Хранение персональных данных – переезд на Родину.

Глобальная слежка, информационные войны, санкций, кибер-терроризм и другие угрозы ставят компании, правительства и всех граждан перед необходимостью реализации мер по защите своих прав, ценностей и интересов в информационной среде. Персональные данные простого человека могут и не иметь большой ценности, но персональные данные населения целой страны в руках злоумышленников могут стать оружием массового поражения.  1 сентября 2015 года вступают в силу изменения в Федеральный закон «О хранении персональных данных» № 242-ФЗ, согласно которым все персональные данные граждан страны должны храниться на серверах в России. Аналогичные законы уже действуют в некоторых развитых странах мира, поэтому стоит более внимательно отнестись к сути новой его редакции. При всей очевидности духа и буквы закона, согласно которым данные граждан РФ должны храниться на территории страны, остаётся много не разъяснённых или не очевидных аспектов относительно законоприменительной практики и её последствий для владельцев персональных данных, компаний и государства.

Не сложно сделать простые умозаключения, чем именно перенос персональных данных в Россию полезен, или может быть жизненно необходим для государства и физических лиц. Речь идёт о контроле над персональными данными и связанными с их обработкой сервисами. Иначе говоря, это защита от монополизации контроля над персональными данными различных групп граждан РФ, иностранными компаниями, что несёт существенные экономические, социальные и политические риски для национальной безопасности.

Для бизнеса нововведения ставят новые технические, организационные и юридические задачи, а значит, прочит и новые расходы. Очевидно, что под изменения попадают только те организации, которые имеют доступ к персональным данным граждан РФ в открытом виде и занимаются обработкой этих данных за пределами РФ. Однако не стоит забывать, что даже в действующей редакции закона № 242-ФЗ, она затрагивает так или иначе практически все юридические лица в нашей стране, хотя бы в плане обработки персональных данных сотрудников компании, которые тоже, безусловно, нужно защищать.

Достаточно полной и окончательной трактовки того, что же считается персональными данными пока не дано, и в будущем ожидаются разъяснения от Роскомнадзора. Но скорее всего, к персональным данным будут отнесены все спорные и пограничные случаи, т.е. любая информация, которая прямо или косвенно относится к человеку. Спорные вопросы отнесения информации к персональным данным возникают, прежде всего, относительно тех данных, которые относятся к физическому лицу, но никаким образом не позволяют это лицо идентифицировать, например, данные в зашифрованном виде, или статистические и поведенческие данные деятельности некоего пользователя на сайте и в интернете. Открытым остаётся и вопрос о социальных сетях – где данные не только хранятся, но и доступны другим. Предполагается, что пользователь самостоятельно и добровольно раскрывает свои персональные данные, что делает их публичными, но это не снимает проблему их защиты от несанкционированного сбора и использования.

Обязанность хранения персональных данных граждан в России согласно новой редакции закона № 242-ФЗ не запрещает, что практически и не реализуемо, возможности дублирования персональных данных на иностранных серверах. Несмотря на то, что современные технологии позволяют проводить синхронизацию баз данных в реальном времени, рекомендуется, чтобы первичная копия данных записывалась именно в России, после чего она может быть скопирована за пределы страны. Это необходимо для выполнения требования закона в рамках процедуры «сбора данных», поскольку в противоположном случае, де факто сбор будет осуществляться за пределами  РФ, а персональные данные копироваться в дата-центр на территории России.

Многие крупнейшие международные компании, ориентированные на работу с физическими лицами (ebay.com, Alibaba.com) среди первых перестраивают свою работу в соответствии с изменениями закона, что на практике реализуется в создании собственного ЦОДа в РФ, либо заключении договора на его аутсорсинг. Последствия не выполнения требования закона могут обернуться серьёзными репутационными и экономическими убытками. Если сумма штрафа, как и во многих других случаях в России, ничтожно мала (до 10т.р. для юридических лиц), то включение компании в реестр нарушителей и блокирование веб-ресурса вполне достаточные аргументы для приведения бизнес-процессов в соответствии с требованиями новой версии закона.

Если с местом хранения персональных данных всё однозначно, то среди технических средств их защиты существует широкий диапазон решений, от простейших программных средств защиты, до специализированных аппаратных криптографических модулей безопасности. Выбор соответствующего уровня защиты и подходящего решения остаётся за оператором персональных данных и напрямую зависит от ценности данных и потенциальных рисков их компрометации, поскольку выполнение требований закона и использование сертифицированных средств не всегда гарантирует полную безопасность и не избавляет от возможных последствий и убытков. Очевидно, что наивысшей ценностью (и интересом злоумышленников) пользуются финансовые данные, коммерческая и медицинская, т.е. те данные, которые легко могут быть монетизированы.

Защита особо ценных персональных данных является помимо юридической, вполне естественной коммерческой необходимостью компаний, как необходимое условие ведения бизнеса и его развития. К сожалению, эту простую истину в России часто забывают или даже сознательно игнорируют. Большой опыт в защите ценной информации накоплен в финансовом секторе, наиболее уязвимом и подверженном атакам. Применение передовых специализированных средств криптографической защиты информации, например, аппаратных модулей безопасности Thalese-Security, является не только необходимой, но и обязательной регламентированной практикой, в соответствие с требованиями международных отраслевых регуляторов (платёжных систем и специально разработанных стандартов для индустрии – PCIDSS, PCIHSM, FIPS 140-2 и др.)

Решения, используемые для защиты финансовой информации и платёжных транзакций, также успешно применяются для защиты ценной информации любого рода, в том числе персональных данных. В идеале это должно быть реализовано в рамах корпоративной стратегии защиты информации, которая включает  не только применение специализированных средств, но и регламенты работы с системами и конфиденциальной информацией.

Изменения в законе о хранении персональных данных – это не большой но важный шаг, который снова заостряет наше внимание на проблемах защиты данных, рисках, связанных с их обработкой и возможных последствиях их компрометации. Перенос персональных данных в Россию сам по себе не решает этих проблем, но является хорошим стимулом подойти к решению задачи комплексно, выработав единую стратегию и выбрав подходящее решении, чтобы избежать возможных последствий не только с юридической стороны, но и экономического плана. Также ужесточение данного закона открывает новые перспективные возможности и повышает спрос на услуги хранения и защиты информации.