Тема информационной безопасности продолжает быть актуальной — недавно в Москве на конференции «Защита персональных данных» обсуждали ФЗ №242 или как его называют «Закон о локализации персональных данных россиян на территории РФ». Суть его такова: с сентября 2015 года организациям-операторам ПДн, необходимо вести сбор и систематизацию персональных данных (далее – ПДн) россиян на территории РФ. А львиная доля поставщиков различных услуг — иностранцы, или хранят свои серверы заграницей, и российские пользователи, приобретая услуги таких поставщиков, передают свои данные за рубеж, где происходит не только их хранение, но и систематизация. Возникает вопрос — как клиентам продолжить пользоваться услугами зарубежных поставщиков, не нарушив стандарты обработки ПДн по российскому законодательству.
Ответа два: либо организовать защиту ПДн своими силами, либо перенести свои данные в действующий российский ДЦ, который имеет лицензии и сертификаты для соответствия требованиям ФЗ. Для огромного числа операторов ПДн (а их на территории РФ работает от 5 до 7 млн) вопрос злободневный. Введённый закон распространяется на все компании, которые ведут свою деятельность на территории РФ: как российские, так и иностранные. Несмотря на то, что в законе есть упоминание того, что эти операции должны осуществляться «с использованием баз данных, находящихся на территории Российской Федерации», а не ИСКЛЮЧИТЕЛЬНО на территории Российской Федерации, к 1 сентября 2015 года было подано более 5000 заявок от операторов ПДн на размещение своих информационных баз на территории РФ. В связи с вводом нового закона ряд крупных иностранных компаний открыли свои ДЦ на территории России.
В свете актуальности предмета нашего внимания расскажем о том, какое решение планирует внедрить наш ЦОД.
Защищённое облако ДЦ ИТ-парка – это выделенная инфраструктура, построенная с использованием средств, сертифицированных ФСТЭК и ФСБ. Оно соединено с инфраструктурой оператора ПДн по защищённым каналам связи. Таким образом, клиенты будут продолжать пользоваться услугами иностранных операторов, а их ПДн будут храниться в защищённом облаке российского ЦОДа – в нашем случае Дата-центра ИТ-парка — согласно требованиям ФЗ.
Подробнее о том, как это будет устроено. Защищённое облако состоит из следующих элементов:
• Отдельные физические серверы, коммутаторы и системы хранения;
• На данных серверах развёрнута среда виртуализации MS Hyper-V;
• Среда виртуализации защищается решением 5nine;
• Каналы связи защищены межсетевыми экранами Fortigate, VPN организован на оборудовании VIPNet.
Основными плюсами выбора ДЦ ИТ-парка для поставщиков услуг будут отсутствие затрат на создание и владение облачной инфраструктурой; соответствие требованиям ФЗ о ПДн и отсутствие затрат на техническую поддержку, которая осуществляется 24 часа в сутки.
Конечно, унифицированного решения, подходящего каждому заказчику, нет. У каждого поставщика инфраструктура построена по-своему, поэтому каждое решение по защите ПДн является индивидуальным и процесс его разработки занимает определённое время. В среднем процесс занимает от 2 до 6 месяцев в зависимости от сложности задачи:
1. Определение модели взаимодействия с оператором ПДн;
2. Оценка необходимых ресурсов;
3. Составление технического задания, организационно-распределительной документации;
4. Тестирование миграции.
Ну что ж, теперь подытожим — начнем с выводов менее приятных.
В связи с вводом закона у поставщиков услуг, хранящих свои данные на зарубежных серверах, появились дополнительные затраты. Плюс к этому сам процесс перевода данных является трудоёмким и достаточно длительным, его не всегда возможно осуществить без остановки сервисов.
Но есть и положительные моменты: при переводе своих данных в российский ЦОД у поставщика услуг будут отсутствовать затраты на создание и содержание облачной инфраструктуры, инфраструктура будет защищена в соответствии с российским законодательством.
Стоит отметить, что введение закона о Защите ПДн стало толчком для развития российских ЦОДов, поскольку для соответствия требованиям закона необходимо развитие инфраструктуры ЦОДов, новое оборудование, а решение новых нестандартных задач приводит к повышению квалификации кадрового состава ЦОДов, появлению новых рабочих мест. К плюсам можно отнести и то, что на деле действительно снизилось количество нарушений при обработке ПДн: в 2014 году более 80% операторов осуществили обработку ПДн с нарушениями, в 2015 – около 65%. Будем надеяться, что всё это выведет отрасль российских ЦОДов на новый, более высокий уровень.
Комментарии (20)
VolCh
18.11.2015 09:36Стоит отметить, что введение закона о Защите ПДн стало толчком для развития российских ЦОДов, поскольку для соответствия требованиям закона необходимо развитие инфраструктуры ЦОДов, новое оборудование, а решение новых нестандартных задач приводит к повышению квалификации кадрового состава ЦОДов, появлению новых рабочих мест.
Так вот кто эти законы лоббирует, а то всё ФСБ, да ФСБ… А если серьёзно, то есть ли где-то статистика или расчёты на сколько возрастают затраты операторов в пересчёте на одного клиента для организации сначала защиты, а теперь и локализации? Для разных масштабов клиентской базы.
К плюсам можно отнести и то, что на деле действительно снизилось количество нарушений при обработке ПДн: в 2014 году более 80% операторов осуществили обработку ПДн с нарушениями, в 2015 – около 65%.
Сомнительный плюс как по мне. Ввели требования чуть ли не с потолка, карательными мерами (или их обещаниями) добились их частичного выполнения, а толку-то?
ziart
18.11.2015 10:23Я все же останусь при своем мнении о том, что это будет толчком для развития технологий ЦОДов. Западные(иностранные) цоды хороши, они современны и эффективны. Но мы должны развивать альтернативу, мы должны развивать свои цоды. Иначе мы останемся в каменном веке.
Развитие цодов дадут толчок к развитию разработчков решений (например в коммюнити Openstack много российских разработчиков). Нужны будут новые обученные сотрудники — развитие образования. Нужны будут новые учебные заведения — развитие строительства. и т.д. цепочка.
Нужно смотреть на несколько шагов вперед. Например, Япония несколько десятилетий назад, делали копии иностранных авто. Наверняка были люди которые кричали «Да нахрена вы делаете японские тачки, есть ведь уже иностранные, они лучше блаблабла». В итоге их автопромышленность развилась и сейчас в авангарде.
Статистику про затраты трудно сказать. Зависит от объемов данных и сложности инфраструктуры. Это могут быть как и тысячи рублей, так и тысячи долларов.
Спасибо за коммент. Надеюсь помог. Готов пообщаться лично по почте.
demimurych
Поясните мне вот такой момент. Я обязан хранить персональные данный на серверах в пределах РФ, а запрещено ли мне хранить копии этих данных на серверах вне РФ?
ziart
Интересный вопрос! Закон, скорее всего, будет дополнен в ближайшие годы. Но пока вердикт такой: в рамках одной организации бывают много баз данных с персданными, нередко данные собираются и в бумажном виде с последующим занесением в электронную базу. Как следует из текста ч. 5 ст. 18 ФЗ «О персональных данных», обязанность оператора обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, считается исполненной, когда указанные действия были совершены при сборе персональных данных с использованием базы данных, находящейся на территории Российской Федерации. При этом, статья не содержит указания на то, что такие действия должны совершаться исключительно с использованием баз данных, размещенных на территории России. В связи с этим, если в отношении определенного набора персональных данных уже были ранее выполнены требования ФЗ-242, повторная локализация таких персональных данных не требуется, поскольку цели закона уже достигнуты. Соответственно, если персональные данные были при сборе записаны в базу данных, расположенную на территории Российской Федерации, то впоследствии такие персональные данные могут вноситься работником (представителем) оператора в принадлежащую ему электронную базу данных, находящуюся за пределами РФ.
Вот линк для самостоятельного изучения: http://www.minsvyaz.ru/ru/personaldata/#1438548218895
shevgeny
Сам интересовался этим вопросом. Верно отметил ziart. В законе не сказано про исключительное хранение в РФ. Но есть один пункт о том, что пользователь обязан дать согласие на хранение данных за рубежом. То есть «по умолчанию» — в РФ, хотите еще где-то — пропишите в Соглашении. Я вышел из ситуации дополнив Пользовательское Соглашение двумя абзацами, продолжаю хранить и систематизировать как раньше, но добавил ежедневный бэкап на Российский хост. А с этим хостом заключил бумажный договор, чтоб показывать его в случае проверки проверяющим.
Piskov
demimurych, shevgeny, запрещено (со звездочкой, которая с вероятностью в 99% к вам не применима).
См. пояснения на сайте Минкомсвязи.
В качестве бонуса похожий вопрос оттуда же:
shevgeny
Так вы сами цитируете то, о чем говорил ziart и я:
Piskov
Не совсем так (см. все ответы на том сайте). Если общими словами, то, например, когда русский Вася выехал в отпуск в Амстердам, вы, для скорости работы приложения (или по каким-то другим причинам), можете обслужить его сервером с базой в Амстердаме (при том, что основная масса русских по-прежнему обслуживается в России).
Ежедевный бекап в Россию, при том, что, по сути, вся работа с базой идет не в России не подходят (как минимум, потому что пока бекап не прошел объем вашей «иностранной» базы с данным россиян будет больше ее «русской») и является прямым нарушением. Не говоря уже о том, что, в принципе, без надлежащих на то оснований, нельзя Васю, который сейчас в Самаре обслуживать веб-сервисом (с базой) в Ирландии. Если Вася в отпуске в Ирландии, то пока он там находится — без проблем (про то и трансграничность и т. д.).
Вы писали:
См., опять же, фак Минкомсвязи:
shevgeny
Минкомсвязь — хорошо, но их слова частично противоречат тексту самого документа. Поэтому, пожалуй, буду опираться на сам закон, а не на комментарии представителей различных структур.
Piskov
Не знаю, противоречит ли обсуждаемый фак ФЗ (я противоречий пока не нашел — буду признателен, если найдете и укажете; сам фак висит уже довольно давно — думаю, если бы что-то было, его бы исправили), но тут вопрос в другом: если, не дай бог, наябедничают на вас «добрые люди», какую сторону с большей вероятностью примет суд: вашу трактовку закона или «официальное» разъяснение Минкомсвязи? :-).
С разрешением от пользователя на хранение имхо все просто: закон выше любого разрешения (если прописать в договоре, что соглашаетесь есть младенцев, это не обязывает вас их есть — УК выше любого частного договора).
Плюс, это мы с вами только БД обсуждаем, а ничего не говорим про обязательную сертификацию компаний обработчиков ПД (я участвовал в этом вопросе со своим текущим продуктом): при определенном количестве пользователей и наборе персональных данных, вы не то что обычными веб-сервисами (не БД, а просто веб-сервис обработчик чего-нибудь) зарубежем пользоваться не имеете права, но обязаны выполнять кучу требований по инфраструктуре (например, нельзя пользоваться виртуалками, деля сервер с другими и т. д.).
shevgeny
Мы действительно обсуждаем только БД ПД. В моем случае этого достаточно согласно пункту 2 части 2 статьи 22 :)
shevgeny
Да, кстати, вы говорите
было бы здорово, если бы предоставили ссылку на документ, регламентирующий рамки количества пользователей и их ПДPiskov
Это во ФСТЭК с гуглежом по ключевому слову ИСДН, модели угроз и т. д. — там без пол-литра не разберешься и, самое главное, самостоятельно не сертифицируешься, не имея в штате специально обученных (сертифицированных) сотрудников (поэтому приходится пользоваться услугами контор типа Эшелона).
shevgeny
Но так как тема всё же интересна, решил досконально изучить комментарии. И не нашел подтверждения ваших слов про Васю в Ирландии и того, что хранение за рубежом запрещено. Также не нашел подтверждения тому, что база данных в РФ должна быть больше или равной зарубежной базе. В законе об этом ни слова.
Более того, в одном из ответов Минсвязи четко сказано:
И это действительно так. В законе нет никаких запретов на хранение баз ПД за рубежом. В нем лишь говорится о том, что они должны быть в РФ. Но не говорится в законе о том, что только в РФ. Я, пожалуй, останусь при своём мнении.
demimurych
То есть, выходит что, если существует две страны с таким законодательством — я не смогу проводить какие-либо операции требующие участия данных обоих участников. Поскольку ни там ни там я не имею права производить манипуляции за пределами этих субьектов.
Верно?
Piskov
Это немного другое (если я вас правильно понял): трансграничную передачу данных, необходимую для совершения операции, никто не запрещал. Тут нужно уточнять детальнее «какие-либо операции», т. к.
demimurych
То есть фактически, данный закон существует только для того чтобы на территории РФ были точные копии тех данных, что я решил оставить где-то. Напрашивается вопрос — каким образом, факт наличия копии моих данных на территории РФ, может их (данные) защитить?
Piskov
Нет, не так. Если упростить, смысл в том, что всё — веб-сервисы, базы и пр. — должно быть в России, и точка входа для большинства русских (см. комментарий про отпуск) тоже здесь же. «Наружу» данные должны уходить только при прямой необходимости (если иначе никак). В большинстве случаев, это означает, что за пределами России будет минимум данных — в этом и «защита».
Если бы можно было оставить всю инфраструктуру зарубежем и копировать файлик базы раз в сутки на домашний комп админа (примерно то, что вы пишите), это как раз было бы абсурдно с точки зрения «защиты» (и, разумеется, запрещено).
demimurych
Опять не понимаю. Ситуация — я владелец фейсбука. Мне нужно делать аналитику со всеми данными из всех стран, что фактически означает что я каждый день увожу данные к себе и там делаю аналитику.
Следуя Вашему комментарию, я обязан это делать(аналитику с данными которые в себя включают в том числе и данный РФ) на территории РФ?
Если же нет, то есть я имею право каждый день проводить манипуляции с данными за пределами РФ то какой тогда смысл в законе?
Piskov
Аналитику по РФ делает на территории РФ. Полученные результаты (обезличенные и никак прямо не относящиеся к одному конкретному Васе) отсылаете куда угодно.