联邦法 152“个人数据保护”适用于所有现有实体:个人和法人实体、联邦政府机构和地方政府。 事实上,该法适用于处理俄罗斯联邦公民信息和个人数据的任何组织,无论该组织的所有权形式和规模如何。
有时,一个组织可以出人意料地发现最初隐含的个人数据(PD)信息系统。 例如,如果一家公司的网站有反馈表、注册、授权和其他可识别主体的数据收集形式,则该公司被视为个人数据运营商。
监管机构对遵守联邦法律“个人数据”的要求进行控制和监督:
- Roskomnadzor 关于保护个人数据主体权利的规定;
- 俄罗斯联邦安全局关于遵守密码学领域要求的规定;
- 俄罗斯 FSTEC 遵守保护信息免遭未经授权的访问和通过技术渠道泄露的要求。
由于“个人数据”联邦法只是保护个人数据的法律支持基础,其要求随后在俄罗斯联邦政府和交通部的法案以及俄罗斯联邦的其他监管和方法文件中明确规定。监管机构。
联邦当局监管个人数据处理领域的活动
- Roskomnadzor (联邦通信和大众传播监督服务)- 对 PD 处理是否符合法律要求进行控制和监督。
- 俄罗斯联邦科技经济合作委员会 (联邦技术和出口管制服务)- 制定使用技术手段保护信息的方法和手段。
- 俄罗斯FSB (俄罗斯联邦联邦安全局)- 在其权力范围内建立保护信息的方法和手段(信息保护的加密手段的使用范围)
每个处理个人数据的组织都面临着使其信息系统符合法律要求的问题。 个人数据保护不仅在俄罗斯,而且在其他国家都是最紧迫的问题之一。
个人数据的类型
根据联邦法第 152 号,个人数据是指与基于此类信息(个人数据主体)识别或确定的个人相关的任何信息。 例如:全名、出生日期和地点、地址、家庭、社会、财产状况、教育程度等。
个人数据分为几类:
特殊
与种族、国籍、政治观点、宗教或哲学信仰、健康状况、亲密生活有关的个人数据
生物识别
PD,表征一个人的生理和生物特征,在此基础上可以确定其身份,操作者使用它来确定个人数据主体的身份
其他
与直接或间接识别或可识别个人相关且不属于上述类别的个人数据
公开可用
从公开来源获得的 PD,其中数据的发布已获得个人数据主体的书面同意
个人数据处理是指使用或不使用自动化工具对个人数据进行的任何操作(操作)或一组操作,包括:
- 收藏,
- 记录,
- 系统化,
- 积累,
- 贮存,
- 澄清(更新、更改),
- 萃取,
- 用法,
- 传输(分发、提供、访问),
- 人格解体,
- 阻塞,
- 移动,
- 销毁个人数据。
违规责任
根据第24号联邦法第152条,违反俄罗斯联邦法律的人员应承担责任。
在检查公司时,监管机构遵循联邦法 152 和一些附则的指导。 检查可以是定期的,也可以是不定期的——根据违规事实,以及监控之前发布的消除违规行为的命令。
违反个人数据保护要求的人不仅可能面临民事和纪律责任,还可能面临行政甚至刑事责任。
如何遵守联邦法律152的要求?
因此,处理个人数据或其他敏感信息的公司或组织必须依法保护这些信息。 这不仅需要严格的专业知识、知识和经验,而且还存在技术困难和相当大的成本。
根据FSTEC认可的官方定义,“......个人数据安全是个人数据的安全状态,其特征是用户、技术手段和信息技术在发生以下情况时确保个人数据的机密性、完整性和可用性的能力:在个人数据信息系统中处理......”
为了满足联邦法152的组织、法律和技术要求,您不仅需要研究法律本身,还需要研究其附则,并弄清楚到底需要采取哪些措施。 外包专家可以研究公司处理个人数据的流程、制定必要的文件、实施安全措施等。
完善的信息安全体系包括:
- 入侵防御工具 (IDS)。
- 防火墙(FW)。
- 防范恶意软件。
- 用于监控和记录安全事件的系统。
- 通信通道的密码保护系统(加密)。
- 保护虚拟环境的手段,防止未经授权的访问 (ATP)、识别和访问控制的系统。
- 安全分析/漏洞检测系统等
此外,全面的信息安全不仅涉及技术措施,还涉及组织措施。
Cloud FZ-152:实施特点
许多俄罗斯提供商根据有关个人数据的联邦立法的要求,提供用于托管信息系统的云基础设施的服务。 当客户的系统托管在云端时,提供商会面临许多信息安全问题,包括与个人数据保护相关的问题。 当迁移到云时,它将保护IT基础设施,这将消除客户的一些责任。 例如,提供商满足联邦法律 152 关于虚拟化环境保护的要求。
提供商还可以为客户提供解决数据保护问题的专家支持:确定所需的安全级别,并据此提供实施选项; 制定符合俄罗斯联邦立法要求的文件。
安全的云将通过降低创建和维护 IT 基础设施以及内部信息安全系统的成本来帮助优化组织的成本。 通常,合格的专家提供全面的技术支持和支持,包括咨询和开发一揽子文件以供监管机构认证,并且服务交付平台满足严格的技术标准并满足必要的组织要求。 客户可以利用服务来准备必要的文档并在应用程序和操作系统级别保护 ISPD。
还提供风险和漏洞管理流程、事件调查、内部和外部安全审计,以及对网络、系统和信息安全流程的定期监控和测试。 合格的专家提供 XNUMX/XNUMX IT 基础设施支持。
总的来说,这些措施确保遵守有关个人数据保护的联邦法律。
认证平台
IBS DataFort 提供这样的服务基于 。 该平台的所有技术部分、管理和虚拟化工具均符合联邦法律 152 的规范和要求。
IBS DataFort 安全云的架构。
该平台为 ISPD(高达第 1 安全级别)、GIS(高达第 1 安全级别)以及 Tier III 数据中心的安全数据存储提供有保障的保护。 该平台使用经过认证的防火墙、入侵检测和防御工具(IDS/IPS)、通信通道加密(GOST VPN)、防病毒保护、防止未经授权的访问、虚拟化环境保护以及漏洞扫描工具。
对于那些对机密性和数据保护有很高要求、想要加强其商业声誉或获得经过验证的高水平信息安全等竞争优势的人来说,这也是一个合适的解决方案。
如何“搬”到这样的云上? “无缝迁移”可能吗? 相当。 例如,IBS DataFort 将 ISPD 安全地传输到其安全云,从而最大限度地减少停机时间以及对公司业务流程(包括来自国外站点)的影响。
使 IT 基础设施符合联邦法律 152
使客户的 IT 基础设施符合联邦法律 152 要求的过程始于对当前安全级别的审核和评估。
对客户 IT 基础设施的审计包括对个人数据处理和保护的检查以及对客户信息系统的检查。 起草一份调查报告,从技术角度详细描述PD处理流程。
这项工作还包括对威胁和入侵者进行建模,并起草一份确定 ISPD 安全级别的报告。 根据审核结果,制定了 ISPD 保护系统的专用技术规范,并定义了设计系统的要求。
正在制定一套保护个人数据的政策、指示、法规和其他文件。 与此同时,专家们试图优化客户实施安全措施的成本。
IBS DataFort 提供准备文档和保护 ISPD 的服务,以遵守有关个人数据保护的联邦立法,并可以帮助准备和通过认证(ISPD、GIS、AS)。
认证由 FSTEC 和俄罗斯 FSB 授权的独立审核员进行。 通过此类认证证实了公司合作伙伴和客户的个人数据受到可靠保护,免受外部威胁,并全面符合监管要求。 重要的是,客户可以享受“一站式服务”的便利:一切都由一家公司 - IBS DataFort 提供。
对于个人数据运营商来说,这意味着准备好接受 Roskomnadzor、FSTEC 和 FSB 的检查,消除资源阻塞的风险,并且不会受到监管机构的索赔和制裁。
这项服务与政府和企业部门的许多类别的客户相关,并且希望使其活动符合法律的个人数据运营商可能需要该服务。 将 IP 放置在提供商基础设施的封闭部分中,并根据所有必要的标准和要求进行认证,使客户无需独立组织所有工作。
来源: habr.com