Персональное дело

1 июня 2015, 11:00

С 1 сентября вступает в силу закон, согласно которому все персональные данные российских граждан должны храниться на территории РФ

Как быть тем компаниям, которые еще не успели перенести в страну данные о своих российских клиентах, и насколько это технологически сложный процесс? Об этом рассказывает Руслан Заединов, заместитель генерального директора компании КРОК.

Насколько острой сейчас является проблема переноса персональных данных российских граждан на территорию РФ?

Действительно, эта проблема сейчас приобретает особую остроту: как известно, с 1 сентября законодательство в сфере охраны персональных данных обязывает хранить и обрабатывать персональные данные российских граждан внутри страны. Конечно, и прежде существовало такое понятие, как оператор персональных данных, который находился под угрозой проверок и взысканий в случае обнаружения каких-то нарушений. В основном, это касалось применяемых средств защиты персональных данных. Но прямого запрета на размещение данных за пределами России не было. На самом деле довольно много российских компаний по разным причинам размещают свои информационные системы (ИС) за рубежом. Не редко встречается и второй вариант: когда компания имеет зарубежного партнера, с которым налажено информационное взаимодействие, и с которым происходит обмен данными, в том числе с содержанием персональной информации граждан. Самый простой пример такого случая — это авиакомпании, которые связаны с международными системами бронирования билетов.

Как вступление в силу нового закона может повлиять на деятельность такого рода компаний, да и на весь ИТ-рынок в целом?

Если говорить об ИТ-рынке, существует мнение, что на него новый закон повлияет позитивно, и я эту точку зрения поддержку. Действительно, у российских ИТ-компаний и провайдеров услуг центров обработки данных (ЦОД) становится больше работы. Мы это видим на собственном примере: к нам все больше заказчиков стали приходить именно с проблемой миграции данных. Что касается клиентов, то как минимум у них сейчас появляются необходимость единовременных затрат, чтобы решить этот весьма острый вопрос.

И какие есть пути и технологии миграции персональных данных на территорию РФ?

Это во многом зависит от типов компаний, о которых я уже говорил выше. Повторюсь, первые — это те, которые по тем или иным причинам держат персональные данные российских граждан за рубежом, а второй тип организаций имеют международных партнеров, и им передают личную информацию. Если говорить о первых, то их план действий в целом понятен. Для начала нужно оценить, так скажем, масштаб бедствия, понять, сколько этих данных существует, какие ИС их обрабатывают. Потом нужно составить план переезда в Россию, спланировав при этом не только организационную часть, но и ресурсную.

Получается, что в России у таких компаний должен быть некий центр обработки данных, должна быть сформирована соответствующая информационная инфраструктура и развернута информационная система, которая будет перекачивать эти самые персональные данные?

Совершенно верно. Вот только проблема в том, что для всех этих действий осталось-то всего три месяца. Поэтому сейчас для таких компаний наступает, можно сказать, пора цейтнота. Здесь, наверное, уместна аналогия со студентом, который готовится к экзаменам не в течение семестра, а в последнюю ночь.

А насколько реально за три месяца развернуть в России собственную инфраструктуру для хранения данных?

С такими сжатыми сроками вполне могут быть сложности. В компании, пусть даже крупной, необходимой инфраструктуры может не оказаться. Взять хотя бы наличие помещения для ЦОДа. Для крупного заказчика подобные помещения измеряются сотнями квадратных метров — это должны быть большие машинные залы. И не факт, что такие значимые помещения можно оперативно найти. Второй сложный момент связан с самим процессом переноса данных просто потому, что таких данных в компании за прошедшие годы накопилось очень много — речь идет о сотнях терабайтов данных. И сам процесс копирования таких данных, например, по публичным каналам связи может занять несколько недель. Проблема в том, что подобный срок простоя любой бизнес допустить не может. Придется принять изощренные меры, чтобы пользователи имели возможность пользоваться этими данными онлайн, и одновременно они могли бы копироваться.

А что можно сказать о втором типе компаний, которые имеют международного партнера? Про те же авиакомпании, туристические фирмы, которые работают с международными системами бронирования или, например, про логистические организации, которые связаны обменом данных со своими зарубежными партнерами?

Таким компаниям, конечно, сложнее. Потому что важное условие для них — это найти российский аналог хранения персональных данных. Если этого нет, то они, можно сказать, находятся в своеобразном «дедлоке». Напрямую удовлетворить требованиям закона они не могут, но к 1 сентября они могут говорить, что встали на путь перевода данных в РФ. Это примерно тот путь, который прошла национальная система платежных карт. Напомню, она была создана не сразу, не в тот срок, в который это изначально декларировалось. Но все же она создана и сейчас работает. Вероятно, такое произойдет и с информационными системами, завязанными на международных партнеров. Либо международные провайдеры таких систем переведут часть обработки данных в Россию, либо будут созданы российские аналоги. Просто срок 1 сентября здесь представляется не совсем реальным, речь в данном случае может идти о годах напряженной работы.

Какие решения возможны в данной ситуации? Например, какие варианты предлагаете вы своим клиентам?

Здесь существует несколько видов решений. Каждое из них нацелено на удовлетворение разных потребностей и преодоление разного рода вероятных сложностей. Как я уже говорил, первая сложность — инфраструктурная. Куда, в какое помещение поставить ЦОД, где взять для него оборудование? Строительство своего дата-центра — это занятие затратное и долгое. Речь идет о сроке от года и больше. Поэтому понятно, что многие заказчики сейчас смотрят в сторону аутсорсинга такой услуги, то есть в сторону аренды дата-центра у стороннего провайдера. Размещение в дата-центре — это первый их трех слоев услуг, который мы предоставляем. Второй слой услуг — он тоже инфраструктурный. Они известен на рынке под общим названием «облачные вычисления». Дело в том, что построение инфраструктуры, информационных систем, систем хранения и пр., то есть создание целого комплекса технологических решений – процесс долгий. Только одно проектирование инфраструктуры занимает несколько месяцев. И чтобы все это время не ждать у моря погоды (кстати, результат проекта не всегда предсказуем), чтобы не тратить много средств единовременно и как-то разнести платежи — для всего этого предлагается использовать ключевые инфраструктурные компоненты и программные решения в режиме услуги. В том же режиме, как вы платите за электричество из розетки, или как воду из крана. Мы же с вами не строим водопровод за свой собственный счет к дому. Также и здесь — ИТ компании уже проинвестировали в определенные серверы, в системы хранения данных, в создание облачных услуг на базе различных технологических платформ. В частности, наша компания давно и серьезно занимается развитием собственных дата-центров, постоянно улучшая качество ИТ-услуг. Мы внимательно изучаем опыт зарубежных ИТ-компаний по построению облаков, чтобы наши услуги были на уровне мировых стандартов. Например, в январе 2015 года мы стали участником инициативы Microsoft COSN Russia и уверены, что опыт Microsoft поможет нам усовершенствовать наши облачные предложения, а также повысить компетенцию наших специалистов.

И сколько по времени может занять реализация такой услуги?

У нас есть пример, когда с момента идеи до реализации проходило всего 6 дней. За этот срок заказчик заезжал к нам на облачную платформу со всеми своими информационными ресурсами. Это может быть частный случай и своеобразный рекорд, достойный книги рекордов Гинесса. Но в любом случае, можно говорить, что при использовании облаков возможны очень сжатые сроки миграции данных.

Получается, что первый слой услуг – это сами дата-центры, второй — облачные услуги и решения. А что тогда вы подразумеваете под третьим слоем услуг, который вы предоставляете в рамках перевода персональных данных в Россию?

Третий слой услуг — это услуги по самой миграции. Я уже выше говорил, что сама миграция — дело не простое, и это связано, с тем, что данных много, и они не обязательно «живут» в так называемой гомогенной или однообразной среде, то есть в среде решений только одного вендора. Обычно в таких системах существуют бок о бок большое количество разношерстных аппаратных и программных средств. И перенос подобного рода гетерогенных сред, особенно на большие расстояния по публичным сетям из ЦОДа в ЦОД — это задача для квалифицированного системного интегратора с опытом.

С какими ключевыми технологическими сложностями может столкнуться клиент при переводе персональных данных на территорию страны?

Большие объемы данных и необходимость иметь возможность их использования онлайн — это главная проблема. Вторая связана с удовлетворением требованиям безопасности. Понятно, что когда компании хранят и обрабатывают те или иные персональные данные на зарубежных площадках, у них практически нет возможности использовать сертифицированные в России средства защиты. Есть два приказа ФСТЭК, которые посвящены обязательному использованию тех или иных средств защиты при построении систем хранения персональных данных. Потому при осуществлении миграций чаще всего компаниям приходится заново отстраивать контур защиты систем обработки данных сертифицированными в России оборудованием и ПО. При этом обычно защищаются не какие-то отдельные серверы или сети, защищается ИС в целом. Впрочем, это не столько сложность, сколько дополнительная задача, которую оптимальнее всего решать сразу.

На рынке ходит много разговоров, что закон о переносе персональных данных могут отменить или как-то будут продлевать сроки его реализации. Как вы относитесь к такого рода мнениям: мол, зачем оперативно к 1 сентября переносить персональные данные в Россию, если эти положения могут отменить?

Я думаю, что очень многие компании к указанному сроку, действительно, не успеют полностью перенести все персональные данные. Сейчас некоторые из них находятся в состоянии немого вопроса — а что же теперь делать? В первую очередь это относится к компаниям, ведущим взаимодействие с межународными системами. Но мне кажется, что государство настроено решительно, и отмены никакой не будет, ведь срок уже переносился несколько раз. Компромисс, вероятно, будет, он будет заключатся в том, что те или иные компании, которые по объективным причинам не смогут удовлетворять требованиям закона, должны будут разработать комплекс мер по его выполнению. Здесь опять же можно привести пример с национальной платежной системой. Да, было определенное пугающее требование Центробанка, были объявлены сроки и даже штрафные санкции. И первоначальные объявленные сроки не были удовлетворены. Но в конце концов план перехода был придуман, и этот план выполнен. Так и в случае с персональными данными, уверен, что будет достигнут здравый компромисс, создан некий приемлемый Roadmap. Но отмены положения о персональных данных точно не будет, и надеяться на это компаниям было бы не целесообразно.

Какие отрасли оказались наиболее подверженными действию нового закона, кто проявляет сейчас наибольшую активность в плане переноса персональных данных в Россию?

Это компании самых разных отраслей. Мы видим много банков, представителей ритейла, международных компаний, которые присутствуют на российском рынке. Например, те же производители продуктов питания сейчас активно занимаются разработкой процессов миграции данных. Они понимают, что являются представителями известного международного бренда и попадут в первую волну проверок.

А чем услуги по переводу персональных данных в России, на ваш взгляд, сейчас принципиально отличаются на ИТ-рынке?

Совсем уж принципиальных отличий нет. Важный момент заключается в том, что миграция данных — как мы говорили выше — это задача для знающей компании-интегратора: ответственность высока, нужны соответствующие компетенции. Причем, для заказчика желательно, чтобы эти компетенции были комплексными. Например, кто-то обладает своими дата-центрами, но у таких ИТ-компаний нет компетенций в облачных услугах. А кто-то, например, является хорошим облачным провайдером, но при этом не в силах заниматься обеспечением процесса миграции.

И последний вопрос: насколько, на ваш взгляд, справедлив весь этот процесс перевода персональных данных в Россию? Действительно ли это нужно, или опасность хранения персональных данных за границей сильно преувеличена?

Я думаю, что опасность, конечно, преувеличена. Но если бы меня посадили управлять государством, я бы, не задумываясь, подписал такой закон. Из принципиальных соображений. Дело в том, что есть последствия, которые мы не можем предугадать, вычислить аналитическим путем. Речь идет о том, что за рубежом оказываются большие массивы действительно важной персональной информации. И невозможно выявить, какие непредсказуемые последствия могут быть у этой ситуации. Ну а если могут возникнуть такие непредсказуемые последствия, то, пожалуй, лучше решительно их предотвратить.