Один из наиболее часто встречающихся вопросов у клиентов, планирующих размещение в стороннем ЦОД, касается соблюдения Федерального закона 152-ФЗ «О персональных данных». Заказчики зачастую имеют достаточно поверхностное представление о данном законе, слабо представляют как правильно защищать персональные данные, и что необходимо выполнить, чтобы пройти проверку надзорных органов. В данной статье я попробую популярно разъяснить основные моменты.
Самым распространённым заблуждением является тот факт, что ЦОД должен быть сертифицирован на соответствие 152-ФЗ. В неделю приходит два-три подобных вопроса от потенциальных заказчиков. Но ответ на данный вопрос достаточно прост: подобной сертификации для ЦОД не существует. Правильнее спрашивать о соответствии услуг ЦОД техническим требованиям защиты конфиденциальной информации (ТЗКИ), указывая при этом необходимый уровень защищённости. Об уровнях защищённости можно более подробно прочитать в соответствующем документе (http://fstec.ru/normotvorcheskaya/akty/53-prikazy/691-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21).
Также у многих клиентов сложилось мнение, что, приобретение услуги ЦОД, соответствующих требованиям 152-ФЗ, уже само по себе является достаточным условием для соблюдения закона, и не требует каких-либо других действий. Это не совсем так. По закону вся информационная система, начиная от физической безопасности оборудования и заканчивая конечным программным продуктом, используемым для хранения и обработки персональных данных, должны соответствовать ТЗКИ. Как правило, услуги ЦОД ограничиваются размещением оборудования клиента в дата-центре или предоставлении оборудования в аренду. Во всех этих случаях ЦОД не имеет отношения к конечному программному продукту, и, соответственно, не может обеспечить защиту информационной системы в целом.
Помимо технической защиты персональных данных закон накладывает множество административных требований, которые относятся исключительно к деятельности заказчика, а не к ЦОД. Большинство этих требований сводится к наличию в компании тех или иных документов, которые необходимо поддерживать в актуальном состоянии. В список этих документов входят положения, регламенты, приказы, инструкции, соглашения, журналы, модель угроз и т.д. Без наличия данных документов пройти проверку со стороны Роскомнадзора не получится. К сожалению, многие клиенты упускают эти требования из виду.
Из всего вышеизложенного может сложиться впечатление, что заниматься защитой персональных данных клиенту придётся в любом случае самому. На самом деле по закону оператор персональных данных может привлечь на договорной основе стороннюю организацию, которая будет выполнять работы по обеспечению безопасности этих данных. Многие компании так и делают, так как самим выполнить все требования 152-ФЗ достаточно сложно. Стоит отметить, что подобные услуги могут оказывать только компании, имеющие лицензию на деятельность по технической защите конфиденциальной информации.
Подобные услуги по обеспечению безопасности в соответствии с 152-ФЗ зачастую предоставляются отдельно от услуг ЦОД и оказываются сторонними компаниями, которых за последнее время на рынке появилось немало. Многие из них оказывают услуги от проектирования, создания и обслуживания информационной системы, до ведения всех необходимых документов, а некоторые ограничиваются лишь юридическим консалтингом.
Комплексных предложений на рынке, сочетающих в себе услуги ЦОД, обеспечение технической защиты конфиденциальных данных, ведение документации и юридический консалтинг на данный момент достаточно мало. Обусловлено это тем, что ЦОДы — это в первую очередь сугубо технологические компании, нацеленные на оказание качественных технических услуг, но не готовые к оказанию полноценных юридических услуг и не имеющие соответствующей экспертизы.
Подводя итог, можно выделить несколько вариантов для клиентов, планирующих размещение персональных данных в стороннем ЦОД:
- Защищать свои персональные данные самостоятельно, с привлечением стороннего юридического консалтинга или без него.
- Привлекать стороннюю компанию на полное обслуживание как информационной системы, так и юридической составляющей.
- Искать комплексные услуги ЦОД с предоставлением услуг по защите персональных данных и юридическим обслуживанием.
Первый вариант не требует больших затрат, но может быть сложен для выполнения. Второй вариант будет достаточно затратным. Третий вариант не распространен на рынке и зачастую не отвечает всем требованиям заказчика (техническим, юридическим или коммерческим). Как мы видим, идеального варианта нет, поэтому каждому оператору персональных данных необходимо выбирать решение, подходящее именно для него. Пока же большинство клиентов придерживаются четвёртого варианта: игнорируют выполнение закона до первой проверки.
