Federalni zakon-152 “O zaštiti podataka o ličnosti” primjenjuje se na sve postojeće subjekte: fizička i pravna lica, organe savezne vlasti i lokalne samouprave. Zapravo, ovaj zakon se primjenjuje na svaku organizaciju koja obrađuje informacije i lične podatke građana Ruske Federacije, bez obzira na oblik vlasništva i veličinu organizacije.
Ponekad organizacija, sasvim neočekivano za sebe, može otkriti inicijalno implicitne informacione sisteme ličnih podataka (PD). Na primjer, kompanija se smatra operaterom ličnih podataka ako njena web stranica ima obrasce za povratne informacije, registraciju, autorizaciju i druge oblike prikupljanja podataka pomoću kojih se subjekt može identificirati.
Kontrolu i nadzor u pogledu usklađenosti sa zahtjevima saveznog zakona „O ličnim podacima“ vrše regulatori:
- Roskomnadzor u vezi sa zaštitom prava subjekata ličnih podataka;
- FSB Rusije u pogledu usklađenosti sa zahtjevima u oblasti kriptografije;
- FSTEC Rusije u pogledu usklađenosti sa zahtjevima za zaštitu informacija od neovlaštenog pristupa i curenja kroz tehničke kanale.
Budući da je Federalni zakon „O ličnim podacima“ samo osnova za pravnu podršku za zaštitu ličnih podataka, njegovi zahtjevi su naknadno navedeni u aktima Vlade Ruske Federacije i Ministarstva komunikacija, te drugim regulatornim i metodološkim dokumentima regulatori.
Federalni organi koji regulišu poslove u oblasti obrade ličnih podataka
- Roskomnadzor (Federalna služba za nadzor komunikacija i masovnih komunikacija) - vrši kontrolu i nadzor nad usklađenošću obrade PD sa zakonskim zahtjevima.
- FSTEC Rusije (Savezna služba za tehničku i izvoznu kontrolu) - utvrđuje metode i sredstva zaštite informacija tehničkim sredstvima.
- FSB Rusije (Federalna služba sigurnosti Ruske Federacije) - utvrđuje metode i sredstva zaštite informacija u okviru svojih ovlaštenja (sfera upotrebe kriptografskih sredstava zaštite informacija)
Svaka organizacija koja obrađuje lične podatke suočava se s problemom usklađivanja svojih informacionih sistema sa zakonskim zahtjevima. Zaštita ličnih podataka jedno je od najhitnijih pitanja, ne samo u Rusiji, već iu drugim zemljama.
Vrste ličnih podataka
Prema Federalnom zakonu br. 152, lični podaci su svaka informacija koja se odnosi na pojedinca identifikovana ili utvrđena na osnovu takvih informacija (subjekt ličnih podataka). Na primjer: puno ime, datum i mjesto rođenja, adresa, porodica, društveni, imovinski status, obrazovanje itd.
Lični podaci podijeljeni su u nekoliko kategorija:
Posebno
Lični podaci koji se odnose na rasu, nacionalnost, političke stavove, vjerska ili filozofska uvjerenja, zdravstveno stanje, intimni život
Biometrijski
PD, koji karakterišu fiziološke i biološke karakteristike osobe, na osnovu kojih se može utvrditi njen identitet i koje koristi operater za utvrđivanje identiteta subjekta ličnih podataka
Ostalo
PD koji se odnosi na direktno ili indirektno identifikovanu ili prepoznatljivu osobu i ne spada u gore navedene kategorije
Javno dostupno
PD dobijen iz javno dostupnih izvora u kojima su podaci objavljeni uz pismenu saglasnost subjekta ličnih podataka
Obrada ličnih podataka je svaka radnja (operacija) ili skup radnji s ličnim podacima koristeći ili bez alata za automatizaciju, uključujući:
- kolekcija,
- snimanje,
- sistematizacija,
- akumulacija,
- skladište,
- pojašnjenje (ažuriranje, promjena),
- ekstrakcija,
- upotreba,
- prijenos (distribucija, pružanje, pristup),
- depersonalizacija,
- blokiranje,
- odstranjivanje,
- uništavanje ličnih podataka.
Odgovornost za prekršaje
Prema članu 24 Federalnog zakona br. 152, osobe su odgovorne za kršenje zakona u skladu sa zakonodavstvom Ruske Federacije.
Prilikom provjere kompanije, regulatori se rukovode Federalnim zakonom-152 i nizom podzakonskih akata. Inspekcijski nadzor može biti zakazan ili vanredan - na osnovu činjenica o prekršajima, kao i radi praćenja ranije izdatih naloga za njihovo otklanjanje.
Lica koja krše uslove za zaštitu ličnih podataka mogu se suočiti ne samo sa građanskom i disciplinskom, već i sa administrativnom, pa čak i krivičnom odgovornošću.
Kako se pridržavati zahtjeva Federalnog zakona-152?
Dakle, kompanija ili organizacija koja obrađuje lične podatke ili druge osjetljive informacije mora zaštititi te podatke u skladu sa zakonom. To ne zahtijeva samo ozbiljnu stručnost, znanje i iskustvo, već je povezano i sa tehničkim poteškoćama i znatnim troškovima.
Prema zvaničnoj definiciji koju je odobrio FSTEC, „...Sigurnost ličnih podataka je stanje sigurnosti ličnih podataka koje karakteriše sposobnost korisnika, tehničkih sredstava i informacionih tehnologija da obezbede poverljivost, integritet i dostupnost ličnih podataka kada obrađuju u informacionim sistemima ličnih podataka...”
Da biste sami ispunili organizacione, pravne i tehničke zahtjeve Federalnog zakona 152, potrebno je da proučite ne samo sam zakon, već i njegove podzakonske akte i tačno shvatite koje mjere treba preduzeti. Stručnjaci za outsourcing mogu proučiti procese obrade ličnih podataka u kompaniji, izraditi potrebnu dokumentaciju, implementirati sigurnosne mjere itd.
Sveobuhvatan sistem informacione sigurnosti uključuje:
- Alati za prevenciju upada (IDS).
- Zaštitni zid (FW).
- Zaštita od zlonamjernog softvera.
- Sistem za praćenje i snimanje sigurnosnih događaja.
- Sistem kriptografske zaštite komunikacionih kanala (šifrovanje).
- Sredstva zaštite virtuelnog okruženja, sistem zaštite od neovlašćenog pristupa (ATP), identifikacija i kontrola pristupa.
- Sigurnosna analiza/sistem za otkrivanje ranjivosti, itd.
Osim toga, sveobuhvatna sigurnost informacija uključuje ne samo tehničke, već i organizacione mjere.
Cloud FZ-152: karakteristike implementacije
Određeni broj ruskih provajdera pruža usluge pružanja cloud infrastrukture za hostovanje informacionih sistema u skladu sa zahtevima federalnog zakonodavstva u vezi sa ličnim podacima. Kada se sistemi klijenta nalaze u oblaku, provajder preuzima mnoga pitanja sigurnosti informacija, uključujući ona koja se odnose na zaštitu ličnih podataka. Prilikom migracije u oblak, to će zaštititi IT infrastrukturu, a to će ukloniti neke od odgovornosti sa klijenta. Na primjer, provajder ispunjava zahtjeve Federalnog zakona 152 u vezi sa zaštitom okruženja virtuelizacije.
Provajderi takođe mogu pružiti klijentima stručnu podršku u rešavanju problema zaštite podataka: odrediti potreban nivo bezbednosti i u skladu sa tim ponuditi opciju implementacije; izraditi dokumentaciju u skladu sa zahtjevima zakonodavstva Ruske Federacije.
Bezbedan oblak će pomoći u optimizaciji troškova organizacije smanjenjem troškova kreiranja i održavanja IT infrastrukture i internog sistema bezbednosti informacija. Tipično, kvalifikovani stručnjaci pružaju sveobuhvatnu tehničku podršku i podršku, uključujući konsultacije i izradu paketa dokumenata za sertifikaciju od strane regulatornih tijela, a platforma za pružanje usluga ispunjava stroge tehničke standarde i ispunjava potrebne organizacijske zahtjeve. Klijenti mogu iskoristiti prednosti usluga za pripremu potrebne dokumentacije i zaštitu ISPD-a na nivou aplikacije i operativnog sistema.
Takođe su obezbeđeni procesi upravljanja rizicima i ranjivostima, istrage incidenata, interne i eksterne bezbednosne revizije, kao i redovno praćenje i testiranje procesa bezbednosti mreže, sistema i informacija. Kvalifikovani stručnjaci pružaju podršku IT infrastrukture 24 sata dnevno.
Sve zajedno, ove mjere osiguravaju usklađenost sa saveznim zakonima u vezi sa zaštitom ličnih podataka.
Certificirana platforma
IBS DataFort pruža takvu uslugu na osnovu . Svi tehnički dijelovi, alati za administraciju i virtuelizaciju ove platforme su u skladu sa normama i zahtjevima Federalnog zakona-152.
Arhitektura IBS DataFort sigurnog oblaka.
Platforma obezbeđuje zagarantovanu zaštitu ISPD-a (do 1. nivoa bezbednosti uključujući), GIS-a (do i uključujući 1. bezbednosnu klasu) i bezbedno skladištenje podataka u Tier III data centru. Platforma koristi sertifikovane firewall, alate za otkrivanje i prevenciju upada (IDS/IPS), enkripciju komunikacionih kanala (GOST VPN), antivirusnu zaštitu, zaštitu od neovlašćenog pristupa, zaštitu virtuelizacionog okruženja, kao i alate za skeniranje ranjivosti.
je takođe pogodno rešenje za one koji imaju visoke zahteve za poverljivošću i zaštitom podataka, žele da ojačaju svoju poslovnu reputaciju ili steknu takvu konkurentsku prednost kao što je dokazano visok nivo bezbednosti informacija.
Kako "preći" u takav oblak? Da li je moguća „besprekorna migracija“? Sasvim. Na primjer, IBS DataFort bezbedno prenosi ISPD u svoj sigurni oblak, minimizirajući zastoje i uticaj na poslovne procese kompanije (uključujući i sa stranih lokacija).
Usklađivanje IT infrastrukture sa Federalnim zakonom-152
Proces usklađivanja IT infrastrukture klijenta sa zahtjevima Federalnog zakona-152 počinje revizijom i procjenom postojećeg nivoa sigurnosti.
Revizija IT infrastrukture klijenta uključuje ispitivanje obrade i zaštite ličnih podataka i pregled informacionog sistema klijenta. Sastavlja se izvještaj o anketi sa detaljnim opisom procesa obrade PD sa tehničke tačke gledišta.
Posao uključuje i modeliranje prijetnji i uljeza i izradu izvještaja o utvrđivanju nivoa sigurnosti za ISPD. Na osnovu rezultata revizije izrađuje se privatna tehnička specifikacija za ISPD sistem zaštite i definiše zahtjeve za projektovani sistem.
U pripremi je set politika, uputstava, propisa i drugih dokumenata za zaštitu ličnih podataka. U isto vrijeme, stručnjaci pokušavaju optimizirati troškove korisnika za implementaciju sigurnosnih mjera.
IBS DataFort pruža usluge pripreme dokumentacije i zaštite ISPD-a u skladu sa saveznim zakonodavstvom o zaštiti ličnih podataka i može pomoći u pripremi i polaganju sertifikacije (ISPD, GIS, AS).
Certifikaciju sprovode nezavisni revizori licencirani od strane FSTEC-a i FSB-a Rusije. Polaganje takvog sertifikata potvrđuje pouzdanu zaštitu ličnih podataka partnera i klijenata kompanije od spoljnih pretnji, kao i sveobuhvatnu usklađenost sa regulatornim zahtevima. Važno je da klijenti dobiju pogodnost „sve na jednom mestu“: sve obezbeđuje jedna kompanija - IBS DataFort.
Za operatera ličnih podataka to znači spremnost za inspekcije od strane Roskomnadzora, FSTEC-a i FSB-a, eliminišući rizik od blokiranja resursa i izostanak potraživanja i sankcija od strane regulatora.
Ova usluga je relevantna za mnoge kategorije korisnika u državnom i korporativnom segmentu i može biti tražena od strane operatera ličnih podataka koji žele da svoje aktivnosti usklade sa zakonom. Postavljanje IP-a u zatvoreni segment infrastrukture provajdera, certificiranog prema svim potrebnim standardima i zahtjevima, oslobađa kupca potrebe da samostalno organizira sve poslove.
izvor: www.habr.com
