Наше агентство
закончило большую работу, выполненную по заказу одного из клиентов – оценку
допустимости переноса персональных данных российским оператором информационной
системы на облачную платформу Microsoft Azure; определение состава мер,
которые должны быть приняты при различных вариантах такого размещения, в том
числе при использовании облачной платформы для хранения зашифрованных
персональных данных; обработки данных, прошедших процедуру обезличивания, а
также решение вопросов, связанных с доступом работников дата-центров и
сервис-провайдеров к персональным данным, обрабатываемых заказчиками.
Ее
результаты нам кажутся интересными для большого круга специалистов, причем
применительно не только к облаку Microsoft Azure. Активизировавшаяся в
последнее время дискуссия вокруг облачных вычислений, ответственности
владельцев облаков и провайдеров облачных услуг, уровня безопасности в облаках,
свидетельствует о том, что тема становится крайне актуальной и для России.
Заказчик
дал согласие на публикацию результатов (с некоторыми нюансами), и все желающие
могут ознакомиться с нашей точкой зрения на эту сложную и интересную проблему.
Заключение в полном объеме выложено здесь.
Кстати,
предварительные итоги нашего исследования я озвучивал на форуме Cloud OS Summit,
проведенном еще 27 ноября российским подразделением корпорации Microsoft. К моему немалому удивлению, совместная с Андреем
Москвитиным презентация (он рассказывал об обеспечении безопасности обработки
данных в облаке) стала второй по популярности на форуме, получив 8,5 баллов
слушателей из 9 возможных. Посмотреть выступление можно, например, здесь. К удивлению, поскольку мероприятие было все-таки
сугубо техническим, а я технические вопросы почти не затрагивал. И аудитория
совсем не характерная для моих презентаций, на которых в последнее время присутствует
примерно пополам безопасников и юристов, но отнюдь не айтишников.
Те,
кому многобукв не интересно, а узнать, чем закончилась история, хочется, могут
ограничиться первым (постановка задачи) и вторым (общим выводом по всему
тексту) разделами заключения. Ну, а для наиболее любознательных и дотошных – полный текст.
Михаил Юрьевич, насколько Вами описанное применимо к государственным и муниципальным учреждениям? Можно ли им руководствоваться Вашим документом?
ОтветитьУдалитьАртем, для госов есть одна очень большая засада - обязательность аттестации, и в связи с этим выводы применить трудно. Но ФСТЭК обещает пересмотреть концепцию аттестации, и тогда - может быть...
Удалитьодин из больших клиентов это микрософт?)
ОтветитьУдалитьЗдесь не написано, что это большой клиент. Написано - большая работа по заказу одного из клиентов. :-)
ОтветитьУдалитьУлыбнуло
ОтветитьУдалить"Можно применять не сертифицированное RSA, что косвенно свидетельствует пример работы сайта гос-услуги"
Осталось убедить в этом регулятора :)
Допустим мы прописали в договоре с облаками пункт 19.5-6
На сервис-провайдера Azure возлагается
"5) учет машинных носителей персональных данных;
6) обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;"
И вопросов не будет? Регулятора это устроит? А по всем вопросам посылать регулятора в Европы (проверять как оно там все работает). Есть правовая практика?
Насчет RSA на госуслугах - предмет постоянного диалога с регулятором. Пока ничего внятного не услышал.
ОтветитьУдалитьЧто устроит регулятора - знает только регулятор. Но хостится за рубежом очень много, в том числе - госами. Ну, а остальные аргументы - в тексте. Случаев привлечения к ответственности на трансраничный хостинг пока не видели. Так что практика правоприменения пока - ее отсутствие.
Не признают ли в суде договор фиктивным, если с одной стороны облачному-провайдеру полностью запрещают доступ к персональным данным, а с другой, для выполнения своих обязанностей он должен заниматься обработкой ПДн (например: уничтожение при утилизации дисков; передача по каналам связи; извлечение при резервном копировании)?
ОтветитьУдалитьСчитать договор фиктивным (скорее, сделку мнимой) нет никаких оснований. Правоотношения наступают. А насчет обработки - да, возможно придется доказывать свою правоту, в том числе - в суде. Уничтожение дисков - это не уничтожение персональных данных, строго говоря. Передает по каналам связи клиент, к тому же, если делать все правильно - в зашифрованном виде. Бэкап не требует ознакомления персонала с данными и делать программой, а не людьми.
ОтветитьУдалитьМихаил. На мой взгляд это перекладывание проблемы с больной головы на здоровую.
ОтветитьУдалитьПочему клиент должен решать эти вопросы?
Пусть представители облачного бизнеса выходят на Российских регуляторов и сертифицируют свои решения. Или получают иные согласования на использования продукта в свете 152ФЗ.
Я покупаю продукт - к нему должен идти документ с печатью и подписями больших начальников ФСБ и ФСТЕК, что ДА! Можно!.
Мне есть, что показать регуляторам.
Это будет решением, а не частное мнение частного ООО.
Ну что ж, Роман, если Вы знаете, как это сделать и можете этого добиться, могу только пожелать удачи. Только я не плнчл, что за продукт с печатью и подписями Вы хотите купить и у кого.
УдалитьВ том то и дело, что не я должен что-то сделать. А представитель продукта\услуг должен суетиться, повышать привлекательность своего продукта, в том числе по отсутствию проблем по 152.
УдалитьУ нас есть позиция ФСТЕК по облакам? Или позиция ФСТЕК\ФСБ по конкретно облаку Azure?
Нет?
Тогда все это будет работать с позиции ,"авось прокатит".
Сами же пишите :)
""Что устроит регулятора - знает только регулятор.""
Роман, к сожалению, Вы ошибаетесь, и глубоко. В соответствии с законом, все должен делать оператор. А производители софта, в том числе для обработки персданных, провайдеры услуг и прочие - ничего делать не должны. Даже если оператор поручает обработку данных, обеспечить выполнение требований должен именно оператор. А займутся они темой только тогда, когда в ней появится бизнес. Пока для них бизнеса нет. И делать они ничего не будут.
УдалитьОператор сделает, только вот никаких методик или комментариев ФСТЕК при работе с облаками не дает. Облачным провайдерам как я понял, все-равно на такое положение.
УдалитьМожно использовать Вашу методику, приведенную тут.
Только вот вы сами не ответили, как на нее посмотрит регулятор.
Было бы интересно, если бы ФСТЕК.каким-либо образом одобрил данную методику (хоть письмом).
Я извиняюсь, но это типичное мнение облачного потребителя (из серии: какой сертифицированный МСЭ мне нужно купить чтобы соответствовать ФЗ-152) и я мимо пройти не смог...
УдалитьВы представляете какие расходы должен понести облачный провайдер для полного соответствия небольшого своего сегмента требованиям к УЗ-3, например?
Вы знаете на сколько от этого соответствия возрастет ценник на облачные услуги?
Вы знаете каков на рынке спрос именно на соответствие, а не на фиктивную приписку в договор?
Вы знаете, что даже если все правильно сделать, то сесть в лужу на суде вероятность остается высокой из-за несовершенства законодательства, а тяжбы и юристы денег немалых стоят?
Я вот знаю. Не рентабельный это бизнес.
Зачем сервис-провайдеру в этих условиях суетиться вместо оператора-потребителя?
Мы - небольшая коммерческая организация, вряд ли ФСТЭК будет по этому поводу какие-то письма писать, да и основания для этого нет.
ОтветитьУдалитьА рекомендации по облакам обещают сделать и во ФСТЭК, и в Минкомсвязи. Без точных сроков :-)
ОтветитьУдалить