Облако ФЗ-152

Аренда облачной инфраструктуры для хранения персональных данных сотрудников или клиентов в защищенном облаке, соответствующем требованиям ФЗ-152 о персональных данных.

Хранение персональных данных (хостинг ФЗ-152)

Решение «Облако ФЗ 152» упрощает соблюдение требований законодательства 152-ФЗ для операторов ПДн и помогает избежать нарушений, связанных с хранением персональных данных российских граждан.

Решения для клиентов предоставляется как на базе иностранного, так и отечественного ПО, включая решения импортозамещения.

Конфигуратор цен

White Paper об обработке данных

Мы обновили White Paper — подробное руководство по защите персональных данных по ФЗ-152.

Скачать White Paper

Какой уровень защищённости вам нужен?

Компании, так или иначе работающие с ПДн, обязаны выполнять требования ФЗ-152, обеспечивая защиту этих данных. В законе перечислены четыре категории персональных данных:

Общедоступные

Данные из открытых источников, которые опубликованы самим человеком или с его согласия. Например, список участников забега, опубликованный на сайте и в соцсетях организатора.

Биометрические

Биологические и физиологические характеристики, позволяющие идентифицировать человека. Например, отпечаток пальца, скан радужки глаза, ДНК.

Специальные

Информация о расовой принадлежности, состоянии здоровья, политических взглядах человека. Например, история болезни, поставленный врачами диагноз.

Иные

Персональные данные, которые не относятся к перечисленным ранее категориям. Это может быть корпоративная информация о партнёрах и сотрудниках, датах их отпуска, зарплате.

Уровень защиты зависит не только от категорий обрабатываемых данных, но и других факторов. Оставьте заявку, чтобы наши специалисты помогли вам определить, какой уровень защищённости вам нужен.

Какие услуги мы предлагаем

В зависимости от категории размещенных информационных систем персональных данных, исполнение требований ФЗ-152 может включать в себя довольно длинный список задач. Специалисты по информационной безопасности Cloud4Y готовы взять на себя следующие обязанности.

Проведение аудита инфраструктуры клиента, определение уровня защищённости персональных данных и требований к защите
Разработка модели угроз в соответствии с методиками ФСБ
Проектирование архитектуры системы защиты персональных данных
Разработка пакета документов (модель угроз, технический дизайн, организационная документация и т. д.)
Внедрение средств информационной защиты
Разработка программы и методологии оценки эффективности мер информационной безопасности в соответствии с 21 приказом ФСТЭК России

Наши лицензии и аттестаты

Лицензия ФСТЭК на деятельность по технической защите информации

Лицензия ФСТЭК на деятельность по разработке средств защиты информации

Лицензия ФСБ на использование и распространение криптографических средств стр1

Преимущества хранения персональных данных в облаке Cloud4Y

Наличие аттестатов УЗ1-4, 1К, 1Г
Средства защиты информации (СЗИ), лицензированные ФСБ и ФСТЭк
Наличие сертификатов на защитные элементы облака
Защита от несанкционированного доступа к данным
Возможность работы с базами данных SQL, 1C

Самостоятельная защита ПДн vs. Хостинг ФЗ-152 в облаке

В таблице представлено сравнение в преимуществах размещения информационных систем персональных данных в защищённом облаке ФЗ-152 по сравнению с самостоятельной организацией и аттестацией инфраструктуры.

Самостоятельная защита		Хранение ПДн в частном облаке Cloud4Y
100% юридическая ответственность по ФЗ-152		Освобождение от юридической ответственности по 152-ФЗ (хранение данных)
Высокий CAPEX на закупку оборудования, лицензий профессиональных средств защиты		NO CAPEX, возможность использовать общесистемное и специальное ПО провайдера
Необходимость аттестации инфраструктуры		Защищенная инфраструктура провайдера прошла аттестацию лицензиатами ФСТЭК и подтвердила её соответствие требованиям безопасности 1УЗ, 1Г и 1К
Простой более 30% оборудования		Почасовой биллинг и постоплата исключают плату за неиспользуемые ресурсы+
Необходимость держать в штате специалиста по информационной безопасности		Специалисты технического отдела и отдела ИБ провайдера всегда на связи
Необходимость подготовки аудиторскую и отчётную документацию в исполнительные органы регулярно и / или по запросу		Специалисты ИБ провайдера принимают ответственность за своевременную и качественную подготовку документации

Как организована защита информации в облаке ФЗ-152

Для приведения инфраструктуры ИСПДн в соответствие с требованиями ФЗ-152 часто рассматривают защиту информации на уровне дата-центра и уровне вендора.

Уровень дата-центра

Дата-центры Tier III

24/7 охрана, видеонаблюдение, многоуровневый контроль доступа

Источники бесперебойного питания, дизель-генераторные установки

Автоматическая система тушения пожара

Уровень вендора

Организационные меры

Организационные меры защиты информации включают разработка внутренних документов, регламентирующих обработку персональных данных, определение ответственных лиц, определение уровня защищённости персональных данных и требований по защите

Технические меры

К техническим или программным мерам относятся межсетевой экран, антивирус Dr.Web, анализ защищённости, средства регистрации и учёта, шифрование данных и другое

Почему стоит доверять Cloud4Y

15 лет в «облаках»

С 2009 года компания успешно работает на российском и иностранном рынках облачных услуг.

Надёжная инфраструктура

4 дата-центра уровня TIER III, оборудование и ПО от ведущих вендоров уровня Enterprise.

Базовый SLA 99.982%

Оптическое кольцо, MetroCluster и механизмы резервирования позволяют гарантировать отказоустойчивость сервисов на уровне до SLA 99.99%

Прозрачная система расчётов

Почасовой биллинг и pay-as-you-go позволяют платить только за реально потребленные ресурсы.

Геораспределённое резервное копирование

Автоматическое создание резервной копии (14 точек восстановления) в отдельном геоудалённом ЦОД.

Гибкое масштабирование

Увеличивайте и уменьшайте ресурсы без обращения в техподдержку.

Техническая поддержка 24/7

Специалисты технической поддержки ответят в течении 10 минут на любой запрос.

Партнёрская программа

Зарабатывайте с Cloud4Y до 35% от годового контракта. White Label доступен.

Скачайте подробную презентацию о продукте. Скачать презентацию

Отзывы

МБИ Евразия

Пользуемся в компании арендой виртуального сервера. Понравился гибкий подход, доступная стоимость и стабильность сервера!

ЗАО МБИ Евразия

ДомКлик (Сбербанк)

За время нашего сотрудничества у нас не возникло ни одной претензии к технической реализации и качеству услуг. В Cloud4Y мы видим партнера, к которому можно обратиться за технической консультацией в решении ПТ задач бизнеса.
Дополнительно хочется отметить комфортную схему расчетов, оперативную пред и постпродажную поддержку, выгодные опциональные услуги и своевременную реакцию на запросы в техподдержку.

Редер А. Б. Исполнительный директор

МикроАрт

ООО «МикроАрт», используя облачный отказоустойчивый сервер на Linux для сбора и передачи данных с температурных датчиков, мы гарантировали стабильную работу собственного сервиса облачной телеметрии с Real-time аналитикой.

А. В. Джинчарадзе Директор

Инфралайф

Обратившись в Cloud4Y, мы сразу получили сертифицированный в соответствии с требованиями виртуальный дата-центр по модели IaaS. За весь период сотрудничества с компанией Cloud4Y можно выделить основные плюсы: стабильность работы предоставляемого сервиса и быстрое выполнение текущих заявок со стороны службы технической поддержки.

Все наши заявки обрабатываются быстро и результативно. Сервис Cloud4Y отличается доступностью и удобством использования.

С. В. Лаптев Генеральный директор

Киномакс

Выбирая облачного провайдера, мы принимали решение скрупулёзно. Нам важно строить открытые долгосрочные отношения со своими Партнерами, одним из которым стал ООО "Флекс" Cloud4Y.
В работе мы ценим честность. Хотя в течение срока совместной работы и случались сложности, мы проходили через них, положившись на профессионализм и человеческие качества команды провайдера.

Нартов Д. А. Генеральный директор АО «Киномакс»

ФАДН России

Для обеспечения функционирования и развития настоящей системы ФАДН России необходимо было решить 2 задачи: обеспечение отказоустойчивой аттестованной в соответствии с ФЗ-152 инфраструктурой, а также аттестация нашей части инфраструктуры в соответствии с законодательством «О персональных данных» 152-ФЗ по наивысшему уровню защиты информации. Агентство также интересовала финансовая сторона вопроса, при сохранности высокого уровня услуг и технической поддержки.

Все вышеперечисленные задачи удалось решить в полном объёме с облачным оператором Cloud4Y.

Д. Е. Савельев Начальник Управления анализа, прогноза и работы с иностранными гражданами

Positive Technologies

Мы исключили существенные инвестиционные затраты на закупку оборудования для проведения обучающих курсов по продуктам.
Гибкость, эффективное масштабирование облачной инфраструктуры Cloud4Y позволили нам обеспечить проведение разноплановых учебных курсов с разными требованиями к инфраструктуре для большого числа участников в реальном времени.

Сенченко О.Б. Директор департамента ИТ

ДАТА 3 Консалтинг

Компания «ДАТА 3 Консалтинг» реализует ИТ-проекты для корпоративных клиентов в различных отраслях. Наши решения — это инструменты, которые мы применяем, чтобы помочь клиентам компании управлять данными эффективно.

Облачный провайдер Cloud4Y (ООО «Флекс») предоставил «ДАТА 3 Консалтинг» удобную и легко масштабируемую ИТ-инфраструктуру в облаке, которая нас полностью удовлетворяет. Потреблением ресурсов можно управлять прямо из личного кабинета — зашёл, создал виртуальную машину, настроил ресурсы, потребил, выключил. Техническая поддержка также реагирует быстро, профессионально помогая решать все возникающие вопросы.

И. А. Губанов Генеральный директор

Фонд содействия реформированию ЖКХ

ООО «Флекс» выполняет в полном объеме взятые на себя обязательства по договору. Все утвержденные регламенты и SLA соблюдаются в полном объеме. Процессы оказания услуг выстроены, техническая поддержка выполняет задачи в соответствии с взятыми на себя обязательствами по скорости и качеству решения возникающих вопросов.

С.Л. Сучков Заместитель генерального директора

Платёжный Центр

За время сотрудничества с компанией мы не испытывали проблем ни с производительностью, ни с отказами в работе сервисов. Выделенные ресурсы всегда соответствуют заявленным в договоре, что является большим преимуществом!

Более того, все обращения в техподдержку рассматривались очень оперативно. Специалисты оставались на связи до полного разрешения вопроса.

Компания «Платёжный Центр» выражает благодарность и надеется на дальнейшее плодотворное сотрудничество.

П. А. Плохута IT-директор

Нормативно-Правовая База

Ознакомьтесь с Перечнем нормативных правовых актов, устанавливающих обязательные требования к осуществлению деятельности юридических лиц и индивидуальных предпринимателей за соответствием обработки персональных данных требованием законодательства Российской Федерации в области персональных данных по ссылке.

Подзаконные и ведомственные нормативные акты в сфере защиты прав субъектов персональных данных.

План Роскомнадзора по проведению плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей 2017 году можно скачать по ссылке. Перечень нормативных правовых актов, непосредственно регулирующих проведение проверок, доступен здесь.

FAQ

В чем суть услуги облако ФЗ-152?

Мы построили в нашем дата-центре защищённый контур, прошедший аттестацию по требованиям безопасности в соответствии с ФЗ-152 и получивший аттестат соответствия по защите персональных данных до 1 уровня защищённости включительно. И мы помогаем нашим клиентам закрыть вопрос соответствия с технической точки зрения. Государственным учреждениям также могут быть интересны Аттестат соответствия 1-го класса для государственных информационных систем (согласно 17-му приказу ФСТЭК) и аттестат на защиту конфиденциальной информации по классу 1Г (согласно СТР-К).

Кто такой оператор персональных данных по ФЗ-152?

Оператором персональных данных по ФЗ-152 считается юридическое и физическое лицо, государственных или муниципальный орган, осуществляющий обработку и сбор персональных данных для целей отличных от целей трудового законодательства, и определяет цели и содержание такой обработки персональных данных.

В чём цель ФЗ-152 «О персональных данных»?

Цель инициативы ФЗ-152 определяется Статьёй 2 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных" «Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну».

На кого распространяются требования ФЗ-152?

Действие законодательства ФЗ-152 распространяется на каждый бизнес, государственный или муниципальный орган, физическое лицо, осуществляющее обработку персональных данных в целях отличных от соблюдения требования трудового законодательства.

Перечень отраслей, для которых обработка персональных данных является приоритетной:

Медицина (государственная и частная)
Учебные учреждения
Кредитно-финансовые учреждения
Сфера страхования
Операторы сотовой связи
Компании туриндустрии
Агентства по подбору персонала
Пассажирские перевозки
Риэлторские компании
HR отдел и бухгалтерия любой компании

Какая ответственность за нарушение ФЗ-152

Ответственность за несоблюдение требований по ФЗ-152 определяется текстом самого документа, а также недавним Федеральным Законом ФЗ № 405 «О внесении изменений в отдельные законодательные акты Российской Федерации».

Каковы меры наказания, в том числе штрафы за нарушение ФЗ-152?

На сегодняшний день штрафы по ФЗ-152 и другие меры ответственности оговариваются Федеральным Законом ФЗ № 405 «О внесении изменений в отдельные законодательные акты Российской Федерации», который вступил в силу 02 декабря 2019 года.

Предмет нарушения «Невыполнение оператором при сборе персональных данных… обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ» 13.11 КоАП.

Административный штраф за первичное нарушение требований законодательства для граждан - до 50 000 рублей, для должностных лиц - до 200 000 рублей и для юридических лиц – до 6 000 000 рублей. Повторное выявление нарушений, влечёт за собой 2х, а то и 4х кратное увеличение размера штрафа. Для граждан - в размере до 100 000 рублей; для должностных лиц —до 800 000 рублей; на юридических лиц — до 18 000 000.

Сколько стоит защитить персональные данные по ФЗ-152?

Стоимость организации защиты зависит от того, решили вы самостоятельно «строить» и аттестовать инфраструктуру, или обратились к облачному провайдеру. По опыту взаимодействия с клиентами, стоимость аренды ресурсов облака зачастую ниже на 30-50% на долгосрочную перспективу 2-5 лет. Стоимость рассчитывается индивидуально под заказчика, с учётом объёмов, уровня защищённости, сроков размещения.

Можете ли вы помочь в подготовке документации?

Да, можем (предоставляем готовые шаблоны или берём на себя весь процесс подготовки под ключ).

Как организован канал передачи данных?

Используется шифрованный по Российскому ГОСТ канал через VipNet-координатор.

Считается ли избыточностью хранение ПДн разных организаций в одной БД

На практике ведение общей базы персональных данных для нескольких организаций является распространённым решением. Но будет ли в данном случае соблюдаться 5 статья 152 ФЗ о персональных данных с точки зрения избыточности данных? Не будут ли ПДн сотрудников одной организации считаться избыточными относительно другой организации? Как правильно оформить документы для каждой организации, если ИСПДн общая и информация в ней избыточна?

На самом деле избыточность касается именно состава персональных данных субъекта. Например, для заключения трудового договора информация о медицинских диагнозах или биометрические данные являются избыточными. Хранение этих данных не соответствует заявленным целям.

Нет ограничений которые бы запрещали обрабатывать персональные данные в одной информационной системе различными юр. лицами. По этой модели работают многие сервисы в Интернете. Например CRM Битрикс24.

Однако в данном случае важно, чтобы администратор информационной системы соответствующим образом построил систему защиты, чтобы данные одних пользователей не были доступны другим пользователям.

Что такое хостинг по ФЗ-152?

Хостинг по ФЗ-152 — это услуга, обеспечивающая хранение и обработку персональных данных граждан Российской Федерации на серверах, расположенных на территории России. Согласно этому закону, операторы персональных данных обязаны использовать такие хостинг-решения для соблюдения требований к защите данных и обеспечения конфиденциальности. Провайдеры хостинга должны гарантировать соответствие требованиям безопасности, установленным ФСТЭК, и обеспечивать защиту информации от несанкционированного доступа.

Можно ли хранить персональные данные за границей?

Согласно Федеральному закону № 152-ФЗ, хранение персональных данных граждан России за границей запрещено. Все базы с персональными данными должны находиться на территории Российской Федерации. Исключения могут быть предусмотрены только для определённых случаев, связанных с трансграничной передачей данных, но в целом закон требует локализации хранения.

Какие требования предъявляются к провайдерам хостинга?

Провайдеры хостинга, работающие с персональными данными, должны соответствовать следующим требованиям:

Регистрация и уведомление: Провайдеры обязаны уведомлять Роскомнадзор о начале своей деятельности за 15 рабочих дней до старта.
Защита информации: Необходимо реализовать требования ФСБ по защите данных, включая назначение ответственного за безопасность и меры по предотвращению вторжений.
Хранение данных: Все персональные данные должны храниться на территории России, а информация о пользователях — в течение 3 лет.
Идентификация пользователей: Провайдеры должны проводить идентификацию и аутентификацию клиентов определенными способами.
Взаимодействие с ФСБ: Обязанность по обеспечению необходимой вычислительной мощности для оперативно-разыскных мероприятий и соблюдение конфиденциальности данных.

Эти требования направлены на защиту персональных данных и обеспечение их безопасности в соответствии с законодательством.

Как проверить, соответствует ли хостинг провайдер требованиям ФЗ-152?

Чтобы проверить, соответствует ли хостинг-провайдер требованиям ФЗ-152, выполните следующие шаги:

Запросите аттестат соответствия: Убедитесь, что провайдер имеет аттестат ФСТЭК, подтверждающий соответствие инфраструктуры требованиям безопасности персональных данных.
Проверьте документы: Ознакомьтесь с нормативно-методической документацией, подтверждающей меры по защите информации и организацию обработки персональных данных.
Узнайте о местоположении серверов: Убедитесь, что серверы провайдера расположены на территории России, что является обязательным условием для хранения персональных данных граждан РФ.
Проведите аудит безопасности: Запросите информацию о проведенных аудиторских проверках и мерах по обеспечению безопасности данных.
Проверьте наличие сертифицированных средств защиты: Убедитесь, что провайдер использует сертифицированные средства защиты информации и соблюдает требования приказа ФСТЭК №21.

Эти действия помогут убедиться в соответствии хостинг-провайдера требованиям законодательства о защите персональных данных.

Если Вы не нашли ответ на свой вопрос, перейдите в нашу базу знаний, задайте его нашим консультантам на сайте, используя онлайн-чат, или напишите запрос в поддержку, используя тикет систему.

Полезные материалы:

16 ошибок и заблуждений при работе с персональными данными Категории персональных данных ФЗ 152 Cloud4Y получила лицензию ФСБ России Облачные технологии на госслужбе