ИT-отрасль регулируется государством. Постоянно выдвигаются новые требования, ужесточаются правила регулирования. Когда речь идет о поставках ИТ-решений для нужд государственных органов, требования к безопасности и надежности продуктов становятся еще более жесткими. В данной статье мы проанализируем, какие ограничения актуальная законодательная база по части управления информацией накладывает на поставщиков ПО и ИТ-оборудования для государственных нужд и каковы особенности работы с такими заказчиками.
Обзор законодательной базы
Впервые государство попыталось навести порядок в ИТ-регулировании в 1995 г., когда был принят Федеральный закон «Об информации, информатизации и защите информации», в котором появились такие понятия, как «персональные данные», «открытость информации», «информационные ресурсы» и «защита данных». Закон продержался чуть более десяти лет и утратил силу в 2006 г., когда ему на смену пришли ФЗ № 149 «Об информационных технологиях и защите информации» и № 152 «О персональных данных».
Федеральным законом № 149 было введено понятие сети Интернет как публичной сети обмена информацией и определены связанные с этим обменом риски в части защиты данных. Впоследствии он пополнился поправками, связанными с регулированием обмена информацией на веб-сайтах и возможностями блокировки нарушителей. Также были введены понятия «электронное сообщение», «электронный документ» и «электронная подпись». На сегодняшний день ФЗ № 149 формирует общий свод правил по ИТ-регулированию и определяет использование информационных ресурсов, информационных технологий и средств, защиту информации и прав субъектов. Федеральный закон «О персональных данных» конкретизирует эти нормы применительно к персональным данным граждан РФ.
Названные законы вводят два основных типа данных – общедоступная информация и конфиденциальная информация. К первому типу относятся открытые данные, в том числе информация, которая обязана быть общедоступной (например, сведения о деятельности государственных органов и об актуальной законодательной базе). К конфиденциальной информации – персональные данные, информация служебного пользования и государственная тайна.
Существует еще один тип данных – обезличенная информация. Это персональные данные, которые в процессе обработки утратили свою субъектную принадлежность, или данные, при использовании которых невозможно установить прямую связь с конкретным лицом либо событием. Согласно пятой статье ФЗ № 152 обезличивание информации выводит ее из категории персональных данных, а следовательно, и из-под действия закона и может приравниваться к ее уничтожению. Это норма очень полезна на практике.
Федеральный закон № 242 и резонансные поправки к закону о защите персональных данных
В июле 2014 г. был принят закон Федеральный закон № 242, определяющий поправки в ФЗ-149 в части требований к хранению персональных данных. Поправки вызвали огромный резонанс в профессиональной ИТ-среде, поскольку ими предписывается собирать, накапливать, анализировать и хранить персональные данные граждан РФ только на серверах и системах хранения, физически расположенных на территории России. Отдельно оговаривалось, что новые правила касаются всех без исключения частных и государственных компаний (в том числе из сферы интернет-торговли), работающих с персональными данными россиян.
Новый закон вызвал целый ряд вопросов. Во-первых, срок реализации требований. Закон вступает в силу 1 сентября 2015 г. Чтобы реализовать его требования, необходимо проанализировать содержимое файловых хранилищ на предмет наличия персональных данных, выполнить полномасштабную миграцию данных и приложений. Для крупных корпораций это сложные и дорогие проекты, которые надо успеть реализовать в очень сжатые сроки. Во-вторых, качество услуг, предоставляемых отечественными ЦОД. Не все поставщики данных готовы обеспечить западные компании привычным уровнем SLA (Service Level Аgreements). В России не так много центров обработки данных, сертифицированных по стандартам Tier 2 и Tier 3 (uptime institute). В настоящее время бизнес-сообщество планирует выступить с инициативой о переносе срока вступления в силу ФЗ-242 на один год. Однако неизвестно, будет ли эта инициатива поддержана государством.
Конечно, «железный занавес» нам пока не грозит. По-прежнему разрешена трансграничная передача персональных данных на основании международных договоров или во исполнение договора с субъектом – непосредственным владельцем данных. В список стран, с которыми «Роскомнадзор» разрешает трансграничный обмен, входит большинство государств Евросоюза, но не включена часть стран Северной Америки. Кроме того, поскольку часть информации может быть обезличена, это упрощает реализацию требований ФЗ.
Вызов, брошенный новыми требованиями регулятора, сформировал окно возможностей для российского рынка. Многие крупные западные компании, в том числе гиганты интернет-торговли, уже заявили о возможности перехода на локальные ЦОД. Безусловно, в ближайшие годы можно ожидать бурного развития российских облачных сервисов. Большинство западных компаний работают на виртуализованных мощностях, которые без особых проблем можно перенести на территорию России при условии наличия соответствующих SLA и программной платформы по интеграции с облаками. Уже сейчас мы в Commvault отмечаем повышенный спрос на проекты, связанные с миграцией данных и переносом виртуальных машин на облачные мощности, расположенные на территории России.
При выборе программной платформы по управлению данными стоит обратить внимание на поддержку таких облачных провайдеров, как Amazon и Google. Во-первых, использование публичных облачных ресурсов – логичный промежуточный этап, предваряющий миграцию удаленных ЦОД в Россию, это разрешено даже для ПНД. Во-вторых, когда такие компании, как Google, перенесут свои ЦОД в Россию, их можно будет использовать как облачные ресурсы в полном соответствии с ФЗ-242 и ФЗ-149.
Особенности государственной ИТ-инфраструктуры
Любая система по управлению данными, в том числе внедряемая для государственных нужд (например, ГАИС – государственная автоматизированная информационная система), подпадает под действие указанных федеральных законов.
Когда мы говорим об общедоступных данных, то имеем в виду, как правило, разного рода справочную информацию, которая находится в ГАИС и предназначена для использования физическими и юридическими лицами (актуальная законодательная база, адреса и телефоны служб по работе с населением, информация об экологической обстановке и другие справочные материалы). Государственные органы и операторы ГАИС обязаны следить за доступностью данных этого типа.
Когда речь заходит о правилах хранения конфиденциальных данных, должны быть обеспечены защита прав владельца информации, предотвращение несанкционированного доступа, своевременное обнаружение фактов несанкционированного доступа, возможность незамедлительного восстановления информации, а также постоянный контроль и мониторинг.
Еще одна важная особенность государственной информационной инфраструктуры – системы противодействия технической разведке. Этот один из немногих пунктов, который отличает ГАИС от коммерческих ИТ-систем. Сюда входят и ответственность за разглашение информации, и усиленный контроль за перемещениями данных внутри ИТ-системы, и выход информации за ее периметр.
Чем государственная ИТ-инфраструктура отличается от бизнес-решений
Нормы и правила, заданные ФЗ-149 и ФЗ-152, универсальны и используются как в бизнес-секторе, так и в государственной ИТ-инфраструктуре. Ключевое отличие в том, что эффективность работы государственных ИТ-систем не измеряется с коммерческой точки зрения, у них свои критерии эффективности. Один из них – надежность и бесперебойность работы служб, предоставляющих услуги доступа к данным. Поэтому для регламентации работы государственной ИТ-инфраструктуры существуют дополнительные нормы.
Например, ГАИС, обеспечивающие населению доступ к услугам ЖКХ, регламентируются ФЗ № 209 «О государственной информационной системе жилищного хозяйства». Первое, о чем идет речь в этом законе, – защита информации и обеспечение беспрепятственного доступа к данным (со ссылкой на ФЗ-149), а уже потом описывается отраслевая специфика.
На сайте «Роскомнадзора» можно найти полный перечень федеральных автоматизированных информационных систем. Что интересно, практически по всем ГАИС можно увидеть такие параметры, как периодичность обновления данных и срок хранения информации, наличие шифрования, а также технологии, которые использованы для построения этой ИТ-системы. Закон предусматривает для каждой ГАИС обязательное создание системы защиты данных, и на сайте rkn.gov.ru есть отдельный пункт, который описывает наличие в их составе системы информационной безопасности.
Исходя из того, что основной критерий ГАИС – надежность, неудивительно, что все государственные ИТ-системы исключительно консервативны. Редко встретишь такие инструменты, как распределенные кластеры, продукты на основе open source. Свободное ПО встречается только в АРМ операторов и рабочих станций администраторов, но не в составе серверных ОС, баз данных и систем хранения. Форматы данных и операционные системы тоже не самые передовые. С точки зрения задач и критериев эффективности ГАИС такой консерватизм полностью оправдан.
Основные требования к государственным ИТ-системам
Основные требования к ИТ-инфраструктуре, используемой для государственных нужд, включают многократные уровни защиты данных, в том числе защиты от сбоев, и мощную систему мониторинга, позволяющую не только установить, но и предотвратить ошибочное действие и/или преднамеренную атаку. Соответственно ключевые компоненты архитектуры – это система управления данными, модуль резервного копирования и архивирования, система мониторинга, модуль информационной безопасности и контроля доступа, в том числе ИБ-системы класса DLP (data loss/leak prevention). Работая в государственном секторе, наша компания видит стремление заказчиков объединить все эти модули на единой платформе. На наш взгляд, такой подход логичен с точки зрения эффективности, управляемости и возможности масштабирования ИТ-инфраструктуры.
Платформа по управлению данными для нужд государственных органов должна соответствовать следующим критериям:
- многоуровневая система резервирования данных. Требуются системы, способные обеспечивать многократное резервирование данных на разных типах носителей, в том числе на съемных, поскольку ФЗ-149 предписывает операторам государственных ИТ-систем быть готовыми предоставлять информацию федеральным службам для проведения специальных мероприятий;
- территориальное распределение. Возможность работать в территориально распределенных средах, наличие встроенных протоколов репликации данных, оптимизированных для работы в узких и незащищенных каналах связи;
- гетерогенность. В случае реализации систем федерального уровня требования к «железу» и ПО могут отличаться в разных субъектах, кроме того, со временем они могут меняться непредсказуемым образом. Очень часто встречается необходимость поддержки уже существующего парка оборудования и ПО;
- возможность удаленного управления и разделения ролей администрирования. Как правило, федеральные системы управляются из центра. В то же время согласно регламенту часть функций может быть передана операторам на местах;
- гибкость. Даже в рамках самого скрупулезного технического задания невозможно описать весь свод правил, которыми должна руководствоваться будущая ИТ-система. Регламенты часто меняются, появляются новые законы и поправки, возникают геополитические факторы, влияющие на выбор поставщика оборудования. Программное обеспечение должно иметь возможность быстро настраиваться под новые критерии и задачи. Замена негибкой системы защиты данных, как замена СУБД, – сложная и дорогостоящая задача;
- автономность. Многие ИТ-сервисы зарубежного производства для удаленного администрирования и поддержки требуют подключения к серверам управления, находящимся за границей. С точки зрения защиты данных это спорное решение для российских государственных служб;
- встроенные средства ИБ. Система управления данными должна быть защищена от внешнего воздействия, как умышленного, так и совершенного по ошибке;
- мониторинг. Встроенные средства централизованного мониторинга должны фиксировать все действия администраторов, все операции с данными и все системные ошибки и уведомления. Только так можно убедиться в соответствии всем требованиям регулятора к ИТ-системам.
Заключение
Эффект от развития государственных ИТ-систем нельзя переоценить. Мы все видим его в повседневной жизни: простые и доступные онлайн-сервисы городских услуг, электронные очереди в различных ведомствах, упрощенные процедуры оформления документов. Еще пять лет назад этого просто не было. Государственные ИТ-системы – большой и перспективный рынок для поставщиков программного обеспечения и ИТ-оборудования. И нам особенно приятно, что результат этой работы ежедневно приносит пользу миллионам людей.
