Какие законы должны соблюдать зарубежные компании, приходя на российский рынок
В середине марта соцсети Facebook и Twitter были оштрафованы российским судом по иску Роскомнадзора на 4 млн руб. каждая. Причина — несоблюдение федерального закона «О персональных данных» №152-ФЗ. Компании отказались хранить персональные данные российских пользователей в России. Добьется ли Роскомнадзор выплаты штрафов от соцсетей или нет, пока неясно. Однако в случае неуспеха, у ведомства появится законный повод заблокировать Facebook и Twitter на территории РФ. Эта история — иллюстрация того, какие последствия могут грозить иностранным компаниям, которые не соблюдают законодательство РФ в части информационной безопасности (ИБ).
Такого размера штрафы, конечно, выписывают только «злостным нарушителям», которые систематически игнорируют требования закона и предписания регуляторов. Для сравнения, штрафы за нарушение GDPR (General Data Protection Regulation) — аналога ФЗ-152 в Евросоюзе — еще больше, и доходят до 20 млн евро.
Что до России, то в контексте ИБ санкции могут отличаться в зависимости от того, какой нормативный документ нарушается. Кроме ФЗ-152, зарубежным компаниям, которые занимаются денежными переводами, нужно учитывать, например, требования Положения № 382-П. А требования ГОСТ Р 57580 — вообще всем финансовым организациям. Расскажем, к чему должен готовиться иностранный бизнес, приходя на рынок РФ.
Локализация персональных данных
Персональные данные (ПД) в понимании Роскомнадзора — определение достаточно широкое: это и ФИО, и номер телефона, и email, и биометрия, и вероисповедание, и даже cookies, которые собирают сайты. Организации или физические лица, которые обрабатывают ПД, называются операторами данных.
Зарубежная компания «пересекает» виртуальную границу России в нескольких случаях. Самые распространенные:
- у сайта иностранной компании появляется русскоязычная версия;
- оплата услуги — например, при покупке физических товаров или цифрового контента — происходит в российских рублях;
- у сайта российский домен верхнего уровня: .ru, .рф, .рус;
- пользователям сайта показывается русскоязычная реклама.
Пример такой компании — китайский ритейлер AliExpress, у которого есть русскоязычный сайт aliexpress.ru.
Во всех этих и подобных случаях ПД российских граждан должны собираться, обрабатываться, храниться и обновляться в базе данных, которая физически размещена на территории России — например, на сервере, установленном в одном из российских ЦОДов.
[important]Здесь важно отметить, что локализация ПД российских граждан не ограничивает их последующую трансграничную передачу. То есть компания вполне может хранить копию рабочей БД на сервере где-нибудь в Нидерландах. Главное, чтобы основная БД находилась в РФ.[/important]Согласно статьи 13.11 Кодекса РФ об административных правонарушениях оператор данных, вне зависимости от юрисдикции, несет ответственность за нарушения обработки персональных данных. В числе таких нарушений:ФЗ-152, кроме того, накладывает на иностранные компании (ИК) те же обязательства, что и на российские в части защиты персональных данных. ИК должны применять необходимые методы защиты информации, использовать разрешенные технические средства и способы обработки ПД. Чтобы привести всё это в соответствие с российским законодательством, лучше всего привлечь местного аудитора с релевантным опытом, который может провести профессиональную оценку соответствия федеральному закону №152-ФЗ.
- обработка ПД без письменного согласия физического лица;
- отсутствие на сайте информации о политике обработки ПД;
- непредоставление физическому лицу информации, связанной с обработкой его данных.
Штрафы за подобные правонарушения — до 75 тыс. руб. Также административный кодекс налагает отдельную ответственность за непредставление или несвоевременную подачу в госорган информации о деятельности по обработке данных (статья 19.7 КоАП) — за это предусмотрен штраф до 5 тыс. руб. При повторном нарушении статьи размер штрафа может быть увеличен до 6 млн руб., — что и было применено в отношении Facebook и Twitter.
Положение 382-П
9 июня 2012 года начало действовать Положение ЦБ РФ № 382-П о защите информации, связанной с денежными переводами. Согласно Положению, операторы, которые осуществляют переводы денежных средств — банки, платежные агенты, субагенты и шлюзы, операторы международных и национальных платежных систем, расчетные и клиринговые центры — должны обеспечивать защиту информации, которая так или иначе задействуется в процессе денежного перевода. К таким операторам относятся как российские, так и зарубежные компании, которые занимаются этой финансовой деятельностью на территории России.
Что относится к информации, которую необходимо защищать: данные о держателях платежных карт, о денежных средствах на счетах пользователей, о совершенных денежных переводах, ПД держателей карт и прочие данные, которые обрабатываются в результате перевода.
[important]Регламент Положения № 382-П устанавливает подробный перечень обязанностей, которые должны выполнять операторы для обеспечения защиты этой информации. За несоблюдение требований 382-П предусмотрены внеплановые проверки Центробанка, в особых случаях — штрафы.[/important]Для того, чтобы обеспечить защиту информации согласно 382-П, российские и иностранные компании могут привлекать сторонние организации — аудиторов, которые проводят оценку состояния безопасности ИТ-инфраструктуры и процессов на предмет соответствия Положению, и у которых есть профильные лицензии ФСБ и ФСТЭК.
Безопасность банковских операций
Новый стандарт Банка России ГОСТ Р 57580 призван повысить безопасность финансовых, в том числе банковских, операций. Он вступает в силу в 2021 году. Под действие ГОСТ Р 57580 попадают любые финансовые организации (ФО) — российские и иностранные, — работающие на территории РФ. К таким ФО, кроме банков, относятся операционные и клиринговые центры, платежные системы, а также некредитные ФО вроде страховых компаний, рейтинговых агентств и т. п .
Новый ГОСТ описывает набор технических и организационных мероприятий, которые должны обеспечить определенный уровень ИБ; кроме того, определяет методику проведения оценки соответствия ГОСТ Р 57580, которая частично возложена на сами ФО.
Стандарт сложный, содержит большой список требований — всего их около 600.
[important]Главная проблема с ГОСТ Р 57580 в том, что большинство ФО — и не только за рубежом, но даже в России — не готовы к нему. Как показывает опыт ITGLOBAL.COM, чтобы привести процессы в соответствие с новым стандартом, требуется, как минимум, несколько месяцев. Говоря короче и конкретнее, чем раньше иностранная компания проведетоценку своей ИТ-инфраструктуры и процессов на соответствие ГОСТ Р 57580, тем лучше.[/important]Штрафы за несоответствие стандарту могут достигать 0,1% от уставного капитала. Среди прочих санкций — приостановка деятельности компании на территории РФ.
Критическая ИТ-инфраструктура
Несколько лет назад в России появился новый федеральный закон — № 187-ФЗ. В нем описываются так называемые объекты критической информационной инфраструктуры (КИИ) — важные объекты ИТ-инфраструктуры, телеком-сети, а также всевозможное ПО, — которые функционируют в стратегических для государства сферах. К таким сферам относятся, например, наука и здравоохранение, транспорт и оборонная промышленность — список довольно широкий.
К владельцам объектов КИИ могут причислять и зарубежные компании, которые работают с объектами критической ИТ-инфраструктуры в России — например, западных импортеров и интеграторов оборудования, а также программного обеспечения, задействованного в одной из перечисленных выше отраслей.
Неправомерное воздействие на КИИ России, даже если оно ненамеренное, грозит различными санкциями: штрафами до нескольких млн руб., а в отдельных случаях — и уголовным наказанием.
[important]Сравнительная жесткость закона не случайна: атаки (особенно — кибератаки) на критическую инфраструктуру — проблема, актуальная сегодня не только для России.[/important]Компании, которые попадают под действие 187-ФЗ, обязаны самостоятельно провести категорирование объектов КИИ и согласовать их с ФСТЭК. Помочь с этой процедурой могут эксперты по информационной безопасности.
Заключение
Если провести аналогию с западными стандартами по информационной безопасности, то ФЗ-152 — это GDPR. А Положение 382-П и ГОСТ Р 57580 во многом похожи на нормативный акт SOX, а также стандарты PCI DSS и ISO 27000 вместе взятые.
Поэтому было бы заблуждением думать, что упомянутые в статье нормативные акты и их отдельные пункты — например, необходимость локализации ПД — какой-то уникальный, чисто российский феномен, придуманный для создания дополнительных препятствий иностранным компаниям в России. Тот же ФЗ-152 по многим пунктам даже менее требователен, чем GDPR: у европейского закона более жесткие требования по уровню защиты ПД, их объему и срокам хранения, не говоря уже о на порядок более высоких штрафах.
Оптимальный вариант для иностранных организаций, планирующих вести бизнес в России — обратиться к российской аудиторской компании, которая бы помогла оперативно привести бизнес-процессы и инфраструктуру в соответствие требованиям местного законодательства. Необходимый минимум такого аудитора — многолетний опыт работы в сфере информационной безопасности и подтвержденное лицензиями право на проведение аудиторских проверок.