А вот разговор в Фейсбуке вчера вечером и сегодня ночью пошел как раз в конструктивном направлении.
[spoiler]
Тут надо сказать, что тема "ПД в облаках" – не новая.
Вот ссылка (ее нашел Антон Салов – спасибо!) на дискуссию в фейсбучной Clopd Forum Rus, начатую Олегом Вайнбергом (в недавнем прошлом – ИТ-директором) 12.09.2012 такой постановкой вопроса:
А как у облачных CRM с 152-ФЗ? Например, у MS Dynamix CRM и у 1С-CRM и 1С Bitrix портал? Ведь любая CRM содержит прорву ПД контактных лиц в организациях. Меня интересует не реальность  , а чисто нормативные моменты . Как к этому относятся проверяющие? Что с нормативными документами? Как оно вообще, как правоприменительная практика? |
Там довольно много по ходу дела сказано (116 комментариев)…
Параллельно я тогда написал пост, где пытался как-то обобщить ход того разговора и привел, некоторые полезные выдержки из него, там тоже есть интересные комментарии:
"А как у облачных CRM с 152-ФЗ? Например, у MS Dynamix CRM и у 1С-CRM и 1С Bitrix портал?"
Нынешний разговор в Фейсбуке инициирован Петром Дьяковым вот таким вопросом:
| Коллеги, подскажите, где можно найти однозначные вопросы на тему того, как правильно хранить и обрабатывать персональные данные российских граждан в облаке, хостящемся за пределами РФ. |
Хочу сразу обратить внимание на такой момент. Согласно фейбучному профилю Петра, он занимает сейчас позицию Principal Platform Sales в московском отделении Microsoft.
Это направление там занимается вот чем:
Concentrated on large or complex Tier 1 application opportunities in a given set of targeted Public Sector customers. Focused on the clients largest and most important applications thereby increasing Microsoft share of the customers and the penetration of application platform products.
Короче говоря: крупные и сложные ИТ-проекты в Общественный (по нашему – государственный) сектор.
Так вот из самого появления вопроса Петра я делаю вывод, что профессиональная служба ведущей ИТ-компании России, специализирующаяся именно на работе с серьезными госпроектами, ответов на этот вопрос не знает. Скажу сразу – это не упрек им в некомпетентности. Совсем нем. Это – констатация факт, который в свою очередь очень наглядно отражает реальное состояние дел.
Хочу еще напомнить, что в дискуссии сентября 2012 участвовали и представители московского MS, из какого-то другого, которые как раз говорили у них эта проблема решена…
Вчера к вечеру позитивную струю в разговор внес Алексей Лукацкий (Cisco System)
| Alexey Lukatsky Не вижу проблемы. Можно В договоре с субъектом достаточно будет указать перечень стран, где могут храниться и обрабатываться ПДн. С точки зрения ПДн этого хватит за глаза. Все эти мифы относительно якобы существующих проблем с ПДн в облаках специально культивируются. Передача ПДн в облако, включая зарубежное, ничем не отличается от передачи ПДн любому обработчику. в договоре пропиши страны, где хранятся ПДн, и вопрос с трансграничкой решен. А вопрос с СКЗИ вообще ФСБшники при трансграничке не задают. |
Там было и есть еще много других комментариев.
В частности, появилась небольшая ветка опять же с размышлениями о возможности использования соцсетей как источник знаний и о роли СМИ. За что Петр Дьяков сделал участникам этой ветки резкое замечание.
Но вот что любопытно: тот разговор о "роли", оказался очень полезными на самом деле. Там я поделился советом, как пишутся статьи:
| "…писать статьи тяжело. Опять же поверьте, тут на 10% - способности и навыки, 90% - просто садишься и пишешь. Это как переплыть Волгу - нужно просто махать и махать руками…" |
Не могу уверять точно, что именно этот совет помог, но активный участник этих всех дискуссии, Константин Феоктистов (IBS), глубокой ночью, вместо заслуженного и спокойного отдыха, сел и написал (опубликовано в четвертом часе ночи):
Константин Феоктистов Петр. ПО результатам мозгования, отвечу на Ваш вопрос ровно так, как он поставлен, т.е. без растекания мыслью по десктопу. 1) где можно найти однозначные вопросы на тему того, как правильно хранить и обрабатывать персональные данные российских граждан в облаке, хостящемся за пределами РФ? ОТВЕТ: Вопросы - везде. Ответы - только в Законе 152-ФЗ и подзаконных НПА, часть из которых выйдет в самое ближайшее время. Можно обратиться с вопросами в регулятору - в РКН. Ответ, скорее всего Вас не спасет в данном вопросе - это по опыту других "общателей" с регулятором. 2) как правильно хранить и обрабатывать персональные данные российских граждан в облаке, хостящемся за пределами РФ? ОТВЕТ: правильно данные хранить и обрабатывать как я говорил ранее или в зашифрованном, или в обезличенном виде. При этом обработка может вестись только с зашифрованными/обезличенными данными. Если хотите обрабатывать сами ПДн а не зашифрованные кракозяблы, будьте любезны выгрузить их в Россию на территорию защищенного вами сегмента сети. ЗЫ: Кстати, закон не акцентирует внимание на том, является ли субъект ПДн гражданином РФ или нет. Т.о. это касается ПДн в том числе и иностранцев. Константин Феоктистов А теперь МОЁ ЛИЧНОЕ ПРЕДЛОЖЕНИЕ того, как (ВОЗМОЖНО) правильно хранить и обрабатывать персональные данные российских граждан в облаке, хостящемся за пределами РФ. Даю АЛГОРИТМ, как хотели некоторые адепты прозрачности и открытости: 1) получить от субъекта ПДн согласие на обработку в том числе передачу ПДн за пределы РФ определенному дополнительнм договором партнеру оператора с целью конеретной формы обработки - хранения, например (в этом случае данные летают туда-сюда для ЛОКАЛЬНОЙ обработки). 2) выбираете хостера/поставщика облака и убеждаетесь у него, что он не перетащит данные в другое место/другую страну, если чо случится; при выборе обращаете внимание, что он находится на территории страны, которая обеспечивает адекватную защиту ПДн (список стран ищите на сайте РКН), либо получаете от него письменное заверение, что он поддерживает инициативу Safe Harbor и гарантирует адекватную защиту ПДн. 3) заключить с хостером/владельцем облачной платформы/прикладной системы договор в котором явно прописать, что он гарантирует конфиденциальность хранения/обработки передаваемой информации и её безопасность (для иностранцев privacy и safety - это не инкапсулирующиеся юридические сущности). 4) строите систему так, чтобы на территории России всё соответствовало букве закона (добро пожаловать на Родину, 100500 документов вам в руки и сертифицированный МЭ). 5) получаете ПДн от пользователя и загружаете их в заграничный ЦОД по защищенному каналу (использовать сертифицированные СКЗИ не нужно - посадят в тюрьму за вывоз шифросредств без разрешения ФСБ). 6) пользуетесь системой, запасаетесь соглашениями субъектов, реагируете на их запросы - короче, живете по закону. И!!! Тренируете своего юриста БРОСАТЬСЯ на живых проверяющих так, чтобы у них отпало всяческое желание искать лишние или недостающие запятые в ваших документах. 7) имеет смысл еще (возможно, юристы меня прибьют здесь ко кресту) прописать в договорах с клиентами пункт, что в случае предписания регулятора ПРЕКРАТИТЬ обработку GLY в 24 часа, вы в одностороннем порядке это делаете и, тем самым разрываете условия соглашения, или ну, что там у вас такое. Потому что платить полмиллиона денег (после того ка штрафы в этом году поднимут) Вам буде намного неудобнее, чем, возможно, просто свернуть весь свой бизнес в трубочку. Ну, или приостановить на время (полгода) пока вы будете приводить бизнес в соответствие с требованиями ФЗ. • улыбаемся и машем... P.S: А теперь, бейте меня сто человек, если я не прав. Потому что Закон, что дышло - пока сам не повернешь - ничего не изменится. |
Вот уже полученный на это комментарий:
| Алексей Волков (СеХХХХХХль) Непонятно, откуда взялся тезис о зашифрованных/обезличенных данных за границей - такого нет нигде. Это раз. По пунктам : 1, 2, 3, 4, 6, 7 - да, 5 - предмет для опасений, так как идет в разрез с 4. И РКН спрашивать не нужно - они этот пункт не регулируют, а ФСБ коммерсов не проверяет. |
Большое спасибо Константину. И с удовлетворением чувствую свою возможную сопричастость…
Разговор продолжается.
А каково ваше мнение по теме?
