Немного понагнетаем: стало понятнее, что будет с персональными данными после 1 сентября 2015

- КиТ :: Будь в СЕТИ!

242-ФЗ подсказывает нам, что оператор обязан обеспечить запись, хранение, изменение и извлечение персональных данных граждан Российской Федерации (это всё, что прямо или косвенно относится к субъекту ПДн

И номер телефона, и даже уровень защищенности его данных можно отнести сюда согласно 152-ФЗ) с использованием баз данных, находящихся на территории Российской Федерации. С 1 сентября 2015 года. За использование первичной базы за пределами РФ вам светит относительно небольшой штраф и, что куда хуже, блокировка ресурсов в течение 3 рабочих дней с даты судебного решения. При этом разблокировать доступ и «выйти» из реестра можно будет только по решению суда. Кто переносится

Точной статистики, какой объём персональных данных россиян хранится за пределами РФ, конечно, нет. Достаточно много ПД хранится в США, Германии, Англии, Франции и других европейских странах, поскольку там наиболее развита индустрия хостинг-провайдеров. Логично, что российские регуляторы усмотрели ряд рисков в этом. Прежде всего речь идет о рисках, связанных с соблюдением прав субъектов персональных данных, а также вероятности потери связи с внешними центрами обработки данных по причине введения санкций. Поэтому держите новый закон.

Под действие 242-ФЗ подпадают все зарубежные компании, которые имеют отделения в нашей стране, международные сервисы, туристические фирмы — представители иностранных компаний, «дочки» зарубежных банков и т. д. Но под новые требования не подпадают правоотношения, которые регулируются международными договорами или конвенциями (авиакомпании, журналистская деятельность и ряд других областей). Остальные должны переехать. Те же eBay, Google, PayPal и многие другие уже заявили о готовности продолжать бизнес в России. Тяжелее всего процесс даётся, пожалуй, банкам — исключений для них нет, а архитектура ИТ-инфраструктуры у них обычно такова, что перенос даётся довольно тяжело.

Вот иностранные компании, работающие на нашем рынке. Обратите внимание, что у отечественной компании базы данных могут быть за пределами РФ (например, на «Амазоне»), поэтому фактический процент тех, кому нужно переходить, выше. У крупных международных компаний обычная архитектура — «колесо и спицы», где в роли основного информационного центра выступает головной офис или ЦОД (например, в США). В РФ таким компаниям придётся поднимать ещё одну площадку — либо свой региональный дата-центр, либо вставать на колокацию к кому-то ещё. Собственно, многие встают к нам в КРОК благодаря наличию уже сертифицированных ФСТЭК и ФСБ решений в TIER-III TIA+UI (по facility) дата-центре.

Как выглядит обычный перенос крупной системы

Это достаточно продолжительный и мучительный процесс:

Оценка необходимых ресурсов — 2 недели; Процесс выбора поставщика — 2 недели; Анализ систем — 1 неделя; Тестирование миграции — 1 неделя; Ожидание оборудования — 6–8 недель; Перенос данных — 2–4 недели; Проверка перенесенных данных — 1 неделя.

Итого более 4 месяцев. Мой опыт переносов — от 2 недель для относительно простой инфраструктуры до 3 месяцев. Проблема обычно не только в том, что база данных тащит за собой ещё множество компонентов инфраструктуры, но и в том, что для многих (например, банков) важна непрерывность бизнеса. Поддерживается работоспособность систем заказчика на любом из этапов «переезда».

Переносить чаще всего нужно:

Онлайн-сервисы: интернет-магазин; портал для клиентов. Бизнес-приложения: CRM; HRMS. Инфраструктурные приложения: почту; корпоративный форум.

На стороне РФ нужны:

дата-центры (или серверные, лучше 2 штуки, основная и резервная, хотя в некоторых случаях юристы утверждают, что бекап можно хранить за пределами РФ; закон говорит о том, что при сборе переданных компаниям данных нужно обеспечить первоначальное накопление, хранение и обработку их на территории России. После чего уже можно передавать эти данные за рубеж); Вычислительные ресурсы – собственно, сами сервера и СХД; Инфраструктурное ПО – это новые лицензии для площадки в РФ; Каналы связи; Инженерные ресурсы; Поддержка + SLA; Разработка механизмов миграции, синхронизации и консолидации данных.

Вот почему процедура достаточно сложная, и многие не строят свой ЦОД, а встают в уже предназначенные для этого. У нас, например, многих радует наше защищённое облако, где есть:

Сертифицированный ФСТЭК гипервизор VMWare; Межсетевое экранирование (FW) — сертификация ФСТЭК; криптографическая защита каналов связи (IPSec VPN) — сертификация ФСБ; Предотвращение вторжение (IPS) — сертификация ФСТЭК; Глубокая фильтрация web-трафика (WAF); Антивирусная защита сетевого трафика; И любые другие средства защиты, способные работать в виртуальной среде VMware.

При переносе базы данных мы всегда отделяем инфраструктуру одного заказчика от всех остальных.

Информационная безопасность

Новое законодательство требует:

1. Перенести ПД в РФ.

2. И при этом также защитить данные в достаточно хорошей степени. Надо отметить, что законодательная инициатива напрямую связана с программой импортозамещения в ИТ. Регуляторы стимулируют по максимуму использовать имеющиеся отечественные технические ресурсы, программное обеспечение и другие разработки. Однако полного импортозамещения в ИТ-сфере достичь сегодня сложно. По системам ИБ есть пара интересных особенностей. У нас довольно много хороших производителей, прошедших отечественную сертификацию и делающих то, что подпадёт под определение «отечественного ПО», то есть получит приоритет для использования в госорганах (идёт обсуждение возможного расширения на госкомпании и госкорпорации).

Проверки Проверки будут проводиться, плюс за вами будут наблюдать без прямого взаимодействия.

Условия для проведения внеплановых проверок:

1. Истечение срока исполнения предписания.

2. Обращения граждан (требует согласования с органами прокуратуры).

3. Информация от органов государственной власти (ОГВ), органов местного самоуправления (ОМСУ) и СМИ о фактах нарушения законодательства.

4. Поручения Президента и Правительства РФ.

5. Нарушения по итогам систематического наблюдения.

6. Несоответствие сведений, содержащихся в уведомлении, фактической деятельности.

7. Неисполнение требований Роскомнадзора (РКН) об устранении нарушения.

8. На основании требования прокуратуры.

Критерии включения в план проверок:

1. Трёхлетний период с момента окончания проведения последней плановой проверки.

2. Информация от ОГВ, ОМСУ и СМИ о фактах нарушения законодательства и результаты систематического наблюдения.

3. Обработка ПДн значительного числа субъектов ПДн/биометрии/специальных категорий ПДн.

4. Непредставление информации, в том числе уведомительного характера, в соответствии с ФЗ-152.

Итого

• появился чёрный список нарушителей прав субъектов ПДн;

• появились систематические наблюдения за операторами;

• увеличились штрафы за нарушения обработки ПДн;

• участились проверки РКН и расширились основания.

Если вы собираете ПДн граждан РФ в любых объёмах, то вот что надо делать:

Реорганизовываем бизнес-процессы, ИТ-инфраструктуру; Сохраняем/изменяем ПДн в БД на территории РФ; Обеспечиваем «правильную» защиту этой БД (ИСПДн); Передаём ПДн из этой БД трансгранично (при необходимости); Не забываем про сбор согласий, если они необходимы (это необходимо в случае передачи персональных данных в страну, не входящую в список стран, обеспечивающих адекватную защиту прав субъектов ПДн, либо стран, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн. В этом случае нужно убедиться, что организация не попадает под исключения нового закона и организовать сбор согласий субъектов на трансграничную передачу данных); Вносим изменения в уведомление на сайте Роскомнадзора.

Ссылки

Вот здесь, , есть детальнее по документам. Если совсем коротко — да, переносить нужно, чтобы не остаться заблокированным на территории РФ. С момента этого поста данные немного обновились, плюс наша команда сделала ещё несколько крупных переносов и пару десятков поменьше — появилось понимание ещё ряда инфраструктурных особенностей. «про персональные данные»

ПодпискаБудь в СЕТИ! Новости социальных сетей - всегда актуальное
 
Группы: ВК | OK | Tg