Undang-undang Federal-152 “Tentang Perlindungan Data Pribadi” berlaku untuk semua entitas yang ada: individu dan badan hukum, badan pemerintah federal, dan pemerintah daerah. Faktanya, undang-undang ini berlaku untuk organisasi mana pun yang memproses informasi dan data pribadi warga negara Federasi Rusia, terlepas dari bentuk kepemilikan dan ukuran organisasi.
Terkadang sebuah organisasi, secara tidak terduga, dapat menemukan sistem informasi data pribadi (PD) yang awalnya implisit. Misalnya, suatu perusahaan dianggap sebagai operator data pribadi jika situs webnya memiliki formulir umpan balik, pendaftaran, otorisasi, dan bentuk pengumpulan data lainnya yang dapat digunakan untuk mengidentifikasi subjek.
Kontrol dan pengawasan mengenai kepatuhan terhadap persyaratan undang-undang federal “Tentang Data Pribadi” dilakukan oleh regulator:
- Roskomnadzor tentang perlindungan hak subjek data pribadi;
- FSB Rusia tentang kepatuhan terhadap persyaratan di bidang kriptografi;
- FSTEC Rusia dalam hal kepatuhan terhadap persyaratan untuk melindungi informasi dari akses tidak sah dan kebocoran melalui saluran teknis.
Karena Undang-Undang Federal “Tentang Data Pribadi” hanyalah dasar dukungan hukum untuk perlindungan data pribadi, persyaratannya kemudian ditentukan dalam tindakan Pemerintah Federasi Rusia dan Kementerian Komunikasi, dan dokumen peraturan dan metodologi lainnya dari regulator.
Otoritas federal yang mengatur kegiatan di bidang pemrosesan data pribadi
- Roskomnadzor (Layanan Federal untuk Pengawasan Komunikasi dan Komunikasi Massa) - melakukan kontrol dan pengawasan atas kepatuhan pemrosesan PD dengan persyaratan hukum.
- FSTEC Rusia (Layanan Federal untuk Kontrol Teknis dan Ekspor) - menetapkan metode dan sarana untuk melindungi informasi menggunakan sarana teknis.
- FSB Rusia (Dinas Keamanan Federal Federasi Rusia) - menetapkan metode dan sarana untuk melindungi informasi dalam batas kewenangannya (bidang penggunaan sarana kriptografi untuk perlindungan informasi)
Setiap organisasi yang memproses data pribadi menghadapi masalah dalam menjadikan sistem informasinya mematuhi persyaratan hukum. Perlindungan data pribadi adalah salah satu masalah yang paling mendesak, tidak hanya di Rusia, tetapi juga di negara lain.
Jenis data pribadi
Menurut Undang-Undang Federal No. 152, data pribadi adalah segala informasi yang berkaitan dengan seseorang yang diidentifikasi atau ditentukan berdasarkan informasi tersebut (subjek data pribadi). Misalnya: nama lengkap, tanggal dan tempat lahir, alamat, keluarga, sosial, status harta benda, pendidikan, dll.
Data pribadi dibagi menjadi beberapa kategori:
Khusus
Data pribadi yang berkaitan dengan ras, kebangsaan, pandangan politik, keyakinan agama atau filosofi, status kesehatan, kehidupan intim
Biometrik
PD, yang mencirikan ciri-ciri fisiologis dan biologis seseorang, yang menjadi dasar penentuan identitasnya dan digunakan oleh operator untuk menetapkan identitas subjek data pribadi
Lainnya
PD yang berkaitan dengan individu yang teridentifikasi atau dapat diidentifikasi secara langsung atau tidak langsung dan tidak termasuk dalam kategori di atas
Tersedia untuk umum
PD diperoleh dari sumber yang tersedia untuk umum di mana datanya dipublikasikan dengan persetujuan tertulis dari subjek data pribadi
Pemrosesan data pribadi adalah setiap tindakan (operasi) atau serangkaian tindakan dengan data pribadi menggunakan atau tanpa alat otomatisasi, termasuk:
- koleksi,
- rekaman,
- sistematisasi,
- akumulasi,
- penyimpanan,
- klarifikasi (memperbarui, mengubah),
- ekstraksi,
- penggunaan,
- transmisi (distribusi, penyediaan, akses),
- depersonalisasi,
- pemblokiran,
- pemindahan,
- penghancuran data pribadi.
Tanggung jawab atas pelanggaran
Menurut Pasal 24 Undang-Undang Federal No. 152, orang bertanggung jawab atas pelanggaran hukum sesuai dengan undang-undang Federasi Rusia.
Saat memeriksa suatu perusahaan, regulator dipandu oleh Undang-undang Federal-152 dan sejumlah peraturan daerah. Inspeksi dapat terjadwal atau tidak terjadwal - berdasarkan fakta pelanggaran, serta memantau perintah yang dikeluarkan sebelumnya untuk menghilangkannya.
Orang yang melanggar persyaratan perlindungan data pribadi tidak hanya menghadapi tanggung jawab perdata dan disiplin, tetapi juga administratif dan bahkan pidana.
Bagaimana cara mematuhi persyaratan Undang-undang Federal-152?
Jadi, perusahaan atau organisasi yang memproses data pribadi atau informasi sensitif lainnya harus melindungi informasi tersebut sesuai dengan hukum. Hal ini tidak hanya memerlukan keahlian, pengetahuan dan pengalaman yang serius, namun juga berkaitan dengan kesulitan teknis dan biaya yang besar.
Menurut definisi resmi yang disetujui oleh FSTEC, “...Keamanan data pribadi adalah keadaan keamanan data pribadi, yang ditandai dengan kemampuan pengguna, sarana teknis, dan teknologi informasi untuk menjamin kerahasiaan, integritas, dan ketersediaan data pribadi ketika diproses dalam sistem informasi data pribadi…”
Untuk memenuhi persyaratan organisasi, hukum, dan teknis Undang-undang Federal 152, Anda sendiri perlu mempelajari tidak hanya undang-undang itu sendiri, tetapi juga anggaran rumah tangganya, dan mencari tahu dengan tepat tindakan apa yang perlu diambil. Spesialis outsourcing dapat mempelajari proses pemrosesan data pribadi di perusahaan, menyusun dokumen yang diperlukan, menerapkan langkah-langkah keamanan, dll.
Sistem keamanan informasi yang komprehensif meliputi:
- Alat Pencegahan Intrusi (IDS).
- Firewall (FW).
- Perlindungan terhadap malware.
- Sistem untuk memantau dan mencatat peristiwa keamanan.
- Sistem perlindungan kriptografi saluran komunikasi (enkripsi).
- Sarana untuk melindungi lingkungan virtual, sistem perlindungan terhadap akses tidak sah (ATP), identifikasi dan kontrol akses.
- Analisis keamanan/sistem deteksi kerentanan, dll.
Selain itu, keamanan informasi yang komprehensif tidak hanya melibatkan langkah-langkah teknis, tetapi juga organisasi.
Cloud FZ-152: fitur implementasi
Sejumlah penyedia Rusia menyediakan layanan untuk penyediaan infrastruktur cloud untuk hosting sistem informasi sesuai dengan persyaratan undang-undang federal mengenai data pribadi. Ketika sistem klien dihosting di cloud, penyedia menangani banyak masalah keamanan informasi, termasuk yang terkait dengan perlindungan data pribadi. Saat bermigrasi ke cloud, ini akan melindungi infrastruktur TI, dan ini akan menghilangkan beberapa tanggung jawab dari klien. Misalnya, penyedia memenuhi persyaratan Undang-undang Federal 152 mengenai perlindungan lingkungan virtualisasi.
Penyedia juga dapat memberikan dukungan ahli kepada pelanggan dalam memecahkan masalah perlindungan data: menentukan tingkat keamanan yang diperlukan dan, sesuai dengan ini, menawarkan opsi implementasi; mengembangkan dokumentasi untuk memenuhi persyaratan undang-undang Federasi Rusia.
Cloud yang aman akan membantu mengoptimalkan biaya organisasi dengan mengurangi biaya pembuatan dan pemeliharaan infrastruktur TI dan sistem keamanan informasi internal. Biasanya, para ahli yang berkualifikasi memberikan dukungan dan dukungan teknis yang komprehensif, termasuk konsultasi dan pengembangan paket dokumen untuk sertifikasi oleh otoritas pengatur, dan platform pemberian layanan memenuhi standar teknis yang ketat dan memenuhi persyaratan organisasi yang diperlukan. Klien dapat memanfaatkan layanan untuk menyiapkan dokumentasi yang diperlukan dan melindungi ISPD di tingkat aplikasi dan sistem operasi.
Proses manajemen risiko dan kerentanan, investigasi insiden, audit keamanan internal dan eksternal, serta pemantauan dan pengujian berkala terhadap jaringan, sistem, dan proses keamanan informasi juga disediakan. Spesialis berkualifikasi memberikan dukungan infrastruktur TI XNUMX/XNUMX.
Secara keseluruhan, langkah-langkah ini memastikan kepatuhan terhadap undang-undang federal mengenai perlindungan data pribadi.
Platform bersertifikat
IBS DataFort menyediakan layanan tersebut berdasarkan . Semua bagian teknis, administrasi, dan alat virtualisasi platform ini mematuhi norma dan persyaratan Undang-undang Federal-152.
Arsitektur cloud aman IBS DataFort.
Platform ini memberikan jaminan perlindungan ISPD (termasuk tingkat keamanan 1), GIS (hingga dan termasuk kelas keamanan 1) dan penyimpanan data yang aman di pusat data Tingkat III. Platform ini menggunakan firewall bersertifikat, alat deteksi dan pencegahan intrusi (IDS/IPS), enkripsi saluran komunikasi (GOST VPN), perlindungan anti-virus, perlindungan terhadap akses tidak sah, perlindungan lingkungan virtualisasi, serta alat pemindaian kerentanan.
juga merupakan solusi yang cocok bagi mereka yang memiliki persyaratan tinggi akan kerahasiaan dan perlindungan data, ingin memperkuat reputasi bisnis mereka atau mendapatkan keunggulan kompetitif seperti keamanan informasi tingkat tinggi yang terbukti.
Bagaimana cara "pindah" ke cloud seperti itu? Apakah “migrasi yang mulus” mungkin terjadi? Lumayan. Misalnya, IBS DataFort dengan aman mentransfer ISPD ke cloud amannya, meminimalkan waktu henti dan dampaknya terhadap proses bisnis perusahaan (termasuk dari situs asing).
Menjadikan infrastruktur TI mematuhi Undang-Undang Federal-152
Proses untuk menjadikan infrastruktur TI klien mematuhi persyaratan Undang-undang Federal-152 dimulai dengan audit dan penilaian tingkat keamanan saat ini.
Audit infrastruktur TI klien mencakup pemeriksaan pemrosesan dan perlindungan data pribadi serta pemeriksaan sistem informasi pelanggan. Laporan survei disusun dengan penjelasan rinci tentang proses pengolahan PD dari sudut pandang teknis.
Pekerjaan tersebut juga mencakup pemodelan ancaman dan penyusup serta penyusunan laporan untuk menentukan tingkat keamanan ISPD. Berdasarkan hasil audit, spesifikasi teknis khusus untuk sistem proteksi ISPD disusun dan persyaratan untuk sistem yang dirancang ditentukan.
Serangkaian kebijakan, instruksi, peraturan, dan dokumen lain untuk perlindungan data pribadi sedang dikembangkan. Pada saat yang sama, para spesialis mencoba mengoptimalkan biaya pelanggan untuk menerapkan langkah-langkah keamanan.
IBS DataFort menyediakan layanan untuk menyiapkan dokumentasi dan melindungi ISPD untuk mematuhi undang-undang federal tentang perlindungan data pribadi dan dapat membantu dalam mempersiapkan dan lulus sertifikasi (ISPD, GIS, AS).
Sertifikasi dilakukan oleh auditor independen yang dilisensikan oleh FSTEC dan FSB Rusia. Lulusnya sertifikasi tersebut menegaskan perlindungan yang andal terhadap data pribadi mitra dan klien perusahaan dari ancaman eksternal, dan kepatuhan komprehensif terhadap persyaratan peraturan. Penting bagi klien untuk menerima kenyamanan “toko serba ada”: semuanya disediakan oleh satu perusahaan - IBS DataFort.
Bagi operator data pribadi, hal ini berarti kesiapan untuk pemeriksaan oleh Roskomnadzor, FSTEC dan FSB, menghilangkan risiko pemblokiran sumber daya, dan tidak adanya tuntutan dan sanksi dari regulator.
Layanan ini relevan untuk banyak kategori pelanggan di segmen pemerintah dan korporasi dan mungkin diminati oleh operator data pribadi yang ingin menjadikan aktivitas mereka mematuhi hukum. Menempatkan IP di segmen tertutup dari infrastruktur penyedia, disertifikasi sesuai dengan semua standar dan persyaratan yang diperlukan, membebaskan pelanggan dari kebutuhan untuk mengatur semua pekerjaan secara mandiri.
Sumber: www.habr.com