Немного понагнетаем: стало понятнее, что будет с персональными данными после 1 сентября 2015


    Штрафы за разные нарушения суммируются.

    242-ФЗ подсказывает нам, что оператор обязан обеспечить запись, хранение, изменение и извлечение персональных данных граждан Российской Федерации (это всё, что прямо или косвенно относится к субъекту ПДн. И номер телефона, и даже уровень защищенности его данных можно отнести сюда согласно 152-ФЗ) с использованием баз данных, находящихся на территории Российской Федерации. С 1 сентября 2015 года. За использование первичной базы за пределами РФ вам светит относительно небольшой штраф и, что куда хуже, блокировка ресурсов в течение 3 рабочих дней с даты судебного решения. При этом разблокировать доступ и «выйти» из реестра можно будет только по решению суда.


    Кто переносится


    Точной статистики, какой объём персональных данных россиян хранится за пределами РФ, конечно, нет. Достаточно много ПД хранится в США, Германии, Англии, Франции и других европейских странах, поскольку там наиболее развита индустрия хостинг-провайдеров. Логично, что российские регуляторы усмотрели ряд рисков в этом. Прежде всего речь идет о рисках, связанных с соблюдением прав субъектов персональных данных, а также вероятности потери связи с внешними центрами обработки данных по причине введения санкций. Поэтому держите новый закон.

    Под действие 242-ФЗ подпадают все зарубежные компании, которые имеют отделения в нашей стране, международные сервисы, туристические фирмы — представители иностранных компаний, «дочки» зарубежных банков и т. д. Но под новые требования не подпадают правоотношения, которые регулируются международными договорами или конвенциями (авиакомпании, журналистская деятельность и ряд других областей). Остальные должны переехать. Те же eBay, Google, PayPal и многие другие уже заявили о готовности продолжать бизнес в России. Тяжелее всего процесс даётся, пожалуй, банкам — исключений для них нет, а архитектура ИТ-инфраструктуры у них обычно такова, что перенос даётся довольно тяжело.

    Вот иностранные компании, работающие на нашем рынке. Обратите внимание, что у отечественной компании базы данных могут быть за пределами РФ (например, на «Амазоне»), поэтому фактический процент тех, кому нужно переходить, выше.



    У крупных международных компаний обычная архитектура — «колесо и спицы», где в роли основного информационного центра выступает головной офис или ЦОД (например, в США). В РФ таким компаниям придётся поднимать ещё одну площадку — либо свой региональный дата-центр, либо вставать на колокацию к кому-то ещё. Собственно, многие встают к нам в КРОК благодаря наличию уже сертифицированных ФСТЭК и ФСБ решений в TIER-III TIA+UI (по facility) дата-центре.

    Как выглядит обычный перенос крупной системы


    Это достаточно продолжительный и мучительный процесс:
    • Оценка необходимых ресурсов — 2 недели;
    • Процесс выбора поставщика — 2 недели;
    • Анализ систем — 1 неделя;
    • Тестирование миграции — 1 неделя;
    • Ожидание оборудования — 6–8 недель;
    • Перенос данных — 2–4 недели;
    • Проверка перенесенных данных — 1 неделя.

    Итого более 4 месяцев. Мой опыт переносов — от 2 недель для относительно простой инфраструктуры до 3 месяцев. Проблема обычно не только в том, что база данных тащит за собой ещё множество компонентов инфраструктуры, но и в том, что для многих (например, банков) важна непрерывность бизнеса. Поддерживается работоспособность систем заказчика на любом из этапов «переезда».

    Переносить чаще всего нужно:
    • Онлайн-сервисы: интернет-магазин; портал для клиентов.
    • Бизнес-приложения: CRM; HRMS.
    • Инфраструктурные приложения: почту; корпоративный форум.


    На стороне РФ нужны:
    • дата-центры (или серверные, лучше 2 штуки, основная и резервная, хотя в некоторых случаях юристы утверждают, что бекап можно хранить за пределами РФ; закон говорит о том, что при сборе переданных компаниям данных нужно обеспечить первоначальное накопление, хранение и обработку их на территории России. После чего уже можно передавать эти данные за рубеж);
    • Вычислительные ресурсы – собственно, сами сервера и СХД;
    • Инфраструктурное ПО – это новые лицензии для площадки в РФ;
    • Каналы связи;
    • Инженерные ресурсы;
    • Поддержка + SLA;
    • Разработка механизмов миграции, синхронизации и консолидации данных.


    Вот почему процедура достаточно сложная, и многие не строят свой ЦОД, а встают в уже предназначенные для этого. У нас, например, многих радует наше защищённое облако, где есть:
    • Сертифицированный ФСТЭК гипервизор VMWare;
    • Межсетевое экранирование (FW) — сертификация ФСТЭК; криптографическая защита каналов связи (IPSec VPN) — сертификация ФСБ;
    • Предотвращение вторжение (IPS) — сертификация ФСТЭК;
    • Глубокая фильтрация web-трафика (WAF);
    • Антивирусная защита сетевого трафика;
    • И любые другие средства защиты, способные работать в виртуальной среде VMware.

    При переносе базы данных мы всегда отделяем инфраструктуру одного заказчика от всех остальных.

    Информационная безопасность


    Новое законодательство требует:
    1. Перенести ПД в РФ.
    2. И при этом также защитить данные в достаточно хорошей степени.



    Надо отметить, что законодательная инициатива напрямую связана с программой импортозамещения в ИТ. Регуляторы стимулируют по максимуму использовать имеющиеся отечественные технические ресурсы, программное обеспечение и другие разработки. Однако полного импортозамещения в ИТ-сфере достичь сегодня сложно.



    По системам ИБ есть пара интересных особенностей. У нас довольно много хороших производителей, прошедших отечественную сертификацию и делающих то, что подпадёт под определение «отечественного ПО», то есть получит приоритет для использования в госорганах (идёт обсуждение возможного расширения на госкомпании и госкорпорации).

    Проверки




    Проверки будут проводиться, плюс за вами будут наблюдать без прямого взаимодействия.

    Условия для проведения внеплановых проверок:
    1. Истечение срока исполнения предписания.
    2. Обращения граждан (требует согласования с органами прокуратуры).
    3. Информация от органов государственной власти (ОГВ), органов местного самоуправления (ОМСУ) и СМИ о фактах нарушения законодательства.
    4. Поручения Президента и Правительства РФ.
    5. Нарушения по итогам систематического наблюдения.
    6. Несоответствие сведений, содержащихся в уведомлении, фактической деятельности.
    7. Неисполнение требований Роскомнадзора (РКН) об устранении нарушения.
    8. На основании требования прокуратуры.

    Критерии включения в план проверок:
    1. Трёхлетний период с момента окончания проведения последней плановой проверки.
    2. Информация от ОГВ, ОМСУ и СМИ о фактах нарушения законодательства и результаты систематического наблюдения.
    3. Обработка ПДн значительного числа субъектов ПДн/биометрии/специальных категорий ПДн.
    4. Непредставление информации, в том числе уведомительного характера, в соответствии с ФЗ-152.

    Итого


    • появился чёрный список нарушителей прав субъектов ПДн;
    • появились систематические наблюдения за операторами;
    • увеличились штрафы за нарушения обработки ПДн;
    • участились проверки РКН и расширились основания.

    Если вы собираете ПДн граждан РФ в любых объёмах, то вот что надо делать:
    • Реорганизовываем бизнес-процессы, ИТ-инфраструктуру;
    • Сохраняем/изменяем ПДн в БД на территории РФ;
    • Обеспечиваем «правильную» защиту этой БД (ИСПДн);
    • Передаём ПДн из этой БД трансгранично (при необходимости);
    • Не забываем про сбор согласий, если они необходимы (это необходимо в случае передачи персональных данных в страну, не входящую в список стран, обеспечивающих адекватную защиту прав субъектов ПДн, либо стран, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн. В этом случае нужно убедиться, что организация не попадает под исключения нового закона и организовать сбор согласий субъектов на трансграничную передачу данных);
    • Вносим изменения в уведомление на сайте Роскомнадзора.


    Ссылки


    • Вот здесь, в прошлом посте, есть детальнее по документам. Если совсем коротко — да, переносить нужно, чтобы не остаться заблокированным на территории РФ. С момента этого поста данные немного обновились, плюс наша команда сделала ещё несколько крупных переносов и пару десятков поменьше — появилось понимание ещё ряда инфраструктурных особенностей.
    • Страница «про персональные данные»
    • Семинар с деталями и видео
    КРОК
    266.30
    №1 по ИТ-услугам в России
    Share post

    Comments 55

      +5
      а что именно будет заблокировано, если речь идет о внутренней инфраструктуре зарубежной компании с российской дочкой?
        –2
        Поддержу примером как мы широко распространяем информацию о себе. Пример неисправное гарантийное устройство, возьмем сони, (у других примерно также) — при звонке в техподдержку сони они пытаются собрать максимум информации о звонившем (ФИО, телефон, email), при оформлении гарантийного ремонта — собирают полный адрес, откуда надо забрать неисправное устройство. Эти данные из ауткроссинг колл центра передаются еще одним подрядчикам — или подрядчик-сервисный центр или dhl, для доставки в СЦ. Данные широко расходятся. Конкретно у сони база в датацентре в Бельгии, используется по всему проекту — можно найти Ганса в Германии, и Жака во Франции, точно также имеющий доступ к базе в Германии может увидеть Иванова в России с полными контактными данными.
        Как многие помнят сони взламывали хакеры, поэтому возможно данные клиентов уже где-то у третьих лиц.
          +3
          Ну данный закон неособо влияет на защищенность моих персональных данных, а говорит только о том, что первый fingerprint данных должен быть в базе, хранимой на серверах в России. Т.е. дальше они также уйдут за пределы страны и там их безопасность ничем не обеспечена. (как и если они хранятся в россии)
            +6
            законы вообще не влияют на защищенность данных)
              0
              Все законы о персональных данных влияют на их защищенность. В худшую сторону.
              К примеру требование о том, что список всех у кого есть персональные данные должен храниться в отдельной базе у государства. Сам факт существования такой базы увеличивает уязвимость этих данных. База покупается у сотрудников ведомства, купивший базу по метаданным может оптимизировать свой вектор атаки на приваси. Например узнать о каких-то дополнительных базах с большим покрытием, о сотрудниках за них отвечающих… Если же у атакующего будут не только база, но и корочки, то атака еще проще.
              В общем я дважды сталкивался с тем, что органы «просят» доступ к базе. Но там про существование базы было известно всем. Но реально атака начинается не с корочки, компромата или подкупа, а с желания базу заполучить. А перед желанием нужно еще узнать о факте ее существования, и хоть какие-то метаданные…
            +1
            И как на все это повлияет перенос данных в РФ?

            Кроме того, никто не может контролировать копирование всех данных на зарубежные сервера, а в нормальных компаниях данные разманы/клонированы по всему миру.
            А что делать сотням тысяч небольших интернет-фирм, у которых 1-10-100 клиентов из РФ? В общем градус бредовости закона не понизился.
              +1
              Насколько я понимаю, тем кто не имеет тут филиалов (российских юрлиц) ничего не грозит, так? То есть, если какой-нибудь Aliexpress там или Cabelas не имеет юрлица в этой стране, то для него ничего не меняется и блокировать его не будут?
                0
                Пока не будут. Детей тоже изначально от пиратских книг не защищали…
            0
            Если я правильно понял вопрос, то заблокирован может быть только интернет-ресурс, обрабатывающий персональные данные с нарушениями законодательства (ст.15.5 ФЗ-149).

            В случае, если речь о возможных нарушениях в обработке персональных данных во внутренней инфраструктуре (без «лица» в интернет которого в принципе нет), то эти нарушения выявляются в ходе проверок РКН с последующими административными взысканиями.
            0
            Интересно, какая-нибудь LAN Airlines уже бросилась переносить дата-центр из Сантьяго в Москву?
              0
              > Но под новые требования не подпадают правоотношения, которые регулируются международными договорами или конвенциями (авиакомпании,…

              Об этом же написано
                +1
                Так-то да, но есть одно но: для авиакомпаний условия получаются очень неодинаковыми. Одна и та же авиакомпания то попадает под действие этого закона, то нет: если рейс внутренний, никакими конвенциями он не регулируется, и надобно данные хранить здесь. А если рейс трансграничный — все, Варшавская конвенция, можно хранить где угодно. Аэрофлот, если не путаю, ушел когда-то в Сабру. Целиком… S7 вроде тоже уходила в европейские облака.
                  +2
                  Ну и вишенка на торте: например, если билет покупается у иностранной авиакомпании на внутрироссийский рейс, выполняемый по кодшерингу. Условно говоря, в билете — airberlin, код рейса его же, физически везет S7 (аналогично KLM/Аэрофлот, ElAl/Трансаэро, далее везде). Если билет продан таким образом россиянину — что будет с юридической стороной хранения и обработки ПНд?
                +16
                «Сертифицированные ФСБ» (-:
                А какого цвета штаны выдают после такой сертификации? (-:
                  0
                  Вы неверно всё поняли, штаны правильного цвета у них уже есть. Кто без правильных штанов, тем сертификат не дадут (ну или не в первую очередь, это точно).
                  0
                  Хм… Видится мне, что для формального соблюдения этого закона достаточно поставить прокси на территории РФ который будет логировать все запросы связанные с обработкой персональных данных и эти логи, формально, являются «первичной базой данной».

                  Смысл в том, что можно формально соблюсти требования закона и не менять существующую инфраструктуру.
                    0
                    Думается, банки на такое не пойдут никогда.
                      0
                      А как понять, что инфраструктура банка размазана между странами? А как понять, что сейчас ПД ушли за границу или хранятся за границей?
                        0
                        Ну, в РКН тоже не только идиоты встречаются, особенно на уровне рядовых инспекторов.
                          +1
                          а существуют примеры предписаний от не идиотов при таких сценариях?
                            0
                            При сценариях, связанных с обработкой ПД — не встречал никаких. В операторской деятельности — получал, да. Не от идиотов.
                              0
                              можно увидеть схематичное описание сценария и результат?
                      –1
                      Цель вносимых законом изменений – это обеспечение работоспособности бизнес-процессов российских компаний в случае возможных проблем с работоспособностью международных сетей и систем.
                      Логирование не решает проблему, т.к. необходимо обеспечить первоначальное наполнение БД на территории РФ и все последующие модификации с записями в этой базе.
                      Формально логи «первичной БД» являться не могут, т.к. это именно логи.
                        +1
                        Дело в том, что если основная задача — обеспечить работоспособность бизнес-процессов российских компаний, то эту проблему должны решать эти самые компании, государство может давать только рекомендации. Т.к. бизнес в состоянии решить готов ли он принять на себя риски работоспособности международных сетей и систем.
                        В данном случае государство регулирует эти самые бизнес-процессы.

                        Формально логи «первичной БД» являться не могут, т.к. это именно логи.

                        Не соглашусь, т.к. базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ). База данных (Википедия)

                        Я не хочу сказать, что нужно так делать, я лишь вижу как этот закон очень легко обойти с формальной точки зрения.

                        Есть отличные облачные решения, такие как Azure и Amazon, и я не знаю (к сожалению) альтернатив на территории РФ. Ведь Azure и Amazon предоставляют не только железо или виртуальные машины, они предоставляют готовые решеня.
                          0
                          Там речь об обработке еще.
                            0
                            Да, про обработку согласен. Там, как я понял из закона, любые манипуляции с этими данными должны быть на территории РФ. Т.е. описанная мной формальность не пройдет.
                              0
                              Вы, видимо, схему СОРМ в голове собрали — там бы такое могло пройти. :) Но нет, тут именно необходимость не только показать, но и держать и обрабатывать данные среди родимых осин.
                          0
                          Перечитал закон, таки да, не прав я.
                            +8
                            Цель вносимых законом изменений – это обеспечение работоспособности бизнес-процессов российских компаний в случае возможных проблем с работоспособностью международных сетей и систем.
                            Ну это заявленная цель. Об этом законе заговорили пару лет назад, когда некоторые люди начали находить и публиковать данные о зарубежной недвижимости высокопоставленных россиян, которые забыли указать её в налоговой декларации. Теперь источники этих данных и публикации можно будет заблокировать по новому закону.
                              0
                              Да-да, всё для дорогих чиновников. И про российскую недвижимость тоже скоро будет узнать крайне проблематично. (http://top.rbc.ru/economics/10/07/2015/559fc1b29a79476031e2c6ad)

                              Но вообще там много было заинтересованных сторон. Очевидно, выигрывают владельцы центров обработки данных, российские тур. компании, российский интернет-бизнес, соцсети и т.д. Проигрывает — пользователь и потребитель, которому придётся потреблять неконкурентный безальтернативный продукт.
                          +17
                          А больше всего напрягает то что никто меня не спросил хочу я или нет чтоб мои персональные данные попадали под действие этого закона. Я вот абсолютно не против что мои данные хранятся где-то там за бугром. Лишь бы мне сообщили об этом. Хотя бы галочкой которую я должен поставить. А страдать от этого буду опять таки я сам.
                            +24
                            Партии виднее, где должны храниться ваши данные!
                            +3
                            чтобы народ слушался — вводятся штрафы, аппорт!
                              +2
                              А в каком законе говорится именно о «первичной (основной)» базе данных, а не просто «с использованием» баз данных?
                                +4
                                Неудивительно что вы рады… а большое количество трёх букв в статье вызывает отвращение.
                                  +9
                                  Возможно для ряда компаний будет дешевле просто не работать с Россией и её гражданами…
                                    –5
                                    Кому-то будет дешевле не работать. И их место займут другие
                                      +7
                                      Да, но пользователи рискуют здорово потерять в качестве сервиса.
                                        –8
                                        Есть 3 варианта жить:
                                        1) Узкая специализация страны. Когда мы производим что-то одно (например, нефть), а все остальное покупаем. Путь заведомо в никуда
                                        2) Пытаться самим освоить производство всего. Как пробовали делать в СССР, но даже тогда не хватало на все ресурсов.
                                        3) Приглашать (заставлять?) иностранные компании локализировать производства в России (в данном случае услуги — дата центры). Как по мне — оптимальный путь, что и будет делаться в рамках этого закона

                                        И да, какое-то время пользователям придется потерпеть. В том числе и мне придется переносить сервера БД из Германии
                                        И да, сервера в России будут стоить дороже. Но это создает рабочие места для инженеров, администраторов и т.д.
                                          +15
                                          То есть, создавать условия для ведения бизнеса мы не будем, но административно загоним. Ооок…
                                            +1
                                            Пробовали чего-нибудь пропихнуть на европейский рынок например? Да хотя бы яблоки «антоновка»?
                                              0
                                              Антоновку в Европе выращивать будете?!
                                              +2
                                              Боюсь в результате не столько загоним административно, сколько разгоним. Крупные конторы будут думать что делать, а мелочь явно предпочтёт просто с этой странной страной дела не иметь. Какой нибудь интернет магазин, торгующий запчастями к авиамоделям что будет ради трёх российских клиентов в месяц тут сервер ставить?
                                              +4
                                              Заставлять плохо.
                                              Большие компании, чтобы не терять долю рынка, перенесут эти данные в РФ, но есть вероятность, что стоимость услуг вырастет.
                                              Небольшим компаниям, скорее всего, это может быть не выгодно и они просто уйдут с нашего рынка, соответственно не будет конкуренции для наших компаний.
                                              И все мы знаем, что бывает если нет конкуренции, но есть спрос — цены растут.
                                                0
                                                Я бы добавил: цены вырастут, а качество упадёт.
                                                +1
                                                п1 вы сами отметаете
                                                п3 вам вроде как уже объяснили
                                                п2 у вас от незнания истории. СССР не пытался сам освоить. ВСЕ заводы, технологии ПОКУПАЛИСЬ (изначально). Не будем акцентировать внимание на том за какие деньги. Главное что покупались. Да потом были смешные истории типа автомата Калашникова или там собственного процессора К580. Но то потом… Вера в легенды и незнание истории ВСЕГДА приводит к одному и тому же результату. История учит только тому, что люди не учатся у истории :)

                                                Так что попытайтесь придумать четвертый вариант)
                                          +6
                                          Может кто-нибудь адекватно пояснить, как касается сей ФЗ, на обычную фирму, которая имеет локальную инсталляцию 1С, и считает зарплату?

                                          Не ужели выходит, что теперь весь софт должен быть ФСТЭК + и надо на сайте компании писать как хранятся ПД?
                                            +2
                                            А можно вопрос.
                                            Я разрабатываю сервис, который будут содержать информацию о пользователях ФИО, адрес, телефон, и email. Сервис работает на западном хостинге.
                                            Соответственно, эта информация должна храниться на российском сервере. Если я подниму лёгкий сервис на российском хостинге, который будет хранить эту информацию на российском хостинге. Где можно ознакомится с требованиями к передаче этих данных между модулями одного приложения?
                                              0
                                              Возможно, не самое удачное место для данного вопроса, но не подскажет ли кто-нибудь, как быть нам с "Клубом анонимных Дедов Морозов" на Хабрахабре?

                                              Сейчас у нас все данные хранятся в Амстердаме. С 1 сентября планируем перенести эти данные в РФ, но так, что они будут в зашифрованном виде. Ключ для расшифровки будет храниться на первом сервере и никогда не покидать пределы ЕС. Все запросы от пользователей идут на сервер в ЕС, сервер в ЕС (если данных нет в кеше), делает запрос в РФ, извлекает зашифрованные данные и расшифровывает на своей стороне. Взаимодействие между пользователем в РФ и сервером в Европе исключительно по HTTPS.

                                              Из ПД храним только почтовые адреса. В личной переписке между пользователей могут храниться номера телефонов. Также не понятно, имеем ли мы право собственно отдавать адрес пользователя его «Деду Морозу»?
                                                0
                                                Я вас огорчу. Вы обрабатываете данные в Амстердаме, когда их расшифровываете.
                                                  0
                                                  Хм, вы правы, я невнимательно прочитал пост.

                                                  А если, например, каждый адрес шифруется своим уникальным для пользователя ключом, который отсылается пользователю по HTTPS вместе с зашифрованными данными. Далее JS скрипт расшифровывает их уже в РФ. Для сортировки адресов сами адреса не нужны, достаточно их идентификаторов (адрес №1, адрес №2, адрес №3 и т. д.)

                                                  Единственная проблема, которую я пока вижу, это если гражданин РФ заходит на наш сайт не из РФ. В общем, спасибо за замечание, будем думать дальше…
                                                    +1
                                                    Я вам больше скажу — российский гражданин может проживать за пределами России на постоянной основе!
                                                +6
                                                А является ли наличие СОРМ обязательным условием для успешной сертификации органами?
                                                  0
                                                  СОРМ — это про операторов связи.
                                                  –4
                                                  БУЗУМНОСТЬ этого закона совершенно очевидно говорит о том, что он изначально писался как закон избирательного действия для блокировки неугодных ресурсов и осуществления контроля над избранными ресурсами, такими как соцсети, поисковые сервисы и т. п.
                                                  Ибо любой тролль может зарегистрироваться на сайте какой-нибудь зарубежной газеты или интернет магазина или просто частного блога… После чего сайт в течение трёх дней должен быть заблокирован, а наши судебные приставы отправиться за океан взымать штрафы. Совершенно очевидно что это АБСУРД и в полную силу закон не сможет заработать НИКОГДА.
                                                  Под действие закона попадёт только избранный крупняк, типа Facebook. Если он не переносит данные в Россию то его блокируют, если переносит то подпадает под полный контроль. Вот и весь сказ.

                                                  Only users with full accounts can post comments. Log in, please.