• Соответствие 152-ФЗ: индивидуальное проектное решение

    Аудит вашей работы с персональными данными и их перенос в защищенное облако

    Обеспечение безопасности персональных данных 

    до 2-го уровня защищённости  

    Подготовка экспертных заключений 

    и аттестатов о соответствии ФЗ-152 

    Технические средства защиты от угроз 

    информационной безопасности 

    В каких случаях подойдёт индивидуальное решение

    Обработка больших объёмов персональных данных всех категорий, включая специальные и биометрические персональных данных.
    Планируемая локализация IT-инфраструктуры с соблюдением требований 152-ФЗ и/или иностранных законов о ПДн
    Построение собственной экономически обоснованной безопасной информационной системы хранения и обработки ПДн

    Это не про вас?

    Узнайте больше о бесшовной миграции в масштабируемое защищённое облако в рамках типового решения «Защищенное облако 152-ФЗ» 

    Причины работать с нами

    Мы работаем в сфере хранения и обработки данных более 20 лет, имеем лицензии ФСТЭК и ФСБ
    Под ключ строим систему обработки персональных данных под индивидуальные задачи конкретного бизнеса
    Проводим как полное внедрение, так и отдельные мероприятия по приведению ваших процессов и информационных систем в соответствие с требованиями ФЗ-152

    Как мы работаем «под ключ»

    Проводим аудит информационной системы на соответствие ФЗ-152
    Проводим комплекс организационных работ по защите ПДн
    Внедряем технические средства защиты персональных данных

    Этапы работы над индивидуальным решением по 152-ФЗ

    Мы можем выполнить для вас весь комплекс работ или подключиться к проекту на отдельном этапе в качестве консультантов или разработчиков.
    Анализ бизнес-процессов и аудит технической составляющей
    Исследуем текущие бизнес-процессы и существующие средства информационной защиты, предлагаем улучшения.
    Формирование требований к системе защиты
    Определяем объективное потребности и необходимый уровень информационной безопасности, определяем актуальные для конкретной системы угрозы и оцениваем риски от их реализации, готовим частное техническое задание.
    Разработка и внедрение систем защиты
    Подготовка решения под индивидуальные требования с возможностью дальнейшего масштабирования, готовим регламенты по работе с персональными данными в соответствии с требованиями закона и стандартами информационной безопасности.
    Оценка эффективности
    Повторно оцениваем созданное решение, сопровождаем в получении аттестации на соответствие нормам ФЗ-152 и экспертных заключений

    FAQ

    Что ФЗ-152 определяет как персональные данные?
    +
    +

    Любую информацию о человеке — от имени и контактных данных до гендера, веры и мнений по любому поводу. Закон касается как клиентов, так и сотрудников. Если вы работаете с людьми, вы почти наверняка попадаете под действие закона.

    Кто является оператором персональных данных по ФЗ-152?
    +
    +

    Любое физическое или юридическое лицо, которое определяет цели сбора и обработки персональных данных или совершает с ними какие-либо операции: собирает, хранит, анализирует, использует, передаёт и так далее.

    Чаще всего объектами проверок исполнения ФЗ-152 становятся организации из сфер финансовых ;услуг, здравоохранения, образования, гостеприимства телекоммуникаций, рекламы, ритейла.

    Какие требования предъявляет ФЗ-152?
    +
    +

    Для соответствия закону оператор персональных данных должен разработать внутренние регламенты для работы с персональными ;данными, внедрить средства технической защиты и локализовать данные на территории РФ.

    В зависимости от того, какие персональные данные обрабатывает оператор, и в каком объёме, закон предъявляет разные требования к уровню защищённости. Эти уровни подробно описаны в п. 8 постановления Правительства РФ № 1119 от 1 ноября 2012 года.

    Кто проверяет соответствие ФЗ-152?
    +
    +

    Регуляторами выступают Роскомнадзор, ФСБ и ФСТЭК. В первую очередь, проверками занимается именно РКН. Как правило, ведомство озабочено соответствием порядка и безопасности обработки персональных данных требованиям закона.

    Какая ответственность предусмотрена за нарушения ФЗ-152?
    +
    +

    Нарушения ФЗ-152 могут повлечь за собой все виды ответственности: гражданскую, дисциплинарную, административную и уголовную.

    • Дисциплинарная ;ответственность по ТК РФ вплоть до компенсации прямого ущерба предусмотрена для лиц, ответственных за обработку персональных данных. 

    • ГК РФ позволяет гражданину требовать от организации компенсацию если из-за нарушений правил работы с персональными данными ему был нанесён моральный или имущественный ущерб.

    • В зависимости от состава правонарушения, административная ответственность за нарушение закона о персональных данных составляет до 100 тысяч рублей для физлиц, до 800 тысяч для должностных лиц, до 20 тысяч рублей для ИП и до 18 млн рублей ;для организаций.

    • Уголовная ;ответственность за нарушение закона о персональных данных может квалифицироваться по ряду статей, которые предусматривают наказание вплоть до ;лишения свободы на срок до 4 лет.

    Нарушение закона о персональных данных может привести к включению организации в реестр нарушителей, сайты которых блокируются операторами связи по требованию Роскомнадзора.

    Снимает ли использование облака ответственность за соблюдение требований 152-ФЗ с оператора персональных данных?
    +
    +

    Нет. По закону, оператор может поручить работу с персональными данными третьим лицам — обработчикам, но их ответственность ограничена договором с оператором. Оператор определяет цели и порядок обработки персональных данных, поэтому он и несёт ответственность перед государством и субъектами персональных данных.

    Как разграничиваются зоны ответственности между оператором и обработчиком в контексте ФЗ-152?
    +
    +

    При размещении обработки персональных данных в облаке по модели Infrastructure as a Service (IaaS), зоны ответственности оператора и обработчика можно чётко разграничить:

    • Обработчик отвечает за аппаратное и программное обеспечение вплоть до уровня гипервизора./p>

    • Всё что выше — виртуальные машины, установленные на них операционные системы и приложения — это зона ответственности оператора.

    • По умолчанию обработчик сам отвечает за информационную безопасность, но может передать задачи по её обеспечению обработчику по модели Security as a Service (SaaS). Примером таких сервисов могут быть антивирусная защита, межсетевое экранирование, VPN и т.д.

    Кейсы

    Клиент: разработчик сервиса цифровых визиток и облачной платформы для управления обслуживанием оборудования
    +
    +

    Задача: организовать обработку данных в защищённом облаке без перебоев в доступности сервисов для пользователей

    Решение: Linxdatacenter организовал работу с персональными данными в формате IaaS (инфраструктура как услуга) на своей платформе в Санкт-Петербурге. Перенос прошёл поэтапно с тестированием сетевой доступности после каждого шага

    Клиент: подразделение ИТ-компании
    +
    +

    Задача: перенести приложение с персональными данными в защищённое облако за время, ограниченное сроком контракта между клиентом и аттестующей организацией

    Решение: Linxdatacenter выполнил работы в сотрудничестве с подрядчиком клиента, чётко распределив зоны ответственности. Также Linxdatacenter взял на себя часть необходимых мер из зоны ответственности клиента, связанных с ;защитой данных. Работы были выполнены в срок, соответстветствие закону о ПДн было подтверждено третьей стороной, лицензиатом ФСТЭК.

    ;

    Запрос на бесплатную консультацию

    Пожалуйста, подтвердите, что вы не робот