Yandex.Cloud прошла добровольную аттестацию информационных систем персональных данных (ИСПДн). Этим мы ещё раз подтвердили высокий уровень безопасности данных, размещённых в облаке, и дали нашим клиентам возможность аттестовать собственные системы.

Для подтверждения соблюдения федерального закона 152-ФЗ «О персональных данных» обычно достаточно заключения о соответствии, полученного в рамках самостоятельной оценки, либо с привлечением организации с лицензией ФСТЭК. В начале года платформа Yandex.Cloud прошла такой внешний аудит и подтвердила соответствие высшему уровню защищённости персональных данных — УЗ-1. Наши клиенты получили возможность обрабатывать в облаке любые категории персональных данных, включая биометрические и специальные (сведения о здоровье, вероисповедании, личных взглядах и другие чувствительные данные).
storage.yandexcloud.net/yc-compliance/conformance_ru_certificate.pdf

Однако в ряде случаев компании-операторы персональных данных требуют, чтобы система контрагента, которому оператор передаёт данные для обработки, была аттестована на соответствие требованиям по безопасности информации. Наличие аттестата ИСПДн, например, требуется для взаимодействия с государственными информационными системами в сфере здравоохранения. Наши клиенты, обрабатывающие чувствительные данные, часто сталкивались с подобными требованиями, поэтому мы приняли решение пройти добровольную аттестацию, чтобы дать им возможность без проблем аттестовывать собственные системы, размещённые в Yandex.Cloud. Для информационных систем, не являющихся государственными, аттестат не обязателен, но он может быть получен в добровольном порядке для подтверждения должного уровня защиты ИСПДн.

Разница между заключением о соответствии и аттестатом заключается в более строгом регулировании вопросов проведения аудита. Компания, оказывающая услуги по аттестации, в соответствии с приказом ФСТЭК РФ № 21 и постановлением Правительства России № 1119 должна иметь лицензию на осуществление деятельности по технической защите конфиденциальной информации и пройти процедуру аккредитации ФСТЭК России. Затем создаётся аттестационная комиссия, состоящая из экспертов и специалистов в области информационной безопасности, которая может проводить оценку соответствия организационных и технических мер, а также испытания технических и программных средств защиты персональных данных.

В результате добровольной аттестации платформа Yandex.Cloud ещё раз подтвердила высокий уровень безопасности данных, размещённых в облаке, и получила аттестат безопасности на 3 года.
cloud.yandex.ru/security#standards

Хотите узнать, в чем преимущества хранения персональных данных в облаке? Регистрируйтесь на вебинар — расскажем, как выполнить требования по соответствию 152-ФЗ. Вы узнаете, как устроена «Облачная платформа Selectel», в каких случаях необходимо соответствовать законодательству и как наши клиенты защищают персональные данные.

Все о возможностях облака для выполнения 152‑ФЗ

• 2 часа полезных знаний. Расскажем, как быстро перейти в облако и хранить в нем персональные данные.
• 2 эксперта Selectel. Мы пригласили ведущих специалистов, отвечающих за развитие облачных сервисов и реализацию решений для обеспечения информационной безопасности.
• 1 персональный грант. Каждый участник вебинара может получить грант Selectel Start на 500 000 рублей для создания IT‑инфраструктуры в нашем облаке.

promo.selectel.ru/webinar/152fz/150421/

Как прежде, инфраструктура облака соответствует требованиям 152-ФЗ и в ней гарантируется 2 уровень защищенности персданных. Но теперь клиентам сервиса доступны более мощные виртуальные машины

Полученный аттестат подтверждает соответствие инфраструктуры Cloud-152 требованиям 152-ФЗ, постановления Правительства № 1119 и приказа ФСТЭК № 21, что позволяет обрабатывать персональные данные.



Переаттестация проводилась в связи с модернизацией инфраструктуры защищенного облака Cloud-152. В результате клиентам станут доступны виртуальные машины с частотой ядра 3 ГГц, количеством ядер до 36 и объемом оперативной памяти до 512 Гб. В ходе аттестации DataLine продемонстрировала, что организационная структура, нормативное и методическое обеспечение, а также техническая оснащенность Cloud-152 соответствуют установленным требованиям законодательства РФ.

Аттестат выдан «Национальным аттестационным центром».
«Данный аттестат подтверждает, что в инфраструктуре Cloud-152 обеспечивается второй уровень защищенности обрабатываемых персональных данных, — комментирует директор центра киберзащиты Василий Степаненко. — Таким образом, сервисом смогут воспользоваться компании, которым необходимо обеспечить от второго до четвертого уровня защищенности персональных данных, а также заказчики, работающие с медицинскими персональными данными в объемах от 100 000 субъектов».

Инфраструктура Cloud-152 также сертифицирована по международному стандарту PCI DSS.
www.dtln.ru/uslugi/iaas/cloud-152

Компания Linxdatacenter, международный эксперт в сфере высокотехнологичных решений хранения и обработки данных, облачных сервисов и телекоммуникаций, разработала «Защищенное облако 152-ФЗ» — сервис по аренде виртуальной инфраструктуры для компаний, работающих с персональными данными граждан РФ. В новом сервисе реализованы меры защиты информации, отвечающие требованиям Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ. Linxdatacenter входит в реестр операторов персональных данных и обладает лицензией ФСТЭК России на деятельность по технической защите информации, а используемые программные продукты сертифицированы ФСТЭК РФ и ФСБ РФ.

Сервис предназначен для компаний, регулярно работающих с персональными данными – например, для организаций, работающих в сфере медицины, страхования, электронной коммерции. Защищенное облако помогает бизнесу соблюдать требования законодательства РФ, без необходимости самим компаниям становиться операторами персданных. Услуга может быть адаптирована под нужды клиента с помощью гибридных решений и интегрирована в существующую ИТ-инфраструктуру. Отличительными особенностями являются быстрота запуска системы и легкое масштабирование ресурсов в случае необходимости наращивания мощности.

Сервис доступен в двух конфигурациях. Типовое решение предлагает серверные средства защиты информации, достаточные для обеспечения защиты персональных данных в информационных системах IV и III уровней защищенности. Для компаний, обрабатывающих большие объемы персональных данных и нуждающихся в комплексных мерах по защите информации, предусмотрены индивидуальные решения. В рамках такого сервиса клиент получает систему для хранения персональных данных до II уровня защищенности и полный комплект документов, подтверждающих соответствие решения требованиям законодательства РФ.

Отказоустойчивая инфраструктура построена на базе платформы виртуализации VMware и обладает всеми преимуществами собственной облачной платформы Linxdatacenter – LinxCloud. При разработке архитектуры была предусмотрена защита всех компонентов: гипервизора, платформы виртуализации, аппаратной платформы и СХД, виртуальных сетей, системы управления. Доступ к облаку предоставляется с использованием сертифицированных средств криптографической защиты. Клиенты получают письменные гарантии обеспечения безопасности и конфиденциальности персональных данных, обрабатываемых в «Защищенном облаке 152-ФЗ».

Разрабатывая новый облачный сервис, мы стремились создать продукт, максимально точно отвечающий потребностям клиентов, работающих с персональными данными. В планах на будущее – разработка комплексного решения «Безопасность как услуга» для клиентов, обеспокоенных безопасностью своих информационных систем в целом

говорит Борис Меркулов, инженер по облачным решениям и информационной безопасности Linxdatacenter.

Краткая справка о Linxdatacenter
Linxdatacenter (штаб-квартира в Амстердаме, Нидерланды) – один из лидеров международного рынка высокотехнологичных ИТ-решений для бизнеса. География предоставления услуг Linxdatacenter охватывает рынки Центральной и Восточной Европы, России, Азии и Скандинавии.
Компания предоставляет облачные решения и сервисы в области хранения данных в собственных дата-центрах уровня TIER III в Москве и Санкт-Петербурге, а также на базе партнерских дата-центров в Варшаве, Шанхае и Гонконге. Портфолио Linxdatacenter включает услугу частного доступа к глобальным облачным сервисам, таким как Amazon Web Services и Google Cloud Platform.
Дата-центры компании имеют сертификацию ISO 27001, ISO 9001, PСI DSS, SAP Cloud and Infrastructure и соответствуют стандарту Management & Operations Stamp of Approval (Uptime Institute). Опыт работы компании составляет более 18 лет.

Подробнее о решениях Linxdatacenter на сайте ru.linxdatacenter.com

Если вашей организации нужно хранить и обрабатывать персональные данные с выполнением требований 152-ФЗ, защищать коммерческую тайну и другую конфиденциальную информацию — вам поможет новая услуга Selectel «Выделенные серверы в защищенном сегменте ЦОД» для информационных систем с высокими требованиями к защите.
Что вы получите в рамках услуги

• Защищенный сегмент дата-центра, который соответствует требованиям приказа № 21 ФСТЭК в части физической безопасности.
• Изолированную от других клиентов дата-центра сеть.
• Возможность подключить дополнительные средства защиты для нейтрализации актуальных угроз безопасности.
• Возможность заказать аттестацию системы по требованиям безопасности информации.

Наши преимущества

• У нас есть лицензии ФСТЭК и ФСБ для оказания услуг в области защиты информации.
• Можем размещать информационные системы персональных данных (ИСПДн) с 4 по 1 (максимальный) уровень защищенности.
• Основные средства защиты находятся в наших дата-центрах и предоставляются как сервис — вам не нужно ждать поставку оборудования.

Подробнее об услуге вы можете узнать на нашем сайте.
selectel.ru/services/is/dswes/

I. Закон 54-ФЗ о применении контрольно-кассовой техники.
В пятницу, 30 июня 2017 г. разработчики BILLmanager выпустят внеплановое обновление. Владельцы биллинга получат интеграцию с АТОЛ Онлайн. Это облачный сервис, который позволяет взять онлайн-кассу в аренду и тем самым быстро привести бизнес в соответствие новым требованиям 54-ФЗ.

Новые требования 54-ФЗ
Изменения в 54-ФЗ о применении ККТ вступят в силу 1 июля 2017 г. За последние 10 лет это самая глобальная реформа в интернет-торговле. Если вы еще не знакомы с законом, рекомендуем прочитать его текст.

По новым правилам кассовые аппараты должны будут передавать электронные копии чеков онлайн в налоговую. Изменения затрагивают даже предпринимателей на ЕНВД и ПСН, которые раньше не работали с кассовой техникой. Правда, для них онлайн-кассы станут обязательными лишь с июля 2018 года.

Если вы сомневаетесь, нужна ли вам онлайн-касса, пройдите простой тест на сайте nalog.ru.

Что потребуется сделать
Владельцам BILLmanager нужно пройти регистрацию в АТОЛ Онлайн.
Также одним из обязательных требований является подключение к оператору фискальных данных или ОФД, который обеспечивает сбор, хранение и передачу данных с кассы в налоговую. Во время регистрации в АТОЛ Онлайн вопрос подключения подробно освещается.

Платежные системы
BILLmanager будет поддерживать работу с онлайн-кассами через платёжную систему ROBOKASSA. В ближайшее время появится поддержка для Яндекс.Касса и PayMaster.
II. Закон 152-ФЗ о персональных данных.
1 июля 2017 года ужесточаются требования по сбору персональных данных физлиц. Поправки касаются любого бизнеса, взаимодействующего с данными клиентов. BILLmanager попадает под новые требования, т.к. платформа собирает личные данные, переписку с поддержкой, информацию о платежах.

Что требуется сделать
Вы должны разработать политику конфиденциальности либо привести существующий документ в соответствие новым требованиям. При регистрации в биллинге пользователи должны прочитать политику и согласиться с ней.

Добавьте ссылку на политику конфиденциальности в окно регистрации. Данные настройки доступны в COREmanager* в разделе Настройки -> Настройки бренда.

COREmanager – единый фреймворк, который устанавливается вместе с каждым продуктом ISPsystem. Для входа в COREmanager достаточно поменять URL биллинга. Если для входа в биллинг вы используете адрес my.domain.com/manager/billmgr, то COREmanager доступен по ссылке my.domain.com/manager/core.


Пока это все новости, связанные с законодательством. Если будут вопросы, обязательно спрашивайте.