FZ-152 «Sur la protection des données personnelles» s'applique à toutes les entités existantes: personnes physiques et morales, organes du gouvernement fédéral et collectivités locales. En fait, cette loi s'applique à toute organisation qui traite des informations et des données personnelles de citoyens de la Fédération de Russie, indépendamment de la forme de propriété et de la taille de l'organisation.
Parfois, une organisation, de façon tout à fait inattendue pour elle-même, peut détecter initialement des systèmes d'information implicites de données personnelles (PD). Par exemple, une entreprise est considérée comme l'exploitant de données personnelles si son site Web dispose de formulaires de rétroaction, d'enregistrement / autorisation et d'autres formes de collecte de données permettant d'identifier le sujet.
Le contrôle et la surveillance du respect des exigences de la loi fédérale sur les données personnelles sont effectués par les régulateurs:
- Roskomnadzor concernant la protection des droits des personnes concernées;
- Le FSB de Russie en termes de respect des exigences dans le domaine de la cryptographie;
- FSTEC de Russie en termes de conformité aux exigences de protection des informations contre les accès non autorisés et les fuites par les voies techniques.
Étant donné que la loi fédérale sur les données à caractère personnel n'est que la base d'un soutien juridique pour la protection des données à caractère personnel, ses exigences ont été précisées dans les lois du gouvernement de la Fédération de Russie et du ministère des Communications et dans d'autres documents réglementaires et méthodologiques des autorités de réglementation.
Chaque organisation qui traite des données personnelles est confrontée au problème de la mise en conformité de ses systèmes d'information avec les exigences de la loi. La protection des données personnelles est l'un des problèmes les plus urgents, non seulement en Russie, mais aussi dans d'autres pays.
Types de données personnelles
Selon la loi fédérale-152, les données personnelles sont toutes les informations relatives à une personne spécifique (sur la base de ces informations) (une personne concernée). Par exemple: nom, date et lieu de naissance, adresse, matrimonial, social, statut de propriété, éducation, etc.
Les données personnelles sont divisées en plusieurs catégories:
Le traitement des données personnelles est toute action (opération) ou un ensemble d'actions avec des données personnelles utilisant des outils d'automatisation ou sans eux, y compris:
- collection
- enregistrer
- systématisation
- accumulation
- stockage
- clarification (mise à jour, modification),
- extraction
- utiliser
- transmission (distribution, fourniture, accès),
- dépersonnalisation
- blocage
- enlèvement
- destruction des données personnelles.
Responsabilité pour les violations
Selon l'article 24 de la loi fédérale-152, toute personne est responsable d'une violation de la loi conformément à la législation de la Fédération de Russie.
Lors de la vérification de l'entreprise, les régulateurs sont guidés par la loi fédérale-152 et un certain nombre de règlements. L'audit peut être à la fois planifié et non planifié - sur les faits de violations, ainsi que pour contrôler l'ordre précédemment émis pour les éliminer.
Les personnes qui ne respectent pas les exigences de protection de la MP peuvent encourir non seulement des sanctions civiles et disciplinaires, mais aussi administratives et même pénales.
Comment répondre aux exigences du FZ-152?
Ainsi, une entreprise ou une organisation qui traite des données personnelles ou d'autres informations restreintes doit protéger ces informations conformément à la loi. Cela nécessite non seulement une expertise, des connaissances et une expérience sérieuses, mais implique également des difficultés techniques et des coûts considérables.
Selon la définition officielle approuvée par le FSTEC, "... La sécurité des données personnelles est l'état de protection des données personnelles, caractérisé par la capacité des utilisateurs, des moyens techniques et des technologies de l'information à garantir la confidentialité, l'intégrité et la disponibilité des données personnelles lorsqu'elles sont traitées dans des systèmes d'information sur les données personnelles ..."
Afin de répondre aux exigences organisationnelles, juridiques et techniques du FZ-152, vous devez étudier non seulement la loi elle-même, mais aussi ses règlements, pour déterminer exactement quelles mesures doivent être prises. Les spécialistes de l'externalisation peuvent étudier les processus de traitement des données personnelles dans une entreprise, établir les documents nécessaires, mettre en place des mesures de sécurité, etc.
Le système de sécurité de l'information intégré comprend:
- Outils de prévention des intrusions (IDS).
- Pare-feu (FW).
- Protection contre les logiciels malveillants.
- Un système de surveillance et d'enregistrement des événements de sécurité.
- Le système de protection cryptographique des canaux de communication (cryptage).
- Outils de protection de l'environnement virtuel, système de protection contre les accès non autorisés (NSD), identification et contrôle d'accès.
- Système d'analyse de sécurité / d'identification des vulnérabilités, etc.
En outre, la sécurité intégrée de l'information implique non seulement des mesures techniques, mais aussi organisationnelles.
Cloud FZ-152: fonctionnalités d'implémentation
Un certain nombre de fournisseurs russes fournissent des services d'infrastructure cloud pour le déploiement de systèmes d'information conformément aux exigences de la législation fédérale en matière de DP. Lorsqu'il place des systèmes clients dans le cloud, le fournisseur assume la solution de nombreux problèmes de SI, y compris ceux liés à la protection des données personnelles. Lors de la migration vers le cloud, cela protégera l'infrastructure informatique, ce qui supprimera certaines responsabilités du client. Par exemple, un fournisseur se conforme aux exigences de FZ-152 concernant la protection d'un environnement de virtualisation.
Les fournisseurs peuvent également fournir aux clients un support expert pour résoudre le problème de protection des données: déterminer le niveau de sécurité requis et, conformément à cela, offrir une option de mise en œuvre; élaborer une documentation pour répondre aux exigences de la législation de la Fédération de Russie.
Un cloud sécurisé contribuera à optimiser les coûts de l'organisation en réduisant les coûts de création et de maintenance d'une infrastructure informatique et d'un système de protection des informations interne. En règle générale, des experts qualifiés fournissent un support technique complet et un support, y compris des conseils et le développement d'un ensemble de documents pour la certification dans les autorités réglementaires, et la plate-forme pour la prestation de services répond à des normes techniques strictes et répond aux exigences organisationnelles nécessaires. Les clients peuvent utiliser les services de préparation de la documentation nécessaire et de protection de l'ISPD au niveau de l'application et du système d'exploitation.
Des processus de gestion des risques et des vulnérabilités, des enquêtes sur les incidents, des audits de sécurité internes et externes, ainsi qu'une surveillance et des tests réguliers du réseau, des systèmes et des processus de sécurité de l'information sont également fournis. Des spécialistes qualifiés assurent une assistance 24h / 24 de l'infrastructure informatique.
Ensemble, ces mesures garantissent le respect de la législation fédérale en matière de protection des données personnelles.
Plateforme certifiée
IBS DataFort fournit un tel service basé sur la
plate-forme DF Cloud certifiée . Tous les outils techniques, d'administration et de virtualisation de cette plate-forme sont conformes aux normes et exigences du FZ-152.
Architecture Cloud sécurisée IBS DataFort.La plateforme offre une protection garantie pour l'ISPDN (jusqu'au 1er niveau de sécurité inclus), le SIG (jusqu'au 1er niveau de sécurité inclus) et le stockage sécurisé des données dans le centre de données de niveau III. La plateforme utilise des pare-feu certifiés, des outils de détection et de prévention des intrusions (IDS / IPS), le cryptage des canaux de communication (VPN GOST), une protection antivirus, une protection anti-accès non autorisé, une protection de l'environnement de virtualisation et des outils d'analyse de vulnérabilité.
Le cloud FZ-152 est également une solution appropriée pour ceux qui exigent beaucoup de confidentialité et de protection des données, souhaitent renforcer leur réputation commerciale ou obtenir un avantage concurrentiel tel qu'un niveau élevé confirmé de sécurité des informations.
Comment «migrer» vers un tel cloud? Une «migration transparente» est-elle possible? Tout à fait. Par exemple, IBS DataFort transfère ISPDn en toute sécurité vers son cloud sécurisé, minimisant les temps d'arrêt et l'impact sur les processus commerciaux de l'entreprise (y compris à partir de sites étrangers).
Mettre l'infrastructure informatique en conformité avec la loi fédérale-152
Le processus visant à mettre l'infrastructure informatique du client en conformité avec les exigences de la loi fédérale-152 commence par un audit et une évaluation du niveau de sécurité actuel.
Un audit de l'infrastructure informatique d'un client comprend un examen des processus de traitement et de protection PD et un examen de l'ISPD d'un client. Un rapport d'enquête est préparé avec une description détaillée des processus de traitement PD d'un point de vue technique.
Le travail comprend également la modélisation des menaces et des contrevenants et l'élaboration d'un acte pour déterminer le niveau de sécurité pour ISPDn. Sur la base des résultats de l'audit, un énoncé de travail privé est compilé pour le système de sécurité ISPDn et définit les exigences pour le système conçu.
Un ensemble de politiques, instructions, réglementations et autres documents pour la protection des données personnelles est en cours d'élaboration. Dans le même temps, des spécialistes tentent d'optimiser les coûts du client pour la mise en place d'équipements de protection.
IBS DataFort fournit des services de préparation de documentation et de protection ISPD pour se conformer à la législation fédérale sur la protection des données personnelles et peut aider à la préparation et à la certification (ISPD, GIS, AS).
La certification est effectuée par des auditeurs indépendants agréés par le FSTEC et le FSB de Russie. Le passage d'une telle certification confirme une protection fiable des données personnelles des partenaires et clients de l'entreprise contre les menaces externes, une conformité complète aux exigences des régulateurs. Il est important que les clients bénéficient de la commodité d'un «guichet unique»: tout est fourni par une seule entreprise - IBS DataFort.
Pour l'opérateur de données personnelles, cela signifie une volonté d'inspecter Roskomnadzor, le FSTEC et le FSB, ce qui élimine les risques de blocage des ressources et l'absence de réclamations et de sanctions de la part du régulateur.
Un tel service est pertinent pour de nombreuses catégories de clients des segments État et entreprises et peut être revendiqué par les opérateurs de données personnelles qui souhaitent mettre leurs activités en conformité avec la loi. Le placement IP dans le segment fermé de l'infrastructure du fournisseur, certifié selon toutes les normes et exigences nécessaires, élimine la nécessité pour le client d'organiser indépendamment tout le travail.