Закон «О персональных данных» и практика его применения в российской действительности



    Как известно, в России несколько лет действует Федеральный Закон №152 «О персональных данных».
    За время его первой публикации в 2006 году Закон претерпел значительные изменения, а сами данные теперь обязаны храниться на территории Российской Федерации и быть защищены. На практике это приводит к повышению ответственности бизнеса в отношении обработки данных. О том насколько сложно соблюдать требования Закона «О персональных данных» и дает ли это реальный эффект пойдет речь в этой статье.

    Любое юридическое лицо, организованное в российском правовом поле подпадает под данное регулирование. Наш проект RUVDS Закон затрагивает как в части обработки личных данных клиентов, так и защиты информации, с которой работают клиенты на нашем оборудовании.

    Есть несколько объектов защиты.

    Первый тип данных — сами данные о клиенте. К примеру, это его имя, дата и место рождения, паспортные данные, для юридических лиц – данные о компании. Клиент при начале работы с сервисом соглашается передать нам эту информацию на обработку, а мы обязуемся работать с ними в соответствии с Законом. Это более-менее понятный и просто объект защиты.

    Второй тип данных – информация, которая непосредственно хранится клиентами на VDS/VPS сервере. Это как раз более значимый и важный объект защиты. Примерами таких данных может быть логин-пароль к социальной сети, почте, личная бухгалтерия у физических лиц. А у юридических лиц спектр подобной информации еще шире – это и клиентские базы данных, и бухгалтерия, и специализированное ПО.

    С точки зрения Закона, юридические лица, передавая данные на хранение или обработку, несут полную ответственность за защиту этой информации. Именно поэтому банки, брокеры, крупный бизнес проверяют потенциального партнера по организации хранения и обработки данных. Проверяется все. Нужно отметить, что некоторые клиенты приезжали в наш дата-центр с целью убедиться, что физический носитель и каналы связи под надежной охраной, а персонал действительно компетентный.

    Каким образом можно организовать защиту данных?

    Есть различные источники угроз личной информации, к примеру, использование данных клиентов в личных целях сотрудником компании, уничтожение данных клиента будь это физическое или юридическое лицо, кража данных путем взлома сервера.
    Это, наверное, самые известные и понятные угрозы, с которыми каждый оператор связи сталкивается. Сам список, конечно, гораздо шире.

    Естественно, есть разные способы и уровни защиты данных.

    Если говорить в терминах 152-ого Закона, то этапы защиты информации можно перечислить как: определение угроз, разработка мер безопасности и учет носителей информации, применение мер и оценка их эффективности и мониторинг всей этой системы безопасности. Наша компания последовательно выполняет все необходимые действия для максимальной защиты данных и первое, с чего начинается работа – это люди. Каждый сотрудник нашей компании при поступлении на работу знакомится со списком конфиденциальной информации, к которой, в частности, относятся персональные данные клиентов. Он подписывается под своей ответственностью за то, что будет работать с этими данными в рамках законодательства РФ.

    Однако полагаться только на сознательность в данном вопросе нельзя. Поэтому нас действует четкая система разграничения и контроля прав доступа, разработанная дипломированными специалистами в области защиты информации. Если вкратце, то доступ к данным о клиентах (первый тип, о котором я говорил ранее) получают только те сотрудники, которые имеют соответствующую, подтвержденную сертификатом, квалификацию по работе с конфиденциальной информацией, и строго по регламенту. При этом доступ всегда персонифицированный, с логированием всех действий сотрудника. Поэтому, если специалист что-то модифицировал, скачал, отправил, сохранил данные о клиенте – мы это всегда увидим и сможем однозначно определить, кто это сделал.

    Доступ же к данным клиентов (второй тип данных), которые они хранят на сервере, сотрудники могут получить только при наличии заявки от клиента, к примеру, для оказания помощи в настройке, оказания каких-либо дополнительных специфических услуг. При этом сотрудник, который проводит любые работы на сервере клиента, так же сертифицирован для работы с конфиденциальной информацией, а компьютеры, с которых в случае необходимости осуществляется доступ к данным клиента, оборудованы специализированным ПО для предотвращения несанкционированного доступа и сертифицированы Федеральной службой по техническому и экспортному контролю (ФСТЭК).

    Такая организация работы, по сути, гарантирует защиту данных клиентов от потенциальных злонамеренных действий сотрудников и ограничивает потенциальную утечку информации областью защищенных и недоступных извне машин. К слову, и наш операторский зал оборудован круглосуточным видеонаблюдением, для предотвращения утечек с помощью подручных средств фотофиксации.

    Однако, остается вопрос, над решением которого бьются системные администраторы и сотрудники служб безопасности многих компаний – взлом информационных систем. Должен сказать, что при работе с виртуальным сервером обеспечить защиту от взлома значительно проще и прозрачнее. Когда вам нужно обеспечить безопасность передачи данных между физическими компьютерами сотрудников, на каждом из которых в отдельности есть конфиденциальная информация, вам необходимо контролировать каждый ПК, деятельность на нем в каждый момент времени. А если у вас все данные на одном виртуальном сервере, то вам нужно контролировать лишь доступ к нему. Мало того, нужно учесть, что сам дата-центр как отдельная бизнес-единица уже проработал защиту данных клиентов, защиту от DDOS-атак. Отдельно над этими же задачами поработал так же и провайдер хостинг услуг. К примеру, в нашем дата-центре есть мониторинг как самих серверов, так и анализатор трафика, позволяющий оперативно блокировать DDOS-атаки. То есть клиент еще на старте отношений получает серьезный уровень защиты «из коробки».
    Если вам нужно больше, можно заказать услугу по DDOS-защите. С такой услугой сервер получает IP-адрес из выделенной подсети, где на адрес поступает уже отфильтрованный поток данных. Это очень актуально для популярных сайтов, интернет-банков, игровых ресурсов.
    При этом при организации массового доступа к серверу, каждый доступ персонифицирован и логируется, как средствами самого VPS, так и средствами контроля оператора связи, поэтому вы достаточно легко и быстро сможете выявить и пресечь любую нелегальную деятельность с данными.

    Это является мотивом для очень многих компаний для перевода командной работы с данными, начиная от общей разработки до хранения многолетней бухгалтерской отчетности и работы интернет банков, на виртуальные сервера. Это и дешевле, и эффективнее.
    Среди наших клиентов, к примеру, есть банки и брокеры. В работе с ними есть определенная специфика, но с точки зрения безопасности данных на самом деле работа с такими клиентами не сложнее и не проще, чем с любыми другими. Стандарты безопасности и уровень сервиса одинаково высоки как для небольшого розничного клиента, так и для крупного юридического. Почему так? Потому что лицензию могут отозвать за нарушение в отношении любого клиента. Да и как юридическое лицо может доверить свои данные оператору, который не может защитить данные розничного клиента? Однако стоит сказать, что по запросу крупных клиентов мы можем установить дополнительные средства мониторинга, защиты, которые, по мнению клиента, нужны именно ему. Тут мы всегда идем навстречу. Естественно, при работе с крупными клиентами на слово никто не верит. Потому свою компетентность и уровень нужно подтверждать лицензиями.

    Любой оператор связи, который предоставляет свои услуги через свой узел связи (дата-центр), обязан обладать лицензиями Роскомнадзора на соответствующую деятельность. К примеру, наша компания лицензирована для предоставления телематических услуг связи и услуг по передачи данных (без голосовой информации). Отдельно для работы с конфиденциальной информацией и государственной тайной необходимо получить лицензию ФСТЭК. Лицензию можно получить только при наличии внутренних процедур по защите информации, специального сертифицированного ПО и оборудования для контроля доступа к данным, а так же физическую защиту носителей информации от любого способа кражи или воздействия. Это уже серьезная гарантия при работе с юридическими лицами. RUVDS как раз в процессе получения данной лицензии.

    На практике же реальная защита данных начинается с нескольких кордонов охраны помещения с видеонаблюдением, персонифицированным доступом в помещение с оборудованием, а само оборудование и операторский зал при этом так же находится под круглосуточным видеонаблюдением. Вся связь проходит через сертифицированные защищенные коммутаторы, а обработка личных данных клиентов и их хранение происходит на выделенной машине под контролем специализированного ПО, гарантирующего защиту от утечек.
    Так как само помещение имеет глухие стены толщиной минимум 1 метр, то это гарантирует от прослушки. Зачастую, подобные условия защиты невозможно создать в офисных помещениях, не говоря уже о технологической составляющей в поддержании постоянной температуры, бесперебойной связи и электропитания и газового пожаротушения. По сути, это хранилище данных уровня надежного банковского хранилища.

    Зачем такие меры?

    Во всем мире уже давно известно, что информация – своего рода нефть. Она может быть бесполезна, как когда-то ничего не стоила и сама нефть. Но при правильном ее использовании она может стать золотой жилой. В нашей стране это так же осознали и начали заниматься защитой этого ресурса. Самое простое применение такой информации – базы данных потенциальных клиентов. Это, вероятно, самое безвредное, если можно так сказать. Спектр же применений самый обширный, вплоть до сбора компрометирующих данных и взломов банковских счетов с помощью полученной информации. Поэтому защита нужна серьезная и постоянная.

    Так же не стоит забывать об отказоустойчивости и хранении резервных копий данных. Хотя сам факт отказа всего сервера крайне маловероятен, почти невозможен, всегда должна быть система зеркалирования данных, а для серьезных клиентов, по запросу, как правило, выделяется двойной объем дисков для постоянного бэкапирования. Это актуально как раз банкам, особенно тем, кто развернул интернет-банк на сервере, ведь они должны максимально быстро «поднять» резервную копию ресурса. Такая система это позволяет сделать и у нас она тоже есть.
    Еще одним нюансом становится масштабирование инфраструктуры. В случае, когда вы сталкиваетесь с подобной проблемой со своим «железом», выхода у вас два – сокращать нагрузку, что, вероятнее всего вас не устроит, — либо наращивать мощность сервера, докупая составные части, если архитектура позволяет, а скорее всего, вам придется купить просто более мощный сервер.
    С учетом текущей экономической ситуации задача иногда неподъемная для малого бизнеса и просто невыгодная. Очень сложно оценить эффект отдачи нового оборудования, а деньги за него нужно заплатить сразу.

    Если вы используете виртуальный сервер, подобные вопросы решаются мгновенно. Вы просто дозаказываете ресурс и компания выделяет для вас нужные мощности. Происходит это обычно с течение нескольких минут. Если вы так разрослись, что для вас уже не хватает одного сервера и данные нужно перенести на новый более мощный сервер, это займет пару часов. Но в любом случае, по сравнению с покупкой и настройкой своего железа – это молниеносно. А цена будет на порядки ниже. К примеру, аренда сервера, мощностью в хороший ноутбук, стоимостью 50 000 рублей, вам обойдется в 1 500 рублей (это без учета скидок за оплату за год). Сами понимаете, какая экономия. Это не говоря о том, что на машине могут работать сразу много сотрудников, подключаясь к ним со слабого дешевого ПК или даже с планшета. Так же к этому нужно добавит экономию на покупке программного обеспечения. Вы можете арендовать практически любое ПО для деятельности вашей команды у хостинг-провайдера.
    RUVDS.com 477,72
    RUVDS – хостинг VDS/VPS серверов
    Поделиться публикацией
    Комментарии 23
    • 0
      То есть риски утечки данных с машин устройств/имеющих доступ к облаку? Риски перехвата во время передачи (шифрование в связи с узкими каналами — вариант не всегда)? Риски доступа персонала центра и тд и тп — не учитываем?
      • 0
        Конечно же учитываем.
        По поводу рисков доступа персонала в статье указано, что физический доступ в помещения с серверами, операторский зал только по персональным пропускам. Все под видеонаблюдением и логированием действий.

        Касательно перехвата во время передачи. Вы правы, шифрование с узким каналом связи противоречит скорости передачи и для многих это критично. Здесь всегда нужно искать баланс. Как правило, разграничение типов передаваемой информации является здесь компромиссом.

        Риски утечки информации с устройств, имеющих доступ к облаку со стороны компании мы контролируем персонифицированным доступом как к самому устройству, так и базе данных. На них работают только те специалисты, которые подтвердили свою квалификацию сертификатом. К примеру, техническая поддержка не имеет доступа к БД.

        Риски утечки с устройств, которые подключаются к серверу извне по разрешению клиента, контролирует уже он сам.
      • +7
        Блин, я читаю материалы этой компании и всегда поражаюсь на сколько до них долго доходит, что Хабр-сообщество не место для рекламы. Уже их 3-х пользователей слили, теперь 4 на очереди. Тема «Закон «О персональных данных» и практика его применения в российской действительности» — где практика применения??? Вырезки из законов и взятые непонятно какие материалы: «Должен сказать, что при работе с виртуальным сервером обеспечить защиту от взлома значительно проще и прозрачнее.» — что Вы такое пишете??? А последний абзац — вообще чистая реклама.
        • –4
          Позволю не согласится.
          В процессе построения любого бизнеса есть ряд вопросов, которые остаются до последнего без внимания. Вроде как и так все очевидно.
          Однако потом оказывается, что есть регулирование, а еще нужно обязательно все задокументировать, отчитаться перед контролирующем органом. И оказывается, что очевидные моменты далеко не так просты.
          Цель статьи побудить изучать вопрос, чтобы делать изначально все верно и по закону.

          Касательно того, что здесь вырезки из законов. Сам закон обширен, но практическая часть по защите в нем достаточно четко выделена (статья 19 главы 14 152-ого ФЗ). Мы постарались понятным языком на примере нашей практики показать, как можно исполнять требования закона.

          Естественно, всегда есть поле и для критики и мы на нее будем реагировать и стараться учитывать в своей деятельности.
          • +1
            я согласен с medved6216 что статья у вас рекламная, и пользы обществу никакой не принесет. я вот сейчас тоже пытаюсь разобраться как происходит сертификация на обработку персональных данных и надеялся что будет статья вида «1. сделать такую то бумажку, 2. поставить такой то софт 3. сходить сдать бумажку туда и тд и тп» а у вас какой то маркетинговый bullshit получился и это очень печально.
            • +1
              Если говорить о полном алгоритме получения лицензий, можно «Войну и мир» написать)
              Постараемся раскрыть в следующей статье.
              • 0
                Уже вроде все раскрыто на сайте ФСТЭК. А также в практике.
                • 0
                  Благодарим Вас за данные ссылки.
                  Очень полезно.
                  Цель статьи как раз призвать изучить данный вопрос, несмотря на то, что «выжимка» опыта занимает 70 страниц.

                  Могу добавить еще, что многие, читая данный опыт и сайт ФСТЭК пойдут искать помощи у консультантов. Как раз здесь один из подводных камней, можно заплатить за консультационные услуги, а по факту, придется все изучать самим и делать самим.

                  Вот от этого хочется предостеречь.
            • +1
              Вы даете плохие «советы». Если у компании нет специалиста по защите информации, который в силу своей компетенции обязан знать технологии и способы организации хранения персональных данных, чтобы ФСТЭК и ФСБ не выписали предписание — это в лучшем случает, то они обращаются в сертифицированные компании у которых имеются лицензии на ведение соответствующей деятельности. К тому же для написание системы обработки и хранения персональных данных — необходима лицензия от ФСТЭК. Для передачи такой информации необходимо шифрование по ГОСТу. Тут много аспектов и Вы их не раскрыли. Цель Вашей статьи — только реклама, не какой пользы. Если Вы хотите сделать, что-то путное для сообщества, то лучше писать на темы в которых разбираетесь и не использовать рекламу. Рекомендую, например, написать статью по организации и работе Вашего программного обеспечения по виртализации и предоставления услуг, с какими проблемами столкнулись, как их решили, приведите листинг конфигов и т.д. По теме организации хостинга и облачных технологий можно написать много, к тому же у Вас есть практика, я надеюсь. А если хотите писать по тебе «Защита персональных данных». Пусть статью пишет специалист по защите этих самых данных.
              • –4
                Уважаемый medved6216,
                мы не даем никаких советов. Все советы «оплачиваются в кассе».
                Если говорить о том, что можно не иметь специалистов в штате, а пользоваться услугами сторонних компаний — да, можно. Некоторые прибегают к помощи номинальщиков-«мертвых душ» на время проверок. Это не наш путь.

                По поводу системы обработки данных. Есть внутренние политики по работе с конфиденциальной информацией. Они утверждаются ФСТЭКом. Для разработки средств защиты конфиденциальной информации (СЗКИ), конечно, нужна лицензия. Мы в процессе ее получения. Но это не значит, что это нельзя делать заранее.

                Я все таки подчеркну, что статья — вводная. Нельзя раскрыть в одной краткой статье алгоритм работы по сертификации, он действительно обширен. Мы постараемся в следующей статье рассказать как получать лицензию и с какими трудностями мы столкнулись в этом процессе.
                • +3
                  Речь идет о том, что название статьи не соответствует содержанию. Откуда мне понять, что статья вводная? Если Вы планируете цикл статей, то так и пишите. Опять же в статье свелось все к тому, что арендую VDS у Вашей фирмы — пользователь будет защищен — очень много рекламы. Пользователей прошлых слили именно за рекламную направленность статей.
                  • 0
                    Мы Вас услышали. Постараемся в будущем учесть замечания.
          • 0
            Какие сертифицированные ФСТЭК средства защиты персональных данных в среде виртуализации существуют, и какие из них вы применяете на практике (предлагаете своим клиентам)?
            • –2
              Полный список таких средств лучше смотреть на сайте самого ФСТЭК .
              По поводу того, что предлагаем клиентам — объект сугубо договорной. У всех свои требования. Да и каждое ПО стоит разных денег.

              Если изучите список, увидите, что ОС Windows Server 2012 R2 Standart является сертифицированным средством защиты, заявил его на сертификацию ФГУП Управ делами Президента. Это, естественно, очевидный пример. Все наши внутренние моменты тут мы раскрывать не будем)
              • +2
                Я специально написал: в среде виртуализации.
                Единственное сертифицированное на настоящие момент средство для среды виртуализации — vGate (для VMware и HyperV), и только оно удовлетворяет требованиям 21 приказа ФСТЭК.
                Вы используете (судя по вашему сайту) Huawei FusionSphere Open Stack, на который сертификата нет (и вряд ли будет).
                Про «нераскрытие моментов» — кто же вам пойдет, если не будет знать заранее, как это устроено? Аттестацию информационной системы «снизу вверх» на честном слове не пройти.
                • –3
                  Мы не можем комментировать, будет ли сертификат для Huawei FusionSphere OpenStack.
                  Про «нераскрытие моментов» — мы их раскроем перед конкретным клиентом при соответствующих обязательствах.
                  При аттестации, естественно, всем заинтересованным сторонам такая информация так же раскрывается. На честное слово никто не верит, конечно.
                  • +2
                    То есть цель статьи: приходите к нам хранить ПДН по ФЗ 152 в нашей виртуализации. Но сертифицирована ли она вообще, мы просто так не скажем.
                    Спасибо.
                    • –2
                      Приношу извинения, не полностью ответил на вопрос.
                      Здесь нужно разделить подход.

                      Далеко не для всех нужна именно такая глубокая защита. Да, можно использовать указанный Вами vGate (для VMware и HyperV) или тот же Kaspersky Security для виртуальных сред 3.0 для всех, но это, с одной стороны, резко удорожит сам виртуальный сервер для конечного клиента, с другой — такая защита будет избыточной для такого клиента, в свете применяемых средств защиты помимо обсуждаемых Вами.

                      С другой стороны, для клиентов, которым данные средства являются действительно необходимыми, мы, по договоренности установим любое выбранное ими ПО. Тем более некоторые такие клиенты арендуют сервер целиком как физическую единицу, потому там может быть и отличная от обычной среда виртуализации и вообще набор программ.
                      • 0
                        upd.
                        Huawei FusionSphere OpenStack мы на текущий момент не продаем, данный продукт находится на стадии внедрения, о чем мы пишем в наших статьях https://habrahabr.ru/company/ruvds/blog/281086/ https://habrahabr.ru/company/ruvds/blog/280900/, и активно делимся с хабр сообществом.
                        Вы правильно указали, что его нет в списке сертифицированных программ.
                  • 0
                    А где вы нашли в этом списке «ОС Windows Server 2012 R2 Standart»? — номер сертификата пожалуйста
                    • 0
                      3366 срок до 18 декабря 2017 года.
                      • 0
                        Спасибо. А то мозг перестает уже работать — «Microsoft Windows Server Standart 2012 R2».

                    • 0
                      Хотелось бы заметить, что сертифицированным средством защиты являются только экземпляры дистрибутива Windows Server 2012, изготовленные и поставляемые Предприятием по поставкам продукции Управлениея делами Президента, а не вообще любой Windows Server 2012. Так написано в сертификате, на который вы ссылаетесь.

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое