Облако ФЗ-152


Облако ФЗ-152

Храните персональные данные ваших сотрудников или клиентов в защищенном частном облаке, соответствующем требованиям ФЗ-152.

Хранение персональных данных (ФЗ-152)

Решение «Облако ФЗ 152» упрощает соблюдение требований законодательства 152-ФЗ для операторов ПДн и помогает избежать нарушений, связанных с хранением персональных данных российских граждан.

Решения для клиентов предоставляется как на базе иностранного, так и отечественного ПО, включая решения импортозамещения.

Какой уровень защищённости вам нужен

Компании, так или иначе работающие с ПДн, обязаны выполнять требования ФЗ-152, обеспечивая защиту этих данных. В законе перечислены четыре категории персональных данных:

Общедоступные

Данные из открытых источников, которые опубликованы самим человеком или с его согласия. Например, список участников забега, опубликованный на сайте и в соцсетях организатора.

Биометрические

Биологические и физиологические характеристики, позволяющие идентифицировать человека. Например, отпечаток пальца, скан радужки глаза, ДНК.

Специальные

Информация о расовой принадлежности, состоянии здоровья, политических взглядах человека. Например, история болезни, поставленный врачами диагноз.

Персональные данные, которые не относятся к перечисленным ранее категориям. Это может быть корпоративная информация о партнёрах и сотрудниках, датах их отпуска, зарплате.

Уровень защиты зависит не только от категорий обрабатываемых данных, но и других факторов. Оставьте заявку, чтобы наши специалисты помогли вам определить, какой уровень защищённости вам нужен.

Определить уровень защищённости

Какие услуги мы предлагаем

В зависимости от категории размещенных информационных систем персональных данных, исполнение требований ФЗ-152 может включать в себя довольно длинный список задач. Специалисты по информационной безопасности Cloud4Y готовы взять на себя следующие обязанности.

  1. Проведение аудита инфраструктуры клиента, определение уровня защищённости персональных данных и требований к защите
  2. Разработка модели угроз в соответствии с методиками ФСБ
  3. Проектирование архитектуры системы защиты персональных данных
  4. Разработка пакета документов (модель угроз, технический дизайн, организационная документация и т. д.)
  5. Внедрение средств информационной защиты
  6. Разработка программы и методологии оценки эффективности мер информационной безопасности в соответствии с 21 приказом ФСТЭК России

Наши лицензии

Преимущества хранения персональных данных в облаке Cloud4Y

  • Наличие аттестатов УЗ1-4, 1К, 1Г
  • Средства защиты информации (СЗИ), лицензированные ФСБ и ФСТЭк
  • Наличие сертификатов на защитные элементы облака
  • Защита от несанкционированного доступа к данным
  • Возможность работы с базами данных SQL, 1C

Самостоятельная защита ПДн vs. Хостинг ФЗ-152 в облаке

В таблице представлено сравнение в преимуществах размещения информационных систем персональных данных в защищённом облаке ФЗ-152 по сравнению с самостоятельной организацией и аттестацией инфраструктуры.

Самостоятельная защита

Необходимость аттестации инфраструктуры

Необходимость подготовки аудиторскую и отчётную документацию в исполнительные органы регулярно и / или по запросу

Хранение ПДн в частном облаке Cloud4Y

Защищенная инфраструктура провайдера прошла аттестацию лицензиатами ФСТЭК и подтвердила её соответствие требованиям безопасности 1УЗ, 1Г и 1К

Специалисты ИБ провайдера принимают ответственность за своевременную и качественную подготовку документации

Подключить облако ФЗ-152

Как организована защита информации в облаке ФЗ-152

Для приведения инфраструктуры ИСПДн в соответствие с требованиями ФЗ-152 часто рассматривают защиту информации на уровне дата-центра и уровне вендора.

Уровень дата-центра

Уровень вендора

Организационные меры защиты информации включают разработка внутренних документов, регламентирующих обработку персональных данных, определение ответственных лиц, определение уровня защищённости персональных данных и требований по защите

К техническим или программным мерам относятся межсетевой экран, антивирус Dr.Web, анализ защищённости, средства регистрации и учёта, шифрование данных и другое

схема работы Облака ФЗ 152

Почему стоит доверять Cloud4Y

Оптическое кольцо, MetroCluster и механизмы резервирования позволяют гарантировать отказоустойчивость сервисов на уровне до SLA 99.99%

Отзывы

Использование облачных технологий позволяет нам выстраить ИТ-инфраструктуру в точном соотвествии с потребностями проекта и в кратчайшие сроки. Специалисты компании оперативно и грамотно помогают решить текущие вопросы в процессе эксплуатации выделенного сервера. У нас остались только самые позитивные впечатления. Работа специалистов и менеджеров на высоте!

ООО «Флекс» выполняет в полном объеме взятые на себя обязательства по договору. Все утвержденные регламенты и SLA соблюдаются в полном объеме. Процессы оказания услуг выстроены, техническая поддержка выполняет задачи в соответствии с взятыми на себя обязательствами по скорости и качеству решения возникающих вопросов.

Cloud4Y, на наш взгляд, — это настоящее облако со всеми преимуществами. Большой проект или маленький, ресурсов будет достаточно, а инфраструктуры хватит для любых бизнес-целей. Профессиональная команда провайдера собрала в эффективную систему программное и аппаратное обеспечение от мировых лидеров: VMware, HP, NetApp, Juniper Networks.

МикроАрт

ООО «МикроАрт», используя облачный отказоустойчивый сервер на Linux для сбора и передачи данных с температурных датчиков, мы гарантировали стабильную работу собственного сервиса облачной телеметрии с Real-time аналитикой.

Наша компания обратилась к фирме «Флекс» около 3 лет назад в поисках платформы для безопасного, надёжного и производительного использования ИТ-услуг и приложений. Используя облачные технологии, мы смогли предложить нашим клиентам абсолютно новые услуги и тарифы для наших программных продуктов.

Пользуемся в компании арендой виртуального сервера. Понравился гибкий подход, доступная стоимость и стабильность сервера!

Выбрав Cloud4Y, нам не нужно беспокоиться об обновлениях, патчах безопасности и настройках конфигурации. Облако просто использовать и такой подход экономичен, так как помогает компании снизить затраты на ИТ из-за меньшего количества специалистов, которые необходимы в штате организации. Мы увеличили производительность, возможно, по лучшей цене на рынке и получили отличную рентабельность инвестиций.

Мы перешли на виртуальную инфраструктуру в рамках стратегии цифровизации, которая предполагает использование гибких, масштабируемых, надёжных и экономичных решений. Инженерно-технические решения провайдера позволили бесшовно мигрировать в «облако», сохранив непрерывность наших бизнес-процессов. Все дальнейшие работы по настройке и обслуживанию инфраструктуры специалисты Cloud4Y выполнялись быстро и качественно.

Мы исключили существенные инвестиционные затраты на закупку оборудования для проведения обучающих курсов по продуктам.
Гибкость, эффективное масштабирование облачной инфраструктуры Cloud4Y позволили нам обеспечить проведение разноплановых учебных курсов с разными требованиями к инфраструктуре для большого числа участников в реальном времени.

Инфралайф

Обратившись в Cloud4Y, мы сразу получили сертифицированный в соответствии с требованиями виртуальный дата-центр по модели IaaS. За весь период сотрудничества с компанией Cloud4Y можно выделить основные плюсы: стабильность работы предоставляемого сервиса и быстрое выполнение текущих заявок со стороны службы технической поддержки.

Все наши заявки обрабатываются быстро и результативно. Сервис Cloud4Y отличается доступностью и удобством использования.

Нормативно-Правовая База

Ознакомьтесь с Перечнем нормативных правовых актов, устанавливающих обязательные требования к осуществлению деятельности юридических лиц и индивидуальных предпринимателей за соответствием обработки персональных данных требованием законодательства Российской Федерации в области персональных данных по ссылке.

Подзаконные и ведомственные нормативные акты в сфере защиты прав субъектов персональных данных.

План Роскомнадзора по проведению плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей 2017 году можно скачать по ссылке. Перечень нормативных правовых актов, непосредственно регулирующих проведение проверок, доступен здесь.

Мы построили в нашем дата-центре защищённый контур, прошедший аттестацию по требованиям безопасности в соответствии с ФЗ-152 и получивший аттестат соответствия по защите персональных данных до 1 уровня защищённости включительно. И мы помогаем нашим клиентам закрыть вопрос соответствия с технической точки зрения. Государственным учреждениям также могут быть интересны Аттестат соответствия 1-го класса для государственных информационных систем (согласно 17-му приказу ФСТЭК) и аттестат на защиту конфиденциальной информации по классу 1Г (согласно СТР-К).

Оператором персональных данных по ФЗ-152 считается юридическое и физическое лицо, государственных или муниципальный орган, осуществляющий обработку и сбор персональных данных для целей отличных от целей трудового законодательства, и определяет цели и содержание такой обработки персональных данных.

Цель инициативы ФЗ-152 определяется Статьёй 2 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) “О персональных данных” «Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну».

Действие законодательства ФЗ-152 распространяется на каждый бизнес, государственный или муниципальный орган, физическое лицо, осуществляющее обработку персональных данных в целях отличных от соблюдения требования трудового законодательства.

  • Медицина (государственная и частная)
  • Учебные учреждения
  • Кредитно-финансовые учреждения
  • Сфера страхования
  • Операторы сотовой связи
  • Компании туриндустрии
  • Агентства по подбору персонала
  • Пассажирские перевозки
  • Риэлторские компании
  • HR отдел и бухгалтерия любой компании

Ответственность за несоблюдение требований по ФЗ-152 определяется текстом самого документа, а также недавним Федеральным Законом ФЗ № 405 «О внесении изменений в отдельные законодательные акты Российской Федерации».

На сегодняшний день штрафы по ФЗ-152 и другие меры ответственности оговариваются Федеральным Законом ФЗ № 405 «О внесении изменений в отдельные законодательные акты Российской Федерации», который вступил в силу 02 декабря 2019 года.

Предмет нарушения «Невыполнение оператором при сборе персональных данных… обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ» 13.11 КоАП.

Административный штраф за первичное нарушение требований законодательства для граждан – до 50 000 рублей, для должностных лиц – до 200 000 рублей и для юридических лиц – до 6 000 000 рублей. Повторное выявление нарушений, влечёт за собой 2х, а то и 4х кратное увеличение размера штрафа. Для граждан – в размере до 100 000 рублей; для должностных лиц —до 800 000 рублей; на юридических лиц — до 18 000 000.

Стоимость организации защиты зависит от того, решили вы самостоятельно «строить» и аттестовать инфраструктуру, или обратились к облачному провайдеру. По опыту взаимодействия с клиентами, стоимость аренды ресурсов облака зачастую ниже на 30-50% на долгосрочную перспективу 2-5 лет.
Стоимость рассчитывается индивидуально под заказчика, с учётом объёмов, уровня защищённости, сроков размещения.

На практике ведение общей базы персональных данных для нескольких организаций является распространённым решением. Но будет ли в данном случае соблюдаться 5 статья 152 ФЗ о персональных данных с точки зрения избыточности данных? Не будут ли ПДн сотрудников одной организации считаться избыточными относительно другой организации? Как правильно оформить документы для каждой организации, если ИСПДн общая и информация в ней избыточна?

На самом деле избыточность касается именно состава персональных данных субъекта. Например, для заключения трудового договора информация о медицинских диагнозах или биометрические данные являются избыточными. Хранение этих данных не соответствует заявленным целям.

Нет ограничений которые бы запрещали обрабатывать персональные данные в одной информационной системе различными юр. лицами. По этой модели работают многие сервисы в Интернете. Например CRM Битрикс24.

Однако в данном случае важно, чтобы администратор информационной системы соответствующим образом построил систему защиты, чтобы данные одних пользователей не были доступны другим пользователям.

Если Вы не нашли ответ на свой вопрос, перейдите в нашу базу знаний, задайте его нашим консультантам на сайте, используя онлайн-чат, или напишите запрос в поддержку, используя тикет систему.


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *