Правильный хостинг для ИСПДн. 
Почему для обработки персональных данных не подходят сервера большинства облачных провайдеров?

Законодательное регулирование размещения информационных систем персональных данных на серверах поставщика облачных услуг

Около года назад, с 1 сентября 2015 года в нашей стране начало действовать положение о локализации хранения персональных данных в Российской Федерации (242-ФЗ от 21.07.2014). Данное нововведение, безусловно, оказалось одним из основных драйверов на Российском рынке хостинга и облачных вычислений, заставив, как операторов персональных данных, так и хостинг-провайдеров, в очередной раз задуматься над тем, как обеспечить соответствие такой, казалось бы, простой сущности, как веб-сайт, требованиям законодательства о персональных данных.


Несмотря на то, что Федеральный закон от 27.07.2006 г. N 152-ФЗ "О персональных данных" принят уже достаточно давно, далеко не все к нему приспособились и научились его исполнять. Отчасти благодаря большому количеству нормативных документов и регулярно выходящим изменениям к ним. На сегодняшний день они исходят из четырех ведомств: Правительство, Роскомнадзор, ФСТЭК и ФСБ. А также благодаря достаточно взвешенной позиции регулятора, который, вместо политики забивания гвоздей, избрал стратегию плавного, но неотвратимого закручивания гаек.

Если крупный бизнес и органы государственной власти, как наиболее дисциплинированные участники рынка, по большей части уже привели свои информационные системы персональных данных (ИСПДн) в соответствие законодательству, то средний и мелкий бизнес только сейчас начинает осознавать, что для дальнейшего существования и развития, ему все-таки придется выйти из тени, в том числе и в части исполнения законодательства о персональных данных, тем более, что этой самой тени остается все меньше и на всех ее уже начинает не хватать.

Что же делать владельцу веб-сайта, на котором собираются и хранятся персональные данные пользователей (например, в личном кабинете интернет-магазина)? Давайте вместе попробуем в этом разобраться.

Если веб-сайт собирает персональные данные, то он является информационной системой персональных данных и подпадает под действие 152-ФЗ

Вот что по этому поводу говорит сам Роскомнадзор: «Согласно п. 9 ст. 3 Федерального закона «О персональных данных» информационная система персональных данных – это совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. В случае соответствия веб-сайта указанным требованиям он является информационной системой».

Что такое персональные данные, мы все интуитивно знаем, но важно понимать, что это такое с точки зрения законодательства. Согласно пункту 1 статьи 3 Федерального закона № 152-ФЗ, персональные данные - это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. То есть, это практически все, что угодно: от ИНН до цвета волос и размера обуви, не говоря уже о номере телефона и адресе, будь то электронный или почтовый.

Таким образом, интернет-магазин или просто веб-сайт, где есть личный кабинет или регистрация пользователей, онлайн заказ, бронирование, оплата, оформление доставки и т.д. и т.п, в терминах 152-ФЗ, все это является информационной системой персональных данных (ИСПДн), а его владелец - оператором персональных данных.

В законе о персональных данных учтены тренды на облачные вычисления и аутсорсинг 

Про актуальность и перспективность ИТ-аутсорсинга, особенно для компаний сектора малого и среднего предпринимательства, сказано и написано уже немало, поэтому в этой статье я не буду агитировать читателя «за облака». Тем более, что нам всем и так хорошо известно, что большинство сайтов в интернете размещаются на публичных веб-серверах провайдеров хостинговых услуг.

Причин тому достаточно много, но самая главная - это безусловно здравое желание компаний сэкономить, дешево получить веб-сервис с высокой доступностью. Создание собственной вычислительной инфраструктуры, обладающей надежностью, хотя бы сравнимой с ЦОДом стандарта Tier-III - это миллионы рублей. Во-первых, нужно соответствующее помещение: не коридор, не подвал, не чердак, чтобы его не затопило, и чтобы туда не имели доступ посторонние. Нужны вентиляция и кондиционирование, причем с определенной избыточностью. Нужно организовать автономное и резервное электроснабжение. Для этого надо где-то поставить ДГУ. Наконец, нужна физическая охрана и обслуживающий персонал. Кроме того, для гарантированной доступности сервиса, придется купить полный комплект запчастей к серверному и сетевому оборудованию. То есть, вместо одного сервера, фактически придется купить два.

Естественно, что с развитием облачных вычислений, технологий виртуализации и явно выраженной тенденции к переходу на аутсорсинг, все больше компаний из сектора СМБ стремятся перенести свои информационные системы с «подстольных» системных блоков на облачные вычислительный ресурсы, расположенные в отвечающих современным индустриальным стандартам вычислительные центры.

В информационных системах любого предприятия хранится и обрабатывается определенное количество персональных данных. Это могут быть, как персональные данные сотрудников предприятия, так и данные клиентов или контрагентов. Корпоративные информационные системы довольно разнообразны, как функционально, так и технологически. Это может быть и система автоматизации бухгалтерского учета, например, 1С и сайт с личным кабинетом пользователя и интернет-магазин. При этом, эти информационные системы, как правило, взаимосвязаны – передают друг-другу информацию, в том числе персональные данные.

Согласно п.3 ст.3 152-ФЗ, обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации, или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Таким образом, размещение ИСПДн на сервере провайдера, - это ничто иное, как передача на аутсорсинг, как минимум, таких функций по обработке персональных данных как: запись, хранение, чтение (извлечение), передача и удаление. 

Согласно п.2 ст.3 152-ФЗ, оператор (персональных данных) - юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Соответственно, хостинг-провайдер, принявший на себя функции по хранению и передаче персональных данных, является их оператором, наряду с владельцем сайта (информационной системы, обрабатывающей эти персональные данные) и, согласно законодательству, обязан принять определенные меры для обеспечения их безопасности. На самом деле, все не так плохо и надо отдать должное авторам закона "О персональных данных" № 152-ФЗ и Постановления Правительства № 1119 от 01.11.2012, которые предусмотрели передачу оператором персональных данных части функций по их обработке на аутсорсинг сторонним организациям.

Законодательное регулирование размещения веб-сайтов, обрабатывающих персональные данные на хостинге, предоставляемом сторонней организацией

Оператор персональных данных вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, на основании заключаемого с этим лицом договора (поручения). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные действующим законодательством. В поручении оператора должен быть определен перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных (п. 3. ст. 6 152-ФЗ).

Таким образом, хостинг-провайдер, как и владелец сайта, является оператором персональных данных, обрабатывающихся на сайте и отвечает за их доступность, сохранность и безопасность. С одной лишь разницей - владелец сайта несет ответственность перед субъектами ПДн, и, в предусмотренных законодательством случаях, обязан получать от субъектов разрешения на обработку персональных данных, а хостинг-провайдер, как уполномоченное лицо, несет ответственность перед владельцем сайта, получает от него персональные данные и хранит их, но за получение разрешения от субъектов не отвечает.

Вообще, тема получения согласия субъектов на обработку их персональных данных очень большая и интересная и, безусловно, заслуживает отдельной статьи.

Разграничение зон ответственности хостинг-провайдера и владельца сайта за соблюдение требований к защите персональных данных

Согласитесь, несправедливо будет перекладывать всю ответственность за безопасность персональных данных на хостинг-провайдера. Ведь зачастую, он и понятия не имеет, кем, как и на чем написан размещаемый на его сервере сайт. Какие там используются пароли для авторизации доступа к ПДн, в каком виде они хранятся, да и используются ли они вообще.

Согласно Постановлению Правительства №1119 (пункты 13 - 16), для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

Требование ПП 1119

Требуемый уровень защищенности

Зона ответственности

1

Организация режима обеспечения безопасности помещений, в которых размещена информационная система

УЗ-4;
УЗ-3;
УЗ-2;
УЗ-1;

Хостинг-провайдер;

2

Обеспечение сохранности носителей персональных данных

Хостинг-провайдер;

3

Утверждение руководителем оператора перечня лиц, имеющих права доступа к персональным данным

Владелец сайта; Хостинг-провайдер;

4

Использование сертифицированных средств защиты информации (прошедших процедуру оценки соответствия требованиям законодательства)

Хостинг-провайдер;

5

Назначение должностного лица, ответственного за обеспечение безопасности персональных данных

УЗ-3;
УЗ-2;
УЗ-1;

Владелец сайта; Хостинг-провайдер;

6

Доступ к содержанию электронного журнала сообщений возможен исключительно для лиц, имеющих соответствующие права доступа

УЗ-2;
УЗ-1;

Владелец сайта; Хостинг-провайдер;

7

Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудников оператора по доступу к персональным данным

УЗ-1;

Владелец сайта, хостинг-провайдер

8

Создание структурного подразделения, ответственного за обеспечение безопасности персональных данных

Владелец сайта, Хостинг-провайдер

Хостинг-провайдер должен иметь лицензию Роскомнадзора на оказание услуг связи

Как известно, для оказания услуг связи, требуется лицензия Роскомнадзора. Это следует, например, из пункта 36 статьи 12 Федерального закона от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности».

Согласно перечня наименований услуг связи, вносимых в лицензии на осуществление деятельности в области оказания услуг связи, утвержденного постановлением Правительства РФ от 18.02.2005 № 87), к лицензируемым услугам связи, в том числе, относятся:

  • Телематические услуги связи (именно к ним относится хостинг);
  • Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации.

Для размещения сайтов, обрабатывающих персональные данные, хостинг-провайдер должен иметь лицензию ФСТЭК

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) - регулирует деятельность, связанную с технической защитой информации, занимается вопросами государственной политики в данной области законодательства, стандартизации, лицензирования, а также проводит соответствующие проверки.

Поскольку хостинг-провайдер, как уполномоченное по договору-поручению лицо, является оператором персональных данных, он обязан предпринимать технические меры по их защите, то есть оказывать услуги по технической защите информации, которые, в соответствии с положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным Постановлением правительства Российской федерации от 3 февраля 2012 г. N 79 относятся к лицензируемым видам деятельности.

В состав организационных и технических мер по обеспечению безопасности персональных данных, утвержденных приказом ФСТЭК №21 от 18.02.2013, входят:

  • идентификация и аутентификация субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • ограничение программной среды;
  • защита машинных носителей информации;
  • регистрация событий безопасности;
  • антивирусная защита;
  • обнаружение (предотвращение) вторжений;
  • контроль (анализ) защищенности персональных данных;
  • обеспечение целостности информационной системы и персональных данных;
  • обеспечение доступности персональных данных;
  • защита среды виртуализации;
  • защита технических средств;
  • защита информационной системы, ее средств связи и систем передачи данных;
  • выявление инцидентов, и реагирование на них;
  • управление конфигурацией ИСПДн и СЗПДн.

Для выполнения работ по обеспечению безопасности персональных данных допускается привлекать на договорной основе сторонние организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации (пункт 2 абзац 2 Приказа ФСТЭК №21).

Ряд мер по обеспечению безопасности персональных данных требует наличия у хостинг-провайдера лицензии ФСБ

В состав мер по обеспечению соответствующего уровня защищенности персональных данных, согласно Приказа ФСТЭК №21 включены следующие мероприятия:

  • Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети (УПД.13);
  • Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи (ЗИС.3);
  • Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов (ЗИС.11);

Исходя из сути этих мер, понятно, что для их реализации необходимо использование средств криптографической защиты информации (СКЗИ). Как известно, вопросы, связанные с использованием СКЗИ в Российской Федерации регулирует Федеральная служба безопасности (ФСБ России).

Согласно положению о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, утвержденному Постановленим Правительства РФ от 16.04.2012 г. № 313, в перечень работ, составляющих лицензируемую деятельность, в том числе входят:

  • Разработка защищенных, с использованием криптографических средств, информационных и телекоммуникационных систем;
  • Монтаж, установка, наладка криптографических средств и, защищенных с их использованием, информационных и телекоммуникационных систем;
  • Работы по обслуживанию криптографических средств;
  • Передача криптографических средств и, защищенных с их использованием, информационных и телекоммуникационных систем;
  • Предоставление услуг по шифрованию информации.

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах с использованием средств криптографической защиты информации, определен Приказом ФСБ от 10.07.2014 г. № 378.

Вычислительный центр хостинг-провайдера должен находиться на территории РФ

C 1 сентября 2015 года в Российской Федерации вступило в действие положение о локализации хранения и отдельных процессов обработки персональных данных, определенное в Федеральном законе №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», согласно п.1 ст.2 которого, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

При этом, важно отметить, что трансграничная передача персональных данных, как таковая, не запрещена, но законодательно регулируется. Подробнее об этом можно прочитать в ст. 12 152-ФЗ.

Коротко о главном

Итак, обобщим вышеизложенное.

Веб-сайт является информационной системой персональных данных, если его функционал позволяет вводить, хранить или просматривать персональные данные. Хорошим примером может служить практически любой сайт с личным кабинетом, возможностью онлайн-бронирования, заказа или покупки с доставкой и т.д.

Обработка персональных данных клиентов в режиме онлайн - это не только необходимость современной электронной коммерции, но и широкие возможности для маркетинга, описание которых вполне заслуживает отдельной статьи.

Владелец сайта, являющегося ИСПДн, обязан подать уведомление в Роскомнадзор, в котором указать: какие персональные данные он хранит и обрабатывает, где физически размещены сервера, на которых функционирует ИСПДн. Об этом можно прочитать в моей статье «Как подать уведомление в РКН и не попасть в просак».

Договор с хостинг-провайдером, помимо количественных и качественных характеристик вычислительных ресурсов, в обязательном порядке должен содержать поручение на обработку персональных данных, с указанием конкретного перечня действий, которые будут с ними совершаться, в нем должны быть указаны цели и порядок обработки персональных данных, требования к их защите, а также должна быть установлена ответственность провайдера за безопасность персональных данных.

Помимо стандартных для хостинговых компаний лицензий Роскомнадзора на оказание телематических услуг связи, для защиты персональных данных, обрабатывающихся на сайтах клиентов, хостинг-провайдер должен иметь лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации и лицензию ФСБ на оказание услуг, связанных с использованием шифровальных (криптографических) средств.

И, наконец, сервер провайдера, на котором физически хранятся персональные данные, должен находиться на территории Российской Федерации.

Итак, в данной статье рассмотрены многие, но далеко не все аспекты размещения ИСПДн на вычислительных ресурсах провайдеров облачных услуг. Более подробную информацию можно получить из нижеперечисленных документов и информационных ресурсов: