Как выполнить требования ФЗ-152 «О персональных данных» клиентам FirstVDS. Хостинг фз 152
Заметка №1 Хостинг конфиденциальной информации – панацея от 152-ФЗ или деньги на ветер?
В процессе работы столкнулась с тем, что Заказчик не хочет тратить время и ресурсы на администрирование и поддержание работоспособности своего сайта. В личном кабинете это сайта обрабатываются персональные данные (далее – ПДн) 1 категории, то есть ПДн, позволяющие идентифицировать субъекта персональных данных и получить о нём дополнительную информацию, включая сведения о его здоровье. Объем персональных данных более 100 000, угрозы 1-ого и 2-ого типа в соответствии с моделью угроз и нарушителя признаны неактуальными. То есть мы получаем распределенную информационную систему персональных данных (далее – ИСПДн), состоящую из 2-х сегментов: офиса компании Заказчика и площадки организации, предоставляющей услуги хостинга для рассматриваемого сайта. В соответствии с Постановлением Правительства №1119 уровень защищенности ИСПДн – 2.
Чтобы выполнить все требования 152-ФЗ и подзаконных актов для данного проекта я провела небольшое исследование рынка хостинг-центров и нашла интересную, на первый взгляд, услугу: «Хостинг конфиденциальной информации».По этическим причинам не буду приводить ссылку на сайт компании-поставщика данной услуги.
Приведу лишь небольшое описание услуги:
«Услуга «Хостинг конфиденциальной информации» предоставляется на базе виртуального хостинга и подойдет для хранения баз данных небольших компаний, таких как интернет-магазины или предприятия бытового обслуживания.
Особенности услуги:
- Защищенный хостинг на оборудовании, имеющем сертификат связи. При построении инфраструктуры используются серверы и телекоммуникационное оборудование ведущих мировых производителей, таких как IBM и Cisco Systems.
- Используется аппаратно-программный комплекс шифрования «Континент 3.5», сертифицированный ФСТЭК как средство защиты от несанкционированного доступа к информации.
- Используется сертифицированное антивирусное ПО (Антивирус Касперского 8.0 для Linux File Servers).
- Оборудование расположено в специализированном хорошо охраняемом помещении, оборудованном системами контроля доступа и видеорегистрации.
- Ежедневно создаются две резервные копии данных в соответствии с требованиями к ИСПДн.
- Для каждого проекта используется отдельная база данных.
- Ведется строгий учет носителей информации.
Наша инфраструктура позволяет построить именно ту ИСПДн, которая необходима вашему клиенту».
Написано красиво, создается впечатление, что вот оно – решение проблем для всех интернет-магазинов, и иных сайтов с личными кабинетами!
Для уточнения некоторых деталей я связалась со специалистами данной компании и выяснила некоторые интересные детали. Размещение на выделенных ресурсах сайтов с применением дополнительных методов защиты информации позволяет выполнить ТОЛЬКО РЯД требований 152-ФЗ и подзаконных актов в области защиты ПДн. Например, «веб-сервер и MySQL-сервер запущены на разных физических серверах, но на каждом из этих серверов хранятся данные многих клиентов компании». То есть на одном физическом сервере могут хранится БД разных клиентов, с разным уровнем конфиденциальности информации, между собой эти БД не отделены межсетевыми экранами. На мой вопрос о возможности выделить отдельный физический, ну или хотя бы виртуальный сервер под мой проект, мне было отказано, так как эта компания такую услугу не предоставляет. Про наличие сертифицированных средств защиты и действующих сертификатов соответствия на них узнавать стало бессмысленно.
В итоге, для Заказчиков, которые хотят ПОЛНОСТЬЮ и грамотно выполнить все требования по защите ПДн и не иметь никаких проблем с Роскомнадзором, данная услуга, к сожалению, не подходит. Надеюсь, что данная хостинг-компания пересмотрит свою политику по предоставлению услуги «Хостинг конфиденциальной информации» и будет предоставлять для каждого сайта, обрабатывающего ПДн, физически выделенный сервер или использовать сертифицированные средства защиты виртуальной инфраструктуры для выделенных виртуальных серверов.
В следующей статье, более подробно разберем, как же грамотно обеспечить защиту ПДн, при размещении сегмента ИСПДн на территории хостинг-центров.
Possibly Related Posts:
Эксперт сообщества Анастасия Ковязина
Выпускник МГТУ им. Н.Э.Баумана по специальности "Защита информации". Ведущий специалист группы аудита и консалтинга информационной безопасности.
s3r.ru
Как добиться соответствия сайта требованиям 152-ФЗ
Сообщество BISA
Закон о «персональных данных» с номером 152-ФЗ жестко регламентирует, как именно должны обрабатываться данные россиян. При этом требования по защите персональных данных (ПДн) содержатся не только в самом законе, но и в подзаконных актах различных российских ведомств, поэтому разобраться в требованиях не просто. В то же время наиболее заметной информационной системой компании, на которую точно обратят внимание регуляторы, является ее веб-сайт.
Какие этапы построения защиты должна выполнить компания, которая имеет свой сайт, чтобы добиться его соответствия требованиям 152-ФЗ «О персональных данных»? На этот вопрос отвечает Ринат Катчиев, руководитель направления аудита и консалтинга компании Softline.
- Если на сайте обрабатываются персональные данные – оператор или обработчик этой информации обязан обеспечивать безопасность обработки в соответствии с законодательством РФ и требованиями по безопасности информации.
- На сайте должен быть опубликован документ, определяющий политику оператора в отношении обработки персональных данных.
- Оператор должен быть зарегистрирован в реестре операторов персональных данных на сайте Роскомнадзора по адресу pd.rkn.gov.ru/operators-registry/operators-list. Исключением является выполнение трудового законодательства, обработка ПДн в целях выполнения договора, обработка общедоступных данных, обработка только ФИО и тому подобное.
- Оператор должен обрабатывать персональные данные с соблюдением правил, установленных Федеральным законом №152-ФЗ «О персональных данных», в частности, собирать согласия субъектов персональных данных на обработку их персональных данных. При этом в ряде случаев, установленных законом «О персональных данных», это не требуется. Основные из них перечислены ниже:
- обработка персональных данных необходима для осуществления правосудия;
- обработка персональных данных необходима для исполнения договора, стороной или выгодоприобретателем по которому является субъект персональных данных;
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором или законом РФ;
- обработка персональных данных необходима для защиты жизни и здоровья субъекта персональных данных, при условии, что получение согласия субъекта невозможно;
- обработка персональных данных необходима для осуществления прав и законных интересов оператора.
- Необходимо удостовериться, что компания, предоставляющая услуги хостинга, выполняет требования законодательства по защите персональных данных. Также необходимо юридически закрепить (например, поручением обработки или договором) обязательство компании-хостера по обеспечению безопасности обработки ПДн и выполнению требований в соответствии с законодательством РФ.
- Для построения эффективной системы защиты персональных данных должно быть проведено всестороннее обследование информационных систем, обрабатывающих персональные данные, и подготовлен необходимый набор проектной и организационно-распорядительной документации, включающей в себя модели угроз и нарушителя, техническое задание, положения, приказы, инструкции и прочую документацию, направленную на реализацию требований нормативной базы регулирующих органов.
- В случае необходимости должны быть проведены мероприятия по технической защите ИСПДн с внедрением средств защиты информации, прошедших процедуру оценки соответствия. СЗИ могут включать в себя антивирусы, межсетевые экраны, средства защиты от несанкционированного доступа, средства криптографической защиты и другие средства, использование которых установлено регулирующими органами.
- В случае, если есть требования по обязательной оценке соответствия – необходимо провести аттестацию ИСПДн по требованиям безопасности информации.
softline.ru
Хостинг vs свой ЦОД в рамках ФЗ-152
На сегодняшний день Федеральный закон N 152-ФЗ «О персональных данных» затрагивает рабочий процесс практически любой компании. Как минимум обработка персональных данных работников попадает под действия 152-ФЗ.
В зависимости от категорий обрабатываемых персональных данных, их объема и актуальных угроз изменяется и необходимый набор мер для обеспечения их безопасности, в частности, и требования к серверам.
Особенно актуален этот вопрос для больших компаний, пользующихся хостингом или планирующим воспользоваться этой услугой.
Независимо от того какой объем и категорию персональных данных обрабатывает компания, она должна обеспечивать контроль доступа к таким данным. И самым базовым здесь является физический доступ. Своя серверная или ЦОД обеспечивают четкий контроль доступа к оборудованию, обрабатывающему персональные данные. При использовании же хостинга хоть и арендаторам предоставляют доступ к своим стойкам, но так как ЦОД общий, то фактически, в серверную заходят не имеющие отношения к вашей компании люди, и контролировать их действия вы не в состоянии.
Зачастую, в особенности при использовании возможностей виртуализации, встает вопрос о размещении на едином серверном пространстве баз данных различных клиентов, в том числе с разным уровнем конфиденциальности, не отделенных друг от друга сертифицированными межсетевыми экранами, что является грубейшим нарушением требований регуляторов.
Помимо этого, необходимо детально проверять хостинг на наличие необходимых лицензий ФСТЭК на деятельность по технической защите конфиденциальной информации, лицензий ФСБ на предоставление услуг с использованием шифровальных (криптографических) средств, а также применения сертифицированных средств защиты информации при предоставлении услуг хостинга.
Клиентам, которые хотят полностью выполнять требования законодательства по защите персональных данных и не иметь проблем с регулирующими органами, необходимо учитывать риски размещения своих серверов с персональными данными в стороннем ЦОДе и внимательно подходить к выбору хостинг-провайдера.
Больше о выполнении требований ФЗ-152
smartsourcing.ru
Как выполнить требования ФЗ-152 «О персональных данных» клиентам FirstVDS
Закон ФЗ-152 касается всех, кто занимается обработкой персональных данных. Прежде чем озвучить требования закона, разберёмся с основными понятиями.
Персональные данные — информация, прямо или косвенно относящаяся к определённому лицу. Данные, на основе которых можно идентифицировать человека: фамилия, имя, отчество, телефон и email, телефон и ФИО, дата или место рождения, адрес, семейное, социальное или имущественное положение, образование, профессия, доходы и др.
Обработка персональных данных — любые действия, совершаемые с использованием средств автоматизации или без них. В частности, сбор, запись, накопление, хранение, уточнение, извлечение, передача, обезличивание, блокирование, удаление, уничтожение данных.
Если занимаетесь обработкой персональных данных:
Вы должны оповестить Роскомнадзор — отправить уведомление в территориальный орган. Образец документа можно посмотреть на сайте РКН.
Можно не оповещать Роскомнадзор. Закон № 152-ФЗ предусматривает такие случаи. Один из них — когда данные получены при заключении договора и используются только для исполнения этого договора. Например, для предоставления услуг хостинга телефон и email необходимы как средство идентификации клиента, а фамилия, имя и отчество для обработки платежей.
При этом персональные данные не предоставляются третьим лицам без согласия владельца.
Если вы не используете данные клиентов иным образом, уведомлять РКН не требуется. Но соблюдать требования, предъявляемые к защите персональных данных, необходимо в любом случае:
- Оператор, который собирает персональные данные в сети Интернет, должен опубликовать на своём сайте документ с политикой в отношении обработки персональных данных.При разработке такой политики рекомендуем учитывать позицию Роскомнадзора.
- Оператор должен хранить и обрабатывать персональные данные на территории РФ.Если вы производите обработку персональных данных на нашем оборудовании, то соблюдаете требование закона о месте размещения баз данных.Наш дата-центр находится по адресу 141400, г. Химки, Московская область, ул. Нагорное шоссе.Укажите это в уведомлении для РКН.
В статье указана позиция нашего юриста. Позиция другого юриста в отношении ФЗ-152 «О персональных данных» может отличаться. Вы также можете направить свои вопросы непосредственно в Роскомнадзор.
firstvds.ru
ИСПДн в облаке Хостинг для операторов персональных данных в соответствии требованиям 152-ФЗ
ОАО «ЭЛВИС-ПЛЮС», 2013 г. ЗАСТАВА 6
ОАО «ЭЛВИС-ПЛЮС», 2013 г. ЗАСТАВА 6 О КОМПАНИИ Компания ЭЛВИС-ПЛЮС была образована в 1991 году. Является ведущим российским системным интегратором в области построения комплексных систем защиты информации
Подробнеег. Кемерово
УТВЕРЖДАЮ Заместитель Губернатора Кемеровской области по экономике и региональному развитию Д.В. Исламов 2016 г. 04.04.2016 г. Кемерово АКТ проведения проверки состояния работ по технической защите информации
ПодробнееПРОФИЛЬ ГРУППЫ КОМПАНИЙ «ЕВРАЗИЯ ТЕЛЕКОМ»
ПРОФИЛЬ ГРУППЫ КОМПАНИЙ «ЕВРАЗИЯ ТЕЛЕКОМ» Российская группа компаний «Евразия Телеком» универсальный поставщик комплексных телекоммуникационных услуг и решений для корпоративных клиентов и операторов связи
ПодробнееИвопрос даже не столько
безопасность >стандарты средства защиты мероприятия Защита виртуальной инфраструктуры Валерий Андреев заместитель директора по науке и развитию ЗАО ИВК, к.ф-м.н. На м е т и в ш а я с я н а ИТ-рынк е у
ПодробнееПРЕЗЕНТАЦИЯ О КОМПАНИИ
ПРЕЗЕНТАЦИЯ О КОМПАНИИ О КОМПАНИИ АМТЕЛ-СЕРВИС ведущая ИТ-сервисная компания, оказывает полный спектр услуг по проектированию, построению и технической поддержке ИТ и инженерных систем во всех регионах
Подробнее5.1 Список тестов с описанием
.1 Список тестов с описанием Папка: Общие тесты => Тесты по банковcкому делу => ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ Общие тесты Тесты по банковcкому делу Папка ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ Кол-во тестов Демонстрационные
ПодробнееАрхитектура информационных систем
Архитектура информационных систем Типовые функциональные компоненты ИС Пользовательский интерфейс Бизнеслогика Управление данными Типовые функциональные компоненты ИС Пользовательский интерфейс Средства
ПодробнееМЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
УТВЕРЖДЕНЫ руководством 8 Центра ФСБ России 31 марта 2015 года 149/7/2/6-432 МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные
ПодробнееОблачная платформа NAVIXY SERVER PaaS
Облачная платформа NAVIXY SERVER PaaS NAVIXY CLOUD PLATFORM облачная платформа, на базе которой Операторы могут предоставлять профессиональные услуги GPS / ГЛОНАСС мониторинга, а также разнообразные сервисы,
ПодробнееПравила оказания отдельных услуг
Правила оказания отдельных услуг 1 Правила оказания услуги «Виртуальная инфраструктура» 1 Термины 1.1 Виртуальный сервер эмуляции аппаратной платформы для запуска на ней операционной системы Абонента;
ПодробнееВаш ориентир в мире безопасности
www.s-terra.ru Ваш ориентир в мире безопасности О компании Российская компания. Основана в 2003 году Ведущий разработчик и производитель сертифицированных средств сетевой защиты на основе технологии IPsec
ПодробнееИнформационный документ
Информационный документ Преимущества программных АТС Почему вашей следующей телефонной системой должна быть программная АТС на базе широко распространенной операционной системы В этом документе объясняются
ПодробнееУПРАВЛЕНИЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
МИНИСТЕРСТВО ТРАНСПОРТА РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ АГЕНТСТВО ЖЕЛЕЗНОДОРОЖНОГО ТРАНСПОРТА ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ "ОМСКИЙ
ПодробнееР У К О В О Д С Т В О
«Утверждаю» Генеральный директор ООО «Кордон» А.Е. Панченко Р У К О В О Д С Т В О по обеспечению безопасности использования квалифицированной электронной подписи и средств квалифицированной электронной
ПодробнееBlackBerry в облаках.
BlackBerry в облаках. Март 2010 Дмитрий Аверин И.О. Коммерческого директора ООО ДЕЛЬТА МОБИЛ BlackBerry Enterprise Service BlackBerry это эффективное решение по удаленной работе с почтовой системой ведущего
ПодробнееПриказ ФСТЭК России 21
Приказ ФСТЭК России 21 Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
ПодробнееСТРАТЕГИЯ ЗАЩИТЫ СОВРЕМЕННОГО ЦОД
СТРАТЕГИЯ ЗАЩИТЫ СОВРЕМЕННОГО ЦОД КОМПЛЕКСНОЕ РЕШЕНИЕ ОТ ЛАБОРАТОРИИ КАСПЕРСКОГО Виталий Мзоков Менеджер по сопровождению корпоративных продаж ОСНОВНЫЕ ТЕМЫ СОВРЕМЕННЫЕ ЦОД: КАКИЕ ОНИ СЕГОДНЯ И НА ЧЕМ
ПодробнееМЕЖСЕТЕВОЙ ЭКРАН ИКС: СДЕЛАНО В РОССИИ
МЕЖСЕТЕВОЙ ЭКРАН ИКС: СДЕЛАНО В РОССИИ «А-Реал Консалтинг» это 12 лет работы на ИТ-рынке обширная партнерская сеть (включая партнеров в странах СНГ) Интернет Контроль Сервер (ИКС) флагманская разработка
ПодробнееКоммерческое предложение
Коммерческое предложение Проект поддержки IT-инфраструктуры Алматы 2016 Абонентское обслуживание в Lanmaster.KZ : это отработанная схема обслуживания компьютеров, выстраиваемая годами (реализовано более
ПодробнееОблачная платформа «Техносерв»
Облачная платформа «Техносерв» Интегратор успеха вашего бизнеса содержание Облачные технологии... 2 Облачные решения компании «Техносерв»... 3 Мониторинг и управление неисправностями.. 3 Управление ИТ-услугами
ПодробнееА.Ю. Воронцов 2013 г г.
УТВЕРЖДАЮ Директор общества с ограниченной ответственностью «Стандарт безопасности» УТВЕРЖДАЮ Руководитель государственного автономного учреждения Ярославской области «Многофункциональный центр предоставления
Подробнее[ОАО «Ростелеком»: итоги создания
[ОАО «Ростелеком»: итоги создания инфраструктуры электронного правительства] Алексей Нащекин, вице-президент по инновационному развитию ОАО «Ростелеком» [ Почему ОАО «Ростелеком»? ] # Государственная компания
ПодробнееО Zecurion.
2 О Zecurion Основана в 2001 году Фокус защита от утечек (DLP) Российские и международные награды Технологический лидер российского DLP-рынка (Anti-Malware.ru) Лидер по обороту среди DLP-вендоров (CNews)
ПодробнееТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ
ПРОЕКТ ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ к потребительским свойствам предполагаемого к поставке оборудования к открытому аукциону в электронной форме «Поставка серверного блейд-шасси» 1. Цель поставки 1.1. Обеспечение
Подробнееот 26 октября 2015 г р
от 26 октября 2015 г. 1206-р О дополнительных мерах по консолидации функций исполнительных органов государственной власти Республики Саха (Якутия) по информационно-техническому обслуживанию Во исполнение
Подробнееdocplayer.ru
Хостинг vs ЦОД в рамках ФЗ-152
На сегодняшний день Федеральный закон N 152-ФЗ «О персональных данных» затрагивает рабочий процесс практически любой компании. Как минимум обработка персональных данных работников попадает под действия 152-ФЗ.
В зависимости от категорий обрабатываемых персональных данных, их объема и актуальных угроз изменяется и необходимый набор мер для обеспечения их безопасности, в частности, и требования к серверам.
Особенно актуален этот вопрос для больших компаний, пользующихся хостингом или планирующим воспользоваться этой услугой.
Независимо от того какой объем и категорию персональных данных обрабатывает компания, она должна обеспечивать контроль доступа к таким данным. И самым базовым здесь является физический доступ. Своя серверная или ЦОД обеспечивают четкий контроль доступа к оборудованию, обрабатывающему персональные данные. При использовании же хостинга хоть и арендаторам предоставляют доступ к своим стойкам, но так как ЦОД общий, то фактически, в серверную заходят не имеющие отношения к вашей компании люди, и контролировать их действия вы не в состоянии.
Зачастую, в особенности при использовании возможностей виртуализации, встает вопрос о размещении на едином серверном пространстве баз данных различных клиентов, в том числе с разным уровнем конфиденциальности, не отделенных друг от друга сертифицированными межсетевыми экранами, что является грубейшим нарушением требований регуляторов.
Помимо этого, необходимо детально проверять хостинг на наличие необходимых лицензий ФСТЭК на деятельность по технической защите конфиденциальной информации, лицензий ФСБ на предоставление услуг с использованием шифровальных (криптографических) средств, а также применения сертифицированных средств защиты информации при предоставлении услуг хостинга.
Клиентам, которые хотят полностью выполнять требования законодательства по защите персональных данных и не иметь проблем с регулирующими органами, необходимо учитывать риски размещения своих серверов с персональными данными в стороннем ЦОДе и внимательно подходить к выбору хостинг-провайдера.
Больше о выполнении требований ФЗ-152
www.4by4.ru
Перенос хостинга от иностранного провайдера
Когда все усложняют, мы упрощаем… вашу работу!
О каких сложностях речь?
Существует Федеральный закон 152-ФЗ «О персональных данных», принятый в 2006 году. Однако Федеральный закон от 21.07.2014 № 242-ФЗ, внес в ФЗ-152 некоторые изменения, в частности требование обеспечить обработку персональных граждан РФ именно на территории РФ. А уже Федеральный закон от 31.12.2014 № 526-ФЗ изменил срок вступления в силу закона 242-ФЗ на 01 сентября 2015 года (ранее дата была - 01 сентября 2016 года)
Зачем переносить виртуальные серверы?
Если до 01 сентября вы еще не организовали обработку персональных данных на территории РФ, вы не только гарантированно нарушаете ФЗ №152 «О персональных данных», но и рискуете получить «санкции» от Роскомнадзора вплоть до блокировки сайта, а также испытать все «прелести» наступления гражданской, административной и даже уголовной ответственности.
Перенести
Как именно хостинг Clodo.ru может вам помочь?
Наша круглосуточная техническая поддержка бережно и бесплатно перенесет ваши сайты от любого иностранного хостинг-провайдера на наши IT-ресурсы, расположенные на территории России!
Перенести
В чем наши преимущества?
Чтобы понять на сколько комфортно с нами работать мы даем вам бонус - 2 месяца расширенной техподдержки, чтобы решить любые вопросы, оценить скорость и качество сервиса. Вы экономите не только на хостинге (у нас отличные скидки и акции), но и свои силы и время. Перенос ваших ресурсов от иностранного хостера силами наших специалистов осуществляется:
Переносите сайты на территорию РФ, исполняйте ФЗ-152 «О персональных данных» и работайте спокойно!
Перенести
clodo.ru