Pederal na Batas-152 "Sa Proteksyon ng Personal na Data" ay nalalapat sa lahat ng umiiral na entity: mga indibidwal at legal na entity, mga pederal na katawan ng pamahalaan at mga lokal na pamahalaan. Sa katunayan, ang batas na ito ay nalalapat sa anumang organisasyon na nagpoproseso ng impormasyon at personal na data ng mga mamamayan ng Russian Federation, anuman ang anyo ng pagmamay-ari at laki ng organisasyon.
Minsan ang isang organisasyon, sa hindi inaasahang pagkakataon para sa sarili nito, ay maaaring makatuklas ng mga implicit na sistema ng impormasyon ng personal na data (PD). Halimbawa, ang isang kumpanya ay itinuturing na isang operator ng personal na data kung ang website nito ay may mga form ng feedback, pagpaparehistro, awtorisasyon at iba pang paraan ng pangongolekta ng data kung saan maaaring makilala ang paksa.
Ang kontrol at pangangasiwa tungkol sa pagsunod sa mga kinakailangan ng pederal na batas "Sa Personal na Data" ay isinasagawa ng mga regulator:
- Roskomnadzor tungkol sa proteksyon ng mga karapatan ng mga paksa ng personal na data;
- FSB ng Russia tungkol sa pagsunod sa mga kinakailangan sa larangan ng cryptography;
- FSTEC ng Russia sa mga tuntunin ng pagsunod sa mga kinakailangan para sa pagprotekta ng impormasyon mula sa hindi awtorisadong pag-access at pagtagas sa pamamagitan ng mga teknikal na channel.
Dahil ang Pederal na Batas "Sa Personal na Data" ay batayan lamang para sa ligal na suporta para sa proteksyon ng personal na data, ang mga kinakailangan nito ay kasunod na tinukoy sa mga aksyon ng Pamahalaan ng Russian Federation at ng Ministri ng Komunikasyon, at iba pang mga dokumento ng regulasyon at pamamaraan ng mga regulator.
Ang mga pederal na awtoridad na kumokontrol sa mga aktibidad sa larangan ng pagpoproseso ng personal na data
- Roskomnadzor (Federal Service for Supervision of Communications and Mass Communications) - nagsasagawa ng kontrol at pangangasiwa sa pagsunod sa pagproseso ng PD sa mga legal na kinakailangan.
- FSTEC ng Russia (Federal na Serbisyo para sa Teknikal at Kontrol sa Pag-export) - nagtatatag ng mga pamamaraan at paraan ng pagprotekta ng impormasyon gamit ang mga teknikal na paraan.
- FSB ng Russia (Federal Security Service ng Russian Federation) - nagtatatag ng mga pamamaraan at paraan ng pagprotekta ng impormasyon sa loob ng mga kapangyarihan nito (sphere ng paggamit ng cryptographic na paraan ng proteksyon ng impormasyon)
Ang bawat organisasyon na nagpoproseso ng personal na data ay nahaharap sa problema ng pagdadala ng mga sistema ng impormasyon nito sa pagsunod sa mga legal na kinakailangan. Ang proteksyon ng personal na data ay isa sa mga pinaka-pagpindot na isyu, hindi lamang sa Russia, kundi pati na rin sa ibang mga bansa.
Mga uri ng personal na data
Ayon sa Pederal na Batas Blg. 152, ang personal na data ay anumang impormasyon na may kaugnayan sa isang indibidwal na natukoy o tinutukoy batay sa naturang impormasyon (paksa ng personal na data). Halimbawa: buong pangalan, petsa at lugar ng kapanganakan, tirahan, pamilya, panlipunan, katayuan ng ari-arian, edukasyon, atbp.
Ang personal na data ay nahahati sa ilang mga kategorya:
Espesyal
Personal na data na nauugnay sa lahi, nasyonalidad, pananaw sa pulitika, relihiyon o pilosopikal na paniniwala, katayuan sa kalusugan, matalik na buhay
Biometric
PD, na nagpapakilala sa physiological at biological na katangian ng isang tao, batay sa kung saan ang kanyang pagkakakilanlan ay maaaring maitatag at kung saan ay ginagamit ng operator upang maitaguyod ang pagkakakilanlan ng paksa ng personal na data
Iba pa
PD na nauugnay sa isang direkta o hindi direktang nakilala o nakikilalang indibidwal at hindi nabibilang sa mga kategorya sa itaas
Maaring gamitin ng publiko
Nakuha ang PD mula sa mga mapagkukunang available sa publiko kung saan na-publish ang data nang may nakasulat na pahintulot ng paksa ng personal na data
Ang pagpoproseso ng personal na data ay anumang aksyon (operasyon) o hanay ng mga aksyon na may personal na data gamit o walang mga tool sa automation, kabilang ang:
- koleksyon,
- recording,
- sistematisasyon,
- akumulasyon,
- imbakan,
- paglilinaw (pag-update, pagbabago),
- pagkuha,
- paggamit,
- paghahatid (pamamahagi, probisyon, pag-access),
- depersonalization,
- pagharang,
- pagtanggal,
- pagkasira ng personal na data.
Responsibilidad para sa mga paglabag
Ayon sa Artikulo 24 ng Pederal na Batas No. 152, ang mga tao ay may pananagutan sa paglabag sa batas alinsunod sa batas ng Russian Federation.
Kapag sinusuri ang isang kumpanya, ang mga regulator ay ginagabayan ng Federal Law-152 at ilang mga by-laws. Ang inspeksyon ay maaaring naka-iskedyul o hindi naka-iskedyul - batay sa mga katotohanan ng mga paglabag, pati na rin upang subaybayan ang mga naunang inilabas na mga utos upang alisin ang mga ito.
Ang mga taong lumalabag sa mga kinakailangan para sa proteksyon ng personal na data ay maaaring harapin hindi lamang sibil at pandisiplina, kundi pati na rin ang administratibo at maging kriminal na pananagutan.
Paano sumunod sa mga kinakailangan ng Pederal na Batas-152?
Kaya, dapat protektahan ng isang kumpanya o organisasyon na nagpoproseso ng personal na data o iba pang sensitibong impormasyon ang impormasyong ito alinsunod sa batas. Hindi lamang ito nangangailangan ng seryosong kadalubhasaan, kaalaman at karanasan, ngunit nauugnay din sa mga teknikal na paghihirap at malaking gastos.
Ayon sa opisyal na kahulugan na inaprubahan ng FSTEC, "...Ang seguridad ng personal na data ay ang estado ng seguridad ng personal na data, na nailalarawan sa kakayahan ng mga gumagamit, teknikal na paraan at teknolohiya ng impormasyon upang matiyak ang pagiging kumpidensyal, integridad at pagkakaroon ng personal na data kapag naproseso sa mga sistema ng impormasyon ng personal na data...β
Upang matupad ang mga pang-organisasyon, ligal at teknikal na mga kinakailangan ng Pederal na Batas 152, sa iyong sarili, kailangan mong pag-aralan hindi lamang ang batas mismo, kundi pati na rin ang mga by-law nito, at alamin nang eksakto kung anong mga hakbang ang kailangang gawin. Maaaring pag-aralan ng mga espesyalista sa outsourcing ang mga proseso ng pagproseso ng personal na data sa kumpanya, iguhit ang mga kinakailangang dokumento, ipatupad ang mga hakbang sa seguridad, atbp.
Kasama sa isang komprehensibong sistema ng seguridad ng impormasyon ang:
- Mga Intrusion Prevention Tools (IDS).
- Firewall (FW).
- Proteksyon laban sa malware.
- System para sa pagsubaybay at pagtatala ng mga kaganapan sa seguridad.
- Sistema ng proteksyon ng cryptographic ng mga channel ng komunikasyon (encryption).
- Paraan ng pagprotekta sa virtual na kapaligiran, isang sistema ng proteksyon laban sa hindi awtorisadong pag-access (ATP), pagkilala at kontrol sa pag-access.
- Pagsusuri ng seguridad/sistema ng pagtuklas ng kahinaan, atbp.
Bilang karagdagan, ang komprehensibong seguridad ng impormasyon ay nagsasangkot hindi lamang teknikal, kundi pati na rin ang mga hakbang sa organisasyon.
Cloud FZ-152: mga feature ng pagpapatupad
Ang ilang mga Russian provider ay nagbibigay ng mga serbisyo para sa probisyon ng cloud infrastructure para sa pagho-host ng mga sistema ng impormasyon alinsunod sa mga kinakailangan ng pederal na batas tungkol sa personal na data. Kapag ang mga system ng kliyente ay naka-host sa cloud, ang provider ay nagsasagawa ng maraming isyu sa seguridad ng impormasyon, kabilang ang mga nauugnay sa proteksyon ng personal na data. Kapag lumilipat sa cloud, poprotektahan nito ang imprastraktura ng IT, at aalisin nito ang ilan sa mga responsibilidad mula sa kliyente. Halimbawa, tinutupad ng provider ang mga kinakailangan ng Federal Law 152 tungkol sa proteksyon ng virtualization environment.
Ang mga provider ay maaari ding magbigay sa mga customer ng ekspertong suporta sa paglutas ng problema sa proteksyon ng data: pagtukoy sa kinakailangang antas ng seguridad at, alinsunod dito, nag-aalok ng opsyon sa pagpapatupad; bumuo ng dokumentasyon upang sumunod sa mga kinakailangan ng batas ng Russian Federation.
Ang isang secure na ulap ay makakatulong sa pag-optimize ng mga gastos ng isang organisasyon sa pamamagitan ng pagbawas sa mga gastos sa paglikha at pagpapanatili ng imprastraktura ng IT at isang panloob na sistema ng seguridad ng impormasyon. Karaniwan, ang mga kwalipikadong eksperto ay nagbibigay ng komprehensibong teknikal na suporta at suporta, kabilang ang pagkonsulta at pagbuo ng isang pakete ng mga dokumento para sa sertipikasyon ng mga awtoridad sa regulasyon, at ang platform ng paghahatid ng serbisyo ay nakakatugon sa mahigpit na teknikal na pamantayan at nakakatugon sa mga kinakailangang kinakailangan ng organisasyon. Maaaring samantalahin ng mga kliyente ang mga serbisyo para sa paghahanda ng kinakailangang dokumentasyon at pagprotekta sa ISPD sa antas ng aplikasyon at operating system.
Ang mga proseso ng pamamahala sa peligro at kahinaan, mga pagsisiyasat sa insidente, panloob at panlabas na pag-audit ng seguridad, pati na rin ang regular na pagsubaybay at pagsubok ng network, mga sistema at proseso ng seguridad ng impormasyon ay ibinibigay din. Ang mga kwalipikadong espesyalista ay nagbibigay ng XNUMX/XNUMX na suporta sa imprastraktura ng IT.
Kung magkakasama, tinitiyak ng mga hakbang na ito ang pagsunod sa mga pederal na batas tungkol sa proteksyon ng personal na data.
Certified na platform
Nagbibigay ang IBS DataFort ng naturang serbisyo batay sa . Ang lahat ng mga teknikal na bahagi, pangangasiwa at mga tool sa virtualization ng platform na ito ay sumusunod sa mga pamantayan at kinakailangan ng Federal Law-152.
Arkitektura ng secure na cloud ng IBS DataFort.
Nagbibigay ang platform ng garantisadong proteksyon ng ISPD (hanggang sa 1st security level inclusive), GIS (hanggang sa at kabilang ang 1st security class) at secure na data storage sa Tier III data center. Gumagamit ang platform ng mga certified firewall, intrusion detection and prevention tools (IDS/IPS), encryption of communication channels (GOST VPN), anti-virus protection, proteksyon laban sa hindi awtorisadong pag-access, proteksyon ng virtualization environment, pati na rin ang vulnerability scanning tool.
ay isa ring angkop na solusyon para sa mga may mataas na pangangailangan para sa pagiging kumpidensyal at proteksyon ng data, gustong palakasin ang kanilang reputasyon sa negosyo o makakuha ng ganoong competitive na kalamangan bilang isang napatunayang mataas na antas ng seguridad ng impormasyon.
Paano "lumipat" sa gayong ulap? Posible ba ang "walang putol na paglipat"? medyo. Halimbawa, ligtas na inililipat ng IBS DataFort ang ISPD sa secure cloud nito, na pinapaliit ang downtime at ang epekto sa mga proseso ng negosyo ng kumpanya (kabilang ang mula sa mga dayuhang site).
Ang pagdadala ng imprastraktura ng IT sa pagsunod sa Pederal na Batas-152
Ang proseso ng pagdadala ng imprastraktura ng IT ng kliyente sa pagsunod sa mga kinakailangan ng Federal Law-152 ay nagsisimula sa isang pag-audit at pagtatasa ng kasalukuyang antas ng seguridad.
Kasama sa pag-audit ng imprastraktura ng IT ng kliyente ang pagsusuri sa pagproseso at proteksyon ng personal na data at pagsusuri sa sistema ng impormasyon ng customer. Ang isang ulat ng survey ay iginuhit na may isang detalyadong paglalarawan ng mga proseso ng pagpoproseso ng PD mula sa isang teknikal na punto ng view.
Kasama rin sa gawain ang pagmomodelo ng mga banta at nanghihimasok at pagbubuo ng isang ulat sa pagtukoy sa antas ng seguridad para sa ISPD. Batay sa mga resulta ng pag-audit, ang isang pribadong teknikal na detalye para sa sistema ng proteksyon ng ISPD ay iginuhit at tinutukoy ang mga kinakailangan para sa dinisenyong sistema.
Isang hanay ng mga patakaran, tagubilin, regulasyon at iba pang mga dokumento para sa proteksyon ng personal na data ay binuo. Kasabay nito, sinusubukan ng mga espesyalista na i-optimize ang mga gastos ng customer para sa pagpapatupad ng mga hakbang sa seguridad.
Nagbibigay ang IBS DataFort ng mga serbisyo para sa paghahanda ng dokumentasyon at pagprotekta sa ISPD upang sumunod sa pederal na batas sa proteksyon ng personal na data at makakatulong sa paghahanda at pagpasa ng sertipikasyon (ISPD, GIS, AS).
Ang sertipikasyon ay isinasagawa ng mga independiyenteng auditor na lisensyado ng FSTEC at ng FSB ng Russia. Ang pagpasa sa naturang sertipikasyon ay nagpapatunay sa maaasahang proteksyon ng personal na data ng mga kasosyo at kliyente ng kumpanya mula sa mga panlabas na banta, at komprehensibong pagsunod sa mga kinakailangan sa regulasyon. Mahalagang matanggap ng mga kliyente ang kaginhawahan ng isang "one-stop shop": lahat ay ibinibigay ng isang kumpanya - IBS DataFort.
Para sa operator ng personal na data, nangangahulugan ito ng kahandaan para sa mga inspeksyon ng Roskomnadzor, FSTEC at FSB, na inaalis ang panganib ng pagharang sa mga mapagkukunan, at ang kawalan ng mga paghahabol at parusa mula sa regulator.
Ang serbisyong ito ay may-katuturan para sa maraming kategorya ng mga customer sa bahagi ng gobyerno at korporasyon at maaaring hinihiling ng mga operator ng personal na data na gustong isunod ang kanilang mga aktibidad sa batas. Ang paglalagay ng IP sa isang saradong bahagi ng imprastraktura ng provider, na na-certify ayon sa lahat ng kinakailangang pamantayan at kinakailangan, ay nagpapagaan sa customer mula sa pangangailangan na independiyenteng ayusin ang lahat ng trabaho.
Pinagmulan: www.habr.com