калькулятор ит

Система защиты персональных данных в аттестованном по требованиям безопасности информации облаке

Оптимальным решением для выполнения требований 152-ФЗ является перенос вашей ИТ-инфраструктуры в наше частное аттестованное облако (IaaS):

  1. Заключаем отдельный договор, с указанием уровней защищенности и методов защиты ПДн, с аттестатом от компании, лицензированной ФСТЭК;
  2. Переносим вашу ИТ-инфраструктуру в частное аттестованное облако;
  3. Вы получаете письменное согласие сотрудников на обработку их персональных данных и заказываете типовое решение по защите офисных рабочих мест с пакетом типовых регламентов.

Преимущества IaaS в аттестованном облаке:

Максимальный эффект от переноса ИТ-инфраструктуры в аттестованное облако (защиты ИСПДн в облаке) получают компании медицинского сектора, сферы гостеприимства, жилищного сектора и других отраслей, связанных с обработкой большого количества персональных данных граждан РФ.

 

Законодательство по защите персональных данных

Современный бизнес построен на работе с данными, в том числе и персональными данными физических лиц. Однако не все одобряют сбор и обработку их информации, поэтому Российская федерация защищает права своих граждан с помощью федерального закона «О персональных данных» (152-ФЗ), Постановлений правительства РФ и Приказов ФСБ и ФСТЭК.

Законы и нормативные акты, регулирующие защиту персональных данных:

 

Ответственность за несоблюдение требований по защите персональных данных включает в себя штрафы до 300 000 р. и лишение свободы сроком до 4 лет (виды ответственности за нарушение правил работы с ПД).

 

Требования по защите персональных данных

Закон вводит определение «оператора персональных данных», под которое подходит практически любая компания. Оператор должен выполнять все требования 152-ФЗ:

  • Направить уведомление в Роскомнадзор о начале обработки персональных данных;
  • Обеспечить конфиденциальность персональных данных;
  • Принимать меры для обеспечения безопасности персональных данных;
  • Соблюдать требования по локализации персональных данных россиян;
  • Своевременно прекратить обработку персональных данных по требованию владельца.

Меры по обеспечению безопасности предусматривают 4 уровня защищенности ИСПДн (УЗ) в зависимости от разных категорий персональных данных:

 

Для каждого уровня защищенности вводятся требования по обеспечению защиты:

Требования по обеспечению защиты ПД Уровни защищенности
1 2 3 4
Организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения. + + + +
Обеспечение сохранности носителей персональных данных + + + +
Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей. + + + +
Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. + + + +
Назначение должностного лица, ответственного за обеспечение безопасности персональных данных в ИСПДн. + + + -
Ограничение доступа к содержанию электронного журнала сообщений. + + - -
Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе. + - - -
Создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности. + - - -

Чтобы определить необходимый уровень защищенности ПД, введены дополнительные критерии:

Ориентируясь на эти критерии, компания должна сама определить требуемый уровень защищенности данных и методику их защиты. При проверке Роскомнадзора нужно будет доказать правильность выбранного УЗ, средств и методов защиты персональных данных.

 

Система защиты персональных данных (СЗПДн)

Компьютерные системы, на которых производится автоматизированная обработка персональных данных, согласно закону, являются информационными системами персональных данных (ИСПДн).

Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» устанавливаются требования к защите персональных данных при их обработке в информационных системах персональных данных.

Безопасность персональных данных при их обработке в информационной системе должна обеспечиваться путем построения Системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 ст.19 ФЗ № 152-ФЗ «О персональных данных».

Проект по построению системы защиты ИСПДн должен производиться по методике ФСТЭК, включая построение модели угроз, внедрение организационных и технических мер защиты ПДн, а также выбор программных средств и разработку регламентов.

После построения ИСПДн рекомендуется провести ее аттестацию. Это поможет при проверке Роскомнадзора доказать правильный выбор уровня и средств защиты ИСПДн. Аттестацию должна проводить организация, лицензированная ФСТЭК.

 

Этапы создания системы защиты персональных данных

Общая последовательность действий при выполнении требований законодательства по обработке персональных данных:

Уведомление в Роскомнадзор  

О намерении осуществлять обработку ПД с использованием средств автоматизации.

Предпроектное обследование  

Информационной системы.

Построение модели угроз  

Для определения их актуальности.

Разработка технического задания  

На построение системы защиты ПД.

Проектирование  

Системы защиты персональных данных.

Реализация и внедрение  

Системы защиты персональных данных.

Выполнение требований по инженерной защите  

Помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований.

Аттестация  

По требованиям к системе защиты персональных данных.

Чтобы полностью выполнить требования закона «О персональных данных» необходимо детально изучить соответствующие постановления Правительства РФ, приказы ФСБ и ФСТЭК, разобраться в рекомендуемых ими методиках, разработать необходимые регламенты (документы по защите ПДн) и установить сертифицированное оборудование и ПО.

Для экономии усилий, рекомендуем использовать наши готовые решения, от выполнения 152-ФЗ на сайте до системы защиты персональных данных (СЗПДн) в Вашем частном аттестованном облаке.

 

Наши преимущества

 

Сроки и стоимость

Стоимость и сроки выполнения
проектов по защите ИСПДн:
от 4 дней от 25 000 рублей
 
 

Как начать работу?

 

Хотите узнать стоимость проекта?

Пришлите нам описание ваших серверов и ИТ-сервисов:

 

Как защитить Вашу ИСПДн?

Получите рекомендации нашего ИТ-эксперта.

Прямой номер эксперта (9.00–23.00):

 
Используя сайт www.stekspb.ru, вы соглашаетесь с тем, что мы можем хранить куки (cookies) вашего браузера. Политика конфиденциальности