Новости проектов отрасли
27 октября 2011
Роскомнадзор и Минкомсвязи разработают стандарты для облачных систем
Роскомнадзор рассчитывает до конца года выработать критерии для работы с облачными технологиями в сфере защиты персональных данных, cообщил замминистра связи и массовых коммуникаций Илья Массух на II Международной конференции по защите персональных данных, прошедшей 26 октября в Москве. Ведомству, подконтрольному министерству, необходимо сформулировать требования к облачным платформам по защите персональных данных при работе с госорганами. Как сообщил журналистам Илья Массух, итогом должна стать либо уточняющая строка в 152-м Федеральном законе (о защите персональных данных) «О статусе облачных платформ», либо аналогичный подзаконный акт.
«Мы не можем себе позволить работать над этими проблемами через год или два, потому что с учетом начала предоставления государственных услуг в электронном виде, которые в любом случае скоро перейдут в облака, время бросает нам вызов. Поэтому работа ведется, и мы планируем к концу года, как и сказал Массух, предложить свои варианты», — рассказал ComNews заместитель руководителя Роскомнадзора Роман Шередин.
В случае если оператор облачных услуг хочет работать с госорганами, то должен предоставить доказательства защищенности его серверов как от виртуальной, так и от физической угрозы. «Помимо этого сервер, предоставляющий услугу облачных вычислений, должен находиться в России. В какой-то степени такие условия осложняют жизнь хостерам, потому что придется взаимодействовать с такими службами, как ФТЭК и ФСБ, но надо с чего-то начинать, — отметил Илья Массух. — Это необходимо сделать, чтобы облачные платформы в будущем имели возможность нормальной работы не только с госорганами, но и с другими структурами».
Как пояснил Роман Шередин, Роскомнадзор также предлагает ужесточить наказание за разглашение персональных данных, чтобы штрафы соотносились с затратами операторов персональных данных на организацию эффективной защиты.
«Защита персональных данных в эпоху технологий web 2.0 и тотального использования сети Интернет как в работе, так и в повседневной жизни — это первоочередная задача для любой компании. Безусловно, требования по безопасности к различным структурам и организациям должны быть различными. Облачные технологии активно развиваются несколько последних лет, и вопрос безопасности при работе в облаках поднимается все чаще. Разработка специальных требований, обязательств и нормативных актов для облачных технологий только положительно скажется на развитии рынка, — поделился с ComNews руководитель отдела маркетинга департамента облачных технологий компании Softline Андрей Гарканов. — Сейчас необходимы общие регулирующие нормативы, которые будут признаны и поддержаны всеми игроками рынка. Это даст заказчику дополнительные гарантии и поможет лучше ориентироваться в услугах. Влияние государственных органов ускорит этот процесс. В основе разработки подобных требований должен лежать, в первую очередь, опыт ключевых игроков и вендоров облачного рынка. Ну и, конечно, нужно учитывать интересы тех, чьи данные необходимо защищать».
«Если говорить об обработке и хранении данных, а также о сетевой безопасности, то облачные решения выступают на равных с традиционными ИT. Если защиту данных в соответствии с российскими законами можно обеспечить в одном из сегментов, то это возможно и в другом, — отметила в беседе с ComNews директор по развитию бизнеса Orange Business Services в России и СНГ Юлия Майорова. — Необходимые административные меры также могут быть реализованы как в процессе самостоятельного обслуживания частного облака, так и в качестве услуг от сервис-провайдера. Если говорить о частных облаках, то в них могут быть реализованы практически любые требования заказчика, в том числе и требования по информационной безопасности».
По словам Юлии Майоровой, на Западе хорошо прижилась модель тесного взаимодействия регуляторов и отраслевых и профессиональных организаций. Рекомендации и лучшие практики в сфере безопасности облаков на данный момент разрабатывает ассоциация Cloud Security Alliance (CSA). Orange является ее активным членом. Рекомендации ассоциации, учитываются при разработке регулирующих требований соответствующими комитетами правительств Великобритании и Евросоюза.
«С учетом того что отечественные законы по информационным системам первоначальной обработки данных (ИСПДН) учитывали европейскую практику и Европейскую конвенцию о защите физических лиц при автоматизированной обработке персональных данных, мы склонны считать, что в области безопасности облаков наши регуляторы будут действовать в аналогичном направлении, адаптируя существующие наработки к российской действительности», — подчеркнула Юлия Майрова.
В Orange полагают, что ключевым отличием от традиционных физических инфраструктур является использование виртуализации. «Например, у применяемого в решениях Orange гипервизора виртуализации VMware vSphere есть сертификат ФСТЭК. Кроме того, на рынке существует ряд специализированных продуктов для обеспечения соответствия виртуализованной среды федеральному закону № 152. Один из наиболее активных участников рынка подобных решений — компания „Код безопасности“ с продуктом vGate — также имеет сертификат ФСТЭК», — отметили в компании.
Информация с сайта comnews.ru.
Авторы оригинального текста: Дарья Лютцау, Мария Петрова.
|