Mae Cyfraith Ffederal Rhif 152 "Ar Ddiogelu Data Personol" yn berthnasol i bob endid sy'n bodoli eisoes: unigolion ac endidau cyfreithiol, cyrff llywodraeth ffederal, a llywodraethau lleol. Mewn gwirionedd, mae'r gyfraith hon yn berthnasol i unrhyw sefydliad sy'n prosesu gwybodaeth a data personol dinasyddion Rwsia, waeth beth fo'i ffurf o berchnogaeth neu faint.
Weithiau, gall sefydliad ddarganfod systemau gwybodaeth data personol (PD) sydd wedi'u cuddio i ddechrau yn annisgwyl. Er enghraifft, ystyrir bod cwmni'n weithredwr data personol os yw ei wefan yn cynnwys ffurflenni adborth, ffurflenni cofrestru/awdurdodi, a ffurflenni casglu data eraill y gellir eu defnyddio i adnabod y pwnc.
Mae rheoleiddwyr yn rheoli ac yn goruchwylio cydymffurfiaeth â gofynion y Gyfraith Ffederal "Ar Ddata Personol":
- Roskomnadzor o ran diogelu hawliau pynciau data personol;
- FSB Rwsia o ran cyflawni gofynion ym maes cryptograffeg;
- FSTEC Rwsia ynghylch cydymffurfio â gofynion ar gyfer diogelu gwybodaeth rhag mynediad heb awdurdod a gollyngiadau trwy sianeli technegol.
Gan mai dim ond y sail ar gyfer diogelu data personol yn gyfreithiol yw'r Gyfraith Ffederal "Ar Ddata Personol", pennwyd ei gofynion wedi hynny mewn gweithredoedd Llywodraeth Ffederasiwn Rwsia a'r Weinyddiaeth Gyfathrebu, a dogfennau rheoleiddio eraill rheoleiddwyr.
Awdurdodau ffederal sy'n rheoleiddio gweithgareddau ym maes prosesu data personol
- Roskomnadzor (Gwasanaeth Ffederal ar gyfer Goruchwylio Cyfathrebu, Technoleg Gwybodaeth a'r Cyfryngau Torfol) — yn monitro ac yn goruchwylio cydymffurfiaeth prosesu data personol â gofynion cyfreithiol.
- FSTEC o Rwsia (Gwasanaeth Ffederal ar gyfer Rheoli Technegol ac Allforio) — yn sefydlu dulliau a dulliau o ddiogelu gwybodaeth gan ddefnyddio dulliau technegol.
- FSB Rwsia (Gwasanaeth Diogelwch Ffederal Ffederasiwn Rwsia) - yn sefydlu dulliau a dulliau o ddiogelu gwybodaeth o fewn terfynau ei awdurdod (cwmpas defnyddio dulliau cryptograffig o ddiogelu gwybodaeth)
Mae pob sefydliad sy'n prosesu data personol yn wynebu'r her o sicrhau bod ei systemau gwybodaeth yn cydymffurfio â gofynion cyfreithiol. Mae diogelu data personol yn un o'r materion pwysicaf, nid yn unig yn Rwsia ond hefyd mewn gwledydd eraill.

Mathau o ddata personol
Yn ôl Cyfraith Ffederal 152, data personol yw unrhyw wybodaeth sy'n gysylltiedig ag unigolyn (testun y data personol), a nodwyd neu y gellir ei hadnabod yn seiliedig ar wybodaeth o'r fath. Er enghraifft: enw llawn, dyddiad a man geni, cyfeiriad, statws teuluol, cymdeithasol ac ariannol, addysg, ac ati.
Mae data personol wedi'i rannu'n sawl categori:
Arbennig
Data personol ynghylch hil, cenedligrwydd, safbwyntiau gwleidyddol, credoau crefyddol neu athronyddol, statws iechyd, bywyd agos
Biometreg
PDn sy'n nodweddu nodweddion ffisiolegol a biolegol person, y gellir sefydlu ei hunaniaeth ar sail ohonynt ac a ddefnyddir gan y gweithredwr i sefydlu hunaniaeth gwrthrych y data personol
Arall
Data personol sy'n ymwneud yn uniongyrchol neu'n anuniongyrchol ag unigolyn penodol neu y gellir ei bennu ac nad yw'n ymwneud â'r categorïau uchod
Ar gael yn gyhoeddus
PDn a gafwyd o ffynonellau sydd ar gael yn gyhoeddus lle cyhoeddwyd y data gyda chaniatâd ysgrifenedig gwrthrych y data personol
Prosesu data personol yw unrhyw weithred (gweithrediad) neu set o weithredoedd gyda data personol gyda neu heb ddefnyddio offer awtomeiddio, gan gynnwys:
- casgliad,
- recordio,
- systemateiddio,
- croniad,
- storio,
- eglurhad (diweddariad, newid),
- echdynnu,
- defnydd,
- trosglwyddo (dosbarthu, darparu, mynediad),
- dadbersonoli,
- blocio,
- tynnu,
- dinistrio data personol.
Cyfrifoldeb am droseddau
Yn ôl Erthygl 24 o Gyfraith Ffederal 152, mae unigolion yn atebol am dorri'r gyfraith yn unol â deddfwriaeth Ffederasiwn Rwsia.
Wrth archwilio cwmni, mae rheoleiddwyr yn cael eu harwain gan Gyfraith Ffederal Rhif 152 a nifer o is-ddeddfau. Gall archwiliadau fod naill ai wedi'u hamserlennu neu heb eu hamserlennu—naill ai'n seiliedig ar droseddau neu i ddilyn gorchymyn a gyhoeddwyd yn flaenorol i'w cywiro.
Gall unigolion sy'n torri gofynion diogelu data personol wynebu nid yn unig atebolrwydd sifil a disgyblu, ond hefyd atebolrwydd gweinyddol a hyd yn oed atebolrwydd troseddol.
Sut i gydymffurfio â gofynion Cyfraith Ffederal 152?
Felly, rhaid i gwmni neu sefydliad sy'n prosesu data personol neu wybodaeth sensitif arall ddiogelu'r wybodaeth hon yn unol â'r gyfraith. Mae hyn nid yn unig yn gofyn am arbenigedd, gwybodaeth a phrofiad sylweddol, ond mae hefyd yn gysylltiedig â chymhlethdodau technegol a chostau sylweddol.
Yn ôl y diffiniad swyddogol a gymeradwywyd gan y Gwasanaeth Ffederal ar gyfer Rheoli Technegol ac Allforio (FSTEC), "…Diogelwch data personol yw cyflwr diogelu data personol, a nodweddir gan allu defnyddwyr, dulliau technegol, a thechnolegau gwybodaeth i sicrhau cyfrinachedd, uniondeb, ac argaeledd data personol pan gaiff ei brosesu mewn systemau gwybodaeth data personol…"

Er mwyn cydymffurfio'n annibynnol â gofynion sefydliadol, cyfreithiol a thechnegol Deddf Ffederal Rhif 152, rhaid i chi astudio nid yn unig y gyfraith ei hun ond hefyd ei his-ddeddfau a deall y mesurau penodol y mae angen eu cymryd. Gall arbenigwyr allanol astudio prosesau prosesu data personol y cwmni, drafftio'r dogfennau angenrheidiol, gweithredu mesurau diogelwch, a mwy.
Mae'r system diogelwch gwybodaeth gynhwysfawr yn cynnwys:
- Systemau Atal Ymyrraeth (IDS).
- Wal Dân (FW).
- Amddiffyniad rhag meddalwedd faleisus.
- System monitro a chofnodi digwyddiadau diogelwch.
- System o amddiffyniad cryptograffig sianeli cyfathrebu (amgryptio).
- Dulliau o amddiffyn yr amgylchedd rhithwir, y system amddiffyn rhag mynediad heb awdurdod (UAP), adnabod a rheoli mynediad.
- System dadansoddi diogelwch/canfod bregusrwydd, ac ati.
Ar ben hynny, mae diogelwch gwybodaeth cynhwysfawr yn cynnwys nid yn unig mesurau technegol ond hefyd mesurau sefydliadol.
Cloud FZ-152: nodweddion gweithredu
Mae nifer o ddarparwyr Rwsiaidd yn cynnig gwasanaethau seilwaith cwmwl ar gyfer cynnal systemau gwybodaeth yn unol â deddfwriaeth ffederal ynghylch diogelu data personol. Wrth gynnal systemau cleient yn y cwmwl, mae'r darparwr yn ymgymryd â llawer o faterion diogelwch gwybodaeth, gan gynnwys y rhai sy'n gysylltiedig â diogelu data personol. Yn ystod mudo cwmwl, bydd y darparwr yn sicrhau diogelwch y seilwaith TG, a thrwy hynny'n rhyddhau'r cleient o rai cyfrifoldebau. Er enghraifft, mae'r darparwr yn cydymffurfio â gofynion Cyfraith Ffederal Rhif 152 ynghylch diogelu'r amgylchedd rhithwiroli.
Gall darparwyr hefyd roi cymorth arbenigol i gwsmeriaid wrth fynd i'r afael â heriau diogelwch data: pennu'r lefel ofynnol o ddiogelwch a chynnig opsiynau gweithredu yn unol â hynny; a datblygu dogfennaeth i fodloni gofynion cyfreithiol Rwsia.
Gall cwmwl diogel helpu i optimeiddio costau sefydliad drwy leihau costau creu a chynnal seilwaith TG a system ddiogelwch gwybodaeth fewnol. Mae arbenigwyr cymwys fel arfer yn darparu cefnogaeth a chymorth technegol cynhwysfawr, gan gynnwys ymgynghori a datblygu dogfennaeth ar gyfer cymeradwyaeth reoleiddiol, tra bod y platfform gwasanaeth yn cydymffurfio â safonau technegol llym ac yn bodloni holl ofynion y sefydliad. Gall cleientiaid fanteisio ar wasanaethau ar gyfer paratoi'r ddogfennaeth angenrheidiol a diogelu systemau gwybodaeth data personol ar lefelau'r cymhwysiad a'r system weithredu.
Mae prosesau rheoli risg a bregusrwydd, ymchwiliadau i ddigwyddiadau, archwiliadau diogelwch mewnol ac allanol, a monitro a phrofi rheolaidd o'r rhwydwaith, systemau a phrosesau diogelwch gwybodaeth hefyd wedi'u cynnwys. Mae arbenigwyr cymwys yn darparu cefnogaeth 24/7 ar gyfer y seilwaith TG.
Gyda'i gilydd, mae'r mesurau hyn yn sicrhau cydymffurfiaeth â deddfwriaeth ffederal ynghylch diogelu data personol.
Platfform ardystiedig
Mae IBS DataFort yn darparu gwasanaeth o'r fath yn seiliedig ar Mae holl gydrannau technegol, gweinyddiaeth ac offer rhithwiroli'r platfform hwn yn cydymffurfio â safonau a gofynion Cyfraith Ffederal Rhif 152.
Pensaernïaeth y cwmwl diogel IBS DataFort.
Mae'r platfform yn darparu amddiffyniad gwarantedig ar gyfer systemau data personol (hyd at lefel diogelwch 1), systemau gwybodaeth ddaearyddol (hyd at ddosbarth diogelwch 1), a storio data diogel mewn canolfannau data Haen III. Mae'r platfform yn defnyddio waliau tân ardystiedig, systemau canfod ac atal ymyrraeth (IDS/IPS), sianeli cyfathrebu wedi'u hamgryptio (GOST VPN), amddiffyniad gwrthfeirws, atal ymyrraeth, amddiffyn yr amgylchedd rhithwiroli, a sganio bregusrwydd.
— hefyd yn ateb addas i'r rhai sydd â gofynion uchel ar gyfer preifatrwydd a diogelu data, sydd eisiau cryfhau enw da eu busnes, neu ennill mantais gystadleuol fel lefel uchel brofedig o ddiogelwch gwybodaeth.
Sut ydych chi'n "symud" i gwmwl o'r fath? A yw "mudo di-dor" yn bosibl? Yn hollol. Er enghraifft, mae IBS DataFort yn mudo systemau gwybodaeth data personol yn ddiogel i'w gwmwl diogel, gan leihau amser segur ac effaith ar brosesau busnes y cwmni (gan gynnwys o safleoedd rhyngwladol).
Dod â seilwaith TG i gydymffurfio â Chyfraith Ffederal Rhif 152
Mae'r broses o sicrhau bod seilwaith TG cleient yn cydymffurfio â gofynion Cyfraith Ffederal 152 yn dechrau gydag archwiliad ac asesiad o'r lefel ddiogelwch gyfredol.
Mae archwiliad o seilwaith TG y cleient yn cynnwys archwiliad o brosesau prosesu a diogelu data personol ac arolygiad o system gwybodaeth data personol (ISPD) y cleient. Paratoir adroddiad arolygu gyda disgrifiad manwl o'r prosesau prosesu data personol o safbwynt technegol.
Mae'r gwaith hefyd yn cynnwys modelu bygythiadau a thresmaswyr a pharatoi adroddiad asesu diogelwch ar gyfer y system gwybodaeth data personol (PDIS). Yn seiliedig ar ganlyniadau'r archwiliad, datblygir manyleb dechnegol benodol ar gyfer system ddiogelwch y system gwybodaeth data personol (PDIS), gan ddiffinio'r gofynion ar gyfer y system a gynlluniwyd.
Mae set o bolisïau, cyfarwyddiadau, rheoliadau a dogfennau eraill ar gyfer diogelu data personol yn cael eu datblygu. Ar yr un pryd, mae arbenigwyr yn ymdrechu i wneud y gorau o gostau'r cleient ar gyfer gweithredu mesurau diogelwch.
Mae IBS DataFort yn darparu gwasanaethau ar gyfer paratoi dogfennaeth a diogelu systemau gwybodaeth data personol (ISPD) er mwyn sicrhau cydymffurfiaeth â deddfwriaeth ffederal ar ddiogelu data personol a gall gynorthwyo i baratoi ar gyfer a phasio ardystiad (ISPD, GIS, AS).
Cynhelir yr ardystiad gan archwilwyr annibynnol sydd wedi'u trwyddedu gan y Gwasanaeth Ffederal ar gyfer Rheoli Technegol ac Allforio (FSTEC) a'r Gwasanaeth Diogelwch Ffederal (FSB). Mae pasio'r ardystiad hwn yn cadarnhau diogelwch dibynadwy data personol partneriaid a chleientiaid y cwmni rhag bygythiadau allanol a chydymffurfiaeth gynhwysfawr â gofynion rheoleiddio. Yn bwysig, mae cleientiaid yn elwa o gyfleustra un "ffenestr sengl": mae popeth yn cael ei drin gan un cwmni—IBS DataFort.
I weithredwyr data personol, mae hyn yn golygu parodrwydd ar gyfer archwiliadau gan Roskomnadzor, y Gwasanaeth Ffederal ar gyfer Rheoli Technegol ac Allforio (FSTEC), a'r Gwasanaeth Diogelwch Ffederal (FSB), gan ddileu'r risg o rwystro adnoddau, ac osgoi hawliadau a sancsiynau rheoleiddiol.
Mae'r gwasanaeth hwn yn berthnasol i lawer o gategorïau o gleientiaid llywodraeth a chorfforaethol a gall fod galw amdano gan weithredwyr data personol sy'n ceisio sicrhau bod eu gweithrediadau'n cydymffurfio â'r gyfraith. Mae cynnal y system wybodaeth mewn segment caeedig o seilwaith y darparwr, wedi'i ardystio i'r holl safonau a gofynion angenrheidiol, yn dileu'r angen i'r cleient drefnu'r holl waith yn annibynnol.
Ffynhonnell: hab.com
