Главная | Безопасность | Защищенное облако 152-ФЗ

Защищенное облако и аудит 152-ФЗ

Размещение конфиденциальных данных в защищенной инфраструктуре и аудит системы работы с персональными данными

Облачное решение

ключевые возможности

Наши решения

Быстрый старт

Готовая архитектура для запуска ИСПДн под УЗ 2-4 в срок от 2 часов

оптимизация затрат

Низкие единовременные затраты и стоимость владения ИСПДн

Высокая надежность

Облачная платформа на базе ЦОД TIER III; SLA до 99,95%

Защита данных

Контроль доступа к данным на виртуальном и физическом уровне

Экспертиза

Более 20 лет в ИТ-отрасли, лицензии ФСТЭК и ФСБ

ДокументЫ

Заключения и аттестаты, подтверждающие соответствие требованиям 152-ФЗ

Кейсы наших клиентов

Клиент:

БЭСТ, оператор системы денежных переводов и платежей.

Бизнес-вызов

Компания столкнулась с проблемой постоянного флага BGP-сессии с оборудованием Linxdatacenter. После изучения проблемы стало ясно, что на один из хостов в его сети происходила DDoS-атака.

Из-за распределенного характера атаки отфильтровать трафик было невозможно. Инженеры предложили решение, связанное с сокрытием хоста от внешней сети, но этот вариант не подходил заказчику. Атака прекратилась после внесения изменений в конфигурацию сервера, однако возобновилась на следующий день. Ее мощность достигла 5,5 Гбит/с, из-за чего перегружались «стыки» с интернет-провайдерами, что сказывалось на других пользователях облака Linxdatacenter. Чтобы обеспечить стабильную работу, было решено обратиться к надежному поставщику защиты от DDoS.

Решение

Чтобы обеспечить непрерывную доступность ресурсов, размещенных в облаке Linxdatacenter, весь трафик клиента был направлен через систему antiDDoS от StormWall. Атаку удалось погасить в течение получаса. Для предотвращения дальнейших кибератак все соединения сервисов клиента с интернетом были организованы через сеть StormWall.

Клиент:

Крупная международная компания, разработчик ИТ-решения для траспортировки и мониторинга лекарственных препаратов

Бизнес-вызов

Для выполнения требований российского законодательства клиенту требовался виртуальный сервер и сопутствующее сетевое окружение в России.

Решение

Linxdatacenter создал две идентичные географически распределенные локации ИТ-ресурсов компании в облачных платформах на площадках дата-центров в Москве и Санкт-Петербурге. Инфраструктура на обеих площадках основана на технологиях VMware и состоит из двух сегментов: продуктивная среда и среда разработки.

В соответствии с требованиями российского законодательства, криптографическая защита была обеспечена продуктами отечественного разработчика ИБ-решений. Также было организовано подключение к системам клиента, размещенным в инфраструктуре Amazon Web Services.

Описание решения

Инфраструктура как услуга (IaaS)

Собственные дата-центры уровня Tier III в Санкт-Петербурге и Москве
Отказоустойчивость на уровне 99,982% и полное резервирование компонентов инфраструктуры
Оборудование и ПО от надежных вендоров: VMware, NetApp, Cisco
Соответствие техническим требованиям ФСТЭК, стандартам ISO 27001, ISO 9001, ISO 22301 и PCI DSS

Безопасность как услуга (SECaaS)

Аудит ИТ-инфраструктуры, разработка документации и подбор необходимых средств защиты
Межсетевой экран и криптошлюз
ГОСТ-VPN
Средства защиты от DDoS
Сканер уязвимостей
Антивирусная защита

что вы получаете

Вычислительные мощности и дисковое пространство в облаке
Заключение или аттестат соответствия требованиям 152-ФЗ, выданный лицензиатом ФСТЭК
Поручение на обработку персональных данных для предоставления в Роскомнадзор
Средства информационной безопасности по схеме аренды
Финансовые гарантии

Защищенное облако
152-ФЗ - схема решения

на базе оборудования Cisco, IBM и EMC

Linx Cloud Connect

Защищенное облако 152-ФЗ

Аудит соответствия 152-ФЗ

Решение актуально для вас, если

ваши Преимущества

Определение и снижение рисков, связанных с ПДн

Индивидуальный план совершенствования ИСПДн с учетом специфики бизнеса клиента

Повышение надежности информационных систем клиента

Готовность к проверке со стороны регулятора

Описание решения

Этапы

1 Интервью

Глубинные интервью с сотрудниками компании, принимающими участие в работе с ПДн

2 Документация

Анализ документации, определяющей порядок обработки и хранения ПДн

3 Технические параметры

Сбор и анализ информации о технических параметрах ИСПДн

4 Поиск уязвимостей

Анализ защищенности ИСПДн с использованием программных и аппаратных сканеров безопасности

5 Рекомендации

Подготовка рекомендаций по совершенствованию ИСПДн и бизнес-процессов и минимизации рисков

Вы получаете

Детальный отчет о соответствии обработки и защиты персональных данных требованиям закона

Перечень конкретных шагов для организации обработки персональных данных в соответствии с 152-ФЗ и современными стандартами информационной безопасности

Вы спрашивали, мы отвечаем

Любую информацию о человеке — от имени и контактных данных до гендера, веры и мнений по любому поводу. Закон касается как клиентов, так и сотрудников. Если вы работаете с людьми, вы почти наверняка попадаете под действие закона.

152-ФЗ требует от компаний, которые хранят персональные данные, обеспечить их защиту на физическом и виртуальном уровне. Самостоятельно обслуживать инфраструктуру, которая отвечает законодательству — сложно. Данные должны находиться в России, доступ к серверам ограничен, а для защиты необходимо использовать антивирусы и софт, сертифицированный ФСТЭК.

Операторами персональных данных в рамках 152-ФЗ являются все, кто обрабатывает любую информацию о частных лицах. Достаточно вести кадровый учет, пользоваться CRM или следить за статистикой посещения сайта по счётчикам Яндекса и Google.

Чаще всего объектами проверок исполнения ФЗ-152 становятся организации из сфер финансовых услуг, здравоохранения, образования, гостеприимства телекоммуникаций, рекламы, ритейла.

В контексте ФЗ-152 системами обработки персональных ланных могут быть бизнес-приложения, почтовые системы, службы каталогов (например, Microsoft Active Directory, Novell eDirectory) и другое широко используемое ПО.

Закон требует от работающих в России компаний локализовать базы с данными пользователей, настроить бизнес-процессы, разработать внутренние регламенты и использовать технические решения для защиты персональных данных.

В зависимости от того, какие персональные данные обрабатывает оператор, и в каком объеме, закон предъявляет разные требования к уровню защищенности. Эти уровни подробно описаны в п. 8 постановления Правительства РФ № 1119 от 1 ноября 2012 года.

Для компаний, работающих с большим объемом персональных данных, критичны риски, связанные с несанкционированным доступом, потерей данных и, как следствие, утратой деловой репутации.

Недоработки в информационной системе персональных данных, бизнес-процессах и документации, регламентирующей работу с ПДн, могут привести к претензиям со стороны регулирующих органов и повлечь штрафы.

Аудит поможет получить наглядную и объективную оценку соответствия 152-ФЗ, определить проблемные зоны и внести необходимые изменения. Документация, разработанная по итогам аудита, и принятые в соответствии с ней меры, обеспечат полную юридическую чистоту обработки персональных данных.

Если вы заказываете услугу в Linxdatacenter, часть задач мы берем на себя. Дата-центры в Москве и Санкт-Петербурге находятся под круглосуточной охраной. Вы можете использовать наши облачные сервисы для своих проектов или заказать аудит своей инфраструктуры на соответствие 152-ФЗ. Вместе с отчетом мы подготовим рекомендации по выбору средств для защиты. Цена зависит от выбранной услуги.

Регуляторами выступают Роскомнадзор, ФСБ и ФСТЭК. В первую очередь, проверками занимается именно РКН. Как правило, ведомство озабочено соответствием порядка и безопасности обработки персональных данных требованиям закона.

Нарушения 152-ФЗ могут повлечь за собой все виды ответственности: гражданскую, дисциплинарную, административную и уголовную.

Дисциплинарная ответственность по ТК РФ вплоть до компенсации прямого ущерба предусмотрена для лиц, ответственных за обработку персональных данных.

ГК РФ позволяет гражданину требовать от организации компенсацию если из-за нарушений правил работы с персональными данными ему был нанесен моральный или имущественный ущерб.

В зависимости от состава правонарушения, административная ответственность за нарушение закона о персональных данных составляет до 100 тысяч рублей для физлиц, до 800 тысяч для должностных лиц, до 20 тысяч рублей для ИП и до 18 млн рублей для организаций.

Уголовная ответственность за нарушение закона о персональных данных может квалифицироваться по ряду статей, которые предусматривают наказание вплоть до лишения свободы на срок до 4 лет.

Нарушение закона о персональных данных может привести к включению организации в реестр нарушителей, сайты которых блокируются операторами связи по требованию Роскомнадзора.

Нет. По закону, оператор может поручить работу с персональными данными третьим лицам — обработчикам, но их ответственность ограничена договором с оператором. Оператор определяет цели и порядок обработки персональных данных, поэтому он и несет ответственность перед государством и субъектами персональных данных.

При размещении обработки персональных данных в облаке по модели Infrastructure as a Service (IaaS), зоны ответственности оператора и обработчика можно четко разграничить:

Обработчик отвечает за аппаратное и программное обеспечение вплоть до уровня гипервизора.

Все, что выше — виртуальные машины, установленные на них операционные системы и приложения — это зона ответственности оператора.

По умолчанию обработчик сам отвечает за информационную безопасность, но может передать задачи по ее обеспечению обработчику по модели Security as a Service (SaaS). Примером таких сервисов могут быть антивирусная защита, межсетевое экранирование, VPN и т. д.

Защищенное облако и аудит 152-ФЗ

Облачное решение

ключевые возможности

Наши решения

Быстрый старт

оптимизация затрат

Высокая надежность

Защита данных

Экспертиза

ДокументЫ

Кейсы наших клиентов

Описание решения

Инфраструктура как услуга (IaaS)

Безопасность как услуга (SECaaS)

что вы получаете

Защищенное облако
152-ФЗ - схема решения

Linx Cloud Connect

Аудит соответствия 152-ФЗ

Решение актуально для вас, если

ваши Преимущества

Определение и снижение рисков, связанных с ПДн

Повышение надежности информационных систем клиента

Описание решения

Этапы

1 Интервью

2 Документация

3 Технические параметры

4 Поиск уязвимостей

5 Рекомендации

Вы получаете

Вы спрашивали, мы отвечаем

получите коммерческое предложение

Лицензии и сертификаты

Защищенное облако и аудит 152-ФЗ

Облачное решение

ключевые возможности

Наши решения

Быстрый старт

оптимизация затрат

Высокая надежность

Защита данных

Экспертиза

ДокументЫ

Кейсы наших клиентов

Описание решения

Инфраструктура как услуга (IaaS)

Безопасность как услуга (SECaaS)

что вы получаете

Защищенное облако152-ФЗ - схема решения

Linx Cloud Connect

Аудит соответствия 152-ФЗ

Решение актуально для вас, если

ваши Преимущества

Определение и снижение рисков, связанных с ПДн

Повышение надежности информационных систем клиента

Описание решения

Этапы

1 Интервью

2 Документация

3 Технические параметры

4 Поиск уязвимостей

5 Рекомендации

Вы получаете

Вы спрашивали, мы отвечаем​

получите коммерческое предложение

Лицензии и сертификаты

Защищенное облако
152-ФЗ - схема решения

Вы спрашивали, мы отвечаем