Savezni zakon-152 "O zaštiti osobnih podataka" odnosi se na sve postojeće subjekte: fizičke i pravne osobe, savezna tijela vlasti i lokalne samouprave. Zapravo, ovaj se zakon odnosi na svaku organizaciju koja obrađuje informacije i osobne podatke građana Ruske Federacije, bez obzira na oblik vlasništva i veličinu organizacije.
Ponekad organizacija, sasvim neočekivano za sebe, može otkriti inicijalno implicitne informacijske sustave osobnih podataka (PD). Na primjer, tvrtka se smatra operaterom osobnih podataka ako njezina web stranica ima obrasce za povratne informacije, registraciju, autorizaciju i druge oblike prikupljanja podataka pomoću kojih se subjekt može identificirati.
Kontrolu i nadzor u pogledu poštivanja zahtjeva saveznog zakona „O osobnim podacima” provode regulatori:
- Roskomnadzor u vezi sa zaštitom prava ispitanika osobnih podataka;
- FSB Rusije u pogledu usklađenosti sa zahtjevima u području kriptografije;
- FSTEC Rusije u smislu usklađenosti sa zahtjevima za zaštitu informacija od neovlaštenog pristupa i curenja kroz tehničke kanale.
Budući da je Savezni zakon „O osobnim podacima” samo temelj pravne potpore za zaštitu osobnih podataka, njegovi su zahtjevi naknadno navedeni u aktima Vlade Ruske Federacije i Ministarstva komunikacija te drugim regulatornim i metodološkim dokumentima regulatori.
Federalna tijela koja uređuju poslove u području obrade osobnih podataka
- Roskomnadzor (Federalna služba za nadzor komunikacija i masovnih komunikacija) - vrši kontrolu i nadzor nad usklađenošću obrade PD sa zakonskim zahtjevima.
- FSTEC Rusije (Savezna služba za tehničku i izvoznu kontrolu) - utvrđuje metode i sredstva zaštite podataka korištenjem tehničkih sredstava.
- FSB Rusije (Savezna služba sigurnosti Ruske Federacije) - utvrđuje metode i sredstva zaštite informacija u okviru svojih ovlasti (sfera korištenja kriptografskih sredstava zaštite informacija)
Svaka organizacija koja obrađuje osobne podatke suočava se s problemom usklađivanja svojih informacijskih sustava sa zakonskim zahtjevima. Zaštita osobnih podataka jedno je od gorućih pitanja ne samo u Rusiji, već iu drugim zemljama.
Vrste osobnih podataka
Prema Saveznom zakonu br. 152, osobni podatak je svaka informacija koja se odnosi na pojedinca koji je identificiran ili utvrđen na temelju takvih informacija (subjekt osobnih podataka). Na primjer: puno ime, datum i mjesto rođenja, adresa, obitelj, socijalno, imovinsko stanje, obrazovanje itd.
Osobni podaci podijeljeni su u nekoliko kategorija:
Poseban
Osobni podaci koji se odnose na rasu, nacionalnost, politička stajališta, vjerska ili filozofska uvjerenja, zdravstveno stanje, intimni život
Biometrijski
PD, koji karakteriziraju fiziološka i biološka svojstva osobe, na temelju kojih se može utvrditi njezin identitet, a pomoću kojih operater utvrđuje identitet subjekta osobnih podataka.
drugo
PD koji se odnosi na izravno ili neizravno identificiranu osobu ili osobu koju je moguće identificirati i ne spada u gore navedene kategorije
Javno dostupno
PD dobiven iz javno dostupnih izvora u kojima su podaci objavljeni uz pisani pristanak nositelja osobnih podataka
Obrada osobnih podataka je svaka radnja (operacija) ili skup radnji s osobnim podacima korištenjem ili bez alata za automatizaciju, uključujući:
- kolekcija,
- snimanje,
- sistematizacija,
- akumulacija,
- skladištenje,
- pojašnjenje (ažuriranje, promjena),
- izvlačenje,
- korištenje,
- prijenos (distribucija, pružanje, pristup),
- depersonalizacija,
- blokiranje,
- uklanjanje,
- uništavanje osobnih podataka.
Odgovornost za prekršaje
Prema članku 24. Saveznog zakona br. 152, osobe su odgovorne za kršenje zakona u skladu sa zakonodavstvom Ruske Federacije.
Prilikom provjere tvrtke, regulatori se rukovode Saveznim zakonom-152 i nizom podzakonskih akata. Inspekcija može biti planirana ili izvanredna - na temelju činjenica o prekršajima, kao i radi praćenja prethodno izdanih naloga za njihovo otklanjanje.
Osobe koje krše zahtjeve za zaštitu osobnih podataka mogu se suočiti ne samo s građanskom i disciplinskom, već i s upravnom, pa čak i kaznenom odgovornošću.
Kako ispuniti zahtjeve Saveznog zakona-152?
Dakle, tvrtka ili organizacija koja obrađuje osobne podatke ili druge osjetljive podatke mora te podatke zaštititi u skladu sa zakonom. To ne zahtijeva samo ozbiljnu stručnost, znanje i iskustvo, već je povezano i s tehničkim poteškoćama i znatnim troškovima.
Prema službenoj definiciji koju je odobrio FSTEC, „...Sigurnost osobnih podataka je stanje sigurnosti osobnih podataka, koje karakterizira sposobnost korisnika, tehničkih sredstava i informacijskih tehnologija da osiguraju povjerljivost, integritet i dostupnost osobnih podataka kada obrađuju se u informacijskim sustavima osobnih podataka...”
Da biste sami ispunili organizacijske, zakonske i tehničke zahtjeve Saveznog zakona 152, morate proučiti ne samo sam zakon, već i njegove podzakonske akte, te točno utvrditi koje mjere je potrebno poduzeti. Stručnjaci za outsourcing mogu proučiti procese obrade osobnih podataka u tvrtki, izraditi potrebne dokumente, implementirati sigurnosne mjere itd.
Sveobuhvatni sustav informacijske sigurnosti uključuje:
- Alati za sprječavanje upada (IDS).
- Vatrozid (FW).
- Zaštita od zlonamjernog softvera.
- Sustav za praćenje i snimanje sigurnosnih događaja.
- Sustav kriptografske zaštite komunikacijskih kanala (enkripcija).
- Sredstva zaštite virtualnog okruženja, sustav zaštite od neovlaštenog pristupa (ATP), identifikacija i kontrola pristupa.
- Sigurnosna analiza/sustav za otkrivanje ranjivosti, itd.
Osim toga, sveobuhvatna informacijska sigurnost uključuje ne samo tehničke, već i organizacijske mjere.
Cloud FZ-152: značajke implementacije
Brojni ruski pružatelji usluga pružaju usluge za pružanje infrastrukture oblaka za hosting informacijskih sustava u skladu sa zahtjevima saveznog zakonodavstva u vezi s osobnim podacima. Kada se sustavi klijenta nalaze u oblaku, pružatelj preuzima mnoga pitanja sigurnosti informacija, uključujući i ona koja se odnose na zaštitu osobnih podataka. Prilikom prelaska na oblak zaštitit će se IT infrastruktura, a time će se ukloniti dio odgovornosti s klijenta. Na primjer, pružatelj ispunjava zahtjeve Saveznog zakona 152 koji se odnose na zaštitu virtualizacijskog okruženja.
Pružatelji mogu korisnicima pružiti i stručnu podršku u rješavanju problema zaštite podataka: određivanje potrebne razine sigurnosti i sukladno tome ponuditi mogućnost implementacije; izraditi dokumentaciju u skladu sa zahtjevima zakonodavstva Ruske Federacije.
Siguran oblak pomoći će optimizirati troškove organizacije smanjenjem troškova stvaranja i održavanja IT infrastrukture i internog sustava informacijske sigurnosti. Kvalificirani stručnjaci obično pružaju sveobuhvatnu tehničku podršku i podršku, uključujući savjetovanje i izradu paketa dokumenata za certifikaciju od strane regulatornih tijela, a platforma za pružanje usluga zadovoljava stroge tehničke standarde i zadovoljava potrebne organizacijske zahtjeve. Klijenti mogu iskoristiti usluge izrade potrebne dokumentacije i zaštite ISPD-a na razini aplikacije i operativnog sustava.
Omogućeni su i procesi upravljanja rizicima i ranjivostima, istrage incidenata, interne i eksterne sigurnosne revizije, kao i redovito praćenje i testiranje mreže, sustava i procesa sigurnosti informacija. Kvalificirani stručnjaci pružaju podršku IT infrastrukturi XNUMX/XNUMX.
Uzete zajedno, ove mjere osiguravaju usklađenost sa saveznim zakonima koji se odnose na zaštitu osobnih podataka.
Certificirana platforma
IBS DataFort pruža takvu uslugu na temelju . Svi tehnički dijelovi, alati za administraciju i virtualizaciju ove platforme u skladu su s normama i zahtjevima Saveznog zakona-152.
Arhitektura sigurnog oblaka IBS DataFort.
Platforma pruža zajamčenu zaštitu ISPD (do uključivo 1. sigurnosne razine), GIS (do i uključujući 1. sigurnosnu klasu) i sigurnu pohranu podataka u podatkovnom centru Tier III. Platforma koristi certificirane vatrozide, alate za detekciju i prevenciju upada (IDS/IPS), enkripciju komunikacijskih kanala (GOST VPN), antivirusnu zaštitu, zaštitu od neovlaštenog pristupa, zaštitu virtualizacijskog okruženja, kao i alate za skeniranje ranjivosti.
također je prikladno rješenje za one koji imaju visoke zahtjeve za povjerljivošću i zaštitom podataka, žele ojačati svoj poslovni ugled ili steći konkurentsku prednost kao što je dokazano visoka razina informacijske sigurnosti.
Kako se “preseliti” u takav oblak? Je li moguća "bešavna migracija"? Dosta. Na primjer, IBS DataFort sigurno prenosi ISPD u svoj sigurni oblak, smanjujući vrijeme zastoja i utjecaj na poslovne procese tvrtke (uključujući strane stranice).
Usklađivanje IT infrastrukture sa Saveznim zakonom-152
Proces usklađivanja IT infrastrukture klijenta sa zahtjevima Saveznog zakona-152 započinje revizijom i procjenom trenutne razine sigurnosti.
Revizija informatičke infrastrukture naručitelja uključuje pregled obrade i zaštite osobnih podataka te pregled informacijskog sustava naručitelja. Izrađuje se izvješće o ispitivanju s detaljnim opisom procesa obrade PD s tehničkog gledišta.
Rad također uključuje modeliranje prijetnji i uljeza te izradu izvješća o određivanju razine sigurnosti za ISPD. Na temelju rezultata audita izrađuje se privatna tehnička specifikacija za ISPD sustav zaštite koja definira zahtjeve za projektirani sustav.
U izradi je skup politika, uputa, pravilnika i drugih dokumenata za zaštitu osobnih podataka. Istodobno, stručnjaci pokušavaju optimizirati kupčeve troškove za provedbu sigurnosnih mjera.
IBS DataFort pruža usluge pripreme dokumentacije i zaštite ISPD-a u skladu sa federalnim zakonodavstvom o zaštiti osobnih podataka te može pomoći u pripremi i prolasku certifikacije (ISPD, GIS, AS).
Certifikaciju provode neovisni revizori s licencom FSTEC-a i FSB-a Rusije. Prolaskom takve certifikacije potvrđuje se pouzdana zaštita osobnih podataka partnera i klijenata tvrtke od vanjskih prijetnji te sveobuhvatna usklađenost s regulatornim zahtjevima. Važno je da klijenti dobiju pogodnost "sve na jednom mjestu": sve pruža jedna tvrtka - IBS DataFort.
Za operatera osobnih podataka to znači spremnost na inspekcije od strane Roskomnadzora, FSTEC-a i FSB-a, eliminirajući rizik od blokiranja resursa i odsutnost zahtjeva i sankcija od strane regulatora.
Ova je usluga relevantna za mnoge kategorije korisnika u državnom i korporativnom segmentu i može biti tražena od strane operatera osobnih podataka koji žele svoje aktivnosti uskladiti sa zakonom. Postavljanje IP-a u zatvoreni segment infrastrukture pružatelja, certificiran prema svim potrebnim standardima i zahtjevima, oslobađa korisnika potrebe da samostalno organizira sav posao.
Izvor: www.habr.com