Российская Федерация в 2005 г. ратифицировала Европейскую конвенцию о защите физических лиц при автоматизированной обработке персональных данных, и во исполнение этой конвенции в 2006 г. у нас появился Федеральный закон № 152-ФЗ «О персональных данных». В дальнейшем к нему несколько раз принимались поправки, последний пакет поправок о локализации персональных данных в России был принят Госдумой в виде Закона № 242-ФЗ.
Локализация
В соответствии с новой редакцией Закона № 152-ФЗ бизнес обязан собирать, хранить и обрабатывать персональные данные на территории РФ. Эти требования касаются любой организации. Каждая организация является оператором персональных данных, поскольку существует как минимум один человек, персональные данные которого должны обрабатываться в соответствии с законом, – генеральный директор сотрудник этой организации. В первую очередь Закон № 242-ФЗ призван защищать наши экономические интересы, в том числе повышать уровень информационной безопасности внутри государства. Кроме того, это стимулирует российский рынок технологических решений и рынок информационной безопасности.
Объясняя необходимость такого закона, законодатели традиционно ссылаются на зарубежный опыт. Подобные законы действуют, например, в Китае, где полная копия данных должна храниться на территории страны, а персональные данные, касающиеся банковской сферы, вообще запрещены к передаче за пределы страны.
Но при этом российским законом никогда не запрещалось и сейчас не запрещается передавать персональные данные за пределы страны (требование об отсутствии запрета на трансграничную передачу есть в Евроконвенции). Это можно делать, но данные при этом должны быть неизменяемыми и их объем должен быть меньше или равен объему, содержащемуся в российских базах данных. То есть сначала компания, которая собирает персональные данные россиян, обязана накопить их на территории России, а потом с согласия субъекта персональных данных синхронизировать их за рубеж.
Все требования совершенно одинаковы для любых компаний, российских или зарубежных, которые имеют возможность собирать персональные данные российских граждан, т. е. закон направлен на все компании без исключения, работающие в России. Отраслевого критерия здесь нет, но если рассматривать тех, кого это касается с точки зрения возможных проверок, то в первую очередь это компании, чьи бизнес-процессы и основная коммерческая деятельность связаны с обработкой персональных данных (страховые компании, банки, компании, оказывающие медицинские услуги).
Требования
Существует совокупность документов, регламентирующих деятельность компаний при работе с персональными данными. Так, сам закон определяет общие требования, подзаконные акты – постановления Правительства РФ, требования нормативных документов ФСТЭК (Федеральной службы по техническому и экспортному контролю) и ФСБ (Федеральной службы безопасности) – конкретный перечень действий, которые необходимо выполнить, чтобы полностью соответствовать закону. Таким образом, собственно перенос данных в Россию – не единственное, что должны сделать компании. Они должны обеспечить соответствующий уровень информационной безопасности, предъявляемый к хранению персональных данных.
Со стороны регулятора требования достаточно четко сформулированы – и по технической защите конфиденциальной информации, и по предоставлению услуг по защите информации. Это может быть применение сетевых экранов, системы обнаружения вторжений, анализа защищенности, антивирусной защиты и др. Есть уже правоприменительная практика и прохождения проверок, и работы судов, так как требования по защите действуют с 2007 г.
Что касается требований к инфраструктуре, то существует аттестация построенных автоматизированных систем, обеспечивающих защиту информации. Такой документ выдается специализированной независимой аттестационной лабораторией, которая подтверждает, что указанная инфраструктура готова и выполняет требования регулятора по соответствию различным уровням защищенности информационных систем. Этот аттестат не является обязательным, но он помогает понять, что аттестованный дата-центр имеет необходимую защиту для обеспечения безопасности данных компании. Существуют также международные стандарты ISO по построению системы управления информационной безопасностью (ISO 27001, 27002). Многие иностранные компании, приходя в Россию, уже соответствуют таким стандартам, и, по сути, их задача в России сводится к синхронизации и дополнению мер по защите информации, которые предписаны российскими регуляторами.
Также не запрещается модель аутсорсинга по предоставлению услуг по защите данных. Это позволяет заказчику более гибко подходить к решению задач по соответствию. Компании, предоставляющие подобные услуги, должны иметь необходимые лицензии и компетенции.
В целом подход к регулированию в России несколько отличается от, к примеру, европейского подхода. В России само неисполнение предписанных требований по информационной безопасности является причиной возникновения ответственности. На Западе ситуация иная: компания самостоятельно определяет, какими способами она будет выполнять требования. И если, например, при утечке персональных данных наступили негативные последствия, только тогда наступает ответственность, по факту совершения неправомерных действий с этими данными.
Проверки
Роскомнадзор в отношении любого юридического лица может принять свои меры по надзору и контролю, которые он посчитает нужными в соответствии со своим административным регламентом, поэтому вероятность проверок достаточно высока для бизнеса в целом. В первую очередь, естественно, это касается компаний, которые ведут активную деятельность по обработке большого объема персональных данных в коммерческих интересах. Безусловно, ЦОД, как любое юридическое лицо, является оператором персональных данных, например своих сотрудников, клиентов, партнеров и т. д., и в этом случае проверки возможны.
Для приведения систем в соответствие с новыми требованиями Закона № 242-ФЗ был дан год. Конечно, этот закон создал определенные сложности для глобальных международных компаний с централизованными ИТ-системами, куда российский сегмент включается как сателлит. Зачастую просто невозможно изменить архитектуру информационной системы под одно локальное законодательство, если она изначально не создавалась как разнесенная система с разными центрами обработки информации. Поэтому некоторые компании, чтобы выполнить требования законодательства, вынуждены переносить не только данные, но и все сопутствующие системы в Россию. Для российских компаний такой задачи не стояло, если только компания не пользовалась предложениями глобальных поставщиков IaaS-сервисов. Например, если она размещала свои данные в физических дата-центрах в Европе, то сейчас должна развернуться обратно в Россию для обеспечения эффективной работы.
Особенно болезненно наше законодательство для поставщиков глобальных облачных сервисов, которые размещаются в странах, не обеспечивающих адекватной защиты прав субъектов персональных данных в соответствии с требованиями Закона № 152-ФЗ, например США. Список таких стран опубликован Роскомнадзором. При этом закон не запрещает сам факт трансграничной передачи данных в эти страны, но необходимо письменное согласие субъекта персональных данных.
В конце 2015 г. был опубликован план проверок Роскомнадзора на 2016 г., куда вошли крупнейшие международные компании, обрабатывающие персональные данные: софтверные компании, интернет-магазины, сетевые торговые компании и крупные международные банки. При этом уточняется, что проверять будут компании именно на соответствие требованиям по локализации персональных данных. Компании должны будут доказать, что они имеют на территории России достаточные вычислительные мощности для обработки персональных данных россиян. В качестве такого доказательства может быть использован контракт с российскими ЦОД. Внимание к иностранным компаниям, которые ведут деятельность в России, намного выше по сравнению с предыдущими годами.
Таким образом, проблема масштабная, именно поэтому возникло мнение, что решить ее невозможно. В частности, это дополнительная нагрузка на бизнес в эпоху экономического кризиса, поскольку для перестройки информационных систем требуются существенные инвестиции. Однако кризис подтолкнул инфраструктурные компании к тому, чтобы предлагать экономически обоснованные решения по локализации данных в России. Наша компания старается облегчить эту задачу своим клиентам, предлагая, например, типовые готовые решения по переносу и защите персональных данных.
Миграция
Любые миграционные процессы с одной системы в другую несут определенные риски – это нарушение установленного уровня обслуживания клиентов компании. В частности, возможны перерывы в связи и деятельности подразделений, процессы которых завязаны на автоматизированные системы, риски невыполнения требований по информационной безопасности и др. Поэтому для заказчика большую роль играет готовность провайдера обеспечить непрерывность бизнес-процессов. В первую очередь они выбирают надежные и проверенные временем решения и операторов, которые имеют опыт такого рода переносов информационных систем.
Несмотря на то что достаточно сложно подсчитать, сколько же точно данных находится за пределами России и подлежит переносу, опираясь на динамику заполняемости рынка ЦОД, можно с уверенностью сказать, что тех мощностей, которые сейчас введены, вполне достаточно для локализации данных в соответствии с законом. За 2012–2014 гг. было введено в эксплуатацию большое количество мощностей центров обработки данных, поэтому сегодня на рынке наблюдается их значительный переизбыток. Рынок московского региона насчитывает около 27 тыс. стоек, и 40% из них свободны. Кроме того, многие дата-центры имеют площади, не только введенные в эксплуатацию, но и в высокой степени готовности. Например, наша компания вводит новые залы в эксплуатацию только по достижении высокой степени заполняемости – 85%. Тем более что спрос со стороны иностранных компаний хотя и был значительным, но оказался ниже ожиданий рынка, т. е. спрос не превысил предложения на рынке ЦОД. Надо еще учитывать, что возможна различная степень уплотнения данных в одной стойке в зависимости от используемого типа оборудования. Технологии крупнейших вендоров развиваются таким образом, что с увеличением объема данных возрастает и возможность обработки большего объема данных. Так, один юнит серверной стойки сегодня обрабатывает значительно больше информации, чем несколько лет назад.
Сейчас многие компании переносят информацию исключительно в виртуализованную среду, в которой также можно разместить необходимые средства защиты персональных данных. Иностранные компании при переезде ждут от оператора, что он подтвердит выполнение всех требований, связанных с защитой информации. Для иностранных компаний виртуальная инфраструктура является надежным и понятным решением. При этом переезд в облачную среду значительно менее инвестиционно затратный проект, чем покупка оборудования в России, установка в стойки, монтаж, пусконаладочные работы и т. д.
Если раньше иностранные компании в первую очередь выбирали размещение в зарубежных дата-центрах и облачных сервисах глобальных игроков, таких как Amazon, Google, Microsoft, то в последние два года наблюдается резкий разворот спроса в сторону отечественного рынка. Это произошло, во-первых, вследствие ужесточения регуляторики по локализации данных, во-вторых, из-за изменения валютного курса и относительной стоимости размещения в российских дата-центрах. Так, в конце 2014 г. цены на российские облака были в среднем на 15–30% выше, чем на европейские, а в конце 2015 г. наблюдалась обратная ситуация – наши цены стали ниже на 20–30%.
Еще одна немаловажная причина, усилившая спрос иностранных компаний, – это лавинообразный рост российского рынка инфраструктуры как физической, так и виртуальной. Операторы начали предлагать более зрелый продукт, и зарубежные компании теперь могут выбирать среди различных систем виртуализации, различных ценовых сегментов, появились возможности по связанности российских и западных инфраструктур и др. Все это открыло дорогу компаниям, которые раньше не размещались в России вообще. Мы активно развиваем подобные услуги – предоставление доступа к международным площадкам и развитие собственной инфраструктуры на зарубежных площадках, чтобы обеспечить заказчику оперативный доступ к ним.
С 2013 г. спрос на услуги нашей компании со стороны иностранных компаний значительно возрос. Причем на некоторые услуги, такие как виртуализация, отмечается десятикратное увеличение. Но повышение спроса неравномерно, полгода-год назад был достаточно серьезный подъем, сейчас темп обращений от зарубежных компаний несколько снизился. Компании поделились на две группы: те, кто уже переехал и соответствует требованиям, и те, кто принял для себя эти риски и ждет новых вводных, например результатов проверок и наработанной правоприменительной практики. Пик первой волны пришелся на II–III кварталы 2015 г. На вторую волну спроса окажут влияние, в частности, результаты проверок регуляторов.
Заключение
Процесс миграции данных нельзя считать завершенным. К концу прошлого года интерес к локализации данных со стороны бизнеса возрос, в том числе в связи с активными действиями регулятора. Федеральный закон № 242-ФЗ не только внес изменения в части локализации данных, но и вывел Роскомнадзор из-под действия № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», расширив полномочия регулятора.
Компании, которые хотят развивать собственную ИТ-инфраструктуру в РФ, пока отодвинули вопрос о переносе персональных данных в Россию из-за сложной финансово-экономической ситуации в начале этого года. Но в течение 2016 г. компании будут продолжать переносить персональные данные на территорию Российской Федерации и защищать их в соответствии с требованиями Закона № 152-ФЗ. Поэтому сервис-провайдеры и ЦОД стремятся предложить более эффективные и доступные решения на фоне кризисных изменений. Конечно, эффект от реализации этого закона был бы значительно выше, если бы экономика была инвестиционно привлекательной и росла такими же темпами, как и два-три года назад.