"Shaxsiy ma'lumotlarni himoya qilish to'g'risida" gi 152-FZ-sonli Federal qonuni barcha mavjud sub'ektlarga: jismoniy va yuridik shaxslarga, federal davlat organlari va mahalliy hokimiyatlarga nisbatan qo'llaniladi. Aslida, ushbu qonun mulkchilik shaklidan va tashkilotning hajmidan qat'i nazar, Rossiya Federatsiyasi fuqarolarining ma'lumotlari va shaxsiy ma'lumotlarini qayta ishlaydigan har qanday tashkilotga nisbatan qo'llaniladi.
Ba'zida tashkilot o'zi uchun kutilmaganda shaxsiy ma'lumotlarning dastlabki yashirin axborot tizimlarini (PD) kashf qilishi mumkin. Masalan, agar uning veb-saytida sub'ektni aniqlash mumkin bo'lgan aloqa shakllari, ro'yxatga olish, avtorizatsiya va ma'lumotlarni yig'ishning boshqa shakllari mavjud bo'lsa, kompaniya shaxsiy ma'lumotlar operatori hisoblanadi.
"Shaxsiy ma'lumotlar to'g'risida" gi federal qonun talablariga rioya etilishini nazorat qilish va nazorat qilish tartibga soluvchi organlar tomonidan amalga oshiriladi:
- Roskomnadzor shaxsiy ma'lumotlar sub'ektlarining huquqlarini himoya qilish bo'yicha;
- Kriptografiya sohasidagi talablarga muvofiqligi bo'yicha Rossiya FSB;
- Rossiya FSTEC ma'lumotni ruxsatsiz kirish va texnik kanallar orqali sizib chiqishdan himoya qilish talablariga muvofiqligi nuqtai nazaridan.
"Shaxsiy ma'lumotlar to'g'risida" Federal qonun faqat shaxsiy ma'lumotlarni himoya qilishni huquqiy qo'llab-quvvatlash uchun asos bo'lganligi sababli, uning talablari keyinchalik Rossiya Federatsiyasi Hukumati va Aloqa vazirligining hujjatlarida va boshqa me'yoriy-uslubiy hujjatlarda belgilab qo'yilgan. regulyatorlar.
Shaxsiy ma'lumotlarni qayta ishlash sohasidagi faoliyatni tartibga soluvchi federal organlar
- Roskomnadzor (Aloqa va ommaviy kommunikatsiyalarni nazorat qilish federal xizmati) - PDni qayta ishlashning qonuniy talablarga muvofiqligi ustidan nazorat va nazoratni amalga oshiradi.
- Rossiya FSTEC (Texnik va eksport nazorati federal xizmati) - texnik vositalardan foydalangan holda axborotni himoya qilish usullari va vositalarini belgilaydi.
- Rossiya FSB (Rossiya Federatsiyasi Federal xavfsizlik xizmati) - o'z vakolatlari doirasida axborotni himoya qilish usullari va vositalarini (axborotni himoya qilishning kriptografik vositalaridan foydalanish sohasi) belgilaydi.
Shaxsiy ma'lumotlarni qayta ishlaydigan har bir tashkilot o'z axborot tizimlarini qonun talablariga muvofiqlashtirish muammosiga duch keladi. Shaxsiy ma'lumotlarni himoya qilish nafaqat Rossiyada, balki boshqa mamlakatlarda ham eng dolzarb muammolardan biridir.
Shaxsiy ma'lumotlar turlari
152-sonli Federal qonunga muvofiq, shaxsiy ma'lumotlar - bunday ma'lumotlar asosida aniqlangan yoki aniqlangan shaxsga tegishli har qanday ma'lumot (shaxsiy ma'lumotlarning predmeti). Masalan: to‘liq ismi-sharifi, tug‘ilgan yili va joyi, manzili, oilasi, ijtimoiy, mulkiy holati, ma’lumoti va hokazo.
Shaxsiy ma'lumotlar bir necha toifalarga bo'linadi:
Maxsus
Irqi, millati, siyosiy qarashlari, diniy yoki falsafiy e'tiqodlari, sog'lig'i, intim hayoti bilan bog'liq shaxsiy ma'lumotlar
Biometrik
Shaxsning fiziologik va biologik xususiyatlarini tavsiflovchi, uning asosida uning shaxsini aniqlash mumkin bo'lgan va operator tomonidan shaxsiy ma'lumotlar sub'ektining shaxsini aniqlash uchun foydalaniladigan PD.
Boshqa
To'g'ridan-to'g'ri yoki bilvosita aniqlangan yoki aniqlanishi mumkin bo'lgan shaxsga tegishli va yuqoridagi toifalarga kirmaydigan PD
Hammaga ochiq
Shaxsiy ma'lumotlar sub'ektining yozma roziligi bilan ma'lumotlar e'lon qilingan ochiq manbalardan olingan PD
Shaxsiy ma'lumotlarni qayta ishlash - bu avtomatlashtirish vositalaridan foydalangan holda yoki foydalanmasdan shaxsiy ma'lumotlar bilan bog'liq har qanday harakat (operatsiya) yoki harakatlar to'plami, shu jumladan:
- yig'ish,
- yozib olish,
- tizimlashtirish,
- yig'ish,
- saqlash,
- tushuntirish (yangilash, o'zgartirish),
- qazib olish,
- foydalanish,
- uzatish (tarqatish, ta'minlash, kirish),
- depersonalizatsiya,
- blokirovka qilish,
- olib tashlash,
- shaxsiy ma'lumotlarni yo'q qilish.
Huquqbuzarliklar uchun javobgarlik
24-sonli Federal qonunining 152-moddasiga binoan, shaxslar Rossiya Federatsiyasi qonunchiligiga muvofiq qonunni buzganliklari uchun javobgar bo'ladilar.
Kompaniyani tekshirishda tartibga soluvchilar 152-sonli Federal qonun va bir qator qonunosti hujjatlariga amal qiladilar. Tekshiruv rejali yoki rejadan tashqari bo'lishi mumkin - buzilish faktlari asosida, shuningdek ularni bartaraf etish bo'yicha ilgari chiqarilgan buyruqlarni nazorat qilish.
Shaxsiy ma'lumotlarni himoya qilish talablarini buzgan shaxslar nafaqat fuqarolik va intizomiy, balki ma'muriy va hatto jinoiy javobgarlikka tortilishi mumkin.
Federal qonun-152 talablariga qanday rioya qilish kerak?
Shunday qilib, shaxsiy ma'lumotlarni yoki boshqa maxfiy ma'lumotlarni qayta ishlaydigan kompaniya yoki tashkilot ushbu ma'lumotlarni qonunga muvofiq himoya qilishi kerak. Bu nafaqat jiddiy tajriba, bilim va tajribani talab qiladi, balki texnik qiyinchiliklar va katta xarajatlar bilan ham bog'liq.
FSTEC tomonidan tasdiqlangan rasmiy ta'rifga ko'ra, "...Shaxsiy ma'lumotlarning xavfsizligi - foydalanuvchilarning, texnik vositalarning va axborot texnologiyalarining shaxsiy ma'lumotlarning maxfiyligi, yaxlitligi va mavjudligini ta'minlash qobiliyati bilan tavsiflangan shaxsiy ma'lumotlarning xavfsizligi holati. shaxsiy ma'lumotlarning axborot tizimlarida qayta ishlanadi ..."
152-sonli Federal qonunning tashkiliy, huquqiy va texnik talablarini mustaqil ravishda bajarish uchun siz nafaqat qonunning o'zini, balki uning qonunosti hujjatlarini ham o'rganishingiz va qanday choralar ko'rish kerakligini aniqlab olishingiz kerak. Autsorsing bo'yicha mutaxassislar kompaniyada shaxsiy ma'lumotlarni qayta ishlash jarayonlarini o'rganishi, kerakli hujjatlarni rasmiylashtirishi, xavfsizlik choralarini qo'llashi va hk.
Kompleks axborot xavfsizligi tizimi quyidagilarni o'z ichiga oladi:
- Intrusion oldini olish vositalari (IDS).
- Xavfsizlik devori (FW).
- Zararli dasturlardan himoya.
- Xavfsizlik hodisalarini kuzatish va qayd etish tizimi.
- Aloqa kanallarini kriptografik himoya qilish tizimi (shifrlash).
- Virtual muhitni himoya qilish vositalari, ruxsatsiz kirishdan himoya qilish tizimi (ATP), identifikatsiya va kirishni boshqarish.
- Xavfsizlikni tahlil qilish/zaiflikni aniqlash tizimi va boshqalar.
Bundan tashqari, keng qamrovli axborot xavfsizligi nafaqat texnik, balki tashkiliy tadbirlarni ham o'z ichiga oladi.
Cloud FZ-152: amalga oshirish xususiyatlari
Rossiyaning bir qator provayderlari shaxsiy ma'lumotlarga oid federal qonunchilik talablariga muvofiq axborot tizimlarini joylashtirish uchun bulutli infratuzilmani taqdim etish bo'yicha xizmatlarni taqdim etadilar. Mijozning tizimlari bulutda joylashganda, provayder ko'plab axborot xavfsizligi masalalarini, shu jumladan shaxsiy ma'lumotlarni himoya qilish bilan bog'liq muammolarni o'z zimmasiga oladi. Bulutga o'tishda u IT infratuzilmasini himoya qiladi va bu mijozdan ba'zi mas'uliyatlarni olib tashlaydi. Masalan, provayder 152-sonli Federal qonunning virtualizatsiya muhitini himoya qilish bo'yicha talablarini bajaradi.
Provayderlar, shuningdek, mijozlarga ma'lumotlarni himoya qilish muammosini hal qilishda ekspert yordamini taqdim etishlari mumkin: xavfsizlikning zarur darajasini aniqlash va shunga muvofiq, amalga oshirish variantini taklif qilish; rossiya Federatsiyasi qonunchiligi talablariga rioya qilish uchun hujjatlarni ishlab chiqish.
Xavfsiz bulut IT infratuzilmasi va ichki axborot xavfsizligi tizimini yaratish va saqlash xarajatlarini kamaytirish orqali tashkilot xarajatlarini optimallashtirishga yordam beradi. Odatda malakali ekspertlar nazorat qiluvchi organlar tomonidan sertifikatlashtirish uchun konsalting va hujjatlar to‘plamini ishlab chiqishni o‘z ichiga olgan har tomonlama texnik qo‘llab-quvvatlash va qo‘llab-quvvatlashni ta’minlaydi va xizmatlar ko‘rsatish platformasi qat’iy texnik standartlarga javob beradi va zarur tashkiliy talablarga javob beradi. Mijozlar dastur va operatsion tizim darajasida kerakli hujjatlarni tayyorlash va ISPDni himoya qilish xizmatlaridan foydalanishlari mumkin.
Xavf va zaifliklarni boshqarish jarayonlari, hodisalarni tekshirish, ichki va tashqi xavfsizlik auditlari, shuningdek, tarmoq, tizimlar va axborot xavfsizligi jarayonlarini muntazam monitoring qilish va sinovdan o'tkazish ham ta'minlanadi. Malakali mutaxassislar IT infratuzilmasini XNUMX/XNUMX ta'minlaydi.
Birgalikda ushbu choralar shaxsiy ma'lumotlarni himoya qilish bo'yicha federal qonunlarga rioya qilishni ta'minlaydi.
Sertifikatlangan platforma
IBS DataFort bunday xizmatga asoslangan holda taqdim etadi . Ushbu platformaning barcha texnik qismlari, ma'muriyati va virtualizatsiya vositalari Federal qonun-152 normalari va talablariga javob beradi.
IBS DataFort xavfsiz bulutining arxitekturasi.
Platforma ISPD (shu jumladan 1-xavfsizlik darajasigacha), GIS (1-xavfsizlik klassigacha va shu jumladan) kafolatlangan himoyasini va III darajali maʼlumotlar markazida maʼlumotlarni xavfsiz saqlashni taʼminlaydi. Platformada sertifikatlangan xavfsizlik devorlari, hujumlarni aniqlash va oldini olish vositalari (IDS/IPS), aloqa kanallarini shifrlash (GOST VPN), virusga qarshi himoya, ruxsatsiz kirishdan himoya qilish, virtualizatsiya muhitini himoya qilish, shuningdek, zaifliklarni skanerlash vositalaridan foydalaniladi.
shuningdek, maxfiylik va ma'lumotlarni himoya qilish bo'yicha yuqori talablarga ega bo'lganlar, o'zlarining ishbilarmonlik obro'sini mustahkamlash yoki axborot xavfsizligining isbotlangan yuqori darajasi kabi raqobatdosh ustunlikka ega bo'lishni xohlaydiganlar uchun mos echimdir.
Bunday bulutga qanday "ko'chirish" mumkin? “Uzluksiz migratsiya” mumkinmi? Juda. Masalan, IBS DataFort ISPD-ni xavfsiz bulutga o'tkazadi, bu esa ishlamay qolish vaqtini va kompaniyaning biznes jarayonlariga (shu jumladan xorijiy saytlardan) ta'sirini minimallashtiradi.
AT infratuzilmasini Federal qonun-152 ga muvofiqlashtirish
Mijozning IT infratuzilmasini Federal qonun-152 talablariga muvofiqlashtirish jarayoni xavfsizlikning joriy darajasini tekshirish va baholashdan boshlanadi.
Mijozning AT infratuzilmasi auditi shaxsiy ma'lumotlarni qayta ishlash va himoya qilishni tekshirishni va mijozning axborot tizimini tekshirishni o'z ichiga oladi. Texnik nuqtai nazardan PDni qayta ishlash jarayonlarining batafsil tavsifi bilan so'rov hisoboti tuziladi.
Ish shuningdek, tahdidlar va buzg'unchilarni modellashtirish va ISPD uchun xavfsizlik darajasini aniqlash bo'yicha hisobot tuzishni o'z ichiga oladi. Tekshiruv natijalariga ko'ra, ISPD himoya tizimi uchun xususiy texnik spetsifikatsiya tuziladi va loyihalashtirilgan tizimga qo'yiladigan talablarni belgilaydi.
Shaxsiy ma'lumotlarni himoya qilish bo'yicha siyosatlar, ko'rsatmalar, qoidalar va boshqa hujjatlar to'plami ishlab chiqilmoqda. Shu bilan birga, mutaxassislar xavfsizlik choralarini amalga oshirish uchun mijozning xarajatlarini optimallashtirishga harakat qilishadi.
IBS DataFort shaxsiy ma'lumotlarni himoya qilish bo'yicha federal qonunchilikka rioya qilish uchun hujjatlarni tayyorlash va ISPDni himoya qilish xizmatlarini taqdim etadi va sertifikatlashtirishni (ISPD, GIS, AS) tayyorlash va topshirishda yordam berishi mumkin.
Sertifikatlash FSTEC va Rossiya FSB tomonidan litsenziyalangan mustaqil auditorlar tomonidan amalga oshiriladi. Bunday sertifikatdan o'tish kompaniya hamkorlari va mijozlarining shaxsiy ma'lumotlarining tashqi tahdidlardan ishonchli himoyalanganligini va tartibga solish talablariga har tomonlama muvofiqligini tasdiqlaydi. Mijozlar “bir darcha” qulayligini olishlari muhim: hamma narsa bitta kompaniya - IBS DataFort tomonidan taqdim etiladi.
Shaxsiy ma'lumotlar operatori uchun bu Roskomnadzor, FSTEC va FSB tomonidan tekshiruvlarga tayyor bo'lish, resurslarni blokirovka qilish xavfini bartaraf etish va tartibga soluvchi tomonidan da'vo va sanktsiyalar yo'qligini anglatadi.
Ushbu xizmat davlat va korporativ segmentdagi mijozlarning ko'plab toifalari uchun dolzarb bo'lib, o'z faoliyatini qonunga muvofiqlashtirishni istagan shaxsiy ma'lumotlar operatorlari tomonidan talab qilinishi mumkin. IP-ni barcha zarur standartlar va talablar bo'yicha sertifikatlangan provayder infratuzilmasining yopiq segmentiga joylashtirish mijozni barcha ishlarni mustaqil ravishda tashkil etish zaruratidan xalos qiladi.
Manba: www.habr.com