Вопрос, насколько допустимо хранение персональных данных (ПД), переданных компаниям-операторам в облаке, не всегда имеет однозначный ответ. Необходимо убедиться в том, насколько серверы облачных провайдеров отвечают требованиям, предъявляемым к защите персональных данных, и определиться с правовыми основаниями, по которым информация будет передаваться на хранение в облаке.

Основные вопросы, связанные с возможностями размещения ПД в облаке

Необходимость передачи персональных данных на хранение в облако возникает, например, при работе с бухгалтерскими программами или CRM-системами, в которых основные информационные массивы размещаются на сервере поставщика услуг. Таким образом, в облаке оказывается персональная информация, хранящаяся:

• в бухгалтерии;
• в кадровом подразделении;
• в отделе по работе с клиентами.

В связи с этим у руководителей юридического лица возникают следующие системные вопросы:

1. Допустимо ли по нормам Федерального закона № 152-ФЗ, Постановления правительства № 1119 и приказов ФСТЭК размещение информационных систем персональных данных на облачных серверах?
2. Как должно быть создано облако, чтобы оно обеспечивало надлежащую защиту персональных данных?
3. Какие требования предъявляются к оператору, решившему хранить защищаемую законом и конфиденциальную информацию в облаке, какие нюансы он должен учесть?
4. Каким образом система персональных данных, размещенная в облаке, может быть аттестована?
5. За что именно, относящееся к сфере защиты персональных данных, несет ответственность «облачный» провайдер?
6. Какой класс защищенности систем из четырех возможных можно создать в облаке?
7. Каким образом в модели угроз учесть действия конкурента, если у него возникнет намерение атаковать базы данных, хранящиеся в облаке?

В большинстве случаев, если компания обрабатывает только персональные данные своих сотрудников и не является оператором, таких вопросов у нее не возникнет. Но если речь идет о медицинской организации или интернет-магазине, риск проверки ФСТЭК РФ или Роскомнадзора заставит искать правильные ответы на эти вопросы.

Организациям, готовым переложить защиту персональных данных на облачного провайдера, необходимо самостоятельно выполнять требуемые приказами организационные меры, проверяя при этом, насколько облачный провайдер подготовлен к решению технических задач. Большинство крупных компаний уже привели свои системы защиты персональных данных в соответствие с требованиями.

Как облачные провайдеры решают задачи соответствия требованиям ФСТЭК

Компании, оказывающие услуги, предусматривающие размещение персональных данных в облаке, не желая потерять клиентов, привели свои системы в соответствие с предъявляемыми требованиями. База распределенной системы выглядит следующим образом:

• автоматизированные рабочие места (АРМ), на которых происходит непосредственная обработка данных, находятся в офисе заказчика;
• база, содержащая персональные данные, размещена на сервере, находящемся на территории поставщика услуг;
• сервер, исходя из требований АОНа, размещен на территории Российской Федерации.

Защищаться от внешних угроз в этой ситуации должны три ключевых элемента системы:

• АРМ пользователей, находящихся в офисе клиента. Перенос конфиденциальной информации и персональных данных на материальные носители или иной ее вывод за пределы защищаемого периметра должен обеспечиваться именно компанией-клиентом облачного провайдера; 
• канал связи, по которому по телекоммуникационным сетям информация передается от АРМ до сервера провайдера;
• находящиеся в облаке виртуальные машины, на которых размещены персональные данные.

Необходимые технические меры

Чтобы обеспечить безопасность тех элементов распределенной системы, которые находятся в зоне их ответственности, провайдерам приходится решать определенные технические задачи. Но ряд задач возлагается и на самих операторов. Среди них:

• обеспечение применения для защиты каждого из элементов системы только сертифицированных технических мер;
• при разработке конфигурации системы защиты персональных данных, расположенных на площадке клиента, создание актуальной модели угроз, учитывающей как риски, связанные с нелегитимной активностью пользователей-сотрудников оператора персональных данных, так и внешние, исходящие от неопределенных внешних агрессоров, которые могут оказаться и конкурентами, и хакерами.

За эти два риска полностью отвечает компания-оператор. На долю облачного провайдера остаются следующие задачи, реализуемые при помощи технических и организационных средств:

• борьба с внешней активностью, нацеленной на канал передачи данных и осуществляемой с целью искажения или перехвата трафика, провоцирования утечки персональных данных во внешнюю среду. Задача решается только при помощи сертифицированных ФСБ России средств криптографической защиты данных. Правовым основанием оказания такой услуги провайдеру станет соответствующее соглашение, заключенное между клиентом и провайдером;
• обучение и контроль за персоналом провайдера. В качестве актуальных технических решений потребуются сертифицированные средства разграничения прав доступа. Их требуется интегрировать в платформу. Также на серверах могут быть размещены другие сертифицированные средства, обеспечивающие необходимый уровень защищенности информационной системы, задачей которой становится обработка персональных данных. Эта задача должна быть решена исключительно за счет ресурсов провайдера;
• разработка системы защиты от внешних угроз и злоумышленников, которые могут посягать на серверы облачного провайдера. Поскольку сложно разграничить сферы ответственности клиента-оператора и поставщика облачных услуг, задача по защите персональных данных касается и провайдера, причем решать ее он должен за свой счет. Сертифицированные средства защиты устанавливаются на серверах поставщика услуг. Если клиенту нужен более высокий уровень защищенности системы, чем стоит у провайдера, провайдер может установить требуемую систему защиты на основании соглашения с клиентом;
• учет рисков, которые могут возникнуть со стороны соседей по облаку, решивших проверить уровень безопасности провайдера и хорошо знакомых с используемыми им мерами безопасности при обработке персональных данных. Такие клиенты, если они окажутся конкурентами, могут причинить серьезный ущерб, неправомерно использовав или распространив хранящиеся на серверах персональные данные. Одним из способов решения этой проблемы станет применение средств, разграничивающих между клиентами ресурсы облачного сервера. Эти средства также должны быть аттестованы (сертифицированы) согласно требованиям ФЗ-152 и рекомендациям ФСТЭК.

Можно подытожить: если поставщик облачных услуг соблюдает требования ФЗ «О персональных данных» регулирующих органов и использует сертифицированное программное обеспечение и технические средства защиты, соответствующие требованиям контролирующих органов, размещение баз, содержащих персональные данные, на облаке допустимо. Поскольку на облака распространяются требования, связанные с виртуальными объектами, необходимым становится также использование сертифицированных гипервизоров. Все это в конечном счете поднимает стоимость «облачных» услуг, связанных с обработкой персональных данных, при этом самостоятельная аттестация системы невозможна, она предусмотрена законодательством только для информационных систем операторов.

При принятии решения о перенесении части массивов информации, содержащих доверенные персональные данные, на облачные серверы, необходимо тщательно проверить техническую подготовку провайдера и заключить с ним соглашения о пользовании услугами соответствующего типа.