Защищенное облако по 152-ФЗ
Размещение конфиденциальных данных в защищенной инфраструктуре и аудит системы работы с персональными данными
Облачное решение
ключевые возможности
Соответствие требованиям законодательства о персональных данных и минимизация риска потери критических данных
Соответствие требованиям законодательства
Предача экспертам задач поддержки оборудования и обеспечения выполнения требований 152-ФЗ
Фокус на основных бизнес-процессах
Повышение отказоустойчивости и доступности ИТ-систем
Повышение отказоустойчивости
Регулярный апгрейд оборудования и обновление ПО компетентным провайдером
Своевременное обновление оборудования и ПО
Наши решения
Быстрый старт
Готовая облачная платформа для размещения ИСПДн под УЗ 2 (информационная система персональных данных и уровень защищенности)
оптимизация затрат
Низкие единовременные затраты и стоимость владения ИСПДн
Высокая надежность
Облачная платформа на базе ЦОД TIER III; SLA до 99,95%
Защита данных
Контроль доступа к данным на виртуальном и физическом уровне
Экспертиза
Более 20 лет в ИТ-отрасли, лицензии ФСТЭК и ФСБ
ДокументЫ
Предоставление аттестационных документов, выписок из модели угроз и иной документации о платформе
Кейсы наших клиентов
Крупная международная компания, разработчик ИТ-решения для траспортировки и мониторинга лекарственных препаратов
Для выполнения требований российского законодательства клиенту требовался виртуальный сервер и сопутствующее сетевое окружение в России.
Клиенту были предоставлены ИТ-ресурсы с полным резервированием в двух регионах России и сертифицированной ФСТЭК ИБ-защитой.
"Смарт-Сервис" – разработчик сервисной платформы HubEx и онлайн-конструктора для создания электронных визиток myQRcards
Клиенту были предоставлены виртуальные ресурсы в защищенном периметре облачной платформы Linx Cloud. Миграция данных проходила поэтапно в строго определенные промежутки времени с проверкой сетевой доступности после каждого шага.
Для клиента была построена защищенная облачная инфраструктура, полностью соответствующая требованиям закона о персональных данных.
Описание решения
Инфраструктура как услуга (IaaS)
- Собственные дата-центры уровня Tier III в Санкт-Петербурге и Москве
- Отказоустойчивость на уровне 99,982% и полное резервирование компонентов инфраструктуры
- Оборудование от надежных вендоров: NetApp, Cisco
- Удобная и надежная облачная платформа
- Соответствие техническим требованиям ФСТЭК, стандартам ISO 27001, ISO 9001, ISO 22301 и PCI DSS
Безопасность как услуга (SECaaS)
- Аудит ИТ-инфраструктуры, разработка документации и подбор необходимых средств защиты
- Межсетевой экран и криптошлюз
- ГОСТ-VPN
- Средства защиты от DDoS
- Сканер уязвимостей
- Антивирусная защита
что вы получаете
- Вычислительные мощности и дисковое пространство в облаке
- Заключение или аттестат соответствия требованиям 152-ФЗ, выданный лицензиатом ФСТЭК
- Поручение на обработку персональных данных для предоставления в Роскомнадзор
- Средства информационной безопасности по схеме аренды
- Финансовые гарантии
Аудит соответствия 152-ФЗ
Решение актуально для вас, если
Если вы обрабатываете большие объемы персональных данных, включая специальные и биометрические персональные данные
ваша компания обрабатывает большие объемы ПДн
Если вы планируете локализацию в России ИТ-инфраструктуры для соблюдения требований 152-ФЗ
вам необходимо локализовать ИТ-инфраструктуру
Если вы строите собственную безопасную информационную систему хранения и обработки ПДн
ваша компания создает собственную систему хранения ПДн
ваши Преимущества
Определение и снижение рисков, связанных с ПДн
Индивидуальный план совершенствования ИСПДн с учетом специфики бизнеса
Повышение уровня доступности ваших информационных систем
Готовность к проверке со стороны регулятора
Описание решения
Этапы
1 Интервью
Глубинные интервью с сотрудниками компании, принимающими участие в работе с ПДн
2 Документация
Анализ документации, определяющей порядок обработки и хранения ПДн
3 Технические параметры
Сбор и анализ информации о технических параметрах ИСПДн
4 Рекомендации
Подготовка рекомендаций по совершенствованию ИСПДн и бизнес-процессов и минимизации рисков
Вы получаете
Детальный отчет о соответствии обработки и защиты персональных данных требованиям закона
Перечень конкретных шагов для организации обработки персональных данных в соответствии с 152-ФЗ и современными стандартами информационной безопасности
Вы спрашивали, мы отвечаем
Любую информацию о человеке — от имени и контактных данных до гендера, веры и мнений по любому поводу. Закон касается как клиентов, так и сотрудников. Если вы работаете с людьми, вы почти наверняка попадаете под действие закона.
152-ФЗ требует от компаний, которые хранят персональные данные, обеспечить их защиту на физическом и виртуальном уровне. Самостоятельно обслуживать инфраструктуру, которая отвечает законодательству — сложно. Данные должны находиться в России, доступ к серверам ограничен, а для защиты необходимо использовать антивирусы и софт, сертифицированный ФСТЭК.
Операторами персональных данных в рамках 152-ФЗ являются все, кто обрабатывает любую информацию о частных лицах. Достаточно вести кадровый учет, пользоваться CRM или следить за статистикой посещения сайта по счётчикам Яндекса и Google.
Чаще всего объектами проверок исполнения 152-ФЗ становятся организации из сфер финансовых услуг, здравоохранения, образования, гостеприимства, телекоммуникаций, рекламы, ритейла.
В контексте 152-ФЗ системами обработки персональных данных могут быть бизнес-приложения, почтовые системы, службы каталогов (например, Microsoft Active Directory, Novell eDirectory) и другое широко используемое ПО.
Закон требует от работающих в России компаний локализовать базы с данными пользователей, настроить бизнес-процессы, разработать внутренние регламенты и использовать технические решения для защиты персональных данных.
Для компаний, работающих с большим объемом персональных данных, критичны риски, связанные с несанкционированным доступом, потерей данных и, как следствие, утратой деловой репутации.
Недоработки в информационной системе персональных данных, бизнес-процессах и документации, регламентирующей работу с ПДн, могут привести к претензиям со стороны регулирующих органов и повлечь штрафы.
Аудит поможет получить наглядную и объективную оценку соответствия 152-ФЗ, определить проблемные зоны и внести необходимые изменения. Документация, разработанная по итогам аудита, и принятые в соответствии с ней меры, обеспечат полную юридическую чистоту обработки персональных данных.
Если вы заказываете услугу в Linx, мы возьмем на себя решение задачи соответствия 152-ФЗ. Дата-центры в Москве и Санкт-Петербурге находятся под круглосуточной охраной. Вы можете использовать наши облачные сервисы для своих проектов или заказать аудит своей инфраструктуры на соответствие 152-ФЗ. Вместе с отчетом мы подготовим рекомендации по выбору средств для защиты, которые вы также можете взять как сервис из нашего облака. Цена зависит от выбранной услуги.
Регуляторами выступают Роскомнадзор, ФСБ и ФСТЭК. В первую очередь, проверками занимается именно РКН. Как правило, ведомство озабочено соответствием порядка и безопасности обработки персональных данных требованиям закона.
Дисциплинарная ответственность по ТК РФ вплоть до компенсации прямого ущерба предусмотрена для лиц, ответственных за обработку персональных данных.
ГК РФ позволяет гражданину требовать от организации компенсацию если из-за нарушений правил работы с персональными данными ему был нанесен моральный или имущественный ущерб.
В зависимости от состава правонарушения, административная ответственность за нарушение закона о персональных данных составляет до 100 тысяч рублей для физлиц, до 20 тысяч рублей для ИП и до 18 млн рублей для организаций.
Уголовная ответственность за нарушение закона о персональных данных может квалифицироваться по ряду статей, которые предусматривают наказание вплоть до лишения свободы на срок до 4 лет.
Нарушение закона о персональных данных может привести к включению организации в реестр нарушителей, сайты которых блокируются операторами связи по требованию Роскомнадзора.
По закону, оператор может поручить работу с персональными данными третьим лицам — обработчикам, но их ответственность ограничена договором с оператором. Оператор определяет цели и порядок обработки персональных данных, поэтому он и несет ответственность перед государством и субъектами персональных данных.
При размещении обработки персональных данных в облаке по модели Infrastructure as a Service (IaaS), зоны ответственности оператора и обработчика можно четко разграничить:
Обработчик отвечает за аппаратное и программное обеспечение вплоть до уровня гипервизора.
Все, что выше — виртуальные машины, установленные на них операционные системы и приложения — это зона ответственности оператора.
По умолчанию обработчик сам отвечает за информационную безопасность, но может передать задачи по ее обеспечению обработчику по модели Security as a Service (SaaS). Примером таких сервисов могут быть антивирусная защита, межсетевое экранирование, VPN и т. д.