Защищенный сегмент Рег.облака соответствует требованиям безопасности информации и персональных данных, выполняет все требования ФЗ-152, постановления правительства № 1119 и приказа ФСТЭК № 21, имеет аттестат соответствия по 1 уровню защищенности (УЗ-1) обрабатываемых персональных данных.
Пользователи Рег.облака могут размещать и обрабатывать в облаке ФЗ-152 персональные данные любой категории. При этом часть требований законодательства необходимо выполнять на стороне пользователя.
Действия пользователей по защите персональных данных
Организационно-правовые меры защиты
-
1.
Оценка бизнес-процессов обработки ПДн. Определите цели, состав, порядок обработки, а также места и форму хранения персональных данных в ваших бизнес-процессах в соответствии со статьями 3 и 18 Федерального закона № 152-ФЗ «О персональных данных». Включите правовое основание обработки, учитывая требования статьи 6 ФЗ-152.
-
2.
Анализ рисков и моделирование угроз безопасности. Проведите оценку возможного ущерба субъектам ПДн и идентификацию угроз в соответствии с «Методикой определения актуальных угроз безопасности персональных данных» и рекомендациями ФСТЭК, применяя классификацию угроз в зависимости от типа и объема данных.
-
3.
Назначение ответственного за защиту ПДн. Назначьте сотрудника, ответственного за организацию обработки и защиту персональных данных, в соответствии с требованиями статей 18 и 19 ФЗ-152, с полномочиями для контроля соблюдения внутренних и законодательных требований.
-
4.
Определение уровней защищенности ИСПДн. Классифицируйте информационные системы с персональными данными по уровням защищенности согласно постановлению Правительства Российской Федерации № 1119. Выбирайте комплексный уровень защиты в зависимости от типа и объема обрабатываемых данных.
-
5.
Разработка и документооборот локальных нормативных актов (ЛНА). В соответствии со статьей 18 ФЗ-152 создайте и регулярно обновляйте пакет локальных документов — политики, положения, регламенты, инструкции по обработке и защите персональных данных. Обязательно публикуйте политику обработки персональных данных на открытых ресурсах (на сайте, в приложениях).
-
6.
Согласие субъектов персональных данных. Организуйте сбор и хранение подписанных согласий субъектов на обработку их персональных данных в соответствии со статьей 9 ФЗ-152.
-
7.
Уведомление Роскомнадзора. При необходимости подайте уведомление об обработке персональных данных в Роскомнадзор, соблюдая правила, установленные статьей 22 ФЗ-152 и административные регламенты контролирующего органа.
Технические меры защиты
-
1.
Внедрение организационно-технических мер. Реализуйте комплекс мер по защите персональных данных согласно приказу ФСТЭК России № 21 и техническим требованиям, включающим контроль доступа, шифрование, антивирусную защиту, мониторинг инцидентов и защиту каналов передачи данных.
-
2.
Оценка эффективности мер защиты. Проведите оценку эффективности принимаемых мер по обеспечению безопасности (в формате аттестационных мероприятий или оценки соответствия), аудит и тестирование системы защиты персональных данных с фиксацией результатов и корректировкой мероприятий в соответствии со статьей 19 ФЗ-152 и приказом ФСТЭК № 21.
-
3.
Контроль исполнения и мониторинг. Обеспечьте систематический контроль за соблюдением мер защиты, своевременное обновление систем безопасности, обучение персонала вопросам информационной безопасности, а также реагирование на инциденты и уведомление об утечках в соответствии с требованиями законодательства.