Облачные технологии в последние несколько лет становятся одним из ключевых трендов в IT-сфере. Размещение своей инфраструктуры в облаке дает множество преимуществ, включая простоту доступа к информации и гибкость в потреблении (и оплате) используемых ресурсов. Однако эти технологии также вызывают у клиентов вопросы, один из которых — надежность защиты данных. Можно ли быть уверенными в том, что данные из облака не утекут на сторону? Да, если следовать требованиям законодательства.
Основные нормативные требования в сфере защиты данных
В разных странах действуют собственные нормативные акты, регулирующие защиту данных. Их задача — обозначить принципы, необходимые для предотвращения утечки данных или их некорректного использования. Основные из них:
GDPR (General Data Protection Regulation): регламент ЕС по защите персональных данных, который требует обеспечения конфиденциальности, права на доступ, исправление и удаление данных для граждан ЕС.
CCPA (California Consumer Privacy Act): закон штата Калифорния (США), предоставляющий жителям право на информацию об их данных, их удаление и отказ от продажи данных.
HIPAA (Health Insurance Portability and Accountability Act): закон США, регулирующий защиту медицинских данных.
PIPEDA (Personal Information Protection and Electronic Documents Act): канадский закон о защите персональных данных.
LGPD (Lei Geral de Proteção de Dados): бразильский закон, аналогичный GDPR, регулирующий защиту персональных данных.
Локальные законы, например, 152-ФЗ в России, регламентирующий обработку персональных данных.
Облачные сервисы, предоставляющие свои услуги пользователям, должны прежде всего следовать локальным законодательным нормам, однако соответствие еще и международным требованиям является большим плюсом, поскольку создает более плотную «сеть защиты».
Механизмы контроля за соблюдением требований
Чтобы убедиться, что ваша инфраструктура соответствует всем требованиям законодательства, необходимо выполнять ряд действий. Более того, внедрение механизмов контроля и аудита позволит обезопасить себя от потенциальных утечек и повысить репутацию компании как ответственного оператора данных.
Регулярный аудит данных: проверка соответствия процессов требованиям закона, таких как 152-ФЗ, GDPR или CCPA. Необходимо учитывать, что в законодательство периодически вносятся изменения, и их следует отслеживать и вовремя учитывать в работе облачных систем.
Журналирование и мониторинг: автоматическое отслеживание и запись действий с данными для обеспечения прозрачности. Такой подход позволяет увидеть потенциальные и реальные угрозы, предупредить их или решить с минимальными потерями.
Управление доступом: реализация принципа минимального необходимого доступа (least privilege) для сотрудников и пользователей. Предоставление слишком широких прав увеличивает вероятность утечки данных или некорректного их использования.
Шифрование данных: защита данных как в процессе передачи, так и при хранении.
Проведение оценки рисков (DPIA): она является требованием GDPR для оценки воздействия на защиту данных при новых проектах.
Сертификации и стандарты: соответствие стандартам ISO/IEC 27001, SOC 2 и другим повышает безопасность и ответственность оператора за сохранность данных.
Аудит безопасности
Проблемы всегда проще предотвратить, чем бороться с их последствиями. В том, что касается безопасности, это правило действует еще более строго. Залогом отсутствия проблем станут регулярные аудиты безопасности, которые позволят выявить потенциальные «узкие места» и вовремя их устранить.
Аудиты безопасности рекомендуется проводить не реже одного раза в год, а также после значительных изменений в системах или процессах. Это поможет сверить работу систем с текущими нормативными требованиями и гарантировать отсутствие расхождений.
Лучшим решением станет сочетание внешних аудитов — независимых проверок на соответствие стандартам, таким как ISO 27001, и внутренних аудитов — регулярного мониторинга соблюдения процедур внутри компании. Такой комплексный подход позволяет использовать богатый опыт независимых экспертов в сфере безопасности, сочетая его с повышением уровня сотрудников компании. Участие в регулярных внутренних аудитах и обучение персонала разных уровней вопросам безопасности данных и правильному их использованию способны повысить осведомленность сотрудников и репутацию компании.
Методы проведения аудита рекомендуется применять в комплексе:
- использование автоматизированных систем для мониторинга;
- ручные проверки документации;
- опрос сотрудников;
- тестирование на проникновение (penetration testing).
Результаты всех проверок и предпринятых корректирующих действий необходимо документировать в виде отчета, чтобы не только гарантировать внутреннюю безопасность инфраструктуры на облачном сервисе, но и иметь возможность предъявить соответствующие документы в случае проверок со стороны государственных контролирующих органов.
Как выбрать облачного провайдера
В последнее время становится все более популярным подход «программное обеспечение как услуга» (SaaS), в рамках которого клиенту предоставляется уже готовый облачный сервис со всеми необходимыми мерами безопасности, как аппаратными, так и программными. Однако даже в случае подходов «инфраструктура как сервис» (IaaS) и «платформа как сервис» (PaaS) необходимо убедиться, что провайдер способен обеспечить соблюдение всех необходимых стандартов.
При выборе облачного провайдера обратите внимание на:
Наличие сертификатов: например, ISO/IEC 27001, SOC 2, GDPR compliance.
Прозрачность в обработке данных: убедитесь, что провайдер предоставляет полную информацию о том, как и где обрабатываются данные.
Наличие соглашений о защите данных (DPA): это документ, в котором описаны обязанности провайдера по защите данных.
Географическое размещение серверов: убедитесь, что обработка данных соответствует требованиям локального законодательства.
Механизмы безопасности: шифрование, резервное копирование, защита от утечек данных.
Эти рекомендации позволят обеспечить соответствие требованиям защиты данных и безопасное использование облачных сервисов.
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе всех новостей и событий Рунета.