"Облака" "споткнулись" о закон о персональных данных?
Как использование облачных вычислений, так и защита персональных данных — относительно новые вопросы, в решении которых российский бизнес пока накопил мало практики. В этой связи сомнения возникают даже по поводу простейших проблем: а можно ли вообще использовать облачные системы для обработки персональных данных? И если такая возможность существует, то что нужно, чтобы выполнить все необходимые требования?
Федеральный закон №152 "О персональных данных" (далее — ФЗ-152) не создает принципиальных препятствий для обработки таких данных в "облаке", считает Алексей Лукацкий, менеджер по развитию бизнеса Cisco: "Согласно закону и постановлениям правительства, обработка персональных данных и их защита может быть поручена третьим лицам, среди которых могут быть и облачные провайдеры".
Но всегда ли можно выполнить требования ФЗ-152 в условиях облачной площадки? Здесь нет полного согласия даже среди поставщиков облачных вычислений: "ФЗ-152 не делает размещение систем в облаке невозможным, – считает Владимир Савченко, руководитель отдела продаж Softline Cloud Services. – Если система может быть приведена в соответствие с требованиями ФЗ-152 в варианте on-site, то она может быть приведена в соответствие с этими требованиями и в “облаке”". С этим мнением не вполне согласен Алексей Бахтиаров, генеральный директор Infobox: "В отдельных случаях облачную платформу нельзя использовать из-за требований закона, и тогда приходится строить приватное “облако” для заказчика. Сложность таких решений достаточно индивидуальна". В то же время, отмечает Алексей Бахтиаров, названные проблемы касаются лишь некоторых систем: "Многие забывают или не знают, что информационные системы по типам данных, хранящихся в них, делятся на категории", – подчеркивает он. К системам разных категорий предъявляются разные требования, и здесь, по мнению генерального директора Infobox, важно правильно провести оценку и разработать соответствующее решение. При этом оптимизация типов информации и способов ее хранения позволяет избежать чрезмерно строгих требований, предъявляемых регулятором к обеспечению безопасности персональных данных.
Для обработки персональных данных в публичном "облаке" требуется получение специального согласия
"Как минимум, необходимо построить модель угроз и внедрить инструменты защиты локализованных систем, в которых обрабатываются персональные данные, – считает Сергей Белик, коммерческий директор "Рустим", – а это огромная работа, требующая совсем других денег, нежели то, что большинством потенциальных пользователей облаков вкладывается сейчас и в информационные технологии, и особенно в информационную безопасности". Таким образом, основные проблемы облачных вычислений, по мнению Сергея Белика, связаны не столько с "облаками" как таковыми, сколько с общим беспорядком в области корпоративных ИТ.
Какие проблемы законодательство создает для "облаков"?
В условиях избыточного регулирования существует определенный риск, что не все отечественные облачные поставщики действительно соблюдают все требования регуляторов. "У отечественных облачных провайдеров могут возникнуть серьезные проблемы с выполнением всех требований наших регуляторов, в первую очередь, ФСБ, – отмечает Алексей Лукацкий. – Ведь, согласно действующим требованиям, передача по каналам связи персональных данных возможна только с применением сертифицированных криптосредств. Надеяться же на то, что у всех заказчиков облачных услуг такие средства есть и что они совпадают со средствами провайдера, не приходится".
Что касается банковского сектора, то существуют сомнения в принципиальной осуществимости требований законодательства в условиях реальной бизнес-практики российских банков: "Банки не могли при всем желании и до сих пор не могут выполнить многие пункты ФЗ-152, связанные с обеспечением прав клиента", – говорит Тимур Аитов, исполнительный директор АРБ. В качестве примера популярной услуги, которую невозможно оказать клиенту в рамках действующего законодательства, Тимур Аитов называет денежный перевод без открытия банковского счета без предварительного согласия со стороны получателя.
Есть и другие вопросы. Например, неясно, как можно выполнить требование клиента о прекращении обработки персональных данных в условиях реальных банковских ИТ-систем: "Предположим, в системе уже совершена транзакция с участием клиента, данные которого предполагается удалить. Если мы уберем одну строку с транзакцией этого клиента, то балансы свести уже не получится", – замечает Тимур Аитов. Ситуация усугубляется тем, что при обработке персональные данные клиентов определенным образом архивируются в цифровых хранилищах и помещаются в отчетность. Как извлекать и удалять данные из архивов и отчетности, неизвестно.
Короткая ссылка на материал: //cnews.ru/link/a2649