[spoiler]
"Полезный" не в том плане, что там были получены конкретные ответы на вполне конкретный вопрос, а в том, что эта дискуссия довольно наглядно показала реальное состояние вопроса с обсужением реального опыта применения облачных сервисов, Впрочем не только облачных и не только сервисов.
А именно – много обще-теоретических рассуждений и ничего конкретного. Началась она ровно неделю назад…
Хотя вопрос не нов: 152-ФЗ упоминается абсолютно на всех ИТ-мероприятиях, причем чаще всех остальных аспектов. Вопросы поднимаются давно и постоянно, ответов нет и, кажется, не предвидится…
Конечно, - это мои личные оценки (хотелось бы узнать другие мнения – как участников дискуссии, так и независимых читателей), могу ошибаться, но пока имею пока именно такие оценки.
Разговор (ИМХО) идет в стиле "есть ли жизни на Марсе": как будто мы вообще ничего не знаем о далекой красной планете и не очень даже хорошо знаем, нужна ли она нам. Как будто в России и в мире вообще нет никакого опыта (про обобщение анализа опыта и говорить нечего) применения облачных CRM, как впрочем и других облачных сервисов и не облачных CRM,
Я лично, как внешний наблюдатель делаю только один вывод: ни какого опыта нет за отсутствием реальной практики…
И это при том, что помниться еще года три назад говорилось о том, что в России только у salesforce.com имеется двести или более того компаний-пользователей…
Хотя должен оговориться: один конструктивный и достаточно подробный ответ там все же есть (как я понял, от Microsoft, хотя в явном виде автор не обозначен
CRM может быть, как вариант CRM-ONLINE. Причем при обследовании выясняется что безопасность данных даже выше чем внутри компании, + с клиентом подписывается определенный CLA доступности. Относительно персональных данных. В ответ на вопрос, как нам соответствовать при использовании, например, Office 365 или других продуктов 152ФЗ, можно дать следующую рекомендацию: При получении персональных данных, осознанно предоставляемых владельцем персональных данных (как часть договора, подписываемого клиентом, или при заполнении online форм или анкет на мероприятиях), включать в форму/анкету/договор соответствующий раздел, описывающий условия использования персональных данных, и место для обозначения согласия владельца персональных данных с условиями. Нет необходимости получения согласия в бумажной форме. Достаточно предоставления согласия online (не ЭЦП, а например, галочка, как это сделано в примерах ниже). В связи с принятием нового ФЗ "Об электронной подписи" клик по кнопке "Согласен с условиями договора" или другая технология по соглашению сторон могут быть признаны обычной электронной подписью, аналогом собственноручной. В самом тексте договора должно быть прямо предусмотрено, что стороны признают юридическую силу за дoкyмeнтами, подписываемыми aнaлoгом собственноручной подписи (п. 2 ст. 160 Гражданского кодекса), в том числе электронной подписью. Для возможности использования для хранения персональных данных необходимо в условия использования включить возможность трансграничной передачи данных и получить согласие клиента. Пример договора: https://money.yandex.ru/doc.xml?id=522764 п.7 Примеры реализации online формы: http://passport.yandex.ru/passport?mode=register&msg=mail&retpath=http%3A%2F%2Fmail.yandex.ru (на втором шаге) http://company.yandex.ru/job/vacancies/legal_adviser.xml (в конце страницы) Важно для устных комментариев: если персональные данные получены не от владельца персональных данных, и владелец не в курсе того факта, что его персональные данные хранятся у конкретного оператора персональных данных, то в большинстве случаев оказывается так, что оператор персональных данных уже нарушает законодательство. И в этой ситуации факт использования облачного продукта ничего не решает. Закон предусматривает возможность получения данных не от субъекта персональных данных только в ограниченном числе случаев: «8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.» (http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=117587) |
На самом деле, я очень доволен появлением этой дискуссии (с продолжением, надеюсь), поскольку она независимым образом иллюстрирует мои давнишние суждения о низкой эффективности (скажем там) наших многочисленных очных облачных мероприятий, на которых превалируют именно такие общие разговоры. И на которых, чаще всего голос ИТ-потребителя вообще не предусмотрен регламентом…
Свой такой же вопрос Олег Вайнберг задал и в СИО-группе. Участия СИО в его обсуждения вообще не видно. Наверное, или тема совсем не актуальна, или сказать им нечего (что говорит о той же неактуальности).
Но там ответил Михаил Емельянников, специалист по ИБ (к сожалению, из профиля Фейсбуке тоже не очень понятен нынешний статус на рынке)
Ситуация … не очень хорошая… (АК- тут мне пришлось подредактировать данное автором определение), ФЗ и облако - строго перпендикулярны. Начать с того, что модель угроз для ИСПДн в облаке должен сделать оператор (клиент SaaS), что уже абсурд. По этой модели надо делать подсистему безопаности на двух сторонах - в облачном ЦОДе и у клиента. При этом клиент должен в договоре потребовать, чтобы уровень безопасности в облаке соответствовал классу ЕГО (SaaS) ИСПДн, да еще обеспечивался сертифицированными СЗИ. Так что вопрос стоит по-другому - как обосновать правомерность переноса обработки ПДн в облачную CRM. Ну, и масса нюансов - наличие согласия всех субъектов на перенос и т.д. C ФЗ-152 мы живем как минимум в двух параллельных мирах As Is и Should Be. Пересекаются эти миры крайне редко, в основном на встречах с регуляторами в ходе контроля и надзора. Но вопрос стоял о достижении соответствия, а не о способах ведения бизнеса в нашей стране |
На мой взгляд – это очень типичный, отражающий общий стиль наших облачных разговоров ответ.
Хотя, конечно, обсуждение еще не закончено, будем следить за развитием процесса…
А вот реплика насчет модели угроз - верна абсолютно.
Правда состоит в том, что текущая нормативная база просто не предусматривает адекватных организационно-технических требований по защите информации в облачных инфраструктурах, да еще с трансграничной передачей данных.
Вторую строку моего предыдущего комментария следует читать:
Не говоря уже о том что "добровольно-принудительное" согласие субьектов ПДн с онлайн-условиями обработки этих данных СОВЕРШЕННО НЕ дает оператору законное право вести такую обработку.