Federal Law-152 "Om skydd av personuppgifter" gäller för alla befintliga enheter: individer och juridiska personer, federala regeringsorgan och lokala myndigheter. Faktum är att denna lag gäller för alla organisationer som behandlar information och personuppgifter från medborgare i Ryska federationen, oavsett ägandeform och organisationens storlek.
Ibland kan en organisation, helt oväntat för sig själv, upptäcka initialt implicita informationssystem för personuppgifter (PD). Ett företag anses till exempel vara en personuppgiftsoperatör om dess webbplats har återkopplingsformulär, registrering, auktorisation och andra former av datainsamling genom vilka ämnet kan identifieras.
Kontroll och övervakning avseende efterlevnad av kraven i den federala lagen "Om personuppgifter" utförs av tillsynsmyndigheter:
- Roskomnadzor angående skyddet av rättigheterna för personuppgiftspersoner;
- Rysslands FSB angående efterlevnad av krav inom kryptografi;
- FSTEC i Ryssland när det gäller efterlevnad av krav för att skydda information från obehörig åtkomst och läckage genom tekniska kanaler.
Eftersom den federala lagen "om personuppgifter" endast är grunden för juridiskt stöd för skydd av personuppgifter, specificerades dess krav senare i handlingar från Ryska federationens regering och kommunikationsministeriet och andra reglerande och metodologiska dokument av regulatorer.
Federala myndigheter som reglerar verksamhet inom området för behandling av personuppgifter
- Roskomnadzor (Federal Service for Supervision of Communications and Mass Communications) - utövar kontroll och tillsyn över att PD-behandling efterlevs med lagliga krav.
- FSTEC i Ryssland (Federal Service for Technical and Export Control) - fastställer metoder och medel för att skydda information med hjälp av tekniska medel.
- Rysslands FSB (Ryska federationens federala säkerhetstjänst) - fastställer metoder och metoder för att skydda information inom sina befogenheter (användningssfär för kryptografiska metoder för informationsskydd)
Varje organisation som behandlar personuppgifter står inför problemet med att få sina informationssystem att överensstämma med lagkrav. Skydd av personuppgifter är en av de mest akuta frågorna, inte bara i Ryssland utan även i andra länder.
Typer av personuppgifter
Enligt federal lag nr 152 är personuppgifter all information som rör en individ som identifieras eller fastställs på grundval av sådan information (föremålet med personuppgifter). Till exempel: fullständigt namn, födelsedatum och födelseort, adress, familj, social, egendomsstatus, utbildning etc.
Personuppgifter är indelade i flera kategorier:
Special
Personuppgifter som rör ras, nationalitet, politiska åsikter, religiös eller filosofisk övertygelse, hälsostatus, intimt liv
Biometrisk
PD, som kännetecknar en persons fysiologiska och biologiska egenskaper, på grundval av vilka hans identitet kan fastställas och som används av operatören för att fastställa identiteten för föremålet för personuppgifter
andra
PD som avser en direkt eller indirekt identifierad eller identifierbar individ och som inte faller inom ovanstående kategorier
Allmänt tillgängligt
PD erhållits från allmänt tillgängliga källor där uppgifterna publicerats med skriftligt samtycke från föremålet för personuppgifter
Behandling av personuppgifter är varje åtgärd (operation) eller uppsättning handlingar med personuppgifter med eller utan automatiseringsverktyg, inklusive:
- samling,
- inspelning,
- systematisering,
- ackumulation,
- lagring,
- förtydligande (uppdatering, ändring),
- extraktion,
- användande,
- överföring (distribution, tillhandahållande, tillgång),
- avpersonalisering,
- blockering,
- avlägsnande,
- förstörelse av personuppgifter.
Ansvar för överträdelser
Enligt artikel 24 i federal lag nr 152 är personer ansvariga för att bryta mot lagen i enlighet med Rysslands lagstiftning.
När man kontrollerar ett företag styrs tillsynsmyndigheterna av federal lag-152 och ett antal stadgar. Inspektionen kan vara antingen schemalagd eller oplanerad - baserat på fakta om överträdelser, såväl som för att övervaka en tidigare utfärdad order för att eliminera dem.
Personer som bryter mot kraven för skydd av personuppgifter kan utsättas för inte bara civilrättsligt och disciplinärt, utan också administrativt och till och med straffrättsligt ansvar.
Hur uppfyller man kraven i Federal Law-152?
Så ett företag eller en organisation som behandlar personuppgifter eller annan känslig information måste skydda denna information i enlighet med lagen. Detta kräver inte bara seriös expertis, kunskap och erfarenhet, utan är också förenat med tekniska svårigheter och avsevärda kostnader.
Enligt den officiella definitionen som godkänts av FSTEC, "... Säkerhet för personuppgifter är tillståndet för säkerheten för personuppgifter, kännetecknat av användarnas förmåga, tekniska medel och informationsteknik att säkerställa konfidentialitet, integritet och tillgänglighet för personuppgifter när behandlas i personuppgiftsinformationssystem...”
För att uppfylla de organisatoriska, juridiska och tekniska kraven i Federal Law 152 på egen hand måste du studera inte bara själva lagen utan också dess stadgar och ta reda på exakt vilka åtgärder som måste vidtas. Outsourcingspecialister kan studera processerna för att behandla personuppgifter i företaget, upprätta nödvändiga dokument, genomföra säkerhetsåtgärder etc.
Ett omfattande informationssäkerhetssystem inkluderar:
- Intrångsförebyggande verktyg (IDS).
- Brandvägg (FW).
- Skydd mot skadlig programvara.
- System för övervakning och registrering av säkerhetshändelser.
- System för kryptografiskt skydd av kommunikationskanaler (kryptering).
- Medel för att skydda den virtuella miljön, ett system för skydd mot obehörig åtkomst (ATP), identifiering och åtkomstkontroll.
- Säkerhetsanalys/sårbarhetsdetekteringssystem, etc.
En omfattande informationssäkerhet innefattar dessutom inte bara tekniska, utan också organisatoriska åtgärder.
Cloud FZ-152: implementeringsfunktioner
Ett antal ryska leverantörer tillhandahåller tjänster för tillhandahållande av molninfrastruktur för värd för informationssystem i enlighet med kraven i federal lagstiftning om personuppgifter. När kundens system är värd i molnet tar leverantören på sig många informationssäkerhetsfrågor, inklusive de som är relaterade till skydd av personuppgifter. Vid migrering till molnet kommer det att skydda IT-infrastrukturen, och detta tar bort en del av ansvaret från klienten. Till exempel uppfyller leverantören kraven i Federal Law 152 avseende skydd av virtualiseringsmiljön.
Leverantörer kan också ge kunderna expertstöd för att lösa problemet med dataskydd: fastställa den erforderliga säkerhetsnivån och, i enlighet med detta, erbjuda ett implementeringsalternativ; utveckla dokumentation för att uppfylla kraven i Ryska federationens lagstiftning.
Ett säkert moln hjälper till att optimera en organisations kostnader genom att minska kostnaderna för att skapa och underhålla IT-infrastruktur och ett internt informationssäkerhetssystem. Vanligtvis tillhandahåller kvalificerade experter omfattande teknisk support och support, inklusive konsultation och utveckling av ett paket med dokument för certifiering av tillsynsmyndigheter, och tjänsteleveransplattformen uppfyller strikta tekniska standarder och uppfyller de nödvändiga organisatoriska kraven. Kunder kan dra nytta av tjänster för att förbereda nödvändig dokumentation och skydda ISPD på applikations- och operativsystemnivå.
Risk- och sårbarhetshanteringsprocesser, incidentutredningar, interna och externa säkerhetsrevisioner samt regelbunden övervakning och testning av nätverk, system och informationssäkerhetsprocesser tillhandahålls också. Kvalificerade specialister tillhandahåller XNUMX/XNUMX IT-infrastruktursupport.
Tillsammans säkerställer dessa åtgärder efterlevnad av federala lagar om skydd av personuppgifter.
Certifierad plattform
IBS DataFort tillhandahåller en sådan tjänst baserat på . Alla tekniska delar, administrations- och virtualiseringsverktyg för denna plattform följer normerna och kraven i Federal Law-152.
Arkitektur för det säkra molnet IBS DataFort.
Plattformen ger garanterat skydd av ISPD (upp till 1:a säkerhetsnivån inklusive), GIS (upp till och med 1:a säkerhetsklassen) och säker datalagring i Tier III-datacentret. Plattformen använder certifierade brandväggar, intrångsdetektering och förebyggande verktyg (IDS/IPS), kryptering av kommunikationskanaler (GOST VPN), antivirusskydd, skydd mot obehörig åtkomst, skydd av virtualiseringsmiljön, samt verktyg för sårbarhetsskanning.
är också en lämplig lösning för dig som har höga krav på sekretess och dataskydd, vill stärka sitt affärsrykte eller få en sådan konkurrensfördel som en bevisad hög nivå av informationssäkerhet.
Hur man "flyttar" till ett sådant moln? Är "sömlös migration" möjlig? Ganska. Till exempel överför IBS DataFort säkert ISPD till sitt säkra moln, vilket minimerar driftstopp och påverkan på företagets affärsprocesser (inklusive från utländska webbplatser).
Att se till att IT-infrastrukturen överensstämmer med federal lag-152
Processen att bringa kundens IT-infrastruktur i överensstämmelse med kraven i Federal Law-152 börjar med en revision och bedömning av den nuvarande säkerhetsnivån.
En granskning av kundens IT-infrastruktur innefattar en granskning av behandlingen och skyddet av personuppgifter samt en granskning av kundens informationssystem. En kartläggningsrapport upprättas med en detaljerad beskrivning av PD-processerna ur teknisk synvinkel.
I arbetet ingår även att modellera hot och inkräktare samt att upprätta en rapport om fastställande av säkerhetsnivån för ISPD. Baserat på resultatet av revisionen upprättas en privat teknisk specifikation för ISPD-skyddssystemet och definierar kraven för det designade systemet.
En uppsättning policyer, instruktioner, föreskrifter och andra dokument för skydd av personuppgifter håller på att utvecklas. Samtidigt försöker specialister optimera kundens kostnader för att implementera säkerhetsåtgärder.
IBS DataFort tillhandahåller tjänster för att förbereda dokumentation och skydda ISPD för att följa federal lagstiftning om skydd av personuppgifter och kan hjälpa till med att förbereda och godkänna certifiering (ISPD, GIS, AS).
Certifieringen utförs av oberoende revisorer licensierade av FSTEC och Rysslands FSB. Att godkänna en sådan certifiering bekräftar det tillförlitliga skyddet av personuppgifterna från företagets partners och kunder från externa hot, och omfattande efterlevnad av regulatoriska krav. Det är viktigt att kunderna får bekvämligheten med en "one-stop shop": allt tillhandahålls av ett företag - IBS DataFort.
För personuppgiftsoperatören innebär detta beredskap för inspektioner av Roskomnadzor, FSTEC och FSB, vilket eliminerar risken för blockering av resurser och frånvaron av anspråk och sanktioner från tillsynsmyndigheten.
Denna tjänst är relevant för många kategorier av kunder inom regerings- och företagssegmentet och kan efterfrågas av personuppgiftsoperatörer som vill få sin verksamhet att överensstämma med lagen. Att placera IP:n i ett slutet segment av leverantörens infrastruktur, certifierad enligt alla nödvändiga standarder och krav, befriar kunden från behovet av att självständigt organisera allt arbete.
Källa: will.com