Хостинг ИСПДн

Размещение информационных систем персональных данных в защищенной облачной инфраструктуре
Компания Corp Soft 24 (АО "Корп Софт") представляет Вашему вниманию комплексную услугу "Хостинг ИСПДн" - размещение информационных систем персональных данных (ИСПДн) в защищенной облачной инфраструктуре. Услуга предоставляется в полном соответствии с действующим законодательством Российской Федерации, что позволяет заказчику (оператору персональных данных) минимизировать риски, связанные с обработкой персональных данных (ПДн) в Интернете и оптимизировать расходы на выполнение требований законодательства к защите персональных данных на сайте или в любой другой информационной системе. Благодаря модульной структуре услуга Хостинг ИСПДн в Облаке 152-ФЗ подходит как для малого и среднего бизнеса, так и для крупных корпоративных заказчиков и госструктур.

Модуль Защищенная инфраструктура (IaaS)

Защищенная ИТ-инфраструктура:

  • Центр обработки данных c защищенной инфраструктурой;
  • Защищенная сеть передачи данных;
  • Защищенная сеть хранения данных;
  • Отказоустойчивое серверное оборудование;
  • Защищенная платформа виртуализации;
  • Защищенная операционная система;

Модуль Информационная безопасность

Сертифицированные СЗИ, СКЗИ:

  • Средства защиты среды виртуализации;
  • Средства межсетевого экранирования;
  • Средства защиты информации от несанкционированного доступа;
  • Средства антивирусной защиты;
  • Средства криптографической защиты информации;
  • Средства анализа защищенности и поиска уязвимостей;
  • Средства обнаружения вторжений;
  • Средства резервного копирования;

Модуль Документация и аттестация

Разработка ОРД, интеграция, аттестация:

  • Классификация ИСПДн; *
  • Частная модель угроз; *
  • Шаблоны ОРД; *
  • Разработка модели угроз;
  • Разработка комплекта ОРД;
  • Разработка ТЗ на систему защиты ИСПДн;
  • Технорабочий проект на СЗ ИСПДн;
  • Внедрение СЗ ИСПДн;
  • Аттестация ИСПДн;

Законодательное регулирование обработки персональных данных

Облачная инфраструктура компании Корп Софт 24 и применяемые нами средства защиты информации полностью соответствует требованиям Российского законодательства, что подтверждено соответствующими сертификатами (ФСТЭК, ФСБ) и неоднократными проверками контролирующих органов.

  • Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных»

  • Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

  • Приказ ФСТЭК России от 18.02.2013 № 21 Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах

  • Приказ ФСБ России от 10 июля 2014 г. N 378 Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах с использованием средств криптографической защиты информации

Контролирующие органыих функции и полномочия

Роскомнадзор - обработка ПДн, организационно-технические меры

ФСТЭК России - выполнение требований по технической защите ИСПДн

ФСБ России - применение криптографических средств защиты

Организационно-технические меры по обеспечению безопасности ПДн

Оператор персональных данных обязан принять организационно-технические меры по обеспечению безопасности персональных данных, предусмотренные Приказом ФСТЭК России № 21 от 18.02.2013 . Состав организационно-технические мер зависит от требуемого уровня защищенности (УЗ), определяемого в соответствии с Постановлением Правительства РФ № 1119 от 01.11.2012, исходя из категории персональных данных, их принадлежности и количества. Для определения требуемого уровня защищенности Вы можете заполнить и прислать нам опросный лист.

Организационно-распорядительные документы (ОРД)

Оператор персональных данных должен документально подтвердить выполнение требований к защите персональных данных и принятие обязательных организационных и технических мер по обеспечению их безопасности.
При проверке Роскомнадзор в первую очередь уделяет внимание документальному оформлению обработки и защиты персональных данных. Поэтому, для успешного прохождения проверки, необходимо разработать и принять организационно – распорядительные документы, которые должны описывать ИСПДн и меры по ее защите, определять состав и категорию персональных данных, порядок, способы и цели их обработки, а также устанавливать порядок взаимодействия с субъектами персональных данных.

Основные документы, входящие в состав ОРД:

  • Акт определения уровня защищенности;
  • Положение об обработке ПДн;
  • Регламент взаимодействия с субъектами ПДн;
  • Регламент обеспечения безопасности ПДн;
  • Матрица доступа к информационной системе;
  • Политика в отношении обработки ПДн;

Приказы: об утверждении перечней ПДн, ИСПДн, подразделений и лиц, помещений, о назначении ответственных, о применении СКЗИ;

Журналы: учета СЗИ, СКЗИ, машинных носителей, изменений прав доступа, проведения мероприятий, проверок, инструктажа, фиксации нарушений, обращений субъектов;

Инструкции: по обращению с носителями информации, по антивирусной защите, резервному копированию и восстановлению, действия в нештатной ситуации;

Формы: согласие на обработку ПДн, соглашения о неразглашении;

Этапы размещения ИСПДн в защищенном облаке

Шаг №1 - Обследование ИСПДн
Классификация, определение уровня защищенности;
Разработка архитектуры защищенного контура;

Шаг №2 - Заключение договора-поручения на обработку ПДн
Определение целей обработки ПДн, перечня операций, организационно-технических мер по обеспечению безопасности;
Разработка модели угроз для защищаемого сегмента;

Шаг №3 - Размещение ИСПДн в защищенном контуре
Выделение вычислительных ресурсов;
Установка ОС, ПО, настройка СЗИ;
Развертывание/миграция системы;

Шаг №4 - Организационно-распорядительная документация
Подготовка пакета организационно-распорядительной документации;
Подача уведомления в Роскомнадзор;

Шаг №5 - Юридическая и техническая поддержка
Мониторинг законодательства;
Внесение изменений в техническое решение и документацию;
Поддержка при прохождении проверок;

Требования к провайдеру услуг по хостингу ИСПДн

1. Вычислительный центр хостинг-провайдера должен находиться на территории РФ
C 1 сентября 2015 года в Российской Федерации вступило в действие положение о локализации хранения и отдельных процессов обработки персональных данных, определенное в Федеральном законе №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», согласно п.1 ст.2 которого, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

2. Хостинг-провайдер должен иметь лицензию Роскомнадзора на оказание услуг связи
Для оказания услуг связи, хостинг-провайдеру требуется лицензия Роскомнадзора. Это следует из пункта 36 статьи 12 Федерального закона от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности». Согласно перечня наименований услуг связи, вносимых в лицензии на осуществление деятельности в области оказания услуг связи, утвержденного постановлением Правительства РФ от 18.02.2005 № 87), к лицензируемым услугам связи, в том числе, относятся:
Телематические услуги связи;
Услуги связи по передаче данных.

3. Для размещения ИСПДн хостинг-провайдер должен иметь лицензию ФСТЭК
Для выполнения работ по обеспечению безопасности персональных данных допускается привлекать на договорной основе сторонние организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации (пункт 2 абзац 2 Приказа ФСТЭК №21).Поскольку хостинг-провайдер, как уполномоченное по договору-поручению лицо, обязан предпринимать технические меры по защите ПДн, то есть оказывать услуги по технической защите информации, которые, в соответствии с положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным Постановлением правительства Российской федерации от 3 февраля 2012 г. N 79 относятся к лицензируемым видам деятельности.

4. Ряд мер по обеспечению безопасности персональных данных требует наличия у хостинг-провайдера лицензии ФСБ
В состав мер по обеспечению соответствующего уровня защищенности персональных данных, согласно Приказа ФСТЭК №21 включены мероприятия, связанные с использованием средств криптографической защиты информации (СКЗИ). Использование СКЗИ для оказания услуг регулируется и лицензируется Федеральной службой безопасности (ФСБ России).