聯邦法 152「個人資料保護」適用於所有現有實體:個人和法人實體、聯邦政府機構和地方政府。 事實上,該法適用於處理俄羅斯聯邦公民資訊和個人資料的任何組織,無論該組織的所有權形式和規模如何。
有時,一個組織可以出人意料地發現最初隱含的個人資料(PD)資訊系統。 例如,如果一家公司的網站有回饋表、註冊、授權和其他可識別主體的資料收集形式,則該公司被視為個人資料運營商。
監管機構對聯邦法律「個人資料」要求的遵守情況進行控制和監督:
- Roskomnadzor 關於保護個人資料主體權利的規定;
- 俄羅斯聯邦安全局關於遵守密碼學領域要求的規定;
- 俄羅斯 FSTEC 遵守保護資訊免遭未經授權的存取和透過技術管道洩漏的要求。
由於「個人資料」聯邦法只是保護個人資料的法律支持基礎,其要求隨後在俄羅斯聯邦政府和交通部的法案以及俄羅斯聯邦的其他監管和方法文件中明確規定。監管機構。
聯邦當局監管個人資料處理領域的活動
- Roskomnadzor (聯邦通訊和大眾傳播監督服務)- 對 PD 處理是否符合法律要求進行控制和監督。
- 俄羅斯FSTEC (聯邦技術和出口管制服務)- 制定使用技術手段保護資訊的方法和手段。
- 俄羅斯聯邦安全局 (俄羅斯聯邦聯邦安全局)- 在其權力範圍內建立保護資訊的方法和手段(資訊保護的加密手段的使用範圍)
每個處理個人資料的組織都面臨著使其資訊系統符合法律要求的問題。 個人資料保護不僅在俄羅斯,而且在其他國家都是最迫切的問題之一。
個人資料的類型
根據聯邦法第 152 號,個人資料是指與基於此類資訊(個人資料主體)識別或確定的個人相關的任何資訊。 例如:全名、出生日期及地點、地址、家庭、社會、財產狀況、教育程度等。
個人資料分為幾類:
特別
與種族、國籍、政治觀點、宗教或哲學信仰、健康狀況、親密生活有關的個人數據
生物識別
PD,表徵一個人的生理和生物特徵,在此基礎上可以確定其身份,操作者使用它來確定個人資料主體的身份
其他
與直接或間接識別或可識別個人相關且不屬於上述類別的個人數據
公開可用
從公開來源獲得的 PD,其中資料的發布已獲得個人資料主體的書面同意
個人資料處理是指使用或不使用自動化工具對個人資料進行的任何操作(操作)或一組操作,包括:
- 收藏,
- 記錄,
- 系統化,
- 積累,
- 貯存,
- 澄清(更新、更改),
- 萃取,
- 用法,
- 傳輸(分發、提供、存取),
- 人格解體,
- 阻塞,
- 移動,
- 銷毀個人資料。
違規責任
根據第24號聯邦法第152條,違反俄羅斯聯邦法律的人員應承擔責任。
在檢查公司時,監管機構遵循聯邦法律 152 和一些附則的指導。 檢查可以是定期的,也可以是不定期的——根據違規事實,以及監控先前發布的消除違規行為的命令。
違反個人資料保護要求的人不僅可能面臨民事和紀律責任,還可能面臨行政甚至刑事責任。
如何遵守聯邦法律-152 的要求?
因此,處理個人資料或其他敏感資訊的公司或組織必須依法保護這些資訊。 這不僅需要嚴格的專業知識、知識和經驗,而且還存在技術困難和相當大的成本。
根據FSTEC認可的官方定義,「......個人資料安全是個人資料的安全狀態,其特徵是使用者、技術手段和資訊技術在發生以下情況時確保個人資料的機密性、完整性和可用性的能力:在個人資料資訊系統中處理......”
為了滿足聯邦法152的組織、法律和技術要求,您不僅需要研究法律本身,還需要研究其附則,並弄清楚到底需要採取哪些措施。 外包專家可以研究公司處理個人資料的流程、制定必要的文件、實施安全措施等。
完善的資訊安全體系包括:
- 入侵防禦工具 (IDS)。
- 防火牆(FW)。
- 防範惡意軟體。
- 用於監控和記錄安全事件的系統。
- 通訊通道的密碼保護系統(加密)。
- 保護虛擬環境的手段,防止未經授權的存取 (ATP)、識別和存取控制的系統。
- 安全分析/漏洞檢測系統等
此外,全面的資訊安全不僅涉及技術措施,還涉及組織措施。
Cloud FZ-152:實施特點
許多俄羅斯提供者根據有關個人資料的聯邦立法的要求,提供用於託管資訊系統的雲端基礎設施的服務。 當客戶的系統託管在雲端時,提供者會面臨許多資訊安全問題,包括與個人資料保護相關的問題。 當遷移到雲端時,它將保護IT基礎設施,這將消除客戶的一些責任。 例如,提供者滿足聯邦法律 152 關於虛擬化環境保護的要求。
提供者還可以為客戶提供解決資料保護問題的專家支援:確定所需的安全級別,並據此提供實施選項; 制定符合俄羅斯聯邦立法要求的文件。
安全的雲端將透過降低創建和維護 IT 基礎設施以及內部資訊安全系統的成本來幫助優化組織的成本。 通常,合格的專家提供全面的技術支援和支持,包括諮詢和開發一攬子文件以供監管機構認證,並且服務交付平台滿足嚴格的技術標準並滿足必要的組織要求。 客戶可以利用服務來準備必要的文件並在應用程式和作業系統層級保護 ISPD。
還提供風險和漏洞管理流程、事件調查、內部和外部安全審計,以及對網路、系統和資訊安全流程的定期監控和測試。 合格的專家提供 XNUMX/XNUMX IT 基礎設施支援。
總的來說,這些措施確保遵守有關個人資料保護的聯邦法律。
認證平台
IBS DataFort 提供這樣的服務是基於 。 該平台的所有技術部分、管理和虛擬化工具均符合聯邦法律 152 的規範和要求。
IBS DataFort 安全雲的架構。
此平台為 ISPD(高達第 1 安全等級)、GIS(高達第 1 安全等級)以及 Tier III 資料中心的安全資料儲存提供有保障的保護。 該平台使用經過認證的防火牆、入侵偵測和防禦工具(IDS/IPS)、通訊通道加密(GOST VPN)、防毒保護、防止未經授權的存取、虛擬化環境保護以及漏洞掃描工具。
對於那些對機密性和資料保護有很高要求、想要加強其商業聲譽或獲得經過驗證的高水準資訊安全等競爭優勢的人來說,這也是一個合適的解決方案。
如何「搬」到這樣的雲上? 「無縫遷移」可能嗎? 相當。 例如,IBS DataFort 將 ISPD 安全地傳輸到其安全雲,從而最大限度地減少停機時間以及對公司業務流程(包括來自國外站點)的影響。
使 IT 基礎設施符合聯邦法律 152
使客戶的 IT 基礎設施符合聯邦法律 152 要求的過程始於對當前安全等級的審核和評估。
對客戶 IT 基礎設施的審計包括對個人資料處理和保護的檢查以及對客戶資訊系統的檢查。 起草調查報告,從技術角度詳細描述PD處理過程。
這項工作還包括對威脅和入侵者進行建模,並起草一份確定 ISPD 安全等級的報告。 根據審核結果,制定了 ISPD 保護系統的專用技術規範,並定義了設計系統的要求。
正在製定一套保護個人資料的政策、指示、法規和其他文件。 同時,專家們試圖優化客戶實施安全措施的成本。
IBS DataFort 提供準備文件和保護 ISPD 的服務,以遵守有關個人資料保護的聯邦立法,並可以協助準備和通過認證(ISPD、GIS、AS)。
認證由 FSTEC 和俄羅斯 FSB 授權的獨立審核員進行。 透過此類認證證實了公司合作夥伴和客戶的個人資料受到可靠保護,免受外部威脅,並全面符合監管要求。 重要的是,客戶可以享受「一站式服務」的便利性:一切都由一家公司 - IBS DataFort 提供。
對於個人資料業者來說,這意味著準備好接受 Roskomnadzor、FSTEC 和 FSB 的檢查,消除資源阻塞的風險,並且不會受到監管機構的索賠和製裁。
這項服務與政府和企業領域的許多類別的客戶相關,並且希望使其活動符合法律的個人資料營運商可能需要該服務。 將 IP 放置在提供者基礎設施的封閉部分中,並根據所有必要的標準和要求進行認證,使客戶無需獨立組織所有工作。
來源: www.habr.com