Low-code

от 667 руб.

Цифровая трансформация

с ELMA365

Kubernetes

По запрос

Платформа

контейнеризации

IaaS

По

Облако VMware/Брест

ФЗ-152, SLA 99,99%

Корпоративные мессенджеры

от 250 руб/мес

Защищенная платформа

коммуникаций

HRM

от 8500 руб.

HCM-платформа

для автоматизации HR

IaaS

от 490руб./мес

VMware / ПО РФ

SLA 99,95% Pay-as-you-go

IBP

По запросу

Цифровая система

SCP и IBP

IBP

По запросу

Высокая скорость

принятия решений

IBP

по запросу

Универсальная CPM/EPM

self-service платформа

BI

По запросу

Visary BI

Облачная аналитика

IBP

По запросу

Интеллектуальная

платформа планирования

IaaS

По запросу

По вашим правилам

Dedicated, SaaS/PaaS

  • Kubernetes

    По запрос

    Платформа

    контейнеризации

  • IaaS

    По

    Облако VMware/Брест

    ФЗ-152, SLA 99,99%

  • Корпоративные мессенджеры

    от 250 руб/мес

    Защищенная платформа

    коммуникаций

  • HRM

    от 8500 руб.

    HCM-платформа

    для автоматизации HR

  • IaaS

    от 490руб./мес

    VMware / ПО РФ

    SLA 99,95% Pay-as-you-go

  • IBP

    По запросу

    Цифровая система

    SCP и IBP

  • IBP

    По запросу

    Высокая скорость

    принятия решений

  • IBP

    по запросу

    Универсальная CPM/EPM

    self-service платформа

  • BI

    По запросу

    Visary BI

    Облачная аналитика

ВКС

от 250 руб/мес

Платформа корпоративных

коммуникаций

Корпоративные мессенджеры

От 200 руб/мес

Передовое

решение

CRM

По запросу

B2B-CRM

для корпоративных продаж

BPM

от 12 000 руб/год

Цифровые процессы

с комфортом для людей

Low-code

По запросу

Автоматизация процессов

с AMBER BPM

IP-телефония

от 0 руб.

Продуманная связь

для вашего бизнеса

Kubernetes

От 5,95 руб / час

№1 в рейтинге провайдеров

SLA 99,98%, 152-ФЗ

CRM

По запросу

ПО для управления

взаимоотношениями с клиентами

DBaaS

От 3,98 руб./час

№1 в рейтинге DBaaS

SLA 99,95%, 152-ФЗ, PCI DSS

IaaS

По запросу

ФЗ-187, КЗ-1 ФЗ-152

УЗ-1, ГОСТ 57580.1

IaaS

от 249,95 руб.

Для любых задач

Оплата pay-as-you-go

Осторожно: какие провайдеры IaaS до сих пор не имеют сертификат по 152-ФЗ

Безопасность Бизнес Телеком Интернет Цифровизация ИТ в банках ИТ в госсекторе Ритейл Облака Маркет

За последние несколько десятилетий человеческая обыденность претерпела массу изменений. К примеру, мало осталось тех, кто мыслит свое существование без использования всемирной сети. Для кого-то мировая информационная паутина становится способом проведения своего досуга, для других она заменяет традиционные методы образования, третьим же интернет становится источником дохода.

Одно можно сказать точно — вне зависимости от того, с какой целью человек привлекает в свой быт веб-ресурсы, ему приходится подвергать повышенной опасности свои личные идентифицирующие данные. Само собой этот аспект не мог быть пропущен мимо глаз законодательных органов, которыми был разработан и внедрен в обиход федеральный закон №152. В его нюансах постараемся разобраться ниже.

Узнать, кто из облачных провайдеров сертифицирован по №152-ФЗ

Как появился № 152-ФЗ

Для того, чтобы рассмотреть федеральный закон № 152-ФЗ, в первую очередь стоит изучить истоки правовой защиты персональных данных. Прообраз современного постулата зародился в 1981 г., когда Советом Европы была опубликована первая редакция конвенции о защите персональных данных.

iaas800.jpg
Вне зависимости от того, с какой целью человек привлекает в свой быт веб-ресурсы, ему приходится подвергать опасности свои данные. Фото: ru.depositphotos.com

На тот момент документ должен был оберегать граждан от использования их персональных данных в коммерческих целях. Согласно требованиям Всемирной Торговой Организации, каждая страна, желающая вступить в оную, обязана подписать конвенцию. Российская Федерация пошла на этот шаг только 7 ноября 2001 г. В силу же международный закон вступил в марте 2002 г.

Однако для полноценного функционирования постулатов Совета Европы требовалось наличие у страны собственного закона о защите персональных данных. Формально любые операции по обработке личной информации, выполненные до появления № 152-ФЗ, могли быть признанными незаконными, согласно международной конвенции (подобных прецедентов не было).

Описываемый закон был принят 27 июля 2006 г. Он собрал в себе все основные организационные меры по контролю и обработке персональных данных, во главе был поставлен Роскомнадзор. При этом за технические аспекты защиты носителей и информации отвечали и отвечают по сей день ФСБ и ФСТЭК.

История развития №152-ФЗ

Редко какой закон в своей первоначальной форме способен удовлетворить всем поставленным перед ним требованиям. Такой тонкий инструмент требует многократной проверки и «подстройки». В результате статьи меняют свои формулировки, дополняются уточнениями. В некоторых случаях спустя несколько редакций документ может в отдельных пунктах противоречить своему аналогу, вышедшему всего несколькими годами ранее.

Самыми впечатляющими требованиями, описанными в сводках первой редакции 2006 г., были пункты о том, что перед обработкой персональных данных оператор должен заполучить разрешение гражданина с наличием рукописной подписи на нем. Помимо этого, хранитель базы данных обязан был удалить всю личную информацию в случае требования клиента в течение 3-х дней. Также не допускалось хранение каких бы то ни было гражданских данных, если потребность в них не была актуальна. Все уничтожалось после проведения заказанных операций.

Оценив всего несколько пунктов, не нашедших себе место в современной редакции, можно сразу заметить, что первоначальный закон был больше ориентирован на защиту клиента. В то же время, подобный «щепетильный» подход мог сильно снизить скорость проведения большинства операций.

Само собой благо для граждан не могло не отразиться на самочувствии операторов персональных данных. Дело в том, что требования к системам защиты были завышены. Закон стал подразумевать обязательную сертификацию средств хранения баз данных. Особо жесткие требования выдвигались к сохранности специальных типов информации, к которым относятся сведения про политические, религиозные взгляды, состояние здоровья и сексуальную ориентацию (этот список был утвержден еще в конвенции, составленной Европейским Союзом).

Главная сложность для операторов заключалась в том, что ФСБ предложило использовать для безопасности специальных типов методы, идентичные алгоритмам шифрования и защиты государственной тайны. Даже сам список требований был помечен грифом ДСП (для служебного пользования). Для того чтобы осознать всю глубину вопроса, достаточно знать, что в предписаниях, помимо общего, учитывались возможности утечки информации по нетехническим каналам (звуковые волны, электромагнитные поля, визуальная информация).

Ввиду высоких требований всем компаниям дали срок до 1 января 2010 г. До назначенной даты системы хранения баз данных должны были быть обновлены до необходимого уровня. До этого никакие проверки на соответствие не проводились. Впоследствии государство дало еще 1 год на поднятие защитных систем до нужного уровня. При этом были внесены изменения, предусматривающие снятие ряда обременений с операторов.

Сертификация на выполнение требований №152-ФЗ

Среди органов, контролирующих закон о персональных данных, наибольшую активность проявляет Роскомнадзор. Он реализует около 10000 проверок в год. Для сравнения ФСБ и ФТЭК в сумме выполняют не более 100 аудитов, при этом их внимание, как правило, падает на государственные предприятия.

В наказание за невыполнение требований № 152-ФЗ предусмотрен целый набор карающих инструментов. По результатам контролирующих мероприятий у фирмы могут изымать лицензию на работу с персональными данными, блокировать сайт, дисквалифицировать управляющие должности и накладывать штрафы от ₽20 000 на должностное лицо и от ₽300 000 на организацию.

Кто из провайдеров IaaS получил сертификат по № 152-ФЗ. Список

Один из способов избежать внеплановые проверки — получение сертификата (№ РОСС RU.З1912.04ВРК0). Процесс сертификации добровольный и проводится Ассоциацией Специалистов по Безопасности (АСБ). Данная процедура является хорошим помощником на пути выявления несоответствия закону №152. Найдя и оперативно устранив все слабые стороны, можно избежать штрафов и прочих наказаний.

Компании, желающей провести добровольную сертификацию, необходимо:

  1. Подать заявку на аудит;
  2. Оплатить услуги и заключить договор на сертификацию;
  3. Пройти процедуру;
  4. Получить ряд документов, подтверждающих соответствие требованиям № 152-ФЗ.

Сам процесс сертификации состоит из следующих процедур:

  • Уведомление Роскомнадзора о выполнении тестирования;
  • Проверка наличия и соответствия требованиям организационно-распорядительной документации;
  • Мониторинг алгоритма работы с персональными данными;
  • Оценка организационной и технической защиты в информационных системах;
  • Уточнение расположения физических носителей с личной информацией клиентов (по условиям № 152-ФЗ, они должны находиться на территории РФ);
  • Контроль всех операторов сертифицируемой организации на предмет их регистрации в базе Роскомнадзора и наличие прецедентов по нарушению № 152-ФЗ.

По завершении сертификации организация получает документ, действующий 3 года и подтверждающий соответствие всех принимаемых мер по защите персональных данных согласно № 152-ФЗ.

Дополнительно фирма обязуется проводить периодические самостоятельные аудиты, с этой целью в штате назначают и обучают двоих сотрудников, которые, в свою очередь, оформляют сертификат компетентности. Кроме того, подразумевается ежегодный контроль специалистами АСБ, стоимость которого обсуждается перед заключением договора.

Короткая ссылка