Unde sunt stocate datele personale ale cetățenilor ruși? Legea „Cu privire la datele cu caracter personal” și practica aplicării acesteia în realitatea rusă
Astăzi, multe companii nu doresc să-și asume costurile de achiziție și întreținere servere fizice, alege platforme virtuale. Folosind serviciile unui furnizor de găzduire, puteți crea un portal de internet de înaltă calitate. Și, în același timp, asistența tehnică va fi asigurată de echipa furnizorului. Centrele de date moderne din Rusia folosesc sisteme fiabile de stocare a datelor, de înaltă performanță funcţionare neîntreruptă sunt realizate prin duplicarea componentelor infrastructurii de inginerie, garantate backup. Cu toate acestea, în unele cazuri, clienții recurg la serviciile centrelor de date străine. De ce?
Centrul de date străin: argumente pro și contra
De regulă, infrastructura IT a centrelor de date străine este echipamente avansate ultima generatie, standarde de calitate conform cerințelor ISO 9001 și ISO 27001, nivel inalt controlul securității și stocării datelor, SLA (Service Level Agreement) - standard (disponibilitate 99,5%) și individual (până la 99,995%). Pentru a asigura securitatea datelor, folosesc cele mai recente soluții IT, firewall-uri, tehnologii de criptare a canalelor de comunicație. Alimentarea cu energie a centrului de date este, de asemenea, implementată cu un nivel ridicat de fiabilitate - până la TIER IV (totul este duplicat).Cum altfel ar putea un centru de date străin să fie de interes pentru clienții ruși? Companiile care oferă hosting în străinătate au de obicei foarte flexibile planuri tarifare. Ei se străduiesc să ofere clientului pachet complet servicii pentru aproape aceiași bani ca și opțiunea de bază. Clienții sunt nevoiți să considere un astfel de serviciu drept hosting străin calitate superioară servicii, experiență mai mare a angajaților, de mare viteză răspuns la probleme. Orice defecțiune va fi rezolvată cât mai repede posibil.
Centrele de date europene angajează persoane implicate în servicii de găzduire ani lungi, astfel încât să știe cum să prevină apariția anumitor probleme, cum să remedieze problemele care au apărut în cât mai repede posibil.
Pentru multe companii autohtone, o platformă suplimentară în străinătate înseamnă și protecția afacerilor. Sechestrarea echipamentelor centrelor de date, blocarea ilegală, închiderile pe termen lung - în Rusia, toate acestea trebuie luate în considerare ca factori de risc la plasarea sau închirierea de servere fizice sau virtuale.
În plus, există o nevoie din ce în ce mai mare pentru companii de a face tranzacțiile online mai sigure de supravegherea guvernamentală și infractorii cibernetici. Prin urmare, cei care au nevoie de un server cu protecție a datelor împotriva accesului neautorizat și o garanție a funcționării fiabile iau în considerare adesea opțiunea de a închiria un server în străinătate. În cele din urmă, stabilitatea financiară a operatorilor europeni de centre de date este un alt factor de atenuare a riscurilor.
Experții oferă câteva sfaturi utile despre cum să conduceți o afacere pe internet în Federația Rusă și să evitați problemele:
- Înregistrați domenii în străinătate - în afara zonei.ru și la registratori cunoscuți.
- Înregistrați o companie în străinătate. Creați o companie-mamă și o filială. Primul va deține tehnologia, iar al doilea o va licenția. Acest lucru va proteja principalul activ intelectual.
- Utilizați serviciile mai multor centre de date. Chiar și în străinătate, există posibilitatea blocării unui server sau centru de date printr-o hotărâre judecătorească. Datele importante trebuie duplicate pe echipamentele aflate nu numai într-un alt centru de date, ci și într-o altă jurisdicție.
- Găzduiește baze de date în străinătate. Păstrați-vă contabilitatea pe servere străine și lucrați prin VPN. Puteți restabili instantaneu funcționalitatea biroului.
- Documentați tot ce este legat de software-ul instalat. Aveți grijă de nivelul necesar de protecție pentru servere și rețele locale.
Centrele de date străine înseamnă și stabilitate. Implică atât o situație politică și economică favorabilă în străinătate, cât și funcționarea neîntreruptă a centrului de date. Clienții unor astfel de servicii de găzduire pot fi siguri de viitorul proiectelor lor web.
Între timp, datorită criptării, este posibil ca angajații centrelor de date să nu aibă deloc acces la datele dvs. Datele din străinătate vor fi pe deplin protejate. Problema sunt cerințele legislației ruse, conform cărora este necesar să se utilizeze instrumente de criptare certificate de FSB și FSTEC. Este puțin probabil că va fi posibil să convingi un furnizor străin de centre de date să folosească instrumente de criptare rusești, iar certificarea instrumentelor de criptare străine în Rusia este prea costisitoare: găzduirea va fi neprofitabilă. Și asta e o altă problemă. Pe lângă restricțiile impuse de legislația rusă, se poate întâlni și un utilizator de găzduire străină cerințe specifice autorităţile locale de reglementare.
În sfârșit, un alt dezavantaj îl reprezintă anumite inconveniente la plata serviciilor furnizorilor străini care utilizează sisteme adoptate într-o anumită țară sau servicii internaționale, în timp ce companiile rusești introduceți metode de plată cât mai confortabile pentru clienți.
Un compromis rezonabil între site-urile interne și cele străine este alegerea unui furnizor de găzduire național care are site-uri atât în Rusia, cât și în străinătate. În Rusia, un model mixt a câștigat deja popularitate, atunci când o parte din datele corporative se află în Federația Rusă, iar o parte este transferată în străinătate. Furnizorii ruși de găzduire țin cont de dorințele clienților și le oferă clienților astfel de tip mixt plasarea datelor. Clienții urmăresc obiective diferite.
Site de rezervare
Adesea, strategia IT a unei companii necesită prezența a cel puțin două centre de date – unul principal și unul de rezervă. Și asta nu este o coincidență. La urma urmei, pierderea informațiilor sau a controlului asupra acesteia cel mai bun scenariu garantează pierderi mari, în cel mai rău caz este o pierdere completă a afacerii. Prin urmare, implementarea unui centru de date principal și de rezervă pentru o companie serioasă astăzi este necesară și justificată din punct de vedere strategic. Este clar că acest lucru nu este ieftin, dar există o altă soluție - hosting.
Un centru de date de rezervă elimină timpul de nefuncționare și asigură restabilirea imediată a operațiunilor sisteme serverîn caz de defecţiune şi accident grav.
Utilizarea site-ului străin al unui furnizor de servicii de găzduire ca centru de date de rezervă înseamnă minimizarea atât a riscurilor, cât și a costurilor. Cu această schemă de lucru se realizează siguranta maxima si fiabilitate. Din punctul de vedere al construcției competente a funcționării neîntrerupte a șantierelor, aceasta solutie corecta.
Potrivit statisticilor, companiile ruse iau în considerare majoritatea proiectelor care utilizează centre de date străine din punctul de vedere al creării a două site-uri și sisteme separate care minimizează riscurile. Astfel, utilizarea serviciilor centrului de date principal și/sau de rezervă din Europa nu reprezintă doar protecție împotriva raidurilor și presiunii administrative, ci și diversificarea riscurilor și crearea unei infrastructuri IT distribuite de mare încredere.
Mai aproape de client
Dacă public țintă site-ul sunt utilizatori vorbitori de limbă rusă, apoi plasarea resursei pe servere îndepărtate geografic poate crește timpul de răspuns al site-ului (deși nu întotdeauna) și invers. În unele cazuri, centrele de date străine vor opțiune bună pentru companiile a căror activitate este concentrată pe piața externă, în special cele care operează pe piața europeană.O platformă străină poate fi utilizată pentru a găzdui date pentru a conecta clienții europeni la aceasta. Costul traficului va fi semnificativ mai mic. În plus, serverele bazate în centre de date străine arată cel mai bun timp răspuns pentru utilizatorii europeni. Astfel de centre de date au acces direct la punctele europene de schimb de trafic. De exemplu, pentru comercianți când lucrează pe piața valutară, întârzierea în primirea și trimiterea datelor este critică, iar atunci când găzduiți pe un site străin, va fi mult mai mică decât atunci când lucrați din Moscova sau Samara. Întârzierile trebuie luate în considerare la plasare servere de jocuri(ceea ce duce la o scădere a întârzierilor în jocuri pe calculator), crearea de rețele de livrare de conținut (CDN). Companiile cu acoperire internațională largă sunt adesea forțate să localizeze centrele de date aproape de clienți.
Mai mult, din cauza dezvoltării slabe rețele ruseștiși particularitățile organizării lor, traficul de la furnizorul de la Moscova către regiuni circulă adesea prin Europa. Conectivitatea cu un centru de date european este adesea mai bună decât cu unul din Moscova. Și, în general, comunicarea se poate dovedi a fi mai fiabilă și de mai bună calitate.
Companiile rusești de găzduire oferă tot mai mult găzduire în străinătate și, în același timp, pot concura în mod adecvat cu hosterii străini. În special, compania RuVDS, un furnizor de hosting în dezvoltare dinamică specializat în furnizarea de servicii IaaS clasa corporativă, ai cărei parteneri includ cele mai mari instituții financiare, o serie de bănci comerciale și proiecte sociale, intenționează să extindă lista de servicii prin furnizarea clienților cu hosting străin, pentru care a încheiat un acord cu un centru de date european (Elveția), unde resursele clientului vor fi localizate.
Încheierea contractelor de servicii, financiare, probleme legale, suport tehnic va fi realizat de RuVDS: clientul nu va trebui să interacționeze el însuși cu furnizorul străin sau să se adapteze la mediul și terminologia acestuia de reglementare. Și, în același timp, costul serviciilor va fi destul de competitiv.
Ca într-un seif
Elveția se poziționează acum ca un depozit de date global. Acum, aceasta este una dintre cele mai sigure jurisdicții pentru localizarea centrelor de date. Avantaj cheie pentru dezvoltare a acestei afaceriȚara a adoptat legi elvețiene stricte ca un tribut adus tradițiilor bancare.
Unul dintre avantajele găzduirii în Elveția este că statul protejează acces fizic la datele companiei client.
Astăzi, centrele de date elvețiene își oferă serviciile oricărei companii care caută o locație stabilă de stocare în Europa. În special, de când fostul contractant al Agenției de Securitate Națională a SUA, Edward Snowden, a făcut public documentația privind supravegherea guvernamentală pe scară largă, proprietarii de centre de date din Elveția au observat o creștere a cererii de servicii. depozitare în siguranță date din SUA.
Elveția este clasificată ca țară cu nivel minim risc la plasarea datelor.
Elveția s-a impus ca o insulă a stabilității, capabilă să reziste șocurilor financiare și geopolitice. Această stabilitate fundamentală garantează securitatea resursei dvs. web. Stabilitatea politică și financiară a acestei țări este în sine un argument ponderal, dar nu singurul.
Elveția este situată în centrul Europei de Vest, în imediata apropiere a țărilor europene de top cu economii puternice și activitate de afaceri, milioane de potențiali clienți ai companiilor care desfășoară afaceri în Europa. Mulțumită conexiune directa pentru furnizorii de top, un astfel de centru de date poate reduce semnificativ timpul de răspuns la solicitările din Europa, Asia și America. Aceasta înseamnă răspuns rapid pentru Utilizator final, indiferent de localizarea sa geografică.
Dezvoltarea tehnologică a Elveției, combinată cu infrastructura centrelor de date, ne permite să oferim servicii de găzduire cea mai bună calitate, oferă un nivel înalt de servicii pentru clienți. Echipamentul folosit îndeplinește cele mai stricte standarde de performanță și siguranță. Măsurile de securitate inovatoare și un management eficient vor ajuta la evitarea posibilelor riscuri. Echipamentele moderne protejează resursele clientului de atacurile puternice TCP/UDP DDoS - până la 10 Gbit/s sau 4 milioane de pachete pe secundă.
Elveția poate fi considerată o locație ideală pentru un centru de date.
Concluzie
Mare și afaceri medii-societăți de investiții juridice, farmaceutice și financiare, retaileri. Interesul din partea resurselor media poate crește și el. Avantaj important Furnizorii de găzduire ruși care își oferă serviciile pe baza unei platforme străine - prezența unei limbi ruse Serviciu tehnic suport, care nu este întotdeauna oferit de furnizorii străini. Bariera lingvistică poate fi un obstacol semnificativ. Pentru furnizorii ruși de găzduire, această problemă este eliminată automat. În plus, pentru confortul clienților, acum folosim diverse canale comunicatii.
Furnizorii de găzduire ruși înțeleg bine problemele și cerințele clienților ruși, iar acest lucru ajută adesea la rezolvarea problemelor cât mai repede posibil și la utilizarea celor mai potrivite instrumente pentru aceasta.
Multe dintre situațiile tipice pentru Rusia sunt adesea dificile pentru străini nu numai de rezolvat, ci și de a înțelege esența lor. Este mai ușor pentru un furnizor rus să găsească o modalitate de a ajuta un client.
Serviciile RuVDS sunt concentrate în primul rând pe segmentul corporativ: agenții guvernamentale, bănci, jucători la bursă. Serverele RuVDS sunt situate în centrul de date propriu al companiei nivel modernîn Korolev, Regiunea Moscova, iar planurile tarifare de mare viteză și flexibile fac găzduirea web foarte atractivă pentru clienți.
Furnizorul rus de găzduire RUVDS, cu sprijinul Huawei, a pus în funcțiune o zonă de izolare din clasa de fiabilitate TIER IV în centrul de date Deltalis din Attinghausen, Elveția. Este conceput pentru a oferi clienților servicii de închiriere pentru servere virtuale VPS/VDS. Huawei a acționat ca furnizor de echipamente de telecomunicații de ultimă generație, precum și soluții de inginerie pentru organizare mediu virtual.
Implementarea proiectului în Elveția ne permite să asigurăm un nivel ridicat de securitate a datelor - tehnologic și legal - precum și optimizarea vitezei de acces pentru clienții europeni datorită amplasării geografice convenabile a zonei ermetice (o unitate modulară a centrului de date). de cea mai înaltă clasă de fiabilitate în prezent). Serviciile VPS vor fi oferite atât clienților ruși, cât și străini ai RUVDS. Potrivit directorului general al RUVDS Artem Fedoseev, prețurile pentru serviciile VDS/VPS ale companiei în Elveția nu vor diferi de cele actuale din centrul de date RUCLOUD din Moscova, ceea ce va permite clienților să aleagă cea mai convenabilă locație de server virtual pentru ei la un singur preț, unul dintre cele mai mici prețuri de pe piață.
ÎN planuri pe termen lung companie - crearea unui produs universal, la fel de potrivit pentru orice scop și, în același timp, accesibil tuturor utilizatorilor. Site-ul din Elveția ne va permite să oferim mai mult larg alege servicii pentru clienți dintr-o varietate de industrii.
Etichete: Adăugați etichete
Duma a adoptat în grabă un proiect de lege privind stocarea datelor cu caracter personal. Ea a acceptat-o pe 4 iulie, înainte de vacanța în masă. Mai mult, a fost aprobat imediat în a doua și a treia lectură. Conform acestei legi, datele cu caracter personal ale rușilor prelucrate prin internet trebuie acum să fie stocate pe teritoriul Federației Ruse. Centrele de date și Rostec vor primi clienți noi - această lege este bună pentru ei. Proiectul a devenit cunoscut la sfârșitul lunii iunie. A fost introdus la Duma de Stat de către trei deputați - Iuscenko, Dengin și Lugovoy.
Noua lege se referă la toți cetățenii ruși care își furnizează datele atunci când se înregistrează online, trimit mail sau cumpără ceva. Legea nu va intra în vigoare imediat, ci de la 1 septembrie 2016. Acest lucru a fost făcut pentru ca companiile să aibă suficient timp să se pregătească să lucreze în conformitate cu noua lege.
Lege noua Consiliul Federației trebuie totuși aprobat și semnat de Președinte. Poate va fi trimis spre revizuire. Dar un început a fost făcut, iar acum multe companii rusești se întreabă ce să facă în continuare?
Ce îi așteaptă pe contravenienți? Ele pot fi incluse pe lista neagră de către Roskomnadzor. Această organizație are deja mai multe astfel de liste. Acestea includ site-uri piratate, site-uri care promovează violența, sinuciderea, pornografia infantilă și site-uri care îndeamnă la extremism. Totul este clar cu aceste liste - nimeni nu este împotriva ca această negativitate să nu fie răspândită online. Iar dacă compania nu poate din cauza motive obiective pregătiți pentru noua lege? Ce atunci?
Ce i-a motivat pe deputați să introducă o astfel de normă? Cert este că serviciile străine sunt obligate să furnizeze date agențiilor de informații americane. În consecință, NSA deține date despre toți utilizatorii rețelei din Rusia. Desigur, nu este nimic bun în asta. Ei bine, altfel companiile vor avea cheltuieli pentru mutarea serverelor, deputaților nu le pasă: „Acestea sunt pierderi de afaceri, nimic mai mult și nu e nimic rău în asta”, spun ei.
Dar nu numai afacerile străine vor suferi de pe urma transferului de server. servicii rusesti astăzi folosesc tehnologii cloudși schimbul de date - ce să faci cu asta? La urma urmei, această lege va afecta nu numai serviciile de stocare a datelor, rețelele sociale și mesageria instantanee, ci și sisteme de plată, rezervare online hotel, companiile celulare si multe alte servicii. Dacă legea va fi adoptată în forma în care este acum, aceasta va duce la rezilierea multor contracte cu firme străine. Aceeași Aeroflot nu va putea vinde bilete Moscova-New York-Chicago. Acest lucru nu este benefic pentru nimeni. Doar producătorii de servere vor beneficia.
Și băncile vor avea de suferit de pe urma acestei legi. Astăzi, o mulțime de achiziții se fac prin internet, iar clientul le plătește adesea cu un card bancar. În consecință, datele sale personale vor trece cu siguranță prin companii care nu au servere în Rusia. Concluzie - toată lumea va încălca noua lege. ȘI DESPRE. Președintele Citibank deplânge: „ Lume noua s-a format fără această lege și va fi destul de greu de respectat noua normă, aproape imposibil.” Azi nou tehnologii inovatoare apar în fiecare zi. Introducere discutată pentru toți rușii adulți - va fi foarte convenabil să depuneți cereri online și să primiți diferite tipuri de documente. Ce se întâmplă dacă cineva interceptează aceste date pe parcurs? Există o mulțime de întrebări despre protecția datelor, și nu numai despre cele personale.
După cum se știe, rusul sistem de plata Nu încă. Este pregătit din 2011, dar încă nu există sistem. Banca Centrală selectează doar furnizori deocamdată și când acest sistem începe să funcționeze forță deplină, încă necunoscut. Și fără ea, implementarea noii legi va fi dificilă, aproape imposibilă.
Complexitatea migrării serverului este dificil de estimat - totul va depinde de arhitectura sistemului informațional. Directorul departamentului juridic al companiei de asigurări, Pavel Chuikov, consideră că interzicerea stocării datelor în străinătate este o măsură prea excesivă. S-ar fi putut limita la creșterea controlului asupra procesului de prelucrare a datelor în străinătate. Atunci autoritățile de reglementare ar avea mai multe oportunități de a monitoriza aceste procese. Nu toate companiile mari folosesc servicii străine. De exemplu, reprezentanții MTS și VimpelCom au declarat că companiile lor stochează informații pe teritoriu Federația Rusă, iar atunci când fac schimb de date cu parteneri străini, aceștia folosesc informații anonimizate.
În general, dintr-un motiv oarecare, unele legi zac de ani de zile, și nu au fost adoptate sau discutate, iar unele, înainte de a apărea, se maturizează repede și sunt mâncate ca prăjiturile calde. Prima lectură, a doua, a treia - și produsul este gata1 Și apoi încep să adopte amendamente - deputații noștri cu siguranță nu vor rămâne fără muncă!
Intrebare despre securitatea informatiei a apărut online anul trecut. Atunci fostul ofițer american de informații Edward Snowden a vorbit despre supravegherea utilizatorilor de internet de către NSA. Au fost adoptate amendamente anti-terorism care au limitat plățile pe internet. Serviciile de rețea sunt necesare pentru a stoca datele utilizatorului timp de șase luni și așa mai departe. Cu toate acestea, nu totul este atât de rău. Unele companii vor avea timp să se pregătească pentru noua lege. De exemplu, toate companiile aeriene așteaptă sistemul rusesc rezervari - in doi ani va fi cu siguranta gata.
Numai centrele de date vor beneficia de noua lege. Există capacitate liberă chiar și la Moscova. În regiunea Moscovei, Technoserv construiește un centru de date care va fi cel mai mare din țară. Deci, în acest sens, nu ar trebui să existe probleme la transferul de servere. Centrul este construit cu ajutorul investițiilor companii mari. Ei înțeleg valoarea datelor și de aceea investesc în acest proiect.
În general, crearea unui nou centru de date implică multe dificultăți. Necesită costuri financiare uriașe și timp de pregătire. Este nerealist să construiești un nou centru de date în doi ani, a spus un reprezentant Yandex. Motorul de căutare rus a folosit întotdeauna servicii în Rusia și este pregătit pentru noua lege. Rostelecom are și el propria retea centrele de date și platforma sa cloud. Este gata să accepte noi clienți.
După cum vedem, noua lege are atât oponenți, cât și pe cei cărora nu le este frică de lege. Un lucru este clar - legea trebuie finalizată în conformitate cu modificările și comentariile care au fost deja făcute și vor veni, altfel pur și simplu nu va funcționa în vigoare. La fel ca noul 44-FZ. Încă se acceptă amendamente la acesta, un special grup de lucru pentru aceasta. Totul este făcut pentru a au devenit din ce în ce mai transparente și mai eficiente. Așadar, mai este de lucru cu privire la legea care interzice stocarea datelor cu caracter personal în străinătate. Nu poți conduce o afacere într-un colț. El se uită deja după colț. Întreprinderile mici și mijlocii sunt în special afectate. Câți antreprenori individuali au închis deja anul trecut? Fie vor crește cotele de impozitare, fie vor fi introduse o altă interdicție. Nu te vei mulțumi doar cu interdicții. Trebuie să oferim soluții inovatoare. Astăzi, datele sunt protejate cu succes folosind criptarea datelor. Ce se va întâmpla dacă un serviciu este piratat și toate datele se scurg într-o direcție necunoscută? Cu siguranță merită să ne gândim la asta. Deputații au de lucru...
După cum știți, în Rusia au fost câțiva ani Legea federală Nr. 152 „Cu privire la datele personale”.
De la prima sa publicare în 2006, Legea a suferit modificări semnificative, iar datele în sine trebuie acum să fie stocate pe teritoriul Federației Ruse și protejate. În practică, acest lucru duce la o responsabilitate sporită a afacerii în ceea ce privește prelucrarea datelor. Cât de dificil este să respectați cerințele Legii „Cu privire la datele cu caracter personal” și dacă acest lucru are un efect real va fi discutat în acest articol.
Orice entitate juridică organizată în domeniul juridic rus este supusă prezentului regulament. Proiectul nostru RUVDS Legea afectează atât prelucrarea datelor cu caracter personal ale clienților, cât și protecția informațiilor cu care lucrează clienții pe echipamentele noastre.
Există mai multe obiecte de protecție.
Primul tip de date sunt datele clientului în sine. De exemplu, acesta este numele lui, data și locul nașterii, detaliile pașaportului, pt entitati legale- informatii despre companie. Când începe să lucreze cu serviciul, clientul este de acord să ne transfere aceste informații pentru prelucrare, iar noi ne angajăm să lucrăm cu ele în conformitate cu Legea. Acesta este un obiect de protecție mai mult sau mai puțin ușor de înțeles și simplu.
Al doilea tip de date sunt informațiile care sunt stocate direct de către clienți pe VDS / Server VPS. Acesta este tocmai obiectul de protecție mai semnificativ și mai important. Exemple de astfel de date ar putea fi o parolă de conectare pentru o rețea socială, e-mail, contabilitate personală pentru persoane fizice. Și pentru persoanele juridice gama de astfel de informații este și mai largă - asta este baze de clienți date, contabilitate și software specializat.
Din punctul de vedere al Legii, persoanele juridice, atunci când transferă date pentru stocare sau prelucrare, poartă întreaga responsabilitate pentru protecția acestor informații. De aceea, băncile, brokerii și companiile mari verifică un potențial partener pentru organizarea stocării și procesării datelor. Totul este verificat. Trebuie menționat că unii clienți au venit la centrul nostru de date pentru a se asigura că mediile fizice și canalele de comunicare sunt protejate de încredere și că personalul este cu adevărat competent.
Cum poți organiza protecția datelor?
Mânca diverse surse amenințări la adresa informațiilor personale, de exemplu, utilizarea datelor clienților în scopuri personale de către un angajat al companiei, distrugerea datelor clienților indiferent dacă este vorba despre o persoană fizică sau juridică, furtul de date prin piratarea serverului.
Acestea sunt probabil cele mai cunoscute și înțelese amenințări cu care se confruntă fiecare operator de telecomunicații. Lista în sine, desigur, este mult mai largă.
Normal că există căi diferiteși nivelurile de protecție a datelor.
Vorbind în sensul Legii 152, etapele protecției informațiilor pot fi enumerate ca: identificarea amenințărilor, elaborarea măsurilor de securitate și înregistrarea mediilor de stocare, aplicarea măsurilor și evaluarea eficacității acestora și monitorizarea întregului sistem de securitate. Compania noastră face totul în mod constant acțiunile necesare Pentru protectie maxima date și primul loc unde începe munca sunt oamenii. Fiecare angajat al companiei noastre, la aderare, face cunoștință cu o listă de informații confidențiale, care, în special, include date personale ale clienților. El semnează sub responsabilitatea sa că va lucra cu aceste date în cadrul legislației Federației Ruse.
Cu toate acestea, bazându-se doar pe conștientizarea în această problemă este interzis. De aceea, avem un sistem clar de delimitare si control al drepturilor de acces, dezvoltat de specialisti atestati in domeniul securitatii informatiilor. Pe scurt, accesul la datele clienților (primul tip, despre care am vorbit mai devreme) este acordat doar acelor angajați care au calificările corespunzătoare, certificate pentru a lucra cu informații confidențiale, și strict conform reglementărilor. În același timp, accesul este întotdeauna personalizat, cu înregistrarea tuturor acțiunilor angajaților. Prin urmare, dacă un specialist a modificat ceva, a descărcat, trimis, salvat date despre client, îl vom vedea mereu și vom putea stabili clar cine a făcut-o.
Angajații pot obține acces la datele clientului (al doilea tip de date), pe care le stochează pe server, doar dacă există o solicitare din partea clientului, de exemplu, de a oferi asistență în configurarea sau furnizarea oricăror servicii specifice suplimentare. Totodată, angajatul care desfășoară orice activitate pe serverul clientului este și certificat să lucreze cu informații confidențiale, iar calculatoarele de pe care, dacă este cazul, sunt accesate datele clientului, sunt dotate cu software specializat pentru prevenirea accesului neautorizat și sunt certificat de Serviciul Federal de Control Tehnic și Export (FSTEK).
Această organizare a muncii, în esență, garantează protecția datelor clienților împotriva potențialelor acțiuni rău intenționate ale angajaților și limitează potențiala scurgere de informații în zona mașinilor protejate și inaccesibile din exterior. Apropo, camera noastră de control este echipată cu supraveghere video non-stop pentru a preveni scurgerile folosind echipamentele disponibile de înregistrare foto.
Cu toate acestea, rămâne o întrebare pe care oamenii se străduiesc să o rezolve administratorii de sistemși angajații de securitate ai multor companii - hacking sisteme de informare. Trebuie să spun că atunci când lucrezi cu un server virtual, asigurarea protecției împotriva hackingului este mult mai simplă și mai transparentă. Când trebuie să asigurați securitatea transferului de date între calculatoare fizice angajații, fiecare dintre ei având în mod individual informații confidențiale, trebuie să controlați fiecare PC și activitățile de pe acesta în fiecare moment. Și dacă aveți toate datele pe un singur server virtual, atunci trebuie doar să controlați accesul la el. Mai mult, trebuie să țineți cont de faptul că centrul de date în sine, ca unitate de afaceri separată, a lucrat deja la protejarea datelor clienților și la protejarea împotriva atacurilor DDOS. Furnizorul de servicii de găzduire a lucrat, de asemenea, separat la aceleași sarcini. De exemplu, centrul nostru de date are monitorizarea atât a serverelor în sine, cât și a unui analizor de trafic care vă permite să blocați rapid atacurile DDOS. Adică, clientul primește un nivel serios de protecție „din cutie” chiar și la începutul relației.
Dacă aveți nevoie de mai multe, puteți comanda un serviciu de protecție DDOS. Cu acest serviciu, serverul primește o adresă IP de la o subrețea dedicată, unde fluxul de date deja filtrat este trimis la adresă. Acest lucru este foarte relevant pentru site-urile populare, băncile online și resursele de jocuri.
Totodată, la organizarea accesului în masă la server, fiecare acces este personalizat și înregistrat, atât de VPS-ul propriu-zis, cât și de instrumentele de control ale operatorului de telecomunicații, astfel încât să puteți identifica și opri rapid și ușor orice activitate ilegală cu date.
Aceasta este motivația pentru atât de multe companii de traduceri lucru in echipa cu date variind de la dezvoltarea generală până la stocarea situațiilor financiare pe termen lung și activitatea băncilor online, pe servere virtuale. Este atât mai ieftin, cât și mai eficient.
Printre clienții noștri, de exemplu, există bănci și brokerii. Există anumite particularități în lucrul cu aceștia, dar din punct de vedere al securității datelor, de fapt, lucrul cu astfel de clienți nu este mai dificil sau mai ușor decât cu oricare alții. Standardele de securitate și nivelurile de servicii sunt la fel de ridicate atât pentru un client de retail mic, cât și pentru unul juridic mare. De ce este asta? Pentru că licența poate fi revocată pentru o încălcare împotriva oricărui client. Și cum își poate încredința o entitate juridică datele unui operator care nu poate proteja datele unui client de retail? Cu toate acestea, merită să spunem că la cererea clienților mari putem instala fonduri suplimentare monitorizare, protecție de care, în opinia clientului, are nevoie. Aici ne întâlnim mereu la jumătatea drumului. Desigur, atunci când lucrezi cu clienți mari, nimeni nu își crede cuvantul. Prin urmare, competența și nivelul dumneavoastră trebuie să fie confirmate de licențe.
Orice operator de telecomunicații care își oferă serviciile prin centrul său de comunicații (centrul de date) trebuie să aibă licențe Roskomnadzor pentru activitățile relevante. De exemplu, compania noastră este autorizată să furnizeze servicii de comunicații telematice și servicii de transmisie de date (fără informații despre voce). Separat, pentru a lucra cu informații confidențiale și secrete de stat, trebuie să obțineți o licență FSTEC. O licență poate fi obținută numai dacă există proceduri interne pentru protecția informațiilor, software special certificat și echipamente pentru controlul accesului la date, precum și protectie fizica purtători de informații din orice metodă de furt sau influență. Aceasta este deja o garanție serioasă atunci când lucrați cu persoane juridice. RUVDS este în proces de obținere a acestei licențe.
În practică, protecția reală a datelor începe cu mai multe cordoane de securitate ale sediului cu supraveghere video, acces personalizat la sediu cu echipament, iar echipamentul în sine și camera operatorului sunt, de asemenea, sub supraveghere video non-stop. Toate comunicațiile trec prin comutatoare securizate certificate, iar prelucrarea datelor personale ale clienților și stocarea acestora are loc pe o mașină dedicată sub controlul unui software specializat care garantează protecția împotriva scurgerilor.
Deoarece încăperea în sine are pereți goali de cel puțin 1 metru grosime, acest lucru garantează împotriva interceptărilor telefonice. Adesea, astfel de condiții de protecție nu pot fi create în spațiile de birouri, ca să nu mai vorbim de componenta tehnologică în menținerea unei temperaturi constante, comunicare și alimentare neîntreruptă și stingerea incendiilor cu gaz. În esență, acesta este un depozit de date similar cu un seif bancar securizat.
De ce astfel de măsuri?
Se știe de mult în întreaga lume că informația este un fel de ulei. Poate fi lipsit de valoare, la fel cum uleiul în sine a fost cândva lipsit de valoare. Dar dacă este folosit corect, poate deveni o mină de aur. Și la noi și-au dat seama de acest lucru și au început să protejeze această resursă. Cea mai simplă utilizare a acestor informații este într-o bază de date cu potențiali clienți. Acesta este probabil cel mai inofensiv, ca să spunem așa. Gama de aplicații este cea mai extinsă, inclusiv colectarea de date compromițătoare și piratarea conturilor bancare folosind informațiile primite. Prin urmare, este nevoie de o protecție serioasă și constantă.
De asemenea, nu uitați de toleranța la erori și de stocarea copiilor de rezervă ale datelor. Deși însuși faptul eșecului întregului server este extrem de puțin probabil, aproape imposibil, ar trebui să existe întotdeauna un sistem de oglindire a datelor, iar pentru clienții serioși, la cerere, de regulă, se alocă dublu volum de discuri pentru backup constant. Acest lucru este valabil mai ales pentru bănci, în special pentru cele care au implementat Internet banking pe un server, deoarece acestea trebuie să „ ridice” cât mai repede posibil. copie de rezervă resursă. Acest sistem ne permite să facem acest lucru și îl avem și noi.
O altă nuanță este scalarea infrastructurii. În cazul în care întâlniți problema asemanatoare Cu hardware-ul dvs., aveți două opțiuni - reduceți sarcina, care cel mai probabil nu vă va potrivi, sau creșteți puterea serverului prin achiziționarea de componente suplimentare, dacă arhitectura permite, dar cel mai probabil va trebui să cumpărați pur și simplu un server mai puternic.
Având în vedere situația economică actuală, sarcina este uneori copleșitoare pentru întreprinderile mici și pur și simplu neprofitabilă. Este foarte greu de evaluat impactul echipamentelor noi, iar banii trebuie plătiți imediat pentru el.
Dacă utilizați
- Tutorial
O, cât de multe s-au spus deja despre datele personale! Antreprenorii de pe internet au fost deosebit de încântați de povestea localizării. Și încă nu este complet clar cum și cui se aplică această lege federală 242. Prin urmare, eu și colegii mei de la B152 am decis să privim totul folosind exemple și să oferim opțiuni de stocare a datelor potrivite pentru companii complet diferite.
Să reamintim că a intrat în vigoare la 1 septembrie 2015, deși a fost adoptat în vara anului 2014. Se vorbește mult despre el, dar practica judiciara Nu încă. Prin urmare, vom apela la experiența colegilor străini.
Esența legii este că de acum înainte persoanelor juridice care lucrează cu datele personale ale cetățenilor Federației Ruse le este interzis să colecteze și să stocheze aceste date în străinătate - sunt obligate să localizeze baze de date pe teritoriul Rusiei. Această lege aduce modificări importante Legii federale nr. 152 „Cu privire la datele cu caracter personal”, care a intrat în vigoare în 2007.
În ceea ce privește cerințele stricte pentru localizarea datelor cu caracter personal, suntem departe de a fi singuri. În alte țări, legi similare sunt în vigoare de mulți ani.
Vietnam
În 2013, în Vietnam, proprietarii mai multor tipuri specifice de resurse (știri, retele socialeși jocuri online) au fost necesare pentru a localiza copiile datelor. De ce s-a făcut acest lucru nu este greu de ghicit. Desigur, să le furnizeze autorităților competente și să faciliteze luarea în considerare a reclamațiilor utilizatorilor. interzicerea procesare paralelă Autoritățile vietnameze nu au introdus date cu caracter personal în străinătate.
China
Chinezii au adoptat o abordare mai severă a problemei transferului transfrontalier de date, deși în raport cu un singur tip Informații personale. Cu doi ani înaintea vietnamezilor, Banca Populară Chineză a publicat o Notificare către instituțiile bancare privind protecția informațiilor financiare personale. Acest document a interzis instituțiilor de credit să stocheze, să prelucreze sau să analizeze informațiile financiare personale primite pe plan intern în străinătate.
India
Tot în 2011, Ministerul Comunicaţiilor şi tehnologia Informatiei din India a aprobat Regulile privind procedurile și practicile. Un titlu atât de vag al documentului presupune obiective foarte specifice, și anume, asigurarea securității unor categorii speciale de date cu caracter personal. Regulile definesc aceste categorii foarte speciale, lista include parole, informații financiare (inclusiv informații despre contul bancar sau Card de credit), informații despre sănătate, orientare sexuală și date biometrice.
Pentru aceste categorii de date cu caracter personal a fost stabilită o cerință ca transferul acestora către orice altă companie sau unui individ, situată în India sau într-un alt stat, este posibilă numai dacă acesta din urmă asigură nivelul adecvat de protecție. Și toate acestea sunt posibile numai în cadrul îndeplinirii unui acord încheiat cu persoana vizată sau în cazul obținerii consimțământului pentru transferul de la acesta.
Malaezia
Profunzimea finală a imersiunii noastre în istorie de astăzi va fi 2010, când Legea Malaeziei privind protecția datelor cu caracter personal a introdus o interdicție privind transferul de date cu caracter personal în afara țării. Transferul transfrontalier de date cu caracter personal este posibil numai dacă sunt îndeplinite anumite condiții și într-o serie de cazuri excepționale. De exemplu: consimțământul subiectului PD, necesitatea de a executa un acord între subiect și operator, necesitatea executării unui contract între operator și un terț care a fost încheiat la cererea sau în interesul subiectului PD.
Cu toate acestea, astfel de inovații privesc nu numai țările asiatice. În Australia a fost introdusă o interdicție privind transferul de date cu caracter personal în străinătate, deși numai în legătură cu datele de sănătate.
Dar pe fundalul Legii federale-242, toate legile și instrucțiunile menționate mai sus sunt basme pentru copii. Legea noastră este mai severă și mai specifică.
Cea mai mare parte a controverselor apare în jurul faptului că această lege interzice stocarea datelor personale ale cetățenilor ruși din străinătate, dar stocarea paralelă, la prima vedere, este imposibil de urmărit. Mai mult, legea nu conține instrumente juridice care să rezolve această problemă.
Ministerul Telecomunicațiilor și Comunicațiilor de Masă a clarificat problema transmisiei transfrontaliere. Conform explicațiilor lor, datele personale ale cetățenilor introduse inițial în bazele de date de pe teritoriul Rusiei pot fi transferate în străinătate, în conformitate cu prevederile privind transferul transfrontalier de date. Departamentul a confirmat și posibilitatea de a furniza acces de la distanță către baze de date rusești de pe teritoriul altor state.
Să trecem la practică.
Nu există încă hotărâri judecătorești, a trecut prea puțin timp. Deocamdată, putem spune doar că schimbările au afectat toate companiile care operează în Federația Rusă. Ce ar trebui să facă și ce ar trebui să facă? Cum să-ți organizezi munca acum?În primul rând, nu trebuie să intrați în panică. Colegii noștri de la B-152 sfătuiesc ce să facă în continuare.
Deci, ce să faci dacă:
1. Sunteți o companie străină care operează în Federația Rusă, inclusiv printr-o entitate juridică sau sucursală separată.Opțiunea 1. Transferați datele în străinătate în formă anonimizată.
Aceasta înseamnă că datele personale vor fi localizate pe serverele din Rusia, dar fiecărui individ i se va atribui un ID, care este transferat în străinătate. În acest fel, datele personale sunt separate de subiect și nu pot fi corelate cu acestea persoană anume. Microsoft oferă această abordare pentru lucrul cu serviciile sale și Microsoft Azure.
Opțiunea 2. Transfer transfrontalier de date cu stocarea bazei de date curente primare pe teritoriul Rusiei.
După cum am spus deja, legea nu interzice prelucrarea datelor în străinătate, ci numai dacă baza de date din Federația Rusă este cea mai completă și mai actualizată. Adică, dacă colectarea și stocarea are loc inițial într-o bază de date de pe teritoriul Rusiei, atunci datele personale pot fi transferate în străinătate și utilizate acolo. Pe acest moment Aceasta este una dintre cele mai populare moduri de a localiza datele personale.
Și cea mai simplă opțiune pentru implementarea sa este utilizarea unui server tampon în Rusia. În acest caz, datele merg mai întâi la acest server și abia apoi pleacă în străinătate. Poziția autorităților de reglementare permite acest lucru, deoarece principala cerință este îndeplinită - baza de date primară este situată în Rusia.
Să vă reamintim că, din punctul de vedere al Ministerului Telecomunicațiilor și Comunicațiilor de Masă și al Roskomnadzor, o bază de date include baze de date pe hârtie. De exemplu, acesta ar putea fi un dulap cu dosare personale ale angajaților sub forma unui dulap sau un tabel în Excel.
2. Sunteți o companie rusă
Cel mai mod evident– transfera bazele de date cu caracter personal, prelucrarea, colectarea și stocarea acestora pe teritoriul Federației Ruse, folosind centre de date rusești.
Cu toate acestea, opțiunile cu transfer transfrontalier și anonimizare sunt, de asemenea, potrivite pentru dvs.
Nu există nicio răspundere separată pentru încălcarea standardelor de localizare. Aceasta înseamnă că art. 13.11 Codul contravențiilor administrative al Federației Ruse, stabilind sancțiuni pentru încălcare ordinea stabilită colectarea, stocarea, utilizarea sau distribuirea datelor cu caracter personal. Amenda pentru aceasta este foarte mică pentru persoanele juridice, nu mai mult de 10 mii de ruble.
Dar aceasta nu este singura măsură a influenței. O alternativă este posibilitatea de a adăuga nume de domenii și adrese de rețea la registrul încălcatorilor drepturilor persoanelor vizate de date cu caracter personal. Ceea ce este poate mai semnificativ decât o amendă.
Deci, ce trebuie făcut cu urgența „ieri” pentru a înțelege care dintre acțiunile descrise trebuie întreprinse:
Surse:
1. Savelyev A. I. Legislația privind localizarea datelor și impactul acesteia asupra pieței comerțul electronic in Rusia. // Legea, 2014, Nr. 9.
2. Tehnologia informației (practici și proceduri de securitate rezonabile și date sau informații personale sensibile) Reguli, 2011. Ministerul indian al Comunicațiilor și Tehnologiei Informației.
3. Legea privind protecția datelor cu caracter personal, Legea nr. 709 din 2010, Monitorul Oficial al Malaeziei, 10 iunie 2010, P.U. (B)464.
