/

Главная / О компании / Блог / Персональные данные в защищенном облаке Softline

Персональные данные в защищенном облаке Softline

После вступления в 1996 году в Совет Европы Россия в 2001 году подписала европейскую Конвенцию «О защите физических лиц при автоматизированной обработке персональных данных». После ратификации Конвенции (ФЗ-160 от 19 декабря 2005 года) во исполнение международных обязательств наконец-то был принят известный всем Федеральный Закон №152 «О персональных данных» от 27 июля 2006 г.

Заканчивая краткий исторический экскурс, стоит отметить еще одну дату – 1 сентября 2015 г., когда начал действовать 242-ФЗ от 21.07.2014, который обязывал оператора «обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».

Благодаря этим законотворческим инициативам мы теперь знаем, что:

  • «персональными данными» является «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»; 

  • «оператор персональных данных» – государственный орган, муниципальный орган, юридическое или физическое лицо, осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия, совершаемые с персональными данными;

  • сбор и обработку персональных данных нужно производить на территории РФ (а уже потом можно куда-нибудь передать, согласно Конвенции) и т. д.

Как обеспечить защиту персональных данных

Согласно Статье 19 152-ФЗ, для обеспечения безопасности персональных данных при их обработке требуется ряд серьезных мер как организационного, так и технического плана. При этом в зависимости от «возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, актуальности угроз безопасности персональных данных» установлены четыре уровня защищенности персональных данных. По мере роста уровня от четвертого к первому возрастают требования к используемым средствам защиты информации.

Отсутствие должной защиты персональных данных может привести не только к серьезным штрафами личной ответственности руководителей, но и к попаданию сайта организации в реестр запрещенных интернет-ресурсов,что приведет к его немедленной блокировке. Коммерческий риск дополняется имиджевым, и суммарный ущерб для компании может быть непоправимым.

К счастью для бизнеса, п.3 ст.6 152-ФЗ гласит, что «оператор вправе поручить обработку персональных данных другому лицу» и «лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом». 

Это и позволяет нашим клиентам сбросить груз забот по обеспечению защиты персональных данных на заботливые надежные плечи профессионалов и перенести информационные системы, содержащие персональные данные в «Защищенное облако Softline».

Техническая сторона

Технически «Защищенное облако» построено на сертифицированной платформе FlexPod, в основе которой — вычислительные мощности и коммутаторы Cisco, системы хранения NetApp и программное обеспечение VMware. FlexPodуже много лет эксплуатируется на 7 площадках Softline Cloud в разных городах и показал себя безусловно надежной платформой. Безграничные возможности горизонтального масштабирования, отказоустойчивость и гарантированная совместимость оборудования и ПО – залог стабильной работы инфраструктуры клиентов облачной платформы. 

Для обеспечения выполнения требований законодательства мы использовали средства защиты информации, являющиеся «де факто» стандартами рынка – «Лаборатория Касперского», «Код Безопасности», «КриптоПро» — и построили публичное мультитенантное облако, которое позволяет размещать информационные системы персональных данных уровня защищенности 3-4. При необходимости размещения ИСПДн уровней защищенности 1-2 инфраструктура выделяется в отдельное частное облако, построенное на схожем технологическом решении.

Защищенное облако Softline аттестовано лицензиатом ФСБ, что является гарантией соблюдения требований законодательства как для нашего клиента, так и для проверяющих органов.

Документы готовы

При размещении ИСПДн в Защищенном облаке предоставляется весь необходимый пакет документов: модель угроз безопасности ПД; акты классификации Защищенного облака; описание подсистемы защиты; приказы об утверждении регламентных документов обеспечения информационной безопасности (модели здоровья, регламент РК и пр.); поручение об обработке ПД (хранение персональных данных и предоставление этих персональных данных для обработки пользователям Заказчика).

Компании-оператору персональных данных остается обеспечить защиту канала связи до облака, подключаемых рабочих мест и отправить уведомление в Роскомнадзор.

Но следует помнить, что кроме размещения ИСПДн в Защищенном облаке требуется соблюдение правил работы организации с персональными данными и с 1 июля 2017 были внесены поправки в ст.13.11 КоАП, ужесточающие требования к обработке ПД и увеличивающие штрафы за нарушения.