Federale wet-152 “Betreffende de bescherming van persoonsgegevens” is van toepassing op alle bestaande entiteiten: individuen en rechtspersonen, federale overheidsinstanties en lokale overheden. In feite is deze wet van toepassing op elke organisatie die informatie en persoonlijke gegevens van burgers van de Russische Federatie verwerkt, ongeacht de eigendomsvorm en de omvang van de organisatie.
Soms kan een organisatie, geheel onverwacht voor zichzelf, aanvankelijk impliciete informatiesystemen van persoonsgegevens (PD) ontdekken. Een bedrijf wordt bijvoorbeeld als exploitant van persoonsgegevens beschouwd als de website over feedbackformulieren, registratie-, autorisatie- en andere vormen van gegevensverzameling beschikt waarmee het onderwerp kan worden geïdentificeerd.
Controle en toezicht met betrekking tot de naleving van de vereisten van de federale wet “Betreffende Persoonsgegevens” wordt uitgevoerd door toezichthouders:
- Roskomnadzor met betrekking tot de bescherming van de rechten van betrokkenen;
- FSB van Rusland met betrekking tot de naleving van vereisten op het gebied van cryptografie;
- FSTEC van Rusland in termen van naleving van vereisten voor het beschermen van informatie tegen ongeoorloofde toegang en lekkage via technische kanalen.
Aangezien de Federale Wet “Betreffende Persoonsgegevens” slechts de basis vormt voor juridische ondersteuning voor de bescherming van persoonsgegevens, werden de vereisten ervan vervolgens gespecificeerd in besluiten van de regering van de Russische Federatie en het Ministerie van Communicatie, en andere regelgevende en methodologische documenten van toezichthouders.
Federale autoriteiten die activiteiten op het gebied van de verwerking van persoonsgegevens reguleren
- Roskomnadzor (Federale Dienst voor Toezicht op Communicatie en Massacommunicatie) - oefent controle en toezicht uit op de naleving van de wettelijke vereisten bij de PD-verwerking.
- FSTEC van Rusland (Federale Dienst voor Technische en Exportcontrole) - stelt methoden en middelen vast voor het beschermen van informatie met behulp van technische middelen.
- FSB van Rusland (Federale Veiligheidsdienst van de Russische Federatie) - stelt methoden en middelen vast voor het beschermen van informatie binnen zijn bevoegdheden (gebruikssfeer van cryptografische middelen voor informatiebescherming)
Elke organisatie die persoonsgegevens verwerkt, wordt geconfronteerd met het probleem om haar informatiesystemen in overeenstemming te brengen met de wettelijke vereisten. De bescherming van persoonsgegevens is een van de meest urgente kwesties, niet alleen in Rusland, maar ook in andere landen.
Soorten persoonlijke gegevens
Volgens federale wet nr. 152 zijn persoonlijke gegevens alle informatie met betrekking tot een persoon die wordt geïdentificeerd of bepaald op basis van dergelijke informatie (onderwerp van persoonlijke gegevens). Bijvoorbeeld: volledige naam, geboortedatum en -plaats, adres, familie, sociaal, vermogensstatus, opleiding, enz.
Persoonsgegevens zijn onderverdeeld in verschillende categorieën:
speciaal
Persoonsgegevens met betrekking tot ras, nationaliteit, politieke opvattingen, religieuze of filosofische overtuigingen, gezondheidsstatus, intiem leven
Biometrisch
PD, die de fysiologische en biologische kenmerken van een persoon karakteriseren, op basis waarvan zijn identiteit kan worden vastgesteld en die door de exploitant worden gebruikt om de identiteit van het onderwerp van persoonsgegevens vast te stellen
anders
PD die betrekking heeft op een direct of indirect geïdentificeerde of identificeerbare persoon en die niet in de bovenstaande categorieën valt
Publiekelijk verkrijgbaar
PD verkregen uit openbaar beschikbare bronnen waarin de gegevens zijn gepubliceerd met schriftelijke toestemming van de persoon waarop de persoonsgegevens betrekking hebben
Verwerking van persoonlijke gegevens is elke actie (bewerking) of reeks acties met persoonlijke gegevens, met of zonder automatiseringstools, waaronder:
- verzameling,
- opnemen,
- systematisering,
- accumulatie,
- opslag,
- verduidelijking (update, wijziging),
- extractie,
- gebruik,
- transmissie (distributie, levering, toegang),
- depersonalisatie,
- blokkeren,
- verwijdering,
- vernietiging van persoonsgegevens.
Verantwoordelijkheid voor overtredingen
Volgens artikel 24 van federale wet nr. 152 zijn personen verantwoordelijk voor het overtreden van de wet in overeenstemming met de wetgeving van de Russische Federatie.
Bij het controleren van een bedrijf laten toezichthouders zich leiden door Federale Wet-152 en een aantal statuten. De inspectie kan gepland of ongepland zijn - op basis van feiten over overtredingen, maar ook om eerder uitgevaardigde bevelen te monitoren om deze te elimineren.
Personen die de vereisten voor de bescherming van persoonsgegevens schenden, kunnen niet alleen civiel- en tuchtrechtelijk, maar ook administratief en zelfs strafrechtelijk aansprakelijk worden gesteld.
Hoe kunt u voldoen aan de vereisten van Federale Wet-152?
Een bedrijf of organisatie die persoonsgegevens of andere gevoelige informatie verwerkt, moet deze informatie dus beschermen in overeenstemming met de wet. Dit vereist niet alleen serieuze expertise, kennis en ervaring, maar gaat ook gepaard met technische problemen en aanzienlijke kosten.
Volgens de officiële definitie die is goedgekeurd door FSTEC: “...Beveiliging van persoonlijke gegevens is de staat van beveiliging van persoonlijke gegevens, gekenmerkt door het vermogen van gebruikers, technische middelen en informatietechnologieën om de vertrouwelijkheid, integriteit en beschikbaarheid van persoonlijke gegevens te garanderen wanneer verwerkt in informatiesystemen voor persoonlijke gegevens...”
Om zelf aan de organisatorische, juridische en technische vereisten van federale wet 152 te voldoen, moet u niet alleen de wet zelf bestuderen, maar ook de statuten, en uitzoeken welke maatregelen precies moeten worden genomen. Outsourcingspecialisten kunnen de processen van de verwerking van persoonsgegevens in het bedrijf bestuderen, de nodige documenten opstellen, beveiligingsmaatregelen implementeren, enz.
Een uitgebreid informatiebeveiligingssysteem omvat:
- Hulpmiddelen voor inbraakpreventie (IDS).
- Firewall (FW).
- Bescherming tegen malware.
- Systeem voor het bewaken en opnemen van beveiligingsgebeurtenissen.
- Systeem voor cryptografische bescherming van communicatiekanalen (encryptie).
- Middelen om de virtuele omgeving te beschermen, een systeem van bescherming tegen ongeoorloofde toegang (ATP), identificatie en toegangscontrole.
- Beveiligingsanalyse/detectiesysteem voor kwetsbaarheden, etc.
Bovendien omvat integrale informatiebeveiliging niet alleen technische, maar ook organisatorische maatregelen.
Cloud FZ-152: implementatiefuncties
Een aantal Russische providers levert diensten voor het aanbieden van cloudinfrastructuur voor het hosten van informatiesystemen in overeenstemming met de vereisten van de federale wetgeving met betrekking tot persoonlijke gegevens. Wanneer de systemen van de klant in de cloud worden gehost, neemt de aanbieder veel informatiebeveiligingsproblemen op zich, waaronder kwesties die verband houden met de bescherming van persoonlijke gegevens. Bij een migratie naar de cloud wordt de IT-infrastructuur beschermd, waardoor een deel van de verantwoordelijkheden bij de klant wordt weggenomen. De aanbieder voldoet bijvoorbeeld aan de vereisten van federale wet 152 met betrekking tot de bescherming van de virtualisatieomgeving.
Ook kunnen aanbieders klanten deskundig ondersteunen bij het oplossen van het probleem van gegevensbescherming: het bepalen van het benodigde beveiligingsniveau en in overeenstemming daarmee een implementatiemogelijkheid bieden; documentatie ontwikkelen om te voldoen aan de vereisten van de wetgeving van de Russische Federatie.
Een veilige cloud helpt de kosten van een organisatie te optimaliseren door de kosten voor het creëren en onderhouden van de IT-infrastructuur en een intern informatiebeveiligingssysteem te verlagen. Doorgaans bieden gekwalificeerde experts uitgebreide technische ondersteuning en ondersteuning, inclusief advies en ontwikkeling van een pakket documenten voor certificering door regelgevende instanties, en het serviceleveringsplatform voldoet aan strikte technische normen en voldoet aan de noodzakelijke organisatorische vereisten. Klanten kunnen profiteren van diensten voor het voorbereiden van de benodigde documentatie en het beschermen van ISPD op applicatie- en besturingssysteemniveau.
Risico- en kwetsbaarheidsbeheerprocessen, incidentonderzoeken, interne en externe beveiligingsaudits, evenals regelmatige monitoring en testen van het netwerk, de systemen en informatiebeveiligingsprocessen worden ook aangeboden. Gekwalificeerde specialisten bieden XNUMX/XNUMX ondersteuning voor de IT-infrastructuur.
Alles bij elkaar zorgen deze maatregelen ervoor dat de federale wetten met betrekking tot de bescherming van persoonsgegevens worden nageleefd.
Gecertificeerd platform
IBS DataFort biedt een dergelijke dienst aan op basis van . Alle technische onderdelen, administratie- en virtualisatietools van dit platform voldoen aan de normen en vereisten van Federale Wet-152.
Architectuur van de beveiligde cloud van IBS DataFort.
Het platform biedt gegarandeerde bescherming van ISPD (tot en met het 1e beveiligingsniveau), GIS (tot en met de 1e beveiligingsklasse) en veilige dataopslag in het Tier III datacenter. Het platform maakt gebruik van gecertificeerde firewalls, inbraakdetectie- en preventietools (IDS/IPS), encryptie van communicatiekanalen (GOST VPN), antivirusbescherming, bescherming tegen ongeautoriseerde toegang, bescherming van de virtualisatieomgeving en tools voor het scannen van kwetsbaarheden.
is ook een geschikte oplossing voor diegenen die hoge eisen stellen aan vertrouwelijkheid en gegevensbescherming, hun zakelijke reputatie willen versterken of een concurrentievoordeel willen behalen zoals een bewezen hoog niveau van informatiebeveiliging.
Hoe ‘verhuizen’ naar zo’n cloud? Is ‘naadloze migratie’ mogelijk? Nogal. IBS DataFort draagt de ISPD bijvoorbeeld veilig over naar zijn beveiligde cloud, waardoor downtime en de impact op de bedrijfsprocessen van het bedrijf (ook vanaf buitenlandse locaties) worden geminimaliseerd.
De IT-infrastructuur in overeenstemming brengen met federale wet-152
Het proces om de IT-infrastructuur van de klant in overeenstemming te brengen met de vereisten van Federale Wet-152 begint met een audit en beoordeling van het huidige beveiligingsniveau.
Een audit van de IT-infrastructuur van de klant omvat onder meer een onderzoek naar de verwerking en bescherming van persoonsgegevens en een onderzoek naar het informatiesysteem van de klant. Er wordt een onderzoeksrapport opgesteld met een gedetailleerde beschrijving van de PD-verwerkingsprocessen vanuit technisch oogpunt.
Tot de werkzaamheden behoren ook het modelleren van dreigingen en indringers en het opstellen van een rapport over het vaststellen van het beveiligingsniveau voor de ISPD. Op basis van de resultaten van de audit wordt een private technische specificatie voor het ISPD-beveiligingssysteem opgesteld, waarin de eisen voor het ontworpen systeem worden vastgelegd.
Er wordt gewerkt aan een reeks beleidslijnen, instructies, voorschriften en andere documenten voor de bescherming van persoonsgegevens. Tegelijkertijd proberen specialisten de kosten van de klant voor het implementeren van beveiligingsmaatregelen te optimaliseren.
IBS DataFort levert diensten voor het voorbereiden van documentatie en het beschermen van ISPD om te voldoen aan de federale wetgeving inzake de bescherming van persoonsgegevens en kan helpen bij het voorbereiden en behalen van certificeringen (ISPD, GIS, AS).
Certificering wordt uitgevoerd door onafhankelijke auditors met een vergunning van FSTEC en de FSB van Rusland. Het behalen van een dergelijke certificering bevestigt de betrouwbare bescherming van de persoonlijke gegevens van de partners en klanten van het bedrijf tegen externe bedreigingen, en de uitgebreide naleving van wettelijke vereisten. Het is belangrijk dat klanten het gemak krijgen van een ‘one-stop-shop’: alles wordt verzorgd door één bedrijf: IBS DataFort.
Voor de beheerder van persoonlijke gegevens betekent dit de bereidheid tot inspecties door Roskomnadzor, FSTEC en de FSB, waardoor het risico van het blokkeren van bronnen wordt geëlimineerd, en de afwezigheid van claims en sancties van de toezichthouder.
Deze dienst is relevant voor veel categorieën klanten in het overheids- en bedrijfssegment en kan in trek zijn bij exploitanten van persoonlijke gegevens die hun activiteiten in overeenstemming willen brengen met de wet. Door het IP in een gesloten segment van de infrastructuur van de provider te plaatsen, gecertificeerd volgens alle noodzakelijke normen en eisen, wordt de klant verlost van de noodzaak om alle werkzaamheden zelfstandig te organiseren.
Bron: www.habr.com