Соответствие 152-ФЗ «О персональных данных»

Продемонстрируйте своим клиентам, заказчикам и Роскомнадзору, что вы гарантируете сохранность личной информации пользователей и соблюдаете требования закона. Размещая проекты в Selectel, ваша инфраструктура сможет соответствовать 152-ФЗ «О персональных данных».

Что важно знать про 152-ФЗ

Что это за закон

В России действует 152-ФЗ «О персональных данных». Он защищает граждан от незаконного сбора, обработки и передачи их личной информации в чужие руки. Персональными данными (ПДн) считаются любые сведения о физических лицах , по которым можно установить личность человека — например, имя и фамилия, данные паспорта с фотографией и даже номер телефона.

Кого касается 152-ФЗ

Закон обязаны соблюдать все компании, которые так или иначе взаимодействуют с персональными данными, имеют к ним доступ. Неважно, как они получают личную информацию — напрямую от своих клиентов и сотрудников или через третьих лиц. Закон касается в том числе аутсорсинговых компаний, которым заказчики передают данные на обработку и хранение — например, облачных провайдеров или SaaS-сервисов.

Зачем соблюдать закон

Если компания не соблюдает 152-ФЗ, она рискует столкнуться с утечкой данных и потерять клиентов. И клиентам, и компаниям, которые отдают ПДн на обработку подрядчикам, важно знать, что данные будут в безопасности и не попадут в чужие руки.

Как соответствовать 152-ФЗ

Чтобы выполнить требования закона, нужно правильно собирать, обрабатывать и защищать личную информацию пользователей. Для этого компании необходимо правильно организовать сбор и обработку данных, привести свои информационные системы в порядок. Со второй задачей помогает подготовленная IT-инфраструктура Selectel соответствующая 152-ФЗ.

Какая ответственность за нарушения 152-ФЗ

За выполнением требований 152-ФЗ следит Роскомнадзор. Таким компаниям служба может выписать штрафы и даже приостановить их деятельность.

Позаботьтесь о защите персональных данных

Разместите свои проекты в Selectel. Поможем решать разные бизнес-задачи, в том числе хранить, собирать и обрабатывать данные с самыми высокими требованиями к безопасности.

Почему Selectel

Соответствие 152-ФЗ — уже в облаке

Вам не нужно платить за соответствие 152-ФЗ отдельно, если используете облачную платформу Selectel или VMware. Вы оплачиваете только инфраструктуру — она помогает соблюдать требования закона и дает преимущества публичного облака: масштабируемость, гибкость и высокий SLA.

Соблюдение закона с одним провайдером

Если компания растет, может повыситься уровень защищенности ПДн. Некоторым компаниям требуется аттестация их систем. У нас можно провести аттестацию ИСПДн и получить инфраструктуру, соответствующую 1 максимальному уровню защищенности ПДн.

Услуги по безопасности и 152-ФЗ

Чтобы полностью выполнить требования для своей системы, вы можете использовать дополнительные сервисы Selectel по защите информации. Поможем подобрать решение из наших сервисов информационной безопасности.

У нас есть решения для разных систем

Selectel имеет необходимые лицензии ФСТЭК и ФСБ для оказания услуг по защите персональных данных. С нами сотрудничают компании, у которых разные требования к защищенности персональных данных: от интернет-магазинов до государственных информационных систем.

Как выбрать IT-инфраструктуру для 152-ФЗ

Понять, нужна ли аттестация систем

При обработке любых персональных данных необходимо проводить оценку эффективности принимаемых мер по защите ПДн (пункт 4 часть 2 статья 19 152-ФЗ). При этом процесс такой оценки может быть разным. В зависимости от выбора формы оценки эффективности, после ее проведения компания получает аттестат или акт оценки эффективности.

Необходимость аттестации часто зависит от обрабатываемых данных и отрасли, в которой работает компания. Аттестацию проводит лицензиат ФСТЭК — она накладывает дополнительные ограничения на работу с информационной системой.

Правильный выбор формы оценки эффективности поможет реализовать необходимые меры по защите ПДн и сократить затраты на соответствие 152-ФЗ: часто аттестация выходит дороже.

Аттестация систем

Нужна государственным и муниципальным системам. Коммерческим компаниям аттестация может потребоваться в случае подключения к некоторым государственным системам или для выполнения требований договора. Например, это касается медицинских организаций, B2G-сервисов, финансовых и страховых компаний.

Акт оценки эффективности

Требуется от всех операторов персональных данных в соответствии с п. 4 части 2 статьи 19 152-ФЗ. Это менее формальная процедура, для которой не требуется обязательное применение сертифицированных средств защиты. Компании проводят такую оценку самостоятельно или с привлечением подрядчика, имеющего лицензию ФСТЭК.

Определить уровень защищенности данных

От уровня защищенности (УЗ) обрабатываемых данных зависит, как компания защищает персональные данные и системы в которых они обрабатываются. Всего существует 4 уровня защищенности персональных данных — посчитайте свой.

1. Какие персональные данные обрабатываются в вашей системе? ?

?
?
?
?

2. Чьи данные обрабатываются?

?

3. Обрабатываются персональные данные скольких человек?

Вашей системе необходимо обеспечить 0 УЗ (уровень защищенности персональных данных)*.

*Верно при 3 типе угроз. На практике это наиболее популярный вариант, когда оператор персональных данных принимает актуальными только угрозы, не связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении. Подробнее — в постановлении Правительства РФ от 01 ноября 2012 г. № 1119.

Что нужно сделать для УЗ-3

Мы подготовили чек-лист, где рассказали, какие именно шаги важно пройти для обеспечения персональным данным третьего уровня защищенности. Чтобы получить чек-лист, оставьте заявку.

Выбрать инфраструктуру

Подберите инфраструктуру в зависимости от того, какой уровень защищенности данных нужен и необходима ли аттестация системы.

Выполнить остальные требования 152-ФЗ

Соответствие 152-ФЗ и защита персональных данных ограничиваются не только правильным выбором инфраструктуры и реализацией технических мер. Закон требует организовать процессы сбора и работы с данными в компании по определенным правилам, а также подготовить подтверждающие документы. Один из таких — поручение на обработку персональных данных. Его нужно подписать, чтобы выполнить требования п. 3 ст. 6 152-ФЗ. Поручения для облачных серверов Selectel, «Облака на базе VMware» и А-ЦОД .

Совместная ответственность за соответствие 152-ФЗ

Когда оператор персональных данных передает данные на хранение и обработку в Selectel, он не снимает с себя обязательства по защите персональных данных. Мы отвечаем перед вами за безопасность данных, связанную с физическим доступом, и защиту IT-инфраструктуры. Посмотрите в нашей базе знаний, за что вы будете отвечать, размещая свою инфраструктуру на выделенном сервере, в облаке Selectel или «Облаке на базе VMware».

Поможем соответствовать требованиям российского законодательства

Мы понимаем, как сложно разобраться во всех тонкостях соответствия 152-ФЗ, и готовы помочь. Если у вас остались вопросы по выбору инфраструктуры для 152-ФЗ, оставьте заявку — мы свяжемся в течение рабочего дня.

Вы всегда можете получить бесплатную консультацию по телефону, 8 800 555 06 75, почте sales@selectel.ru или в  Telegram.