Информационный проект «Персональные данные»

Мария Сидорова: «Федеральный закон № 152-ФЗ «О персональных данных» не создает серьезных препятствий для обработки персональных данных в “облаке”»

Не так давно в открытых источниках была опубликована информация об объединении Ассоциации профессионалов в области информационной безопасности RISSPA и некоммерческой организации российских специалистов Virtualization Security Group Russia. По мнению вице-президента RISSPA Евгения Климова, «слияние схожих по целевой направленности сообществ даст синергетический эффект в продвижении идей информационной безопасности. RISSPA стала активной площадкой общения, обмена опытом и знаниями специалистов по информационной безопасности. Эксперты Virtualization Security Group Russia внесут серьезный вклад в развитие деятельности ассоциации в области обеспечения безопасности технологий виртуализации и облачных вычислений». Сегодня на вопросы журнала отвечает основатель и руководитель группы Virtualization Security Group Russia Мария Сидорова, которая в настоящее время также занимает пост вице-президента RISSPA.

— Если бы Вам предстояло убедить оператора персональных данных в том, что, используя виртуализированную среду, он существенно сможет облегчить работу с большими массивами информации, то какие аргументы Вы бы привели, прежде всего, в такой беседе?

— В среде виртуализации может обрабатываться любая информация — персональные данные, коммерческая тайна, неконфиденциальная информация и прочее. Причем тип информации никак не влияет на работу виртуализированной инфраструктуры. Использование технологий виртуализации позволяет компаниям получать ряд бесспорных преимуществ, основным среди которых можно назвать более эффективное использование ресурсов и, как следствие, снижение затрат на эксплуатацию инфраструктуры. Кроме того, это легкость развертывания новых серверов и персональных рабочих мест, повышение надежности и доступности предоставляемых сервисов.

— Прошедшая в октябре II Международная конференция «Защита персональных данных» показала, что организации, которые являются крупными операторами персональных данных, всерьез задумались о возможности использования «облаков» для хранения больших массивов обрабатываемых персональных данных, а также для работы с такой информацией. Исходя из Вашего экспертного опыта, действительно ли сегодня организации готовы к работе с «облачными вычислениями»?

— Понятие «облачных вычислений» тесно связано с технологиями виртуализации, так как в большинстве случаев именно они обеспечивают технологическую составляющую новой концепции. Центр обработки данных, построенный с использованием технологий виртуализации и используемый исключительно для внутренних потребностей компании, уже можно назвать внутренним «облаком». Многие до сих пор не могут понять, что такое «облачные вычисления», потому как не существует единого устоявшегося определения. Однако есть и те, кто уже использует эти новые технологии в своей работе. Каждая новая концепция должна пройти несколько этапов становления, когда, в том числе на завершающей стадии, будут устранены все сдерживающие факторы проникновения. Поэтому лучше начинать постепенно — сначала перенести в «облако» некритичные для компании данные и сервисы, а затем уже постепенно переносить в него наиболее ценную информацию.

— Одним из существенных моментов, который заставляет операторов персональных данных с осторожностью относиться к применению «облачных вычислений», является нерешенность на законодательном уровне вопроса об ответственности. На данный момент не очень понятно, кто будет являться оператором информационной системы персональных данных при хранении данных на «облаке» и нести ответственность за неправомерную обработку персональных данных (поставщик облачных услуг или их потребитель, который изначально собирает персональные данные). По Вашему мнению, как должны быть урегулированы эти моменты? Отсутствие четких законодательных норм может ли стать препятствием для более широкого использования данных технологий?

— Проблемы защиты виртуализированных инфраструктур встают сегодня перед многими российскими компаниями, использующими технологии виртуализации. И одним из препятствий является отсутствие адекватных рекомендаций по защите виртуализированных инфраструктур, в том числе и в контексте требований российских регуляторов в области информационной безопасности. Однако Федеральный закон № 152-ФЗ «О персональных данных» не создает серьезных препятствий для обработки персональных данных в «облаке», ведь согласно регулирующим документам обработка персональных данных и их защита может быть поручена третьим лицам. Имеется в виду необходимость разработки рекомендаций по деактуализации специфических угроз среды виртуализации и облачных вычислений, которые будут полезны всем компаниям, использующим эти технологии...

Полную версию интервью читайте в ноябрьском номере журнала «Персональные  данные» №11 (40)