242-ФЗ: выполнить нельзя обойти
1 сентября вступает в силу № 242-ФЗ, который содержит требования по локализации персональных данных на территории России и предоставляет «Роскомнадзору» право блокировать доступ к информации, которая обрабатывается с нарушением законодательства, то есть за пределами нашей страны.
Однако суть любого закона — в его трактовке, а здесь еще много неясного. О том, что делать компаниям в таких условиях шла речь на семинаре по локализации персональных данных, который недавно прошел в Москве.
Действия в условиях неопределенности
Проблема — в широте и расплывчатости законодательства. «Пока трудно дать однозначный ответ на вопрос компаний, локализовывать ли обработку данных в России, и возможно ли это сделать, — заявил Николай Феоктистов, партнер компании „Уайт энд Кейс“. — Но по нашему мнению, надо сделать максимально возможное».
Одна из причин неясности в том, что определения таких понятий, как персональные данные (ПД), их обработка и оператор персональных данных очень широки. Поэтому их можно трактовать по-разному. По словам Николая Феоктистова, на данный момент существует по крайней мере две интерпретации № 242-ФЗ — консервативная и либеральная.
Непонятно и то, применяется ли закон к операторам, собирающим ПД за рубежом. «Мы предлагаем такую интерпретацию: применяется только к тем персональным данным, которые собирались в России», — сообщил Николай Феоктистов.
Неясно и то, должны ли новые требования применяться к данным, собранным до 1 сентября. С одной стороны, закон обратной силы не имеет, но обычно обработка данных продолжается все время, поэтому они должны быть в России, считает Николай Феоктистов.
Нет и полного понимания того, какие данные попадают в категорию персональных. В «Уайт энд Кейс» полагают, что надо смотреть на то, идентифицирует ли эта совокупность данных физическое лицо. Казалось бы, тогда можно обезличить ПД, разделив базы данных на части и, например, хранить фамилию, имя и отчество в России, остальное — за рубежом, а в случае необходимости объединять все в России. Но, по мнению Николая Феоктистова, возможность реализации такого подхода — непростой вопрос. Кроме того, не ясно, можно ли обрабатывать ПД российских граждан за пределами России при условии их одновременной обработки внутри страны.
Как бы то ни было, закон соблюдать нужно, а времени на подготовку остается мало. На данный момент просматривается три подхода к соблюдению требований по локализации ПД.
Практические рекомендации
Несмотря на неясности в трактовке 242-го закона, многие компании уже готовятся к его исполнению. Об их опыте рассказал Дмитрий Бирюков, старший консультант отдела контроля и управления рисками PwC, который отметил, что все предлагаемые рекомендации ориентированы на либеральную трактовку закона, так как в случае консервативного подхода единственный вариант — переносить в Россию все.
Требования к оператору персональных данных
О том, с чем на этом поприще предстоит столкнуться компаниям с точки зрения технических мер и организационных моментов, рассказал Григорий Атрепьев, директор проектов компании DataLine.
По его словам, прежде всего нужно определить тип актуальных угроз, от которого напрямую зависит уровень защищенности и требования к защите данных. Таких типов три: угрозы, обусловленные недокументированными возможностями в системном ПО, аналогичные угрозы в прикладном ПО и угрозы, обусловленные иными факторами. Определение типа угроз не регламентировано. Поэтому компания определяет их для себя сама. Правда, госорганизации должны согласовать свои модели угроз со ФСТЭК.
Исходя из типов угроз, компания может определить свой уровень защищенности (всего таких уровня четыре) и подумать о средствах защиты. По словам Григория Атрепьева, облачная инфраструктура может быть построена в соответствии с требованиями закона по размещению ПД любого уровня защищенности.
Правда, ПД с первым уровнем защищенности могут быть размещены только в рамках частного облака. «Но я пока не видел в России ни одной такой системы, так как все стараются привести свои ИС к более низкому уровню, — отметил Григорий Атрепьев. — Наиболее распространенными являются уровни 2 и 3, которые можно размещать в публичном облаке».
На основе уровня защищенности, типа угроз и наличия подключения ИС к Интернету можно определить класс основных элементов ИС и средств защиты в соответствии с методологией ФСТЭК, а также выбрать их из реестра сертифицированного ФСТЭК оборудования и ПО, допустимого для того или иного уровня защищенности.
Если компания решит воспользоваться услугами аутсорсинга, важно проверить наличие у провайдеров услуг всех необходимых лицензий и сертификатов. Григорий Атрепьев уточнил, что минимальный набор включает лицензии ФСТЭК на деятельность по разработке и/или производству средств защиты конфиденциальности информации и на деятельность по технической защите конфиденциальной информации, а также лицензию ФСБ на использование средств криптографии.
Последний этап на этом пути — аттестация систем персональных данных. Правда, для коммерческих организаций это необязательно. Но по словам Григория Атрепьева, как правило, компании проходят аттестацию, так как это несложно и позволяет в дальнейшем упростить взаимоотношения с регуляторов.
Автор: Гореткина Елена