Конкурс инструкций
Промо

«Рискуем потерять данные и нарушить закон» – почему компании опасаются облаков

Руководители и специалисты по ИТ рассказали, как хранят персональные данные, а эксперт по информационной безопасности прокомментировал их истории.

Материал подготовлен при поддержке #CloudMTS

Игорь Котляр, CTO цифрового медицинского сервиса «Доктор рядом»:

«Доктор рядом» централизованно хранит персональные данные на серверах одного из внешних поставщиков и следит, чтобы они не «оседали» на рабочих станциях сотрудников.

У нас не случалось ситуаций, когда мы теряли доступ к информации из-за поломки оборудования, но так произошло в Doc+ (в сентябре 2020 года этот сервис сообщил о слиянии с «Доктор рядом»). Причина — сбой в работе сетевого оборудования. Отказоустойчивая конфигурация, к сожалению, не помогла. В тот раз мы потеряли доступ ненадолго — было резервное оборудование. Но ситуация заставила нас активнее тестировать ИТ-инфраструктуру.

Облачные системы мы не рассматриваем. Считаем, что риски слишком велики: уровень защиты данных недостаточный, не исключён несанкционированный доступ со стороны персонала провайдеров.

При этом в облаке можно хранить резервные копии документов, если перед этим их шифровать.

Защищённость облачных сервисов и риски несанкционированного доступа — действительно острые вопросы.

Крупные провайдеры гарантируют, что доступ к размещённым в облаке данным имеет только сам заказчик и больше никто. Это закреплено юридически в договоре. Кроме того, провайдеры дорожат репутацией и доверием клиентов. Уровень защиты современных облачных платформ настолько высок, что позволяет хранить и обрабатывать в облаке не только персональные данные, но и государственные информационные системы (ГИС) в соответствии с законом. Например, в нашем облаке доступны специализированные сервисы для работы с персональными данными и ГИС, аттестованные по самым высоким требованиям. Для персональных данных это уровень УЗ-1, для ГИС — первый класс защищённости К1.

МТС использует для хранения персональных данных сразу несколько аттестованных сегментов облака – они расположены в разных дата-центрах независимо друг от друга. Это позволяет избежать потерь доступа к информации.

Алексей Афанасьев
эксперт #CloudMTS по информационной безопасности

Игорь Беляков, менеджер по информационной безопасности онлайн-тревел агентства Kupibilet.ru:

Главным фактором при принятии решения об использовании облачных сервисов стала стоимость владения инфраструктурой, так как обслуживание собственного оборудования требует большего количества специалистов.

«Облако» позволяет администрировать сервисы откуда угодно в любое время. Это особенно актуально для ИТ-компании, сотрудники которой не привязаны к офису. Во время пандемии таким образом мы оптимизировали затраты на ресурсы — платили только за те сервера и сервисы, которые использовали.

Так как наша компания почти с самого начала строит бизнес на основе облачных сервисов, проблем «переезда» в облако и масштабирования ресурсов у нас не было.

Конечно, опасения по поводу того, что используемое нами облако поддерживает другая компания — есть.

Но мы понимаем, что система защиты провайдера ещё сложнее и надежнее, и мы ему доверяем. Чтобы минимизировать риски, мы действуем превентивно. Например, резервируем критические сервисы, используем дополнительное шифрование и многоуровневый контроль доступа. Как показывает практика, риск остановки онлайн-сервиса из-за облачного провайдера крайне низок.

Защищать данные должны и провайдер, и заказчик — просто они делают это на разных уровнях. Компании отвечают за размещённую в облаке информационную систему.

Провайдер обеспечивает защиту серверной инфраструктуры, которая размещена в дата-центрах. Например, наш облачный провайдер использует собственные высокотехнологичные центры обработки данных (ЦОДы) с уровнем Tier III. Защита обеспечена также на уровне платформы виртуализации. Кроме того, провайдер становится для клиента поставщиком ИБ-сервисов: можно подключить облачный антивирус, защиту от DDoS-атак, WAF, SOC.

Многие делают резервное копирование с собственных мощностей в публичное облако. Эту же схему можно применить при работе с персональными данными. Крупные провайдеры могут предложить сервис бэкапа (BaaS) компаниям, подпадающим под требования 152-ФЗ. Например, у нас есть специальное BaaS-решение на технологиях Veeam: компания может делать бэкап персональных данных со своей площадки в облако. Такой бэкап идёт по защищённому каналу с применением средств криптографической защиты информации и с учётом всех необходимых требований.

Алексей Афанасьев
эксперт #CloudMTS по информационной безопасности

Олег Шальнов, директор Департамента управления ИТ-проектами и интеграцией, АО «Концерн Росэнергоатом»:

Наш концерн обрабатывает персональные данные и другие конфиденциальные сведения в соответствии со всеми требованиями ФСТЭК, ФСБ России и регламентирующими документами корпорации. Мы используем защищённое корпоративное облако на базе ЦОД «Калининский» (собственный дата-центр «Росэнергоатома»). Мы постоянно резервируем важные данные.

Облачное решение доступно и для внешних компаний. Если потребуется организовать инфраструктуру для работы с ГИС или аттестовать информационную систему персональных данных, то приоритет будет у тех облачных сервисов, которые наиболее полно отвечают нормативным требованиям безопасности.

Если нужной инфраструктуры у компании нет, то провайдер может помочь с её организацией и аттестацией в соответствии с требованиями закона. Заказчик получит все необходимые подтверждающие документы.

Строя ГИС на облачных сервисах, компания имеет все преимущества облачной модели: гибкость, доступность. При этом аттестация информационной системы упрощается, так как «кирпичики», с помощью которых она построена, уже имеют аттестат. Из примеров нашей практики: МФЦ Ростова-на-Дону перенёс часть информационной системы в выделенный сегмент облака, который аттестован согласно требованиям первого класса защищенности K1.

Алексей Афанасьев
эксперт #CloudMTS по информационной безопасности

Павел Столбов, генеральный директор АСУ «Жилищный стандарт»:

Наша компания размещает свою программу в облаке российского провайдера несколько лет. Мы всегда храним сведения только в тех ЦОДах, которые полностью соответствуют требованиям закона, в частности 152-ФЗ «О персональных данных».

До этого мы хранили персональные данные в облаке в региональном ЦОДе. Перешли к крупному провайдеру, так как искали федеральную площадку. Дополнительного обучения сотрудников после перехода на новую систему не потребовалось. Расходы контролировать легко, всё прозрачно и цены конкурентные.

Компаниям важно, чтобы облачные решения работали бесперебойно. Например, ИТ-система «Жилищного Стандарта» связывает жителей с управляющими компаниями, ТСЖ, ресурсоснабжающими организациями. Облака крупных федеральных провайдеров, как правило, обладают высокой надежностью и устойчивостью. Данные остаются доступными даже в чрезвычайных ситуациях.

Этот пример подтверждает востребованность решений, которые можно получить в облаке российского провайдера для работы с персональными данными. Для размещаемой ИТ-системы используются передовые технические решения, полностью соответствующие требованиям регулятора — об этом заранее позаботился провайдер.

Алексей Афанасьев
эксперт #CloudMTS по информационной безопасности

Советы: как выбрать провайдера для работы с персональными данными

Часто компании не рассматривают облака для работы с персональными данными или размещения ГИС. Облачные провайдеры готовы предоставить специализированные сервисы для работы с такими «чувствительными» данными. Главное – всё будет в соответствии с законодательными требованиями.

Так компания сможет снизить капитальные затраты, получить гибкость при масштабировании, упростить процедуры проверки соответствия.

Вот несколько советов, как отличить надежного провайдера:

  • У провайдера есть лицензии ФСТЭК и ФСБ, аттестованные сервисы. Хорошо, если аттестат можно посмотреть на сайте компании.
  • Провайдер работает только по официальному договору и с поручением на обработку персональных данных от компании. На основании этого компания сможет провести как проверку на соответствие, так и аттестацию информационной системы персональных данных.
  • В облаке провайдера можно работать как с персональными данными, так и с ГИС. Чем выше уровень защиты облака — тем больше различных категорий персональных данных и ГИС можно там размещать. Уровни защиты закреплены в официальных документах (постановлениях Правительства): для персональных данных наивысший уровень это УЗ-1, для государственных информационных систем – первый класс защищенности К1.
  • Облачная платформа должна быть надёжной: базироваться в нескольких дата-центрах (желательно собственных) и строиться на оборудовании известных вендоров и проверенных решениях виртуализации, например, Vmware.
  • Провайдер предоставляет сервисы информационной безопасности (облачный антивирус, защиту от DDoS-атак, WAF, SOC) и готовые инструменты бэкапа для персональных данных. В том числе позволяет резервировать данные с собственной площадки в аттестованный сегмент облака с помощью специализированных BaaS-сервисов.
{ "author_name": "Промо", "author_type": "editor", "tags": ["cloudmts"], "comments": 7, "likes": 10, "favorites": 34, "is_advertisement": true, "subsite_label": "promo", "id": 246963, "is_wide": true, "is_ugc": false, "date": "Mon, 24 May 2021 16:40:24 +0300", "is_special": false }
Конкурс технических инструкций
0
7 комментариев
Популярные
По порядку
Написать комментарий...

Как бы уважаемый эксперт прокомментировал известный кейс с Облаком Яндекса?

3

А вы думаете, такого не бывает в собственном облаке? Бывает и ещё как. Человеческий фактор неустраним. Но чем опытнее персонал, тем меньше вероятность ошибок. Владельцы больших платформ могут позволить себе топовых сотрудников и не только потому, что готовы платить больше, просто топовых может быть, грубо говоря, десяток на всю страну и они осядут в операторах и банально не достанутся энтерпрайзу.

Если что, я не из МТС. 

1

В этом случае проблема была не в самой ошибке, а в том, как клиентам объясняли, что они сами дураки.

Яндекс, кстати, довольно большая платформа

0

Комментарий удален

Комментарий удален

Читать все 7 комментариев
Как мы проводили командную ретроспективу в Minecraft

Рассказываем историю, на что стоит обратить внимание при проведении командного мероприятия в игре Minecraft, какие грабли могут быть, как организовать онлайн- и офлайн-участие.

Заголовок вышел из-под контроля
Готовы выбрать победителя премии «Экспортер года eBay — 2021»?
Чудаки на букву М, МТС продал оплаченный Iphone 13 pro max

Собственно возжелала душа новинку, новый IPhone 13 pro max. Начал искать в гугле и нашел на офф.сайте МТС нужную модель в наличии, под самовывоз с салона, заказал и сразу оплатил.

Как традиционному малому бизнесу превратиться в стартап: план действий

Сейчас в России предприниматели переходят из традиционного малого бизнеса в стартапы очень редко — меньше чем в 0,02% случаев. Это не больше 1 000 стартапов из около 6 млн предприятий малого бизнеса. Поговорим о том, что мешает предпринимателям и как действовать, если есть желание создать стартап.

За 100 лет до МММ: как рязанский банкир построил финансовую пирамиду в 19 веке и обманул вкладчиков на 12 млн рублей Статьи редакции

Когда в скопинском банке оказалось недостаточно денег, чтобы выплачивать проценты по вкладам, директор Иван Рыков «нарисовал» баланс и привлёк новых вкладчиков. На их деньги он отдавал проценты — так и зародилась первая в России финансовая пирамида, которая просуществовала 15 лет.

Здание Скопинского банка Архив Скопинского исторического общества
Почему стартапы терпят поражение

Ключевые идеи не изданной на русском книги «Why Startups Fail» Тома Айзенманна, профессора делового администрирования в Гарвардской школе бизнеса.

Изображение предоставлено командой сервиса MakeRight.ru
Сервис аренды электросамокатов Whoosh добавил электровелосипеды — пока в тестовом режиме Статьи редакции

От 6 рублей за минуту.

Нужны ли в России сити-фермы

И появятся ли грядки на крышах пятиэтажек.

re-thinkingthefuture.com
Я задолбался искать нормальную девушку и создал Lovely Bot

Как Tinder, только знакомит на основе взаимных увлечений

Что за чудеса происходят с алгоритмами Яндекс.Директ в РСЯ. Почему испортилась РСЯ и как это исправить

Многие рекламодатели Яндекс.Директ начиная с лета 2021-го года заметили странные тенденции в работе нейросети РСЯ. Я в их числе. Что делать, если рекламные кампании резко перестали приносить конверсии и засоряют сайт некачественным трафиком за ваши деньги? Попробуем разобраться и изучить вопрос на конкретных примерах мусорного трафика.

null