Federālais likums Nr. 152 "Par personas datu aizsardzību" attiecas uz visām esošajām struktūrām: fiziskām un juridiskām personām, federālajām valdības iestādēm un pašvaldībām. Faktiski šis likums attiecas uz jebkuru organizāciju, kas apstrādā Krievijas pilsoņu informāciju un personas datus neatkarīgi no tās īpašumtiesību formas vai lieluma.
Dažreiz organizācija var negaidīti atklāt sākotnēji slēptas personas datu (PD) informācijas sistēmas. Piemēram, uzņēmums tiek uzskatīts par personas datu operatoru, ja tā tīmekļa vietnē ir atsauksmju veidlapas, reģistrācijas/autorizācijas veidlapas un citas datu vākšanas veidlapas, kuras var izmantot subjekta identificēšanai.
Federālā likuma "Par personas datiem" prasību ievērošanas kontroli un uzraudzību veic regulatori:
- Roskomnadzor personas datu subjektu tiesību aizsardzības ziņā;
- Krievijas FSB attiecībā uz prasību izpildi kriptogrāfijas jomā;
- Krievijas FSTEC par atbilstību prasībām informācijas aizsardzībai pret nesankcionētu piekļuvi un noplūdi, izmantojot tehniskos kanālus.
Tā kā Federālais likums "Par personas datiem" ir tikai pamats personas datu juridiskajai aizsardzībai, tā prasības vēlāk tika precizētas Krievijas Federācijas valdības un Satiksmes ministrijas aktos un citos regulatoru normatīvajos dokumentos.
Federālās iestādes, kas regulē darbības personas datu apstrādes jomā
- Roskomnadzor (Federālais sakaru, informācijas tehnoloģiju un masu mediju uzraudzības dienests) — uzrauga un kontrolē personas datu apstrādes atbilstību tiesību aktu prasībām.
- Krievijas FSTEC (Federālais tehniskās un eksporta kontroles dienests) — nosaka metodes un līdzekļus informācijas aizsardzībai, izmantojot tehniskos līdzekļus.
- Krievijas FSB (Krievijas Federācijas Federālais drošības dienests) - nosaka informācijas aizsardzības metodes un līdzekļus savas kompetences robežās (kriptogrāfisko informācijas aizsardzības līdzekļu izmantošanas joma)
Katra organizācija, kas apstrādā personas datus, saskaras ar izaicinājumu nodrošināt savu informācijas sistēmu atbilstību tiesību aktu prasībām. Personas datu aizsardzība ir viens no aktuālākajiem jautājumiem ne tikai Krievijā, bet arī citās valstīs.
Personas datu veidi
Saskaņā ar Federālo likumu 152 personas dati ir jebkura informācija, kas attiecas uz fizisku personu (personas datu subjektu), kas ir identificēta vai identificējama, pamatojoties uz šādu informāciju. Piemēram: pilns vārds, dzimšanas datums un vieta, adrese, ģimenes, sociālais un finansiālais stāvoklis, izglītība utt.
Personas dati ir iedalīti vairākās kategorijās:
īpašs
Personas dati par rasi, tautību, politiskajiem uzskatiem, reliģisko vai filozofisko pārliecību, veselības stāvokli, intīmo dzīvi
Biometriskais
PDn, kas raksturo personas fizioloģiskās un bioloģiskās īpašības, uz kuru pamata var noteikt viņa identitāti, un kurus operators izmanto, lai noteiktu personas datu subjekta identitāti
Cits
Personas dati, kas tieši vai netieši attiecas uz konkrētu vai nosakāmu fizisku personu un nav saistīti ar iepriekš minētajām kategorijām
Publiski pieejams
PDn iegūts no publiski pieejamiem avotiem, kuros dati tika publicēti ar personas datu subjekta rakstisku piekrišanu
Personas datu apstrāde ir jebkura darbība (operācija) vai darbību kopums ar personas datiem, izmantojot vai neizmantojot automatizācijas rīkus, tostarp:
- kolekcija,
- ieraksts,
- sistematizācija,
- uzkrāšanās,
- uzglabāšana,
- precizējums (atjauninājums, izmaiņas),
- ekstrakcija,
- lietošana,
- pārsūtīšana (izplatīšana, nodrošināšana, piekļuve),
- depersonalizācija,
- bloķēšana,
- noņemšana,
- personas datu iznīcināšana.
Atbildība par pārkāpumiem
Saskaņā ar Federālā likuma 152 24. pantu personas par likuma pārkāpšanu ir atbildīgas saskaņā ar Krievijas Federācijas tiesību aktiem.
Veicot uzņēmuma pārbaudi, regulatori vadās pēc Federālā likuma Nr. 152 un vairākiem statūtiem. Pārbaudes var būt gan plānotas, gan neplānotas — vai nu pamatojoties uz pārkāpumiem, vai arī lai izpildītu iepriekš izdotu rīkojumu to novēršanai.
Personām, kas pārkāpj personas datu aizsardzības prasības, var draudēt ne tikai civiltiesiskā un disciplinārā atbildība, bet arī administratīvā un pat kriminālatbildība.
Kā ievērot federālā likuma 152 prasības?
Tāpēc uzņēmumam vai organizācijai, kas apstrādā personas datus vai citu sensitīvu informāciju, šī informācija ir jāaizsargā saskaņā ar likumu. Tas ne tikai prasa ievērojamas zināšanas, pieredzi un kompetenci, bet ir saistīts arī ar tehniskām sarežģītībām un ievērojamām izmaksām.
Saskaņā ar Federālā tehniskās un eksporta kontroles dienesta (FSTEC) apstiprināto oficiālo definīciju "...Personas datu drošība ir personas datu aizsardzības stāvoklis, ko raksturo lietotāju, tehnisko līdzekļu un informācijas tehnoloģiju spēja nodrošināt personas datu konfidencialitāti, integritāti un pieejamību, tos apstrādājot personas datu informācijas sistēmās..."
Lai patstāvīgi ievērotu Federālā likuma Nr. 152 organizatoriskās, juridiskās un tehniskās prasības, jums ir jāizpēta ne tikai pats likums, bet arī tā statūti un jāsaprot konkrētie pasākumi, kas jāveic. Ārpakalpojumu speciālisti var izpētīt uzņēmuma personas datu apstrādes procesus, sagatavot nepieciešamos dokumentus, ieviest drošības pasākumus un veikt citas darbības.
Visaptverošā informācijas drošības sistēma ietver:
- Ielaušanās novēršanas sistēmas (IDS).
- Ugunsmūris (programmatūra).
- Aizsardzība pret ļaunprogrammatūru.
- Drošības pasākumu uzraudzības un ierakstīšanas sistēma.
- Komunikāciju kanālu kriptogrāfiskās aizsardzības sistēma (šifrēšana).
- Virtuālās vides aizsardzības līdzekļi, aizsardzības sistēma pret nesankcionētu piekļuvi (UAP), identifikācija un piekļuves kontrole.
- Drošības analīzes/ievainojamību noteikšanas sistēma utt.
Turklāt visaptveroša informācijas drošība ietver ne tikai tehniskus, bet arī organizatoriskus pasākumus.
Mākonis FZ-152: ieviešanas funkcijas
Vairāki Krievijas pakalpojumu sniedzēji piedāvā mākoņinfrastruktūras pakalpojumus informācijas sistēmu mitināšanai saskaņā ar federālajiem tiesību aktiem par personas datu aizsardzību. Mitinot klienta sistēmas mākonī, pakalpojumu sniedzējs uzņemas daudzus informācijas drošības jautājumus, tostarp tos, kas saistīti ar personas datu aizsardzību. Mākoņa migrācijas laikā pakalpojumu sniedzējs nodrošinās IT infrastruktūras aizsardzību, tādējādi atbrīvojot klientu no dažām atbildībām. Piemēram, pakalpojumu sniedzējs ievēro Federālā likuma Nr. 152 prasības attiecībā uz virtualizācijas vides aizsardzību.
Pakalpojumu sniedzēji var sniegt klientiem arī ekspertu atbalstu datu drošības problēmu risināšanā: nosakot nepieciešamo drošības līmeni un attiecīgi piedāvājot ieviešanas iespējas; un izstrādājot dokumentāciju, lai atbilstu Krievijas tiesību aktu prasībām.
Drošs mākonis var palīdzēt optimizēt organizācijas izmaksas, samazinot IT infrastruktūras un iekšējās informācijas drošības sistēmas izveides un uzturēšanas izmaksas. Kvalificēti eksperti parasti sniedz visaptverošu tehnisko atbalstu un palīdzību, tostarp konsultācijas un dokumentācijas izstrādi normatīvo aktu apstiprināšanai, savukārt pakalpojumu platforma atbilst stingriem tehniskajiem standartiem un visām organizācijas prasībām. Klienti var izmantot pakalpojumus nepieciešamās dokumentācijas sagatavošanai un personas datu informācijas sistēmu aizsardzībai lietojumprogrammu un operētājsistēmu līmenī.
Ir iekļauti arī risku un ievainojamību pārvaldības procesi, incidentu izmeklēšana, iekšējās un ārējās drošības auditi, kā arī regulāra tīkla, sistēmu un informācijas drošības procesu uzraudzība un testēšana. Kvalificēti speciālisti nodrošina IT infrastruktūras atbalstu visu diennakti.
Kopā šie pasākumi nodrošina atbilstību federālajiem tiesību aktiem par personas datu aizsardzību.
Sertificēta platforma
IBS DataFort nodrošina šādu pakalpojumu, kura pamatā ir Visi šīs platformas tehniskie komponenti, administrēšanas un virtualizācijas rīki atbilst Federālā likuma Nr. 152 standartiem un prasībām.
Drošā mākoņa IBS DataFort arhitektūra.
Platforma nodrošina garantētu aizsardzību personas datu sistēmām (līdz 1. drošības līmenim), ģeogrāfiskās informācijas sistēmām (līdz 1. drošības klasei) un drošai datu glabāšanai III līmeņa datu centros. Platforma izmanto sertificētus ugunsmūrus, ielaušanās atklāšanas un novēršanas sistēmas (IDS/IPS), šifrētus saziņas kanālus (GOST VPN), pretvīrusu aizsardzību, ielaušanās novēršanu, virtualizācijas vides aizsardzību un ievainojamību skenēšanu.
— ir arī piemērots risinājums tiem, kam ir augstas prasības attiecībā uz privātumu un datu aizsardzību, kuri vēlas stiprināt savu biznesa reputāciju vai iegūt konkurences priekšrocības, piemēram, pierādīti augstu informācijas drošības līmeni.
Kā jūs "pārejat" uz šādu mākoni? Vai ir iespējama "vienkārša migrācija"? Noteikti. Piemēram, IBS DataFort droši migrē personas datu informācijas sistēmas uz savu drošo mākoni, samazinot dīkstāves laiku un ietekmi uz uzņēmuma biznesa procesiem (tostarp no starptautiskām vietnēm).
IT infrastruktūras saskaņošana ar Federālo likumu Nr. 152
Klienta IT infrastruktūras atbilstības nodrošināšana Federālā likuma 152 prasībām sākas ar auditu un pašreizējā drošības līmeņa novērtējumu.
Klienta IT infrastruktūras audits ietver personas datu apstrādes un aizsardzības procesu pārbaudi un klienta personas datu informācijas sistēmas (ISPD) pārbaudi. Tiek sagatavots pārbaudes ziņojums ar detalizētu personas datu apstrādes procesu aprakstu no tehniskā viedokļa.
Darbs ietver arī apdraudējumu un iebrucēju modelēšanu un personas datu informācijas sistēmas (PDIS) drošības novērtējuma ziņojuma sagatavošanu. Pamatojoties uz audita rezultātiem, tiek izstrādāta īpaša personas datu informācijas sistēmas (PDIS) drošības sistēmas tehniskā specifikācija, kurā definētas prasības projektējamajai sistēmai.
Tiek izstrādāts personas datu aizsardzības politiku, instrukciju, noteikumu un citu dokumentu kopums. Vienlaikus speciālisti cenšas optimizēt klienta izmaksas drošības pasākumu ieviešanai.
IBS DataFort sniedz pakalpojumus dokumentācijas sagatavošanai un personas datu informācijas sistēmu (ISPD) aizsardzībai, lai nodrošinātu atbilstību federālajiem tiesību aktiem par personas datu aizsardzību, un var palīdzēt sagatavoties sertifikācijai (ISPD, GIS, AS) un tās nokārtošanā.
Sertifikāciju veic neatkarīgi auditori, kuriem ir Federālā tehniskās un eksporta kontroles dienesta (FSTEC) un Federālā drošības dienesta (FSB) licence. Šīs sertifikācijas iegūšana apliecina uzņēmuma partneru un klientu personas datu uzticamu aizsardzību pret ārējiem draudiem un pilnīgu atbilstību normatīvo aktu prasībām. Svarīgi ir tas, ka klienti gūst labumu no vienas "vienas pieturas" ērtības: visu pārvalda viens uzņēmums — IBS DataFort.
Personas datu operatoriem tas nozīmē gatavību Roskomnadzor, Federālā tehniskās un eksporta kontroles dienesta (FSTEC) un Federālā drošības dienesta (FSB) pārbaudēm, novēršot resursu bloķēšanas risku un izvairoties no normatīvo aktu prasībām un sankcijām.
Šis pakalpojums ir aktuāls daudzām valdības un korporatīvo klientu kategorijām, un to var pieprasīt personas datu operatori, kas vēlas saskaņot savu darbību ar likumu. Informācijas sistēmas izvietošana slēgtā pakalpojumu sniedzēja infrastruktūras segmentā, kas ir sertificēts atbilstoši visiem nepieciešamajiem standartiem un prasībām, novērš nepieciešamību klientam patstāvīgi organizēt visu darbu.
Avots: www.habr.com
