О персональных данных - просто и доступно



На территории нашей страны действует федеральный закон о защите персональных данных, вы наверняка не раз сталкивались с его официальным обозначением – 152-ФЗ.



Суть 152-ФЗ заключается в том, что каждый, кто собирает и обрабатывает персональные данные (ПДн), обязан обеспечить безопасность этой конфиденциальной информации.



Об этом законе написано множество статей, большая часть которых направлена на то, чтобы вызвать у вас, как минимум, беспокойство – соблюдаете ли вы требования 152-ФЗ, могут ли вас оштрафовать на немыслимые суммы, что делать, к кому обратиться? Как правило, авторы этих публикаций гордо предъявляют свои лицензии ФСБ и ФСТЭК, предлагают услуги специализированного или «аттестованного» хостинга под этот закон. Их посыл заключается в том, что без их помощи и услуг вы легко попадете под санкции за нарушение действующего законодательства и можете даже лишиться своих проектов. Поэтому надо всего лишь платить в 3 раза больше, чем за стандартную ИТ инфраструктуру, все остальное покроют «лицензии ФСБ и ФСТЭК».



Мы подготовили этот материал с иной целью – мы пошагово объясним вам принципы действия ФЗ-152, чтобы вы могли самостоятельно определить зону своей ответственности и ответственности провайдера, что будет достаточно предпринять, чтобы соблюсти требования закона и нужно ли вам переплачивать в разы за арендованные облачные серверы.


- Выбор подходящей безопасной ИТ-инфраструктуры

- Подготовка необходимой документации


Но это не совсем верный путь решения задачи. Давайте разбираться!


Основные шаги по работе с 15 ФЗ


Шаг 1. Определяем, какой уровень защиты ПДн нам необходим.


Это делается просто. Достаточно посмотреть на таблицу и разобраться с ее содержимым.



1) К какой категории относятся ПДн, которые Вы используете?


  • Специальные: раса, национальность, политические, религиозные и философские убеждения, состояние здоровья
  • Биометрические: отпечатки пальцев, фото, видео, изображение радужки глаза
  • Общедоступные: ФИО, дата и место рождения, адрес проживания, номера телефонов, информация о профессии и месте учебы
  • Иные: прочие данные о конкретном человеке, такие как предпочтения в еде или кличка питомца.


Собирая и обрабатывая эти данные, компания автоматически считается оператором персональных данных.

Данные, по котором нельзя определить конкретного человека, например, только ник – не являются персональными.


2) В каких отношениях Вы прибываете с субъектами ПДн?

Тут два варианта: либо это ваши сотрудники, либо нет, например, клиенты.


3) Какое количество субъектов ПДн?

Классификация простая: больше или меньше 100 000


4) Тип актуальных угроз

  • 1 тип — актуальных угрозы (не теоретические), связанные с недокументированными возможностями в системном программном обеспечении (ПО), например, в операционной системе, гипервизоре и т.д.
  • 2 тип — угрозы средней уязвимости, связанные с недокументированными возможностями в прикладном ПО, например, в установленных программах, базах данных.
  • 3 тип — угрозы, не связанные с ПО, например, уязвимости в оборудовании.

Если Вы используете ПО с сертификацией ФСТЭК, то угрозы 1 и 2 типа для Вас не актуальны (недокументированных возможностей в ПО нет). При отсутствии сертификатов у ПО рекомендуем обратиться к специалисту по технической безопасности. Определять самостоятельно уровень угроз проблематично.



Шаг 2. Выбираем путь к соответствию 152 ФЗ


Интернет-магазин, став оператором ПДн, может сам выбирать путь соответствия ФЗ-152 (при отсутствии определенных гос. требований)


Существует 2 варианта: сложный - аттестация и попроще - акт оценки эффективности. Дело в том, что аттестация может накладывать ряд ограничений:

  • Необходимо использовать сертифицированные ФСТЭК средства защиты информации, которые не всегда совместимы с современными технологиями (ОС, БД и т.д.)
  • Потребуется сертификация разработанных Вами приложения (если есть функционал разграниченного доступа, логирования и т.п.)
  • Запрет на внесение изменений в систему без согласования (этот вопрос решается с компанией, которая выдала сертификат безопасности). Требуется переаттестация в случаях:
    - Добавления сервера
    - Апгрейда версии По
    - Добавления нового функционала
    - Изменение состава обрабатываемых ПДН (новые поля в анкете клиента)
  • Дорого (сертификацию может проводить только специализированная компания с лицензией на аттестацию)


Кому точно стоит выбрать путь аттестации:

Государственными компаниям; B2G-сервисам; медицинским организация; финансовым и страховым компаниям; частным компаниям, подключаемым к государственным системам (ГИС, МИС, ЕСИА ...)



Если Вы не нашли себя в перечисленном выше списке, то стоит рассмотреть вариант выбора акта оценки эффективности. Он является более коротким путем аттестации:


-152-ФЗ требует оценки эффективности не реже 1 раза в 3 года (не аттестации)

-Оценку эффективности можно провести самостоятельно

-Подойдет для коммерческих компаний (B2C и B2B)

-Можно использовать любое ПО, прошедшее оценку соответствия (тестирования), а не только сертифицированные средства защиты



Это значит, что Вы можете проводить тестирование самостоятельно или с привлечением лицензиата ФСТЭК (без необходимости сертификации), экономить 6-12 месяцев на сертификацию своего приложения, использовать актуальны версии ПО.



Шаг 3. Выбираем ИТ инфраструктуры


Есть следующие варианты:

  • Аттестованный ЦОД (выделенные серверы и частное облако)
  • Облако на базе Virtuozzo (высокая гибкость, гипервизорная и контейнерная виртуализация, возможность строить высоконагруженные катастроф-устойчивые системы)
  • Публичное облако

Чтобы выбрать необходимый Вам вариант, ответьте на следующие вопросы:





Шаг 4. Помним о разграничении ответственности:



По закону владелец сайта остается оператором ПДн и не снимает с себя ответственность за сохранность данных, мигрированных в облако. Т.е. провайдер не решает задачу, кто и при каких условиях пользуется данными. Аренда инфраструктуры избавит пользователя от CAPEX и сложностей аттестации «железа», программно-аппаратных средств.



Шаг 5. Подготавливаем необходимую документацию:


  • Политика в отношении обработки ПДн (политика конфиденциальности)
    Необходимо написать все данные организации, контактные данные ответственного лица за обработку ПДн. Указать канал связи, пользовательские права и права человека (уточнения о собираемых данных: доступ к данным, удаление данных и т.п). Указать информацию о сборе, обработки, использовании, передачи и сроки использования ПДн
  • Согласие на обработку персональных данных
    Можно использовать отдельную форму для заполнения или интегрировать согласие на обработку ПДн в политику в отношении обработки ПДн.
  • Уведомление об обработке Cookie
    Совет: лучше уведомлять клиента сразу после его входа на сайт
  • Осуществление проверки нахождение сайта на серверах на территории РФ
    За отсутствие локализации баз ПДн при сборе начисляются штрафы до 18 млн руб.


Предостерегаем от частых ошибках ФЗ - 152:


1. Отсутствие поданного заявления в РКН освобождает от ответственности оператора ПДн

2. Оформление документов в последний момент

3. Аттестация – единственный способ подтвердить соответствие требованиям

4. Принятие запросов по поводу ПДн на общую почту

5. Для соблюдения закона подойдут только специализированные средства защиты



Группа компаний Rusonyx ваш надёжный партнёр при реализации 152 ФЗ


На протяжении многих лет наша компания предлагает надежный и профессиональный хостинг для своих клиентов. Цель одна - быть не просто посредником в получении ценных бумаг или оптимальных мощностей, а стать вашим хорошим партнером на долгие годы. Индивидуальный подход — это про нас. Поможем разобраться во всех тонкостях закона и получения специализированных, технических услуг, проконсультируем по любому вопросу, обеспечим надежную работу инфраструктур согласно законодательным требованиям, осуществим техническую поддержку в кротчайшие сроки и сэкономим ваш бюджет. Вот почему выбирают Rusonux.



+7 495 248 19 01

Компания

Виртуальный хостинг

VPS и серверы

Облачные услуги

SSL, лицензии, домены

Партнерская программа

Поддержка

+7 495 248 19 01

Получить пробный период на тариф

Личный кабинет
Удобная панель управления

Ваше имя*
Ваш E-mail*
Сообщение*
Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*