Любой оператор персональных данных, обрабатывающий данные не в России, может попасть под блокировку.
Ниже я хочу рассказать про некоторые моменты миграции, с которыми мы уже сталкивались на практике при переносе клиентов в Россию на нашу инфраструктуру. Конечно же, первый вопрос будет про законы, второй — про то, как данные защищены от изъятия.
Основное
Пока непонятно, как описанный в законе механизм будет работать на практике, к тому же еще не приняты подзаконные акты, в которых будет детализирован порядок ограничения (блокировки) доступа к ресурсам. Поэтому придется копаться детальнее: ниже несколько важных, но довольно скучных вещей.
Законодательство не делит российских и иностранных лиц, к иностранцам применяется национальный режим (все равны перед законом). По ощущениям, штрафы есть, но практическая возможность их применения к иностранцам отсутствует. И штрафы смешные, конечно, — до 10 000 рублей. Однако штрафы не отменяют полномочий Роскомнадзора по блокировке сайтов — Роскомнадзору будет безразлично, российский домен или иностранный, он сможет заблокировать и тот, и другой для всех российских пользователей.
То есть, например, если «Аэрофлот» не сможет получить доступ к системе оформления билетов Sabre, это обойдется нашему перевозчику сильно дороже штрафа в целых 10 000 рублей.
Что нужно знать про персональные данные?
242-ФЗ в статьях 2 и 4 и 526-ФЗ говорят, что с 1 сентября 2015 года при сборе персональных данных, в т.ч. в Интернете, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации (часть 5 статьи 18).
2) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
3) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года №210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
4) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
Во всех остальных случаях операторы обязаны будут осуществлять сбор персональных данных граждан Российской Федерации с использованием баз данных, расположенных на территории Российской Федерации.
Какова ответственность?
В случае если оператор допустит нарушение новых требований к размещению баз данных на территории РФ, по действующей редакции статьи 13.11 Кодекса Российской Федерации об административных нарушениях «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» оператор и его руководитель могут быть привлечены к административной ответственности: руководитель — в виде штрафа в размере от пятисот до одной тысячи рублей, оператор — от пяти тысяч до десяти тысяч рублей.
В настоящее время в Государственной Думе Российской Федерации рассматривается законопроект № 683952-6, которым предполагается ограничить круг нарушений законодательства о персональных данных, за которые будет наступать административная ответственность по статье 13.11 Кодекса Российской Федерации об административных нарушениях.
В новой редакции указанной статьи нарушение операторами требований об обеспечении записи, систематизации, накоплении, хранении, уточнении (обновлении, изменении), извлечении персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет административным правонарушением являться не будет, поскольку такого состава правонарушения законопроект не предусматривает.
То есть можно и не хранить в РФ?
Не совсем. Планируемые изменения в административном законодательстве не означают, что нарушение операторами требований Федерального закона № 242-ФЗ не повлечет для них никаких негативных последствий. Смотрим на статью 15.5 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», вступающую в силу с 1 сентября 2015 года, которая появилась в законе в результате принятия Федерального закона № 242-ФЗ.
Согласно указанной статье, в случае если решением суда на основании заявления субъекта персональных данных будет подтвержден факт обработки персональных данных данного субъекта на интернет-ресурсах оператора с нарушением законодательства о персональных данных, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по обращению субъекта персональных данных на основании судебного решения сможет включить сведения об операторе-нарушителе в специализированный «Реестр нарушителей прав субъектов персональных данных» и ограничить (блокировать) доступ к интернет-ресурсу оператора, где было обнаружено нарушение.
Закон не уточняет, какие именно нарушения законодательства о персональных данных будут являться основанием для ограничения Роскомнадзором доступа пользователей к интернет-ресурсам операторов.
Есть ли практика?
По очевидным причинам, пока закон не заработает, сказать точно, что и как правильно делать, будет сложно. Формулировки позволяют достаточно широкое толкование, и, как обычно, нужно ориентироваться на правоприменительную практику.
Что все это значит для вас?
С 1 сентября 2015 года операторы должны быть готовы к проведению Роскомнадзором проверки соблюдения законодательства о персональных данных, в том числе требований об обработке персональных данных с использованием баз данных, находящихся на территории Российской Федерации, в любое время — этот вывод следует из поправки, внесенной статьей 3 Федерального закона № 242-ФЗ в Федеральный закон от 26 декабря 2008 года № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», согласно которой контроль и надзор за обработкой персональных данных выводится из-под действия Федерального закона № 294-ФЗ.
Скорее всего, порядок, сроки, частота проведения проверок будут определяться самим Роскомнадзором. Такие проверки не будут согласовываться с органами прокуратуры и не будут включаться в ежегодные сводные планы проверок юридических лиц и индивидуальных предпринимателей.
Теперь расскажу про нашу практику
У нас для коммерческих клиентов предлагается три дата-центра, в том числе один из них TIER III по Uptime Institute. Как правило, очень крупные компании (вроде банков, страховых и лидеров розничных сетей) встают к нам внутрь ЦОДа в специально огороженные пространства, где, например, может находиться 50–60 стоек только этого клиента. Проход внутрь пространства даже для проведения техработ возможен только с представителем этой компании, поэтому все, требующее обслуживания, у нас изначально выносится за загородку. Кроме того, мы следим, чтобы камеры других заказчиков не попадали секторами на чужие загородки. Это достаточно простая схема размещения.
Компании, размещающие у нас не такие масштабные проекты (как правило, переносящие инфраструктуру из облачных сред вроде Амазона), встают в облако КРОК, которое на 85% совместимо с тем же API Амазона (EC2, S3). Мигрировать легко — почти все утилиты заработают с Амазона без модификаций или с минимальными изменениями. Единственное, конечно, придется поменять формат образа. Но главное — подход и идеология сохраняются. Думаю, не мне объяснять, что при переходе на другую структуру часто вылезают разные архитектурные моменты, которые очень портят жизнь, — у нас таких сюрпризов уже давно нет.
Сам по себе перенос не представляет никаких сложностей и давно отработан. Вопрос в другом: каждого заказчика беспокоит новый закон. И здесь есть несколько вариантов:
- Первый — постановка в ЦОД и аттестация конечного ИТ-решения по нормам ФСТЭК. Это классический collocation.
- Второй вариант — работа с нашим публичным облаком. У нас уже есть опыт успешной аттестации по четвертому классу и соответствующая документация, которая включает в себя модель угроз, средства защиты, два отчета о проведении пентестов, отчет об устранении уязвимости по результатам этого пентеста, внутренние регламенты работы дата-центра, службы эксплуатации, HR (регламенты рекрутеров). При необходимости мы подготовим такой комплект документов и передадим заказчику для дальнейшей проверки и выдачи заключения аккредитованному на то аттестационному органу.
- Третий вариант — SaaS с облачным решением, централизованный узел безопасности (ЦУБ) для защиты от конкретных моделей угроз. Можно использовать облачную модель масштабирования, даже если раньше из-за требований регуляторов для вас это было недоступно. Если коротко, процедура такая: за 1–2 дня разворачиваются защищенная виртуальная среда с сервисами информационной безопасности на базе инструментов, сертифицированных ФСТЭК и ФСБ. Файрволы, IPSec VPN и предотвращения вторжений (IPS).
Хранение данных
Второй частый вопрос, который часто появляется во время встреч с заказчиками,— это как хранятся данные. Собственно, без этого вопроса не обходится практически ни одна встреча, даже если она шла с финдиректором.
Суть здесь такая. У нас есть два дата-центра, в них суммарно порядка 500 физических серверов, на которых запускаются виртуальные машины заказчиков. На каждом сервере находится по два диска. И к этим 500 серверам подключены 12 массивов, по 6 на площадку. На локальных дисках, которые стоят на борту серверов, данные заказчиков не хранятся. Они все хранятся на централизованном хранилище. Если подходить к вопросу изъятия данных проверяющими органами, то изъятие серверов как таковое просто бесполезно, потому что данные заказчиков на них отсутствуют. Они все подключаются по сети хранения данных — SAN. И берутся с дисковых массивов, которые по SAN подключены. Есть полная определенность в каждый момент, где хранятся данные (именно на какой площадке), то есть заказчик при создании виртуального диска выбирает, запустить его на Волочаевской или же на Компрессоре. Дальше все эти диски на уровне физических дисковых массивов хранятся в таком виде — они равномерно распределены по всем дисковым массивам вперемешку с данными остальных заказчиков. Естественно, доступ к этим данным есть только у хозяев этих данных. Если физически изъять один из массивов, то данные будут нецелостными, неконсистентными. Это может быть 1/6 данных, остальные данные размазаны по остальным массивам. То есть никакой ценности представлять не будут. Даже если извлечь все массивы, чтобы собрать из этой каши какие-то диски, то без определенного доступа получить эту информацию не получится.
Наиболее простой способ — узнать логин и пароль и получить доступ на портал самообслуживания, взяв эти явки-пароли у системного администратора заказчика. Отмечу: за все 6 лет, что мы облаками занимаемся, подобных инцидентов с изъятием оборудования не было.
Сама миграция
Как правило, к нам переезжают международные компании с российскими представительствами. Исторически они хостились около головного офиса где-то, а сейчас российский бизнес выделяют в отдельный, в России. И строят отдельные же инфраструктуры. Плюс около 10% заказчиков — это те, кто хостился на Западе и переезжает «домой» на похожие инфраструктуры. Есть и те, кто переходит на хранение данных у нас вместо хранения в офисе, потому что надежнее.
Важная особенность — многим нужен англопишущий саппорт и англоговорящие менеджеры. Это уже давно выстроено.
Основная проблема миграции — конвертация из формата в формат виртуальных серверов, детали по архитектуре, если переход не с амазоно-подобного сервиса. Как правило, все эти вещи мы либо делаем бесплатно, либо бесплатно консультируем в части построения архитектуры внутри облака. Для заказчика все проходит без сюрпризов, за каждым переносом смотрят наши специалисты, уже собаку съевшие на таких работах. А опыт огромный: в начале года валом пошли компании с западных хостингов. Они же сейчас привлекают нас для консалтинга по сетевой связности и сетевой инфраструктуре как на своих проектах, так и при переходах. В целом, в наших интересах, чтобы заказчик не нагородил в облаке ерунды, чтобы все было грамотно и красиво построено. И чтобы не было ложного негатива, если админ где-то намудрил по незнанию или случайности. Поэтому бесплатно помогаем.
Автор: MBerezin