Андрей Заикин, руководитель направления информационной безопасности компании КРОКАндрей Заикин,
руководитель направления информационной безопасности
компании КРОК

Все знают о том, что в России реализуется федеральная программа по импортозамещению. Однако мало кто представляет себе, как выглядят ее требования в сфере информационных технологий. Импортозамещение в этой области направлено на то, чтобы усилить суверенитет нашей страны и позволить отечественному бизнесу чувствовать себя защищенным.

Для достижения этих целей и был принят федеральный закон № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». Он вносит поправки в федеральные законы № 149-ФЗ «Об информации, информационных технологиях и о защите информации», № 152-ФЗ «О персональных данных» и № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

Главным требованием этого нормативного акта, который вступает в силу 1 сентября 2015 года, для всех компаний, ведущих свой бизнес в России, является необходимость обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан России в базах данных, находящихся на территории нашей страны.

Великое переселение хранилищ

Точной статистики, какой объем персональных данных россиян хранится за рубежом, на сегодня нет. Но можно с уверенностью говорить о том, что эти масштабы внушительные. Понятно, что по большей части данные о россиянах хранятся в развитых странах, где хорошо представлены услуги хостинг-провайдеров. США, Германия, Англия, Франция и другие европейские страны – вот наиболее популярные «места прописки» центров обработки данных (ЦОДов). В связи с обострением геополитической обстановки за последние полтора года и введением санкций со стороны западных стран, российские регуляторы усмотрели ряд рисков в таком положении дел. Именно их и предполагается нивелировать введением новых законодательных требований. Прежде всего, речь идет о рисках, связанных с соблюдением прав субъектов персональных данных, а также вероятности потери связи с внешними центрами обработки данных по причине введения санкций.

Новое законодательство требует перенести все персональные данные россиян и обеспечить их сбор, модификацию и хранение на территории нашей страны, тем самым минимизируя риски, связанные с введением санкций и обострением геополитической обстановки. Одновременно повышается доступность данных для осуществления каких-либо операций, создаются условия для повышения уровня обеспечения их конфиденциальности. Российские операторы и хостинг-провайдеры сегодня способны обеспечить должный уровень защиты персональных данных россиян.

Новая законодательная инициатива напрямую связана с программой импортозамещения в информационных технологиях. Регуляторы стимулируют по максимуму использовать имеющиеся отечественные технические ресурсы, программное обеспечение и другие разработки. Однако полного импортозамещения в ИТ-сфере достичь сегодня сложно. Более 50% всего программного обеспечения в нашей стране импортное. В ряде случаев подобрать отечественные аналоги западным разработкам на текущий момент невозможно. Однако такой цели и не стоит, важно сократить процент экспорта и предоставить преференции российским разработчикам.

Под действие 242-ФЗ подпадают все зарубежные компании, которые имеют отделения в нашей стране, международные сервисы, туристические фирмы – представители иностранных компаний, «дочки» зарубежных банков и т.д. В законе есть и исключения. В частности, под новые требования не подпадают правоотношения, которые регулируются международными договорами или конвенциями. Скажем, работа авиакомпаний как раз относится к подобным исключениям, сюда же относится и деятельность журналистов, научная, литературная и иная творческая деятельность и др.

Что делать?

Большинству же компаний, деятельность которых должна быть приведена в соответствие с требованиями 242-ФЗ, следует как можно скорее приступить к переносу хранилищ на территорию России, чтобы успеть завершить все к 1 сентября 2015 года. Например, крупные международные организации, такие как eBay, Google, PayPal и многие другие уже заявили о готовности следовать нововведениям российского законодательства. Эти гиганты не хотят уходить с территории нашей страны и намерены продолжать развивать бизнес.

Хочу подчеркнуть, что 242-ФЗ, если его прочитать внимательно, не говорит о том, что необходимо переносить всю инфраструктуру в Россию. Речь идет только о необходимости обеспечить ряд функций, в частности, первоначальный сбор и хранение персональных данных соотечественников в базах данных на территории Российской Федерации. Понятно, что базы данных – весьма значимый компонент информационной системы любого современного бизнеса, за которым могут потянуться и все остальные составные части бизнес-приложений.

Сегодня в России активно развиваются облачные технологии, а также услуги предоставления вычислительных мощностей в центрах обработки данных. Например, у компании КРОК уже есть три дата-центра, на их базе также построено собственное публичное облако. На базе этих ресурсов компания предоставляет своим заказчикам два основных типа услуг. Во-первых, мы сдаем в аренду вычислительные мощности и место под оборудование заказчика (colocation). В первом случае мы можем оказывать полный комплекс услуг переноса данных и инфраструктуры заказчика на аутсорсинге. Во втором – заказчик может перевезти к нам свой сервер и системы хранения данных и использовать уже выстроенную инженерную инфраструктуру дата-центра – системы охлаждения, пожаротушения, сигнализации и т.д. Во-вторых, можно воспользоваться нашим защищенным облаком и начать пользоваться его виртуальными вычислительными ресурсами.

В частности, КРОК уже ведет несколько проектов для крупных банков и компаний с госучастием по переносу инфраструктуры и информационных систем как в собственный дата-центр, так и на вычислительные мощности заказчиков. Проекты включают в себя разработку стратегии переноса конкретных ИТ-ресурсов на основании ИТ-аудита, построение соответствующей ИТ-инфраструктуры на новой площадке и обеспечение ее информационной безопасности.

Власть закона

Со вступлением в силу нового законодательства при невыполнении требований 242-ФЗ с 1 сентября 2015 года компании на основании судебного решения могут попасть в реестр нарушителей прав субъектов персональных данных, ведущийся Роскомнадзором. Первым негативным последствием после этого для компании станет последующее ограничение (блокирование) доступа к Интернет-ресурсам компании. При этом разблокировать доступ и «выйти» из этого реестра можно будет только по решению суда. Изменения, вносимые 242-ФЗ, грозят также увеличением в будущем числа проверок со стороны Роскомнадзора, а также штрафными санкциями. В зависимости от нарушения, штрафы могут составить от 30 до 300 тыс. рублей. Штрафы за разные нарушения суммируются. Но это не просто неприятный инцидент. Главное для компании в этом случае – это репутационные риски, потеря имиджа, особенно в случае, если информация о нарушениях просочится в СМИ.

Требования по переносу баз данных в Россию для всех одинаковы. Для банков в законе никаких дополнительных исключений не предусмотрено. Информационные системы отечественных финансовых институтов и до законодательных нововведений находились в большинстве случаев на территории России. У иностранных «дочек» зарубежных банков дела обстоят сложнее, поскольку их базы данных чаще всего находятся за пределами нашей страны. Поэтому сейчас мы помогаем нескольким иностранным кредитным организациям перенести персональные данные наших соотечественников в Россию.

Шаги к успеху

На верхнем уровне план действий выглядит достаточно просто. Прежде всего, нужно принять решение о том, что организация переносит базы персональных данных граждан Российской Федерации на территорию Российской Федерации. Хочу подчеркнуть, что закон не запрещает передачу таких данных за рубеж (так называемая трансграничная передача данных). Закон говорит о том, что при сборе персональных данных компаниям нужно обеспечить первоначальное накопление, хранение, обработку и извлечение (!) на территории Российской Федерации. На следующем этапе потребуется проработать конкретные шаги решения поставленной бизнес-задачи.

Сколько по времени займет сам процесс переноса ИТ-ресурсов, зависит от заказчика, его желаний, объема бизнеса и масштабов поставленных задач. По опыту могу сказать, что сам процесс переноса «под ключ», с момента начала переговоров до полного функционирования, занимает от нескольких недель до нескольких месяцев. Если грамотно спланировать перенос, то он никак не отражается на функционировании бизнеса. Для банков очень важна непрерывность бизнеса, поэтому сервисный провайдер должен гарантировать работоспособность систем заказчика на любом из этапов «переезда». Переключение на новую инфраструктуру происходит только после окончания тестовых испытаний.

Стоимость услуги по переносу данных определяется в индивидуальном порядке. Она напрямую зависит от сложности поставленных задач, от масштаба бизнеса, от его желаний и т.д. Вопросы обеспечения информационной безопасности мы можем полностью взять на себя, либо учесть имеющиеся у Заказчика средства обеспечения безопасности информации.

Хочу отметить также, что при переносе базы данных мы всегда отделяем инфраструктуру одного заказчика от всех остальных. Они полностью изолированы, что позволяет обеспечить необходимый уровень защиты. При размещении ИТ-ресурсов компании в наших ЦОДах или защищенном облаке для заказчика доступны средства защиты информации, прошедшие сертификацию по требованиям ФСТЭК и ФСБ России. Сюда входят сертифицированные межсетевые экраны, средства криптографической защиты, средства анализа защищенности, антивирусная защита, средства мониторинга событий информационной безопасности и др.

Помимо реализации технических мер защиты важно также учесть и реализовать организационные меры защиты. Для этого составляется и согласуется ряд документов, учитывающих все особенности взаимодействия заказчика и провайдера услуг.

Сейчас запросов на перенос персональных данных достаточно много со стороны самых разных компаний, в том числе и из финансового сектора. В ближайшие три месяца их будет все больше. Уже сегодня понятно, что к 1 сентября успеют не все. Но чем раньше организация начнет действовать, тем выше шансы обойти стороной негативные последствия.