Mae Cyfraith Ffederal-152 “Ar Ddiogelu Data Personol” yn berthnasol i bob endid presennol: unigolion ac endidau cyfreithiol, cyrff llywodraeth ffederal a llywodraethau lleol. Mewn gwirionedd, mae'r gyfraith hon yn berthnasol i unrhyw sefydliad sy'n prosesu gwybodaeth a data personol dinasyddion Ffederasiwn Rwsia, waeth beth fo ffurf perchnogaeth a maint y sefydliad.
Weithiau gall sefydliad, yn gwbl annisgwyl iddo’i hun, ddarganfod systemau gwybodaeth data personol (PD) ymhlyg i ddechrau. Er enghraifft, ystyrir bod cwmni yn weithredwr data personol os oes gan ei wefan ffurflenni adborth, cofrestriad, awdurdodiad a mathau eraill o gasglu data y gellir eu defnyddio i adnabod y gwrthrych.
Mae rheolaeth a goruchwyliaeth o ran cydymffurfio â gofynion y gyfraith ffederal “Ar Ddata Personol” yn cael ei wneud gan reoleiddwyr:
- Roskomnadzor ynghylch amddiffyn hawliau gwrthrychau data personol;
- FSB o Rwsia ynghylch cydymffurfio â gofynion ym maes cryptograffeg;
- FSTEC o Rwsia o ran cydymffurfio â gofynion ar gyfer diogelu gwybodaeth rhag mynediad heb awdurdod a gollyngiadau trwy sianeli technegol.
Gan mai'r Gyfraith Ffederal "Ar Ddata Personol" yn unig yw'r sail ar gyfer cefnogaeth gyfreithiol ar gyfer diogelu data personol, pennwyd ei ofynion wedi hynny mewn gweithredoedd Llywodraeth Ffederasiwn Rwsia a'r Weinyddiaeth Gyfathrebu, a dogfennau rheoleiddiol a methodolegol eraill o rheoleiddwyr.
Awdurdodau ffederal sy'n rheoleiddio gweithgareddau ym maes prosesu data personol
- Roskomnadzor (Gwasanaeth Ffederal ar gyfer Goruchwylio Cyfathrebu a Chyfathrebu Torfol) - yn rheoli ac yn goruchwylio cydymffurfiaeth prosesu PD â gofynion cyfreithiol.
- FSTEC o Rwsia (Gwasanaeth Ffederal ar gyfer Rheoli Technegol ac Allforio) - sefydlu dulliau a dulliau o ddiogelu gwybodaeth gan ddefnyddio dulliau technegol.
- Ffederasiwn Busnesau Bach o Rwsia (Gwasanaeth Diogelwch Ffederal Ffederasiwn Rwsia) - yn sefydlu dulliau a dulliau o ddiogelu gwybodaeth o fewn ei bwerau (cylch defnydd o ddulliau cryptograffig o ddiogelu gwybodaeth)
Mae pob sefydliad sy’n prosesu data personol yn wynebu’r broblem o ddod â’i systemau gwybodaeth i gydymffurfio â gofynion cyfreithiol. Diogelu data personol yw un o'r materion mwyaf dybryd, nid yn unig yn Rwsia, ond hefyd mewn gwledydd eraill.
Mathau o ddata personol
Yn ôl Cyfraith Ffederal Rhif 152, data personol yw unrhyw wybodaeth sy'n ymwneud ag unigolyn a nodir neu a bennir ar sail gwybodaeth o'r fath (yn amodol ar ddata personol). Er enghraifft: enw llawn, dyddiad a man geni, cyfeiriad, teulu, cymdeithasol, statws eiddo, addysg, ac ati.
Rhennir data personol yn sawl categori:
Arbennig
Data personol yn ymwneud â hil, cenedligrwydd, safbwyntiau gwleidyddol, credoau crefyddol neu athronyddol, statws iechyd, bywyd personol
Biometrig
PD, sy'n nodweddu nodweddion ffisiolegol a biolegol person, ar y sail y gellir sefydlu ei hunaniaeth ac a ddefnyddir gan y gweithredwr i sefydlu hunaniaeth gwrthrych data personol
Arall
PD yn ymwneud ag unigolyn a adnabyddir yn uniongyrchol neu'n anuniongyrchol ac nad yw'n perthyn i'r categorïau uchod
Ar gael i'r cyhoedd
PD wedi’i gael o ffynonellau sydd ar gael yn gyhoeddus lle cyhoeddwyd y data gyda chaniatâd ysgrifenedig gwrthrych y data personol
Prosesu data personol yw unrhyw weithred (gweithrediad) neu set o gamau gweithredu gyda data personol gan ddefnyddio neu heb offer awtomeiddio, gan gynnwys:
- casgliad,
- recordio,
- systemateiddio,
- cronni,
- storio,
- eglurhad (diweddaru, newid),
- echdynnu,
- defnydd,
- trosglwyddo (dosbarthiad, darpariaeth, mynediad),
- dadbersonoli,
- blocio,
- tynnu,
- dinistrio data personol.
Cyfrifoldeb am droseddau
Yn ôl Erthygl 24 o Gyfraith Ffederal Rhif 152, mae pobl yn gyfrifol am dorri'r gyfraith yn unol â deddfwriaeth Ffederasiwn Rwsia.
Wrth wirio cwmni, mae rheoleiddwyr yn cael eu harwain gan Gyfraith Ffederal-152 a nifer o is-ddeddfau. Gall yr arolygiad fod naill ai wedi'i drefnu neu heb ei drefnu - yn seiliedig ar ffeithiau troseddau, yn ogystal ag i fonitro gorchmynion a gyhoeddwyd yn flaenorol i'w dileu.
Gall pobl sy'n torri'r gofynion ar gyfer diogelu data personol wynebu nid yn unig atebolrwydd sifil a disgyblu, ond hefyd atebolrwydd gweinyddol a hyd yn oed troseddol.
Sut i gydymffurfio â gofynion Cyfraith Ffederal-152?
Felly, rhaid i gwmni neu sefydliad sy’n prosesu data personol neu wybodaeth sensitif arall ddiogelu’r wybodaeth hon yn unol â’r gyfraith. Mae hyn nid yn unig yn gofyn am arbenigedd, gwybodaeth a phrofiad difrifol, ond mae hefyd yn gysylltiedig ag anawsterau technegol a chostau sylweddol.
Yn ôl y diffiniad swyddogol a gymeradwywyd gan FSTEC, “...diogelwch data personol yw cyflwr diogelwch data personol, a nodweddir gan allu defnyddwyr, dulliau technegol a thechnolegau gwybodaeth i sicrhau cyfrinachedd, cywirdeb ac argaeledd data personol pan cael ei brosesu mewn systemau gwybodaeth data personol...”
Er mwyn cyflawni gofynion sefydliadol, cyfreithiol a thechnegol Cyfraith Ffederal 152, ar eich pen eich hun, mae angen i chi astudio nid yn unig y gyfraith ei hun, ond hefyd ei his-ddeddfau, a darganfod yn union pa fesurau sydd angen eu cymryd. Gall arbenigwyr allanol astudio prosesau prosesu data personol yn y cwmni, llunio'r dogfennau angenrheidiol, gweithredu mesurau diogelwch, ac ati.
Mae system diogelwch gwybodaeth gynhwysfawr yn cynnwys:
- Offer Atal Ymyrraeth (IDS).
- Mur gwarchod (FW).
- Amddiffyn rhag malware.
- System ar gyfer monitro a chofnodi digwyddiadau diogelwch.
- System amddiffyn cryptograffig o sianeli cyfathrebu (amgryptio).
- Dulliau o warchod yr amgylchedd rhithwir, system o amddiffyn rhag mynediad heb awdurdod (ATP), adnabod a rheoli mynediad.
- System dadansoddi diogelwch / canfod bregusrwydd, ac ati.
Yn ogystal, mae diogelwch gwybodaeth cynhwysfawr yn cynnwys nid yn unig fesurau technegol, ond hefyd mesurau sefydliadol.
Cloud FZ-152: nodweddion gweithredu
Mae nifer o ddarparwyr Rwsia yn darparu gwasanaethau ar gyfer darparu seilwaith cwmwl ar gyfer cynnal systemau gwybodaeth yn unol â gofynion deddfwriaeth ffederal ynghylch data personol. Pan fydd systemau'r cleient yn cael eu cynnal yn y cwmwl, mae'r darparwr yn ymgymryd â llawer o faterion diogelwch gwybodaeth, gan gynnwys y rhai sy'n ymwneud â diogelu data personol. Wrth fudo i'r cwmwl, bydd yn amddiffyn y seilwaith TG, a bydd hyn yn dileu rhai o'r cyfrifoldebau oddi ar y cleient. Er enghraifft, mae'r darparwr yn bodloni gofynion Cyfraith Ffederal 152 o ran diogelu'r amgylchedd rhithwiroli.
Gall darparwyr hefyd ddarparu cymorth arbenigol i gwsmeriaid wrth ddatrys y broblem diogelu data: pennu'r lefel ofynnol o ddiogelwch ac, yn unol â hyn, cynnig opsiwn gweithredu; datblygu dogfennaeth i gydymffurfio â gofynion deddfwriaeth Ffederasiwn Rwsia.
Bydd cwmwl diogel yn helpu i wneud y gorau o gostau sefydliad drwy leihau costau creu a chynnal seilwaith TG a system diogelwch gwybodaeth fewnol. Yn nodweddiadol, mae arbenigwyr cymwys yn darparu cefnogaeth a chefnogaeth dechnegol gynhwysfawr, gan gynnwys ymgynghori a datblygu pecyn o ddogfennau i'w hardystio gan awdurdodau rheoleiddio, ac mae'r llwyfan darparu gwasanaeth yn bodloni safonau technegol llym ac yn bodloni'r gofynion sefydliadol angenrheidiol. Gall cleientiaid fanteisio ar wasanaethau ar gyfer paratoi'r dogfennau angenrheidiol a diogelu ISPD ar lefel cymhwysiad a system weithredu.
Darperir hefyd brosesau rheoli risg a bregusrwydd, ymchwiliadau i ddigwyddiadau, archwiliadau diogelwch mewnol ac allanol, yn ogystal â monitro a phrofi'r rhwydwaith, systemau a phrosesau diogelwch gwybodaeth yn rheolaidd. Mae arbenigwyr cymwys yn darparu cymorth seilwaith TG XNUMX/XNUMX.
Gyda'i gilydd, mae'r mesurau hyn yn sicrhau cydymffurfiaeth â chyfreithiau ffederal ynghylch diogelu data personol.
Llwyfan ardystiedig
Mae IBS DataFort yn darparu gwasanaeth o'r fath yn seiliedig ar . Mae holl rannau technegol, offer gweinyddol a rhithwiroli'r platfform hwn yn cydymffurfio â normau a gofynion Cyfraith Ffederal-152.
Pensaernïaeth cwmwl diogel IBS DataFort.
Mae'r platfform yn darparu amddiffyniad gwarantedig o ISPD (hyd at y lefel diogelwch 1af yn gynwysedig), GIS (hyd at ac yn cynnwys y dosbarth diogelwch 1af) a storfa ddata ddiogel yn y ganolfan ddata Haen III. Mae'r platfform yn defnyddio waliau tân ardystiedig, offer canfod ac atal ymwthiad (IDS / IPS), amgryptio sianeli cyfathrebu (GOST VPN), amddiffyniad gwrth firws, amddiffyniad rhag mynediad heb awdurdod, amddiffyn yr amgylchedd rhithwiroli, yn ogystal ag offer sganio bregusrwydd.
hefyd yn ateb addas ar gyfer y rhai sydd â gofynion uchel ar gyfer cyfrinachedd a diogelu data, yn awyddus i gryfhau eu henw da busnes neu ennill mantais gystadleuol fel lefel uchel profedig o ddiogelwch gwybodaeth.
Sut i "symud" i gwmwl o'r fath? Ydy “mudo di-dor” yn bosibl? Eithaf. Er enghraifft, mae IBS DataFort yn trosglwyddo’r ISPD yn ddiogel i’w gwmwl diogel, gan leihau amser segur a’r effaith ar brosesau busnes y cwmni (gan gynnwys o safleoedd tramor).
Dod â'r seilwaith TG i gydymffurfio â Chyfraith Ffederal-152
Mae'r broses o ddod â seilwaith TG y cleient i gydymffurfio â gofynion Cyfraith Ffederal-152 yn dechrau gydag archwiliad ac asesiad o'r lefel gyfredol o ddiogelwch.
Mae archwiliad o seilwaith TG y cleient yn cynnwys archwiliad o brosesu a diogelu data personol ac archwiliad o system wybodaeth y cwsmer. Llunnir adroddiad arolwg gyda disgrifiad manwl o'r prosesau prosesu PD o safbwynt technegol.
Mae'r gwaith hefyd yn cynnwys modelu bygythiadau a thresmaswyr a llunio adroddiad ar bennu lefel diogelwch yr ISPD. Yn seiliedig ar ganlyniadau'r archwiliad, llunnir manyleb dechnegol breifat ar gyfer y system amddiffyn ISPD ac mae'n diffinio'r gofynion ar gyfer y system a ddyluniwyd.
Mae set o bolisïau, cyfarwyddiadau, rheoliadau a dogfennau eraill ar gyfer diogelu data personol yn cael eu datblygu. Ar yr un pryd, mae arbenigwyr yn ceisio gwneud y gorau o gostau'r cwsmer ar gyfer gweithredu mesurau diogelwch.
Mae IBS DataFort yn darparu gwasanaethau ar gyfer paratoi dogfennaeth a diogelu ISPD i gydymffurfio â deddfwriaeth ffederal ar ddiogelu data personol a gall helpu i baratoi a phasio ardystiad (ISPD, GIS, AS).
Cynhelir ardystiad gan archwilwyr annibynnol sydd wedi'u trwyddedu gan FSTEC a FSB Rwsia. Mae pasio ardystiad o'r fath yn cadarnhau amddiffyniad dibynadwy data personol partneriaid a chleientiaid y cwmni rhag bygythiadau allanol, a chydymffurfiad cynhwysfawr â gofynion rheoliadol. Mae'n bwysig bod cleientiaid yn cael cyfleustra “siop un stop”: mae popeth yn cael ei ddarparu gan un cwmni - IBS DataFort.
Ar gyfer y gweithredwr data personol, mae hyn yn golygu parodrwydd ar gyfer archwiliadau gan Roskomnadzor, FSTEC a'r FSB, gan ddileu'r risg o rwystro adnoddau, ac absenoldeb hawliadau a sancsiynau gan y rheolydd.
Mae'r gwasanaeth hwn yn berthnasol i lawer o gategorïau o gwsmeriaid yn y segment llywodraeth a chorfforaethol a gall fod galw amdano gan weithredwyr data personol sydd am sicrhau bod eu gweithgareddau'n cydymffurfio â'r gyfraith. Mae gosod yr IP mewn rhan gaeedig o seilwaith y darparwr, wedi'i ardystio yn unol â'r holl safonau a gofynion angenrheidiol, yn rhyddhau'r cwsmer o'r angen i drefnu'r holl waith yn annibynnol.
Ffynhonnell: hab.com