Три способа выполнения требований закона №242-ФЗ::БИТ 07.2015
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
май    2018
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

показать все 

Новости партнеров

18.05.2018

22 мая в 15-00 состоится ежегодная конференция корпорации IBM Think Москва 2018.

Читать далее 

18.05.2018

ГУУ на IUNC Eurasia 2018: международное партнерство и экспорт российского образования

Читать далее 

18.05.2018

Первая Межрегиональная конференция по информационной безопасности в СКФО

Читать далее 

18.05.2018

ИД «Коммерсантъ» рад пригласить вас принять участие в бизнес-клубе «Финансовый супермаркет. Финансы для всех», который состоится 28 мая в Гостинице «Националь» (Москва, ул. Моховая, д. 15/1, стр. 1), зал «Псков».

Читать далее 

18.05.2018

Антивирус Dr.Web включен в список услуг группы компаний «АйТи-Сервис»

Читать далее 

18.05.2018

Общественная палата предложила усыновлять детей через блокчейн

Читать далее 

18.05.2018

Итоги второго дня PHDays 8: Games Over

Читать далее 

показать все 

Статьи

26.04.2018

Зачем вещам интернет?

Читать далее 

26.04.2018

Опрос. IoT на распутье

Читать далее 

26.04.2018

Опрос. Кто боится админа?

Читать далее 

26.04.2018

Какие инновации изменят нашу жизнь в ближайшие пять лет?

Читать далее 

16.03.2018

Когда в России появится свой «Алибаба»?

Читать далее 

21.04.2017

Язык цифр или внутренний голос?

Читать далее 

16.04.2017

Планы – ничто, планирование – все. Только 22% компаний довольны своими инструментами для бизнес-планирования

Читать далее 

16.04.2017

Цифровизация экономики

Читать далее 

23.03.2017

Сервисная компания – фея или Золушка?

Читать далее 

17.02.2017

Информационные технологии-2017

Читать далее 

показать все 

Три способа выполнения требований закона №242-ФЗ

Главная / Архив номеров / 2015 / Выпуск №7 (50) / Три способа выполнения требований закона №242-ФЗ

Рубрика: БИТ.Рунет


Александр Барышниковруководитель направления отдела консалтинга компании «Информзащита» 

Три способа выполнения требований закона №242-ФЗ

В настоящей статье представлены полезные рекомендации для операторов ПДн по выявлению информационных систем персональных данных (далее – ИСПДн), на которые распространяются вносимые изменения 242-ФЗ, а также способы выполнения этих требований

Дорогостоящий, а порой экономически невыгодный, вариант с переносом всей ИСПДн из-за границы в РФ – не единственный способ выполнения требования об использовании базы данных на территории страны при осуществлении сбора персональных данных граждан РФ.

Сам регулятор обычно не комментирует изменения, которые пока не вступили в силу. В итоге мы видим огромное количество всевозможных интерпретаций новых требований 242-ФЗ.

Самая распространенная из них порождает рекомендации о переносе всех информационных систем с базами данных в Россию. При этом некоторые такое трактование распространяют и на организации, которые не представлены в России, например, зарубежные отели и гостиницы, у которых есть сайты бронирования гостиничных номеров. Согласно другой интерпретации регулятор будет допускать сбор ПДн с использованием базы данных, расположенной за пределами РФ, но при наличии копии этой базы данных на территории страны. В связи с этим некоторые эксперты считают, что для выполнения требований достаточно использовать копии баз данных в России. Такое трактование закона является неверным.

Также распространены слухи о том, что ряд поставщиков услуг якобы предлагает переносить в свои ЦОДы все информационные системы, расположенные за пределами РФ, вводя в заблуждение своих международных клиентов. Все это приводит к тому, что из-за неверного трактования вносимых норм часть международных компаний думает о том, чтобы отказаться от ведения бизнеса в России из-за высоких расходов и сложностей выполнения требований.

Рисунок 1. Схема реализации первого способа выполнения требований, вносимых положениями ст. 2 Федерального закона 242-ФЗ

Рисунок 1. Схема реализации первого способа выполнения требований, вносимых положениями ст. 2 Федерального закона 242-ФЗ

А теперь давайте перейдем к конструктивному рассмотрению вносимых изменений. Так, например, в законе говорится, что при осуществлении сбора персональных данных оператор ПДн должен обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ. Например, если ваша компания в какой-то системе использует ПДн, собранные с помощью другой информационной системы, то ее не нужно переносить в Россию, так как она не попадает под действие вносимых изменений. И это не единственное исключение, из которого вытекает хорошее решение выполнения новых требований. Давайте рассмотрим их подробнее.

Прежде всего отметим, что перед тем, как выполнять требование по локализации баз данных, необходимо для каждой ИСПДн провести тщательный анализ технологического процесса обработки ПДн в системе. Нужно добиться четкого понимания, откуда появились ПДн в рассматриваемой ИСПДн, что с ними происходит в данной системе и куда они далее передаются. Также необходимо понимать весь состав такого рода ИСПДн, чтобы применить один из предлагаемых нами способов приведения к соответствию требованиям 242-ФЗ.

Рисунок 2. Схема реализации второго способа выполнения требований, вносимых положениями ст. 2 Федерального закона 242-ФЗ

Рисунок 2. Схема реализации второго способа выполнения требований, вносимых положениями ст. 2 Федерального закона 242-ФЗ

На основании собранной информации мы можем определить, кому принадлежит та или иная ИСПДн, осуществляется ли сбор ПДн с помощью этой ИСПДн и применимы ли к ней описанные требования, возможно ли использовать другую ИСПДн для сбора ПДн, если в текущей системе происходит только использование полученных данных.

Если ИСПДн используется при осуществлении сбора ПДн, то мы предлагаем следующие способы выполнения требований, вносимых положениями ст. 2 Федерального закона 242-ФЗ:

Первый способ. Собирать ПДн граждан РФ с помощью одной информационной системы, которая расположена на территории России (в том числе и ее база данных). Затем извлекать эти данные в другие информационные системы для последующего их использования. При этом базы данных таких систем могут располагаться и за пределами России. Такой способ не нарушает ни единого требования, так как сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение) ПДн будут осуществлены с помощью базы данных на территории РФ. При этом операторам не стоит забывать об условиях трансграничной передачи данных, которые установлены нормами ФЗ «О персональных данных» и которые, кстати, не отменены, как это также ошибочно трактуют некоторые специалисты.

Мы успешно реализовали такой способ в одной международной страховой компании, у которой было несколько находящихся за пределами РФ информационных систем, обрабатывающих одни и те же ПДн клиентов. Теперь все менеджеры компании вносят ПДн клиентов в единую систему, расположенную на территории РФ, а затем с помощью специальных коннекторов эти данные копируются во все остальные информационные системы.

Второй способ. Заключается в том, что вносимые требования будут распространяться только на базу данных, а не на всю информационную систему. Например, для трехуровневой архитектурной модели информационной системы возможно организовать перенос базы данных или создание отдельной базы данных для ПДн граждан России на территории страны. При этом сервер приложений информационной системы останется за пределами РФ. В этом варианте также нет никаких нарушений требований, так как сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение происходят с помощью базы данных, находящейся на территории РФ. Такой подход мы предложили в одной международной компании, занимающейся ритейлом.

Третий способ. И, наконец, самым распространенным способом, который тоже не стоит исключать, является, конечно же, перенос всей информационной системы, обрабатывающей ПДн граждан РФ, на территорию России. Кстати, можно отметить, что этот способ в связи с текущим курсом валют, снизившейся стоимостью услуг по аренде ЦОДов для иностранных компаний и оплаты работ специалистов уже осуществляется некоторыми компаниями. Такой способ для части своих информационных систем был выбран в международной компании, занимающейся производством электроники.

Первые два варианта существенно экономят финансовые и временные ресурсы компании по сравнению с вариантом переноса информационной системы в РФ. Особенно, если таких систем много, и они обрабатывают похожую информацию. При этом бывают случаи, когда 242-ФЗ используется бизнесом перед иностранными партнерами для обоснования локализации систем, обрабатывающих ПДн граждан РФ. Так поступила одна международная компания, которая решила перенести все системы, обрабатывающие ПДн российских пользователей своих сайтов, в Россию.

Рисунок 3. Схема реализации третьего способа выполнения требований, вносимых положениями ст. 2 Федерального закона 242-ФЗ

Рисунок 3. Схема реализации третьего способа выполнения требований, вносимых положениями ст. 2 Федерального закона 242-ФЗ

Выбирая один из трех вариантов, необходимо при обследовании и анализе процессов обработки ПДн учитывать цель обработки ПДн. Дело в том, что у вносимых поправок в Федеральный закон «О персональных данных» есть ограничения, когда эти требования не распространяются на ИСПДн при осуществлении сбора ПДн. Такие исключительные случаи указаны в п. 2, 3, 4, 8 ч. 1 ст. 6 Федерального закона «О персональных данных».

Для коммерческих компаний наиболее интересными, на наш взгляд, являются положения п.2 ч.1 ст.6, в соответствии с которыми возможны случаи, когда обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

Подводя итог данной статьи, хочется еще раз обратить внимание на формулировки вносимых изменений, особенности их применения, возможные предусмотренные законодательством РФ исключения. Следует проводить анализ процессов обработки ПДн, правильно понимать и формулировать цели обработки ПДн и основания для их обработки. Уже на этом уровне мы неоднократно выявляли излишние персональные данные, которые не требовались для выполнения бизнес-задач с помощью рассматриваемых информационных систем. Также были случаи, когда одни и те же персональные данные вносились сразу в несколько систем. При этом рекомендуется помнить, что нужно обязательно определять владельца ИСПДн и оператора, то есть того, кто определяет цели обработки ПДн в этой ИСПДн. Это поможет понять, кто должен определять требования и меры защиты информации в системе.

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №04 (77) 2018г.
Выпуск №04 (77) 2018г. Выпуск №03 (76) 2018г. Выпуск №02 (75) 2018г. Выпуск №01 (74) 2018г.

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика