- Решение
- Соответствие требованиям законодательства
- Соответствие требованиям законодательства
Решение по локализации персональных данных в соответствии с требованиями 152ФЗ «О персональных данных»
- Возможность построения инфраструктуры для первичной обработки данных на территории Российской Федерации в защищенном контуре реализующим меры безопасности до УЗ1 включительно (обработка специальных категорий персональных данных)
- Организация прямого L2-подключения к российской̆ инфраструктуре с гарантированными техническими характеристиками из-за рубежа для организации доступа к первичной обработке персональных данных для международных компаний
Особенности применения законодательства
- «Облако» можно рассматривать как распределенную информационную систему, не противоречив требованиям закона.
- Необходимо корректно описать такую информационную систему в документации, «приземлив» на физическое оборудование и географическую локацию.
- Возможно обеспечить техническую защиту в виртуальной среде.
- Сбор и обработка должны происходить на территории России.
- Нет ограничений по ст. 12 152ФЗ «Трансграничная передача данных».
- База данных за рубежом должна быть меньше или равна по объему записей о гражданах, чем в России.
ОРГАНИЗАЦИОННО РАСПОРЯДИТЕЛЬНЫЕ МЕРОПРИЯТИЯ
- Инвентаризация персональных данных.
- Описание процессов передачи и обработки ПД.
- Оптимизация и адаптация бизнес-процессов.
- Построение частной модели угроз ИСПДн.
- Сбор согласий субъектов.
- Определение порядка взаимодействия с субъектами и проверяющими органами.
- Разработка положений, порядков, регламентов, инструкций Назначение ответственных за обработку и защиту ПД.
- Изменение трудовых договоров и договоров, касающихся обработки ПД.
- Регистрация в качестве оператора ПД Установление порядка контроля безопасности.
ТЕХНИЧЕСКИЕ МЕРОПРИЯТИЯ
- Разработка и реализация технического проекта на построение системы защиты персональных данных.
-
Применение сертифицированных средств защиты:
- Антивирусных средств
- Средств управления доступом.
- Средств анализа защищенности.
- Средств межсетевого экранирования.
- Средств обнаружения вторжений.
- Защита каналов передачи данных.
- Оценка соответствия требованиям.
ШАГИ ПО АДАПТАЦИИ ПРОЦЕССОВ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ЛОКАЛИЗАЦИИ
-
Определение чьи данные обрабатываем, в каком составе и с какой целью:
- внутренние (работников, кандидатов);
- внешние (клиентов, контрагентов, третьих лиц);
- данные, обрабатываемые по поручению третьих лиц.
-
Описание технологических процессы обработки ПДн с использованием сервисов:
- По возможности адаптировать процессы обработки данных исключив обработку критичных данных (специальных категорий, биометрических)
-
Разделение обязанностей и ответственности «оператора» и «обработчика» по защите ПДн
- Иметь подтверждения от поставщика в виде соглашений, договоров, оферт, публичных документов
-
Внесение изменений во внутреннюю документацию, учитывая ключевые аспекты:
- Обоснование трансграничной передачи данных
- Перенос ответственности по технической защите данных на поставщика
- Описание ИСПДн с четким разделением границ обработки данных (в т. ч. с локализацией географического расположения компонент информационных систем)
- Порядок доступа к сервисам и лиц, имеющих доступ
- Актуализация угроз безопасности с учетом принимаемых мер, в том числе сторонними организациями
- Определение необходимости применения дополнительных (в т. ч. компенсирующих) мер по защите ПДн
Stack Group имеет лицензии ФСТЭК на разрешение деятельности по технической защите конфиденциальной информации и ФСБ по предоставлению услуг в области шифрования информации.
"Заполняя настоящую форму, я своей волей и в своём интересе даю свое согласие Обществу с ограниченной ответственностью «Стек Групп» (ОГРН 1137746371487), находящемуся по адресу: 125319, г. Москва, Большой Коптевский проезд, дом 6, помещение IV, комната 16, на обработку моих персональных данных с целью осуществления коммуникаций с потенциальным потребителем услуг и продуктов компании.
Мои персональные данные, в отношении которых дается данное согласие, включают: фамилия, имя, отчество, должность, номер контактного телефона, адрес электронной почты, наименование компании.
Действия с моими персональными данными, на которые я даю данное согласие, включают в себя без ограничения: сбор, запись, систематизацию, накопление, хранение в информационной системе персональных данных, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение персональных данных с использованием средств автоматизации или без использования таких средств и иные действия, предусмотренные действующим законодательством Российской Федерации и необходимые для осуществления указанной целиобработки, а также передачу персональных данных любым третьим лицам,которым ООО «Стек Групп» передает соответствующие персональные данные для достижения указанных выше целей, при обязательном условии обеспечения данными лицами безопасности предоставленных выше персональных данных, в том числе трансграничную передачу в страны, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
Согласие действует в течение пяти лет и прекращается при наступлении одного из следующих событий: отзыв согласия на обработку персональных данных, достижение цели обработки персональных данных, по истечении срока обработки персональных данных.
Фактом подтверждения вышеперечисленного является отметка поля «Согласие на обработку персональных данных» перед отправкой данных из формы."