A Lei Federal-152 "sobre a protección de datos persoais" aplícase a todas as entidades existentes: persoas físicas e xurídicas, órganos do goberno federal e gobernos locais. De feito, esta lei aplícase a calquera organización que procese información e datos persoais dos cidadáns da Federación Rusa, independentemente da forma de propiedade e do tamaño da organización.
Ás veces, unha organización, de forma bastante inesperada por si mesma, pode descubrir inicialmente sistemas de información de datos persoais (PD) implícitos. Por exemplo, unha empresa considérase operador de datos persoais se o seu sitio web dispón de formularios de comentarios, rexistro, autorización e outras formas de recollida de datos polas que se pode identificar o suxeito.
O control e a supervisión do cumprimento dos requisitos da lei federal "sobre datos persoais" realízanse os reguladores:
- Roskomnadzor sobre a protección dos dereitos dos suxeitos de datos persoais;
- FSB de Rusia sobre o cumprimento dos requisitos no campo da criptografía;
- FSTEC de Rusia en termos de cumprimento dos requisitos para protexer a información de accesos non autorizados e fugas a través de canles técnicas.
Dado que a Lei Federal "sobre datos persoais" é só a base para o apoio xurídico para a protección de datos persoais, os seus requisitos foron especificados posteriormente en actos do Goberno da Federación Rusa e do Ministerio de Comunicacións e outros documentos normativos e metodolóxicos de reguladores.
Autoridades federais que regulan as actividades no ámbito do tratamento de datos persoais
- Roskomnadzor (Servizo Federal de Supervisión de Comunicacións e Comunicacións Masivas) - exerce o control e supervisión sobre o cumprimento dos requisitos legais do procesamento de PD.
- FSTEC de Rusia (Servizo Federal de Control Técnico e das Exportacións) - establece métodos e medios para protexer a información mediante medios técnicos.
- FSB de Rusia (Servizo Federal de Seguridade da Federación Rusa) - establece métodos e medios para protexer a información dentro das súas competencias (esfera de uso de medios criptográficos de protección da información)
Toda organización que trata datos persoais enfróntase ao problema de adaptar os seus sistemas de información aos requisitos legais. A protección de datos persoais é unha das cuestións máis urxentes, non só en Rusia, senón tamén noutros países.
Tipos de datos persoais
Segundo a Lei Federal n.º 152, os datos persoais son calquera información relativa a unha persoa identificada ou determinada en base a dita información (suxeito dos datos persoais). Por exemplo: nome completo, data e lugar de nacemento, enderezo, familia, social, estado da propiedade, educación, etc.
Os datos persoais divídense en varias categorías:
Especial
Datos persoais relativos á raza, nacionalidade, opinións políticas, crenzas relixiosas ou filosóficas, estado de saúde, vida íntima
Biométrica
PD, que caracterizan as características fisiolóxicas e biolóxicas dunha persoa, a partir das cales se pode establecer a súa identidade e que son utilizadas polo operador para establecer a identidade do suxeito dos datos persoais.
Outro
PD relativo a un individuo identificado ou identificable directa ou indirectamente e que non entren nas categorías anteriores
Dispoñible publicamente
PD obtido de fontes de acceso público nas que se publicaron os datos co consentimento por escrito do suxeito dos datos persoais
O tratamento de datos persoais é calquera acción (operación) ou conxunto de accións con datos persoais utilizando ou sen ferramentas de automatización, incluíndo:
- colección,
- gravación,
- sistematización,
- acumulación,
- almacenamento,
- aclaración (actualización, cambio),
- extracción,
- uso,
- transmisión (distribución, provisión, acceso),
- despersonalización,
- bloqueo,
- eliminación,
- destrución de datos persoais.
Responsabilidade polas infraccións
Segundo o artigo 24 da Lei Federal número 152, as persoas son responsables de violar a lei de acordo coa lexislación da Federación Rusa.
Ao comprobar unha empresa, os reguladores están guiados pola Lei Federal-152 e unha serie de estatutos. A inspección pode ser programada ou non, baseándose en feitos de infraccións, así como para supervisar as ordes emitidas previamente para eliminalas.
As persoas que incumpran os requisitos de protección de datos persoais poden enfrontarse non só a responsabilidade civil e disciplinaria, senón tamén administrativa e mesmo penal.
Como cumprir os requisitos da Lei Federal-152?
Polo tanto, unha empresa ou organización que procesa datos persoais ou outra información sensible debe protexer esta información de acordo coa lei. Isto non só require coñecementos, coñecementos e experiencia serios, senón que tamén se asocia con dificultades técnicas e custos considerables.
Segundo a definición oficial aprobada polo FSTEC, “...A seguridade dos datos persoais é o estado de seguridade dos datos persoais, caracterizado pola capacidade dos usuarios, medios técnicos e tecnoloxías da información para garantir a confidencialidade, integridade e dispoñibilidade dos datos persoais cando tratados en sistemas de información de datos persoais...”
Para cumprir os requisitos organizativos, legais e técnicos da Lei Federal 152, por conta propia, cómpre estudar non só a propia lei, senón tamén os seus estatutos e descubrir exactamente cales son as medidas que se deben tomar. Os especialistas en subcontratación poden estudar os procesos de tratamento de datos persoais na empresa, elaborar os documentos necesarios, implantar medidas de seguridade, etc.
Un sistema integral de seguridade da información inclúe:
- Ferramentas de prevención de intrusos (IDS).
- Firewall (FW).
- Protección contra malware.
- Sistema de seguimento e rexistro de eventos de seguridade.
- Sistema de protección criptográfica de canles de comunicación (cifrado).
- Medios de protección do entorno virtual, un sistema de protección contra accesos non autorizados (ATP), identificación e control de accesos.
- Sistema de análise de seguridade/detección de vulnerabilidades, etc.
Ademais, a seguridade integral da información implica non só medidas técnicas, senón tamén organizativas.
Cloud FZ-152: características de implementación
Varios provedores rusos ofrecen servizos para a subministración de infraestrutura na nube para hospedar sistemas de información de acordo cos requisitos da lexislación federal sobre datos persoais. Cando os sistemas do cliente están aloxados na nube, o provedor asume moitos problemas de seguridade da información, incluídos os relacionados coa protección de datos persoais. Ao migrar á nube, protexerá a infraestrutura de TI, e isto eliminará algunhas das responsabilidades do cliente. Por exemplo, o provedor cumpre os requisitos da Lei Federal 152 sobre a protección do contorno de virtualización.
Os provedores tamén poden proporcionar aos clientes un apoio experto para resolver o problema da protección de datos: determinar o nivel de seguridade requirido e, de acordo con isto, ofrecer unha opción de implantación; desenvolver documentación para cumprir cos requisitos da lexislación da Federación Rusa.
Unha nube segura axudará a optimizar os custos dunha organización ao reducir os custos de creación e mantemento da infraestrutura de TI e dun sistema interno de seguridade da información. Normalmente, os expertos cualificados proporcionan soporte e soporte técnico completos, incluíndo consultoría e desenvolvemento dun paquete de documentos para a certificación por parte das autoridades reguladoras, e a plataforma de prestación de servizos cumpre con estritos estándares técnicos e cumpre cos requisitos organizativos necesarios. Os clientes poden aproveitar os servizos para preparar a documentación necesaria e protexer o ISPD a nivel de aplicación e sistema operativo.
Tamén se proporcionan procesos de xestión de riscos e vulnerabilidades, investigacións de incidentes, auditorías de seguridade internas e externas, así como seguimento e probas regulares da rede, sistemas e procesos de seguridade da información. Os especialistas cualificados proporcionan soporte para infraestruturas de TI XNUMX/XNUMX.
En conxunto, estas medidas garanten o cumprimento das leis federais en materia de protección de datos persoais.
Plataforma certificada
IBS DataFort ofrece tal servizo baseado en . Todas as pezas técnicas, as ferramentas de administración e virtualización desta plataforma cumpren as normas e requisitos da Lei Federal-152.
Arquitectura da nube segura IBS DataFort.
A plataforma ofrece protección garantida de ISPD (ata o 1º nivel de seguridade incluído), GIS (ata a 1ª clase de seguridade incluída) e almacenamento seguro de datos no centro de datos Tier III. A plataforma utiliza cortalumes certificados, ferramentas de detección e prevención de intrusos (IDS/IPS), cifrado de canles de comunicación (GOST VPN), protección antivirus, protección contra accesos non autorizados, protección do contorno de virtualización, así como ferramentas de dixitalización de vulnerabilidades.
tamén é unha solución axeitada para aqueles que teñen altos requisitos de confidencialidade e protección de datos, queren reforzar a súa reputación empresarial ou obter unha vantaxe competitiva tan comprobada como un alto nivel de seguridade da información.
Como "mover" a unha nube así? É posible a "migración sen fisuras"? Moito. Por exemplo, IBS DataFort transfire de forma segura o ISPD á súa nube segura, minimizando o tempo de inactividade e o impacto nos procesos comerciais da empresa (incluíndo desde sitios estranxeiros).
Facendo a infraestrutura de TI en conformidade coa Lei Federal-152
O proceso de facer que a infraestrutura de TI do cliente cumpra cos requisitos da Lei Federal-152 comeza cunha auditoría e avaliación do nivel actual de seguridade.
Unha auditoría da infraestrutura informática do cliente inclúe un exame do tratamento e protección de datos persoais e un exame do sistema de información do cliente. Elabórase un informe de enquisa cunha descrición detallada dos procesos de tramitación da DP dende o punto de vista técnico.
O traballo tamén inclúe modelar ameazas e intrusos e elaborar un informe para determinar o nivel de seguridade do ISPD. A partir dos resultados da auditoría, elabórase unha especificación técnica privada para o sistema de protección ISPD e define os requisitos para o sistema deseñado.
Estase a desenvolver un conxunto de políticas, instrucións, regulamentos e outros documentos para a protección de datos persoais. Ao mesmo tempo, os especialistas intentan optimizar os custos do cliente para implementar medidas de seguridade.
IBS DataFort ofrece servizos para preparar documentación e protexer o ISPD para cumprir coa lexislación federal sobre protección de datos persoais e pode axudar na preparación e aprobación da certificación (ISPD, GIS, AS).
A certificación é realizada por auditores independentes con licenza de FSTEC e FSB de Rusia. A aprobación desta certificación confirma a protección fiable dos datos persoais dos socios e clientes da empresa contra ameazas externas e o cumprimento integral dos requisitos regulamentarios. É importante que os clientes reciban a comodidade dunha "venda única": todo é proporcionado por unha empresa: IBS DataFort.
Para o operador de datos persoais, isto significa estar preparado para as inspeccións de Roskomnadzor, FSTEC e o FSB, eliminando o risco de bloqueo de recursos e a ausencia de reclamacións e sancións do regulador.
Este servizo é relevante para moitas categorías de clientes do segmento gobernamental e corporativo e pode ser demandado por operadores de datos persoais que queiran facer que as súas actividades cumpran coa lei. Colocar a IP nun segmento pechado da infraestrutura do provedor, certificado segundo todos os estándares e requisitos necesarios, alivia ao cliente da necesidade de organizar de forma independente todo o traballo.
Fonte: www.habr.com