Соответствие 152-ФЗ «О персональных данных»

Продемонстрируйте своим клиентам, заказчикам и Роскомнадзору, что вы гарантируете сохранность личной информации пользователей и соблюдаете требования закона. Размещая проекты в Selectel, вы сможете привести свою инфраструктуру в соответствие 152-ФЗ «О персональных данных».
  • Лицензии ФСТЭК и ФСБ
  • Аттестация ИСПДн
  • Совместная ответственность

Что важно знать про 152-ФЗ

Что это за закон

Кого касается 152-ФЗ

Зачем соблюдать закон

Как соответствовать 152-ФЗ

Какая ответственность за нарушения 152-ФЗ

Позаботьтесь о защите персональных данных

Разместите свои проекты в Selectel. Поможем решать разные бизнес-задачи, в том числе хранить, собирать и обрабатывать данные с самыми высокими требованиями к безопасности.

Почему Selectel

Соответствие 152-ФЗ в выделенных серверах и облаке

Вам не нужно платить за соответствие 152-ФЗ отдельно, если используете выделенные серверы готовой или произвольной конфигурации, облачную платформу Selectel или облако на базе VMware. Вы оплачиваете только инфраструктуру — она помогает соблюдать требования закона и дает все преимущества выбранного вами решения.

Соблюдение закона с одним провайдером

Если компания растет, может повыситься уровень защищенности ПДн. В этом случае некоторым компаниям требуется аттестация их систем. У нас можно провести аттестацию ИСПДн и получить инфраструктуру, которая будет соответствовать 1 , то есть максимальному уровню защищенности ПДн.

Услуги по безопасности и 152-ФЗ

Чтобы полностью выполнить требования для своей системы, вы можете использовать дополнительные сервисы Selectel по защите информации. Поможем подобрать решение из наших сервисов информационной безопасности.

У нас есть решения для разных систем

Selectel имеет необходимые лицензии ФСТЭК и ФСБ для оказания услуг по защите персональных данных. С нами сотрудничают компании, у которых разные требования к защищенности персональных данных: от интернет-магазинов до государственных информационных систем.

Как выбрать IT-инфраструктуру для 152-ФЗ

Понять, нужна ли аттестация систем

При обработке любых персональных данных необходимо проводить оценку эффективности принимаемых мер по защите ПДн (пункт 4 часть 2 статья 19 152-ФЗ). При этом процесс такой оценки может быть разным. В зависимости от выбора формы оценки эффективности, после ее проведения компания получает аттестат или акт оценки эффективности.

Необходимость аттестации часто зависит от обрабатываемых данных и отрасли, в которой работает компания. Аттестацию проводит лицензиат ФСТЭК — она накладывает дополнительные ограничения на работу с информационной системой.

Правильный выбор формы оценки эффективности поможет реализовать необходимые меры по защите ПДн и сократить затраты на соответствие 152-ФЗ: часто аттестация выходит дороже.

Аттестация систем

Нужна государственным и муниципальным системам. Коммерческим компаниям аттестация может потребоваться в случае подключения к некоторым государственным системам или для выполнения требований договора. Например, это касается медицинских организаций, B2G-сервисов, финансовых и страховых компаний.

Акт оценки эффективности

Требуется от всех операторов персональных данных в соответствии с п. 4 части 2 статьи 19 152-ФЗ. Это менее формальная процедура, для которой не требуется обязательное применение сертифицированных средств защиты. Компании проводят такую оценку самостоятельно или с привлечением подрядчика, имеющего лицензию ФСТЭК.'

Определить уровень защищенности данных

От уровня защищенности (УЗ) обрабатываемых данных зависит, как компания защищает персональные данные и системы, в которых они обрабатываются. Всего существует 4 уровня защищенности персональных данных — посчитайте свой.

1. Какие персональные данные обрабатываются в вашей системе?

2. Чьи данные обрабатываются?

Выбрать инфраструктуру

Подберите инфраструктуру в зависимости от того, какой уровень защищенности данных нужен и необходима ли аттестация системы.

Выполнить остальные требования 152-ФЗ

Соответствие 152-ФЗ и защита персональных данных не ограничиваются правильным выбором инфраструктуры и техническими мерами. Закон требует собирать данные и работать с ними по определенным правилам, а также готовить подтверждающие документы. Один из таких — поручение на обработку персональных данных. Его нужно подписать, чтобы выполнить требования п. 3 ст. 6 152-ФЗ.

Для заключения поручения на обработку персональных данных создайте тикет.

Мы подготовим поручение и отправим вам на подпись: в бумажном виде или через электронный документооборот.

Совместная ответственность за соответствие 152-ФЗ

Когда оператор персональных данных передает данные на хранение и обработку в Selectel, он не снимает с себя обязательства по защите персональных данных. Мы отвечаем перед вами за безопасность данных, связанную с физическим доступом, и защиту IT-инфраструктуры. Прочитайте в нашей документации, за что вы будете отвечать, когда разместите инфраструктуру на выделенном сервере, в облаке Selectel или в облаке на базе VMware.

Полезные материалы

Мы собрали все важные материалы о соответствии наших сервисов 152-ФЗ.

Поможем соответствовать требованиям российского законодательства

Мы понимаем, как сложно разобраться во всех тонкостях соответствия 152-ФЗ, и готовы помочь. Если у вас остались вопросы по выбору инфраструктуры для 152-ФЗ, оставьте заявку — мы свяжемся в течение рабочего дня.

Вы всегда можете получить бесплатную консультацию по телефону 8 800 555 06 75, почте sales@selectel.ru или в  Telegram.

FAQ

Что такое конфиденциальная информация, в том числе персональные данные (ПДн)?

Кто является оператором персональных данных?

Как правильно организовать сбор и обработку персональных данных?

Зачем оператору подписывать поручение на обработку ПДн с провайдером?

Что нужно сделать, чтобы система обработки ПДн полностью соответствовала 152-ФЗ?

Чтобы определить уровень защищенности, нужно указать тип актуальных угроз. Какими они могут быть?

Когда нужно использовать сертифицированные средства защиты?

В каком случае может повыситься уровень защищенности ПДн?

Какие дополнительные сервисы информационной безопасности могут понадобиться при защите ПДн?

Какие этапы должна выполнить моя компания при работе с Selectel для реализации всех требований 152-ФЗ?

Делаете ли вы документы для Роскомнадзора за клиентов?

Какой минимальный набор документов нужен для информационной системы, в которой обрабатываются ПДн?

Моя компания хранит и обрабатывает данные в сервисе, который уже является клиентом Selectel. Что нужно сделать с нашей стороны, чтобы работать с данными по закону?