ноябрь    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30

показать все 

14.11.2024

Обновление BI.ZONE Secure DNS: гибкая настройка фильтрации и максимальная скорость

Читать далее 

14.11.2024

RED Security: в октябре количество DDoS-атак на ТЭК выросло в 3 раза

Читать далее 

14.11.2024

Falcongaze представила новую версию DLP-системы — SecureTower 7 Helium

Читать далее 

14.11.2024

ИСП РАН покажет результаты 30-ти лет работы на Открытой конференции в Москве

Читать далее 

08.11.2024

Юбилейная конференция ЭОС: ЭОС: 30 лет лидерства на рынке автоматизации документооборота и обсуждение актуальных трендов

Читать далее 

показать все 

22.11.2024

Тандем технологий – драйвер инноваций.

Читать далее 

21.11.2024

ИИ: маршрут не построен, но уже проектируется

Читать далее 

18.11.2024

Глеб Шкрябин: «Надежные и масштабируемые системы — основа стабильной работы бизнеса в условиях больших нагрузок»

Читать далее 

14.10.2024

Елена Ситдикова: «На разработчиках программного обеспечения для транспорта лежит большая ответственность перед пассажирами»

Читать далее 

11.10.2024

Технологический ИИ-арсенал

Читать далее 

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

Читать далее 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

показать все 

Главная / Архив номеров / 2015 / Выпуск №7 (50) / Три способа выполнения требований закона №242-ФЗ

Рубрика: БИТ.Рунет

Александр Барышников, руководитель направления отдела консалтинга компании «Информзащита» 

Три способа выполнения требований закона №242-ФЗ

В настоящей статье представлены полезные рекомендации для операторов ПДн по выявлению информационных систем персональных данных (далее – ИСПДн), на которые распространяются вносимые изменения 242-ФЗ, а также способы выполнения этих требований

Дорогостоящий, а порой экономически невыгодный, вариант с переносом всей ИСПДн из-за границы в РФ – не единственный способ выполнения требования об использовании базы данных на территории страны при осуществлении сбора персональных данных граждан РФ.

Сам регулятор обычно не комментирует изменения, которые пока не вступили в силу. В итоге мы видим огромное количество всевозможных интерпретаций новых требований 242-ФЗ.

Самая распространенная из них порождает рекомендации о переносе всех информационных систем с базами данных в Россию. При этом некоторые такое трактование распространяют и на организации, которые не представлены в России, например, зарубежные отели и гостиницы, у которых есть сайты бронирования гостиничных номеров. Согласно другой интерпретации регулятор будет допускать сбор ПДн с использованием базы данных, расположенной за пределами РФ, но при наличии копии этой базы данных на территории страны. В связи с этим некоторые эксперты считают, что для выполнения требований достаточно использовать копии баз данных в России. Такое трактование закона является неверным.

Также распространены слухи о том, что ряд поставщиков услуг якобы предлагает переносить в свои ЦОДы все информационные системы, расположенные за пределами РФ, вводя в заблуждение своих международных клиентов. Все это приводит к тому, что из-за неверного трактования вносимых норм часть международных компаний думает о том, чтобы отказаться от ведения бизнеса в России из-за высоких расходов и сложностей выполнения требований.

Рисунок 1. Схема реализации первого способа выполнения требований, вносимых положениями ст. 2 Федерального закона 242-ФЗ

А теперь давайте перейдем к конструктивному рассмотрению вносимых изменений. Так, например, в законе говорится, что при осуществлении сбора персональных данных оператор ПДн должен обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ. Например, если ваша компания в какой-то системе использует ПДн, собранные с помощью другой информационной системы, то ее не нужно переносить в Россию, так как она не попадает под действие вносимых изменений. И это не единственное исключение, из которого вытекает хорошее решение выполнения новых требований. Давайте рассмотрим их подробнее.

Прежде всего отметим, что перед тем, как выполнять требование по локализации баз данных, необходимо для каждой ИСПДн провести тщательный анализ технологического процесса обработки ПДн в системе. Нужно добиться четкого понимания, откуда появились ПДн в рассматриваемой ИСПДн, что с ними происходит в данной системе и куда они далее передаются. Также необходимо понимать весь состав такого рода ИСПДн, чтобы применить один из предлагаемых нами способов приведения к соответствию требованиям 242-ФЗ.

Рисунок 2. Схема реализации второго способа выполнения требований, вносимых положениями ст. 2 Федерального закона 242-ФЗ

На основании собранной информации мы можем определить, кому принадлежит та или иная ИСПДн, осуществляется ли сбор ПДн с помощью этой ИСПДн и применимы ли к ней описанные требования, возможно ли использовать другую ИСПДн для сбора ПДн, если в текущей системе происходит только использование полученных данных.

Если ИСПДн используется при осуществлении сбора ПДн, то мы предлагаем следующие способы выполнения требований, вносимых положениями ст. 2 Федерального закона 242-ФЗ:

Первый способ. Собирать ПДн граждан РФ с помощью одной информационной системы, которая расположена на территории России (в том числе и ее база данных). Затем извлекать эти данные в другие информационные системы для последующего их использования. При этом базы данных таких систем могут располагаться и за пределами России. Такой способ не нарушает ни единого требования, так как сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение) ПДн будут осуществлены с помощью базы данных на территории РФ. При этом операторам не стоит забывать об условиях трансграничной передачи данных, которые установлены нормами ФЗ «О персональных данных» и которые, кстати, не отменены, как это также ошибочно трактуют некоторые специалисты.

Мы успешно реализовали такой способ в одной международной страховой компании, у которой было несколько находящихся за пределами РФ информационных систем, обрабатывающих одни и те же ПДн клиентов. Теперь все менеджеры компании вносят ПДн клиентов в единую систему, расположенную на территории РФ, а затем с помощью специальных коннекторов эти данные копируются во все остальные информационные системы.

Второй способ. Заключается в том, что вносимые требования будут распространяться только на базу данных, а не на всю информационную систему. Например, для трехуровневой архитектурной модели информационной системы возможно организовать перенос базы данных или создание отдельной базы данных для ПДн граждан России на территории страны. При этом сервер приложений информационной системы останется за пределами РФ. В этом варианте также нет никаких нарушений требований, так как сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение происходят с помощью базы данных, находящейся на территории РФ. Такой подход мы предложили в одной международной компании, занимающейся ритейлом.

Третий способ. И, наконец, самым распространенным способом, который тоже не стоит исключать, является, конечно же, перенос всей информационной системы, обрабатывающей ПДн граждан РФ, на территорию России. Кстати, можно отметить, что этот способ в связи с текущим курсом валют, снизившейся стоимостью услуг по аренде ЦОДов для иностранных компаний и оплаты работ специалистов уже осуществляется некоторыми компаниями. Такой способ для части своих информационных систем был выбран в международной компании, занимающейся производством электроники.

Первые два варианта существенно экономят финансовые и временные ресурсы компании по сравнению с вариантом переноса информационной системы в РФ. Особенно, если таких систем много, и они обрабатывают похожую информацию. При этом бывают случаи, когда 242-ФЗ используется бизнесом перед иностранными партнерами для обоснования локализации систем, обрабатывающих ПДн граждан РФ. Так поступила одна международная компания, которая решила перенести все системы, обрабатывающие ПДн российских пользователей своих сайтов, в Россию.

Рисунок 3. Схема реализации третьего способа выполнения требований, вносимых положениями ст. 2 Федерального закона 242-ФЗ

Выбирая один из трех вариантов, необходимо при обследовании и анализе процессов обработки ПДн учитывать цель обработки ПДн. Дело в том, что у вносимых поправок в Федеральный закон «О персональных данных» есть ограничения, когда эти требования не распространяются на ИСПДн при осуществлении сбора ПДн. Такие исключительные случаи указаны в п. 2, 3, 4, 8 ч. 1 ст. 6 Федерального закона «О персональных данных».

Для коммерческих компаний наиболее интересными, на наш взгляд, являются положения п.2 ч.1 ст.6, в соответствии с которыми возможны случаи, когда обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

Подводя итог данной статьи, хочется еще раз обратить внимание на формулировки вносимых изменений, особенности их применения, возможные предусмотренные законодательством РФ исключения. Следует проводить анализ процессов обработки ПДн, правильно понимать и формулировать цели обработки ПДн и основания для их обработки. Уже на этом уровне мы неоднократно выявляли излишние персональные данные, которые не требовались для выполнения бизнес-задач с помощью рассматриваемых информационных систем. Также были случаи, когда одни и те же персональные данные вносились сразу в несколько систем. При этом рекомендуется помнить, что нужно обязательно определять владельца ИСПДн и оператора, то есть того, кто определяет цели обработки ПДн в этой ИСПДн. Это поможет понять, кто должен определять требования и меры защиты информации в системе.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи