В рубрику "Центры обработки данных (ЦОД)" | К списку рубрик | К списку авторов | К списку публикаций
Большинство ЦОД в РФ работают не на основании договора об обработке ПДн, а на основании обычного договора оказания услуг, а следовательно, вины перед субъектом персональных данных (СПДн) нет, то есть оператор не возмещал чужой вред. Второй вариант, почему оператор не сможет взыскать с ЦОД понесенные им расходы на оплату административного штрафа, – клиенты, использующие услуги ЦОД, не заявляют своим пользователям и не получают от них согласия на обработку ПДн третьим лицом. По этим двум причинам взыскание выплаченного административного штрафа не представляется возможным (ни в порядке регресса, ни в результате ненадлежащего выполнения ЦОД условий договора).
ЦОД в России – это сервер, который обеспечивает или организует и обеспечивает информационные системы (ИС), в том числе информационные системы ПДн2.
На текущий момент рынок предлагает несколько вариантов: локальные (корпоративные) и коммерческие ЦОД.
Не увлекаясь обсуждением технических возможностей кор поративных ЦОД (понятно, что вся ответственность за обработку ПДн в таких ЦОД лежит на его владельце), поговорим о тех, кто предоставляет или использует услуги IT-аутсорсинга (коммерческих ЦОД) и степени ответственности лиц, участвующих в таких отношениях.
Сначала давайте разграничим те виды услуг, которые на текущий момент предоставляет рынок коммерческих ЦОД:
Все ЦОД предлагают своим клиентам заключение договора оказания услуг со стандартным перечнем: сбор и хранение любой информации, определенная степень отказоустойчивости, показатели энергопотребления и регулирования температурного режима, обеспечение бесперебойного соединения, степень и уровень резервирования, провайдерозависимость или провайдеронезависимость, возможность организации выделенных зон и обеспечение физической и
IT-безопасности5 от общих
внешних угроз. Однако такой договор не позволит привлечь ЦОД к ответственности перед оператором в случае утечки ПДн, поскольку в его условиях прямо не прописано, что ЦОД будет осуществлять обработку и хранение ПДн, а также не устанавливается порядок осуществления таких действий. 152-ФЗ говорит об ином договоре – договоре об обработке и хранении ПДн. Такой договор может быть заключен в виде договора оказания услуг или договора поручения.
Лицо, осуществляющее обработку ПДн по поручению оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные 152-ФЗ. В поручении оператора должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со ст. 19 152-ФЗ (в ней приведены меры по обеспечению безопасности ПДн при их обработке).
Согласно ч. 4 и 5 ст. 6 закона лицо, осуществляющее обработку ПДн по поручению оператора, не обязано получать согласие субъекта ПДн на обработку его ПДн.Оператор, работающий с персональными данными, и ЦОД в договоре должны определить адекватную степень защиты – смоделировать возможные риски и обеспечить их минимизацию и/или устранение (если это возможно). В данном случае обе стороны несут равную ответственность за моделирование и разработку адекватной степени защиты6. Это выражается в технологической степени защиты (кодирование протоколов обмена, криптозащита и пр.) и юридической (так называемой бумажной).
Технологическая степень защиты частично (но не исчерпывающе) закреплена в законодательных и ненормативных актах уполномоченных органов. В силу ст. 19 закона оператор при обработке ПДн обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.
Согласно пп. 7 п. 3.1 Методических рекомендаций по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации, утвержденных ФСБ РФ 21 февраля 2008 г. № 149/54-144, для обеспечения безопасности ПДн при их обработке в ИС должны использоваться сертифицированные ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства.
В п. 5 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного Постановлением Правительства РФ от 17 ноября 2007 г. № 781, предусмотрено, что средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
В соответствии с п. 18 указанного положения результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности ПДн при их обработке в ИС, проверяются в ходе экспертизы, осуществляемой ФСТЭК и ФСБ в пределах их полномочий.
К средствам защиты информации, предназначенным для обеспечения безопасности ПДн при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с ФСТЭК и ФСБ в пределах их полномочий. Изменение условий применения средств защиты информации, предусмотренных указанными правилами, согласовывается с этими федеральными органами исполнительной власти в пределах их полномочий. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров, перечень которых определяется ФСТЭК и ФСБ в пределах их полномочий. Особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию ПДн при их обработке в ИС устанавливаются ФСБ (пп. 19–21 положения).
Согласно п. 2.1 Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности ПДн при их обработке в ИСПДн, утвержденных ФСБ РФ 21 февраля 2008 г. № 149/6/6-622, безопасность обработки ПДн с использованием криптосредств организуют и обеспечивают операторы, а также лица, которым на основании договора оператор поручает обработку персональных данных, и/или лица, которым на основании договора оператор поручает оказание услуг по организации и обеспечению безопасности обработки в ИСПДн с использованием криптосредств.
Роскомнадзор называет следующие нарушения типовыми:
Все указанные типовые нарушения могут быть неве-лированы при правильном моделировании рисков и распределении между оператором и ЦОД границ ответственности. При этом такие границы ответственности между указанными субъектами могут быть осуществлены исключительно с использованием механизмов и институтов гражданского права, а ЦОД при работе с оператором по договору об обработке и хранении ПДн может быть привлечен к ответственности исключительно в рамках гражданско-правовых отношений и может нести исключительно гражданско-правовую ответственность, характерную для хозяйственных договоров.
Согласно п. 46 Положения ПКЗ-2005 средства криптографической защиты информации (СКЗИ) эксплуатируются в соответствии с правилами пользования ими. Все изменения условий использования СКЗИ, указанных в правилах пользования ими, должны согласовываться с ФСБ России и специализированной организацией, проводившей тематические исследования СКЗИ.
Имеются другие нормативные документы, в которых содержатся требования к защите персональных данных при их автоматизированной обработке в ИС и иные требования, связанные с обработкой и хранением персональных данных, режимом работы с персональными данными в организации оператора, например: Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное приказом ФСТЭК России от 5.02.2010 № 58; Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная ФСТЭК 14.02.2008; базовая модель угроз безопасности ПДн при их обработке в ИСПДн, утвержденная ФСТЭК 15.02.2008.
Кроме того, при разработке адекватной степени защиты в договоре на обработку и хранение ПДн стороны должны указать цели и порядок обработки, хранения и уничтожения ПДн. ЦОД должен обеспечить те же принципы, цели и порядок обработки ПДн, что и оператор, а также тот же порядок допуска и работы с ПДн, что и сотрудники и работники оператора. Если у оператора это отражается в локальных актах, то при заключении с ЦОД эти обязанности и порядок должны быть зафиксированы в тексте договора в разделе, посвященном обязанностям ЦОД.
Кроме того, оператор при разработке документов для работы с субъектами ПДн (вне зависимости от того, каким способом он получает ПДн: посредством интернет-ресурсов7 или в режиме офлайн) должен получить согласие в письменной форме субъекта персональных данных на обработку его ПДн, которое должно включать в себя, в частности, перечень действий с ПДн, на совершение которых дается согласие, а также согласие на их передачу третьему лицу с целью обработки, хранения и уничтожения и общее описание используемых оператором способов их обработки8.
Отражение в договоре с ЦОД на обработку, хранение и уничтожение ПДн указанных положений позволит привлечь ЦОД к ответственности за несоблюдение условий договора и взыскать с него убытки, причиненные оператору ненадлежащим исполнением договора. Для этого оператору будет необходимо доказать причинно-следственную связь между утечкой ПДн по вине ЦОД, повлекшей негативные последствия для оператора, выразившиеся в привлечении последнего к ответственности. То есть только при включении указанных положений в договор с ЦОД возможна реализация положения 152-ФЗ об ответственности лица, осуществляющего обработку ПДн по поручению оператора9.
Подводя итог всему вышеописанному, можно сделать вывод о том, что для взыскания с ЦОД каких-либо убытков, возникших в результате ненадлежащего исполнения последним обязательств по договору, оператору, осуществляющему обработку ПДн, необходимо:
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2013