🚅 🤽🏿 🎄 Secure Cloud en DF Cloud 🌮 👊 🚠

FZ-152 "Sobre la protección de datos personales" se aplica a todas las entidades existentes: personas físicas y jurídicas, organismos federales de poder estatal y autogobierno local. De hecho, esta ley se aplica a cualquier organización que procese información y datos personales de ciudadanos de la Federación de Rusia, independientemente de la forma de propiedad y el tamaño de la organización.

A veces, una organización, de forma bastante inesperada por sí misma, puede detectar inicialmente sistemas de información implícitos de datos personales (PD). Por ejemplo, una empresa se considera el operador de datos personales si su sitio web tiene formularios de comentarios, registro / autorización y otras formas de recopilación de datos mediante los cuales es posible identificar el tema.

Los reguladores llevan a cabo el control y la supervisión del cumplimiento de los requisitos de la ley federal "Sobre datos personales":

Roskomnadzor sobre la protección de los derechos de los sujetos de los datos personales;
El FSB de Rusia en términos de cumplir con los requisitos en el campo de la criptografía;
FSTEC de Rusia en términos de cumplimiento de los requisitos para proteger la información del acceso no autorizado y las fugas a través de canales técnicos.

Dado que la Ley Federal "sobre datos personales" es solo la base del apoyo legal para la protección de datos personales, sus requisitos se especificaron en los actos del Gobierno de la Federación de Rusia y el Ministerio de Comunicaciones, y otros documentos reglamentarios y metodológicos de los reguladores.

Autoridades federales que regulan las actividades en el campo del procesamiento de datos personales

Roskomnadzor (Servicio Federal de Supervisión de Comunicaciones y Comunicaciones en Masa): supervisa y supervisa el cumplimiento del procesamiento de DP con los requisitos legales.
FSTEC de Rusia (Servicio Federal para el Control Técnico y de Exportación): establece métodos y formas de proteger la información utilizando medios técnicos.
FSB de Rusia (Servicio Federal de Seguridad de la Federación de Rusia): establece métodos y formas de proteger la información dentro de su autoridad (alcance del uso de medios criptográficos de protección de la información)

Cada organización que procesa datos personales se enfrenta al problema de adaptar sus sistemas de información a los requisitos de la ley. La protección de los datos personales es uno de los problemas más acuciantes, y no solo en Rusia, sino también en otros países.

Tipos de datos personales.

De acuerdo con la Ley Federal-152, los datos personales son cualquier información relacionada con una persona específica (basada en dicha información) (un sujeto de datos personales). Por ejemplo: nombre, fecha y lugar de nacimiento, dirección, estado civil, social, estado de la propiedad, educación, etc.

Los datos personales se dividen en varias categorías:

Especial

PD relacionada con raza, etnia, opiniones políticas, creencias religiosas o filosóficas, estado de salud, vida íntima

Biométrico

PD, que caracteriza las características fisiológicas y biológicas de una persona, en función de las cuales es posible establecer su identidad y que el operador utiliza para establecer la identidad del sujeto de los datos personales.

Otros

PD relacionada con un individuo determinado o determinado directa o indirectamente, y no relacionada con las categorías anteriores

Disponible al público

PD recibida de fuentes disponibles públicamente en las que los datos se publicaron con el consentimiento por escrito del interesado

El procesamiento de datos personales es cualquier acción (operación) o un conjunto de acciones con datos personales utilizando herramientas de automatización o sin ellas, que incluyen:

coleccion
grabar
sistematización
acumulación
almacenamiento
aclaración (actualización, cambio),
extracción
usar
transmisión (distribución, provisión, acceso),
despersonalización
bloqueo
remoción
destrucción de datos personales.

Responsabilidad por violaciones

Según el artículo 24 de la Ley Federal-152, las personas son responsables de la violación de la ley de conformidad con la legislación de la Federación de Rusia.

Al verificar la empresa, los reguladores se guían por la Ley Federal-152 y una serie de estatutos. La auditoría puede ser tanto planificada como no programada, sobre los hechos de las violaciones, así como para controlar la orden emitida previamente para eliminarlas.

Las personas que violen los requisitos para la protección de la EP pueden enfrentar no solo responsabilidad civil y disciplinaria, sino también administrativa e incluso penal.

¿Cómo cumplir con los requisitos de FZ-152?

Por lo tanto, una empresa u organización que procesa datos personales u otra información restringida debe proteger esta información de acuerdo con la ley. Esto no solo requiere una gran experiencia, conocimiento y experiencia, sino que también implica dificultades técnicas y costos considerables.

Según la definición oficial aprobada por la FSTEC, "... La seguridad de los datos personales es el estado de protección de los datos personales, que se caracteriza por la capacidad de los usuarios, los medios técnicos y las tecnologías de la información para garantizar la confidencialidad, integridad y disponibilidad de los datos personales cuando se procesan en sistemas de información de datos personales ..."

Para cumplir con los requisitos organizativos, legales y técnicos de FZ-152, por su cuenta, debe estudiar no solo la ley en sí, sino también sus estatutos, para comprender exactamente qué medidas deben tomarse. Los especialistas en outsourcing pueden estudiar los procesos de procesamiento de datos personales en una empresa, elaborar los documentos necesarios, implementar medidas de seguridad, etc.

El sistema integrado de seguridad de la información incluye:

Herramientas de prevención de intrusiones (IDS).
Cortafuegos (FW).
Protección contra malware.
Un sistema para monitorear y registrar eventos de seguridad.
El sistema de protección criptográfica de los canales de comunicación (encriptación).
Herramientas de protección del entorno virtual, sistema de protección contra acceso no autorizado (NSD), identificación y control de acceso.
Análisis de seguridad / sistema de identificación de vulnerabilidad, etc.

Además, la seguridad integrada de la información implica no solo medidas técnicas, sino también organizativas.

Cloud FZ-152: características de implementación

Varios proveedores rusos proporcionan servicios de infraestructura en la nube para el despliegue de sistemas de información de acuerdo con los requisitos de la legislación federal en materia de DP. Al colocar los sistemas del cliente en la nube, el proveedor asume la solución de muchos problemas de IS, incluidos los relacionados con la protección de datos personales. Al migrar a la nube, protegerá la infraestructura de TI y esto eliminará algunas de las responsabilidades del cliente. Por ejemplo, un proveedor cumple con los requisitos de la Ley Federal 152 con respecto a la protección de un entorno de virtualización.

Los proveedores también pueden proporcionar a los clientes asistencia experta para resolver el problema de protección de datos: determinar el nivel de seguridad requerido y, de acuerdo con esto, ofrecer una opción de implementación; desarrollar documentación para cumplir con los requisitos de la legislación de la Federación de Rusia.

Una nube segura ayudará a optimizar los costos de la organización al reducir el costo de crear y mantener una infraestructura de TI y un sistema interno de protección de la información. Como regla general, los expertos calificados brindan soporte técnico integral y soporte, incluida la consultoría y el desarrollo de un paquete de documentos para la certificación en las autoridades reguladoras, y la plataforma para la prestación de servicios cumple con los estrictos estándares técnicos y los requisitos organizativos necesarios. Los clientes pueden utilizar los servicios de preparación de la documentación necesaria y proteger el ISPD a nivel de aplicación y sistema operativo.

También se proporcionan procesos de gestión de riesgos y vulnerabilidades, investigación de incidentes, auditorías de seguridad internas y externas, así como monitoreo y pruebas regulares de la red, sistemas y procesos de seguridad de la información. Los especialistas calificados brindan soporte las 24 horas de la infraestructura de TI.

Juntas, estas medidas aseguran el cumplimiento de la legislación federal con respecto a la protección de datos personales.

Plataforma certificada

IBS DataFort proporciona dicho servicio basado en la plataforma certificada DF Cloud . Todas las herramientas de parte técnica, administración y virtualización de esta plataforma cumplen con los estándares y requisitos de FZ-152.

Secure Cloud Architecture IBS DataFort.

La plataforma proporciona protección garantizada para ISPDN (hasta el primer nivel de seguridad inclusive), GIS (hasta el primer nivel de seguridad inclusive) y almacenamiento seguro de datos en el centro de datos de Nivel III. La plataforma utiliza firewalls certificados, herramientas de detección y prevención de intrusos (IDS / IPS), encriptación de canales de comunicación (GOST VPN), protección antivirus, protección de acceso no autorizada, protección del entorno de virtualización y herramientas de escaneo de vulnerabilidades.

La nube FZ-152 también es una solución adecuada para aquellos que exigen altas exigencias de confidencialidad y protección de datos, desean fortalecer su reputación comercial u obtener una ventaja tan competitiva como un alto nivel confirmado de seguridad de la información.

¿Cómo "moverse" a esa nube? ¿Es posible la "migración continua"? Bastante Por ejemplo, IBS DataFort transfiere ISPDn de manera segura a su nube segura, minimizando el tiempo de inactividad y el impacto en los procesos comerciales de la compañía (incluso desde sitios en el extranjero).

Traer infraestructura de TI de acuerdo con la Ley Federal-152

El proceso de llevar la infraestructura de TI del cliente de acuerdo con los requisitos de la Ley Federal-152 comienza con una auditoría y evaluación del nivel actual de seguridad.

Una auditoría de la infraestructura de TI de un cliente incluye un examen del procesamiento de DP y los procesos de protección y un examen del ISPD del cliente. Se prepara un informe de encuesta con una descripción detallada de los procesos de procesamiento de DP desde un punto de vista técnico.

El trabajo también incluye modelar amenazas e infractores y elaborar un acto para determinar el nivel de seguridad de ISPDn. Con base en los resultados de la auditoría, se compila una declaración de trabajo privada sobre el sistema de protección ISPD y la determinación de los requisitos para el sistema diseñado.

Se está desarrollando un conjunto de políticas, instrucciones, reglamentos y otros documentos para la protección de datos personales. Al mismo tiempo, los especialistas están tratando de optimizar los costos del cliente para la implementación de equipos de protección.

IBS DataFort proporciona preparación de documentación y servicios de protección de ISPD para cumplir con la legislación federal sobre la protección de datos personales y puede ayudar en la preparación y certificación (ISPD, GIS, AS).

La certificación es realizada por auditores independientes con licencia del FSTEC y el FSB de Rusia. La aprobación de dicha certificación confirma la protección confiable de los datos personales de socios y clientes de la empresa contra amenazas externas, el cumplimiento integral de los requisitos de los reguladores. Es importante que los clientes obtengan la comodidad de una "ventanilla única": todo lo proporciona una empresa: IBS DataFort.

Para el operador de datos personales, esto significa estar dispuesto a inspeccionar Roskomnadzor, FSTEC y FSB, eliminando los riesgos de bloqueo de recursos y la ausencia de reclamos y sanciones del regulador.

Dicho servicio es relevante para muchas categorías de clientes de los segmentos estatales y corporativos y puede ser reclamado por operadores de datos personales que desean llevar sus actividades de acuerdo con la ley. La colocación de IP en el segmento cerrado de la infraestructura del proveedor, certificada de acuerdo con todos los estándares y requisitos necesarios, elimina la necesidad de que el cliente organice de forma independiente todo el trabajo.

Secure Cloud en DF Cloud