21 Апреля, 2014

Персональные данные россиян в облаке

Михаил Емельянников
Наше агентство закончило большую работу, выполненную по заказу одного из клиентов – оценку допустимости переноса персональных данных российским оператором информационной системы на облачную платформу MicrosoftAzure; определение состава мер, которые должны быть приняты при различных вариантах такого размещения, в том числе при использовании облачной платформы для хранения зашифрованных персональных данных; обработки данных, прошедших процедуру обезличивания, а также решение вопросов, связанных с доступом работников дата-центров и сервис-провайдеров к персональным данным, обрабатываемых заказчиками.
Ее результаты нам кажутся интересными для большого круга специалистов, причем применительно не только к облаку MicrosoftAzure. Активизировавшаяся в последнее время дискуссия вокруг облачных вычислений, ответственности владельцев облаков и провайдеров облачных услуг, уровня безопасности в облаках, свидетельствует о том, что тема становится крайне актуальной и для России.
Заказчик дал согласие на публикацию результатов (с некоторыми нюансами), и все желающие могут ознакомиться с нашей точкой зрения на эту сложную и интересную проблему. Заключение в полном объеме выложено здесь .
Кстати, предварительные итоги нашего исследования я озвучивал на форуме Cloud OS Summit, проведенном еще 27 ноября российским подразделением корпорации Microsoft. К моему немалому удивлению, совместная с Андреем Москвитиным презентация (он рассказывал об обеспечении безопасности обработки данных в облаке) стала второй по популярности на форуме, получив 8,5 баллов слушателей из 9 возможных. Посмотреть выступление можно, например, здесь . К удивлению, поскольку мероприятие было все-таки сугубо техническим, а я технические вопросы почти не затрагивал. И аудитория совсем не характерная для моих презентаций, на которых в последнее время присутствует примерно пополам безопасников и юристов, но отнюдь не айтишников.

Те, кому многобукв не интересно, а узнать, чем закончилась история, хочется, могут ограничиться первым (постановка задачи) и вторым (общим выводом по всему тексту) разделами заключения. Ну, а для наиболее любознательных и дотошных – полный текст .
или введите имя

CAPTCHA
Артем Агеев
21 Апреля, 2014
Михаил Юрьевич, насколько Вами описанное применимо к государственным и муниципальным учреждениям? Можно ли им руководствоваться Вашим документом?
0 |
  • Поделиться
  • Ссылка
pushkinist
21 Апреля, 2014
один из больших клиентов это микрософт?)
0 |
  • Поделиться
  • Ссылка
Михаил Емельянников
21 Апреля, 2014
Здесь не написано, что это большой клиент. Написано - большая работа по заказу одного из клиентов.
0 |
  • Поделиться
  • Ссылка
Михаил Емельянников
21 Апреля, 2014
Артем, для госов есть одна очень большая засада - обязательность аттестации, и в связи с этим выводы применить трудно. Но ФСТЭК обещает пересмотреть концепцию аттестации, и тогда - может быть...
0 |
  • Поделиться
  • Ссылка
22 Апреля, 2014
Все почему-то всегда рассматривают вариант который предусматривает модель поручения: заказчик формирует требования (угрозы, требуемый уровень защищённости)-исполнитель исполняет эти требования. С моей точки зрения для госзаказчиков это неверно. В госструктурах (не имею ввиду федеральный госсектор) нет ни отделов ни штатных специалистов способных даже формулировать эти требования. Поэтому в таком случае лучше бы было в поручении указать в обязанностях исполнителя не только обработку ПДн, но и обязанность разработать всю систему защиты ИСПДн включая этап формирования требований.
0 |
  • Поделиться
  • Ссылка
22 Апреля, 2014
К какому сроку ждать пересмотра процедуры аттестации от ФСТЭК??
0 |
  • Поделиться
  • Ссылка
С моей точки зрения для госзаказчиков это неверно. К сожалению, все рассуждения в заключении не могут быть применены к госзаказчиками. Необходимость аттестации ГИС делает невозможным использования зарубежных облачных структур. Во всяком случае, сегодня.
0 |
К какому сроку ждать пересмотра процедуры аттестации от ФСТЭК??Это знает только ФСТЭК. Хотят в этом году, но человек предполагает...
0 |
Михаил Емельянников
22 Апреля, 2014
Мы - небольшая коммерческая организация, вряд ли ФСТЭК будет по этому поводу какие-то письма писать, да и основания для этого нет.
0 |
  • Поделиться
  • Ссылка
Михаил Емельянников
22 Апреля, 2014
А рекомендации по облакам обещают сделать и во ФСТЭК, и в Минкомсвязи. Без точных сроков
0 |
  • Поделиться
  • Ссылка
Коллеги, к сожалению, часть комментов транслируется с блога, поэтому вопросы и ответы не всегда связаны при разме6щении
0 |
  • Поделиться
  • Ссылка