Что такое цод при обработке персональных данных: особенности хранения и использования сведений на серверах, размещенных в дата-центрах и указание их адреса

Облачная инфраструктура– решение от ГК «Интегрус», предоставляющее современному бизнесу готовую ИТ-инфраструктуру без привлечения значительных материальных и человеческих ресурсов.

Компания “Интегрус” предлагает услуги защиты и хранения персональных данных для корпоративных клиентов в России. Обратившись к нам, вы можете быть полностью уверены, что получаете в свое распоряжение надежную защищенную систему и полностью соблюдаете требования законодательства.

Кому подходят наши услуги

Цены на хранение персональных данных на защищенном сервере

Тарифный план Цена аренды сервера ИСПДн с аттестатом, руб./мес ** Цена аренды сервера ИСПДн  без аттестата, руб./мес
ИСПДн-1 5Gb 4 990 2 490
ИСПДн-2 50Gb  9 990 4 990
ИСПДн-3 100Gb 19 990 9 990
ИСПДн-4 200Gb 29 990 14 990
ИСПДн-5 400Gb 39 990 19 990
Установочный платеж * 10 000

* – Помимо самой стоимости защищенного виртуального сервера в рамках тарифного плана, при заказе первого сервера в ИСПДн имеется установочная плата в  ** – Стоимость защищенного сервера ИСПДн с пакетом документов и процедурой аттестации рабочего места.
Продажа защищенной инфраструктуры для хранения и обработки персональных данных по представленным тарифным планам осуществляется с минимальным сроком — 1 год.

ИСПДн (№ИСПДн-XXXX-XXX) (docx, 0.03мб)

Скачать ИСПДн (№ИСПДн-XXXX-XXX)

Примеры работ

 Наши сертификаты

  • Что такое ЦОД при обработке персональных данных: особенности хранения и использования сведений на серверах, размещенных в дата-центрах и указание их адреса

  • Что такое ЦОД при обработке персональных данных: особенности хранения и использования сведений на серверах, размещенных в дата-центрах и указание их адреса

  • Что такое ЦОД при обработке персональных данных: особенности хранения и использования сведений на серверах, размещенных в дата-центрах и указание их адреса

  • Что такое ЦОД при обработке персональных данных: особенности хранения и использования сведений на серверах, размещенных в дата-центрах и указание их адреса

  • Что такое ЦОД при обработке персональных данных: особенности хранения и использования сведений на серверах, размещенных в дата-центрах и указание их адреса

  • Что такое ЦОД при обработке персональных данных: особенности хранения и использования сведений на серверах, размещенных в дата-центрах и указание их адреса

Responsive WordPress Image Carousel Plugin

Что входит в наши услуги хранения персональных данных

  • Мы организовываем обработку и хранение информации во внешнем центре обработки данных (ЦОД), предоставляем в ваше распоряжение виртуальную машину, защищенную согласно требованиям Федерального закона о защите персональных данных №152-ФЗ.
  • Реализуем правовые, организационные и технические нормы закона.
  • Оформляем и предоставляем вашей организации полный комплект требуемых документов (учитывая особенности вашего рода деятельности), в их числе аттестат соответствия требованиям безопасности
  • Вам не понадобится заключать договор с субъектами о том, что их персональные сведения будут передаваться на обработку во внешний дата-центр.

Стоит упомянуть два нюанса:

  • Минимальный период для сервера равен 6 месяцам. Если вы уложитесь в 5гб тогда цена составит 4990р.в месяц. Если все-же потребуется больше тогда нужен следующий тариф: 50гб и 9990руб. в месяц.
  • Стоимость установочного платежа в размере 10 000 руб. справедлив для типового комплекта документов, в вашем случае это «Платформа дистанционного обучения», она у нас не типовая и может потребоваться индивидуальная разработка пакета документации. Стоимость разработки нетиповой конфигурации составляет +15 000 рублей. Делается это единоразово.

Для понимания нужна ли будет индивидуальная разработка, нам нужно краткое описание сервиса (какая база данных и где хранится (MySQL;SQL и т.д.)) который будет размещаться на сервере ИСПДн. Т.е. алгоритм работы сервиса, кто является субъектом ПДн в сервисе, кто и как получает доступ к сервису.

 Как это работает:

Любое предприятие сейчас использует в своей работе информационные системы, обрабатывающие персональные данные (ПДн). К примеру, это бухгалтерские ИС, финансовые, кадровые и другие. Под обработкой, согласно закону, подразумевается сбор, запись, систематизация, хранение, уточнение, использование, передача, удаление и другие операции с этой информацией.

Соответственно, рано или поздно встает вопрос о том, чтобы привести свою работу в соответствие с Федеральным законом “О персональных данных” и получить документальное подтверждение этого соответствия.

Самостоятельно и без необходимого опыта выполнить все требования к хранению персональных данных довольно затруднительно, это может привести к излишним тратам времени и ресурсов. Поэтому мы предлагаем услуги своих специалистов. Они уже не раз решали задачи организации хранения и передачи персональных данных и хорошо знают о “подводных камнях”.

Хранение персональных данных на сервере дата-центра: преимущества подхода:

Чтобы построить полноценную систему защиты информационных систем персональных данных (ИСПДН) на предприятии, необходимо выполнить предпроектное обследование ИСПДН, разработать модель угроз безопасности, создать концепцию и затем проект системы защиты ИСПДН, поставить, внедрить, разработать методы аттестации, провести проверку и оформить аттестат соответствия.

 Если же организовать хранение персональных данных клиентов в аттестованной виртуальной инфраструктуре, расположенной во внешнем дата-центре, то выполнение всех этих работ упрощается и сводится к утверждению предварительно разработанных типовых документов, а соответствующие затраты значительно сокращаются. Кроме того, хранение данных в надежном и современном дата-центре гарантирует, что ваша информация будет всегда доступна для вас, целостна и защищена от потерь.

Однако, если переносить ПДн во внешний дата-центр, то, как правило, возникает ряд сложностей. Так, например, согласно Федеральному закону №152-ФЗ “О персональных данных” ( ст.7 и ч.ч.3-5 ст.

6), определяющему порядок хранения персональных данных в России, оператору для поручения обработки ПДн стороннему дата-центру, необходимо получить согласие каждого субъекта на сбор и хранение персональных данных, где указан перечень данных и допустимых действий с ними, цели, сроки и есть собственноручная подпись каждого субъекта (фактически,  заключить с клиентом договор на хранение персональной информации).

Что такое ЦОД при обработке персональных данных: особенности хранения и использования сведений на серверах, размещенных в дата-центрах и указание их адреса

Рис.1.  Классическая схема: организация-оператор отдает ПДн на обработку во внешний дата-центр, перекладывая все заботы по обеспечению безопасности этих данных  на оператора дата-центра.

Организация-оператор ПДн при такой классической схеме работы с дата-центром сталкивается со значительными неудобствами и ограничениями в своей работе:

  • Остаются актуальными все организационно-правовые вопросы обработки данных: нужно издавать положение о персональных данных, прорабатывать правовые основания для обработки персональных данных и для передачи персональных данных третьим лицам (включая дата-центр).
  • В силу ст.7 и ч.ч.3-5 ст.6 федерального закона №152-ФЗ “О персональных данных” возникает обязанность получить согласие на передачу персональных данных на обработку в дата-центр с каждого субъекта персональных данных. Причём, такое согласие должно быть оформлено согласно требований ст.9 указанного федерального закона, т.е. содержать, в том числе, цели обработки, полный перечень персональных данных, полный перечень действий с персональными данными, на которые даётся согласие, срок действия согласия и собственноручную подпись субъекта персональных данных либо её электронный аналог.
    И обычно получение такого согласия вызывает затруднение у организации-оператора.

Чтобы избежать этих трудностей, мы предлагаем следующую технологию работы:

  • С помощью сертифицированных средств криптозащиты ПДн, передаваемые по каналам связи, защищаются от провайдера услуг связи.
  • Подобным образом мы предлагаем защитить ПДн и при обработке в дата-центре – использовать средства информационной защиты, исключающие абсолютно любую техническую возможность доступа со стороны сотрудников дата-центра.  Для этого мы разворачиваем одну или несколько виртуальных машин, каждая из которых – всесторонне изолированный объект, любой доступ к которому со стороны хостинг провайдера блокируется. Это достигается как функциями гипервизора, так и средствами защиты от несанкционированного доступа.  В дальнейшем работать с такой арендованной защищённой виртуальной машиной можно с рабочего места из офиса клиента с помощью удалённого терминала (“Удалённый рабочий стол”, VNC-терминал или SSH-терминал).

Таким образом, ни провайдер, ни дата-центр никак не смогут установить субъекта персональных данных, определить объём информации в виртуальной машине клиента, наличие каких-либо конфиденциальных сведений. Следовательно, такую работу с ПДн в изолированной виртуальной машине нельзя считать передачей ПДн оператору дата-центра или поручением на обработку ПДн, что избавляет клиента от необходимости получать согласие субъектов.

Пример организации передачи и обработки персональных данных по защищенным каналам связи

Приведем небольшой кейс, иллюстрирующий данную технологию на примере организации-оператора персональных данных, территориально состоящей из центрального офиса и филиалов.

Что такое ЦОД при обработке персональных данных: особенности хранения и использования сведений на серверах, размещенных в дата-центрах и указание их адреса

Рис.2.  Организация передает персональные данные по открытым каналам

Интернет-провайдер осуществляет передачу IP-пакетов, содержащих персональные данные. Согласно п.3 ст.3  ФЗ-152 это уже частный случай обработки персональных данных. Т. О., согласно п.2 ст.3  ФЗ-152, интернет-провайдер уже превращается в оператора ПДн. И согласно требований ст.6 и ст.

7 ФЗ-152, нашей воображаемой оргнанизации, передающей ПДн по открытым каналам в данном случае уже нужно получать согласие субъектов персональных данных на передачу их персональных данных в открытом виде по сетям провайдера.

А интернет-провайдер, в свою очередь, должен принимать все необходимые организационно-технические меры для защиты этих данных.

Однако, если принять меры по  шифрованию данных (криптографической защите) перед отправкой по каналам связи интернет-провайдера, то с правовой точки зрения уже не возникнет факта передачи ПДн на обработку. Т.к. согласно п.1 ст.3 ФЗ-152 “персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).”

На рисунке 3 проиллюстировано, что провайдеру услуг связи не передаётся информация, по которой можно было бы прямо или косвенно установить субъекта персональных данных.

Что такое ЦОД при обработке персональных данных: особенности хранения и использования сведений на серверах, размещенных в дата-центрах и указание их адреса

Рис.3.  Организация передает персональные данные по защищенным каналам

ИТОГ: Применение криптографических средств защиты ПДн перед отправкой их по каналам провайдера позволяет с правовой точки зрения избавится от факта передачи их на обработку этому провайдеру.

Защита ПДн при обработке в виртуальной инфраструктуре:

Точно также компания “Интегрус” предлагает с помощью защищенных каналов передачи данных защитить ПДн при обработке их в дата-центрах, в облачных хранилищах и виртуальных хостингах с помощью специальных средств защиты информации.

Защита будет установлена и настроена таким образом, чтобы полностью исключить техническую возможность доступа со стороны сотрудников дата-центра (администраторов, инженеров, операторов) к тем персональным данным, которые организация будет располагать в дата-центре.

Такая защита проводится согласно проекта системы защиты ПДн с помощью сертифицированных по линии ФСТЭК России средств защиты информации (в том числе гипервизора виртуальных машин и средств защиты от несанкционированного доступа), а также с использованием сертифицированных по требованиям ФСБ России средств криптографической защиты информации (при передаче по каналам связи и при обработке в виртуальной инфраструктуре). Подробно такая схема проиллюстрирована на рисунке 4.

Что такое ЦОД при обработке персональных данных: особенности хранения и использования сведений на серверах, размещенных в дата-центрах и указание их адресаРис.4. Технология защиты ПДн в виртуальной инфраструктуре.

Защита персональных данных – услуги “Интегрус” в организационно-правовой сфере

Кроме организации системы защиты, мы выполняем все организационно-правовые работы:

  • Прорабатываем правовые основания для обработки ПДн, её задачи, способы и сроки.
  • Готовим и публикуем документ, который декларирует политику в области работы с  персональными данными (положение о хранении, обработке персональных данных) и комплект организационно-распорядительных документов (актов классификации ИС, инструкций, регламентов и журналов).
  • Разрабатываем уведомления об обработке персональных данных для направления в Роскомнадзор (при необходимости).

Если вы хотите получить готовую информационную систему, выполняющую требования Закона о хранении персональных данных и соответствующую всем стандартам, желаете без проблем работать с персональными данными, не опасаться претензий со стороны клиентов, сотрудников или контролирующих органов, обращайтесь к специалистам “Интегрус”. Оставьте заявку через форму обратной связи на сайте, позвоните или напишите нам и мы охотно проконсультируем вас по технической и правовой стороне вопроса.

Отправить заявку

Как мы работаем

  • Заявка или звонок
  • Обратная связь от менеджера, составление краткого тз о количестве пользователей, необходимой конфигурации 1с
  • Реализация тз техподдержкой
  • Направление клиенту реквизитов доступа
  • Обучение (консультация по телефону с помощью удаленного доступа)
  • Заключение договора по результату

Источник: https://integrus.ru/cloud/personal-data.html

Что такое дата-центры и как они устроены?

Многие крупные современные компании, которые оперируют терабайтами информации, зачастую всю заботу о своих серверах доверяют специальным дата-центрам. Разберемся подробнее, что это за волшебное место.

Дата-центр (oт англ. «от англ.

data center» – центр хранения), ЦОД (центр обработки данных) или центр хранения и обработки данных (ЦХОД), представляет собой безопасную среду (помещение), где компании размещают специальное оборудование, на котором обрабатывается и хранится их информационный массив.

Кроме того, тут же находятся сервисы весьма важные для бизнеса, например, интерактивные каталоги, формы заказа, деловые сведения, представляющие особую ценность. Через оборудование дата-центров также абоненты подключаются к интернет-каналам.

В центрах обработки данных установлены сплит-системы для поддержания влажности воздуха, ведь техника там трудится по 24 часа в сутки.

Специалисты дата-центров постоянно следят, чтобы все работало исправно и, в случае чего, устраняют проблемы сразу же.

Кроме того, в центрах установлены система удаленного IP контроля, охранно-пожарные сигнализации, создано бесперебойное электроснабжение, системы газового пожаротушения, управления контроля доступом. Другими словами, здесь сделано всё «по уму».

Что такое ЦОД при обработке персональных данных: особенности хранения и использования сведений на серверах, размещенных в дата-центрах и указание их адреса

Главное, что необходимо понимать: ЦОД – это не только каналы связи и серверы, это довольно сложная инфраструктура со специальным оборудованием, которое, не смотря на любые катаклизмы (пожар, наводнение, атаку хакеров, новую песня короля эстрады) должно осуществлять бесперебойную работу. Кроме того, задачей таких центров является и предупреждение последствий экстренных случаев. Как правило, в ЦОДах ведется постоянное резервное копирование данных (в том числе на другие дата-центры), поэтому, информации не страшны «ни дождь, ни слякоть».

Обычно дата-центры находится в непосредственной близости от места расположения оборудования операторов связи. Пропускная способность и качество каналов не влияют на уровень услуг, т.к.

основным критерием оценки работы любого ЦОД считается аптайм (время доступности сервера).

При проектировании любого современного дата-центра обычно закладывают использование как минимум 2-х операторов, которые предоставляют доступ к Интернету, чтобы в дальнейшем избежать проблем, если вдруг один из них не сможет предоставлять услуги надлежащим образом.

Кто пользуется?

Аренда центра обработки данных выгодна тем компаниям, чья деятельность зависит от быстрой поставки и оперативной обработки огромного потока информации.

Чаще всего к услугам ЦОДов прибегают банки, также дата-центрами пользуются игроки на рынке онлайн-торговли и логистики. В Европе массово «хостятся» видеоигры.

В настоящее время востребованность таких площадок наблюдается как у больших компаний, так и у развивающихся маленьких фирм, стартапов.

Когда компания выбирает ЦОД, то она в первую очередь обращает внимание на систему безопасности. Зачастую многие клиенты просят ввести дополнительные меры, например, установить собственные видеокамеры или размещение оборудования в специально отведенном месте с дополнительной охраной.

Кроме того, высокий уровень безопасности часто обеспечивается доступом по отпечаткам пальцев (биометрической идентификации). Внутри таких ЦОДов даже есть специальная территория, куда без биометрической проверки никому не попасть. Представляете, даже уборку там производят роботы.

Некоторые компании идут еще дальше, предпочитая размещать свои сервера без логотипов и опознавательных знаков.

Преимущества использования дата-центров

Что такое ЦОД при обработке персональных данных: особенности хранения и использования сведений на серверах, размещенных в дата-центрах и указание их адреса Rackmount Server Что такое ЦОД при обработке персональных данных: особенности хранения и использования сведений на серверах, размещенных в дата-центрах и указание их адреса Tower Server

Рынок центров хранения постоянно развивается. Активный рост дата-центров начался еще в конце 90-х годов, именно тогда на смену серверам по типу Tower (или Башня) пришли Rackmount (для расположения в шкаф), занимающие в несколько раз меньше места. Относительно недавно (с 2001 года) был создан абсолютно новый вид сервера – Blade (ничего общего с убийцей вампиров он, конечно, не имеет). Использование таких блэйд-серверов имеет ряд преимуществ в сравнении с обычными:

  • они потребляют в 3 раза меньше энергии;
  • занимают в 2 раза меньше места;
  • обходятся в 4 раза дешевле.

Немного об интересных дата-центрах

В настоящее время одним из самых больших дата-центров, который «не скрывается» и находится в открытом доступе – является Microsoft в Ирландии. Корпорация в будущем планирует еще инвестировать почти 500 миллионов долларов в этот объект, что в итоге сделает из ЦОДа первый в Европе вычислительный центр для поддержки сетевых приложений и сервисов Microsoft.

Одним из самых необычных центров хранения считается Cyberbunker в Нидерландах, построенный еще в пятидесятые года 20 века. С 1998-м он превратился в самый укрепленный дата-центр, который специализируется на хранении данных и веб-хостинге.

В Барселоне тоже есть странное место для хранения информации, расположенное на территории христианского часовни. Суперкомпьютерный центр BSC является восьмым в Европе мощнейшим суперкомпьютером.

В Москве одними из известных центрами хранения информации считаются ЦОДы от DataLine. Эта компания позиционирует себя как экосистема для создания IT-инфраструктуры. Услугами центров пользуются банки, крупные интернет-магазины, ритейл-компании, социальные сети и другие.

Источник: https://itinfinity.ru/blog/23/

Обработка и хранение персональных данных: закон требует, ЦОДы предлагают

Что такое ЦОД при обработке персональных данных: особенности хранения и использования сведений на серверах, размещенных в дата-центрах и указание их адреса

Законодательство Российской Федерации в области персональных данных предъявляет строгие требования к обеспечению их безопасности при обработке. Решение части проблем могут взять на себя ЦОДы. 

Сергей СМОЛИН, ведущий юрист, DataSpace

В последнее время у всех на слуху новеллы, вносимые законодателем в правовое регулирование действий по обработке и хранению персональных данных граждан.

Изменения в Федеральном законе «О персональных данных» (№ 152-ФЗ) направлены на ужесточение контроля за операторами, обрабатывающими такие данные.

Помимо введения обязанности хранить персональные данные российских граждан только на территории РФ, законодатель расширил полномочия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), на которую возложен контроль за операторами, обрабатывающими персональные данные граждан. Указанные изменения в той или иной степени затрагивают деятельность широкого круга участников экономического оборота — от небольших интернет-магазинов до операторов центров обработки данных.

Какие данные — персональные?

В соответствии с п. 1 ст. 3 152-ФЗ персональными данными является «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу», т.е.

любая информация, при помощи которой можно идентифицировать личность. Как правило, к персональным данным относят: ФИО, дату и место рождения, паспортные данные, физические характеристики, контактную информацию и т.д.

— перечень подобных сведений достаточно широк, но не является исчерпывающим.

Кто является оператором?

Понятие «оператор» в значении, определенном в 152-ФЗ, значительно шире, чем мы привыкли считать. Согласно п. 2 ст.

 3 упомянутого закона, оператор — это «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».

Персональные данные граждан в той или иной степени получает, обрабатывает и хранит практически каждая компания — при приеме на работу новых сотрудников или при переписке с клиентами — и любая из них может быть признана оператором персональных данных. Операторов можно разделить на две группы: на тех, которые обязаны уведомлять Роскомнадзор об обработке персональных данных, и тех, которые делать это не обязаны.

Кто не обязан уведомлять Роскомнадзор?

Перечень действий по обработке персональных данных, которые не требуют уведомления Роскомнадзора, приведен в ст. 22 152-ФЗ. К таким действиям относятся действия юридических лиц, которые получают и обрабатывают персональные данные граждан в следующих случаях:

  1. Для исполнения требований трудового законодательства.
  2. При заключении компанией договора с физическим лицом.
  3. Если персональные данные содержат только ФИО граждан.
  4. Если персональные данные раскрываются для предоставления разового пропуска.
  5. Если персональные данные обрабатываются без использования компьютера.
  6. Если персональные данные обрабатываются в целях транспортной безопасности.

Во всех перечисленных случаях компания не обязана уведомлять уполномоченный орган о том, что осуществляет сбор, обработку и хранение персональных данных. Тем не менее всегда существует риск того, что компания неумышленно может осуществлять такую обработку персональных данных, которая влечет за собой обязанность уведомлять Роскомнадзор.

Кто обязан уведомлять Роскомнадзор?

К таким операторам относятся компании, которые обрабатывают персональные данные на постоянной основе. В эту категорию попадают владельцы сайтов с регистрацией пользователей (с указанием ФИО, электронной почты и телефона), туристические агентства, банки, розничные магазины с клубными картами, медицинские клиники, бизнес-центры и т.п. 

Список компаний и организаций, обязанных уведомлять Роскомнадзор об обработке персональных данных, не является исчерпывающим. Часто компании, получая персональные данные граждан, не осознают, что их обработка регулируется законом. 

Что должен делать оператор?

Если компания относится к первой группе, то никаких действий предпринимать не требуется. Операторы персональных данных, входящие во вторую группу, должны подготовить необходимый пакет документов (перечень можно найти на сайте Роскомнадзора) и направить их в ведомство для внесения компании в реестр операторов персональных данных.

В настоящий момент в этом реестре зарегистрировано почти 370 тыс. компаний.

Процедура регистрации не сложна, но после внесения в реестр оператор должен будет следить за изменениями, вносимыми в ФЗ «О персональных данных».

Такие изменения могут повлечь необходимость подачи дополнительных документов в Роскомнадзор. Неуведомление уполномоченного органа об обработке персональных данных может привести к серьезным последствиям.

Каковы последствия нарушения требований закона?

В первую очередь компании необходимо оценить риск того, что факт обработки персональных данных, не подпадающий под ст. 22 152-ФЗ, будет выявлен Роскомнадзором. Если компания однократно произвела обработку персональных данных и работа с такими данными не является для нее постоянной, то риск привлечения к ответственности относительно низок. 

Большинство ИT-компаний являются операторами персональных данных и максимально вовлечены в процесс их обработки. В связи с этим велика вероятность проверки Роскомнадзором соблюдения ими положений 152-ФЗ.

Роскомнадзор может привлечь к ответственности сотрудников, руководителя компании и саму компанию.

Как правило, за различные выявленные нарушения — от нарушения порядка сбора, хранения и обработки информации о гражданах до несоответствия требованиям лицензий — на оператора персональных данных накладывается целый ряд штрафов.

Крупные игроки ИT-индустрии помимо штрафов подвержены репутационным рискам, которые трудно оценить в денежном выражении. Центр обработки данных или оператор связи, не способный надлежащим образом организовать обработку персональных данных, может вызвать сомнение у потенциальных клиентов. 

Необходимо также учитывать, что проверки Рос­комнадзора могут быть не только плановыми, но и организованными по заявлению третьих лиц или сотрудника компании, который сочтет, что при обработке персональных данных были нарушены его права.

Что могут обеспечить ЦОДы?

Организация надлежащей работы с персональными данными, требующаяся от любой ИT-компании, должна быть многосторонней. Она должна охватывать как юридические направления (правовые аспекты получения персональных данных), так и практические (организация процедуры хранения персональных данных, ведения журналов доступа к персональным данным и т.д.).

Логика законодательного ужесточения требований к процедурам обработки персональных данных обусловлена в первую очередь необходимостью обеспечения безопасности граждан.

С каждым годом все больше персональных данных вовлекается в оборот во всемирной сети: номера телефонов, данные банковских карт, личная переписка — и все они должны храниться надежно. Многие компании передают хранение персональных данных специалистам — профессиональным операторам связи и дата-центрам.

В такой ситуации сохранность персональных данных зависит от правильного выбора поставщика услуг.

Центр обработки данных, имеющий не только отказоустойчивую инфраструктуру, но и надежную физическую охрану, в полной мере способен обеспечить защиту серверов клиентов и не допустить несанкционированного доступа к персональным данным. По этой причине большинство банков и крупных компаний доверяют хранение персональных данных ЦОДам высокого уровня надежности.

Источник: https://www.dataspace.ru/company/press-center/obrabotka-i-khranenie-personalnykh-dannykh-zakon-trebuet-tsody-predlagayut-iks-01-02-2017-ot-9-marta/

Инструкция по работе с типовым уведомлением для СРО

На сайте Роскомнадзора https://pd.rkn.gov.ru/operators-registry/notification/form/, в Форме уведомления необходимо заполнить все отмеченные поля, согласно присланному проекту уведомления, а именно:

  • «Наименование ТО Роскомнадзора» — выбирается наименование территориального органа Роскомнадзора из всплывающего списка, куда будет отправлено уведомление;
  • «Тип оператора» выбрать тип оператора «Юридическое лицо» из всплывающего списка;
  • «Наименование оператора» — вводится полное название оператора с указанием организационно-правовой формы;
  • «Сокращенное наименование оператора» — указывается при наличии;
  • «Адрес оператора» — нажать на «выбрать из справочника» и в раскрывшемся окне ввести адрес организации, после ввода адреса, подтвердить действия нажатием кнопки «ОК». Заполнить поле «Индекс». В случае совпадения фактического адреса местонахождения и почтового адреса, отметить графу «совпадает с адресом местонахождения»;
  • Заполнить контактные данные: «Телефон», «Факс», «Адрес электронной почты» при наличии;
  • В поле «Выбрать регион» выбрать регион из списка (необходимо выбрать регионы, в которых фактически располагаются сервера с базами данных по всем информационным системам. К примеру: регион места нахождения СРО, где размещаются компьютеры, на которых автоматизировано ведется обработка персональных данных; регион сервера, на котором располагается сайт СРО и т.д. К таким регионам не относится регион размещения сервера АИС НРС, так как персональные данные для направления в указанную систему обрабатываются СРО по месту своего нахождения);
  • Заполнить поля «ИНН», «ОГРН» и т.д.;
  • При наличии филиалов, заполнить поле «Филиалы»;
  • «Правовое основание обработки персональных данных» — ввести информацию, указанную в аналогичном поле проекта уведомления;
  • «Цель обработки персональных данных» — ввести информацию, указанную в аналогичном поле проекта уведомления;
  • «Описание мер, предусмотренных статьями 18.1 и 19 ФЗ «О персональных данных»» — ввести информацию, указанную в аналогичном поле проекта уведомления. В графу «Средства обеспечения безопасности» ввести информацию, указанную в аналогичном поле проекта уведомления;
  • «Сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите…» — ввести информацию, указанную в аналогичном поле проекта уведомления;
  • «Дата начала обработки ПДн» — указать дату;
  • «Срок или условие прекращения обработки ПДн» — выбрать в поле, находящемся справа, «Условия окончания» и в появившемся поле ввести: «Прекращение деятельности название Оператора»;

На примере системы «1С «Кадры и бухгалтерия»:

  • «Категория персональных данных» — отметить все категории в графе «Персональные данные», кроме «имущественное положение» и «социальное положение». Графу «специальные категории ПДн» и графу «Биометрические ПДн» заполнять не надо. В графе «другие категории ПДн», написать категории персональных данных из проекта уведомления, за исключением тех, что были отмечены знаком «галка»;
  • «Категории субъектов, ПДн которых обрабатываются» — ввести информацию, указанную в аналогичном поле проекта уведомления;
  • «Перечень действий с ПДн, общее описание …» — ввести информацию, указанную в аналогичном поле проекта уведомления. Выбрать тип обработки ПДн, исходя из типа обработки, указанного в проекте уведомления (для описанных 4-ех ИСПДн в проекте уведомления, используется: смешанная обработка ПДн, с передачей ПДн по внутренней сети Оператора, с передачей по сети Интернет);
  • «Осуществление трансграничное передачи» — выбрать «не осуществляется»;
  • «Использование шифровальных средств» — поле не заполняется;
  • «Сведения о местонахождении базы данных…» — выбрать «Россия»;
  • «Адрес ЦОДа» — указать адрес ЦОДа (указывается собственный адрес организации, если база данных, содержащая ПДн, находится на территории организации. Указывается адрес арендуемого ЦОДа, если база данных, содержащая ПДн, находится в арендуемом (ЦОДе));
  • «Собственный ЦОД» — выбрать «да» (если база данных, содержащая ПДн, находится на территории организации), выбрать «нет» (если, база данных, содержащая ПДн, находится в арендуемом (ЦОДе). В случае ответа «нет», необходимо заполнить информацию по организации, ответственной за хранение данных (Информация представлена в проекте уведомления);
  • На примере системы «1С «Кадры и бухгалтерия» заполняется информация по остальным ИСПДн, согласно информации, представленной в проекте уведомления. Новая информационная система добавляется путем нажатия «добавить ИС» в форме уведомления;
  • «Ответственный за организацию обработки ПДн» — указывается физическое лицо, назначенное приказом по организации. Заполняются все поля.

После заполнения электронной формы уведомления, необходимо ввести «Защитный код», ознакомиться с «Порядком подачи уведомления в электронном виде» и нажать «Отправить электронное уведомление и подготовить форму к распечатке».

! ВНИМАНИЕ. После заполнения электронной формы, уведомление будет внесено в реестр рассматриваемых уведомлений. Уведомлению в электронной форме будет присвоен уникальный ключ. Распечатанному уведомлению на бумажном носителе будет присвоен аналогичный уникальный ключ. В связи с этим внимательно заполняйте и проверяйте формы уведомления перед нажатием на следующую кнопку:

Что такое ЦОД при обработке персональных данных: особенности хранения и использования сведений на серверах, размещенных в дата-центрах и указание их адреса

Перечень территориальных органов Роскомнадзора: https://rkn.gov.ru/about/territorial/.

Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных Роскомнадзора: https://77.rkn.gov.ru/docs/77/Uvedomlenie_ob_obrabotke_PD.docx.

Источник: НОСТРОЙ

Источник: https://www.reestr-sro.ru/nrs/personalnie-dannie/instruktsiya-po-ispolzovaniyu-tipovogo-uvedomleniya/

Что такое дата-центр (ЦОД)?

В этой статье мы расскажем о ЦОД: что это такое простыми словами, какие бывают и для чего создаются дата-центры.

Что такое дата-центр?

ЦОД (расшифровка: центр обработки данных) — это специализированное здание или помещение, в котором компания размещает серверное и сетевое оборудование с последующим подключением клиентов к сети Интернет. Проще говоря, ЦОД — это не столько центр обработки данных, сколько место для размещения оборудования.

Зачем нужен ЦОД?

Основное назначение дата-центра — обеспечить стабильную и безотказную работу размещённого в нём оборудования. Кроме этого, любой дата-центр предоставляет защищённые каналы связи, по которым происходит обмен данными.

Чем занимаются дата-центры? Чаще всего ЦОД обслуживают корпоративных клиентов — сдают в аренду хостинг-провайдерам стойки с серверами, а те, в свою очередь, сдают их в аренду своим клиентам в виде виртуального хостинга или VPS.

Однако дата-центры могут обслуживать и частных клиентов — например, предоставлять в аренду физический сервер целиком (Dedicated-сервер) или стойко-место под сервер клиента (Colocation). Для клиентов ЦОД — это финансово выгодно. Им не нужно покупать отдельное помещение, дорогостоящее оборудование и нанимать персонал.

Достаточно просто арендовать помещение или серверное оборудование в уже существующем центре обработки данных.

В REG.RU вы можете как заказать выделенный сервер, так и разместить свой сервер в нашем дата-центре.

Как выбрать надёжный дата-центр?

Качество и надёжность — два основных критерия при выборе дата-центра. Качественный ЦОД должен соответствовать следующим требованиям:

  • Размещённое оборудование должно быть надёжно защищено от воздействия окружающей среды (наводнений, ураганов, сейсмической активности и т. д.). Здание должно соответствовать определённому набору требований по несущей способности стен и перекрытий, материалу конструкций, размерам и особенностям помещений и т. п.
  • Бесперебойное снабжение электроэнергией — главное функциональное требование для ЦОД. В аварийных ситуациях или при сбоях в подачи электроэнергии используются автономные источники резервного питания: аккумуляторные батареи и дизель-генераторы.
  • Качественная система вентилирования воздуха и отвода тепла. Кроме охлаждения должен поддерживаться нужный уровень влажности и чистоты воздуха. Наличие пыли на серверах в ЦОД недопустимо.
  • Развитая и многоуровневая система охраны: огороженная территория, контрольно-пропускная система с досмотром, видеонаблюдение, управление доступом и т. д.
  • Профессиональные сотрудники, обслуживающие инфраструктуру ЦОД и клиентское оборудование.

Какие бывают ЦОДы?

По уровню надёжности и безопасности центры обработки данных распределяются по 4 категориям – Tier 1, Tier 2, Tier 3 и Tier 4. Тier — это показатель надёжности центра обработки данных, разработанный сертификационной организацией Uptime Institute. Каждому дата-центру присваивается одна из четырёх категорий Tier :

  • Tier 1. Это базовый уровень надёжности с отказоустойчивостью 99,67%. В случае ошибок и отказов работа ЦОД прерывается. В требованиях уровня Tier 1 не предусмотрено обязательное использование источников бесперебойного питания и возможность резервирования данных. Сам стандарт достаточно сильно устарел.
  • Tier 2. Так же, как и в 1 уровне, работа ЦОД может быть прервана из-за ошибок и отказов. Однако этот уровень предусматривает улучшенные условия размещения оборудования: резервные источники электроснабжения, фальшполы, избыточные системные ресурсы, улучшенные системы охлаждения. Отказоустойчивость для этого стандарта — 99,75 %.
  • Tier 3. Основное преимущество и отличие от первых двух стандартов в том, что ЦОД этого уровня не нужно останавливать для ремонта и профилактических работ. Это очень удобно для организаций, которые ведут круглосуточное взаимодействие со своими клиентами. Для соответствия Tier 3 дата-центр должен иметь резервные мощности всей системы и два трубопровода для охлаждения. Отказоустойчивость этого уровня — 99,98%. Дата-центру REG.RU присвоена именно эта категория.
  • Tier 4. На сегодняшний день это наивысший уровень надёжности ЦОД с отказоустойчивостью 99,99%. В требования этого стандарта входит двойное резервирование и полное дублирование всей системы. Этот уровень надёжности ЦОД рекомендован военным и финансовым организациям особой важности.

Что делают цифровые дата-центры в России?

В России центры обработки данных — перспективная и развивающаяся отрасль. Спросу способствуют растущие объёмы хранения информации. По качеству технического оснащения российские ЦОД находятся на европейском уровне. При этом более низкая стоимость электроэнергии и высокий потенциал регионального развития делают ЦОД привлекательными для крупных российских компаний.

В каких цод располагаются серверы reg.ru?

Компания REG.RU размещает серверы в трёх дата-центрах города Москвы. Это современные и защищённые ЦОД, которые считаются одними из самых надёжных в России. В них используются охранные системы с биометрической идентификацией, источники бесперебойного питания, системы пожаротушения и кондиционирования. Это обеспечивает непрерывную работу серверов и проектов клиентов.

Подробная информация (адрес, технические возможности, список услуг, фото) о каждом из дата-центров REG.RU представлена по ссылкам:

Экскурсии в дата-центр REG.RU

Размещение серверов в дата-центре REG.RU

Разместите собственные серверы в современном и надёжном дата-центре REG.RU.

Подробнее Помогла ли вам статья?

Источник: https://www.REG.ru/support/vydelennyye-servery-i-dts/colocation/chto-takoe-datatsentr-tsod

5 шагов по организации учета и хранения персональных данных

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства.

Федеральный закон от 27.07.

2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • образование, профессия;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • в паспорте или ином документе, удостоверяющем личность;
  • трудовой книжке;
  • документах о воинском учете, образовании, составе семьи;
  • справке о доходах с предыдущего места работы;
  • анкете, заполняемой при трудоустройстве;
  • личной карточке работника (форма Т-2);
  • свидетельствах о заключении брака, рождении ребенка;
  • медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  1.  из документов (сведений), предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ).

Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись.

При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо. 

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники.

Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ.

Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных.

Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.

Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия.

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются.

Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: https://School.Kontur.ru/publications/1583

Ссылка на основную публикацию