Rambler's Top100
Статьи
Игорь АНТОНОВ  08 февраля 2016

Ответственность за персональные данные – в облака

Обдуманный подход к использованию облачных сервисов позволяет облегчить выполнение законодательных и договорных требований к защите информации, включая требования к защите персональных данных.

Игорь АНТОНОВ, директор департамента защиты процессов, «Андэк»

Сегодня частные и государственные компании все чаще прибегают к облачным сервисам. Одно из основных преимуществ такого подхода – снижение расходов на построение ИТ-инфраструктуры и ее обслуживание путем перевода капитальных затрат в операционные за счет более эффективного использования человеческих и ИТ-ресурсов поставщиками облачных услуг.

Кроме того, использование облачных сервисов открывает ряд новых возможностей для каждой из сторон: как облачных сервис-провайдеров, так и их клиентов. 

Что же это за возможности?

Клиенты облачных провайдеров могут в значительной степени освободиться от забот, связанных требованиями к защите персональных данных, путем перекладывания ответственности за их выполнение на поставщика услуг. Для этого достаточно привлечь специализированных сервис-провайдеров и четко описать в договоре с ними зоны ответственности. Например, для небольших компаний будет целесообразно поручить облачному провайдеру оказание полного спектра услуг защиты персональных данных. Для крупной же организации, обладающей собственными человеческими ресурсами достаточной компетенции, будет оптимально возложить на поставщика услуг только реализацию технического решения и его поддержку, оставив разработку необходимых документов и реализацию процессов информационной безопасности за собой. Требования коммерческих и государственных структур тоже скорее всего будут различаться.

Поэтому при регламентации зон ответственности стоит обратить внимание на то, кто именно несет ответственность за следующие моменты:

  • создание решения для защиты, полностью соответствующего требованиям закона № 152-ФЗ;
  • внедрение системы защиты персональных данных;
  • поддержку ИТ-инфраструктуры и средств защиты информации;
  • моделирование угроз безопасности персональных данных для облачного сервиса;
  • разработку нормативных документов, регламентирующих обработку и защиту персональных данных;
  • реализацию необходимых организационных мер по защите персональных данных.

При правильном выборе компаниям не придется беспокоиться о проектировании, внедрении и поддержке системы защиты персональных данных, разработке необходимых документов, а также о проведении периодических регламентных работ.

Стоит отметить, что самостоятельные расходы на создание системы защиты персональных данных обычно будут ощутимо выше по сравнению с расходами на использование специализированного облачного сервиса. Это достигается за счет типизации решений для защиты. Разработка типового решения – непростая задача, поскольку необходимо учесть все возможные варианты клиентов, но при этом число типовых решений должно быть сравнительно небольшим, иначе стоимость такого решения приблизится к сумме, которую клиент потратил бы при самостоятельной реализации.

Дополнительным плюсом для компаний будет являться то, что отпадет необходимость держать в штате большое число специалистов в области информационной безопасности, так как все действия по эксплуатации системы защиты персональных данных и выполнению процессов информационной безопасности также может взять на себя поставщик услуг.

Интерес клиентов к облачным сервисам, которые позволяют выполнить все применимые к ним требования закона «О персональных данных» означает для сервис-провайдеров возможность расширить перечень оказываемых услуг с классического хостинга информационных систем до предоставления услуг в области информационной безопасности, таких, как:

  • проектирование системы защиты персональных данных;
  • мониторинг событий ИБ и управление инцидентами;
  • управление уязвимостями инфобезопасности;
  • управление обновлениям программного обеспечения;
  • периодический аудит ИБ.

За счет предоставления широкого спектра услуг облачные провайдеры могут увеличить число своих клиентов. Для этого требуется наличие в штате разноплановых специалистов. При отсутствии необходимых компетенций внутри своей команды облачные сервис-провайдеры могут воспользоваться услугами сторонних компаний. Основной бенефит – рост клиентской базы в отношении хостинга все равно остается при них.

Нельзя не упомянуть о законе № 242-ФЗ в соответствии с которым начиная с 01.09.2015 базы персональных граждан РФ данных должны располагаться на территории Российской Федерации. Использование облачных систем – легкий выход для тех операторов персональных данных, которые использовали иностранный хостинг.

Облачные сервисы для защиты персональных данных – в тренде развития ИТ и ИБ. Они являются дополнительным рычагом для развития аутсорсинга в области информационной безопасности, способствуя превращению обычных хостинг-провайдеров в многопрофильные сервисные организации.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!