Comments 10
Закон нужно соблюдать, но «Смарт-Сервис» не планировал развивать у себя внутри компетенции по защите ПДн. Поэтому сервисы и данные, которыми делились их пользователи, «переехали» в Linxdatacenter. «Смарт-Сервис» перенес серверные мощности рабочего окружения в отдельную защищенную сетевую зону нашего дата-центра, аттестованную в соответствии с заявленными в 152-ФЗ требованиями – так называемое «Защищенное облако».

Тот факт, что «Смарт-Сервис» хостит свои информационные системы в вашем "защищенном" датацентре, не снимает с него лейбл Оператора персональных данных, а следовательно «Смарт-Сервис» должен выполнить :


требования Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) 'О персональных данных'

Глава 4. Обязанности оператора
Статья 18. Обязанности оператора при сборе персональных данных
Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
Статья 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных
Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных
Статья 22. Уведомление об обработке персональных данных
Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях


А следовательно развивать внутри компании компетенции по защите ПДн всеравно придется, и, скорее всего, это решение будет принято после первой же проверки со стороны РКН.


Любая информационная система, обрабатывающая персональные данные, должна удовлетворять трем основным требованиям:

доступ к серверам хранения и обработки данных должен производиться через VPN-канал с шифрованием согласно ГОСТ;
серверы хранения и обработки данных должны находиться под постоянным мониторингом > антивирусной защитой на отсутствие уязвимостей;
СХД должен быть расположен в изолированных сетях.

Интересно было бы узнать из каких нормативно-методических документов ФСТЭК или ФСБ России вами были сделаны выводы о достаточности этих мер для приведения ИСПДн в соответствие требованиям 152-ФЗ…
И последнее — вы не думаете, что штрафы от контролирующих органов могут быть в судебном порядке взысканы с вас за введение в заблужение ваших клиентов, в части выполнения последними требований законодательства РФ (захостил ИС у нас в облаке = выполнил требования 152-ФЗ)?

Данный пост о технической стороне вопроса, о том, как это делалось по отношению к существующей инфраструктуре.

Из документов: 152-ФЗ, ПП-1119, приказ ФСТЭК № 21 и приказ ФСБ № 378. Более того, у нас имеются лицензии ФСТЭК на ТЗКИ и ФСБ на работу с СКЗИ и документы, подтверждающие соответствие требованиям безопасности информации по 3 уровню защищенности персональных данных. Компетенциями обладаем, спасибо.

Разместив у нас сервис, вы не соблюдаете 100 % комплаенс по ФЗ-152, это более чем очевидно, и мы всем говорим об этом. Нужно наводить порядок и внутри организации. Мы не можем как сервис-провайдер писать о внутренней организационно-распорядительной документации Заказчика и уж тем более как-то контролировать это, следить за изменениями. Разработка правильной документации требует проведения внутреннего аудита, понимания информационных процессов компании не только по отношению к автоматизированной обработке ПДн, но и неавтоматизированной. И уже на основе этой информации нужно писать Политики, Инструкции, Положения и т.д. Мы предоставляем подобные услуги, но это уже тема для отдельной статьи, которую мы, надеюсь, когда-нибудь напишем.

По части соблюдения 21 приказа ФСТЭК и технических мер защиты – добро пожаловать.
Закон нужно соблюдать, но «Смарт-Сервис» не планировал развивать у себя внутри компетенции по защите ПДн.

Я бы сказал, что это почти уникальный случай: всего в третий раз в моей жизни (и первый раз публично) компания заявляет, что не хочет заниматься безопасностью данных пользователей, вот бы кто за них заполнил все бумажки. Интересно, как у такой компании могут быть дела с уязвимостями, утречками данных из-за багов в коде, а не из-за проблем с инфраструктурой?

Не планировал развивать компетенции — не значит, что компания не занимается безопасностью. Это значит, что компания реализует это не собственными силами, а силами подрядчиков. В случае с инфраструктурной частью «Смарт-Сервис» обратился к нам. Подрядчиков по документации раскрыть, увы, не можем.
Первое решение позволяет автоматизировать процесс обслуживания оборудования в самых разных областях – от настройки кофемашин и кондиционеров в офисных помещениях до ремонта газовых турбин.

Меня вот больше заинтересовала вот эта фраза. Мне совершенно не ясно, откуда там законно появляются ПД. Зачем для обслуживания оборудования для бизнеса необходимо производить обработку ПД? Вообще, чьи ПД данные там могут быть?

Если я правильно понимаю, то даже контакты менеджера, который согласует сроки обслуживания, и данные инженера по ремонту турбин, которые нужны для оформления пропуска, уже являются ПД.

Если я правильно понимаю, то даже контакты менеджера, который согласует сроки обслуживания

Если там ФИО и день рождения, то да, это ПД. Но оно зачем? И очень сомневаюсь, что у этого менеджера (чужого) брали согласие на обработку ПД.

данные инженера по ремонту турбин, которые нужны для оформления пропуска, уже являются ПД.

Для пропуска необходимо ФИО. Просто ФИО — это не ПД.
Но такие платформы обрабатывают ПД на уровне юрлиц. Так, если в компании трудоустроены инженеры и менеджеры, они подписывают ряд документов, в том числе на обработку ПД. Потом компания регистрирует их в срм или хеплдеске, и там оказываются их ФИО, почта, телефон.
СХД должен быть расположен в изолированных сетях

а какая именно изоляция тут подразумевается, не физическая же?


и как любые эти меры по изоляции соотносятся с тем, что внутри сети должен работать касперский, который шлет проверяеммые данные на свои сервера?

Нет, не физическая.
Мы используем сертифицированный дистрибутив Лаборатории Касперского. Очевидно, с сертификацией каким-то образом данный вопрос решался. Если наши регуляторы считают это приемлемым, то почему бы и нет. По умолчанию у нас отключена синхронизация с KSN (тут находится конспирологическое пояснение, что Касперский все равно шлет данные). Сервис как раз создан для того, чтобы избавить заказчиков от проблем с частью требований регуляторов.
Only those users with full accounts are able to leave comments. Log in, please.