Savezni zakon br. 152 "O zaštiti osobnih podataka" primjenjuje se na sve postojeće subjekte: fizičke i pravne osobe, tijela savezne vlasti i lokalne samouprave. Zapravo, ovaj se zakon primjenjuje na svaku organizaciju koja obrađuje informacije i osobne podatke ruskih građana, bez obzira na oblik vlasništva ili veličinu.
Ponekad organizacija može neočekivano otkriti izvorno skrivene informacijske sustave osobnih podataka (OP). Na primjer, tvrtka se smatra operaterom osobnih podataka ako njezina web stranica sadrži obrasce za povratne informacije, obrasce za registraciju/ovlaštenje i druge obrasce za prikupljanje podataka koji se mogu koristiti za identifikaciju subjekta.
Kontrolu i nadzor nad poštivanjem zahtjeva Saveznog zakona "O osobnim podacima" provode regulatori:
- Roskomnadzor u smislu zaštite prava subjekata osobnih podataka;
- FSB Rusije u smislu ispunjavanja zahtjeva u području kriptografije;
- FSTEC Rusije u vezi s usklađenošću sa zahtjevima za zaštitu informacija od neovlaštenog pristupa i curenja putem tehničkih kanala.
Budući da je Savezni zakon "O osobnim podacima" samo osnova za pravnu zaštitu osobnih podataka, njegovi su zahtjevi naknadno precizirani u aktima Vlade Ruske Federacije i Ministarstva komunikacija te drugim regulatornim dokumentima regulatora.
Savezna tijela koja reguliraju aktivnosti u području obrade osobnih podataka
- Roskomnadzor (Savezna služba za nadzor komunikacija, informacijske tehnologije i masovnih medija) — prati i nadzire usklađenost obrade osobnih podataka sa zakonskim zahtjevima.
- FSTEC Rusije (Savezna služba za tehničku i izvoznu kontrolu) — utvrđuje metode i sredstva zaštite informacija pomoću tehničkih sredstava.
- FSB Rusije (Savezna sigurnosna služba Ruske Federacije) - utvrđuje metode i sredstva zaštite informacija u granicama svojih ovlasti (opseg korištenja kriptografskih sredstava zaštite informacija)
Svaka organizacija koja obrađuje osobne podatke suočava se s izazovom usklađivanja svojih informacijskih sustava sa zakonskim zahtjevima. Zaštita osobnih podataka jedno je od najhitnijih pitanja, ne samo u Rusiji već i u drugim zemljama.
Vrste osobnih podataka
Prema Saveznom zakonu 152, osobni podatak je svaka informacija koja se odnosi na pojedinca (subjekt osobnih podataka), identificiranu ili prepoznatljivu na temelju takvih informacija. Na primjer: puno ime, datum i mjesto rođenja, adresa, obiteljski, društveni i financijski status, obrazovanje itd.
Osobni podaci podijeljeni su u nekoliko kategorija:
Poseban
Osobni podaci o rasi, nacionalnosti, političkim stavovima, vjerskim ili filozofskim uvjerenjima, zdravstvenom stanju, intimnom životu
Biometrijski
PDn koji karakteriziraju fiziološke i biološke karakteristike osobe, na temelju kojih se može utvrditi njezin identitet i koje operater koristi za utvrđivanje identiteta subjekta osobnih podataka
drugo
Osobni podaci koji se izravno ili neizravno odnose na određenu ili odredivu osobu i ne odnose se na gore navedene kategorije
Javno dostupno
PDn dobiven iz javno dostupnih izvora u kojima su podaci objavljeni uz pisanu suglasnost subjekta osobnih podataka
Obrada osobnih podataka je svaka radnja (operacija) ili skup radnji s osobnim podacima sa ili bez upotrebe alata za automatizaciju, uključujući:
- kolekcija,
- snimanje,
- sistematizacija,
- akumulacija,
- skladištenje,
- pojašnjenje (ažuriranje, promjena),
- izvlačenje,
- korištenje,
- prijenos (distribucija, pružanje, pristup),
- depersonalizacija,
- blokiranje,
- uklanjanje,
- uništavanje osobnih podataka.
Odgovornost za prekršaje
Prema članku 24. Saveznog zakona 152, pojedinci su odgovorni za kršenje zakona u skladu sa zakonodavstvom Ruske Federacije.
Prilikom inspekcije tvrtke, regulatori se vode Saveznim zakonom br. 152 i nizom podzakonskih akata. Inspekcije mogu biti planirane ili neplanirane - bilo na temelju prekršaja ili kao nastavak prethodno izdanog naloga za njihovo ispravljanje.
Osobe koje krše zahtjeve zaštite osobnih podataka mogu se suočiti ne samo s građanskom i disciplinskom odgovornošću, već i s upravnom, pa čak i kaznenom odgovornošću.
Kako se pridržavati zahtjeva Saveznog zakona 152?
Stoga tvrtka ili organizacija koja obrađuje osobne podatke ili druge osjetljive informacije mora zaštititi te informacije u skladu sa zakonom. To ne samo da zahtijeva značajnu stručnost, znanje i iskustvo, već je povezano i s tehničkim složenostima i znatnim troškovima.
Prema službenoj definiciji koju je odobrila Federalna služba za tehničku i izvoznu kontrolu (FSTEC), "...Sigurnost osobnih podataka je stanje zaštite osobnih podataka, karakterizirano sposobnošću korisnika, tehničkih sredstava i informacijskih tehnologija da osiguraju povjerljivost, integritet i dostupnost osobnih podataka kada se obrađuju u informacijskim sustavima osobnih podataka..."
Da biste samostalno ispunili organizacijske, pravne i tehničke zahtjeve Saveznog zakona br. 152, morate proučiti ne samo sam zakon već i njegove podzakonske akte te razumjeti specifične mjere koje je potrebno poduzeti. Vanjski stručnjaci mogu proučiti procese obrade osobnih podataka tvrtke, izraditi potrebne dokumente, provesti sigurnosne mjere i još mnogo toga.
Sveobuhvatni sustav informacijske sigurnosti uključuje:
- Sustavi za sprječavanje upada (IDS).
- Vatrozid (FW).
- Zaštita od zlonamjernog softvera.
- Sustav za praćenje i snimanje sigurnosnih događaja.
- Sustav kriptografske zaštite komunikacijskih kanala (enkripcija).
- Sredstva zaštite virtualnog okruženja, sustav zaštite od neovlaštenog pristupa (UAP), identifikacija i kontrola pristupa.
- Sustav za sigurnosnu analizu/otkrivanje ranjivosti itd.
Štoviše, sveobuhvatna informacijska sigurnost uključuje ne samo tehničke već i organizacijske mjere.
Cloud FZ-152: značajke implementacije
Brojni ruski pružatelji usluga nude usluge cloud infrastrukture za hosting informacijskih sustava u skladu s federalnim zakonodavstvom o zaštiti osobnih podataka. Prilikom hostinga klijentskih sustava u oblaku, pružatelj usluga preuzima mnoga pitanja informacijske sigurnosti, uključujući ona koja se odnose na zaštitu osobnih podataka. Tijekom migracije u oblak, pružatelj usluga će osigurati zaštitu IT infrastrukture, čime će klijenta osloboditi nekih odgovornosti. Na primjer, pružatelj usluga udovoljava zahtjevima Federalnog zakona br. 152 u vezi sa zaštitom virtualizacijskog okruženja.
Pružatelji usluga također mogu pružiti korisnicima stručnu podršku u rješavanju izazova sigurnosti podataka: određivanje potrebne razine sigurnosti i predlaganje mogućnosti implementacije u skladu s tim; te razvoj dokumentacije za ispunjavanje ruskih zakonskih zahtjeva.
Siguran oblak može pomoći u optimizaciji troškova organizacije smanjenjem troškova stvaranja i održavanja IT infrastrukture i internog sustava informacijske sigurnosti. Kvalificirani stručnjaci obično pružaju sveobuhvatnu tehničku podršku i pomoć, uključujući savjetovanje i izradu dokumentacije za regulatorno odobrenje, dok servisna platforma udovoljava strogim tehničkim standardima i ispunjava sve organizacijske zahtjeve. Klijenti mogu iskoristiti usluge za pripremu potrebne dokumentacije i zaštitu osobnih podataka informacijskih sustava na razini aplikacije i operativnog sustava.
Uključeni su i procesi upravljanja rizicima i ranjivostima, istrage incidenata, interne i eksterne sigurnosne revizije te redovito praćenje i testiranje mreže, sustava i procesa informacijske sigurnosti. Kvalificirani stručnjaci pružaju podršku za IT infrastrukturu 24 sata dnevno, 7 dana u tjednu.
Zajedno, ove mjere osiguravaju usklađenost sa saveznim zakonodavstvom u vezi sa zaštitom osobnih podataka.
Certificirana platforma
IBS DataFort pruža takvu uslugu na temelju Sve tehničke komponente, administracija i alati za virtualizaciju ove platforme u skladu su sa standardima i zahtjevima Saveznog zakona br. 152.
Arhitektura sigurnog oblaka IBS DataFort.
Platforma pruža zajamčenu zaštitu za sustave osobnih podataka (do sigurnosne razine 1), geografske informacijske sustave (do sigurnosne klase 1) i sigurnu pohranu podataka u podatkovnim centrima Tier III. Platforma koristi certificirane vatrozidove, sustave za otkrivanje i sprječavanje upada (IDS/IPS), šifrirane komunikacijske kanale (GOST VPN), antivirusnu zaštitu, sprječavanje upada, zaštitu virtualizacijskog okruženja i skeniranje ranjivosti.
— također je prikladno rješenje za one koji imaju visoke zahtjeve za privatnost i zaštitu podataka, žele ojačati svoj poslovni ugled ili steći konkurentsku prednost poput dokazano visoke razine informacijske sigurnosti.
Kako se "preselite" u takav oblak? Je li moguća "besprijekorna migracija"? Apsolutno. Na primjer, IBS DataFort sigurno migrira informacijske sustave osobnih podataka u svoj sigurni oblak, minimizirajući vrijeme zastoja i utjecaj na poslovne procese tvrtke (uključujući i s međunarodnih lokacija).
Usklađivanje IT infrastrukture sa Saveznim zakonom br. 152
Proces usklađivanja IT infrastrukture klijenta sa zahtjevima Saveznog zakona 152 započinje revizijom i procjenom trenutne razine sigurnosti.
Revizija IT infrastrukture klijenta uključuje pregled procesa obrade i zaštite osobnih podataka te pregled informacijskog sustava osobnih podataka (ISPD) klijenta. Izrađuje se izvješće o pregledu s detaljnim opisom procesa obrade osobnih podataka s tehničke perspektive.
Rad također uključuje modeliranje prijetnji i uljeza te izradu izvješća o procjeni sigurnosti informacijskog sustava osobnih podataka (PDIS). Na temelju rezultata revizije razvija se specifična tehnička specifikacija za sigurnosni sustav informacijskog sustava osobnih podataka (PDIS) kojom se definiraju zahtjevi za dizajnirani sustav.
Razvija se skup politika, uputa, propisa i drugih dokumenata za zaštitu osobnih podataka. Istovremeno, stručnjaci nastoje optimizirati troškove klijenta za provedbu sigurnosnih mjera.
IBS DataFort pruža usluge pripreme dokumentacije i zaštite informacijskih sustava osobnih podataka (ISPD) kako bi se osigurala usklađenost sa saveznim zakonodavstvom o zaštiti osobnih podataka te može pomoći u pripremi i polaganju certifikacije (ISPD, GIS, AS).
Certifikaciju provode neovisni revizori koje su licencirali Federalna služba za tehničku i izvoznu kontrolu (FSTEC) i Federalna sigurnosna služba (FSB). Polaganje ove certifikacije potvrđuje pouzdanu zaštitu osobnih podataka partnera i klijenata tvrtke od vanjskih prijetnji i sveobuhvatnu usklađenost s regulatornim zahtjevima. Važno je napomenuti da klijenti imaju koristi od praktičnosti jednog "jednog prozora": sve rješava jedna tvrtka - IBS DataFort.
Za operatere osobnih podataka to znači spremnost za inspekcije Roskomnadzora, Federalne službe za tehničku i izvoznu kontrolu (FSTEC) i Federalne sigurnosne službe (FSB), čime se uklanja rizik od blokiranja resursa i izbjegavaju regulatorni zahtjevi i sankcije.
Ova usluga je relevantna za mnoge kategorije vladinih i korporativnih klijenata te je mogu tražiti operateri osobnih podataka koji žele uskladiti svoje poslovanje sa zakonom. Smještaj informacijskog sustava u zatvorenom segmentu infrastrukture pružatelja usluga, certificiranom prema svim potrebnim standardima i zahtjevima, eliminira potrebu da klijent samostalno organizira sav posao.
Izvor: www.habr.com
