В последнее время часто поднимаются вопросы о возможности обработки и защиты персональных данных в «облаках» в соответствии с ФЗ №152 «О персональных данных». Всё это зачастую напоминает обсуждение мифов, поэтому рискну изложить свой взгляд на проблему защиты ИСПДн в облаках и попробую ответить на основные вопросы.
Примерный список вопросов таков:
- Можно ли, в принципе, размещать информационные системы персональных данных (ИСПДн) в «облаке» с учетом требований регулирующих органов по защите информации?
- Какими свойствами должно обладать «облако», чтобы его можно было использовать для построения информационных систем персональных данных (ИСПДн)?
- Что необходимо учесть оператору ПДн, решившему перенести свои информационные ресурсы в «облако»?
- Возможно ли аттестовать ИСПДн, размещенную в публичном «облаке»?
- Какие задачи по обеспечению ИБ возлагаются на облачного провайдера?
- Какие существуют гарантии того, что конкурент, размещенный в том же «облаке» по соседству, надежно отделен и не сможет атаковать, находясь внутри «облака»?
- От чего зависит ИСПДн какого класса можно построить в конкретном «облаке»?