ينطبق FZ-152 "حول حماية البيانات الشخصية" على جميع الكيانات القائمة: الأفراد والكيانات القانونية والهيئات الفيدرالية لسلطة الدولة والحكم الذاتي المحلي. في الواقع ، ينطبق هذا القانون على أي منظمة تعالج المعلومات والبيانات الشخصية لمواطني الاتحاد الروسي ، بغض النظر عن شكل ملكية وحجم المنظمة.
في بعض الأحيان ، يمكن للمؤسسة ، بشكل غير متوقع تمامًا لنفسها ، اكتشاف أنظمة معلومات ضمنية مبدئية للبيانات الشخصية (PD). على سبيل المثال ، تعتبر الشركة مشغل البيانات الشخصية إذا كان موقعها على الويب يحتوي على نماذج للتعليقات والتسجيل / التفويض وغير ذلك من أشكال جمع البيانات التي من خلالها يمكن تحديد الموضوع.
يتم التحكم والإشراف فيما يتعلق بالامتثال لمتطلبات القانون الاتحادي "على البيانات الشخصية" من قبل المنظمين:
- Roskomnadzor فيما يتعلق بحماية حقوق موضوعات البيانات الشخصية ؛
- FSB في روسيا من حيث تلبية المتطلبات في مجال التشفير ؛
- FSTEC من روسيا من حيث الامتثال لمتطلبات حماية المعلومات من الوصول غير المصرح به والتسرب من خلال القنوات التقنية.
نظرًا لأن القانون الاتحادي "بشأن البيانات الشخصية" هو فقط أساس الدعم القانوني لحماية البيانات الشخصية ، فقد تم تحديد متطلباته بشكل أكبر في أعمال حكومة الاتحاد الروسي ووزارة الاتصالات ، وغيرها من الوثائق التنظيمية والمنهجية للمنظمين.
تواجه كل مؤسسة تعالج البيانات الشخصية مشكلة جلب أنظمة المعلومات الخاصة بها وفقًا لمتطلبات القانون. تعد حماية البيانات الشخصية واحدة من أكثر القضايا إلحاحًا ، وليس فقط في روسيا ، ولكن أيضًا في البلدان الأخرى.
أنواع البيانات الشخصية
وفقًا للقانون الاتحادي - 152 ، فإن البيانات الشخصية هي أي معلومات تتعلق بشخص معين (بناءً على هذه المعلومات) (موضوع بيانات شخصية). على سبيل المثال: الاسم ، تاريخ ومكان الميلاد ، العنوان ، الزواج ، الحالة الاجتماعية ، الملكية ، التعليم ، إلخ.
تنقسم البيانات الشخصية إلى عدة فئات:
معالجة البيانات الشخصية هي أي إجراء (عملية) أو مجموعة من الإجراءات مع البيانات الشخصية باستخدام أدوات التشغيل الآلي أو بدونها ، بما في ذلك:
- جمع،
- سجل
- المنهجي،
- تراكم،
- التخزين،
- توضيح (التحديث ، التغيير) ،
- استخراج،
- الاستخدام،
- انتقال (التوزيع ، توفير ، الوصول) ،
- تبدد الشخصية،
- حظر،
- إزالة،
- تدمير البيانات الشخصية.
المسؤولية عن الانتهاكات
وفقًا للمادة 24 من القانون الاتحادي - 152 ، يكون الأشخاص مسؤولين عن انتهاك القانون وفقًا لتشريعات الاتحاد الروسي.
عند التحقق من الشركة ، يسترشد المنظمون بالقانون الاتحادي 152 وعدد من اللوائح. يمكن أن تكون عملية التدقيق مخططة وغير مجدولة على حد سواء - حول وقائع الانتهاكات ، وكذلك للتحكم في الأمر الصادر مسبقًا للقضاء عليها.
قد يواجه الأشخاص الذين ينتهكون متطلبات حماية PD ليس فقط المسؤولية المدنية والتأديبية ، ولكن أيضًا المسؤولية الإدارية وحتى الجنائية.
كيفية تلبية متطلبات FZ-152؟
لذلك ، يتعين على شركة أو مؤسسة تقوم بمعالجة البيانات الشخصية أو غيرها من المعلومات المقيدة حماية هذه المعلومات وفقًا للقانون. هذا لا يتطلب خبرة ومعرفة وخبرة جديين فحسب ، بل ينطوي أيضًا على صعوبات تقنية وتكاليف باهظة.
وفقًا للتعريف الرسمي الذي أقرته FSTEC ، "... أمن البيانات الشخصية هو حالة حماية البيانات الشخصية ، التي تتميز بقدرة المستخدمين والوسائل التقنية وتكنولوجيا المعلومات على ضمان سرية البيانات الشخصية وتكاملها وتوافرها عند معالجتها في أنظمة معلومات البيانات الشخصية ..."
من أجل الوفاء بالمتطلبات التنظيمية والقانونية والتقنية لـ FZ-152 ، بشكل مستقل ، تحتاج إلى دراسة ليس فقط القانون نفسه ، ولكن أيضًا قوانينه الداخلية ، لمعرفة بالضبط التدابير التي يجب اتخاذها. يمكن للمتخصصين في مجال الاستعانة بمصادر خارجية دراسة عمليات معالجة البيانات الشخصية في الشركة ، ووضع الوثائق اللازمة ، وتنفيذ التدابير الأمنية ، إلخ.
نظام أمن المعلومات المتكامل يشمل:
- أدوات منع الاختراق (IDS).
- جدار الحماية (مهاجم).
- الحماية ضد البرامج الضارة.
- نظام لمراقبة وتسجيل الأحداث الأمنية.
- نظام حماية التشفير لقنوات الاتصال (التشفير).
- أدوات حماية البيئة الافتراضية ، ونظام الحماية ضد الوصول غير المصرح به (NSD) ، وتحديد الهوية والتحكم في الوصول.
- نظام تحليل الأمن / تحديد الثغرات الأمنية ، إلخ.
بالإضافة إلى ذلك ، لا يتضمن أمن المعلومات المتكامل تدابير تقنية فحسب ، بل يتضمن أيضًا تدابير تنظيمية.
سحابة FZ-152: ميزات التنفيذ
يوفر عدد من مقدمي الخدمات الروسية خدمات البنية التحتية السحابية لنشر أنظمة المعلومات وفقًا لمتطلبات التشريعات الفيدرالية المتعلقة بتطوير البيانات عند وضع أنظمة العميل في السحابة ، يفترض المزود حل العديد من مشكلات نظم المعلومات ، بما في ذلك تلك المتعلقة بحماية البيانات الشخصية. عند الترحيل إلى السحابة ، ستحمي البنية التحتية لتكنولوجيا المعلومات ، وسيؤدي ذلك إلى إزالة بعض المسؤوليات من العميل. على سبيل المثال ، يتوافق المزود مع متطلبات FZ-152 فيما يتعلق بحماية بيئة المحاكاة الافتراضية.
يمكن لمقدمي الخدمات أيضًا تزويد العملاء بدعم خبير في حل مشكلة حماية البيانات: تحديد المستوى المطلوب من الأمان ، ووفقًا لهذا ، يوفرون خيار تنفيذ ؛ تطوير الوثائق لتلبية متطلبات تشريعات الاتحاد الروسي.
ستساعد السحابة الآمنة على تحسين تكاليف المؤسسة عن طريق تقليل تكلفة إنشاء وصيانة البنية التحتية لتكنولوجيا المعلومات ونظام حماية المعلومات الداخلية. كقاعدة عامة ، يقدم الخبراء المؤهلون الدعم الفني الشامل والدعم ، بما في ذلك الاستشارات وتطوير مجموعة من الوثائق لإصدار الشهادات في الهيئات التنظيمية ، وتلبي منصة تقديم الخدمات المعايير الفنية الصارمة وتفي بالمتطلبات التنظيمية اللازمة. يمكن للعملاء استخدام خدمات إعداد الوثائق اللازمة وحماية ISPD على مستوى التطبيق ونظام التشغيل.
كما يتم توفير عمليات إدارة المخاطر والضعف ، والتحقيق في الحوادث ، ومراجعة الأمن الداخلي والخارجي ، وكذلك المراقبة والاختبار المنتظمين للشبكة ، وأنظمة وعمليات أمن المعلومات. يوفر المتخصصون المؤهلون الدعم على مدار الساعة للبنية التحتية لتكنولوجيا المعلومات.
تضمن هذه التدابير معًا الامتثال للتشريعات الفيدرالية المتعلقة بحماية البيانات الشخصية.
منصة معتمدة
يوفر IBS DataFort مثل هذه الخدمة استنادًا إلى
النظام الأساسي DF Cloud المعتمد . تتوافق جميع الأدوات الفنية والإدارية والمحاكاة الافتراضية في هذه المنصة مع معايير ومتطلبات FZ-152.
تأمين سحابة الهندسة المعمارية IBS DataFort.يوفر النظام الأساسي حماية مضمونة لشبكة ISPDN (حتى مستوى الأمان الأول شاملاً) ونظام المعلومات الجغرافية (حتى مستوى الأمان الأول) وتخزين آمن للبيانات في مركز بيانات المستوى الثالث. تستخدم المنصة جدران حماية معتمدة وأدوات الكشف عن الاختراق والوقاية منها (IDS / IPS) وتشفير قنوات الاتصال (GOST VPN) وحماية مكافحة الفيروسات وحماية الوصول غير المصرح به وحماية بيئة المحاكاة الافتراضية وأدوات مسح الثغرات الأمنية.
يُعد Cloud FZ-152 أيضًا حلًا مناسبًا لأولئك الذين يفرضون مطالب عالية على السرية وحماية البيانات ، أو يرغبون في تعزيز سمعتهم التجارية أو اكتساب ميزة تنافسية مثل مستوى عالٍ مؤكد من أمن المعلومات.
كيفية "الانتقال" إلى هذه السحابة؟ هل "الهجرة السلسة" ممكنة؟ هو عليه. على سبيل المثال ، تقوم IBS DataFort بنقل ISPDn بأمان إلى السحابة الآمنة ، مما يقلل من وقت التوقف عن العمل والتأثير على العمليات التجارية للشركة (بما في ذلك من المواقع الأجنبية).
تقديم البنية التحتية لتكنولوجيا المعلومات وفقًا للقانون الاتحادي 152
تبدأ عملية جلب البنية التحتية لتكنولوجيا المعلومات للعميل وفقًا لمتطلبات القانون الاتحادي 152 بمراجعة وتقييم المستوى الحالي للأمان.
تتضمن مراجعة البنية التحتية لتكنولوجيا المعلومات الخاصة بالعميل فحصًا لعمليات معالجة البيانات الشخصية وحمايتها ، وفحص ISPD للعميل. يتم إعداد تقرير مسح مع وصف مفصل لعمليات معالجة PD من وجهة نظر فنية.
يتضمن العمل أيضًا نمذجة التهديدات والمخالفين ووضع إجراء لتحديد مستوى الأمان لـ ISPDn. بناءً على نتائج التدقيق ، يتم تجميع بيان عمل خاص لنظام الأمان ISPDn ويحدد متطلبات النظام المصمم.
يجري تطوير مجموعة من السياسات والتعليمات واللوائح وغيرها من الوثائق لحماية البيانات الشخصية. في الوقت نفسه ، يحاول المتخصصون تحسين تكاليف العميل لتنفيذ معدات الحماية.
يوفر IBS DataFort خدمات إعداد الوثائق وحماية ISPD للامتثال للتشريع الاتحادي بشأن حماية البيانات الشخصية ويمكنه المساعدة في إعداد الشهادات (ISPD ، GIS ، AS).
يتم تنفيذ الشهادة من قبل مدققين مستقلين مرخصين من قبل FSTEC و FSB في روسيا. إن إقرار هذه الشهادة يؤكد الحماية الموثوقة للبيانات الشخصية للشركاء وعملاء الشركة من التهديدات الخارجية ، والامتثال الشامل لمتطلبات الهيئات التنظيمية. من المهم أن يحصل العملاء على راحة "متجر واحد": يتم توفير كل شيء بواسطة شركة واحدة - IBS DataFort.
بالنسبة لمشغل البيانات الشخصية ، فإن هذا يعني استعدادًا لتفقد Roskomnadzor و FSTEC و FSB ، مما يلغي مخاطر حجب الموارد ، وعدم وجود مطالبات وعقوبات من الجهة المنظمة.
مثل هذه الخدمة مناسبة للعديد من فئات العملاء في قطاعات الدولة والشركات ويمكن المطالبة بها من قبل مشغلي البيانات الشخصية الذين يرغبون في تقديم أنشطتهم وفقًا للقانون. إن وضع عنوان IP في الجزء المغلق من البنية التحتية للمزود ، المعتمد وفقًا لجميع المعايير والمتطلبات اللازمة ، يلغي الحاجة إلى قيام العميل بتنظيم جميع الأعمال بشكل مستقل.