Немного понагнетаем: стало понятнее, что будет с персональными данными после 1 сентября 2015

4b046fec2c8648898f41c2f7b2076e7e.png
Штрафы за разные нарушения суммируются.

242-ФЗ подсказывает нам, что оператор обязан обеспечить запись, хранение, изменение и извлечение персональных данных граждан Российской Федерации (это всё, что прямо или косвенно относится к субъекту ПДн. И номер телефона, и даже уровень защищенности его данных можно отнести сюда согласно 152-ФЗ) с использованием баз данных, находящихся на территории Российской Федерации. С 1 сентября 2015 года. За использование первичной базы за пределами РФ вам светит относительно небольшой штраф и, что куда хуже, блокировка ресурсов в течение 3 рабочих дней с даты судебного решения. При этом разблокировать доступ и «выйти» из реестра можно будет только по решению суда.

Кто переносится


Точной статистики, какой объём персональных данных россиян хранится за пределами РФ, конечно, нет. Достаточно много ПД хранится в США, Германии, Англии, Франции и других европейских странах, поскольку там наиболее развита индустрия хостинг-провайдеров. Логично, что российские регуляторы усмотрели ряд рисков в этом. Прежде всего речь идет о рисках, связанных с соблюдением прав субъектов персональных данных, а также вероятности потери связи с внешними центрами обработки данных по причине введения санкций. Поэтому держите новый закон.

Под действие 242-ФЗ подпадают все зарубежные компании, которые имеют отделения в нашей стране, международные сервисы, туристические фирмы — представители иностранных компаний, «дочки» зарубежных банков и т. д. Но под новые требования не подпадают правоотношения, которые регулируются международными договорами или конвенциями (авиакомпании, журналистская деятельность и ряд других областей). Остальные должны переехать. Те же eBay, Google, PayPal и многие другие уже заявили о готовности продолжать бизнес в России. Тяжелее всего процесс даётся, пожалуй, банкам — исключений для них нет, а архитектура ИТ-инфраструктуры у них обычно такова, что перенос даётся довольно тяжело.

Вот иностранные компании, работающие на нашем рынке. Обратите внимание, что у отечественной компании базы данных могут быть за пределами РФ (например, на «Амазоне»), поэтому фактический процент тех, кому нужно переходить, выше.

498f07c03c2445038d3b2670f4607110.png

У крупных международных компаний обычная архитектура — «колесо и спицы», где в роли основного информационного центра выступает головной офис или ЦОД (например, в США). В РФ таким компаниям придётся поднимать ещё одну площадку — либо свой региональный дата-центр, либо вставать на колокацию к кому-то ещё. Собственно, многие встают к нам в КРОК благодаря наличию уже сертифицированных ФСТЭК и ФСБ решений в TIER-III TIA+UI (по facility) дата-центре.

Как выглядит обычный перенос крупной системы


Это достаточно продолжительный и мучительный процесс:

  • Оценка необходимых ресурсов — 2 недели;
  • Процесс выбора поставщика — 2 недели;
  • Анализ систем — 1 неделя;
  • Тестирование миграции — 1 неделя;
  • Ожидание оборудования — 6–8 недель;
  • Перенос данных — 2–4 недели;
  • Проверка перенесенных данных — 1 неделя.


Итого более 4 месяцев. Мой опыт переносов — от 2 недель для относительно простой инфраструктуры до 3 месяцев. Проблема обычно не только в том, что база данных тащит за собой ещё множество компонентов инфраструктуры, но и в том, что для многих (например, банков) важна непрерывность бизнеса. Поддерживается работоспособность систем заказчика на любом из этапов «переезда».

Переносить чаще всего нужно:

  • Онлайн-сервисы: интернет-магазин; портал для клиентов.
  • Бизнес-приложения: CRM; HRMS.
  • Инфраструктурные приложения: почту; корпоративный форум.

На стороне РФ нужны:

  • дата-центры (или серверные, лучше 2 штуки, основная и резервная, хотя в некоторых случаях юристы утверждают, что бекап можно хранить за пределами РФ; закон говорит о том, что при сборе переданных компаниям данных нужно обеспечить первоначальное накопление, хранение и обработку их на территории России. После чего уже можно передавать эти данные за рубеж);
  • Вычислительные ресурсы — собственно, сами сервера и СХД;
  • Инфраструктурное ПО — это новые лицензии для площадки в РФ;
  • Каналы связи;
  • Инженерные ресурсы;
  • Поддержка + SLA;
  • Разработка механизмов миграции, синхронизации и консолидации данных.

Вот почему процедура достаточно сложная, и многие не строят свой ЦОД, а встают в уже предназначенные для этого. У нас, например, многих радует наше защищённое облако, где есть:

  • Сертифицированный ФСТЭК гипервизор VMWare;
  • Межсетевое экранирование (FW) — сертификация ФСТЭК; криптографическая защита каналов связи (IPSec VPN) — сертификация ФСБ;
  • Предотвращение вторжение (IPS) — сертификация ФСТЭК;
  • Глубокая фильтрация web-трафика (WAF);
  • Антивирусная защита сетевого трафика;
  • И любые другие средства защиты, способные работать в виртуальной среде VMware.


При переносе базы данных мы всегда отделяем инфраструктуру одного заказчика от всех остальных.

Информационная безопасность


Новое законодательство требует:
1. Перенести ПД в РФ.
2. И при этом также защитить данные в достаточно хорошей степени.

49ded192083c47a1a69845c39d0c1c15.png

Надо отметить, что законодательная инициатива напрямую связана с программой импортозамещения в ИТ. Регуляторы стимулируют по максимуму использовать имеющиеся отечественные технические ресурсы, программное обеспечение и другие разработки. Однако полного импортозамещения в ИТ-сфере достичь сегодня сложно.

0f84796b33804ea8af061e53d9d1936b.png

По системам ИБ есть пара интересных особенностей. У нас довольно много хороших производителей, прошедших отечественную сертификацию и делающих то, что подпадёт под определение «отечественного ПО», то есть получит приоритет для использования в госорганах (идёт обсуждение возможного расширения на госкомпании и госкорпорации).

Проверки


1009aaa516b642a59fc0b360198cd8b7.png

Проверки будут проводиться, плюс за вами будут наблюдать без прямого взаимодействия.

Условия для проведения внеплановых проверок:
1. Истечение срока исполнения предписания.
2. Обращения граждан (требует согласования с органами прокуратуры).
3. Информация от органов государственной власти (ОГВ), органов местного самоуправления (ОМСУ) и СМИ о фактах нарушения законодательства.
4. Поручения Президента и Правительства РФ.
5. Нарушения по итогам систематического наблюдения.
6. Несоответствие сведений, содержащихся в уведомлении, фактической деятельности.
7. Неисполнение требований Роскомнадзора (РКН) об устранении нарушения.
8. На основании требования прокуратуры.

Критерии включения в план проверок:
1. Трёхлетний период с момента окончания проведения последней плановой проверки.
2. Информация от ОГВ, ОМСУ и СМИ о фактах нарушения законодательства и результаты систематического наблюдения.
3. Обработка ПДн значительного числа субъектов ПДн/биометрии/специальных категорий ПДн.
4. Непредставление информации, в том числе уведомительного характера, в соответствии с ФЗ-152.

Итого


• появился чёрный список нарушителей прав субъектов ПДн;
• появились систематические наблюдения за операторами;
• увеличились штрафы за нарушения обработки ПДн;
• участились проверки РКН и расширились основания.

Если вы собираете ПДн граждан РФ в любых объёмах, то вот что надо делать:

  • Реорганизовываем бизнес-процессы, ИТ-инфраструктуру;
  • Сохраняем/изменяем ПДн в БД на территории РФ;
  • Обеспечиваем «правильную» защиту этой БД (ИСПДн);
  • Передаём ПДн из этой БД трансгранично (при необходимости);
  • Не забываем про сбор согласий, если они необходимы (это необходимо в случае передачи персональных данных в страну, не входящую в список стран, обеспечивающих адекватную защиту прав субъектов ПДн, либо стран, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн. В этом случае нужно убедиться, что организация не попадает под исключения нового закона и организовать сбор согласий субъектов на трансграничную передачу данных);
  • Вносим изменения в уведомление на сайте Роскомнадзора.

Ссылки


  • Вот здесь, в прошлом посте, есть детальнее по документам. Если совсем коротко — да, переносить нужно, чтобы не остаться заблокированным на территории РФ. С момента этого поста данные немного обновились, плюс наша команда сделала ещё несколько крупных переносов и пару десятков поменьше — появилось понимание ещё ряда инфраструктурных особенностей.
  • Страница «про персональные данные»
  • Семинар с деталями и видео

© Habrahabr.ru