• Главная

Хостинг по требованиям 152-ФЗ. Хостинг 152 фз


Хостинг по требованиям 152-ФЗ / Хабр

Компания Parking.ru запустила новую услугу под говорящим названием «Хостинг ИСПДн». Эта услуга позволит заказчикам (операторам персональных данных) вынести на аутсорсинг информационные системы, содержащие и обрабатывающие эти самые персональные данные (ИСПДн), как то: социальные сервисы, интернет-магазины, системы биллинга, кадровые системы, бухгалтерию и другие привычные нам сервисы.

Толчком к созданию данной услуги стал, конечно же, федеральный закон № 152-ФЗ «О персональных данных», вступающий в действие в полном объеме 1 января 2011 года, в соответствии с которым к информационным системам, содержащим и обрабатывающим персональные данные (ИСПДн), предъявляются специальные технические и административные требования.

На хабре уже поднималась тема закона «О защите персональных данных», например было расказано о том, какие будут последствия от вступления закона в силу и коротко о том как определить класс своей ИСПДн.

В рамках новой услуги Parking.ru предлагает готовые комплексные решения для информационных систем 4-2 класса, а также специальные услуги, включая аттестацию для ИСПДн, относящихся к 1-му классу.

Услуга рассчитана как на компании из сегмента малого и среднего бизнеса, имеющие информационные системы, в больше мере относящиеся к 4-2 классам, так и на крупные компании, которым логичнее будет вынести систему на аутсорсинг, чем обеспечивать выполнение требований 152-ФЗ своими силами. Таким образом, для заказчика процедура приведения информационной системы в соответствие с требованиями ФЗ упрощается, так как значительную часть работ берет на себя провайдер.

Перечень мероприятий по исполнению требований 152-ФЗ включают в себя реализацию технических мер, а также решение правовых и организационных вопросов.

С технической стороны Parking.ru предоставляет хостинговую инфраструктуру, соответствующую техническим требованиям Федерального закона, а также оказывает услуги по администрированию системы, обеспечению уровня безопасности системы и сохранности персональных данных.

Известно, что требования, предъявляемые ФСТЭК к условиям эксплуатации ИСПДн, существенно отличаются в зависимости от класса системы:

— для ИСПДн 4-2 классов Parking.ru использует, в основном, ту же физическую, аппаратную и программную инфраструктуру, что и для оказания услуг «обычного» хостинга. Отличия заключаются в «усиленных» настройках подсистем информационной безопасности, а также в комплексе проводимых мероприятий и обязательств, которые берутся перед заказчиком, что фиксируется в расширенных, по сравнению с обычными, документах – соглашении об уровне сервиса (SLA) и соглашении о конфиденциальности (NDA).

— для ИСПДн 1-класса действуют намного более серьезные требования, для удовлетворения которых используется сертифицированное программное обеспечение, специальные средства защиты, шифрования и т.д. Физически, ИСПДн 1-класса эксплуатируются в выделенных сегментах сети, на выделенном оборудовании.

Сейчас мы готовы предложить «типовые решения» для хостинга ИСПДн 4-2 классов. Для ИСПДн 1 класса приведение системы в соответствие 152-ФЗ при размещении на хостинге – это индивидуальный проект, включающий все этапы, от аудита до аттестации. По мере накопления практического опыта, в дальнейшем мы надеемся предложить и типовые решения для определенных систем 1 класса, что позволит ускорить, упростить и удешевить процесс их аттестации при хостинге.

habr.com

Услуга «ОБЛАКО ФЗ-152»: Выполнение требований по защите персональных данных

«ИТ-ГРАД» предлагает услугу «Облако ФЗ-152» в рамках модели IaaS для аренды инфраструктуры с полным набором необходимых сертифицированных Средств Защиты Информации (далее СЗИ), технических и административных мер защиты информации задействованных для выполнения требований Федерального закона "О персональных данных" от 27.07.2006 N 152-ФЗ.

Мы предлагаем три варианта реализации услуги «Облако ФЗ-152»:

  • аренда серверной инфраструктуры в дата-центре с соблюдением ФЗ-152;
  • аренда полной инфраструктуры для развертывания Информационных Систем Персональных Данных (далее ИСПДн), включая средства защиты для АРМ пользователей;
  • полный набор услуг, включая виртуальную серверную инфраструктуру, необходимый комплект документов и работ по проектированию Вашей собственной ИСПДн с соблюдением требований 152-ФЗ, персональных данных, 242-ФЗ, ПП-1119 и других требований законодательства РФ в части защиты, хранения и обработки персональных данных.

Полная готовность к любой проверке!

Также, компания «ИТ-ГРАД» оказывает необходимые консалтинговые услуги по выбору уровня защищенности вашей ИСПДн, приведению вашей информационной системы и процессов, связанных с обработкой персональных данных, в соответствие с требованиями законодательства РФ, а так же помогает с проведением оценки эффективности и прохождением аттестации, что существенно уменьшит срок реализации проекта от возникновения необходимости обработки персональных данных до введения полностью соответствующей законам РФ ИСПДн в эксплуатацию.

Компания «ИТ-ГРАД» обладает опытом по проектированию и строительству ИСПДн, а также является оператором ИСПДн полностью соответствующем требованиям безопасности, предъявляемым к ИС, в которых обеспечен II уровень защищенности персональных данных, что подтверждается аттестатом соответствия. Мы сотрудничаем с компаниями, авторизованными ФСБ и ФСТЭК, на проведение работ по аудиту, аттестации и проведению оценки соответствия, что позволяет нам оказывать полный спектр услуг по соответствию ФЗ-152.

Особенности услуги «ОБЛАКО ФЗ 152» компании «ИТ-ГРАД»

  • Персональные данные размещены в отдельном защищенном сертифицированными средствами защиты информации облаке, спроектированном и построенном специально по Вашему заказу. С помощью организационных и технических мер другие клиенты и персонал лишены возможности влиять на работу вашего персонального облака.
  • Защищена и резервирована вся архитектура виртуализации: гипервизор, платформа виртуализации, аппаратная платформа и СХД, виртуальные сети, система управления;
  • Доступ к облаку предоставляется с использованием сертифицированных средств криптографической защиты;
  • Услуга полностью освобождает клиента от затрат на создание и владение какой-либо дополнительной локальной защищенной инфраструктурой.
  • Легкое масштабирование – производительность ИСПДн может быть быстро увеличена в несколько раз, добавлены новые серверы и рабочие места. Для разработки и тестирования существует возможность создать дополнительную ИСПДн.
  • Предоставляются дополнительные услуги, такие как администрирование компонентов ИСПДн клиента (включая прикладное программное обеспечение), СЗИ, СКЗИ, аудит систем безопасности предприятия.
  • Возможна реализация катастрофоустойчивой ИСПДн размещенной на двух независимых защищенных площадках в рамках территориально распределенного облака (Active-Active, Active-Passive, или резервное копирование на удаленную площадку виртуальных машин клиента).
  • Проектирование ИСПДн любого уровня защищенности, в том числе ГИС, с выполнением требований Приказа ФСТЭК России от 11 февраля 2013 г. N 17.
  • Компания «ИТ-ГРАД» - подрядчик по обработке ПДн в полном соответствии с законодательством РФ.
  • Аутсорсинг/аутстаффинг квалифицированных специалистов для развертывания информационной системы с выполнением требований ФЗ-152.

Для кого актуальна услуга «ОБЛАКО ФЗ 152»

  • Компании, бизнес-процессы которых подразумевают ввод в систему паспортных данных и иных персональных данных клиентов.
  • Интернет-магазины, собирающие и хранящие реквизиты потенциальных клиентов, такие как ФИО и мобильный телефон, а также запрашивающие другие сведения о клиентах или имеющие программу лояльности.
  • Системы отделакадров, базы данных персонала и бухгалтерского учета на предприятии.
  • Компании, работающие с системами управления услугами, биллинга или маркетинговых коммуникаций, использующие ПДн клиентов для взаимодействия и предоставления услуг.
  • Другие организации, обрабатывающие персональные данные.
  • Интернет ресурсы, на которых установлены Yandex.Metrica или Google Analytics.

Преимущества услуги «ОБЛАКО ФЗ 152»

  • Отказоустойчивая облачная инфраструктура на базе платформы виртуализации VMware.
  • Типовое решение с гарантированной защитой персональных данных от IV до II уровня защищенности включительно.
  • Разработка индивидуального проекта для ИСПДн I уровня защищенности, а также Государственных Информационных Систем;
  • Качественное круглосуточное сопровождение ИТ-инфраструктуры высококвалифицированными специалистами.
  • Возможность бесшовной миграции информационных систем в «Облако ФЗ-152».
  • Возможность построения гибридных решений и оптимальную интеграцию «Облака ФЗ-152» в ИТ-окружение клиента.
  • Консультации и сопровождение на всех этапах внедрения и работы с продуктом.

Лицензии, дающие право предоставлять услугу «Облако ФЗ-152», и Аттестат соответствия

Лицензия ФСБ №1015Н

Лицензия на «Деятельность по технической защите конфиденциальной информации», № 2886, бессрочна

Аттестация соответствия объекта информатизации требованиям по безопасности информации №01/04/16 - ИГ/ИС

Схема организации услуги «ОБЛАКО ФЗ-152»

www.it-grad.ru

ИСПДН В ОБЛАКЕ ФЗ 152

Облако ФЗ 152

Решение «Облако ФЗ 152» освобождает Оператора персональных данных от затрат на создание и владение защищенной IT-инфраструктурой для выполнения требований 152-ФЗ и 242-ФЗ. Иными словами, Российское законодательство обязывает Вашу компанию принимать все необходимые организационно-технические меры для защиты личных данных от несанкционированного и неправомерного доступа.

Стоимость услуги "Облако ФЗ 152" от 7 950 /мес

Нажмите кнопку «Попробуйте бесплатно», заполните небольшую форму и узнайте, как избежать проблем с большими затратами на организацию ИТ-инфраструктуры, которая будет удовлетворять требованиям Федерального закона № 152

Для чего необходимо «Облако ФЗ 152»

  • Отдельное защищенное, сертифицированное и аттестованное «облако» для размещения ИСПДн;
  • Сертификация механизмов виртуализации: гипервизора вычислительных ресурсов, системы управления виртуализованной сетью передачи данных, платформы виртуализации и системы хранения данных;
  • Предоставление сервисов безопасности (на основе сертифицированных средств защиты), которые могут быть использованы клиентами, размещающими свои ИСПДн в облаке.

Организация размещения ИСПДн в облаке

  • Освобождает оператора ПДн от капитальных затрат на создание и владение защищенной IT-инфраструктурой;
  • Освобождает оператора от части юридической ответственности за выполнение требований 152-ФЗ, 242-ФЗ;
  • Позволяет использовать общесистемное и специальное ПО провайдера;
  • Позволяет получит сопровождение IT-инфраструктуры высококвалифицированным персоналом в режиме 24×7

Особенности «Облако ФЗ 152»

  • Размещение ИСПДн предоставляется как услуга, то есть, заказчик не имеет капитальных затрат;
  • Cloud4Y выступает в качестве лица, отвечающего за обработку ПДн по поручению оператора;
  • Система прошла аттестацию лицензиатами ФСТЭК, что подтверждает её соответствие требованиям безопасности. Применяемые средства защиты прошли в установленном порядке оценку соответствия и имеют сертификаты, выданные соответствующими органами ФСТЭК и ФСБ России;
  • Наличие сертификатов на различные элементы облака, реализующие функции защиты (гипервизор, средства защиты, интегрированные в облако, средства защиты, предлагаемые клиентам как сервисы безопасности;
  • Комплекс организационно-технических мер защиты, позволяющий обеспечить клиентам невозможность реализации угроз со стороны обслуживающего персонала и со стороны других клиентов, расположенных «по соседству» в облаке

Нормативные документы и классификация

Ознакомиться с текстом Федерального закона № 152 о персональных данных вы можете по ссылке.

White Paper о ФЗ 152 — книга, на которую можно ссылаться в вопросах обработки персональных данных

Лицензии и сертификаты

Лицензия ФСБ

Лицензия ФСТЭК на деятельность по разработке средств защиты информации

Лицензия ФСТЭК на деятельность по технической защите информации

Аттестат соответствия требованиям безопасности РФ (ГИС-1УЗ, 1УЗ, АС-1Г)

www.cloud4y.ru

Защищенное облако 152-ФЗ

Персональные данные требуют защиты. Это касается организаций любых форм собственности, с любой численностью штата.

Компания Softline запустила услугу, позволяющую заказчикам снизить риски и затраты при внедрении системы защиты персональных данных и обеспечить сохранность информации в соответствии с требованиями действующего законодательства (152-ФЗ).

Услуга «Защищенное облако 152-ФЗ» предлагается по модели IaaS с полным набором сертифицированных средств защиты и необходимой документацией:

  • Соответствие требованиям 152-ФЗ «О персональных данных»
  • Ежемесячные платежи за все компоненты инфраструктуры, в том числе за ПО
  • Сертифицированные средства защиты информации
  • Надежный сервис – размещение в ЦОД уровня Tier III. Оборудование ведущих мировых брендов Cisco + NetApp, платформа виртуализации VMware;
  • Широкий спектр дополнительных услуг по защите ПД и сопровождению информационных систем

Схема размещения средств Защиты

Алгоритм действий при выборе средств защиты ПД

Формирование актуальной модели угроз для Вашей ИСПНд (на основании Документа ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», ФСТЭК, 2008 г.

Определение уровня защищенности персональных данных (Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»).

Формулировка необходимого состава и содержания мер для защиты Вашей ИСПДн (согласно Приложению к Приказу ФСТЭК №21 от 18.02.2013 г.).

Поручите Softline выполнение большинства указанных в Приказе ФСТЭК №21 от 18.02.2013 г. мер, разместив серверный сегмент ИСПДн в «Защищенном облаке 152-ФЗ».

Сбросьте груз забот по обеспечению защиты персональных данных!

Хотите узнать больше о защите персональных данных? Обратитесь к нашему специалисту за подробной информацией

Запросить

cloud.softline.ru

Облако 152-ФЗ - Хостинг ИСПДн в Облаке 152-ФЗ

Размещение информационных систем персональных данных в защищенной облачной инфраструктуреКомпания Corp Soft 24 (АО "Корп Софт") представляет Вашему вниманию комплексную услугу "Хостинг ИСПДн" - размещение информационных систем персональных данных (ИСПДн) в защищенной облачной инфраструктуре. Услуга предоставляется в полном соответствии с действующим законодательством Российской Федерации, что позволяет заказчику (оператору персональных данных) минимизировать риски, связанные с обработкой персональных данных (ПДн) в Интернете и оптимизировать расходы на выполнение требований законодательства к защите персональных данных на сайте или в любой другой информационной системе. Благодаря модульной структуре услуга Хостинг ИСПДн в Облаке 152-ФЗ подходит как для малого и среднего бизнеса, так и для крупных корпоративных заказчиков и госструктур.

Модуль Защищенная инфраструктура (IaaS)

Защищенная ИТ-инфраструктура:

  • Центр обработки данных c защищенной инфраструктурой;
  • Защищенная сеть передачи данных;
  • Защищенная сеть хранения данных;
  • Отказоустойчивое серверное оборудование;
  • Защищенная платформа виртуализации;
  • Защищенная операционная система;

Модуль Информационная безопасность

Сертифицированные СЗИ, СКЗИ:

  • Средства защиты среды виртуализации;
  • Средства межсетевого экранирования;
  • Средства защиты информации от несанкционированного доступа;
  • Средства антивирусной защиты;
  • Средства криптографической защиты информации;
  • Средства анализа защищенности и поиска уязвимостей;
  • Средства обнаружения вторжений;
  • Средства резервного копирования;

Модуль Документация и аттестация

Разработка ОРД, интеграция, аттестация:

  • Классификация ИСПДн; *
  • Частная модель угроз; *
  • Шаблоны ОРД; *
  • Разработка модели угроз;
  • Разработка комплекта ОРД;
  • Разработка ТЗ на систему защиты ИСПДн;
  • Технорабочий проект на СЗ ИСПДн;
  • Внедрение СЗ ИСПДн;
  • Аттестация ИСПДн;

Законодательное регулирование обработки персональных данных

Облачная инфраструктура компании Корп Софт 24 и применяемые нами средства защиты информации полностью соответствует требованиям Российского законодательства, что подтверждено соответствующими сертификатами (ФСТЭК, ФСБ) и неоднократными проверками контролирующих органов.

  • Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных»

  • Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

  • Приказ ФСТЭК России от 18.02.2013 № 21 Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах

  • Приказ ФСБ России от 10 июля 2014 г. N 378 Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах с использованием средств криптографической защиты информации

Контролирующие органыих функции и полномочия

Роскомнадзор - обработка ПДн, организационно-технические меры

ФСТЭК России - выполнение требований по технической защите ИСПДн

ФСБ России - применение криптографических средств защиты

Организационно-технические меры по обеспечению безопасности ПДн

Оператор персональных данных обязан принять организационно-технические меры по обеспечению безопасности персональных данных, предусмотренные Приказом ФСТЭК России № 21 от 18.02.2013 . Состав организационно-технические мер зависит от требуемого уровня защищенности (УЗ), определяемого в соответствии с Постановлением Правительства РФ № 1119 от 01.11.2012, исходя из категории персональных данных, их принадлежности и количества. Для определения требуемого уровня защищенности Вы можете заполнить и прислать нам опросный лист.

Организационно-распорядительные документы (ОРД)

Оператор персональных данных должен документально подтвердить выполнение требований к защите персональных данных и принятие обязательных организационных и технических мер по обеспечению их безопасности.При проверке Роскомнадзор в первую очередь уделяет внимание документальному оформлению обработки и защиты персональных данных. Поэтому, для успешного прохождения проверки, необходимо разработать и принять организационно – распорядительные документы, которые должны описывать ИСПДн и меры по ее защите, определять состав и категорию персональных данных, порядок, способы и цели их обработки, а также устанавливать порядок взаимодействия с субъектами персональных данных.

Основные документы, входящие в состав ОРД:

  • Акт определения уровня защищенности;
  • Положение об обработке ПДн;
  • Регламент взаимодействия с субъектами ПДн;
  • Регламент обеспечения безопасности ПДн;
  • Матрица доступа к информационной системе;
  • Политика в отношении обработки ПДн;

Приказы: об утверждении перечней ПДн, ИСПДн, подразделений и лиц, помещений, о назначении ответственных, о применении СКЗИ;

Журналы: учета СЗИ, СКЗИ, машинных носителей, изменений прав доступа, проведения мероприятий, проверок, инструктажа, фиксации нарушений, обращений субъектов;

Инструкции: по обращению с носителями информации, по антивирусной защите, резервному копированию и восстановлению, действия в нештатной ситуации;

Формы: согласие на обработку ПДн, соглашения о неразглашении;

Этапы размещения ИСПДн в защищенном облаке

Шаг №1 - Обследование ИСПДнКлассификация, определение уровня защищенности;Разработка архитектуры защищенного контура;

Шаг №2 - Заключение договора-поручения на обработку ПДнОпределение целей обработки ПДн, перечня операций, организационно-технических мер по обеспечению безопасности;Разработка модели угроз для защищаемого сегмента;

Шаг №3 - Размещение ИСПДн в защищенном контуреВыделение вычислительных ресурсов;Установка ОС, ПО, настройка СЗИ;Развертывание/миграция системы;

Шаг №4 - Организационно-распорядительная документацияПодготовка пакета организационно-распорядительной документации;Подача уведомления в Роскомнадзор;

Шаг №5 - Юридическая и техническая поддержкаМониторинг законодательства;Внесение изменений в техническое решение и документацию;Поддержка при прохождении проверок;

Требования к провайдеру услуг по хостингу ИСПДн

1. Вычислительный центр хостинг-провайдера должен находиться на территории РФC 1 сентября 2015 года в Российской Федерации вступило в действие положение о локализации хранения и отдельных процессов обработки персональных данных, определенное в Федеральном законе №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», согласно п.1 ст.2 которого, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

2. Хостинг-провайдер должен иметь лицензию Роскомнадзора на оказание услуг связиДля оказания услуг связи, хостинг-провайдеру требуется лицензия Роскомнадзора. Это следует из пункта 36 статьи 12 Федерального закона от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности». Согласно перечня наименований услуг связи, вносимых в лицензии на осуществление деятельности в области оказания услуг связи, утвержденного постановлением Правительства РФ от 18.02.2005 № 87), к лицензируемым услугам связи, в том числе, относятся:Телематические услуги связи;Услуги связи по передаче данных.

3. Для размещения ИСПДн хостинг-провайдер должен иметь лицензию ФСТЭКДля выполнения работ по обеспечению безопасности персональных данных допускается привлекать на договорной основе сторонние организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации (пункт 2 абзац 2 Приказа ФСТЭК №21).Поскольку хостинг-провайдер, как уполномоченное по договору-поручению лицо, обязан предпринимать технические меры по защите ПДн, то есть оказывать услуги по технической защите информации, которые, в соответствии с положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным Постановлением правительства Российской федерации от 3 февраля 2012 г. N 79 относятся к лицензируемым видам деятельности.

4. Ряд мер по обеспечению безопасности персональных данных требует наличия у хостинг-провайдера лицензии ФСБВ состав мер по обеспечению соответствующего уровня защищенности персональных данных, согласно Приказа ФСТЭК №21 включены мероприятия, связанные с использованием средств криптографической защиты информации (СКЗИ). Использование СКЗИ для оказания услуг регулируется и лицензируется Федеральной службой безопасности (ФСБ России).

 

ispdn.152fz.cloud

ФЗ-152

Для исполнения требований Федерального закона №152-ФЗ "О персональных данных" в компании издан документ "Политика ООО "Смарт Эйп" в отношении организации обработки персональных данных", который доступен в публичном доступе на нашем сайте .

Наш дата-центр имеет все необходимые сертификаты

Наше оборудование располагается в крупнейшем российском дата-центре DataPro который имеет все необходимые лицензии и сертификаты, позволяющие размещать персональные данные любой категории.

Лицензия ФСТЭК

Лицензия № 007283 от «8» июля 2016 г. на деятельность по технической защите конфиденциальной информации

Срок действия: бессрочно

Территория действия: РФ

Сертификат ГОСТ Р ИСО/МЭК 27001-2006 (ISO/IEC 27001:2005)

Сертификат соответствия № РОСС RU.С.04ША.СМИБ.002 от «30» сентября 2015 г. на систему менеджмента информационной безопасности

Срок действия: с 30.09.2015 по 30.09.2018

Территория действия: РФ

Сертификат ГОСТ ISO 9001-2011 (ISO 9001:2008)

Сертификат соответствия № РОСС RU.С.04ША.СК.0654 от «30» сентября 2015 г. на систему менеджмента качества

Срок действия: с 30.09.2015 по 30.09.2018

Территория действия: РФ

Сертификат ГОСТ Р ИСО/МЭК 20000-1-2013 (ISO/IEC 20000-1:2011)

Сертификат соответствия № РОСС RU.С.04ША.СУУ.0021 от «30» сентября 2015 г. на систему управления услугами

Срок действия: с 30.09.2015 по 30.09.2018

Территория действия: РФ

При возникновении любых вопросов касаемо обработки персональных данных, которые могут у вас возникнуть при регистрации, обращайтесь в нашу службу технической поддержки.

Для консультативной поддержки по персональным данным вашей организации и о том, как выполнить требования закона с применением хостинга SmartApe, организована горячая линия совместно с компанией Б-152, по которой вы можете проконсультироваться по вопросам информационной безопасности.

www.smartape.ru

Соответствие хостинга ДЖИХОСТ 152-ФЗ | О нас

Прежде чем приступить к разбору 152-ФЗ, следует знать, что существует также закон 242-ФЗ, вступивший в силу с 1 сентября 2015 года, который является нормативным актом, который внес изменения в другой, основополагающий источник права — ФЗ № 152, принятый в июле 2006 года. Принятие закона о “локализации персональных данных” сопровождалось широким освещением законодательной инициативы в различных СМИ, в результате чего были созданы два главных мифа о Федеральном законе №242-ФЗ:

  • россиянам отныне запрещено размещать свои персональные данные (сайты) за рубежом;
  • всем иностранным компаниям запретили получать и обрабатывать персональные данные россиян на серверах за пределами РФ.

Федеральным законом № 242-ФЗ предусматривается, что «при сборе персональных данных, в том числе посредством сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации». В случае несоблюдения закона, доступ к сайту, уличенному в первичном сборе и хранении персональных данных российских граждан на базах данных, находящихся в пределах юрисдикции РФ, может быть ограничен.

Можно ли использовать хостинг за границей

Закон не запрещает размещение любого сайта (базы данных) на серверах, расположенных на территории стран, подписавших конвенцию Совета Европы ETS №108, а также трансграничную передачу персональных данных. Согласно ратифицированной Россией Конвенции Совета Европы ETS №108 «О защите физических лиц при автоматизированной обработке персональных данных», в части 2 ст.12 предусматривается, что присоединившиеся к ней страны не будут запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой стороны Конвенции, а ст. 25 запрещает любые оговорки в отношении Конвенции.

Это означает, что использование хостинга за границей (не в пределах РФ), а также хранение и обработка персональных данных, считается правомерной, если хостинг расположен в одной из стран, подписавших Конвенцию: Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония, а также как это следует из разъяснений Роскомнадзора, в странах, обеспечивающих адекватную защиту персональных данных. Такими признаются страны, имеющие общенациональные нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных: Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония.

Где должны храниться персональные данные

Физически сайт и база данных могут располагаться на хостинге любой страны, подписавшей Конвенцию Совета Европы ETS №108. В Законе есть требование к оператору обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, однако Законом не запрещено хранение персональных данных россиян на серверах вне территории РФ. Единственное условие, чтобы изначально персональные данные собирались и обрабатывались в РФ. Но, повторим, это не запрещает трансграничную передачу персональных данных и работу с ней в странах подписавших Конвенцию.

Соответствие хостинга ДЖИХОСТ 152-ФЗ

Джихост полностью соответствует 152-ФЗ за счет применения репликации и трансграничной передачи персональных данных.

Схематически принцы работы описан ниже:

Хостинг Джихост соответствие 152-ФЗЛюбое изменение базы данных сайта, в том числе при передачи персональной информации, база данных реплицируется на сервер, находящийся на территории РФ, таким образом обеспечивая постоянную актуальность и полноту данных в соответствии с Законом. Затем данные реплицируются на локальную базу данных сервера, с которой в последствии работает сайт. Такая круговая схема работает повсеместно. При этом, если требуется только чтение данных, то она происходит без репликации, напрямую из локальной базы данных.Помимо соответствия 152-ФЗ, данная схема работы повышает производительность, отказоустойчивость и надежность работы хостинга.

jehost.ru