La loi fédérale 152 « sur la protection des données personnelles » s'applique à toutes les entités existantes : personnes physiques et morales, organismes du gouvernement fédéral et gouvernements locaux. En fait, cette loi s'applique à toute organisation qui traite des informations et des données personnelles de citoyens de la Fédération de Russie, quelles que soient la forme de propriété et la taille de l'organisation.
Parfois, une organisation, de manière tout à fait inattendue pour elle-même, peut découvrir des systèmes d'information initialement implicites de données personnelles (PD). Par exemple, une entreprise est considérée comme un opérateur de données personnelles si son site Web dispose de formulaires de commentaires, d'enregistrement, d'autorisation et d'autres formes de collecte de données permettant d'identifier le sujet.
Le contrôle et la surveillance concernant le respect des exigences de la loi fédérale « sur les données personnelles » sont effectués par les régulateurs :
- Roskomnadzor concernant la protection des droits des personnes concernées ;
- FSB de Russie concernant le respect des exigences dans le domaine de la cryptographie ;
- FSTEC de Russie en termes de respect des exigences de protection des informations contre les accès non autorisés et les fuites via les canaux techniques.
Étant donné que la loi fédérale « sur les données personnelles » ne constitue que la base d'un soutien juridique pour la protection des données personnelles, ses exigences ont ensuite été précisées dans les lois du gouvernement de la Fédération de Russie et du ministère des Communications, ainsi que dans d'autres documents réglementaires et méthodologiques de régulateurs.
Autorités fédérales réglementant les activités dans le domaine du traitement des données personnelles
- Roskomnadzor (Service fédéral de surveillance des communications et des communications de masse) - exerce un contrôle et une surveillance sur la conformité du traitement des DP avec les exigences légales.
- FSTEC de Russie (Service fédéral du contrôle technique et des exportations) - établit des méthodes et des moyens de protection des informations par des moyens techniques.
- FSB de Russie (Service fédéral de sécurité de la Fédération de Russie) - établit des méthodes et des moyens de protection des informations dans le cadre de ses pouvoirs (domaine d'utilisation des moyens cryptographiques de protection des informations)
Toute organisation qui traite des données personnelles est confrontée à la problématique de la mise en conformité de ses systèmes d’information avec les exigences légales. La protection des données personnelles est l’une des questions les plus urgentes, non seulement en Russie, mais aussi dans d’autres pays.
Types de données personnelles
Selon la loi fédérale n° 152, les données personnelles sont toute information relative à une personne identifiée ou déterminée sur la base de ces informations (sujet de données personnelles). Par exemple : nom complet, date et lieu de naissance, adresse, famille, situation sociale, situation patrimoniale, éducation, etc.
Les données personnelles sont divisées en plusieurs catégories :
Spécial
Données personnelles relatives à la race, à la nationalité, aux opinions politiques, aux convictions religieuses ou philosophiques, à l'état de santé, à la vie intime
Biométrique
PD, qui caractérisent les caractéristiques physiologiques et biologiques d'une personne, sur la base desquelles son identité peut être établie et qui sont utilisées par l'opérateur pour établir l'identité du sujet des données personnelles
Autre
PD relatif à une personne physique directement ou indirectement identifiée ou identifiable et n'entrant pas dans les catégories ci-dessus
Disponible publiquement
PD obtenues à partir de sources accessibles au public dans lesquelles les données ont été publiées avec le consentement écrit du sujet des données personnelles
Le traitement des données personnelles désigne toute action (opération) ou ensemble d'actions impliquant des données personnelles utilisant ou sans outils d'automatisation, notamment :
- collection,
- enregistrement,
- systématisation,
- accumulation,
- stockage,
- clarification (mise à jour, modification),
- extraction,
- usage,
- transport (distribution, mise à disposition, accès),
- dépersonnalisation,
- blocage,
- suppression,
- destruction des données personnelles.
Responsabilité des violations
Selon l'article 24 de la loi fédérale n° 152, les personnes sont responsables de toute violation de la loi conformément à la législation de la Fédération de Russie.
Lors du contrôle d'une entreprise, les régulateurs sont guidés par la loi fédérale 152 et un certain nombre de règlements. L'inspection peut être programmée ou non - sur la base des faits de violations, ainsi que pour surveiller les ordres précédemment émis pour les éliminer.
Les personnes qui enfreignent les exigences en matière de protection des données personnelles peuvent encourir une responsabilité non seulement civile et disciplinaire, mais également administrative et même pénale.
Comment se conformer aux exigences de la loi fédérale-152 ?
Ainsi, une entreprise ou une organisation qui traite des données personnelles ou d'autres informations sensibles doit protéger ces informations conformément à la loi. Cela nécessite non seulement une expertise, des connaissances et une expérience sérieuses, mais est également associé à des difficultés techniques et à des coûts considérables.
Selon la définition officielle approuvée par le FSTEC, « ... La sécurité des données personnelles est l'état de sécurité des données personnelles, caractérisé par la capacité des utilisateurs, des moyens techniques et des technologies de l'information à assurer la confidentialité, l'intégrité et la disponibilité des données personnelles lorsque traitées dans les systèmes d’information sur les données personnelles... »
Afin de remplir vous-même les exigences organisationnelles, juridiques et techniques de la loi fédérale 152, vous devez étudier non seulement la loi elle-même, mais également ses statuts et déterminer exactement les mesures à prendre. Les spécialistes de l'externalisation peuvent étudier les processus de traitement des données personnelles dans l'entreprise, établir les documents nécessaires, mettre en œuvre des mesures de sécurité, etc.
Un système complet de sécurité de l’information comprend :
- Outils de prévention des intrusions (IDS).
- Pare-feu (FW).
- Protection contre les logiciels malveillants.
- Système de surveillance et d'enregistrement des événements de sécurité.
- Système de protection cryptographique des canaux de communication (cryptage).
- Des moyens de protection de l'environnement virtuel, un système de protection contre les accès non autorisés (ATP), d'identification et de contrôle d'accès.
- Système d’analyse de sécurité/détection de vulnérabilité, etc.
En outre, une sécurité globale de l’information implique non seulement des mesures techniques, mais aussi organisationnelles.
Cloud FZ-152 : fonctionnalités d'implémentation
Un certain nombre de fournisseurs russes fournissent des services pour la fourniture d'une infrastructure cloud pour l'hébergement de systèmes d'information conformément aux exigences de la législation fédérale concernant les données personnelles. Lorsque les systèmes du client sont hébergés dans le cloud, le fournisseur prend en charge de nombreux problèmes de sécurité de l’information, notamment ceux liés à la protection des données personnelles. Lors de la migration vers le cloud, cela protégera l'infrastructure informatique, ce qui supprimera certaines responsabilités du client. Le fournisseur répond par exemple aux exigences de la loi fédérale 152 concernant la protection de l'environnement de virtualisation.
Les prestataires peuvent également fournir aux clients un accompagnement expert pour résoudre le problème de la protection des données : déterminer le niveau de sécurité requis et, en conséquence, proposer une option de mise en œuvre ; élaborer une documentation pour se conformer aux exigences de la législation de la Fédération de Russie.
Un cloud sécurisé contribuera à optimiser les coûts d'une organisation en réduisant les coûts de création et de maintenance d'une infrastructure informatique et d'un système interne de sécurité des informations. En règle générale, des experts qualifiés fournissent une assistance et un support techniques complets, y compris la consultation et le développement d'un ensemble de documents à certifier par les autorités de régulation, et la plate-forme de prestation de services répond à des normes techniques strictes et répond aux exigences organisationnelles nécessaires. Les clients peuvent profiter de services pour préparer la documentation nécessaire et protéger ISPD au niveau de l'application et du système d'exploitation.
Des processus de gestion des risques et des vulnérabilités, des enquêtes sur les incidents, des audits de sécurité internes et externes, ainsi qu'une surveillance et des tests réguliers des processus de sécurité du réseau, des systèmes et de l'information sont également fournis. Des spécialistes qualifiés fournissent une assistance en matière d'infrastructure informatique XNUMXh/XNUMX et XNUMXj/XNUMX.
Ensemble, ces mesures garantissent le respect des lois fédérales en matière de protection des données personnelles.
Plateforme certifiée
IBS DataFort fournit un tel service basé sur . Toutes les parties techniques, outils d'administration et de virtualisation de cette plateforme sont conformes aux normes et exigences de la loi fédérale-152.
Architecture du cloud sécurisé IBS DataFort.
La plateforme offre une protection garantie de l'ISPD (jusqu'au 1er niveau de sécurité inclus), du SIG (jusqu'à la 1ère classe de sécurité incluse) et un stockage sécurisé des données dans le centre de données Tier III. La plateforme utilise des pare-feu certifiés, des outils de détection et de prévention des intrusions (IDS/IPS), le cryptage des canaux de communication (GOST VPN), une protection antivirus, une protection contre les accès non autorisés, une protection de l'environnement de virtualisation, ainsi que des outils d'analyse des vulnérabilités.
est également une solution adaptée pour ceux qui ont des exigences élevées en matière de confidentialité et de protection des données, qui souhaitent renforcer la réputation de leur entreprise ou acquérir un avantage concurrentiel tel qu'un haut niveau éprouvé de sécurité des informations.
Comment « passer » à un tel cloud ? Une « migration transparente » est-elle possible ? Assez. Par exemple, IBS DataFort transfère en toute sécurité l'ISPD vers son cloud sécurisé, minimisant ainsi les temps d'arrêt et l'impact sur les processus métier de l'entreprise (y compris à partir de sites étrangers).
Mise en conformité de l'infrastructure informatique avec la loi fédérale 152
Le processus de mise en conformité de l'infrastructure informatique du client avec les exigences de la loi fédérale 152 commence par un audit et une évaluation du niveau de sécurité actuel.
Un audit de l’infrastructure informatique du client comprend un examen du traitement et de la protection des données personnelles et un examen du système d’information du client. Un rapport d'enquête est établi avec une description détaillée des processus de traitement des DP d'un point de vue technique.
Le travail comprend également la modélisation des menaces et des intrus et l'élaboration d'un rapport sur la détermination du niveau de sécurité de l'ISPD. Sur la base des résultats de l'audit, une spécification technique privée pour le système de protection ISPD est élaborée et définit les exigences du système conçu.
Un ensemble de politiques, instructions, réglementations et autres documents pour la protection des données personnelles est en cours d'élaboration. Dans le même temps, les spécialistes tentent d’optimiser les coûts supportés par le client pour la mise en œuvre des mesures de sécurité.
IBS DataFort fournit des services de préparation de documentation et de protection de l'ISPD afin de se conformer à la législation fédérale sur la protection des données personnelles et peut aider à préparer et à passer la certification (ISPD, GIS, AS).
La certification est effectuée par des auditeurs indépendants agréés par le FSTEC et le FSB de Russie. L'obtention de cette certification confirme la protection fiable des données personnelles des partenaires et des clients de l'entreprise contre les menaces externes et le respect total des exigences réglementaires. Il est important que les clients bénéficient de la commodité d'un « guichet unique » : tout est fourni par une seule entreprise - IBS DataFort.
Pour l'opérateur de données personnelles, cela signifie être prêt aux inspections du Roskomnadzor, du FSTEC et du FSB, éliminant le risque de blocage des ressources et l'absence de réclamations et de sanctions de la part du régulateur.
Ce service est pertinent pour de nombreuses catégories de clients du secteur public et des entreprises et peut être demandé par les opérateurs de données personnelles qui souhaitent mettre leurs activités en conformité avec la loi. Placer l'IP dans un segment fermé de l'infrastructure du fournisseur, certifié selon toutes les normes et exigences nécessaires, dispense le client de la nécessité d'organiser de manière indépendante tous les travaux.
Source: habr.com