Как облачные провайдеры защищают персональные данные компаний в 2024 году

Опыт российских компаний показывает: несоблюдение требований безопасности рано или поздно приводит к инцидентам. Масштаб ущерба в таких ситуациях непредсказуем, к тому же в январе 2024 года Госдума в первом чтении приняла законопроект о повышении штрафов за утечку ПД. Ранее инцидент приводил к аудиторской проверке и штрафу в несколько десятков тысяч рублей. Если закон примут, штрафы будут достигать 2 млн рублей для физических лиц и 15 млн для юридических.

По данным внутреннего исследования Yandex Cloud, 39% опрошенных компаний высоко оценивают безопасность облачных платформ. Но не все знают, как устроена защита ПД в облаке, что именно делает провайдер для своих клиентов и в чём заключаются преимущества облачных решений. На эти вопросы отвечает Рами Мулейс, руководитель команды Cloud Trust в Yandex Cloud.

В чём особенности хранения ПД в облакеВ чём особенности хранения ПД в облаке

Персональные данные — это любая информация, по которой можно идентифицировать человека, например адрес электронной почты, телефон или паспортные данные. В России работа с ПД регулируется Федеральным законом «О персональных данных» (152‑ФЗ), который действует с 2006 года. Соблюдение закона контролируют Роскомнадзор и Федеральная служба по техническому и экспортному контролю (ФСТЭК).

Закон требует, чтобы операторы персональных данных обеспечивали их безопасность вне зависимости от масштаба компании и её сферы. При этом допускается хранение данных в облаке, но одно из важнейших условий для этого — дата-центр выбранного провайдера должен находиться на территории России.

Однако ответственность за выполнение требований законодательства чётко делится между облаком и клиентом. В частности, провайдер предоставляет защищённую инфраструктуру, которая отвечает всем требованиям 152‑ФЗ, Постановления Правительства РФ № 1119 и Приказа ФСТЭК № 21.

Как облачные платформы обеспечивают защиту ПДКак облачные платформы обеспечивают защиту ПД

В Yandex Cloud информационная безопасность строится на трёх основных принципах:

• Security‑by‑design: при проектировании систем безопасности мы интегрируем её в архитектуру и код. Это значит, что меры защиты изначально заложены в структуру платформы.

• Всесторонняя защита инфраструктуры и данных: круглосуточный мониторинг и работа Центра безопасности Yandex Cloud (Security Operations Center, SOC) позволяют отслеживать угрозы и предупреждать инциденты.

• Соответствие стандартам: наша платформа выполняет все требования 152‑ФЗ (УЗ‑1), Постановления Правительства № 1119 и Приказа ФСТЭК № 21, а также придерживается стандартов ISO, GDPR и ГОСТ Р 57580, чтобы обеспечить доверие клиентов.

На схеме ниже — общепринятый на российском рынке подход к обеспечению защиты ПД в облаке на примере оценки эффективности мер защиты согласно закону 152‑ФЗ. По такому процессу идут все компании, которые работают с ПД клиентов.

Для создания системы защиты ПД в Yandex Cloud есть набор необходимых сервисов. Среди них — Yandex Identity and Access Management, система управления пользователями, ролями и политиками для контроля доступа к облачным ресурсам. Инструмент шифрования данных Yandex Key Management Service позволяет управлять криптографическими ключами и защищать секреты, личные данные и другую конфиденциальную информацию в облаке. Для защиты данных от раскрытия и модификации при передаче, а также для антивирусной защиты виртуальных машин используются решения из Yandex Cloud Marketplace.

Согласно нашему внутреннему исследованию, самый важный критерий безопасного облака для большинства ИБ‑специалистов — наличие средств обеспечения конфиденциальности данных. Кроме того, мы постоянно развиваем линейку продуктов для контроля безопасности облачных ресурсов, данных и приложений. Так, одно из новых решений — CNAPP‑платформа Yandex Security Deck — объединяет инструменты для управления доступом, обеспечения прозрачности и безопасности данных. Встроенный модуль DSPM находит в облачной инфраструктуре места хранения и обработки ПД, что позволяет снизить риски их утечки.

В Yandex Security Deck также доступен модуль Access Transparency, который обеспечивает прозрачность платформы Yandex Cloud. Он позволяет проверить для каких целей сотрудники провайдера получили доступ к инфраструктуре: например, для выполнения дополнительной диагностики IT‑систем инженерами службы поддержки или для обновления ПО. Встроенные ML-модели анализируют все операции и выявляют потенциально опасные, а YandexGPT дополнительно суммаризирует действия, упрощая контроль.

Эти и другие сервисы, а также команда облака фактически заменяют для компании штат высококвалифицированных специалистов, в том числе инженеров по безопасности. А это особенно актуально, ведь на российском рынке недостаток таких кадров. В свою очередь виртуальные машины и облачные ресурсы позволяют закрыть дефицит физического оборудования, которое бывает сложно находить из-за нехватки комплектующих и отсутствия условий для их производства.

Роли клиента и провайдера при защите ПД в облакеРоли клиента и провайдера при защите ПД в облаке

При работе с клиентами мы следуем концепции совместной ответственности. Так, облачный провайдер отвечает за физическую защиту инфраструктуры и доступность всей системы. Клиент, в свою очередь, контролирует права доступа к своим ресурсам, в том числе виртуальным машинам и базам данных. Это разделение помогает создать надёжную и защищённую среду для работы с данными.

Так различается процесс прохождения аудита на соответствие требованиям 152‑ФЗ компанией самостоятельно или с привлечением облачного партнёра:

Почему компании выбирают облака и доверяют им персональные данныеПочему компании выбирают облака и доверяют им персональные данные

С ростом требований к защите данных компании всё чаще обращаются к облачным решениям. Как показывает внутреннее исследование Yandex Cloud, 73% специалистов ИБ доверяют облачным платформам, и это доверие напрямую связано с уровнем безопасности, который обеспечивает провайдер. Согласно опросу, 32% участников считают обоснование безопасности критически важным фактором при выборе облака.

Сегодня клиенты размещают в контуре Yandex Cloud разные данные, в том числе внутренние нормативные акты (49%), ПД клиентов и сотрудников (46%) и конфиденциальную информацию (45%).

Кроме того, мы обеспечиваем приватность во всех процессах Yandex Cloud и применяем больше мер, чем требует законодательство России. Например, мы прошли аудит на соответствие требованиям международного стандарта ISO 27701. Это руководство по защите персональных данных, которое помогает компаниям выстроить систему защиты в соответствии с 152‑ФЗ и международными требованиями. Стандарт позволяет оценить то, как платформа защищает данные и соблюдает законодательные принципы их обработки. Сертификация проверяет защиту и передачу данных, законность их использования, а также управление доступами и рисками утечек.

Таким образом, в надёжном облаке безопасно хранить и обрабатывать персональные данные любой категории. Перед выбором провайдера важно проверить сертификаты, уровень технической поддержки и обсудить с облачным партнёром бесшовный процесс переноса данных.