Federale wet-152 "Op die beskerming van persoonlike data" is van toepassing op alle bestaande entiteite: individue en regsentiteite, federale regeringsliggame en plaaslike regerings. Trouens, hierdie wet is van toepassing op enige organisasie wat inligting en persoonlike data van burgers van die Russiese Federasie verwerk, ongeag die vorm van eienaarskap en grootte van die organisasie.
Soms kan 'n organisasie, heel onverwags vir homself, aanvanklik implisiete inligtingstelsels van persoonlike data (PD) ontdek. Byvoorbeeld, 'n maatskappy word beskou as 'n operateur van persoonlike data as sy webwerf terugvoervorms, registrasie, magtiging en ander vorme van data-insameling het waardeur die onderwerp geïdentifiseer kan word.
Beheer en toesig rakende die nakoming van die vereistes van die federale wet "Op Persoonlike Data" word uitgevoer deur reguleerders:
- Roskomnadzor met betrekking tot die beskerming van die regte van persoonlike datasubjekte;
- RFD van Rusland met betrekking tot voldoening aan vereistes op die gebied van kriptografie;
- FSTEC van Rusland in terme van voldoening aan vereistes vir die beskerming van inligting teen ongemagtigde toegang en lekkasie deur tegniese kanale.
Aangesien die Federale Wet "Op Persoonlike Data" slegs die basis is vir regsondersteuning vir die beskerming van persoonlike data, is die vereistes daarvan vervolgens gespesifiseer in handelinge van die Regering van die Russiese Federasie en die Ministerie van Kommunikasie, en ander regulatoriese en metodologiese dokumente van reguleerders.
Federale owerhede reguleer aktiwiteite op die gebied van persoonlike dataverwerking
- Roskomnadzor (Federale Diens vir Toesig oor Kommunikasie en Massakommunikasie) - oefen beheer en toesig oor die nakoming van PD-verwerking met wetlike vereistes.
- FSTEC van Rusland (Federale Diens vir Tegniese en Uitvoerbeheer) - stel metodes en maniere vas om inligting te beskerm met behulp van tegniese middele.
- RFD van Rusland (Federale Veiligheidsdiens van die Russiese Federasie) - stel metodes en maniere in om inligting binne sy bevoegdhede te beskerm (gebruiksfeer van kriptografiese middele van inligtingbeskerming)
Elke organisasie wat persoonlike data verwerk, staan voor die probleem om sy inligtingstelsels aan wetlike vereistes te laat voldoen. Beskerming van persoonlike data is een van die dringendste kwessies, nie net in Rusland nie, maar ook in ander lande.

Tipes persoonlike data
Volgens Federale Wet No. 152 is persoonlike data enige inligting wat verband hou met 'n individu wat geïdentifiseer of bepaal word op grond van sodanige inligting (onderwerp van persoonlike data). Byvoorbeeld: volle naam, datum en plek van geboorte, adres, familie, sosiale, eiendomstatus, onderwys, ens.
Persoonlike data word in verskeie kategorieë verdeel:
Spesiale
Persoonlike data met betrekking tot ras, nasionaliteit, politieke sienings, godsdienstige of filosofiese oortuigings, gesondheidstatus, intieme lewe
Biometries
PD, wat die fisiologiese en biologiese eienskappe van 'n persoon kenmerk, op grond waarvan sy identiteit vasgestel kan word en wat deur die operateur gebruik word om die identiteit van die onderwerp van persoonlike data vas te stel
ander
PD wat verband hou met 'n direk of indirek geïdentifiseerde of identifiseerbare individu en nie in die bogenoemde kategorieë val nie
Publiek beskikbaar
PD verkry uit publieke beskikbare bronne waarin die data gepubliseer is met die skriftelike toestemming van die onderwerp van persoonlike data
Verwerking van persoonlike data is enige handeling (bewerking) of stel handelinge met persoonlike data met of sonder outomatiseringsinstrumente, insluitend:
- versameling,
- opname,
- sistematisering,
- akkumulasie,
- berging,
- verduideliking (opdatering, verandering),
- onttrekking,
- gebruik,
- oordrag (verspreiding, voorsiening, toegang),
- depersonalisering,
- blokkeer,
- verwydering,
- vernietiging van persoonlike data.
Verantwoordelikheid vir oortredings
Volgens Artikel 24 van Federale Wet No. 152 is persone verantwoordelik vir die oortreding van die wet in ooreenstemming met die wetgewing van die Russiese Federasie.
Wanneer 'n maatskappy nagegaan word, word reguleerders gelei deur Federale Wet-152 en 'n aantal verordeninge. Die inspeksie kan óf geskeduleer óf ongeskeduleerd wees - gebaseer op feite van oortredings, sowel as om 'n voorheen uitgereikte bevel te monitor om dit uit te skakel.
Persone wat die vereistes vir die beskerming van persoonlike data oortree, kan nie net siviele en dissiplinêre nie, maar ook administratiewe en selfs strafregtelike aanspreeklikheid in die gesig staar.
Hoe om te voldoen aan die vereistes van Federale Wet-152?
Dus, 'n maatskappy of organisasie wat persoonlike data of ander sensitiewe inligting verwerk, moet hierdie inligting in ooreenstemming met die wet beskerm. Dit verg nie net ernstige kundigheid, kennis en ervaring nie, maar word ook geassosieer met tegniese probleme en aansienlike koste.
Volgens die amptelike definisie wat deur FSTEC goedgekeur is, "... Sekuriteit van persoonlike data is die toestand van sekuriteit van persoonlike data, gekenmerk deur die vermoë van gebruikers, tegniese middele en inligtingstegnologieë om die vertroulikheid, integriteit en beskikbaarheid van persoonlike data te verseker wanneer verwerk in persoonlike data inligtingstelsels...”

Om op jou eie aan die organisatoriese, wetlike en tegniese vereistes van Federale Wet 152 te voldoen, moet jy nie net die wet self bestudeer nie, maar ook die verordeninge daarvan, en presies uitvind watter maatreëls getref moet word. Uitkontrakteringspesialiste kan die prosesse van die verwerking van persoonlike data in die maatskappy bestudeer, die nodige dokumente opstel, sekuriteitsmaatreëls implementeer, ens.
'n Omvattende inligtingsekuriteitstelsel sluit in:
- Intrusion Prevention Tools (IDS).
- Firewall (FW).
- Beskerming teen wanware.
- Stelsel vir die monitering en opname van sekuriteitsgebeurtenisse.
- Stelsel van kriptografiese beskerming van kommunikasiekanale (enkripsie).
- Middel om die virtuele omgewing te beskerm, 'n stelsel van beskerming teen ongemagtigde toegang (ATP), identifikasie en toegangsbeheer.
- Sekuriteitsanalise/kwesbaarheidsopsporingstelsel, ens.
Daarbenewens behels omvattende inligtingsekuriteit nie net tegniese nie, maar ook organisatoriese maatreëls.
Wolk FZ-152: implementeringskenmerke
'n Aantal Russiese verskaffers verskaf dienste vir die verskaffing van wolkinfrastruktuur vir die aanbieding van inligtingstelsels in ooreenstemming met die vereistes van federale wetgewing rakende persoonlike data. Wanneer die kliënt se stelsels in die wolk gehuisves word, neem die verskaffer baie inligtingsekuriteitskwessies aan, insluitend dié wat verband hou met die beskerming van persoonlike data. Wanneer na die wolk migreer, sal dit die IT-infrastruktuur beskerm, en dit sal sommige van die verantwoordelikhede van die kliënt verwyder. Die verskaffer voldoen byvoorbeeld aan die vereistes van Federale Wet 152 met betrekking tot die beskerming van die virtualiseringsomgewing.
Verskaffers kan ook kliënte van kundige ondersteuning voorsien om die probleem van databeskerming op te los: die bepaling van die vereiste vlak van sekuriteit en, in ooreenstemming hiermee, die aanbied van 'n implementeringsopsie; ontwikkel dokumentasie om te voldoen aan die vereistes van die wetgewing van die Russiese Federasie.
'n Veilige wolk sal help om 'n organisasie se koste te optimaliseer deur die koste van die skep en instandhouding van IT-infrastruktuur en 'n interne inligtingsekuriteitstelsel te verminder. Tipies verskaf gekwalifiseerde kundiges omvattende tegniese ondersteuning en ondersteuning, insluitend raadpleging en ontwikkeling van 'n pakket dokumente vir sertifisering deur regulatoriese owerhede, en die diensleweringsplatform voldoen aan streng tegniese standaarde en voldoen aan die nodige organisatoriese vereistes. Kliënte kan voordeel trek uit dienste vir die voorbereiding van die nodige dokumentasie en die beskerming van ISPD op die toepassing- en bedryfstelselvlak.
Risiko- en kwesbaarheidsbestuursprosesse, voorvalondersoeke, interne en eksterne sekuriteitsoudits, sowel as gereelde monitering en toetsing van die netwerk, stelsels en inligtingsekuriteitsprosesse word ook verskaf. Gekwalifiseerde spesialiste verskaf 24/7 IT-infrastruktuurondersteuning.
Tesame verseker hierdie maatreëls voldoening aan federale wette rakende die beskerming van persoonlike data.
Gesertifiseerde platform
IBS DataFort verskaf so 'n diens gebaseer op . Alle tegniese onderdele, administrasie- en virtualiseringsinstrumente van hierdie platform voldoen aan die norme en vereistes van Federal Law-152.
Argitektuur van die IBS DataFort veilige wolk.
Die platform bied gewaarborgde beskerming van ISPD (tot en met die 1ste sekuriteitsvlak ingesluit), GIS (tot en met die 1ste sekuriteitsklas) en veilige databerging in die Vlak III-datasentrum. Die platform gebruik gesertifiseerde brandmure, inbraakdetectie- en voorkomingsinstrumente (IDS/IPS), enkripsie van kommunikasiekanale (GOST VPN), antivirusbeskerming, beskerming teen ongemagtigde toegang, beskerming van die virtualisasie-omgewing, sowel as kwesbaarheidskanderingsnutsgoed.
is ook 'n geskikte oplossing vir diegene wat hoë vereistes vir vertroulikheid en databeskerming het, hul besigheidsreputasie wil versterk of so 'n mededingende voordeel wil verkry as 'n bewese hoë vlak van inligtingsekuriteit.
Hoe om na so 'n wolk te "skuif"? Is "naatlose migrasie" moontlik? Nogal. Byvoorbeeld, IBS DataFort dra die ISPD veilig na sy veilige wolk oor, wat stilstand en die impak op die maatskappy se besigheidsprosesse (insluitend van buitelandse werwe) tot die minimum beperk.
Bring die IT-infrastruktuur in ooreenstemming met Federale Wet-152
Die proses om die kliënt se IT-infrastruktuur in ooreenstemming te bring met die vereistes van Federal Law-152 begin met 'n oudit en assessering van die huidige vlak van sekuriteit.
’n Oudit van die kliënt se IT-infrastruktuur sluit ’n ondersoek na die verwerking en beskerming van persoonlike data en ’n ondersoek van die kliënt se inligtingstelsel in. 'n Opnameverslag word opgestel met 'n gedetailleerde beskrywing van die PD-verwerkingsprosesse vanuit 'n tegniese oogpunt.
Die werk sluit ook die modellering van bedreigings en indringers in en die opstel van 'n verslag oor die bepaling van die vlak van sekuriteit vir die ISPD. Op grond van die resultate van die oudit word 'n privaat tegniese spesifikasie vir die ISPD-beskermingstelsel opgestel en definieer die vereistes vir die ontwerpte stelsel.
’n Stel beleide, instruksies, regulasies en ander dokumente vir die beskerming van persoonlike data word ontwikkel. Terselfdertyd probeer spesialiste om die kliënt se koste vir die implementering van sekuriteitsmaatreëls te optimaliseer.
IBS DataFort verskaf dienste vir die voorbereiding van dokumentasie en die beskerming van ISPD om te voldoen aan federale wetgewing oor die beskerming van persoonlike data en kan help met die voorbereiding en slaag van sertifisering (ISPD, GIS, AS).
Sertifisering word uitgevoer deur onafhanklike ouditeure wat deur FSTEC en die RFD van Rusland gelisensieer is. Deur sodanige sertifisering te slaag, bevestig die betroubare beskerming van die persoonlike data van die maatskappy se vennote en kliënte teen eksterne bedreigings, en omvattende voldoening aan regulatoriese vereistes. Dit is belangrik dat kliënte die gerief van 'n "eenstopwinkel" ontvang: alles word deur een maatskappy verskaf - IBS DataFort.
Vir die persoonlike data-operateur beteken dit gereedheid vir inspeksies deur Roskomnadzor, FSTEC en die RFD, wat die risiko van blokkering van hulpbronne uitskakel, en die afwesigheid van eise en sanksies van die reguleerder.
Hierdie diens is relevant vir baie kategorieë kliënte in die regering en korporatiewe segment en kan in aanvraag wees deur persoonlike data-operateurs wat hul aktiwiteite in ooreenstemming met die wet wil bring. Die plasing van die IP in 'n geslote segment van die verskaffer se infrastruktuur, gesertifiseer volgens alle nodige standaarde en vereistes, verlig die kliënt van die behoefte om alle werk onafhanklik te organiseer.
Bron: will.com
