Главная / Услуги / Аудит на соответствие ФЗ-152

Соответствие 152-ФЗ: индивидуальное проектное решение

Аудит вашей работы с персональными данными и их перенос в защищенное облако

Обеспечение безопасности персональных данных

до 2-го уровня защищённости

Подготовка экспертных заключений

и аттестатов о соответствии ФЗ-152

Технические средства защиты от угроз

информационной безопасности

В каких случаях подойдёт индивидуальное решение

Обработка больших объёмов персональных данных всех категорий, включая специальные и биометрические персональных данных.

Планируемая локализация IT-инфраструктуры с соблюдением требований 152-ФЗ и/или иностранных законов о ПДн

Построение собственной экономически обоснованной безопасной информационной системы хранения и обработки ПДн

Это не про вас?

Узнайте больше о бесшовной миграции в масштабируемое защищённое облако в рамках типового решения «Защищенное облако 152-ФЗ»

Узнать больше

Причины работать с нами

Мы работаем в сфере хранения и обработки данных более 20 лет, имеем лицензии ФСТЭК и ФСБ

Под ключ строим систему обработки персональных данных под индивидуальные задачи конкретного бизнеса

Проводим как полное внедрение, так и отдельные мероприятия по приведению ваших процессов и информационных систем в соответствие с требованиями ФЗ-152

Как мы работаем «под ключ»

Проводим аудит информационной системы на соответствие ФЗ-152

Проводим комплекс организационных работ по защите ПДн

Внедряем технические средства защиты персональных данных

Этапы работы над индивидуальным решением по 152-ФЗ

Мы можем выполнить для вас весь комплекс работ или подключиться к проекту на отдельном этапе в качестве консультантов или разработчиков.

Анализ бизнес-процессов и аудит технической составляющей

Исследуем текущие бизнес-процессы и существующие средства информационной защиты, предлагаем улучшения.

Формирование требований к системе защиты

Определяем объективное потребности и необходимый уровень информационной безопасности, определяем актуальные для конкретной системы угрозы и оцениваем риски от их реализации, готовим частное техническое задание.

Разработка и внедрение систем защиты

Подготовка решения под индивидуальные требования с возможностью дальнейшего масштабирования, готовим регламенты по работе с персональными данными в соответствии с требованиями закона и стандартами информационной безопасности.

Оценка эффективности

Повторно оцениваем созданное решение, сопровождаем в получении аттестации на соответствие нормам ФЗ-152 и экспертных заключений

Что ФЗ-152 определяет как персональные данные?

Любую информацию о человеке — от имени и контактных данных до гендера, веры и мнений по любому поводу. Закон касается как клиентов, так и сотрудников. Если вы работаете с людьми, вы почти наверняка попадаете под действие закона.

Кто является оператором персональных данных по ФЗ-152?

Любое физическое или юридическое лицо, которое определяет цели сбора и обработки персональных данных или совершает с ними какие-либо операции: собирает, хранит, анализирует, использует, передаёт и так далее.

Чаще всего объектами проверок исполнения ФЗ-152 становятся организации из сфер финансовых ;услуг, здравоохранения, образования, гостеприимства телекоммуникаций, рекламы, ритейла.

Какие требования предъявляет ФЗ-152?

Для соответствия закону оператор персональных данных должен разработать внутренние регламенты для работы с персональными ;данными, внедрить средства технической защиты и локализовать данные на территории РФ.

В зависимости от того, какие персональные данные обрабатывает оператор, и в каком объёме, закон предъявляет разные требования к уровню защищённости. Эти уровни подробно описаны в п. 8 постановления Правительства РФ № 1119 от 1 ноября 2012 года.

Кто проверяет соответствие ФЗ-152?

Регуляторами выступают Роскомнадзор, ФСБ и ФСТЭК. В первую очередь, проверками занимается именно РКН. Как правило, ведомство озабочено соответствием порядка и безопасности обработки персональных данных требованиям закона.

Какая ответственность предусмотрена за нарушения ФЗ-152?

Нарушения ФЗ-152 могут повлечь за собой все виды ответственности: гражданскую, дисциплинарную, административную и уголовную.

Дисциплинарная ;ответственность по ТК РФ вплоть до компенсации прямого ущерба предусмотрена для лиц, ответственных за обработку персональных данных.
ГК РФ позволяет гражданину требовать от организации компенсацию если из-за нарушений правил работы с персональными данными ему был нанесён моральный или имущественный ущерб.

В зависимости от состава правонарушения, административная ответственность за нарушение закона о персональных данных составляет до 100 тысяч рублей для физлиц, до 800 тысяч для должностных лиц, до 20 тысяч рублей для ИП и до 18 млн рублей ;для организаций.
Уголовная ;ответственность за нарушение закона о персональных данных может квалифицироваться по ряду статей, которые предусматривают наказание вплоть до ;лишения свободы на срок до 4 лет.

Нарушение закона о персональных данных может привести к включению организации в реестр нарушителей, сайты которых блокируются операторами связи по требованию Роскомнадзора.

Снимает ли использование облака ответственность за соблюдение требований 152-ФЗ с оператора персональных данных?

Нет. По закону, оператор может поручить работу с персональными данными третьим лицам — обработчикам, но их ответственность ограничена договором с оператором. Оператор определяет цели и порядок обработки персональных данных, поэтому он и несёт ответственность перед государством и субъектами персональных данных.

Как разграничиваются зоны ответственности между оператором и обработчиком в контексте ФЗ-152?

При размещении обработки персональных данных в облаке по модели Infrastructure as a Service (IaaS), зоны ответственности оператора и обработчика можно чётко разграничить:

Обработчик отвечает за аппаратное и программное обеспечение вплоть до уровня гипервизора./p>
Всё что выше — виртуальные машины, установленные на них операционные системы и приложения — это зона ответственности оператора.
По умолчанию обработчик сам отвечает за информационную безопасность, но может передать задачи по её обеспечению обработчику по модели Security as a Service (SaaS). Примером таких сервисов могут быть антивирусная защита, межсетевое экранирование, VPN и т.д.

Клиент: разработчик сервиса цифровых визиток и облачной платформы для управления обслуживанием оборудования

Задача: организовать обработку данных в защищённом облаке без перебоев в доступности сервисов для пользователей

Решение: Linxdatacenter организовал работу с персональными данными в формате IaaS (инфраструктура как услуга) на своей платформе в Санкт-Петербурге. Перенос прошёл поэтапно с тестированием сетевой доступности после каждого шага

Клиент: подразделение ИТ-компании

Задача: перенести приложение с персональными данными в защищённое облако за время, ограниченное сроком контракта между клиентом и аттестующей организацией

Решение: Linxdatacenter выполнил работы в сотрудничестве с подрядчиком клиента, чётко распределив зоны ответственности. Также Linxdatacenter взял на себя часть необходимых мер из зоны ответственности клиента, связанных с ;защитой данных. Работы были выполнены в срок, соответстветствие закону о ПДн было подтверждено третьей стороной, лицензиатом ФСТЭК.

;

Вас также заинтересует

Частное облако на базе HyperFlex

Обеспечьте сохранность данных и профессиональную поддержку ваших ИТ-систем в частной виртуальной инфраструктуре
Выделенный доступ к AWS и Google Cloud Platform

Подключитесь к ресурсам глобальных облачных провайдеров по выделенному прямому каналу
Защищенное облако ФЗ-152

Обеспечьте стабильную и безопасную среду для данных и приложений в соответствии с требованиями закона о персональных данных

Все услуги