1

Тема: Запрет западного хостинга

http://asozd2.duma.gov.ru/main.nsf/%28S … N=553424-6

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

2

Re: Запрет западного хостинга

А вот подскажите если на сайт только информационный скажем и в части ПДн, там только ФИО и краткая биография сотрудников - руководителей подразделений... что тоже нельзя хостить за бугром? просто хостится на серверах материнский компании... вот думаю переносить нет(
Повторю что только ФИО и краткая биография сотрудников некоторых ( и членов совета директоров)...

3

Re: Запрет западного хостинга

Если ИСПДн Ваша - то переносить в РФ, если ИСПДн материнской компании - то можно оставить там, а вам зарегистрироваться в РКН как оператору ПДн с трансграничной передачей данных

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

4

Re: Запрет западного хостинга

Можно оформить как общедоступные источники ПДн.

С уважением,
Ермаченков Алексей

5

Re: Запрет западного хостинга

Yermachenkov пишет:

Можно оформить как общедоступные источники ПДн.

И в любой момент получить "подарок" от недовольного работника с привлечением прокуратуру и трудовой инспекции.
Зачем так рисковать?

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

6 (2014-08-27 18:16:41 отредактировано avk)

Re: Запрет западного хостинга

Yermachenkov пишет:

Можно оформить как общедоступные источники ПДн.

Думаю, факт их "общедоступности" не отменит обязанность хранить их на территории РФ (

Наверно надо обращаться за письменным разъяснением в РКН.

С уважением,
Андрей Кирьянов

7

Re: Запрет западного хостинга

avk пишет:

Думаю, факт их "общедоступности" не отменит обязанность хранить их на территории РФ.

1. 242-ФЗ вступает в действие с 01.09.2016.
2. Новая часть часть 5 статьи 18 относится к базам данным, используемым при сборе ПДн, а я думаю, что "ФИО и краткая биография сотрудников - руководителей подразделений..." не будет собираться через Интернет.
3. Если эту ПДн делается общедоступной, то с сотрудников берется согласие на внесение его ПДн в эту общедоступную ИСПДн, поэтому претензий от недовольных сотрудников быть не должно.
4. Обычно корпоративные сайты перед тем как изменяться на хостинге - тестируются в внутри корпоративного сегмента, даже если это не так, то копия корпоративного сайта с актуальной информацией внутри организации должна быть (если копии нет, то самое время для ИБ инициировать процесс копирования сайта).  Поэтому для статьи 22 пункта 10.1 следует указывать место хранения именно этой БД - внутри корпоративной сети, а в документации по ИСПДн указывать, что база данных ведется внутри корпоративной сети и публикуется в сети Интернет (в том числе может публиковаться на заграничных хостах).

Жду возражений.

С уважением,
Ермаченков Алексей

8

Re: Запрет западного хостинга

я вот тоже считаю как в п. 2 написано, что "Новая часть часть 5 статьи 18 относится к базам данным, используемым при сборе ПДн, а я думаю, что "ФИО и краткая биография сотрудников - руководителей подразделений..." не будет собираться через Интернет."
Конечно она собирается от них и просто публикуется... и вообще это какой-то абсурд называть ИСПДн сайт с 5ю фамилиями и фотографиями...  кстати при наличии фото это еще и биометрия появляется да?!)))

9

Re: Запрет западного хостинга

Есть "Разъяснения Роскомнадзора по вопросам отнесения фото- ... к биометрическим персональным данным..." Из него следует:
1. Фото становится биометрией если Вы его используете для идентификации. В вашем случае Вы используете фото в рекламных целях.
2. Для использования изображения гражданина в рекламных целях необходимо наличие его согласия или иных законных оснований.
3. На основании мотивированного заявления гражданина использование его фотографии должно быть прекращено.

В этой связи, поскольку вопрос по использованию ПДн на сайте возник, я бы описал сайт как ИСПДн с общедоступными данными, получил согласие на публикацию ПДн от субъектов и закрыл вопрос.

С уважением,
Ермаченков Алексей

10

Re: Запрет западного хостинга

понятно, спасибо всем за комментарии

11

Re: Запрет западного хостинга

Yermachenkov пишет:
avk пишет:

Думаю, факт их "общедоступности" не отменит обязанность хранить их на территории РФ.

1. 242-ФЗ вступает в действие с 01.09.2016.
2. Новая часть часть 5 статьи 18 относится к базам данным, используемым при сборе ПДн, а я думаю, что "ФИО и краткая биография сотрудников - руководителей подразделений..." не будет собираться через Интернет.
3. Если эту ПДн делается общедоступной, то с сотрудников берется согласие на внесение его ПДн в эту общедоступную ИСПДн, поэтому претензий от недовольных сотрудников быть не должно.
4. Обычно корпоративные сайты перед тем как изменяться на хостинге - тестируются в внутри корпоративного сегмента, даже если это не так, то копия корпоративного сайта с актуальной информацией внутри организации должна быть (если копии нет, то самое время для ИБ инициировать процесс копирования сайта).  Поэтому для статьи 22 пункта 10.1 следует указывать место хранения именно этой БД - внутри корпоративной сети, а в документации по ИСПДн указывать, что база данных ведется внутри корпоративной сети и публикуется в сети Интернет (в том числе может публиковаться на заграничных хостах).

Жду возражений.

В соответствии с Федеральным законом от 21.07.2014 N 242-ФЗ с 1 сентября 2016 года часть 4 статьи 16 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" будет дополнена пунктом 7 следующего содержания:
"7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, ХРАНЕНИЕ, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.".

Думаю, что именно это нововведение не дает право хранить персональные данные вне территории РФ.

С уважением,
Андрей Кирьянов

12

Re: Запрет западного хостинга

avk пишет:

В соответствии с Федеральным законом от 21.07.2014 N 242-ФЗ с 1 сентября 2016 года часть 4 статьи 16 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" будет дополнена пунктом 7 следующего содержания:
"7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, ХРАНЕНИЕ, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.".

Так Вы же храните информацию в корпоративной сети, а в Интернете только публикуете общедоступную информацию.

Давайте рассмотрим что произойдет если считать что нужно ХРАНИТЬ все БД с ПДн на территории РФ:
1. Считаем, что мы публикуем общедоступные ПДн в сети Интернет на своём сайте, который хостится на территории РФ.
2. Это информация, которая размещается в форме открытых данных (7 статья 149-ФЗ). Т.е. эта информация которая может распространяться любыми людьми по их усмотрению ... и допускающая автоматизированную обработку ... в целях ее повторного использования.
3. Нам придётся каждую публикацию общедоступной информации считать БД, хранящей персональные данные. Тогда каждая копия этой БД должна храниться на территории РФ!
4. Т.к. Вы не можете обеспечить этого требования, то это значит Вы не имеете права публиковать любые ПДн в сети Интернет в открытом виде не зависимо от местоположения хостинга сайта!

С уважением,
Ермаченков Алексей

13

Re: Запрет западного хостинга

Yermachenkov пишет:

Так Вы же храните информацию в корпоративной сети, а в Интернете только публикуете общедоступную информацию.

Давайте рассмотрим что произойдет если считать что нужно ХРАНИТЬ все БД с ПДн на территории РФ:
1. Считаем, что мы публикуем общедоступные ПДн в сети Интернет на своём сайте, который хостится на территории РФ.
2. Это информация, которая размещается в форме открытых данных (7 статья 149-ФЗ). Т.е. эта информация которая может распространяться любыми людьми по их усмотрению ... и допускающая автоматизированную обработку ... в целях ее повторного использования.
3. Нам придётся каждую публикацию общедоступной информации считать БД, хранящей персональные данные. Тогда каждая копия этой БД должна храниться на территории РФ!
4. Т.к. Вы не можете обеспечить этого требования, то это значит Вы не имеете права публиковать любые ПДн в сети Интернет в открытом виде не зависимо от местоположения хостинга сайта!

Да, почти так. Публиковать можно, но только на ресурсах, хостинг которых расположен на территории РФ. Железный занавес, релиз 2016. Возможно я сгущаю краски, но аргументированных возражений выдвинутой гипотезе пока не вижу.
Вы думаете, те кто писал закон задумывались, что получилось в результате?
Как показывает ситуация с 97-ФЗ выдвинутые требования могут поменяться.

С уважением,
Андрей Кирьянов

14

Re: Запрет западного хостинга

А общедоступность может опротестовывать помощник прокурора/представитель РКН, т.к. механизма признания сведения общедоступными отсутствует (нотариальная практика)

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

15

Re: Запрет западного хостинга

Кстати еще раз бы хотелось поднять данный вопрос, ранее я спрашивал можно ли хостить сайт с информацией о некоторых сотрудниках... тем более что данную информацию мы должны размещать на сайте в соответствии с N 334-ФЗ
от 04,11,14??

16

Re: Запрет западного хостинга

VitaliyN пишет:

Кстати еще раз бы хотелось поднять данный вопрос, ранее я спрашивал можно ли хостить сайт с информацией о некоторых сотрудниках... тем более что данную информацию мы должны размещать на сайте в соответствии с N 334-ФЗ
от 04,11,14??

В прессе мелькала инфа про планы переноса сроков на 01.09.12015. О других изменениях пока не слышал.

С уважением,
Андрей Кирьянов

17

Re: Запрет западного хостинга

Про перенос то понятно... все еще интересно могу ли я хостить сайт с такой информацией забугром или нет?!)

18

Re: Запрет западного хостинга

VitaliyN пишет:

Про перенос то понятно... все еще интересно могу ли я хостить сайт с такой информацией забугром или нет?!)

Мало подробностей.
Может быть Вам просто собрать с работников, данные которых забугорно хостятся, согласие на обработку ПДн?
Кстати какое отношение Ваше забугорье имеет к реестру благонадежных стран РКН?

С уважением,
Андрей Кирьянов

19

Re: Запрет западного хостинга

VitaliyN пишет:

Кстати еще раз бы хотелось поднять данный вопрос, ранее я спрашивал можно ли хостить сайт с информацией о некоторых сотрудниках... тем более что данную информацию мы должны размещать на сайте в соответствии с N 334-ФЗ
от 04,11,14??

1. Это должен быть официальный сайт компании
2. Если компании резидент РФ, то сервера компании должны быть расположены в РФ (149-ФЗ выполнять надо с 01.08.2014).
Для госсистем уже установлена ответственность:
Информационные системы государственных органов и организаций уже давно из справочных информационных ресурсов превратились в один из важных инструментов системы управления. Федеральный закон от 31 декабря 2014 года № 531-ФЗ «О внесении изменений в статьи 13 и 14 Федерального закона «Об информации, информационных технологиях и о защите информации» и Кодекс Российской Федерации об административных правонарушениях» не только уточнил, где должны размещаться информационные системы российских государственных органов и организаций, но и установил административные наказания за нарушение этих требований.
Закон вступает в силу 1 июля 2015 года, так что у владельцев информационных систем есть всего полгода на то, чтобы перенести их на территорию Российской Федерации.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

20

Re: Запрет западного хостинга

Dmitry Leviev пишет:

2. Если компании резидент РФ, то сервера компании должны быть расположены в РФ (149-ФЗ выполнять надо с 01.08.2014).

Дмитрий, а где это установлено, я вот не могу найти такое требование в 149-ФЗ...

21

Re: Запрет западного хостинга

Смотрите требования расширенной статьи 10.
по официальным сайтам хорошо сказал Михаил Юрьевич: все что хостится не у нас легко попадает под блокировку за нарушение со стороны РКН, а  мегарегулятор за это уже накажет по полной вплоть до отзыва лицензии.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

22

Re: Запрет западного хостинга

Просто Статья 10.1. Обязанности организатора распространения информации в сети "Интернет",
распространяется только на те ИС которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети "Интернет"!

А у нас Веб сайт, чисто информационный, там нет возможности принимать, передавать, доставлять и (или) обрабатывать электронных сообщений пользователей сети "Интернет"....

Поэтому то я и задаю вопрос...

23

Re: Запрет западного хостинга

Официальная информация по переносу

Федеральный закон от 31.12.2014 N 526-ФЗ
"О внесении изменения в статью 4 Федерального закона "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях"

Статья 1

Внести в статью 4 Федерального закона от 21 июля 2014 года N 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях" (Собрание законодательства Российской Федерации, 2014, N 30, ст. 4243) изменение, изложив ее в следующей редакции:

"Статья 4

Настоящий Федеральный закон вступает в силу с 1 сентября 2015 года.".

Статья 2

Настоящий Федеральный закон вступает в силу со дня его официального опубликования.

Опубликован на официальном интернет-портале правовой информации http://www.pravo.gov.ru - 31.12.2014).

С уважением,
Андрей Кирьянов

24

Re: Запрет западного хостинга

avk пишет:

В соответствии с Федеральным законом от 21.07.2014 N 242-ФЗ с 1 сентября 2016 года часть 4 статьи 16 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" будет дополнена пунктом 7 следующего содержания:
"7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, ХРАНЕНИЕ, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.".

avk пишет:

Да, почти так. Публиковать можно, но только на ресурсах, хостинг которых расположен на территории РФ. Железный занавес, релиз 2016. Возможно я сгущаю краски, но аргументированных возражений выдвинутой гипотезе пока не вижу.
Вы думаете, те кто писал закон задумывались, что получилось в результате?
Как показывает ситуация с 97-ФЗ выдвинутые требования могут поменяться.

Увы мой самый пессимистичный прогноз пока сбывается.

Коллеги, обращаю ваше внимание на статью в блоге А. Лукацкого на эту тему:

http://lukatsky.blogspot.ru/2015/02/242.html

С уважением,
Андрей Кирьянов