FZ-152 „Zum Schutz personenbezogener Daten“ gilt für alle bestehenden Stellen: Einzelpersonen und juristische Personen, Bundesbehörden und lokale Selbstverwaltung. Tatsächlich gilt dieses Gesetz für jede Organisation, die Informationen und personenbezogene Daten von Bürgern der Russischen Föderation verarbeitet, unabhängig von Eigentum oder Größe der Organisation.
Manchmal kann eine Organisation, ganz unerwartet für sich, anfänglich implizite Informationssysteme für personenbezogene Daten (PD) erkennen. Ein Unternehmen gilt beispielsweise als Betreiber personenbezogener Daten, wenn seine Website über Feedback-Formulare, Registrierung \ Autorisierung und andere Formen der Datenerfassung verfügt, anhand derer das betreffende Subjekt identifiziert werden kann.
Die Kontrolle und Überwachung hinsichtlich der Einhaltung der Anforderungen des Bundesgesetzes „Über personenbezogene Daten“ erfolgt durch die Aufsichtsbehörden:
- Roskomnadzor zum Schutz der Rechte von Personen mit personenbezogenen Daten;
- Der FSB von Russland in Bezug auf die Erfüllung der Anforderungen im Bereich der Kryptographie;
- FSTEC of Russia in Bezug auf die Einhaltung der Anforderungen zum Schutz von Informationen vor unbefugtem Zugriff und Verlust durch technische Kanäle.
Da das Bundesgesetz „Über personenbezogene Daten“ nur die Grundlage für die rechtliche Unterstützung des Schutzes personenbezogener Daten darstellt, wurden seine Anforderungen in Gesetzen der Regierung der Russischen Föderation und des Ministeriums für Kommunikation sowie in anderen regulatorischen und methodischen Dokumenten der Regulierungsbehörden weiter festgelegt.
Jede Organisation, die personenbezogene Daten verarbeitet, steht vor dem Problem, ihre Informationssysteme den gesetzlichen Anforderungen anzupassen. Der Schutz personenbezogener Daten ist nicht nur in Russland, sondern auch in anderen Ländern eines der dringendsten Probleme.
Arten von personenbezogenen Daten
Nach dem Bundesgesetz 152 sind personenbezogene Daten alle Informationen, die sich auf eine bestimmte Person (basierend auf diesen Informationen) (eine betroffene Person) beziehen. Zum Beispiel: Name, Geburtsdatum und -ort, Adresse, Ehe, Soziales, Eigentumsstatus, Bildung usw.
Personenbezogene Daten sind in mehrere Kategorien unterteilt:
Die Verarbeitung personenbezogener Daten ist eine Aktion (Operation) oder eine Reihe von Aktionen mit personenbezogenen Daten mit oder ohne Automatisierungstools, einschließlich:
- Sammlung
- aufnehmen
- Systematisierung
- Akkumulation
- Lagerung
- Klarstellung (Aktualisierung, Änderung),
- Extraktion
- verwenden
- Übertragung (Verteilung, Bereitstellung, Zugang),
- Depersonalisierung
- Blockieren
- Entfernung
- Zerstörung personenbezogener Daten.
Verantwortung für Verstöße
Gemäß Artikel 24 des Bundesgesetzes 152 haften Personen für Verstöße gegen das Gesetz gemäß den Gesetzen der Russischen Föderation.
Bei der Überprüfung des Unternehmens richten sich die Aufsichtsbehörden nach dem Bundesgesetz 152 und einer Reihe von Statuten. Das Audit kann sowohl geplant als auch außerplanmäßig sein - auf der Grundlage von Verstößen sowie zur Kontrolle der zuvor erlassenen Anordnung, um diese zu beseitigen.
Personen, die gegen die Anforderungen zum Schutz der Parkinson-Krankheit verstoßen, können nicht nur zivil- und disziplinarrechtlich, sondern auch administrativ und sogar strafrechtlich haftbar gemacht werden.
Wie kann man die Anforderungen von FZ-152 erfüllen?
Ein Unternehmen oder eine Organisation, die personenbezogene Daten oder andere eingeschränkte Informationen verarbeitet, muss diese Informationen gemäß den gesetzlichen Bestimmungen schützen. Dies erfordert nicht nur ernsthaftes Fachwissen, Wissen und Erfahrung, sondern auch technische Schwierigkeiten und erhebliche Kosten.
Gemäß der vom FSTEC genehmigten offiziellen Definition ist "... die Sicherheit personenbezogener Daten der Schutzzustand personenbezogener Daten, der durch die Fähigkeit von Benutzern, technischen Mitteln und Informationstechnologien gekennzeichnet ist, die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten bei der Verarbeitung in Informationssystemen für personenbezogene Daten zu gewährleisten ..."
Um die organisatorischen, rechtlichen und technischen Anforderungen von FZ-152 unabhängig voneinander zu erfüllen, müssen Sie nicht nur das Gesetz selbst, sondern auch seine Satzung studieren, um genau herauszufinden, welche Maßnahmen ergriffen werden müssen. Outsourcing-Spezialisten können die Prozesse der Verarbeitung personenbezogener Daten in einem Unternehmen untersuchen, die erforderlichen Dokumente erstellen, Sicherheitsmaßnahmen implementieren usw.
Das integrierte Informationssicherheitssystem umfasst:
- Intrusion Prevention Tools (IDS).
- Firewalling (FW).
- Schutz vor Malware.
- Ein System zur Überwachung und Aufzeichnung von Sicherheitsereignissen.
- Das System des kryptografischen Schutzes von Kommunikationskanälen (Verschlüsselung).
- Tools zum Schutz der virtuellen Umgebung, System zum Schutz vor unbefugtem Zugriff (NSD), Identifizierung und Zugriffskontrolle.
- Sicherheitsanalyse / System zur Identifizierung von Sicherheitslücken usw.
Darüber hinaus umfasst die integrierte Informationssicherheit nicht nur technische, sondern auch organisatorische Maßnahmen.
Cloud FZ-152: Implementierungsfunktionen
Eine Reihe russischer Anbieter bieten Cloud-Infrastrukturdienste für den Einsatz von Informationssystemen gemäß den Anforderungen der Bundesgesetzgebung in Bezug auf PD an. Bei der Platzierung von Client-Systemen in der Cloud übernimmt der Anbieter die Lösung vieler IS-Probleme, einschließlich solcher im Zusammenhang mit dem Schutz personenbezogener Daten. Bei der Migration in die Cloud wird die IT-Infrastruktur geschützt, wodurch einige Verantwortlichkeiten vom Client entfernt werden. Beispielsweise erfüllt ein Anbieter die Anforderungen des Bundesgesetzes 152 zum Schutz einer Virtualisierungsumgebung.
Anbieter können Kunden auch fachkundige Unterstützung bei der Lösung des Datenschutzproblems bieten: Bestimmen Sie das erforderliche Sicherheitsniveau und bieten Sie dementsprechend eine Implementierungsoption an. Dokumentation entwickeln, um die Anforderungen der Gesetzgebung der Russischen Föderation zu erfüllen.
Eine sichere Cloud hilft bei der Optimierung der Unternehmenskosten, indem die Kosten für die Erstellung und Wartung einer IT-Infrastruktur und eines internen Informationsschutzsystems gesenkt werden. In der Regel bieten qualifizierte Experten umfassende technische Unterstützung und Unterstützung, einschließlich Beratung und Entwicklung eines Pakets von Dokumenten für die Zertifizierung bei Aufsichtsbehörden. Die Plattform für die Erbringung von Dienstleistungen erfüllt strenge technische Standards und erfüllt die erforderlichen organisatorischen Anforderungen. Kunden können die Dienste zur Vorbereitung der erforderlichen Dokumentation und zum Schutz der ISPD auf Anwendungs- und Betriebssystemebene nutzen.
Darüber hinaus werden Prozesse für das Risiko- und Schwachstellenmanagement, die Untersuchung von Vorfällen, interne und externe Sicherheitsüberprüfungen sowie die regelmäßige Überwachung und Prüfung des Netzwerks, der Informationssicherheitssysteme und -prozesse bereitgestellt. Qualifizierte Spezialisten unterstützen die IT-Infrastruktur rund um die Uhr.
Zusammen stellen diese Maßnahmen die Einhaltung der Bundesgesetze zum Schutz personenbezogener Daten sicher.
Zertifizierte Plattform
IBS DataFort bietet einen solchen Service auf der Basis der
zertifizierten DF Cloud-Plattform an . Alle technischen Teile, Administrations- und Virtualisierungstools dieser Plattform entsprechen den Standards und Anforderungen von FZ-152.
Sichere Cloud-Architektur IBS DataFort.Die Plattform bietet garantierten Schutz für ISPDN (bis einschließlich 1. Sicherheitsstufe), GIS (bis einschließlich 1. Sicherheitsstufe) und sichere Datenspeicherung im Tier III-Rechenzentrum. Die Plattform verwendet zertifizierte Firewalls, Tools zur Erkennung und Verhinderung von Eindringlingen (IDS / IPS), Kommunikationskanalverschlüsselung (GOST VPN), Virenschutz, Schutz vor nicht autorisiertem Zugriff, Schutz der Virtualisierungsumgebung und Tools zum Scannen von Sicherheitslücken.
Die FZ-152 Cloud ist auch eine geeignete Lösung für diejenigen, die hohe Anforderungen an Vertraulichkeit und Datenschutz stellen, ihren Ruf als Unternehmen stärken oder einen Wettbewerbsvorteil wie ein bestätigtes hohes Maß an Informationssicherheit erzielen möchten.
Wie kann man sich in eine solche Wolke bewegen? Ist eine nahtlose Migration möglich? Ganz. Beispielsweise überträgt IBS DataFort ISPDn sicher in seine sichere Cloud, wodurch Ausfallzeiten und Auswirkungen auf die Geschäftsprozesse des Unternehmens (auch von ausländischen Standorten) minimiert werden.
IT-Infrastruktur in Übereinstimmung mit Bundesgesetz-152 bringen
Der Prozess der Anpassung der IT-Infrastruktur des Kunden an die Anforderungen des Bundesgesetzes 152 beginnt mit einer Prüfung und Bewertung des aktuellen Sicherheitsniveaus.
Eine Prüfung der IT-Infrastruktur eines Kunden umfasst eine Prüfung der PD-Verarbeitungs- und Schutzprozesse sowie eine Prüfung der ISPD eines Kunden. Es wird ein Umfragebericht mit einer detaillierten Beschreibung der PD-Verarbeitungsprozesse aus technischer Sicht erstellt.
Die Arbeit umfasst auch die Modellierung von Bedrohungen und Verstößen sowie die Ausarbeitung eines Gesetzes zur Bestimmung des Sicherheitsniveaus für ISPDn. Basierend auf den Ergebnissen des Audits wird eine private Arbeitserklärung für das ISPDn-Sicherheitssystem erstellt und die Anforderungen für das entworfene System definiert.
Eine Reihe von Richtlinien, Anweisungen, Vorschriften und anderen Dokumenten zum Schutz personenbezogener Daten wird entwickelt. Gleichzeitig versuchen Spezialisten, die Kosten des Kunden für die Implementierung von Schutzausrüstung zu optimieren.
IBS DataFort bietet Dokumentationsvorbereitungs- und ISPD-Schutzdienste an, um den Bundesgesetzen zum Schutz personenbezogener Daten zu entsprechen, und kann bei der Vorbereitung und Zertifizierung (ISPD, GIS, AS) behilflich sein.
Die Zertifizierung wird von unabhängigen Wirtschaftsprüfern durchgeführt, die von der FSTEC und dem FSB von Russland lizenziert sind. Das Bestehen einer solchen Zertifizierung bestätigt den zuverlässigen Schutz der personenbezogenen Daten von Partnern und Kunden des Unternehmens vor externen Bedrohungen sowie die umfassende Einhaltung der Anforderungen der Aufsichtsbehörden. Es ist wichtig, dass die Kunden den Komfort eines „One-Stop-Shops“ erhalten: Alles wird von einem Unternehmen bereitgestellt - IBS DataFort.
Für den Betreiber personenbezogener Daten bedeutet dies die Bereitschaft, Roskomnadzor, FSTEC und den FSB zu inspizieren, wodurch das Risiko der Blockierung von Ressourcen und das Fehlen von Ansprüchen und Sanktionen der Regulierungsbehörde beseitigt werden.
Ein solcher Dienst ist für viele Kategorien von Kunden des Landes- und Unternehmenssegments relevant und kann von Betreibern personenbezogener Daten in Anspruch genommen werden, die ihre Aktivitäten in Übereinstimmung mit dem Gesetz bringen möchten. Durch die IP-Platzierung im geschlossenen Segment der Infrastruktur des Anbieters, die nach allen erforderlichen Standards und Anforderungen zertifiziert ist, muss der Kunde nicht mehr alle Arbeiten unabhängig organisieren.