Облачная платформа VK Cloud для соблюдения 152-ФЗ

Это физические и юридические лица, а также государственные органы, собирающие и обрабатывающие персданные с определенными целями. По сути, действие законодательства по охране личных данных распространяется на каждый бизнес и госорган: учебные организации, медицинские организации, кредитно-финансовые учреждения, страховые компании, операторы сотовой связи, туроператоры, перевозчики, риэлторы, HR-отделы компаний и так далее.

Итоговая сумма зависит от того, сами вы строите и аттестуете свои IT-системы или обращаетесь для этого к провайдеру. Как правило, услуги провайдера и аренда облачных мощностей в долгосрочной перспективе обходятся на 30-50% дешевле. Стоимость облака 152-ФЗ мы рассчитываем индивидуально, учитывая особенности ваших IT-систем, объем данных и вычислительных мощностей, нужный уровень защищенности, сроки развертывания IT-систем и другие параметры.

Да, мы поможем подготовить все нужные нормативно-методические документы под ключ: акты обследования IT-систем, установки и настройки средств защиты информации, модель угроз, проект системы безопасности информации, проекты ОРД по 21 приказу ФСТЭК, программу и методики аттестационных испытаний, положение по обеспечению безопасности ПДн, инструкции, приказы, регламенты и другие необходимые бумаги.

Нет, этого недостаточно. Нужно еще организовать технические меры защиты по приказу ФСТЭК №21 в соответствии с уровнем защищенности.

Всего уровней защищенности ПДн четыре. Чтобы определиться с тем, какой УЗ у вас, нужно разобраться, чьи данные, каких категорий и в каком объеме обрабатывает компания, а также какой тип угроз стоит считать актуальными в вашем случае. Наши специалисты помогут составить модель актуальных угроз и развернуть инфраструктуру в точном соответствии с уровнем защищенности, который требует законодательство.

Аттестация по 152-ФЗ — это оценка того, насколько эффективны меры охраны данных, реализованные компанией в соответствии с нормативной документацией ФСТЭК России. Сюда входит сам процесс аттестации и аттестационных испытаний, а также подготовка к ней: обследование (аудит) инфраструктуры, проектирование систем безопасности информации, установка и настройка средств защиты информации, разработка ОРД и другой нормативно-методической документации. По итогам уровень защищенности IT-систем должен соответствовать требованиям, прописанным в приказах ФСТЭК.

Как правило, чтобы подтвердить соответствие ИСПДн в облаке или дата-центре требованиям законодательства о персональных данных, достаточно составить акт оценки эффективности без проведения аттестации. Это более простая процедура, в некоторых случаях ее можно провести самостоятельно, например, если в компании есть специалист по ИБ с нужной компетенцией. Аттестация обязательна для систем государственных и муниципальных компаний, а также коммерческих структур при подключении к госсистемам. Кроме того, любая компания может добровольно пройти аттестацию, если она необходима, например, по условиям договора. Аттестацию проводит организация, у которой есть лицензия ФСТЭК.

Чтобы разместить персональные данные в облаке и обрабатывать их на стороне облачного провайдера, недостаточно просто передать их на облачную платформу. Необходимо подписать поручение на обработку персданных — это требование статьи 6 152-ФЗ. Наши специалисты подготовят такое поручение, вам нужно будет подписать его через систему электронного документооборота.

Это частое заблуждение. Статья 3 152-ФЗ говорит о том, что к обработке персональных данных относятся не только систематизация, уточнение, извлечение, использование, передача, обезличивание, блокирование данных, но и их сбор, запись, хранение и удаление. То есть то, чем занимается любая организации, которая работает с персональными данными, даже если она не производит над данными никаких действий, кроме записи в базу и последующего уничтожения неактуальной информации через какое-то время.