Штрафы за разные нарушения суммируются.
242-ФЗ подсказывает нам, что оператор обязан обеспечить запись, хранение, изменение и извлечение персональных данных граждан Российской Федерации (это всё, что прямо или косвенно относится к субъекту ПДн. И номер телефона, и даже уровень защищенности его данных можно отнести сюда согласно 152-ФЗ) с использованием баз данных, находящихся на территории Российской Федерации. С 1 сентября 2015 года. За использование первичной базы за пределами РФ вам светит относительно небольшой штраф и, что куда хуже, блокировка ресурсов в течение 3 рабочих дней с даты судебного решения. При этом разблокировать доступ и «выйти» из реестра можно будет только по решению суда.
Кто переносится
Точной статистики, какой объём персональных данных россиян хранится за пределами РФ, конечно, нет. Достаточно много ПД хранится в США, Германии, Англии, Франции и других европейских странах, поскольку там наиболее развита индустрия хостинг-провайдеров. Логично, что российские регуляторы усмотрели ряд рисков в этом. Прежде всего речь идет о рисках, связанных с соблюдением прав субъектов персональных данных, а также вероятности потери связи с внешними центрами обработки данных по причине введения санкций. Поэтому держите новый закон.
Под действие 242-ФЗ подпадают все зарубежные компании, которые имеют отделения в нашей стране, международные сервисы, туристические фирмы — представители иностранных компаний, «дочки» зарубежных банков и т. д. Но под новые требования не подпадают правоотношения, которые регулируются международными договорами или конвенциями (авиакомпании, журналистская деятельность и ряд других областей). Остальные должны переехать. Те же eBay, Google, PayPal и многие другие уже заявили о готовности продолжать бизнес в России. Тяжелее всего процесс даётся, пожалуй, банкам — исключений для них нет, а архитектура ИТ-инфраструктуры у них обычно такова, что перенос даётся довольно тяжело.
Вот иностранные компании, работающие на нашем рынке. Обратите внимание, что у отечественной компании базы данных могут быть за пределами РФ (например, на «Амазоне»), поэтому фактический процент тех, кому нужно переходить, выше.
У крупных международных компаний обычная архитектура — «колесо и спицы», где в роли основного информационного центра выступает головной офис или ЦОД (например, в США). В РФ таким компаниям придётся поднимать ещё одну площадку — либо свой региональный дата-центр, либо вставать на колокацию к кому-то ещё. Собственно, многие встают к нам в КРОК благодаря наличию уже сертифицированных ФСТЭК и ФСБ решений в TIER-III TIA+UI (по facility) дата-центре.
Как выглядит обычный перенос крупной системы
Это достаточно продолжительный и мучительный процесс:
- Оценка необходимых ресурсов — 2 недели;
- Процесс выбора поставщика — 2 недели;
- Анализ систем — 1 неделя;
- Тестирование миграции — 1 неделя;
- Ожидание оборудования — 6–8 недель;
- Перенос данных — 2–4 недели;
- Проверка перенесенных данных — 1 неделя.
Итого более 4 месяцев. Мой опыт переносов — от 2 недель для относительно простой инфраструктуры до 3 месяцев. Проблема обычно не только в том, что база данных тащит за собой ещё множество компонентов инфраструктуры, но и в том, что для многих (например, банков) важна непрерывность бизнеса. Поддерживается работоспособность систем заказчика на любом из этапов «переезда».
Переносить чаще всего нужно:
- Онлайн-сервисы: интернет-магазин; портал для клиентов.
- Бизнес-приложения: CRM; HRMS.
- Инфраструктурные приложения: почту; корпоративный форум.
На стороне РФ нужны:
- дата-центры (или серверные, лучше 2 штуки, основная и резервная, хотя в некоторых случаях юристы утверждают, что бекап можно хранить за пределами РФ; закон говорит о том, что при сборе переданных компаниям данных нужно обеспечить первоначальное накопление, хранение и обработку их на территории России. После чего уже можно передавать эти данные за рубеж);
- Вычислительные ресурсы – собственно, сами сервера и СХД;
- Инфраструктурное ПО – это новые лицензии для площадки в РФ;
- Каналы связи;
- Инженерные ресурсы;
- Поддержка + SLA;
- Разработка механизмов миграции, синхронизации и консолидации данных.
Вот почему процедура достаточно сложная, и многие не строят свой ЦОД, а встают в уже предназначенные для этого. У нас, например, многих радует наше защищённое облако, где есть:
- Сертифицированный ФСТЭК гипервизор VMWare;
- Межсетевое экранирование (FW) — сертификация ФСТЭК; криптографическая защита каналов связи (IPSec VPN) — сертификация ФСБ;
- Предотвращение вторжение (IPS) — сертификация ФСТЭК;
- Глубокая фильтрация web-трафика (WAF);
- Антивирусная защита сетевого трафика;
- И любые другие средства защиты, способные работать в виртуальной среде VMware.
При переносе базы данных мы всегда отделяем инфраструктуру одного заказчика от всех остальных.
Информационная безопасность
Новое законодательство требует:
1. Перенести ПД в РФ.
2. И при этом также защитить данные в достаточно хорошей степени.
Надо отметить, что законодательная инициатива напрямую связана с программой импортозамещения в ИТ. Регуляторы стимулируют по максимуму использовать имеющиеся отечественные технические ресурсы, программное обеспечение и другие разработки. Однако полного импортозамещения в ИТ-сфере достичь сегодня сложно.
По системам ИБ есть пара интересных особенностей. У нас довольно много хороших производителей, прошедших отечественную сертификацию и делающих то, что подпадёт под определение «отечественного ПО», то есть получит приоритет для использования в госорганах (идёт обсуждение возможного расширения на госкомпании и госкорпорации).
Проверки
Проверки будут проводиться, плюс за вами будут наблюдать без прямого взаимодействия.
Условия для проведения внеплановых проверок:
1. Истечение срока исполнения предписания.
2. Обращения граждан (требует согласования с органами прокуратуры).
3. Информация от органов государственной власти (ОГВ), органов местного самоуправления (ОМСУ) и СМИ о фактах нарушения законодательства.
4. Поручения Президента и Правительства РФ.
5. Нарушения по итогам систематического наблюдения.
6. Несоответствие сведений, содержащихся в уведомлении, фактической деятельности.
7. Неисполнение требований Роскомнадзора (РКН) об устранении нарушения.
8. На основании требования прокуратуры.
Критерии включения в план проверок:
1. Трёхлетний период с момента окончания проведения последней плановой проверки.
2. Информация от ОГВ, ОМСУ и СМИ о фактах нарушения законодательства и результаты систематического наблюдения.
3. Обработка ПДн значительного числа субъектов ПДн/биометрии/специальных категорий ПДн.
4. Непредставление информации, в том числе уведомительного характера, в соответствии с ФЗ-152.
Итого
• появился чёрный список нарушителей прав субъектов ПДн;
• появились систематические наблюдения за операторами;
• увеличились штрафы за нарушения обработки ПДн;
• участились проверки РКН и расширились основания.
Если вы собираете ПДн граждан РФ в любых объёмах, то вот что надо делать:
- Реорганизовываем бизнес-процессы, ИТ-инфраструктуру;
- Сохраняем/изменяем ПДн в БД на территории РФ;
- Обеспечиваем «правильную» защиту этой БД (ИСПДн);
- Передаём ПДн из этой БД трансгранично (при необходимости);
- Не забываем про сбор согласий, если они необходимы (это необходимо в случае передачи персональных данных в страну, не входящую в список стран, обеспечивающих адекватную защиту прав субъектов ПДн, либо стран, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн. В этом случае нужно убедиться, что организация не попадает под исключения нового закона и организовать сбор согласий субъектов на трансграничную передачу данных);
- Вносим изменения в уведомление на сайте Роскомнадзора.
Ссылки
- Вот здесь, в прошлом посте, есть детальнее по документам. Если совсем коротко — да, переносить нужно, чтобы не остаться заблокированным на территории РФ. С момента этого поста данные немного обновились, плюс наша команда сделала ещё несколько крупных переносов и пару десятков поменьше — появилось понимание ещё ряда инфраструктурных особенностей.
- Страница «про персональные данные»
- Семинар с деталями и видео
Комментарии (55)
lazoukov
07.07.2015 11:34Интересно, какая-нибудь LAN Airlines уже бросилась переносить дата-центр из Сантьяго в Москву?
KPATKOCTb
07.07.2015 11:42> Но под новые требования не подпадают правоотношения, которые регулируются международными договорами или конвенциями (авиакомпании,…
Об этом же написаноlazoukov
07.07.2015 13:05+1Так-то да, но есть одно но: для авиакомпаний условия получаются очень неодинаковыми. Одна и та же авиакомпания то попадает под действие этого закона, то нет: если рейс внутренний, никакими конвенциями он не регулируется, и надобно данные хранить здесь. А если рейс трансграничный — все, Варшавская конвенция, можно хранить где угодно. Аэрофлот, если не путаю, ушел когда-то в Сабру. Целиком… S7 вроде тоже уходила в европейские облака.
lazoukov
07.07.2015 13:34+2Ну и вишенка на торте: например, если билет покупается у иностранной авиакомпании на внутрироссийский рейс, выполняемый по кодшерингу. Условно говоря, в билете — airberlin, код рейса его же, физически везет S7 (аналогично KLM/Аэрофлот, ElAl/Трансаэро, далее везде). Если билет продан таким образом россиянину — что будет с юридической стороной хранения и обработки ПНд?
sentyaev
07.07.2015 11:48Хм… Видится мне, что для формального соблюдения этого закона достаточно поставить прокси на территории РФ который будет логировать все запросы связанные с обработкой персональных данных и эти логи, формально, являются «первичной базой данной».
Смысл в том, что можно формально соблюсти требования закона и не менять существующую инфраструктуру.lazoukov
07.07.2015 11:55Думается, банки на такое не пойдут никогда.
numberfive
07.07.2015 12:13А как понять, что инфраструктура банка размазана между странами? А как понять, что сейчас ПД ушли за границу или хранятся за границей?
lazoukov
07.07.2015 13:21Ну, в РКН тоже не только идиоты встречаются, особенно на уровне рядовых инспекторов.
numberfive
07.07.2015 15:22+1а существуют примеры предписаний от не идиотов при таких сценариях?
lazoukov
07.07.2015 15:44При сценариях, связанных с обработкой ПД — не встречал никаких. В операторской деятельности — получал, да. Не от идиотов.
plutsik Автор
07.07.2015 13:16-1Цель вносимых законом изменений – это обеспечение работоспособности бизнес-процессов российских компаний в случае возможных проблем с работоспособностью международных сетей и систем.
Логирование не решает проблему, т.к. необходимо обеспечить первоначальное наполнение БД на территории РФ и все последующие модификации с записями в этой базе.
Формально логи «первичной БД» являться не могут, т.к. это именно логи.sentyaev
07.07.2015 13:39+1Дело в том, что если основная задача — обеспечить работоспособность бизнес-процессов российских компаний, то эту проблему должны решать эти самые компании, государство может давать только рекомендации. Т.к. бизнес в состоянии решить готов ли он принять на себя риски работоспособности международных сетей и систем.
В данном случае государство регулирует эти самые бизнес-процессы.
Формально логи «первичной БД» являться не могут, т.к. это именно логи.
Не соглашусь, т.к. базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ). База данных (Википедия)
Я не хочу сказать, что нужно так делать, я лишь вижу как этот закон очень легко обойти с формальной точки зрения.
Есть отличные облачные решения, такие как Azure и Amazon, и я не знаю (к сожалению) альтернатив на территории РФ. Ведь Azure и Amazon предоставляют не только железо или виртуальные машины, они предоставляют готовые решеня.lazoukov
07.07.2015 15:44Там речь об обработке еще.
sentyaev
07.07.2015 17:35Да, про обработку согласен. Там, как я понял из закона, любые манипуляции с этими данными должны быть на территории РФ. Т.е. описанная мной формальность не пройдет.
lazoukov
07.07.2015 19:06Вы, видимо, схему СОРМ в голове собрали — там бы такое могло пройти. :) Но нет, тут именно необходимость не только показать, но и держать и обрабатывать данные среди родимых осин.
Goodkat
07.07.2015 19:44+8Цель вносимых законом изменений – это обеспечение работоспособности бизнес-процессов российских компаний в случае возможных проблем с работоспособностью международных сетей и систем.
Ну это заявленная цель. Об этом законе заговорили пару лет назад, когда некоторые люди начали находить и публиковать данные о зарубежной недвижимости высокопоставленных россиян, которые забыли указать её в налоговой декларации. Теперь источники этих данных и публикации можно будет заблокировать по новому закону.il--ya
14.07.2015 19:54Да-да, всё для дорогих чиновников. И про российскую недвижимость тоже скоро будет узнать крайне проблематично. (http://top.rbc.ru/economics/10/07/2015/559fc1b29a79476031e2c6ad)
Но вообще там много было заинтересованных сторон. Очевидно, выигрывают владельцы центров обработки данных, российские тур. компании, российский интернет-бизнес, соцсети и т.д. Проигрывает — пользователь и потребитель, которому придётся потреблять неконкурентный безальтернативный продукт.
shir
07.07.2015 12:03+17А больше всего напрягает то что никто меня не спросил хочу я или нет чтоб мои персональные данные попадали под действие этого закона. Я вот абсолютно не против что мои данные хранятся где-то там за бугром. Лишь бы мне сообщили об этом. Хотя бы галочкой которую я должен поставить. А страдать от этого буду опять таки я сам.
Matyushko
07.07.2015 12:54+2А в каком законе говорится именно о «первичной (основной)» базе данных, а не просто «с использованием» баз данных?
shifttstas
07.07.2015 13:26+4Неудивительно что вы рады… а большое количество трёх букв в статье вызывает отвращение.
Flying
07.07.2015 13:46+9Возможно для ряда компаний будет дешевле просто не работать с Россией и её гражданами…
Ents
07.07.2015 14:06-5Кому-то будет дешевле не работать. И их место займут другие
lazoukov
07.07.2015 14:25+7Да, но пользователи рискуют здорово потерять в качестве сервиса.
Ents
07.07.2015 14:48-8Есть 3 варианта жить:
1) Узкая специализация страны. Когда мы производим что-то одно (например, нефть), а все остальное покупаем. Путь заведомо в никуда
2) Пытаться самим освоить производство всего. Как пробовали делать в СССР, но даже тогда не хватало на все ресурсов.
3) Приглашать (заставлять?) иностранные компании локализировать производства в России (в данном случае услуги — дата центры). Как по мне — оптимальный путь, что и будет делаться в рамках этого закона
И да, какое-то время пользователям придется потерпеть. В том числе и мне придется переносить сервера БД из Германии
И да, сервера в России будут стоить дороже. Но это создает рабочие места для инженеров, администраторов и т.д.lazoukov
07.07.2015 15:46+15То есть, создавать условия для ведения бизнеса мы не будем, но административно загоним. Ооок…
progchip666
08.07.2015 08:18+2Боюсь в результате не столько загоним административно, сколько разгоним. Крупные конторы будут думать что делать, а мелочь явно предпочтёт просто с этой странной страной дела не иметь. Какой нибудь интернет магазин, торгующий запчастями к авиамоделям что будет ради трёх российских клиентов в месяц тут сервер ставить?
sentyaev
07.07.2015 17:41+4Заставлять плохо.
Большие компании, чтобы не терять долю рынка, перенесут эти данные в РФ, но есть вероятность, что стоимость услуг вырастет.
Небольшим компаниям, скорее всего, это может быть не выгодно и они просто уйдут с нашего рынка, соответственно не будет конкуренции для наших компаний.
И все мы знаем, что бывает если нет конкуренции, но есть спрос — цены растут.
Mendel
08.07.2015 10:11+1п1 вы сами отметаете
п3 вам вроде как уже объяснили
п2 у вас от незнания истории. СССР не пытался сам освоить. ВСЕ заводы, технологии ПОКУПАЛИСЬ (изначально). Не будем акцентировать внимание на том за какие деньги. Главное что покупались. Да потом были смешные истории типа автомата Калашникова или там собственного процессора К580. Но то потом… Вера в легенды и незнание истории ВСЕГДА приводит к одному и тому же результату. История учит только тому, что люди не учатся у истории :)
Так что попытайтесь придумать четвертый вариант)
VGusev2007
07.07.2015 16:56+6Может кто-нибудь адекватно пояснить, как касается сей ФЗ, на обычную фирму, которая имеет локальную инсталляцию 1С, и считает зарплату?
Не ужели выходит, что теперь весь софт должен быть ФСТЭК + и надо на сайте компании писать как хранятся ПД?
gubber
07.07.2015 18:43+2А можно вопрос.
Я разрабатываю сервис, который будут содержать информацию о пользователях ФИО, адрес, телефон, и email. Сервис работает на западном хостинге.
Соответственно, эта информация должна храниться на российском сервере. Если я подниму лёгкий сервис на российском хостинге, который будет хранить эту информацию на российском хостинге. Где можно ознакомится с требованиями к передаче этих данных между модулями одного приложения?
kafeman
07.07.2015 18:55Возможно, не самое удачное место для данного вопроса, но не подскажет ли кто-нибудь, как быть нам с "Клубом анонимных Дедов Морозов" на Хабрахабре?
Сейчас у нас все данные хранятся в Амстердаме. С 1 сентября планируем перенести эти данные в РФ, но так, что они будут в зашифрованном виде. Ключ для расшифровки будет храниться на первом сервере и никогда не покидать пределы ЕС. Все запросы от пользователей идут на сервер в ЕС, сервер в ЕС (если данных нет в кеше), делает запрос в РФ, извлекает зашифрованные данные и расшифровывает на своей стороне. Взаимодействие между пользователем в РФ и сервером в Европе исключительно по HTTPS.
Из ПД храним только почтовые адреса. В личной переписке между пользователей могут храниться номера телефонов. Также не понятно, имеем ли мы право собственно отдавать адрес пользователя его «Деду Морозу»?lazoukov
07.07.2015 19:08Я вас огорчу. Вы обрабатываете данные в Амстердаме, когда их расшифровываете.
kafeman
07.07.2015 19:32Хм, вы правы, я невнимательно прочитал пост.
А если, например, каждый адрес шифруется своим уникальным для пользователя ключом, который отсылается пользователю по HTTPS вместе с зашифрованными данными. Далее JS скрипт расшифровывает их уже в РФ. Для сортировки адресов сами адреса не нужны, достаточно их идентификаторов (адрес №1, адрес №2, адрес №3 и т. д.)
Единственная проблема, которую я пока вижу, это если гражданин РФ заходит на наш сайт не из РФ. В общем, спасибо за замечание, будем думать дальше…lazoukov
05.08.2015 10:16+1Я вам больше скажу — российский гражданин может проживать за пределами России на постоянной основе!
progchip666
08.07.2015 00:20-4БУЗУМНОСТЬ этого закона совершенно очевидно говорит о том, что он изначально писался как закон избирательного действия для блокировки неугодных ресурсов и осуществления контроля над избранными ресурсами, такими как соцсети, поисковые сервисы и т. п.
Ибо любой тролль может зарегистрироваться на сайте какой-нибудь зарубежной газеты или интернет магазина или просто частного блога… После чего сайт в течение трёх дней должен быть заблокирован, а наши судебные приставы отправиться за океан взымать штрафы. Совершенно очевидно что это АБСУРД и в полную силу закон не сможет заработать НИКОГДА.
Под действие закона попадёт только избранный крупняк, типа Facebook. Если он не переносит данные в Россию то его блокируют, если переносит то подпадает под полный контроль. Вот и весь сказ.
numberfive
а что именно будет заблокировано, если речь идет о внутренней инфраструктуре зарубежной компании с российской дочкой?
Rumlin
Поддержу примером как мы широко распространяем информацию о себе. Пример неисправное гарантийное устройство, возьмем сони, (у других примерно также) — при звонке в техподдержку сони они пытаются собрать максимум информации о звонившем (ФИО, телефон, email), при оформлении гарантийного ремонта — собирают полный адрес, откуда надо забрать неисправное устройство. Эти данные из ауткроссинг колл центра передаются еще одним подрядчикам — или подрядчик-сервисный центр или dhl, для доставки в СЦ. Данные широко расходятся. Конкретно у сони база в датацентре в Бельгии, используется по всему проекту — можно найти Ганса в Германии, и Жака во Франции, точно также имеющий доступ к базе в Германии может увидеть Иванова в России с полными контактными данными.
Как многие помнят сони взламывали хакеры, поэтому возможно данные клиентов уже где-то у третьих лиц.
mrvorazan
Ну данный закон неособо влияет на защищенность моих персональных данных, а говорит только о том, что первый fingerprint данных должен быть в базе, хранимой на серверах в России. Т.е. дальше они также уйдут за пределы страны и там их безопасность ничем не обеспечена. (как и если они хранятся в россии)
numberfive
законы вообще не влияют на защищенность данных)
Mendel
Все законы о персональных данных влияют на их защищенность. В худшую сторону.
К примеру требование о том, что список всех у кого есть персональные данные должен храниться в отдельной базе у государства. Сам факт существования такой базы увеличивает уязвимость этих данных. База покупается у сотрудников ведомства, купивший базу по метаданным может оптимизировать свой вектор атаки на приваси. Например узнать о каких-то дополнительных базах с большим покрытием, о сотрудниках за них отвечающих… Если же у атакующего будут не только база, но и корочки, то атака еще проще.
В общем я дважды сталкивался с тем, что органы «просят» доступ к базе. Но там про существование базы было известно всем. Но реально атака начинается не с корочки, компромата или подкупа, а с желания базу заполучить. А перед желанием нужно еще узнать о факте ее существования, и хоть какие-то метаданные…
dyadyaSerezha
И как на все это повлияет перенос данных в РФ?
Кроме того, никто не может контролировать копирование всех данных на зарубежные сервера, а в нормальных компаниях данные разманы/клонированы по всему миру.
А что делать сотням тысяч небольших интернет-фирм, у которых 1-10-100 клиентов из РФ? В общем градус бредовости закона не понизился.
Vilgelm
Насколько я понимаю, тем кто не имеет тут филиалов (российских юрлиц) ничего не грозит, так? То есть, если какой-нибудь Aliexpress там или Cabelas не имеет юрлица в этой стране, то для него ничего не меняется и блокировать его не будут?
Mendel
Пока не будут. Детей тоже изначально от пиратских книг не защищали…
plutsik Автор
Если я правильно понял вопрос, то заблокирован может быть только интернет-ресурс, обрабатывающий персональные данные с нарушениями законодательства (ст.15.5 ФЗ-149).
В случае, если речь о возможных нарушениях в обработке персональных данных во внутренней инфраструктуре (без «лица» в интернет которого в принципе нет), то эти нарушения выявляются в ходе проверок РКН с последующими административными взысканиями.