телевизори. Конзоли. Проектори и аксесоари. Технологии. Цифрова телевизия

Правилен хостинг за ispdn. Защо сървърите на повечето облачни доставчици не са подходящи за обработка на лични данни? Приложение за ispdn в облака Редица мерки за гарантиране на сигурността на личните данни изискват хостинг доставчикът да има FSB лиценз

Тъй като сървърът не се намира във вашия дом, вие нямате достъп до него и със сигурност не можете да повлияете по никакъв начин на политиката на центъра за данни, просто нямате възможност да изпълните редица законови изисквания. Остава само едно, да намерите хостинг, който отговаря на изискванията на закона.

Сега не съм Beget, написах им писмо относно техния FSTEC лиценз за защита конфиденциална информация. Отговориха мъгляво, че не съм аз и къщата не е моя, ние сме само тези и общо взето не трябва... Да обобщим, те нямат лиценз, което означава общо взето, сайт, който събира лични данни, не може да се съхранява там. Сърфирах в интернет (все още не много) и досега намерих само RU-CENTER с лиценз.

Лиценз за дейности по разработване и (или) производство на средства за защита на поверителна информация
ЛИЦЕНЗ № 0917 от 20.09.2011г

Лиценз за работа техническа защитаконфиденциална информация
ЛИЦЕНЗ № 1594 от 20.09.2011г
Носител на авторските права: Акционерно дружество "Регионален мрежов информационен център"
Срок на валидност на лиценза: неограничен

Хостинг на поверителна информация в RU-CENTER

На 6 март 2012 г. RU-CENTER започва да предоставя нова услуга - хостинг на поверителна информация.
Хостинг на поверителна информация е поставянето на уебсайт в интернет с помощта на допълнителни мерки за защита на информацията.
Тази услуга ще ви позволи да изпълните редица задължителни изисквания на действащото законодателство (Закон N 152-FZ), които се представят при обработката на лични данни.
В допълнение към основните методи за защита на данните и съхранение на информация, използвани в други услуги на RU-CENTER, хостингът на поверителна информация предлага:

  • специализирано сертифицирано оборудване, което позволява редица действия за защита на информацията при достъп до мрежата;
  • допълнително ограничаване на физическия достъп до оборудването, на което се предоставя услугата;
  • ежедневно архивиране(2 екземпляра);
  • отчитане на използваните физически носители;
  • MySQL, предназначен за всяка услуга.
Основни потребители нова услуга- малък и среден бизнес, онлайн магазини, форуми, системи маркетингово проучванеи много други интернет ресурси, които при обработката и съхраняването на лични данни на потребителите трябва да отговарят на изискванията на законодателството на Руската федерация (Закон N 152-FZ).

Истинският въпрос е какво е качеството им?
И ако някой намери други хостери с лиценз на FSTEC за защита на поверителна информация, да го публикува в тази тема.

След влизането в сила на клауза 4, част 2, член 19 от Федералния закон от 27 юли 2006 г. № 152-FZ „За личните данни“, всяко предприятие е длъжно да въведе своите информационни системи и процеси, свързани с обработката на лични данни в съответствие с изискванията на законодателството на Руската федерация.

Какво означава това за юридическите лица?

Организациите са длъжни да осигурят защита на правата и свободите на хората и гражданите при обработване на техните лични данни, включително защита на правата на неприкосновеност поверителност, лични и семейни тайни. Така те стават „организации на оператори на лични данни“. Федералната служба за надзор на комуникациите ще следи за спазването на изискванията на законодателството. информационни технологиии масови комуникации (Roskomnadzor), FSTEC и FSB на Русия.

Федералният закон се прилага за компании от всякаква организационна форма - това включва държавни органи, федерален и общински институции: банки, застрахователни компании, медицински институции, телеком оператори, онлайн магазини, търговски вериги, производствени компании и други организации, обработващи лични данни, получени от служители, клиенти и други лица и юридически лица.

Отговорностите на експлоатационната организация включват:

  • гарантиране на законосъобразността на обработката на лични данни;
  • изграждане на система за защита на личните данни в съответствие с изискванията на FSTEC и FSB на Русия;
  • изпращане на уведомление до Roskomnadzor;
  • разработване на вътрешна документация;
  • провеждане на сертификационни тестове или оценка на съответствието;
  • системно актуализиране на системата за защита на личните данни.

Често това се оказва трудна и скъпа задача, включително и поради необходимостта от получаване на документ, потвърждаващ ефективността на предприетите мерки за защита на личните данни. Ето защо повечето компании предпочитат да оптимизират този процес, като търсят надежден партньор с готово решение във външна виртуална инфраструктура.

За да гарантираме, че всички юридически лица в Русия спазват един и същ закон Федерален закон-152, ние - хостинг сайт в сътрудничество с компанията WELLSERVICE - предлагаме по-евтино и отнемащо време решение: прехвърляне на системи за съхранение и обработка на лични данни към защитена облачна система, която наричаме „ISPDn в облака“

Сървъри за информационни системи за лични данни (PDIS) се предоставят на всички компании, намиращи се на територията и които са местни лица Руска федерация.

Какво е „ISPDn в облака“?

Продуктът “ISPDn в облака” е отделен защитен виртуален сървър, на избраната от вас тарифа и напълно отговаря на изискванията на Федерален закон-152.

Всеки „ISPDn в облака“ е напълно изолиран обект. Това означава, че достъпът до вашия ISPD от хостинг доставчика е блокиран чрез сертифицирани продуктизащита и абсолютно поверително!

Поверителността на обработваната информация се постига чрез:

  • Достъпът до данните, намиращи се на „ISPDn в облака“, е ограничен при използване сертифицирани от FSTECРуски средства за защита срещу неоторизиран достъп (NAD) и използване на функциите на хипервизор на виртуална машина (което е част от сертифициран инструмент за защита).
  • Данни, предавани по комуникационни канали от терминала на организацията-оператор на лични данни към мрежовия интерфейс виртуална машина, са криптирани с помощта на средства за криптографска защита на информацията (CIPF), сертифицирани от FSB на Русия. Дисковите изображения на виртуални машини също са криптирани с помощта на CIPF.
  • Нито един от центровете за данни няма ключове за достъп до съоръженията на CIPF, разположени във виртуалната машина на клиента. Така, например, за изтегляне операционна системана VPS, клиентът самостоятелно въвежда паролата за крипто контейнера, съдържащ системния дял. Тази процедура се изпълнява с помощта на програма за зареждане на операционна система, специално разработена от нашата компания на виртуална машина. В същото време ключовете за достъп могат да бъдат регенерирани от потребителя на виртуалната машина независимо по всяко време и криптоконтейнерът може да бъде съответно повторно криптиран.
  • Наличността и целостта на обработваната информация се осигурява чрез използването на запазени комуникационни канали, надеждни системи за съхранение на данни, охлаждащи устройства и непрекъсваемо захранване. Наши партньори са най-добрите центрове за данни в Русия: Miran, IXCellerate, KIAEHOUSE.

Какво дава ISPDn в облака на компаниите в Русия?

Проста процедура:ние ще поемем целия комплекс от организационни, правни и техническа работа- разработване на модел на заплаха за сигурността, концепция за система за защита, методика за сертифициране, директно сертификационно изпитване и издаване на сертификат за съответствие. Избирайки нашия продукт „ISPDn в облака“, НЕ Е НУЖНО ДА ПОЛУЧАВАТЕ СЪГЛАСИЕТО НА СУБЕКТИТЕ НА ЛИЧНИ ДАННИ, когато ги събирате.

Значителни спестявания:нашият продукт освобождава компанията клиент от разходите за създаване и притежаване на сигурна ИТ инфраструктура за съхранение, обработка и защита на лични данни. Освен това хостингът на ISPD в облака се предоставя като услуга; компанията клиент няма капиталови разходи.

Нашите предимства:

  • защитената система „ISPDn в облака“ е преминала всички необходими сертификации като напълно отговаряща на всички изисквания на законодателството на Руската федерация в областта на личните данни;
  • пълно съответствие с изискванията на FSTEC и FSB на Русия на всички хардуерни, софтуерни и мрежови елементи на системата;
  • няма да е необходимо да получавате съгласието на субектите на лични данни, когато ги събирате;
  • консултации и поддръжка на всички етапи от внедряването и работата с продукта.
  • пълен пакет от организационни, административни и нормативни документи;
  • няма капиталови разходи.

Какъв е процесът на предоставяне на услугата?


1

Регистрация на представител на компанията клиент на нашия уебсайт и последващо попълване на формуляр за кандидатстване за услугата „ISPDn в облака“: необходимост от сертифициране, подробности за организацията, вид дейност.

В зависимост от изискванията на ISPD избирате подходящ тарифен план с необходимите сървърни параметри: дисково пространство и RAM.

Сключване на договор за предоставяне на услугата „ISPDn в облака“ и извършване на плащане.

Въз основа на предоставените данни ние ще подготвим за вас набор от организационни, административни и нормативни документи, включително декларация за личните данни, акт за класификация на ISPD, модел на заплаха и други необходими документи. Специалист от нашата компания ще провери правилното попълване и одобрение на тези документи.

Съгласуваме с Вас датата на освидетелстване на място на работното място. След посещение от специалист и проверка на всички изисквания за работното място, вие получавате сертификат за съответствие и целия пакет от документи, удостоверяващи пълното съответствие на вашия ISPD с изискванията и стандартите № 152-FZ „Относно личните данни“ и всички до- закони.


Нашите лицензи и сертификати


* Цената на защитен ISPD сървър с пакет от документи и сертификационна процедура при заплащане за 1 година.

Продажба на сигурна инфраструктура за съхранение и обработка на лични данни според представените тарифни плановеизвършвани за минимум 1 година.

При поръчка на първия сървър от ISPD се таксува инсталационна такса от 11 300 рубли.

Облачно решение Федерален закон 152» освобождава Оператора на лични данни от разходите за създаване и притежаване на защитена ИТ инфраструктура, за да отговаря на изискванията на 152-FZ и 242-FZ. С други думи, ако руското законодателствозадължава фирмата Ви да предприеме всички необходими организационни и технически мерки за защита на личните данни от нерегламентиран и неоторизиран достъп, изберете готово решениеот Cloud4Y.

Щракнете върху бутона „Опитайте безплатно“, попълнете краткия формуляр и научете как да избегнете неудобството да харчите много пари, за да настроите ИТ инфраструктура, която ще отговаря на вашите изисквания Федерален закон № 152

Защо се нуждаете от „Cloud Federal Law 152“:

  • Отделен защитен, сертифициран и удостоверен „облак“ за хостване на ISPD.
  • Сертифициране на механизми за виртуализация: хипервизор на изчислителни ресурси, система за управление на виртуализирани мрежи за данни, платформа за виртуализация и система за съхранение на данни.
  • Предоставяне на услуги за сигурност (базирани на сертифицирани инструменти за сигурност), които могат да се използват от клиенти, хостващи своите ISPD в облака.

Организация на разполагането на ISPDn в облака:

  • Освобождава оператора на лични данни от капиталови разходи за създаване и притежаване на сигурна ИТ инфраструктура;
  • Освобождава оператора от част от правната отговорност за спазване на изискванията на 152-FZ, 242-FZ;
  • Позволява използването на системен и специфичен софтуер на доставчика;
  • Позволява ви да получавате поддръжка на ИТ инфраструктура от висококвалифициран персонал 24×7

Характеристики на “Cloud FZ 152”:

  • Поставянето на ISPD се предоставя като услуга, тоест клиентът няма капиталови разходи.
  • Cloud4Y действа като лице, отговорно за обработката на лични данни от името на оператора.
  • Системата е сертифицирана от лицензианти на FSTEC, което потвърждава нейното съответствие с изискванията за безопасност. Използваните защитни средства са преминали оценка на съответствието по установения ред и имат сертификати, издадени от съответните органи на FSTEC и FSB на Русия.
  • Наличие на сертификати за различни облачни елементи, които изпълняват функции за сигурност (хипервизор, инструменти за сигурност, интегрирани в облака, инструменти за сигурност, предлагани на клиентите като услуги за сигурност.
  • Набор от организационни и технически мерки за защита, които позволяват на клиентите да елиминират текущи заплахи от обслужващ персонал, от други клиенти и други нарушители.

Нормативни документи и класификация

Можете да прочетете текста на Федерален закон № 152 относно личните данни, като следвате връзката.

Бяла книга за Федерален закон 152 - книга, която може да се използва при обработка на лични данни

Експертите на Cloud4Y проучиха въпроса за защитата на личните данни и създадоха ръководство за това как трябва да действа една организация, за да спазва Федералния закон 152. Дадохме всичко от себе си на прост езикобяснява точки от законодателството, премахва объркването и предписва стъпките, които трябва да бъдат предприети.

Лицензи и сертификати



цени

ПРОМОЦИЯ: само до 30 април 2020 г. "Cloud Federal Law 152" на редовната цена ЗАВИНАГИ! Подробности

За да получите оценка на разходите за облачната услуга FZ-152, свържете се с всеки мениджър по телефона +7 495 268 04 12 или всяка друга по удобен начинналични в секцията


Прочетете списъка на регулаторните правни актове, установяващи задължителни изисквания за дейността на юридически лица и индивидуални предприемачи, за да се гарантира, че обработката на лични данни отговаря на изискванията на законодателството на Руската федерация в областта на личните данни на връзката.


Често задавани въпроси (FAQ)

1. Каква е същността на вашата услуга Федерален закон-152?
Изградихме сигурна верига в нашия център за данни, която е сертифицирана за изискванията за сигурност в съответствие с Федерален закон-152 и получи сертификат за съответствие за защита на личните данни до и включително 1-во ниво на сигурност. И ние помагаме на нашите клиенти да решат проблема със съответствието от техническа гледна точка. Държавните институции също могат да се интересуват от Сертификат за съответствие от 1-ви клас за държавни информационни системи (съгласно 17-ти ред на FSTEC) и сертификат за защита на поверителна информация от клас 1G (съгласно STR-K) .

2. Защо имаме нужда от това?
Тъй като вие сте обработващ лични данни, действието на Федерален закон № 152 автоматично се прилага за вас. И държавните агенции, които притежават държавни информационни системи, също са обект на 17-та заповед на FSTEC.

3. Колко струва?
Цената се изчислява индивидуално за клиента, като се вземат предвид обемът, нивото на сигурност и времето на поставяне.

4. Можете ли да помогнете с подготовката на документацията?
Да, можем (предоставяме готови шаблониили ние поемаме целия процес на подготовка до ключ).

5. Как е организиран каналът за предаване на данни?
Чрез координатор на VipNet се използва канал, криптиран според руския GOST.

Ако не сте намерили отговора на въпроса си, отидете на нашия, попитайте нашите консултанти на уебсайта чрез онлайн чат или напишете заявка за поддръжка чрез.

  • Федерален закон „За личните данни“ от 27 юли 2006 г. N 152-FZ

Публикации

От септември 2015 г. в Руската федерация влезе в сила регламент за локализиране на съхранението на лични данни (242-FZ от 21 юли 2014 г.). Тази иновация, разбира се, се оказа един от основните двигатели за руски пазархостинг и облачни изчисления, принуждавайки както операторите на лични данни, така и доставчиците на хостинг услуги отново да помислят как да осигурят съответствието на такъв на пръв поглед прост субект като уебсайт с изискванията на законодателството за личните данни.

Въпреки факта, че Федералният закон № 152-FZ от 27 юли 2006 г. „За личните данни“ беше приет доста отдавна, не всеки се адаптира към него и се научи да го прилага. Отчасти поради големия брой нормативни документи и редовно издаваните промени в тях. Днес те идват от четири отдела: правителството, Roskomnadzor, FSTEC и FSB. А също и благодарение на доста балансираната позиция на регулатора, който вместо политиката на забиване на пирони избра стратегия на плавно, но неизбежно затягане на винтовете.

Ако голям бизнеси държавните органи, като най-дисциплинирани участници на пазара, в по-голямата си част вече са привели своите информационни системи за лични данни (ISPD) в съответствие със закона, тогава средният и малък бизнес едва сега започват да осъзнават, че за по-нататъшно съществуване и развитие, те все още ще трябва да излязат от сенките, включително и по отношение на прилагането на законодателството за личните данни, още повече че тази сянка остава все по-малко и вече започва да не стига за всички.

Какво трябва да направи собственикът на уебсайт, където се събират и съхраняват лични данни на потребителите (например в личния акаунт на онлайн магазин)? Нека се опитаме да разберем това заедно.

Ако уебсайт събира лични данни, това е информационна система за лични данни и е предмет на 152-FZ

Ето какво казва самият Роскомнадзор за това: „Съгласно клауза 9 на чл. 3 от Федералния закон „За личните данни“, информационната система за лични данни е набор от лични данни, съдържащи се в бази данни и информационни технологии, които осигуряват тяхната обработка и технически средства. Ако уебсайтът отговаря на посочените изисквания, той е информационна система.“

Всички интуитивно знаем какво представляват личните данни, но е важно да разберем какво представляват те от правна гледна точка. Съгласно параграф 1 от член 3 от Федерален закон № 152-FZ, лични данни са всяка информация, свързана пряко или косвено с конкретно или идентифицируемо физическо лице. Тоест, това е почти всичко: от данъчен идентификационен номер до цвят на косата и размер на обувките, да не говорим за телефонния номер и адреса, независимо дали е имейл или пощенски.

По този начин онлайн магазин или просто уебсайт, където има личен акаунт или регистрация на потребител, онлайн поръчка, резервация, плащане, доставка и т.н. и т.н., по отношение на 152-FZ, всичко това е информационна система за лични данни (ISPD), а нейният собственик е оператор на лични данни.

Законът за личните данни отчита тенденциите в облачните изчисления и аутсорсинга

Вече е казано и изписано много за уместността и перспективите на ИТ аутсорсинга, особено за компаниите от сектора на малките и средни предприятия, така че в тази статия няма да агитирам читателя „за облаците“. Освен това всички знаем много добре, че повечето сайтове в Интернет се хостват на публични уеб сървъри на доставчици на хостинг услуги.

Има много причини за това, но най-важната е, разбира се, здравословното желание на компаниите да спестят пари и да получат евтина уеб услуга с висока наличност. Създаването на ваша собствена изчислителна инфраструктура с надеждност, която е поне сравнима със стандартен център за данни Tier-III, струва милиони рубли. Първо, имате нужда от подходящо помещение: не коридор, не мазе, не таван, за да не се наводнява и за да няма достъп там непознати. Необходима е вентилация и климатизация и то с известно резервиране. Необходимо е да се организира автономно и резервно захранване. За да направите това, трябва да инсталирате някъде дизел генератор. И накрая, необходим е персонал за физическа охрана и поддръжка. Освен това, за да гарантирате наличност на услугата, ще трябва да закупите пълен комплект резервни части за сървърно и мрежово оборудване. Тоест, вместо един сървър, всъщност трябва да закупите два.

Естествено, с развитието на облачните изчисления, технологиите за виртуализация и ясната тенденция към аутсорсинг, все повече компании от малкия и среден бизнес се стремят да прехвърлят своите информационни системи от системни единици „под бюрото“ към облачни изчислителни ресурси, разположени в компютърни центрове, които отговарят на съвременните индустриални стандарти.

IN информационни системиВсяко предприятие съхранява и обработва определено количество лични данни. Това могат да бъдат както лични данни на служители на компанията, така и данни на клиенти или контрагенти. Корпоративните информационни системи са доста разнообразни, както функционално, така и технологично. Това може да бъде система за автоматизиране на счетоводството, например 1C и уебсайт с лична сметкапотребител и онлайн магазин. В същото време тези информационни системи, като правило, са взаимосвързани - те предават информация една на друга, включително лични данни.

Съгласно клауза 3 на член 3 от 152-FZ обработката на лични данни е всяко действие (операция) или набор от действия (операции), извършвани с помощта на средства за автоматизация или без използването на такива инструменти с лични данни, включително събиране, запис , систематизиране, натрупване, съхранение, изясняване (актуализация, промяна), извличане, използване, прехвърляне (разпространение, предоставяне, достъп), деперсонализация, блокиране, изтриване, унищожаване на лични данни.

По този начин поставянето на ISPD на сървъра на доставчика не е нищо повече от аутсорсване, като минимум, на такива функции за обработка на лични данни като запис, съхранение, четене (извличане), прехвърляне и изтриване.

Съгласно клауза 2 на член 3 от 152-FZ, операторът (на лични данни) е юридическо или индивидуален, независимо или съвместно с други лица, организиране и (или) извършване на обработка на лични данни, както и определяне на целите на обработката на лични данни, състава на личните данни, които се обработват, действия (операции), извършвани с лични данни.

Съответно, хостинг доставчикът, който е поел функциите по съхраняване и предаване на лични данни, е техен оператор, заедно със собственика на сайта (информационната система, обработваща тези лични данни) и съгласно закона е длъжен да предприеме определени мерки за гарантиране на тяхната сигурност. Всъщност всичко не е толкова лошо и трябва да отдадем почит на авторите на Закона „За личните данни“ № 152-FZ и Постановление на правителството № 1119 от 1 ноември 2012 г., което предвижда прехвърлянето от оператора на лични данни на част от функциите за тяхното обработване за възлагане на външни организации на трети страни.

Законодателно регулиране на хостинг уебсайтове, които обработват лични данни на хостинг, предоставен от трета страна

Операторът на лични данни има право да възложи обработването на лични данни на друго лице със съгласието на субекта на лични данни, въз основа на споразумение (инструкция), сключено с това лице. Лицето, обработващо лични данни от името на оператора, е длъжно да спазва принципите и правилата за обработка на лични данни, предвидени в действащото законодателство. Заповедта на оператора трябва да определя списък от действия с лични данни, които ще бъдат извършвани от лицето, обработващо лични данни, и целите на обработването, трябва да установява задължението на това лице да поддържа поверителността на личните данни и да гарантира сигурността на личните данни по време на тяхната обработка и трябва също да посочи изисквания за защита на обработваните лични данни (клауза 3, член 6 152-FZ).

По този начин хостинг доставчикът, подобно на собственика на сайта, е оператор на личните данни, обработвани на сайта и отговаря за тяхната наличност, безопасност и сигурност. С една единствена разлика - собственикът на сайта носи отговорност пред субектите на лични данни и в предвидените от закона случаи е длъжен да получи разрешение от субектите за обработка на лични данни, а хостинг доставчикът, като упълномощено лице, е длъжен отговаря пред собственика на сайта и получава лични данни от него и ги съхранява, но не носи отговорност за получаване на разрешение от субектите.

Като цяло темата за получаване на съгласието на субектите за обработка на техните лични данни е много голяма и интересна и, разбира се, заслужава отделна статия.

Разграничаване на зоните на отговорност на хостинг доставчика и собственика на сайта за спазване на изискванията за защита на личните данни

Съгласете се, би било несправедливо да прехвърлите цялата отговорност за сигурността на личните данни на хостинг доставчика. В края на краищата често той няма представа кой, как и на какво е написан сайтът, хостван на неговия сървър. Какви пароли се използват за разрешаване на достъп до лични данни, под каква форма се съхраняват и дали изобщо се използват.

Съгласно Постановление на правителството № 1119 (клаузи 13 - 16), за да се осигури необходимото ниво на сигурност на личните данни, когато се обработват в информационни системи, трябва да бъдат изпълнени следните изисквания:

Изискване PP 1119

Изисквано ниво на сигурност

Зона на отговорност

Организиране на охранителен режим на помещенията, в които е разположена информационната система

УЗ-4;
УЗ-3;
УЗ-2;
УЗ-1;

Хостинг доставчик;

Гарантиране на безопасността на носителите на лични данни

Хостинг доставчик;

Одобрение от ръководителя на оператора на списъка на лицата с право на достъп до лични данни

Използване на сертифицирани средства за защита на информацията (преминали оценка за съответствие със законовите изисквания)

Хостинг доставчик;

Предназначение официаленотговорен за гарантиране сигурността на личните данни

УЗ-3;
УЗ-2;
УЗ-1;

Собственик на сайта; Хостинг доставчик;

Достъпът до съдържанието на регистъра на електронните съобщения е възможен само за лица, които притежават съответнитеправа за достъп

УЗ-2;
УЗ-1;

Собственик на сайта; Хостинг доставчик;

Автоматично регистриране в електронния дневник за сигурност на промени в правомощията на служителите на оператора за достъп до лични данни

УЗ-1;

Собственик на уебсайт, хостинг доставчик

Създаване на структурно звено, отговорно за осигуряване сигурността на личните данни

Собственик на уебсайт, доставчик на хостинг услуги

Хостинг доставчикът трябва да има лиценз от Roskomnadzor за предоставяне на комуникационни услуги

Както знаете, за предоставяне на комуникационни услуги е необходим лиценз на Roskomnadzor. Това следва например от параграф 36 на член 12 от Федералния закон от 4 май 2011 г. № 99-FZ „За лицензирането отделни видоведейности."

Съгласно списъка с имена на комуникационни услуги, включени в лицензите за извършване на дейности в областта на предоставянето на комуникационни услуги, одобрен с постановление на правителството на Руската федерация от 18 февруари 2005 г. № 87), лицензираните комуникационни услуги включват, между други неща:

  • Телематични комуникационни услуги (това включва хостинг);
  • Комуникационни услуги за предаване на данни, с изключение на комуникационни услуги за предаване на данни с цел предаване на гласова информация.

За да хоства сайтове, които обработват лични данни, хостинг доставчикът трябва да има лиценз на FSTEC

Федералната служба за технически и експортен контрол (FSTEC на Русия) регулира дейностите, свързани с техническата защита на информацията, се занимава с въпроси на държавната политика в тази област на законодателството, стандартизацията, лицензирането, а също така провежда съответните проверки.

Тъй като хостинг доставчикът, като упълномощено по силата на договора за преотстъпване лице, е оператор на лични данни, той е длъжен да предприеме технически мерки за защитата им, т.е. да предоставя услуги по техническа защита на информацията, която съгл. разпоредбата относно лицензионните дейности за техническа защита на поверителна информация, одобрена с постановление на правителството на Руската федерация от 3 февруари 2012 г. N 79, се отнася до лицензирани видове дейности.

Организационните и технически мерки за гарантиране на сигурността на личните данни, одобрени със Заповед № 21 на FSTEC от 18 февруари 2013 г., включват:

  • идентифициране и удостоверяване на субекти на достъп и обекти на достъп;
  • контрол на достъпа на субекти на достъп до обекти на достъп;
  • ограничаване на софтуерната среда;
  • защита на компютърни носители за съхранение;
  • регистриране на събития за сигурност;
  • антивирусна защита;
  • откриване на проникване (предотвратяване);
  • контрол (анализ) на сигурността на личните данни;
  • осигуряване целостта на информационната система и личните данни;
  • осигуряване на наличност на лични данни;
  • защита на средата за виртуализация;
  • защита на технически средства;
  • защита на информационната система, нейните системи за комуникация и предаване на данни;
  • идентифициране на инциденти и реагиране при тях;
  • управление на конфигурацията на ISPDn и SZPDn.

За извършване на работа за гарантиране на сигурността на личните данни е разрешено да се ангажират на договорна основа организации на трети страни, които имат лиценз за работа в областта на техническата защита на поверителна информация (клауза 2, параграф 2 от Заповед № 21 на FSTEC ).

Редица мерки за гарантиране на сигурността на личните данни изискват хостинг доставчикът да притежава лиценз на FSB

Мерките за осигуряване на подходящо ниво на защита на личните данни, съгласно Заповед № 21 на FSTEC, включват следните мерки:

  • Изпълнение на защитени отдалечен достъпсубекти на достъп до обекти на достъп чрез външни информационни и телекомуникационни мрежи (UPD.13);
  • Осигуряване на защита на личните данни от разкриване, промяна и налагане (въвеждане на невярна информация) по време на тяхното предаване (подготовка за предаване) по комуникационни канали, които излизат извън контролираната зона, включително безжични комуникационни канали (ZIS.3);
  • Осигуряване на автентичност интернет връзка(сесии за взаимодействие), включително за защита срещу спуфинг мрежови устройстваи услуги (ЗИС.11);

Въз основа на същността на тези мерки е ясно, че тяхното прилагане изисква използването на криптографски средства за защита на информацията (CIPF). Както е известно, въпросите, свързани с използването на CIPF в Руската федерация, се регулират от Федералната служба за сигурност (ФСБ на Русия).

Съгласно разпоредбите за лицензионни дейности за разработване, производство, разпространение на криптиращи (криптографски) инструменти, одобрени с Указ на правителството на Руската федерация от 16 април 2012 г. № 313, списъкът на произведенията, които представляват лицензирани дейности, включва:

  • Разработване на защитени информационни и телекомуникационни системи с използване на криптографски средства;
  • Монтаж, инсталация, настройка на криптографски средства и информационни и телекомуникационни системи, защитени с тяхното използване;
  • Работа по поддръжка на криптографски средства;
  • Трансфер на криптографски средства и информационни и телекомуникационни системи, защитени с тяхното използване;
  • Предоставяне на услуги за криптиране на информация.

Изчислителният център на хостинг доставчика трябва да се намира на територията на Руската федерация

На 1 септември 2015 г. Руската федерация влезе в сила относно локализирането на съхранението и някои процеси на обработка на лични данни, определени в Федерален закон№ 242 от 21 юли 2014 г. „За изменение на някои законодателни актове на Руската федерация по отношение на изясняването на процедурата за обработка на лични данни в информационни и телекомуникационни мрежи“, съгласно параграф 1 на член 2 от който, при събиране на лични данни , включително чрез информация - телекомуникационната интернет мрежа, операторът е длъжен да осигури записването, систематизирането, натрупването, съхранението, изясняването (актуализирането, промяната), извличането на лични данни на гражданите на Руската федерация, използвайки бази данни, разположени на територията на Руската федерация. Руска федерация.

В същото време е важно да се отбележи, че трансграничното предаване на лични данни като такова не е забранено, а се регулира от закона. Повече за това можете да прочетете в чл. 12 152-ФЗ.

Накратко за основното

И така, нека обобщим горното.

Уебсайтът е информационна система за лични данни, ако неговата функционалност ви позволява да въвеждате, съхранявате или преглеждате лични данни. Добър примерМоже да служи почти всеки уебсайт с личен акаунт, възможност за онлайн резервация, поръчка или покупка с доставка и др.

Обработката на лични данни на клиенти онлайн е не само необходимост на съвременната електронна търговия, но и широки възможности за маркетинг, чието описание заслужава отделна статия.

Собственикът на уебсайт, който е ISPD, е длъжен да изпрати уведомление до Roskomnadzor, като посочи: какви лични данни съхранява и обработва, къде са физически разположени сървърите, на които работи ISPD. Можете да прочетете за това в моята статия „Как да подадете уведомление до RKN и да не изпаднете в проблеми“.

Споразумението с хостинг доставчика, в допълнение към количествените и качествени характеристики на изчислителните ресурси, задължителентрябва да съдържа заповед за обработване на лични данни, като посочва конкретен списък от действия, които ще бъдат извършени с тях; трябва да посочва целите и реда за обработване на лични данни, изискванията за тяхната защита, както и да установява отговорността на доставчика за сигурност на личните данни.

В допълнение към стандартните лицензи на Roskomnadzor за хостинг компании за предоставяне на телематични комуникационни услуги, за защита на личните данни, обработвани на клиентски сайтове, хостинг доставчикът трябва да има Лиценз на FSTECза дейности, свързани с техническата защита на поверителна информация и лиценз от FSB за предоставяне на услуги, свързани с използването на криптиращи (криптографски) средства.

И накрая, сървърът на доставчика, на който физически се съхраняват лични данни, трябва да се намира на територията на Руската федерация.

И така, тази статия обсъжда много, но не всички аспекти на поставянето на ISPD изчислителни ресурсидоставчици на облачни услуги. | Повече ▼ подробна информацияможете да получите от следните документи и информационни ресурси:

Законодателство

  • Указ на правителството на Руската федерация от 1 ноември 2012 г. N 1119 „За утвърждаване на изискванията за защита на личните данни по време на тяхната обработка в информационни системи за лични данни“
  • Заповед на FSTEC на Русия от 18 февруари 2013 г. № 21 за одобряване на състава и съдържанието на организационни и технически мерки за осигуряване на сигурността на личните данни по време на тяхната обработка в информационни системи за лични данни

    Telegram Passport ще ви позволи да идентифицирате самоличността на потребителя. Всички необходими документи и данни ще трябва да бъдат качени в Telegram веднъж, след което можете незабавно да ги прехвърлите на партньорите на Telegram. Предвижда се до пускането на новата услуга да се използват услугите на няколко такива партньори, включително Qiwi.

    Прочетете още...


Сподели с приятели:
Свързани публикации