Осторожно: какие провайдеры IaaS до сих пор не имеют сертификат по 152-ФЗ
За последние несколько десятилетий человеческая обыденность претерпела массу изменений. К примеру, мало осталось тех, кто мыслит свое существование без использования всемирной сети. Для кого-то мировая информационная паутина становится способом проведения своего досуга, для других она заменяет традиционные методы образования, третьим же интернет становится источником дохода.
Одно можно сказать точно — вне зависимости от того, с какой целью человек привлекает в свой быт веб-ресурсы, ему приходится подвергать повышенной опасности свои личные идентифицирующие данные. Само собой этот аспект не мог быть пропущен мимо глаз законодательных органов, которыми был разработан и внедрен в обиход федеральный закон №152. В его нюансах постараемся разобраться ниже.
Узнать, кто из облачных провайдеров сертифицирован по №152-ФЗ
Как появился № 152-ФЗ
Для того, чтобы рассмотреть федеральный закон № 152-ФЗ, в первую очередь стоит изучить истоки правовой защиты персональных данных. Прообраз современного постулата зародился в 1981 г., когда Советом Европы была опубликована первая редакция конвенции о защите персональных данных.
На тот момент документ должен был оберегать граждан от использования их персональных данных в коммерческих целях. Согласно требованиям Всемирной Торговой Организации, каждая страна, желающая вступить в оную, обязана подписать конвенцию. Российская Федерация пошла на этот шаг только 7 ноября 2001 г. В силу же международный закон вступил в марте 2002 г.
Однако для полноценного функционирования постулатов Совета Европы требовалось наличие у страны собственного закона о защите персональных данных. Формально любые операции по обработке личной информации, выполненные до появления № 152-ФЗ, могли быть признанными незаконными, согласно международной конвенции (подобных прецедентов не было).
Описываемый закон был принят 27 июля 2006 г. Он собрал в себе все основные организационные меры по контролю и обработке персональных данных, во главе был поставлен Роскомнадзор. При этом за технические аспекты защиты носителей и информации отвечали и отвечают по сей день ФСБ и ФСТЭК.
История развития №152-ФЗ
Редко какой закон в своей первоначальной форме способен удовлетворить всем поставленным перед ним требованиям. Такой тонкий инструмент требует многократной проверки и «подстройки». В результате статьи меняют свои формулировки, дополняются уточнениями. В некоторых случаях спустя несколько редакций документ может в отдельных пунктах противоречить своему аналогу, вышедшему всего несколькими годами ранее.
Самыми впечатляющими требованиями, описанными в сводках первой редакции 2006 г., были пункты о том, что перед обработкой персональных данных оператор должен заполучить разрешение гражданина с наличием рукописной подписи на нем. Помимо этого, хранитель базы данных обязан был удалить всю личную информацию в случае требования клиента в течение 3-х дней. Также не допускалось хранение каких бы то ни было гражданских данных, если потребность в них не была актуальна. Все уничтожалось после проведения заказанных операций.
Оценив всего несколько пунктов, не нашедших себе место в современной редакции, можно сразу заметить, что первоначальный закон был больше ориентирован на защиту клиента. В то же время, подобный «щепетильный» подход мог сильно снизить скорость проведения большинства операций.
Само собой благо для граждан не могло не отразиться на самочувствии операторов персональных данных. Дело в том, что требования к системам защиты были завышены. Закон стал подразумевать обязательную сертификацию средств хранения баз данных. Особо жесткие требования выдвигались к сохранности специальных типов информации, к которым относятся сведения про политические, религиозные взгляды, состояние здоровья и сексуальную ориентацию (этот список был утвержден еще в конвенции, составленной Европейским Союзом).
Главная сложность для операторов заключалась в том, что ФСБ предложило использовать для безопасности специальных типов методы, идентичные алгоритмам шифрования и защиты государственной тайны. Даже сам список требований был помечен грифом ДСП (для служебного пользования). Для того чтобы осознать всю глубину вопроса, достаточно знать, что в предписаниях, помимо общего, учитывались возможности утечки информации по нетехническим каналам (звуковые волны, электромагнитные поля, визуальная информация).
Ввиду высоких требований всем компаниям дали срок до 1 января 2010 г. До назначенной даты системы хранения баз данных должны были быть обновлены до необходимого уровня. До этого никакие проверки на соответствие не проводились. Впоследствии государство дало еще 1 год на поднятие защитных систем до нужного уровня. При этом были внесены изменения, предусматривающие снятие ряда обременений с операторов.
Сертификация на выполнение требований №152-ФЗ
Среди органов, контролирующих закон о персональных данных, наибольшую активность проявляет Роскомнадзор. Он реализует около 10000 проверок в год. Для сравнения ФСБ и ФТЭК в сумме выполняют не более 100 аудитов, при этом их внимание, как правило, падает на государственные предприятия.
В наказание за невыполнение требований № 152-ФЗ предусмотрен целый набор карающих инструментов. По результатам контролирующих мероприятий у фирмы могут изымать лицензию на работу с персональными данными, блокировать сайт, дисквалифицировать управляющие должности и накладывать штрафы от ₽20 000 на должностное лицо и от ₽300 000 на организацию.
Кто из провайдеров IaaS получил сертификат по № 152-ФЗ. Список
Один из способов избежать внеплановые проверки — получение сертификата (№ РОСС RU.З1912.04ВРК0). Процесс сертификации добровольный и проводится Ассоциацией Специалистов по Безопасности (АСБ). Данная процедура является хорошим помощником на пути выявления несоответствия закону №152. Найдя и оперативно устранив все слабые стороны, можно избежать штрафов и прочих наказаний.
Компании, желающей провести добровольную сертификацию, необходимо:
- Подать заявку на аудит;
- Оплатить услуги и заключить договор на сертификацию;
- Пройти процедуру;
- Получить ряд документов, подтверждающих соответствие требованиям № 152-ФЗ.
Сам процесс сертификации состоит из следующих процедур:
- Уведомление Роскомнадзора о выполнении тестирования;
- Проверка наличия и соответствия требованиям организационно-распорядительной документации;
- Мониторинг алгоритма работы с персональными данными;
- Оценка организационной и технической защиты в информационных системах;
- Уточнение расположения физических носителей с личной информацией клиентов (по условиям № 152-ФЗ, они должны находиться на территории РФ);
- Контроль всех операторов сертифицируемой организации на предмет их регистрации в базе Роскомнадзора и наличие прецедентов по нарушению № 152-ФЗ.
По завершении сертификации организация получает документ, действующий 3 года и подтверждающий соответствие всех принимаемых мер по защите персональных данных согласно № 152-ФЗ.
Дополнительно фирма обязуется проводить периодические самостоятельные аудиты, с этой целью в штате назначают и обучают двоих сотрудников, которые, в свою очередь, оформляют сертификат компетентности. Кроме того, подразумевается ежегодный контроль специалистами АСБ, стоимость которого обсуждается перед заключением договора.