Безопасность персональных данных в облаке: что важно знать бизнесу
Потенциальный рост штрафов за утечки персональных данных подталкивает компании серьёзнее подходить к безопасности. Разбираем, как облачные провайдеры помогают защитить данные и за что несёт ответственность бизнес.
Опыт российских компаний показывает, что несоблюдение требований безопасности рано или поздно приводит к инцидентам. Масштаб ущерба в таких ситуациях непредсказуем, к тому же в январе 2024 года Госдума в первом чтении приняла законопроект о повышении штрафов за утечку ПД. Ранее инцидент приводил к аудиторской проверке и штрафу в несколько десятков тысяч рублей. Если закон примут, штрафы будут достигать 2 млн рублей для физических лиц и 15 млн — для юридических.
По данным внутреннего исследования Yandex Cloud*, 39% опрошенных компаний высоко оценивают безопасность облачных платформ. Но не все знают, как устроена защита ПД в облаке, что именно делает провайдер для своих клиентов и в чём заключаются преимущества облачных решений. На эти вопросы отвечает Рами Мулейс, руководитель команды Cloud Trust в Yandex Cloud.
*Исследование проводилось в начале 2024 года. В нём приняли участие 600 специалистов информационной безопасности из различных компаний.
В чём особенности хранения ПД в облаке
Персональные данные — это любая информация, по которой можно идентифицировать человека, например адрес электронной почты, телефон или паспортные данные. В России работа с ПД регулируется Федеральным законом «О персональных данных» (152-ФЗ), который действует с 2006 года. Соблюдение закона контролируют Роскомнадзор и Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Закон требует, чтобы операторы* персональных данных обеспечивали их безопасность вне зависимости от масштаба компании и её сферы. При этом допускается хранение данных в облаке, и одно из важнейших условий для этого — дата-центр выбранного провайдера должен находиться на территории России.
*Операторы ПД — это компании, госучреждения или физические лица, которые собирают, хранят, обрабатывают и распространяют персональные данные
Облачный провайдер не управляет доступом к ПД, размещённым в облаке, поэтому ответственность за них остаётся на операторе. В случае утечки именно он будет отчитываться перед контролирующими органами.
Однако ответственность за выполнение требований законодательства чётко делится между облаком и клиентом. В частности, провайдер предоставляет защищённую инфраструктуру, которая отвечает всем требованиям 152-ФЗ, Постановления Правительства РФ № 1119 и Приказа ФСТЭК № 21.
Как облачные платформы обеспечивают защиту ПД
В Yandex Cloud информационная безопасность строится на трёх основных принципах:
- Security-by-design: при проектировании систем безопасности мы интегрируем её в архитектуру и код. Это значит, что меры защиты изначально заложены в структуру платформы.
- Всесторонняя защита инфраструктуры и данных: круглосуточный мониторинг и работа Центра безопасности Yandex Cloud (Security Operations Center, SOC) позволяют отслеживать угрозы и предупреждать инциденты.
- Соответствие стандартам: наша платформа выполняет все требования 152-ФЗ (УЗ-1), постановления правительства № 1119 и Приказа ФСТЭК № 21, а также придерживается стандартов ISO, GDPR и ГОСТ Р 57580, чтобы обеспечить доверие клиентов.
На схеме ниже — общепринятый на российском рынке подход к обеспечению защиты ПД в облаке на примере оценки эффективности мер защиты согласно закону 152‑ФЗ. По такому процессу идут все компании, которые работают с ПД клиентов.
Для создания системы защиты ПД в Yandex Cloud есть набор необходимых сервисов:
- система управления пользователями, ролями и политиками для контроля доступа к облачным ресурсам;
- инструмент шифрования данных для управления криптографическими ключами и защиты секретов, личных данных и другой конфиденциальной информации в облаке;
- другие встроенные сервисы.
Кроме того, мы постоянно развиваем линейку продуктов для контроля безопасности облачных ресурсов, данных и приложений. Так, одно из новых решений — CNAPP-платформа Yandex Security Deck — объединяет инструменты для управления доступом, обеспечения прозрачности и безопасности данных. Встроенный модуль DSPM находит в облачной инфраструктуре места хранения и обработки ПД, что позволяет снизить риски их утечки.
В Yandex Security Deck также доступен модуль Access Transparency, который обеспечивает прозрачность платформы Yandex Cloud. Он позволяет проверить для каких целей сотрудники провайдера получили доступ к инфраструктуре: например, для выполнения дополнительной диагностики IT‑систем инженерами службы поддержки или для обновления ПО. Встроенные ML-модели анализируют все операции и выявляют потенциально опасные, а YandexGPT дополнительно суммаризирует действия, упрощая контроль.
Эти и другие сервисы, а также команда облака фактически заменяют для компании штат высококвалифицированных специалистов, в том числе инженеров по безопасности. А это особенно актуально, ведь на российском рынке недостаток таких кадров. В свою очередь виртуальные машины и облачные ресурсы позволяют закрыть дефицит физического оборудования, которое бывает сложно находить из-за нехватки комплектующих и отсутствия условий для их производства.
Роли клиента и провайдера для защиты ПД в облаке
При работе с клиентами мы следуем концепции совместной ответственности. Так, облачный провайдер отвечает за физическую защиту инфраструктуры и доступность всей системы. Клиент, в свою очередь, контролирует права доступа к своим ресурсам, в том числе виртуальным машинам и базам данных. Это разделение помогает создать надёжную и защищённую среду для работы с данными.
Так различается процесс прохождения аудита на соответствие требованиям 152-ФЗ компанией самостоятельно или с привлечением облачного партнёра:
Почему компании выбирают облака и доверяют им персональные данные
С ростом требований к защите данных компании всё чаще обращаются к облачным решениям. Как показывает внутреннее исследование Yandex Cloud, 73% специалистов ИБ доверяют облачным платформам, и это доверие напрямую связано с уровнем безопасности, который обеспечивает провайдер. Согласно опросу, 32% участников считают обоснование безопасности критически важным фактором при выборе облака.
Сегодня клиенты размещают в контуре Yandex Cloud разные данные, в том числе внутренние нормативные акты (49%), ПД клиентов и сотрудников (46%) и конфиденциальную информацию (45%).
Кроме того, мы обеспечиваем приватность во всех процессах Yandex Cloud и применяет больше мер, чем требует законодательство России. Например, мы прошли аудит на соответствие требованиям международного стандарта ISO 27701. Это руководство по защите персональных данных, которое помогает компаниям выстроить систему защиты в соответствии с 152-ФЗ и международными требованиями. Стандарт позволяет оценить то, как платформа защищает данные и соблюдает законодательные принципы их обработки. Сертификация проверяет защиту и передачу данных, законность их использования, а также управление доступами и рисками утечек.
Таким образом, в надёжном облаке безопасно хранить и обрабатывать персональные данные любой категории. Перед выбором провайдера важно проверить сертификаты, уровень технической поддержки и обсудить с облачным партнёром бесшовный процесс переноса данных.
Хотите узнать больше о возможностях облачных технологий для бизнеса? Подписывайтесь на телеграм-канал Yandex Cloud и будьте в курсе трендов.
Другие статьи о безопасности облака:
Облачный провайдер не имеет доступа к данным, поэтому в случае утечки ответственность несет оператор - интересный пункт...
Да, это действительно так. В случае утечки данных ответственность лежит именно на операторе персональных данных.
Облачная платформа, как правило,не имеет доступа к персональным данным клиента (например, вы можете хранить данные в зашифрованном виде). Права доступа к ресурсам клиента, в том числе к виртуальным машинам, контролирует только он сам.