Трохи понагнетаем: стало зрозуміліше, що буде з персональними даними після 1 вересня 2015


Штрафи за різні порушення підсумовуються.

242-ФЗ підказує нам, що оператор зобов'язаний забезпечити запис, зберігання, редагування та вилучення персональних даних громадян Російської Федерації (це все, що прямо або побічно відноситься до суб'єкта ПДн. Та номер телефону, і навіть рівень захищеності її даних можна віднести сюди згідно з 152-ФЗ) з використанням баз даних, що знаходяться на території Російської Федерації. З 1 вересня 2015 року. За використання первинної бази за межами РФ вам світить відносно невеликий штраф і, що куди гірше, блокування ресурсів протягом 3 робочих днів з дати судового рішення. При цьому розблокувати доступ і «вийти» з реєстру можна буде тільки за рішенням суду.


Хто переноситься

Точної статистики, який обсяг персональних даних росіян зберігається за межами РФ, звичайно, немає. Досить багато ПД зберігається в США, Німеччині, Англії, Франції та інших європейських країнах, оскільки там найбільш розвинена індустрія хостинг-провайдерів. Логічно, що російські регулятори угледіли ряд ризиків в цьому. Насамперед мова йде про ризики, пов'язані з дотриманням прав суб'єктів персональних даних, а також ймовірності втрати зв'язку із зовнішніми центрами обробки даних через введення санкцій. Тому тримайте новий закон.

Під дію 242-ФЗ підпадають всі зарубіжні компанії, які мають відділення в нашій країні, міжнародні послуги, туристичні фірми — представники іноземних компаній, «дочки» іноземних банків і т. д. Але під нові вимоги не підпадають правовідносини, які регулюються міжнародними договорами або міжнародними конвенціями (авіакомпанії, журналістська діяльність та ряд інших областей). Решта повинні переїхати. Ті ж eBay, Google, PayPal і багато інших вже заявили про готовність продовжувати бізнес в Росії. Найважче процес дається, мабуть, банкам — виключень для них немає, а архітектура ІТ-інфраструктури у них зазвичай така, що перенесення дається досить важко.

Іноземні компанії, що працюють на нашому ринку. Зверніть увагу, що у вітчизняній компанії бази даних можуть бути за межами РФ (наприклад, на «Амазоні»), тому фактичний відсоток тих, кому потрібно переходити, вище.



У великих міжнародних компаній звичайна архітектура — «колесо і спиці», де в ролі основного інформаційного центру виступає головний офіс або ЦОД (наприклад, у США). У РФ таким компаніям доведеться піднімати ще один майданчик свій регіональний дата-центр, або вставати на колокацию до когось ще. Власне, багато хто стає до нас на КРОК завдяки наявності вже сертифікованих ФСТЕК і ФСБ рішень в TIER-III TIA+UI (за facility) дата-центрі.

Як виглядає звичайний перенесення великої системи

Це досить тривалий і болісний процес:
  • Оцінка необхідних ресурсів — 2 тижні;
  • Процес вибору постачальника — 2 тижні;
  • Аналіз систем — 1 тиждень;
  • Тестування міграції — 1 тиждень;
  • Очікування обладнання — 6-8 тижнів;
  • Передача даних — 2-4 тижні;
  • Перевірка перенесених даних — 1 тиждень.
Разом понад 4 місяців. Мій досвід переносів — від 2 тижнів для відносно простої інфраструктури до 3 місяців. Проблема зазвичай не тільки в тому, що база даних тягне за собою ще безліч компонентів інфраструктури, але і в тому, що для багатьох (наприклад, банків) важлива безперервність бізнесу. Підтримується працездатність систем замовника на будь-якому з етапів «переїзду».

Переносити найчастіше потрібно:
  • Онлайн-сервіси: інтернет-магазин, портал для клієнтів.
  • Бізнес-додатки: CRM; HRMS.
  • Інфраструктурні програми: пошту; корпоративний форум.


На боці РФ потрібні:
  • дата-центри (або серверні, краще 2 штуки, основна і резервна, хоча в деяких випадках юристи стверджують, що бекап можна зберігати за межами РФ; закон говорить про те, що при зборі переданих компаніям даних потрібно забезпечити первинне накопичення, зберігання і обробку їх на території Росії. Після чого вже можна передавати ці дані за кордон);
  • Обчислювальні ресурси – власне, самі сервера та СГД;
  • Інфраструктурне – це нові ліцензії для майданчика в РФ;
  • Канали зв'язку;
  • Інженерні ресурси;
  • Підтримка + SLA;
  • Розробка механізмів міграції, синхронізації і консолідації даних.


Ось чому процедура досить складна, і багато хто не будують свій ЦОД, а встають в уже призначені для цього. У нас, наприклад, багатьох радує наше захищене хмара, де є:
  • Сертифікований ФСТЕК гіпервізор VMWare;
  • Межсетевое екранування (FW) — сертифікація ФСТЕК; криптографічний захист каналів зв'язку (IPSec VPN) — сертифікація ФСБ;
  • Запобігання вторгнення (IPS) — сертифікація ФСТЕК;
  • Глибока фільтрація web-трафіку (WAF);
  • Антивірусний захист мережного трафіку;
  • І будь-які інші засоби захисту, здатні працювати у віртуальному середовищі VMware.
При перенесення бази даних ми завжди відокремлюємо інфраструктуру одного замовника від всіх інших.

Інформаційна безпека

Нове законодавство вимагає:
1. Перенести ПД в РФ.
2. І при цьому також захистити дані в досить хорошій ступеня.



Треба зазначити, що законодавча ініціатива безпосередньо пов'язана з програмою імпортозаміщення в ІТ. Регулятори стимулюють по максимуму використовувати наявні вітчизняні технічні ресурси, програмне забезпечення та інші розробки. Однак повного імпортозаміщення в ІТ-сфері досягти сьогодні складно.



З систем ІБ є пара цікавих особливостей. У нас досить багато хороших виробників, що пройшли вітчизняну сертифікацію і роблять те, що підпаде під визначення «вітчизняного», тобто отримає пріоритет для використання в держорганах (триває обговорення можливого розширення на держкомпанії і держкорпорації).

Перевірки



Перевірки будуть проводитися, плюс за вами спостерігати без прямої взаємодії.

Умови для проведення позапланових перевірок:
1. Закінчення строку виконання припису.
2. Звернення громадян (потребує узгодження з органами прокуратури).
3. Інформація від органів державної влади (ОДВ), органів місцевого самоврядування (ОМСУ) та ЗМІ про факти порушення законодавства.
4. Доручення Президента і Уряду РФ.
5. Порушення за підсумками систематичного спостереження.
6. Невідповідність відомостей, що містяться у повідомленні, фактичної діяльності.
7. Невиконання вимог Роскомнадзора (РКН) про усунення порушення.
8. На підставі вимоги прокуратури.

Критерії включення в план перевірок:
1. Трирічний період з моменту закінчення проведення останньої планової перевірки.
2. Інформація від ОГВ, ОМСУ та ЗМІ про факти порушення законодавства та результати систематичного спостереження.
3. Обробка ПДн значного числа суб'єктів ПДн/біометрії/спеціальних категорій ПДн.
4. Неподання інформації, в тому числі повідомного характеру, відповідно до ФЗ-152.

Разом

• з'явився чорний список порушників прав суб'єктів ПДн;
• з'явилися систематичні спостереження за операторами;
• збільшилися штрафи за порушення обробки ПДн;
• почастішали перевірки РКН і розширилися підстави.

Якщо ви збираєте ПДн громадян РФ в будь-яких обсягах, то ось що треба робити:
  • Реорганизовываем бізнес-процеси, ІТ-інфраструктуру;
  • Зберігаємо/змінюємо ПДн в БД на території РФ;
  • Забезпечуємо «правильну» захист цієї БД (ИСПДн);
  • Передаємо ПДн з цієї БД транскордонної (при необхідності);
  • Не забуваємо про збір погоджень, якщо вони необхідні (це необхідно у випадку передачі персональних даних в країну, що не входить у список країн, які забезпечують належний захист прав суб'єктів ПДн, або країн, що є сторонами Конвенції Ради Європи про захист фізичних осіб при автоматизованій обробці ПДн. В цьому випадку потрібно переконатися, що організація не потрапляє під винятки нового закону і організувати збір погоджень суб'єктів на транскордонну передачу даних);
  • Вносимо зміни в повідомлення на сайті Роскомнадзора.


Посилання

  • Ось тут, у минулому пості, є детальніше за документами. Якщо зовсім коротко — так, переносити потрібно, щоб не залишитися заблокованим на території РФ. З моменту цього поста дані трохи оновилися, плюс наша команда зробила ще кілька великих переносів і пару десятків поменше — з'явилося розуміння ще низки інфраструктурних особливостей.
  • Сторінка «про персональні дані»
  • Семінар з деталями і відео

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.