Как соблюсти 152-ФЗ для 10+ сайтов, не раздувая бюджет

Клиент

Крупная фармкомпания с корпоративным сайтом и более чем десятком продуктовых сайтов.

Задача

Внедрить на каждом сайте форму обратной связи, позволяющей посетителям задать вопрос о продукте. При этом необходимо соблюдение требований 152-ФЗ «О персональных данных»

Проблема

Если дорабатывать все сайты под требования закона, то значительно увеличиваются как сроки реализации, так и бюджет, особенно если учитывать, что на продуктовых сайтах используются разные CMS, начиная от 1С-Битрикс и заканчивая Laravel. А в некоторых случаях система управления вообще отсутствовала, сайт был написан на «чистом» php+html. Если кратко — это очень долго и дорого.

Решение

Проще, чем казалось, на самом деле.

01 Для соблюдения требований 152-ФЗ был выбран корпоративный сайт под управлением CMS 1С-Битрикс, отлично подходящей для этих задач, а на каждый из продуктовых сайтов была внедрена форма запроса с редиректом на корпоративный. Так мы смогли значительно снизить сроки реализации и не раздуть бюджет доработок.
02 Был разработан универсальный дизайн для формы обращения и на каждом продуктовом сайте произведены небольшие «косметические доработки», но учитывая объем работ, связанный с соблюдением требований 152-ФЗ, это мелочи. С каждой формы на продуктовом сайте настроили редирект на корпоративный сайт.
03 Отталкиваясь от типа и предполагаемого объема собираемых данных, мы определили уровень защищенности персональных данных. Получился 4-й (самый лояльный).
04 Подготовили модель угроз, учитывая CMS и характеристики веб-сервера.
05 На финальном этапе для корпоративного сайта были реализованы все требования 152-ФЗ.

Обычно большинство кейсов на этом и заканчивается, но суть этого кейса как раз в соблюдении требований, так что продолжим.

В чем сложность подготовки сайта под 152-ФЗ?

Большинство владельцев сайтов считают, что для соблюдения 152-ФЗ достаточно арендовать хостинг, в характеристиках которого значится пункт «Соответствие 152-ФЗ», повесить на сайт политику обработки персональных данных и информацию об использовании cookies. Но это к вопросу «быть» или «казаться», потому что реальные требования значительно объемнее.

Перечень требований формируется на основании Приказа ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Документ есть в открытом доступе, по нашей ссылке можно скачать только интересующую нас таблицу с тем самым составом требований.

Далее, отталкиваясь от требований (переведенных на понятный язык), постараемся привести примеры того, что было сделано для соблюдения 4-го уровня защищенности.

Требования к хостингу

По большей части это требования к инфраструктуре вашего хостера, где физически располагается железо, на котором вы арендуете хостинг под ваш сайт.
В нашем случае клиент хостится в нашем дата-центре, на наших серверах, следовательно, — это требование к ITSOFT.

Сервера виртуализации должны располагаться в сертифицированном дата-центре (в нашем случае это Tier III) — это закрывает массу проблем, так как вопросы с наличием круглосуточной охраны, пропускного режима, видеонаблюдения и прочего не требуют дополнительного внимания. Следовательно, за физическую безопасность «железа» мы не переживаем, так как в этом вопросе соблюдены все требования.
Виртуальный сервер необходимо обеспечить дополнительной защитой, тут можно использовать штатные решения, такие как fail2ban или CrowdSec.
Сетевое экранирование. Подойдет штатный брандмауэр + закрытие «лишних» портов + при возможности, настройки ограничения по ip.
Лояльность хостера. В случае инцидента могут потребоваться не только логи с виртуального сервера, но и с сетевого оборудования. Само собой просто так их никто не предоставит.

Это минимальные требования для соблюдения 152-ФЗ, так что, даже если хостинг «соответствует», но соответствующие настройки не произведены, — закон не соблюдается.

Требования к «администратору»

По большей части это требования к инфраструктуре вашего хостера, где физически располагается железо, на котором вы арендуете хостинг Клиент на поддержке, следовательно, это тоже требование к ITSOFT, так как у нас все доступы и работы на сайтах проводим мы. Если работы с сайтом вы осуществляете своими силами, то это требование к вам и всем, кто с сайтом работает. Причем эти требования распространяются на настройки виртуального сервера в том числе, единственное что они не затрагивают — инфраструктуру вашего хостера.

Для виртуального сервера требуется настройка круглосуточного мониторинга и регулярного резервирования, архивы должны шифроваться.
Логирование — обязательный параметр. Помимо стандартных логов требуется составить список отслеживаемых событий (на основании модели угроз), которые нужно отслеживать дополнительно. Все логи должны храниться на отдельном сервере, для которого тоже настраивается регулярное резервирование. Сервер, на всякий случай, доступен только из определенной подсети и «не смотрит» в интернет.
Любые изменения на сайте вносятся только в тестовой среде, а это предполагает еще один виртуальный сервер с копией боевого сайта, единственная разница — копия не содержит персональных данных.
Администратор должен вести журналы выданных и отозванных доступов как к виртуальному серверу, так и в админку сайта. Указывается дата, ФИО кому выдано, уровень доступа. Когда доступ отзывается, соответствующая запись делается в журнал.
Журналы тоже необходимо хранить на отдельном сервере с настроенным резервированием. В нашем случае используем тот же сервер с логами.
Доступ по SSH — только по ключу, про связку логин/пароль стоит забыть, выданные/отозванные ключи вносятся в журнал.
Минимум раз в квартал нужно проводить аудит виртуального сервера на предмет обновлений как CMS, так и других компонентов.

Требования к сайту

Это именно то, чем многие и ограничиваются при «соблюдении» требований.

На сайте должна быть опубликована «Политика обработки персональных данных».
На сайте должно быть всплывающее окно или информация об использовании cookies для сбора обезличенных персональных данных.
На всех формах обратной связи необходим чекбокс и ссылка на «Согласие на обработку персональных данных для посетителей сайта».
Если форма обратной связи использует капчу — необходимо дать ссылку на соответствующую политику, в зависимости от разработчика капчи.
На сайте должен быть установлен SSL-сертификат

Обращу внимание, что это упрощенное описание, на практике вы всегда столкнетесь с особенностями, которые зависят от хостера, веб-сервера и CMS. Например, на момент реализации в 1С-Битрикс отсутствовали штатные и работающие средства для сбора необходимых логов из CMS, которые по закону требуется складывать на другой сервер (вход/выход, системные события и др.), вопрос решается либо самописным скриптом, либо использованием специальных систем (например Graylog) в редакции Enterprise.

Требуется подготовка сайта
под 152-ФЗ? Напишите нам!

Почему дорого и долго внедрять требования 152-ФЗ на сайт без CMS?

Для примера сравним сайт, созданный на 1С-Битрикс и на фрэймворке Yii. Битрикс — разворачивается из коробки и по умолчанию имеет обширный функционал, а Yii — это «конструктор», где еще на этапе проектирования клиент с разработчиками решает, какой модуль ему нужен, а какой — нет, и какой функционал у модуля должен быть. Любой дополнительный модуль — это больше денег и времени к всегда ограниченному бюджету и срокам на разработку. Следовательно, если при разработке сайта не учитываются требования 152-ФЗ, как часто и происходит, то закладываются минимальные требования, позволяющие использовать базовый функционал сайта.

Например, модуль для управления пользователями (менеджерами/администраторами сайта). В худшем случае ему внимания не уделяют, есть 1 админский доступ, которым все пользуются. Лучше — если добавлена возможность добавлять некоторое количество пользователей. Однако, при желании внедрить все требования модуль придется дорабатывать, так как — да, должна быть возможность добавлять много пользователей, назначать им разные права (3-4 уровня), заходы должны логироваться и так далее. В итоге получаем ситуацию, что при использовании Yii некоторые модули придется дорабатывать, а некоторые добавлять, так как изначально они могут отсутствовать в принципе.

Штрафы за несоблюдение 152-ФЗ

ст. 19.7 КоАП РФ — непредставление уведомления о начале обработки персональных данных — штраф на юридическое лицо от 3 000 до 5 000 руб., на директора — от 300 до 500 руб.

Если вы корректно собираете и обрабатываете персональные данные, но забыли уведомить об этом необходимые инстанции — можно получить небольшой штраф.
ч. 2 ст. 13.11 КоАП РФ — обработка персональных данных без согласия субъекта персональных данных — штраф на юридическое лицо от 30 000 до 150 000 руб., на директора — от 20 000 до 40 000 руб.

Например, если при отправке формы с персональными данными на вашем сайте пользователь не уведомляется о факте сбора персональных данных и ему не предоставляется возможность согласиться/отказаться от их обработки — штраф будет больше.
ч. 3 ст. 13.11 КоАП РФ — отсутствие политики обработки персональных данных на сайте — штраф на юридическое лицо от 30 000 до 60 000 руб., на директора — от 6 000 до 12 000 руб.

Забыли разместить документ на сайте — штраф.
ч. 8 ст. 13.11 КоАП РФ — обработка персональных данных граждан РФ с помощью баз данных вне пределов РФ — штраф на юридическое лицо от 1 млн. до 6 млн. руб., на директора — от 100 000 до 200 000 руб.

Самый крупный штраф можно получить, если, например, разместить свой сайт на зарубежном хостинге и хранить персональные данные там же. При должной интерпретации, под эту статью может попасть и сайт размещенный на хостинге в РФ, но использующий для защиты известный сервис CloudFlare.

По статьям раздела 13.11 КоАП РФ имеется обширная судебная практика: постановления выносят и прокуратура, и местные отделения Роскомнадзора, и мировые суды.

Итог

Соблюдение даже самого «лояльного» 4-го уровня защищенности по 152-ФЗ не такая простая задача, как кажется. На реализацию всех требований не только потребуется заложить время и бюджет — нужно быть готовым и к тому, что потребуются дополнительные ресурсы на обслуживание системы.

Чтобы минимизировать расходы мы рекомендуем:

Хоститься в сертифицированных дата-центрах.
Если у вас есть подрядчики, оказывающие услуги поддержки, — хорошо, если это будет их хостинг.
Для реализации требований лучше подходят сайты на поддерживаемых CMS с хорошим набором «из коробки».
Не экономить на спичках.

Мы не рекомендуем обходить стороной все требования, так как в случае инцидента, вы не только получите штраф и повышенное внимание от Роскомнадзора, но и предписание все требования соблюсти в сроки, которые будете определять уже не вы.

Все кейсы