ఫెడరల్ లా-152 "వ్యక్తిగత డేటా రక్షణపై" ఇప్పటికే ఉన్న అన్ని సంస్థలకు వర్తిస్తుంది: వ్యక్తులు మరియు చట్టపరమైన సంస్థలు, ఫెడరల్ ప్రభుత్వ సంస్థలు మరియు స్థానిక ప్రభుత్వాలు. వాస్తవానికి, ఈ చట్టం సంస్థ యొక్క యాజమాన్యం మరియు పరిమాణంతో సంబంధం లేకుండా రష్యన్ ఫెడరేషన్ యొక్క పౌరుల సమాచారం మరియు వ్యక్తిగత డేటాను ప్రాసెస్ చేసే ఏదైనా సంస్థకు వర్తిస్తుంది.
కొన్నిసార్లు ఒక సంస్థ, చాలా ఊహించని విధంగా, వ్యక్తిగత డేటా (PD) యొక్క అవ్యక్త సమాచార వ్యవస్థలను ప్రారంభంలో కనుగొనవచ్చు. ఉదాహరణకు, ఒక కంపెనీ వెబ్సైట్లో ఫీడ్బ్యాక్ ఫారమ్లు, రిజిస్ట్రేషన్, ఆథరైజేషన్ మరియు సబ్జెక్ట్ను గుర్తించగలిగే ఇతర రకాల డేటా సేకరణ ఉంటే వ్యక్తిగత డేటా యొక్క ఆపరేటర్గా పరిగణించబడుతుంది.
"వ్యక్తిగత డేటాపై" ఫెడరల్ చట్టం యొక్క అవసరాలకు అనుగుణంగా నియంత్రణ మరియు పర్యవేక్షణ నియంత్రకులచే నిర్వహించబడుతుంది:
- వ్యక్తిగత డేటా విషయాల హక్కుల రక్షణ గురించి Roskomnadzor;
- క్రిప్టోగ్రఫీ రంగంలో అవసరాలకు అనుగుణంగా రష్యా యొక్క FSB;
- సాంకేతిక మార్గాల ద్వారా అనధికారిక యాక్సెస్ మరియు లీకేజీ నుండి సమాచారాన్ని రక్షించే అవసరాలకు అనుగుణంగా రష్యా యొక్క FSTEC.
ఫెడరల్ చట్టం “వ్యక్తిగత డేటాపై” వ్యక్తిగత డేటా రక్షణకు చట్టపరమైన మద్దతు కోసం మాత్రమే ఆధారం కాబట్టి, దాని అవసరాలు తరువాత రష్యన్ ఫెడరేషన్ ప్రభుత్వం మరియు కమ్యూనికేషన్ల మంత్రిత్వ శాఖ యొక్క చర్యలు మరియు ఇతర నియంత్రణ మరియు పద్దతి పత్రాలలో పేర్కొనబడ్డాయి. నియంత్రకాలు.
వ్యక్తిగత డేటా ప్రాసెసింగ్ రంగంలో కార్యకలాపాలను నియంత్రించే ఫెడరల్ అధికారులు
- రోస్కోమ్నాడ్జోర్ (కమ్యూనికేషన్స్ మరియు మాస్ కమ్యూనికేషన్స్ పర్యవేక్షణ కోసం ఫెడరల్ సర్వీస్) - చట్టపరమైన అవసరాలతో PD ప్రాసెసింగ్ యొక్క సమ్మతిపై నియంత్రణ మరియు పర్యవేక్షణను నిర్వహిస్తుంది.
- రష్యా యొక్క FSTEC (సాంకేతిక మరియు ఎగుమతి నియంత్రణ కోసం ఫెడరల్ సర్వీస్) - సాంకేతిక మార్గాలను ఉపయోగించి సమాచారాన్ని రక్షించే పద్ధతులు మరియు మార్గాలను ఏర్పాటు చేస్తుంది.
- రష్యా యొక్క FSB (రష్యన్ ఫెడరేషన్ యొక్క ఫెడరల్ సెక్యూరిటీ సర్వీస్) - దాని అధికారాలలో సమాచారాన్ని రక్షించే పద్ధతులు మరియు మార్గాలను ఏర్పాటు చేస్తుంది (సమాచార రక్షణ యొక్క క్రిప్టోగ్రాఫిక్ మార్గాల ఉపయోగం యొక్క గోళం)
వ్యక్తిగత డేటాను ప్రాసెస్ చేసే ప్రతి సంస్థ దాని సమాచార వ్యవస్థలను చట్టపరమైన అవసరాలకు అనుగుణంగా తీసుకురావడంలో సమస్యను ఎదుర్కొంటుంది. వ్యక్తిగత డేటా రక్షణ అనేది రష్యాలో మాత్రమే కాకుండా, ఇతర దేశాలలో కూడా అత్యంత ముఖ్యమైన సమస్యలలో ఒకటి.
వ్యక్తిగత డేటా రకాలు
ఫెడరల్ లా నంబర్ 152 ప్రకారం, వ్యక్తిగత డేటా అనేది అటువంటి సమాచారం (వ్యక్తిగత డేటా యొక్క విషయం) ఆధారంగా గుర్తించబడిన లేదా నిర్ణయించబడిన వ్యక్తికి సంబంధించిన ఏదైనా సమాచారం. ఉదాహరణకు: పూర్తి పేరు, పుట్టిన తేదీ మరియు స్థలం, చిరునామా, కుటుంబం, సామాజిక, ఆస్తి స్థితి, విద్య మొదలైనవి.
వ్యక్తిగత డేటా అనేక వర్గాలుగా విభజించబడింది:
ప్రత్యేక
జాతి, జాతీయత, రాజకీయ అభిప్రాయాలు, మతపరమైన లేదా తాత్విక విశ్వాసాలు, ఆరోగ్య స్థితి, సన్నిహిత జీవితానికి సంబంధించిన వ్యక్తిగత డేటా
బయోమెట్రిక్
PD, ఇది ఒక వ్యక్తి యొక్క శారీరక మరియు జీవ లక్షణాలను వర్గీకరిస్తుంది, దాని ఆధారంగా అతని గుర్తింపును స్థాపించవచ్చు మరియు వ్యక్తిగత డేటా యొక్క విషయం యొక్క గుర్తింపును స్థాపించడానికి ఆపరేటర్ ఉపయోగించే
ఇతర
ప్రత్యక్షంగా లేదా పరోక్షంగా గుర్తించబడిన లేదా గుర్తించదగిన వ్యక్తికి సంబంధించిన PD మరియు పై వర్గాలలోకి రానిది
బహిరంగంగా లభిస్తుంది
వ్యక్తిగత డేటా విషయం యొక్క వ్రాతపూర్వక అనుమతితో డేటా ప్రచురించబడిన పబ్లిక్గా అందుబాటులో ఉన్న మూలాల నుండి పొందిన PD
వ్యక్తిగత డేటాను ప్రాసెస్ చేయడం అనేది ఆటోమేషన్ సాధనాలను ఉపయోగించి లేదా లేకుండా వ్యక్తిగత డేటాతో ఏదైనా చర్య (ఆపరేషన్) లేదా చర్యల సమితి, వీటితో సహా:
- సేకరణ,
- రికార్డింగ్,
- వ్యవస్థీకరణ,
- చేరడం,
- నిల్వ,
- స్పష్టీకరణ (నవీకరణ, మార్పు),
- వెలికితీత,
- వినియోగం,
- ప్రసారం (పంపిణీ, కేటాయింపు, యాక్సెస్),
- వ్యక్తిగతీకరణ,
- నిరోధించడం,
- తొలగింపు,
- వ్యక్తిగత డేటా నాశనం.
ఉల్లంఘనలకు బాధ్యత
ఫెడరల్ లా నంబర్ 24 యొక్క ఆర్టికల్ 152 ప్రకారం, రష్యన్ ఫెడరేషన్ యొక్క చట్టానికి అనుగుణంగా చట్టాన్ని ఉల్లంఘించినందుకు వ్యక్తులు బాధ్యత వహిస్తారు.
కంపెనీని తనిఖీ చేస్తున్నప్పుడు, రెగ్యులేటర్లు ఫెడరల్ లా-152 మరియు అనేక ఉప-చట్టాల ద్వారా మార్గనిర్దేశం చేయబడతారు. తనిఖీ షెడ్యూల్ చేయబడిన లేదా షెడ్యూల్ చేయనిది కావచ్చు - ఉల్లంఘనల వాస్తవాల ఆధారంగా, అలాగే వాటిని తొలగించడానికి గతంలో జారీ చేసిన ఆదేశాలను పర్యవేక్షించడం.
వ్యక్తిగత డేటా రక్షణ అవసరాలను ఉల్లంఘించే వ్యక్తులు పౌర మరియు క్రమశిక్షణ మాత్రమే కాకుండా, పరిపాలనా మరియు నేర బాధ్యతలను కూడా ఎదుర్కోవచ్చు.
ఫెడరల్ లా-152 యొక్క అవసరాలను ఎలా పాటించాలి?
కాబట్టి, వ్యక్తిగత డేటా లేదా ఇతర సున్నితమైన సమాచారాన్ని ప్రాసెస్ చేసే కంపెనీ లేదా సంస్థ తప్పనిసరిగా ఈ సమాచారాన్ని చట్టానికి అనుగుణంగా రక్షించాలి. దీనికి తీవ్రమైన నైపుణ్యం, జ్ఞానం మరియు అనుభవం అవసరం మాత్రమే కాకుండా, సాంకేతిక ఇబ్బందులు మరియు గణనీయమైన ఖర్చులతో సంబంధం కలిగి ఉంటుంది.
FSTEC ఆమోదించిన అధికారిక నిర్వచనం ప్రకారం, “...వ్యక్తిగత డేటా యొక్క భద్రత అనేది వ్యక్తిగత డేటా యొక్క భద్రత, వినియోగదారుల సామర్థ్యం, సాంకేతిక సాధనాలు మరియు సమాచార సాంకేతికతల ద్వారా వ్యక్తిగత డేటా గోప్యత, సమగ్రత మరియు లభ్యతను నిర్ధారించడం ద్వారా వర్గీకరించబడుతుంది. వ్యక్తిగత డేటా సమాచార వ్యవస్థలలో ప్రాసెస్ చేయబడింది..."
ఫెడరల్ లా 152 యొక్క సంస్థాగత, చట్టపరమైన మరియు సాంకేతిక అవసరాలను మీ స్వంతంగా నెరవేర్చడానికి, మీరు చట్టాన్ని మాత్రమే కాకుండా, దాని ఉప-చట్టాలను కూడా అధ్యయనం చేయాలి మరియు ఖచ్చితంగా ఏ చర్యలు తీసుకోవాలో గుర్తించాలి. అవుట్సోర్సింగ్ నిపుణులు కంపెనీలో వ్యక్తిగత డేటాను ప్రాసెస్ చేసే ప్రక్రియలను అధ్యయనం చేయవచ్చు, అవసరమైన పత్రాలను రూపొందించవచ్చు, భద్రతా చర్యలను అమలు చేయవచ్చు మొదలైనవి.
సమగ్ర సమాచార భద్రతా వ్యవస్థలో ఇవి ఉంటాయి:
- చొరబాటు నివారణ సాధనాలు (IDS).
- ఫైర్వాల్ (FW).
- మాల్వేర్ నుండి రక్షణ.
- భద్రతా ఈవెంట్లను పర్యవేక్షించడానికి మరియు రికార్డ్ చేయడానికి సిస్టమ్.
- కమ్యూనికేషన్ ఛానెల్ల క్రిప్టోగ్రాఫిక్ రక్షణ వ్యవస్థ (ఎన్క్రిప్షన్).
- వర్చువల్ పర్యావరణాన్ని రక్షించే సాధనాలు, అనధికార యాక్సెస్ (ATP), గుర్తింపు మరియు యాక్సెస్ నియంత్రణకు వ్యతిరేకంగా రక్షణ వ్యవస్థ.
- భద్రతా విశ్లేషణ/ దుర్బలత్వాన్ని గుర్తించే వ్యవస్థ మొదలైనవి.
అదనంగా, సమగ్ర సమాచార భద్రతలో సాంకేతికత మాత్రమే కాకుండా, సంస్థాగత చర్యలు కూడా ఉంటాయి.
క్లౌడ్ FZ-152: అమలు లక్షణాలు
అనేక రష్యన్ ప్రొవైడర్లు వ్యక్తిగత డేటాకు సంబంధించి సమాఖ్య చట్టాల అవసరాలకు అనుగుణంగా సమాచార వ్యవస్థలను హోస్ట్ చేయడానికి క్లౌడ్ అవస్థాపనను అందించడానికి సేవలను అందిస్తారు. క్లయింట్ యొక్క సిస్టమ్లు క్లౌడ్లో హోస్ట్ చేయబడినప్పుడు, ప్రొవైడర్ వ్యక్తిగత డేటా రక్షణకు సంబంధించిన అనేక సమాచార భద్రతా సమస్యలను తీసుకుంటారు. క్లౌడ్కి మైగ్రేట్ చేసినప్పుడు, ఇది IT మౌలిక సదుపాయాలను రక్షిస్తుంది మరియు ఇది క్లయింట్ నుండి కొన్ని బాధ్యతలను తీసివేస్తుంది. ఉదాహరణకు, వర్చువలైజేషన్ పర్యావరణం యొక్క రక్షణకు సంబంధించి ఫెడరల్ లా 152 యొక్క అవసరాలను ప్రొవైడర్ నెరవేరుస్తుంది.
ప్రొవైడర్లు డేటా రక్షణ సమస్యను పరిష్కరించడంలో వినియోగదారులకు నిపుణుల మద్దతును కూడా అందించగలరు: అవసరమైన స్థాయి భద్రతను నిర్ణయించడం మరియు దీనికి అనుగుణంగా, అమలు ఎంపికను అందించడం; రష్యన్ ఫెడరేషన్ యొక్క చట్టం యొక్క అవసరాలకు అనుగుణంగా డాక్యుమెంటేషన్ను అభివృద్ధి చేయండి.
సురక్షిత క్లౌడ్ IT అవస్థాపన మరియు అంతర్గత సమాచార భద్రతా వ్యవస్థను సృష్టించడం మరియు నిర్వహించడం వంటి ఖర్చులను తగ్గించడం ద్వారా సంస్థ యొక్క ఖర్చులను ఆప్టిమైజ్ చేయడంలో సహాయపడుతుంది. సాధారణంగా, అర్హత కలిగిన నిపుణులు సమగ్ర సాంకేతిక మద్దతు మరియు మద్దతును అందిస్తారు, రెగ్యులేటరీ అధికారులచే ధృవీకరణ కోసం డాక్యుమెంట్ల ప్యాకేజీని సంప్రదించడం మరియు అభివృద్ధి చేయడంతోపాటు, సర్వీస్ డెలివరీ ప్లాట్ఫారమ్ కఠినమైన సాంకేతిక ప్రమాణాలకు అనుగుణంగా ఉంటుంది మరియు అవసరమైన సంస్థాగత అవసరాలను తీరుస్తుంది. క్లయింట్లు అవసరమైన డాక్యుమెంటేషన్ను సిద్ధం చేయడానికి మరియు అప్లికేషన్ మరియు ఆపరేటింగ్ సిస్టమ్ స్థాయిలో ISPDని రక్షించడానికి సేవల ప్రయోజనాన్ని పొందవచ్చు.
రిస్క్ మరియు వల్నరబిలిటీ మేనేజ్మెంట్ ప్రాసెస్లు, ఇన్సిడెంట్ ఇన్వెస్టిగేషన్లు, ఇంటర్నల్ మరియు ఎక్స్టర్నల్ సెక్యూరిటీ ఆడిట్లు, అలాగే నెట్వర్క్, సిస్టమ్స్ మరియు ఇన్ఫర్మేషన్ సెక్యూరిటీ ప్రాసెస్ల యొక్క క్రమమైన పర్యవేక్షణ మరియు టెస్టింగ్ కూడా అందించబడతాయి. అర్హత కలిగిన నిపుణులు 24/7 IT మౌలిక సదుపాయాల మద్దతును అందిస్తారు.
కలిసి తీసుకుంటే, ఈ చర్యలు వ్యక్తిగత డేటా రక్షణకు సంబంధించి సమాఖ్య చట్టాలకు అనుగుణంగా ఉండేలా చూస్తాయి.
సర్టిఫైడ్ ప్లాట్ఫారమ్
IBS DataFort అటువంటి సేవ ఆధారంగా అందిస్తుంది
IBS డేటాఫోర్ట్ సురక్షిత క్లౌడ్ యొక్క ఆర్కిటెక్చర్.
ప్లాట్ఫారమ్ ISPD (1వ భద్రతా స్థాయిని కలుపుకొని), GIS (1వ భద్రతా తరగతి వరకు మరియు సహా) మరియు టైర్ III డేటా సెంటర్లో సురక్షిత డేటా నిల్వ యొక్క హామీ రక్షణను అందిస్తుంది. ప్లాట్ఫారమ్ ధృవీకరించబడిన ఫైర్వాల్లు, చొరబాట్లను గుర్తించడం మరియు నివారణ సాధనాలు (IDS/IPS), కమ్యూనికేషన్ ఛానెల్ల ఎన్క్రిప్షన్ (GOST VPN), యాంటీ-వైరస్ రక్షణ, అనధికార ప్రాప్యత నుండి రక్షణ, వర్చువలైజేషన్ పర్యావరణం యొక్క రక్షణ, అలాగే దుర్బలత్వ స్కానింగ్ సాధనాలను ఉపయోగిస్తుంది.
అటువంటి క్లౌడ్కు "తరలించడం" ఎలా? "అతుకులు లేని వలస" సాధ్యమేనా? చాలా. ఉదాహరణకు, IBS DataFort ISPDని దాని సురక్షిత క్లౌడ్కి సురక్షితంగా బదిలీ చేస్తుంది, డౌన్టైమ్ మరియు కంపెనీ వ్యాపార ప్రక్రియలపై (విదేశీ సైట్లతో సహా) ప్రభావాన్ని తగ్గిస్తుంది.
ఫెడరల్ లా-152కి అనుగుణంగా IT మౌలిక సదుపాయాలను తీసుకురావడం
ఫెడరల్ లా-152 యొక్క అవసరాలకు అనుగుణంగా క్లయింట్ యొక్క IT అవస్థాపనను తీసుకువచ్చే ప్రక్రియ ప్రస్తుత స్థాయి భద్రత యొక్క ఆడిట్ మరియు అంచనాతో ప్రారంభమవుతుంది.
క్లయింట్ యొక్క IT ఇన్ఫ్రాస్ట్రక్చర్ యొక్క ఆడిట్లో వ్యక్తిగత డేటా యొక్క ప్రాసెసింగ్ మరియు రక్షణ మరియు కస్టమర్ యొక్క సమాచార వ్యవస్థ యొక్క పరిశీలన యొక్క పరిశీలన ఉంటుంది. సాంకేతిక కోణం నుండి PD ప్రాసెసింగ్ ప్రక్రియల యొక్క వివరణాత్మక వివరణతో ఒక సర్వే నివేదిక రూపొందించబడింది.
పనిలో మోడలింగ్ బెదిరింపులు మరియు చొరబాటుదారులు మరియు ISPD కోసం భద్రతా స్థాయిని నిర్ణయించడంపై నివేదికను రూపొందించడం కూడా ఉన్నాయి. ఆడిట్ ఫలితాల ఆధారంగా, ISPD రక్షణ వ్యవస్థ కోసం ప్రైవేట్ సాంకేతిక వివరణ రూపొందించబడింది మరియు రూపొందించిన సిస్టమ్ కోసం అవసరాలను నిర్వచిస్తుంది.
వ్యక్తిగత డేటా రక్షణ కోసం విధానాలు, సూచనలు, నిబంధనలు మరియు ఇతర పత్రాల సమితి అభివృద్ధి చేయబడుతోంది. అదే సమయంలో, నిపుణులు భద్రతా చర్యలను అమలు చేయడానికి కస్టమర్ ఖర్చులను ఆప్టిమైజ్ చేయడానికి ప్రయత్నిస్తారు.
IBS DataFort వ్యక్తిగత డేటా రక్షణపై సమాఖ్య చట్టానికి అనుగుణంగా డాక్యుమెంటేషన్ సిద్ధం చేయడం మరియు ISPDని రక్షించడం కోసం సేవలను అందిస్తుంది మరియు ధృవీకరణ (ISPD, GIS, AS) సిద్ధం చేయడంలో మరియు పాస్ చేయడంలో సహాయపడుతుంది.
FSTEC మరియు రష్యా యొక్క FSB ద్వారా లైసెన్స్ పొందిన స్వతంత్ర ఆడిటర్లచే ధృవీకరణ జరుగుతుంది. అటువంటి ధృవీకరణను ఆమోదించడం వలన సంస్థ యొక్క భాగస్వాములు మరియు క్లయింట్ల యొక్క వ్యక్తిగత డేటా యొక్క విశ్వసనీయ రక్షణను బాహ్య బెదిరింపుల నుండి మరియు నియంత్రణ అవసరాలతో సమగ్ర సమ్మతి నిర్ధారిస్తుంది. క్లయింట్లు "వన్-స్టాప్ షాప్" సౌలభ్యాన్ని పొందడం చాలా ముఖ్యం: ప్రతిదీ ఒక కంపెనీ ద్వారా అందించబడుతుంది - IBS డేటాఫోర్ట్.
వ్యక్తిగత డేటా ఆపరేటర్ కోసం, దీని అర్థం Roskomnadzor, FSTEC మరియు FSB ద్వారా తనిఖీలకు సంసిద్ధత, వనరులను నిరోధించే ప్రమాదాన్ని తొలగిస్తుంది మరియు రెగ్యులేటర్ నుండి క్లెయిమ్లు మరియు ఆంక్షలు లేకపోవడం.
ఈ సేవ ప్రభుత్వం మరియు కార్పొరేట్ సెగ్మెంట్లోని అనేక వర్గాల కస్టమర్లకు సంబంధించినది మరియు వారి కార్యకలాపాలను చట్టానికి అనుగుణంగా తీసుకురావాలనుకునే వ్యక్తిగత డేటా ఆపరేటర్ల ద్వారా డిమాండ్ ఉండవచ్చు. ప్రొవైడర్ యొక్క ఇన్ఫ్రాస్ట్రక్చర్ యొక్క క్లోజ్డ్ సెగ్మెంట్లో IPని ఉంచడం, అవసరమైన అన్ని ప్రమాణాలు మరియు అవసరాలకు అనుగుణంగా ధృవీకరించబడి, అన్ని పనిని స్వతంత్రంగా నిర్వహించాల్సిన అవసరం నుండి కస్టమర్ను ఉపశమనం చేస్తుంది.
మూలం: www.habr.com