Локализация инфобезопасности: какие законы должны соблюдать зарубежные компании, приходя на российский рынок

Локализация инфобезопасности: какие законы должны соблюдать зарубежные компании, приходя на российский рынок
В середине марта соцсети Facebook и Twitter были оштрафованы российским судом по иску Роскомнадзора на 4 млн руб. каждая. Причина — несоблюдение федерального закона «О персональных данных» №152-ФЗ. Компании отказались хранить персональные данные российских пользователей в России. Добьется ли Роскомнадзор выплаты штрафов от соцсетей или нет, пока неясно. Однако в случае неуспеха, у ведомства появится законный повод заблокировать Facebook и Twitter на территории РФ. Эта история — иллюстрация того, какие последствия могут грозить иностранным компаниям, которые не соблюдают законодательство РФ в части информационной безопасности (ИБ).

Такого размера штрафы, конечно, выписывают только «злостным нарушителям», которые систематически игнорируют требования закона и предписания регуляторов. Для сравнения, штрафы за нарушение GDPR (General Data Protection Regulation) — аналога ФЗ-152 в Евросоюзе — еще больше, и доходят до 20 млн евро.

Что до России, то в контексте ИБ санкции могут отличаться в зависимости от того, какой нормативный документ нарушается. Кроме ФЗ-152, зарубежным компаниям, которые занимаются денежными переводами, нужно учитывать, например, требования Положения № 382-П. А требования ГОСТ Р 57580 — вообще всем финансовым организациям. Расскажем, к чему должен готовиться иностранный бизнес, приходя на рынок РФ.


Локализация персональных данных

Персональные данные (ПД) в понимании Роскомнадзора — определение достаточно широкое: это и ФИО, и номер телефона, и email, и биометрия, и вероисповедание, и даже cookies, которые собирают сайты. Организации или физические лица, которые обрабатывают ПД, называются операторами данных.

Зарубежная компания «пересекает» виртуальную границу России в нескольких случаях. Самые распространенные:  
  • у сайта иностранной компании появляется русскоязычная версия;
  • оплата услуги — например, при покупке физических товаров или цифрового контента — происходит в российских рублях;
  • у сайта российский домен верхнего уровня: .ru, .рф, .рус;
  • пользователям сайта показывается русскоязычная реклама.
Пример такой компании — китайский ритейлер AliExpress, у которого есть русскоязычный сайт aliexpress.ru.
Во всех этих и подобных случаях ПД российских граждан должны собираться, обрабатываться, храниться и обновляться в базе данных, которая физически размещена на территории России — например, на сервере, установленном в одном из российских ЦОДов.

Здесь важно отметить, что локализация ПД российских граждан не ограничивает их последующую трансграничную передачу. То есть компания вполне может хранить копию рабочей БД на сервере где-нибудь в Нидерландах. Главное, чтобы основная БД находилась в РФ.


ФЗ-152, кроме того, накладывает на иностранные компании (ИК) те же обязательства, что и на российские в части защиты персональных данных. ИК должны применять необходимые методы защиты информации, использовать разрешенные технические средства и способы обработки ПД. Чтобы привести всё это в соответствие с российским законодательством, лучше всего привлечь местного аудитора с релевантным опытом, который может провести профессиональную оценку соответствия федеральному закону №152-ФЗ .

Согласно статьи 13.11 Кодекса РФ об административных правонарушениях оператор данных, вне зависимости от юрисдикции, несет ответственность за нарушения обработки персональных данных. В числе таких нарушений:
  • обработка ПД без письменного согласия физического лица;
  • отсутствие на сайте информации о политике обработки ПД;
  • непредоставление физическому лицу информации, связанной с обработкой его данных.
Штрафы за подобные правонарушения — до 75 тыс. руб. Также административный кодекс налагает отдельную ответственность за непредставление или несвоевременную подачу в госорган информации о деятельности по обработке данных (статья 19.7 КоАП) — за это предусмотрен штраф до 5 тыс. руб. При повторном нарушении статьи размер штрафа может быть увеличен до 6 млн руб., — что и было применено в отношении Facebook и Twitter.

Положение 382-П

9 июня 2012 года начало действовать Положение ЦБ РФ № 382-П о защите информации, связанной с денежными переводами. Согласно Положению, операторы, которые осуществляют переводы денежных средств — банки, платежные агенты, субагенты и шлюзы, операторы международных и национальных платежных систем, расчетные и клиринговые центры — должны обеспечивать защиту информации, которая так или иначе задействуется в процессе денежного перевода. К таким операторам относятся как российские, так и зарубежные компании, которые занимаются этой финансовой деятельностью на территории России.

Что относится к информации, которую необходимо защищать: данные о держателях платежных карт, о денежных средствах на счетах пользователей, о совершенных денежных переводах, ПД держателей карт и прочие данные, которые обрабатываются в результате перевода.

Регламент Положения № 382-П устанавливает подробный перечень обязанностей, которые должны выполнять операторы для обеспечения защиты этой информации. За несоблюдение требований 382-П предусмотрены внеплановые проверки Центробанка, в особых случаях — штрафы.


Для того, чтобы обеспечить защиту информации согласно 382-П, российские и иностранные компании могут привлекать сторонние организации — аудиторов, которые проводят оценку состояния безопасности ИТ-инфраструктуры и процессов на предмет соответствия Положению , и у которых есть профильные лицензии ФСБ и ФСТЭК.

Безопасность банковских операций

Новый стандарт Банка России ГОСТ Р 57580 призван повысить безопасность финансовых, в том числе банковских, операций. Он вступает в силу в 2021 году. Под действие ГОСТ Р 57580 попадают любые финансовые организации (ФИ) — российские и иностранные, — работающие на территории РФ. К таким ФИ, кроме банков, относятся операционные и клиринговые центры, платежные системы, а также некредитные ФИ вроде страховых компаний, рейтинговых агентств и т.п.

Новый ГОСТ описывает набор технических и организационных мероприятий, которые должны обеспечить определенный уровень ИБ; кроме того, определяет методику проведения оценки соответствия ГОСТ Р 57580, которая частично возложена на сами ФИ.

Стандарт сложный, содержит большой список требований — всего их около 600.

Главная проблема с ГОСТ Р 57580 в том, что большинство ФИ — и не только за рубежом, но даже в России — не готовы к нему. Как показывает опыт ITGLOBAL.COM, чтобы привести процессы в соответствие с новым стандартом, требуется, как минимум, несколько месяцев. Говоря короче и конкретнее, чем раньше иностранная компания проведет оценку своей ИТ-инфраструктуры и процессов на соответствие ГОСТ Р 57580 , тем лучше.

Штрафы за несоответствие стандарту могут достигать 0,1% от уставного капитала. Среди прочих санкций — приостановка деятельности компании на территории РФ.

Критическая ИТ-инфраструктура

Несколько лет назад в России появился новый федеральный закон — № 187-ФЗ. В нем описываются так называемые объекты критической информационной инфраструктуры (КИИ) — важные объекты ИТ-инфраструктуры, телеком-сети, а также всевозможное ПО, — которые функционируют в стратегических для государства сферах. К таким сферам относятся, например, наука и здравоохранение, транспорт и оборонная промышленность — список довольно широкий.

К владельцам объектов КИИ могут причислять и зарубежные компании, которые работают с объектами критической ИТ-инфраструктуры в России — например, западных импортеров и интеграторов оборудования, а также программного обеспечения, задействованного в одной из перечисленных выше отраслей.

Неправомерное воздействие на КИИ России, даже если оно ненамеренное, грозит различными санкциями: штрафами до нескольких млн руб., а в отдельных случаях — и уголовным наказанием.

Сравнительная жесткость закона не случайна: атаки (особенно — кибератаки) на критическую инфраструктуру — проблема, актуальная сегодня не только для России.

Компании, которые попадают под действие 187-ФЗ, обязаны самостоятельно провести категорирование объектов КИИ и согласовать их с ФСТЭК. Помочь с этой процедурой могут эксперты по информационной безопасности .

Заключение

Если провести аналогию с западными стандартами по информационной безопасности, то ФЗ-152 — это GDPR. А Положение 382-П и ГОСТ Р 57580 во многом похожи на нормативный акт SOX, а также стандарты PCI DSS и ISO 27000 вместе взятые.

Поэтому было бы заблуждением думать, что упомянутые в статье российские законы и их отдельные пункты — например, необходимость локализации ПД — какой-то уникальный, чисто российский феномен, придуманный для создания дополнительных препятствий иностранным компаниям в России. Тот же ФЗ-152 по многим пунктам даже менее требователен, чем GDPR: у европейского закона более жесткие требования по уровню защиты ПД, их объему и срокам хранения, не говоря уже о на порядок более высоких штрафах.

Оптимальный вариант для иностранных организаций, планирующих вести бизнес в России — обратиться к российской аудиторской компании, которая бы помогла оперативно привести бизнес-процессы и инфраструктуру в соответствие требованиям местного законодательства. Необходимый минимум такого аудитора — многолетний опыт работы в сфере информационной безопасности и подтвержденное лицензиями право на проведение аудиторских проверок.
Alt text
Комментарии для сайта Cackle