Для кого установлены территориальные ограничения
Уделяя внимание вопросу местоположения технических средств, стоит понимать, что территориальные ограничения устанавливаются не для всех средств обработки информации и информационных систем: 
Установленные территориальные ограничения в соответствии с законодательством
- Согласно 152-ФЗ территориальные ограничения распространяются на всех операторов в период сбора и актуализации персональных данных. В таком случае российское юридическое лицо или индивидуальный предприниматель выступает оператором ПДн, поскольку каждый без исключения ведет кадрово-бухгалтерский учет, а значит, имеет дело с обработкой персональных данных. Следовательно, возникает необходимость, чтобы базы ПДн находились на территории Российской Федерации.
- С 1 июля 2015 года 149-ФЗ требует, чтобы все технические средства государственных органов, органов местного самоуправления, государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений целиком находились на территории России. При этом Минкомсвязь России ведет реестр территориального размещения технических средств информационных систем и осуществляет надзор за выполнением установленных требований.
- 17 приказ ФСТЭК требует, чтобы государственные и муниципальные информационные системы были аттестованы. Однако, если ИС находится в зарубежном облаке или ЦОД, аттестовать такие системы невозможно. В связи с чем готовится изменение в 17 приказ, которое будет конкретизировать понятие государственной и муниципальной ИС.
- Проект изменений в 149-ФЗ вводит изменения в обязанности обеспечить облачные вычисления в ИС, находящихся в РФ, для органов государственной власти, органов управления государственными и внебюджетными фондами, органов местного самоуправления. Это означает лишь одно: озвученные организации должны создавать вычислительные мощности на территории России.
Обязанности заказчика, установленные законом
Помимо обязательств, которые возлагаются на поставщика облачных услуг, законодательные нормативно-правовые акты вводят обязанности по выполнению ряда требований со стороны заказчика.
Обязанности заказчика с позиции законодательства
В частности, в отношении персональных данных Постановление Правительства №1119 от 2012 года требует, чтобы оператор ПДн определил типы актуальных угроз, установил уровень защищенности ПДн и выбрал средства защиты информации для системы защиты персональных данных. Напомним, что существует три типа/уровня актуальных угроз, о которых мы рассказывали в статье «Обработка и защита персональных данных: часто задаваемые вопросы».
Уровни угроз
При этом 17 приказ ФСТЭК относительно государственных информационных систем требует от владельца такой системы классифицировать ее по требованиям защиты информации, определить угрозы безопасности, реализация которых может привести к нарушению безопасности информации в ИС, разработать модель угроз безопасности информации и определить требования к системе защиты информации в ИС.
Обратите внимание, что Постановление Правительства №1119, строго говоря, не требует модели угроз от оператора ПДн, а требует вместе с 19 статьей закона «О персональных данных» определения того, какие угрозы являются актуальными.
Что на самом деле написано в 242-ФЗ «О территориальности баз данных россиян» Суть знаменитого закона «О территориальности баз данных россиян» ясна далеко не каждому. Тем не менее ФЗ-242 вносит изменения в три федеральных закона:
- от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- от 27.07.2006 №152-ФЗ «О персональных данных»;
- от 26.12.2008 №294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
Обратите внимание, что теперь закон «О персональных данных» не только требует размещения БД на территории РФ в период их сбора, но и существенно расширяет права Роскомнадзора как уполномоченного органа по защите прав субъектов ПДн, в частности дает право ограничивать доступ к информации, которая обрабатывается с нарушением закона. С этой целью ведется «Реестр нарушителей прав субъектов персональных данных», куда включаются сайты, на которых обработка информации, имеющая отношение к ПДн, производится с нарушением законодательства.
Кроме того, контроль и надзор за обработкой ПДн выведен из-под ФЗ-294. На сегодняшний день Роскомнадзор руководствуется только административным регламентом. При этом Совет Федерации одобрил изменение в законе о ПДн, в соответствии с которым правила государственного контроля и надзора за обработку персональных данных будет определять Правительство Российской Федерации.
Кого в первую очередь касается закон
Закон касается большого количества организаций, которые теперь не могут размещать информационные системы, предназначенные для сбора ПДн, за пределами РФ. К ним относятся:
- органы власти всех уровней, государственные, муниципальные учреждения и предприятия, хостившие ИС или их элементы за рубежом;
- российские компании, размещающие свои системы в зарубежных дата-центрах или облачных инфраструктурах;
- российские компании, использующие приложения зарубежных провайдеров по схеме SaaS;
- зарубежные, транснациональные, международные компании, имеющие дочерние компании или представительства в России;
- зарубежные компании, не присутствующие в России, чьими услугами пользуются россияне.
Заключение
Использовать облака не нарушая закон – это то, к чему сегодня стремится добросовестный клиент. Но без сотрудничества с законопослушным поставщиком такое вряд ли возможно. Поэтому важен тандем, в котором провайдер облачных услуг и заказчик идут по одну сторону выполнения требований законодательства. Остались вопросы? Проходите по ссылке на запись вебинара «Выполнение требований ФЗ-152 в облаке. Мнение эксперта».
