10 мая президент Владимир Путин утвердил «Стратегию развития информационного общества в РФ» на период с 2017 по 2030 год. В документе был прописан план по импортозамещению, согласно которому необходимо заменить иностранное программное обеспечение и электронные базы на российские аналоги, а также обеспечить использование отечественных средств шифрования при электронном взаимодействии федеральных органов власти.
/ фото Charles Dyer CC
Согласно обозначенной стратегии, необходимо усовершенствовать механизмы ограничения доступа к информации, распространение которой запрещено в РФ законом. Документ также гласит, что предстоит усовершенствовать и механизмы законодательного регулирования деятельности СМИ и источников информации, которые по многим признакам могут быть отнесены к таковым — это социальные сети, новостные агрегаторы, мессенджеры и интернет-ТВ.
Все это связано с законом об информации и законом о хранении персональных данных (ПДн). Они обязывают площадки уведомлять Роскомнадзор о начале своей деятельности, взять на себя ответственность за хранение персональных данных граждан Российской Федерации, а также организовать и настроить подключение к оборудованию СОРМ (система технических средств для обеспечения функций оперативно-розыскных мероприятий), предоставляя данные, необходимые для внесения в реестр организаторов распространения информации (ОРИ).
Участники этого реестра обязаны хранить данные о действиях пользователей и передавать их по требованию госструктур и специальных служб. При этом по закону Роскомнадзор обязан блокировать сайты компаний, отказавшихся предоставить информацию, необходимую для внесения в реестр.
Например, в середине апреля федеральная служба заблокировала сайты и серверы мобильной рации Zello. Также в начале мая был ограничен доступ к сайтам и серверам мессенджеров Line, Imo, Vchat и BlackBerry Messenger. А 4 мая Роскомнадзор заблокировал крупный китайский сервис WeChat, однако позднее ведомство все же отменило блокировку — вопрос с данными был урегулирован.
Согласно нынешнему законодательству, организаторы распространения информации обязаны хранить метаданные обо всех действиях участников сервиса в течение полугода. При этом с июля 2018 года, когда вступит в силу новое положение «пакета Яровой», компаниям предстоит держать на своих серверах сведения о переданных за год сообщениях (как голосовых, так текстовых и мультимедийных).
Все это является своеобразным следствием закона «О персональных данных», который серьезно ужесточил требования ко всем частным и государственным компаниям и организациям, а также физическим лицам, хранящим, собирающим, передающим или обрабатывающим персональные данные. При этом задача по защите информации легла на плечи организаций, обрабатывающих эти персональные данные.
Под обработкой персональных данных понимается любая операция, действие, совокупность действий, совершаемых с использованием или без использования средств автоматизации, куда входит сбор, запись, систематизация, хранение, изменение, использование, распространение, блокирование, удаление, уничтожение персональных данных.
Согласно статье 18.1 ФЗ-152, от операторов (под определение «оператора» попадают государственные и муниципальные органы, а также юридические или физические лица, осуществляющие обработку ПДн) персональных данных требуется выполнить ряд организационных, правовых и технических мер. Во-первых, назначить ответственное лицо для организации обработки персональных данных. Во-вторых, осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям федерального закона и принятым в соответствии с ним нормативно-правовым актам.
В-третьих, производить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего федерального закона, а также ознакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных. И это еще не полный список требований (с полным списком вы можете ознакомиться здесь).
Если организация не исполняет требования закона «О персональных данных», то она может столкнуться со следующими рисками: гражданские иски со стороны клиентов или работников, приостановление или прекращение обработки ПДн в организации, привлечение организации к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности, приостановление действия или аннулирование лицензий на основной вид деятельности организации, репутационные риски и риски недобросовестной конкуренции.
Чтобы оказаться чистыми перед законом, у компаний есть несколько путей. Первый из них — самостоятельно организовать защиту персональных данных с привлечением стороннего юридического консалтинга или без такового. Такой вариант развития событий приемлем, так как своя серверная или ЦОД обеспечивают четкий контроль доступа к оборудованию, обрабатывающему персональные данные. Все это позволяет ограничить потенциальную утечку информации областью защищенных и недоступных извне машин. Также своя инфраструктура позволяет легко устанавливать дополнительные средства мониторинга и защиты.
Однако у этого способа есть недостатки. Он достаточно сложен для реализации и бывает затратен, поскольку для этого приходится приобретать дорогостоящее оборудование, настраивать и поддерживать инфраструктуру. Кроме того, далеко не все компании способны обеспечить соответствующий уровень надежности и защищенности персональных данных пользователей.
В качестве альтернативного варианта самостоятельной развертке инфраструктуры — так как самостоятельно выполнить все требования ФЗ-152 достаточно сложно — оператор персональных данных может привлечь на договорной основе стороннюю организацию, которая будет обеспечивать как организационные, так и технические меры по защите данных. Речь идет о так называемом облачном хостинге — услуге, которую предлагают многие IaaS-провайдеры (в том числе компания «ИТ-ГРАД») — когда клиент в рамках модели IaaS арендует инфраструктуру с полным набором необходимых сертифицированных средств защиты информации.
Схема инфраструктуры «ИТ-ГРАД»
В этом случае клиенты поставщика избавляются от необходимости аттестации собственной информационной системы, от затрат на создание и владение защищенной ИТ-инфраструктурой, от юридической ответственности. Клиенты дополнительно получают защищенный хостинг с использованием сертифицированного оборудования мировых производителей «железа» (NetApp, Cisco, IBM и др.), а также применение программно-аппаратного комплекса шифрования.
Однако и здесь есть свои особенности, о которых нужно помнить. Клиенту, заключая договор с поставщиком услуги, следует внимательно ознакомиться со всеми предусмотренными в нем пунктами. Особое внимание стоит уделить вопросу разграничения прав доступа сотрудниками провайдера к данным, размещаемым в облаке.
Не стоит забывать и про соглашение об уровне услуг (SLA). Хостинг ПДн, как и любая другая услуга, предоставляемая в контексте оговоренных условий, должна сопровождаться соглашением об уровне оказываемых услуг. Поскольку целостность и доступность данных является важным аспектом, необходимо обсудить детали и выяснить, какую ответственность будет нести поставщик в случае невыполнения тех или иных условий.
Отметим, что в обоих случаях — при создании собственной инфраструктуры или её аренде — клиентам, которые хотят полностью выполнять требования законодательства по защите персональных данных и не иметь проблем с регулирующими органами, необходимо внимательно подходить к выбору хостинг-провайдера или консультационной организации. Чтобы не столкнуться с недобросовестными компаниями, которые уверяют, что способны провести аудит, или же привести информационную структуру в полное соответствие с законом, но обещаниям своим не следуют.
P.S. Подборка материалов по теме из Первого блога о корпоративном IaaS:
/ фото Charles Dyer CCСогласно обозначенной стратегии, необходимо усовершенствовать механизмы ограничения доступа к информации, распространение которой запрещено в РФ законом. Документ также гласит, что предстоит усовершенствовать и механизмы законодательного регулирования деятельности СМИ и источников информации, которые по многим признакам могут быть отнесены к таковым — это социальные сети, новостные агрегаторы, мессенджеры и интернет-ТВ.
Все это связано с законом об информации и законом о хранении персональных данных (ПДн). Они обязывают площадки уведомлять Роскомнадзор о начале своей деятельности, взять на себя ответственность за хранение персональных данных граждан Российской Федерации, а также организовать и настроить подключение к оборудованию СОРМ (система технических средств для обеспечения функций оперативно-розыскных мероприятий), предоставляя данные, необходимые для внесения в реестр организаторов распространения информации (ОРИ).
Участники этого реестра обязаны хранить данные о действиях пользователей и передавать их по требованию госструктур и специальных служб. При этом по закону Роскомнадзор обязан блокировать сайты компаний, отказавшихся предоставить информацию, необходимую для внесения в реестр.
Например, в середине апреля федеральная служба заблокировала сайты и серверы мобильной рации Zello. Также в начале мая был ограничен доступ к сайтам и серверам мессенджеров Line, Imo, Vchat и BlackBerry Messenger. А 4 мая Роскомнадзор заблокировал крупный китайский сервис WeChat, однако позднее ведомство все же отменило блокировку — вопрос с данными был урегулирован.
Согласно нынешнему законодательству, организаторы распространения информации обязаны хранить метаданные обо всех действиях участников сервиса в течение полугода. При этом с июля 2018 года, когда вступит в силу новое положение «пакета Яровой», компаниям предстоит держать на своих серверах сведения о переданных за год сообщениях (как голосовых, так текстовых и мультимедийных).
Защиту персональным данным
Все это является своеобразным следствием закона «О персональных данных», который серьезно ужесточил требования ко всем частным и государственным компаниям и организациям, а также физическим лицам, хранящим, собирающим, передающим или обрабатывающим персональные данные. При этом задача по защите информации легла на плечи организаций, обрабатывающих эти персональные данные.
Под обработкой персональных данных понимается любая операция, действие, совокупность действий, совершаемых с использованием или без использования средств автоматизации, куда входит сбор, запись, систематизация, хранение, изменение, использование, распространение, блокирование, удаление, уничтожение персональных данных.
Согласно статье 18.1 ФЗ-152, от операторов (под определение «оператора» попадают государственные и муниципальные органы, а также юридические или физические лица, осуществляющие обработку ПДн) персональных данных требуется выполнить ряд организационных, правовых и технических мер. Во-первых, назначить ответственное лицо для организации обработки персональных данных. Во-вторых, осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям федерального закона и принятым в соответствии с ним нормативно-правовым актам.
В-третьих, производить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего федерального закона, а также ознакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных. И это еще не полный список требований (с полным списком вы можете ознакомиться здесь).
Если организация не исполняет требования закона «О персональных данных», то она может столкнуться со следующими рисками: гражданские иски со стороны клиентов или работников, приостановление или прекращение обработки ПДн в организации, привлечение организации к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности, приостановление действия или аннулирование лицензий на основной вид деятельности организации, репутационные риски и риски недобросовестной конкуренции.
Чтобы оказаться чистыми перед законом, у компаний есть несколько путей. Первый из них — самостоятельно организовать защиту персональных данных с привлечением стороннего юридического консалтинга или без такового. Такой вариант развития событий приемлем, так как своя серверная или ЦОД обеспечивают четкий контроль доступа к оборудованию, обрабатывающему персональные данные. Все это позволяет ограничить потенциальную утечку информации областью защищенных и недоступных извне машин. Также своя инфраструктура позволяет легко устанавливать дополнительные средства мониторинга и защиты.
Однако у этого способа есть недостатки. Он достаточно сложен для реализации и бывает затратен, поскольку для этого приходится приобретать дорогостоящее оборудование, настраивать и поддерживать инфраструктуру. Кроме того, далеко не все компании способны обеспечить соответствующий уровень надежности и защищенности персональных данных пользователей.
В качестве альтернативного варианта самостоятельной развертке инфраструктуры — так как самостоятельно выполнить все требования ФЗ-152 достаточно сложно — оператор персональных данных может привлечь на договорной основе стороннюю организацию, которая будет обеспечивать как организационные, так и технические меры по защите данных. Речь идет о так называемом облачном хостинге — услуге, которую предлагают многие IaaS-провайдеры (в том числе компания «ИТ-ГРАД») — когда клиент в рамках модели IaaS арендует инфраструктуру с полным набором необходимых сертифицированных средств защиты информации.
Схема инфраструктуры «ИТ-ГРАД»В этом случае клиенты поставщика избавляются от необходимости аттестации собственной информационной системы, от затрат на создание и владение защищенной ИТ-инфраструктурой, от юридической ответственности. Клиенты дополнительно получают защищенный хостинг с использованием сертифицированного оборудования мировых производителей «железа» (NetApp, Cisco, IBM и др.), а также применение программно-аппаратного комплекса шифрования.
Однако и здесь есть свои особенности, о которых нужно помнить. Клиенту, заключая договор с поставщиком услуги, следует внимательно ознакомиться со всеми предусмотренными в нем пунктами. Особое внимание стоит уделить вопросу разграничения прав доступа сотрудниками провайдера к данным, размещаемым в облаке.
Не стоит забывать и про соглашение об уровне услуг (SLA). Хостинг ПДн, как и любая другая услуга, предоставляемая в контексте оговоренных условий, должна сопровождаться соглашением об уровне оказываемых услуг. Поскольку целостность и доступность данных является важным аспектом, необходимо обсудить детали и выяснить, какую ответственность будет нести поставщик в случае невыполнения тех или иных условий.
Отметим, что в обоих случаях — при создании собственной инфраструктуры или её аренде — клиентам, которые хотят полностью выполнять требования законодательства по защите персональных данных и не иметь проблем с регулирующими органами, необходимо внимательно подходить к выбору хостинг-провайдера или консультационной организации. Чтобы не столкнуться с недобросовестными компаниями, которые уверяют, что способны провести аудит, или же привести информационную структуру в полное соответствие с законом, но обещаниям своим не следуют.
P.S. Подборка материалов по теме из Первого блога о корпоративном IaaS:
Поделиться с друзьями
Комментарии (8)
sneka
16.05.2017 17:59А вот расскажите на каком таком основании одно юрлицо (оператор ПД) получает право передавать сами персональные данные стороннему юрлицу лицу (владельцу облака) без разрешения владельца самих персональных данных?
andrewzhuk
16.05.2017 20:15Лол. Элементарно. Политика конфиденциальности (когда вы галочку ставите и соглашаетесь с чем-то). Посмотрите подобные соглашения у топовых интернет-магазинов, например.
sneka
16.05.2017 21:45-1Я госорган точнее МФЦ у меня нет галочки ;) А топовые интернет магазины могут на это все класть с прибором, поскольку у нас запрещено кошмарить бизнес. А вот у меня Роскомнадзор как у себя дома.
Я так понимаю в реальных проверках вы никогда не участвовали?
Loreweil
18.05.2017 08:07МФЦ имеют право собирать и передавть данные без галочек и согласия, потому что 210-ФЗ. Запрещено кошмарить бизнес у нас только в телевизоре. Кошмарят будь здоров.
Loreweil
18.05.2017 08:06без разрешения (согласия) — не имеет, если иное не оговорено законодательством
VolCh
17.05.2017 07:55Вот как СОРМ соотносится с защитой персональных данных?! Они же прямо противоположны по назначению. Операторы, внедряющие СОРМ, следующие "закону Яровой", консультанты, подрядчики и т. п. прямо заявляют своим пользователям "ваши персональные данные мы защищать не будем, а, более того, сделаем всё, чтобы их получить, систематизировать и анализировать было как можно проще. Был бы человек хороший, а статья найдётся".
Пока государство не полезло регулировать Интернет не видел никакой необходимости лично использовать средства защиты информации, прежде всего средства обеспечения анонимности. Не видел разницы между российскими операторами и зарубежными, оценивал их только по функциональности и удобству. Теперь вижу и буду оценивать по степени сотрудничества с российскими властями: меньше — лучше.
А в свете стратегии "развития" (де-факто не развития, а деградации в плане защиты свобод) даже решение СНБО Украины о санкциях против популярных в Украине российских ИТ-компаний выглядит вполне разумным.
nckma
Почему-то такие, вроде бы толковые статьи, звучат как угроза: мол будете делать все сами, получите по закону.
it_man
Стараемся делиться опытом и своими возможностями. При этом любая компания может заняться этим вопросом и все сделать самостоятельно без каких-либо проблем. Вопрос в скорости реализации того или иного решения и его поддержке — кому как удобнее и выгоднее.