Хостинг в соответствии с фз 152. Правильный хостинг для испдн. почему для обработки персональных данных не подходят сервера большинства облачных провайдеров? Ряд мер по обеспечению безопасности персональных данных требует наличия у хостинг-провайдера лице

Решение «Облако ФЗ 152 » освобождает Оператора персональных данных от затрат на создание и владение защищенной IT-инфраструктурой для выполнения требований 152-ФЗ и 242-ФЗ. Иными словами, если российское законодательство обязывает вашу компанию принимать все необходимые организационно-технические меры для защиты личных данных от несанкционированного и неправомерного доступа, выбирайте готовое решение от Cloud4Y.

Нажмите кнопку «Попробуйте бесплатно», заполните небольшую форму и узнайте, как избежать проблем с большими затратами на организацию ИТ-инфраструктуры, которая будет удовлетворять требованиям Федерального закона № 152

Для чего необходимо «Облако ФЗ 152»:

  • Отдельное защищенное, сертифицированное и аттестованное «облако» для размещения ИСПДн.
  • Сертификация механизмов виртуализации: гипервизора вычислительных ресурсов, системы управления виртуализованной сетью передачи данных, платформы виртуализации и системы хранения данных.
  • Предоставление сервисов безопасности (на основе сертифицированных средств защиты), которые могут быть использованы клиентами, размещающими свои ИСПДн в облаке.

Организация размещения ИСПДн в облаке:

  • Освобождает оператора ПДн от капитальных затрат на создание и владение защищенной IT-инфраструктурой;
  • Освобождает оператора от части юридической ответственности за выполнение требований 152-ФЗ, 242-ФЗ;
  • Позволяет использовать общесистемное и специальное ПО провайдера;
  • Позволяет получить сопровождение IT-инфраструктуры высококвалифицированным персоналом в режиме 24×7

Особенности «Облако ФЗ 152»:

  • Размещение ИСПДн предоставляется как услуга, то есть, заказчик не имеет капитальных затрат.
  • Cloud4Y выступает в качестве лица, отвечающего за обработку ПДн по поручению оператора.
  • Система прошла аттестацию лицензиатами ФСТЭК, что подтверждает её соответствие требованиям безопасности. Применяемые средства защиты прошли в установленном порядке оценку соответствия и имеют сертификаты, выданные соответствующими органами ФСТЭК и ФСБ России.
  • Наличие сертификатов на различные элементы облака, реализующие функции защиты (гипервизор, средства защиты, интегрированные в облако, средства защиты, предлагаемые клиентам как сервисы безопасности.
  • Комплекс организационно-технических мер защиты, позволяющий обеспечить клиентам закрытие актуальных угроз со стороны обслуживающего персонала, со стороны других клиентов и иных нарушителей.

Нормативные документы и классификация

Ознакомиться с текстом Федерального закона № 152 о персональных данных вы можете по ссылке .

White Paper о ФЗ 152 - книга, на которую можно ссылаться в вопросах обработки персональных данных

Эксперты Cloud4Y изучили вопрос защиты ПДн и создали руководство, как действовать организации, чтобы соответствовать ФЗ-152. Мы постарались простым языком объяснить пункты законодательства, устранить путаницу и прописать те шаги, которые нужно предпринять.

Лицензии и сертификаты



Цены

АКЦИЯ: только до 30 апреля 2020 г. "Облако ФЗ 152" по цене обычного НАВСЕГДА! Подробности

Для того, чтобы получить расчет стоимости услуги "Облако ФЗ-152" обратитесь к любому менджеру по телефону +7 495 268 04 12 или любым другим удобным способом доступном в разделе


Ознакомьтесь с Перечнем нормативных правовых актов, устанавливающих обязательные требования к осуществлению деятельности юридических лиц и индивидуальных предпринимателей за соответствием обработки персональных данных требованием законодательства Российской Федерации в области персональных данных по ссылке .


Часто задаваемые вопросы (FAQ)

1. В чем суть вашей услуги ФЗ-152?
Мы построили в нашем дата-центре защищенный контур, прошедший аттестацию по требованиям безопасности в соответствии с ФЗ-152 и получивший аттестат соответствия по защите персональных данных до 1-го уровня защищенности включительно. И мы помогаем нашим клиентам закрыть вопрос соответствия с технической точки зрения. Государственным учреждениям также могут быть интересны Аттестат соответствия 1-го класса для государственных информационных систем (согласно 17-му приказу ФСТЭК) и аттестат на защиту конфиденциальной информации по классу 1Г (согласно СТР-К).

2. Зачем нам это надо?
Поскольку вы являетесь обработчиком персональных данных, действие закона ФЗ-152 распространяется на вас автоматически. А государственные учреждения, владеющие государственными информационными системами, подпадают еще и под действие 17-го приказа ФСТЭК.

3. Сколько это стоит?
Стоимость рассчитывается индивидуально под заказчика, с учетом объемов, уровня защищенности, сроков размещения.

4. Можете ли вы помочь в подготовке документации?
Да можем, (предоставляем готовые шаблоны или берем на себя весь процесс подготовки под ключ).

5. Как организован канал передачи данных?
Используется шифрованный по Российскому ГОСТ канал через VipNet-координатор.

Если Вы не нашли ответ на свой вопрос, перейдите в нашу , задайте его нашим консультантам на сайте, используя онлайн-чат, или напишите запрос в поддержку, используя .

Поскольку сервер стоит не у вас дома, вы не имеете к нему доступа и уж тем более никоим образом не можете влиять на политику дата-центра, то вы просто не имеете возможности выполнить ряд требований закона. Остается только одно, найти хостинг который отвечает требованиям закона.

Я сейчас не Бегете, написал им письмо, о наличии у них лицензии ФСТЭК на защиту конфиденциальной информации. Ответили туманно, типа я не я и хата не моя, мы всего-лишь эти и в общем это мы не должны... Если резюмировать, лицензии у них нет, а значит по большому счету сайт который собирает персональные данные держать там нельзя. Полазил по инету (не особо плотно пока) и нашел пока только RU-CENTER с лицензией.

Лицензия на деятельность по разработке и (или) производству средств защиты конфиденциальной информации
ЛИЦЕНЗИЯ No 0917 от 20 сентября 2011 г.

Лицензия на деятельность по технической защите конфиденциальной информации
ЛИЦЕНЗИЯ No 1594 от 20 сентября 2011 г.
Правообладатель: Акционерное общество «Региональный Сетевой Информационный Центр»
Срок действия лицензии: бессрочно

Хостинг конфиденциальной информации в RU-CENTER

С 6 марта 2012 года RU-CENTER начинает предоставлять новую услугу - хостинг конфиденциальной информации.
Хостинг конфиденциальной информации - это размещение сайта в Интернете с применением дополнительных мер по защите информации.
Данная услуга позволит выполнить ряд обязательных требований действующего законодательства (закон N 152-ФЗ), которые предъявляются при обработке персональных данных.
Кроме основных методов защиты данных и хранения информации, используемых в других услугах RU-CENTER, хостинг конфиденциальной информации предлагает:

  • специализированное сертифицированное оборудование, позволяющее проводить ряд действий по защите информации при сетевом доступе;
  • дополнительное ограничение физического доступа к оборудованию, на котором предоставляется услуга;
  • ежедневное резервное копирование (2 копии);
  • учет используемых физических носителей информации;
  • MySQL, выделенная для каждой услуги.
Основные потребители новой услуги - компании малого и среднего бизнеса, интернет-магазины, форумы, системы маркетинговых исследований и многие другие интернет-ресурсы, которым при обработке и хранении персональных данных пользователей необходимо выполнять требования законодательства РФ (закон N 152-ФЗ).

Собственно вопрос, как они по качеству?
И если кто найдет других хостеров с лицензией ФСТЭК на защиту конфиденциальной информации, выкладывайте в этой теме.

Прежде чем приступить к разбору 152-ФЗ, следует знать, что существует также закон 242-ФЗ, вступивший в силу с 1 сентября 2015 года, который является нормативным актом, который внес изменения в другой, основополагающий источник права — ФЗ № 152, принятый в июле 2006 года. Принятие закона о “локализации персональных данных” сопровождалось широким освещением законодательной инициативы в различных СМИ, в результате чего были созданы два главных мифа о Федеральном законе №242-ФЗ:

  • россиянам отныне запрещено размещать свои персональные данные (сайты) за рубежом;
  • всем иностранным компаниям запретили получать и обрабатывать персональные данные россиян на серверах за пределами РФ.

Федеральным законом № 242-ФЗ предусматривается, что «при сборе персональных данных, в том числе посредством сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации». В случае несоблюдения закона, доступ к сайту, уличенному в первичном сборе и хранении персональных данных российских граждан на базах данных, находящихся в пределах юрисдикции РФ, может быть ограничен.

Можно ли использовать хостинг за границей

Закон не запрещает размещение любого сайта (базы данных) на серверах, расположенных на территории стран, подписавших конвенцию Совета Европы ETS №108, а также трансграничную передачу персональных данных . Согласно ратифицированной Россией Конвенции Совета Европы ETS №108 «О защите физических лиц при автоматизированной обработке персональных данных», в части 2 ст.12 предусматривается, что присоединившиеся к ней страны не будут запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой стороны Конвенции, а ст. 25 запрещает любые оговорки в отношении Конвенции.

Это означает, что использование хостинга за границей (не в пределах РФ), а также хранение и обработка персональных данных, считается правомерной, если хостинг расположен в одной из стран, подписавших Конвенцию: Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия , Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония, а также как это следует из разъяснений Роскомнадзора, в странах, обеспечивающих адекватную защиту персональных данных. Такими признаются страны, имеющие общенациональные нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных: Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония.

Где должны храниться персональные данные

Физически сайт и база данных могут располагаться на хостинге любой страны, подписавшей Конвенцию Совета Европы ETS №108. В Законе есть требование к оператору обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, однако Законом не запрещено хранение персональных данных россиян на серверах вне территории РФ. Единственное условие, чтобы изначально персональные данные собирались и обрабатывались в РФ. Но, повторим, это не запрещает трансграничную передачу персональных данных и работу с ней в странах подписавших Конвенцию.

Соответствие хостинга ДЖИХОСТ 152-ФЗ

Джихост полностью соответствует 152-ФЗ за счет применения репликации и трансграничной передачи персональных данных.

Схематически принцы работы описан ниже:

Хостинг Джихост соответствие 152-ФЗ Любое изменение базы данных сайта, в том числе при передачи персональной информации, база данных реплицируется на сервер, находящийся на территории РФ, таким образом обеспечивая постоянную актуальность и полноту данных в соответствии с Законом. Затем данные реплицируются на локальную базу данных сервера, с которой в последствии работает сайт. Такая круговая схема работает повсеместно. При этом, если требуется только чтение данных, то она происходит без репликации, напрямую из локальной базы данных. Помимо соответствия 152-ФЗ, данная схема работы повышает производительность, отказоустойчивость и надежность работы хостинга.

После вступления в силу п.4 ч.2 ст.19 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных" каждое предприятие обязано привести свои информационные системы и процессы, связанные с обработкой персональных данных, в соответствие с требованиями Законодательства РФ.

Что это означает для юридических лиц?

Организации обязаны обеспечить защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Таким образом они становятся «организациями-операторами персональных данных». Контролировать выполнения требований Законодательства будет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), ФСТЭК и ФСБ России.

Федеральный закон касается компаний любой организационной формы – это и государственные органы, федеральные и муниципальные учреждения: банки, страховые компании, медицинские учреждения, операторы связи, интернет-магазины, торговые сети, производственные компании и прочие организации, обрабатывающие персональные данные, полученные от работников, клиентов и иных физических и юридических лиц.

В обязанности организации-оператора входит:

  • обеспечение законности обработки персональных данных;
  • построение системы защиты персональных данных в соответствии с требованиями ФСТЭК и ФСБ России;
  • отправка уведомления в Роскомнадзор;
  • разработка внутренней документации;
  • проведение аттестационных испытаний или оценки соответствия;
  • систематическая актуализация системы защиты персональных данных.

Зачастую, это оказывается сложной и затратной задачей, в том числе и из-за необходимости получения документа, подтверждающего эффективность принятых мер защиты персональных данных. Именно поэтому большинство компаний предпочитает оптимизировать этот процесс за счет поиска надежного партнера с готовым решением во внешней виртуальной инфраструктуре.

Для исполнения всеми юридическими лицами на территории России одноименного закона ФЗ-152 мы - хостинг сайт в сотрудничестве с компанией WELLSERVICE - предлагаем менее затратное и трудоёмкое решение: вынесение систем хранения и обработки персональных данных в защищенную облачную систему, которую мы называем – «ИСПДн в облаке».

Серверы для информационных систем персональных данных (ИСПДн) предоставляется любым компаниям, расположенным на территории и являющимися резидентами Российской Федерации.

Что такое «ИСПДн в облаке»?

Продукт «ИСПДн в облаке» – отдельный защищенный виртуальный сервер, по выбранному вами тарифу, полностью соответствующий требованиям ФЗ-152.

Каждый «ИСПДн в облаке» – полностью изолированный объект. Это означает, что доступ к вашему ИСПДн со стороны хостинг-провайдера заблокирован с помощью сертифицированных средств защиты и абсолютно конфиденциален!

Конфиденциальность обрабатываемой информации достигается за счет:

  • Доступ к данным находящимся на «ИСПДн в облаке» ограничен с помощью сертифицированных ФСТЭК России средств защиты от несанкционированного доступа (НСД) и с помощью функций гипервизора виртуальных машин (являющего частью сертифицированного средства защиты).
  • Данные, передаваемые по каналам связи от терминала организации-оператора персональных данных до сетевого интерфейса виртуальной машины, шифруются с помощью сертифицированного ФСБ России средства криптографической защиты информации (СКЗИ). Дисковые образы виртуальных машин также шифруются с помощью СКЗИ.
  • Ни один из дата-центров не обладает никакими ключами доступа к средствам СКЗИ, размещённым в виртуальной машине клиента. Так, например, для загрузки операционной системы на VPS клиент самостоятельно вводит пароль от криптоконтейнера, содержащего системный раздел. Эта процедура реализована с применением специально разработанного нашей компанией загрузчика операционной системы на виртуальной машине. При этом, ключи доступа в любой момент могут быть перегенерированы пользователем виртуальной машины самостоятельно, а криптоконтейнер соответственно может быть перешифрован.
  • Доступность и целостность обрабатываемой информации обеспечивается применением зарезервированных каналов связи, надёжных систем хранения данных, устройств охлаждения и бесперебойного питания. Наши партнеры – лучшие дата-центы России: Миран, IXCellerate, KIAEHOUSE.

Что «ИСПДн в облаке» дает компаниям в России?

Простая процедура: мы возьмем на себя весь комплекс организационно-правовых и технических работ - разработка модели угроз безопасности, концепцию системы защиты, методику аттестации, непосредственное проведение аттестационных испытаний и оформление аттестата соответствия. Выбрав наш продукт «ИСПДн в облаке», вам НЕ ПОТРЕБУЕТСЯ ПОЛУЧАТЬ СОГЛАСИЕ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ при их сборе.

Существенная экономия: наш продукт освобождает компанию-заказчика от затрат на создание и владение защищенной IT-инфраструктурой для хранения, обработки и защиты персональных данных. Более того, размещение ИСПДн в облаке предоставляется как услуга, компания-заказчик не имеет капитальных затрат.

Наши преимущества:

  • защищенная система «ИСПДн в облаке» прошла все необходимые аттестации, как полностью соответствующая всем требованиям законодательства РФ в области персональных данных;
  • полное соответствие требованиям ФСТЭК и ФСБ России всех аппаратных, программных, а также сетевых элементов системы;
  • вам не потребуется получать согласие субъектов персональных данных при их сборе;
  • консультации и сопровождение на всех этапах внедрения и работы с продуктом.
  • полный пакет организационно-распорядительных и регламентирующих документов;
  • отсутствие капитальных затрат.

Каков процесс оказания услуг?


1

Регистрация представителя компании-заказчика на нашем сайте и последующее заполнение анкеты-заявки на услугу «ИСПДн в облаке»: необходимость аттестации, реквизиты организации, вид деятельности.

В зависимости от требований ИСПДн вы выбираете подходящий тарифный план с нужными параметрами сервера: объемом диска и оперативной памяти.

Заключение договора на оказание услуги «ИСПДн в облаке» и проведение оплаты.

На основании предоставленных данных мы подготовим для вас комплект организационно-распорядительных и регламентирующих документов, включая положение о персональных данных, акт классификации ИСПДн, модель угроз и другие необходимые документы. Специалист нашей компании проконтролирует правильность заполнения и утверждения этих документов.

Мы согласовываем с вами дату выездной аттестации рабочего места. После выезда специалиста и проверки всех требований к рабочему месту, вы получаете аттестат соответствия и весь пакет документов, удостоверяющий полное соответствие вашей ИСПДн требованиям и нормам №152-ФЗ "О персональных данных" и всех подзаконных актов.


Наши лицензии и аттестаты


* Стоимость защищенного сервера ИСПДн с пакетом документов и процедурой аттестации при оплате за 1 год.

Продажа защищенной инфраструктуры для хранения и обработки персональных данных по представленным тарифным планам осуществляется с минимальным сроком — 1 год.

При заказе первого сервера в ИСПДн взымается установочная плата в размере 11 300 рублей.

Еще на эту тему:

Как читать сообщения в Facebook без приложения Messenger Как читать сообщения в Facebook без приложения Messenger
Скачать Driver Sweeper – программа для удаления драйверов из OC Windows Скачать программу для удаления драйверов карты Скачать Driver Sweeper – программа для удаления драйверов из OC Windows Скачать программу для удаления драйверов карты
Выкидывает на рабочий стол Sniper Elite V2 Что делать если лагает sniper elite 3 Выкидывает на рабочий стол Sniper Elite V2 Что делать если лагает sniper elite 3