Если вы разработчик облачной системы
Вы предоставляете свою облачную систему (сервис) в пользование своим клиентам. Пользователи могут хранить в ней персональные данные своих клиентов. В данном случае ваша задача - создать необходимую техническую защиту сервера и системы для соответствия требованиям определенного уровня защищенности ИСПДн. Т.е. вы должны заранее определиться, какие именно категории данных потенциально могут хранить в системе пользователи, в каком количестве, на основании Постановления №1119 определить уровень защищенности ИСПДн и выполнить требования регуляторов для этого уровня защищенности (на основании Приказа №21 ФСТЭК). Также вы можете изучить проект ГОСТа по информационной безопасности для облачных систем (Проект ГОСТ Р Защита информации. Требования по защите информации, обрабатываемой с использованием технологий "Облачных вычислений". Основные положения
http://docs.cntd.ru/document/1200102839), чтобы постараться сделать свою систему в соответствие с ним.
Обеспечив необходимую техническую безопасность, вы можете в договоре с пользователем или в пользовательском соглашении указать свои гарантии в части безопасности персональных данных, а также дать пользователю рекомендации, какие действия он должен произвести со своей стороны (брать согласия на обработку ПД со своих клиентов, выполнять требования 152-ФЗ "О персональных данных").
Кроме того, вы должны обеспечить в своей организации меры организационно-распорядительного характера, провести разъяснительную работу с сотрудниками и разработчиками, принять матрицу доступа, в которой, возможно, ограничить доступ администраторов или ряда разработчиков к персональным данным пользователей сервиса, тем самым уменьшив риски утечки информации.
Если вам требуется помощь в разработке документов по защите персональных данных - у нас есть такой опыт.
Если вы пользователь облачной системы
Первое, что вы должны понимать, если собираетесь обрабатывать ПД в облачной системе - это то, что база данных, находящаяся в облаке - ваша ИСПДн, а не разработчика сервиса. Оператором ее являетесь вы, а не разработчик. Поэтому вы отвечаете за безопасность ПД со своей стороны, и должны иметь гарантии разработчика относительно соответствия технической защищенности сервиса требованиям уровня защищенности, который вы определили для своей ИСПДн. Поэтому в договоре на использование облачного сервиса обязательно должен быть пункт о таких гарантиях разработчика.
Как и в других случаях, у вас должно быть согласие вашего клиента на обработку его персональных данных, а также вы должны соблюдать все прочие рекомендации касательно допуска своих сотрудников к работе с персональными данными (в т.ч в используемой вами облачной системе), которые регламентируются принятыми организационно-распорядительными документами. Если вам нужна помощь в разработке документов по защите персональных данных, обратите внимание на предлагаемые нами готовые шаблоны документов.
Также воспользуйтесь нашей методичкой по заполнению уведомления в Роскомнадзор для пользователей облачных сервисов.
Все готовые пакеты содержат обезличенные документы, созданные для реальных заказчиков.
Документы обновляются ежегодно по итогам проверок наших клиентов.
СПИСОК ДОКУМЕНТОВ ПО ПДН
1. Приказ об организации работ по защите персональных данных.
2. План мероприятий по обеспечению защиты персональных данных.
3. Перечень ИСПДн.
4. Перечень персональных данных.
5. Акты определения уровня защищенности ИСПДн
6. Акт об оценке вреда субъектам ПДн.
7. Положение об обработке ПДн (общее, работников, других субъектов)).
8. Политика в отношении обработки ПДн.
9. Приказ о списке лиц, допущенных к ПДн.
10. Приказы о назначении ответственных.
11. Инструкция ответственного за обеспечение безопасности ПДн в информационных системах.
12. Инструкция ответственного за организацию обработки ПДн.
13. Инструкция пользователя ИСПДн.
14. Инструкция администратора защиты.
15. Положение об организации и проведении работ по обеспечению безопасности персональных данных (включает правила парольной политики, антивирусной защиты, созданию резервных копий и др. технические и организационные меры защиты ПДн).
16. Процедура обработки обращений субъектов ПДн.
17. Приказ об утверждении мест хранения материальных носителей.
18. Положение о порядке обработки ПДн без использования средств автоматизации.
19. Типовые формы документов, используемые для организации обработки персональных данных
20. Уведомление в РКН об обработке ПДн
21. Журналы
22. Пункты в договоры между оператором и пользователем
23. Рекомендации для пользователей облачных ИС.
