калькулятор итСистема защиты персональных данных в аттестованном по требованиям безопасности информации облаке
Оптимальным решением для выполнения требований 152-ФЗ является перенос вашей ИТ-инфраструктуры в наше частное аттестованное облако (IaaS):
- Заключаем отдельный договор, с указанием уровней защищенности и методов защиты ПДн, с аттестатом от компании, лицензированной ФСТЭК;
- Переносим вашу ИТ-инфраструктуру в частное аттестованное облако;
- Вы получаете письменное согласие сотрудников на обработку их персональных данных и заказываете типовое решение по защите офисных рабочих мест с пакетом типовых регламентов.
Преимущества IaaS в аттестованном облаке:
- Соответствие основной части вашей ИСПДн требованиям 152-ФЗ, подтвержденное аттестатом от лицензированной компании;
- Экономия до 80% средств на проекте по построению системы защиты ПД;
- Экономия времени в 4-5 раз по сравнению с самостоятельным построением СЗПДн;
- Отсутствие необходимости проводить аттестацию защиты ваших серверов.
Максимальный эффект от переноса ИТ-инфраструктуры в аттестованное облако (защиты ИСПДн в облаке) получают компании медицинского сектора, сферы гостеприимства, жилищного сектора и других отраслей, связанных с обработкой большого количества персональных данных граждан РФ.
Законодательство по защите персональных данных
Современный бизнес построен на работе с данными, в том числе и персональными данными физических лиц. Однако не все одобряют сбор и обработку их информации, поэтому Российская федерация защищает права своих граждан с помощью федерального закона «О персональных данных» (152-ФЗ), Постановлений правительства РФ и Приказов ФСБ и ФСТЭК.
Законы и нормативные акты, регулирующие защиту персональных данных:
- Федеральный закон от 27.07.2006 г. N 152-ФЗ
- Федеральный закон от 27.07.2006 г. N 149-ФЗ
- Федеральный закон от 21.07.2014 г. N 242-ФЗ
- Указ Президента РФ от 17.03.2008 г. N 351
- Постановление Правительства РФ от 01.11.2012 г. N 1119
- Постановление Правительства РФ от 21.03.2012 г. N 211
- Постановление Правительства РФ от 15.09.2008 г. N 687
- Постановление Правительства РФ от 31.07.2014 г. N 758
- Постановление Правительства РФ от 06.07.2008 г. N 51
- Приказ ФСТЭК России от 18.02.2013 г. N 21
- Приказ ФСТЭК России от 11.02.2013 г. N 17
- Методика ФСТЭК России от 14.02.2008 г.
- Информационное сообщение ФСТЭК от 15.07.2013 г. N 240/22/2637
- Приказ ФСБ России от 10.07.2014 г. N 378
- Приказ ФСБ России от 09.02.2005 г. N 66
- Типовые требования ФСБ России от 21.02.2008 г. N 149/6/6-622
- Приказ Роскомнадзора от 05.09.2013 г. N 996
Ответственность за несоблюдение требований по защите персональных данных включает в себя штрафы до 300 000 р. и лишение свободы сроком до 4 лет (виды ответственности за нарушение правил работы с ПД).
Требования по защите персональных данных
Закон вводит определение «оператора персональных данных», под которое подходит практически любая компания. Оператор должен выполнять все требования 152-ФЗ:
- Направить уведомление в Роскомнадзор о начале обработки персональных данных;
- Обеспечить конфиденциальность персональных данных;
- Принимать меры для обеспечения безопасности персональных данных;
- Соблюдать требования по локализации персональных данных россиян;
- Своевременно прекратить обработку персональных данных по требованию владельца.
Меры по обеспечению безопасности предусматривают 4 уровня защищенности ИСПДн (УЗ) в зависимости от разных категорий персональных данных:
- Специальных;
- Биометрических;
- Общедоступных;
- Иных.
Для каждого уровня защищенности вводятся требования по обеспечению защиты:
| Требования по обеспечению защиты ПД | Уровни защищенности | |||
| 1 | 2 | 3 | 4 | |
| Организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения. | + | + | + | + |
| Обеспечение сохранности носителей персональных данных | + | + | + | + |
| Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей. | + | + | + | + |
| Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. | + | + | + | + |
| Назначение должностного лица, ответственного за обеспечение безопасности персональных данных в ИСПДн. | + | + | + | - |
| Ограничение доступа к содержанию электронного журнала сообщений. | + | + | - | - |
| Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе. | + | - | - | - |
| Создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности. | + | - | - | - |
Чтобы определить необходимый уровень защищенности ПД, введены дополнительные критерии:
- По количеству человек
До 100 000 человек или более 100 000.
- По отношению физического лица к организации
Обрабатываются данные сотрудников компании или посторонних.
- По видам обработки персональных данных
Производится автоматизированная обработка данных или не автоматизированная, т.е. с использованием человеческого труда.
- По видам угроз для персональных данных
- Незадекларированные функции в системном ПО;
- Незадекларированные функции в прикладном ПО;
- Угрозы, не связанные с незадекларированными функциями ПО.
Ориентируясь на эти критерии, компания должна сама определить требуемый уровень защищенности данных и методику их защиты. При проверке Роскомнадзора нужно будет доказать правильность выбранного УЗ, средств и методов защиты персональных данных.
Система защиты персональных данных (СЗПДн)
Компьютерные системы, на которых производится автоматизированная обработка персональных данных, согласно закону, являются информационными системами персональных данных (ИСПДн).
Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» устанавливаются требования к защите персональных данных при их обработке в информационных системах персональных данных.
Безопасность персональных данных при их обработке в информационной системе должна обеспечиваться путем построения Системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 ст.19 ФЗ № 152-ФЗ «О персональных данных».
Проект по построению системы защиты ИСПДн должен производиться по методике ФСТЭК, включая построение модели угроз, внедрение организационных и технических мер защиты ПДн, а также выбор программных средств и разработку регламентов.
После построения ИСПДн рекомендуется провести ее аттестацию. Это поможет при проверке Роскомнадзора доказать правильный выбор уровня и средств защиты ИСПДн. Аттестацию должна проводить организация, лицензированная ФСТЭК.
Этапы создания системы защиты персональных данных
Общая последовательность действий при выполнении требований законодательства по обработке персональных данных:
Уведомление в Роскомнадзор
О намерении осуществлять обработку ПД с использованием средств автоматизации.
Предпроектное обследование
Информационной системы.
Построение модели угроз
Для определения их актуальности.
Разработка технического задания
На построение системы защиты ПД.
Проектирование
Системы защиты персональных данных.
Реализация и внедрение
Системы защиты персональных данных.
Выполнение требований по инженерной защите
Помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований.
Аттестация
По требованиям к системе защиты персональных данных.
Чтобы полностью выполнить требования закона «О персональных данных» необходимо детально изучить соответствующие постановления Правительства РФ, приказы ФСБ и ФСТЭК, разобраться в рекомендуемых ими методиках, разработать необходимые регламенты (документы по защите ПДн) и установить сертифицированное оборудование и ПО.
Для экономии усилий, рекомендуем использовать наши готовые решения, от выполнения 152-ФЗ на сайте до системы защиты персональных данных (СЗПДн) в Вашем частном аттестованном облаке.
Наши преимущества
- Быстро переносим данные с серверов в частное облако, без потери общей работоспособности ИТ-сервисов;
- Помогаем подготовить пакет типовых регламентов по работе с персональными данными;
- Имеем многолетний опыт построения гибридных ИТ-инфраструктур (облако + рабочие места).
Сроки и стоимость
проектов по защите ИСПДн:
Как начать работу?
Хотите узнать стоимость проекта?
Пришлите нам описание ваших серверов и ИТ-сервисов:
Как защитить Вашу ИСПДн?
Получите рекомендации нашего ИТ-эксперта.
