La legge federale 152 "Sulla protezione dei dati personali" si applica a tutte le entità esistenti: persone fisiche e giuridiche, enti del governo federale e governi locali. In effetti, questa legge si applica a qualsiasi organizzazione che tratta informazioni e dati personali dei cittadini della Federazione Russa, indipendentemente dalla forma di proprietà e dalle dimensioni dell'organizzazione.
A volte un'organizzazione, in modo del tutto inaspettato per se stessa, può scoprire sistemi informativi inizialmente impliciti di dati personali (PD). Ad esempio, un'azienda è considerata gestore di dati personali se sul suo sito web sono presenti moduli di feedback, registrazione, autorizzazione e altre forme di raccolta dati attraverso le quali è possibile identificare il soggetto.
Il controllo e la supervisione relativi al rispetto dei requisiti della legge federale "Sui dati personali" sono effettuati dalle autorità di regolamentazione:
- Roskomnadzor per quanto riguarda la tutela dei diritti degli interessati;
- FSB russo per quanto riguarda il rispetto dei requisiti nel campo della crittografia;
- FSTEC della Russia in termini di conformità ai requisiti per la protezione delle informazioni da accessi non autorizzati e perdite attraverso canali tecnici.
Poiché la Legge Federale “Sui dati personali” costituisce solo la base per il supporto legale per la protezione dei dati personali, i suoi requisiti sono stati successivamente specificati negli atti del Governo della Federazione Russa e del Ministero delle Comunicazioni e in altri documenti normativi e metodologici di regolatori.
Autorità federali che regolano le attività nel campo del trattamento dei dati personali
- Roskomnadzor (Servizio Federale per la Vigilanza sulle Comunicazioni e le Comunicazioni di Massa) - esercita il controllo e la vigilanza sulla conformità dei trattamenti PD ai requisiti di legge.
- FSTEC della Russia (Servizio federale per il controllo tecnico e delle esportazioni) - stabilisce metodi e mezzi per proteggere le informazioni utilizzando mezzi tecnici.
- FSB della Russia (Servizio di sicurezza federale della Federazione Russa) - stabilisce metodi e mezzi per proteggere le informazioni nell'ambito dei suoi poteri (sfera di utilizzo dei mezzi crittografici di protezione delle informazioni)
Ogni organizzazione che tratta dati personali si trova ad affrontare il problema di rendere i propri sistemi informativi conformi ai requisiti legali. La protezione dei dati personali è una delle questioni più urgenti, non solo in Russia, ma anche in altri paesi.
Tipi di dati personali
Secondo la legge federale n. 152, i dati personali sono qualsiasi informazione relativa a una persona identificata o determinata sulla base di tali informazioni (oggetto dei dati personali). Ad esempio: nome completo, data e luogo di nascita, indirizzo, famiglia, stato sociale, stato patrimoniale, istruzione, ecc.
I dati personali sono suddivisi in diverse categorie:
speciale
Dati personali relativi a razza, nazionalità, opinioni politiche, convinzioni religiose o filosofiche, stato di salute, vita intima
biometrico
D.P., che caratterizzano le caratteristiche fisiologiche e biologiche di una persona, sulla base delle quali può essere stabilita la sua identità e che servono all’operatore per stabilire l’identità dell’interessato dei dati personali
altro
PD relativo ad un soggetto identificato o identificabile, direttamente o indirettamente, e non rientrante nelle categorie sopra indicate
Disponibile pubblicamente
PD ottenuti da fonti accessibili al pubblico in cui i dati sono stati pubblicati con il consenso scritto dell'oggetto dei dati personali
Il trattamento dei dati personali è qualsiasi azione (operazione) o insieme di azioni con dati personali utilizzando o senza strumenti di automazione, tra cui:
- collezione,
- registrazione,
- sistematizzazione,
- accumulo,
- magazzinaggio,
- chiarimenti (aggiornamento, modifica),
- estrazione,
- utilizzo,
- trasmissione (distribuzione, fornitura, accesso),
- depersonalizzazione,
- blocco,
- rimozione,
- distruzione dei dati personali.
Responsabilità per le violazioni
Secondo l'articolo 24 della legge federale n. 152, le persone sono responsabili di aver violato la legge in conformità con la legislazione della Federazione Russa.
Quando controllano una società, le autorità di regolamentazione sono guidate dalla legge federale 152 e da una serie di statuti. L'ispezione può essere programmata o non programmata, sulla base dei fatti relativi alle violazioni, nonché per monitorare gli ordini precedentemente emessi per eliminarle.
Le persone che violano le norme in materia di protezione dei dati personali possono essere esposte a responsabilità non solo civili e disciplinari, ma anche amministrative e persino penali.
Come soddisfare i requisiti della legge federale-152?
Pertanto, un'azienda o un'organizzazione che tratta dati personali o altre informazioni sensibili deve proteggere queste informazioni in conformità con la legge. Ciò non solo richiede competenze, conoscenze ed esperienza serie, ma è anche associato a difficoltà tecniche e costi considerevoli.
Secondo la definizione ufficiale approvata da FSTEC, “...La sicurezza dei dati personali è lo stato di sicurezza dei dati personali, caratterizzato dalla capacità degli utenti, dei mezzi tecnici e delle tecnologie informatiche di garantire la riservatezza, l'integrità e la disponibilità dei dati personali quando trattati in sistemi informativi di dati personali...”
Per soddisfare i requisiti organizzativi, legali e tecnici della legge federale 152, è necessario studiare da soli non solo la legge stessa, ma anche il suo statuto e capire esattamente quali misure devono essere adottate. Gli specialisti dell'outsourcing possono studiare i processi di trattamento dei dati personali in azienda, redigere i documenti necessari, implementare misure di sicurezza, ecc.
Un sistema completo di sicurezza delle informazioni comprende:
- Strumenti di prevenzione delle intrusioni (IDS).
- Firewall (FW).
- Protezione contro malware.
- Sistema per il monitoraggio e la registrazione degli eventi di sicurezza.
- Sistema di protezione crittografica dei canali di comunicazione (crittografia).
- Mezzi di protezione dell'ambiente virtuale, sistema di protezione contro gli accessi non autorizzati (ATP), identificazione e controllo degli accessi.
- Sistema di analisi della sicurezza/rilevamento delle vulnerabilità, ecc.
Inoltre, una sicurezza informatica completa implica non solo misure tecniche, ma anche organizzative.
Cloud FZ-152: caratteristiche di implementazione
Numerosi fornitori russi forniscono servizi per la fornitura di infrastrutture cloud per l'hosting di sistemi informativi in conformità con i requisiti della legislazione federale relativa ai dati personali. Quando i sistemi del cliente sono ospitati nel cloud, il fornitore si fa carico di molte questioni relative alla sicurezza delle informazioni, comprese quelle relative alla protezione dei dati personali. Durante la migrazione al cloud, l'infrastruttura IT verrà protetta e ciò rimuoverà alcune responsabilità dal cliente. Il fornitore soddisfa ad esempio i requisiti della legge federale 152 sulla protezione dell'ambiente di virtualizzazione.
I fornitori possono anche fornire ai clienti il supporto di esperti nella risoluzione del problema della protezione dei dati: determinare il livello di sicurezza richiesto e, in conformità con questo, offrire un'opzione di implementazione; sviluppare la documentazione per soddisfare i requisiti della legislazione della Federazione Russa.
Un cloud sicuro aiuterà a ottimizzare i costi di un'organizzazione riducendo i costi di creazione e manutenzione dell'infrastruttura IT e di un sistema di sicurezza delle informazioni interno. In genere, esperti qualificati forniscono supporto tecnico completo e supporto, inclusa la consulenza e lo sviluppo di un pacchetto di documenti per la certificazione da parte delle autorità di regolamentazione, e la piattaforma di fornitura del servizio soddisfa rigorosi standard tecnici e soddisfa i requisiti organizzativi necessari. I clienti possono usufruire di servizi per la predisposizione della documentazione necessaria e la tutela dell'ISPD a livello applicativo e di sistema operativo.
Vengono inoltre forniti processi di gestione del rischio e della vulnerabilità, indagini sugli incidenti, audit di sicurezza interni ed esterni, nonché monitoraggio e test regolari della rete, dei sistemi e dei processi di sicurezza delle informazioni. Specialisti qualificati forniscono supporto all'infrastruttura IT XNUMX ore su XNUMX, XNUMX giorni su XNUMX.
Nel loro insieme, queste misure garantiscono il rispetto delle leggi federali in materia di protezione dei dati personali.
Piattaforma certificata
IBS DataFort fornisce tale servizio basato su . Tutte le parti tecniche, gli strumenti di amministrazione e virtualizzazione di questa piattaforma sono conformi alle norme e ai requisiti della Legge Federale-152.
Architettura del cloud sicuro IBS DataFort.
La piattaforma fornisce protezione garantita ISPD (fino al 1° livello di sicurezza incluso), GIS (fino alla 1a classe di sicurezza inclusa) e archiviazione sicura dei dati nel data center Tier III. La piattaforma utilizza firewall certificati, strumenti di rilevamento e prevenzione delle intrusioni (IDS/IPS), crittografia dei canali di comunicazione (GOST VPN), protezione antivirus, protezione contro accessi non autorizzati, protezione dell'ambiente di virtualizzazione, nonché strumenti di scansione delle vulnerabilità.
è anche una soluzione adatta per coloro che hanno elevati requisiti di riservatezza e protezione dei dati, desiderano rafforzare la propria reputazione aziendale o ottenere un vantaggio competitivo come un elevato livello comprovato di sicurezza delle informazioni.
Come "spostarsi" su una nuvola del genere? È possibile una “migrazione senza soluzione di continuità”? Abbastanza. Ad esempio, IBS DataFort trasferisce in modo sicuro l'ISPD sul suo cloud protetto, riducendo al minimo i tempi di inattività e l'impatto sui processi aziendali dell'azienda (anche da siti esteri).
Rendere l'infrastruttura IT conforme alla legge federale-152
Il processo di adeguamento dell’infrastruttura IT del cliente ai requisiti della legge federale 152 inizia con un audit e una valutazione dell’attuale livello di sicurezza.
Un audit dell’infrastruttura IT del cliente comprende un esame del trattamento e della protezione dei dati personali e un esame del sistema informativo del cliente. Viene redatto un rapporto di indagine con la descrizione dettagliata dei processi di lavorazione PD dal punto di vista tecnico.
Il lavoro comprende anche la modellizzazione delle minacce e degli intrusi e la stesura di un rapporto sulla determinazione del livello di sicurezza per l'ISPD. Sulla base dei risultati dell'audit viene redatta una specifica tecnica privata del sistema di protezione ISPD che definisce i requisiti del sistema progettato.
È in fase di sviluppo una serie di politiche, istruzioni, regolamenti e altri documenti per la protezione dei dati personali. Allo stesso tempo, gli specialisti cercano di ottimizzare i costi del cliente per l’implementazione delle misure di sicurezza.
IBS DataFort fornisce servizi per la preparazione della documentazione e la protezione dell'ISPD per conformarsi alla legislazione federale sulla protezione dei dati personali e può aiutare nella preparazione e nel superamento della certificazione (ISPD, GIS, AS).
La certificazione viene effettuata da revisori indipendenti autorizzati da FSTEC e FSB della Russia. Il superamento di tale certificazione conferma la protezione affidabile dei dati personali dei partner e dei clienti dell’azienda da minacce esterne e il rispetto completo dei requisiti normativi. È importante che i clienti ricevano la comodità di uno “sportello unico”: tutto è fornito da un'unica società: IBS DataFort.
Per l’operatore dei dati personali ciò significa essere pronti alle ispezioni da parte di Roskomnadzor, FSTEC e FSB, eliminando il rischio di bloccare le risorse e l’assenza di reclami e sanzioni da parte dell’autorità di regolamentazione.
Questo servizio è rilevante per molte categorie di clienti nel segmento governativo e aziendale e può essere richiesto dagli operatori di dati personali che desiderano conformare le proprie attività alla legge. Posizionare l'IP in un segmento chiuso dell'infrastruttura del fornitore, certificato secondo tutti gli standard e requisiti necessari, solleva il cliente dalla necessità di organizzare autonomamente tutto il lavoro.
Fonte: habr.com