Undang-undang Persekutuan-152 "Mengenai Perlindungan Data Peribadi" terpakai kepada semua entiti sedia ada: individu dan entiti undang-undang, badan kerajaan persekutuan dan kerajaan tempatan. Malah, undang-undang ini terpakai kepada mana-mana organisasi yang memproses maklumat dan data peribadi warganegara Persekutuan Rusia, tanpa mengira bentuk pemilikan dan saiz organisasi.
Kadangkala sesebuah organisasi, secara tidak dijangka untuk dirinya sendiri, boleh menemui sistem maklumat tersirat data peribadi (PD). Sebagai contoh, syarikat dianggap sebagai pengendali data peribadi jika tapak webnya mempunyai borang maklum balas, pendaftaran, kebenaran dan lain-lain bentuk pengumpulan data yang mana subjek boleh dikenal pasti.
Kawalan dan pengawasan berkenaan pematuhan dengan keperluan undang-undang persekutuan "Mengenai Data Peribadi" dijalankan oleh pengawal selia:
- Roskomnadzor mengenai perlindungan hak subjek data peribadi;
- FSB Rusia mengenai pematuhan keperluan dalam bidang kriptografi;
- FSTEC Rusia dari segi pematuhan dengan keperluan untuk melindungi maklumat daripada akses dan kebocoran yang tidak dibenarkan melalui saluran teknikal.
Oleh kerana Undang-undang Persekutuan "Mengenai Data Peribadi" hanyalah asas untuk sokongan undang-undang untuk perlindungan data peribadi, keperluannya kemudiannya dinyatakan dalam tindakan Kerajaan Persekutuan Rusia dan Kementerian Komunikasi, dan dokumen peraturan dan metodologi lain bagi pengawal selia.
Pihak berkuasa persekutuan mengawal selia aktiviti dalam bidang pemprosesan data peribadi
- Roskomnadzor (Perkhidmatan Persekutuan untuk Penyeliaan Komunikasi dan Komunikasi Massa) - menjalankan kawalan dan penyeliaan ke atas pematuhan pemprosesan PD dengan keperluan undang-undang.
- FSTEC Rusia (Perkhidmatan Persekutuan untuk Kawalan Teknikal dan Eksport) - menetapkan kaedah dan cara untuk melindungi maklumat menggunakan cara teknikal.
- FSB Rusia (Perkhidmatan Keselamatan Persekutuan Persekutuan Rusia) - menetapkan kaedah dan cara untuk melindungi maklumat dalam kuasanya (sfera penggunaan cara perlindungan maklumat kriptografi)
Setiap organisasi yang memproses data peribadi menghadapi masalah membawa sistem maklumatnya mematuhi keperluan undang-undang. Perlindungan data peribadi adalah salah satu isu yang paling mendesak, bukan sahaja di Rusia, tetapi juga di negara lain.
Jenis data peribadi
Menurut Undang-undang Persekutuan No. 152, data peribadi ialah sebarang maklumat yang berkaitan dengan individu yang dikenal pasti atau ditentukan berdasarkan maklumat tersebut (subjek data peribadi). Contohnya: nama penuh, tarikh dan tempat lahir, alamat, keluarga, sosial, status harta, pendidikan, dsb.
Data peribadi dibahagikan kepada beberapa kategori:
Khas
Data peribadi yang berkaitan dengan kaum, kewarganegaraan, pandangan politik, kepercayaan agama atau falsafah, status kesihatan, kehidupan intim
Biometrik
PD, yang mencirikan ciri fisiologi dan biologi seseorang, berdasarkan identitinya boleh ditubuhkan dan yang digunakan oleh pengendali untuk mewujudkan identiti subjek data peribadi
Lain-lain
PD yang berkaitan dengan individu yang dikenal pasti secara langsung atau tidak langsung atau boleh dikenal pasti dan tidak termasuk dalam kategori di atas
Terdapat untuk umum
PD diperoleh daripada sumber yang tersedia secara umum di mana data itu diterbitkan dengan kebenaran bertulis subjek data peribadi
Pemprosesan data peribadi ialah sebarang tindakan (operasi) atau set tindakan dengan data peribadi menggunakan atau tanpa alat automasi, termasuk:
- koleksi,
- rakaman,
- sistematisasi,
- pengumpulan,
- penyimpanan,
- penjelasan (kemas kini, perubahan),
- pengekstrakan,
- penggunaan,
- penghantaran (pengedaran, peruntukan, akses),
- depersonalisasi,
- menyekat,
- penyingkiran,
- pemusnahan data peribadi.
Tanggungjawab terhadap pelanggaran
Menurut Perkara 24 Undang-undang Persekutuan No. 152, orang bertanggungjawab untuk melanggar undang-undang mengikut undang-undang Persekutuan Rusia.
Semasa menyemak syarikat, pengawal selia dipandu oleh Undang-undang Persekutuan-152 dan beberapa undang-undang kecil. Pemeriksaan boleh sama ada berjadual atau tidak berjadual - berdasarkan fakta pelanggaran, serta untuk memantau perintah yang dikeluarkan sebelum ini untuk menghapuskannya.
Orang yang melanggar keperluan untuk perlindungan data peribadi mungkin menghadapi bukan sahaja sivil dan tatatertib, tetapi juga liabiliti pentadbiran dan juga jenayah.
Bagaimana untuk mematuhi keperluan Undang-undang Persekutuan-152?
Jadi, syarikat atau organisasi yang memproses data peribadi atau maklumat sensitif lain mesti melindungi maklumat ini mengikut undang-undang. Ini bukan sahaja memerlukan kepakaran, pengetahuan dan pengalaman yang serius, tetapi juga dikaitkan dengan kesukaran teknikal dan kos yang besar.
Menurut definisi rasmi yang diluluskan oleh FSTEC, “...Keselamatan data peribadi ialah keadaan keselamatan data peribadi, dicirikan oleh keupayaan pengguna, cara teknikal dan teknologi maklumat untuk memastikan kerahsiaan, integriti dan ketersediaan data peribadi apabila diproses dalam sistem maklumat data peribadi...”
Untuk memenuhi keperluan organisasi, undang-undang dan teknikal Undang-undang Persekutuan 152, anda perlu mengkaji bukan sahaja undang-undang itu sendiri, tetapi juga undang-undang kecilnya, dan memikirkan dengan tepat langkah-langkah yang perlu diambil. Pakar penyumberan luar boleh mengkaji proses pemprosesan data peribadi dalam syarikat, merangka dokumen yang diperlukan, melaksanakan langkah keselamatan, dsb.
Sistem keselamatan maklumat yang komprehensif termasuk:
- Alat Pencegahan Pencerobohan (IDS).
- Firewall (FW).
- Perlindungan terhadap perisian hasad.
- Sistem untuk memantau dan merekod peristiwa keselamatan.
- Sistem perlindungan kriptografi saluran komunikasi (penyulitan).
- Cara melindungi persekitaran maya, sistem perlindungan terhadap akses tanpa kebenaran (ATP), pengenalan dan kawalan akses.
- Analisis keselamatan/sistem pengesanan kelemahan, dsb.
Di samping itu, keselamatan maklumat yang komprehensif bukan sahaja melibatkan teknikal, tetapi juga langkah-langkah organisasi.
Cloud FZ-152: ciri pelaksanaan
Sebilangan penyedia Rusia menyediakan perkhidmatan untuk penyediaan infrastruktur awan untuk mengehos sistem maklumat mengikut keperluan perundangan persekutuan mengenai data peribadi. Apabila sistem pelanggan dihoskan dalam awan, pembekal mengambil banyak isu keselamatan maklumat, termasuk yang berkaitan dengan perlindungan data peribadi. Apabila berhijrah ke awan, ia akan melindungi infrastruktur IT, dan ini akan mengalih keluar beberapa tanggungjawab daripada pelanggan. Sebagai contoh, pembekal memenuhi keperluan Undang-undang Persekutuan 152 mengenai perlindungan persekitaran virtualisasi.
Pembekal juga boleh menyediakan pelanggan dengan sokongan pakar dalam menyelesaikan masalah perlindungan data: menentukan tahap keselamatan yang diperlukan dan, selaras dengan ini, menawarkan pilihan pelaksanaan; membangunkan dokumentasi untuk mematuhi keperluan perundangan Persekutuan Rusia.
Awan yang selamat akan membantu mengoptimumkan kos organisasi dengan mengurangkan kos mencipta dan menyelenggara infrastruktur IT dan sistem keselamatan maklumat dalaman. Lazimnya, pakar yang berkelayakan menyediakan sokongan dan sokongan teknikal yang komprehensif, termasuk perundingan dan pembangunan pakej dokumen untuk pensijilan oleh pihak berkuasa kawal selia, dan platform penyampaian perkhidmatan memenuhi piawaian teknikal yang ketat dan memenuhi keperluan organisasi yang diperlukan. Pelanggan boleh memanfaatkan perkhidmatan untuk menyediakan dokumentasi yang diperlukan dan melindungi ISPD di peringkat aplikasi dan sistem pengendalian.
Proses pengurusan risiko dan kelemahan, penyiasatan insiden, audit keselamatan dalaman dan luaran, serta pemantauan dan ujian tetap rangkaian, sistem dan proses keselamatan maklumat juga disediakan. Pakar yang berkelayakan menyediakan sokongan infrastruktur IT XNUMX/XNUMX.
Diambil bersama, langkah-langkah ini memastikan pematuhan undang-undang persekutuan mengenai perlindungan data peribadi.
Platform yang diperakui
IBS DataFort menyediakan perkhidmatan sedemikian berdasarkan . Semua bahagian teknikal, alat pentadbiran dan virtualisasi platform ini mematuhi norma dan keperluan Undang-undang Persekutuan-152.
Seni bina awan selamat IBS DataFort.
Platform ini menyediakan perlindungan terjamin bagi ISPD (sehingga termasuk tahap keselamatan pertama), GIS (sehingga dan termasuk kelas keselamatan pertama) dan storan data selamat dalam pusat data Tahap III. Platform ini menggunakan tembok api yang diperakui, alat pengesanan dan pencegahan pencerobohan (IDS/IPS), penyulitan saluran komunikasi (GOST VPN), perlindungan anti-virus, perlindungan terhadap akses tanpa kebenaran, perlindungan persekitaran virtualisasi, serta alat pengimbasan kerentanan.
juga merupakan penyelesaian yang sesuai untuk mereka yang mempunyai keperluan tinggi untuk kerahsiaan dan perlindungan data, ingin mengukuhkan reputasi perniagaan mereka atau memperoleh kelebihan daya saing seperti tahap keselamatan maklumat yang terbukti tinggi.
Bagaimana untuk "bergerak" ke awan sedemikian? Adakah "penghijrahan lancar" mungkin? cukup. Contohnya, IBS DataFort memindahkan ISPD ke awan selamatnya dengan selamat, meminimumkan masa henti dan kesan ke atas proses perniagaan syarikat (termasuk dari tapak asing).
Membawa infrastruktur IT mematuhi Undang-undang Persekutuan-152
Proses membawa infrastruktur IT pelanggan mematuhi keperluan Undang-undang Persekutuan-152 bermula dengan audit dan penilaian tahap keselamatan semasa.
Audit terhadap infrastruktur IT pelanggan termasuk pemeriksaan pemprosesan dan perlindungan data peribadi dan pemeriksaan sistem maklumat pelanggan. Laporan tinjauan disediakan dengan penerangan terperinci tentang proses pemprosesan PD dari sudut pandangan teknikal.
Kerja ini juga termasuk memodelkan ancaman dan penceroboh dan merangka laporan tentang menentukan tahap keselamatan untuk ISPD. Berdasarkan keputusan audit, spesifikasi teknikal persendirian untuk sistem perlindungan ISPD disediakan dan mentakrifkan keperluan untuk sistem yang direka bentuk.
Satu set dasar, arahan, peraturan dan dokumen lain untuk perlindungan data peribadi sedang dibangunkan. Pada masa yang sama, pakar cuba mengoptimumkan kos pelanggan untuk melaksanakan langkah keselamatan.
IBS DataFort menyediakan perkhidmatan untuk penyediaan dokumentasi dan perlindungan ISPD untuk mematuhi undang-undang persekutuan mengenai perlindungan data peribadi dan boleh membantu dalam menyediakan dan lulus pensijilan (ISPD, GIS, AS).
Pensijilan dijalankan oleh juruaudit bebas yang dilesenkan oleh FSTEC dan FSB Rusia. Lulus pensijilan sedemikian mengesahkan perlindungan yang boleh dipercayai bagi data peribadi rakan kongsi dan pelanggan syarikat daripada ancaman luar, dan pematuhan menyeluruh terhadap keperluan kawal selia. Adalah penting bahawa pelanggan menerima kemudahan "kedai sehenti": semuanya disediakan oleh satu syarikat - IBS DataFort.
Bagi pengendali data peribadi, ini bermakna kesediaan untuk pemeriksaan oleh Roskomnadzor, FSTEC dan FSB, menghapuskan risiko menyekat sumber, dan ketiadaan tuntutan dan sekatan daripada pengawal selia.
Perkhidmatan ini relevan untuk banyak kategori pelanggan dalam segmen kerajaan dan korporat dan mungkin diminta oleh pengendali data peribadi yang ingin membawa aktiviti mereka mematuhi undang-undang. Meletakkan IP dalam segmen tertutup infrastruktur penyedia, yang diperakui mengikut semua piawaian dan keperluan yang diperlukan, melegakan pelanggan daripada keperluan untuk mengatur semua kerja secara bebas.
Sumber: www.habr.com