Закон о защите персональных данных ФЗ-152

В Российской Федерации действует федеральный закон о защите персональных данных. Суть 152-ФЗ заключается в обязательстве лица, собирающего и обрабатывающего ПДн, обеспечить безопасность конфиденциальной информации.

 

Перед компаниями встает логичный вопрос: «Как организовать инфраструктуру в полном соответствии с федеральным законом и быть готовым к неожиданным проверкам Роскомнадзора?».

 

При этом многие компании уверены: первое, что необходимо – это пройти несколько промежуточных точек:

• Выбор подходящей безопасной ИТ-инфраструктуры
• Подготовка необходимой документации

 

Но это не совсем верный путь решения задачи. Давайте разбираться!

 

Шаг 1. Определяем, какой уровень защиты ПДн нам необходим.

Это делается просто. Достаточно посмотреть на таблицу и разобраться с ее содержимым.

1) К какой категории относятся ПДн, которые Вы используете?

• Специальные: раса, национальность, политические, религиозные и философские убеждения, состояние здоровья
• Биометрические: отпечатки пальцев, фото, видео, изображение радужки глаза
• Общедоступные: ФИО, дата и место рождения, адрес проживания, номера телефонов, информация о профессии и месте учебы
• Иные: прочие данные о конкретном человеке, такие как предпочтения в еде или кличка питомца.

Собирая и обрабатывая эти данные, компания автоматически считается оператором персональных данных.

Данные, по котором нельзя определить конкретного человека, например, только ник – не являются персональными.

 

2) В каких отношениях Вы прибываете с субъектами ПДн?

Тут два варианта: либо это ваши сотрудники, либо нет, например, клиенты.

 

3) Какое количество субъектов ПДн?

Классификация простая: больше или меньше 100 000

 

4) Тип актуальных угроз

• 1 тип — актуальных угрозы (не теоретические), связанные с недокументированными возможностями в системном программном обеспечении (ПО), например, в операционной системе, гипервизоре и т.д.
• 2 тип — угрозы средней уязвимости, связанные с недокументированными возможностями в прикладном ПО, например, в установленных программах, базах данных.
• 3 тип — угрозы, не связанные с ПО, например, уязвимости в оборудовании.

Если Вы используете ПО с сертификацией ФСТЭК, то угрозы 1 и 2 типа для Вас не актуальны (недокументированных возможностей в ПО нет). При отсутствии сертификатов у ПО рекомендуем обратиться к специалисту по технической безопасности. Определять самостоятельно уровень угроз проблематично.

 

Шаг 2. Выбираем путь к соответствию 152 ФЗ

 

Интернет-магазин, став оператором ПДн, может сам выбирать путь соответствия ФЗ-152 (при отсутствии определенных гос. требований)

Существует 2 варианта: сложный - аттестация и попроще - акт оценки эффективности. Дело в том, что аттестация может накладывать ряд ограничений:

• Необходимо использовать сертифицированные ФСТЭК средства защиты информации, которые не всегда совместимы с современными технологиями (ОС, БД и т.д.)
• Потребуется сертификация разработанных Вами приложения (если есть функционал разграниченного доступа, логирования и т.п.)
• Запрет на внесение изменений в систему без согласования (этот вопрос решается с компанией, которая выдала сертификат безопасности). Требуется переаттестация в случаях:
  - Добавления сервера
  - Апгрейда версии По
  - Добавления нового функционала
  - Изменение состава обрабатываемых ПДН (новые поля в анкете клиента)
• Дорого (сертификацию может проводить только специализированная компания с лицензией на аттестацию)

Кому точно стоит выбрать путь аттестации:

Государственными компаниям; B2G-сервисам; медицинским организация; финансовым и страховым компаниям; частным компаниям, подключаемым к государственным системам (ГИС, МИС, ЕСИА ...)

 

Если Вы не нашли себя в перечисленном выше списке, то стоит рассмотреть вариант выбора акта оценки эффективности. Он является более коротким путем аттестации:

-152-ФЗ требует оценки эффективности не реже 1 раза в 3 года (не аттестации)

-Оценку эффективности можно провести самостоятельно

-Подойдет для коммерческих компаний (B2C и B2B)

-Можно использовать любое ПО, прошедшее оценку соответствия (тестирования), а не только сертифицированные средства защиты

 

Это значит, что Вы можете проводить тестирование самостоятельно или с привлечением лицензиата ФСТЭК (без необходимости сертификации), экономить 6-12 месяцев на сертификацию своего приложения, использовать актуальны версии ПО.

 

Шаг 3. Выбираем ИТ инфраструктуры

 

Есть следующие варианты:

• Аттестованный ЦОД (выделенные серверы и частное облако)
• Облако на базе Virtuozzo (высокая гибкость, гипервизорная и контейнерная виртуализация, возможность строить высоконагруженные катастроф-устойчивые системы)
• Публичное облако

Чтобы выбрать необходимый Вам вариант, ответьте на следующие вопросы:

Шаг 4. Помним о разграничении ответственности:

По закону владелец сайта остается оператором ПДн и не снимает с себя ответственность за сохранность данных, мигрированных в облако. Т.е. провайдер не решает задачу, кто и при каких условиях пользуется данными. Аренда инфраструктуры избавит пользователя от CAPEX и сложностей аттестации «железа», программно-аппаратных средств.

 

Шаг 5. Подготавливаем необходимую документацию:

 

• Политика в отношении обработки ПДн (политика конфиденциальности)
  Необходимо написать все данные организации, контактные данные ответственного лица за обработку ПДн. Указать канал связи, пользовательские права и права человека (уточнения о собираемых данных: доступ к данным, удаление данных и т.п). Указать информацию о сборе, обработки, использовании, передачи и сроки использования ПДн
• Согласие на обработку персональных данных
  Можно использовать отдельную форму для заполнения или интегрировать согласие на обработку ПДн в политику в отношении обработки ПДн.
• Уведомление об обработке Cookie
  Совет: лучше уведомлять клиента сразу после его входа на сайт
• Осуществление проверки нахождение сайта на серверах на территории РФ
  За отсутствие локализации баз ПДн при сборе начисляются штрафы до 18 млн руб.

 

Предостерегаем от частых ошибках ФЗ - 152:

 

1. Отсутствие поданного заявления в РКН освобождает от ответственности оператора ПДн

2. Оформление документов в последний момент

3. Аттестация – единственный способ подтвердить соответствие требованиям

4. Принятие запросов по поводу ПДн на общую почту

5. Для соблюдения закона подойдут только специализированные средства защиты

 

Группа компаний Rusonyx ваш надёжный партнёр при реализации 152 ФЗ

 

На протяжении многих лет наша компания предлагает надежный и профессиональный хостинг для своих клиентов. Цель одна - быть не просто посредником в получении ценных бумаг или оптимальных мощностей, а стать вашим хорошим партнером на долгие годы. Индивидуальный подход — это про нас. Поможем разобраться во всех тонкостях закона и получения специализированных, технических услуг, проконсультируем по любому вопросу, обеспечим надежную работу инфраструктур согласно законодательным требованиям, осуществим техническую поддержку в кротчайшие сроки и сэкономим ваш бюджет. Вот почему выбирают Rusonyx.