Алексей Майоров, ведущий аналитик по защите информации Bell Integrator
1 сентября 2015 участники российской ИТ-отрасли ожидают вступления в силу обновленного закона «О запрете хранения персональных данных россиян за пределами РФ».
Закон обязывает операторов персональных данных при сборе информации обеспечить их запись, систематизацию, накопление, хранение, уточнение, извлечение с использованием баз данных, находящихся на территории РФ. Закон распространяется на российских операторов персональных данных, а также в отношении иностранных юридических лиц, имеющих различные представительства в РФ.
Казалось бы, благое с точки зрения национальной безопасности решение законодателей, может обернуться серьезными последствиями для российской ИТ-отрасли. Операторам персональных данных, пользующимся услугами зарубежных дата-центров по размещению персональных данных, необходимо будет выполнить их перенос на территорию РФ, что подразумевает несколько вариантов решения данной задачи.
Первый — перенести персональные данные в собственную корпоративную ИТ-инфраструктуру. При таком решении оператору потребуется выполнить модернизацию своих вычислительных ресурсов – создать корпоративный ЦОД. Также будет необходимо нанять компетентных специалистов, которые бы могли обеспечить работу такого корпоративного ЦОД-а. Кроме того, потребуется модернизировать существующую систему защиты персональных данных в части обеспечения их безопасности при обработке в ЦОДе.
Второй способ — перенести персональные данные в коммерческий ЦОД, расположенный в России. В этом случае на российском рынке необходимо выбрать коммерческий ЦОД, который сможет обеспечить необходимый уровень надежности, а также требования по информационной безопасности. В том числе, будет необходимо организовать безопасный канал связи с коммерческим ЦОДом защитив его от несанкционированного доступа, либо с помощью криптографической защиты и в соответствии с законодательством РФ средств.
В крупных корпорациях, таких как ВымпелКом, МТC, МегаФон, за обеспечением информационной безопасности строжайшим образом следят. И там уже существуют свои ЦОДы. Также многие крупные компании из таких отраслей, как например, банки и ТЭК наименее заинтересованы в услугах сторонних ЦОДов, поскольку в большинстве случаев уже инвестировали в строительство собственных. Многие операторы персональных данных с опаской относятся к организации их обработки с использованием коммерческих ЦОДов, еще и потому что российское законодательство в сфере персональных данных достаточно слабо регулирует эти процессы.
Вместе с тем в экспертной среде существует мнение, что коммерческих вычислительных мощностей для использования крупным бизнесом у нас в России недостаточно, а увеличения числа ЦОДов в ближайшие три года в России тоже ожидать не стоит. Для такого прогноза есть определенные основания: неблагоприятный инвестиционный климат, высокая стоимость капитала, экономическая нестабильность, зависимость от комплектующих зарубежных производителей. Все эти сопутствующие факторы могут создать с трудом преодолеваемый барьер для увеличения объема вычислительных ресурсов в России на базе отечественных коммерческих ЦОДов. Соответственно, их аренда для корпоративного сектора будет только дорожать, что еще сильнее усугубит последствия экономического кризиса для многих отраслей, зависимых от инфокоммуникационных технологий.
Прогнозируемой нехватке ЦОДов может также сопутствовать еще одна проблема, связанная с использованием облаков. В отличие от России, на западе развитие облаков на базе коммерческих ЦОДов привело к тому, что многие компании в целях экономии идут по пути использования облачных сервисов. За рубежом уже распространена практика использования аутсорсеров для обработки профессиональной информации, бухгалтерского учета и выполнения других специфических задач. Уже существует класс компаний, которые специализируются на предоставлении через облака услуг по ведению бухгалтерии, кадрового учета, ИТ-обеспечения. Для бизнеса эти услуги выходят дешевле, надежнее, безопаснее: отсутствуют капитальные затраты, используются сплоченные команды профессиональных аутсорсеров. Информационная безопасность обеспечивается исходя из требований к защите конкретных бизнес-процессов, а не определяется каким-то единым регламентом, принятым на законодательном уровне.
В частности, активное использование облаков в ЕС и США во многом оказывается возможным благодаря более тонкому подходу к регулированию стандартов информационной безопасности. Там за основу принят процессный подход, который позволяет адекватно реагировать на угрозы безопасности в зависимости от оценки рисков для конкретных бизнес-процессов, что не создает противоречий между реальной потребностью организации в определенном уровне информационной защиты и требованиями законодательства. Так, например, организовано использование риск-ориентированного подхода, реализованного в различных зарубежных стандартах, среди которых наиболее популярна серия стандартов BSI – ISO 270xx.
Однако в России практика использования облаков отечественными компаниями несколько иная. Российский бизнес при решении вопросов обеспечения информационной безопасности сталкивается с тем, что у нас до сих пор в законодательном творчестве превалирует предметный подход, существенно менее прогрессивный, чем реализованный западными законодателями процессный. На практике это зачастую ставит под вопрос целесообразность ряда предпринятых для обеспечения безопасности мер с точки зрения бизнес-задач, но зато отвечает требованиям российского законодательства.
Вряд ли следует ожидать, что вопрос изменения базовых подходов на законодательном уровне будет решен на скорую руку. Поэтому компаниям, которые все-таки уже создают или будут создавать свои собственные ЦОДы, так или иначе придется нести дополнительные издержки с учетом российских регламентов, основанных на менее прогрессивных, чем в западных странах, принципах.
Экспертам, обеспечивающим должную защиту ЦОДов, как и прежде, придется работать сразу в двух плоскостях – создавая и затем контролируя процессы защиты информации как в соответствии потребностями корпоративных клиентов, так и с точки зрения обновленного российского законодательства. Зачастую таких профессионалов в штате большинства организаций корпоративного сектора нет, и бизнес столкнется нехваткой компетентных специалистов, которые бы могли обеспечить работу корпоративных ЦОДов с учетом и уровня надежности, и обновленных требований по информационной безопасности.
В случае если такой прогноз сбудется, мы ожидаем, что рост числа задач по интеграции корпоративных ЦОДов в ИТ-инфраструктуры коммерческих организаций, а также увеличение спроса на консалтинговые услуги в сфере информационной безопасности повысят востребованность системных интеграторов. Увеличится спрос на весь спектр работ, от оценки соответствия информационных систем персональных данных требованиям Федерального законодательства РФ, до разработки бизнес-процессов управления информационной безопасностью. Естественно, что для выполнения таких задач подрядчик должен будет обладать достаточным опытом обеспечения информационной безопасности автоматизированных систем, а также персональных данных.
