Сервер персональные данные

Персональные данные: успеть обеспечить защиту! Часть 2

В конце декабря 2014 года был принят закон, в соответствии с которым требование о хранении персональных данных с помощью серверов, расположенных на территории России, распространяется на операторов не с 1 сентября 2016 года, как планировалось первоначально, а уже с 1 сентября 2015 года (Федеральный закон от 31 декабря 2014 г. № 526-ФЗ). Разговоры о досрочном введении этого положения в действие велись с сентября 2014 года, когда в Госдуму был внесен соответствующий законопроект 1 . Авторы документа предлагали изменить срок вступления в силу нового правила на 1 января 2015 года, но в итоге было принято решение перенести эту дату на восемь месяцев.

МАТЕРИАЛЫ ПО ТЕМЕ

И у юристов, и у программистов возникло немало вопросов, касающихся особенностей хранения персональных данных россиян на серверах, находящихся на территории России (ст. 2 Федерального закона от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», далее – Закон № 242-ФЗ). Однако до настоящего времени ни законодатель, ни Роскомнадзор никаких разъяснений не дали. Разберемся, какие пробелы содержит Закон № 242-ФЗ, возможна ли при его реализации трансграничная передача данных и какие предложения по совершенствованию новых норм были выдвинуты.

Неопределенность в реализации новых требований

Можно выделить несколько затруднений, которые могут возникнуть при выполнении требований Закона № 242-ФЗ.

Однако некоторые эксперты полагают, что положения закона несколько шире, чем изначальный замысел законодателя, и считают необходимым ограничить действие Закона № 242-ФЗ определенными сферами деятельности и определенной персональной информацией, которую и нужно обязательно дублировать на российские серверы.

Это не пустой вопрос, поскольку от детализации персональных данных, подпадающих под новые требования, напрямую зависят объем информации, который надо локализовать на территории России, и объем требуемых на это издержек. «Наши IT-подразделения находятся в замешательстве, поскольку они не имеют понятия, что конкретно переносить с иностранных серверов на локальные. Например, нужно ли брать в расчет почтовые серверы или достаточно перенести серверы, которые обрабатывают основные персональные данные (заключение договоров, начисление заработной платы и т. д.). В настоящее время «правила игры» нам не известны», – сетует руководитель отдела по взаимодействию с государственными органами власти компании по производству товаров ежедневного спроса ООО «Юнилевер Русь» в России, Украине и Беларуси Александр Дубровский.

Закон не определяет, что такое «базы данных». Закон № 242-ФЗ требует хранить персональные данные с помощью баз данных, расположенных в России, однако не уточняет, что считается базами данных и каков порядок работы с ними. Одни эксперты отмечают, что даже обычный текстовый файл при определенном форматировании может считаться базой данных, тогда как другие склонны понимать под этим отдельный сервер или группу серверов, с помощью которых обеспечивается целостность и сохранность данных. Есть и иные точки зрения.

Андрей Прозоров, ведущий эксперт по информационной безопасности группы компаний InfoWatch:

«Что такое база данных и как ее вести – не определено, поэтому некоторые операторы считают, что офисные компьютеры – это и есть их локальная база данных. Да, персональные данные впоследствии куда-то направляются, но локальная база данных на территории России есть, следовательно, требованиям закона деятельность организации полностью соответствует. Это значит, что до тех пор, пока требование законодателя не будет детально прописано, формально его можно считать выполненным даже при таких условиях».

Трудно определить принадлежность персональных данных гражданину РФ. Определить гражданство субъекта персональных данных не всегда возможно – подавляющее большинство операторов не используют конкретизирующую информацию (паспортные или иные данные), которая позволяла бы установить этот факт. Не исключено, что Роскомнадзор может проверять IP-адреса на предмет их принадлежности российским операторам либо будет уточнять информацию по зарегистрированному у российского оператора номеру телефона субъекта персональных данных. Но поскольку ни один из этих способов не гарантирует принадлежность персональных данных исключительно россиянам, существует риск того, что ограничить круг лиц гражданами России даже в этих случаях не удастся. Это значит, что, не имея возможности установить российское гражданство субъекта, большинству операторов придется переносить на российские серверы все обрабатываемые им персональные данные, что существенно усложнит процесс.

Отсутствует указание на возможность параллельного хранения и обработки данных как в России, так и за рубежом. Среди специалистов мнения по этому поводу разделились. Одни утверждают, что Закон № 242-ФЗ однозначно обязывает хранить персональные данные россиян исключительно на территории России. Другие же говорят, что раз нет прямого запрета, параллельное хранение информации на российских и заграничных серверах вполне возможно, поскольку в действующем законодательстве разрешена так называемая трансграничная передача персональных данных. Напомним, под ней понимается передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (ст. 3, ст. 12 закона о персональных данных). Главное – обеспечить копирование этой информации на российские серверы.

В замешательстве находятся и иностранные компании, которые так или иначе имеют дело с персональными данными россиян.

Дмитрий Яковлев, генеральный директор интернет-магазина путешествий OZON.travel:

«Основной вопрос, на который хотелось бы получить ответ, – какую цель ставил перед собой законодатель? Если читать закон буквально и считать, что его действие распространяется в том числе и на зарубежных операторов, которые обязаны строить дополнительные серверы в России и переносить туда персональные данные россиян, то надо отказываться от интернет-технологий вообще. Если же мы говорим, что этому требованию должны соответствовать только российские юридические лица, то тут все гораздо проще. Однако конкретных разъяснений Роскомнадзор пока не дал».

Инициативы и предложения

Одной из наиболее значимых инициатив в свете новых требований является идея Правительства РФ об увеличении штрафа за нарушение законодательства о персональных данных. За рубежом штраф за такое нарушение значительно выше российского. Например, в Испании он составляет от 40 тыс. до 600 тыс. евро, во Франции – 150-300 тыс. евро, в Германии – до 300 тыс. евро с конфискацией незаконно полученной прибыли, в Великобритании – до 500 тыс. фунтов, а в Италии за соответствующее нарушение взыскивается административный штраф в размере до 1,5 млн евро.

Законопроект 2 кабмина (на данный момент он готовится к первому чтению) предлагает установить для юридических лиц штраф от 15 тыс. до 300 тыс. руб. в зависимости от состава, тогда как в настоящее время максимальный размер штрафа за подобные нарушения для них составляет всего 10 тыс. руб. (ст. 13.11 КоАП РФ). К слову, законопроект предусматривает несколько составов правонарушения вместо одного, существующего в настоящее время (например, обработка персональных данных с нарушением требований к составу сведений, включаемых в согласие на обработку персональных данных субъекта; обработка персональных данных без согласия субъекта и в отсутствие предусмотренных иных условий обработки персональных данных; невыполнение оператором обязанности по опубликованию или размещению его политики в отношении обработки персональных данных и др.).

Предложение увеличить размер штрафов согласуется с мнениями многих экспертов, считающих, что соблюдение требований Закона № 242-ФЗ напрямую зависит от размера штрафов, установленных за их нарушение. Андрей Прозоров убежден: «До тех пор, пока у нас не повысятся штрафы и не будет формализовано понятие базы данных, крупные операторы, чтобы не тратить денег, будут трактовать закон по-своему».

Однако если Закон № 242-ФЗ еще в законную силу не вступил и поэтому пока реальной угрозы для компаний не представляет, равно как и административная ответственность за нарушение его норм, то не стоит забывать о так называемом «законе о блогерах» (Федеральный закон от 5 мая 2014 г. № 97-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей»). Напомним, его нормы действуют уже с 1 августа 2014 года.

Андрей Прозоров, ведущий эксперт по информационной безопасности группы компаний InfoWatch:

Эксперты сходятся во мнении о том, что с учетом нынешних технических возможностей Закон № 242-ФЗ не готов к внедрению в быстрые сроки. По оценкам крупных компаний, им потребуется порядка трех лет для того, чтобы перенести все свои базы данных в Россию. «По опыту могу сказать, что у законодателя уже есть видение, как этот закон будет реализован, как он будет применяться, однако до нас эта информация пока не доведена. Мы придерживаемся мнения, что необходимо исключить из объектов регулирования внутренние корпоративные сети, поскольку они не являются публичными, носят ограниченный характер и недоступны для третьих лиц. Также считаем, что необходимо ограничить действие Закона № 242-ФЗ в отношении работодателей, которые обрабатывают персональные данные для исполнения трудового законодательства в России», – предлагает Александр Дубровский.

Источник: http://www.garant.ru/article/606315/

Вступил в силу закон о хранении и обработке персональных данных россиян с использованием серверов, находящихся на территории России

Установлен порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства РФ в области персональных данных. Сегодня вступил в силу Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

Также предусмотрено создание Реестра нарушителей прав субъектов персональных данных, в котором будут отражены сведения об интернет-сайтах, содержащих информацию, обрабатываемую с нарушением законодательства РФ в области персональных данных. Сегодня вступает в силу и постановление Правительства РФ от 19 августа 2015 г. № 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных».

Отметим, в начале августа Минкомсвязи России на своем официальном сайте разъяснило порядок применения новых правил. В частности, был разрешен спорный вопрос о допустимости трансграничной передачи данных – ведомство отметило, что подобные действия закон не нарушают. Кроме того, Минкомсвязи России посчитало, что под действие поправок не попадают российские и иностранные авиакомпании, и подчеркнуло, что правила нового закона распространяются исключительно на российских резидентов.

Портал ГАРАНТ.РУ узнал, как отразятся новые требования на работе крупных компаний. Так, в пресс-службе «Вконтакте» отметили, что личные данные пользователей этой социальной сети всегда хранились на территории России, поэтому никаких затруднений новые требования не вызовут. В свою очередь, по сообщению пресс-службы Mail.Ru Group, компания также готова к соблюдению вступающего в силу закона. «Для наших пользователей при этом ничего не изменится», – подчеркнули представители компании. Готова к вступлению в силу указанного закона и компания Enter – ее серверы находятся на территории РФ.

С другими документами, вступившими в силу сегодня, можно ознакомиться в нашем Правовом календаре.

Источник: http://www.garant.ru/news/648095/

Защита персональных данных «ИСПДн в облаке»

На основании аудита, мы подготовим Защищенный контур ИСПДн, с использованием сертифицированных средств защиты информации, который удовлетворяет требованиям актуальных нормативных документов с предоставлением Заказчику МУ ИСПДн для ЦОД (Модель угроз для УЗ-1,УЗ-2 и УЗ-3).

О чем 152-ФЗ и ИСПДн

Что вы получите

152-ФЗ обязывает предприятие соблюдать стандарты организации информационных систем, которые связаны с обработкой персональных данных. Организация обязана обеспечить защиту прав и свобод человека и гражданина, в том числе на неприкосновенность частной жизни, личную и семейную тайну.

Это означает, что организации обязаны:

1. обеспечить законность сбора персональных данных;
2. построить систему защиты по требованиям ФСТЭК и ФСБ;
3. разработать внутреннюю документацию;
4. постоянно актуализировать систему защиты персональных данных.

Это дорого и трудозатратно. Поэтому можно воспользоваться нашими услугами по внедрению ИСПДн.

В качестве услуги вы получаете систему защиты информации с использованием сертифицированных средств защиты, которая по-настоящему обеспечивают защиту персональных данных.

В данной системе будут находиться ваша информационная система и все персональные данные клиентов.

Также вы получаете пакет документов, который подтверждает надежность хранения персональных данных для регулирующих органов.

Стоимость

Отправить заявку

Стоимость услуги складывается из 3 компонентов, которые индивидуальны для каждого заказчика, мы озвучиваем минимальные ориентировочные цены:

ИСПДн от 7000₽/месяц;

• единоразовый платеж от 23.000₽;
• инфраструктура — от 1000₽/месяц.

Все цены включают НДС.

На основании аудита, мы подготовим Защищенный контур ИСПДн, с использованием сертифицированных средств защиты информации, который удовлетворяет требованиям актуальных нормативных документов с предоставлением Заказчику МУ ИСПДн для ЦОД (Модель угроз для УЗ-1,УЗ-2 и УЗ-3).

Ваши выгоды:

Кратчайшие сроки

Подготовка защищенной инфраструктуры от двух дней!

Надежная инфраструктура

Организация отказоустойчивой системы в ЦОДе, подбор SLA в зависимости от требований бизнеса. Наши ЦОДы находятся на территории РФ.

Поддержка

Подготовка комплекта организационно-распорядительной документации, помощь с подачей уведомления в Роскомнадзор, оказание консультации при возникновении вопросов в сфере защиты ПДн.

Соблюдение законодательства

Мы создадим систему защиты для любого уровня безопасности, необходимого, с использованием сертифицированных средств защиты данных.

Наша компания обладает всеми необходимыми лицензиями для защиты вашей информации

О персональных данных

Что же можно считать персональными данными? По определению это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных).

С 1-ого сентября 2015-ого вступил в силу Федеральный закон Российской Федерации от 21 июля 2014 г. N 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», обязывающий операторов персональных данных переносить свои системы и базы данных на сервера, физически располагающиеся на территории РФ.

Прочитать подробнее про размещение систем персональных данных в «облаке» можно здесь.

Источник: http://invs.ru/for-business/protection-of-personal-data/

Как выполнить требования ФЗ-152 «О персональных данных» клиентам FirstVDS

Закон ФЗ-152 касается всех, кто занимается обработкой персональных данных. Прежде чем озвучить требования закона, разберёмся с основными понятиями.

Персональные данные — информация, прямо или косвенно относящаяся к определённому лицу. Данные, на основе которых можно идентифицировать человека: фамилия, имя, отчество, телефон и email, телефон и ФИО, дата или место рождения, адрес, семейное, социальное или имущественное положение, образование, профессия, доходы и др.

Обработка персональных данных — любые действия, совершаемые с использованием средств автоматизации или без них. В частности, сбор, запись, накопление, хранение, уточнение, извлечение, передача, обезличивание, блокирование, удаление, уничтожение данных.

Если занимаетесь обработкой персональных данных:

Вы должны оповестить Роскомнадзор — отправить уведомление в территориальный орган. Образец документа можно посмотреть на сайте РКН.

Можно не оповещать Роскомнадзор. Закон № 152-ФЗ предусматривает такие случаи. Один из них — когда данные получены при заключении договора и используются только для исполнения этого договора. Например, для предоставления услуг хостинга телефон и email необходимы как средство идентификации клиента, а фамилия, имя и отчество для обработки платежей.

При этом персональные данные не предоставляются третьим лицам без согласия владельца.

Если вы не используете данные клиентов иным образом, уведомлять РКН не требуется. Но соблюдать требования, предъявляемые к защите персональных данных, необходимо в любом случае:

1. Оператор, который собирает персональные данные в сети Интернет, должен опубликовать на своём сайте документ с политикой в отношении обработки персональных данных.
   При разработке такой политики рекомендуем учитывать позицию Роскомнадзора.
2. Оператор должен хранить и обрабатывать персональные данные на территории РФ.
   Если вы производите обработку персональных данных на нашем оборудовании, то соблюдаете требование закона о месте размещения баз данных.
   Наш дата-центр находится по адресу 141400, г. Химки, Московская область, ул. Нагорное шоссе.
   Укажите это в уведомлении для РКН.

В статье указана позиция нашего юриста. Позиция другого юриста в отношении ФЗ-152 «О персональных данных» может отличаться. Вы также можете направить свои вопросы непосредственно в Роскомнадзор.

Источник: http://firstvds.ru/blog/articles/trebovaniya-fz-152

Информационная безопасность

Постройте защищенные информационные системы вместе с Selectel

Комплекс услуг, решений и средств защиты для обеспечения информационной безопасности ваших корпоративных систем, созданных с использованием инфраструктуры Selectel. Наши сервисы помогут вам создать систему защиты информации, выполнить требования бизнеса и законодательства.

Сервисы информационной безопасности и защиты данных

Защита от DDoS-атак

Защита серверов и приложений от DDoS-атак любой мощности.

Аренда сетевого оборудования для защиты сети

Межсетевое экранирование, организация защищенных VPN-соединений от дата-центра до удаленных офисов и мобильных пользователей.

Модуль защиты API

Модуль защиты идентифицирует запросы злоумышленников в режиме реального времени для результативного устранения уязвимостей.

Средства WAF

Средства фильтрации трафика для защиты web-приложений.

Готовые решения

Выделенные серверы в защищенном сегменте ЦОД

Физическая безопасность и защита сети в соответствии с 152-ФЗ.

Подходит для информационных систем, которые обрабатывают коммерческую тайну, медицинские, биометрические и прочие высоко конфиденциальные данные.

Комплексная защита web-приложений

Платформа для комплексной защиты интернет-проектов от сетевых атак и уязвимостей.

Какие задачи мы решаем

Сетевая безопасность информационных систем и организация управления инцидентами.

Защита персональных данных по 152-ФЗ и хранение по 242-ФЗ.

Комплексная защита веб-сервисов, нейтрализация DDoS-атак.

Защита коммерческой тайны компании. Создание собственного защищенного сетевого периметра в дата-центре Selectel.

Создание безопасной инфраструктуры для подключения вашей компании к государственным ИС.

Защита от вирусов-шифровальщиков, майнеров и другого вредоносного ПО.

Источник: http://selectel.ru/services/is/

Особенности применения закона о локализации персональных данных на практике: рекомендации для бизнеса

Вот уже более девяти месяцев действует так называемый закон о локализации персональных данных (Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»; далее – Закон № 242-ФЗ). Он обязывает операторов обеспечивать запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных россиян с использованием баз данных, находящихся на территории России. Первоначально требования закона были недостаточно точно конкретизированы, в результате чего у представителей бизнеса возникло множество вопросов. Однако большую их часть удалось разрешить еще до вступления Закона № 242-ФЗ в силу. Оставалось ждать, как принятый закон будет реализовываться на практике. И теперь, чуть меньше года спустя, можно выделить ряд наиболее распространенных проблем, с которыми столкнулся бизнес в процессе его применения.

Идентификация баз данных

До 1 сентября 2015 года компании уведомляли Роскомнадзор о категории персональных данных, перечне действий с ними, целях их обработки, обеспечении безопасности и др. С указанной даты у них появилась еще одна обязанность – сообщать о месте нахождения базы данных информации, содержащей персональные данные россиян (п. 10.1 ч. 3 ст. 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Все эти сведения должны быть отражены в уведомлении, подаваемом в Роскомнадзор.

Таким образом, теперь любой оператор персональных данных должен знать, какие именно информационные системы, содержащие базы данных, он использует и где они расположены.

Наталья Иващенко, к.ю.н., руководитель межотраслевой группы юридической компании «Пепеляев Групп» :

«До вступления в силу законодательного требования о локализации персональных данных Роскомнадзор на практике ограничивался документальной проверкой соблюдения требований Закона № 242-ФЗ. Поскольку требований к месту расположения персональных данных не предъявлялось, то компании сообщали о тех персональных данных, которые содержались во внутренних информационных системах, которые для них были очевидны (например, база данных сотрудников компании). После ужесточения регулирования компании начали задумываться о том, какие в принципе базы данных они используют, и в каком месте они расположены. Законодательные изменения послужили драйвером для инвентаризации используемых баз данных».

Чтобы идентифицировать базу данных для ее переноса на российские серверы, следует провести аудит ее содержимого. Если обнаружено наличие персональных данных россиян: ФИО, дата рождения, паспортные данные и т. д., эту информацию необходимо локализовать. При этом, как отмечает руководитель группы разработки IT-компании «AT Consulting» Михаил Алексеев, перенести базу данных можно как полностью, так и частично (когда речь идет о переносе не всей информации, а только находящихся в этой базе персональных данных). «Первый вариант наиболее прост и удобен в реализации, а также более экономически оправдан. Со вторым могут возникнуть технические проблемы, поскольку приложениям в этом случае придется работать сразу с двумя базами данных, – добавляет он. – В документах локализуемая база данных должна быть однозначно определена своим IP, портом и именем».

Если оператор не уведомит Роскомнадзор о тех базах данных, которые он использует при обработке персональных данных россиян, это может стать основанием для проверки со стороны регулятора. При этом, уточняет Наталья Иващенко, Роскомнадзор может не ограничиться лишь документальной проверкой, а провести опрос сотрудников, а на его основе осуществить проверку с использованием технических средств и выявить «незаявленные» базы данных. Это может повлечь за собой административную ответственность юридического лица в виде штрафа в размере до 10 тыс. руб. (ст. 13.11 КоАП РФ). При этом компания не освобождается от обязанности устранить выявленное нарушение.

Для соблюдения требований закона Наталья Иващенко рекомендует предпринять следующие шаги:

• Провести инвентаризацию всех информационных систем/баз данных и составить их список.
• Определить место нахождения каждой информационной системы/базы данных. При этом стоит отметить, что далеко не все базы данных должны быть расположены в России. Обязательное требование о локализации персональных данных означает, что в России должен осуществляться именно первичный сбор таких данных. Обработка и хранение данных могут производится за рубежом.
• Описать информационную систему/базу данных, содержащую сведения о конкретных видах персональных данных, которыми она оперирует. Каких-либо требований к подобному описанию законодательством и подзаконными нормативными актами не предусмотрено. На практике достаточно определить название информационной системы/базы данных, место ее расположения и сведения о видах (категориях) персональных данных.

Использование персональных данных материнской компанией за рубежом

Многие иностранные холдинги сталкиваются с проблемой локализации, когда встает вопрос об использовании персональных данных россиян головной организацией, находящейся за пределами России. В данном случае важно понимать, какие именно действия осуществляются с персональными данными за рубежом. Как уточняет руководитель группы правовой защиты информации компании «Пепеляев Групп» Дмитрий Зыков, лишь «первоначальный» сбор персональных российских граждан за границей является нарушением закона (ч. 5 ст. 18 закона о персональных данных). Таким образом, соответствующая информация при этом обязательно должна быть локализована.

А вот персональные данные россиян, собранные представительством или филиалом этой организации в России, а потом переданные зарубежной материнской компании, вполне могут использоваться для дальнейшей обработки, хранения и т. д.

Передача персональных данных аутсорсинговой компании

В последнее время услуги аутсорсинга становятся все более востребованными. Однако передавая провайдеру определенные функции, ему нередко дают и доступ к персональным данным. Переходит ли при этом к аутсорсеру обязанность по их локализации? Ведь, по общему правилу, ответственным лицом за соблюдение требований о защите персональных данных он не является. В этом случае также важно определить, каким образом будет использоваться полученная информация.

Если же компания передает свою базу данных организации-аутсорсеру (например, в целях оказания бухгалтерских услуг, ведения кадрового делопроизводства и др.), в договоре необходимо отдельно прописать, что провайдер аутсорсинговых услуг принимает на себя обязательство по применению мер защиты полученных персональных данных и обеспечению конфиденциальности информации. В таком случае аутсорсинговая организация становится оператором персональных данных, который обязан, в том числе, соблюдать требования закона о локализации соответствующих данных.

Источник: http://www.garant.ru/article/748180/

Сервер персональные данные

После вступления в силу п.4 ч.2 ст.19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» каждое предприятие обязано привести свои информационные системы и процессы, связанные с обработкой персональных данных, в соответствие с требованиями Законодательства РФ.

Что это означает для юридических лиц?

Организации обязаны обеспечить защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Таким образом они становятся «организациями-операторами персональных данных». Контролировать выполнения требований Законодательства будет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), ФСТЭК и ФСБ России.

Федеральный закон касается компаний любой организационной формы – это и государственные органы, федеральные и муниципальные учреждения: банки, страховые компании, медицинские учреждения, операторы связи, интернет-магазины, торговые сети, производственные компании и прочие организации, обрабатывающие персональные данные, полученные от работников, клиентов и иных физических и юридических лиц.

В обязанности организации-оператора входит:

• обеспечение законности обработки персональных данных;
• построение системы защиты персональных данных в соответствии с требованиями ФСТЭК и ФСБ России;
• отправка уведомления в Роскомнадзор;
• разработка внутренней документации;
• проведение аттестационных испытаний или оценки соответствия;
• систематическая актуализация системы защиты персональных данных.

Зачастую, это оказывается сложной и затратной задачей, в том числе и из-за необходимости получения документа, подтверждающего эффективность принятых мер защиты персональных данных. Именно поэтому большинство компаний предпочитает оптимизировать этот процесс за счет поиска надежного партнера с готовым решением во внешней виртуальной инфраструктуре.

Для исполнения всеми юридическими лицами на территории России одноименного закона ФЗ-152 мы — хостинг Clodo.ru в сотрудничестве с компанией WELLSERVICE — предлагаем менее затратное и трудоёмкое решение: вынесение систем хранения и обработки персональных данных в защищенную облачную систему, которую мы называем – «ИСПДн в облаке».

Серверы для информационных систем персональных данных (ИСПДн) предоставляется любым компаниям, расположенным на территории и являющимися резидентами Российской Федерации.

Что такое «ИСПДн в облаке»?

Продукт «ИСПДн в облаке» – отдельный защищенный виртуальный сервер, по выбранному вами тарифу, полностью соответствующий требованиям ФЗ-152.

Каждый «ИСПДн в облаке» – полностью изолированный объект. Это означает, что доступ к вашему ИСПДн со стороны хостинг-провайдера заблокирован с помощью сертифицированных средств защиты и абсолютно конфиденциален!

Конфиденциальность обрабатываемой информации достигается за счет:

• Доступ к данным находящимся на «ИСПДн в облаке» ограничен с помощью сертифицированных ФСТЭК России средств защиты от несанкционированного доступа (НСД) и с помощью функций гипервизора виртуальных машин (являющего частью сертифицированного средства защиты).
• Данные, передаваемые по каналам связи от терминала организации-оператора персональных данных до сетевого интерфейса виртуальной машины, шифруются с помощью сертифицированного ФСБ России средства криптографической защиты информации (СКЗИ). Дисковые образы виртуальных машин также шифруются с помощью СКЗИ.
• Ни один из дата-центров не обладает никакими ключами доступа к средствам СКЗИ, размещённым в виртуальной машине клиента. Так, например, для загрузки операционной системы на VPS клиент самостоятельно вводит пароль от криптоконтейнера, содержащего системный раздел. Эта процедура реализована с применением специально разработанного нашей компанией загрузчика операционной системы на виртуальной машине. При этом, ключи доступа в любой момент могут быть перегенерированы пользователем виртуальной машины самостоятельно, а криптоконтейнер соответственно может быть перешифрован.
• Доступность и целостность обрабатываемой информации обеспечивается применением зарезервированных каналов связи, надёжных систем хранения данных, устройств охлаждения и бесперебойного питания. Наши партнеры – лучшие дата-центы России: Миран, IXCellerate, KIAEHOUSE.

Что «ИСПДн в облаке» дает компаниям в России?

Простая процедура: мы возьмем на себя весь комплекс организационно-правовых и технических работ — разработка модели угроз безопасности, концепцию системы защиты, методику аттестации, непосредственное проведение аттестационных испытаний и оформление аттестата соответствия. Выбрав наш продукт «ИСПДн в облаке», вам НЕ ПОТРЕБУЕТСЯ ПОЛУЧАТЬ СОГЛАСИЕ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ при их сборе.

Существенная экономия: наш продукт освобождает компанию-заказчика от затрат на создание и владение защищенной IT-инфраструктурой для хранения, обработки и защиты персональных данных. Более того, размещение ИСПДн в облаке предоставляется как услуга, компания-заказчик не имеет капитальных затрат.

Наши преимущества:

• защищенная система «ИСПДн в облаке» прошла все необходимые аттестации, как полностью соответствующая всем требованиям законодательства РФ в области персональных данных;
• полное соответствие требованиям ФСТЭК и ФСБ России всех аппаратных, программных, а также сетевых элементов системы;
• вам не потребуется получать согласие субъектов персональных данных при их сборе;
• консультации и сопровождение на всех этапах внедрения и работы с продуктом.
• полный пакет организационно-распорядительных и регламентирующих документов;
• отсутствие капитальных затрат.

Каков процесс оказания услуг?

Регистрация представителя компании-заказчика на нашем сайте и последующее заполнение анкеты-заявки на услугу «ИСПДн в облаке»: необходимость аттестации, реквизиты организации, вид деятельности.

В зависимости от требований ИСПДн вы выбираете подходящий тарифный план с нужными параметрами сервера: объемом диска и оперативной памяти.

Заключение договора на оказание услуги «ИСПДн в облаке» и проведение оплаты.

На основании предоставленных данных мы подготовим для вас комплект организационно-распорядительных и регламентирующих документов, включая положение о персональных данных, акт классификации ИСПДн, модель угроз и другие необходимые документы. Специалист нашей компании проконтролирует правильность заполнения и утверждения этих документов.

Мы согласовываем с вами дату выездной аттестации рабочего места. После выезда специалиста и проверки всех требований к рабочему месту, вы получаете аттестат соответствия и весь пакет документов, удостоверяющий полное соответствие вашей ИСПДн требованиям и нормам №152-ФЗ «О персональных данных» и всех подзаконных актов.

Схема организации услуги

Наши лицензии и аттестаты

Тарифные планы

* Стоимость защищенного сервера ИСПДн с пакетом документов и процедурой аттестации при оплате за 1 год.

Продажа защищенной инфраструктуры для хранения и обработки персональных данных по представленным тарифным планам осуществляется с минимальным сроком — 1 год.

При заказе первого сервера в ИСПДн взымается установочная плата в размере 11 300 рублей.

Источник: http://clodo.ru/ispdn

Соответствие 152-ФЗ

Создание системы защиты персональных данных (СЗПДн)

Надежная защита персональных данных формирует доверие между компанией и аудиторией. Выбирая продукт или решение, потенциальные клиенты предпочтут компанию, которая гарантирует сохранность личной информации, чем ту, которая этого не делает.

Риски связаны не только с оттоком потенциальных клиентов. Нарушение законодательства в отношении персональных данных может привести к серьезным штрафам и даже блокировкам ресурсов.

Чтобы этого не произошло, и вы смогли создать информационные системы, соответствующие 152-ФЗ, Selectel возьмет часть работы с персональными данными на себя.

Мы предоставим защищенную по требованиям 152-ФЗ инфраструктуру, приведем ваши информационные системы в соответствие с законом «О персональных данных», реализуем комплекс организационно-правовых и технических работ, а также организуем постоянное администрирование созданной системы.

Работайте с персональными данными по правилам

Обеспечьте безопасность персональных данных своих клиентов, размещая их на защищенной инфраструктуре Selectel. Требования распространяются на деятельность операторов ПДн, процессы получения и передачи персональных данных, а также на информационные системы, в которых эти данные обрабатываются. Ответственность за компоненты будет распределена между клиентом и провайдером.

Для информационных систем

на инфраструктуре Selectel

Этапы построения системы защиты персональных данных

для каждой информационной системы (ИС)

Разместить информационные системы в Selectel

В зависимости от требований безопасности к вашей информационной системе, подберем подходящую IT-инфраструктуру: выделенные серверы в аттестованном сегменте ЦОД или облако на базе VMware, соответствующее требованиям 152-ФЗ.

Дата-центры, в которых размещается IT-инфраструктура, находятся на территории России. Это обязательное условие выполнения требований локализации персональных данных.

Для предоставляемой инфраструктуры, находящейся в зоне ответственности Selectel, проведена оценка эффективности применяемых мер обеспечения безопасности персональных данных в соответствии с 152-ФЗ.

Провести аудит информационной системы персональных данных

Проверить соответствие вашей информационной системы требованиям законодательства в области обработки и защиты персональных данных (ПДн), оценить риски и последствия невыполнения требований.

• Проанализировать бизнес-процессы и определить те, в ходе которых производится обработка персональных данных.
• Зафиксировать информационные системы, обрабатывающие персональные данные.
• Описать реализуемые меры и применяемые средства защиты информации.
• Уточнить перечень персональных данных, способы их получения, цели и законность обработки.
• Определить требуемый уровень защищенности персональных данных и применимые к нему требования законодательства.
• Подготовить документы, регламентирующие процессы обработки персональных данных с учетом особенностей информационной системы (SaaS-сервис, интернет-магазин, веб-проект, корпоративная система и пр.).

• Отчет об обследовании с описанием процессов обработки персональных данных, уровнем их соответствия требованиям законодательства.
• Организационно-распорядительная документация по обработке персональных данных (ПДн). В зависимости от вашей задачи и уже реализованных мер может разрабатываться для отдельной информационной системы или компании в целом и всех информационных систем.

Выполнить проектирование системы защиты персональных данных

Определить актуальность угроз безопасности информации, разработать проектную документацию на систему защиты ИСПДн, сформировать спецификацию средств защиты и оценить стоимость их внедрения, учитывая особенности IT-инфраструктуры.

• Определить актуальные угрозы безопасности информации.
• Спроектировать систему защиты, которая будет адаптирована под вашу инфраструктуру и процессы ее администрирования с учетом требований законодательства.
• Подобрать необходимые средства защиты, в том числе сертифицированные ФСТЭК. Проверить их совместимость с используемой IT-инфраструктурой и приложениями.
• Разработать план миграции в защищенную инфраструктуру.
• Рассчитать стоимость внедрения системы защиты с учетом IT-инфраструктуры.

• Технический проект:
  • схема реализации системы защиты,
  • спецификация (состав) применяемых средств защиты,
  • спецификация (состав) услуг, реализующих меры по обеспечению безопасности персональных данных.
• Расчет стоимости внедрения и оценки эффективности системы защиты.

Получить необходимые средства защиты или сервисы информационной безопасности

Выбрать средства защиты информации в соответствии со спецификацией, составленной на этапе проектирования. Selectel поможет с настройкой и обслуживанием в рамках постоянного администрирования средств защиты информации.

• Купить или арендовать необходимые средства защиты информации, которые предусмотрены разработанной на этапе проектирования спецификацией.
• Если у вас нет штата специалистов по информационной безопасности, используйте сервисы от Selectel с круглосуточным администрированием.

• Подключенные сервисы и настроенные средства защиты информации реализуют меры обеспечения безопасности.

Провести оценку эффективности принимаемых мер обеспечения безопасности персональных данных

Получить документ, подтверждающий, что система соответствует требованиям 152-ФЗ. Проводить оценку эффективности следует до ввода в эксплуатацию информационной системы и повторять при внесении изменений в систему или не реже, чем раз в 3 года.

• Провести испытания системы и оценить эффективность принимаемых мер защиты.

• Акт оценки эффективности системы защиты персональных данных, подтверждающий соответствие вашей ИСПДн требованиям 152-ФЗ.

Провести аттестацию информационной системы на соответствие требованиям законодательства (если она требуется)

Организовать проведение аттестации. Ее может проводить только организация, у которой есть лицензия. Даже если аттестация не обязательна, она гарантирует корректность реализации требований законодательства в области обработки и защиты ПДн.

• Организовать проведение аттестации информационной системы с привлечением лицензиатов ФСТЭК.

Преимущества разработки системы защиты персональных данных в Selectel

Лицензии ФСТЭК И ФСБ

Мы имеем необходимые лицензии для проектирования системы защиты персональных данных и оказания услуг по защите информации, в том числе с использованием средств криптографической защиты информации.

Инфраструктура, о которой мы знаем все

Ваши информационные системы расположены на инфраструктуре Selectel. Никто не знает ее лучше нас, а это значит, что мы можем подобрать решение по защите информации с учетом совместимости средств защиты, используя сервисы по защите от несанкционированного доступа.

Надежные партнеры

Система защиты создается с использованием средств от мировых лидеров и ведущих российских производителей.

Для проведения аттестации мы привлекаем лицензиатов ФСТЭК. Они подтверждают достаточность применяемых мер по защите персональных данных.

Квалификация специалистов

Наши сотрудники более 10 лет создают системы защиты персональных данных, выполняя требования закона, помогают операторам персональных данных пройти внешние аудиты и проверку Роскомнадзора, а также реализовывают системы сетевой безопасности и защиты серверной инфраструктуры.

Рассчитать стоимость создания системы защиты информации и выполнения требований 152-ФЗ

Перечень выполняемых работ	Ответственность	Стоимость	Длительность

Предоставление IT-инфраструктуры Selectel от 2 000 руб./месяц Мгновенно Аудит ИСПДн Заказчик Проектирование СЗПДн Заказчик Необходимые средства защиты или сервисы информационной безопасности Selectel от 3 000 руб./месяц 7-14 дней Оценка эффективности Заказчик

Перечень выполняемых работ	Ответственность	Стоимость	Длительность

Предоставление IT-инфраструктуры Selectel от 2 000 руб./месяц Мгновенно Аудит ИСПДн Подрядчик единоразово от 180 000 руб. 20-30 дней Проектирование СЗПДн Подрядчик единоразово от 200 000 руб. 15-25 дней Необходимые средства защиты или сервисы информационной безопасности Selectel от 3 000 руб./месяц 7-14 дней Оценка эффективности Подрядчик единоразово от 60 000 руб. 5-15 дней

Перечень выполняемых работ	Ответственность	Стоимость	Длительность

Предоставление IT-инфраструктуры Selectel от 12 000 руб./месяц 3-5 дней Аудит ИСПДн Заказчик Проектирование СЗПДн Заказчик Необходимые средства защиты или сервисы информационной безопасности Selectel от 3 000 руб./месяц 7-14 дней Оценка эффективности Заказчик

Перечень выполняемых работ	Ответственность	Стоимость	Длительность

Предоставление IT-инфраструктуры Selectel от 12 000 руб./месяц 3-5 дней Аудит ИСПДн Подрядчик единоразово от 180 000 руб. 20-30 дней Проектирование СЗПДн Подрядчик единоразово от 200 000 руб. 15-25 дней Необходимые средства защиты или сервисы информационной безопасности Selectel от 3 000 руб./месяц 7-14 дней Оценка эффективности (аттестация ИСПДн, если она требуется) Подрядчик единоразово от 120 000 руб. 5-15 дней

Цена всех услуг указана с учетом НДС 20%

Вместе с услугой заказывают

Защитите веб-приложения от атак и снизьте риски, связанные с уязвимостями сервисов.

Миграция в облако

Перенесем ваши сервисы на облачную инфраструктуру Selectel и партнеров.

Защита от DDoS-атак

Снизьте риск недоступности информационных систем и сайта.

Остались вопросы по защите ИСПДн?

Задайте их нашим специалистам по защите персональных данных. Они проконсультируют и подберут решение.

Источник: http://selectel.ru/solutions/pdps/