По мотивам предыдущей статьи и комментариев к ней мы пишем продолжение, которое, как мы считаем, раскроет максимально тему организации защиты персональных данных и лицензирования при предоставлении Вами различного рода услуг.
Сразу к конкретике.
Пусть Вы – владелец какого-либо бизнеса, масштаб не важен — от маленькой бухгалтерской конторы до крупной корпорации. Содержание своей инфраструктуры для Вас дорого или неприемлемо по какой-либо причине и Вы хотите передать функционал по хранению и обработке данных третьей стороне.
При решении данной задачи вы должны задаться рядом вопросов:
- Имеете ли Вы право передавать обработку третьей стороне, и какие условия при этом накладываются на Вас и на Ваших партнеров по обработке данных? Кто несет ответственность за персональные данные при передаче обработке партнеру-третьей стороне?
- Нужны ли Вам какие-либо лицензии? Какие отчеты по ним Вам будет необходимо сдавать? Кто такой оператор персональных данных?
- Будете ли Вы работать с конфиденциальной информацией, какие условия Вы и Ваш партнер при этом должны выполнять? Какие лицензии нужны?
Ответ на вопрос об ответственности за данные является одновременно самым простым и при этом фундаментальным.
Да, Вы можете передавать обработку персональных данных третьей стороне, однако должны учитывать, что, если обработка и хранение данных передается третьему лицу, оно должно обладать знаниями, опытом, соответствующими мощностями и, в зависимости от типа передаваемой информации, обладать теми или иными лицензиями. Однако ответственность за хранение и обработку данных в любом случае остается на изначальной компании, то есть на Вас. Поэтому подходить к выбору партнера в этом деле нужно довольно тщательно. В зависимости от типа деятельности и собираемой информации Ваша компания и Ваш партнер должны иметь те или иные лицензии.
Как итог, руководствуемся принципом – если Вашей компании для работы с информацией нужна конкретная лицензия, то она обязательно должна быть и у Вашего партнера при передаче обработки данных.
Какие лицензии Вам нужны?
Это зависит от типа Вашей деятельности и собираемой информации. Если Ваш бизнес предполагает только сбор информации о клиентах, а услуги при этом не включают в себя предоставление связи (к примеру, Вы – салон красоты, собираете данные о клиентах на сайте, чтобы организовать работу по записи), Вам не нужна никакая лицензия (кроме лицензий на, возможно, медицинские услуги в салоне). Тут все довольно просто.
А если Вы, так или иначе, предоставляете услуги связи на своем оборудовании (Вы – провайдер интернета, хостер сайтов и тому подобное), то, согласно закону «О связи» предоставление услуг связи с использованием своего оборудования требует наличие лицензии Роскомнадзора на предоставление телематических услуг связи, а так же услуг связи без передачи голосовой информации. Данная лицензия подразумевает, что компания-оператор имеет свой собственный сертифицированный узел связи, через который осуществляется вся деятельность по предоставлению услуг.
Алгоритм получения данной лицензии состоит в подаче заявлений установленного образца, оплаты госпошлины. В течение месяца после подачи заявления Вы либо получите лицензии, либо мотивированный отказ.
Лицензия обязывает оператора подавать годовую и ежеквартальную отчетность по оказанным услугам.
Отмечу, что это касается Вашей компании, если Вы оказываете услуги связи от своего имени. Если Вы перепродаете услуги связи от своего партнера (скажем, Вы укажите в договоре с клиентом, что связь предоставлена другим оператором связи), формально Вы можете работать без лицензии.
Вероятнее всего Вы зададитесь вопросом: «А кто регулируют известный всем пункт: «Согласен на обработку персональных данных»?
Этот пункт регулирует 152-ой Федеральный Закон «О персональных данных». С точки зрения закона, сбор данных может осуществлять как государственные органы, так и юридические и даже физические лица. То есть, он относится ко всем – и к салону красоту из примера выше, и к мобильному оператору из большой тройки. Общее для них то, что при сборе и обработке данных они должны руководствоваться следующими принципами:
- Безусловное согласие клиента на обработку данных (галочка при предупреждении о сборе данных или подпись в дополнительном соглашении, договоре),
- Прозрачная и понятная цель сбора данных (к примеру, Вы собираете данные клиентов для возможности связи с ними при необходимости). Передача данных в рекламные агентства без явного согласия клиента уже является нарушением данных принципов,
- Наличие принятых мер к защите данных от несанкционированного доступа (защита базы данных, ограниченный доступ сотрудников, внутренние регламенты и меры воздействия и ответственности),
- Исключение из сбора данных о религиозной, расовой принадлежности, состоянии здоровья, интимной жизни, информации, являющейся конфиденциальной или относящейся к государственной тайне,
- Наличие физической возможности по требованию клиента прекратить обработку и удалить собранные о нем данные.
Как видно, закон в этом отношении достаточно лоялен к бизнесу и понимает, что фактически сбором данных занимаются все, даже парикмахерская, где Вы оставляете свой контактный номер. Закон в данном случае не создает препятствий, а лишь регламентирует принципы целевой обработки данных, чтобы исключить попадание телефона клиента в руки рекламщиков.
Если Вы работаете с паспортами (к примеру, со сканами), собираете прочие документы, которые не являются с одной стороны конфиденциальной информацией, но, с другой стороны явно избыточны при регистрации, к примеру, в интернет-магазине, Вам стоит подумать о том, чтобы зарегистрироваться в качестве оператора персональных данных. Стать оператором связи при этом можно в уведомительном порядке. Это будет ответом на вопрос: «Кто такой оператор персональных данных?»
Таким образом, для старта Вашего бизнеса, в большинстве случаев, хватит внутренней политики по обработке персональных данных, а если Вы предоставляете услуги связи, то лицензий Роскомнаадзора будет вполне достаточно. Однако при этом следует помнить, что выполнять указанные выше принципы и иметь лицензии должны и Ваш партнер по обработке данных, и Вы, несмотря на то, что обработку данных на своей стороне Вы не производите.
Теперь представим, что Вы планируете работать с конфиденциальной информацией (КИ).
К примеру, Вы будете сотрудничать с юридическими лицами, которые собирают и хранят конфиденциальную информацию, может быть с государственными учреждениями, или сами таковым являетесь.
В такой ситуации Вы должны обладать соответствующей квалификацией, ресурсами, опытом и лицензией для работы с КИ.
Регулирует работу с конфиденциальной информацией Федеральная служба по экспортному и техническому контролю (ФСТЭК) и Федеральная служба безопасности (ФСБ).
Как правило, достаточно лицензии на техническую защиту конфиденциальной информации (ТЗКИ) (если Вы сами не разрабатываете средства защиты). Ее выдает ФСТЭК.
Что подразумевает под собой лицензия и как ее получить?
Чтобы иметь возможность подать заявку на данную лицензию, Вы должны отвечать следующим требованиям:
- Технические средства, информационные системы, помещения, где обрабатывается информация (в том числе переговорные комнаты) должны быть оборудованы средствами защиты от утечек информации по техническим каналам,
- Доступ к информации должен быть под постоянным контролем, исключающим любое несанкционированное проникновение к ней,
- В штате оператора должно быть минимум двое сотрудников, имеющих диплом, подтверждающих их право работать с конфиденциальной информацией,
- Все объекты (сотрудники, компьютеры, ПО, помещения), которые участвуют в обработке конфиденциальной информации, должны быть аттестованы.
Помимо указанных требований, организация обязана иметь у себя набор нормативно-правовой документации (для служебного пользования). Так же требуется удостоверить право собственности (аренды) помещения, которое будет аттестовано для работы с конфиденциальной информацией.
Срок получения лицензии от момента подачи всех документов на уже сертифицированное помещение может быть до полугода.
Все эти пункты отнимают массу времени, средств, однако без этого нельзя получить право работать с конфиденциальной информацией.
Если говорить о помещении и о сотрудниках, то здесь более-менее вопросов не возникает.
Интерес и потенциальные сложности вызывает защита информационных систем и в целом всего ПО, которое находится в защищенном помещении под контролем сертифицированных сотрудников.
Как известно из прошлой статьи , большинство операционных систем, которые востребованы на рынке из семейства Windows являются сертифицированными. К примеру, то, что предлагаем своим клиентам мы на виртуальных серверах – Windows Server 2012 R2 Datacenter обладает сертификатом 3367. Так же многие ОС семейства Linux сертифицированы ФСТЭКом. С офисными приложениями так же вопроса не возникает. Полный список ПО здесь fstec.ru/component/attachments/download/489
Казалось бы, вопрос с ПО решен. Но не все так просто.
Представьте, что у вас серьезный сервер, не важно, арендуется ли он или в Вашей собственности. Вы на нем создаете выделенные виртуальные сервера для своих работников. То есть используете какое-либо средство виртуализации, что часто бывает и в бухгалтериях, и в аналитических департаментах крупных компаний.
Здесь нужно знать, что наличие сертифицированной ОС на физическом сервере не тянет за собой автоматической сертификации всех виртуальных серверов, так как они создаются с помощью гипервизора и это — слабое звено в защите данных.
Изучив список ФСТЭКа, вы увидите, что гипервизоры не входят в перечень сертфицированного ПО, а значит необходимо озаботится его защитой. В данном случае Вам поможет установка средства защиты VGate для Hyper-V. Однако это не дешевое удовольствие — Vgate будет стоить от 100 000 рублей на один физический сервер.
Это не считая затрат на специальное ПО для защиты серверов, которое компания обязана установить при прохождении аттестации технических средств.
Таким образом, если Вам необходима лицензия ФСТЭКа, Вы должны быть готовы к значительным временным и материальным затратам.
При этом в процессе развития Вашего предприятия, Вы поймете, что можно и нужно разделить внутренние векторы развития компании, клиентов по принципу – достаточно внутренних политик и лицензии Роскомнадзора или обязательна лицензия ФСТЭК. Естественно, у вас разные классы клиентов и ценовая политика для них.
Подробнее именно об алгоритме получения лицензии ФСТЭКа можно ознакомиться в очень детальном руководстве bis-expert.ru/sites/default/files/miscellaneous/practic_licenc_fstec.pdf.
В конце статьи хочу напомнить, что разделение клиентов по принципу «ФСТЭК – не ФСТЭК» не должно «расслабить» Вас в отношении клиентов «без ФСТЭКа». С того момента, как только Вы предоставили услугу связи, начали сбор данных – Вы под регуляцией Роскомнадзора и 152-ого ФЗ. Потому стандарт ответственности при работе с данными должен быть одинаково высок для всех клиентов.
Комментарии (10)
imbasoft
11.05.2016 12:04Не указана необходимость регистрации в Котлонадзоре как оператора по обработке ПДн.
Про лицензии очень расплывчато написали.
Если персональные данные (ПДн) передаются хостеру (VDS) в открытом виде и хостер занимается их защитой. то нужна лицензия ФСТЭК России на техническую защиту конфиденциальной информации.
Если хостер шифрует ПДн клиента (например для хранения в защищенных контейнерах) и это является частью предоставляемых услуг, то нужна лицензия ФСБ России по криптографии (ПП 313).
Если у хостера нет ПДн в открытом виде, а хранятся только зашифрованные контейнеры (причем их шифровал сам клиент) то лицензии (ФСТЭК/ФСБ) не нужны.
Итого — у хостера в общем случае должна быть лицензия ФСТЭК России на ТЗКИ и желательно ФСБ России по криптографииru_vds1
11.05.2016 12:16Добрый день!
По первому пункту, указано, пожалуйста, обратите внимание на раздел «Вероятнее всего Вы зададитесь вопросом: «А кто регулируют известный всем пункт: «Согласен на обработку персональных данных»?»
По ФСТЭК ТЗКИ и СЗКИ, указано конкретно, что лицензия должна быть, если Ваша деятельность подпадает под соответствующее регулирование. Конкретика именно в отношении хостера — не цель статьи.
Если говорить о том, что у каждого хостера должна быть лицензия ФСТЭК и ФСБ — это противоречит реальности. Даже интересно, как Вы находили бы полубесплатные хостинги при наличии такой лицензии? Затраты на ее получение очень большие.
Лицензия должна применяться по назначению, а не быть просто для галочки.imbasoft
11.05.2016 12:24Если говорить о том, что у каждого хостера должна быть лицензия ФСТЭК и ФСБ
Поясню. У каждого хостера, позиционирующего себя в области услуг хостинга ПДн.
altynos
11.05.2016 17:04С максимальным раскрытием темы, думаю, Вы погорячились). Освещая выбор партнера, было бы не плохо написать про «Поручение на обработку ПДн». Да и совместное моделирование угроз с хостинг-провайдером у Вас как-то мимо прошло. Это вытекает из требований 152ФЗ, не спускаясь в подзаконные акты.
ru_vds1
11.05.2016 17:07Ну мы постарались, в любом случае)
Смежных тем — масса, при том же лицензировании ФСТЭК все вроде так расписано в мануале, а при реальной работе куча нюансов вызывает.
Указанные Вами темы постараемся в будущем осветить, спасибо за комментарий!
Spewow
12.05.2016 17:17Уже много раз обсуждалось.
Не нужны сертифицированные средства для выполнения 21 приказа ФСТЭК, таких требований там нет.
ФСТЭК комерсов не проверяет нет полномочий да и людей, Роскомназдор смотрит только «бумагу».ru_vds1
12.05.2016 21:45Уважаемый Spewow, статья не призывает получать или не получать лицензию ФСТЭК, не комментирует наличие кадров у ФСТЭК. То, что Роскомнадзор проверяет «бумагу» так же может в любой момент измениться и долгосрочно нужно делать ставку на соблюдение закона, а не надежду, что «и так прокатит».
Наличие лицензии ФСТЭК при прочих равных является как минимум плюсом при выборе контрагента.
А если Вы сами обладаете такой лицензией и планируете передать хранение данных, которые подпадают под регуляцию ФСТЭК, контрагент в любом случае обязан ее иметь.Spewow
13.05.2016 21:42Я не про лицензию по защите КИ, а про необходимость СЗИ только с сертификатами. Такого требования в 21 приказе нет. (в отличии от 17 например)
Evengard
А что считается «конфиденциальной информацией»? Если те же паспорта не считаются ими, то что считается? Пример можете привести?
Kolyuchkin
http://pravoteka.ru/encyclopedia8663