01
01
Разве данные в облаке нужно защищать по-особенному?
Принципиальных отличий в подходе к защите данных в облаке и в собственном дата-центре нет. В основе облачных сервисов все равно физическое оборудование — те же процессоры, память и хранилища. Угрозы, которым подвергается это оборудование, самые обычные. Кибератаки ведутся на любые системы — в облаке они или в подсобке. Данные могут быть повреждены и даже безвозвратно потеряны. Защищать их нужно в любом случае. Тем не менее есть нюансы, о которых стоит знать.
02
02
Все же где безопаснее?
Степень защищенности ваших данных напрямую зависит от компетентности специалистов по ИБ и обновлений оборудования. Методики и инструменты противодействия угрозам постоянно развиваются, впрочем, как приемы взлома данных и способы атак на инфраструктуру компаний. Поддержание ИБ-решений в актуальном состоянии обходится недешево, а облачный провайдер может позволить себе инвестировать в лучшие решения на рынке и окупать их за счет масштаба. Платформа, на базе которой работают облака SberCloud, соответствует стандарту безопасности данных платежных карт. Это значит, что ваши данные защищены так же надежно, как деньги в банке.
03
03
С хакерами понятно. А если у провайдера, например, авария?
Существует международная шкала оценки надежности дата-центров: крупнейшие ЦОДы облачных провайдеров обычно имеют уровень Tier II с допустимым простоем оборудования — не более нескольких минут в году. Но даже разовое нештатное отключение может привести к повреждению данных. Чтобы этого избежать, используют резервирование: создают копии данных на другом сервере.
Резервирование происходит автоматически, и поскольку вкладываться в еще один физический сервер необходимости нет, операционные расходы могут быть снижены на 20 — 80%.
04
04
А что насчет законодательства о хранении персональных данных?
152-ФЗ «О персональных данных» регламентирует, как провайдеры должны обращаться с персональными данными российских граждан. В нем множество требований, но главное условие состоит в том, что такие данные должны обязательно храниться на серверах на территории страны, будь то реальных или облачных. Поэтому крупные провайдеры услуг, как SberCloud, имеют ЦОДы в России, которые соответствуют всем требованиям законодательства.
05
05
Кто несет ответственность за данные?
Ее разделяют между собой все стороны. Компания, которая использует персональные данные сотрудников и клиентов, по закону должна принимать меры для защиты данных, а еще обрабатывать и хранить их таким образом, чтобы они не стали доступны третьим лицам. За технические решения, которые для этого требуются, отвечает облачный провайдер. Необходимо учитывать, что к разным типам данных закон применяет разные стандарты защиты, всего их четыре.
06
06
Что это за уровни?
Документом, определяющим уровни защиты данных, является 21-й приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК). В нем описаны требования, соответствующие каждому. Самый сложный, первый, касается работы специальных систем, в первую очередь электронного правительства. Второй уровень — биометрические данные, третий — общедоступные, четвертый — все прочие. Часть этих требований соблюдается на стороне компании, а другая — провайдером облачных услуг. Всего в приложении к приказу 109 мер, и для каждого уровня отмечены обязательные.
07
07
Можно на примере?
Даже если вы не собираете биометрию или паспортные данные, какая-то информация о клиентах все равно хранится в системах компании: как минимум это имена и данные заказов. Этот уровень соответствует минимальным требованиям, то есть уровню 4. Кстати, к персональным данным относится телефон и адрес электронной почты. А вот сбор фотографий клиентов уже относится к биометрии, и это второй уровень защиты. Поскольку специалисты провайдера разбираются в этих тонкостях и следят за законами, которые могут быть уточнены, в этом случае лучше довериться компетенции провайдера.
Поскольку специалисты провайдера разбираются в этих тонкостях и следят за законами, которые могут быть уточнены, в этом случае лучше довериться компетенции провайдера.
08
08
Получается, в облаке безопаснее?
Облако надежнее сервера on-premise по ряду причин. Бизнес облачных провайдеров построен на том, чтобы свести на нет вероятность аварий и их последствия для клиентов. Защита данных на стороне провайдера серьезнее, а резервное копирование на виртуальных серверах обходится намного дешевле, чем на собственных физических. Наконец, российские провайдеры знают тонкости законодательства о хранении персональных данных — проще доверить соблюдение законов им, хотя бы частично. Когда нужно лечить зубы, мы ведь не занимаемся самолечением, а идем к специалисту. С данными примерно то же.