Оптимальным решением для выполнения требований 152-ФЗ является перенос вашей ИТ-инфраструктуры в наше частное аттестованное облако (IaaS):
Максимальный эффект от переноса ИТ-инфраструктуры в аттестованное облако (защиты ИСПДн в облаке) получают компании медицинского сектора, сферы гостеприимства, жилищного сектора и других отраслей, связанных с обработкой большого количества персональных данных граждан РФ.
Современный бизнес построен на работе с данными, в том числе и персональными данными физических лиц. Однако не все одобряют сбор и обработку их информации, поэтому Российская федерация защищает права своих граждан с помощью федерального закона «О персональных данных» (152-ФЗ), Постановлений правительства РФ и Приказов ФСБ и ФСТЭК.
Законы и нормативные акты, регулирующие защиту персональных данных:
Ответственность за несоблюдение требований по защите персональных данных включает в себя штрафы до 300 000 р. и лишение свободы сроком до 4 лет (виды ответственности за нарушение правил работы с ПД).
Закон вводит определение «оператора персональных данных», под которое подходит практически любая компания. Оператор должен выполнять все требования 152-ФЗ:
Меры по обеспечению безопасности предусматривают 4 уровня защищенности ИСПДн (УЗ) в зависимости от разных категорий персональных данных:
Требования по обеспечению защиты ПД | Уровни защищенности | |||
1 | 2 | 3 | 4 | |
Организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения. | + | + | + | + |
Обеспечение сохранности носителей персональных данных | + | + | + | + |
Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей. | + | + | + | + |
Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. | + | + | + | + |
Назначение должностного лица, ответственного за обеспечение безопасности персональных данных в ИСПДн. | + | + | + | - |
Ограничение доступа к содержанию электронного журнала сообщений. | + | + | - | - |
Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе. | + | - | - | - |
Создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности. | + | - | - | - |
До 100 000 человек или более 100 000.
Обрабатываются данные сотрудников компании или посторонних.
Производится автоматизированная обработка данных или не автоматизированная, т.е. с использованием человеческого труда.
Ориентируясь на эти критерии, компания должна сама определить требуемый уровень защищенности данных и методику их защиты. При проверке Роскомнадзора нужно будет доказать правильность выбранного УЗ, средств и методов защиты персональных данных.
Компьютерные системы, на которых производится автоматизированная обработка персональных данных, согласно закону, являются информационными системами персональных данных (ИСПДн).
Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» устанавливаются требования к защите персональных данных при их обработке в информационных системах персональных данных.
Безопасность персональных данных при их обработке в информационной системе должна обеспечиваться путем построения Системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 ст.19 ФЗ № 152-ФЗ «О персональных данных».
Проект по построению системы защиты ИСПДн должен производиться по методике ФСТЭК, включая построение модели угроз, внедрение организационных и технических мер защиты ПДн, а также выбор программных средств и разработку регламентов.
После построения ИСПДн рекомендуется провести ее аттестацию. Это поможет при проверке Роскомнадзора доказать правильный выбор уровня и средств защиты ИСПДн. Аттестацию должна проводить организация, лицензированная ФСТЭК.
Общая последовательность действий при выполнении требований законодательства по обработке персональных данных:
О намерении осуществлять обработку ПД с использованием средств автоматизации.
Информационной системы.
Для определения их актуальности.
На построение системы защиты ПД.
Системы защиты персональных данных.
Системы защиты персональных данных.
Помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований.
По требованиям к системе защиты персональных данных.
Чтобы полностью выполнить требования закона «О персональных данных» необходимо детально изучить соответствующие постановления Правительства РФ, приказы ФСБ и ФСТЭК, разобраться в рекомендуемых ими методиках, разработать необходимые регламенты (документы по защите ПДн) и установить сертифицированное оборудование и ПО.
Для экономии усилий, рекомендуем использовать наши готовые решения, от выполнения 152-ФЗ на сайте до системы защиты персональных данных (СЗПДн) в Вашем частном аттестованном облаке.
Как начать работу?
Хотите узнать стоимость проекта? Пришлите нам описание ваших серверов и ИТ-сервисов:
Как защитить Вашу ИСПДн? Получите рекомендации нашего ИТ-эксперта.