НовостиСобытияКонференцииФорумыIT@Work
Облака/ИТ-сервисы:

Блог

"А как у облачных CRM с 152-ФЗ? Например, у MS Dynamix CRM и у 1С-CRM и 1С Bitrix портал?"

Андрей Колесов
12.09.2012 07:55:10

Этот вопрос задал в облачной группе на Facebook Олег Вайнберг (к сожалению, из его профиля не очень понятен его нынешний статус на рынке, до недавнего времени он работал ИТ-директором КЦ Кей, а сейчас, кажется, занимается ИТ-консалтингом. Если он зайдет на этот пост, ему, наверное, лучше представиться самому, как он посчитает нужным). И в результате этого вопроса получилось, на мой взгляд, одно из лучших и полезных социальных обсуждений, которое мне довелось увидеть за последнее время (может быть, можно говорить даже о месяцах).

"Полезный" не в том плане, что там были получены конкретные ответы на вполне конкретный вопрос, а в том, что эта дискуссия довольно наглядно показала реальное состояние вопроса с обсужением реального опыта применения облачных сервисов, Впрочем не только облачных и не только сервисов.
А именно – много обще-теоретических рассуждений и ничего конкретного. Началась она ровно неделю назад…

Хотя вопрос не нов: 152-ФЗ упоминается абсолютно на всех ИТ-мероприятиях, причем чаще всех остальных аспектов. Вопросы поднимаются давно и постоянно, ответов нет и, кажется, не предвидится…

Конечно, - это мои личные оценки (хотелось бы узнать другие мнения – как участников дискуссии, так и независимых читателей), могу ошибаться, но пока имею пока именно такие оценки.

Разговор (ИМХО) идет в стиле "есть ли жизни на Марсе": как будто мы вообще ничего не знаем о далекой красной планете и не очень даже хорошо знаем, нужна ли она нам. Как будто в России и в мире вообще нет никакого опыта (про обобщение анализа опыта и говорить нечего) применения облачных CRM, как впрочем и других облачных сервисов и не облачных CRM,
Я лично, как внешний наблюдатель делаю только один вывод: ни какого опыта нет за отсутствием реальной практики…

И это при том, что помниться еще года три назад говорилось о том, что в России только у salesforce.com имеется двести или более того компаний-пользователей…

Хотя должен оговориться: один конструктивный и достаточно подробный ответ там все же есть (как я понял, от Microsoft, хотя в явном виде автор не обозначен

Цитата
CRM может быть, как вариант CRM-ONLINE. Причем при обследовании выясняется что безопасность данных даже выше чем внутри компании, + с клиентом подписывается определенный CLA доступности.
Относительно персональных данных. В ответ на вопрос, как нам соответствовать при использовании, например, Office 365 или других продуктов 152ФЗ, можно дать следующую рекомендацию:

При получении персональных данных, осознанно предоставляемых владельцем персональных данных (как часть договора, подписываемого клиентом, или при заполнении online форм или анкет на мероприятиях), включать в форму/анкету/договор соответствующий раздел, описывающий условия использования персональных данных, и место для обозначения согласия владельца персональных данных с условиями.

Нет необходимости получения согласия в бумажной форме. Достаточно предоставления согласия online (не ЭЦП, а например, галочка, как это сделано в примерах ниже). В связи с принятием нового ФЗ "Об электронной подписи" клик по кнопке "Согласен с условиями договора" или другая технология по соглашению сторон могут быть признаны обычной электронной подписью, аналогом собственноручной. В самом тексте договора должно быть прямо предусмотрено, что стороны признают юридическую силу за дoкyмeнтами, подписываемыми aнaлoгом собственноручной подписи (п. 2 ст. 160 Гражданского кодекса), в том числе электронной подписью.

Для возможности использования для хранения персональных данных необходимо в условия использования включить возможность трансграничной передачи данных и получить согласие клиента.

Пример договора: https://money.yandex.ru/doc.xml?id=522764 п.7
Примеры реализации online формы: http://passport.yandex.ru/passport?mode=register&msg=mail&retpath=http%3A%2F%2Fmail.yandex.ru (на втором шаге)
http://company.yandex.ru/job/vacancies/legal_adviser.xml (в конце страницы)

Важно для устных комментариев: если персональные данные получены не от владельца персональных данных, и владелец не в курсе того факта, что его персональные данные хранятся у конкретного оператора персональных данных, то в большинстве случаев оказывается так, что оператор персональных данных уже нарушает законодательство. И в этой ситуации факт использования облачного продукта ничего не решает. Закон предусматривает возможность получения данных не от субъекта персональных данных только в ограниченном числе случаев: «8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.» (http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=117587)


На самом деле, я очень доволен появлением этой дискуссии (с продолжением, надеюсь), поскольку она независимым образом иллюстрирует мои давнишние суждения о низкой эффективности (скажем там) наших многочисленных очных облачных мероприятий, на которых превалируют именно такие общие разговоры. И на которых, чаще всего голос ИТ-потребителя вообще не предусмотрен регламентом…

Свой такой же вопрос Олег Вайнберг задал и в СИО-группе. Участия СИО в его обсуждения вообще не видно. Наверное, или тема совсем не актуальна, или сказать им нечего (что говорит о той же неактуальности).

Но там ответил Михаил Емельянников, специалист по ИБ (к сожалению, из профиля Фейсбуке тоже не очень понятен нынешний статус на рынке)

Цитата
Ситуация … не очень хорошая… (АК- тут мне пришлось подредактировать данное автором определение), ФЗ и облако - строго перпендикулярны. Начать с того, что модель угроз для ИСПДн в облаке должен сделать оператор (клиент SaaS), что уже абсурд. По этой модели надо делать подсистему безопаности на двух сторонах - в облачном ЦОДе и у клиента. При этом клиент должен в договоре потребовать, чтобы уровень безопасности в облаке соответствовал классу ЕГО (SaaS) ИСПДн, да еще обеспечивался сертифицированными СЗИ. Так что вопрос стоит по-другому - как обосновать правомерность переноса обработки ПДн в облачную CRM. Ну, и масса нюансов - наличие согласия всех субъектов на перенос и т.д.


C ФЗ-152 мы живем как минимум в двух параллельных мирах As Is и Should Be. Пересекаются эти миры крайне редко, в основном на встречах с регуляторами в ходе контроля и надзора. Но вопрос стоял о достижении соответствия, а не о способах ведения бизнеса в нашей стране


На мой взгляд – это очень типичный, отражающий общий стиль наших облачных разговоров ответ.

Хотя, конечно, обсуждение еще не закончено, будем следить за развитием процесса…

Комментариев: 2

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

Александр (компания ЭЛАР)
08.10.2012 13:40:42

Почитал реплику Майкрософт (?) насчет того что галочка под пользовательским соглашением может служить аналогом электронной подписи. Много смеялся ))))))))))) Не говоря уже о том что "добровольно-принудительное" согласие субьектов ПДн с онлайн-условиями обработки этих данных дает оператору законное право вести такую обработку. В противном случае - пусть попробует аттестовать свою систему хотя бы в качестве ИСПДн 3-го класса, аргументируя свое право обрабатывать данные "добровольным" согласием пользователей, не говоря о юридической значимости такого согласия. Парень, писавший ответ, закон читал очень по диагонали. В частности, забыт тот факт, что субьект Пдн, давший согласие на их обработку, в любой момент может отозвать свое согласие и потребовать полного уничтожения собственных данных - закон будет на его стороне.
А вот реплика насчет модели угроз - верна абсолютно.
Правда состоит в том, что текущая нормативная база просто не предусматривает адекватных организационно-технических требований по защите информации в облачных инфраструктурах, да еще с трансграничной передачей данных.

Александр Перевозник, РМ (компания ЭЛАР)
08.10.2012 13:47:07

прошу прощения, комментарии к сожалению не редактируются.
Вторую строку моего предыдущего комментария следует читать:
Не говоря уже о том что "добровольно-принудительное" согласие субьектов ПДн с онлайн-условиями обработки этих данных СОВЕРШЕННО НЕ дает оператору законное право вести такую обработку.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии