ДАРЬЯ ЛЮТЦАУ, МАРИЯ ПЕТРОВА
© ComNews
27.10.2011


27.10

Роскомнадзор рассчитывает до конца года выработать критерии для работы с облачными технологиями в сфере защиты персональных данных, cообщил замминистра связи и массовых коммуникаций Илья Массух на II Международной конференции по защите персональных данных, прошедшей 26 октября в Москве. Ведомству, подконтрольному министерству, необходимо сформулировать требования к облачным платформам по защите персональных данных при работе с госорганами. Как сообщил журналистам Илья Массух, итогом должна стать либо уточняющая строка в 152-м Федеральном законе (о защите персональных данных) "О статусе облачных платформ", либо аналогичный подзаконный акт.

"Мы не можем себе позволить работать над этими проблемами через год или два, потому что с учетом начала предоставления государственных услуг в электронном виде, которые в любом случае скоро перейдут в облака, время бросает нам вызов. Поэтому работа ведется, и мы планируем к концу года, как и сказал Массух, предложить свои варианты", - рассказал ComNews заместитель руководителя Роскомнадзора Роман Шередин.

В случае если оператор облачных услуг хочет работать с госорганами, то должен предоставить доказательства защищенности его серверов как от виртуальной, так и от физической угрозы. "Помимо этого сервер, предоставляющий услугу облачных вычислений, должен находиться в России. В какой-то степени такие условия осложняют жизнь хостерам, потому что придется взаимодействовать с такими службами, как ФТЭК и ФСБ, но надо с чего-то начинать, - отметил Илья Массух. - Это необходимо сделать, чтобы облачные платформы в будущем имели возможность нормальной работы не только с госорганами, но и с другими структурами".

Как пояснил Роман Шередин, Роскомнадзор также предлагает ужесточить наказание за разглашение персональных данных, чтобы штрафы соотносились с затратами операторов персональных данных на организацию эффективной защиты.

"Защита персональных данных в эпоху технологий web 2.0 и тотального использования сети Интернет как в работе, так и в повседневной жизни - это первоочередная задача для любой компании. Безусловно, требования по безопасности к различным структурам и организациям должны быть различными. Облачные технологии активно развиваются несколько последних лет, и вопрос безопасности при работе в облаках поднимается все чаще. Разработка специальных требований, обязательств и нормативных актов для облачных технологий только положительно скажется на развитии рынка, - поделился с ComNews руководитель отдела маркетинга департамента облачных технологий компании Softline Андрей Гарканов. - Сейчас необходимы общие регулирующие нормативы, которые будут признаны и поддержаны всеми игроками рынка. Это даст заказчику дополнительные гарантии и поможет лучше ориентироваться в услугах. Влияние государственных органов ускорит этот процесс. В основе разработки подобных требований должен лежать, в первую очередь, опыт ключевых игроков и вендоров облачного рынка. Ну и, конечно, нужно учитывать интересы тех, чьи данные необходимо защищать".

"Если говорить об обработке и хранении данных, а также о сетевой безопасности, то облачные решения выступают на равных с традиционными ИT. Если защиту данных в соответствии с российскими законами можно обеспечить в одном из сегментов, то это возможно и в другом, - отметила в беседе с ComNews директор по развитию бизнеса Orange Business Services в России и СНГ Юлия Майорова. - Необходимые административные меры также могут быть реализованы как в процессе самостоятельного обслуживания частного облака, так и в качестве услуг от сервис-провайдера. Если говорить о частных облаках, то в них могут быть реализованы практически любые требования заказчика, в том числе и требования по  информационной безопасности".

По словам Юлии Майоровой, на Западе хорошо прижилась модель тесного взаимодействия регуляторов и отраслевых и профессиональных организаций. Рекомендации и лучшие практики в сфере безопасности облаков на данный момент разрабатывает ассоциация Cloud Security Alliance (CSA). Orange является ее активным членом. Рекомендации ассоциации, учитываются при разработке регулирующих требований соответствующими  комитетами правительств Великобритании и Евросоюза.

"С учетом того что отечественные законы по информационным системам первоначальной обработки данных (ИСПДН) учитывали европейскую практику и Европейскую конвенцию о защите физических лиц при автоматизированной обработке персональных данных, мы склонны считать, что в области безопасности облаков наши регуляторы будут действовать в аналогичном направлении, адаптируя существующие наработки к российской действительности", - подчеркнула Юлия Майрова.

В Orange полагают, что ключевым отличием от традиционных физических инфраструктур является использование виртуализации. "Например, у применяемого в решениях Orange гипервизора виртуализации VMware vSphere есть сертификат ФСТЭК. Кроме того, на рынке существует ряд специализированных продуктов для обеспечения соответствия виртуализованной среды федеральному закону №152. Один из наиболее активных участников рынка подобных решений - компания "Код безопасности" с продуктом vGate - также имеет сертификат ФСТЭК", - отметили в компании.