23 Апреля 2015 10:04 23 Апр 2015 10:04 |

Поделиться

Облако в законе: как IBS DataFort трансформировала свои сервисы

CNews: Не утихают споры по поводу закона №152-ФЗ: многие критикуют поправки к нему за излишне жесткие требования, а сам закон рассматривают как очередной повод для государственных регуляторов по проведению тех или иных проверок. Прокомментируйте, пожалуйста.

Владислав Лантух: Информационная безопасность в сфере персональных данных — одна из составных частей национальной безопасности, которая должна защитить права российских граждан от информационных угроз. С нашей точки зрения принятие этого закона было необходимой мерой и позволило создать правовую основу для защиты персональных данных. Мы, в свою очередь, длительное время следили за развитием ситуации с законодательством в сфере защиты ПДн, которое прошло достаточно длительный процесс обсуждений и согласований, прежде чем быть принятым в его сегодняшнем виде. Кроме того, IBS DataFort в силу своей бизнес модели и опыта на рынке связи, смотрит на данную тему несколько иначе, чем Заказчики (т.е. компании субъекты Пдн) или ИТ-интеграторы.

Мы являемся оператором более 14 лет и привыкли работать в сфере услуг связи, которая во многом сохранила и развила регуляционные механизмы, создававшиеся на протяжении нескольких десятилетий: в частности, федеральный закон «О связи». За регулирование в данной сфере отвечает федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), и именно Роскомнадзор осуществляет надзор за защитой прав субъектов ПДн. Для нас ничего экстраординарного не произошло: законодательство становится все более упорядоченным, а регулятор остался тот же.

Что касается самого закона, мы считаем, что подобная инициатива со стороны законодателя свидетельствует о том, что федеральная власть заинтересована в обеспечении должного уровня регулирования комплекса сложных процессов, идущих в рамках информатизации бизнеса. В том числе защиты граждан и их личной информации. Это позитивный шаг в создании функциональной и безопасной ИТ-среды.

CNews: Что именно понимается под персональными данными? Существуют ли специальные условия их обработки и хранения?

Иван Гузев: В законе «О персональных данных» дано довольно подробное определение персональных данных. Как правило, под понятие персональных данных попадают ФИО с дополнительным атрибутом, позволяющим однозначно идентифицировать человека. Например, паспортные данные, сведения о семейном положении, сведения об образовании, номера ИНН, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение, сведения о доходах. Такие данные есть практически в каждой организации, в том числе и мультинациональных.

Закон №242 вносит поправки в основной закон «О персональных данных» №152-ФЗ и регламентирует правила, согласно которым запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации должно осуществляться с использованием баз данных информации, расположенных на территории Российской Федерации. Все эти поправки вступают в силу 1 сентября 2015 г. Таким образом, у компаний, имеющих инфраструктуру и приложения за пределами РФ, осталось меньше 5 месяцев для реализации миграции ПДн в Россию.

Хотелось бы обратить внимание, что изменения, которые закон №242 вносит в закон «О персональных данных» касаются только вопросов размещения баз данных, содержащих ПДн, а также их обработки и не затрагивает вопросов трансграничной передачи данных.

Владислав Лантух: На самом деле, это все только звучит пугающе и непонятно. В странах ЕС, Северной Америке, в Индии и в Китае персональные данные защищены давно устоявшимися законодательными нормативами. Возьмем, например, опыт реализации схожего закона в Великобритании. UK Data Protection Act был принят в 1984 г. и обновлен в 1998 г. после выхода директивы Европейского Союза о Защите Данных (EU Directive on Data Protection). Европейское законодательство точно так же предусматривает обязательную регистрацию операторов ПДн. В этом плане №152-ФЗ принципиально похож на европейские правовые акты, фактически, это русскоязычная версия тех же самых законов, которым следуют все европейские страны.

Возвращаясь к российской практике, хочу отметить, что единственная проблема состоит в том, что поправки в закон о ПДн введены не совсем вовремя, на наш взгляд. Операторы ПДн, в том числе и наши заказчики, вынуждены проводить затратные мероприятия по выполнению требований №152-ФЗ и №242-ФЗ в условиях, когда на их бизнес влияют негативные экономические факторы.

CNews: Каковы общие шаги по обеспечению безопасности персональных данных по ФЗ-152 для компаний, осуществляющих обработку ПДн?

Иван Гузев: На сегодняшний день №152-ФЗ и его подзаконными актами установлен следующий общий подход по обеспечению защиты ПДн: на первом этапе определяется уровень защищенности ПДн (согласно постановлению Правительства РФ №1119). Второй этап предполагает, что на основании определенного ранее уровня, определяется базовый набор мер по защите ПДн (Приказ № 21 ФСТЭК РФ, Приказ № 378 ФСБ РФ). Далее, на основании анализа системы готовится перечень актуальных угроз безопасности. С учетом этого перечня актуальных угроз и используемых в каждой конкретной компании технологий или особенностей информационных систем корректируется базовый набор мер. Таким образом реализуется адаптированный комплекс мер информационной безопасности, которые надо реализовать для соответствия требованиям №152-ФЗ.

CNews: Несмотря на то, что до вступления в силу поправок к №152-ФЗ остается все меньше времени, в его трактовке до сих пор существуют некоторые неопределенности. Смогут ли эти изменения быть реализованы в условиях российского ИТ-сообщества?

Владислав Лантух: Существует необходимость дополнительного разъяснения некоторых аспектов закона. И в бизнес-среде, и в ИТ-сообществе уже идут активные дискуссии по этому поводу. На самом деле, мне бы не очень хотелось сейчас останавливаться на собственных оценках плюсов или минусов. Думаю, что, как в любом законе, должно пройти время, чтобы понять, каким образом он исполняется. И я уверен, что со стороны государственных органов будет проведена четкая поэтапная работа по устранению всех неточностей. А нам всем, бизнес сообществу, сейчас просто необходимо сфокусироваться на своей работе в этом направлении, то есть на фактическом исполнении данного закона, а не на его бесконечном обсуждении.

CNews: Какое наказание может грозить компаниям в случае несоблюдения требований №152-ФЗ?

Иван Гузев: Невыполнение требований №152-ФЗ может повлечь за собой административную, гражданско-правовую, дисциплинарную и даже уголовную ответственность. Надзорный орган (Роскомнадзор) может наложить штраф или вынести требование о прекращении обработки ПДн, что может принести значительные издержки предприятию. Кроме того, компания, осуществляющая обработку ПДн с нарушением закона, несет риски, связанные с возможными гражданскими исками от субъектов ПДн и, как следствие, большими репутационным рисками.

Дмитрий Шулинин, UserGate: Выиграли те, кто полагался на SIEM собственной разработки

Безопасность

В некоторых случаях может наступить и уголовная ответственность при нарушении неприкосновенности частной жизни, осуществлении предпринимательской деятельности без лицензии, неправомерном доступе к охраняемой законом компьютерной информации. Наказание за подобные нарушения варьируются от штрафа в сумме 300 тыс. руб. вплоть до лишения свободы сроком до двух лет. Все это, конечно, очень серьезно.

CNews: Как IBS DataFort приводит свои сервисы в соответствие с №152-ФЗ?

Владислав Лантух: Мы потратили много времени на то, чтобы разобраться в сложившейся ситуации, провели ряд юридических консультаций и в результате очень взвешенно подходили к выбору состава и объема мер защиты. Для оператора профессиональных облачных сервисов крайне важно найти баланс между выполнением обязательных и рекомендуемых требований ФСТЭК и ФСБ и собственными инвестициями в инфраструктуру, которые в итоге влияют на стоимость услуг для клиентов.

По нашим оценкам, в настоящий момент на рынке ИТ-услуг сложилась следующая ситуация: поставщики предлагают заказчикам инвестировать в максимально широкий спектр решений, не всегда необходимых, стараясь заработать как можно больше на вопросе «обеспечения соответствия законодательству», откровенно пользуясь слабой экспертной подготовкой своих клиентов. У нас принципиально иной подход: заказчикам сервисов IBS DataFort не нужно покупать существенную часть типового оборудования и ПО, необходимых для реализации базовых мер по информационной защите. Эти меры уже присутствуют в платформе оказания услуг DF Cloud и входят в их стоимость.

Иван Гузев: Проанализировав требования законодательства и получаемые нами запросы, мы пришли к выводу, что около 90% ПДн, обрабатываемых информационными системами, имеют третий уровень защищенности (УЗ-3). Нашей компанией был проработан базовый набор мер по защите ПДн для уровня защищенности 3 (УЗ-3). Из полного спектра требований были выбраны требования, которые касаются облачной платформы (инфраструктуры) DF Cloud, включая рабочие места администраторов обслуживающих данную платформу, требования к физическому размещению оборудования, и каналам передачи данных.

В тренде мультиоблако — изучаем плюсы и минусы

Облака

Были внедрены необходимые сертифицированные технические средства защиты информации, а также разработан набор компенсирующих организационных мер. И теперь профессиональные облачные сервисы DF Cloud соответствуют всем требования ФЗ-152 для размещения ИС заказчиков, обрабатывающих ПДн. Также на текущий момент проработаны базовые требования и по уровню защищенности 2 (УЗ-2), идет внедрение необходимых организационно-технический мер. То есть наши клиенты, системы которых должны быть защищены по УЗ-3/2, потратят значительно меньше времени, сил и средств на проекты по обеспечению требования федерального закона. Они могут просто получить ресурсы инфраструктуры для размещения информационных систем, защищенные в соответствии с требованиями регулятора, уже на следующий день после обращения.

Для полного соответствия законодательству о ПДн (№152-ФЗ) им остается, во-первых, подготовить необходимую документацию (положение по обработке ПДн, акт классификации, модель угроз, техническое задание на систему защиты ПДн и т.д.), во-вторых, обеспечить защиту арендуемой инфраструктуры на уровне ОС и приложений. Это достигается путем внедрения необходимых средств защиты информации, согласно адаптированному комплексу мер информационной безопасности для соответствующей ИС и УЗ. И в-третьих, им нужно реализовать соответствующую защиту информации согласно ФЗ-152 на своей территории. Наша компания может оказать консультационные услуги по данным вопросам или решать их самостоятельно.

CNews: Есть ли в вашем активе уже реализованные проекты по миграции данных клиентов из-за рубежа?

Владислав Лантух: Вопрос соответствия законодательству, трансграничной миграции и переноса существующих баз на территорию РФ особенно актуален для международных компаний, которые по решению штаб-квартиры централизованно обслуживаются в зарубежных ЦОД сервисными подразделениями таких компаний, как IBM, HP, CSC, Capgemini, Tata. Им крайне тяжело найти в России партнера, готового говорить с ними на привычном для них и понятном языке, не только в смысле лингвистики, но и в плане практики приобретения профессиональных сервисов. Не секрет, что рынок услуг ИТ-аутсорсинга и облачных сервисов в России на данном этапе значительно менее развит, чем на Западе, и сильно уступает интеграционным сервисам, хотя в развитых странах ситуация, скорее, обратная.

У DataFort есть успешный опыт миграции систем как раз именно в таком сценарии. Первый и самый главный плюс состоит в том, что компаниям не нужно инвестировать в новую инфраструктуру. Именно этот фактор, кстати, позволяет существенно сэкономить, а в условиях текущей экономической ситуации, это самое первое, на что обращают внимание клиенты. Мы готовы работать в наиболее удобном для клиента режиме: как по схеме, когда весь объем сервисов предоставляется с нашей стороны (в том числе управление на уровне операционных систем и типового корпоративного ПО), так и в сотрудничестве с текущими российскими или зарубежными партнерами заказчика, которые отвечают за администрирование бизнес-систем и со своей стороны предоставляют только ресурсы инфраструктуры, сетевые сервисы и услуги информационной безопасности.

Поделиться

Подписаться на новости Короткая ссылка