Как защитить персональные данные в "облаке"?

Алексей Залецкий

КАК ЗАЩИТИТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ В «ОБЛАКЕ»?

ПРИВЕТ,я отвечаю за информационную безопасность в КорпСофт24

Любой компании, рассматривающей возможность размещения в «облаке» информационных систем, в которых обрабатываются персональные данные, либо уже их размещающие.

Кому будет полезна информация данной презентации

ТРЕБОВАНИЯ ЗАКОНОДАТЕЛЬСТВА

• ФЗ 152 «О персональных данных»

• ПП 1119 «Требования к защите персональных данных при их обработке в информационных системах персональных данных»

• 21 приказ ФСТЭК «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

Требования

ЧТО НЕОБХОДИМО СДЕЛАТЬ?Основные шаги

Разработать модель угроз

ПРИ САМОСТОЯТЕЛЬНОМ ВЫПОЛНЕНИИ ТРЕБОВАНИЙ

Разработать ОРД

Разработать ТЗ

1 2 3

4 5 6Разработать

проектВнедрить

систему защиты Аттестовать

ПРИ ИСПОЛЬЗОВАНИИ УСЛУГИ

«ОБЛАКО ФЗ 152»

1 2Разработать

модель угрозРазработать

ОРД

Информация предоставляемая клиентомУровень защищенности ИСПДн.

Если необходимо, то оказываем помощь в определении УЗ.

При поручении облачному провайдеру обработки ПДн Клиенту необходимо получить согласие на передачу ПДн от каждого субъекта ПДн. Согласие субъекта на обработку ПДн должно включать:• Наименование и адрес поставщика услуг• Цель обработки ПДн• Перечень ПДн• Перечень действий с ПДн• Срок, в течение которого действует согласие• Порядок его отзыва

Согласие субъектов ПДн

• П.4 ПП 1119 «Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором»

• В рамках услуги «Облако ФЗ 152» предлагается заранее определенный набор средств защиты информации, которые подойдут большинству клиентов.

• Есть индивидуальные альтернативные варианты.

Определение мер защиты

• меры физической защиты• межсетевые экраны• криптографическая защита• предотвращение вторжений• защита от вирусов• анализа защищенности• защиты от несанкционированного

доступа• защита среды виртуализации• и ряд других мер защиты информации

Какие меры защиты используются

Варианты размещения ИСПДн

1. Все серверы ИСПДн на площадках облачного провайдера

2. Часть серверов ИСПДн на площадке Клиента и часть на площадках облачного провайдера

• Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации

• Лицензия ФСБ на оказание услуг в области шифрования информации и технического обслуживания СКЗИ

Лицензии

• Помощь в разработке моделей угроз, ОРД и проектов

• Создание систем защиты на стороне Клиента

• Аттестация информационной системы, частью которой будет услуга «Облако ФЗ 152»

• Разработка типовых документов для филиалов компаний

• Поддержка и консультации в рамках прохождения проверок

Дополнительные услуги

• Система аттестована и полностью соответствует всем требованиям регуляторов для размещения ИСПДн

• Комплекс организационно-технических мер защиты позволяет обеспечить клиентам защиту от угроз со стороны не только обслуживающего персонала, но и со стороны других клиентов, расположенных "по соседству" в облаке

• Оператор ПДн не несет затрат на создание и владение защищенной IT-инфраструктурой• Оператор ПДн может использовать общесистемное и специальное ПО провайдера• Оператор ПДн получает сопровождение IT-инфраструктуры силами квалифицированных

специалистов в режиме 24х7• SLA аналогичный остальным облачным услугам• Возможность использования совместно с разными типами облачных услуг• Возможность использования дополнительных услуг по защите ИСПДн для повышения

уровня защищенности (AntiDDoS, WAF)

Что получает клиент?

ДОПОЛНИТЕЛЬНЫЕ МЕРЫ ЗАЩИТЫ И СЕРВИСЫ

Данная возможность обеспечивается поддержкой виртуальных межсетевых экранов и систем предотвращения вторжений

Возможность самостоятельно управлять СЗИ

Использование облачных сервисов защиты от DDoS-атак

Защита от DDoS

Облачный сервис по защите от Web-атак

Облачный WAF

ЗАЩИТА ПДН ИНТЕРНЕТ-МАГАЗИНОВ В «ОБЛАКЕ»

Политика конфиденциальности должна содержать:• цели сбора персональных данных• перечень собираемых персональных

данных• способы и сроки обработки

персональных данных• согласие пользователя, в том числе:o на передачу ПДн третьим лицам

(например, транспортным компаниям)o использование ПДн для проведения

рекламных акций• и т. д.

Политика конфиденциальности

• Перечень собираемых ПДн не должен быть излишен

• Необходимо собирать только те ПДн, которые соответствуют целям обработки

Перечень собираемых ПДн

В ФЗ 152 есть исключения, при которых можно не подавать уведомление в РКН, но, например, проведение рекламных акций не подпадает под данные исключения

Необходимость уведомления РКН

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить: накопление, систематизацию, запись, извлечение, уточнение (обновление, изменение), хранение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ

ФЗ 242

Необходимость согласия на трансграничную передачу определяется фактом, обеспечивает ли иностранное государство адекватную защиту прав субъектов персональных данных, в чем должен убедиться Оператор ПДн

Трансграничная передача ПДн

«Требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных»

Обезличивание ПДн

При выполнении требований ФЗ 152 нужно помнить о том, что требования распространяются на все ПДн, обрабатываемые в компании

ПДн Интернет-магазина не только в облаке

Основное преимущество -возможность обеспечить более высокий уровень защищенности

Спасибо за внимание! Вопросы?