Защищенное облако 152-ФЗ

Любую информацию о человеке — от имени и контактных данных до гендера, веры и мнений по любому поводу. Закон касается как клиентов, так и сотрудников. Если вы работаете с людьми, вы почти наверняка попадаете под действие закона.

152-ФЗ требует от компаний, которые хранят персональные данные, обеспечить их защиту на физическом и виртуальном уровне. Самостоятельно обслуживать инфраструктуру, которая отвечает законодательству — сложно. Данные должны находиться в России, доступ к серверам ограничен, а для защиты необходимо использовать сервисы в виде антивирусов и софта, сертифицированных ФСТЭК.

Операторами персональных данных в рамках 152-ФЗ являются все, кто обрабатывает любую информацию о частных лицах. Достаточно вести кадровый учет, пользоваться CRM или следить за статистикой посещения сайта по счётчикам Яндекса и Google.
Чаще всего объектами проверок исполнения 152-ФЗ становятся организации из сфер финансовых услуг, здравоохранения, образования, гостеприимства, телекоммуникаций, рекламы, ритейла.
В контексте 152-ФЗ системами обработки персональных данных могут быть бизнес-приложения, почтовые операторы, службы каталогов (например, Microsoft Active Directory, Novell eDirectory) и другое широко используемое ПО.

Закон требует от работающих в России компаний локализовать базы с данными пользователей, настроить инфраструктуру и бизнес-процессы, разработать внутренние регламенты и использовать технические решения для защиты персональных данных. 
В зависимости от того, какие персональные данные обрабатывает оператор, и в каком объеме, закон предъявляет разные требования к уровню защищенности. Эти уровни подробно описаны в п. 8 постановления Правительства РФ № 1119 от 1 ноября 2012 года.

Для компаний, работающих с большим объемом баз данных, критичны риски, связанные с несанкционированным доступом, потерей данных и, как следствие, утратой деловой репутации.
Недоработки в информационной системе персональных данных, бизнес-процессах и документации, регламентирующей работу с ПДн, могут привести к претензиям со стороны регулирующих органов и повлечь штрафы.
Аудит поможет получить наглядную и объективную оценку соответствия 152-ФЗ, определить проблемные зоны и внести необходимые изменения. Документация, разработанная по итогам аудита, и принятые в соответствии с ней меры, обеспечат полную юридическую чистоту обработки базы данных.

Если вы заказываете услугу в Linx, мы возьмем на себя решение задачи соответствия 152-ФЗ. Дата-центры в Москве и Санкт-Петербурге находятся под круглосуточной охраной. Вы можете использовать облако как хостинг для своих проектов или заказать аудит своей инфраструктуры на соответствие 152-ФЗ. Вместе с отчетом мы подготовим рекомендации по выбору средств для защиты, которые вы можете взять как сервис из нашего облака. Цена зависит от выбранной услуги. 

Регуляторами выступают Роскомнадзор, ФСБ и ФСТЭК. В первую очередь, проверками занимается именно РКН. Как правило, ведомство озабочено соответствием порядка и безопасности обработки персональных данных требованиям закона.

Нарушения 152-ФЗ могут повлечь за собой все виды ответственности: гражданскую, дисциплинарную, административную и уголовную.
Дисциплинарная ответственность по ТК РФ вплоть до компенсации прямого ущерба предусмотрена для лиц, ответственных за обработку персональных данных.  
ГК РФ позволяет гражданину требовать от организации компенсацию если из-за нарушений правил работы с базой персональных данных ему был нанесен моральный или имущественный ущерб. 
В зависимости от состава правонарушения, административная ответственность за нарушение закона  составляет до 100 тысяч рублей для физлиц, до 20 тысяч рублей для ИП и до 18 млн рублей для организаций. 
Уголовная ответственность за нарушение закона может квалифицироваться по ряду статей, которые предусматривают наказание вплоть до лишения свободы на срок до 4 лет. 
Нарушение закона может привести к включению организации в реестр нарушителей, сайты которых блокируются операторами связи по требованию Роскомнадзора. 
По закону, оператор может поручить работу с персональными данными третьим лицам — обработчикам, но их ответственность ограничена договором с оператором. Оператор определяет цели и порядок обработки персональных данных, поэтому он и несет ответственность перед государством и субъектами. 

При размещении обработки персональных данных в облаке по модели Инфраструктура как сервис (IaaS), зоны ответственности оператора и обработчика можно четко разграничить:
Обработчик отвечает за аппаратное и программное обеспечение вплоть до уровня гипервизора.
Все, что выше — виртуальные машины, установленные на них ОС и приложения — это зона ответственности оператора.
По умолчанию обработчик сам отвечает за информационную безопасность, но может передать задачи по ее обеспечению обработчику по модели Security as a Service (SaaS). Примером таких сервисов могут быть антивирусная защита, межсетевое экранирование, VPN и т. д.