1 июля вступили в силу дополнения п. 5 ст. 18 ФЗ-152 “О персональных данных”, связанные с локализацией персональных данных россиян.

В этой статье разбираем, какие риски ждут бизнес, что в этом случае делать и как уведомлять РКН об обработке персональных данных.

Что именно изменилось
Если согласно предыдущей версии закона оператор был обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, то последняя редакция ФЗ-152 предполагает введение императивного запрета на все эти действия с использованием баз данных, находящихся за пределами территории РФ (за исключением случаев, указанных в пунктах 2, 3, 4 и 8 ч. 1 ст. 6 152-ФЗ).

Также обращаем ваше внимание, что из ч. 5 ст. 18 152-ФЗ исключено упоминание операторов персональных данных, что может повлечь за собой распространение соответствующих обязательств на лиц, обрабатывающих персональные данные по поручению оператора. То есть даже если компания напрямую не является оператором, а действует по поручению, например, работает на аутсорсе в качестве подрядчика оператора, новые изменения ее тоже коснутся, поэтому подачу уведомления об обработке персональных данных в РКН лучше не откладывать.

Напомним, к персональным данным относятся ФИО, email, номер телефона, паспортные данные, дата и место рождения, адрес проживания, ИНН, СНИЛС, фотографии, информация о семейном положении, образовании, профессии, доходах и т.д.

За нарушение требований по локализации предусмотрены штрафы: до 6 млн руб. за первичное нарушение и до 18 млн – за повторное.
www.eg-online.ru/article/496572/

Теперь – о том, как следовать букве закона и не получить штраф.

Что делать бизнесу
Используйте IT-инфраструктуру в России
Если ваша компания взаимодействует с российскими пользователями, необходимо записывать собранные данные только в локальные базы, размещенные на территории Российской Федерации, и не иметь копий за ее пределами. На практике это означает, что для развития вашего бизнеса с учетом обновлений законодательства серверы, на которых происходит обработка персональных данных, или облачные хранилища, также взаимодействующие с персональными данными, должны размещаться в дата-центрах, расположенных в России, – например, в Beget предусмотрена возможность арендовать решения с локацией как в РФ, так и за рубежом. При этом обращаем ваше внимание на то, что наша компания не обрабатывает персональные данные пользователей по поручению операторов.

Подайте в Роскомнадзор уведомление об обработке персональных данных
Уведомление об обработке персональных данных можно подготовить по образцу на портале персональных данных Роскомнадзора.
pd.rkn.gov.ru/docs/Uvedomlenie_ob_obrabotke.pdf

Подать в РКН уведомление об обработке персональных данных можно одним из трех способов:
Распечатать и подать в бумажном виде в территориальное отделение РКН по месту регистрации. Образец формы, которую следует распечатать и отправить в территориальный орган, можно найти на портале персональных данных Роскомнадзора.
pd.rkn.gov.ru/operators-registry/notification/form/

Через сайт РКН в виде электронного документа, подписанного усиленной квалифицированной электронной подписью – в этом случае у вас должен быть установлен плагин КриптоПро ЭЦП Browser plug-in и настроена работа с ним. Подать уведомление можно через портал персональных данных Роскомнадзора.
www.cryptopro.ru/products/cades/plugin
pd.rkn.gov.ru/operators-registry/notification/form/

Через Госуслуги – если вы хотите подать уведомление за организацию, то ваша учетная запись должна быть привязана к данной организации на Госуслугах.
esia2.rkn.gov.ru/auth/pdform

После этого РКН в течение 30 дней с даты поступления уведомления внесет информацию в реестр операторов персональных данных. При этом в случае отправки уведомления в бумажном виде дата будет отсчитываться с момента его получения территориальным отделением.

Чтобы проверить, есть ли вы в реестре, зайдите на сайт РКН, введите ИНН или название вашей компании и нажмите “Найти” – если сведений нет, значит, нужно направить уведомление.
pd.rkn.gov.ru/

Организуйте обучение сотрудников
Проведите инструктаж среди всех, кто работает с персональными данными (отдел кадров, бухгалтерия, отдел по работе с клиентами и т.д.).

Подготовьте сайт
Если ваш сайт собирает статистику по пользователям или содержит формы обратной связи, то вы уже участвуете в сборе персональной информации. Важно актуализировать форму политики обработки персональных данных, разместить на сайте ссылку на нее (например, в футере) и настроить уведомление посетителей сайта о сборе информации в cookie. Если у вас возникнут сложности с подготовкой документов для сайта по порядку обработки персональных данных ваших клиентов и пользователей, наши юристы придут на помощь.

Заключение
По данным РКН, с января по май 2025 года в России зафиксировано 30 случаев утечек персональных данных.

Вопрос хранения данных актуален для любого бизнеса, а сегодня, когда штраф можно получить, не только намеренно собирая и передавая данные с преступными целями, но и просто не соблюдая обновленный ФЗ-152 “О персональных данных”, каждому важно держать руку на пульсе и адаптироваться к новым изменениям.

Если у вас возникли вопросы, свяжитесь с нами удобным для вас способом – и мы обязательно ответим. Также ждем вас в нашем официальном Telegram-канале, а обсудить облачное хранение данных или просто пообщаться на любую тему с коллегами по цеху и сотрудниками облачной IT-платформы Beget вы можете в нашем чате.
t.me/beget_chat
beget.com/ru/cloud

Мы пошли в сертификацию ФСТЭК, аттестацию 152-ФЗ и на получение лицензии для работы с гостайной. Потому что мы вместо Опенстека сделали свою платформу и на ней смогли всё настроить под требования госорганов.

Поэтому вот пост, как получить сертификацию на гостайну по ФЗ-152 — уровень УЗ1.

Очень подробный и со всеми деталями.

Всё ████████ ████ с ████████. В соответствии с новым ████████. Для ████████ требовалась ████████. Поэтому ████████, и в рамках очень жесткого SLA.
████████.

████████ ████.

████████ ████████ █████ █ █████.

Началось с ████████. ███ █████████ █ ███████ ████ комиссия. Их ████████. Потребовали выделить ████████ под ████████ периметр ██████. Только ████, ███████, ███████ bare-metal. Весь наш IaaS-слой пришлось ████████████.
В ███████████ с █████████ от ██.██.████, на █████████ ████████████, ██████████ █████████ о █████████████ ███████████ ████████. В ███████ ███████████████ и ████████████ по ██████████ в ███████████████████, ██████████ ███████████ ████████████, █████████████ на ███████████████.

Основные ████████████:

████████████ в ███████ █████████████████ ████████ «█████████████-████»;

██████████ для █████████████ с █████████ всех █████████████ ███████, через ███████████████ ████████████;

████████████████ по ███████████ с ███████ ██████████ и █████████████, ████████████ после ███████████.

В ██████ с ████████████████, █████████████ по █████████ ████████████ на █████████████ ██████. Все █████████████ ██████████ ██████ █████████████ и ██████████ в ██████ до ███████████ ███████. При ███████████ █████████████, ████████ ████████████ к ████████ № ███-ФЗ.

Контроль за █████████████ ██████████ █████████ ██████████ на ████████████████████████ (████████ ████ ██).

Понял, максимальная секретность. Вот версия с ещё большим количеством зачёркнутого текста, где видимыми остаются только ключевые фразы и минимум служебных частей речи.

Ввиду ███████████████████████████ **угрозы считывания дрожания стекла **лазерным лучом, █████ ██████ ███████████ ███████████ █████████ ███████ ███████████████ к █████████████ ██████ ███████.
Критерии ████████████:

███████ █████████ ████ ███████████ ███ █ ██████████ ██████████ █████.

Соответствие ██████ █ ██████ ████ ██ ████ ██████ ███ ████ ГОСТ ██████-██.

██████ ███████ ████████ ███████████. ████ █████ █████ ███████████ и ████ ██████████████.

Сроки из-за этого поплыли, конечно.

Теперь самое сложное:

█████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████

Далее — сеть
Весь трафик ████████. Сегментация на уровне ████████. Отдельный VLAN. И ████████ роутинг через ████████. Логирование ████████.

Затем ████████. Наша PaaS-платформа на ████████ была ████████. Каждый деплой через ████████. Все образы ████████ по ГОСТ. Шифрование на уровне ████████ и на уровне ████████.

В соответствии с ██████████████ от ██.██.████, а также на основании ██████████████, было ██████████ решение о █████████████ следующих ██████████. В целях ██████████████ и ████████████ по ██████████ в ███████████████████, необходимо ██████████ ряд ████████████, направленных на ███████████████.

Основными ████████████ являются:

████████████ и ███████████ в рамках █████████████████ проекта «█████████████-████»;

██████████ для ███████████████ с ███████ всех ██████████████ сторон, в том числе через █████████████████ ████████████;

████████████████ по ███████████ с учётом ██████████ и ██████████████, полученных после █████████████ ██████████.

По возможности делайте именно в таком порядке, а не обратном, не наступайте на наши грабли.

В связи с вышеизложенным, ████████████ по ███████████ ответственность ████████████ на █████████████ отдел. Все █████████████ документы должны быть █████████████ и ██████████ в архив до █████████████ ███████. При ███████████ █████████████ █████████████, следует ████████████ к ███████ ████-ФЗ.

Контроль за █████████████ настоящего ██████████ пришлось передать ████████████████████████ (██████████ ██. ██.). И это, конечно, дикий сюрприз.

Затем — финальная аттестация. ████████. Мы ████████. Потом ████████. И так по ████████.

После ████████. Мы ████████. Думали, что всё ████████.

А потом ██████ ██ ████████.

Как видите, всё просто, и вы сможете это легко повторить.

Сейчас мы можем предоставлять услуги государственным заказчикам и делать приватные инсталляции в их инфраструктуре.

Yandex.Cloud прошла добровольную аттестацию информационных систем персональных данных (ИСПДн). Этим мы ещё раз подтвердили высокий уровень безопасности данных, размещённых в облаке, и дали нашим клиентам возможность аттестовать собственные системы.

Для подтверждения соблюдения федерального закона 152-ФЗ «О персональных данных» обычно достаточно заключения о соответствии, полученного в рамках самостоятельной оценки, либо с привлечением организации с лицензией ФСТЭК. В начале года платформа Yandex.Cloud прошла такой внешний аудит и подтвердила соответствие высшему уровню защищённости персональных данных — УЗ-1. Наши клиенты получили возможность обрабатывать в облаке любые категории персональных данных, включая биометрические и специальные (сведения о здоровье, вероисповедании, личных взглядах и другие чувствительные данные).
storage.yandexcloud.net/yc-compliance/conformance_ru_certificate.pdf

Однако в ряде случаев компании-операторы персональных данных требуют, чтобы система контрагента, которому оператор передаёт данные для обработки, была аттестована на соответствие требованиям по безопасности информации. Наличие аттестата ИСПДн, например, требуется для взаимодействия с государственными информационными системами в сфере здравоохранения. Наши клиенты, обрабатывающие чувствительные данные, часто сталкивались с подобными требованиями, поэтому мы приняли решение пройти добровольную аттестацию, чтобы дать им возможность без проблем аттестовывать собственные системы, размещённые в Yandex.Cloud. Для информационных систем, не являющихся государственными, аттестат не обязателен, но он может быть получен в добровольном порядке для подтверждения должного уровня защиты ИСПДн.

Разница между заключением о соответствии и аттестатом заключается в более строгом регулировании вопросов проведения аудита. Компания, оказывающая услуги по аттестации, в соответствии с приказом ФСТЭК РФ № 21 и постановлением Правительства России № 1119 должна иметь лицензию на осуществление деятельности по технической защите конфиденциальной информации и пройти процедуру аккредитации ФСТЭК России. Затем создаётся аттестационная комиссия, состоящая из экспертов и специалистов в области информационной безопасности, которая может проводить оценку соответствия организационных и технических мер, а также испытания технических и программных средств защиты персональных данных.

В результате добровольной аттестации платформа Yandex.Cloud ещё раз подтвердила высокий уровень безопасности данных, размещённых в облаке, и получила аттестат безопасности на 3 года.
cloud.yandex.ru/security#standards

Хотите узнать, в чем преимущества хранения персональных данных в облаке? Регистрируйтесь на вебинар — расскажем, как выполнить требования по соответствию 152-ФЗ. Вы узнаете, как устроена «Облачная платформа Selectel», в каких случаях необходимо соответствовать законодательству и как наши клиенты защищают персональные данные.

Все о возможностях облака для выполнения 152‑ФЗ

• 2 часа полезных знаний. Расскажем, как быстро перейти в облако и хранить в нем персональные данные.
• 2 эксперта Selectel. Мы пригласили ведущих специалистов, отвечающих за развитие облачных сервисов и реализацию решений для обеспечения информационной безопасности.
• 1 персональный грант. Каждый участник вебинара может получить грант Selectel Start на 500 000 рублей для создания IT‑инфраструктуры в нашем облаке.

promo.selectel.ru/webinar/152fz/150421/

Как прежде, инфраструктура облака соответствует требованиям 152-ФЗ и в ней гарантируется 2 уровень защищенности персданных. Но теперь клиентам сервиса доступны более мощные виртуальные машины

Полученный аттестат подтверждает соответствие инфраструктуры Cloud-152 требованиям 152-ФЗ, постановления Правительства № 1119 и приказа ФСТЭК № 21, что позволяет обрабатывать персональные данные.



Переаттестация проводилась в связи с модернизацией инфраструктуры защищенного облака Cloud-152. В результате клиентам станут доступны виртуальные машины с частотой ядра 3 ГГц, количеством ядер до 36 и объемом оперативной памяти до 512 Гб. В ходе аттестации DataLine продемонстрировала, что организационная структура, нормативное и методическое обеспечение, а также техническая оснащенность Cloud-152 соответствуют установленным требованиям законодательства РФ.

Аттестат выдан «Национальным аттестационным центром».
«Данный аттестат подтверждает, что в инфраструктуре Cloud-152 обеспечивается второй уровень защищенности обрабатываемых персональных данных, — комментирует директор центра киберзащиты Василий Степаненко. — Таким образом, сервисом смогут воспользоваться компании, которым необходимо обеспечить от второго до четвертого уровня защищенности персональных данных, а также заказчики, работающие с медицинскими персональными данными в объемах от 100 000 субъектов».

Инфраструктура Cloud-152 также сертифицирована по международному стандарту PCI DSS.
www.dtln.ru/uslugi/iaas/cloud-152

Компания Linxdatacenter, международный эксперт в сфере высокотехнологичных решений хранения и обработки данных, облачных сервисов и телекоммуникаций, разработала «Защищенное облако 152-ФЗ» — сервис по аренде виртуальной инфраструктуры для компаний, работающих с персональными данными граждан РФ. В новом сервисе реализованы меры защиты информации, отвечающие требованиям Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ. Linxdatacenter входит в реестр операторов персональных данных и обладает лицензией ФСТЭК России на деятельность по технической защите информации, а используемые программные продукты сертифицированы ФСТЭК РФ и ФСБ РФ.

Сервис предназначен для компаний, регулярно работающих с персональными данными – например, для организаций, работающих в сфере медицины, страхования, электронной коммерции. Защищенное облако помогает бизнесу соблюдать требования законодательства РФ, без необходимости самим компаниям становиться операторами персданных. Услуга может быть адаптирована под нужды клиента с помощью гибридных решений и интегрирована в существующую ИТ-инфраструктуру. Отличительными особенностями являются быстрота запуска системы и легкое масштабирование ресурсов в случае необходимости наращивания мощности.

Сервис доступен в двух конфигурациях. Типовое решение предлагает серверные средства защиты информации, достаточные для обеспечения защиты персональных данных в информационных системах IV и III уровней защищенности. Для компаний, обрабатывающих большие объемы персональных данных и нуждающихся в комплексных мерах по защите информации, предусмотрены индивидуальные решения. В рамках такого сервиса клиент получает систему для хранения персональных данных до II уровня защищенности и полный комплект документов, подтверждающих соответствие решения требованиям законодательства РФ.

Отказоустойчивая инфраструктура построена на базе платформы виртуализации VMware и обладает всеми преимуществами собственной облачной платформы Linxdatacenter – LinxCloud. При разработке архитектуры была предусмотрена защита всех компонентов: гипервизора, платформы виртуализации, аппаратной платформы и СХД, виртуальных сетей, системы управления. Доступ к облаку предоставляется с использованием сертифицированных средств криптографической защиты. Клиенты получают письменные гарантии обеспечения безопасности и конфиденциальности персональных данных, обрабатываемых в «Защищенном облаке 152-ФЗ».

Разрабатывая новый облачный сервис, мы стремились создать продукт, максимально точно отвечающий потребностям клиентов, работающих с персональными данными. В планах на будущее – разработка комплексного решения «Безопасность как услуга» для клиентов, обеспокоенных безопасностью своих информационных систем в целом

говорит Борис Меркулов, инженер по облачным решениям и информационной безопасности Linxdatacenter.

Краткая справка о Linxdatacenter
Linxdatacenter (штаб-квартира в Амстердаме, Нидерланды) – один из лидеров международного рынка высокотехнологичных ИТ-решений для бизнеса. География предоставления услуг Linxdatacenter охватывает рынки Центральной и Восточной Европы, России, Азии и Скандинавии.
Компания предоставляет облачные решения и сервисы в области хранения данных в собственных дата-центрах уровня TIER III в Москве и Санкт-Петербурге, а также на базе партнерских дата-центров в Варшаве, Шанхае и Гонконге. Портфолио Linxdatacenter включает услугу частного доступа к глобальным облачным сервисам, таким как Amazon Web Services и Google Cloud Platform.
Дата-центры компании имеют сертификацию ISO 27001, ISO 9001, PСI DSS, SAP Cloud and Infrastructure и соответствуют стандарту Management & Operations Stamp of Approval (Uptime Institute). Опыт работы компании составляет более 18 лет.

Подробнее о решениях Linxdatacenter на сайте ru.linxdatacenter.com

Если вашей организации нужно хранить и обрабатывать персональные данные с выполнением требований 152-ФЗ, защищать коммерческую тайну и другую конфиденциальную информацию — вам поможет новая услуга Selectel «Выделенные серверы в защищенном сегменте ЦОД» для информационных систем с высокими требованиями к защите.
Что вы получите в рамках услуги

• Защищенный сегмент дата-центра, который соответствует требованиям приказа № 21 ФСТЭК в части физической безопасности.
• Изолированную от других клиентов дата-центра сеть.
• Возможность подключить дополнительные средства защиты для нейтрализации актуальных угроз безопасности.
• Возможность заказать аттестацию системы по требованиям безопасности информации.

Наши преимущества

• У нас есть лицензии ФСТЭК и ФСБ для оказания услуг в области защиты информации.
• Можем размещать информационные системы персональных данных (ИСПДн) с 4 по 1 (максимальный) уровень защищенности.
• Основные средства защиты находятся в наших дата-центрах и предоставляются как сервис — вам не нужно ждать поставку оборудования.

Подробнее об услуге вы можете узнать на нашем сайте.
selectel.ru/services/is/dswes/

I. Закон 54-ФЗ о применении контрольно-кассовой техники.
В пятницу, 30 июня 2017 г. разработчики BILLmanager выпустят внеплановое обновление. Владельцы биллинга получат интеграцию с АТОЛ Онлайн. Это облачный сервис, который позволяет взять онлайн-кассу в аренду и тем самым быстро привести бизнес в соответствие новым требованиям 54-ФЗ.

Новые требования 54-ФЗ
Изменения в 54-ФЗ о применении ККТ вступят в силу 1 июля 2017 г. За последние 10 лет это самая глобальная реформа в интернет-торговле. Если вы еще не знакомы с законом, рекомендуем прочитать его текст.

По новым правилам кассовые аппараты должны будут передавать электронные копии чеков онлайн в налоговую. Изменения затрагивают даже предпринимателей на ЕНВД и ПСН, которые раньше не работали с кассовой техникой. Правда, для них онлайн-кассы станут обязательными лишь с июля 2018 года.

Если вы сомневаетесь, нужна ли вам онлайн-касса, пройдите простой тест на сайте nalog.ru.

Что потребуется сделать
Владельцам BILLmanager нужно пройти регистрацию в АТОЛ Онлайн.
Также одним из обязательных требований является подключение к оператору фискальных данных или ОФД, который обеспечивает сбор, хранение и передачу данных с кассы в налоговую. Во время регистрации в АТОЛ Онлайн вопрос подключения подробно освещается.

Платежные системы
BILLmanager будет поддерживать работу с онлайн-кассами через платёжную систему ROBOKASSA. В ближайшее время появится поддержка для Яндекс.Касса и PayMaster.
II. Закон 152-ФЗ о персональных данных.
1 июля 2017 года ужесточаются требования по сбору персональных данных физлиц. Поправки касаются любого бизнеса, взаимодействующего с данными клиентов. BILLmanager попадает под новые требования, т.к. платформа собирает личные данные, переписку с поддержкой, информацию о платежах.

Что требуется сделать
Вы должны разработать политику конфиденциальности либо привести существующий документ в соответствие новым требованиям. При регистрации в биллинге пользователи должны прочитать политику и согласиться с ней.

Добавьте ссылку на политику конфиденциальности в окно регистрации. Данные настройки доступны в COREmanager* в разделе Настройки -> Настройки бренда.

COREmanager – единый фреймворк, который устанавливается вместе с каждым продуктом ISPsystem. Для входа в COREmanager достаточно поменять URL биллинга. Если для входа в биллинг вы используете адрес my.domain.com/manager/billmgr, то COREmanager доступен по ссылке my.domain.com/manager/core.


Пока это все новости, связанные с законодательством. Если будут вопросы, обязательно спрашивайте.