29 апреля 2019 г.

Ольга Ермакова

Прошло почти пять лет с момента принятия поправок в федеральный закон № 152-ФЗ «О персональных данных», повлекших обязанность операторов ПДн обеспечить при сборе личной информации российских граждан обработку данных с использованием баз данных на территории Российской Федерации*. Политическая подоплека этой инициативы и жаркие споры вокруг нее давно забылись, осталось главное: исполнение требований закона.

Как один из крупнейших операторов коммерческих дата-центров в России, мы работаем с десятками клиентов, и видим, что далеко не всегда бизнес понимает, что именно необходимо предпринять для исполнения требований федерального закона № 152.

Самый распространенный сценарий, который запрашивают клиенты — осуществить перенос данных в облако на территории РФ. Экономическая выгода от использования виртуальных мощностей ЦОД вместо покупки и обслуживания собственных серверов — очевидный факт, но это не все, что требуется от компаний.

Не только перенос данных

Чаще всего компанию Linxdatacenter спрашивают: «Расположен ли ваш ЦОД на территории РФ?». Самые продвинутые заказчики интересуются, есть ли у хостинг-провайдера лицензия ФСТЭК на техническую защиту конфиденциальной информации («ТЗКИ»), зачастую не понимая при этом, зачем может потребоваться такая лицензия и какие дополнительные гарантии клиентам может предоставить ЦОД, обладающий лицензией ФСТЭК на ТЗКИ.

У Linxdatacenter два ЦОД в России — в Москве и Санкт-Петербурге, есть лицензия ФСТЭК на ТЗКИ, а также различные сертификаты и аттестаты от российских и международных провайдеров: кроме требований 152-ФЗ к хранению данных в России существует множество других требований, стандартов и регламентов, относящихся к техническим и процедурным моментам управления ресурсами дата-центров. Говоря о персональных данных, важно понимать, что один лишь факт наличия лицензий, аттестатов и сертификатов не приближает клиента к обеспечению комплаенса по 152-ФЗ.

Только честно: зачем это нужно

В 2017 году статья 13.11 КоАП, устанавливающая ответственность за нарушение законодательства РФ в области персональных данных, претерпела существенные изменения: были конкретизированы составы нарушения (вместо одного состава появилось семь), существенно увеличены штрафы за нарушение требований работы с персональными данными. Вместе с тем, при действующем подходе регулятора компания штрафуется однократно за совокупность аналогичных нарушений, а не за каждое отдельное нарушение (например, если в компании неправильная форма согласия на обработку ПДн, которую заполнили 100 субъектов ПДн, компания будет оштрафована однократно, а не в стократном размере). Очевидно, что в масштабе бизнеса крупных компаний (а с большими объемами персональных данных работают именно такие — банки, страховщики, ритейлеры, агрегаторы по продаже билетов) эти штрафы не представляют серьезную проблему. Вопрос, скорее, в репутационных издержках, которые в случае возникновения утечек намного выше.

По мере развития цифровой экономики риски в области информационной безопасности только растут. По данным Infowatch, объем скомпрометированных данных по всему миру в 2017 году вырос в несколько раз. А годом ранее только в России было скомпрометировано 128 млн записей конфиденциальных данных — в 100 раз больше, чем в 2015 году. И это лишь верхушка айсберга.

Одна из самых крупных утечек в России случилась в сентябре 2017 года, когда в Интернете были найдены базы данных с информацией более чем 5,6 млн клиентов страховых компаний, включая данные об автомобилях застрахованных лиц, историю сделок и копии документов.

Специалисты по безопасности фиксируют все больше случаев, когда данные утекают из облака на стороне самой компании: технические сотрудники забывают закрыть свободный доступ к хранилищам, компрометируют их из-за неверных настроек при организации совместной работы. Например, также в 2017 году была зафиксирована утечка персональных данных около 14 млн клиентов с облачного репозитория оператора Verizon из-за неверных действий команды администраторов.

Поделить ответственность

Кто несет ответственность за соблюдение требований и за возможные утечки? Аутсорсинг, при котором персональные данные обрабатываются сторонней компанией, разрешен законом (п. 3 ст. 6 152-ФЗ). Сервис-провайдер, принимая на себя обязанности по обработке данных, разделяет и юридическую ответственность бизнеса клиента. Но в № 152-ФЗ эта ответственность четко поделена: провайдер отвечает только перед оператором данных (клиентом сервис-провайдера) на определенных договором условиях, ответственным же перед субъектами данных остается оператор (клиент), он же и получает согласия субъектов на передачу данных для обработки в ЦОД.

Бизнесу порой кажется, что распределение ответственности с сервис-провайдером за обработку персональных данных — самая масштабная задача. Вместе с тем, клиенты упускают важный момент в вопросе комплаенса по 152-ФЗ. Перемещение одной (двух, трех) информационных систем в защищенную инфраструктуру ЦОД само по себе не обеспечивает соблюдения клиентом законодательства о персональных данных.

Выбор надежного партнера по обработке и хранению персональных данных — важнейший шаг. Наибольшую значимость при выборе имеет экспертиза компании в работе с конфиденциальными сведениями. Вместе с тем, это лишь один из аспектов соблюдения требований: для обеспечения безопасности и конфиденциальности персональных данных, на которое и рассчитан 152-ФЗ, оператор данных должен предпринимать организационные, технические и правовые меры.

Таким образом, без проведения комплексного аудита на соответствие требованиям 152-ФЗ не обойтись. Важнейший момент здесь — осознать, что аудит нужен не Роскомнадзору, а самой компании. Анализ принятых в компании бизнес-процессов и соотнесение их с установленными в законе правилами помогает компании выявить узкие места в схеме работы с конфиденциальной информацией. Вот тут и встает вопрос о привлечении лицензиата ФСТЭК: в соответствии с п. 17 Постановлением Правительства РФ № 1119 от 01.11.2002, устанавливающем требования к защите персональных данных при их обработке в информационных системах, оператор данных должен раз в три года проводить контроль за выполнением требований к защите ПДн. Данный контроль может осуществляться самостоятельно оператором данных или с привлечением лицензиата ФСТЭК, имеющим лицензию на ТЗКИ.

Следует упомянуть, что на сегодняшний день у регулятора отсутствуют полномочия проверять бизнес на предмет соблюдения законодательства о персональных данных в части принятия необходимых организационных и технических мер**. Такой подход выводит на первый план правовые меры, предусмотренных 152-ФЗ — разработка локальных актов, назначение лица, ответственного за обработку данных и т.д. Вместе с тем, важно осознать, что усилия по обеспечению комплаенса в области обработки данных представляет собой комплексный процесс: правовые меры обеспечения безопасности данных неразрывно связаны с организационными и техническими мерами, и не существуют в отрыве друг от друга. У бизнеса должна выработаться привычка осуществлять последовательные непрерывные действия, направленные на недопущение компрометации данных; такая привычка должна быть инкорпорирована в бизнес-модель деятельности компании уже сейчас. Привлечение специалистов правового и технического аудита в области защиты персональных данных является в этом контексте необходимым.

Как проходит аудит?

Это довольно трудоемкая процедура, с которой может успешно справиться только опытный сервис-провайдер, обладающий правовой и технической экспертизой. Сам оператор персональных данных как правило не обладает достаточными знаниями и опытом проведения подобных мероприятий, ввиду чего привлечение профессионалов на этапе построения системы защиты персональных данных является крайне желательным. Аудит включает оценку бизнес-процессов компании, касающихся работы с данными, анализ локальных нормативных актов, договоров с контрагентами и тд. Перед специалистами сервис-провайдера стоит задача выявить все недочеты в бизнес-процессах аудируемого клиента, определить перечень информационных систем, в которых осуществляется обработка персональных данных (ИСПДн), смоделировать угрозы, актуальные для каждой ИСПДн клиента, подготовить технический проект для системы защиты персональных данных клиента (СЗПДн). После это специалисты разрабатывают комплект организационно-распорядительной документации, который может включать в себя около 40 различных документов, пошагово регламентирующих процессы обработки данных внутри компании. На базе этой документации принимаются необходимые организационные, технические и правовые меры для защиты персональных данных. По сути, результат такой работы представляет собой индивидуальное проектное решение для конкретного бизнеса, которое сочетает в себе элементы правового и технического консалтинга в области информационной безопасности.

Дорогое бездействие

Согласно данным исследования компании Gemalto, 70% клиентов уходят от компании в случае допущения ею утечки данных в любом виде. Гарантия надежной защиты персональных данных и любой ценной для бизнеса информации является такой же мерой качества современных ИТ-сервисов, как и их базовые характеристики.

Отсутствие должного понимания важности качественной защиты информации является глобальной проблемой, не нужно думать, что Россия в этом отношении как-то выделяется. Так, 20% малого бизнеса в ЕС ничего не слышали о GDPR***, за пределами Евросоюза этот показатель превышает 50%. Средний бизнес информирован лучше — в районе 80% знакома данная аббревиатура, но далеко не все компании даже этого уровня предпринимают шаги к обеспечению соответствия своих процессов требованиям регулятора.

И это при том, что потенциальные штрафные санкции могут достигать 20 млн евро или 4% от совокупного годового оборота компании-нарушителя. Причина? Все та же — отсутствие культуры работы с данными и не восприятие их как полноценного бизнес-актива.

Безопасность процессов хранения и обработки данных в этой перспективе играет беспрецедентно важную роль. Современный потребитель обладает высочайшим уровнем требований к качеству услуг и по умолчанию предполагает, что любой ИТ-провайдер обращается с переданной в его ведение информацией с необходимым вниманием и профессионализмом, в полном соответствии с требованиями закона и отраслевых стандартов.

Время пришло

Все это в сумме создает предпосылки для появления бизнес-модели «соблюдение законов о данных как сервис», которую уже сегодня необходимо предлагать (и запрашивать) всем участникам рынка, от разработчиков облачных платформ, поставщиков «железа» и софта до коммерческих дата-центров, которые сегодня выступают гарантом целостности массивов данных, передаваемых корпоративными заказчиками на размещение и обработку.

В мире уже наблюдается смещение фокуса в сторону тех дата-центров, которые могут подтвердить соблюдение всех требований регулятора. Эксперты отмечают повышенное внимание компаний к сертификации собственных дата-центров. Так, компания Slack, оператор одного из самых популярных в мире корпоративных мессенджеров, получила сертификаты ISO 27001 (системы управления информационной безопасностью) и ISO 27018 (безопасность данных в облаках), после чего последовала кампания в СМИ по информированию сообщества о новой стратегии в работе с персональными данными и повышении информационной безопасности в целом.

Zendesk запустил опцию выбора региона, где потребители услуг компании предпочитают хранить свои данные — США, ЕС или Азиатско-Тихоокеанский регион. Услуга называется Data Center Locality Add-On и предполагает использование только проверенных партнерских площадок по всему миру.

Вместо выводов

Слова «персональные данные» давно стали вирусными; вместе с тем, уровень осознанности и ответственности бизнеса за обрабатываемые им данные все еще является беспрецедентно низким. Хочется верить, что в ситуации, когда лидеры рынка — разработчики популярных ИТ-сервисов и продуктов, коммерциализируют тему защиты данных и преподносят ее как конкурентное преимущество, спрос на гарантии информационной безопасности будет только расти.


*Данные поправки более известны как «закон о локализации персональных данных».

**В соответствии с абз. 2 п. 1 Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных, утвержденных Постановлением Правительства РФ от 13.02.2019 года № 146, действие Правил не распространяется на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, установленных в соответствии со статьей 19 Федерального закона «О персональных данных».

***Общий регламент защиты данных, который заменил директиву ЕС 1995 года Data Protection Directive. GDPR имеет экстерриториальное действие и в ряде случае может применяться в том числе к российским компаниям. В этой связи чрезвычайно важным становится формирование привычки следовать правилам обработки персональных данных, поскольку в условиях глобального рынка границы юрисдикций постепенно стираются, фокус смещается в сторону надлежащей бизнес-практики независимо от места осуществления деятельности. Так уже было с антикоррупционным регулированием; соблюдение прав субъектов при обработке их данных также затрагивает бизнес во всем мире.

Источник: Ольга Ермакова, старший юрисконсульт и комплаенс специалист Linxdatacenter