La Ley Federal 152 "Sobre la Protección de Datos Personales" se aplica a todas las entidades existentes: personas físicas y jurídicas, órganos del gobierno federal y gobiernos locales. De hecho, esta ley se aplica a cualquier organización que procese información y datos personales de ciudadanos de la Federación de Rusia, independientemente de la forma de propiedad y el tamaño de la organización.
A veces, una organización, de forma bastante inesperada para sí misma, puede descubrir sistemas de información de datos personales (PD) inicialmente implícitos. Por ejemplo, una empresa se considera operador de datos personales si su sitio web tiene formularios de comentarios, registro, autorización y otras formas de recopilación de datos mediante los cuales se puede identificar al sujeto.
El control y supervisión del cumplimiento de los requisitos de la ley federal “Sobre Datos Personales” lo llevan a cabo los reguladores:
- Roskomnadzor en materia de protección de los derechos de los interesados;
- FSB de Rusia sobre el cumplimiento de los requisitos en el campo de la criptografía;
- FSTEC de Rusia en términos de cumplimiento de los requisitos para proteger la información contra el acceso no autorizado y la fuga a través de canales técnicos.
Dado que la Ley Federal "Sobre Datos Personales" es sólo la base del soporte legal para la protección de datos personales, sus requisitos se especificaron posteriormente en las leyes del Gobierno de la Federación de Rusia y el Ministerio de Comunicaciones, y otros documentos reglamentarios y metodológicos de reguladores.
Autoridades federales que regulan las actividades en el campo del procesamiento de datos personales.
- Roskomnadzor (Servicio Federal de Supervisión de Comunicaciones y Comunicaciones Masivas): ejerce control y supervisión sobre el cumplimiento del procesamiento de DP con los requisitos legales.
- FSTEC de Rusia (Servicio Federal de Control Técnico y de Exportaciones): establece métodos y medios para proteger la información utilizando medios técnicos.
- FSB de Rusia (Servicio Federal de Seguridad de la Federación de Rusia): establece métodos y medios para proteger la información dentro de sus competencias (ámbito de uso de medios criptográficos de protección de la información)
Toda organización que procesa datos personales se enfrenta al problema de adaptar sus sistemas de información a los requisitos legales. La protección de datos personales es una de las cuestiones más urgentes, no sólo en Rusia sino también en otros países.
Tipos de datos personales
Según la Ley Federal No. 152, los datos personales son cualquier información relacionada con un individuo identificado o determinado sobre la base de dicha información (sujeto de datos personales). Por ejemplo: nombre completo, fecha y lugar de nacimiento, dirección, situación familiar, social, patrimonial, educación, etc.
Los datos personales se dividen en varias categorías:
especial
Datos personales relacionados con raza, nacionalidad, opiniones políticas, creencias religiosas o filosóficas, estado de salud, vida íntima.
biométrico
PD, que caracterizan las características fisiológicas y biológicas de una persona, a partir de las cuales se puede establecer su identidad y que son utilizadas por el operador para establecer la identidad del sujeto de los datos personales.
Otros
PD relacionados con un individuo directa o indirectamente identificado o identificable y que no entran en las categorías anteriores
Disponible públicamente
PD obtenidos de fuentes disponibles públicamente en las que los datos se publicaron con el consentimiento por escrito del sujeto de los datos personales
El procesamiento de datos personales es cualquier acción (operación) o conjunto de acciones con datos personales utilizando o sin herramientas de automatización, incluyendo:
- colección,
- grabación,
- sistematización,
- acumulación,
- almacenamiento,
- aclaración (actualización, cambio),
- extracción,
- uso,
- transmisión (distribución, provisión, acceso),
- despersonalización,
- bloqueo,
- eliminación,
- destrucción de datos personales.
Responsabilidad por violaciones
Según el artículo 24 de la Ley federal núm. 152, las personas son responsables de violar la ley de conformidad con la legislación de la Federación de Rusia.
Al controlar una empresa, los reguladores se guían por la Ley Federal 152 y varios estatutos. La inspección puede ser programada o no programada, basándose en los hechos de las violaciones, así como para monitorear las órdenes emitidas previamente para eliminarlas.
Las personas que violen los requisitos de protección de datos personales pueden enfrentarse no sólo a responsabilidad civil y disciplinaria, sino también administrativa e incluso penal.
¿Cómo cumplir con los requisitos de la Ley Federal-152?
Por lo tanto, una empresa u organización que procesa datos personales u otra información sensible debe proteger esta información de acuerdo con la ley. Esto no sólo requiere conocimientos, conocimientos y experiencia serios, sino que también conlleva dificultades técnicas y costes considerables.
Según la definición oficial aprobada por FSTEC, “...La seguridad de los datos personales es el estado de seguridad de los datos personales, caracterizado por la capacidad de los usuarios, los medios técnicos y las tecnologías de la información para garantizar la confidencialidad, integridad y disponibilidad de los datos personales cuando tratados en sistemas de información de datos personales...”
Para cumplir con los requisitos organizativos, legales y técnicos de la Ley Federal 152 por su cuenta, es necesario estudiar no sólo la ley en sí, sino también sus estatutos y determinar exactamente qué medidas se deben tomar. Los especialistas en outsourcing pueden estudiar los procesos de tratamiento de datos personales en la empresa, redactar los documentos necesarios, implementar medidas de seguridad, etc.
Un sistema integral de seguridad de la información incluye:
- Herramientas de prevención de intrusiones (IDS).
- Cortafuegos (FW).
- Protección contra malware.
- Sistema de seguimiento y registro de eventos de seguridad.
- Sistema de protección criptográfica de canales de comunicación (cifrado).
- Medios de protección del entorno virtual, un sistema de protección contra accesos no autorizados (ATP), identificación y control de acceso.
- Sistema de análisis de seguridad/detección de vulnerabilidades, etc.
Además, la seguridad integral de la información implica no solo medidas técnicas, sino también organizativas.
Nube FZ-152: características de implementación
Varios proveedores rusos prestan servicios de infraestructura en la nube para alojar sistemas de información de acuerdo con los requisitos de la legislación federal en materia de datos personales. Cuando los sistemas del cliente están alojados en la nube, el proveedor asume muchas cuestiones de seguridad de la información, incluidas las relacionadas con la protección de datos personales. Al migrar a la nube, se protegerá la infraestructura de TI y esto eliminará algunas de las responsabilidades del cliente. Por ejemplo, el proveedor cumple con los requisitos de la Ley Federal 152 en materia de protección del entorno de virtualización.
Los proveedores también pueden ofrecer a los clientes apoyo experto para resolver el problema de la protección de datos: determinando el nivel de seguridad requerido y, en consecuencia, ofreciendo una opción de implementación; desarrollar documentación para cumplir con los requisitos de la legislación de la Federación de Rusia.
Una nube segura ayudará a optimizar los costos de una organización al reducir los costos de creación y mantenimiento de la infraestructura de TI y un sistema interno de seguridad de la información. Por lo general, los expertos calificados brindan soporte y soporte técnico integral, incluida la consultoría y el desarrollo de un paquete de documentos para la certificación por parte de las autoridades reguladoras, y la plataforma de prestación de servicios cumple con estrictos estándares técnicos y cumple con los requisitos organizativos necesarios. Los clientes pueden aprovechar los servicios para preparar la documentación necesaria y proteger ISPD a nivel de aplicación y sistema operativo.
También se proporcionan procesos de gestión de riesgos y vulnerabilidades, investigaciones de incidentes, auditorías de seguridad internas y externas, así como monitoreo y pruebas periódicas de la red, los sistemas y los procesos de seguridad de la información. Especialistas calificados brindan soporte de infraestructura de TI las XNUMX horas, los XNUMX días de la semana.
En conjunto, estas medidas garantizan el cumplimiento de las leyes federales relativas a la protección de datos personales.
Plataforma certificada
IBS DataFort proporciona dicho servicio basado en . Todas las partes técnicas, herramientas de administración y virtualización de esta plataforma cumplen con las normas y requisitos de la Ley Federal-152.
Arquitectura de la nube segura de IBS DataFort.
La plataforma proporciona protección garantizada de ISPD (hasta el primer nivel de seguridad inclusive), GIS (hasta la primera clase de seguridad inclusive) y almacenamiento seguro de datos en el centro de datos de Nivel III. La plataforma utiliza firewalls certificados, herramientas de detección y prevención de intrusiones (IDS/IPS), cifrado de canales de comunicación (GOST VPN), protección antivirus, protección contra acceso no autorizado, protección del entorno de virtualización, así como herramientas de escaneo de vulnerabilidades.
También es una solución adecuada para aquellos que tienen altos requisitos de confidencialidad y protección de datos, desean fortalecer su reputación comercial o obtener una ventaja competitiva como un alto nivel probado de seguridad de la información.
¿Cómo “moverse” a una nube así? ¿Es posible una “migración fluida”? Bastante. Por ejemplo, IBS DataFort transfiere de forma segura el ISPD a su nube segura, minimizando el tiempo de inactividad y el impacto en los procesos comerciales de la empresa (incluidos los de sitios extranjeros).
Adecuación de la infraestructura de TI a la Ley Federal 152
El proceso de hacer que la infraestructura de TI del cliente cumpla con los requisitos de la Ley Federal-152 comienza con una auditoría y evaluación del nivel actual de seguridad.
Una auditoría de la infraestructura de TI del cliente incluye un examen del procesamiento y protección de datos personales y un examen del sistema de información del cliente. Se elabora un informe de encuesta con una descripción detallada de los procesos de procesamiento de DP desde un punto de vista técnico.
El trabajo también incluye modelar amenazas e intrusos y elaborar un informe sobre la determinación del nivel de seguridad para el ISPD. Sobre la base de los resultados de la auditoría, se elabora una especificación técnica privada para el sistema de protección ISPD y define los requisitos para el sistema diseñado.
Se está desarrollando un conjunto de políticas, instructivos, regulaciones y otros documentos para la protección de datos personales. Al mismo tiempo, los especialistas intentan optimizar los costes del cliente por la implementación de medidas de seguridad.
IBS DataFort brinda servicios para preparar documentación y proteger ISPD para cumplir con la legislación federal sobre protección de datos personales y puede ayudar a preparar y aprobar la certificación (ISPD, GIS, AS).
La certificación la llevan a cabo auditores independientes autorizados por FSTEC y el FSB de Rusia. La aprobación de dicha certificación confirma la protección confiable de los datos personales de los socios y clientes de la empresa contra amenazas externas y el cumplimiento integral de los requisitos reglamentarios. Es importante que los clientes tengan la comodidad de una "ventanilla única": todo lo proporciona una sola empresa: IBS DataFort.
Para el operador de datos personales, esto significa estar preparado para las inspecciones de Roskomnadzor, FSTEC y el FSB, eliminando el riesgo de bloqueo de recursos y la ausencia de reclamaciones y sanciones por parte del regulador.
Este servicio es relevante para muchas categorías de clientes en el segmento gubernamental y corporativo y puede ser solicitado por operadores de datos personales que desean que sus actividades cumplan con la ley. Colocar el IP en un segmento cerrado de la infraestructura del proveedor, certificado de acuerdo con todos los estándares y requisitos necesarios, libera al cliente de la necesidad de organizar todo el trabajo de forma independiente.
Fuente: habr.com