FZ-152 "Tentang perlindungan data pribadi" berlaku untuk semua entitas yang ada: individu dan badan hukum, badan federal kekuasaan negara dan pemerintahan sendiri lokal. Bahkan, undang-undang ini berlaku untuk organisasi apa pun yang memproses informasi dan data pribadi warga negara Federasi Rusia, terlepas dari bentuk kepemilikan dan ukuran organisasi.
Kadang-kadang suatu organisasi, secara tak terduga untuk dirinya sendiri, dapat mendeteksi sistem informasi data pribadi (PD) yang pada awalnya implisit. Misalnya, perusahaan dianggap sebagai operator data pribadi jika situs webnya memiliki formulir umpan balik, pendaftaran / otorisasi, dan bentuk pengumpulan data lainnya yang memungkinkan untuk mengidentifikasi subjek.
Kontrol dan pengawasan terkait kepatuhan dengan persyaratan hukum federal "Tentang Data Pribadi" dilakukan oleh regulator:
- Roskomnadzor tentang perlindungan hak-hak subyek data pribadi;
- FSB Rusia dalam hal memenuhi persyaratan di bidang kriptografi;
- FSTEC Rusia dalam hal kepatuhan dengan persyaratan untuk melindungi informasi dari akses dan kebocoran yang tidak sah melalui saluran teknis.
Karena Undang-Undang Federal "Tentang Data Pribadi" hanya merupakan dasar dukungan hukum untuk perlindungan data pribadi, persyaratannya lebih lanjut ditentukan dalam tindakan-tindakan Pemerintah Federasi Rusia dan Kementerian Komunikasi, dan dokumen peraturan dan metodologi lainnya dari regulator.
Setiap organisasi yang memproses data pribadi dihadapkan pada masalah membawa sistem informasinya sesuai dengan persyaratan hukum. Perlindungan data pribadi adalah salah satu masalah yang paling mendesak, dan tidak hanya di Rusia, tetapi juga di negara lain.
Jenis data pribadi
Menurut Federal Law-152, data pribadi adalah segala informasi yang berkaitan dengan orang tertentu (berdasarkan informasi tersebut) (suatu subjek data pribadi). Misalnya: nama, tanggal dan tempat lahir, alamat, perkawinan, sosial, status properti, pendidikan, dll.
Data pribadi dibagi menjadi beberapa kategori:
Memproses data pribadi adalah setiap tindakan (operasi) atau serangkaian tindakan dengan data pribadi menggunakan alat otomatisasi atau tanpa mereka, termasuk:
- koleksi
- merekam
- sistematisasi
- akumulasi
- penyimpanan
- klarifikasi (pembaruan, ubah),
- ekstraksi
- gunakan
- transmisi (distribusi, penyediaan, akses),
- depersonalisasi
- memblokir
- penghapusan
- penghancuran data pribadi.
Tanggung jawab atas Pelanggaran
Menurut Pasal 24 Undang-Undang Federal-152, orang bertanggung jawab atas pelanggaran hukum sesuai dengan undang-undang Federasi Rusia.
Saat memeriksa perusahaan, regulator dipandu oleh Undang-Undang Federal-152 dan sejumlah anggaran rumah tangga. Audit dapat direncanakan dan tidak terjadwal - pada fakta pelanggaran, serta untuk mengontrol perintah yang dikeluarkan sebelumnya untuk menghilangkannya.
Orang yang melanggar persyaratan untuk perlindungan PD dapat menghadapi tidak hanya sipil dan disiplin, tetapi juga tanggung jawab administratif dan bahkan pidana.
Bagaimana cara memenuhi persyaratan FZ-152?
Jadi, perusahaan atau organisasi yang memproses data pribadi atau informasi terbatas lainnya harus melindungi informasi ini sesuai dengan hukum. Ini tidak hanya membutuhkan keahlian, pengetahuan, dan pengalaman yang serius, tetapi juga melibatkan kesulitan teknis dan biaya yang besar.
Menurut definisi resmi yang disetujui oleh FSTEC, "... Keamanan data pribadi adalah keadaan perlindungan data pribadi, ditandai dengan kemampuan pengguna, sarana teknis dan teknologi informasi untuk memastikan kerahasiaan, integritas, dan ketersediaan data pribadi ketika mereka diproses dalam sistem informasi data pribadi ..."
Untuk memenuhi persyaratan organisasi, hukum, dan teknis dari FZ-152, Anda sendiri, Anda perlu mempelajari tidak hanya hukum itu sendiri, tetapi juga peraturannya, untuk memahami dengan tepat langkah apa yang perlu diambil. Spesialis outsourcing dapat mempelajari proses pemrosesan data pribadi di perusahaan, menyusun dokumen yang diperlukan, menerapkan langkah-langkah keamanan, dll.
Sistem keamanan informasi terpadu meliputi:
- Intrusion Prevention Tools (IDS).
- Firewalling (FW).
- Perlindungan terhadap malware.
- Sistem untuk memantau dan merekam peristiwa keamanan.
- Sistem perlindungan kriptografis dari saluran komunikasi (enkripsi).
- Alat perlindungan lingkungan virtual, sistem perlindungan terhadap akses tidak sah (NSD), identifikasi dan kontrol akses.
- Analisis keamanan / sistem identifikasi kerentanan, dll.
Selain itu, keamanan informasi terintegrasi melibatkan tidak hanya tindakan teknis, tetapi juga organisasi.
Cloud FZ-152: fitur implementasi
Sejumlah penyedia Rusia menyediakan layanan infrastruktur cloud untuk penyebaran sistem informasi sesuai dengan persyaratan undang-undang federal tentang PD. Saat menempatkan sistem klien di cloud, penyedia mengasumsikan solusi dari banyak masalah IS, termasuk yang terkait dengan perlindungan data pribadi. Saat bermigrasi ke cloud, itu akan melindungi infrastruktur TI, dan ini akan menghilangkan beberapa tanggung jawab dari klien. Sebagai contoh, penyedia mematuhi persyaratan FZ-152 mengenai perlindungan lingkungan virtualisasi.
Penyedia juga dapat menyediakan pelanggan dengan dukungan ahli dalam memecahkan masalah perlindungan data: menentukan tingkat keamanan yang diperlukan dan, sesuai dengan ini, menawarkan opsi implementasi; mengembangkan dokumentasi untuk memenuhi persyaratan undang-undang Federasi Rusia.
Awan aman akan membantu mengoptimalkan biaya organisasi dengan mengurangi biaya membuat dan memelihara infrastruktur TI dan sistem perlindungan informasi internal. Sebagai aturan, para ahli yang berkualifikasi memberikan dukungan teknis dan dukungan yang komprehensif, termasuk konsultasi dan pengembangan paket dokumen untuk sertifikasi di badan pengawas, dan platform untuk penyediaan layanan memenuhi standar teknis yang ketat dan memenuhi persyaratan organisasi yang diperlukan. Klien dapat menggunakan layanan menyiapkan dokumentasi yang diperlukan dan melindungi ISPD pada tingkat aplikasi dan sistem operasi.
Proses manajemen risiko dan kerentanan, investigasi insiden, audit keamanan internal dan eksternal, serta pemantauan dan pengujian jaringan secara berkala, sistem dan proses keamanan informasi juga disediakan. Spesialis yang berkualifikasi memberikan dukungan infrastruktur TI setiap saat.
Bersama-sama, langkah-langkah ini memastikan kepatuhan terhadap undang-undang federal tentang perlindungan data pribadi.
Platform bersertifikat
IBS DataFort menyediakan layanan seperti itu berdasarkan
platform DF Cloud tersertifikasi . Semua bagian teknis, administrasi, dan alat virtualisasi platform ini mematuhi standar dan persyaratan FZ-152.
Arsitektur Cloud yang Aman IBS DataFort.Platform ini memberikan perlindungan yang terjamin untuk ISPDN (termasuk tingkat keamanan 1), GIS (hingga tingkat keamanan 1 termasuk) dan penyimpanan data yang aman di pusat data Tier III. Platform ini menggunakan firewall bersertifikat, alat deteksi dan pencegahan intrusi (IDS / IPS), enkripsi saluran komunikasi (GOST VPN), perlindungan anti-virus, perlindungan akses anti-tidak sah, perlindungan lingkungan virtualisasi, dan alat pemindaian kerentanan.
Cloud FZ-152 juga merupakan solusi yang cocok bagi mereka yang menaruh tuntutan tinggi pada kerahasiaan dan perlindungan data, ingin memperkuat reputasi bisnis mereka atau mendapatkan keunggulan kompetitif seperti tingkat keamanan informasi yang tinggi.
Bagaimana cara "pindah" ke cloud seperti itu? Apakah "migrasi tanpa batas" mungkin? Cukup. Misalnya, IBS DataFort dengan aman mentransfer ISPDn ke cloud yang aman, meminimalkan downtime dan dampak pada proses bisnis perusahaan (termasuk dari situs asing).
Membawa infrastruktur TI sesuai dengan Undang-Undang Federal-152
Proses membawa infrastruktur TI klien sesuai dengan persyaratan Undang-Undang Federal-152 dimulai dengan audit dan penilaian tingkat keamanan saat ini.
Audit infrastruktur TI klien mencakup pemeriksaan pemrosesan PD dan proses perlindungan dan pemeriksaan ISPD pelanggan. Laporan survei disiapkan dengan uraian terperinci tentang proses pemrosesan PD dari sudut pandang teknis.
Pekerjaan ini juga mencakup pemodelan ancaman dan pelanggar dan menyusun tindakan untuk menentukan tingkat keamanan untuk ISPDn. Berdasarkan hasil audit, pernyataan kerja pribadi disusun untuk sistem keamanan ISPDn dan menetapkan persyaratan untuk sistem yang dirancang.
Serangkaian kebijakan, instruksi, peraturan, dan dokumen lain untuk melindungi data pribadi sedang dikembangkan. Pada saat yang sama, para spesialis mencoba untuk mengoptimalkan biaya pelanggan untuk implementasi peralatan pelindung.
IBS DataFort menyediakan persiapan dokumentasi dan layanan perlindungan ISPD untuk mematuhi undang-undang federal tentang perlindungan data pribadi dan dapat membantu dalam persiapan dan sertifikasi (ISPD, GIS, AS).
Sertifikasi dilakukan oleh auditor independen yang dilisensi oleh FSTEC dan FSB Rusia. Melewati sertifikasi semacam itu mengonfirmasi perlindungan yang dapat diandalkan terhadap data pribadi mitra dan pelanggan perusahaan dari ancaman eksternal, kepatuhan komprehensif terhadap persyaratan regulator. Adalah penting bahwa pelanggan mendapatkan kenyamanan dari "jendela tunggal": semuanya disediakan oleh satu perusahaan - IBS DataFort.
Untuk operator data pribadi, ini berarti kesediaan untuk memeriksa Roskomnadzor, FSTEC dan FSB, menghilangkan risiko memblokir sumber daya, dan tidak adanya klaim dan sanksi dari regulator.
Layanan seperti itu relevan untuk banyak kategori pelanggan dari segmen negara dan perusahaan dan dapat diklaim oleh operator data pribadi yang ingin membawa aktivitas mereka sesuai dengan hukum. Penempatan IP di segmen tertutup dari infrastruktur penyedia, disertifikasi sesuai dengan semua standar dan persyaratan yang diperlukan, menghilangkan kebutuhan pelanggan untuk mengatur semua pekerjaan secara independen.