это готовое решение, которое позволяет компании снять с себя заботу о соблюдении требований ФЗ-152. Cloud4Y принимает на себя все организационно-технические меры для обеспечения защиты персональных данных от несанкционированного доступа. Оператор имеет аттестаты УЗ1-4, 1К, 1Г, средства защиты информации, лицензированные ФСБ и ФСТЭк, все необходимые сертификаты и лицензии.

Облако ФЗ-152 – удобное и экономичное решение для любых компаний, которые занимаютсясбором и хранением персональных данных.

АКЦИЯ ГОДА

В статье расскажем, какие способы защиты информации используют в 2020 году, какие работают на 100%, а какие не эффективны, а также как защититься при подключении к незапароленному Wi-Fi.

Способы защиты информации

Начнём с того, как защитить информацию как таковую. О способах защиты рассказал эксперт RTM Group Евгений Царёв.

Физические средства защиты информации

Это сейфы, в случае с компанией – системы контроля доступа, запираемые шкафы и прочее. Подходят для безопасности тех носителей, которые не используются, но хранятся продолжительное время. Важно отметить, что металлические шкафы не подходят для хранения магнитных носителей (жёсткие диски), т.к. могут размагничивать носитель. Для жёстких дисков следует применять специальные сейфы.

Аппаратные средства защиты информации

Электрические, электронные, оптические, лазерные и другие устройства. Многие пользуются токенами. Например, для доступа в интернет-банк это самое популярное аппаратное средство защиты информации. Это надёжные средства, если используются правильно, но с удобством есть проблемы. Аппаратные средства можно потерять, сломать и прочее, нужно поддерживать систему управления, причём с элементами логистики.

Программные средства защиты информации

Это простые и комплексные программы. Пример – антивирусы, установленные на большинстве компьютеров.

DLP-система (от англ. Data Leak Prevention)

Это специализированное ПО, которое блокирует передачу конфиденциальной информации и даёт возможность наблюдать за ежедневной работой сотрудников, чтобы найти слабые места в безопасности и предотвратить утечки. Система анализирует циркулирующую внутри компании информацию. Если появляется угроза опасности, информация блокируется, о чём автоматически уведомляют ответственного сотрудника. DLP и SIEM – решения высокого класса, требуют наличия качественной системы обеспечения информационной безопасности. Используются средними и крупными компаниями. Важна правильная настройка. Это основной инструментарий в работе служб информационной безопасности.

Криптографические средства

Храните данные удалённо

Удалённое хранение информации – часто залог сохранности, уверен Луис Корронс, ИБ-евангелист компании Avast: «Лучший способ защитить информацию – хранить непосредственно на устройствах, не загружая на внешние хранилища. Тогда, чтобы украсть данные, злоумышленникам придётся получить доступ к конкретному физическому устройству.

Но такой способ хранения информации трудно применим на практике, а потому не 100% эффективен. Пользователи обмениваются информацией, личными сведениями, часто требуется удалённый доступ.

Итак, подведём итог. Обычному человеку достаточно установить на компьютер антивирус. Если информация хранится на флешке (что лучше всего), носитель можно зашифровать или убрать в сейф. Что касается компаний, лучшее решение – нанять эксперта по информационной безопасности. Не стоит экономить на таких сотрудниках. Ценную информацию следует хранить на флешках и жёстких дисках в сейфе, а на рабочие компьютеры установить ПО, отслеживающее угрозы безопасности.

Как защитить информацию при денежных переводах

Отдельно стоит упомянуть о передаче данных при подключении к бесплатному незапароленному Wi-Fi. Если подключились к такой сети, лучше не передавайте конфиденциальную информацию (например, номер карты), не совершайте и не оплачивайте покупки – информация о карте не защищена и доступна мошенникам.

Несмотря на то, что банки блокируют подозрительные операции, лучше перестраховаться. Чтобы не переживать за сохранность информации, пользуйтесь специальным программным обеспечением. Например, бесплатным сервисом Hotspot Shield, который создан для организации виртуальной частной сети, гарантирующей безопасную передачу данных по зашифрованному соединению.

Как защитить информацию в почте и соцсетях

Гиганты, такие как Google, Яндекс, придумывают новые способы защитить данные, хранящиеся в почтовых ящиках пользователей. Например, в гугл-почту пользователи теперь заходят через разблокировку смартфона (при попытке зайти в почту на экране мобильного выскочит просьба подтвердить личность), используется двухфакторная аутентификация (такая же опция доступна, к примеру, в Инстаграм) и т.д.

Ещё недавно защита аккаунтов посредством введения кода из СМС (двухфакторная аутентификация) считалась надёжным методом. Однако эксперты говорят, что время этого способа защиты информации ушло.

Такую опцию запустил и Инстаграм. На практике это выглядит так. Пользователь скачивает приложение, которое генерирует уникальные коды. Коды нужно записать или сделать скриншот. По ним, а не по коду из СМС, пользователь попадёт в аккаунт, если возникнут проблемы с доступом.

Потеря или утечка конфиденциальной информации может стать для бизнеса серьезной проблемой. Рассказываем, как этого избежать.

12 августа 2021

Бизнеса, у которого нет конфиденциальных данных, просто не существует. Даже если это маленькая компания, занимающаяся розничной торговлей, у нее как минимум есть документы с информацией о сотрудниках — а это персональные данные, утечка которых может стать причиной для претензий со стороны регуляторов. Есть банковские бумаги, которые проблематично восстанавливать в случае утраты. Есть договоры с поставщиками и подрядчиками, которые могут составлять коммерческую тайну.

Чтобы не потерять важные данные — или же чтобы они не достались посторонним, — мы рекомендуем следовать следующим советам.

1. Включите полнодисковое шифрование на всех устройствах

На устройствах, где хранятся конфиденциальные данные или через которые они передаются (то есть, по большому счету, на всех), стоит включить полнодисковое шифрование данных (FDE, Full Disk Encryption). Это обезопасит данные, если устройство попадет в чужие руки. На большинстве телефонов обеих основных платформ (iOS и Android) такое шифрование включено по умолчанию, и отключать его без острой необходимости не стоит. В системе Windows инструмент полнодискового шифрования называется BitLocker. Аналог в macOS — FileVault.

2. Не выносите конфиденциальные данные из офиса

Еще один способ, как важные данные могут попасть не в те руки — потеря или кража физических носителей: внешних жестких дисков или флешек. Оптимальный вариант — вообще не выносить их из офиса. При крайней необходимости, прежде чем записывать данные на флешку или внешний жесткий диск, зашифруйте их. Например, многие защитные решения для малого бизнеса поддерживают создание криптоконтейнеров — зашифрованных хранилищ для файлов.

3. Не передавайте незашифрованные данные через Интернет

Иногда может возникнуть необходимость переслать конфиденциальные данные через Интернет — по электронной почте или через файлохранилище. В этом случае информация потенциально может быть перехвачена, поэтому лучше всего передаваемые файлы зашифровать. Самый простой способ сделать это — заархивировать их с паролем. Такую функцию поддерживают практически все программы-архиваторы. Причем пароль следует пересылать адресату не по тому каналу, через который вы передаете сами файлы (скажем, информацию вы отправляете вложением в письме, а пароль к ней — через мессенджер, поддерживающий сквозное шифрование).

4. Удаляйте конфиденциальные данные, которые вам больше не понадобятся

Лишняя информация вряд ли когда-либо вам пригодится, а вот проблемы в случае утечки доставить может. Поэтому разумно не хранить конфиденциальные данные, которые вам больше не нужны. Удалять такие данные лучше всего при помощи специальной программы — файлового шреддера. В противном случае удаленные файлы можно восстановить. Ну или как минимум убедитесь, что вы не просто положили их в корзину, где они благополучно продолжают лежать.

5. Шифруйте бэкапы

Резервные копии делать очень важно, но они также могут послужить источником утечки. Поэтому перед созданием резервных копий конфиденциальных данных имеет смысл также поместить их в криптоконтейнер.

6. Не храните важные данные в единственном экземпляре

Если вы не хотите лишиться какой-то информации, следует хранить ее в нескольких изолированных друг от друга местах. Например, одну копию на компьютере, а вторую на внешнем жестком диске или в надежном облачном хранилище. Опять же — не забывая предварительно ее зашифровать и вообще учитывать все советы, которые мы дали выше.

7. Надежно храните пароли от архивов и криптоконтейнеров

Если вы внезапно потеряете пароль от архива с важными для бизнеса данными, то, в сущности, вы потеряете и сами данные — восстановить их будет невозможно. Поэтому разумно хранить пароли в специально созданном для этого приложении.

В состав нашего решения для защиты малого и среднего бизнеса входит, среди прочего, приложение для создания сложных паролей и надежного их хранения. В нем же есть инструмент для создания криптоконтейнеров и средство для автоматизации создания резервных копий данных. Ну и, разумеется, оно же защищает ваши компьютеры и мобильные телефоны от зловредов, которые, помимо всего прочего, могут охотиться за секретами вашей фирмы.

Читайте также:

  
• Какая важная норма древнекитайского права сложилась под влиянием учения конфуция
  
• Блажен кто менее зависит от людей свободен от долгов и от хлопот приказных
  
• Кто из чиновников подает тайный донос на всех чиновников города
  
• Что обязан знать программист
  
• Объясните почему для сварки ответственных конструкций преимущественно применяют источник постоянного тока