Хранение и защита персональных данных на виртуальном сервере
Компания “Интегрус” предлагает услуги защиты и хранения персональных данных для корпоративных клиентов в России. Обратившись к нам, вы можете быть полностью уверены, что получаете в свое распоряжение надежную защищенную систему и полностью соблюдаете требования законодательства.
Кому подходят наши услуги
Цены на хранение персональных данных на защищенном сервере в СПб
Тарифный план | Цена аренды сервера ИСПДн с аттестатом, руб./мес ** |
Цена аренды сервера ИСПДн без аттестата, руб./мес |
ИСПДн-1 5Gb | 4 990 | 2 490 |
ИСПДн-2 50Gb | 9 990 | 4 990 |
ИСПДн-3 100Gb | 19 990 | 9 990 |
ИСПДн-4 200Gb | 29 990 | 14 990 |
ИСПДн-5 400Gb | 39 990 | 19 990 |
Установочный платеж * | 10 000 |
ИСПДн Криптография (№К-XXXX-XXX) (docx, 0.14мб)
ИСПДн Испытания (№И-XXXX-XXX) (docx, 0.14мб)
ИСПДн (№ИСПДн-XXXX-XXX) (docx, 0.03мб)
Презентация услуг INTEGRUS 2017 (pdf, 3.64мб)
Примеры работ
Нашими силами был успешно сделан проект по переносу персональных данных учащихся московского института в облако. Были выпущены аттестаты рабочего места, канала связи а также облачного сервера. Была создана не типовая база данных занимающая 5гб на защищенном сервере.
Сентябрь 2016 года запомнился еще одним интересным заказом. Специалисты фирмы «Интегрус» получили заявку от компании, которая занимается закупками спецтехники и комплектующих, на поставку ит-оборудования и переводу 1С в облако. Подробнее
Весной 2016г Компания “Интегрус” провела комплекс работ по переносу и настройке баз 1С из облака “Рарус” в новое облачное хранилище для одной из торговых компаний Санкт-Петербурга. Подробнее
Наши сертификаты
Что входит в наши услуги хранения персональных данных
- Мы организовываем обработку и хранение информации во внешнем центре обработки данных (ЦОД), предоставляем в ваше распоряжение виртуальную машину, защищенную согласно требованиям Федерального закона о защите персональных данных №152-ФЗ.
- Реализуем правовые, организационные и технические нормы закона.
- Оформляем и предоставляем вашей организации полный комплект требуемых документов (учитывая особенности вашего рода деятельности), в их числе аттестат соответствия требованиям безопасности
- Вам не понадобится заключать договор с субъектами о том, что их персональные сведения будут передаваться на обработку во внешний дата-центр.
Стоит упомянуть два нюанса:
- Минимальный период для сервера равен 6 месяцам. Если вы уложитесь в 5гб тогда цена составит 4990р.в месяц. Если все-же потребуется больше тогда нужен следующий тариф: 50гб и 9990руб. в месяц.
- Стоимость установочного платежа в размере 10 000 руб. справедлив для типового комплекта документов, в вашем случае это «Платформа дистанционного обучения», она у нас не типовая и может потребоваться индивидуальная разработка пакета документации. Стоимость разработки нетиповой конфигурации составляет +15 000 рублей. Делается это единоразово.
Для понимания нужна ли будет индивидуальная разработка, нам нужно краткое описание сервиса (какая база данных и где хранится (MySQL;SQL и т.д.)) который будет размещаться на сервере ИСПДн. Т.е. алгоритм работы сервиса, кто является субъектом ПДн в сервисе, кто и как получает доступ к сервису.
Как это работает
Любое предприятие сейчас использует в своей работе информационные системы, обрабатывающие персональные данные (ПДн). К примеру, это бухгалтерские ИС, финансовые, кадровые и другие. Под обработкой, согласно закону, подразумевается сбор, запись, систематизация, хранение, уточнение, использование, передача, удаление и другие операции с этой информацией.
Соответственно, рано или поздно встает вопрос о том, чтобы привести свою работу в соответствие с Федеральным законом “О персональных данных” и получить документальное подтверждение этого соответствия.
Самостоятельно и без необходимого опыта выполнить все требования к хранению персональных данных довольно затруднительно, это может привести к излишним тратам времени и ресурсов. Поэтому мы предлагаем услуги своих специалистов. Они уже не раз решали задачи организации хранения и передачи персональных данных и хорошо знают о “подводных камнях”.
Хранение персональных данных на сервере дата-центра: преимущества подхода
Чтобы построить полноценную систему защиты информационных систем персональных данных (ИСПДН) на предприятии, необходимо выполнить предпроектное обследование ИСПДН, разработать модель угроз безопасности, создать концепцию и затем проект системы защиты ИСПДН, поставить, внедрить, разработать методы аттестации, провести проверку и оформить аттестат соответствия.
Если же организовать хранение персональных данных клиентов в аттестованной виртуальной инфраструктуре, расположенной во внешнем дата-центре, то выполнение всех этих работ упрощается и сводится к утверждению предварительно разработанных типовых документов, а соответствующие затраты значительно сокращаются. Кроме того, хранение данных в надежном и современном дата-центре гарантирует, что ваша информация будет всегда доступна для вас, целостна и защищена от потерь.
Однако, если переносить ПДн во внешний дата-центр, то, как правило, возникает ряд сложностей. Так, например, согласно Федеральному закону №152-ФЗ “О персональных данных” ( ст.7 и ч.ч.3-5 ст.6), определяющему порядок хранения персональных данных в России, оператору для поручения обработки ПДн стороннему дата-центру, необходимо получить согласие каждого субъекта на сбор и хранение персональных данных, где указан перечень данных и допустимых действий с ними, цели, сроки и есть собственноручная подпись каждого субъекта (фактически, заключить с клиентом договор на хранение персональной информации).
Рис.1. Классическая схема: организация-оператор отдает ПДн на обработку во внешний дата-центр, перекладывая все заботы по обеспечению безопасности этих данных на оператора дата-центра.
Организация-оператор ПДн при такой классической схеме работы с дата-центром сталкивается со значительными неудобствами и ограничениями в своей работе:
- Остаются актуальными все организационно-правовые вопросы обработки данных: нужно издавать положение о персональных данных, прорабатывать правовые основания для обработки персональных данных и для передачи персональных данных третьим лицам (включая дата-центр).
- В силу ст.7 и ч.ч.3-5 ст.6 федерального закона №152-ФЗ “О персональных данных” возникает обязанность получить согласие на передачу персональных данных на обработку в дата-центр с каждого субъекта персональных данных. Причём, такое согласие должно быть оформлено согласно требований ст.9 указанного федерального закона, т.е. содержать, в том числе, цели обработки, полный перечень персональных данных, полный перечень действий с персональными данными, на которые даётся согласие, срок действия согласия и собственноручную подпись субъекта персональных данных либо её электронный аналог.И обычно получение такого согласия вызывает затруднение у организации-оператора.
Чтобы избежать этих трудностей, мы предлагаем следующую технологию работы:
- С помощью сертифицированных средств криптозащиты ПДн, передаваемые по каналам связи, защищаются от провайдера услуг связи.
- Подобным образом мы предлагаем защитить ПДн и при обработке в дата-центре – использовать средства информационной защиты, исключающие абсолютно любую техническую возможность доступа со стороны сотрудников дата-центра. Для этого мы разворачиваем одну или несколько виртуальных машин, каждая из которых – всесторонне изолированный объект, любой доступ к которому со стороны хостинг провайдера блокируется. Это достигается как функциями гипервизора, так и средствами защиты от несанкционированного доступа. В дальнейшем работать с такой арендованной защищённой виртуальной машиной можно с рабочего места из офиса клиента с помощью удалённого терминала (“Удалённый рабочий стол”, VNC-терминал или SSH-терминал).
Таким образом, ни провайдер, ни дата-центр никак не смогут установить субъекта персональных данных, определить объём информации в виртуальной машине клиента, наличие каких-либо конфиденциальных сведений. Следовательно, такую работу с ПДн в изолированной виртуальной машине нельзя считать передачей ПДн оператору дата-центра или поручением на обработку ПДн, что избавляет клиента от необходимости получать согласие субъектов.
Пример организации передачи и обработки персональных данных по защищенным каналам связи
Приведем небольшой кейс, иллюстрирующий данную технологию на примере организации-оператора персональных данных, территориально состоящей из центрального офиса и филиалов.
Рис.2. Организация передает персональные данные по открытым каналам
Интернет-провайдер осуществляет передачу IP-пакетов, содержащих персональные данные. Согласно п.3 ст.3 ФЗ-152 это уже частный случай обработки персональных данных. Т. О., согласно п.2 ст.3 ФЗ-152, интернет-провайдер уже превращается в оператора ПДн. И согласно требований ст.6 и ст.7 ФЗ-152, нашей воображаемой организации, передающей ПДн по открытым каналам в данном случае уже нужно получать согласие субъектов персональных данных на передачу их персональных данных в открытом виде по сетям провайдера. А интернет-провайдер, в свою очередь, должен принимать все необходимые организационно-технические меры для защиты этих данных.
Однако, если принять меры по шифрованию данных (криптографической защите) перед отправкой по каналам связи интернет-провайдера, то с правовой точки зрения уже не возникнет факта передачи ПДн на обработку. Т.к. согласно п.1 ст.3 ФЗ-152 “персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).”
На рисунке 3 проиллюстрировано, что провайдеру услуг связи не передаётся информация, по которой можно было бы прямо или косвенно установить субъекта персональных данных.
Рис.3. Организация передает персональные данные по защищенным каналам
ИТОГ: Применение криптографических средств защиты ПДн перед отправкой их по каналам провайдера позволяет с правовой точки зрения избавится от факта передачи их на обработку этому провайдеру.
Защита ПДн при обработке в виртуальной инфраструктуре
Точно также компания “Интегрус” предлагает с помощью защищенных каналов передачи данных защитить ПДн при обработке их в дата-центрах, в облачных хранилищах и виртуальных хостингах с помощью специальных средств защиты информации.
Защита будет установлена и настроена таким образом, чтобы полностью исключить техническую возможность доступа со стороны сотрудников дата-центра (администраторов, инженеров, операторов) к тем персональным данным, которые организация будет располагать в дата-центре. Такая защита проводится согласно проекта системы защиты ПДн с помощью сертифицированных по линии ФСТЭК России средств защиты информации (в том числе гипервизора виртуальных машин и средств защиты от несанкционированного доступа), а также с использованием сертифицированных по требованиям ФСБ России средств криптографической защиты информации (при передаче по каналам связи и при обработке в виртуальной инфраструктуре). Подробно такая схема проиллюстрирована на рисунке 4.
Рис.4. Технология защиты ПДн в виртуальной инфраструктуре.
Защита персональных данных – услуги “Интегрус” в организационно-правовой сфере
Кроме организации системы защиты, мы выполняем все организационно-правовые работы:
- Прорабатываем правовые основания для обработки ПДн, её задачи, способы и сроки.
- Готовим и публикуем документ, который декларирует политику в области работы с персональными данными (положение о хранении, обработке персональных данных) и комплект организационно-распорядительных документов (актов классификации ИС, инструкций, регламентов и журналов).
- Разрабатываем уведомления об обработке персональных данных для направления в Роскомнадзор (при необходимости).
Если вы хотите получить готовую информационную систему, выполняющую требования Закона о хранении персональных данных и соответствующую всем стандартам, желаете без проблем работать с персональными данными, не опасаться претензий со стороны клиентов, сотрудников или контролирующих органов, обращайтесь к специалистам “Интегрус”. Оставьте заявку через форму обратной связи на сайте, позвоните или напишите нам и мы охотно проконсультируем вас по технической и правовой стороне вопроса.
Отправить заявку
Как мы работаем
- Заявка или звонок
- Обратная связь от менеджера, составление краткого тз о количестве пользователей, необходимой конфигурации 1с
- Реализация тз техподдержкой
- Направление клиенту реквизитов доступа
- Обучение (консультация по телефону с помощью удаленного доступа)
- Заключение договора по результату
Смотрите также:
Ответа на самые часто задаваемые вопросы о защите персональных данных в соответствии с Федеральным законом №152-ФЗ: о хранении ПДн в облаках, исполнение требований надзорных органов, нейтрализация угроз и т.д.
Поручив нам IT аутсорсинг обслуживания компьютерного и сетевого оборудования, вы получите в свое распоряжение действительно высококвалифицированных специалистов и при этом сократите затраты на ИТ, как минимум, на 30-40%
Оставьте заявку на аренду 1С в облаке и получите гарантированные 10.000 рублей на счет. Уже завтра работайте в 1С без капитальных затрат. Экономьте до четверти миллиона рублей за 3 года
Услуги по аренде облачных серверов в Петербурге. Поможем выбрать оптимальный по цене облачный сервер в аренду, перенести ит-инфраструктуру и обеспечить необходимую техподдержку.
Весь комплекс услуг по проектированию и внедрению облачной инфраструктуры для компаний различных сфер бизнеса. Значительные собственные наработки в сфере проектирования и внедрения облачных технологий и партнерские отношения с ведущими провайдерами облачных сервисов.
Важным этапом развития современной ИТ-инфраструктуры компании является ее виртуализация. Мы предлагаем развертывание виртуальных машин-серверов с любым необходимым вам функционалом, виртуализацию физических серверов, конвертирование виртуальных машин под разные гипервизоры
Для создания масштабируемой и отказоустойчивой ИТ-инфраструктуры организации зачатую необходим собственный центр обработки данных, корпоративный дата-центр или мини-ЦОД. Предлагает полный цикл строительства корпоративных ЦОД "под ключ" – от проектирования до монтажа и обслуживания.
Согласно Федеральному закону РФ №152 «О защите персональных данных» от 1/09/2015, все фирмы обязаны хранить персональные данные россиян на серверах, расположенных только внутри нашей страны. Какие изменения влечет за собой этот закон в ит-инфраструктуре малого, среднего и крупного российского бизнеса