В последнее время защита персональных данных стала одним из наиболее актуальных для организаций вопросов. Её считают даже одним из драйверов развития рынка коммерческих ЦОД. Однако готовых предложений услуг хостинга информационных систем, обрабатывающих персональные данные по требованиям закона, на рынке услуг ЦОД пока немного.

По прогнозу iKS-Consulting, к 2018 году российский рынок ЦОД вырастет почти вдвое по сравнению с началом 2015 года и превысит 26,3 млрд. рублей, а количество установленных стоек в коммерческих дата-центрах увеличится до 48,3 тыс. Вступление в силу ФЗ № 152 «О персональных данных», требующего хранения персональных данных на территории РФ, в ближайшей перспективе станет одним из ключевых факторов его роста. Кроме того, ужесточение законодательства в финансовой и банковской сферах, а также растущая конкуренция в телекоммуникационной отрасли и розничной торговле и повышенные требования к надёжности будут подталкивать все большее число компаний к использованию услуг коммерческих ЦОД.

По оценкам аналитической компании PMR, в 2014 году объём рынка коммерческих услуг дата-центров в России достиг 11,7 млрд рублей, что на 20,4% больше, чем годом ранее. Этот рост аналитики связывают с развитием отечественной интернет-экономики и увеличивающимися объёмами данных в корпоративных ИТ-системах. Возрос спрос на услуги «колокейшн», когда провайдер размещает оборудование клиента в дата-центре, обеспечивает обслуживание и подключение к каналам связи. Больше 50% расходов на такие услуги приходится на долю банков, использующих сторонние ЦОД для резервного копирования данных и дублирования ИТ-систем. Финансовые учреждения, как правило, арендуют площадь для 5-15 стоек.

Хранить дома


Федеральный закон № 152 «О персональных данных» (ФЗ-152), регулирующий деятельность по обработке (использованию) персональных данных, был принят Госдумой 8 июля 2006 года и одобрен Советом Федерации 14 июля 2006 года, а президент подписал его 27 июля 2006 года. ФЗ-152, статья 1, п.1 регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях.

Летом 2014 года были приняты поправки, обязывающие организации хранить персональные данные россиян на серверах, находящихся на территории России (ст. 2 Федерального закона № 242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»).

Закон суров, но это закон. Предполагалось, что новые правила начнут действовать с 1 сентября 2016 года. Однако в сентябре 2014 года комитет Госдумы по информационной политике рекомендовал одобрить поправку, по которой закон должен был начать действовать с 1 января 2015 года. Но из-за того, что бизнес не успевал подготовиться к вступлению закона в силу, в начале декабря 2014 года Госдума окончательно сдвинула срок на сентябрь 2015 года.

Поправки затрагивают не только интернет-магазины, социальные сети и организации, оказывающие туристические услуги, но и все компании, так или иначе использующие в работе с персональной информацией граждан зарубежные ЦОД. То есть коснуться это может практически любой компании, поскольку обработкой персональных данных занимаются почти все организации: как минимум, это обработка данных своих сотрудников.

Персональные данные


Согласно ФЗ-152 (статья 3, п.1), персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе фамилия, имя, отчество; год, месяц, дата и место рождения; адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация. Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ.

Персональные данные разделяют на четыре категории:

  1. Персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
  2. Персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением относящихся к категории 1.
  3. Персональные данные, позволяющие идентифицировать субъекта персональных данных.
  4. Обезличенные и (или) общедоступные персональные данные.

Между тем Роскомнадзор пока не уточнил, что же считается персональными данными. Так, например, недавно было предложено расширить это понятие, включив в него информацию о действиях пользователей в интернете, например, в соцсетях. Неясной остается и возможность дублирования персональных данных на серверах за рубежом. Конкретных положений на этот счет и ответственности за их нарушение закон не содержит. Пока же получается, что по российскому праву любую информацию можно считать персональными данными, даже если речь идет об имени и фамилии в системе электронной почты.

Операторы персональных данных


Государственный, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами, организующие или осуществляющие обработку персональных данных, являются операторами персональных данных. Обработка персональных данных – это любое действие с ними. В соответствии с ч.1 ст. 22 ФЗ-152, оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своём намерении осуществлять их обработку. Исключение составляют несколько случаев, описанных в ч.2 ст. 22 ФЗ-152.

Например, к операторам персональных данных относятся финансовые и страховые организации, предприятия розничной торговли, использующие программы лояльности, медицинские учреждения, учебные учреждения, социальные учреждения, представительства зарубежных компаний, осуществляющие обработку персональных данных российских граждан, а также прочие организации, работающие с физическими лицами.

Какие же меры реагирования будут применяться в отношении нарушителей? Это может быть административный штраф, включение компании в реестр нарушителей или блокирование сайта, на котором осуществляется обработка персональных данных. Вести «Реестр нарушителей прав субъектов персональных данных» должен Роскомнадзор, а основанием для включения в список будет имеющий законную силу судебный акт.

Данные переезжают в Россию


Где же должны храниться и обрабатываться персональные данные? Можно ли их оператору пользоваться услугами стороннего дата-центра? Как операторам персональных данных подготовиться к исполнению закона? В целом бизнес-сообщество пока не вполне понимает, как работать по новому закону – какие именно данные относятся к персональным и подлежат защите, можно ли иметь копии баз за рубежом, затронут ли нововведения популярные иностранные сервисы, связанные с бронированием номеров в зарубежных отелях, заказа такси, билетов и представителей других видов деятельности, интегрированных в мировое информационное пространство.

Роскомнадзор начал готовить подзаконные акты с уточнением положений законов, которые неоднозначно воспринимались ИТ-экспертами. Так, например, в ведомстве решили, что персональные данные россиян должны храниться только в России, хотя такого требования в законе не было.

Тем временем ведущие мировые ИТ-компании уже начали переводить данные своих российских пользователей на серверы, находящиеся на территории РФ. Среди таких компаний – eBay, PayPal, AliExpress, Google, Visa и Mastercard. Однако иностранным интернет-сервисам не обязательно переносить в Россию все персональные данные своих клиентов-россиян. Здесь должны храниться данные только новых клиентов – полученные после 1 сентября, когда вступает в силу закон об их обязательном хранении на территории России. Это достаточно небольшой объём данных, что значительно облегчает задачу.

Согласно закону ФЗ-242, при сборе персональных данных, в том числе через интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, обновление, изменение или извлечение персональных данных граждан России с использованием баз данных, находящихся в РФ. Операторы персональных данных должны не только хранить такую информацию внутри страны, но и пройти регистрацию в соответствующих органах, в том числе указав, где именно хранятся данные, и представив ряд других сведений, принять обязательства по предоставлению информации из таких баз данных правоохранительным ведомствам по установленным законом правилам.

Текущая ситуация, связанная с законом о хранении персональных данных, в целом положительно сказывается на компаниях-поставщиках ЦОД и облачных решений. Принятый закон о хранении персональных данных в России привёл к повышению спроса на услуги ЦОД. По мнению экспертов рынка, практика строительства собственных ЦОД в России зарубежными компаниями не будет особенно популярна, так как у них есть возможность размещать часть нагрузок на территории РФ, сотрудничая с крупными российскими провайдерами.

К тому же есть варианты, которые позволяют зарубежным компаниям остаться в правовом поле РФ с минимальными рисками и затратами. Одним из выходов является предоставление облачных сервисов, позволяющих контролировать расположение данных. Именно использование облачных ЦОД позволит минимизировать риски и при этом максимально быстро реализовать комплекс мероприятий по приведению в соответствие с требованиями ФЗ механизмов хранения и обработки персональных данных россиян.

Кроме того, в период кризиса бюджеты на построение собственной инфраструктуры будут сокращаться, поэтому будет расти востребованность виртуальных ресурсов. При аренде ресурсов ИТ фактически оплачиваются только потребляемые мощности. Это ведёт к оптимизации затрат.

Выбор поставщика услуг


Компании зачастую имеют достаточно поверхностное представление о законе «О персональных данных», слабо представляют, как правильно защищать персональные данные, и что нужно, чтобы пройти проверку надзорных органов.

В зависимости от категорий обрабатываемых персональных данных, их объёма и актуальных угроз требуется принятие мер для обеспечения их безопасности, в частности, серверов. Клиентам, которые хотят полностью выполнять требования законодательства и не иметь проблем с регулирующими органами, необходимо учитывать риски размещения своих серверов с персональными данными в стороннем ЦОД и внимательно подходить к выбору хостинг-провайдера.

Необходимо детально проверять хостинг на наличие необходимых лицензий ФСТЭК на деятельность по технической защите конфиденциальной информации, лицензий ФСБ на предоставление услуг с использованием шифровальных (криптографических) средств, а также применения сертифицированных средств защиты информации при предоставлении услуг хостинга.

Нередко ошибочно думают, что ЦОД должен быть сертифицирован на соответствие ФЗ-152. Вопрос о соответствии ЦОД требованиям ФЗ-152 «О персональных данных» – один из наиболее часто задаваемых заказчиками владельцам коммерческих центров обработки данных. Однако такой сертификации для ЦОД не существует. Правильнее интересоваться соответствием услуг ЦОД техническим требованиям защиты конфиденциальной информации (ТЗКИ) с необходимым уровнем защищённости.

Клиенты, планирующие размещение персональных данных в стороннем ЦОД, могут защищать свои персональные данные самостоятельно, с привлечением юридического консультанта или без него, либо искать комплексные услуги ЦОД с предоставлением услуг защиты персональных данных и юридическим обслуживанием. Последний вариант пока не распространён на рынке и зачастую не отвечает всем требованиям заказчика (техническим, юридическим или коммерческим).

Не стоит думать, что приобретение услуги ЦОД, соответствующего требованиям ФЗ-152, – достаточное условие для соблюдения закона. ТЗКИ должна соответствовать вся информационная система – от физической безопасности оборудования до ПО для хранения и обработки персональных данных. Аттестация же на соответствие ФЗ-152 носит индивидуальный характер: соответствующие проекты включают в себя, наряду с установкой программных и аппаратных средств защиты данных, аудит процессов клиентов. При этом аттестуется система обработки персональных данных и комплексы её защиты, а не ЦОД как таковой.

Помимо технической защиты персональных данных закон накладывает ряд административных требований, большинство которых сводится к наличию в компании тех или иных документов, которые необходимо поддерживать в актуальном состоянии. Они необходимы, чтобы пройти проверку со стороны Роскомнадзора.

Комплексных предложений на рынке, сочетающих в себе услуги ЦОД, обеспечение технической защиты конфиденциальных данных, ведение документации и юридический консалтинг, пока что достаточно мало. Как правило, дата-центры нацелены на предоставление технических услуг, но редко оказывают полноценные юридические услуги, не имея соответствующей экспертизы.

И это одна из причин того, почему, несмотря на очевидную актуальность и востребованность услуг хостинга информационных систем, обрабатывающих персональные данные по требованиям закона, готовых предложений на рынке услуг ЦОД пока немного. Одним из первых таких предложений на российском рынке стала услуга «защищенный виртуальный ЦОД» (VDC.152) компании SAFEDATA.

Защищённый виртуальный ЦОД


VDC.152 – это отдельная, защищённая виртуальная инфраструктура для размещения и обработки персональных данных. На базе ресурсов виртуального ЦОД заказчик может создавать ИТ-инфраструктуру любой сложности. Услуга VDC построена согласно модели IaaS. Инфраструктура VDC строится на базе сети дата-центров SAFEDATA, аппаратных и программных решений ведущих производителей.

Услуга VDC.152 предназначена для заказчиков, бизнес-процессы которых связаны с обработкой и хранением персональных данных российских граждан. Она была разработана с учётом всех требований, предъявляемых к данным процессам.

Важно, что VDC.152 может предусматривать сертификацию платформы виртуализации, систем хранения данных, гипервизоров и системы управления, предоставление клиентам сервисов безопасности на основе сертифицированных средств защиты. Аттестацию информационной системы заказчик может выполнить самостоятельно или с помощью специалистов SAFEDATA, подготавливающих всю необходимую документацию. Аттестация информационной системы персональных данных на базе услуги VDC.152 осуществляется лицензиатом ФСТЭК России.

Услуга «Защищённый виртуальный ЦОД» освобождает оператора персональных данных от значительной доли затрат на создание собственной безопасной ИТ-инфраструктуры. Она позволяет клиентам использовать ИТ-ресурсы и ПО провайдера, а высококвалифицированный персонал обеспечивает сопровождение ИТ-инфраструктуры в режиме 24х7. Дополнительные преимущества для клиента заключаются в том, что ему не нужно самому актуализировать инфраструктуру ИТ согласно текущим изменениям в законодательстве – этим занимается оператор ЦОД.

Такая услуга актуальна для многих категорий заказчиков и видов информационных систем, среди которых интернет-магазины, HR-системы, системы маркетинговых исследований, медицинские системы, системы биллинга и управления услугами и др. Она может быть востребована всеми законопослушными операторами персональных данных, кто хочет привести персональные данные в соответствие с требованиями ФЗ-152.
Комплекс организационно-технических мер обеспечивает всестороннюю защиту от различных угроз со стороны обслуживающего персонала и со стороны других клиентов дата-центра. Система готова к аттестации ФСБ и ФСТЭК, как полностью соответствующая всем требованиям для размещения персональных данных, а SAFEDATA выступает в роли сервис-провайдера, предоставляющего данную систему по модели IaaS для операторов персональных данных.


Защищённая виртуальная инфраструктура, соответствующая требованиям ФЗ-152, размещается в ЦОД уровня TIER III (TIA-942). Защита элементов инфраструктуры ИСПДн осуществляется программными и аппаратными средствами сертифицированными ФСТЭК (не криптографические СЗИ) и ФСБ (криптографические СЗИ).

Архитектура VDC.152 включает в себя аппаратную платформу (серверы, сетевое оборудование), сеть хранения данных (СХД и коммутирующее оборудование), а программное обеспечение – системное ПО виртуализации, систему управления ресурсами и виртуальной средой, виртуальные машины (операционная система и прикладное ПО). Для безопасного доступа используется шифрованный туннель (согласно ГОСТ) и оборудование, сертифицированное ФСТЭК. Защиту информации обеспечивают криптошлюз и межсетевой экран VipNet Coordinator HW 1000, СЗИ НСД «Аккорд-В для ESXi-серверов», средства защиты информации для виртуальной инфраструктуры на базе систем VMware vSphere (СЗИ НСД «Аккорд-В» для vCenter), а также антивирус, межсетевой экран, система обнаружения и предотвращения вторжений Trend Micro Deep Security 8.0.

Стоит отметить также, что группа SAFEDATA владеет сетью дата-центров, построенных в соответствии с требованиями международных стандартов TIA-942 (TIER III). Дата-центры SAFEDATA с общей площадью помещений более 5500 кв.м. и площадью технологических площадок для размещения оборудования 3000 кв.м. имеют подключение к ММТС-9 и ММТС-10, точкам обмена трафиком MSK-IX.

Как показывают опросы, в настоящее время большинство провайдеров услуг ЦОД предусматривают заключение с клиентами соглашения SLA. В случае защищённого виртуального ЦОД от SAFEDATA в нем зафиксированы конкретные метрики по уровню доступности, IOPS, времени доступа ВМ к дисковым накопителям, технической поддержке и др.


Уровень сервиса VDC.152 (SLA).

Кроме того, один из дата-центров SAFEDATA подтвердил соответствие требованиям стандарта PCI DSS 3.0 в части обеспечения физической безопасности. Эта площадка открыта для размещения вычислительных мощностей и сетевого оборудования участников индустрии платёжных карт. Поставщик услуг берёт на себя физическую защиту серверов, участвующих в обработке платежных транзакций по банковским картам. Такая сертификация важна для заказчиков из финансовой отрасли.

Каждому оператору персональных данных необходимо выбирать решение, подходящее именно для него. VDC.152 – это не только соответствие законодательству о защите персональных данных без закупки и эксплуатации технических средств защиты (защита ИСПДн), но и масштабируемость без капитальных затрат и в короткие сроки, непрерывная техническая поддержка. Услуга VDC.152 может стать для клиентов оптимальным вариантом по целому ряду параметров. Тем более, что в обязанности SAFEDATA входит подготовка комплекта документов и услуги по аттестации решения.

Наш предыдущий пост:
ЦОД SAFEDATA: три в одном. Хроники миграции

Комментарии (14)


  1. inkvizitor68sl
    14.05.2015 20:36
    +2

    Вообще вся эта ситуация, мягко говоря, абсурдна.

    Закон есть, до вступления осталось 3 месяца, как его исполнять — никто не знает.

    Если же почитать вашу статью, то получается, что я оператор ПД (в моём блоге почти все оставляют реальные ФИ/почту+ip-адреса, из которых можно однозначно идентифицировать человека). Куда мне идти регистрироваться?


    1. nomadmoon
      15.05.2015 08:36

      s/Куда мне идти регистрироваться?/Куда мне занести денежку товарищу майору/


  1. estum
    14.05.2015 21:35
    +3

    Не-не-не, до 2014 пользовался различными VPS-ками и «облачными» хостингами в нескольких российских ДЦ — больше не хочу. Дорого, неудобно, нестабильно (провайдер может просто взять и прекратить предоставлять услуги или тупо забить на хардварные проблемы, жопорукий экскаваторщик — перекопать магистраль, в датацентр — упасть метеорит). Вряд ли у нас кто-то предоставляет сервис уровня linode или amazone по тем же ценам, хотя, вообще, раз уж заставляют, хотелось бы дешевле.

    Соблюдать идиотский популистский закон или поберечь себе нервы — выбор нетрудный. Учитывая местную особенность, вряд ли соблюдение будет кем-то строго контролироваться, всего лишь лишний повод подергать кого-нибудь за яйца в случае чего.


  1. vtimashkov
    14.05.2015 21:38
    +1

    Операторы персональных данных должны… принять обязательства по предоставлению информации из таких баз данных правоохранительным ведомствам по установленным законом правилам.
    А можно выдержку из ФЗ №152, где это декларируется?

    Каковы границы запроса на предоставление данных? То есть, возможен ли запрос типа:
    • Предоставьте всю информацию, которая хранится в вашей БД (мы сами выберем, что нам надо)
    или же запрос должен быть чётко специфицирован и указывать на конкретных людей, чьи персональные данные требуются, например:
    • Предоставьте информацию по Иванову Иван Ивановичу (мы подозреваем его в противоправных действиях)

    Совершенно понятно, что в любой компании данные о клиентах — самые важные и являются стратегической коммерческой информацией — отсюда и вопрос. Спасибо!


    1. powerman
      15.05.2015 05:32

      Если не брать во внимание вопросы производительности — данные хранятся на территории России, но в зашифрованном виде. Доступ к ним — только через API сервиса расположенного вне России, ключ шифрования в этом же сервисе. Формально требования закона соблюдены, данные хранятся в России, но радости с этого никакой, кроме разве что дохода для местных ДЦ.


  1. nomadmoon
    15.05.2015 08:43

    Нет, ну а правда, любая микроконторка же обрабатывает данные сотрудников. Что, всем идти в ФСБ? Или есть какие то исключения, хоть частично приближающие эту инициативу к здравому смыслу?


    1. Archon
      15.05.2015 09:08
      +1

      Не надо никуда идти. Если сходить и зарегистрироваться как оператор ПД, вероятность нарваться на штраф сильно повысится.

      Не изменилось с сентября по сути ничего, закон как было невозможно соблюдать до этого, так и будет невозможно соблюдать после.


    1. GuyGud
      15.05.2015 15:37
      +1

      Когда можно не уведомлять Роскомнадзор(но соблюдать все остальные требования закона)?

      1) При обработке ПДн в соответствии с трудовым законодательством;
      2) При получении оператором ПДн для исполнения их в договоре с субъектом персональных данных;
      3) При обработке ПДн членов (участников) общественных объединений или религиозных организации;
      4) При условии, когда ПДн субъектов могут быть общедоступными;
      5) При получении ПДн, в которых указываются только Ф.И.О субъектов персональных данных;
      6) При обработке ПДн в целях оформления и выдачи однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
      7) При включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
      8) При обработке ПДн без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актам
      Важно! В любом случае вы не имеете права передавать данные третьим лицам без согласия субъекта персональных данных.


  1. kashey
    15.05.2015 09:47

    Обезличенные и (или) общедоступные персональные данные.

    Те — если всю «персональную» информацию пользователя, которая есть у сайта, общедоступно «публичить» — например через профиль пользователя — то можно ничего не делать?


  1. MaxxxZ
    15.05.2015 11:33

    Написано хорошо, красиво.
    На практике — предположим у меня есть не ИТ компания, в которой надо защитить персональные данные. Создавать инженерку для пары серверов очень не охота и ставить их в кладовке — аналогично.

    Я могу обратиться в safedata со своей 1С и на выходе получить облачную 1С с удалённым терминальным доступом и полным комплектом необходимых регулирующим органам документов, а затем платить только абонентку (В т.ч. включить в абонентку стоимости лицензий на ПО)?
    Есть опыт таких перемещений для организаций со штатом 200-300 человек и отсутствием специальных требований к обрабатываемой персоналке?


    1. Han_Solo Автор
      15.05.2015 11:59

      Теоретически, разумеется это возможно, но наша компания предоставляет сервис уровня IaaS не поднимаясь на уровень приложений.
      Мы предоставляем Вам виртуальные машины, а разворачивание приложений и управление ими остаются в зоне ответственности заказчика.


      1. MaxxxZ
        15.05.2015 17:48

        Я вот как раз про практику спрашивал.
        То что вы предоставляете только машину значит, что заказчику придётся самому ставить часть ТЗИ и составлять документы. А небольшим предприятиям это может быть сложно. Жаль, что очень много таких контор могут предоставить сервис работы с данными по принципу одного окна. Получается — у одних виртуалка, у других софт, у третих саппорт, у четвёртых — защита пдн.


  1. rsivakov
    17.05.2015 02:18

    1. можно взглянуть на sla? какая именно услуга оказывается вами на основании договора?
    2. как много компаний подключились?
    3. сколько времени занимает обычно миграция данных для компании?
    4. какое ценообразование?


    1. Han_Solo Автор
      18.05.2015 11:15

      SLA является приложением к договору и на общедоступные ресурсы не выкладывается.
      Кроме того, в большинстве случаев SLA значительно корректируется под конкретного заказчика, в зависимости от его бизнес-задач, а также в зависимости от распределения зон ответственности между заказником и исполнителем определяемым на этапе подготовки КП.