Облако ФЗ-152
Хранение персональных данных (хостинг ФЗ-152)
Решение «Облако ФЗ 152» упрощает соблюдение требований законодательства 152-ФЗ для операторов ПДн и помогает избежать нарушений, связанных с хранением персональных данных российских граждан.
Решения для клиентов предоставляется как на базе иностранного, так и отечественного ПО, включая решения импортозамещения.
Конфигуратор цен
Какой уровень защищённости вам нужен?
Компании, так или иначе работающие с ПДн, обязаны выполнять требования ФЗ-152, обеспечивая защиту этих данных. В законе перечислены четыре категории персональных данных:
Общедоступные
Биометрические
Специальные
Иные
Уровень защиты зависит не только от категорий обрабатываемых данных, но и других факторов. Оставьте заявку, чтобы наши специалисты помогли вам определить, какой уровень защищённости вам нужен.
Какие услуги мы предлагаем
В зависимости от категории размещенных информационных систем персональных данных, исполнение требований ФЗ-152 может включать в себя довольно длинный список задач. Специалисты по информационной безопасности Cloud4Y готовы взять на себя следующие обязанности.
- Проведение аудита инфраструктуры клиента, определение уровня защищённости персональных данных и требований к защите
- Разработка модели угроз в соответствии с методиками ФСБ
- Проектирование архитектуры системы защиты персональных данных
- Разработка пакета документов (модель угроз, технический дизайн, организационная документация и т. д.)
- Внедрение средств информационной защиты
- Разработка программы и методологии оценки эффективности мер информационной безопасности в соответствии с 21 приказом ФСТЭК России
Наши лицензии и аттестаты
Преимущества хранения персональных данных в облаке Cloud4Y
- Наличие аттестатов УЗ1-4, 1К, 1Г
- Средства защиты информации (СЗИ), лицензированные ФСБ и ФСТЭк
- Наличие сертификатов на защитные элементы облака
- Защита от несанкционированного доступа к данным
- Возможность работы с базами данных SQL, 1C
Самостоятельная защита ПДн vs. Хостинг ФЗ-152 в облаке
В таблице представлено сравнение в преимуществах размещения информационных систем персональных данных в защищённом облаке ФЗ-152 по сравнению с самостоятельной организацией и аттестацией инфраструктуры.
Самостоятельная защита | Хранение ПДн в частном облаке Cloud4Y | |
---|---|---|
100% юридическая ответственность по ФЗ-152 | Освобождение от юридической ответственности по 152-ФЗ (хранение данных) | |
Высокий CAPEX на закупку оборудования, лицензий профессиональных средств защиты | NO CAPEX, возможность использовать общесистемное и специальное ПО провайдера | |
Необходимость аттестации инфраструктуры | Защищенная инфраструктура провайдера прошла аттестацию лицензиатами ФСТЭК и подтвердила её соответствие требованиям безопасности 1УЗ, 1Г и 1К | |
Простой более 30% оборудования | Почасовой биллинг и постоплата исключают плату за неиспользуемые ресурсы+ | |
Необходимость держать в штате специалиста по информационной безопасности | Специалисты технического отдела и отдела ИБ провайдера всегда на связи | |
Необходимость подготовки аудиторскую и отчётную документацию в исполнительные органы регулярно и / или по запросу | Специалисты ИБ провайдера принимают ответственность за своевременную и качественную подготовку документации |
Как организована защита информации в облаке ФЗ-152
Для приведения инфраструктуры ИСПДн в соответствие с требованиями ФЗ-152 часто рассматривают защиту информации на уровне дата-центра и уровне вендора.
Уровень дата-центра
Уровень вендора
Организационные меры защиты информации включают разработка внутренних документов, регламентирующих обработку персональных данных, определение ответственных лиц, определение уровня защищённости персональных данных и требований по защите
К техническим или программным мерам относятся межсетевой экран, антивирус Dr.Web, анализ защищённости, средства регистрации и учёта, шифрование данных и другое
Почему стоит доверять Cloud4Y
Отзывы
Выражаем искреннюю благодарность нашему партнёру ООО «Флекс» за предоставленные вычислительные мощности, за высокий уровень услуг, профессионализм и просто человеческое отношение. Ваша команда оперативно отвечает на любые вопросы и решает поставленные задачи самым доброжелательным образом, ответственно относится к исполнению своих обязанностей и всегда идёт навстречу. Мы рады найти такого надёжного и добросовестного партнёра в России и надеемся на продолжение успешного сотрудничества. Большое вам спасибо!
Дополнительно хочется отметить комфортную схему расчетов, оперативную пред и постпродажную поддержку, выгодные опциональные услуги и своевременную реакцию на запросы в техподдержку.
Мы перенесли на серверы провайдера нашу 1С, все данные пользователей, настройки, пароли, электронные подписи. Каждый сотрудник получил удалённый рабочий стол и возможность работать из любой точки мира.
Отдельно благодарим компанию Cloud4Y за предложенное резервное копирование данных в два ЦОД. Теперь мы спокойны за данные о клиентах и поставщиках, объём номенклатуры и информацию о реализованных проектах.
Наша компания обратилась к фирме «Флекс» около 3 лет назад в поисках платформы для безопасного, надёжного и производительного использования ИТ-услуг и приложений. Используя облачные технологии, мы смогли предложить нашим клиентам абсолютно новые услуги и тарифы для наших программных продуктов.
ООО «МикроАрт», используя облачный отказоустойчивый сервер на Linux для сбора и передачи данных с температурных датчиков, мы гарантировали стабильную работу собственного сервиса облачной телеметрии с Real-time аналитикой.
Наша компания арендует сервера в ООО «Флекс» с 2015 года. Мы полностью удовлетворены уровнем сервиса, качеством и надёжностью предоставляемых услуг. Персональный подход, быстрая реакция техподдержки, удобная форма оплаты, предоставление серверов в кратчайшие сроки — всё это на высочайшем уровне. Мы рекомендуем ООО «Флекс» всем нашим партнёрам.
Мы перешли на виртуальную инфраструктуру в рамках стратегии цифровизации, которая предполагает использование гибких, масштабируемых, надёжных и экономичных решений. Инженерно-технические решения провайдера позволили бесшовно мигрировать в «облако», сохранив непрерывность наших бизнес-процессов. Все дальнейшие работы по настройке и обслуживанию инфраструктуры специалисты Cloud4Y выполнялись быстро и качественно.
Компания «ДАТА 3 Консалтинг» реализует ИТ-проекты для корпоративных клиентов в различных отраслях. Наши решения — это инструменты, которые мы применяем, чтобы помочь клиентам компании управлять данными эффективно.
Облачный провайдер Cloud4Y (ООО «Флекс») предоставил «ДАТА 3 Консалтинг» удобную и легко масштабируемую ИТ-инфраструктуру в облаке, которая нас полностью удовлетворяет. Потреблением ресурсов можно управлять прямо из личного кабинета — зашёл, создал виртуальную машину, настроил ресурсы, потребил, выключил. Техническая поддержка также реагирует быстро, профессионально помогая решать все возникающие вопросы.
Нормативно-Правовая База
Подзаконные и ведомственные нормативные акты в сфере защиты прав субъектов персональных данных.
План Роскомнадзора по проведению плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей 2017 году можно скачать по ссылке. Перечень нормативных правовых актов, непосредственно регулирующих проведение проверок, доступен здесь.
FAQ
Перечень отраслей, для которых обработка персональных данных является приоритетной:
- Медицина (государственная и частная)
- Учебные учреждения
- Кредитно-финансовые учреждения
- Сфера страхования
- Операторы сотовой связи
- Компании туриндустрии
- Агентства по подбору персонала
- Пассажирские перевозки
- Риэлторские компании
- HR отдел и бухгалтерия любой компании
Предмет нарушения «Невыполнение оператором при сборе персональных данных… обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ» 13.11 КоАП.
Административный штраф за первичное нарушение требований законодательства для граждан - до 50 000 рублей, для должностных лиц - до 200 000 рублей и для юридических лиц – до 6 000 000 рублей. Повторное выявление нарушений, влечёт за собой 2х, а то и 4х кратное увеличение размера штрафа. Для граждан - в размере до 100 000 рублей; для должностных лиц —до 800 000 рублей; на юридических лиц — до 18 000 000.
Стоимость рассчитывается индивидуально под заказчика, с учётом объёмов, уровня защищённости, сроков размещения.
На практике ведение общей базы персональных данных для нескольких организаций является распространённым решением. Но будет ли в данном случае соблюдаться 5 статья 152 ФЗ о персональных данных с точки зрения избыточности данных? Не будут ли ПДн сотрудников одной организации считаться избыточными относительно другой организации? Как правильно оформить документы для каждой организации, если ИСПДн общая и информация в ней избыточна?
На самом деле избыточность касается именно состава персональных данных субъекта. Например, для заключения трудового договора информация о медицинских диагнозах или биометрические данные являются избыточными. Хранение этих данных не соответствует заявленным целям.
Нет ограничений которые бы запрещали обрабатывать персональные данные в одной информационной системе различными юр. лицами. По этой модели работают многие сервисы в Интернете. Например CRM Битрикс24.
Однако в данном случае важно, чтобы администратор информационной системы соответствующим образом построил систему защиты, чтобы данные одних пользователей не были доступны другим пользователям.
Хостинг по ФЗ-152 — это услуга, обеспечивающая хранение и обработку персональных данных граждан Российской Федерации на серверах, расположенных на территории России. Согласно этому закону, операторы персональных данных обязаны использовать такие хостинг-решения для соблюдения требований к защите данных и обеспечения конфиденциальности. Провайдеры хостинга должны гарантировать соответствие требованиям безопасности, установленным ФСТЭК, и обеспечивать защиту информации от несанкционированного доступа.
Согласно Федеральному закону № 152-ФЗ, хранение персональных данных граждан России за границей запрещено. Все базы с персональными данными должны находиться на территории Российской Федерации. Исключения могут быть предусмотрены только для определённых случаев, связанных с трансграничной передачей данных, но в целом закон требует локализации хранения.
Провайдеры хостинга, работающие с персональными данными, должны соответствовать следующим требованиям:
- Регистрация и уведомление: Провайдеры обязаны уведомлять Роскомнадзор о начале своей деятельности за 15 рабочих дней до старта.
- Защита информации: Необходимо реализовать требования ФСБ по защите данных, включая назначение ответственного за безопасность и меры по предотвращению вторжений.
- Хранение данных: Все персональные данные должны храниться на территории России, а информация о пользователях — в течение 3 лет.
- Идентификация пользователей: Провайдеры должны проводить идентификацию и аутентификацию клиентов определенными способами.
- Взаимодействие с ФСБ: Обязанность по обеспечению необходимой вычислительной мощности для оперативно-разыскных мероприятий и соблюдение конфиденциальности данных.
Эти требования направлены на защиту персональных данных и обеспечение их безопасности в соответствии с законодательством.
Чтобы проверить, соответствует ли хостинг-провайдер требованиям ФЗ-152, выполните следующие шаги:
- Запросите аттестат соответствия: Убедитесь, что провайдер имеет аттестат ФСТЭК, подтверждающий соответствие инфраструктуры требованиям безопасности персональных данных.
- Проверьте документы: Ознакомьтесь с нормативно-методической документацией, подтверждающей меры по защите информации и организацию обработки персональных данных.
- Узнайте о местоположении серверов: Убедитесь, что серверы провайдера расположены на территории России, что является обязательным условием для хранения персональных данных граждан РФ.
- Проведите аудит безопасности: Запросите информацию о проведенных аудиторских проверках и мерах по обеспечению безопасности данных.
- Проверьте наличие сертифицированных средств защиты: Убедитесь, что провайдер использует сертифицированные средства защиты информации и соблюдает требования приказа ФСТЭК №21.
Эти действия помогут убедиться в соответствии хостинг-провайдера требованиям законодательства о защите персональных данных.