Соответствие 152-ФЗ: индивидуальное проектное решение

Аудит вашей работы с персональными данными и их перенос в защищенное облако

Обеспечение безопасности персональных данных 

до 2-го уровня защищённости  

Подготовка экспертных заключений 

и аттестатов о соответствии ФЗ-152 

Технические средства защиты от угроз 

информационной безопасности 

В каких случаях подойдёт индивидуальное решение

Обработка больших объёмов персональных данных всех категорий, включая специальные и биометрические персональных данных.
Планируемая локализация IT-инфраструктуры с соблюдением требований 152-ФЗ и/или иностранных законов о ПДн
Построение собственной экономически обоснованной безопасной информационной системы хранения и обработки ПДн

Это не про вас?

Узнайте больше о бесшовной миграции в масштабируемое защищённое облако в рамках типового решения «Защищенное облако 152-ФЗ» 

Причины работать с нами

Мы работаем в сфере хранения и обработки данных более 20 лет, имеем лицензии ФСТЭК и ФСБ
Под ключ строим систему обработки персональных данных под индивидуальные задачи конкретного бизнеса
Проводим как полное внедрение, так и отдельные мероприятия по приведению ваших процессов и информационных систем в соответствие с требованиями ФЗ-152

Как мы работаем «под ключ»

Проводим аудит информационной системы на соответствие ФЗ-152
Проводим комплекс организационных работ по защите ПДн
Внедряем технические средства защиты персональных данных

Этапы работы над индивидуальным решением по 152-ФЗ

Мы можем выполнить для вас весь комплекс работ или подключиться к проекту на отдельном этапе в качестве консультантов или разработчиков.
Анализ бизнес-процессов и аудит технической составляющей
Исследуем текущие бизнес-процессы и существующие средства информационной защиты, предлагаем улучшения.
Формирование требований к системе защиты
Определяем объективное потребности и необходимый уровень информационной безопасности, определяем актуальные для конкретной системы угрозы и оцениваем риски от их реализации, готовим частное техническое задание.
Разработка и внедрение систем защиты
Подготовка решения под индивидуальные требования с возможностью дальнейшего масштабирования, готовим регламенты по работе с персональными данными в соответствии с требованиями закона и стандартами информационной безопасности.
Оценка эффективности
Повторно оцениваем созданное решение, сопровождаем в получении аттестации на соответствие нормам ФЗ-152 и экспертных заключений

FAQ

Что ФЗ-152 определяет как персональные данные?
+
+

Любую информацию о человеке — от имени и контактных данных до гендера, веры и мнений по любому поводу. Закон касается как клиентов, так и сотрудников. Если вы работаете с людьми, вы почти наверняка попадаете под действие закона.

Кто является оператором персональных данных по ФЗ-152?
+
+

Любое физическое или юридическое лицо, которое определяет цели сбора и обработки персональных данных или совершает с ними какие-либо операции: собирает, хранит, анализирует, использует, передаёт и так далее.

Чаще всего объектами проверок исполнения ФЗ-152 становятся организации из сфер финансовых ;услуг, здравоохранения, образования, гостеприимства телекоммуникаций, рекламы, ритейла.

Какие требования предъявляет ФЗ-152?
+
+

Для соответствия закону оператор персональных данных должен разработать внутренние регламенты для работы с персональными ;данными, внедрить средства технической защиты и локализовать данные на территории РФ.

В зависимости от того, какие персональные данные обрабатывает оператор, и в каком объёме, закон предъявляет разные требования к уровню защищённости. Эти уровни подробно описаны в п. 8 постановления Правительства РФ № 1119 от 1 ноября 2012 года.

Кто проверяет соответствие ФЗ-152?
+
+

Регуляторами выступают Роскомнадзор, ФСБ и ФСТЭК. В первую очередь, проверками занимается именно РКН. Как правило, ведомство озабочено соответствием порядка и безопасности обработки персональных данных требованиям закона.

Какая ответственность предусмотрена за нарушения ФЗ-152?
+
+

Нарушения ФЗ-152 могут повлечь за собой все виды ответственности: гражданскую, дисциплинарную, административную и уголовную.

  • Дисциплинарная ;ответственность по ТК РФ вплоть до компенсации прямого ущерба предусмотрена для лиц, ответственных за обработку персональных данных. 

  • ГК РФ позволяет гражданину требовать от организации компенсацию если из-за нарушений правил работы с персональными данными ему был нанесён моральный или имущественный ущерб.

  • В зависимости от состава правонарушения, административная ответственность за нарушение закона о персональных данных составляет до 100 тысяч рублей для физлиц, до 800 тысяч для должностных лиц, до 20 тысяч рублей для ИП и до 18 млн рублей ;для организаций.

  • Уголовная ;ответственность за нарушение закона о персональных данных может квалифицироваться по ряду статей, которые предусматривают наказание вплоть до ;лишения свободы на срок до 4 лет.

Нарушение закона о персональных данных может привести к включению организации в реестр нарушителей, сайты которых блокируются операторами связи по требованию Роскомнадзора.

Снимает ли использование облака ответственность за соблюдение требований 152-ФЗ с оператора персональных данных?
+
+

Нет. По закону, оператор может поручить работу с персональными данными третьим лицам — обработчикам, но их ответственность ограничена договором с оператором. Оператор определяет цели и порядок обработки персональных данных, поэтому он и несёт ответственность перед государством и субъектами персональных данных.

Как разграничиваются зоны ответственности между оператором и обработчиком в контексте ФЗ-152?
+
+

При размещении обработки персональных данных в облаке по модели Infrastructure as a Service (IaaS), зоны ответственности оператора и обработчика можно чётко разграничить:

  • Обработчик отвечает за аппаратное и программное обеспечение вплоть до уровня гипервизора./p>

  • Всё что выше — виртуальные машины, установленные на них операционные системы и приложения — это зона ответственности оператора.

  • По умолчанию обработчик сам отвечает за информационную безопасность, но может передать задачи по её обеспечению обработчику по модели Security as a Service (SaaS). Примером таких сервисов могут быть антивирусная защита, межсетевое экранирование, VPN и т.д.

Кейсы

Клиент: разработчик сервиса цифровых визиток и облачной платформы для управления обслуживанием оборудования
+
+

Задача: организовать обработку данных в защищённом облаке без перебоев в доступности сервисов для пользователей

Решение: Linxdatacenter организовал работу с персональными данными в формате IaaS (инфраструктура как услуга) на своей платформе в Санкт-Петербурге. Перенос прошёл поэтапно с тестированием сетевой доступности после каждого шага

Клиент: подразделение ИТ-компании
+
+

Задача: перенести приложение с персональными данными в защищённое облако за время, ограниченное сроком контракта между клиентом и аттестующей организацией

Решение: Linxdatacenter выполнил работы в сотрудничестве с подрядчиком клиента, чётко распределив зоны ответственности. Также Linxdatacenter взял на себя часть необходимых мер из зоны ответственности клиента, связанных с ;защитой данных. Работы были выполнены в срок, соответстветствие закону о ПДн было подтверждено третьей стороной, лицензиатом ФСТЭК.

;

Запрос на бесплатную консультацию

Пожалуйста, подтвердите, что вы не робот