Система защиты персональных данных в аттестованном по требованиям безопасности информации облаке

Оптимальным решением для выполнения требований 152-ФЗ является перенос вашей ИТ-инфраструктуры в наше частное аттестованное облако (IaaS):

1. Заключаем отдельный договор, с указанием уровней защищенности и методов защиты ПДн, с аттестатом от компании, лицензированной ФСТЭК;
2. Переносим вашу ИТ-инфраструктуру в частное аттестованное облако;
3. Вы получаете письменное согласие сотрудников на обработку их персональных данных и заказываете типовое решение по защите офисных рабочих мест с пакетом типовых регламентов.

Преимущества IaaS в аттестованном облаке:

• Соответствие основной части вашей ИСПДн требованиям 152-ФЗ, подтвержденное аттестатом от лицензированной компании;
• Экономия до 80% средств на проекте по построению системы защиты ПД;
• Экономия времени в 4-5 раз по сравнению с самостоятельным построением СЗПДн;
• Отсутствие необходимости проводить аттестацию защиты ваших серверов.

Максимальный эффект от переноса ИТ-инфраструктуры в аттестованное облако (защиты ИСПДн в облаке) получают компании медицинского сектора, сферы гостеприимства, жилищного сектора и других отраслей, связанных с обработкой большого количества персональных данных граждан РФ.

Законодательство по защите персональных данных

Современный бизнес построен на работе с данными, в том числе и персональными данными физических лиц. Однако не все одобряют сбор и обработку их информации, поэтому Российская федерация защищает права своих граждан с помощью федерального закона «О персональных данных» (152-ФЗ), Постановлений правительства РФ и Приказов ФСБ и ФСТЭК.

Законы и нормативные акты, регулирующие защиту персональных данных:

Ответственность за несоблюдение требований по защите персональных данных включает в себя штрафы до 300 000 р. и лишение свободы сроком до 4 лет (виды ответственности за нарушение правил работы с ПД).

Требования по защите персональных данных

Закон вводит определение «оператора персональных данных», под которое подходит практически любая компания. Оператор должен выполнять все требования 152-ФЗ:

• Направить уведомление в Роскомнадзор о начале обработки персональных данных;
• Обеспечить конфиденциальность персональных данных;
• Принимать меры для обеспечения безопасности персональных данных;
• Соблюдать требования по локализации персональных данных россиян;
• Своевременно прекратить обработку персональных данных по требованию владельца.

Меры по обеспечению безопасности предусматривают 4 уровня защищенности ИСПДн (УЗ) в зависимости от разных категорий персональных данных:

• Специальных;
• Биометрических;
• Общедоступных;
• Иных.

Для каждого уровня защищенности вводятся требования по обеспечению защиты:

Чтобы определить необходимый уровень защищенности ПД, введены дополнительные критерии:

• По количеству человек
  
  

  До 100 000 человек или более 100 000.

• По отношению физического лица к организации
  
  

  Обрабатываются данные сотрудников компании или посторонних.

• По видам обработки персональных данных
  
  

  Производится автоматизированная обработка данных или не автоматизированная, т.е. с использованием человеческого труда.

• По видам угроз для персональных данных
  
  

  • Незадекларированные функции в системном ПО;
  • Незадекларированные функции в прикладном ПО;
  • Угрозы, не связанные с незадекларированными функциями ПО.

Ориентируясь на эти критерии, компания должна сама определить требуемый уровень защищенности данных и методику их защиты. При проверке Роскомнадзора нужно будет доказать правильность выбранного УЗ, средств и методов защиты персональных данных.

Система защиты персональных данных (СЗПДн)

Компьютерные системы, на которых производится автоматизированная обработка персональных данных, согласно закону, являются информационными системами персональных данных (ИСПДн).

Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» устанавливаются требования к защите персональных данных при их обработке в информационных системах персональных данных.

Безопасность персональных данных при их обработке в информационной системе должна обеспечиваться путем построения Системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 ст.19 ФЗ № 152-ФЗ «О персональных данных».

Проект по построению системы защиты ИСПДн должен производиться по методике ФСТЭК, включая построение модели угроз, внедрение организационных и технических мер защиты ПДн, а также выбор программных средств и разработку регламентов.

После построения ИСПДн рекомендуется провести ее аттестацию. Это поможет при проверке Роскомнадзора доказать правильный выбор уровня и средств защиты ИСПДн. Аттестацию должна проводить организация, лицензированная ФСТЭК.

Этапы создания системы защиты персональных данных

Общая последовательность действий при выполнении требований законодательства по обработке персональных данных:

Чтобы полностью выполнить требования закона «О персональных данных» необходимо детально изучить соответствующие постановления Правительства РФ, приказы ФСБ и ФСТЭК, разобраться в рекомендуемых ими методиках, разработать необходимые регламенты (документы по защите ПДн) и установить сертифицированное оборудование и ПО.

Для экономии усилий, рекомендуем использовать наши готовые решения, от выполнения 152-ФЗ на сайте до системы защиты персональных данных (СЗПДн) в Вашем частном аттестованном облаке.

Наши преимущества

• Быстро переносим данные с серверов в частное облако, без потери общей работоспособности ИТ-сервисов;
• Помогаем подготовить пакет типовых регламентов по работе с персональными данными;
• Имеем многолетний опыт построения гибридных ИТ-инфраструктур (облако + рабочие места).

Сроки и стоимость

Как начать работу?

 

Как защитить Вашу ИСПДн? Получите рекомендации нашего ИТ-эксперта.

Прямой номер эксперта (9.00–23.00):

+7 965 022-73-40