Три способа выполнения требований закона №242-ФЗ::БИТ 07.2015
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
август    2018
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

показать все 

Новости партнеров

16.08.2018

ПРОSTOR 2018 отметит новый этап технологического развития отрасли СХД

Читать далее 

13.08.2018

Вторая конференция «Автоматизация корпоративного казначействa», организованная группой «Просперити Медиа» и порталом CFO-Russia.ru, состоится 20-21 сентября 2018 года

Читать далее 

09.08.2018

Qrator Labs меняет взгляд на проблематику сетевых инцидентов в рамках конференции IETF

Читать далее 

08.08.2018

5-7 сентября в Сколково пройдет MERLION IT Solutions Summit

Читать далее 

08.08.2018

VI Международный Съезд лидеров отрасли телекоммуникаций TELECOMTREND в Санкт-Петербурге

Читать далее 

08.08.2018

Как бизнес в России поддерживает ИТ-жизнеспособность офиса и корпоративных ресурсов

Читать далее 

07.08.2018

Самый пляжный IT Fest ULCAMP-2018: снова бьём рекорды

Читать далее 

показать все 

Статьи

25.06.2018

Посетить или пропустить?

Читать далее 

25.06.2018

Внедрение искусственного интеллекта задерживается в связи с отсутствием стратегических инициатив

Читать далее 

25.06.2018

Илоны Маски для «умного» города

Читать далее 

25.06.2018

Почему ИИ положен в долгий ящик?

Читать далее 

25.06.2018

Smart Москва

Читать далее 

21.04.2017

Язык цифр или внутренний голос?

Читать далее 

16.04.2017

Планы – ничто, планирование – все. Только 22% компаний довольны своими инструментами для бизнес-планирования

Читать далее 

16.04.2017

Цифровизация экономики

Читать далее 

23.03.2017

Сервисная компания – фея или Золушка?

Читать далее 

17.02.2017

Информационные технологии-2017

Читать далее 

показать все 

Три способа выполнения требований закона №242-ФЗ

Главная / Архив номеров / 2015 / Выпуск №7 (50) / Три способа выполнения требований закона №242-ФЗ

Рубрика: БИТ.Рунет


Александр Барышниковруководитель направления отдела консалтинга компании «Информзащита» 

Три способа выполнения требований закона №242-ФЗ

В настоящей статье представлены полезные рекомендации для операторов ПДн по выявлению информационных систем персональных данных (далее – ИСПДн), на которые распространяются вносимые изменения 242-ФЗ, а также способы выполнения этих требований

Дорогостоящий, а порой экономически невыгодный, вариант с переносом всей ИСПДн из-за границы в РФ – не единственный способ выполнения требования об использовании базы данных на территории страны при осуществлении сбора персональных данных граждан РФ.

Сам регулятор обычно не комментирует изменения, которые пока не вступили в силу. В итоге мы видим огромное количество всевозможных интерпретаций новых требований 242-ФЗ.

Самая распространенная из них порождает рекомендации о переносе всех информационных систем с базами данных в Россию. При этом некоторые такое трактование распространяют и на организации, которые не представлены в России, например, зарубежные отели и гостиницы, у которых есть сайты бронирования гостиничных номеров. Согласно другой интерпретации регулятор будет допускать сбор ПДн с использованием базы данных, расположенной за пределами РФ, но при наличии копии этой базы данных на территории страны. В связи с этим некоторые эксперты считают, что для выполнения требований достаточно использовать копии баз данных в России. Такое трактование закона является неверным.

Также распространены слухи о том, что ряд поставщиков услуг якобы предлагает переносить в свои ЦОДы все информационные системы, расположенные за пределами РФ, вводя в заблуждение своих международных клиентов. Все это приводит к тому, что из-за неверного трактования вносимых норм часть международных компаний думает о том, чтобы отказаться от ведения бизнеса в России из-за высоких расходов и сложностей выполнения требований.

Рисунок 1. Схема реализации первого способа выполнения требований, вносимых положениями ст. 2 Федерального закона 242-ФЗ

Рисунок 1. Схема реализации первого способа выполнения требований, вносимых положениями ст. 2 Федерального закона 242-ФЗ

А теперь давайте перейдем к конструктивному рассмотрению вносимых изменений. Так, например, в законе говорится, что при осуществлении сбора персональных данных оператор ПДн должен обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ. Например, если ваша компания в какой-то системе использует ПДн, собранные с помощью другой информационной системы, то ее не нужно переносить в Россию, так как она не попадает под действие вносимых изменений. И это не единственное исключение, из которого вытекает хорошее решение выполнения новых требований. Давайте рассмотрим их подробнее.

Прежде всего отметим, что перед тем, как выполнять требование по локализации баз данных, необходимо для каждой ИСПДн провести тщательный анализ технологического процесса обработки ПДн в системе. Нужно добиться четкого понимания, откуда появились ПДн в рассматриваемой ИСПДн, что с ними происходит в данной системе и куда они далее передаются. Также необходимо понимать весь состав такого рода ИСПДн, чтобы применить один из предлагаемых нами способов приведения к соответствию требованиям 242-ФЗ.

Рисунок 2. Схема реализации второго способа выполнения требований, вносимых положениями ст. 2 Федерального закона 242-ФЗ

Рисунок 2. Схема реализации второго способа выполнения требований, вносимых положениями ст. 2 Федерального закона 242-ФЗ

На основании собранной информации мы можем определить, кому принадлежит та или иная ИСПДн, осуществляется ли сбор ПДн с помощью этой ИСПДн и применимы ли к ней описанные требования, возможно ли использовать другую ИСПДн для сбора ПДн, если в текущей системе происходит только использование полученных данных.

Если ИСПДн используется при осуществлении сбора ПДн, то мы предлагаем следующие способы выполнения требований, вносимых положениями ст. 2 Федерального закона 242-ФЗ:

Первый способ. Собирать ПДн граждан РФ с помощью одной информационной системы, которая расположена на территории России (в том числе и ее база данных). Затем извлекать эти данные в другие информационные системы для последующего их использования. При этом базы данных таких систем могут располагаться и за пределами России. Такой способ не нарушает ни единого требования, так как сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение) ПДн будут осуществлены с помощью базы данных на территории РФ. При этом операторам не стоит забывать об условиях трансграничной передачи данных, которые установлены нормами ФЗ «О персональных данных» и которые, кстати, не отменены, как это также ошибочно трактуют некоторые специалисты.

Мы успешно реализовали такой способ в одной международной страховой компании, у которой было несколько находящихся за пределами РФ информационных систем, обрабатывающих одни и те же ПДн клиентов. Теперь все менеджеры компании вносят ПДн клиентов в единую систему, расположенную на территории РФ, а затем с помощью специальных коннекторов эти данные копируются во все остальные информационные системы.

Второй способ. Заключается в том, что вносимые требования будут распространяться только на базу данных, а не на всю информационную систему. Например, для трехуровневой архитектурной модели информационной системы возможно организовать перенос базы данных или создание отдельной базы данных для ПДн граждан России на территории страны. При этом сервер приложений информационной системы останется за пределами РФ. В этом варианте также нет никаких нарушений требований, так как сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение происходят с помощью базы данных, находящейся на территории РФ. Такой подход мы предложили в одной международной компании, занимающейся ритейлом.

Третий способ. И, наконец, самым распространенным способом, который тоже не стоит исключать, является, конечно же, перенос всей информационной системы, обрабатывающей ПДн граждан РФ, на территорию России. Кстати, можно отметить, что этот способ в связи с текущим курсом валют, снизившейся стоимостью услуг по аренде ЦОДов для иностранных компаний и оплаты работ специалистов уже осуществляется некоторыми компаниями. Такой способ для части своих информационных систем был выбран в международной компании, занимающейся производством электроники.

Первые два варианта существенно экономят финансовые и временные ресурсы компании по сравнению с вариантом переноса информационной системы в РФ. Особенно, если таких систем много, и они обрабатывают похожую информацию. При этом бывают случаи, когда 242-ФЗ используется бизнесом перед иностранными партнерами для обоснования локализации систем, обрабатывающих ПДн граждан РФ. Так поступила одна международная компания, которая решила перенести все системы, обрабатывающие ПДн российских пользователей своих сайтов, в Россию.

Рисунок 3. Схема реализации третьего способа выполнения требований, вносимых положениями ст. 2 Федерального закона 242-ФЗ

Рисунок 3. Схема реализации третьего способа выполнения требований, вносимых положениями ст. 2 Федерального закона 242-ФЗ

Выбирая один из трех вариантов, необходимо при обследовании и анализе процессов обработки ПДн учитывать цель обработки ПДн. Дело в том, что у вносимых поправок в Федеральный закон «О персональных данных» есть ограничения, когда эти требования не распространяются на ИСПДн при осуществлении сбора ПДн. Такие исключительные случаи указаны в п. 2, 3, 4, 8 ч. 1 ст. 6 Федерального закона «О персональных данных».

Для коммерческих компаний наиболее интересными, на наш взгляд, являются положения п.2 ч.1 ст.6, в соответствии с которыми возможны случаи, когда обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

Подводя итог данной статьи, хочется еще раз обратить внимание на формулировки вносимых изменений, особенности их применения, возможные предусмотренные законодательством РФ исключения. Следует проводить анализ процессов обработки ПДн, правильно понимать и формулировать цели обработки ПДн и основания для их обработки. Уже на этом уровне мы неоднократно выявляли излишние персональные данные, которые не требовались для выполнения бизнес-задач с помощью рассматриваемых информационных систем. Также были случаи, когда одни и те же персональные данные вносились сразу в несколько систем. При этом рекомендуется помнить, что нужно обязательно определять владельца ИСПДн и оператора, то есть того, кто определяет цели обработки ПДн в этой ИСПДн. Это поможет понять, кто должен определять требования и меры защиты информации в системе.

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №06 (79) 2018г.
Выпуск №05 (78) 2018г. Выпуск №04 (77) 2018г. Выпуск №03 (76) 2018г. Выпуск №02 (75) 2018г. Выпуск №01 (74) 2018г.

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика