Короткий ответ: любой, необходимый вам.
Однако, вопрос требует более полного ответа во избежание двусмысленности.
Для того, чтобы определить необходимый уровень защищённости для вашей конкретной ИСПДн, нужно установить:
- категории обрабатываемых персональных данных субъектов (физических лиц) в вашей ИС (специальные категории, биометрические данные, общедоступные данные, иные данные),
- вид обработки по форме отношений между субъектами и вашей организацией (сотрудники, несотрудники),
- количество обрабатываемых субъектов (менее 100 000 субъектов, более 100 000 субъектов),
- а также тип угроз, актуальных для данной конкретной вашей информационной системы (1-й тип: связан с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн; 2-й тип: связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн; 3-й тип: не связан с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн). Причём как установить тип актуальных угроз — не регламентировано, поэтому рекомендуется привлекать для оценки специалистов в области информационной безопасности.
После установления всех исходных данных для конкретной ИСПДн определяется уровень защищённости персональных данных и перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных для данной конкретной информационной системы.
Подробнее о типах угроз вы можете узнать в Постановлении Правительства РФ от 1 ноября 2012 г. № 1119.
Подробнее о необходимых мерах по обеспечению безопасности в зависимости от выбранного уровня защищённости вы можете узнать в Приказе ФСТЭК России от 18 февраля 2013 г. № 21.
Мы, в свою очередь, всегда рады помочь по мере наших возможностей нашим клиентам, которым необходимо обеспечить соответствие их ИС закону 152-ФЗ, а именно: внести необходимые для их уровня защищённости изменения в предоставляемую им услугу (будь то виртуальный сервер, виртуальный дата-центр, аренда физического сервера или аренда стойки и т.д.), если окажется, что имеющего сейчас уровня не достаточно, а также можем давать рекомендации по специалистам и профильным компаниям, но это не услуга «из коробки», а индивидуальная работа.
Процесс в общем случае выглядит так:
- вы описываете (сами или с помощью привлечённых специалистов) свою ИС;
- понимаете, какой уровень защищённости вам нужен;
- понимаете, какой уровень защищённости у вас сейчас;
- составляете (сами или с помощью привлечённых специалистов) перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности ПДн;
- если какие-либо требования из перечня будут относиться к предоставляемым нами услугам, то вы обращаетесь с данными требованиями к нам и мы, работая в контакте с вами, делаем всё возможное для их удовлетворения.
Возможно Вас также заинтересует:
Должны ли все средства защиты персональных данных быть сертифицированы ФСТЭК России по 152-ФЗ?
Достаточно ли защитить сервер или стойку для соответствия 152-ФЗ?
Почему хостинг-провайдер или дата-центр не может взять на себя ваши обязанности по исполнению 152-ФЗ?
Можно ли купить аттестованную по 152-ФЗ информационную систему (сервер, хостинг и т.д.)?