Персональные данные: dura lex, sed lex

В последнее время защита персональных данных стала одним из наиболее актуальных для организаций вопросов. Её считают даже одним из драйверов развития рынка коммерческих ЦОД. Однако готовых предложений услуг хостинга информационных систем, обрабатывающих персональные данные по требованиям закона, на рынке услуг ЦОД пока немного.3b1d4078902e4e03b60b3cb2341fabc3.jpg По прогнозу iKS-Consulting, к 2018 году российский рынок ЦОД вырастет почти вдвое по сравнению с началом 2015 года и превысит 26,3 млрд. рублей, а количество установленных стоек в коммерческих дата-центрах увеличится до 48,3 тыс. Вступление в силу ФЗ № 152 «О персональных данных», требующего хранения персональных данных на территории РФ, в ближайшей перспективе станет одним из ключевых факторов его роста. Кроме того, ужесточение законодательства в финансовой и банковской сферах, а также растущая конкуренция в телекоммуникационной отрасли и розничной торговле и повышенные требования к надёжности будут подталкивать все большее число компаний к использованию услуг коммерческих ЦОД.По оценкам аналитической компании PMR, в 2014 году объём рынка коммерческих услуг дата-центров в России достиг 11,7 млрд рублей, что на 20,4% больше, чем годом ранее. Этот рост аналитики связывают с развитием отечественной интернет-экономики и увеличивающимися объёмами данных в корпоративных ИТ-системах. Возрос спрос на услуги «колокейшн», когда провайдер размещает оборудование клиента в дата-центре, обеспечивает обслуживание и подключение к каналам связи. Больше 50% расходов на такие услуги приходится на долю банков, использующих сторонние ЦОД для резервного копирования данных и дублирования ИТ-систем. Финансовые учреждения, как правило, арендуют площадь для 5–15 стоек.Хранить дома Федеральный закон № 152 «О персональных данных» (ФЗ-152), регулирующий деятельность по обработке (использованию) персональных данных, был принят Госдумой 8 июля 2006 года и одобрен Советом Федерации 14 июля 2006 года, а президент подписал его 27 июля 2006 года. ФЗ-152, статья 1, п.1 регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях.Летом 2014 года были приняты поправки, обязывающие организации хранить персональные данные россиян на серверах, находящихся на территории России (ст. 2 Федерального закона № 242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»).

Закон суров, но это закон. Предполагалось, что новые правила начнут действовать с 1 сентября 2016 года. Однако в сентябре 2014 года комитет Госдумы по информационной политике рекомендовал одобрить поправку, по которой закон должен был начать действовать с 1 января 2015 года. Но из-за того, что бизнес не успевал подготовиться к вступлению закона в силу, в начале декабря 2014 года Госдума окончательно сдвинула срок на сентябрь 2015 года.

Поправки затрагивают не только интернет-магазины, социальные сети и организации, оказывающие туристические услуги, но и все компании, так или иначе использующие в работе с персональной информацией граждан зарубежные ЦОД. То есть коснуться это может практически любой компании, поскольку обработкой персональных данных занимаются почти все организации: как минимум, это обработка данных своих сотрудников.

Персональные данные Согласно ФЗ-152 (статья 3, п.1), персональные данные — это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе фамилия, имя, отчество; год, месяц, дата и место рождения; адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация. Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ.Персональные данные разделяют на четыре категории:

Персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. Персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением относящихся к категории 1. Персональные данные, позволяющие идентифицировать субъекта персональных данных. Обезличенные и (или) общедоступные персональные данные. Между тем Роскомнадзор пока не уточнил, что же считается персональными данными. Так, например, недавно было предложено расширить это понятие, включив в него информацию о действиях пользователей в интернете, например, в соцсетях. Неясной остается и возможность дублирования персональных данных на серверах за рубежом. Конкретных положений на этот счет и ответственности за их нарушение закон не содержит. Пока же получается, что по российскому праву любую информацию можно считать персональными данными, даже если речь идет об имени и фамилии в системе электронной почты.Операторы персональных данных Государственный, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами, организующие или осуществляющие обработку персональных данных, являются операторами персональных данных. Обработка персональных данных — это любое действие с ними. В соответствии с ч.1 ст. 22 ФЗ-152, оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своём намерении осуществлять их обработку. Исключение составляют несколько случаев, описанных в ч.2 ст. 22 ФЗ-152.Например, к операторам персональных данных относятся финансовые и страховые организации, предприятия розничной торговли, использующие программы лояльности, медицинские учреждения, учебные учреждения, социальные учреждения, представительства зарубежных компаний, осуществляющие обработку персональных данных российских граждан, а также прочие организации, работающие с физическими лицами.

Какие же меры реагирования будут применяться в отношении нарушителей? Это может быть административный штраф, включение компании в реестр нарушителей или блокирование сайта, на котором осуществляется обработка персональных данных. Вести «Реестр нарушителей прав субъектов персональных данных» должен Роскомнадзор, а основанием для включения в список будет имеющий законную силу судебный акт.

Данные переезжают в Россию Где же должны храниться и обрабатываться персональные данные? Можно ли их оператору пользоваться услугами стороннего дата-центра? Как операторам персональных данных подготовиться к исполнению закона? В целом бизнес-сообщество пока не вполне понимает, как работать по новому закону — какие именно данные относятся к персональным и подлежат защите, можно ли иметь копии баз за рубежом, затронут ли нововведения популярные иностранные сервисы, связанные с бронированием номеров в зарубежных отелях, заказа такси, билетов и представителей других видов деятельности, интегрированных в мировое информационное пространство.Роскомнадзор начал готовить подзаконные акты с уточнением положений законов, которые неоднозначно воспринимались ИТ-экспертами. Так, например, в ведомстве решили, что персональные данные россиян должны храниться только в России, хотя такого требования в законе не было.

Тем временем ведущие мировые ИТ-компании уже начали переводить данные своих российских пользователей на серверы, находящиеся на территории РФ. Среди таких компаний — eBay, PayPal, AliExpress, Google, Visa и Mastercard. Однако иностранным интернет-сервисам не обязательно переносить в Россию все персональные данные своих клиентов-россиян. Здесь должны храниться данные только новых клиентов — полученные после 1 сентября, когда вступает в силу закон об их обязательном хранении на территории России. Это достаточно небольшой объём данных, что значительно облегчает задачу.

Согласно закону ФЗ-242, при сборе персональных данных, в том числе через интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, обновление, изменение или извлечение персональных данных граждан России с использованием баз данных, находящихся в РФ. Операторы персональных данных должны не только хранить такую информацию внутри страны, но и пройти регистрацию в соответствующих органах, в том числе указав, где именно хранятся данные, и представив ряд других сведений, принять обязательства по предоставлению информации из таких баз данных правоохранительным ведомствам по установленным законом правилам.

Текущая ситуация, связанная с законом о хранении персональных данных, в целом положительно сказывается на компаниях-поставщиках ЦОД и облачных решений. Принятый закон о хранении персональных данных в России привёл к повышению спроса на услуги ЦОД. По мнению экспертов рынка, практика строительства собственных ЦОД в России зарубежными компаниями не будет особенно популярна, так как у них есть возможность размещать часть нагрузок на территории РФ, сотрудничая с крупными российскими провайдерами.

К тому же есть варианты, которые позволяют зарубежным компаниям остаться в правовом поле РФ с минимальными рисками и затратами. Одним из выходов является предоставление облачных сервисов, позволяющих контролировать расположение данных. Именно использование облачных ЦОД позволит минимизировать риски и при этом максимально быстро реализовать комплекс мероприятий по приведению в соответствие с требованиями ФЗ механизмов хранения и обработки персональных данных россиян.

Кроме того, в период кризиса бюджеты на построение собственной инфраструктуры будут сокращаться, поэтому будет расти востребованность виртуальных ресурсов. При аренде ресурсов ИТ фактически оплачиваются только потребляемые мощности. Это ведёт к оптимизации затрат.

Выбор поставщика услуг Компании зачастую имеют достаточно поверхностное представление о законе «О персональных данных», слабо представляют, как правильно защищать персональные данные, и что нужно, чтобы пройти проверку надзорных органов.В зависимости от категорий обрабатываемых персональных данных, их объёма и актуальных угроз требуется принятие мер для обеспечения их безопасности, в частности, серверов. Клиентам, которые хотят полностью выполнять требования законодательства и не иметь проблем с регулирующими органами, необходимо учитывать риски размещения своих серверов с персональными данными в стороннем ЦОД и внимательно подходить к выбору хостинг-провайдера.

Необходимо детально проверять хостинг на наличие необходимых лицензий ФСТЭК на деятельность по технической защите конфиденциальной информации, лицензий ФСБ на предоставление услуг с использованием шифровальных (криптографических) средств, а также применения сертифицированных средств защиты информации при предоставлении услуг хостинга.

Нередко ошибочно думают, что ЦОД должен быть сертифицирован на соответствие ФЗ-152. Вопрос о соответствии ЦОД требованиям ФЗ-152 «О персональных данных» — один из наиболее часто задаваемых заказчиками владельцам коммерческих центров обработки данных. Однако такой сертификации для ЦОД не существует. Правильнее интересоваться соответствием услуг ЦОД техническим требованиям защиты конфиденциальной информации (ТЗКИ) с необходимым уровнем защищённости.

Клиенты, планирующие размещение персональных данных в стороннем ЦОД, могут защищать свои персональные данные самостоятельно, с привлечением юридического консультанта или без него, либо искать комплексные услуги ЦОД с предоставлением услуг защиты персональных данных и юридическим обслуживанием. Последний вариант пока не распространён на рынке и зачастую не отвечает всем требованиям заказчика (техническим, юридическим или коммерческим).

Не стоит думать, что приобретение услуги ЦОД, соответствующего требованиям ФЗ-152, — достаточное условие для соблюдения закона. ТЗКИ должна соответствовать вся информационная система — от физической безопасности оборудования до ПО для хранения и обработки персональных данных. Аттестация же на соответствие ФЗ-152 носит индивидуальный характер: соответствующие проекты включают в себя, наряду с установкой программных и аппаратных средств защиты данных, аудит процессов клиентов. При этом аттестуется система обработки персональных данных и комплексы её защиты, а не ЦОД как таковой.

Помимо технической защиты персональных данных закон накладывает ряд административных требований, большинство которых сводится к наличию в компании тех или иных документов, которые необходимо поддерживать в актуальном состоянии. Они необходимы, чтобы пройти проверку со стороны Роскомнадзора.

Комплексных предложений на рынке, сочетающих в себе услуги ЦОД, обеспечение технической защиты конфиденциальных данных, ведение документации и юридический консалтинг, пока что достаточно мало. Как правило, дата-центры нацелены на предоставление технических услуг, но редко оказывают полноценные юридические услуги, не имея соответствующей экспертизы.

И это одна из причин того, почему, несмотря на очевидную актуальность и востребованность услуг хостинга информационных систем, обрабатывающих персональные данные по требованиям закона, готовых предложений на рынке услуг ЦОД пока немного. Одним из первых таких предложений на российском рынке стала услуга «защищенный виртуальный ЦОД» (VDC.152) компании SAFEDATA.

Защищённый виртуальный ЦОД VDC.152 — это отдельная, защищённая виртуальная инфраструктура для размещения и обработки персональных данных. На базе ресурсов виртуального ЦОД заказчик может создавать ИТ-инфраструктуру любой сложности. Услуга VDC построена согласно модели IaaS. Инфраструктура VDC строится на базе сети дата-центров SAFEDATA, аппаратных и программных решений ведущих производителей.Услуга VDC.152 предназначена для заказчиков, бизнес-процессы которых связаны с обработкой и хранением персональных данных российских граждан. Она была разработана с учётом всех требований, предъявляемых к данным процессам.

Важно, что VDC.152 может предусматривать сертификацию платформы виртуализации, систем хранения данных, гипервизоров и системы управления, предоставление клиентам сервисов безопасности на основе сертифицированных средств защиты. Аттестацию информационной системы заказчик может выполнить самостоятельно или с помощью специалистов SAFEDATA, подготавливающих всю необходимую документацию. Аттестация информационной системы персональных данных на базе услуги VDC.152 осуществляется лицензиатом ФСТЭК России.

Услуга «защищённый виртуальный ЦОД» освобождает оператора персональных данных от затрат на создание собственной безопасной ИТ-инфраструктуры и владение ею, а также от юридической ответственности для выполнения требований ФЗ-152. Она позволяет клиентам использовать ИТ-ресурсы и ПО провайдера, а высококвалифицированный персонал обеспечивает сопровождение ИТ-инфраструктуры в режиме 24×7. Дополнительные преимущества для клиента заключаются в том, что ему не нужно самому актуализировать инфраструктуру ИТ согласно текущим изменениям в законодательстве — этим занимается оператор ЦОД.

Такая услуга актуальна для многих категорий заказчиков и видов информационных систем, среди которых интернет-магазины, HR-системы, системы маркетинговых исследований, медицинские системы, системы биллинга и управления услугами и др. Она может быть востребована всеми законопослушными операторами персональных данных, кто хочет привести персональные данные в соответствие с требованиями ФЗ-152.Комплекс организационно-технических мер обеспечивает всестороннюю защиту от различных угроз со стороны обслуживающего персонала и со стороны других клиентов дата-центра. Система аттестована ФСБ и ФСТЭК как полностью соответствующая всем требованиям для размещения персональных данных, а SAFEDATA выступает в роли ответственного оператора их обработки.

3dfd33e569054db7be087ead3e2dabc4.png Защищённая виртуальная инфраструктура, соответствующая требованиям ФЗ-152, размещается в ЦОД уровня TIER III (TIA-942). Защита элементов инфраструктуры ИСПДн осуществляется программными и аппаратными средствами сертифицированными ФСТЭК (не криптографические СЗИ) и ФСБ (криптографические СЗИ).Архитектура VDC.152 включает в себя аппаратную платформу (серверы, сетевое оборудование), сеть хранения данных (СХД и коммутирующее оборудование), а программное обеспечение — системное ПО виртуализации, систему управления ресурсами и виртуальной средой, виртуальные машины (операционная система и прикладное ПО). Для безопасного доступа используется шифрованный туннель (согласно ГОСТ) и оборудование, сертифицированное ФСТЭК. Защиту информации обеспечивают криптошлюз и межсетевой экран VipNet Coordinator HW 1000, СЗИ НСД «Аккорд-В для ESXi-серверов», средства защиты информации для виртуальной инфраструктуры на базе систем VMware vSphere (СЗИ НСД «Аккорд-В» для vCenter), а также антивирус, межсетевой экран, система обнаружения и предотвращения вторжений Trend Micro Deep Security 8.0.

Стоит отметить также, что группа SAFEDATA владеет сетью дата-центров, построенных в соответствии с требованиями международных стандартов TIA-942 (TIER III). Дата-центры SAFEDATA с общей площадью помещений более 5500 кв.м. и площадью технологических площадок для размещения оборудования 3000 кв.м. имеют подключение к ММТС-9 и ММТС-10, точкам обмена трафиком MSK-IX.

Как показывают опросы, в настоящее время большинство провайдеров услуг ЦОД предусматривают заключение с клиентами соглашения SLA. В случае защищённого виртуального ЦОД от SAFEDATA в нем зафиксированы конкретные метрики по уровню доступности, IOPS, времени доступа ВМ к дисковым накопителям, технической поддержке и др.

78bde1f31a3e40df8b66acd9d79de83b.png Уровень сервиса VDC.152 (SLA).Кроме того, один из дата-центров SAFEDATA подтвердил соответствие требованиям стандарта PCI DSS 3.0 в части обеспечения физической безопасности. Эта площадка открыта для размещения вычислительных мощностей и сетевого оборудования участников индустрии платёжных карт. Поставщик услуг берёт на себя физическую защиту серверов, участвующих в обработке платежных транзакций по банковским картам. Такая сертификация важна для заказчиков из финансовой отрасли.

Каждому оператору персональных данных необходимо выбирать решение, подходящее именно для него. VDC.152 — это не только соответствие законодательству о защите персональных данных без закупки и эксплуатации технических средств защиты (защита ИСПДн), но и масштабируемость без капитальных затрат и в короткие сроки, непрерывная техническая поддержка. Услуга VDC.152 может стать для клиентов оптимальным вариантом по целому ряду параметров. Тем более, что в обязанности SAFEDATA входит подготовка комплекта документов и услуги по аттестации решения.

Наш предыдущий пост: — ЦОД SAFEDATA: три в одном. Хроники миграции

© Habrahabr.ru