ФЗ-152, операторы персональных данных (ПД) и ЦОД

К закону «О персональных данных» от 27.07. 2006 года № 152-ФЗ можно относится как угодно, но нельзя отрицать — в свое время он изменил рынок. При этом с одной стороны, это была правильная инициатива для защиты прав граждан. С другой — в ФЗ-152, постановлении Правительства № 1119 и даже приказе ФСТЭК России № 21 как не было, так и нет схем, конкретных требований и чек-листов, что по-прежнему вызывает массу вопросов у всех, от маленьких интернет-магазинов до муниципальных структур.

Базовые понятия и терминология

Начнем с азов. По сути, все юридические лица или ИП, которые собирают, хранят и передают ФИО, дату и место рождения, адрес регистрации, статус, сведения о доходе, образовании, номера телефонов, e-mail, паспортные данные, номера СНИЛС и ИНН клиентов, партнеров или сотрудников, являются операторами персональных данных (ПД). От них закон требует обеспечить и поддерживать меры по защите информационных систем, в которых хранятся ПД. 

О ФЗ 152 - статья GreenBushDC

В зависимости от угрозы и заданного уровня безопасности, это может быть антивирусная подсистема, межсетевое экранирование, анализ защищенности, подсистемы криптографии, обнаружения вторжений и пр. К каждой из технических мер защиты дополнительно нужны соответствующие организационные документы, а для процедур обработки и передачи ПД должны быть составлены регламенты.

Роль дата-центра в соблюдении требований 152-ФЗ

На самом деле соблюдение ФЗ-152 — это не столько про технические средства, сколько про формирование, оптимизацию и поддержку процессов обращения с ПД. И это важное уточнение, поскольку многие компании уверены — передав сервера в дата-центр, они тем самым перекладывают на ЦОД обязанности и ответственность оператора персональных данных. Совершенно зря, поскольку дата-центр в цепочке сбора, хранения и обработки информации — не более, чем промежуточное звено. Даже если у ЦОД есть IaaS-платформа или физическая инфраструктура, аттестованная на соответствие требованиям 152-ФЗ «О персональных данных». 

Тот факт, что ПД хранятся в аттестованном облаке ЦОД, не снимает с компании-оператора ответственности за их сохранность. Просто бизнес, пользуясь аттестованной инфраструктурой ЦОД, может не беспокоиться о требованиях регулятора в части размещения оборудования и контроля доступа, а сосредоточиться на безопасности собственных информационных систем, рабочих станций и удаленного доступа.

За что же тогда отвечает дата-центр? Во-первых, за уничтожение персональных данных  после расторжения договора с клиентом. Во-вторых, за поддержку отказоустойчивой IT-инфраструктуры и физическую безопасность оборудования. Например, серверов клиента с хранящимися на них ПД.

Зал в дата-центре

В любом случае, оператор ПД должен понимать — корректное выполнение Федерального закона №152-ФЗ в большей мере зависит именно от него. ЦОД же помогает в реализации требований и снимает финансовую нагрузку в части обеспечения сетевой безопасности, изолированной инфраструктуры и контроля доступа к серверам/облачному сервису. Как это реализовано у нас — приходите посмотреть. GreenBushDC проводит регулярные экскурсии: заполните форму и мы свяжемся с вами, чтобы согласовать дату и время визита.
Поделиться:
Читать еще
Внутренний аудит информационной безопасности 18.06.2021
В копилку службы ИБ: методы, подходы и чек-листы для внутреннего аудита информационной безопасности.
Читать подробнее
Как разобраться с логированием: гайд для начинающих 25.06.2021
Зачем оно нужно, это логирование и как упростить процесс сбора, анализа и хранения логов.
Читать подробнее
Когда нужен внешний аудит информационной безопасности 09.07.2021
Про объекты, результаты и периодичность внешнего аудита информационной безопасности для операторов ПДн, объектов критической информационной инфраструктуры, субъектов НПС и других компаний.
Читать подробнее
Что такое тикет-система и как она применяется в ЦОД 16.07.2021
Чем тикет-система лучше телефонной поддержки и как ЦОД использует тикеты для улучшения работы.
Читать подробнее
Аварии в ЦОД и как их избежать 23.07.2021
Про экстраординарные форс-мажоры ЦОД на примере аварии дата-центра «Курчатовский» и меры защиты от основных глобальных рисков
Читать подробнее
Введение нового порядка госаккредитации ИТ-компаний в РФ 30.07.2021
Как изменится госаккредитация ИТ-компаний с 1 августа 2021 года? Делаем обзор изменений и нововведений.
Читать подробнее
Оставить заявку
После отправки заявки ожидайте звонка нашего менеджера.
* Поля, обязательные к заполнению.
Спасибо!
Данные вашего заказа будут переданы в отдел продаж.
После чего ожидайте звонка вашего личного менеджера.
контакты компании
Адрес компании
124460, Москва, Зеленоград, ул. Конструктора Лукина, д. 14А, офис 501
Поддержка 24\7
8 800 350 15 00
ПОЧТИ готово!
Спасибо, данные вашего заказа будут переданы в отдел продаж.
После чего ожидайте звонка вашего личного менеджера.
* Поля, обязательные к заполнению.