«Буква закона»: Немного о защите персональных данных

в 7:42, , рубрики: Блог компании ИТ-ГРАД, законодательство, Законодательство и IT-бизнес, ИТ-ГРАД, персональные данные

10 мая президент Владимир Путин утвердил «Стратегию развития информационного общества в РФ» на период с 2017 по 2030 год. В документе был прописан план по импортозамещению, согласно которому необходимо заменить иностранное программное обеспечение и электронные базы на российские аналоги, а также обеспечить использование отечественных средств шифрования при электронном взаимодействии федеральных органов власти.

«Буква закона»: Немного о защите персональных данных - 1/ фото Charles Dyer CC

Согласно обозначенной стратегии, необходимо усовершенствовать механизмы ограничения доступа к информации, распространение которой запрещено в РФ законом. Документ также гласит, что предстоит усовершенствовать и механизмы законодательного регулирования деятельности СМИ и источников информации, которые по многим признакам могут быть отнесены к таковым — это социальные сети, новостные агрегаторы, мессенджеры и интернет-ТВ.

Все это связано с законом об информации и законом о хранении персональных данных (ПДн). Они обязывают площадки уведомлять Роскомнадзор о начале своей деятельности, взять на себя ответственность за хранение персональных данных граждан Российской Федерации, а также организовать и настроить подключение к оборудованию СОРМ (система технических средств для обеспечения функций оперативно-розыскных мероприятий), предоставляя данные, необходимые для внесения в реестр организаторов распространения информации (ОРИ).

Участники этого реестра обязаны хранить данные о действиях пользователей и передавать их по требованию госструктур и специальных служб. При этом по закону Роскомнадзор обязан блокировать сайты компаний, отказавшихся предоставить информацию, необходимую для внесения в реестр.

Например, в середине апреля федеральная служба заблокировала сайты и серверы мобильной рации Zello. Также в начале мая был ограничен доступ к сайтам и серверам мессенджеров Line, Imo, Vchat и BlackBerry Messenger. А 4 мая Роскомнадзор заблокировал крупный китайский сервис WeChat, однако позднее ведомство все же отменило блокировку — вопрос с данными был урегулирован.

Согласно нынешнему законодательству, организаторы распространения информации обязаны хранить метаданные обо всех действиях участников сервиса в течение полугода. При этом с июля 2018 года, когда вступит в силу новое положение «пакета Яровой», компаниям предстоит держать на своих серверах сведения о переданных за год сообщениях (как голосовых, так текстовых и мультимедийных).

Защиту персональным данным

Все это является своеобразным следствием закона «О персональных данных», который серьезно ужесточил требования ко всем частным и государственным компаниям и организациям, а также физическим лицам, хранящим, собирающим, передающим или обрабатывающим персональные данные. При этом задача по защите информации легла на плечи организаций, обрабатывающих эти персональные данные.

Под обработкой персональных данных понимается любая операция, действие, совокупность действий, совершаемых с использованием или без использования средств автоматизации, куда входит сбор, запись, систематизация, хранение, изменение, использование, распространение, блокирование, удаление, уничтожение персональных данных.

Согласно статье 18.1 ФЗ-152, от операторов (под определение «оператора» попадают государственные и муниципальные органы, а также юридические или физические лица, осуществляющие обработку ПДн) персональных данных требуется выполнить ряд организационных, правовых и технических мер. Во-первых, назначить ответственное лицо для организации обработки персональных данных. Во-вторых, осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям федерального закона и принятым в соответствии с ним нормативно-правовым актам.

В-третьих, производить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего федерального закона, а также ознакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных. И это еще не полный список требований (с полным списком вы можете ознакомиться здесь).

Если организация не исполняет требования закона «О персональных данных», то она может столкнуться со следующими рисками: гражданские иски со стороны клиентов или работников, приостановление или прекращение обработки ПДн в организации, привлечение организации к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности, приостановление действия или аннулирование лицензий на основной вид деятельности организации, репутационные риски и риски недобросовестной конкуренции.

Чтобы оказаться чистыми перед законом, у компаний есть несколько путей. Первый из них — самостоятельно организовать защиту персональных данных с привлечением стороннего юридического консалтинга или без такового. Такой вариант развития событий приемлем, так как своя серверная или ЦОД обеспечивают четкий контроль доступа к оборудованию, обрабатывающему персональные данные. Все это позволяет ограничить потенциальную утечку информации областью защищенных и недоступных извне машин. Также своя инфраструктура позволяет легко устанавливать дополнительные средства мониторинга и защиты.

Однако у этого способа есть недостатки. Он достаточно сложен для реализации и бывает затратен, поскольку для этого приходится приобретать дорогостоящее оборудование, настраивать и поддерживать инфраструктуру. Кроме того, далеко не все компании способны обеспечить соответствующий уровень надежности и защищенности персональных данных пользователей.

В качестве альтернативного варианта самостоятельной развертке инфраструктуры — так как самостоятельно выполнить все требования ФЗ-152 достаточно сложно — оператор персональных данных может привлечь на договорной основе стороннюю организацию, которая будет обеспечивать как организационные, так и технические меры по защите данных. Речь идет о так называемом облачном хостинге — услуге, которую предлагают многие IaaS-провайдеры (в том числе компания «ИТ-ГРАД») — когда клиент в рамках модели IaaS арендует инфраструктуру с полным набором необходимых сертифицированных средств защиты информации.

«Буква закона»: Немного о защите персональных данных - 2Схема инфраструктуры «ИТ-ГРАД»

В этом случае клиенты поставщика избавляются от необходимости аттестации собственной информационной системы, от затрат на создание и владение защищенной ИТ-инфраструктурой, от юридической ответственности. Клиенты дополнительно получают защищенный хостинг с использованием сертифицированного оборудования мировых производителей «железа» (NetApp, Cisco, IBM и др.), а также применение программно-аппаратного комплекса шифрования.

Однако и здесь есть свои особенности, о которых нужно помнить. Клиенту, заключая договор с поставщиком услуги, следует внимательно ознакомиться со всеми предусмотренными в нем пунктами. Особое внимание стоит уделить вопросу разграничения прав доступа сотрудниками провайдера к данным, размещаемым в облаке.

Не стоит забывать и про соглашение об уровне услуг (SLA). Хостинг ПДн, как и любая другая услуга, предоставляемая в контексте оговоренных условий, должна сопровождаться соглашением об уровне оказываемых услуг. Поскольку целостность и доступность данных является важным аспектом, необходимо обсудить детали и выяснить, какую ответственность будет нести поставщик в случае невыполнения тех или иных условий.

Отметим, что в обоих случаях — при создании собственной инфраструктуры или её аренде — клиентам, которые хотят полностью выполнять требования законодательства по защите персональных данных и не иметь проблем с регулирующими органами, необходимо внимательно подходить к выбору хостинг-провайдера или консультационной организации. Чтобы не столкнуться с недобросовестными компаниями, которые уверяют, что способны провести аудит, или же привести информационную структуру в полное соответствие с законом, но обещаниям своим не следуют.

P.S. Подборка материалов по теме из Первого блога о корпоративном IaaS:

Автор: it_man

Источник

* - обязательные к заполнению поля