Доверяй, но проверяй: что должен знать бизнес о защите персональных данных при работе в облаке

Вопросы безопасности персональных данных становятся неотъемлемой частью стратегии любой компании в Беларуси. Ужесточение законодательства, усиление контроля со стороны государственных органов и рост числа киберинцидентов заставляют бизнес искать надежные решения для защиты данных клиентов, сотрудников и партнеров. Особенно это актуально, когда компания использует сторонние сервисы для обработки персональных данных — например, облачные сервисы, CRM, хостинги.

В Беларуси облачные сервисы помогает внедрять и настраивать Softman Group. Это прямой партнер облачной платформы Yandex Cloud, которая предоставляет более 70 сервисов для задач компаний. «Про бизнес» узнал у представителей Softman Group и Yandex Cloud о том, как сегодня белорусским компаниям выстроить безопасную работу с персональными данными в облаке, и почему выбор облачного провайдера требует не только технической, но и юридической экспертизы.

22 мая ООО «Софтман груп» и Yandex Cloud проведут бесплатный офлайн-семинар для CIO, CTO, операционных директоров, руководителей инфраструктурных подразделений и директоров по маркетингу. В программе — консультация от опытных юристов, которые специализируются на работе с персональными данными, а также разбор реальных кейсов работы с Yandex Cloud от белорусских компаний.

Участие возможно только по предварительной регистрации — по ссылке. Не пропустите возможность получить ценные знания и расширить профессиональные связи.

Что такое персональные данные и почему бизнес обязан их защищать

Персональные данные (ПД) — это любая информация, позволяющая идентифицировать физическое лицо напрямую или косвенно: ФИО, контактные данные, сведения о клиентах и сотрудниках. Законодательство Беларуси относит ПД к категории информации с ограниченным распространением, что накладывает строгие обязательства по их защите.

Практически все организации в Беларуси являются операторами ПД (т.е. субъектами, которые организуют и осуществляют обработку персональных данных — прим. ред.), а значит, обязаны соблюдать требования Закона «О защите персональных данных» и других нормативных актов. При этом современные реалии диктуют необходимость использовать облачные технологии для хранения и иной обработки данных, что требует особого внимания к выбору облачного провайдера и организации взаимодействия с ним.

Согласно статье 16 Закона «О защите персональных данных», оператор обязан обеспечить защиту ПД на всех этапах их обработки — от сбора до уничтожения. При этом обработка включает хранение, изменение, использование и передачу данных.

Часто компании используют сторонние сервисы (облачные провайдеры, CRM, хостинг и т.п.) для обработки персональных данных. Владельцы таких сервисов считаются уполномоченными лицами, действующими от имени оператора. Необходимо официально включать этих провайдеров в перечень уполномоченных лиц и отражать их в политике обработки персональных данных. Ответственность за действия уполномоченного лица несет оператор (ваша компания), поэтому выбор партнера должен быть максимально тщательным.

Что нужно знать бизнесу о защите ПД

1. Требования к защите информации. Персональные данные и другая ограниченная информация должны обрабатываться в системах с применением защиты информации, аттестованной в соответствующем требованиям Оперативно-аналитического центра при Президенте Беларуси порядке.

Для зарубежных сервисов белорусское регулирование не имеет прямого действия, но компании должны требовать от них мер защиты, не уступающих белорусским стандартам.

В договорах с уполномоченными лицами обязательно прописываются меры по защите данных, включая технические и криптографические средства.

При работе с зарубежными провайдерами рекомендуется применять право страны их нахождения и требовать подтверждение соответствия мерам защиты информации (сертификации, аттестации).

2. Локализация и трансграничная передача данных. Белорусское законодательство требует, чтобы данные, связанные с продажей товаров и услуг на территории страны, хранились на серверах, расположенных в национальном сегменте сети Интернет (Указ № 60). Исключение составляют внутренние ресурсы и сервисы, не связанные с прямыми коммерческими операциями.

Трансграничная передача ПД разрешена только в страны с признанным уровнем защиты — в первую очередь государства ЕАЭС (Россия, Казахстан, Армения, Кыргызстан), а также страны, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятой в г. Страсбурге 28 января 1981 года. При работе с зарубежными сервисами необходимо удостовериться в наличии у них соответствующих сертификатов и мер безопасности.

Важно отличать трансграничную передачу от трансграничного сбора данных: если данные собираются от физического лица сразу на зарубежном ресурсе (например, через форму обратной связи), то ограничения в отношении передачи данных не применяются.

Как Yandex Cloud обеспечивает защиту персональных данных

Многие компании выбирают облачные платформы для хранения и обработки информации. Согласно внутренним исследованиям Yandex Cloud, 73% специалистов по информационной безопасности доверяют облачным платформам, и 32% считают безопасность ключевым фактором при выборе провайдера.

Одним из лидеров на рынке является Yandex Cloud, в том числе и с точки зрения обеспечения защиты данных. В 2024 году инвестиции Yandex Cloud в информационную безопасность превысили 1,3 млрд российских рублей, что на 30% больше, чем в предыдущем году.

Сервис строит защиту данных по принципу Security-by-design — безопасность закладывается в архитектуру и код с самого начала. Ключевые элементы защиты:

• многоуровневая инфраструктурная безопасность: круглосуточный мониторинг, Центр безопасности (SOC), антивирусная защита, шифрование данных при хранении и передаче;
• контроль доступа: системы Identity and Access Management (IAM) позволяют гибко управлять правами пользователей и ролями;
• управление криптографическими ключами: Key Management Service обеспечивает надежную защиту секретов и конфиденциальной информации;
• аудит и мониторинг: инструменты для отслеживания всех операций с данными и своевременного реагирования на инциденты.

Облачная платформа Yandex Cloud соответствует международным нормам, таким как GDPR, ISO, ГОСТ И ФЗ-152 РФ).

Для эффективной защиты персональных данных в облаке Yandex Cloud предлагает комплекс сервисов:

• Yandex Identity and Access Management (IAM) — система управления пользователями, ролями и политиками доступа к облачным ресурсам. Она позволяет четко контролировать, кто и какие действия может выполнять с данными;
• Yandex Key Management Service (KMS) — инструмент для управления криптографическими ключами, который обеспечивает шифрование данных, защиту секретов и конфиденциальной информации в облаке;
• Решения из Yandex Cloud Marketplace — антивирусные программы и средства защиты данных при передаче, которые предотвращают раскрытие и модификацию информации.

Также важно, что Yandex Cloud придерживается модели совместной ответственности. Это значит, что провайдер отвечает за физическую защиту инфраструктуры и доступность облачной платформы. А клиент контролирует права доступа к своим ресурсам, включая виртуальные машины и базы данных. Такое разделение позволяет создать надежную и защищенную среду для работы с персональными данными.

Как начать работать с Yandex Cloud в Беларуси?

— Компания Softman Group — авторизованный партнер Yandex Cloud в Беларуси — помогает внедрять облачные решения и сопровождает бизнес на каждом этапе, — пояснил ООО «Софтман груп» Дмитрий Павлов. — Так компания предлагает бизнесу поддержку в следующих аспектах:
 

• юридическая экспертиза и сопровождение. Softman Group консультирует по требованиям белорусского законодательства, помогает оформить договоры с облачными провайдерами, включая обязательные пункты о защите ПД и ответственности сторон. Компания сотрудничает с ведущими юридическими экспертами, включая ООО «Степановский, Папакуль и партнеры. Юридические услуги», чтобы гарантировать соответствие всех процессов требованиям закона;
• техническая поддержка и сопровождение. Компания обеспечивает внедрение современных технологий защиты данных — шифрование, контроль доступа, аудит — на базе Yandex Cloud и других платформ, а также обучение сотрудников клиентов;
• комплексная подготовка к аттестации информационных систем. Softman Group проводит аудит текущей ИТ-инфраструктуры, помогает выявить и устранить несоответствия требованиям белорусского законодательства и стандартам ОАЦ при Президенте Республики Беларусь. Также компания оказывает содействие в подготовке пакета документов, необходимых для прохождения процедуры аттестации системы защиты персональных данных при использовании облачных сервисов Yandex Cloud;
• постоянная поддержка и обучение персонала. Обеспечивает техническую поддержку на всех этапах эксплуатации облачных решений, включая регулярные обновления и мониторинг безопасности. Проводит обучение сотрудников клиентов по работе с сервисами Yandex Cloud и особенностям защиты персональных данных в облаке, что помогает поддерживать высокий уровень информационной безопасности в компании.

Рекомендации для белорусских компаний

• Проверяйте облачного провайдера. Запрашивайте подтверждения об аттестации, сертификатах и реализованных мерах безопасности.
• Заключайте грамотные договоры. Включайте обязательные пункты о защите ПД, ответственности и порядке реагирования на инциденты.
• Фиксируйте результаты проверок. Документируйте все этапы выбора и аудита провайдера.
• Обеспечивайте локализацию. Контролируйте хранение критически важных данных в Беларуси.
• Ведите реестр уполномоченных лиц и регулярно обновляйте политику обработки персональных данных.
• Следите за изменениями в законодательстве и требованиями ОАЦ.
• Обучайте сотрудников. Регулярно проводите тренинги по информационной безопасности и внутреннему контролю.

Безопасность персональных данных — это совместная ответственность бизнеса и провайдера. Помните, что защита персональных данных — не просто юридическая обязанность, а основа доверия клиентов и партнеров. Белорусским компаниям важно осознанно подходить к выбору облачных провайдеров и выстраивать прозрачные отношения с ними.