ФЗ-152 "Аб абароне персанальных дадзеных" распаўсюджваецца на ўсіх існуючых суб'ектаў: фізічных і юрыдычных асоб, федэральныя органы дзяржаўнай улады і мясцовага самакіравання. Фактычна, гэты закон распаўсюджваецца на любыя арганізацыі, якія апрацоўваюць інфармацыю і асабістыя дадзеныя грамадзян РФ, незалежна ад формы ўласнасці і памеру арганізацыі.
Часам арганізацыя дастаткова нечакана для сябе можа выявіць першапачаткова няяўныя інфармацыйныя сістэмы персанальных дадзеных (ПДн). Напрыклад, кампанія лічыцца аператарам персанальных дадзеных, калі на яе сайце ёсць формы зваротнай сувязі, рэгістрацыі аўтарызацыі і іншыя формы збору дадзеных, па якіх можна ідэнтыфікаваць суб'екта.
Кантроль і нагляд у дачыненні да выканання патрабаванняў федэральнага закона "Аб персанальных дадзеных" ажыццяўляюць рэгулятары:
- Раскамнагляд у частцы абароны правоў суб'ектаў персанальных дадзеных;
- ФСБ Расіі ў частцы выканання патрабаванняў у галіне крыптаграфіі;
- ФСТЭК Расіі ў частцы захавання патрабаванняў па абароне інфармацыі ад несанкцыянаванага доступу і ўцечкі па тэхнічных каналах.
Так як ФЗ "Аб персанальных дадзеных" з'яўляецца толькі асновай прававога забеспячэння абароны ПДн, яго патрабаванні ў далейшым былі канкрэтызаваны ў актах Урада РФ і Міністэрства сувязі, і іншых нарматыўна-метадычных дакументах рэгулятараў.
Федэральныя органы, якія рэгулююць дзейнасць у сферы апрацоўкі персанальных даных
- Роскомнадзор (Федэральная служба па наглядзе ў сферы сувязі і масавых камунікацый) - ажыццяўляе кантроль і нагляд за адпаведнасцю апрацоўкі ПДН патрабаванням заканадаўства.
- ФСТЭК Расіі (Федэральная служба па тэхнічным і экспартным кантролі) - устанаўлівае метады і спосабы абароны інфармацыі з выкарыстаннем тэхнічных сродкаў.
- ФСБ Расіі (Федэральная служба бяспекі РФ) - усталёўвае метады і спосабы абароны інфармацыі ў межах сваіх паўнамоцтваў (сфера карыстання крыптаграфічных сродкаў абароны інфармацыі)
Кожная арганізацыя, якая апрацоўвае персанальныя даныя, сутыкаецца з праблемай прывядзення сваіх інфармацыйных сістэм у адпаведнасць з патрабаваннямі заканадаўства. Абарона персанальных дадзеных - адно з самых актуальных пытанняў, прычым не толькі ў Расіі, але і ў іншых краінах.
Віды персанальных даных
Згодна з ФЗ-152, персанальныя дадзеныя - любая інфармацыя, якая адносіцца да пэўнай або вызначанай на падставе такой інфармацыі фізічнай асобе (суб'екту персанальных дадзеных). Напрыклад: Прозвішча, імя, дата і месца нараджэння, адрас, сямейнае, сацыяльнае, маёмаснае становішча, адукацыя і г.д.
Персанальныя дадзеныя падзяляюць на некалькі катэгорый:
спецыяльныя
ПДн, якія тычацца расавай, нацыянальнай прыналежнасці, палітычных поглядаў, рэлігійных або філасофскіх перакананняў, стану здароўя, інтымнага жыцця
Біяметрычныя
ПДн, якія характарызуюць фізіялагічныя і біялагічныя асаблівасці чалавека, на падставе якіх можна ўстанавіць яго асобу і якія выкарыстоўваюцца аператарам для ўстанаўлення асобы суб'екта персанальных даных
Іншыя
ПДН, якая адносіцца да прама або ўскосна вызначанай або вызначанай фізічнай асобе, і не адносіцца да вышэйпералічаных катэгорый
агульнадаступныя
ПДН, атрыманыя з агульнадаступных крыніц, у якіх дадзеныя былі апублікаваныя з пісьмовай згоды суб'екта персанальных дадзеных
Апрацоўка персанальных дадзеных - гэта любое дзеянне (аперацыя) або сукупнасць дзеянняў з персанальнымі дадзенымі з выкарыстаннем сродкаў аўтаматызацыі або без іх, уключаючы:
- збор,
- запіс,
- сістэматызацыю,
- назапашванне,
- захоўванне,
- удакладненне (абнаўленне, змяненне),
- выманне,
- выкарыстанне,
- перадачу (распаўсюджванне, прадастаўленне, доступ),
- абязлічванне,
- блакаванне,
- выдаленне,
- знішчэнне персанальных дадзеных.
Адказнасць за парушэнні
Згодна з артыкулам 24 ФЗ-152, асобы нясуць адказнасць за парушэнне закона ў адпаведнасці з заканадаўствам Расійскай Федэрацыі.
Правяраючы кампанію, рэгулятары кіруецца ФЗ-152 і побач падзаконных актаў. Праверка можа быць як планавай, так і пазапланавай - па фактах парушэнняў, а таксама для кантролю раней выдадзенага прадпісання аб іх ліквідацыі.
Асобам, якія парушылі патрабаванні па абароне ПДН можа пагражаць не толькі грамадзянска-прававая і дысцыплінарная, але таксама адміністрацыйная і нават крымінальная адказнасць.
Як адпавядаць патрабаванням ФЗ-152?
Такім чынам, кампанія ці арганізацыя, якая апрацоўвае персанальныя дадзеныя ці іншую інфармацыю абмежаванага доступу, павінна абараняць гэтую інфармацыю ў адпаведнасці з заканадаўствам. Гэта не толькі патрабуе сур'ёзнай экспертызы, ведаў і досведу, але і спалучана з тэхнічнымі складанасцямі і немалымі выдаткамі.
Паводле афіцыйнага вызначэння, зацверджанага ФСТЭК, «…Бяспека персанальных дадзеных – стан абароненасці персанальных дадзеных, які характарызуецца здольнасцю карыстачоў, тэхнічных сродкаў і інфармацыйных тэхналогій забяспечыць канфідэнцыйнасць, цэласнасць і даступнасць персанальных дадзеных пры іх апрацоўцы ў інфармацыйных сістэмах персанальных дадзеных…»
Каб выканаць арганізацыйныя, прававыя і тэхнічныя патрабаванні ФЗ-152, самастойна трэба вывучыць не толькі сам закон, але і яго падзаконныя акты, разабрацца ў тым, якія менавіта меры неабходна прыняць. Адмыслоўцы на аўтсорсінгу могуць вывучыць працэсы апрацоўкі персанальных дадзеных у кампаніі, скласці неабходныя дакументы, укараніць сродкі абароны і т. д.
Комплексная сістэма абароны інфармацыі ўключае ў сябе:
- Сродкі прадухілення ўварванняў (IDS).
- Міжсеткавае экранаванне (FW).
- Абарону ад шкоднаснага ПЗ.
- Сістэму маніторынгу і рэгістрацыі падзей бяспекі.
- Сістэму крыптаграфічнай абароны каналаў сувязі (шыфраванне).
- Сродкі абароны віртуальнага асяроддзя, сістэму абароны ад несанкцыянаванага доступу (НСД), ідэнтыфікацыі і кіраванні доступам.
- Сістэму аналізу абароненасці / выяўленні ўразлівасцяў і інш.
Акрамя таго, комплексная інфармацыйная бяспека прадугледжвае не толькі тэхнічныя, але і арганізацыйныя меры.
Воблака ФЗ-152: асаблівасці рэалізацыі
Шэраг расійскіх правайдэраў аказвае паслугі па прадастаўленні хмарнай інфраструктуры для размяшчэння інфармацыйных сістэм у адпаведнасці з патрабаваннямі федэральнага заканадаўства ў частцы ПДН. Пры размяшчэнні сістэм кліента ў воблаку правайдэр бярэ на сябе вырашэнне многіх пытанняў ИБ, у тым ліку і датычных абароны персанальных дадзеных. Пры міграцыі ў воблака ён забяспечыць абарону інфраструктуры ІТ, і гэта здыме частку абавязкаў з кліента. Напрыклад, правайдэр выконвае патрабаванні ФЗ-152, якія тычацца аховы асяроддзя віртуалізацыі.
Правайдэры таксама могуць аказваць замоўцам экспертную падтрымку ў рашэнні задачы абароны дадзеных: вызначаць патрабаваны ўзровень абароненасці і ў адпаведнасці з гэтым прапаноўваць варыянт рэалізацыі; распрацоўваць дакументацыю для выканання патрабаванняў заканадаўства РФ.
Абароненае воблака дапаможа аптымізаваць выдаткі арганізацыі, скараціўшы выдаткі на стварэнне і абслугоўванне ІТ-інфраструктуры і ўнутранай сістэмы абароны інфармацыі. Як правіла, кваліфікаваныя эксперты забяспечваюць комплекснае тэхнічнае суправаджэнне і падтрымку, уключаючы кансалтынг і распрацоўку пакета дакументаў для атэстацыі ў якія рэгулююць органах, а платформа для аказання паслуг адпавядае строгім тэхнічным стандартам і задавальняе неабходныя арганізацыйныя патрабаванні. Кліенты могуць карыстацца паслугамі па падрыхтоўцы неабходнай дакументацыі і абароне ИСПДн на ўзроўні прыкладанняў і аперацыйнай сістэмы.
Таксама прадугледжаны працэсы кіравання рызыкамі і ўразлівасцямі, расследаванне інцыдэнтаў, унутраныя і вонкавыя аўдыты бяспекі, а таксама рэгулярны маніторынг і тэставанне сеткі, сістэм і працэсаў ИБ. Кваліфікаваныя спецыялісты забяспечваюць кругласутачнае суправаджэнне ІТ-інфраструктуры.
У сукупнасці гэтыя меры забяспечваюць захаванне федэральнага заканадаўства ў частцы абароны персанальных дадзеных.
Сертыфікаваная платформа
IBS DataFort дае такі сэрвіс на базе . Уся тэхнічная частка, адміністраванне і сродкі віртуалізацыі дадзенай платформы адпавядаюць нормам і патрабаванням ФЗ-152.
Архітэктура абароненага аблокі IBS DataFort.
Платформа забяспечвае гарантаваную абарону ИСПДн (да 1-га ўзроўню абароненасці ўключна), ГІС (да 1-га класа абароненасці ўключна) і бяспечнае захоўванне дадзеных у ЦАД Tier III. На платформе прымяняюцца сертыфікаваныя міжсеткавыя экраны, сродкі выяўлення і прадухілення ўварванняў (IDS/IPS), шыфраванне каналаў сувязі (ДАСТ VPN), антывірусная абарона, сродкі абароны ад несанкцыянаванага доступу, абарона асяроддзя віртуалізацыі, а таксама сродкі сканавання ўразлівасцяў.
— таксама прыдатнае рашэнне для тых, хто прад'яўляе высокія патрабаванні да канфідэнцыйнасці і абароны дадзеных, хоча ўмацаваць сваю дзелавую рэпутацыю або атрымаць такую канкурэнтную перавагу як пацверджаны высокі ўзровень інфармацыйнай бяспекі.
Як жа "пераехаць" у такое воблака? Ці магчымая “бясшвовая міграцыя”? Суцэль. Напрыклад, IBS DataFort ажыццяўляе бяспечны перанос ИСПДн у сваё абароненае воблака, мінімізуючы прастоі і ўплыў на бізнес-працэсы кампаніі (у тым ліку, з замежных пляцовак).
Прывядзенне ІТ-інфраструктуры ў адпаведнасць з ФЗ-152
Працэс прывядзення ІТ-інфраструктуры кліента ў адпаведнасць з патрабаваннямі ФЗ-152 пачынаецца з аўдыту і адзнакі бягучага ўзроўня абароненасці.
Аўдыт ІТ-інфраструктуры кліента ўключае абследаванне працэсаў апрацоўкі і абароны ПДН і абследаванне ИСПДн заказчыка. Складаецца справаздача аб абследаванні з падрабязным апісаннем працэсаў апрацоўкі ПДН з тэхнічнага пункта гледжання.
Работы прадугледжваюць таксама мадэляванне пагроз і парушальнікаў і складанне акта вызначэння ўзроўню абароненасці для ИСПДн. Па выніках аўдыту складаецца прыватнае ТЗ на сістэму абароны ИСПДн і вызначальнае патрабаванні да праектаванай сістэмы.
Распрацоўваецца набор палітык, інструкцый, рэгламентаў і іншых дакументаў па абароне ПДН. Пры гэтым спецыялісты імкнуцца аптымізаваць затраты заказчыка на ўкараненне сродкаў абароны.
IBS DataFort аказвае паслугі па падрыхтоўцы дакументацыі і абароне ИСПДн для захавання федэральнага заканадаўства па абароне персанальных дадзеных і можа дапамагчы ў падрыхтоўцы і праходжанні атэстацыі (ИСПДн, ГІС, АС).
Атэстацыя праводзіцца незалежнымі аўдытарамі, якія валодаюць ліцэнзіямі ФСТЭК і ФСБ Расіі. Праходжанне такой атэстацыі пацвярджае надзейную абарону персанальных дадзеных партнёраў і кліентаў кампаніі ад знешніх пагроз, комплекснае адпаведнасць патрабаванням рэгулятараў. Важна, што кліенты атрымліваюць зручнасць «аднаго акна»: усё забяспечвае адна кампанія – IBS DataFort.
Для аператара персанальных дадзеных гэта азначае гатоўнасць да праверак Роскомнадзора, ФСТЭК і ФСБ, выключэнне рызык блакіроўкі рэсурсаў, адсутнасць прэтэнзій і санкцый рэгулятара.
Такая паслуга актуальная для многіх катэгорый заказчыкаў дзяржаўнага і карпаратыўнага сегмента і можа быць запатрабавана аператарамі персанальных даных, якія хочуць прывесці сваю дзейнасць у адпаведнасць з заканадаўствам. Размяшчэнне ІС у закрытым сегменце інфраструктуры правайдэра, атэставаным па ўсіх неабходным стандартам і патрабаванням, пазбаўляе заказчыка ад неабходнасці самастойнай арганізацыі ўсіх работ.
Крыніца: habr.com