A Lei Federal-152 “Sobre a Proteção de Dados Pessoais” se aplica a todas as entidades existentes: pessoas físicas e jurídicas, órgãos do governo federal e governos locais. Na verdade, esta lei se aplica a qualquer organização que processe informações e dados pessoais de cidadãos da Federação Russa, independentemente da forma de propriedade e do tamanho da organização.
Às vezes, uma organização, de forma bastante inesperada para si mesma, pode descobrir sistemas de informação inicialmente implícitos de dados pessoais (PD). Por exemplo, uma empresa é considerada operadora de dados pessoais se seu site possuir formulários de feedback, cadastro, autorização e outras formas de coleta de dados pelas quais o titular possa ser identificado.
O controle e a supervisão quanto ao cumprimento dos requisitos da lei federal “Sobre Dados Pessoais” são realizados pelos reguladores:
- Roskomnadzor no que diz respeito à proteção dos direitos dos titulares dos dados pessoais;
- FSB da Rússia em relação ao cumprimento dos requisitos no domínio da criptografia;
- FSTEC da Rússia em termos de conformidade com os requisitos de proteção de informações contra acesso não autorizado e vazamento através de canais técnicos.
Como a Lei Federal “Sobre Dados Pessoais” é apenas a base para o suporte legal para a proteção de dados pessoais, seus requisitos foram posteriormente especificados em atos do Governo da Federação Russa e do Ministério das Comunicações, e outros documentos regulamentares e metodológicos de reguladores.
Autoridades federais que regulam as atividades na área de processamento de dados pessoais
- Roskomnadzor (Serviço Federal de Supervisão de Comunicações e Comunicações de Massa) - exerce controle e fiscalização sobre o cumprimento do processamento de PD com os requisitos legais.
- FSTEC da Rússia (Serviço Federal de Controle Técnico e de Exportação) - estabelece métodos e meios de proteção da informação por meios técnicos.
- FSB da Rússia (Serviço Federal de Segurança da Federação Russa) - estabelece métodos e meios de proteção de informações dentro de suas atribuições (esfera de uso de meios criptográficos de proteção de informações)
Toda organização que processa dados pessoais enfrenta o problema de adequar seus sistemas de informação aos requisitos legais. A protecção de dados pessoais é uma das questões mais prementes, não só na Rússia, mas também noutros países.
Tipos de dados pessoais
De acordo com a Lei Federal nº 152, dados pessoais são quaisquer informações relativas a uma pessoa física identificada ou determinada com base nessas informações (sujeito dos dados pessoais). Por exemplo: nome completo, data e local de nascimento, endereço, família, situação social, situação patrimonial, escolaridade, etc.
Os dados pessoais estão divididos em várias categorias:
especial
Dados pessoais relativos a raça, nacionalidade, opiniões políticas, crenças religiosas ou filosóficas, estado de saúde, vida íntima
Biométrico
PD, que caracterizam as características fisiológicas e biológicas de uma pessoa, com base nas quais a sua identidade pode ser estabelecida e que são utilizadas pelo operador para estabelecer a identidade do titular dos dados pessoais
Outro
DP relativa a um indivíduo identificado ou identificável direta ou indiretamente e que não se enquadra nas categorias acima
Disponível publicamente
PD obtida de fontes publicamente disponíveis nas quais os dados foram publicados com o consentimento por escrito do titular dos dados pessoais
Tratamento de dados pessoais é qualquer ação (operação) ou conjunto de ações com dados pessoais utilizando ou não ferramentas de automação, incluindo:
- coleção,
- gravação,
- sistematização,
- acumulação,
- armazenar,
- esclarecimento (atualização, alteração),
- Extração,
- uso,
- transmissão (distribuição, provisão, acesso),
- despersonalização,
- bloqueio,
- remoção,
- destruição de dados pessoais.
Responsabilidade por violações
De acordo com o artigo 24 da Lei Federal nº 152, as pessoas são responsáveis pela violação da lei de acordo com a legislação da Federação Russa.
Ao verificar uma empresa, os reguladores são orientados pela Lei Federal-152 e por vários estatutos. A fiscalização pode ser programada ou não programada - com base nos fatos das infrações, bem como para acompanhar ordens previamente emitidas para eliminá-las.
As pessoas que violem os requisitos de proteção de dados pessoais podem enfrentar não só responsabilidade civil e disciplinar, mas também administrativa e até criminal.
Como cumprir as exigências da Lei Federal-152?
Assim, uma empresa ou organização que processa dados pessoais ou outras informações sensíveis deve proteger essas informações de acordo com a lei. Isto não só requer conhecimentos, conhecimentos e experiência sérios, mas também está associado a dificuldades técnicas e custos consideráveis.
De acordo com a definição oficial aprovada pelo FSTEC, “...Segurança de dados pessoais é o estado de segurança dos dados pessoais, caracterizado pela capacidade dos usuários, meios técnicos e tecnologias de informação para garantir a confidencialidade, integridade e disponibilidade dos dados pessoais quando processados em sistemas de informação de dados pessoais...”
Para cumprir por conta própria os requisitos organizacionais, legais e técnicos da Lei Federal 152, você precisa estudar não apenas a lei em si, mas também seu estatuto, e descobrir exatamente quais medidas precisam ser tomadas. Os especialistas em outsourcing podem estudar os processos de tratamento de dados pessoais na empresa, elaborar os documentos necessários, implementar medidas de segurança, etc.
Um sistema abrangente de segurança da informação inclui:
- Ferramentas de prevenção de intrusões (IDS).
- Firewall (FW).
- Proteção contra malware.
- Sistema para monitoramento e registro de eventos de segurança.
- Sistema de proteção criptográfica dos canais de comunicação (criptografia).
- Meios de proteção do ambiente virtual, sistema de proteção contra acessos não autorizados (ATP), identificação e controle de acesso.
- Sistema de análise de segurança/detecção de vulnerabilidades, etc.
Além disso, a segurança abrangente da informação envolve não apenas medidas técnicas, mas também organizacionais.
Cloud FZ-152: recursos de implementação
Vários provedores russos prestam serviços de fornecimento de infraestrutura em nuvem para hospedagem de sistemas de informação de acordo com os requisitos da legislação federal relativa a dados pessoais. Quando os sistemas do cliente estão hospedados na nuvem, o provedor assume diversas questões de segurança da informação, inclusive aquelas relacionadas à proteção de dados pessoais. Ao migrar para a nuvem, protegerá a infraestrutura de TI e isso retirará algumas responsabilidades do cliente. Por exemplo, o provedor atende aos requisitos da Lei Federal 152 relativos à proteção do ambiente de virtualização.
Os provedores também podem oferecer aos clientes suporte especializado na solução do problema de proteção de dados: determinando o nível de segurança exigido e, de acordo com isso, oferecendo uma opção de implementação; desenvolver documentação para cumprir os requisitos da legislação da Federação Russa.
Uma nuvem segura ajudará a otimizar os custos de uma organização, reduzindo os custos de criação e manutenção de infraestrutura de TI e de um sistema interno de segurança da informação. Normalmente, especialistas qualificados fornecem suporte e suporte técnico abrangente, incluindo consultoria e desenvolvimento de um pacote de documentos para certificação pelas autoridades reguladoras, e a plataforma de prestação de serviços atende a padrões técnicos rigorosos e atende aos requisitos organizacionais necessários. Os clientes podem usufruir de serviços de preparação da documentação necessária e de proteção do ISPD ao nível da aplicação e do sistema operativo.
São também disponibilizados processos de gestão de riscos e vulnerabilidades, investigações de incidentes, auditorias de segurança internas e externas, bem como monitorização e testes regulares da rede, dos sistemas e dos processos de segurança da informação. Especialistas qualificados fornecem suporte à infraestrutura de TI XNUMX horas por dia, XNUMX dias por semana.
Em conjunto, estas medidas garantem o cumprimento das leis federais relativas à proteção de dados pessoais.
Plataforma certificada
IBS DataFort fornece esse serviço com base em . Todas as partes técnicas, ferramentas de administração e virtualização desta plataforma atendem às normas e exigências da Lei Federal-152.
Arquitetura da nuvem segura IBS DataFort.
A plataforma oferece proteção garantida de ISPD (até o 1º nível de segurança inclusive), GIS (até e inclusive a 1ª classe de segurança) e armazenamento seguro de dados no data center Tier III. A plataforma utiliza firewalls certificados, ferramentas de detecção e prevenção de intrusões (IDS/IPS), criptografia de canais de comunicação (GOST VPN), proteção antivírus, proteção contra acesso não autorizado, proteção do ambiente de virtualização, bem como ferramentas de verificação de vulnerabilidades.
é também uma solução adequada para quem tem elevados requisitos de confidencialidade e protecção de dados, pretende fortalecer a sua reputação empresarial ou obter uma vantagem competitiva como um elevado nível comprovado de segurança da informação.
Como “mover” para essa nuvem? A “migração contínua” é possível? Bastante. Por exemplo, o IBS DataFort transfere com segurança o ISPD para a sua nuvem segura, minimizando o tempo de inatividade e o impacto nos processos de negócios da empresa (inclusive de sites estrangeiros).
Colocando a infraestrutura de TI em conformidade com a Lei Federal-152
O processo de adequação da infraestrutura de TI do cliente aos requisitos da Lei Federal 152 começa com uma auditoria e avaliação do nível atual de segurança.
Uma auditoria da infraestrutura de TI do cliente inclui um exame do processamento e proteção de dados pessoais e um exame do sistema de informação do cliente. É elaborado um relatório de vistoria com uma descrição detalhada dos processos de processamento da PD do ponto de vista técnico.
O trabalho inclui ainda a modelação de ameaças e intrusos e a elaboração de um relatório sobre a determinação do nível de segurança do ISPD. Com base nos resultados da auditoria, é elaborada uma especificação técnica privada para o sistema de proteção ISPD e define os requisitos para o sistema projetado.
Está a ser desenvolvido um conjunto de políticas, instruções, regulamentos e outros documentos para a protecção de dados pessoais. Ao mesmo tempo, os especialistas procuram otimizar os custos do cliente com a implementação de medidas de segurança.
A IBS DataFort presta serviços de preparação de documentação e proteção de ISPD para cumprimento da legislação federal sobre proteção de dados pessoais e pode auxiliar na preparação e aprovação de certificação (ISPD, GIS, AS).
A certificação é realizada por auditores independentes licenciados pelo FSTEC e pelo FSB da Rússia. A aprovação nessa certificação confirma a proteção confiável dos dados pessoais dos parceiros e clientes da empresa contra ameaças externas e a conformidade abrangente com os requisitos regulamentares. É importante que os clientes tenham a comodidade de um “balcão único”: tudo é fornecido por uma única empresa - IBS DataFort.
Para o operador de dados pessoais, isso significa prontidão para fiscalizações de Roskomnadzor, FSTEC e FSB, eliminando o risco de bloqueio de recursos, e ausência de reclamações e sanções do regulador.
Este serviço é relevante para diversas categorias de clientes do segmento governamental e corporativo e pode ser solicitado por operadores de dados pessoais que desejam adequar suas atividades à lei. Colocar o IP num segmento fechado da infraestrutura do fornecedor, certificado de acordo com todas as normas e requisitos necessários, dispensa o cliente da necessidade de organizar de forma independente todo o trabalho.
Fonte: habr.com