Как иностранной компании выйти на российский рынок и выполнить требования 152-ФЗ

Мы помогли иностранному заказчику разместить базу данных в аттестованном облаке и соблюсти Закон о персональных данных.

Как иностранной компании выйти на российский рынок и выполнить требования 152-ФЗ

Задача

Международная компания несколько лет работала с российскими клиентами через сеть дистрибьюторов и франчайзи. С изменением стратегии в России открылось собственное представительство. Для клиентов разработали новую программу лояльности: покупатель регистрируется в приложении и получает бонусные баллы за покупки. Персональные данные клиентов планировали хранить в собственной CRM-системе.

CRM изначально была размещена в головной организации за рубежом. Но для работы в России необходимо соблюдать законодательство о персональных данных и хранить информацию на территории РФ. Компания попросила DataLine помочь с размещением базы данных в соответствии со 152-ФЗ.

Что нужно было сделать
  • Выбрать подходящее хранилище для персональных данных. CRM за рубежом работала на базе отказоустойчивого кластера на PostgreSQL. База данных была развернута локально на собственных мощностях компании, обслуживанием оборудования занималась отдельная команда специалистов. Для работы базы использовались процессоры с частотой не менее 2,1 ГГц.

    Российское представительство не планировало закупать дорогостоящее оборудование и нанимать дополнительных специалистов. Поэтому для работы в России компания хотела разместить отдельную инсталляцию БД на аналогичных мощностях сервис-провайдера.

  • Организовать миграцию в новое решение и обеспечить администрирование. В российском представительстве не было своих архитекторов баз данных, поэтому нужна была база данных “под ключ”. Специалистам DataLine нужно было перенести данные, взять на себя полное администрирование базы и обеспечить ее высокую доступность.

    Также было важно хранить резервные копии данных на случай человеческого фактора, например, неудачных обновлений приложения.

  • Помочь с разработкой организационных документов. Для соблюдения закона недостаточно просто перенести базу данных в Россию. Компании нужно продумать организационные меры защиты и разработать документацию: политику обработки персданных, форму согласия на обработку, должностные инструкции ответственных, внутренние регламенты, уведомления РКН и другие.

    Помимо этого нужна модель угроз безопасности систем, в которых ведется обработка персональных данных. Она помогает определить актуальный тип угроз и выбрать подходящие средства защиты. В компании подобные документы были разработаны для иностранного рынка, но адаптировать их для работы в России не получалось. Сотрудники компании не имели подобного опыта и хотели передать эту задачу профильным специалистам.

Как решили задачу
Провели аудит и определили необходимый уровень защиты

У компании были опасения, что для базы данных в России потребуется отдельная аттестация: такой вариант предлагали другие компании. Специалисты DataLine изучили исходную CRM-систему и проанализировали, какие именно данные и как планируется хранить.

По итогам аудита стало понятно, что все персональные данные в системе относятся к общедоступной или иной категории, а для самой системы актуальны угрозы третьего типа. Компания не работала с государственными заказчиками. Это значило, что для работы достаточно инфраструктуры с третьим уровнем защищенности, а аттестация не обязательна. 

Предложили разместить базу данных в аттестованном облаке

Для третьего уровня защищенности хорошо подходила инфраструктура Cloud-152 — это аттестованная облачная платформа, соответствующая 152-ФЗ. Облако развернуто на базе российских дата-центров уровня Tier III, конкретные площадки указаны в договоре с заказчиком.

В этом облаке можно разместить любую базу данных: MS SQL, MySQL, PostgreSQL, MongoDB, Cassandra в одиночном и кластерном исполнении. Внутри платформы применяются средства защиты, сертифицированные по требованиям ФСТЭК России. Инфраструктура обеспечивает безопасность персональных данных со 2-м, 3-м, 4-м уровнями защищенности при актуальных угрозах 3-го типа. 

Клиентские приложения также решили разместить в Cloud-152

Приложение для покупателей используется для обработки пользовательской информации, так что по закону оно считается частью информационной системы персональных данных. Его тоже предложили разместить в Cloud-152.

Совместно разработали пакет необходимых документов

Специалисты DataLine предоставили заказчику готовую модель нарушителя, технический паспорт и модель угроз для Cloud-152. Также компании помогли разработать необходимые внутренние организационные документы:

  • Типовую форму согласия на обработку персональных данных (ПДн).
  • Политику оператора в отношении обработки ПДн.
  • Правила внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям закона.
  • Перечень информационных систем персональных данных (ИСПДн).
  • Регламент предоставления доступа субъекта к его ПДн.
  • Регламент расследования инцидентов.
  • Приказ о допуске работников к обработке ПДн.
  • Регламент взаимодействия с регуляторами.
  • Форму поручения обработки ПДн.
  • Модель угроз ИСПДн.
  • Уведомление РКН.
Провели миграцию и обеспечили требуемые показатели работы

Для начала заказчику предоставили тестовый доступ к облаку, чтобы проверить работу системы в новом окружении. Заказчик подготовил резервную копию базы, перевез в тестовое облако обезличенные данные и убедился, что все работает корректно.

Затем специалисты DataLine перенесли данные в боевое облако, запустили еще один тест производительности и добавили заказчику ресурсов без остановки базы данных. Производительность в облачном кластере оказалась выше, чем при локальном размещении базы. Это стало возможным за счет высокой частоты процессора в облаке — 3,1 ГГц.

Также для базы заказчика настроили резервное копирование и хранение копий на отдельной площадке.

Что получил клиент
Полностью работающую инфраструктуру в аттестованном облаке

Компании не понадобилось самостоятельно собирать инфраструктуру и готовиться к ее аттестации. Облачная платформа Cloud-152 уже имеет аттестат и обеспечивает нужный уровень защиты для персональных данных.

Организационную документацию “под ключ”

Клиенту не пришлось самостоятельно разбираться с нюансами закона и искать шаблоны нужных документов.

Увеличение производительности

Облачная платформа построена на процессорах с частотой 3,1 ГГц и обеспечивает гарантированную производительность дисковой системы в 2000 IOPS. Это позволило системе работать быстрее, чем на локальном сервере.

Запрос консультации по услуге "Облако, соответствующее 152-ФЗ"

Есть похожая задача? Хотите попробовать услугу "Облако, соответствующее 152-ФЗ"?

Оставьте заявку — мы свяжемся и обсудим, чем можем вам помочь

Облако, соответствующее 152-ФЗ
  • Соблюдение требований 152-ФЗ, постановления Правительства № 1119, приказа ФСТЭК № 21, приказа ФСБ № 378.
  • Сертифицированные ФСТЭК средства защиты.
  • Помощь в подготовке документов для контролирующих органов.
  • 2000 IOPS — гарантированная производительность дисковой системы.
  • 8 минут — максимальное время недоступности сервиса в месяц.

Другие кейсы

Как мы помогли заказчику создать комплексное решение для обработки персональных данных на базе облачного диска.

Работа с персональными данными (152-ФЗ)

В рамках сервиса DBaaS помогли клиенту ускорить базу данных на MS SQL Server и оптимизировали потребляемые ресурсы.

Хранение данных

Как мы подобрали комплексный набор инструментов послеаварийного восстановления для крупного ритейлера.

Катастрофоустойчивость