Облако в законе: как IBS DataFort трансформировала свои сервисы
После подписания федерального закона №242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», многим компаниям пришлось задуматься о том, как привести свою инфраструктуру и бизнес-приложения в соответствие с требованиями законодательства. Фактически №242-ФЗ вносит изменения в федеральный закон №152, «О персональных данных». О новых требованиях и о том, как адаптировать к ним корпоративные процессы крупных компаний рассказали заместитель генерального директора компании IBS DataFort Владислав Лантух и директор по информационной безопасности Иван Гузев.CNews: Не утихают споры по поводу закона №152-ФЗ: многие критикуют поправки к нему за излишне жесткие требования, а сам закон рассматривают как очередной повод для государственных регуляторов по проведению тех или иных проверок. Прокомментируйте, пожалуйста.
Владислав Лантух: Информационная безопасность в сфере персональных данных — одна из составных частей национальной безопасности, которая должна защитить права российских граждан от информационных угроз. С нашей точки зрения принятие этого закона было необходимой мерой и позволило создать правовую основу для защиты персональных данных. Мы, в свою очередь, длительное время следили за развитием ситуации с законодательством в сфере защиты ПДн, которое прошло достаточно длительный процесс обсуждений и согласований, прежде чем быть принятым в его сегодняшнем виде. Кроме того, IBS DataFort в силу своей бизнес модели и опыта на рынке связи, смотрит на данную тему несколько иначе, чем Заказчики (т.е. компании субъекты Пдн) или ИТ-интеграторы.
Мы являемся оператором более 14 лет и привыкли работать в сфере услуг связи, которая во многом сохранила и развила регуляционные механизмы, создававшиеся на протяжении нескольких десятилетий: в частности, федеральный закон «О связи». За регулирование в данной сфере отвечает федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), и именно Роскомнадзор осуществляет надзор за защитой прав субъектов ПДн. Для нас ничего экстраординарного не произошло: законодательство становится все более упорядоченным, а регулятор остался тот же.
Что касается самого закона, мы считаем, что подобная инициатива со стороны законодателя свидетельствует о том, что федеральная власть заинтересована в обеспечении должного уровня регулирования комплекса сложных процессов, идущих в рамках информатизации бизнеса. В том числе защиты граждан и их личной информации. Это позитивный шаг в создании функциональной и безопасной ИТ-среды.
CNews: Что именно понимается под персональными данными? Существуют ли специальные условия их обработки и хранения?
Иван Гузев: В законе «О персональных данных» дано довольно подробное определение персональных данных. Как правило, под понятие персональных данных попадают ФИО с дополнительным атрибутом, позволяющим однозначно идентифицировать человека. Например, паспортные данные, сведения о семейном положении, сведения об образовании, номера ИНН, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение, сведения о доходах. Такие данные есть практически в каждой организации, в том числе и мультинациональных.
Закон №242 вносит поправки в основной закон «О персональных данных» №152-ФЗ и регламентирует правила, согласно которым запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации должно осуществляться с использованием баз данных информации, расположенных на территории Российской Федерации. Все эти поправки вступают в силу 1 сентября 2015 г. Таким образом, у компаний, имеющих инфраструктуру и приложения за пределами РФ, осталось меньше 5 месяцев для реализации миграции ПДн в Россию.
Хотелось бы обратить внимание, что изменения, которые закон №242 вносит в закон «О персональных данных» касаются только вопросов размещения баз данных, содержащих ПДн, а также их обработки и не затрагивает вопросов трансграничной передачи данных.
Владислав Лантух: На самом деле, это все только звучит пугающе и непонятно. В странах ЕС, Северной Америке, в Индии и в Китае персональные данные защищены давно устоявшимися законодательными нормативами. Возьмем, например, опыт реализации схожего закона в Великобритании. UK Data Protection Act был принят в 1984 г. и обновлен в 1998 г. после выхода директивы Европейского Союза о Защите Данных (EU Directive on Data Protection). Европейское законодательство точно так же предусматривает обязательную регистрацию операторов ПДн. В этом плане №152-ФЗ принципиально похож на европейские правовые акты, фактически, это русскоязычная версия тех же самых законов, которым следуют все европейские страны.
Возвращаясь к российской практике, хочу отметить, что единственная проблема состоит в том, что поправки в закон о ПДн введены не совсем вовремя, на наш взгляд. Операторы ПДн, в том числе и наши заказчики, вынуждены проводить затратные мероприятия по выполнению требований №152-ФЗ и №242-ФЗ в условиях, когда на их бизнес влияют негативные экономические факторы.
CNews: Каковы общие шаги по обеспечению безопасности персональных данных по ФЗ-152 для компаний, осуществляющих обработку ПДн?
Иван Гузев: На сегодняшний день №152-ФЗ и его подзаконными актами установлен следующий общий подход по обеспечению защиты ПДн: на первом этапе определяется уровень защищенности ПДн (согласно постановлению Правительства РФ №1119). Второй этап предполагает, что на основании определенного ранее уровня, определяется базовый набор мер по защите ПДн (Приказ № 21 ФСТЭК РФ, Приказ № 378 ФСБ РФ). Далее, на основании анализа системы готовится перечень актуальных угроз безопасности. С учетом этого перечня актуальных угроз и используемых в каждой конкретной компании технологий или особенностей информационных систем корректируется базовый набор мер. Таким образом реализуется адаптированный комплекс мер информационной безопасности, которые надо реализовать для соответствия требованиям №152-ФЗ.
CNews: Несмотря на то, что до вступления в силу поправок к №152-ФЗ остается все меньше времени, в его трактовке до сих пор существуют некоторые неопределенности. Смогут ли эти изменения быть реализованы в условиях российского ИТ-сообщества?
Владислав Лантух: Существует необходимость дополнительного разъяснения некоторых аспектов закона. И в бизнес-среде, и в ИТ-сообществе уже идут активные дискуссии по этому поводу. На самом деле, мне бы не очень хотелось сейчас останавливаться на собственных оценках плюсов или минусов. Думаю, что, как в любом законе, должно пройти время, чтобы понять, каким образом он исполняется. И я уверен, что со стороны государственных органов будет проведена четкая поэтапная работа по устранению всех неточностей. А нам всем, бизнес сообществу, сейчас просто необходимо сфокусироваться на своей работе в этом направлении, то есть на фактическом исполнении данного закона, а не на его бесконечном обсуждении.
CNews: Какое наказание может грозить компаниям в случае несоблюдения требований №152-ФЗ?
Иван Гузев: Невыполнение требований №152-ФЗ может повлечь за собой административную, гражданско-правовую, дисциплинарную и даже уголовную ответственность. Надзорный орган (Роскомнадзор) может наложить штраф или вынести требование о прекращении обработки ПДн, что может принести значительные издержки предприятию. Кроме того, компания, осуществляющая обработку ПДн с нарушением закона, несет риски, связанные с возможными гражданскими исками от субъектов ПДн и, как следствие, большими репутационным рисками.
В некоторых случаях может наступить и уголовная ответственность при нарушении неприкосновенности частной жизни, осуществлении предпринимательской деятельности без лицензии, неправомерном доступе к охраняемой законом компьютерной информации. Наказание за подобные нарушения варьируются от штрафа в сумме 300 тыс. руб. вплоть до лишения свободы сроком до двух лет. Все это, конечно, очень серьезно.
CNews: Как IBS DataFort приводит свои сервисы в соответствие с №152-ФЗ?
Владислав Лантух: Мы потратили много времени на то, чтобы разобраться в сложившейся ситуации, провели ряд юридических консультаций и в результате очень взвешенно подходили к выбору состава и объема мер защиты. Для оператора профессиональных облачных сервисов крайне важно найти баланс между выполнением обязательных и рекомендуемых требований ФСТЭК и ФСБ и собственными инвестициями в инфраструктуру, которые в итоге влияют на стоимость услуг для клиентов.
По нашим оценкам, в настоящий момент на рынке ИТ-услуг сложилась следующая ситуация: поставщики предлагают заказчикам инвестировать в максимально широкий спектр решений, не всегда необходимых, стараясь заработать как можно больше на вопросе «обеспечения соответствия законодательству», откровенно пользуясь слабой экспертной подготовкой своих клиентов. У нас принципиально иной подход: заказчикам сервисов IBS DataFort не нужно покупать существенную часть типового оборудования и ПО, необходимых для реализации базовых мер по информационной защите. Эти меры уже присутствуют в платформе оказания услуг DF Cloud и входят в их стоимость.
Иван Гузев: Проанализировав требования законодательства и получаемые нами запросы, мы пришли к выводу, что около 90% ПДн, обрабатываемых информационными системами, имеют третий уровень защищенности (УЗ-3). Нашей компанией был проработан базовый набор мер по защите ПДн для уровня защищенности 3 (УЗ-3). Из полного спектра требований были выбраны требования, которые касаются облачной платформы (инфраструктуры) DF Cloud, включая рабочие места администраторов обслуживающих данную платформу, требования к физическому размещению оборудования, и каналам передачи данных.
Были внедрены необходимые сертифицированные технические средства защиты информации, а также разработан набор компенсирующих организационных мер. И теперь профессиональные облачные сервисы DF Cloud соответствуют всем требования ФЗ-152 для размещения ИС заказчиков, обрабатывающих ПДн. Также на текущий момент проработаны базовые требования и по уровню защищенности 2 (УЗ-2), идет внедрение необходимых организационно-технический мер. То есть наши клиенты, системы которых должны быть защищены по УЗ-3/2, потратят значительно меньше времени, сил и средств на проекты по обеспечению требования федерального закона. Они могут просто получить ресурсы инфраструктуры для размещения информационных систем, защищенные в соответствии с требованиями регулятора, уже на следующий день после обращения.
Для полного соответствия законодательству о ПДн (№152-ФЗ) им остается, во-первых, подготовить необходимую документацию (положение по обработке ПДн, акт классификации, модель угроз, техническое задание на систему защиты ПДн и т.д.), во-вторых, обеспечить защиту арендуемой инфраструктуры на уровне ОС и приложений. Это достигается путем внедрения необходимых средств защиты информации, согласно адаптированному комплексу мер информационной безопасности для соответствующей ИС и УЗ. И в-третьих, им нужно реализовать соответствующую защиту информации согласно ФЗ-152 на своей территории. Наша компания может оказать консультационные услуги по данным вопросам или решать их самостоятельно.
CNews: Есть ли в вашем активе уже реализованные проекты по миграции данных клиентов из-за рубежа?
Владислав Лантух: Вопрос соответствия законодательству, трансграничной миграции и переноса существующих баз на территорию РФ особенно актуален для международных компаний, которые по решению штаб-квартиры централизованно обслуживаются в зарубежных ЦОД сервисными подразделениями таких компаний, как IBM, HP, CSC, Capgemini, Tata. Им крайне тяжело найти в России партнера, готового говорить с ними на привычном для них и понятном языке, не только в смысле лингвистики, но и в плане практики приобретения профессиональных сервисов. Не секрет, что рынок услуг ИТ-аутсорсинга и облачных сервисов в России на данном этапе значительно менее развит, чем на Западе, и сильно уступает интеграционным сервисам, хотя в развитых странах ситуация, скорее, обратная.
У DataFort есть успешный опыт миграции систем как раз именно в таком сценарии. Первый и самый главный плюс состоит в том, что компаниям не нужно инвестировать в новую инфраструктуру. Именно этот фактор, кстати, позволяет существенно сэкономить, а в условиях текущей экономической ситуации, это самое первое, на что обращают внимание клиенты. Мы готовы работать в наиболее удобном для клиента режиме: как по схеме, когда весь объем сервисов предоставляется с нашей стороны (в том числе управление на уровне операционных систем и типового корпоративного ПО), так и в сотрудничестве с текущими российскими или зарубежными партнерами заказчика, которые отвечают за администрирование бизнес-систем и со своей стороны предоставляют только ресурсы инфраструктуры, сетевые сервисы и услуги информационной безопасности.
Для полного соответствия требованиям законодательства о ПДн (№152-ФЗ), помимо уже реализованных на облачной платформе DF CLOUD мер по информационной безопасности, эксперты IBS DataFort сформулировали простой список дополнительных шагов. Выполнив их, компания Заказчика сможет привести свои внутренние процессы по обработке ПДн к полному соответствию Закону «О персональных данных»:
- Подготовить необходимую документацию (положение по обработке ПДн, акт классификации, модель угроз, техническое задание на систему защиты ПДн и т.д.),
- Обеспечить защиту арендуемой инфраструктуры на уровне ОС и приложений. Это достигается путем внедрения необходимых средств защиты информации, согласно адаптированному комплексу мер информационной безопасности для соответствующей ИС и УЗ,
- Реализовать соответствующую защиту информации согласно ФЗ-152 на своей территории.