Закон нужно соблюдать, но «Смарт-Сервис» не планировал развивать у себя внутри компетенции по защите ПДн. Поэтому сервисы и данные, которыми делились их пользователи, «переехали» в Linxdatacenter. «Смарт-Сервис» перенес серверные мощности рабочего окружения в отдельную защищенную сетевую зону нашего дата-центра, аттестованную в соответствии с заявленными в 152-ФЗ требованиями – так называемое «Защищенное облако».
Тот факт, что «Смарт-Сервис» хостит свои информационные системы в вашем "защищенном" датацентре, не снимает с него лейбл Оператора персональных данных, а следовательно «Смарт-Сервис» должен выполнить :
требования Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) 'О персональных данных'
Глава 4. Обязанности оператора
Статья 18. Обязанности оператора при сборе персональных данных
Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
Статья 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных
Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных
Статья 22. Уведомление об обработке персональных данных
Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях
А следовательно развивать внутри компании компетенции по защите ПДн всеравно придется, и, скорее всего, это решение будет принято после первой же проверки со стороны РКН.
Любая информационная система, обрабатывающая персональные данные, должна удовлетворять трем основным требованиям:
доступ к серверам хранения и обработки данных должен производиться через VPN-канал с шифрованием согласно ГОСТ;
серверы хранения и обработки данных должны находиться под постоянным мониторингом > антивирусной защитой на отсутствие уязвимостей;
СХД должен быть расположен в изолированных сетях.
Интересно было бы узнать из каких нормативно-методических документов ФСТЭК или ФСБ России вами были сделаны выводы о достаточности этих мер для приведения ИСПДн в соответствие требованиям 152-ФЗ…
И последнее — вы не думаете, что штрафы от контролирующих органов могут быть в судебном порядке взысканы с вас за введение в заблужение ваших клиентов, в части выполнения последними требований законодательства РФ (захостил ИС у нас в облаке = выполнил требования 152-ФЗ)?
Здравствуйте!
Подскажите, пожалуйста, планируется ли добавление в Youtrack возможности расширения функционала посредством плагинов по аналогии с JIRA (https://marketplace.atlassian.com/addons/app/jira) или Redmine (https://www.redmine.org/plugins).
Тот факт, что «Смарт-Сервис» хостит свои информационные системы в вашем "защищенном" датацентре, не снимает с него лейбл Оператора персональных данных, а следовательно «Смарт-Сервис» должен выполнить :
Глава 4. Обязанности оператора
Статья 18. Обязанности оператора при сборе персональных данных
Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
Статья 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных
Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных
Статья 22. Уведомление об обработке персональных данных
Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях
А следовательно развивать внутри компании компетенции по защите ПДн всеравно придется, и, скорее всего, это решение будет принято после первой же проверки со стороны РКН.
Интересно было бы узнать из каких нормативно-методических документов ФСТЭК или ФСБ России вами были сделаны выводы о достаточности этих мер для приведения ИСПДн в соответствие требованиям 152-ФЗ…
И последнее — вы не думаете, что штрафы от контролирующих органов могут быть в судебном порядке взысканы с вас за введение в заблужение ваших клиентов, в части выполнения последними требований законодательства РФ (захостил ИС у нас в облаке = выполнил требования 152-ФЗ)?