Как использовать облака, не нарушая законы Российской Федерации

Тенденции
Екатерина Юдина
18.04.2017
Количество просмотров
4788
Используя облачные технологии, клиенты зачастую сталкиваются с недопониманием требований, предъявляемых к местонахождению технических средств защиты, обязанностей со стороны заказчика и применимости закона к той или иной организации. Каким образом устанавливаются территориальные ограничения, какие изменения сегодня происходят на законодательном уровне? На эти и другие вопросы ответим в статье.

Для кого установлены территориальные ограничения

Уделяя внимание вопросу местоположения технических средств, стоит понимать, что территориальные ограничения устанавливаются не для всех средств обработки информации и информационных систем:

Установленные территориальные ограничения в соответствии с законодательством

Установленные территориальные ограничения в соответствии с законодательством

  • Согласно 152-ФЗ территориальные ограничения распространяются на всех операторов в период сбора и актуализации персональных данных. В таком случае российское юридическое лицо или индивидуальный предприниматель выступает оператором ПДн, поскольку каждый без исключения ведет кадрово-бухгалтерский учет, а значит, имеет дело с обработкой персональных данных. Следовательно, возникает необходимость, чтобы базы ПДн находились на территории Российской Федерации.
  • С 1 июля 2015 года 149-ФЗ требует, чтобы все технические средства государственных органов, органов местного самоуправления, государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений целиком находились на территории России. При этом Минкомсвязь России ведет реестр территориального размещения технических средств информационных систем и осуществляет надзор за выполнением установленных требований.
  • 17 приказ ФСТЭК требует, чтобы государственные и муниципальные информационные системы были аттестованы. Однако, если ИС находится в зарубежном облаке или ЦОД, аттестовать такие системы невозможно. В связи с чем готовится изменение в 17 приказ, которое будет конкретизировать понятие государственной и муниципальной ИС.
  • Проект изменений в 149-ФЗ вводит изменения в обязанности обеспечить облачные вычисления в ИС, находящихся в РФ, для органов государственной власти, органов управления государственными и внебюджетными фондами, органов местного самоуправления. Это означает лишь одно: озвученные организации должны создавать вычислительные мощности на территории России.

Обязанности заказчика, установленные законом

Обязанности заказчика, установленные законом Помимо обязательств, которые возлагаются на поставщика облачных услуг, законодательные нормативно-правовые акты вводят обязанности по выполнению ряда требований со стороны заказчика.

Обязанности заказчика с позиции законодательства

Обязанности заказчика с позиции законодательства

В частности, в отношении персональных данных Постановление Правительства №1119 от 2012 года требует, чтобы оператор ПДн определил типы актуальных угроз, установил уровень защищенности ПДн и выбрал средства защиты информации для системы защиты персональных данных. Напомним, что существует три типа/уровня актуальных угроз, о которых мы рассказывали в статье «Обработка и защита персональных данных: часто задаваемые вопросы».

Уровни угроз

Уровни угроз

При этом 17 приказ ФСТЭК относительно государственных информационных систем требует от владельца такой системы классифицировать ее по требованиям защиты информации, определить угрозы безопасности, реализация которых может привести к нарушению безопасности информации в ИС, разработать модель угроз безопасности информации и определить требования к системе защиты информации в ИС.

Обратите внимание, что Постановление Правительства №1119, строго говоря, не требует модели угроз от оператора ПДн, а требует вместе с 19 статьей закона «О персональных данных» определения того, какие угрозы являются актуальными.

Что на самом деле написано в 242-ФЗ «О территориальности баз данных россиян» Суть знаменитого закона «О территориальности баз данных россиян» ясна далеко не каждому. Тем не менее ФЗ-242 вносит изменения в три федеральных закона:

  • от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • от 27.07.2006 №152-ФЗ «О персональных данных»;
  • от 26.12.2008 №294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

Обратите внимание, что теперь закон «О персональных данных» не только требует размещения БД на территории РФ в период их сбора, но и существенно расширяет права Роскомнадзора как уполномоченного органа по защите прав субъектов ПДн, в частности дает право ограничивать доступ к информации, которая обрабатывается с нарушением закона. С этой целью ведется «Реестр нарушителей прав субъектов персональных данных», куда включаются сайты, на которых обработка информации, имеющая отношение к ПДн, производится с нарушением законодательства.

Кроме того, контроль и надзор за обработкой ПДн выведен из-под ФЗ-294. На сегодняшний день Роскомнадзор руководствуется только административным регламентом. При этом Совет Федерации одобрил изменение в законе о ПДн, в соответствии с которым правила государственного контроля и надзора за обработку персональных данных будет определять Правительство Российской Федерации.

Кого в первую очередь касается закон

Кого в первую очередь касается закон

Закон касается большого количества организаций, которые теперь не могут размещать информационные системы, предназначенные для сбора ПДн, за пределами РФ. К ним относятся:

  • органы власти всех уровней, государственные, муниципальные учреждения и предприятия, хостившие ИС или их элементы за рубежом;
  • российские компании, размещающие свои системы в зарубежных дата-центрах или облачных инфраструктурах;
  • российские компании, использующие приложения зарубежных провайдеров по схеме SaaS;
  • зарубежные, транснациональные, международные компании, имеющие дочерние компании или представительства в России;
  • зарубежные компании, не присутствующие в России, чьими услугами пользуются россияне.

Заключение

Использовать облака не нарушая закон – это то, к чему сегодня стремится добросовестный клиент. Но без сотрудничества с законопослушным поставщиком такое вряд ли возможно. Поэтому важен тандем, в котором провайдер облачных услуг и заказчик идут по одну сторону выполнения требований законодательства. Остались вопросы? Проходите по ссылке на запись вебинара «Выполнение требований ФЗ-152 в облаке. Мнение эксперта».

Средняя оценка: 0, всего оценок: 0
Поделиться

Только полезные материалы в нашей рассылке

Ошибка подписки

Похожие статьи

Решения
The Weather Channel: как облачные технологии в модели IaaS помогают в прогнозе погоды
27.11.2015
Количество просмотров
3647

The Weather Channel: как облачные технологии в модели IaaS помогают в прогнозе погоды

Истории успеха
PickPoint – первая в России сеть постаматов: 5 лет в облаке IaaS
07.07.2015
Количество просмотров
4687

PickPoint – первая в России сеть постаматов: 5 лет в облаке IaaS

В этом кейсе компания PickPoint – российский лидер на рынке автоматизированных систем доставки – расскажет о пользе технологий для модернизации узких мест дистанционной торговли. Если вы хотя бы раз делали заказ в интернет-магазине, то наверняка метались между дешевой долгой доставкой и услугами курьерской службы. А ведь есть и третий вариант, со своим багажом плюсов.
Решения
Топ-5 примеров использования гибридных облаков
26.08.2020
Количество просмотров
7602

Топ-5 примеров использования гибридных облаков

Облачные провайдеры предлагают виртуальную инфраструктуру IaaS в аренду для сокращения капитальных расходов компании, повышения производительности ИТ и обеспечения непрерывности бизнеса. Надежное оборудование, стабильная платформа, высокая безопасность и прозрачная ценовая политика – весомые преимущества. Но как быть, когда мощностей собственной ИТ-инфраструктуры уже недостаточно, а задача полной миграции в облако пока не стоит? Стоит подумать об использовании модели гибридного облака, которая отлично зарекомендовала себя во многих сфера бизнеса.

Ваше обращение приняли

Скоро наш менеджер свяжется с вами.
А пока вы можете изучить интересные материалы в нашем блоге.

Подписка оформлена

Скоро отправим вам уведомление о новых материалах.