Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Публикации

Новая технология контроля и разграничения прав доступа к данным в информационных системах  / 
К.А. Щеглов, А.Ю. Щеглов //  ИСПДн.ру. -  2014 -  сентябрь

Три мифа о персональных данных и облаках  / 
Емельянников Михаил Юрьевич //  CNEWS. -  2018 - 

Сертификация средств защиты персональных данных: революция или эволюция?  / 
А.С.Марков, М.Ю.Никулин, В.Л.Цирлов //  Защита информации. Инсайд. -  2008. -  №5.

Проблемы и решения по защите персональных данных в информационных системах персональных данных  / 
А.Марков и Б.Сухинин //  Улан-Уде: ВСГТУ (ТиПВСИТ-2009, 20-27 июля) . -  2009. -  Ч.II. - C.241-244.

Защита персональных данных: откладывать больше нельзя  / 
В.Левцов, И.Новиков //  CNews.ru. -  2009. -  15 мая.

Персональные данные. Будни банковской безопасности  / 
Е.Царев //  Интеллектуальный банк. -  2009 -  13 июля.

Защита персональных данных в кредитно-финансовых организациях  / 
В.Сердюк  //  Интеллектуальный банк. -  2009. -  13 июля.

Обработка персональных данных в информационных системах: как обеспечить безопасность  / 
А.Бажанов, И.Назаров, Ю.Язов //  Connect! Мир Связи. -  2009. -  №1.

Информационные системы персональных данных  / 
М.Емельянников //  CIO. -  2008. -  15 октября.

Постатейный комментарий к Федеральному закону "О персональных данных"  / 
М.И.Петров //  ЮД "Юстицинформ". -  2007. -  65с.

Защита персональных данных  / 
О.Слепов //  Jet Info. -  2009. -  5 (192).

Защита персональных данных: проблемы и решения  / 
В.Коржов //  www.osp.ru. -  2009. -  7 сентября.

Защита персональных данных от вредоносных программ  / 
А.Ю.Щеглов //  ИСПДн.ру. -  2009 -  5 августа

Сетевая безопасность персональных данных  / 
С.Рябко  //  Connect! Мир Связи. -  2009. -  7.

Обработка персональных данных в медицинских организациях  / 
А.Столбов //  PCWeek/RE. -  2009. -  6 октября.

Как защитить персональные данные. Подборка статей LETA IT-company  / 
О.Губка, Н.Зенин, Н.Конопкин В. Левцов, И.Новиков, Е.Царев //  www.leta.ru. -  2009. -  октябрь.

Обеспечение гарантированной анонимности персональных данных с использованием биометрического профиля пользователя  / 
А.Иванов, И.Назаров, Ю.Язов, Е.Остроухова //  Информация и Безопасность. -  2009. -  №1.

Защита персональных данных: если наступит завтра  / 
А.Сабанов, Н.Комарова, О.Плотников //  cnews.ru. -  2009. -  ноябрь.

В противовес "ленивым"  / 
А.Марков //  Защита информации. Инсайд.. -  2009. -  6.

Рекомендации по выполнению требований Федерального закона №152-ФЗ “О персональных данных“  / 
LETA IT-company //  www.leta.ru. -  2010. -  C. 80.

Почему не заработал закон "О персональных данных"?  / 
М.Ю.Емельянников //  Финансовые известия. -  2010 -  22.04.2010

Защита конфиденциальности персональных данных с помощью обезличивания  / 
И.Ю.Кучин //  Вестник АГТУ. -  2010. -  №2.

Лицензирование как продукт осознанной необходимости: Лицензирование деятельности операторов персональных данных  / 
И.Шахалов //  Защита информации. Инсайд. -  2010. -  2.

Ветер перемен: и регулятор может ошибаться  / 
Е.Царев, А.Санин //  IT Manager . -  2010. -  апрель.

Защита персональных данных: пригодится ли нам британский опыт?  / 
А.Волков, Е.Царев //  cnews.ru. -  2010 -  июль

Двадцать популярных заблуждений операторов персональных данных  / 
П.Шмелев //  fz152.ru. -  2010. -  часть 1, 2.

Готовность к силе закона  / 
О.Седов //  Директор ИС. -  2010 -  11.

Процедура обезличивания персональных данных  / 
Е. А.Саксонов, Р. В.Шередин //  Наука и образование: электронное научно-техническое издание. -  2011 -  №3 (март).

О подходах по минимизации выполнения требований закона «О персональных данных»  / 
В.Омаров //  ИСПДн.ру. -  2011. -  июль.


Публикации 1 - 29 из 29
Начало | Пред. | 1 | След. | Конец Все

 

Три мифа о персональных данных и облаках

Три мифа о персональных данных и облаках


По приглашению компании Oracle я участвовал в двух мероприятиях, посвященных облачным технологиям. Обсуждение неизбежно коснулось ограничений на использование облаков, связанных с требованиями российского законодательства о персональных данных.

Полная версия того, что и как обсуждалось, выложена в блоге Oracle в России и СНГ, ниже – наиболее важные, с моей точки зрения, выводы.

По-прежнему решения об отказе от использования облаков порой принимаются под влиянием мифов, возникших из газетных заголовков и не очень грамотных комментариев.

Даже простой и очевидный, на первый взгляд, вопрос, что такое персональные данные, не имеет столь же простого ответа, тем более что трактовка понятия персональных данных постоянно меняется.

На сегодня есть два важных признака персональных данных: возможность идентификации конкретного лица и потенциальные последствия использование данных. Если есть последствия для субъекта, например, негативные или юридически значимые, то эти данные всегда следует рассматривать как персональные и защищать, даже если установить личность их обладателя невозможно.

Миф 1 – Персональные данные россиян должны храниться в России

Есть мнение, что все собираемые в России персональные данные должны храниться на территории Российской Федерации. Это не так. В законе говорится, что «при сборе персональных данных <…> оператор обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение этих данных с использованием баз данных, находящихся на территории РФ». То есть речь идет именно о сборе персональных данных. В законе нет требования использовать персональные данные только с помощью баз данных, находящихся на территории РФ.

Согласно разъяснениям Минкомсвязи на странице официального сайта ведомства, собранные и хранящиеся на территории РФ персональные данные впоследствии могут выноситься за пределы территории государства и использоваться для резервного копирования, рекламы, оказания различных услуг и так далее.

При этом под базой персональных данных понимается любой упорядоченный массив персональных данных, независимо от носителя. То есть это могут быть файлы, базы данных и даже упорядоченные бумажные архивы. Затем можно, например, выгрузить эти данные в базу данных, например, Oracle в зарубежном облаке и использовать их и за пределами РФ.

Есть три возможных способа выполнить требования законодательства РФ:

  1. Создать базу данных на территории РФ, причем в любой форме, а потом передавать из нее данные в зарубежные базы данных. При этом актуализация данных также должна происходить на территории РФ.
  2. Разместить данные за рубежом в обезличенной форме.
  3. Шифровать базы данных и передавать их за рубеж в зашифрованном виде. В таком случае для провайдера за рубежом это – не персональные данные.

Согласно разъяснениям Роскомнадзора и Минкомсвязи, сбор персональных данных – это получение данных непосредственно от субъекта или привлеченных для этого третьих лиц. Обязанность по их локализации возникает только в период сбора персональных данных. Если собранные данные локализованы на территории РФ и перенесены для обработки за рубеж, то получение с использованием функционала приложений в облаке новых данных, касающихся субъекта размещения этих данных на территории РФ, не требуется.

Если, например, в облачной системе Oracle Taleo Cloud Service на основании собранных и локализованных в РФ данных о работнике определяется его грейд, делается вывод о необходимости направления работника на повышение квалификации или о его продвижении по службе, то такие данные нельзя рассматривать как получаемые во время сбора, то есть они не были получены от субъекта или через уполномоченных оператором лиц. Соответственно, закон о персональных данных не содержит требования об обязательной локализации таких данных на территории РФ.

Облачное решение  Oracle Cloud at Customer обеспечивает реализацию законодательных требований, так как позволяет заказчику развернуть и получать публичные облачные сервисы Oracle в своем ЦОД, расположенном на территории РФ При этом в ЦОД заказчика и в облаке Oracle используется одно и того же программное и аппаратное обеспечение, что обеспечивает простой перенос приложений и данных между ними при наличии локализованной базы персональных данных, а ответственным за предоставление сервисов и уровень обслуживания остается Oracle.

Миф 2 - Трансграничная передача данных россиян запрещена

Нормы законодательства РФ о передаче персональных данных на территорию иностранных государств следует рассматривать в контексте обязательств, взятых на себя РФ при ратификации Конвенции Евросоюза 1981 года № ETS-108. Так, согласно статье 12, сторона не будет запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой стороны, исходя исключительно из соображений защиты неприкосновенности личной сферы.

Если иностранное государство обеспечивает адекватную защиту прав субъектов персональных данных, то трансграничная передача данных ограничиваться не может.

При этом, если персонал облачной инфраструктуры имеет доступ к персональным данным клиента, размещенным в облаке, то необходимо получать согласие субъектов на такую передачу, так как в этом случае провайдер исполняет поручение обработки российского оператора. Однако оператор может предусмотреть в договоре запрет на доступ персонала к данным, что освобождает от такой необходимости.

Миф 3 – Обеспечивать безопасность персональных данных облачный провайдер не может

Законодательство прямо предусматривает возможность аутсорсинга обеспечения безопасности персональных данных при их автоматизированной обработке.

Безопасность персональных данных может обеспечивать сам оператор персональных данных (то есть заказчик), оператор информационной системы или лицо, обрабатывающее персональные данные по поручению оператора на основании договора.

Что должен сделать российский оператор персональных данных (заказчик)?

  • Определить типы угроз, связанных с наличием недекларированных возможностей системного и прикладного программного обеспечения.
  • Определить уровень защищенности своей информационной системы, которую он выносит в облако.
  • Построить модель угроз и систему защиты, обеспечивающую адекватную защиту от этих угроз, для своего сегмента информационной системы, находящегося вне облака.

Что должен сделать зарубежный провайдер облачных услуг?

  • Предоставить оператору данные о том, какие меры безопасности обеспечиваются в облачной инфраструктуре.
  • Обеспечить принятие дополнительных мер безопасности или предоставить оператору возможность развернуть дополнительные средства безопасности (PaaS или IaaS).
  • Отразить в договоре обязанности по обеспечению мер безопасности и конфиденциальности обрабатываемых данных, вопросы доступа персонала к ним.
  • Принимать меры по предотвращению несанкционированного доступа к персональным данным и несанкционированного воздействия на такие данные и информационные системы.

Общие выводы

  • После завершения сбора персональных данных они должны находиться (храниться) в базах данных на территории РФ, при этом изменения в данные (в том числе, уточнения и обновления) должны вноситься также в базы данных на территории РФ.
  • Не накладывается никаких ограничений на передачу персональных данных после их сбора и записи в базу данных на территории РФ, в том числе – на трансграничную передачу, предоставление к ним доступа с территории иных государств, а также на использование персональных данных граждан РФ после их трансграничной передачи.
  • Закон в редакции, вступившей в силу 1 сентября 2015 года, не устанавливает новых, дополнительных ограничений на трансграничную передачу персональных данных, не вводит запрет на обработку персональных данных в дата-центрах и облачных инфраструктурах, находящихся вне территории РФ, за исключением их сбора.

И завершить хотелось бы фразой, которую я не устаю повторять на своих выступлениях – «Недостатки нормативного регулирования не могут являться основанием для отказа от использования современных информационных технологий, потому что иначе вы неизбежно окажетесь на обочине конкурентной борьбы».



Данный материал является частной записью члена сообщества Club.CNews.
Тип публикации:  Статья