Защита персональных данных по N 242-ФЗ: как понять и что делать?



Тема информационной безопасности продолжает быть актуальной — недавно в Москве на конференции «Защита персональных данных» обсуждали ФЗ №242 или как его называют «Закон о локализации персональных данных россиян на территории РФ». Суть его такова: с сентября 2015 года организациям-операторам ПДн, необходимо вести сбор и систематизацию персональных данных (далее – ПДн) россиян на территории РФ. А львиная доля поставщиков различных услуг — иностранцы, или хранят свои серверы заграницей, и российские пользователи, приобретая услуги таких поставщиков, передают свои данные за рубеж, где происходит не только их хранение, но и систематизация. Возникает вопрос — как клиентам продолжить пользоваться услугами зарубежных поставщиков, не нарушив стандарты обработки ПДн по российскому законодательству.

Ответа два: либо организовать защиту ПДн своими силами, либо перенести свои данные в действующий российский ДЦ, который имеет лицензии и сертификаты для соответствия требованиям ФЗ. Для огромного числа операторов ПДн (а их на территории РФ работает от 5 до 7 млн) вопрос злободневный. Введённый закон распространяется на все компании, которые ведут свою деятельность на территории РФ: как российские, так и иностранные. Несмотря на то, что в законе есть упоминание того, что эти операции должны осуществляться «с использованием баз данных, находящихся на территории Российской Федерации», а не ИСКЛЮЧИТЕЛЬНО на территории Российской Федерации, к 1 сентября 2015 года было подано более 5000 заявок от операторов ПДн на размещение своих информационных баз на территории РФ. В связи с вводом нового закона ряд крупных иностранных компаний открыли свои ДЦ на территории России.

В свете актуальности предмета нашего внимания расскажем о том, какое решение планирует внедрить наш ЦОД.



Защищённое облако ДЦ ИТ-парка – это выделенная инфраструктура, построенная с использованием средств, сертифицированных ФСТЭК и ФСБ. Оно соединено с инфраструктурой оператора ПДн по защищённым каналам связи. Таким образом, клиенты будут продолжать пользоваться услугами иностранных операторов, а их ПДн будут храниться в защищённом облаке российского ЦОДа – в нашем случае Дата-центра ИТ-парка — согласно требованиям ФЗ.



Подробнее о том, как это будет устроено. Защищённое облако состоит из следующих элементов:
• Отдельные физические серверы, коммутаторы и системы хранения;
• На данных серверах развёрнута среда виртуализации MS Hyper-V;
• Среда виртуализации защищается решением 5nine;
• Каналы связи защищены межсетевыми экранами Fortigate, VPN организован на оборудовании VIPNet.
Основными плюсами выбора ДЦ ИТ-парка для поставщиков услуг будут отсутствие затрат на создание и владение облачной инфраструктурой; соответствие требованиям ФЗ о ПДн и отсутствие затрат на техническую поддержку, которая осуществляется 24 часа в сутки.

Конечно, унифицированного решения, подходящего каждому заказчику, нет. У каждого поставщика инфраструктура построена по-своему, поэтому каждое решение по защите ПДн является индивидуальным и процесс его разработки занимает определённое время. В среднем процесс занимает от 2 до 6 месяцев в зависимости от сложности задачи:
1. Определение модели взаимодействия с оператором ПДн;
2. Оценка необходимых ресурсов;
3. Составление технического задания, организационно-распределительной документации;
4. Тестирование миграции.

Ну что ж, теперь подытожим — начнем с выводов менее приятных.

В связи с вводом закона у поставщиков услуг, хранящих свои данные на зарубежных серверах, появились дополнительные затраты. Плюс к этому сам процесс перевода данных является трудоёмким и достаточно длительным, его не всегда возможно осуществить без остановки сервисов.

Но есть и положительные моменты: при переводе своих данных в российский ЦОД у поставщика услуг будут отсутствовать затраты на создание и содержание облачной инфраструктуры, инфраструктура будет защищена в соответствии с российским законодательством.

Стоит отметить, что введение закона о Защите ПДн стало толчком для развития российских ЦОДов, поскольку для соответствия требованиям закона необходимо развитие инфраструктуры ЦОДов, новое оборудование, а решение новых нестандартных задач приводит к повышению квалификации кадрового состава ЦОДов, появлению новых рабочих мест. К плюсам можно отнести и то, что на деле действительно снизилось количество нарушений при обработке ПДн: в 2014 году более 80% операторов осуществили обработку ПДн с нарушениями, в 2015 – около 65%. Будем надеяться, что всё это выведет отрасль российских ЦОДов на новый, более высокий уровень.
ГАУ «ИТ-Парк»
34,00
Компания
Поделиться публикацией

Комментарии 20

    +2
    Поясните мне вот такой момент. Я обязан хранить персональные данный на серверах в пределах РФ, а запрещено ли мне хранить копии этих данных на серверах вне РФ?
      0
      Интересный вопрос! Закон, скорее всего, будет дополнен в ближайшие годы. Но пока вердикт такой: в рамках одной организации бывают много баз данных с персданными, нередко данные собираются и в бумажном виде с последующим занесением в электронную базу. Как следует из текста ч. 5 ст. 18 ФЗ «О персональных данных», обязанность оператора обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, считается исполненной, когда указанные действия были совершены при сборе персональных данных с использованием базы данных, находящейся на территории Российской Федерации. При этом, статья не содержит указания на то, что такие действия должны совершаться исключительно с использованием баз данных, размещенных на территории России. В связи с этим, если в отношении определенного набора персональных данных уже были ранее выполнены требования ФЗ-242, повторная локализация таких персональных данных не требуется, поскольку цели закона уже достигнуты. Соответственно, если персональные данные были при сборе записаны в базу данных, расположенную на территории Российской Федерации, то впоследствии такие персональные данные могут вноситься работником (представителем) оператора в принадлежащую ему электронную базу данных, находящуюся за пределами РФ.

      Вот линк для самостоятельного изучения: http://www.minsvyaz.ru/ru/personaldata/#1438548218895
        0
        Сам интересовался этим вопросом. Верно отметил ziart. В законе не сказано про исключительное хранение в РФ. Но есть один пункт о том, что пользователь обязан дать согласие на хранение данных за рубежом. То есть «по умолчанию» — в РФ, хотите еще где-то — пропишите в Соглашении. Я вышел из ситуации дополнив Пользовательское Соглашение двумя абзацами, продолжаю хранить и систематизировать как раньше, но добавил ежедневный бэкап на Российский хост. А с этим хостом заключил бумажный договор, чтоб показывать его в случае проверки проверяющим.
          0
          demimurych, shevgeny, запрещено (со звездочкой, которая с вероятностью в 99% к вам не применима).

          См. пояснения на сайте Минкомсвязи.
          — Возможно ли хранить персональные данные (ПД) граждан РФ за ее пределами при условии наличия дублирующей (копии) базы ПД граждан РФ на территории РФ (и наоборот, когда база ПД за пределами РФ является копией (или частью) базы данных, сформированной и находящейся на территории России?), либо обработка ПД на территории другого государства в принципе запрещена?

          Следует также учитывать, что законодательно не имеется разделений на «основную» базу персональных данных и ее «копию». В обоих случаях речь идет о базе данных, с помощью которой обрабатываются персональные данные.

          может осуществляться с использованием баз данных, не находящихся на территории Российской Федерации, в следующих случаях:
          если такая деятельность подпадает под случаи, предусмотренные пунктами 2–4, 8 части 1 статьи 6 152-ФЗ;
          если такая деятельность не подпадает под случаи, предусмотренные пунктами 2–4, 8 части 1 статьи 6 152-ФЗ, и на территории Российской Федерации находятся используемые для такой обработки персональных данных базы данных, в которых содержится больший объем персональных данных или равный находящемуся за пределами территории Российской Федерации (в этом случае недопустимо нахождение за пределами территории Российской Федерации персональных данных, которые одновременно не находятся в пределах территории Российской Федерации).


          В качестве бонуса похожий вопрос оттуда же:
          — Накладывает ли Закон запрет на последующую обработку (после сбора, например, составление отчетности, анализ данных и т.д.) персональных данных в базах данных, расположенных за пределами Российской Федерации?

          Закон не предусматривает понятия «первичный сбор», а устанавливает требования к обработке персональных данных при любом сборе информации, при этом выделяя такие операции с ПД, как уточнение (обновление, изменение) информации, содержащей персональные данные. В целях закона в процесс сбора информации включены также процедуры хранения и накопления информации, что само по себе не позволяет использовать такое понятие, как «первичный сбор». Таким образом, закон налагает на оператора обязанность при осуществлении обработки собранных персональных данных путем систематизации, накопления, хранения, уточнения, извлечения, использовать базы данных, находящиеся на территории Российской Федерации. Таким образом, если для составления отчетности, либо анализа информации, содержащей персональные данные, оператору требуется осуществить упомянутые формы обработки персональных данных, то такие действия должны осуществляться с использованием баз данных, находящихся на территории Российской Федерации.кой Федерации.
            0
            Так вы сами цитируете то, о чем говорил ziart и я:
            …может осуществляться с использованием баз данных, не находящихся на территории Российской Федерации…
            если такая деятельность не подпадает под случаи, предусмотренные пунктами 2–4, 8 части 1 статьи 6 152-ФЗ, и на территории Российской Федерации находятся используемые для такой обработки персональных данных базы данных, в которых содержится больший объем персональных данных или равный находящемуся за пределами территории Российской Федерации (в этом случае недопустимо нахождение за пределами территории Российской Федерации персональных данных, которые одновременно не находятся в пределах территории Российской Федерации).
              0
              Не совсем так (см. все ответы на том сайте). Если общими словами, то, например, когда русский Вася выехал в отпуск в Амстердам, вы, для скорости работы приложения (или по каким-то другим причинам), можете обслужить его сервером с базой в Амстердаме (при том, что основная масса русских по-прежнему обслуживается в России).

              Ежедевный бекап в Россию, при том, что, по сути, вся работа с базой идет не в России не подходят (как минимум, потому что пока бекап не прошел объем вашей «иностранной» базы с данным россиян будет больше ее «русской») и является прямым нарушением. Не говоря уже о том, что, в принципе, без надлежащих на то оснований, нельзя Васю, который сейчас в Самаре обслуживать веб-сервисом (с базой) в Ирландии. Если Вася в отпуске в Ирландии, то пока он там находится — без проблем (про то и трансграничность и т. д.).

              Вы писали:
              Но есть один пункт о том, что пользователь обязан дать согласие на хранение данных за рубежом

              См., опять же, фак Минкомсвязи:
              — Если субъект персональных данных дал свое согласие оператору на обработку его ПД в базах ПД за пределами РФ, позволяет ли это оператору на основании такого волеизъявления субъекта ПД вести обработку ПД в базах за пределами РФ?

              Само по себе это не является основанием для осуществления указанных действий.
                0
                Минкомсвязь — хорошо, но их слова частично противоречат тексту самого документа. Поэтому, пожалуй, буду опираться на сам закон, а не на комментарии представителей различных структур.
                  0
                  Не знаю, противоречит ли обсуждаемый фак ФЗ (я противоречий пока не нашел — буду признателен, если найдете и укажете; сам фак висит уже довольно давно — думаю, если бы что-то было, его бы исправили), но тут вопрос в другом: если, не дай бог, наябедничают на вас «добрые люди», какую сторону с большей вероятностью примет суд: вашу трактовку закона или «официальное» разъяснение Минкомсвязи? :-).

                  С разрешением от пользователя на хранение имхо все просто: закон выше любого разрешения (если прописать в договоре, что соглашаетесь есть младенцев, это не обязывает вас их есть — УК выше любого частного договора).

                  Плюс, это мы с вами только БД обсуждаем, а ничего не говорим про обязательную сертификацию компаний обработчиков ПД (я участвовал в этом вопросе со своим текущим продуктом): при определенном количестве пользователей и наборе персональных данных, вы не то что обычными веб-сервисами (не БД, а просто веб-сервис обработчик чего-нибудь) зарубежем пользоваться не имеете права, но обязаны выполнять кучу требований по инфраструктуре (например, нельзя пользоваться виртуалками, деля сервер с другими и т. д.).
                    0
                    Мы действительно обсуждаем только БД ПД. В моем случае этого достаточно согласно пункту 2 части 2 статьи 22 :)
                      0
                      Да, кстати, вы говорите
                      при определенном количестве пользователей и наборе персональных данных
                      было бы здорово, если бы предоставили ссылку на документ, регламентирующий рамки количества пользователей и их ПД
                        0
                        Это во ФСТЭК с гуглежом по ключевому слову ИСДН, модели угроз и т. д. — там без пол-литра не разберешься и, самое главное, самостоятельно не сертифицируешься, не имея в штате специально обученных (сертифицированных) сотрудников (поэтому приходится пользоваться услугами контор типа Эшелона).
                    0
                    Но так как тема всё же интересна, решил досконально изучить комментарии. И не нашел подтверждения ваших слов про Васю в Ирландии и того, что хранение за рубежом запрещено. Также не нашел подтверждения тому, что база данных в РФ должна быть больше или равной зарубежной базе. В законе об этом ни слова.
                    Более того, в одном из ответов Минсвязи четко сказано:
                    … Федеральный закон не содержит указаний на общий запрет обработки персональных данных граждан Российской Федерации с использованием баз данных, не находящихся на территории Российской Федерации.

                    И это действительно так. В законе нет никаких запретов на хранение баз ПД за рубежом. В нем лишь говорится о том, что они должны быть в РФ. Но не говорится в законе о том, что только в РФ. Я, пожалуй, останусь при своём мнении.
                  0
                  То есть, выходит что, если существует две страны с таким законодательством — я не смогу проводить какие-либо операции требующие участия данных обоих участников. Поскольку ни там ни там я не имею права производить манипуляции за пределами этих субьектов.
                  Верно?
                    0
                    Это немного другое (если я вас правильно понял): трансграничную передачу данных, необходимую для совершения операции, никто не запрещал. Тут нужно уточнять детальнее «какие-либо операции», т. к.

                    — Смогут ли граждане РФ размещать свои ПД в удобном для них формате и пользоваться услугами, предлагаемыми на мировом рынке товаров, работ, услуг (например: туризм (бронирование), заказ товаров, банковские услуги и т.п.)?

                    Считаем, что, изменения, вносимые в законодательство Российской Федерации Федеральным законом №242-ФЗ, не препятствуют гражданам Российской Федерации получать за пределами Российской Федерации услуги, в случае, если в их рамках обрабатываются персональные данные граждан Российской Федерации за пределами территории Российской Федерации, в соответствии с международным договором или в соответствии с федеральным законом, либо в рамках иных исключений, на которые не распространяется норма части 5 статьи 18 152-ФЗ.
                      0
                      То есть фактически, данный закон существует только для того чтобы на территории РФ были точные копии тех данных, что я решил оставить где-то. Напрашивается вопрос — каким образом, факт наличия копии моих данных на территории РФ, может их (данные) защитить?
                        0
                        Нет, не так. Если упростить, смысл в том, что всё — веб-сервисы, базы и пр. — должно быть в России, и точка входа для большинства русских (см. комментарий про отпуск) тоже здесь же. «Наружу» данные должны уходить только при прямой необходимости (если иначе никак). В большинстве случаев, это означает, что за пределами России будет минимум данных — в этом и «защита».

                        Если бы можно было оставить всю инфраструктуру зарубежем и копировать файлик базы раз в сутки на домашний комп админа (примерно то, что вы пишите), это как раз было бы абсурдно с точки зрения «защиты» (и, разумеется, запрещено).
                          0
                          Опять не понимаю. Ситуация — я владелец фейсбука. Мне нужно делать аналитику со всеми данными из всех стран, что фактически означает что я каждый день увожу данные к себе и там делаю аналитику.
                          Следуя Вашему комментарию, я обязан это делать(аналитику с данными которые в себя включают в том числе и данный РФ) на территории РФ?
                          Если же нет, то есть я имею право каждый день проводить манипуляции с данными за пределами РФ то какой тогда смысл в законе?
                            0
                            Аналитику по РФ делает на территории РФ. Полученные результаты (обезличенные и никак прямо не относящиеся к одному конкретному Васе) отсылаете куда угодно.
                0
                Стоит отметить, что введение закона о Защите ПДн стало толчком для развития российских ЦОДов, поскольку для соответствия требованиям закона необходимо развитие инфраструктуры ЦОДов, новое оборудование, а решение новых нестандартных задач приводит к повышению квалификации кадрового состава ЦОДов, появлению новых рабочих мест.


                Так вот кто эти законы лоббирует, а то всё ФСБ, да ФСБ… А если серьёзно, то есть ли где-то статистика или расчёты на сколько возрастают затраты операторов в пересчёте на одного клиента для организации сначала защиты, а теперь и локализации? Для разных масштабов клиентской базы.

                К плюсам можно отнести и то, что на деле действительно снизилось количество нарушений при обработке ПДн: в 2014 году более 80% операторов осуществили обработку ПДн с нарушениями, в 2015 – около 65%.


                Сомнительный плюс как по мне. Ввели требования чуть ли не с потолка, карательными мерами (или их обещаниями) добились их частичного выполнения, а толку-то?
                  0
                  Я все же останусь при своем мнении о том, что это будет толчком для развития технологий ЦОДов. Западные(иностранные) цоды хороши, они современны и эффективны. Но мы должны развивать альтернативу, мы должны развивать свои цоды. Иначе мы останемся в каменном веке.
                  Развитие цодов дадут толчок к развитию разработчков решений (например в коммюнити Openstack много российских разработчиков). Нужны будут новые обученные сотрудники — развитие образования. Нужны будут новые учебные заведения — развитие строительства. и т.д. цепочка.
                  Нужно смотреть на несколько шагов вперед. Например, Япония несколько десятилетий назад, делали копии иностранных авто. Наверняка были люди которые кричали «Да нахрена вы делаете японские тачки, есть ведь уже иностранные, они лучше блаблабла». В итоге их автопромышленность развилась и сейчас в авангарде.

                  Статистику про затраты трудно сказать. Зависит от объемов данных и сложности инфраструктуры. Это могут быть как и тысячи рублей, так и тысячи долларов.

                  Спасибо за коммент. Надеюсь помог. Готов пообщаться лично по почте.

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое