Несмотря на нередко высказываемые от лица клиентов опасения, в первую очередь относительно безопасности облаков, российский рынок облачных услуг вырос в 2018 г. на 25% и достиг 68,4 млрд. руб. Однако это вовсе не означает, что российские проблемы ИТ-облаков оперативно и эффективно рассеиваются, и в первую очередь усилиями регуляторов. Одним из камней преткновения остается применение в этой области закона «О персональных данных». Конечно, дело не стоит на месте: как напомнил главный юрист компании «1С» Валерий Пущин в своем выступлении на очередном собрании «Дискуссионного клуба юристов ИТ-отрасли», выявленные на сегодняшний день (кстати, не только в облаках) противоречия в нормативном регулировании защиты персональных данных (ПДн) намечено устранить в рамках нацпроекта «Цифровая экономика».
Среди основных актуальных сложностей, связанных с использованием и требующих дополнительного выражения в форме закона или подзаконных актов, эксперты выделяют сегодня толкование термина согласия, в особенности согласия на передачу ПДн, понятие пограничных категорий данных (общедоступных и обезличенных), обязательность технических мер защиты, технических методов обезличивания, предписанных регулятором.
Валерий Пущин отметил, что предложение экспертов, представляющих бизнес, сузить область действия Приказа ФСБ № 378 (об обязательности использования технических мер в защите ПДн) до государственных, муниципальных и прочих бюджетных операторов ПДн вызывает пока жесткое сопротивление со стороны регуляторов: они хотят иметь правовые основания для привлечения к ответственности любых хозяйствующих субъектов, независимо от формы собственности и размера, только лишь по факту выбора ими «неподходящих», несертифицированных средств защиты ПДн.
Постановление правительства от 13.02.2019 № 146 «Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных» расширило полномочия Роскомнадзора в процессе выездных проверок получать доступ к информационным системам ПДн (ИСПДн) в режиме просмотра и выборки информации для оценки законности деятельности по обработке ПДн, привлекать прокуратуру в случае воспрепятствования таким проверкам. Введен контроль над операторами ПДн без взаимодействия с ними путем систематического наблюдения за соблюдением ими требований при размещении информации в Интернете. По результатам наблюдений оператору может быть предъявлено требование устранить нарушение или предоставить пояснения; при отсутствии реакции на действия регулятора последний может составить административный протокол.
Другим свидетельством ужесточения регулирования обращения ПДн служат представленные летом 2018 г. проекты поправок в КоАП РФ, предусматривающие штрафы за отсутствие надлежащего контроля операторами ПДн действий обработчиков ПДн, которым эта обработка поручена.
По наблюдениям Валерия Пущина, в 2018 г. появились первые протоколы проверок, проведенных ФСБ и ФСТЭК в частных коммерческих организациях на предмет соблюдения ими технических мер защиты информации, в т. ч. применительно к ПДн. Проверки, к счастью, не носили массовый характер, и эксперты пока не оценили их обоснованность и возможность их обжалования.
Валерий Пущин советует: чтобы установить ответственных за безопасность ПДн в облачных инфраструктурах — независимо от архитектуры облаков, будь то частное или публичное облако, сервисы SaaS, PaaS или IaaS — с позиции выполнения требований закона «О персональных данных», в каждом конкретном случае следует выявить администраторов ЦОДов, физических серверов, СУБД, средств виртуализации, операционных систем, используемой облачной платформы, прикладных решений, провайдеров техподдержки систем, аутсорсеров услуг (бухгалтерских, кадрового учета, разного рода консалтинга...). Их список могут дополнять удостоверяющие центры электронных подписей, операторы фискальных данных, агенты по привлечению клиентов... Случается, что все выше упомянутые владельцы оказываются единым юридическим лицом, однако чаще это все-таки разные юрлица, объединенные договорными отношениями (в которых, увы, не всегда прописаны условия обработки ПДн).
Юридическую ответственность за инцидент с ПДн необходимо распределять между владельцами упомянутых выше ресурсов, поскольку каждый из них на своем уровне может изменять ИКТ-среду и создавать уязвимости. Защиту ПДн следует строить с учетом самого слабого звена. При этом следует учитывать, что управлять изменениями в облачных ИСПДн сложно, и после любого изменения на любом из ее уровней нужно систему переаттестовывать(!).
Концепция «ИСПДн в облаке», как напоминает Валерий Пущин, требует описания и оценки защищенности территориально разнесенных клиентской, серверной частей системы и канала связи между ними. Подготовка этого документа (в рамках частной модели угроз) является обязанностью оператора ПДн.
Приказ ФСТЭК № 21 содержит таблицу с мерами защиты ИСПДн, где даже для самого слабого
Сегодня у экспертов нет однозначного ответа, насколько обосновано применение сертифицированных российских СКЗИ для защиты канала для передачи ПДн по Интернету в ИСПДн
Спорной ситуации с защитой канала можно избежать, если оператор ПДн обоснует, что не имеет у себя никаких частей ИСПДн, а обработкой ПДн по его поручению занимается провайдер (и ПДн, например, вводятся и получаются сотрудниками оператора непосредственно на сервере провайдера, в том числе из личных кабинетов Employee Self Service). Однако нужно учитывать, что в этом случае возникает вопрос об отнесении к ИСПДн терминальных клиентов, веб-клиентов или мобильных пользовательских клиентов, даже если в их памяти (часто в памяти мобильных BYOD-устройств) создаются только фрагментарные временные копии данных.
В процесс обработки ПДн, как указывает Роскомнадзор, может быть вовлечен субъект, на площадках которого физически могут находится ПДн (которые могут требовать в том числе и самого высокого уровня защиты), но который не погружен в дела оператора и обработчика ПДн, и ответственность которого не выходит за пределы сервисного договора с ними. Для облачных провайдеров это удобный (с позиции выполнения требований регулирования обращения ПДн) вариант, его тоже можно использовать, будучи готовым его обосновывать. Как показывает практика, со стороны регуляторов пока не было попыток вменить облачному провайдеру обработку ПДн, если она не была явно включена специальным поручением в договор о предоставлении сервиса.