What does the Personal Data Law (152-FL) define as personal data?

According to the law, any identifiable information about a person is considered personal data, including name, contact details, gender, and so on. The law applies to both customers and employees. In other words, if you work with people, you are almost certainly subject to the Personal Data Law.

What are the requirements of 152-FL?

Закон требует от работающих в России компаний локализовать базы с данными пользователей, настроить бизнес-процессы, разработать внутренние регламенты и использовать технические решения для защиты персональных данных. В зависимости от того, какие персональные данные обрабатывает оператор, и в каком объеме, закон предъявляет разные требования к уровню защищенности. Эти уровни подробно описаны в п. 8 постановления Правительства РФ № 1119 от 1 ноября 2012 года.

Why are the 152-FL compliance audits necessary?

Для компаний, работающих с большим объемом персональных данных, критичны риски, связанные с несанкционированным доступом, потерей данных и, как следствие, утратой деловой репутации.Недоработки в информационной системе персональных данных, бизнес-процессах и документации, регламентирующей работу с ПДн, могут привести к претензиям со стороны регулирующих органов и повлечь штрафы.Аудит поможет получить наглядную и объективную оценку соответствия 152-ФЗ, определить проблемные зоны и внести необходимые изменения. Документация, разработанная по итогам аудита, и принятые в соответствии с ней меры, обеспечат полную юридическую чистоту обработки персональных данных.

Main page | Linx Cloud | Video of secure cloud

Защищенное облако по 152-ФЗ

Q: Who is an operator of personal data according to 152-FL?

Операторами персональных данных в рамках 152-ФЗ являются все, кто обрабатывает любую информацию о частных лицах. Достаточно вести кадровый учет, пользоваться CRM или следить за статистикой посещения сайта по счётчикам Яндекса и Google.Чаще всего объектами проверок исполнения 152-ФЗ становятся организации из сфер финансовых услуг, здравоохранения, образования, гостеприимства, телекоммуникаций, рекламы, ритейла.В контексте 152-ФЗ системами обработки персональных данных могут быть бизнес-приложения, почтовые системы, службы каталогов (например, Microsoft Active Directory, Novell eDirectory) и другое широко используемое ПО.

Storage of confidential data in a secure infrastructure and audit of personal data processing systems

secure cloud

key features

our solutions

Fast start

Готовая облачная платформа для размещения ИСПДн под УЗ 2 (информационная система персональных данных и уровень защищенности)

cost-effectiveness

Ensure low installation cost and reduced cost of ownership of personal data processing system

high reliability

Cloud platform based on TIER III data center; SLA up to 99.95%

data protection

Control of data access at the virtual and physical level

expertise

Over 20 years in the IT industry, licensed by FSTEC and FSB

documentation

Предоставление аттестационных документов, выписок из модели угроз и иной документации о платформе

CASES

A large international developer of IT solutions for monitoring and logistics of medications.

To meet the legal requirements in Russia, the customer needed a virtual server and network environment hosted in a Russian datacenter.

Linx Cloud создал две идентичные географически распределенные локации ИТ-ресурсов компании в облачных платформах на площадках дата-центров в Москве и Санкт-Петербурге. Инфраструктура на обеих площадках основана на технологиях VMware и состоит из двух сегментов: продуктивная среда и среда разработки.

To meet the requirements of the Russian personal data law, we used a cryptographic solution provided by a local developer. A connection to AWS was established over an encrypted channel.

Клиенту были предоставлены ИТ-ресурсы с полным резервированием в двух регионах России и сертифицированной ФСТЭК ИБ-защитой.

"Смарт-Сервис" – разработчик сервисной платформы HubEx и онлайн-конструктора для создания электронных визиток myQRcards

Клиенту Linx Cloud, который ранее использовал инфраструктуру материнской компании, потребовалось собственное облако с соблюдением требований ФЗ-152. Особенность проекта заключалась в том, что сервисы клиента использовались промышленными предприятиями, и их бесперебойная доступность была критически важна.

Клиенту были предоставлены виртуальные ресурсы в защищенном периметре облачной платформы Linx Cloud. Миграция данных проходила поэтапно в строго определенные промежутки времени с проверкой сетевой доступности после каждого шага.

Для клиента была построена защищенная облачная инфраструктура, полностью соответствующая требованиям закона о персональных данных.

solution overview

infrastructure as a service (iaas)

Based on our Tier III datacenters in Moscow and St. Petersburg
99.982% fault tolerance and full redundancy of infrastructure components
Оборудование от надежных вендоров: NetApp, Cisco
Удобная и надежная облачная платформа
Fully compliant with FSTEC technical requirements, ISO 27001, ISO 9001, ISO 22301, and PCI DSS standards

security as a service (secaas)

Security audit of IT infrastructure, consultation, and documentation on necessary protection tools
Firewall and cryptographic gateway
GOST-VPN
DDoS Protection Tools
Vulnerability scanner
Antivirus protection

what you get

Cloud computing and data storage
Certificate of conformity to the requirements of the Personal Data Law (152-FL) issued by an FSTEC licensee
Documentation on personal data processing for submission to Roscomnadzor
Information security tools as a service
Financial guarantees

secure cloud
152-FL — solution scheme

Cisco, IBM and EMC hardware

Secure cloud 152-FL

Video of secure cloud

personal data law (152-FL) compliance audit

solution for your business goals

your benefits

Identification and mitigation of risks associated with personal data processing

Индивидуальный план совершенствования ИСПДн с учетом специфики бизнеса

Повышение уровня доступности ваших информационных систем

Regulatory compliance

solution overview

stages

1 interview

In-depth interviews with stakeholders within the company involved in processing personal data

2 Documentation

Audit of documentation on personal data processing and storage

3 technical parameters

Researching the technical aspects of the personal data processing system

4 recommendations

Recommendations for improvement of personal data processing system and related business processes to minimize the risks associated with the processing and storage of personal data

what you get

A detailed report on the compliance with the requirements of the Personal Data Law of Russia

The list of specific steps to organize the processing of natural resources in accordance with 152-FL and international safety standards

FAQ

152-ФЗ требует от компаний, которые хранят персональные данные, обеспечить их защиту на физическом и виртуальном уровне. Самостоятельно обслуживать инфраструктуру, которая отвечает законодательству — сложно. Данные должны находиться в России, доступ к серверам ограничен, а для защиты необходимо использовать антивирусы и софт, сертифицированный ФСТЭК.

Within the framework of the Personal Data Law, anyone processing personal data is considered an “operator”. It’s enough to keep personal records, use a CRM, or track website users with Yandex Metrika or Google Analytics.

Чаще всего объектами проверок исполнения 152-ФЗ становятся организации из сфер финансовых услуг, здравоохранения, образования, гостеприимства, телекоммуникаций, рекламы, ритейла.

В контексте 152-ФЗ системами обработки персональных данных могут быть бизнес-приложения, почтовые системы, службы каталогов (например, Microsoft Active Directory, Novell eDirectory) и другое широко используемое ПО.

The law requires companies operating in Russia to store and process personal data locally, set up business processes and internal policies, and employ technical solutions to protect it.

Depending on the type of personal data, the law imposes different security requirements, which are described in detail in clause 8 of Decree of the Government of Russia No. 1119 dated November 1, 2012.

Companies that process large amounts of personal data face risks associated with unauthorized access, data loss, and, as a result, significant reputational damage.

Vulnerabilities in information systems and shortcomings in business processes and documentation may lead to claims from the authorities and result in fines.

The audit will provide a clear and independent assessment of 152-FL compliance, help identify problem areas, and propose necessary updates. The documentation provided as a result of the audit, and the measures taken in accordance with it, will ensure the legality of personal data processing in the company.

Если вы заказываете услугу в Linx, мы возьмем на себя решение задачи соответствия 152-FL. Дата-центры в Москве и Санкт-Петербурге находятся под круглосуточной охраной. Вы можете использовать наши облачные сервисы для своих проектов или заказать аудит своей инфраструктуры на соответствие 152-ФЗ. Вместе с отчетом мы подготовим рекомендации по выбору средств для защиты, которые вы также можете взять как сервис из нашего облака. Цена зависит от выбранной услуги.

Violations of the Personal Data Law (152-FL) entail all types of liability: civil, disciplinary, administrative, and criminal.

Under the Labor Code of Russia, the people responsible for the processing of personal data are liable for direct compensation of damages caused by improper management of personal data.

The Civil Code of the Russian Federation allows a citizen to demand compensation from an organization in case of moral or material damage caused by improper management of personal data.

В зависимости от состава правонарушения, административная ответственность за нарушение закона о персональных данных составляет до 100 тысяч рублей для физлиц, до 20 тысяч рублей для ИП и до 18 млн рублей для организаций.

Criminal liability for violation of the law on personal data can be qualified under a number of articles that provide for punishment up to imprisonment for up to 4 years.

Roskomnadzor has the right to block the websites of violators of the Personal Data Law.

По закону, оператор может поручить работу с персональными данными третьим лицам — обработчикам, но их ответственность ограничена договором с оператором. Оператор определяет цели и порядок обработки персональных данных, поэтому он и несет ответственность перед государством и субъектами персональных данных.

When personal data is processed in the cloud under the Infrastructure-as-a-Service model (IaaS), the responsibility of the operator and the processor can be clearly distinguished.

The processor is responsible for the hardware and software conformity to the requirement of the law up to hypervisor level.

The operator is responsible for virtual machines, operating systems, and applications installed.

By default, the operator is responsible for information security, but can task the processor to provide the respective services under the Security-as-a-Service model (SECaaS). Such services may include antivirus protection, firewall, VPN, and so on.

Защищенное облако по 152-ФЗ

secure cloud

key features

our solutions

Fast start

cost-effectiveness

high reliability

data protection

expertise

documentation

CASES

solution overview

infrastructure as a service (iaas)

security as a service (secaas)

what you get

secure cloud
152-FL — solution scheme

Secure cloud 152-FL

personal data law (152-FL) compliance audit

solution for your business goals

your benefits

Identification and mitigation of risks associated with personal data processing

Повышение уровня доступности ваших информационных систем

solution overview

stages

1 interview

2 Documentation

3 technical parameters

4 recommendations

what you get

FAQ

Get a quote

Licenses and certificates

Защищенное облако по 152-ФЗ

secure cloud

key features

our solutions

Fast start

cost-effectiveness

high reliability

data protection

expertise

documentation

CASES

solution overview

infrastructure as a service (iaas)

security as a service (secaas)

what you get

secure cloud152-FL — solution scheme

Secure cloud 152-FL

personal data law (152-FL) compliance audit

solution for your business goals

your benefits

Identification and mitigation of risks associated with personal data processing

Повышение уровня доступности ваших информационных систем

solution overview

stages

1 interview

2 Documentation

3 technical parameters

4 recommendations

what you get

FAQ

Get a quote

Licenses and certificates

Thank you for your inquiry, we will get back to you shortly!

secure cloud
152-FL — solution scheme