Обработка персональных данных в вопросах и ответах

2 декабря 2016

Механизм организации хранения персональных данных на сервере

Существуют ситуации, когда интернет-порталу или иной интернет площадке, медицинскому, государственному или коммерческому учреждению (далее – операторам персональных данных, Операторам ПДн), необходимо собирать и обрабатывать персональные данные (далее – ПДн) своих клиентов  на серверах, в том числе в облаке.

В этом случае необходимо организовать обработку персональных данных в соответствии с ФЗ-152.

Для этой цели группа компаний «Интегрус», «Клодо» и «Вэлл-Сервис», создали защищенную хостинг платформу, позволяющую передавать в пользование Операторам ПДн защищённые по требованиям безопасности виртуальные машины.

Защищенная виртуальная машина включает операционную систему ALT Linux СПТ 6.0, сертифицированную по требованиям ФСТЭК России, в комплекс средств защиты которой входят СУБД, web-сервер и широкий набор разнообразных сервисов и прикладных утилит. Кроме того, виртуальная машина включает сертифицированное по требованиям ФСБ России средство криптографической защиты информации (СКЗИ). Данное СКЗИ установлено и настроено таким образом, чтобы “оградить” виртуальную машину от остальной части хостинг-платформы и инфраструктуры, доступной хостинг-провайдеру и третьим лицам, с помощью функций шифрования. Система в целом организована таким образом, чтобы обеспечить недоступность для хостинг-провайдера внутреннего содержания виртуальной машины клиента.

Основным конкурентным преимуществом нашего решения является тот факт, что в отличие от большинства других компаний, оказывающих услуги защищенного хостинга, при работе с нами клиенту не требуется получать согласие физических лиц (субъектов ПДн) на передачу их данных третьему лицу (хостинг-провайдеру). Данное преимущество достигается специально разработанной технико-правовой схемой организации хостинг-платформы в защищенном исполнении.

Что необходимо для получения виртуальной машины во временное пользование?

Для клиента подготавливается комплект организационно-распорядительных документов. Уже разработаны шаблоны документов, которые заполняются и изменяются в соответствии с видом деятельности и данными определенной компании. Заполняются все переменные (наименование компании, ФИО директора, лица, ответственного за обработку персональных данных и т.п.), документы выгружаются в личный кабинет хостинг-провайдера, утверждаются обеими сторонами. Далее вся информация передается специалисту по защите информации, который инициирует процедуру аттестации.

Что необходимо сделать пошагово:

  • Зайти в личный кабинет хостинг провайдера.
  • Указать вид деятельности организации, выбрав наиболее подходящий из перечня доступных видов деятельности.
  • После чего для клиента подготавливается комплект организационно-распорядительных документов по уже имеющимся типовым электронным шаблонам.
  • Задача клиента – скачать подготовленные для него проекты организационно-распорядительных документов (уже заполненные необходимыми данными) и подписать их у уполномоченного лица, после чего загрузить копии утвержденных документов в личный кабинет.
    Таким образом, нами предварительно проработана и автоматизирована вся подготовительная процедура, необходимая для аттестации виртуальной машины клиента (или набора таких машин), полученной во временное пользование.
  • Далее осуществляется выезд в офис клиента для проведения процедуры аттестации и оформления аттестата соответствия.

Аттестат

На момент аттестации специалист по безопасности  должен убедиться в том, что система клиента должным образом защищена. Только после этого на виртуальную машину выдается аттестат. Таким образом, компания клиента условно превращается в оператора персональных данных, который, согласно п. 4, части 2, ст. 19 ФЗ «О персональных данных», перед вводом в эксплуатацию системы проверяет эффективность принятых мер.

Полученный аттестат необходимо разместить на сайте компании вместе с положением о персональных данных (например, какие данные публикуются, на каком основании обрабатываются, некоторые выдержки из законов и т.п.). Хостинг-провайдер не контролирует процессы, которые происходят с системой после аттестации и передачи клиенту.

Аттестат действует в течение оплаченного срока пользования защищенной виртуальной машиной (машинами) и обновляется через 3 года после его выпуска.

Контроль со стороны Роскомнадзора, ФСТЭК, ФСБ

При передаче виртуальной машины в пользование клиенту предоставляются все необходимые документы, которые могут быть затребованы контролирующими органами в процессе осуществления деятельности предприятия.

Каким уровнем защиты обладает виртуальная машина?

Данная система позволяет организовывать обработку ПДн практически в любых случаях, включая случай государственных информационных систем (ГИС), аттестуемых по 17 приказу ФСТЭК России, включая также случаи обработки медицинских и иных данных высшей категории критичности, что подтверждается наличием аттестата по результатам оценки соответствия “Хостинг платформы в защищенном исполнении” требованиям, предъявляемым к 2 классу защищенности ИСПДн и 2 уровню защищенности ПДн при их обработке.

Примечание: (Необходимости обеспечения 1 уровня защищенности ПДн при их обработке на “Хостинг платформе в защищенном исполнении” не возникает, т.к. в соответствии с п.9 ПП РФ №1119 от 01.11.2012 эта необходимость может возникнуть только в системах, для которых актуальны угрозы 1 и 2 типа, т.е. для тех систем, для которых в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном либо прикладном  программном обеспечении. В случае “Хостинг платформы в защищенном исполнении” применяются исключительно системное и прикладное обеспечение, прошедшее в установленном порядке процедуру обязательной сертификации на предмет отсутствия недекларированных возможностей (НДВ), для которого такие угрозы не актуальны).

Нейтрализация угроз

Лицензиат, то есть группа компаний «Интегрус» составляет документ «Модель угроз». Согласно этому документу, лицензиат признает угрозу актуальной либо неактуальной по 2 критериям:

  • вероятность реализации угроз;
  • возможный уровень ущерба.

Если угроза, признается актуальной, то она ликвидируется сертифицированными средствами. Если угроза неактуальна, то нейтрализовать ее можно другими средствами, в том числе, нелицензионными. На предлагаемой нами виртуальной машине все средства сертифицированы. Безусловно, есть свои подводные камни, плюсы и минусы. По факту, каким бы ни был сертифицированным веб сервер, компания клиента сама пишет свою программу, пользуясь услугами квалифицированных программистов. В связи с этим, данная угроза признается не актуальной. Программа будет постоянно дополняться и изменяться. Соответственно, сертифицировать каждый раз все изменения не актуально, не нужно и дорого.

Не пропадут ли персональные данные?

Вопрос реализации таких угроз как искажение данных, утеря базы и т.п., решается поиском квалифицированных программистов, которые пишут коды и ревизии этих кодов.

Нужно ли получать лицензию на обработку персональных данных?

Нет, не нужно. Нужно, согласно п.4. ч.2. ст.19 федерального закона от 27.07.2006 №152-ФЗ “О персональных данных” произвести оценку эффективности принимаемых мер по обеспечению безопасности персональных данных, т.е. получить аттестат соответствия требованиям по безопасности информации, который, как раз, и выдается клиенту  по результатам описанных выше процедур.

Какая предусмотрена ответственность за нарушение законодательства о персональных данных?

Роскомнадзор может инициировать проверку коммерческой компании (даже если компания не внесена в реестр операторов обработки персональных данных), если, по мнению Роскомнадзора, компания потенциально может заниматься обработкой персональных данных пользователей.

За нарушения Федерального закона 152-ФЗ «О персональных данных» предусмотрена административная и уголовная ответственность, а также ответственность согласно Федерального закона 152-ФЗ и Трудового кодекса РФ.

Таким образом, в зависимости от степени тяжести нарушения закона, могут быть наложены следующие виды штрафов и мер наказаний:

  • блокирование или уничтожение системы персональных данных;
  • конфискация средств защиты информации;
  • приостановление деятельности компании;
  • отзыв лицензии на осуществление определенного вида деятельности;
  • дисквалификация должностного лица, лишение права занимать определенные должности или заниматься определенной деятельностью;
  • штрафы до 500 тысяч рублей;
  • обязательные исполнительные работы;
  • арест и лишение свободы.
  • В ходе проверки могут быть выявлены нарушения:
  • обработка персональных данных, полученных незаконным путем;
  • передача персональных данных третьим лицам без согласия субъекта;
  • нарушение правил защиты информации;
  • осуществление деятельности без специального разрешения (лицензии);
  • невыполнение в срок требований надзорного органа при повторной проверке;
  • нарушение неприкосновенности частной жизни;
  • отказ в предоставлении гражданину информации о его персональных данных т.п.

Порядок сотрудничества

Стоит упомянуть два нюанса:

  • минимальный период для сервера равен 6 месяцам, т.е. первоначальный платеж составит 4990 х 6 руб + 10.000т.р. (вместе с установочным платежом);
  • стоимость установочного платежа в размере 10 000 руб. справедлив для типового комплекта документов. Стоимость разработки нетиповой конфигурации составляет 15 000 рублей. Делается это единоразово.

Для понимания нужна ли будет индивидуальная разработка, нам нужно краткое описание сервиса который будет размещаться на сервере ИСПДн.

Относительно процесса подписания:

  • Подписание договоров (их несколько: договор на предоставление ИСПДн в пользование, договор на аттестацию ИСПДн, договор на оказание услуг по криптографической защите ИСПДн);
  • Оплата счета;
  • Анализ и подготовка комплекта документации;
  • Создание и запуск ИСПДн;
  • Аттестация ИСПДн.

Если у вас остались или появились еще какие-то невыясненные вопросы по обработке персональных данных, механизмам и способах их хранения и защиты, а также как организовать перенос, хранение и обработку ПДн на выделенном сервере ГК Интегрус и сколько это будет стоить конкретно для вашей компании, обращайтесь напрямую к нашим специалистам по контактным телефонам в СПб и Москве или оставьте заявку на сайте. С уважением, «Интегрус»

Смотрите также:

Зоны ответственности заказчика и поставщика облачного сервиса
Ответственность за распространение персональных данных без согласия

Какова позиция законодателя (регулятора) в отношении использования облачных сервисов при хранении, обработке персональных данных. Как выбрать облачного провайдера с точки зрения выполнения норм 152-ФЗ по защите ПНд.

Обработка персональных данных работников
Обработка персональных данных сотрудников

Каков порядок обработки персональных данных работников, их родственников, в т.ч. при размещении их в облаке. Каков объем прав у сотрудников на защиту их персональных данных, нужно ли получать согласие работников.

Организация защиты данных на предприятии
Положение об обработке и защите персональных данных в организации

Организация данных и информации на предприятии - какие мероприятия требуется провести, как составить их план, кого назначить ответственным. Построение эффективной системы защиты информации и персональных данных на предприятии.

зачем переносить 1с в облако
Зачем нужен перенос 1С в облако

Что даст перенос 1С в облачную среду? Беспрепятственный доступ к системе из любой точки мира с любого устройства… И это при полной безопасности данных!

ИТ-аутсорсинг
Ай-ти аутсорсинг

Поручив нам IT аутсорсинг обслуживания компьютерного и сетевого оборудования, вы получите в свое распоряжение действительно высококвалифицированных специалистов и при этом сократите затраты на ИТ, как минимум, на 30-40%

Обслуживание компьютеров в СПб
Абонентское обслуживание компьютеров и серверов организаций

Нормальное, бесперебойное функционирование ИТ-инфраструктуры предприятия невозможно без постоянного планового обслуживания, позволяющего свести риски к минимуму. Передача компьютеров в Петербурге на аутсорсинг решает эту задачу в кратчайший срок.

переход на 1с предприятие в облаке
Аренда 1С Предприятие в облаке

Предлагаем в аренду все основные конфигурации программы 1С:Предприятие в облаке. Услуга "под ключ" доступ к системе 1С:Предприятие в облаке бесплатно на тестовый период для организаций Санкт-Петербурга и Ленинградской области

О защите персональных данных в облаке после вступления в силу закона РФ №152 «О защите персональных данных»
О защите персональных данных в облаке после 1 сентября 2015

Согласно Федеральному закону РФ №152 «О защите персональных данных» от 1/09/2015, все фирмы обязаны хранить персональные данные россиян на серверах, расположенных только внутри нашей страны. Какие изменения влечет за собой этот закон в ит-инфраструктуре малого, среднего и крупного российского бизнеса