21 апреля 2014 г.

Персональные данные россиян в облаке

Наше агентство закончило большую работу, выполненную по заказу одного из клиентов – оценку допустимости переноса персональных данных российским оператором информационной системы на облачную платформу Microsoft Azure; определение состава мер, которые должны быть приняты при различных вариантах такого размещения, в том числе при использовании облачной платформы для хранения зашифрованных персональных данных; обработки данных, прошедших процедуру обезличивания, а также решение вопросов, связанных с доступом работников дата-центров и сервис-провайдеров к персональным данным, обрабатываемых заказчиками.
Ее результаты нам кажутся интересными для большого круга специалистов, причем применительно не только к облаку Microsoft Azure. Активизировавшаяся в последнее время дискуссия вокруг облачных вычислений, ответственности владельцев облаков и провайдеров облачных услуг, уровня безопасности в облаках, свидетельствует о том, что тема становится крайне актуальной и для России.
Заказчик дал согласие на публикацию результатов (с некоторыми нюансами), и все желающие могут ознакомиться с нашей точкой зрения на эту сложную и интересную проблему. Заключение в полном объеме выложено здесь.
Кстати, предварительные итоги нашего исследования я озвучивал на форуме Cloud OS Summit, проведенном еще 27 ноября российским подразделением корпорации Microsoft. К моему немалому удивлению, совместная с Андреем Москвитиным презентация (он рассказывал об обеспечении безопасности обработки данных в облаке) стала второй по популярности на форуме, получив 8,5 баллов слушателей из 9 возможных. Посмотреть выступление можно, например, здесь. К удивлению, поскольку мероприятие было все-таки сугубо техническим, а я технические вопросы почти не затрагивал. И аудитория совсем не характерная для моих презентаций, на которых в последнее время присутствует примерно пополам безопасников и юристов, но отнюдь не айтишников.

Те, кому многобукв не интересно, а узнать, чем закончилась история, хочется, могут ограничиться первым (постановка задачи) и вторым (общим выводом по всему тексту) разделами заключения. Ну, а для наиболее любознательных и дотошных – полный текст.

16 комментариев:

  1. Михаил Юрьевич, насколько Вами описанное применимо к государственным и муниципальным учреждениям? Можно ли им руководствоваться Вашим документом?

    ОтветитьУдалить
    Ответы
    1. Артем, для госов есть одна очень большая засада - обязательность аттестации, и в связи с этим выводы применить трудно. Но ФСТЭК обещает пересмотреть концепцию аттестации, и тогда - может быть...

      Удалить
  2. один из больших клиентов это микрософт?)

    ОтветитьУдалить
  3. Здесь не написано, что это большой клиент. Написано - большая работа по заказу одного из клиентов. :-)

    ОтветитьУдалить
  4. Улыбнуло

    "Можно применять не сертифицированное RSA, что косвенно свидетельствует пример работы сайта гос-услуги"

    Осталось убедить в этом регулятора :)

    Допустим мы прописали в договоре с облаками пункт 19.5-6

    На сервис-провайдера Azure возлагается
    "5) учет машинных носителей персональных данных;
    6) обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;"

    И вопросов не будет? Регулятора это устроит? А по всем вопросам посылать регулятора в Европы (проверять как оно там все работает). Есть правовая практика?

    ОтветитьУдалить
  5. Насчет RSA на госуслугах - предмет постоянного диалога с регулятором. Пока ничего внятного не услышал.
    Что устроит регулятора - знает только регулятор. Но хостится за рубежом очень много, в том числе - госами. Ну, а остальные аргументы - в тексте. Случаев привлечения к ответственности на трансраничный хостинг пока не видели. Так что практика правоприменения пока - ее отсутствие.

    ОтветитьУдалить
  6. Не признают ли в суде договор фиктивным, если с одной стороны облачному-провайдеру полностью запрещают доступ к персональным данным, а с другой, для выполнения своих обязанностей он должен заниматься обработкой ПДн (например: уничтожение при утилизации дисков; передача по каналам связи; извлечение при резервном копировании)?

    ОтветитьУдалить
  7. Считать договор фиктивным (скорее, сделку мнимой) нет никаких оснований. Правоотношения наступают. А насчет обработки - да, возможно придется доказывать свою правоту, в том числе - в суде. Уничтожение дисков - это не уничтожение персональных данных, строго говоря. Передает по каналам связи клиент, к тому же, если делать все правильно - в зашифрованном виде. Бэкап не требует ознакомления персонала с данными и делать программой, а не людьми.

    ОтветитьУдалить
  8. Михаил. На мой взгляд это перекладывание проблемы с больной головы на здоровую.

    Почему клиент должен решать эти вопросы?

    Пусть представители облачного бизнеса выходят на Российских регуляторов и сертифицируют свои решения. Или получают иные согласования на использования продукта в свете 152ФЗ.

    Я покупаю продукт - к нему должен идти документ с печатью и подписями больших начальников ФСБ и ФСТЕК, что ДА! Можно!.
    Мне есть, что показать регуляторам.
    Это будет решением, а не частное мнение частного ООО.

    ОтветитьУдалить
    Ответы
    1. Ну что ж, Роман, если Вы знаете, как это сделать и можете этого добиться, могу только пожелать удачи. Только я не плнчл, что за продукт с печатью и подписями Вы хотите купить и у кого.

      Удалить
    2. В том то и дело, что не я должен что-то сделать. А представитель продукта\услуг должен суетиться, повышать привлекательность своего продукта, в том числе по отсутствию проблем по 152.

      У нас есть позиция ФСТЕК по облакам? Или позиция ФСТЕК\ФСБ по конкретно облаку Azure?
      Нет?
      Тогда все это будет работать с позиции ,"авось прокатит".
      Сами же пишите :)
      ""Что устроит регулятора - знает только регулятор.""

      Удалить
    3. Роман, к сожалению, Вы ошибаетесь, и глубоко. В соответствии с законом, все должен делать оператор. А производители софта, в том числе для обработки персданных, провайдеры услуг и прочие - ничего делать не должны. Даже если оператор поручает обработку данных, обеспечить выполнение требований должен именно оператор. А займутся они темой только тогда, когда в ней появится бизнес. Пока для них бизнеса нет. И делать они ничего не будут.

      Удалить
    4. Оператор сделает, только вот никаких методик или комментариев ФСТЕК при работе с облаками не дает. Облачным провайдерам как я понял, все-равно на такое положение.
      Можно использовать Вашу методику, приведенную тут.
      Только вот вы сами не ответили, как на нее посмотрит регулятор.
      Было бы интересно, если бы ФСТЕК.каким-либо образом одобрил данную методику (хоть письмом).

      Удалить
    5. Я извиняюсь, но это типичное мнение облачного потребителя (из серии: какой сертифицированный МСЭ мне нужно купить чтобы соответствовать ФЗ-152) и я мимо пройти не смог...

      Вы представляете какие расходы должен понести облачный провайдер для полного соответствия небольшого своего сегмента требованиям к УЗ-3, например?
      Вы знаете на сколько от этого соответствия возрастет ценник на облачные услуги?
      Вы знаете каков на рынке спрос именно на соответствие, а не на фиктивную приписку в договор?
      Вы знаете, что даже если все правильно сделать, то сесть в лужу на суде вероятность остается высокой из-за несовершенства законодательства, а тяжбы и юристы денег немалых стоят?
      Я вот знаю. Не рентабельный это бизнес.
      Зачем сервис-провайдеру в этих условиях суетиться вместо оператора-потребителя?

      Удалить
  9. Мы - небольшая коммерческая организация, вряд ли ФСТЭК будет по этому поводу какие-то письма писать, да и основания для этого нет.

    ОтветитьУдалить
  10. А рекомендации по облакам обещают сделать и во ФСТЭК, и в Минкомсвязи. Без точных сроков :-)

    ОтветитьУдалить