Облако 152-ФЗ
Технологической основой для Облака 152 ФЗ является облачная платформа RTCloud построенная на лучшем решении по виртуализации и аппаратных компонентах ведущих вендоров, размещенная в ДЦ Tier III
Исключительный уровень безопасности. Многоуровневая система обеспечения физической безопасности. Для каждого заказчика создается полностью изолированное окружение. Ваши данные защищены с учетом всех необходимых требований
законодательству
Все технические средства защиты информации (ТСЗКИ), используемые для обеспечения безопасности платформы имеют сертификат ФСТЭК России, а криптографические средства — ФСБ. Соответствие требованиям безопасности подтверждено аттестацией
Нет капитальных затрат. Размещение ИСПДн предоставляется как услуга по договору-поручению. Не нужно покупать оборудование, средства защиты, проектировать и эксплуатировать собственную инфраструктуру
Для кого?
-
Компании, собирающие
и обрабатывающие персональные данные -
Государственные организации, использующие в своей работе государственные информационные системы (ГИС)
-
Организации и компании, которым необходимо подключаться к государственным информационным системам (ГИС).
Из каких компонентов
состоит защита?
-
Физическая безопасность
- периметр ЦОДа огорожен и охраняется отдельным полком Росгвардии
- многоуровневый контроль доступа (включая СКУД) на территорию, помещения дата-центра, серверные шкафы
- датчики открытия дверей шкафов
- круглосуточное видеонаблюдение и видеорегистрация внутренних помещений и прилегающих территорий с отсутствием «слепых зон» и хранением архива видеозаписей в течение 3 месяцев
- ЦОД прошел QSA аудит на соответствие стандарту PCI DSS
-
Сетевая безопасность
- сегментация сетей в облаке через VLAN
- файрвол (Firewall), брэндмауэр — межсетевой экран (МЭ)
- IDS (Intrusion Detection System) — система обнаружения вторжений (СОВ)
- защита каналов связи со внешними потребителями с помощью криптошлюзов (шифрование ГОСТ) — при необходимости
-
Безопасность среды
виртуализации- антивирусная защита (CАВЗ) для виртуальных сред
- защита платформ виртуализации, обеспечивающее контроль инфраструктуры и действий администраторов
- защита управляющих серверов и АРМ администраторов от несанкционированного доступа (СЗИ от НСД)
-
Административные меры
- политика хранения и утилизации носителей информации, в т.ч. ключевой и парольной
- политика обновлений и модернизации компонентов ИС
- регламенты доступа администраторов системы
- регламенты доступа администраторов безопасности
- процедура аудита и аттестации ИС
-
Все технические средства защиты информации (ТСЗКИ), используемые для обеспечения безопасности платформы имеют сертификат ФСТЭК России.
Контроль за соблюдением 152 ФЗ осуществляет Роскомнадзор.
Роскомнадзор прежде всего проверяет наличие, и правильность организационно-распорядительной документации. Вот примерный список того, что нужно подготовить оператору персональных данных:
- Типовая форма согласия на обработку персональных данных (это те листы, которые мы сейчас подписываем практически везде, где оставляем свои ФИО, паспортные данные)
- Политика оператора в отношении обработки ПДн (тут есть рекомендации по оформлению)
- Приказ о назначении ответственного за организацию обработки ПДн
- Должностная инструкция ответственного за организацию обработки ПДн
- Правила внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям закона
- Перечень информационных систем персональных данных (ИСПДн)
- Регламент предоставления доступа субъекта к его ПДн
- Регламент расследования инцидентов
- Приказ о допуске работников к обработке ПДн
- Регламент взаимодействия с регуляторами
- Уведомление РКН и пр.
- Форма поручения обработки ПДн
- Модель угроз ИСПДн
152-ФЗ позволяет оператору ПДн (вам) доверить обработку персональных данных третьему лицу, например, облачному провайдеру. Такая возможность прописана в п. 3, ст. 6 152-ФЗ. Это делается на основании поручения на обработку ПДн, которое мы подписываем в составе договорной документации.
Контроль за соблюдением 152 ФЗ осуществляет Роскомнадзор. Применяемая статья — 13.11 КоАП, с учетом изменений внесенных 405-ФЗ от 02.12.2019:
Обработка ПД, несовместимая с целью сбора — штраф:
-
для граждан
2–6 тыс. ₽ -
на должностных лиц
10–20 тыс. ₽ -
на организации
10–20 тыс. ₽ При повторном нарушении увеличение в 2-3 раза.
Обработка ПД без письменного согласия субъекта — штраф:
-
для граждан
6–10 тыс. ₽ -
на должностных лиц
20–40 тыс. ₽ -
на организации
30–150 тыс. ₽
Неопубликование документа о политике оператора в отношении обработки ПД — штраф:
-
для граждан
1–1,5 тыс. ₽ -
на должностных лиц
6–12 тыс. ₽ -
для ИП
до 10 тыс. ₽
-
на организации
30–60 тыс. ₽
Невыполнение оператором при сборе ПД, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, штраф:
-
для граждан
30–50 тыс. ₽ -
на должностных лиц
100–200 тыс. ₽ -
на организации
1–6 млн. ₽
При повторном 6–18 млн. ₽
Ответы на другие вопросы вы найдете в базе знаний
