Конкурс инструкций
Промо

«Рискуем потерять данные и нарушить закон» – почему компании опасаются облаков

Руководители и специалисты по ИТ рассказали, как хранят персональные данные, а эксперт по информационной безопасности прокомментировал их истории.

Материал подготовлен при поддержке #CloudMTS

Игорь Котляр, CTO цифрового медицинского сервиса «Доктор рядом»:

«Доктор рядом» централизованно хранит персональные данные на серверах одного из внешних поставщиков и следит, чтобы они не «оседали» на рабочих станциях сотрудников.

У нас не случалось ситуаций, когда мы теряли доступ к информации из-за поломки оборудования, но так произошло в Doc+ (в сентябре 2020 года этот сервис сообщил о слиянии с «Доктор рядом»). Причина — сбой в работе сетевого оборудования. Отказоустойчивая конфигурация, к сожалению, не помогла. В тот раз мы потеряли доступ ненадолго — было резервное оборудование. Но ситуация заставила нас активнее тестировать ИТ-инфраструктуру.

Облачные системы мы не рассматриваем. Считаем, что риски слишком велики: уровень защиты данных недостаточный, не исключён несанкционированный доступ со стороны персонала провайдеров.

При этом в облаке можно хранить резервные копии документов, если перед этим их шифровать.

Защищённость облачных сервисов и риски несанкционированного доступа — действительно острые вопросы.

Крупные провайдеры гарантируют, что доступ к размещённым в облаке данным имеет только сам заказчик и больше никто. Это закреплено юридически в договоре. Кроме того, провайдеры дорожат репутацией и доверием клиентов. Уровень защиты современных облачных платформ настолько высок, что позволяет хранить и обрабатывать в облаке не только персональные данные, но и государственные информационные системы (ГИС) в соответствии с законом. Например, в нашем облаке доступны специализированные сервисы для работы с персональными данными и ГИС, аттестованные по самым высоким требованиям. Для персональных данных это уровень УЗ-1, для ГИС — первый класс защищённости К1.

МТС использует для хранения персональных данных сразу несколько аттестованных сегментов облака – они расположены в разных дата-центрах независимо друг от друга. Это позволяет избежать потерь доступа к информации.

Алексей Афанасьев
эксперт #CloudMTS по информационной безопасности

Игорь Беляков, менеджер по информационной безопасности онлайн-тревел агентства Kupibilet.ru:

Главным фактором при принятии решения об использовании облачных сервисов стала стоимость владения инфраструктурой, так как обслуживание собственного оборудования требует большего количества специалистов.

«Облако» позволяет администрировать сервисы откуда угодно в любое время. Это особенно актуально для ИТ-компании, сотрудники которой не привязаны к офису. Во время пандемии таким образом мы оптимизировали затраты на ресурсы — платили только за те сервера и сервисы, которые использовали.

Так как наша компания почти с самого начала строит бизнес на основе облачных сервисов, проблем «переезда» в облако и масштабирования ресурсов у нас не было.

Конечно, опасения по поводу того, что используемое нами облако поддерживает другая компания — есть.

Но мы понимаем, что система защиты провайдера ещё сложнее и надежнее, и мы ему доверяем. Чтобы минимизировать риски, мы действуем превентивно. Например, резервируем критические сервисы, используем дополнительное шифрование и многоуровневый контроль доступа. Как показывает практика, риск остановки онлайн-сервиса из-за облачного провайдера крайне низок.

Защищать данные должны и провайдер, и заказчик — просто они делают это на разных уровнях. Компании отвечают за размещённую в облаке информационную систему.

Провайдер обеспечивает защиту серверной инфраструктуры, которая размещена в дата-центрах. Например, наш облачный провайдер использует собственные высокотехнологичные центры обработки данных (ЦОДы) с уровнем Tier III. Защита обеспечена также на уровне платформы виртуализации. Кроме того, провайдер становится для клиента поставщиком ИБ-сервисов: можно подключить облачный антивирус, защиту от DDoS-атак, WAF, SOC.

Многие делают резервное копирование с собственных мощностей в публичное облако. Эту же схему можно применить при работе с персональными данными. Крупные провайдеры могут предложить сервис бэкапа (BaaS) компаниям, подпадающим под требования 152-ФЗ. Например, у нас есть специальное BaaS-решение на технологиях Veeam: компания может делать бэкап персональных данных со своей площадки в облако. Такой бэкап идёт по защищённому каналу с применением средств криптографической защиты информации и с учётом всех необходимых требований.

Алексей Афанасьев
эксперт #CloudMTS по информационной безопасности

Олег Шальнов, директор Департамента управления ИТ-проектами и интеграцией, АО «Концерн Росэнергоатом»:

Наш концерн обрабатывает персональные данные и другие конфиденциальные сведения в соответствии со всеми требованиями ФСТЭК, ФСБ России и регламентирующими документами корпорации. Мы используем защищённое корпоративное облако на базе ЦОД «Калининский» (собственный дата-центр «Росэнергоатома»). Мы постоянно резервируем важные данные.

Облачное решение доступно и для внешних компаний. Если потребуется организовать инфраструктуру для работы с ГИС или аттестовать информационную систему персональных данных, то приоритет будет у тех облачных сервисов, которые наиболее полно отвечают нормативным требованиям безопасности.

Если нужной инфраструктуры у компании нет, то провайдер может помочь с её организацией и аттестацией в соответствии с требованиями закона. Заказчик получит все необходимые подтверждающие документы.

Строя ГИС на облачных сервисах, компания имеет все преимущества облачной модели: гибкость, доступность. При этом аттестация информационной системы упрощается, так как «кирпичики», с помощью которых она построена, уже имеют аттестат. Из примеров нашей практики: МФЦ Ростова-на-Дону перенёс часть информационной системы в выделенный сегмент облака, который аттестован согласно требованиям первого класса защищенности K1.

Алексей Афанасьев
эксперт #CloudMTS по информационной безопасности

Павел Столбов, генеральный директор АСУ «Жилищный стандарт»:

Наша компания размещает свою программу в облаке российского провайдера несколько лет. Мы всегда храним сведения только в тех ЦОДах, которые полностью соответствуют требованиям закона, в частности 152-ФЗ «О персональных данных».

До этого мы хранили персональные данные в облаке в региональном ЦОДе. Перешли к крупному провайдеру, так как искали федеральную площадку. Дополнительного обучения сотрудников после перехода на новую систему не потребовалось. Расходы контролировать легко, всё прозрачно и цены конкурентные.

Компаниям важно, чтобы облачные решения работали бесперебойно. Например, ИТ-система «Жилищного Стандарта» связывает жителей с управляющими компаниями, ТСЖ, ресурсоснабжающими организациями. Облака крупных федеральных провайдеров, как правило, обладают высокой надежностью и устойчивостью. Данные остаются доступными даже в чрезвычайных ситуациях.

Этот пример подтверждает востребованность решений, которые можно получить в облаке российского провайдера для работы с персональными данными. Для размещаемой ИТ-системы используются передовые технические решения, полностью соответствующие требованиям регулятора — об этом заранее позаботился провайдер.

Алексей Афанасьев
эксперт #CloudMTS по информационной безопасности

Советы: как выбрать провайдера для работы с персональными данными

Часто компании не рассматривают облака для работы с персональными данными или размещения ГИС. Облачные провайдеры готовы предоставить специализированные сервисы для работы с такими «чувствительными» данными. Главное – всё будет в соответствии с законодательными требованиями.

Так компания сможет снизить капитальные затраты, получить гибкость при масштабировании, упростить процедуры проверки соответствия.

Вот несколько советов, как отличить надежного провайдера:

  • У провайдера есть лицензии ФСТЭК и ФСБ, аттестованные сервисы. Хорошо, если аттестат можно посмотреть на сайте компании.
  • Провайдер работает только по официальному договору и с поручением на обработку персональных данных от компании. На основании этого компания сможет провести как проверку на соответствие, так и аттестацию информационной системы персональных данных.
  • В облаке провайдера можно работать как с персональными данными, так и с ГИС. Чем выше уровень защиты облака — тем больше различных категорий персональных данных и ГИС можно там размещать. Уровни защиты закреплены в официальных документах (постановлениях Правительства): для персональных данных наивысший уровень это УЗ-1, для государственных информационных систем – первый класс защищенности К1.
  • Облачная платформа должна быть надёжной: базироваться в нескольких дата-центрах (желательно собственных) и строиться на оборудовании известных вендоров и проверенных решениях виртуализации, например, Vmware.
  • Провайдер предоставляет сервисы информационной безопасности (облачный антивирус, защиту от DDoS-атак, WAF, SOC) и готовые инструменты бэкапа для персональных данных. В том числе позволяет резервировать данные с собственной площадки в аттестованный сегмент облака с помощью специализированных BaaS-сервисов.
{ "author_name": "Промо", "author_type": "editor", "tags": ["cloudmts"], "comments": 7, "likes": 10, "favorites": 34, "is_advertisement": true, "subsite_label": "promo", "id": 246963, "is_wide": true, "is_ugc": false, "date": "Mon, 24 May 2021 16:40:24 +0300", "is_special": false }
Конкурс технических инструкций
0
7 комментариев
Популярные
По порядку
Написать комментарий...

Как бы уважаемый эксперт прокомментировал известный кейс с Облаком Яндекса?

3

А вы думаете, такого не бывает в собственном облаке? Бывает и ещё как. Человеческий фактор неустраним. Но чем опытнее персонал, тем меньше вероятность ошибок. Владельцы больших платформ могут позволить себе топовых сотрудников и не только потому, что готовы платить больше, просто топовых может быть, грубо говоря, десяток на всю страну и они осядут в операторах и банально не достанутся энтерпрайзу.

Если что, я не из МТС. 

1

В этом случае проблема была не в самой ошибке, а в том, как клиентам объясняли, что они сами дураки.

Яндекс, кстати, довольно большая платформа

0

Комментарий удален

Комментарий удален

Читать все 7 комментариев
Почему стартапы терпят поражение

Ключевые идеи не изданной на русском книги «Why Startups Fail» Тома Айзенманна, профессора делового администрирования в Гарвардской школе бизнеса.

Изображение предоставлено командой сервиса MakeRight.ru
Эксперты Httpool выступят на конференции по глобальному маркетингу Globalize! 2021

Событие соберет самых продвинутых специалистов в сфере трафика и аналитики из Google, Httpool, AppsFlyer, Aitarget, Angle Connect, TikTok, OWOX, SHAREit, Tribuna, SportQuake, LCFC, FBS.

Сервис аренды электросамокатов Whoosh добавил электровелосипеды — пока в тестовом режиме Статьи редакции

От 6 рублей за минуту.

Готовы выбрать победителя премии «Экспортер года eBay — 2021»?
Заголовок вышел из-под контроля
За 100 лет до МММ: как рязанский банкир построил финансовую пирамиду в 19 веке и обманул вкладчиков на 12 млн рублей Статьи редакции

Когда в скопинском банке оказалось недостаточно денег, чтобы выплачивать проценты по вкладам, директор Иван Рыков «нарисовал» баланс и привлёк новых вкладчиков. На их деньги он отдавал проценты — так и зародилась первая в России финансовая пирамида, которая просуществовала 15 лет.

Здание Скопинского банка Архив Скопинского исторического общества
Что за чудеса происходят с алгоритмами Яндекс.Директ в РСЯ. Почему испортилась РСЯ и как это исправить

Многие рекламодатели Яндекс.Директ начиная с лета 2021-го года заметили странные тенденции в работе нейросети РСЯ. Я в их числе. Что делать, если рекламные кампании резко перестали приносить конверсии и засоряют сайт некачественным трафиком за ваши деньги? Попробуем разобраться и изучить вопрос на конкретных примерах мусорного трафика.

Чудаки на букву М, МТС продал оплаченный Iphone 13 pro max

Собственно возжелала душа новинку, новый IPhone 13 pro max. Начал искать в гугле и нашел на офф.сайте МТС нужную модель в наличии, под самовывоз с салона, заказал и сразу оплатил.

Как традиционному малому бизнесу превратиться в стартап: план действий

Сейчас в России предприниматели переходят из традиционного малого бизнеса в стартапы очень редко — меньше чем в 0,02% случаев. Это не больше 1 000 стартапов из около 6 млн предприятий малого бизнеса. Поговорим о том, что мешает предпринимателям и как действовать, если есть желание создать стартап.

Как мы проводили командную ретроспективу в Minecraft

Рассказываем историю, на что стоит обратить внимание при проведении командного мероприятия в игре Minecraft, какие грабли могут быть, как организовать онлайн- и офлайн-участие.

Я задолбался искать нормальную девушку и создал Lovely Bot

Как Tinder, только знакомит на основе взаимных увлечений

null