Безопасность персональных данных в облаке: что важно знать бизнесу

Потенциальный рост штрафов за утечки персональных данных подталкивает компании серьёзнее подходить к безопасности. Разбираем, как облачные провайдеры помогают защитить данные и за что несёт ответственность бизнес.

Безопасность персональных данных в облаке: что важно знать бизнесу

Опыт российских компаний показывает, что несоблюдение требований безопасности рано или поздно приводит к инцидентам. Масштаб ущерба в таких ситуациях непредсказуем, к тому же в январе 2024 года Госдума в первом чтении приняла законопроект о повышении штрафов за утечку ПД. Ранее инцидент приводил к аудиторской проверке и штрафу в несколько десятков тысяч рублей. Если закон примут, штрафы будут достигать 2 млн рублей для физических лиц и 15 млн — для юридических.

По данным внутреннего исследования Yandex Cloud*, 39% опрошенных компаний высоко оценивают безопасность облачных платформ. Но не все знают, как устроена защита ПД в облаке, что именно делает провайдер для своих клиентов и в чём заключаются преимущества облачных решений. На эти вопросы отвечает Рами Мулейс, руководитель команды Cloud Trust в Yandex Cloud.

*Исследование проводилось в начале 2024 года. В нём приняли участие 600 специалистов информационной безопасности из различных компаний.

Рами Мулейс
Руководитель команды Cloud Trust

В чём особенности хранения ПД в облаке

Персональные данные — это любая информация, по которой можно идентифицировать человека, например адрес электронной почты, телефон или паспортные данные. В России работа с ПД регулируется Федеральным законом «О персональных данных» (152-ФЗ), который действует с 2006 года. Соблюдение закона контролируют Роскомнадзор и Федеральная служба по техническому и экспортному контролю (ФСТЭК).

Закон требует, чтобы операторы* персональных данных обеспечивали их безопасность вне зависимости от масштаба компании и её сферы. При этом допускается хранение данных в облаке, и одно из важнейших условий для этого — дата-центр выбранного провайдера должен находиться на территории России.

*Операторы ПД — это компании, госучреждения или физические лица, которые собирают, хранят, обрабатывают и распространяют персональные данные

Облачный провайдер не управляет доступом к ПД, размещённым в облаке, поэтому ответственность за них остаётся на операторе. В случае утечки именно он будет отчитываться перед контролирующими органами.

Однако ответственность за выполнение требований законодательства чётко делится между облаком и клиентом. В частности, провайдер предоставляет защищённую инфраструктуру, которая отвечает всем требованиям 152-ФЗ, Постановления Правительства РФ № 1119 и Приказа ФСТЭК № 21.

Как облачные платформы обеспечивают защиту ПД

В Yandex Cloud информационная безопасность строится на трёх основных принципах:

  • Security-by-design: при проектировании систем безопасности мы интегрируем её в архитектуру и код. Это значит, что меры защиты изначально заложены в структуру платформы.
  • Всесторонняя защита инфраструктуры и данных: круглосуточный мониторинг и работа Центра безопасности Yandex Cloud (Security Operations Center, SOC) позволяют отслеживать угрозы и предупреждать инциденты.
  • Соответствие стандартам: наша платформа выполняет все требования 152-ФЗ (УЗ-1), постановления правительства № 1119 и Приказа ФСТЭК № 21, а также придерживается стандартов ISO, GDPR и ГОСТ Р 57580, чтобы обеспечить доверие клиентов.

На схеме ниже — общепринятый на российском рынке подход к обеспечению защиты ПД в облаке на примере оценки эффективности мер защиты согласно закону 152‑ФЗ. По такому процессу идут все компании, которые работают с ПД клиентов.

Основные принципы обработки ПД для соответствия требованиям российских регуляторов
Основные принципы обработки ПД для соответствия требованиям российских регуляторов

Для создания системы защиты ПД в Yandex Cloud есть набор необходимых сервисов:

  • система управления пользователями, ролями и политиками для контроля доступа к облачным ресурсам;
  • инструмент шифрования данных для управления криптографическими ключами и защиты секретов, личных данных и другой конфиденциальной информации в облаке;
  • другие встроенные сервисы.

Кроме того, мы постоянно развиваем линейку продуктов для контроля безопасности облачных ресурсов, данных и приложений. Так, одно из новых решений — CNAPP-платформа Yandex Security Deck — объединяет инструменты для управления доступом, обеспечения прозрачности и безопасности данных. Встроенный модуль DSPM находит в облачной инфраструктуре места хранения и обработки ПД, что позволяет снизить риски их утечки.

В Yandex Security Deck также доступен модуль Access Transparency, который обеспечивает прозрачность платформы Yandex Cloud. Он позволяет проверить для каких целей сотрудники провайдера получили доступ к инфраструктуре: например, для выполнения дополнительной диагностики IT‑систем инженерами службы поддержки или для обновления ПО. Встроенные ML-модели анализируют все операции и выявляют потенциально опасные, а YandexGPT дополнительно суммаризирует действия, упрощая контроль.

Сервис позволяет отслеживать действия и суммаризировать их для удобства с помощью GPT
Сервис позволяет отслеживать действия и суммаризировать их для удобства с помощью GPT

Эти и другие сервисы, а также команда облака фактически заменяют для компании штат высококвалифицированных специалистов, в том числе инженеров по безопасности. А это особенно актуально, ведь на российском рынке недостаток таких кадров. В свою очередь виртуальные машины и облачные ресурсы позволяют закрыть дефицит физического оборудования, которое бывает сложно находить из-за нехватки комплектующих и отсутствия условий для их производства.

Роли клиента и провайдера для защиты ПД в облаке

При работе с клиентами мы следуем концепции совместной ответственности. Так, облачный провайдер отвечает за физическую защиту инфраструктуры и доступность всей системы. Клиент, в свою очередь, контролирует права доступа к своим ресурсам, в том числе виртуальным машинам и базам данных. Это разделение помогает создать надёжную и защищённую среду для работы с данными.

Граница разделения ответственности зависит в том числе от модели использования облачных сервисов: IaaS — инфраструктура как услуга, PaaS — платформа как услуга, SaaS — программное обеспечение как услуга
Граница разделения ответственности зависит в том числе от модели использования облачных сервисов: IaaS — инфраструктура как услуга, PaaS — платформа как услуга, SaaS — программное обеспечение как услуга

Так различается процесс прохождения аудита на соответствие требованиям 152-ФЗ компанией самостоятельно или с привлечением облачного партнёра:

Клиенту нужно совершить меньше действий для прохождения аудита при поддержке провайдера
Клиенту нужно совершить меньше действий для прохождения аудита при поддержке провайдера

Почему компании выбирают облака и доверяют им персональные данные

С ростом требований к защите данных компании всё чаще обращаются к облачным решениям. Как показывает внутреннее исследование Yandex Cloud, 73% специалистов ИБ доверяют облачным платформам, и это доверие напрямую связано с уровнем безопасности, который обеспечивает провайдер. Согласно опросу, 32% участников считают обоснование безопасности критически важным фактором при выборе облака.

Сегодня клиенты размещают в контуре Yandex Cloud разные данные, в том числе внутренние нормативные акты (49%), ПД клиентов и сотрудников (46%) и конфиденциальную информацию (45%).

Кроме того, мы обеспечиваем приватность во всех процессах Yandex Cloud и применяет больше мер, чем требует законодательство России. Например, мы прошли аудит на соответствие требованиям международного стандарта ISO 27701. Это руководство по защите персональных данных, которое помогает компаниям выстроить систему защиты в соответствии с 152-ФЗ и международными требованиями. Стандарт позволяет оценить то, как платформа защищает данные и соблюдает законодательные принципы их обработки. Сертификация проверяет защиту и передачу данных, законность их использования, а также управление доступами и рисками утечек.

Таким образом, в надёжном облаке безопасно хранить и обрабатывать персональные данные любой категории. Перед выбором провайдера важно проверить сертификаты, уровень технической поддержки и обсудить с облачным партнёром бесшовный процесс переноса данных.

Хотите узнать больше о возможностях облачных технологий для бизнеса? Подписывайтесь на телеграм-канал Yandex Cloud и будьте в курсе трендов.

Другие статьи о безопасности облака:

22
4 комментария

Облачный провайдер не имеет доступа к данным, поэтому в случае утечки ответственность несет оператор - интересный пункт...

Да, это действительно так. В случае утечки данных ответственность лежит именно на операторе персональных данных.

Облачная платформа, как правило,не имеет доступа к персональным данным клиента (например, вы можете хранить данные в зашифрованном виде). Права доступа к ресурсам клиента, в том числе к виртуальным машинам, контролирует только он сам.