HRM

от 8500 руб.

HCM-платформа

для автоматизации HR

IaaS

По

Облако VMware/Брест

ФЗ-152, SLA 99,99%

IaaS

По запросу

По вашим правилам

Dedicated, SaaS/PaaS

ВКС

Стоимость по запросу

Тариф IVA MCU

IBP

По запросу

Цифровая система

SCP и IBP

Low-code

По запросу

Автоматизация процессов

с AMBER BPM

Корпоративные мессенджеры

От 200 руб/мес

Передовое

решение

Kubernetes

По запрос

Платформа

контейнеризации

Корпоративные мессенджеры

Стоимость по запросу

Тариф IVA One

Корпоративный портал

от 500 000 руб.

Российское решение

аналог Microsoft Sharepoint

CRM

По запросу

B2B-CRM

для корпоративных продаж

BPM

от 12 000 руб/год

Цифровые процессы

с комфортом для людей

IaaS

от 249,95 руб.

Для любых задач

Оплата pay-as-you-go

IBP

По запросу

Интеллектуальная

платформа планирования

IBP

по запросу

Универсальная CPM/EPM

self-service платформа

  • IaaS

    По

    Облако VMware/Брест

    ФЗ-152, SLA 99,99%

  • IaaS

    По запросу

    По вашим правилам

    Dedicated, SaaS/PaaS

  • ВКС

    Стоимость по запросу

    Тариф IVA MCU

  • IBP

    По запросу

    Цифровая система

    SCP и IBP

  • Low-code

    По запросу

    Автоматизация процессов

    с AMBER BPM

  • Корпоративные мессенджеры

    От 200 руб/мес

    Передовое

    решение

  • Kubernetes

    По запрос

    Платформа

    контейнеризации

  • Корпоративные мессенджеры

    Стоимость по запросу

    Тариф IVA One

  • Корпоративный портал

    от 500 000 руб.

    Российское решение

    аналог Microsoft Sharepoint

IaaS

По запросу

ФЗ-187, КЗ-1 ФЗ-152

УЗ-1, ГОСТ 57580.1

Kubernetes

от 5.51 руб/час

Kubernetes as a Service

Отказоустойчивые кластеры, быстрый запуск, удобное управление

CRM

по запросу

Мощная CRM/ERP

для серьезного бизнеса

DBaaS

От 3,98 руб./час

№1 в рейтинге DBaaS

SLA 99,95%, 152-ФЗ, PCI DSS

BI

По запросу

Visary BI

Облачная аналитика

CRM

По запросу

ПО для управления

взаимоотношениями с клиентами

ВКС

от 250 руб/мес

Платформа корпоративных

коммуникаций

IBP

По запросу

Высокая скорость

принятия решений

Kubernetes

От 5,95 руб / час

№1 в рейтинге провайдеров

SLA 99,98%, 152-ФЗ

BPM

17 000 руб On-Prem

Low-code BPM

для комплексной автоматизации

СЭД

17 000 руб On-Prem

Цифровая трансформация

с ELMA365

IaaS

от 490руб./мес

VMware / ПО РФ

SLA 99,95% Pay-as-you-go

Low-code

от 833 руб.

Цифровая трансформация

с ELMA365

Корпоративные мессенджеры

от 250 руб/мес

Защищенная платформа

коммуникаций

Осторожно: какие провайдеры IaaS до сих пор не имеют сертификат по 152-ФЗ

Безопасность Бизнес Телеком Интернет Цифровизация ИТ в банках ИТ в госсекторе Ритейл Облака Маркет

За последние несколько десятилетий человеческая обыденность претерпела массу изменений. К примеру, мало осталось тех, кто мыслит свое существование без использования всемирной сети. Для кого-то мировая информационная паутина становится способом проведения своего досуга, для других она заменяет традиционные методы образования, третьим же интернет становится источником дохода.

Одно можно сказать точно — вне зависимости от того, с какой целью человек привлекает в свой быт веб-ресурсы, ему приходится подвергать повышенной опасности свои личные идентифицирующие данные. Само собой этот аспект не мог быть пропущен мимо глаз законодательных органов, которыми был разработан и внедрен в обиход федеральный закон №152. В его нюансах постараемся разобраться ниже.

Узнать, кто из облачных провайдеров сертифицирован по №152-ФЗ

Как появился № 152-ФЗ

Для того, чтобы рассмотреть федеральный закон № 152-ФЗ, в первую очередь стоит изучить истоки правовой защиты персональных данных. Прообраз современного постулата зародился в 1981 г., когда Советом Европы была опубликована первая редакция конвенции о защите персональных данных.

iaas800.jpg
Вне зависимости от того, с какой целью человек привлекает в свой быт веб-ресурсы, ему приходится подвергать опасности свои данные. Фото: ru.depositphotos.com

На тот момент документ должен был оберегать граждан от использования их персональных данных в коммерческих целях. Согласно требованиям Всемирной Торговой Организации, каждая страна, желающая вступить в оную, обязана подписать конвенцию. Российская Федерация пошла на этот шаг только 7 ноября 2001 г. В силу же международный закон вступил в марте 2002 г.

Однако для полноценного функционирования постулатов Совета Европы требовалось наличие у страны собственного закона о защите персональных данных. Формально любые операции по обработке личной информации, выполненные до появления № 152-ФЗ, могли быть признанными незаконными, согласно международной конвенции (подобных прецедентов не было).

Описываемый закон был принят 27 июля 2006 г. Он собрал в себе все основные организационные меры по контролю и обработке персональных данных, во главе был поставлен Роскомнадзор. При этом за технические аспекты защиты носителей и информации отвечали и отвечают по сей день ФСБ и ФСТЭК.

История развития №152-ФЗ

Редко какой закон в своей первоначальной форме способен удовлетворить всем поставленным перед ним требованиям. Такой тонкий инструмент требует многократной проверки и «подстройки». В результате статьи меняют свои формулировки, дополняются уточнениями. В некоторых случаях спустя несколько редакций документ может в отдельных пунктах противоречить своему аналогу, вышедшему всего несколькими годами ранее.

Самыми впечатляющими требованиями, описанными в сводках первой редакции 2006 г., были пункты о том, что перед обработкой персональных данных оператор должен заполучить разрешение гражданина с наличием рукописной подписи на нем. Помимо этого, хранитель базы данных обязан был удалить всю личную информацию в случае требования клиента в течение 3-х дней. Также не допускалось хранение каких бы то ни было гражданских данных, если потребность в них не была актуальна. Все уничтожалось после проведения заказанных операций.

Оценив всего несколько пунктов, не нашедших себе место в современной редакции, можно сразу заметить, что первоначальный закон был больше ориентирован на защиту клиента. В то же время, подобный «щепетильный» подход мог сильно снизить скорость проведения большинства операций.

Само собой благо для граждан не могло не отразиться на самочувствии операторов персональных данных. Дело в том, что требования к системам защиты были завышены. Закон стал подразумевать обязательную сертификацию средств хранения баз данных. Особо жесткие требования выдвигались к сохранности специальных типов информации, к которым относятся сведения про политические, религиозные взгляды, состояние здоровья и сексуальную ориентацию (этот список был утвержден еще в конвенции, составленной Европейским Союзом).

Главная сложность для операторов заключалась в том, что ФСБ предложило использовать для безопасности специальных типов методы, идентичные алгоритмам шифрования и защиты государственной тайны. Даже сам список требований был помечен грифом ДСП (для служебного пользования). Для того чтобы осознать всю глубину вопроса, достаточно знать, что в предписаниях, помимо общего, учитывались возможности утечки информации по нетехническим каналам (звуковые волны, электромагнитные поля, визуальная информация).

Ввиду высоких требований всем компаниям дали срок до 1 января 2010 г. До назначенной даты системы хранения баз данных должны были быть обновлены до необходимого уровня. До этого никакие проверки на соответствие не проводились. Впоследствии государство дало еще 1 год на поднятие защитных систем до нужного уровня. При этом были внесены изменения, предусматривающие снятие ряда обременений с операторов.

Сертификация на выполнение требований №152-ФЗ

Среди органов, контролирующих закон о персональных данных, наибольшую активность проявляет Роскомнадзор. Он реализует около 10000 проверок в год. Для сравнения ФСБ и ФТЭК в сумме выполняют не более 100 аудитов, при этом их внимание, как правило, падает на государственные предприятия.

В наказание за невыполнение требований № 152-ФЗ предусмотрен целый набор карающих инструментов. По результатам контролирующих мероприятий у фирмы могут изымать лицензию на работу с персональными данными, блокировать сайт, дисквалифицировать управляющие должности и накладывать штрафы от ₽20 000 на должностное лицо и от ₽300 000 на организацию.

Кто из провайдеров IaaS получил сертификат по № 152-ФЗ. Список

Один из способов избежать внеплановые проверки — получение сертификата (№ РОСС RU.З1912.04ВРК0). Процесс сертификации добровольный и проводится Ассоциацией Специалистов по Безопасности (АСБ). Данная процедура является хорошим помощником на пути выявления несоответствия закону №152. Найдя и оперативно устранив все слабые стороны, можно избежать штрафов и прочих наказаний.

Компании, желающей провести добровольную сертификацию, необходимо:

  1. Подать заявку на аудит;
  2. Оплатить услуги и заключить договор на сертификацию;
  3. Пройти процедуру;
  4. Получить ряд документов, подтверждающих соответствие требованиям № 152-ФЗ.

Сам процесс сертификации состоит из следующих процедур:

  • Уведомление Роскомнадзора о выполнении тестирования;
  • Проверка наличия и соответствия требованиям организационно-распорядительной документации;
  • Мониторинг алгоритма работы с персональными данными;
  • Оценка организационной и технической защиты в информационных системах;
  • Уточнение расположения физических носителей с личной информацией клиентов (по условиям № 152-ФЗ, они должны находиться на территории РФ);
  • Контроль всех операторов сертифицируемой организации на предмет их регистрации в базе Роскомнадзора и наличие прецедентов по нарушению № 152-ФЗ.

По завершении сертификации организация получает документ, действующий 3 года и подтверждающий соответствие всех принимаемых мер по защите персональных данных согласно № 152-ФЗ.

Дополнительно фирма обязуется проводить периодические самостоятельные аудиты, с этой целью в штате назначают и обучают двоих сотрудников, которые, в свою очередь, оформляют сертификат компетентности. Кроме того, подразумевается ежегодный контроль специалистами АСБ, стоимость которого обсуждается перед заключением договора.

Короткая ссылка