Документ рассматривает законодательство и нормативные требования по защите персональных данных в контексте облачных технологий в России. Особое внимание уделяется необходимости получения согласия пользователей на обработку их данных в облаке и отсутствию адекватных требований для защиты информации в облачных инфраструктурах. Также обсуждаются новые разработки ФСТЭК и ФСБ, касающиеся защиты персональных данных и актуальные проблемы в данной области.

1. Закон и облака
Марк Марков
1

2. Регуляторы
Федеральная служба по
Федеральная служба по
надзору в сфере связи,
техническому и
информационных технологий и
экспортному контролю Федеральная служба безопасности
массовых коммуникаций
(ФСТЭК) (ФСБ)
(Роскомнадзор)
Техническая часть 2 Правовые основания

3. Объекты и порядок проверки
одна неделя
Проверка всех
отделов в
Информационное
соответствии со Акт проверки
письмо
структурой
оператора
3

4. Правовая основа
• Федеральный закон «О персональных данных» № 152-
ФЗ от 8.07.2006.
• Положение об обеспечении безопасности персональных
данных при их обработке в информационных системах
персональных данных, утверждено Постановлением
правительства от 17.11.2007 № 781.
• Положение о методах и способах защиты информации в
информационных системах персональных данных,
утверждено приказом ФСТЭК России от 5.02.2010 № 58.
4

5. Правовая основа
 П О С Т А Н О В Л Е Н И Е от 1 ноября 2012 г.
№1119 Об утверждении требований к защите
персональных данных при их обработке в
информационных системах персональных данных
5

6. Также последние документы от ФСТЭК:
ФСТЭК России активно проводит разработку и внедрение новых нормативных
документов по защите информации, например:
- введены в действие нормативный документ «Требования к системам обнаружения
вторжений» и 12 методических документов, содержащих профили защиты для СОВ
- подготовлены нормативный документ «Требований к средствам антивирусной
защиты» и 24 методических документов, содержащих ПЗ для САВЗ
- готовятся документы по средствам доверенной загрузки, средствам двухфакторной
аутентификации, средствам контроля съемных носителей информации, средствам
предотвращения утечек информации (DLP-системы)
- по мере внедрения новых нормативных и методических документов, сертификация на
ТУ и РД Гостехкомиссии России (по МЭ и СВТ) исчезнет как класс.
Последние документы от ФСБ касаются персональных данных, и определения угроз, но
еще не утверждены.
Таким образом, про облачные технологии, как было молчание так и осталось.
Информации нет ни среди новостей, ни в блогах экспертов.
6

7. Для обработки персональных данных в публичном "облаке"
требуется получение специального согласия субъекта
персональных данных. Из ст. 9 ФЗ-152 вытекает, что при
получении согласия от субъектов персональных данных
операторы обязаны указывать, в том числе, названия своих
облачных поставщиков и перечислять те действия с
персональными данными, которые будут осуществляться на
облачной площадке.
7

8. 1. Оператор СПДн предлагает субъекту персональных
данных работать в своем облаке
2. Оператор СПДн передает данные субъекта в облако
третьему лицу (например оператору связи)
8

9. Правда состоит в том, что текущая нормативная база просто не
предусматривает адекватных организационно-технических
требований по защите информации в облачных инфраструктурах, да
еще с трансграничной передачей данных.
9

10. В презентации использованы материалы с сайтов:
http://www.facebook.com/groups/Cloud.Forum.Rus/permalink/195161430617539/
http://www.osp.ru/cw/2012/15/13016121/
http://www.pcweek.ru/security/article/detail.php?ID=139185
http://daily.sec.ru/publication.cfm?pid=35102&rid=32&pm=8&py=2012&ppos=8
http://www.avanpost.ru/press-center/press/press-about-us_61.html
http://www.wht.by/review/484-qoblakaq-qspotknulisq-o-zakon-o-personalnykh-dannykh
10

11. Спасибо за внимание!
Марк Марков
Markov_mv@ekadm.ru
11