Оптимальным решением для выполнения требований 152-ФЗ является перенос вашей ИТ-инфраструктуры в наше частное аттестованное облако (IaaS):
- Заключаем отдельный договор, с указанием уровней защищенности и методов защиты ПДн, с аттестатом от компании, лицензированной ФСТЭК;
- Переносим вашу ИТ-инфраструктуру в частное аттестованное облако;
- Вы получаете письменное согласие сотрудников на обработку их персональных данных и заказываете типовое решение по защите офисных рабочих мест с пакетом типовых регламентов.
Преимущества IAAS в аттестованном облаке:
- Соответствие основной части вашей ИСПДн требованиям 152-ФЗ, подтвержденное аттестатом от лицензированной компании;
- Экономия до 80% средств на проекте по построению системы защиты ПД;
- Экономия времени в 4-5 раз по сравнению с самостоятельным построением СЗПДн;
- Отсутствие необходимости проводить аттестацию защиты ваших серверов.
Максимальный эффект от переноса ИТ-инфраструктуры в аттестованное облако (защиты ИСПДн в облаке) получают компании медицинского сектора, сферы гостеприимства, жилищного сектора и других отраслей, связанных с обработкой большого количества персональных данных граждан РФ.
Законодательство по защите персональных данных
Современный бизнес построен на работе с данными, в том числе и персональными данными физических лиц. Однако не все одобряют сбор и обработку их информации, поэтому Российская федерация защищает права своих граждан с помощью федерального закона «О персональных данных» (152-ФЗ), Постановлений правительства РФ и Приказов ФСБ и ФСТЭК.
Законы и нормативные акты, регулирующие защиту персональных данных:
- Федеральный закон от 27.07.2006 г. N 152-ФЗ
- Федеральный закон от 27.07.2006 г. N 149-ФЗ
- Федеральный закон от 21.07.2014 г. N 242-ФЗ
- Указ Президента РФ от 17.03.2008 г. N 351
- Постановление Правительства РФ от 01.11.2012 г. N 1119
- Постановление Правительства РФ от 21.03.2012 г. N 211
- Постановление Правительства РФ от 15.09.2008 г. N 687
- Постановление Правительства РФ от 31.07.2014 г. N 758
- Постановление Правительства РФ от 06.07.2008 г. N 51
- Приказ ФСТЭК России от 18.02.2013 г. N 21
- Приказ ФСТЭК России от 11.02.2013 г. N 17
- Методика ФСТЭК России от 14.02.2008 г.
- Информационное сообщение ФСТЭК от 15.07.2013 г. N 240/22/2637
- Приказ ФСБ России от 10.07.2014 г. N 378
- Приказ ФСБ России от 09.02.2005 г. N 66
- Типовые требования ФСБ России от 21.02.2008 г. N 149/6/6-622
- Приказ Роскомнадзора от 05.09.2013 г. N 996
Требования по защите персональных данных
Закон вводит определение «оператора персональных данных», под которое подходит практически любая компания. Оператор должен выполнять все требования 152-ФЗ:
- Направить уведомление в Роскомнадзор о начале обработки персональных данных;
- Обеспечить конфиденциальность персональных данных;
- Принимать меры для обеспечения безопасности персональных данных;
- Соблюдать требования по локализации персональных данных россиян;
- Своевременно прекратить обработку персональных данных по требованию владельца.
Меры по обеспечению безопасности предусматривают 4 уровня защищенности ИСПДн (УЗ) в зависимости от разных категорий персональных данных:
- Специальных;
- Биометрических;
- Общедоступных;
- Иных.
Для каждого уровня защищенности вводятся требования по обеспечению защиты:
| Требования по обеспечению защиты ПД | Уровни защищенности | |||
|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |
| Организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения. | + | + | + | + |
| Обеспечение сохранности носителей персональных данных | + | + | + | + |
| Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей. | + | + | + | + |
| Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. | + | + | + | + |
| Назначение должностного лица, ответственного за обеспечение безопасности персональных данных в ИСПДн. | + | + | + | - |
| Ограничение доступа к содержанию электронного журнала сообщений. | + | + | - | - |
| Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе. | + | - | - | - |
| Создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности. | + | - | - | - |
Чтобы определить необходимый уровень защищенности ПД, введены дополнительные критерии:
- По количеству человек
До 100 000 человек или более 100 000;
- По отношению физического лица к организации
Обрабатываются данные сотрудников компании или посторонних;
- По видам обработки персональных данных
Производится автоматизированная обработка данных или не автоматизированная, т.е. с использованием человеческого труда.
- По видам угроз для персональных данных:
- Незадекларированные функции в системном ПО;
- Незадекларированные функции в прикладном ПО;
- Угрозы, не связанные с незадекларированными функциями ПО.
Система защиты персональных данных (СЗПДН)
Компьютерные системы, на которых производится автоматизированная обработка персональных данных, согласно закону, являются информационными системами персональных данных (ИСПДн).
Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» устанавливаются требования к защите персональных данных при их обработке в информационных системах персональных данных.
Безопасность персональных данных при их обработке в информационной системе должна обеспечиваться путем построения Системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 ст.19 ФЗ № 152-ФЗ «О персональных данных».
Проект по построению системы защиты ИСПДн должен производиться по методике ФСТЭК, включая построение модели угроз, внедрение организационных и технических мер защиты ПДн, а также выбор программных средств и разработку регламентов.
После построения ИСПДн рекомендуется провести ее аттестацию. Это поможет при проверке Роскомнадзора доказать правильный выбор уровня и средств защиты ИСПДн. Аттестацию должна проводить организация, лицензированная ФСТЭК.
Этапы создания системы защиты персональных данных
Общая последовательность действий при выполнении требований законодательства по обработке персональных данных:
- 1Уведомление в Роскомнадзор о намерении осуществлять обработку ПД с использованием средств автоматизации;
- 2Предпроектное обследование информационной системы;
- 3Построение модели угроз для определения их актуальности;
- 4Разработка технического задания на построение системы защиты ПД;
- 5Проектирование системы защиты персональных данных;
- 6Реализация и внедрение системы защиты персональных данных;
- 7Выполнение требований по инженерной защите помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований;
- 8Аттестация по требованиям к системе защиты персональных данных.
Чтобы полностью выполнить требования закона «О персональных данных» необходимо детально изучить соответствующие постановления Правительства РФ, приказы ФСБ и ФСТЭК, разобраться в рекомендуемых ими методиках, разработать необходимые регламенты (документы по защите ПДн) и установить сертифицированное оборудование и ПО.
Для экономии усилий, рекомендуем использовать наши готовые решения, от выполнения 152-ФЗ на сайте до системы защиты персональных данных (СЗПДн) в Вашем частном аттестованном облаке.
Наши преимущества
- Быстро переносим данные с серверов в частное облако, без потери общей работоспособности ИТ-сервисов;
- Помогаем подготовить пакет типовых регламентов по работе с персональными данными;
- Имеем многолетний опыт построения гибридных ИТ-инфраструктур (облако + рабочие места).
