Интервью

Экспертные оценки

Вакансии

Интервью

Станут ли владельцы российских ЦОДов богаче и счастливее после 1 сентября

14 сентября 2015 г. | Емельянников Михаил

Статья опубликована в журнале "ЦОДы.РФ" №12, 2015 г.

Немного истории

Первого сентября вступили в силу поправки в российское законодательство, вносимые самым обсуждаемым в этом, да и в прошлом году законом – 242-ФЗ с привычно-длинным названием «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». Закон с легкой подачи СМИ получил звонкое название «О территориальности (или локализации) баз персональных данных россиян», про него написаны террабайты публикаций и мегабайты разъяснений, в том числе от уполномоченных и совершенно не уполномоченных органов власти и должностных лиц, и тем не менее ясности, как жить дальше, так и не наступило.

По-прежнему нет нормативных правовых актов и, соответственно, однозначных ответов на вопросы, что переносить, а что можно оставить за рубежом; как организуется обработка персональных данных в соответствии с новыми требованиями; допустима ли и если да, то когда и в каких целях трансграничная передача; законно ли использование прикладного программного обеспечения иностранных вендоров, территориально расположенного за рубежом, ЦОДов и облачных инфраструктур зарубежных провайдеров, если их технические средства находятся вне территории России.

Появился новый жанр – разъяснения. В последнее время произошло два очень важных события: создан интернет-ресурс РАЭК, РОЦИТ и Роскомнадзора «ПД-ИНФО.РФ», посвященный «проблеме 242». На сайте есть некая обобщенная разъясняющая информация о новых нормах закона и их трактовке, авторство которой не указано, и вопросы-ответы, опять-таки, без указания на то, кем поставлены вопросы и кем конкретно подготовлены ответы. Из текстов ответов можно сделать вывод, что они сформулированы в Роскомнадзоре, однако прямого указания на это нет.

На официальном сайте Минкомсвязи появился специальный ресурс «Обработка и хранение персональных данных в РФ. Изменения с 1 сентября 2015 года», на которым описывается общая проблема, приводятся разъяснения министерства с пояснительной запиской и даются ответы на наиболее часто возникающие вопросы. Это является весьма значимым событием, поскольку именно Минкомсвязи, в соответствии с положением о нем, является ведомством, отвечающим за выработку государственной политики и государственное регулирование в сфере обработки персональных данных, и, значит, его мнение по этой проблематике должно быть решающим.

Все даваемые разъяснения, несмотря на их неофициальный правовой статус, представляются крайне важными, потому что в данной ситуации решающее значение имеет даже не то, что написано в законе и какой смысл закладывали в него авторы, а то, как он будет применяться, на каких позициях будут стоять надзорные органы. В то же время полной ясности эти разъяснения не вносят, оставляя весьма широкий диапазон для возможных подходов к оценке стратегии работы с персональными данными, выбранной конкретным оператором. Поэтому вырабатывать свою линию поведения после 1 сентября каждому оператору придется самостоятельно, с учетом мнений регуляторов и надзора, конечно, но все равно на свой страх и риск.

Давайте попробуем разобраться и мы, что написано в законе, кого изменения коснутся непосредственно, и что можно в этой ситуации предпринять для снижения государственных и регуляторных рисков.

Какие изменения внесены законом 242-ФЗ

Обычно, когда обсуждается ситуация после вступления в силу с 1 сентября 2015 года изменений, комментаторы зацикливаются на месте расположения баз персональных данных россиян и допустимости их трансграничной передачи и этим ограничиваются. На самом деле закон 242-ФЗ корректирует положения трех федеральных законов.

Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» дополняется новой статьей 15.5, определяющей порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных. Вносятся изменения в статью 16, определяющую обязанности обладателя информации и оператора информационной системы в части обеспечения нахождения на территории Российской Федерации баз персональных данных в случаях, установленных законом.

Самое обсуждаемое изменение – в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» статья 18 дополняется частью 5, обязывающей оператора при сборе персональных данных, в том числе посредством сети интернет, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законом. Дополняется содержание уведомления в Роскомнадзор об обработке персональных данных, и (очень важно!) Роскомнадзор наделяется правом ограничивать доступ к информации, обрабатываемой с нарушением законодательства о персональных данных. Обратите внимание, не к интернет-сайтам, а к информации в целом. И, если в законе 149-ФЗ в статье о создаваемом реестре нарушителей речь фактически идет о сайтах в интернете (доменные имена, указатели страниц сайтов, сетевые адреса), то в законе о персональных данных заложены гораздо более широкие права Роскомнадзора: как предусмотрено проектом постановления Правительства о контроле, вплоть до требования прекратить обработку персональных данных с нарушениями, то есть приостановить свою деятельность, о чем почему-то пишут очень мало или не пишут вообще.

Наконец, контроль и надзор за обработкой персональных данных выводится из-под регулирования Федеральным законом № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». На эту тему можно и нужно писать отдельную статью, но, если коротко, ландшафт надзорной деятельности в этой сфере меняется фундаментально – от возможной отмены обязательности согласования проверок с прокуратурой до значительного расширения оснований для внеплановых проверок. Соответствующее постановление Правительства на момент написания статьи не принято, но в его проект, выложенный и обсуждавшийся на Федеральном портале проектов нормативных правовых актов, были заложены именно такие механизмы.

Фактически данные изменения означают следующее:

  • вводится механизм блокировки доступа к сайтам в сети интернет, принадлежащим лицам, признанным российским судом нарушителями законодательства о персональных данных;
  • вводится требование об обязательности обработки персональных данных российских граждан в период их сбора и актуализации с использованием баз данных на территории Российской Федерации;
  • надзор за соблюдением законодательства, регламентирующего порядок обработки персональных данных, выводится из-под регулирования законом № 294-ФЗ и будет определяться отдельным постановлением Правительства, при этом нет оснований полагать, что эта норма касается контроля и надзора за защитой и обеспечением безопасности персональных данных, поскольку эти виды деятельности законом «О персональных данных» не отнесены к видам или способам их обработки.

Наибольший интерес представляют поправки в закон «О персональных данных», касающиеся размещения баз персональных данных российских граждан в период их сбора на территории Российской Федерации. Анализируя содержание новой части 5 статьи 18 закона, необходимо отметить следующее:

  • ограничения на размещение баз персональных данных вводятся только на период сбора персональных данных и не затрагивают их последующей обработки после завершения сбора, кроме ряда конкретных способов обработки, и не меняют порядок трансграничной передачи персональных данных;
  • ограничения касаются только персональных данных граждан Российской Федерации и не касаются персональных данных граждан других государств и лиц без гражданства;
  • ограничения вводятся только на 9 из 18 способов обработки, установленных частью 3 статьи 3 закона «О персональных данных» (сбор, запись, систематизация, накопление, хранение, уточнение, обновление, изменение, извлечение) и не требуют обязательного расположения баз данных на территории России при выполнении таких действий с персональными данными, как использование, передача, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение.

Последний вывод означает, что после завершения сбора персональных данных они должны находиться в базах данных (храниться) на территории Российской Федерации, при этом изменения в данные (в том числе уточнения и обновления) должны вноситься также в базы на территории Российской Федерации. Однако указанное требование не накладывает никаких ограничений на передачу персональных данных после их сбора и записи в базу данных на территории России, в том числе – на трансграничную передачу, предоставление к ним доступа с территории иных государств, а также на использование персональных данных граждан Российской Федерации после их трансграничной передачи, в том числе – на использование данных из информационных систем, находящихся за пределами Российской Федерации. Слова «только» в требовании об использовании баз данных, размещенных на территории Российской Федерации, в законе нет.

Часто забывают еще об одном законодательном изменении, вступившем в силу 1 июля этого года. В соответствии с введенной в статью 13 закона «Об информации, информационных технологиях и о защите информации» новой частью 2.1, технические средства информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями, государственными и муниципальными учреждениями должны размещаться на территории Российской Федерации. Касается это и государственных и муниципальных информационных систем персональных данных.

Кого изменения в законе затронут непосредственно

Всех операторов, на деятельности которых скажутся законодательные нововведения, можно разделить на несколько групп.

Органы власти всех уровней, государственные и муниципальные учреждения и предприятия. Им зарубежные базы персональных данных строго противопоказаны. И это правильно. Недавний комментарий пресс-секретаря Президента России об использовании в Министерстве обороны публичных почтовых сервисов, в том числе, иностранных провайдеров, знающих людей просто ввергает в шок.

Российские компании, хостящие свои системы в зарубежных дата-центрах или облачных инфраструктурах по экономическим (ни для кого не секрет, что, как ни парадоксально, хостинг где-нибудь в Германии или Латвии дешевле, чем в России) или иным соображениям, в том числе – качества предоставляемых сервисов. Надежды на то, что облачные провайдеры разместят свои технические средства в России, мало. Чтобы соответствовать закону, российским операторам придется вернуть информационные системы в Россию (а миграция – дело очень непростое и недешевое) или создать на территории России некие буферные базы данных, где будет происходить первичная фиксация и актуализация персональных данных. По логике, такой базой может быть файлохранилище, сетевой каталог или папка, например, с файлами формата Excel или Word, но и здесь все непросто. Неоднократно представителями надзорного ведомства высказывалась позиция, что трансграничная передача должна быть обусловлена целями обработки. Т.е. передавать данные, предварительно зафиксированные на территории России, для бронирования гостиницы в Таиланде можно, а вот хостить сервер электронных дневников школьников в Германии нельзя, потому как никаких оснований для этого нет.

Российские компании, использующие приложения зарубежных провайдеров по схеме SaaS. В первую очередь речь идет о системах, аналогов которых в России нет или чьи функциональные возможности наиболее полно соответствуют требованиям оператора. У них тоже есть несколько вариантов поведения – от миграции (если в России будут найдены эквивалентные по функциональности аналоги) и создания буферных баз, как описывалось выше, до размещения в зарубежных системах обезличенных данных с хранением в России баз идентификаторов, которые заменяют фамилии, имена и отчества на условные индексы, и «сборе» отчетов из СУБД или форм с персонификацией записей только на компьютерах, находящихся в России. Здесь инициаторы обсуждаемых изменений попали, на мой взгляд, в некую законодательную ловушку. Данные без фамилии, имени и отчества, т.е. обезличенные, не позволяют соотнести их с конкретным субъектом, т.е. не являются персональными, даже если в них есть номер паспорта, адрес места жительства и номер телефона, поскольку легальных путей деанонимизации таких данных в нашей стране нет. Да и часть 7 статьи 5 закона «О персональных данных» фактически приравнивает обезличивание к уничтожению, допуская по выбору оператора любое из этих действий после достижения цели обработки персональных данных. Этим уже воспользовались некоторые реселлеры зарубежного «софта по запросу» и разработали плагины, обеспечивающие обезличивание «на лету» с хранением баз идентификаторов как у заказчика, так и у реселлера – по желанию.

Зарубежные, международные, транснациональные компании, имеющие дочерние компании или представительства в России. В соответствии с их корпоративной политикой, они используют, как правило, централизованные информационные системы, такие, как ERP, CRM, кадрового и бухгалтерского учета и т.п., дислоцирующиеся где-то за рубежом. Для них актуальны три варианта решения проблемы: построение сегментированной системы, часть которой с персональными данными россиян располагается в России, что может оказаться очень сложным и дорогим, локализация систем в России, что иногда просто невозможно, поскольку рушит всю бизнес-модель обработки данных, либо опять-таки, использование буферных баз данных с последующей их трансграничной передачей.

Зарубежные компании, не присутствующие в России, чьими услугами пользуются россияне – социальные сети, крупнейшие интернет-магазины, системы бронирования всего, чего угодно. Казалось бы, они находятся вне российской юрисдикции, и какое дело им до российских законов? Но вспомним про механизм блокирования доступа к ресурсам в сети интернет, которые обрабатывают данные россиян с нарушением закона, о котором я писал выше. Кстати, блокировка по решению суда используется уже сегодня, до вступления в силу изменений. Таким компаниям надо будет для себя решить проблему – подчиниться закону и перенести часть ресурсов в Россию или принять риск возможного прекращения бизнеса в нашей стране. Некоторые из таких компаний уже заявили о бронировании стоек в российских ЦОДах, но ни одна, насколько известно автору, не раскрыла технического решения, которое будет использоваться для выполнения закона.

И, наконец, еще одна группа – все российские операторы персональных данных, в том числе даже не помышлявшие о зарубежном хостинге или иностранных приложениях по схеме SaaS. Для них существенно изменятся правила проверок, и новые условия, похоже, будут очень некомфортными.

Придут ли все эти операторы в российские ЦОДы

Ответ, казалось бы, очевиден – а куда им деваться? На рынке огромное количество предложений ЦОДов и облачных провайдеров по размещению у них систем «в полном соответствии с требованиями закона о персональных данных».

Но не все так просто. В информационных системах персональных данных необходимо обеспечить безопасность и принять с этой целью технические меры защиты. Оператор должен определить тип актуальных угроз персональных данных, сам набор конкретных актуальных угроз (его обычно называют моделью, хотя требования о создании именно модели угроз ни в законе, ни в нормативных правовых актах нет), и, наконец, обеспечить нейтрализацию всех актуальных угроз с использованием средств защиты информации (СЗИ), прошедших процедуру оценки соответствия (читайте – сертификацию в системах ФСБ России и ФСТЭК России), причем не просто сертифицированных, а соответствующих требованиям к определенному классу защищенности.

Когда речь идет о размещении информационной системы в ЦОДе или облачной инфраструктуре, в том числе принадлежащих российским провайдерам, очевидно, что часть мер безопасности должна быть реализована их владельцем, например, таких как межсетевое экранирование, предоставление возможности шифрования трафика между ЦОДом и заказчиком, обнаружение и предупреждение вторжений из сети интернет и предотвращение несанкционированного доступа, в том числе в самом ЦОДе. Последняя задача весьма усложняется, если речь идет об использовании заказчиком в ЦОДе виртуальной инфраструктуры.

Все эти меры должны удовлетворять требования, предъявляемые к соответствующему уровню защищенности. Учитывая, что заказчик не знает о том, какие угрозы возникают в ЦОДе, а ответственность за безопасность данных лежит на нем, как операторе, необходимо в ЦОДе создать свою модель угроз с учетом того, какой уровень безопасности предполагается обеспечивать в ЦОДе (помним про сертификацию средств защиты!), описать принимаемые меры по нейтрализации этих угроз и дать возможность заказчику с этим ознакомиться. Поскольку владелец ЦОДа в этом случае обеспечивает безопасность персональных данных, он должен иметь лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации, а для предоставления шифрованного канала заказчику – еще и лицензию ФСБ России на работу с шифровальными средствами и их распространение.

Приглашая в ЦОД государственного заказчика, необходимо помнить о том, что все государственные и муниципальные информационные системы должны быть аттестованы, значит, необходимо аттестовать соответствующие сегменты ЦОДа как объекты информатизации, а, учитывая, что требования к аттестации определены документом 1994 года, подготовленным еще Гостехкомиссией России, сделать это будет весьма непросто – аттестация предполагает жесткую фиксацию всех технических и программных средств, а ведь речь идет об аренде мощностей и установке специализированного софта заказчика.

Наконец, все отношения между владельцем ЦОДа и заказчиком надо правильно урегулировать в договоре, обеспечив выполнение как требований к защите и разделение полномочий и обязанностей, так и наличие предусмотренных законом существенных условий договора поручения на обработку персональных данных.

Выводы не очень оптимистичные для владельцев ЦОДа. Прежде чем получить новых заказчиков, озабоченных выполнением требований законодательства о персональных данных, владельцам ЦОДов придется серьезно вложиться – и в техническую защищенность, и в персонал, и в разработку договоров и локальных актов. Пока же это понимают далеко не все. Помогая нашим клиентам, готовым мигрировать в российские ЦОДы, подобрать исполнителя, обеспечивающего выполнение законодательных требований при хостинге серверов и информационных систем персональных данных, мы часто сталкиваемся с некомпетентностью, а то и прямым обманом, когда, к примеру, вместо аттестата соответствия объекта информатизации требованиям безопасности нам показывают аттестат на защищенное помещение для ведения конфиденциальных переговоров или убеждают, что закон не требует сертификации (строго говоря – оценки соответствия) средств защиты информации.

Другой путь – ждать неразборчивого клиента, готового поверить на слово, что в ЦОДе все хорошо и уповать на то, что с проверкой к нему не придут. Но нетребовательных клиентов становится все меньше, а система проверок стремительно меняется, и количество обрабатываемых данных о гражданах становится одним из важнейших критериев выбора объекта для проведения надзорных мероприятий.

Михаил Емельянников,
управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры».

 

Консалтинговое агентство «Емельянников, Попова и партнеры» предлагает услуги профессиональных консультантов в области информационной безопасности. Уникальность предлагаемых услуг состоит в комплексном решении проблем на стыке правовых, организационных и технических мер, исходя из необходимости соблюдения законодательства и оптимизации затрат.

Для владельцев ЦОДов и провайдеров облачных услуг агентством выполняются работы по созданию нормативно-распорядительной документации, позволяющей реализовать требования законодательства к организации обработки персональных данных и иной информации ограниченного доступа при размещении информационных систем заказчиков в ЦОДах и облачных вычислительных инфраструктурах.

e-mail: info@mezp.ru

Тел.: +7 495 761-5865

Блог http://emeliyannikov.blogspot.com

Чтобы оставить свой отзыв, вам необходимо авторизоваться или зарегистрироваться

Комментариев: 0

Регистрация
Каталог ЦОД | Инженерия ЦОД | Клиентам ЦОД | Новости рынка ЦОД | Вендоры | Контакты | О проекте | Реклама
©2013-2024 гг. «AllDC.ru - Новости рынка ЦОД, материала по инженерным системам дата-центра(ЦОД), каталог ЦОД России, услуги collocation, dedicated, VPS»
Политика обработки данных | Пользовательское соглашение