Персональные данные размещаются в изолированном облаке, подразумевают сбор паспортных данных и иных персональных данных клиентов.

Политика в отношении обработки персональных данных ООО «ОКЕЙ-ТЕЛЕКОМ»

Кто предоставляет услугу обработки персональных данных?

Чаще всего компании, предоставляющие услугу обработки персональных данных, – это облачные сервис-провайдеры. Они имеют необходимые ресурсы для обработки и хранения персональных данных: межсетевые экраны, маршрутизаторы, ПО для защиты от несанкционированного доступа, антивирусы, и еще у них есть сотрудники для администрирования средств защиты.

Что именно я отдам на аутсорсинг?

Сценариев может быть несколько.

  • Передать на обслуживание аутсорсинговой компании всю IT-инфраструктуру, в том числе и защиту персональных данных.
  • Передать на обслуживание информационную систему, содержащую персональные данные. Сервис-провайдер разместит ее в защищенном облаке вместе с рабочими местами пользователей этой системы.
  • Разместить в защищенном облаке информационную систему, содержащую персональные данные, а защитой рабочих мест пользователей заниматься самостоятельно.
  • Разместить в защищенном облаке только базу данных с персональными данными.

На рынке наибольшей популярностью пользуются третий и четвертый сценарии – это наиболее простые решения, поэтому и самые тиражируемые. Они удобны для провайдера, так как у него уже создана и аттестована техническая база под данные услуги, требуется лишь обеспечить доступ заказчиков в инфраструктуру. Первый и второй сценарии выбирают, как правило, крупные компании с большим бюджетом и специфическими бизнес-задачами.

Чего ждать от сервис-провайдера?

Вы точно можете рассчитывать на партнерство и консультационную поддержку. Что именно делает сервис-провайдер?

Подписывайтесь на канал Rusbase в «Яндекс.Дзен», чтобы ничего не пропустить

  • Дает рекомендации. Нюансов в сфере хранения персональных данных действительно много. Все они связаны со спецификой конкретного бизнеса.
  • Делает расчет необходимых вычислительных мощностей в облаке.
  • Переносит ваши системы на эти мощности.
  • Организует закрытый контур для персональных данных. Закрытый контур – сеть или сегмент сети, защищенный с помощью сертифицированных технических и программных средств. Если закрытый контур в облаке аттестован ФСТЭК и ФСБ, это, как правило, снимает большую часть вопросов при проверке Роскомнадзора.
  • Помогает с подготовкой необходимых документов и внутренних регламентов для работы с персональными данными.

Цена вопроса

Для оценки мы использовали решения компаний «Код безопасности» и Infotecs. Рассмотрим простой вариант: 2-3 сервера в закрытом контуре, 20-30 пользователей, которые подключаются к ним с помощью VPN c ГОСТ-шифрованием.

За помощь в подготовке внутренних распорядительных документов и настройку средств безопасности сервис-провайдер попросит 75-100 тысяч рублей разовым платежом плюс ежемесячные отчисления в размере 15-20 тысяч рублей – за предоставление средств защиты для серверов и рабочих мест пользователя и их администрирование. Стоимость такой услуги из расчета на 3 года, как правило, на 50-100% ниже, чем внедрение решения у себя. Оплачивать эту услугу вы будете на ежемесячной основе по счетам, выставляемым сервис-провайдером.

При самостоятельной организации хранения персональных данных только на оборудование и покупку лицензий уйдет 200-300 тысяч рублей. Трудозатраты и дальнейшая поддержка информационной системы – отдельная статья расходов.

Если задача, которая стоит перед бизнесом, выбивается из данного описания, это не значит, что сервис-провайдер не сможет организовать защиту персональных данных конкретно под ваш кейс, просто потребуется более серьезная проработка решения.

Кто будет нести ответственность?

Закон позволяет передать информационные системы, в которых обрабатываются персональные данные, на аутсорсинг. Cервис-провайдер может взять на себя все технические работы по обработке персональных данных и разделить юридическую ответственность оператора персональных данных.

В ФЗ-152 очень четко определена ответственность. Оператор отвечает непосредственно перед субъектом персональных данных, поэтому каждый сервис-провайдер должен быть оператором персональных данных.

При покупке услуги по их хранению и обработке, помимо основного договора, необходимо заключить договор-поручение. В этом документе один оператор персональных данных (заказчик) поручает другому оператору (сервис-провайдеру) хранение и обработку персональных данных субъектов.

Важно понимать, что, согласно 152-ФЗ, при такой схеме работы сервис-провайдер безусловно несет ответственность за сохранность данных, но с заказчика (первого оператора) никто ответственность не снимает, поэтому нужно очень внимательно подходить к выбору делового партнера.

Кому отдавать персональные данные?

Операторам, которые имеют аттестацию ФСТЭК и ФСБ и работают в рамках ФЗ-152. Поменьше обращайте внимание на красивые презентации от облачного провайдера. Чтобы понять, действительно ли можно доверять сервис-провайдеру, узнайте, аттестован ли закрытый контур, в котором планируется хранить ваши данные.

Хотя аттестация необязательна, ее наличие свидетельствует о том, что решение, которое предлагает сервис-провайдер, соответствует требованиям 21 приказа ФСТЭК (в нем описаны организационные и технические меры по защите персональных данных) и прошло проверку аккредитованным органам по аттестации ФСТЭК.

Где безопаснее хранить персональные данные…

…в облаке или в своей IT-инфраструктуре?

Это очень популярный вопрос.

Безопасность информационных систем (ИС), работающих в облаке, обеспечивают те же аппаратные и программные средства, что и безопасность ИС в ШЕ-инфраструктуре крупного предприятия, владеющего собственным дата-центром и часто своим облаком в этом дата-центре. Такая техническая база обеспечивает максимальную безопасность, но стоит дорого. Для малых и средних компаний подобные технические решения часто неподъемны и по финансовым соображениям, и из-за нехватки специалистов необходимой квалификации.

В облаке стоимость обеспечения информационной безопасности распределяется на большое количество заказчиков. В итоге стоимость услуг несопоставима со стоимостью покупки аппаратных и программных средств для обеспечения такого же уровня безопасности.

Кроме того, на провайдера ложатся все задачи по своевременному обновлению средств информационной безопасности.

За возможные инциденты облачный провайдер несет финансовую ответственность перед заказчиками. Любой сбой или утечка информации тут же становятся известны на рынке, риски потерять клиентов очень высоки.

Будет ли провайдер иметь доступ к персональным данным, которые я храню?

Нет, провайдер не имеет доступа к персональным данным, которые принадлежат вашей компании.

Что в итоге?

Если вы планируете организовать хранение персональных данных с нуля и еще не успели погрузиться в проблему достаточно глубоко, мы рекомендуем обратиться к провайдеру хотя бы для первичной консультации, чтобы вам помогли правильно определить категорию персональных данных и уровень защиты, который требуется обеспечить.

Подводных камней множество, поэтому вам не помешает серьезная экспертиза. Вам вполне могут рассказать то, чего вы не знали, или предложат решение, которое может оказаться дешевле и проще, чем вы представляли.

Рекомендуем ставить задачу сразу перед несколькими провайдерами, а дальше смотреть на предложенные решения и конечную стоимость услуг.

Если вы уже давно обрабатываете персональные данные, но ваше решение не в полной мере соответствует закону, четко определите свой бюджет и условия работы и приходите к провайдеру с конкретным техническим заданием. Внимательно изучите договор-поручение, чтобы понимать, какие риски вы сможете впоследствии переадресовать провайдеру.


Материалы по теме:

ВИДЕО ПО ТЕМЕ: Королевство кривых зеркал (1963) Полная версия

Почему для обработки персональных данных не подходят сервера большинства облачных провайдеров? Законодательное.

ВИДЕО ПО ТЕМЕ: Бюджетный файл-сервер и настройка к нему доступ через Интернет. Наш опыт!

ATLEX и 152-ФЗ

В конце декабря 2014 года был принят закон, в соответствии с которым требование о хранении персональных данных с помощью серверов, расположенных на территории России, распространяется на операторов не с 1 сентября 2016 года, как планировалось первоначально, а уже с 1 сентября 2015 года (Федеральный закон от 31 декабря 2014 г. № 526-ФЗ). Разговоры о досрочном введении этого положения в действие велись с сентября 2014 года, когда в Госдуму был внесен соответствующий законопроект1. Авторы документа предлагали изменить срок вступления в силу нового правила на 1 января 2015 года, но в итоге было принято решение перенести эту дату на восемь месяцев.

МАТЕРИАЛЫ ПО ТЕМЕ

О том, какие изменения в локальные нормативные акты следует внести в связи с новыми требованиями и будет ли усилен контроль со стороны Роскомнадзора за соблюдением положений о защите персональных данных, читайте в нашем материале «Персональные данные: успеть обеспечить защиту!».

И у юристов, и у программистов возникло немало вопросов, касающихся особенностей хранения персональных данных россиян на серверах, находящихся на территории России (ст. 2 Федерального закона от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», далее – Закон № 242-ФЗ). Однако до настоящего времени ни законодатель, ни Роскомнадзор никаких разъяснений не дали. Разберемся, какие пробелы содержит Закон № 242-ФЗ, возможна ли при его реализации трансграничная передача данных и какие предложения по совершенствованию новых норм были выдвинуты.

Неопределенность в реализации новых требований

Можно выделить несколько затруднений, которые могут возникнуть при выполнении требований Закона № 242-ФЗ.

1

Понятие «персональные данные» сформулировано недостаточно четко. Действующее законодательство понимает под ними любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», далее – закон о персональных данных). Вместе с тем, такое широкое толкование позволяет распространять новые требования практически на всю информацию о человеке. 

Однако некоторые эксперты полагают, что положения закона несколько шире, чем изначальный замысел законодателя, и считают необходимым ограничить действие Закона № 242-ФЗ определенными сферами деятельности и определенной персональной информацией, которую и нужно обязательно дублировать на российские серверы.

Это не пустой вопрос, поскольку от детализации персональных данных, подпадающих под новые требования, напрямую зависят объем информации, который надо локализовать на территории России, и объем требуемых на это издержек. «Наши IT-подразделения находятся в замешательстве, поскольку они не имеют понятия, что конкретно переносить с иностранных серверов на локальные. Например, нужно ли брать в расчет почтовые серверы или достаточно перенести серверы, которые обрабатывают основные персональные данные (заключение договоров, начисление заработной платы и т. д.). В настоящее время «правила игры» нам не известны», – сетует руководитель отдела по взаимодействию с государственными органами власти компании по производству товаров ежедневного спроса ООО «Юнилевер Русь» в России, Украине и Беларуси Александр Дубровский.

А до тех пор, пока не будет уточнен перечень персональных данных, которые подпадают под действие Закона № 242-ФЗ, компаниям стоит руководствоваться разъяснениями Роскомнадзора. В частности, управление ведомства по республике Крым и г. Севастополь в апреле 2014 года на своем официальном сайте пояснило, что персональными данными являются: фамилия, имя, отчество гражданина, его дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии, данные паспорта и т. д., если по этим данным можно прямо или косвенно определить конкретную личность. Правда, перечень этот является открытым – поэтому не исключено, что чиновники Роскомнадзора будут признавать персональными данными и другие сведения о человеке.

2

Закон не определяет, что такое «базы данных». Закон № 242-ФЗ требует хранить персональные данные с помощью баз данных, расположенных в России, однако не уточняет, что считается базами данных и каков порядок работы с ними. Одни эксперты отмечают, что даже обычный текстовый файл при определенном форматировании может считаться базой данных, тогда как другие склонны понимать под этим отдельный сервер или группу серверов, с помощью которых обеспечивается целостность и сохранность данных. Есть и иные точки зрения. 

МНЕНИЕ

Андрей Прозоров, ведущий эксперт по информационной безопасности группы компаний InfoWatch:

«Что такое база данных и как ее вести – не определено, поэтому некоторые операторы считают, что офисные компьютеры – это и есть их локальная база данных. Да, персональные данные впоследствии куда-то направляются, но локальная база данных на территории России есть, следовательно, требованиям закона деятельность организации полностью соответствует. Это значит, что до тех пор, пока требование законодателя не будет детально прописано, формально его можно считать выполненным даже при таких условиях».


3

Трудно определить принадлежность персональных данных гражданину РФ. Определить гражданство субъекта персональных данных не всегда возможно – подавляющее большинство операторов не используют конкретизирующую информацию (паспортные или иные данные), которая позволяла бы установить этот факт. Не исключено, что Роскомнадзор может проверять IP-адреса на предмет их принадлежности российским операторам либо будет уточнять информацию по зарегистрированному у российского оператора номеру телефона субъекта персональных данных. Но поскольку ни один из этих способов не гарантирует принадлежность персональных данных исключительно россиянам, существует риск того, что ограничить круг лиц гражданами России даже в этих случаях не удастся. Это значит, что, не имея возможности установить российское гражданство субъекта, большинству операторов придется переносить на российские серверы все обрабатываемые им персональные данные, что существенно усложнит процесс.

4

Отсутствует указание на возможность параллельного хранения и обработки данных как в России, так и за рубежом. Среди специалистов мнения по этому поводу разделились. Одни утверждают, что Закон № 242-ФЗ однозначно обязывает хранить персональные данные россиян исключительно на территории России. Другие же говорят, что раз нет прямого запрета, параллельное хранение информации на российских и заграничных серверах вполне возможно, поскольку в действующем законодательстве разрешена так называемая трансграничная передача персональных данных. Напомним, под ней понимается передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (ст. 3, ст. 12 закона о персональных данных). Главное – обеспечить копирование этой информации на российские серверы. 

В замешательстве находятся и иностранные компании, которые так или иначе имеют дело с персональными данными россиян.

МНЕНИЕ

Дмитрий Яковлев, генеральный директор интернет-магазина путешествий OZON.travel:

«Основной вопрос, на который хотелось бы получить ответ, – какую цель ставил перед собой законодатель? Если читать закон буквально и считать, что его действие распространяется в том числе и на зарубежных операторов, которые обязаны строить дополнительные серверы в России и переносить туда персональные данные россиян, то надо отказываться от интернет-технологий вообще. Если же мы говорим, что этому требованию должны соответствовать только российские юридические лица, то тут все гораздо проще. Однако конкретных разъяснений Роскомнадзор пока не дал».


Инициативы и предложения

Одной из наиболее значимых инициатив в свете новых требований является идея Правительства РФ об увеличении штрафа за нарушение законодательства о персональных данных. За рубежом штраф за такое нарушение значительно выше российского. Например, в Испании он составляет от 40 тыс. до 600 тыс. евро, во Франции – 150-300 тыс. евро, в Германии – до 300 тыс. евро с конфискацией незаконно полученной прибыли, в Великобритании – до 500 тыс. фунтов, а в Италии за соответствующее нарушение взыскивается административный штраф в размере до 1,5 млн евро.

Законопроект2 кабмина (на данный момент он готовится к первому чтению) предлагает установить для юридических лиц штраф от 15 тыс. до 300 тыс. руб. в зависимости от состава, тогда как в настоящее время максимальный размер штрафа за подобные нарушения для них составляет всего 10 тыс. руб. (ст. 13.11 КоАП РФ). К слову, законопроект предусматривает несколько составов правонарушения вместо одного, существующего в настоящее время (например, обработка персональных данных с нарушением требований к составу сведений, включаемых в согласие на обработку персональных данных субъекта; обработка персональных данных без согласия субъекта и в отсутствие предусмотренных иных условий обработки персональных данных; невыполнение оператором обязанности по опубликованию или размещению его политики в отношении обработки персональных данных и др.).

Предложение увеличить размер штрафов согласуется с мнениями многих экспертов, считающих, что соблюдение требований Закона № 242-ФЗ напрямую зависит от размера штрафов, установленных за их нарушение. Андрей Прозоров убежден: «До тех пор, пока у нас не повысятся штрафы и не будет формализовано понятие базы данных, крупные операторы, чтобы не тратить денег, будут трактовать закон по-своему». 

Однако если Закон № 242-ФЗ еще в законную силу не вступил и поэтому пока реальной угрозы для компаний не представляет, равно как и административная ответственность за нарушение его норм, то не стоит забывать о так называемом «законе о блогерах» (Федеральный закон от 5 мая 2014 г. № 97-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей»). Напомним, его нормы действуют уже с 1 августа 2014 года.

МНЕНИЕ

Андрей Прозоров, ведущий эксперт по информационной безопасности группы компаний InfoWatch:

«Отдельного внимания в свете обязанности оператора обеспечить хранение персональных данных на территории России заслуживает Федеральный закон от 5 мая 2014 г. № 97-ФЗ, или так называемый «закон о блогерах». На самом деле он вообще не о блогерах. Самая главная идея этого документа касается обязанностей организатора распространения информации в Интернете. Дело в том, что положения закона неконкретны, и под них может попасть абсолютно любой сайт, начиная от поисковых сетей, интернет-магазинов и заканчивая сайтом, владельцем которого является простой человек. Закон вступил в силу в августе 2014 года и уже работает, в отличие от Закона № 242-ФЗ. Уже сейчас владельцы сайтов обязаны хранить информацию о пользователях на территории России (ст. 10.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации»). При этом законодатель установил не только такую обязанность, но и конкретные штрафы за невыполнение этого требования, размер которых достигает 500 тыс. руб. (ст. 13.31 КоАП РФ). Для интернет-гигантов это настоящий «дамоклов меч»!».


Эксперты сходятся во мнении о том, что с учетом нынешних технических возможностей Закон № 242-ФЗ не готов к внедрению в быстрые сроки. По оценкам крупных компаний, им потребуется порядка трех лет для того, чтобы перенести все свои базы данных в Россию. «По опыту могу сказать, что у законодателя уже есть видение, как этот закон будет реализован, как он будет применяться, однако до нас эта информация пока не доведена. Мы придерживаемся мнения, что необходимо исключить из объектов регулирования внутренние корпоративные сети, поскольку они не являются публичными, носят ограниченный характер и недоступны для третьих лиц. Также считаем, что необходимо ограничить действие Закона № 242-ФЗ в отношении работодателей, которые обрабатывают персональные данные для исполнения трудового законодательства в России», – предлагает Александр Дубровский. 

Пока же компании вправе сами выбрать для себя наиболее подходящую стратегию поведения: дождаться официальных разъяснений Роскомнадзора по поводу применения нового закона и до тех пор ничего не предпринимать либо подстраховаться и обеспечить хранение персональных данных исключительно на собственном или арендуемом сервере, находящемся на территории России. Первый вариант чреват возможными проверками со стороны Роскомнадзора и штрафами, второй же может потребовать выделения значительной части бюджета компании для реализации этих мероприятий. «Небольшие компании часть задач по обработке персональных данных могут вполне перенести в облачные хранилища (например, Dropbox) бесплатно или с минимальными затратами. Расходы крупных компаний будут зависеть от необходимой мощности, типа серверов и их количества, а также дополнительных условий технической поддержки. Разброс цены при этом будет от нескольких тысяч до нескольких сотен тысяч рублей в месяц», – уточняет Андрей Прозоров. А Дмитрий Яковлев пояснил порталу ГАРАНТ.РУ: «В среднем для небольшой торговой компании на проект по хранению персональных данных потребуется от 150 тыс. руб. до 500 тыс. руб. Сложнее обстоят дела у компаний, работающих в туристическом бизнесе, – для крупного online-агентства стоимость хранения данных обойдется в среднем в 10-15 млн руб., что с учетом амортизации составит в среднем 3-4 млн руб. в год».

ВИДЕО ПО ТЕМЕ: Перенос баз данных MS SQL Server с одного ПК на другой.

В тексте говорится: «При сборе персональных данных, в том числе хранить данные одновременно и на российском сервере, и на.

Как это работает: защитите персональные данные на своем сайте

Защищенное облако ФЗ-152

Виртуальная IT-инфраструктура на базе гипервизора VMware для размещения информационных систем персональных данных клиента.

«ИТ-ГРАД» совместно с партнером #CloudMTS предлагает услугу «Защищенное облако ФЗ-152». Сервис предоставляет клиенту в пользование виртуальную IT-инфраструктуру на базе VMware в соответствии с требованиями законодательства РФ по защите информации для размещения информационных систем персональных данных.

Особенности сервиса

  • Персональные данные размещаются в изолированном облаке, защищенном сертифицированными средствами защиты информации.
  • Защищена и зарезервирована вся архитектура виртуализации: гипервизор, платформа виртуализации, аппаратная платформа и СХД, система управления.
  • Обеспечивается комплекс необходимых мер по физической и информационной безопасности, что гарантирует полное соответствие требованиям Роскомнадзора, ФСТЭК и ФСБ.
  • Каждая ИСПДн клиента размещается в защищенной по требованиям ФСТЭК изолированной виртуальной среде, реализованной на базе решений VMware.
  • Доступ к облаку осуществляется с использованием сертифицированных средств защиты.
  • Вычислительные ресурсы, предоставляемые для ИСПДн клиента, с легкостью масштабируются. Для разработки и тестирования могут быть созданы дополнительные сегменты в облаке.

Для кого актуальна услуга

  • Компании, бизнес-процессы которых подразумевают сбор паспортных данных и иных персональных данных клиентов.
  • Интернет-магазины, которые собирают и хранят реквизиты клиентов, такие как ФИО и мобильный телефон, а также запрашивающие другие сведения о клиентах или имеющие программу лояльности.
  • Системы отдела кадров, базы данных персонала и бухгалтерского учета на предприятии.
  • Компании, которые работают с системами управления услугами, биллинга или маркетинговых коммуникаций, использующие ПДн клиентов для взаимодействия и предоставления услуг.
  • Другие организации, обрабатывающие персональные данные.

Особенности инфраструктуры

СЗИ на уровне инфраструктуры и средств управления облаком
СЗИ в виртуальной среде на уровне IT-системы клиента

ВИДЕО ПО ТЕМЕ: Где хранить персональные данные. Репортаж о Cloud DC Moscow1на Первом канале

Кто предоставляет услугу обработки персональных данных? Рассмотрим простой вариант: сервера в закрытом контуре,