Правилен хостинг за ispdn. Защо сървърите на повечето облачни доставчици не са подходящи за обработка на лични данни? Какъв хостинг да изберете - руски или чуждестранен, за да не нарушите Закона за личните данни? Редица мерки за осигуряване на безопасност

Правилен хостинг за ispdn. Защо сървърите на повечето облачни доставчици не са подходящи за обработка на лични данни? Какъв хостинг да изберете - руски или чуждестранен, за да не нарушите Закона за личните данни? Редица мерки за осигуряване на безопасност
Правилен хостинг за ispdn. Защо сървърите на повечето облачни доставчици не са подходящи за обработка на лични данни? Какъв хостинг да изберете - руски или чуждестранен, за да не нарушите Закона за личните данни? Редица мерки за осигуряване на безопасност
17.07.2020

Облачно решение Федерален закон 152» освобождава Оператора на лични данни от разходите за създаване и притежаване на защитена ИТ инфраструктура, за да отговаря на изискванията на 152-FZ и 242-FZ. С други думи, ако руското законодателство задължава вашата компания да предприеме всички необходими организационни и технически мерки за защита на личните данни от неоторизиран и незаконен достъп, изберете готово решение от Cloud4Y.

Щракнете върху бутона „Опитайте безплатно“, попълнете краткия формуляр и научете как да избегнете неудобството да харчите много пари, за да настроите ИТ инфраструктура, която ще отговаря на вашите изисквания Федерален закон № 152

Защо се нуждаете от „Cloud Federal Law 152“:

  • Отделен защитен, сертифициран и удостоверен „облак“ за хостване на ISPD.
  • Сертифициране на механизми за виртуализация: хипервизор на изчислителни ресурси, система за управление на виртуализирани мрежи за данни, платформа за виртуализация и система за съхранение на данни.
  • Предоставяне на услуги за сигурност (базирани на сертифицирани инструменти за сигурност), които могат да се използват от клиенти, хостващи своите ISPD в облака.

Организация на разполагането на ISPDn в облака:

  • Освобождава оператора на лични данни от капиталови разходи за създаване и притежаване на сигурна ИТ инфраструктура;
  • Освобождава оператора от част от правната отговорност за спазване на изискванията на 152-FZ, 242-FZ;
  • Позволява използването на системен и специфичен софтуер на доставчика;
  • Позволява ви да получавате поддръжка на ИТ инфраструктура от висококвалифициран персонал 24×7

Характеристики на “Cloud FZ 152”:

  • Поставянето на ISPD се предоставя като услуга, тоест клиентът няма капиталови разходи.
  • Cloud4Y действа като лице, отговорно за обработката на лични данни от името на оператора.
  • Системата е сертифицирана от лицензианти на FSTEC, което потвърждава нейното съответствие с изискванията за безопасност. Използваните защитни средства са преминали оценка на съответствието по установения ред и имат сертификати, издадени от съответните органи на FSTEC и FSB на Русия.
  • Наличие на сертификати за различни облачни елементи, които изпълняват функции за сигурност (хипервизор, инструменти за сигурност, интегрирани в облака, инструменти за сигурност, предлагани на клиентите като услуги за сигурност.
  • Набор от организационни и технически мерки за защита, които позволяват на клиентите да елиминират текущи заплахи от обслужващ персонал, от други клиенти и други нарушители.

Нормативни документи и класификация

Можете да прочетете текста на Федерален закон № 152 относно личните данни, като следвате връзката.

Бяла книга за Федерален закон 152 - книга, която може да се използва при обработка на лични данни

Експертите на Cloud4Y проучиха въпроса за защитата на личните данни и създадоха ръководство за това как трябва да действа една организация, за да спазва Федералния закон 152. Дадохме всичко от себе си на прост езикобяснява точки от законодателството, премахва объркването и предписва стъпките, които трябва да бъдат предприети.

Лицензи и сертификати



цени

ПРОМОЦИЯ: само до 30 април 2020 г. "Cloud Federal Law 152" на редовната цена ЗАВИНАГИ! Подробности

За да получите оценка на разходите за облачната услуга FZ-152, свържете се с всеки мениджър по телефона +7 495 268 04 12 или всяка друга по удобен начинналични в секцията


Запознайте се със Списъка на регулаторните правни актове, които установяват задължителни изисквания за дейността на юридически лица и индивидуални предприемачи, за да се гарантира, че обработката на лични данни отговаря на законовите изисквания Руска федерацияв областта на личните данни, следвайте връзката.


Често задавани въпроси (FAQ)

1. Каква е същността на вашата услуга Федерален закон-152?
Изградихме сигурна верига в нашия център за данни, която е сертифицирана за изискванията за сигурност в съответствие с Федерален закон-152 и получи сертификат за съответствие за защита на личните данни до и включително 1-во ниво на сигурност. И ние помагаме на нашите клиенти да решат проблема със съответствието от техническа гледна точка. Държавните институции също могат да се интересуват от Сертификат за съответствие от 1-ви клас за държавни информационни системи (съгласно 17-ти ред на FSTEC) и сертификат за защита на поверителна информация от клас 1G (съгласно STR-K) .

2. Защо имаме нужда от това?
Тъй като вие сте обработващ лични данни, действието на Федерален закон № 152 автоматично се прилага за вас. И държавните агенции, които притежават държавни информационни системи, също са обект на 17-та заповед на FSTEC.

3. Колко струва?
Цената се изчислява индивидуално за клиента, като се вземат предвид обемът, нивото на сигурност и времето на поставяне.

4. Можете ли да помогнете с подготовката на документацията?
Да, можем (ние предоставяме готови шаблони или поемаме целия процес на подготовка до ключ).

5. Как е организиран каналът за предаване на данни?
Чрез координатор на VipNet се използва канал, криптиран според руския GOST.

Ако не сте намерили отговора на въпроса си, отидете на нашия, попитайте нашите консултанти на уебсайта чрез онлайн чат или напишете заявка за поддръжка чрез.

Тъй като сървърът не се намира във вашия дом, вие нямате достъп до него и със сигурност не можете да повлияете по никакъв начин на политиката на центъра за данни, просто нямате възможност да изпълните редица законови изисквания. Остава само едно, да намерите хостинг, който отговаря на изискванията на закона.

Сега не съм Beget, написах им писмо относно лиценза им на FSTEC за защита на поверителна информация. Отговориха мъгляво, че не съм аз и къщата не е моя, ние сме само тези и общо взето не трябва... Да обобщим, те нямат лиценз, което означава общо взето, сайт, който събира лични данни, не може да се съхранява там. Сърфирах в интернет (все още не много) и досега намерих само RU-CENTER с лиценз.

Лиценз за дейности по разработване и (или) производство на средства за защита на поверителна информация
ЛИЦЕНЗ № 0917 от 20.09.2011г

Лиценз за работа техническа защитаконфиденциална информация
ЛИЦЕНЗ № 1594 от 20.09.2011г
Носител на авторските права: Акционерно дружество "Регионален мрежов информационен център"
Срок на валидност на лиценза: неограничен

Хостинг на поверителна информация в RU-CENTER

На 6 март 2012 г. RU-CENTER започва да предоставя нова услуга - хостинг на поверителна информация.
Хостинг на поверителна информация е поставянето на уебсайт в Интернет с помощта на допълнителни меркипо защита на информацията.
Тази услуга ще ви позволи да изпълните редица задължителни изисквания на действащото законодателство (Закон N 152-FZ), които се представят при обработката на лични данни.
В допълнение към основните методи за защита на данните и съхранение на информация, използвани в други услуги на RU-CENTER, хостингът на поверителна информация предлага:

  • специализирано сертифицирано оборудване, което позволява редица действия за защита на информацията при достъп до мрежата;
  • допълнително ограничаване на физическия достъп до оборудването, на което се предоставя услугата;
  • ежедневно архивиране(2 екземпляра);
  • отчитане на използваните физически носители;
  • MySQL, предназначен за всяка услуга.
Основните потребители на новата услуга са малки и средни предприятия, онлайн магазини, форуми, системи за маркетингови проучвания и много други интернет ресурси, които при обработката и съхраняването на личните данни на потребителите трябва да отговарят на изискванията на законодателството на Руската федерация (Закон N 152-FZ).

Истинският въпрос е какво е качеството им?
И ако някой намери други хостери с лиценз на FSTEC за защита на поверителна информация, да го публикува в тази тема.

След влизането в сила на клауза 4, част 2, член 19 от Федералния закон от 27 юли 2006 г. № 152-FZ „За личните данни“, всяко предприятие е длъжно да въведе своите информационни системи и процеси, свързани с обработката на лични данни в съответствие с изискванията на законодателството на Руската федерация.

Какво означава това за юридическите лица?

Организациите са длъжни да осигурят защита на правата и свободите на лицата и гражданите при обработката на техните лични данни, включително защита на правото на личен живот, лична и семейна тайна. Така те стават „организации на оператори на лични данни“. Ще следи за спазване на изискванията на Закона федерална службаза надзор в областта на съобщенията, информационни технологиии масови комуникации (Roskomnadzor), FSTEC и FSB на Русия.

Федералният закон се прилага за компании от всякаква организационна форма - те включват държавни органи, федерални и общински институции: банки, застрахователни компании, медицински институции, телекомуникационни оператори, онлайн магазини, търговски вериги, производствени компании и други организации, които обработват лични данни, получени от служители , клиенти и други физически и юридически лица.

Отговорностите на експлоатационната организация включват:

  • гарантиране на законосъобразността на обработката на лични данни;
  • изграждане на система за защита на личните данни в съответствие с изискванията на FSTEC и FSB на Русия;
  • изпращане на уведомление до Roskomnadzor;
  • разработване на вътрешна документация;
  • провеждане на сертификационни тестове или оценки на съответствието;
  • системно актуализиране на системата за защита на личните данни.

Често това се оказва трудна и скъпа задача, включително и поради необходимостта от получаване на документ, потвърждаващ ефективността на предприетите мерки за защита на личните данни. Ето защо повечето компании предпочитат да оптимизират този процес, като намерят надежден партньор готово решениевъв външна виртуална инфраструктура.

За всеки да изпълнява юридически лицана територията на Русия съгласно едноименния федерален закон - 152, ние - хостинг сайт в сътрудничество с компанията WELLSERVICE - предлагаме по-евтино и отнемащо много време решение: прехвърляне на системи за съхранение и обработка на лични данни в защитена облачна система , което наричаме „ISPDn в облака“.

Сървъри за информационни системи за лични данни (PDIS) се предоставят на всички компании, разположени на територията и които са резиденти на Руската федерация.

Какво е „ISPDn в облака“?

Продуктът „ISPDn в облака“ е отделен, защитен виртуален сървър, по избраната от вас тарифа, напълно отговаряща на изискванията на Федерален закон-152.

Всеки „ISPDn в облака“ е напълно изолиран обект. Това означава, че достъпът до вашия ISPD от хостинг доставчика е блокиран с помощта на сертифицирани инструменти за сигурност и е абсолютно поверителен!

Поверителността на обработваната информация се постига чрез:

  • Достъпът до данни, намиращи се на „ISPDn в облака“, е ограничен чрез средства за защита срещу неоторизиран достъп (NSD), сертифицирани от FSTEC на Русия и с помощта на функциите на хипервайзора на виртуалната машина (което е част от сертифицираните средства за защита) .
  • Данни, предавани по комуникационни канали от терминала на организацията-оператор на лични данни към мрежов интерфейс виртуална машина, са криптирани с помощта на средства за криптографска защита на информацията (CIPF), сертифицирани от FSB на Русия. Дискови изображениявиртуалните машини също са криптирани с помощта на CIPF.
  • Нито един от центровете за данни няма ключове за достъп до съоръженията на CIPF, разположени във виртуалната машина на клиента. Така, например, за изтегляне операционна системана VPS, клиентът самостоятелно въвежда паролата за крипто контейнера, съдържащ системен дял. Тази процедура се изпълнява с помощта на програма за зареждане на операционна система, специално разработена от нашата компания на виртуална машина. В същото време ключовете за достъп могат да бъдат регенерирани от потребителя на виртуалната машина независимо по всяко време и криптоконтейнерът може да бъде съответно повторно криптиран.
  • Наличността и целостта на обработваната информация се осигурява чрез използването на запазени комуникационни канали, надеждни системи за съхранение на данни, охлаждащи устройства и непрекъсваемо захранване. Наши партньори са най-добрите центрове за данни в Русия: Miran, IXCellerate, KIAEHOUSE.

Какво дава ISPDn в облака на компаниите в Русия?

Проста процедура:ние ще поемем целия комплекс от организационни, правни и техническа работа- разработване на модел на заплаха за сигурността, концепция за система за защита, методология за сертифициране, директно сертификационно изпитване и издаване на сертификат за съответствие. Избирайки нашия продукт „ISPDn в облака“, НЕ Е НУЖНО ДА ПОЛУЧАВАТЕ СЪГЛАСИЕТО НА СУБЕКТИТЕ НА ЛИЧНИ ДАННИ, когато ги събирате.

Значителни спестявания:нашият продукт освобождава компанията клиент от разходите за създаване и притежаване на сигурна ИТ инфраструктура за съхранение, обработка и защита на лични данни. Освен това хостингът на ISPD в облака се предоставя като услуга; компанията клиент няма капиталови разходи.

Нашите предимства:

  • защитената система „ISPDn в облака“ е преминала всички необходими сертификации като напълно отговаряща на всички изисквания на законодателството на Руската федерация в областта на личните данни;
  • пълно съответствие с изискванията на FSTEC и FSB на Русия на всички хардуерни, софтуерни и мрежови елементи на системата;
  • няма да е необходимо да получавате съгласието на субектите на лични данни, когато ги събирате;
  • консултации и поддръжка на всички етапи от внедряването и работата с продукта.
  • пълен пакет от организационни, административни и нормативни документи;
  • няма капиталови разходи.

Какъв е процесът на предоставяне на услугата?


1

Регистрация на представител на компанията клиент на нашия уебсайт и последващо попълване на формуляр за кандидатстване за услугата „ISPDn в облака“: необходимост от сертифициране, подробности за организацията, вид дейност.

В зависимост от изискванията на ISPD избирате подходящ тарифен план с необходимите сървърни параметри: дисково пространство и RAM.

Сключване на договор за предоставяне на услугата „ISPDn в облака“ и извършване на плащане.

Въз основа на предоставените данни ние ще подготвим за вас набор от организационни, административни и нормативни документи, включително декларация за личните данни, акт за класификация на ISPD, модел на заплаха и други необходими документи. Специалист от нашата компания ще провери правилното попълване и одобрение на тези документи.

Съгласуваме с Вас датата на освидетелстване на място на работното място. След посещение от специалист и проверка на всички изисквания за работното място, вие получавате сертификат за съответствие и целия пакет от документи, удостоверяващи пълното съответствие на вашия ISPD с изискванията и стандартите № 152-FZ „Относно личните данни“ и всички до- закони.


Нашите лицензи и сертификати


* Цената на защитен ISPD сървър с пакет от документи и сертификационна процедура при заплащане за 1 година.

Продажба на сигурна инфраструктура за съхранение и обработка на лични данни съгласно представените тарифни плановеизвършвани за минимум 1 година.

При поръчка на първия сървър от ISPD се таксува инсталационна такса от 11 300 рубли.

Публикации

От септември 2015 г. в Руската федерация влезе в сила регламент за локализиране на съхранението на лични данни (242-FZ от 21 юли 2014 г.). Това нововъведение, разбира се, се оказа един от основните двигатели на руския пазар за хостинг и облачни изчисления, принуждавайки както операторите на лични данни, така и доставчиците на хостинг услуги отново да помислят как да осигурят съответствие с такъв на пръв поглед прост обект като уебсайт, изискванията на законодателството за личните данни.

Въпреки факта, че Федералният закон № 152-FZ от 27 юли 2006 г. „За личните данни“ беше приет доста отдавна, не всеки се адаптира към него и се научи да го прилага. Благодаря отчасти Голям брой нормативни документии редовни промени в тях. Днес те идват от четири отдела: правителството, Roskomnadzor, FSTEC и FSB. А също и благодарение на доста балансираната позиция на регулатора, който вместо политиката на забиване на пирони избра стратегия на плавно, но неизбежно затягане на винтовете.

Ако големият бизнес и държавните органи, като най-дисциплинираните участници на пазара, в по-голямата си част вече са привели своите информационни системи за лични данни (PDIS) в съответствие със закона, то средният и малкият бизнес едва сега започват да осъзнават, че за тяхното по-нататъшно съществуване и развитие, те имат нужда от всичко - тепърва ще трябва да излезем от сенките, включително и по отношение на прилагането на законодателството за личните данни, още повече че тази сянка остава все по-малко и вече започва да не стига за всички.

Какво трябва да направи собственикът на уебсайт, където се събират и съхраняват лични данни на потребителите (например в личния акаунт на онлайн магазин)? Нека се опитаме да разберем това заедно.

Ако уебсайт събира лични данни, това е информационна система за лични данни и е предмет на 152-FZ

Ето какво казва самият Роскомнадзор за това: „Съгласно клауза 9 на чл. 3 от Федералния закон „За личните данни“, информационната система за лични данни е набор от лични данни, съдържащи се в бази данни и информационни технологии, които осигуряват тяхната обработка и технически средства. Ако уебсайтът отговаря на посочените изисквания, той е информационна система.“

Всички интуитивно знаем какво представляват личните данни, но е важно да разберем какво представляват те от правна гледна точка. Съгласно параграф 1 от член 3 от Федерален закон № 152-FZ, лични данни са всяка информация, свързана пряко или косвено с конкретно или идентифицируемо физическо лице. Тоест, това е почти всичко: от данъчен идентификационен номер до цвят на косата и размер на обувките, да не говорим за телефонния номер и адреса, независимо дали е имейл или пощенски.

По този начин онлайн магазин или просто уебсайт, където има личен акаунт или регистрация на потребител, онлайн поръчка, резервация, плащане, доставка и т.н. и т.н., по отношение на 152-FZ, всичко това е информационна система за лични данни (ISPD), а нейният собственик е оператор на лични данни.

Законът за личните данни отчита тенденциите в облачните изчисления и аутсорсинга

Вече е казано и написано много за уместността и перспективите на ИТ аутсорсинга, особено за компании от сектора на малките и средни предприятия, така че в тази статия няма да агитирам читателя „за облаците“. Освен това всички знаем много добре, че повечето сайтове в Интернет се хостват на публични уеб сървъри на доставчици на хостинг услуги.

Има много причини за това, но най-важната е, разбира се, здравословното желание на компаниите да спестят пари и да получат евтина уеб услуга с висока наличност. Създаването на ваша собствена изчислителна инфраструктура с надеждност, която е поне сравнима със стандартен център за данни Tier-III, струва милиони рубли. Първо, имате нужда от подходящо помещение: не коридор, не мазе, не таван, за да не се наводнява и за да няма достъп там непознати. Необходима е вентилация и климатизация и то с известно резервиране. Необходимо е да се организира автономно и резервно захранване. За да направите това, трябва да инсталирате някъде дизел генератор. И накрая, необходим е персонал за физическа охрана и поддръжка. Освен това, за да гарантирате наличност на услугата, ще трябва да закупите пълен комплект резервни части за сървъра и мрежово оборудване. Тоест, вместо един сървър, всъщност трябва да закупите два.

Естествено, с развитието на облачните изчисления, технологиите за виртуализация и ясната тенденция към аутсорсинг, все повече компании от сектора на малкия и среден бизнес се стремят да прехвърлят своите информационни системи от системни единици „под работния плот“ към облачни изчислителни ресурси, разположени в компютърни центрове, които отговарят на съвременните индустриални стандарти.

IN информационни системивсяко предприятие се съхранява и обработва определено количество отлични данни. Това могат да бъдат както лични данни на служители на компанията, така и данни на клиенти или контрагенти. Корпоративните информационни системи са доста разнообразни, както функционално, така и технологично. Може да бъде и система за автоматизация счетоводство, например 1C и сайт с лична сметкапотребител и онлайн магазин. В същото време тези информационни системи, като правило, са взаимосвързани - те предават информация една на друга, включително лични данни.

Съгласно клауза 3 на член 3 от 152-FZ обработката на лични данни е всяко действие (операция) или набор от действия (операции), извършвани с помощта на средства за автоматизация или без използването на такива инструменти с лични данни, включително събиране, запис , систематизиране, натрупване, съхранение, изясняване (актуализация, промяна), извличане, използване, прехвърляне (разпространение, предоставяне, достъп), деперсонализация, блокиране, изтриване, унищожаване на лични данни.

По този начин поставянето на ISPD на сървъра на доставчика не е нищо повече от аутсорсване, като минимум, на такива функции за обработка на лични данни като запис, съхранение, четене (извличане), прехвърляне и изтриване.

Съгласно клауза 2 на член 3 от 152-FZ, операторът (на лични данни) е юридическо или индивидуален, независимо или съвместно с други лица, организиране и (или) извършване на обработка на лични данни, както и определяне на целите на обработката на лични данни, състава на личните данни, които се обработват, действия (операции), извършвани с лични данни.

Съответно, хостинг доставчикът, който е поел функциите по съхраняване и предаване на лични данни, е техен оператор, заедно със собственика на сайта (информационната система, обработваща тези лични данни) и съгласно закона е длъжен да предприеме определени мерки за гарантиране на тяхната сигурност. Всъщност всичко не е толкова лошо и трябва да отдадем почит на авторите на Закона „За личните данни“ № 152-FZ и Постановление на правителството № 1119 от 1 ноември 2012 г., което предвижда прехвърлянето от оператора на лични данни на част от функциите за тяхното обработване за възлагане на външни организации на трети страни.

Законодателно регулиране на хостинг уебсайтове, които обработват лични данни на хостинг, предоставен от трета страна

Операторът на лични данни има право да възложи обработването на лични данни на друго лице със съгласието на субекта на лични данни, въз основа на споразумение (инструкция), сключено с това лице. Лицето, обработващо лични данни от името на оператора, е длъжно да спазва принципите и правилата за обработка на лични данни, предвидени в действащото законодателство. Заповедта на оператора трябва да определя списък от действия с лични данни, които ще бъдат извършвани от лицето, обработващо лични данни, и целите на обработването, трябва да установява задължението на това лице да поддържа поверителността на личните данни и да гарантира сигурността на личните данни по време на тяхната обработка и трябва също да посочи изисквания за защита на обработваните лични данни (клауза 3, член 6 152-FZ).

По този начин хостинг доставчикът, подобно на собственика на сайта, е оператор на личните данни, обработвани на сайта и отговаря за тяхната наличност, безопасност и сигурност. С една единствена разлика - собственикът на сайта носи отговорност пред субектите на лични данни и в предвидените от закона случаи е длъжен да получи разрешение от субектите за обработка на лични данни, а хостинг доставчикът, като упълномощено лице, е длъжен отговаря пред собственика на сайта и получава лични данни от него и ги съхранява, но не носи отговорност за получаване на разрешение от субектите.

Като цяло темата за получаване на съгласието на субектите за обработка на техните лични данни е много голяма и интересна и, разбира се, заслужава отделна статия.

Разграничаване на зоните на отговорност на хостинг доставчика и собственика на сайта за спазване на изискванията за защита на личните данни

Съгласете се, би било несправедливо да прехвърлите цялата отговорност за сигурността на личните данни на хостинг доставчика. В края на краищата често той няма представа кой, как и на какво е написан сайтът, хостван на неговия сървър. Какви пароли се използват за разрешаване на достъп до лични данни, под каква форма се съхраняват и дали изобщо се използват.

Съгласно Постановление на правителството № 1119 (клаузи 13 - 16), за да се осигури необходимото ниво на сигурност на личните данни, когато се обработват в информационни системи, трябва да бъдат изпълнени следните изисквания:

Изискване PP 1119

Изисквано ниво на сигурност

Зона на отговорност

Организиране на охранителен режим на помещенията, в които е разположена информационната система

УЗ-4;
УЗ-3;
УЗ-2;
УЗ-1;

Хостинг доставчик;

Гарантиране на безопасността на носителите на лични данни

Хостинг доставчик;

Одобрение от ръководителя на оператора на списъка на лицата с право на достъп до лични данни

Използване на сертифицирани инструменти за защита на информацията (преминали през процедурата за оценка на съответствието със законовите изисквания)

Хостинг доставчик;

Назначаване на длъжностно лице, отговорно за осигуряване сигурността на личните данни

УЗ-3;
УЗ-2;
УЗ-1;

Собственик на сайта; Хостинг доставчик;

Достъп до съдържанието на регистъра на електронните съобщения е възможен само за лица, които притежават съответнияправа за достъп

УЗ-2;
УЗ-1;

Собственик на сайта; Хостинг доставчик;

Автоматично регистриране в електронния дневник за сигурност на промени в правомощията на служителите на оператора за достъп до лични данни

УЗ-1;

Собственик на уебсайт, хостинг доставчик

Създаване на структурно звено, отговорно за осигуряване сигурността на личните данни

Собственик на уебсайт, доставчик на хостинг услуги

Хостинг доставчикът трябва да има лиценз от Roskomnadzor за предоставяне на комуникационни услуги

Както знаете, за предоставяне на комуникационни услуги е необходим лиценз на Roskomnadzor. Това следва например от параграф 36 на член 12 от Федералния закон от 4 май 2011 г. № 99-FZ „За лицензиране на определени видове дейности“.

Съгласно списъка с имена на комуникационни услуги, включени в лицензите за извършване на дейности в областта на предоставянето на комуникационни услуги, одобрен с постановление на правителството на Руската федерация от 18 февруари 2005 г. № 87), лицензираните комуникационни услуги включват, между други неща:

  • Телематични комуникационни услуги (това включва хостинг);
  • Комуникационни услуги за предаване на данни, с изключение на комуникационни услуги за предаване на данни с цел предаване на гласова информация.

За да хоства сайтове, които обработват лични данни, хостинг доставчикът трябва да има лиценз на FSTEC

Федералната служба за технически и експортен контрол (FSTEC на Русия) регулира дейностите, свързани с техническата защита на информацията, се занимава с въпроси на държавната политика в тази област на законодателството, стандартизацията, лицензирането, а също така провежда съответните проверки.

Тъй като хостинг доставчикът, като упълномощено по силата на договора за преотстъпване лице, е оператор на лични данни, той е длъжен да предприеме технически мерки за защитата им, т.е. да предоставя услуги по техническа защита на информацията, която съгл. разпоредбата относно лицензионните дейности за техническа защита на поверителна информация, одобрена с постановление на правителството на Руската федерация от 3 февруари 2012 г. N 79, се отнася до лицензирани видове дейности.

Организационните и технически мерки за гарантиране на сигурността на личните данни, одобрени със Заповед № 21 на FSTEC от 18 февруари 2013 г., включват:

  • идентифициране и удостоверяване на субекти на достъп и обекти на достъп;
  • контрол на достъпа на субекти на достъп до обекти на достъп;
  • ограничаване на софтуерната среда;
  • защита на компютърни носители за съхранение;
  • регистриране на събития за сигурност;
  • антивирусна защита;
  • откриване на проникване (предотвратяване);
  • контрол (анализ) на сигурността на личните данни;
  • осигуряване целостта на информационната система и личните данни;
  • осигуряване на наличност на лични данни;
  • защита на средата за виртуализация;
  • защита на технически средства;
  • защита на информационната система, нейните системи за комуникация и предаване на данни;
  • идентифициране на инциденти и реагиране при тях;
  • управление на конфигурацията на ISPDn и SZPDn.

За извършване на работа за гарантиране на сигурността на личните данни е разрешено да се ангажират на договорна основа организации на трети страни, които имат лиценз за работа в областта на техническата защита на поверителна информация (клауза 2, параграф 2 от Заповед № 21 на FSTEC ).

Редица мерки за гарантиране на сигурността на личните данни изискват хостинг доставчикът да притежава лиценз на FSB

Мерките за осигуряване на подходящо ниво на защита на личните данни, съгласно Заповед № 21 на FSTEC, включват следните мерки:

  • Изпълнение на защитени отдалечен достъпсубекти на достъп до обекти на достъп чрез външни информационни и телекомуникационни мрежи (UPD.13);
  • Осигуряване на защита на личните данни от разкриване, изменение и налагане (въвеждане на невярна информация) по време на тяхното предаване (подготовка за предаване) по комуникационни канали, които излизат извън контролираната зона, включително безжични комуникационни канали (ZIS.3);
  • Осигуряване на автентичност интернет връзка(сесии за взаимодействие), включително за защита срещу подмяна на мрежови устройства и услуги (ZIS.11);

Въз основа на същността на тези мерки е ясно, че тяхното прилагане изисква използването на криптографски средства за защита на информацията (CIPF). Както знаете, въпросите, свързани с използването на CIPF в Руската федерация, се регулират от Федералната служба за сигурност (FSB на Русия).

Съгласно наредбата за лицензионни дейности за разработване, производство, разпространение на криптиращи (криптографски) средства, одобрена с постановление на правителството на Руската федерация от 16 април 2012 г. № 313, списъкът на произведенията, които съставляват лицензираната дейност включва:

  • Разработване на сигурни, използване криптографски средства, информационни и телекомуникационни системи;
  • Монтаж, инсталиране, настройка на криптографски средства и защитени с тяхното използване информационни и телекомуникационни системи;
  • Работа по поддръжка на криптографски средства;
  • Трансфер на криптографски средства и информационни и телекомуникационни системи, защитени с тяхното използване;
  • Предоставяне на услуги за криптиране на информация.

Изчислителният център на хостинг доставчика трябва да се намира на територията на Руската федерация

От 1 септември 2015 г. наредбата за локализирането на съхранение и отделни процесиобработка на лични данни, определени във Федерален закон № 242 от 21 юли 2014 г. „За изменение на някои законодателни актове на Руската федерация относно изясняването на процедурата за обработка на лични данни в информационни и телекомуникационни мрежи“, съгласно параграф 1 от чл. 2 от които при събиране на лични данни, включително чрез информационната и телекомуникационната мрежа Интернет, операторът е длъжен да осигури запис, систематизиране, натрупване, съхранение, изясняване (актуализиране, промяна), извличане на лични данни на граждани на Руската федерация с помощта на бази данни, разположени на територията на Руската федерация.

В същото време е важно да се отбележи, че трансграничното предаване на лични данни като такова не е забранено, а се регулира от закона. Повече за това можете да прочетете в чл. 12 152-ФЗ.

Накратко за основното

И така, нека обобщим горното.

Уебсайтът е информационна система за лични данни, ако неговата функционалност ви позволява да въвеждате, съхранявате или преглеждате лични данни. Добър пример би бил почти всеки уебсайт с личен акаунт, възможност за онлайн резервации, поръчка или покупка с доставка и т.н.

Обработването на лични данни на клиенти онлайн е не само необходимост от съвременната електронна търговия, но и широки възможностиза маркетинг, чието описание заслужава отделна статия.

Собственикът на уебсайт, който е ISPD, е длъжен да изпрати уведомление до Roskomnadzor, като посочи: какви лични данни съхранява и обработва, къде са физически разположени сървърите, на които работи ISPD. Можете да прочетете за това в моята статия „Как да подадете уведомление до RKN и да не изпаднете в проблеми“.

Споразумението с хостинг доставчик, в допълнение към количествените и качествени характеристики на изчислителните ресурси, трябва задължително да съдържа ред за обработка на лични данни, като посочва конкретен списък от действия, които ще бъдат извършени с тях, трябва да посочва целите и трябва да се установи процедурата за обработка на лични данни, изискванията за тяхната защита и отговорността на доставчика за сигурността на личните данни.

В допълнение към стандартните лицензи на Roskomnadzor за предоставяне на хостинг компании телематични услугикомуникации, за да защити личните данни, обработвани на клиентски сайтове, хостинг доставчикът трябва да притежава лиценз на FSTEC за техническа защита на поверителна информация и лиценз на FSB за предоставяне на услуги, свързани с използването на криптиращи (криптографски) средства.

И накрая, сървърът на доставчика, на който физически се съхраняват лични данни, трябва да се намира на територията на Руската федерация.

И така, тази статия обсъжда много, но в никакъв случай не всички аспекти на поставянето на ISPD върху изчислителните ресурси на доставчиците на облачни услуги. | Повече ▼ подробна информацияможете да получите от следните документи и информационни ресурси:

Законодателство