1. Защита персональных данных в
облаках — а в чём проблема?
Аникушин Василий
Руководитель отдела подготовки коммерческих решений
sales@onlanta.ru; www.onlanta.ru; Anikushin@onlanta.ru
2. ФЗ № 152 — час близок
Федеральный закон 152 «О персональных
данных» - с 01-го июля ответственность
операторов ПД
Все организации должны привести свои
информационные системы в соответствие с
требованиями закона
Как сделать это надёжно, качественно и за
приемлемые деньги в кратчайшие сроки?
3. Защита ПД:
пути решения задачи
Обязательные этапы:
Консалтинг
Разработка решения
Закупка оборудования и ПО
Внедрение
Аттестация системы
4. Различная архитектура проекта
Работа в различных контурах:
Построение выделенного закрытого сегмента сети
Разделение 1 АРМ на уровне ОС под различные
задачи
Работа с ПД и общими ресурсами одновременно на
1 АРМ
5. Интеграционное решение —
не единственный путь
Возможен другой путь:
Персональные данные организации размещаются
в «облаке» у провайдера услуг
Провайдер услуг обеспечивает доступ к данным
сотрудникам организации
Провайдер обеспечивает аттестацию системы и
взаимодействие с регулятором
Провайдер несёт юридическую ответственность за
соблюдение правил обработки ПД
6. Зачем с персональными
данными идти в облака?
Интеграционные решения дороги
•
Затраты ~ 1 млн. руб на систему из 30 пользователей + необходимость
обучения и содержания специалистов сопровождения системы
Развёртывание интеграционного решения достаточно длительный процесс
•
до 3-х месяцев, аттестация до 40 дней
Облачные решения позволяют решить
задачу быстро, надёжно и экономично
•
Система уже аттестована у провайдера услуг, используется
проверенное решение, необходима закупка только средств защиты
рабочего места. 3-хкратная экономия времени и затрат
8. Преимущества облачного решения
Не зависит от платформы и типа информационной
системы
Легко масштабируется
Быстро разворачивается и настраивается
Обеспечивает защиту персональных данных по
классу ИСПДН до К1 включительно
Пользователи могут работать как с персональными
данными, так и с общедоступными ресурсами
Построено на оборудовании и ПО одного вендора
(DIAMOND компании "TSS" ltd), что гарантирует
совместимость всех его компонент
10. CПАСИБО!
Москва, Россия, 111250
Завода Серп и Молот проезд, д.6, корп.1
тел.: +7 (495) 721-12-18
факс: +7 (495) 721-91-40
info@onlanta.ru; www.onlanta.ru
Notas do Editor
В своём докладе я бы хотел рассмотреть задачи, которые необходимо решить организации для защиты ПД.
Федеральный закон №152 с 1 июля вводит ответственность операторов ПД в части хранения и обработки этих данных.
Все организации должны привести свои информационные системы в соответствие с требованиями закона.
Задачи, которые необходимо решить организациям – как сделать это надёжно, качественно и за приемлемые деньги в кратчайшие сроки?
У организации есть выбор: пойти традиционным путём построения интеграционного решения или приобрести услугу по защите ПД у сервис-провайдера. При реализации традиционного интеграционного решения организация проходит через обязательные этапы: консалтинг, разработку модели угроз, разработку технического решения, закупку оборудования и ПО, внедрение решения и последующую аттестацию системы и обучение персонала.
При разработке архитектурного решения защиты ПД, сформировались 3 варианта:
Физическое разделение сетей. При этом в закрытом сегменте сети осуществляется работа с ПД, работа с прочими ресурсами сети (интранет) и интернет осуществляется пользователем с другого компьютера. Просто и надёжно. Очевидные минусы – необходимость дублирования рабочих мест, увеличение затрат на сопровождение, сложность обмена информацией. Такое архитектурное решение на практике мало интересно современному бизнесу, в котором быстрый обмен информацией очень важен.
Разделение 1 АРМ на уровне ОС под задачи работы с ПД и доступа к общим ресурсам. Для переключения между задачами потребуется перезагрузка компьютера, защита обеспечивается на уровне специального ПО, имеющего высокую степень защиты. Архитектура практически повторяет первый вариант, но снижает стоимость владения парком АРМ. Минусы остаются прежние.
Работа с ПД и общими ресурсами одновременно на 1 АРМ. Такое решение возможно при условии работы через терминальный сервер, находящийся в защищённом сегменте сети.
Интеграционное решение не единственный путь к защите персональных данных. Можно передать ПД в облако провайдера услуг. При этом провайдер услуг должен быть аккредитованным оператором персональных данных.
В этом случае, провайдер услуг обеспечивает доступ к ПД сотрудникам организации, проводит аттестацию системы, взаимодействует с регулятором (ФСТЭК или Роскомнадзор) и несёт юридическую ответственность за соблюдение правил обработки ПД.
Здесь также важно сказать, что провайдер услуг несёт финансовую ответственность и за доступность данных.
Зачем идти с ПД в облака?
Дорого. Крупные организации могут себе это позволить. Небольшие уже вряд ли.
Долго. Поставка и закупка оборудования могут занять до 3-х месяцев, плюс пуско-наладка и аттестация системы.
Облачные решения позволяют решить задачу быстро, надёжно и экономично
Система уже аттестована у провайдера услуг, используется проверенное решение, необходима закупка только средств защиты рабочего места.
Архитектура облачного решения представлена на слайде.
На рабочих станциях ИСПДн стоит специализированное ПО, позволяющее установить защищенную VPN-сессию с маршрутизатором в дата-центре сервис-провайдера, обеспечивающую обмен данными между АРМ ИСПДн и сервером ИСПДн по шифрованному каналу.
Доступ операторов АРМ ИСПДн к сети Интернет осуществляется через терминальные сервера.
Доступ операторов АРМ ИСПДн к ресурсам общего доступа локальной сети осуществляется в штатном режиме и настраивается специальными политиками.
Решение не требует внесения изменений в локальную сеть организации, поэтому является удобным и быстрым в исполнении.
Не важно, где хранятся ПД – 1С, SAP и прочее.
Так в чём же проблема защиты ПД в облаке? Закон принят ещё в 2006 году. За это время поставщиками решений и услуг проработано множество вариантов реализации, подготовлены предложения и реализованы проекты.