Föderaalseadus 152 "Isikuandmete kaitse kohta" kehtib kõigi olemasolevate üksuste kohta: üksikisikud ja juriidilised isikud, föderaalvalitsuse organid ja kohalikud omavalitsused. Tegelikult kehtib see seadus kõikidele organisatsioonidele, mis töötlevad Vene Föderatsiooni kodanike teavet ja isikuandmeid, olenemata omandivormist ja organisatsiooni suurusest.
Mõnikord võib organisatsioon enda jaoks täiesti ootamatult avastada algselt kaudsed isikuandmete infosüsteemid (PD). Näiteks loetakse ettevõtet isikuandmete haldajaks, kui tema veebisaidil on tagasisidevormid, registreerimine, volitused ja muud andmekogumise vormid, mille abil saab subjekti tuvastada.
Föderaalseaduse "Isikuandmete kohta" nõuete täitmise kontrolli ja järelevalvet teostavad reguleerivad asutused:
- Roskomnadzor seoses isikuandmete subjektide õiguste kaitsega;
- Venemaa FSB krüptograafia valdkonna nõuete täitmise kohta;
- Venemaa FSTEC teabe kaitsmise nõuete järgimise osas volitamata juurdepääsu ja tehniliste kanalite kaudu lekkimise eest.
Kuna föderaalseadus "Isikuandmete kohta" on ainult isikuandmete kaitse õigusliku toe aluseks, täpsustati selle nõudeid hiljem Vene Föderatsiooni valitsuse ja Sideministeeriumi aktides ning muudes regulatiivsetes ja metoodilistes dokumentides. regulaatorid.
Föderaalasutused, mis reguleerivad tegevust isikuandmete töötlemise valdkonnas
- Roskomnadzor (Federal Service for Supervision of Communications and Mass Communications) – teostab kontrolli ja järelevalvet PD-töötluse vastavuse üle juriidilistele nõuetele.
- Venemaa FSTEC (Federal Service for Technical and Export Control) – kehtestab meetodid ja vahendid teabe kaitsmiseks tehniliste vahendite abil.
- Venemaa FSB (Vene Föderatsiooni föderaalne julgeolekuteenistus) - kehtestab oma volituste piires teabe kaitsmise meetodid ja vahendid (infokaitse krüptograafiliste vahendite kasutusvaldkond)
Iga isikuandmeid töötlev organisatsioon seisab silmitsi probleemiga oma infosüsteemide vastavusse viimisel seadusest tulenevate nõuetega. Isikuandmete kaitse on üks pakilisemaid probleeme mitte ainult Venemaal, vaid ka teistes riikides.
Isikuandmete tüübid
Vastavalt föderaalseadusele nr 152 on isikuandmed igasugune teave, mis on seotud sellise teabe alusel tuvastatud või kindlaks määratud üksikisikuga (isikuandmete subjekt). Näiteks: täisnimi, sünniaeg ja -koht, aadress, perekond, sotsiaalne, varaline seisund, haridus jne.
Isikuandmed jagunevad mitmesse kategooriasse:
Eriline
Isikuandmed, mis on seotud rassi, rahvuse, poliitiliste vaadete, usuliste või filosoofiliste veendumuste, tervisliku seisundi, intiimeluga
Biomeetriline
PD, mis iseloomustavad isiku füsioloogilisi ja bioloogilisi omadusi, mille alusel saab tuvastada tema isikut ja mida operaator kasutab isikuandmete subjekti isiku tuvastamiseks
Muu
PD, mis on seotud otseselt või kaudselt tuvastatud või tuvastatava isikuga ja ei kuulu ülaltoodud kategooriatesse
Avalikult saadaval
PD saadud avalikult kättesaadavatest allikatest, milles andmed avaldati isikuandmete subjekti kirjalikul nõusolekul
Isikuandmete töötlemine on mis tahes toiming (toiming) või toimingute kogum isikuandmetega, kasutades automatiseerimisvahendeid või ilma, sealhulgas:
- kollektsioon,
- salvestus,
- süstematiseerimine,
- kogunemine,
- ladustamine,
- täpsustus (värskenda, muuda),
- ekstraheerimine,
- kasutamine,
- edastamine (jaotus, pakkumine, juurdepääs),
- depersonaliseerimine,
- blokeerimine,
- eemaldus,
- isikuandmete hävitamine.
Vastutus rikkumiste eest
Föderaalseaduse nr 24 artikli 152 kohaselt vastutavad isikud seaduse rikkumise eest vastavalt Vene Föderatsiooni õigusaktidele.
Ettevõtte kontrollimisel juhinduvad regulaatorid föderaalseadusest-152 ja mitmest põhimäärusest. Kontroll võib olla nii plaaniline kui ka plaaniväline – lähtudes rikkumiste faktidest, samuti jälgimaks varem antud korraldusi nende kõrvaldamiseks.
Isikuandmete kaitse nõuete rikkujaid võib lisaks tsiviil- ja distsiplinaar-, vaid ka haldus- ja isegi kriminaalvastutusele võtta.
Kuidas täita föderaalseaduse-152 nõudeid?
Seega peab isikuandmeid või muud tundlikku teavet töötlev ettevõte või organisatsioon seda teavet kaitsma vastavalt seadusele. See ei nõua mitte ainult tõsist asjatundlikkust, teadmisi ja kogemusi, vaid on seotud ka tehniliste raskuste ja märkimisväärsete kuludega.
Vastavalt FSTEC poolt kinnitatud ametlikule definitsioonile on „...Isikuandmete turvalisus isikuandmete turvalisuse seisund, mida iseloomustab kasutajate, tehniliste vahendite ja infotehnoloogiate suutlikkus tagada isikuandmete konfidentsiaalsus, terviklikkus ja kättesaadavus, kui töödeldakse isikuandmete infosüsteemides...”
Föderaalseaduse 152 organisatsiooniliste, juriidiliste ja tehniliste nõuete iseseisvaks täitmiseks peate uurima mitte ainult seadust ennast, vaid ka selle põhimäärust ning täpselt välja selgitama, milliseid meetmeid tuleb võtta. Allhanke spetsialistid saavad uurida isikuandmete töötlemise protsesse ettevõttes, vormistada vajalikke dokumente, rakendada turvameetmeid jne.
Põhjalik infoturbesüsteem sisaldab:
- Sissetungi ennetamise tööriistad (IDS).
- Tulemüür (FW).
- Kaitse pahavara eest.
- Süsteem turvasündmuste jälgimiseks ja salvestamiseks.
- Sidekanalite krüptograafilise kaitse süsteem (krüpteerimine).
- Vahendid virtuaalse keskkonna kaitsmiseks, volitamata juurdepääsu eest kaitsmise süsteem (ATP), tuvastamine ja juurdepääsu kontroll.
- Turvaanalüüsi/haavatavuse tuvastamise süsteem jne.
Lisaks hõlmab kõikehõlmav infoturve mitte ainult tehnilisi, vaid ka organisatsioonilisi meetmeid.
Cloud FZ-152: rakendusfunktsioonid
Mitmed Venemaa pakkujad pakuvad teenuseid pilveinfrastruktuuri pakkumiseks infosüsteemide majutamiseks vastavalt föderaalseaduste nõuetele isikuandmete kohta. Kui kliendi süsteeme majutatakse pilves, võtab teenusepakkuja enda kanda paljud infoturbega seotud probleemid, sealhulgas isikuandmete kaitsega seonduvad. Pilve migreerumisel kaitseb see IT-taristut ja see võtab kliendilt osa kohustusi. Näiteks täidab pakkuja föderaalseaduse 152 nõudeid virtualiseerimiskeskkonna kaitse kohta.
Pakkujatel on võimalik pakkuda klientidele ka asjatundlikku tuge andmekaitseprobleemi lahendamisel: vajaliku turvataseme määramisel ja vastavalt sellele rakendusvõimaluse pakkumisel; töötada välja dokumentatsioon, mis vastab Vene Föderatsiooni õigusaktide nõuetele.
Turvaline pilv aitab optimeerida organisatsiooni kulusid, vähendades IT-infrastruktuuri ja sisemise infoturbesüsteemi loomise ja ülalpidamise kulusid. Tavaliselt pakuvad kvalifitseeritud eksperdid igakülgset tehnilist tuge ja tuge, sealhulgas nõustamist ja reguleerivate asutuste poolt sertifitseerimiseks vajalike dokumentide paketi väljatöötamist ning teenuse osutamise platvorm vastab rangetele tehnilistele standarditele ja vajalikele organisatsioonilistele nõuetele. Kliendid saavad kasutada teenuseid vajaliku dokumentatsiooni koostamiseks ja ISPD kaitsmiseks rakenduse ja operatsioonisüsteemi tasemel.
Samuti pakutakse riski- ja haavatavuse haldusprotsesse, intsidentide uurimist, sise- ja välisturbeauditeid, samuti võrgu, süsteemide ja infoturbe protsesside regulaarset jälgimist ja testimist. Kvalifitseeritud spetsialistid pakuvad 24/7 IT-infrastruktuuri tuge.
Need meetmed kokku tagavad isikuandmete kaitset käsitlevate föderaalseaduste järgimise.
Sertifitseeritud platvorm
IBS DataFort pakub sellist teenust, mis põhineb . Kõik selle platvormi tehnilised osad, haldus- ja virtualiseerimistööriistad vastavad föderaalseaduse-152 normidele ja nõuetele.
IBS DataForti turvalise pilve arhitektuur.
Platvorm tagab garanteeritud kaitse ISPD (kuni 1. turbetase kaasa arvatud), GIS (kuni 1. turbeklass (kaasa arvatud)) ja turvalise andmesalvestuse Tier III andmekeskuses. Platvorm kasutab sertifitseeritud tulemüüre, sissetungimise tuvastamise ja ennetamise tööriistu (IDS/IPS), sidekanalite krüptimist (GOST VPN), viirusetõrjet, kaitset volitamata juurdepääsu eest, virtualiseerimiskeskkonna kaitset, aga ka haavatavuse skaneerimise tööriistu.
on sobiv lahendus ka neile, kellel on kõrged nõuded konfidentsiaalsusele ja andmekaitsele, kes soovivad tugevdada oma ärilist mainet või saada sellist konkurentsieelist nagu tõestatult kõrge infoturbe tase.
Kuidas sellisesse pilve "kolida"? Kas "tõrgeteta migratsioon" on võimalik? Päris. Näiteks edastab IBS DataFort ISPD turvaliselt oma turvalisse pilve, minimeerides seisakuid ja mõju ettevõtte äriprotsessidele (sh välismaistelt saitidelt).
IT-infrastruktuuri viimine kooskõlla föderaalseadusega-152
Kliendi IT-infrastruktuuri föderaalseaduse-152 nõuetega vastavusse viimise protsess algab praeguse turvataseme auditi ja hindamisega.
Kliendi IT infrastruktuuri audit hõlmab isikuandmete töötlemise ja kaitse uurimist ning kliendi infosüsteemi uurimist. Koostatakse uuringuaruanne koos PD töötlemise protsesside üksikasjaliku kirjeldusega tehnilisest aspektist.
Töö hõlmab ka ohtude ja sissetungijate modelleerimist ning ISPD turvataseme määramise aruande koostamist. Auditi tulemuste põhjal koostatakse ISPD kaitsesüsteemi eratehniline spetsifikatsioon, mis määratleb nõuded projekteeritavale süsteemile.
Töötatakse välja isikuandmete kaitse poliitikad, juhised, määrused ja muud dokumendid. Samal ajal püüavad spetsialistid optimeerida kliendi kulusid turvameetmete rakendamiseks.
IBS DataFort pakub teenuseid dokumentatsiooni koostamiseks ja ISPD kaitsmiseks, et see vastaks föderaalsetele isikuandmete kaitse seadustele ning võib aidata sertifitseerimise (ISPD, GIS, AS) ettevalmistamisel ja läbimisel.
Sertifitseerimist viivad läbi sõltumatud audiitorid, kellel on FSTEC ja Venemaa FSB litsents. Sellise sertifikaadi läbimine kinnitab ettevõtte partnerite ja klientide isikuandmete usaldusväärset kaitset väliste ohtude eest ning igakülgset vastavust regulatiivsetele nõuetele. Tähtis on, et kliendid saaksid mugavuse “ühe kohast”: kõike pakub üks ettevõte – IBS DataFort.
Isikuandmete halduri jaoks tähendab see valmisolekut Roskomnadzori, FSTECi ja FSB kontrollideks, välistades ressursside blokeerimise ohu ning regulaatori nõuete ja sanktsioonide puudumist.
See teenus on asjakohane paljude riigi- ja ettevõtete segmendi klientide kategooriate jaoks ning seda võivad nõuda isikuandmete haldurid, kes soovivad viia oma tegevused seadusega kooskõlla. IP paigutamine pakkuja infrastruktuuri suletud segmenti, mis on sertifitseeritud vastavalt kõigile vajalikele standarditele ja nõuetele, vabastab kliendi vajadusest kogu tööd iseseisvalt korraldada.
Allikas: www.habr.com