Что должен знать белорусский бизнес о защите персональных данных при работе в облаке
Вопросы безопасности персональных данных становятся неотъемлемой частью стратегии любой компании в Беларуси. Ужесточение законодательства, усиление контроля со стороны государственных органов и рост числа киберинцидентов заставляют бизнес искать надежные решения для защиты данных клиентов, сотрудников и партнеров. Особенно это актуально, когда компания использует сторонние сервисы для обработки персональных данных — например, облачные сервисы, CRM, хостинги.
В Беларуси облачные сервисы помогает внедрять и настраивать Softman Group. Это прямой партнер облачной платформы Yandex Cloud, которая предоставляет более 70 сервисов для задач компаний. «Про бизнес» узнал у представителей Softman Group и Yandex Cloud о том, как сегодня белорусским компаниям выстроить безопасную работу с персональными данными в облаке, и почему выбор облачного провайдера требует не только технической, но и юридической экспертизы.
В Беларуси облачные сервисы помогает внедрять и настраивать Softman Group. Это прямой партнер облачной платформы Yandex Cloud, которая предоставляет более 70 сервисов для задач компаний. «Про бизнес» узнал у представителей Softman Group и Yandex Cloud о том, как сегодня белорусским компаниям выстроить безопасную работу с персональными данными в облаке, и почему выбор облачного провайдера требует не только технической, но и юридической экспертизы.
Что такое персональные данные и почему бизнес обязан их защищать
Персональные данные (ПД) — это любая информация, позволяющая идентифицировать физическое лицо напрямую или косвенно: ФИО, контактные данные, сведения о клиентах и сотрудниках. Законодательство Беларуси относит ПД к категории информации с ограниченным распространением, что накладывает строгие обязательства по их защите.
Практически все организации в Беларуси являются операторами ПД (т.е. субъектами, которые организуют и осуществляют обработку персональных данных — прим. ред.), а значит, обязаны соблюдать требования Закона «О защите персональных данных» и других нормативных актов. При этом современные реалии диктуют необходимость использовать облачные технологии для хранения и иной обработки данных, что требует особого внимания к выбору облачного провайдера и организации взаимодействия с ним.
Согласно статье 16 Закона «О защите персональных данных», оператор обязан обеспечить защиту ПД на всех этапах их обработки — от сбора до уничтожения. При этом обработка включает хранение, изменение, использование и передачу данных.
Часто компании используют сторонние сервисы (облачные провайдеры, CRM, хостинг и т.п.) для обработки персональных данных. Владельцы таких сервисов считаются уполномоченными лицами, действующими от имени оператора. Необходимо официально включать этих провайдеров в перечень уполномоченных лиц и отражать их в политике обработки персональных данных. Ответственность за действия уполномоченного лица несет оператор (ваша компания), поэтому выбор партнера должен быть максимально тщательным.
Практически все организации в Беларуси являются операторами ПД (т.е. субъектами, которые организуют и осуществляют обработку персональных данных — прим. ред.), а значит, обязаны соблюдать требования Закона «О защите персональных данных» и других нормативных актов. При этом современные реалии диктуют необходимость использовать облачные технологии для хранения и иной обработки данных, что требует особого внимания к выбору облачного провайдера и организации взаимодействия с ним.
Согласно статье 16 Закона «О защите персональных данных», оператор обязан обеспечить защиту ПД на всех этапах их обработки — от сбора до уничтожения. При этом обработка включает хранение, изменение, использование и передачу данных.
Часто компании используют сторонние сервисы (облачные провайдеры, CRM, хостинг и т.п.) для обработки персональных данных. Владельцы таких сервисов считаются уполномоченными лицами, действующими от имени оператора. Необходимо официально включать этих провайдеров в перечень уполномоченных лиц и отражать их в политике обработки персональных данных. Ответственность за действия уполномоченного лица несет оператор (ваша компания), поэтому выбор партнера должен быть максимально тщательным.
Что нужно знать бизнесу о защите ПД
1. Требования к защите информации. Персональные данные и другая ограниченная информация должны обрабатываться в системах с применением защиты информации, аттестованной в соответствующем требованиям Оперативно-аналитического центра при Президенте Беларуси порядке.
Для зарубежных сервисов белорусское регулирование не имеет прямого действия, но компании должны требовать от них мер защиты, не уступающих белорусским стандартам.
В договорах с уполномоченными лицами обязательно прописываются меры по защите данных, включая технические и криптографические средства.
При работе с зарубежными провайдерами рекомендуется применять право страны их нахождения и требовать подтверждение соответствия мерам защиты информации (сертификации, аттестации).
2. Локализация и трансграничная передача данных. Белорусское законодательство требует, чтобы данные, связанные с продажей товаров и услуг на территории страны, хранились на серверах, расположенных в национальном сегменте сети Интернет (Указ № 60). Исключение составляют внутренние ресурсы и сервисы, не связанные с прямыми коммерческими операциями.
Трансграничная передача ПД разрешена только в страны с признанным уровнем защиты — в первую очередь государства ЕАЭС (Россия, Казахстан, Армения, Кыргызстан), а также страны, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятой в г. Страсбурге 28 января 1981 года. При работе с зарубежными сервисами необходимо удостовериться в наличии у них соответствующих сертификатов и мер безопасности.
Важно отличать трансграничную передачу от трансграничного сбора данных: если данные собираются от физического лица сразу на зарубежном ресурсе (например, через форму обратной связи), то ограничения в отношении передачи данных не применяются.
Для зарубежных сервисов белорусское регулирование не имеет прямого действия, но компании должны требовать от них мер защиты, не уступающих белорусским стандартам.
В договорах с уполномоченными лицами обязательно прописываются меры по защите данных, включая технические и криптографические средства.
При работе с зарубежными провайдерами рекомендуется применять право страны их нахождения и требовать подтверждение соответствия мерам защиты информации (сертификации, аттестации).
2. Локализация и трансграничная передача данных. Белорусское законодательство требует, чтобы данные, связанные с продажей товаров и услуг на территории страны, хранились на серверах, расположенных в национальном сегменте сети Интернет (Указ № 60). Исключение составляют внутренние ресурсы и сервисы, не связанные с прямыми коммерческими операциями.
Трансграничная передача ПД разрешена только в страны с признанным уровнем защиты — в первую очередь государства ЕАЭС (Россия, Казахстан, Армения, Кыргызстан), а также страны, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятой в г. Страсбурге 28 января 1981 года. При работе с зарубежными сервисами необходимо удостовериться в наличии у них соответствующих сертификатов и мер безопасности.
Важно отличать трансграничную передачу от трансграничного сбора данных: если данные собираются от физического лица сразу на зарубежном ресурсе (например, через форму обратной связи), то ограничения в отношении передачи данных не применяются.
Как Yandex Cloud обеспечивает защиту персональных данных
Многие компании выбирают облачные платформы для хранения и обработки информации. Согласно внутренним исследованиям Yandex Cloud, 73% специалистов по информационной безопасности доверяют облачным платформам, и 32% считают безопасность ключевым фактором при выборе провайдера.
Одним из лидеров на рынке является Yandex Cloud, в том числе и с точки зрения обеспечения защиты данных. В 2024 году инвестиции Yandex Cloud в информационную безопасность превысили 1,3 млрд российских рублей, что на 30% больше, чем в предыдущем году.
Сервис строит защиту данных по принципу Security-by-design — безопасность закладывается в архитектуру и код с самого начала. Ключевые элементы защиты:
Облачная платформа Yandex Cloud соответствует международным нормам, таким как GDPR, ISO, ГОСТ И ФЗ-152 РФ).
Для эффективной защиты персональных данных в облаке Yandex Cloud предлагает комплекс сервисов:
Также важно, что Yandex Cloud придерживается модели совместной ответственности. Это значит, что провайдер отвечает за физическую защиту инфраструктуры и доступность облачной платформы. А клиент контролирует права доступа к своим ресурсам, включая виртуальные машины и базы данных. Такое разделение позволяет создать надежную и защищенную среду для работы с персональными данными.
Одним из лидеров на рынке является Yandex Cloud, в том числе и с точки зрения обеспечения защиты данных. В 2024 году инвестиции Yandex Cloud в информационную безопасность превысили 1,3 млрд российских рублей, что на 30% больше, чем в предыдущем году.
Сервис строит защиту данных по принципу Security-by-design — безопасность закладывается в архитектуру и код с самого начала. Ключевые элементы защиты:
- многоуровневая инфраструктурная безопасность: круглосуточный мониторинг, Центр безопасности (SOC), антивирусная защита, шифрование данных при хранении и передаче;
- контроль доступа: системы Identity and Access Management (IAM) позволяют гибко управлять правами пользователей и ролями;
- управление криптографическими ключами: Key Management Service обеспечивает надежную защиту секретов и конфиденциальной информации;
- аудит и мониторинг: инструменты для отслеживания всех операций с данными и своевременного реагирования на инциденты.
Облачная платформа Yandex Cloud соответствует международным нормам, таким как GDPR, ISO, ГОСТ И ФЗ-152 РФ).
Для эффективной защиты персональных данных в облаке Yandex Cloud предлагает комплекс сервисов:
- Yandex Identity and Access Management (IAM) — система управления пользователями, ролями и политиками доступа к облачным ресурсам. Она позволяет четко контролировать, кто и какие действия может выполнять с данными;
- Yandex Key Management Service (KMS) — инструмент для управления криптографическими ключами, который обеспечивает шифрование данных, защиту секретов и конфиденциальной информации в облаке;
- Решения из Yandex Cloud Marketplace — антивирусные программы и средства защиты данных при передаче, которые предотвращают раскрытие и модификацию информации.
Также важно, что Yandex Cloud придерживается модели совместной ответственности. Это значит, что провайдер отвечает за физическую защиту инфраструктуры и доступность облачной платформы. А клиент контролирует права доступа к своим ресурсам, включая виртуальные машины и базы данных. Такое разделение позволяет создать надежную и защищенную среду для работы с персональными данными.
Как начать работать с Yandex Cloud в Беларуси?
— Компания Softman Group — авторизованный партнер Yandex Cloud в Беларуси — помогает внедрять облачные решения и сопровождает бизнес на каждом этапе, — пояснил ООО «Софтман груп» Дмитрий Павлов. — Так компания предлагает бизнесу поддержку в следующих аспектах:
Дмитрий Павлов
Директор ООО «Софтман груп»
- юридическая экспертиза и сопровождение. Softman Group консультирует по требованиям белорусского законодательства, помогает оформить договоры с облачными провайдерами, включая обязательные пункты о защите ПД и ответственности сторон. Компания сотрудничает с ведущими юридическими экспертами, включая ООО «Степановский, Папакуль и партнеры. Юридические услуги», чтобы гарантировать соответствие всех процессов требованиям закона;
- техническая поддержка и сопровождение. Компания обеспечивает внедрение современных технологий защиты данных — шифрование, контроль доступа, аудит — на базе Yandex Cloud и других платформ, а также обучение сотрудников клиентов;
- комплексная подготовка к аттестации информационных систем. Softman Group проводит аудит текущей ИТ-инфраструктуры, помогает выявить и устранить несоответствия требованиям белорусского законодательства и стандартам ОАЦ при Президенте Республики Беларусь. Также компания оказывает содействие в подготовке пакета документов, необходимых для прохождения процедуры аттестации системы защиты персональных данных при использовании облачных сервисов Yandex Cloud;
- постоянная поддержка и обучение персонала. Обеспечивает техническую поддержку на всех этапах эксплуатации облачных решений, включая регулярные обновления и мониторинг безопасности. Проводит обучение сотрудников клиентов по работе с сервисами Yandex Cloud и особенностям защиты персональных данных в облаке, что помогает поддерживать высокий уровень информационной безопасности в компании".
Рекомендации для белорусских компаний
- Проверяйте облачного провайдера. Запрашивайте подтверждения об аттестации, сертификатах и реализованных мерах безопасности.
- Заключайте грамотные договоры. Включайте обязательные пункты о защите ПД, ответственности и порядке реагирования на инциденты.
- Фиксируйте результаты проверок. Документируйте все этапы выбора и аудита провайдера.
- Обеспечивайте локализацию. Контролируйте хранение критически важных данных в Беларуси.
- Ведите реестр уполномоченных лиц и регулярно обновляйте политику обработки персональных данных.
- Следите за изменениями в законодательстве и требованиями ОАЦ.
- Обучайте сотрудников. Регулярно проводите тренинги по информационной безопасности и внутреннему контролю.
Безопасность персональных данных — это совместная ответственность бизнеса и провайдера. Помните, что защита персональных данных — не просто юридическая обязанность, а основа доверия клиентов и партнеров. Белорусским компаниям важно осознанно подходить к выбору облачных провайдеров и выстраивать прозрачные отношения с ними.
Источник: Про бизнес