Как мигрировать данные в облако ФЗ-152

 

Большинство компаний хранят и обрабатывают персональные данные. Чтобы упростить этот процесс, они могут обратиться к облачному провайдеру и разместить свои данные в защищённом облаке ФЗ-152. В статье разберём, в чём разница между этим облаком и обычным облачным сервисом, а также, как грамотно осуществить миграцию данных, чтобы не нарушить закон.

Что такое закон ФЗ-152

152-й Федеральный закон посвящён работе с персональными данными (ПДн), то есть той информацией, которая явно или неявно относится к конкретному физическому лицу. Человек, которого касается информация, является субъектом персональных данных.

ПДн могут включать в себя самую разнообразную информацию, включая имя, фамилию, телефонный номер, адрес электронной поты и физический адрес, фото и прочее. Если обобщить, то это будут все те данные, с помощью которых можно идентифицировать человека.

Сбор информации, её запись, хранение, применение и удаление – всё это обработка ПДн. То есть практически любое действие, которое выполняется над личной информацией будет являться обработкой. А тот, кто это действие осуществляет – оператор персональных данных. В качестве оператора могут выступать государственные органы, юр и физ лица.

Закон ФЗ-152 нужен для того, чтобы охранять личные данные от постороннего доступа, незаконного хранения и применения в мошеннических и прочих недобросовестных сценариях. Оператор ПДн обязан сделать всё необходимое, чтобы требования законодательства были соблюдены иначе будут наложены штрафы. Любые действия с ПДн должны выполняться только если субъект персональных данных дал на это своё разрешение.

Почти все компании по факту относятся к операторам персональных данных. Даже в том случае, если они не работают с данными клиентов, но имеют официально устроенных работников, чьи данные хранят, или работают только через сайт, но на сайте есть форма связи с телефоном и именем. Вот почему так остро стоит проблема соблюдения требований ФЗ 152.

Своими силами подготовить инфраструктуру для хранения и обработки ПДн очень сложно, особенно, если это биометрические, медицинские данные и т.п. По этой причине бизнес часто обращается к готовым решениям. Таковым может стать услуга «Облако ФЗ-152», в рамках которой клиент размещает ПДн в арендованном облаке. Благодаря этому сервису, компаниям не приходится волноваться о соблюдении требований, это берёт на себя облачный провайдер.

Отличие облака 152-ФЗ от обычного

Облако ФЗ-152 представляет из себя готовое комплексное решение. Клиенту предоставляется в аренду аттестованная инфраструктура с защитой, выполненной сертифицированными средствами, со всей требуемой документацией и проходящая по нормам закона о персональных данных ФЗ-152.

Каким должно быть облако ФЗ-152:

· Личную информацию важно хранить в изолированном облаке, где обеспечена защита сертифицированными средствами.

· Помимо непосредственно СХД под защитой должны находиться и остальные части инфраструктуры. Это распространяется на гипервизор, платформу виртуализации, а также систему управления.

· Сервера должны защищаться и на физическом уровне, согласно указаниям Роскомнадзора, ФСТЭК, а также ФСБ. Технику следует размещать в дата-центрах с уровнем защищённости Tier-3.

· Важно, чтобы сервера с данными граждан РФ также физически находились на территории нашей страны.

У провайдера, обеспечивающего облачные услуги, должны быть в наличии лицензии ФСБ, ФСТЭК. Если же провайдер дополнительно предоставляет телеком услуги или услуги передачи данных, то потребуется ещё и лицензия Минкомсвязи.

Как следует мигрировать ПДн

Выше были перечислены требования к облачной инфраструктуре, но, чтобы хранить там какие-либо данные, их нужно сначала туда перенести. На этом этапе также могут возникнуть определённые сложности.

Как же безопасно мигрировать данные в облако, чтобы полностью соблюсти закон? Для этого требуется:

· Наличие защищённого канала связи ГОСТ VPN. Для построения такого канала должны применяться сертифицированные ФСБ средства.

· Облачное хранилище, куда выполняется миграция, должно обладать сертификатами соответствия, уровень которых выше, чем информационная система клиента.

· Если осуществляется обработка информации, должно присутствовать поручительство на хранение ПДн облачного провайдера.

Помощь облачных провайдеров и хостинг 152 ФЗ в защищённой облачной инфраструктуре позволяет компаниям не беспокоиться насчёт соблюдения требований закона ФЗ-152. Можно продолжать заниматься собственным бизнесом, а о персональных данных позаботится облачный провайдер.