Federacia Leĝo-152 "Pri Protekto de Personaj Datumoj" validas por ĉiuj ekzistantaj entoj: individuoj kaj juraj entoj, federaciaj registaraj organoj kaj lokaj administracioj. Fakte, ĉi tiu leĝo validas por ajna organizo, kiu prilaboras informojn kaj personajn datumojn de civitanoj de Rusa Federacio, sendepende de la formo de proprieto kaj grandeco de la organizo.
Foje organizo, tute neatendite por si mem, povas malkovri komence implicitajn informsistemojn de personaj datumoj (PD). Ekzemple, kompanio estas konsiderata kiel funkciigisto de personaj datumoj se ĝia retejo havas sugestajn formularojn, registriĝon, rajtigon kaj aliajn formojn de datumkolektado per kiuj la subjekto povas esti identigita.
Kontrolo kaj kontrolado pri plenumo de la postuloj de la federacia leĝo "Pri Personaj Datumoj" estas efektivigitaj de regulistoj:
- Roskomnadzor koncerne la protekton de la rajtoj de personaj datumoj;
- FSB de Rusio pri plenumo de postuloj en la kampo de kripto;
- FSTEC de Rusio laŭ plenumo de postuloj por protekti informojn kontraŭ neaŭtorizita aliro kaj elfluado tra teknikaj kanaloj.
Ĉar la Federacia Leĝo "Pri Personaj Datumoj" estas nur la bazo por jura subteno por la protekto de personaj datumoj, ĝiaj postuloj estis poste specifitaj en agoj de la Registaro de Rusa Federacio kaj la Ministerio de Komunikado, kaj aliaj reguligaj kaj metodikaj dokumentoj de reguligistoj.
Federaciaj aŭtoritatoj reguligantaj agadojn en la kampo de prilaborado de personaj datumoj
- Roskomnadzor (Federacia Servo por Inspektado de Komunikadoj kaj Amaskomunikadoj) - ekzercas kontrolon kaj inspektadon super observo de PD-pretigo kun laŭleĝaj postuloj.
- FSTEC de Rusio (Federacia Servo por Teknika kaj Eksporta Kontrolo) - establas metodojn kaj rimedojn por protekti informojn uzante teknikajn rimedojn.
- FSB de Rusio (Federacia Sekureca Servo de Rusa Federacio) - establas metodojn kaj rimedojn por protekti informojn ene de siaj potencoj (sfero de uzo de kriptaj rimedoj de informa protekto)
Ĉiu organizo, kiu prilaboras personajn datumojn, alfrontas la problemon alporti siajn informsistemojn konforme al leĝaj postuloj. Protekto de personaj datumoj estas unu el la plej urĝaj aferoj, ne nur en Rusio, sed ankaŭ en aliaj landoj.
Tipoj de personaj datumoj
Laŭ Federacia Leĝo n-ro 152, personaj datumoj estas ajna informo rilatanta al individuo identigita aŭ determinita surbaze de tiaj informoj (temo de personaj datumoj). Ekzemple: plena nomo, dato kaj loko de naskiĝo, adreso, familio, socia, proprieta stato, edukado, ktp.
Personaj datumoj estas dividitaj en plurajn kategoriojn:
Speciala
Personaj datumoj rilate al raso, nacieco, politikaj opinioj, religiaj aŭ filozofiaj kredoj, sanstato, intima vivo
Biometria
PD, kiuj karakterizas la fiziologiajn kaj biologiajn trajtojn de persono, surbaze de kiuj lia identeco povas esti establita kaj kiuj estas uzataj de la funkciigisto por establi la identecon de la subjekto de personaj datumoj.
Alia
PD rilatanta al rekte aŭ nerekte identigita aŭ identigebla individuo kaj ne falanta en la ĉi-suprajn kategoriojn
Publike havebla
PD akirita de publike haveblaj fontoj en kiuj la datumoj estis publikigitaj kun la skriba konsento de la subjekto de personaj datumoj
Pretigo de personaj datumoj estas ajna ago (operacio) aŭ aro de agoj kun personaj datumoj uzante aŭ sen aŭtomatigaj iloj, inkluzive de:
- kolekto,
- registrado,
- sistemigo,
- amasiĝo,
- stokado,
- klarigo (ĝisdatigo, ŝanĝo),
- eltiro,
- uzado,
- dissendo (distribuo, provizo, aliro),
- malpersonigo,
- blokado,
- forigo,
- detruo de personaj datumoj.
Respondeco por malobservoj
Laŭ Artikolo 24 de Federacia Leĝo n-ro 152, homoj respondecas pri malobservo de la leĝo laŭ la leĝaro de la Rusa Federacio.
Kiam oni kontrolas kompanion, regulistoj estas gviditaj de Federacia Leĝo-152 kaj kelkaj statutoj. La inspektado povas esti aŭ planita aŭ neplanita - surbaze de faktoj de malobservoj, same kiel por kontroli antaŭe eligitajn ordonojn por forigi ilin.
Homoj, kiuj malobservas la postulojn por protekto de personaj datumoj, povas alfronti ne nur civilan kaj disciplinan, sed ankaŭ administran kaj eĉ kriman respondecon.
Kiel plenumi la postulojn de Federacia Leĝo-152?
Do, kompanio aŭ organizo, kiu prilaboras personajn datumojn aŭ aliajn sentemajn informojn, devas protekti ĉi tiujn informojn laŭ la leĝo. Ĉi tio ne nur postulas seriozan kompetentecon, scion kaj sperton, sed ankaŭ rilatas al teknikaj malfacilaĵoj kaj konsiderindaj kostoj.
Laŭ la oficiala difino aprobita de FSTEC, “...Sekureco de personaj datumoj estas la stato de sekureco de personaj datumoj, karakterizita de la kapablo de uzantoj, teknikaj rimedoj kaj informaj teknologioj por certigi la konfidencon, integrecon kaj haveblecon de personaj datumoj kiam prilaborita en personaj datumoj informsistemoj..."
Por plenumi la organizajn, jurajn kaj teknikajn postulojn de Federacia Leĝo 152, vi mem devas studi ne nur la leĝon mem, sed ankaŭ ĝiajn regularojn, kaj eltrovi precize kiajn mezurojn necesas preni. Specialistoj pri subkontraktado povas studi la procezojn pri prilaborado de personaj datumoj en la kompanio, ellabori la necesajn dokumentojn, efektivigi sekurecaj mezuroj ktp.
Ampleksa informsekureca sistemo inkluzivas:
- Entrudiĝaj Preventaj Iloj (IDS).
- Fajromuro (FW).
- Protekto kontraŭ malware.
- Sistemo por monitorado kaj registrado de sekurecaj eventoj.
- Sistemo de kripta protekto de komunikadkanaloj (ĉifrado).
- Rimedoj por protekti la virtualan medion, sistemon de protekto kontraŭ neaŭtorizita aliro (ATP), identigo kaj alirkontrolo.
- Sekureca analizo/detekta sistemo de vundebleco ktp.
Krome, ampleksa informa sekureco implikas ne nur teknikajn, sed ankaŭ organizajn rimedojn.
Nubo FZ-152: efektivigtrajtoj
Kelkaj rusaj provizantoj disponigas servojn por provizado de nuba infrastrukturo por gastigado de informsistemoj konforme al la postuloj de federacia leĝaro pri personaj datumoj. Kiam la sistemoj de la kliento estas gastigitaj en la nubo, la provizanto prenas multajn informojn pri sekureco, inkluzive de tiuj rilataj al la protekto de personaj datumoj. Migrado al la nubo, ĝi protektos la IT-infrastrukturon, kaj ĉi tio forigos iujn el la respondecoj de la kliento. Ekzemple, la provizanto plenumas la postulojn de Federacia Leĝo 152 koncerne la protekton de la virtualiga medio.
Provizantoj ankaŭ povas provizi klientojn per fakulsubteno por solvi la problemon de datuma protekto: determini la bezonatan nivelon de sekureco kaj, konforme al ĉi tio, proponante efektivigan opcion; evoluigi dokumentaron por plenumi la postulojn de la leĝaro de la Rusa Federacio.
Sekura nubo helpos optimumigi la kostojn de organizo reduktante la kostojn de kreado kaj konservado de IT-infrastrukturo kaj interna informsekureca sistemo. Tipe, kvalifikitaj fakuloj provizas ampleksan teknikan subtenon kaj subtenon, inkluzive de konsultado kaj disvolviĝo de pako da dokumentoj por atestado de reguligaj aŭtoritatoj, kaj la servo-livera platformo plenumas striktajn teknikajn normojn kaj plenumas la necesajn organizajn postulojn. Klientoj povas utiligi servojn por prepari la necesan dokumentaron kaj protekti ISPD ĉe la aplikaĵo kaj operaciumo.
Procezoj pri administrado de risko kaj vundebleco, enketoj pri okazaĵaj, internaj kaj eksteraj sekurecaj revizioj, same kiel regula monitorado kaj testado de la reto, sistemoj kaj informaj sekurecprocezoj ankaŭ estas provizitaj. Kvalifikitaj specialistoj provizas XNUMX/XNUMX IT-infrastruktursubtenon.
Kunigitaj, ĉi tiuj mezuroj certigas la plenumon de federaciaj leĝoj pri la protekto de personaj datumoj.
Atestita platformo
IBS DataFort provizas tian servon bazitan sur . Ĉiuj teknikaj partoj, administrado kaj virtualigo iloj de ĉi tiu platformo konformas al la normoj kaj postuloj de Federal Law-152.
Arkitekturo de la sekura nubo de IBS DataFort.
La platformo provizas garantiitan protekton de ISPD (ĝis la 1-a sekurecnivelo inkluzive), GIS (ĝis kaj inkluzive de la 1-a sekureca klaso) kaj sekura datumstokado en la datumcentro de Tier III. La platformo uzas atestitajn fajroŝirmilojn, entrudiĝajn detekto kaj preventajn ilojn (IDS/IPS), ĉifradon de komunikaj kanaloj (GOST VPN), kontraŭvirusan protekton, protekton kontraŭ neaŭtorizita aliro, protekton de la virtualiga medio, same kiel vundeblecojn skanantajn ilojn.
estas ankaŭ taŭga solvo por tiuj, kiuj havas altajn postulojn por konfidenco kaj datuma protekto, volas plifortigi sian komercan reputacion aŭ akiri tian konkurencivan avantaĝon kiel pruvita altnivela de informa sekureco.
Kiel "moviĝi" al tia nubo? Ĉu "senjunta migrado" eblas? Tute. Ekzemple, IBS DataFort sekure transdonas la ISPD al ĝia sekura nubo, minimumigante malfunkcion kaj la efikon al la komercaj procezoj de la kompanio (inkluzive de eksterlandaj retejoj).
Alportante la IT-infrastrukturon en konformecon kun Federal Law-152
La procezo por alporti la IT-infrastrukturon de la kliento konforme al la postuloj de Federacia Leĝo-152 komenciĝas per revizio kaj taksado de la nuna nivelo de sekureco.
Revizio de la IT-infrastrukturo de la kliento inkluzivas ekzamenon de la prilaborado kaj protekto de personaj datumoj kaj ekzameno de la informsistemo de la kliento. Enketa raporto estas ellaborita kun detala priskribo de la PD prilaborado de teknika vidpunkto.
La laboro ankaŭ inkluzivas modeligi minacojn kaj entrudiĝintojn kaj ellabori raporton pri determinado de la nivelo de sekureco por la ISPD. Surbaze de la rezultoj de la revizio, privata teknika specifo por la ISPD-protekta sistemo estas desegnita kaj difinas la postulojn por la dizajnita sistemo.
Aro da politikoj, instrukcioj, regularoj kaj aliaj dokumentoj por la protekto de personaj datumoj estas disvolvita. Samtempe, specialistoj provas optimumigi la kostojn de la kliento por efektivigado de sekurecaj mezuroj.
IBS DataFort provizas servojn por prepari dokumentadon kaj protekti ISPD por plenumi federacian leĝaron pri protekto de personaj datumoj kaj povas helpi prepari kaj pasigi atestilon (ISPD, GIS, AS).
Atestado estas farita de sendependaj revizoroj licencitaj de FSTEC kaj la FSB de Rusio. Pasi tian atestilon konfirmas la fidindan protekton de la personaj datumoj de la partneroj kaj klientoj de la kompanio kontraŭ eksteraj minacoj, kaj ampleksa plenumo de reguligaj postuloj. Gravas, ke klientoj ricevu la oportunon de "unu-vendejo": ĉio estas provizita de unu kompanio - IBS DataFort.
Por la telefonisto de personaj datumoj, tio signifas pretecon por inspektadoj de Roskomnadzor, FSTEC kaj la FSB, forigante la riskon de blokado de rimedoj, kaj la foreston de asertoj kaj sankcioj de la reguligisto.
Ĉi tiu servo estas grava por multaj kategorioj de klientoj en la registara kaj kompania segmento kaj povas esti postulata de personaj datumfunkciigistoj, kiuj volas plenumi siajn agadojn kun la leĝo. Meti la IP en fermita segmento de la infrastrukturo de la provizanto, atestita laŭ ĉiuj necesaj normoj kaj postuloj, malpezigas la klienton de la bezono sendepende organizi ĉiun laboron.
fonto: www.habr.com