Хостинг по требованиям 152-ФЗ

    imageКомпания Parking.ru запустила новую услугу под говорящим названием «Хостинг ИСПДн». Эта услуга позволит заказчикам (операторам персональных данных) вынести на аутсорсинг информационные системы, содержащие и обрабатывающие эти самые персональные данные (ИСПДн), как то: социальные сервисы, интернет-магазины, системы биллинга, кадровые системы, бухгалтерию и другие привычные нам сервисы.


    Толчком к созданию данной услуги стал, конечно же, федеральный закон № 152-ФЗ «О персональных данных», вступающий в действие в полном объеме 1 января 2011 года, в соответствии с которым к информационным системам, содержащим и обрабатывающим персональные данные (ИСПДн), предъявляются специальные технические и административные требования.

    На хабре уже поднималась тема закона «О защите персональных данных», например было расказано о том, какие будут последствия от вступления закона в силу и коротко о том как определить класс своей ИСПДн.

    В рамках новой услуги Parking.ru предлагает готовые комплексные решения для информационных систем 4-2 класса, а также специальные услуги, включая аттестацию для ИСПДн, относящихся к 1-му классу.

    Услуга рассчитана как на компании из сегмента малого и среднего бизнеса, имеющие информационные системы, в больше мере относящиеся к 4-2 классам, так и на крупные компании, которым логичнее будет вынести систему на аутсорсинг, чем обеспечивать выполнение требований 152-ФЗ своими силами. Таким образом, для заказчика процедура приведения информационной системы в соответствие с требованиями ФЗ упрощается, так как значительную часть работ берет на себя провайдер.

    Перечень мероприятий по исполнению требований 152-ФЗ включают в себя реализацию технических мер, а также решение правовых и организационных вопросов.

    С технической стороны Parking.ru предоставляет хостинговую инфраструктуру, соответствующую техническим требованиям Федерального закона, а также оказывает услуги по администрированию системы, обеспечению уровня безопасности системы и сохранности персональных данных.

    Известно, что требования, предъявляемые ФСТЭК к условиям эксплуатации ИСПДн, существенно отличаются в зависимости от класса системы:

    — для ИСПДн 4-2 классов Parking.ru использует, в основном, ту же физическую, аппаратную и программную инфраструктуру, что и для оказания услуг «обычного» хостинга. Отличия заключаются в «усиленных» настройках подсистем информационной безопасности, а также в комплексе проводимых мероприятий и обязательств, которые берутся перед заказчиком, что фиксируется в расширенных, по сравнению с обычными, документах – соглашении об уровне сервиса (SLA) и соглашении о конфиденциальности (NDA).

    — для ИСПДн 1-класса действуют намного более серьезные требования, для удовлетворения которых используется сертифицированное программное обеспечение, специальные средства защиты, шифрования и т.д. Физически, ИСПДн 1-класса эксплуатируются в выделенных сегментах сети, на выделенном оборудовании.

    Сейчас мы готовы предложить «типовые решения» для хостинга ИСПДн 4-2 классов. Для ИСПДн 1 класса приведение системы в соответствие 152-ФЗ при размещении на хостинге – это индивидуальный проект, включающий все этапы, от аудита до аттестации. По мере накопления практического опыта, в дальнейшем мы надеемся предложить и типовые решения для определенных систем 1 класса, что позволит ускорить, упростить и удешевить процесс их аттестации при хостинге.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 21

      +1
      А можно пару слов о том, какие именно технические требования предъявляются и как это все будет контролироваться. Если у меня скажем есть некий сервис, подпадающий под этот закон, то как я смогу доказать, что все требования соблюдены?
      И вот про усиленные настройки подсистем ИБ расскажите.
        +1
        Очень просто, есть по административной части набор разработанных нами регламентов и документов описывающих вашу деятельность и работу с персональными данными в системе, который вы, при помощи нас заполняете и показываете проверяющим.
        По части инфраструктуры у вас с нами договор и если возникают какие то вопросы вы отправляете проверяющих к нам.

        Про усиленные настройки, средства защиты точно не в рамках статьи, т.к. там нужны и сертифицированный софт и методы проверки т.д.
          +1
          Ясно. Я конечно имел ввиду случай, если хостинг не у вас, ну ладно, в целом понятно. Ещё небольшой момент. Получается что любой сервис, позволяющий регистрироваться в системе и хранить там скажем ФИО и номер телефона, должен сопровождаться всей этой бюрократией и сертифицированным софтом для защиты?
            +1
            Тут все зависит от типа и объема обрабатываемых данных. Допустим какая нибудь форма комментариев на странице с 4 м классом размещенная на сайте. В этом случае это скорее всего 4 класс и достаточно будет внутренней проверки и составления нескольких документов, после чего можно декларировать соответствие 152фз без всяких средств шифрования.

            А вот если это какая то система биллинга которая еще и финансовые данные или паспортные хранит, то тут без специального холдинга уже не обойтись.

            Вообще на самом деле это не какие то прихоти наших ззаконодателей, а приведение нашего закона к нормам евросоюза, там с этим даже более строго, privacy превыше всего!
              +1
              Ясно.
              А можно ли составить пользовательское соглашение, в котором уведомлять пользователя о том, что при регистрации он доверяет нам такие-то данные и хранить мы их будем безопасно, используя технологи A, B и C. Которые обеспечивают надежность, однако не имеют государственного сертификата. Будет ли такой вариант законным?
                +1
                Соглашение должно быть в любом случае, это прописано в законе, пользователь должен подтвердить, что доверяет вам обработку своих персональных данных.

                Но для проверяющих органов этого не достаточно, требуется иметь еще у себя ряд документов и хостинг тоже должен соответствовать определенным требованиям, опять таки в зависимости от класса данных.

                Сертификаты никакие не выдаются, просто потому что их не существует, если проводить аудит системы, то могут быть выданы документы о прохождении аттестации и конечно нужна регистрация ИСПДн в Роскомнадзор.
                  +1
                  Получается что любой «обычный» хостинг + сервис с регистрацией пользователей на территории России теперь незаконен?
                    +1
                    Если собираемые персональные данные общедоступные или обезличенные (логин, email, аватар и т.п.) — то нет проблем, можно и дальше работать как обычно и не напрягаться. Предполагаю что многие интернет-ресурсы будут вставлять (если еще это не делают) в оферту, которая акцептуется пользователем при регистрации, условие что пользователь, передавая данные, соглашается с тем, что они являются общедоступными.

                    А если собираются, например, паспортные данные, то тут уже пользователи вряд ли согласятся со своей стороны объявлять их общедоступными, да и регуляторы сочтут это нарушением. Для хостинга таких данных надо-таки удовлетворять требованиям 152-ФЗ.
        0
        Оперативно :)
          +2
          Разве?
          Принят
          Государственной Думой Федерального Собрания Российской Федерации
          08 июля 2006 года
          Одобрен
          Советом Федерации Федерального Собрания Российской Федерации
          14 июля 2006 года

          Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.
            0
            вот как раз перед тем как люди начинают паниковать и искать как бы им решить свою проблему, потому что все как обычно откладывают на последний момент, появляется решение. Причем практически без конкуренции, насколько я понимаю.
          0
          Ну пипец, приехали.
          Прависи и блаблабла. Это, конечно, хорошо, но оно до тех пор хорошо, пока не мешает бизнесу работать. Т.е. если моя компания не сможет теперь работать с западными хостинг-компаниями, то что я буду делать? Ведь, на пример, западным компаниям будет довольно фиолетово до какого-нибудь мелкого пользователя с его VPS'ом и жалкими 50-100 баксов в месяц. Ну конечно же, найдется какая-либо «просветленная компания», которая почешется и сделает все как надо, но у нее будет ценник уже раза в 3-4 больше (не буду тыкать пальцем), чем обычно…
            0
            ну, а по PCI DSS сертифицироваться?
              +1
              FreeBSD — регуляторы этого не требуют.

              По топику — возьмем для примера интернет-магазин, у них минимум 1 ИСПДн, а именно «Заказы». Заказы могут приниматься как по телефону, так и по интернету — уже 2 ИСПДн. Конечно же, во многих магазинах есть CRM, это уже 3 ИСПДн. «Кадры» считать не будем пока. Все эти ИСПДн обычно имеют классификатор К3.

              Чтобы разместить эти 3 ИСПДн у Вас необходимо заплатить:
              60 000р. – 1 выделенный сервер на 1 год
              75 000р. – за комплекс технических мероприятий на 3 ИСПДн.
              30 000р. – за шаблоны документов (стоит отметить, что все документы можно найти в интернете, если хорошо поискать) и консультацию.
              3 000р. – помощь заполнение Уведомления об обработке персональных данных

              В годовой перспективе за все услуги придется отдать 168 000 рублей. Сумма не маленькая, особенно для интернет-магазина или небольшого сервиса, но она ниже, чем у интеграторов ИБ (в несколько раз, а то и в десятки!).
              И все же, хотелось бы более низких цен на ваши услуги.
              В целом, двигаетесь в правильном направлении.
                +1
                Да, и хотелось бы отметить, что основные проверки будет осуществлять Роскомнадзор, а он проверяет лишь документы, технической же частью занимаются ФСТЭК/ФСБ (проверяют они операторов заметно реже, нежели первый регулятор).
                  0
                  Не все так сурово, на самом деле. Если это интернет-магазин, где в нескольких технологических подсистемах обрабатываются персональные данные, то с точки зрения организации защиты этого сервера с ИСПДн, нет разницы, сколько разных подсистем там работает. Если они в совокупности не выходят за 2 класс.
                  Так что их можно рассматривать как одну ИСПДн и считать соответственно.
                  +1
                  зашёл на сайт
                  «Аттестацию могут проводить организации, имеющие соответствующую лицензию Гостехкомиссии РФ»
                  вы по документам какого года работаете? Гостехкомиссии уже шесть лет как не существует!
                    0
                    Да, это опечатка по старой памяти :-) Поправили, ФСТЭК конечно
                    0
                    Ребята, поправьте верстку текста на странице parking.ru/outsource/fz152/
                      0
                      А что там не так, подскажите?
                      Смотрю в Хроме 9.0, Опере 10.63, IE 9 — все ок
                        0
                        Уже все хорошо, были вещи типа <;/p>

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое