1 сентября вступает в силу № 242-ФЗ, который содержит требования по локализации персональных данных на территории России и предоставляет «Роскомнадзору» право блокировать доступ к информации, которая обрабатывается с нарушением законодательства, то есть за пределами нашей страны.
Однако суть любого закона — в его трактовке, а здесь еще много неясного. О том, что делать компаниям в таких условиях шла речь на семинаре по локализации персональных данных, который недавно прошел в Москве.
Действия в условиях неопределенности
Проблема — в широте и расплывчатости законодательства. «Пока трудно дать однозначный ответ на вопрос компаний, локализовывать ли обработку данных в России, и возможно ли это сделать, — заявил Николай Феоктистов, партнер компании „Уайт энд Кейс“. — Но по нашему мнению, надо сделать максимально возможное».
Одна из причин неясности в том, что определения таких понятий, как персональные данные (ПД), их обработка и оператор персональных данных очень широки. Поэтому их можно трактовать по-разному. По словам Николая Феоктистова, на данный момент существует по крайней мере две интерпретации № 242-ФЗ — консервативная и либеральная.
Согласно первой трактовке, обработка персональных данных в России означает запрет на любую их обработку за пределами страны. Бизнес-сообщество не поддерживает такой подход, утверждая, что в такой интерпретации соблюдение требований по локализации становится невозможным.
В либеральной трактовке персональные данные российских граждан должны обрабатываться в России с использованием серверов, расположенных на территории страны, при этом их параллельная обработка за рубежом не ограничена при условии согласия субъектов.
Но пока нет даже определения базы данных в контексте персональных данных, хотя в законе говорится, что оператор, выполняющий обработку ПД российских граждан, обязан обеспечить их хранение и обработку с использованием БД, находящихся на территории России. Предполагается, что разъяснения появятся позднее.
Непонятно и то, применяется ли закон к операторам, собирающим ПД за рубежом. «Мы предлагаем такую интерпретацию: применяется только к тем персональным данным, которые собирались в России», — сообщил Николай Феоктистов.
Неясно и то, должны ли новые требования применяться к данным, собранным до 1 сентября. С одной стороны, закон обратной силы не имеет, но обычно обработка данных продолжается все время, поэтому они должны быть в России, считает Николай Феоктистов.
Нет и полного понимания того, какие данные попадают в категорию персональных. В «Уайт энд Кейс» полагают, что надо смотреть на то, идентифицирует ли эта совокупность данных физическое лицо. Казалось бы, тогда можно обезличить ПД, разделив базы данных на части и, например, хранить фамилию, имя и отчество в России, остальное — за рубежом, а в случае необходимости объединять все в России. Но, по мнению Николая Феоктистова, возможность реализации такого подхода — непростой вопрос. Кроме того, не ясно, можно ли обрабатывать ПД российских граждан за пределами России при условии их одновременной обработки внутри страны.
Это далеко не полный перечень проблем, связанных с
Как бы то ни было, закон соблюдать нужно, а времени на подготовку остается мало. На данный момент просматривается три подхода к соблюдению требований по локализации ПД.
Первый предполагает использование локальных БД, доступ к которым возможен только в России. Это обеспечит соблюдение закона в его консервативной трактовке, но практическая реализация такого варианта вряд ли возможна.
Второй подход подразумевает, что локальные БД доступны как в России, так и за рубежом. Этот вариант соответствует либеральной трактовке, но непонятно, возможна ли его реализация с технической и финансовой точек зрения, например, как быть с данными, создаваемыми за пределами России.
Третий, и наиболее перспективный вариант связан с созданием копий БД локально в России и актуализацией их на постоянной основе, чтобы как минимум соблюсти требования по хранению ПД российских граждан в России. Такой подход наименее затратный, но пока не ясно, позволит ли он обеспечить соблюдение всех требований по локализации.
Практические рекомендации
Несмотря на неясности в трактовке
Работа по миграции ПД включает несколько этапов. На первом, подготовительном, нужно определить, какие ПД обрабатываются за рубежом, и нужно ли их переносить. По словам Дмитрия Бирюкова, здесь много всяких нюансов, и к тому же многое зависит от мнения «Роскомнадзора». Например, возможно ли разделение базы данных, допустима ли замена зарубежной системы российским аналогом.
Второй этап — расчет затрат на миграцию, которые зависят от стоимости лицензий, расходов на внедрение и на эксплуатацию. На другую чашу весов нужно положить риски, которые могут возникнуть, если эти шаги не сделать. Здесь многое зависит от характера бизнеса. Например, тем, кто занимается электронной коммерцией, следует учесть, что «Роскомнадзор» готовит список нарушителей требований закона о защите ПД, чтобы блокировать их сайты.
На третьем этапе начинается сама миграция данных. Чтобы показать разные подходы, Дмитрий Бирюков привел четыре примера из практики PwC. Все перечисленные компании являются международными, из них две — это филиалы банков, один крупный автопроизводитель, работающий с российскими контрагентами и один филиал крупного производителя электроники. Все они перенесли системы Active Directory и Exchange на свои серверы в России, а в отношении остальных систем действуют по-разному.
Так, один банк еще не перенес свою АБС, ожидая окончательной позиции регуляторов и правоприменительной практики, второй банк вообще дальнейшую миграцию не планирует, считает, что в законе все не понятно, много вопросов не имеют ответа, и собирается в случае претензий со стороны «Роскомнадзора» защищать свою позицию в суде.
Автопроизводитель рассматривает варианты переноса данных из HR-системы по российским гражданам в локальный дата-центр, но пока ожидает появления правоприменительной практики.
Производитель электроники планирует перенести все системы в Россию, создать для HR- и CRM-систем локальные копии, чтобы получать только обезличенные данные, и привлечь для этого локальный дата-центр, а веб-сервисы перенести на российский хостинг.
Требования к оператору персональных данных
Перечисленные примеры показывают, что стремясь выполнить требования № 242-ФЗ, иностранные компании собираются переносить часть своих информационных систем на собственные серверы или в местный дата-центр. Не случайно российские провайдеры ИТ-услуг уже отмечают рост спроса на серверные мощности.
Но осуществить такой перенос и выбор оператора непросто. Ведь и в любом случае необходимо соблюдать существующий режим обработки ПД и принимать необходимые меры для их защиты.
О том, с чем на этом поприще предстоит столкнуться компаниям с точки зрения технических мер и организационных моментов, рассказал Григорий Атрепьев, директор проектов компании DataLine.
По его словам, прежде всего нужно определить тип актуальных угроз, от которого напрямую зависит уровень защищенности и требования к защите данных. Таких типов три: угрозы, обусловленные недокументированными возможностями в системном ПО, аналогичные угрозы в прикладном ПО и угрозы, обусловленные иными факторами. Определение типа угроз не регламентировано. Поэтому компания определяет их для себя сама. Правда, госорганизации должны согласовать свои модели угроз со ФСТЭК.
Исходя из типов угроз, компания может определить свой уровень защищенности (всего таких уровня четыре) и подумать о средствах защиты. По словам Григория Атрепьева, облачная инфраструктура может быть построена в соответствии с требованиями закона по размещению ПД любого уровня защищенности.
Правда, ПД с первым уровнем защищенности могут быть размещены только в рамках частного облака. «Но я пока не видел в России ни одной такой системы, так как все стараются привести свои ИС к более низкому уровню, — отметил Григорий Атрепьев. — Наиболее распространенными являются уровни 2 и 3, которые можно размещать в публичном облаке».
На основе уровня защищенности, типа угроз и наличия подключения ИС к Интернету можно определить класс основных элементов ИС и средств защиты в соответствии с методологией ФСТЭК, а также выбрать их из реестра сертифицированного ФСТЭК оборудования и ПО, допустимого для того или иного уровня защищенности.
Если компания решит воспользоваться услугами аутсорсинга, важно проверить наличие у провайдеров услуг всех необходимых лицензий и сертификатов. Григорий Атрепьев уточнил, что минимальный набор включает лицензии ФСТЭК на деятельность по разработке и/или производству средств защиты конфиденциальности информации и на деятельность по технической защите конфиденциальной информации, а также лицензию ФСБ на использование средств криптографии.
Последний этап на этом пути — аттестация систем персональных данных. Правда, для коммерческих организаций это необязательно. Но по словам Григория Атрепьева, как правило, компании проходят аттестацию, так как это несложно и позволяет в дальнейшем упростить взаимоотношения с регуляторов.