O FZ-152 “Sobre a proteção de dados pessoais” se aplica a todas as entidades existentes: pessoas físicas e jurídicas, órgãos federais de poder estatal e governo local. De fato, esta lei se aplica a qualquer organização que processe informações e dados pessoais de cidadãos da Federação Russa, independentemente da forma de propriedade e tamanho da organização.
Às vezes, uma organização, inesperadamente por si mesma, pode detectar sistemas de informação inicialmente implícitos de dados pessoais (DP). Por exemplo, uma empresa é considerada a operadora de dados pessoais se seu site tiver formulários de feedback, registro / autorização e outras formas de coleta de dados pelas quais é possível identificar o assunto.
O controle e a supervisão do cumprimento dos requisitos da lei federal “Sobre Dados Pessoais” são realizados pelos reguladores:
- Roskomnadzor no que diz respeito à proteção dos direitos dos sujeitos de dados pessoais;
- O FSB da Rússia em termos de cumprimento dos requisitos no campo da criptografia;
- FSTEC da Rússia em termos de conformidade com os requisitos para proteger as informações contra acesso não autorizado e vazamento através de canais técnicos.
Como a Lei Federal “Sobre Dados Pessoais” é apenas a base do suporte legal para a proteção de dados pessoais, seus requisitos foram especificados em atos do Governo da Federação Russa e do Ministério das Comunicações e outros documentos regulamentares e metodológicos dos reguladores.
Cada organização que processa dados pessoais enfrenta o problema de trazer seus sistemas de informação de acordo com os requisitos da lei. A proteção de dados pessoais é uma das questões mais prementes, e não apenas na Rússia, mas também em outros países.
Tipos de dados pessoais
De acordo com a Lei Federal 152, dados pessoais são quaisquer informações relacionadas a uma pessoa específica (com base nessas informações) (um titular de dados pessoais). Por exemplo: nome, data e local de nascimento, endereço, conjugal, social, status de propriedade, educação, etc.
Os dados pessoais são divididos em várias categorias:
Processar dados pessoais é qualquer ação (operação) ou um conjunto de ações com dados pessoais usando ferramentas de automação ou sem elas, incluindo:
- coleção
- registro
- sistematização
- acumulação
- armazenamento
- esclarecimentos (atualização, alteração),
- extração
- usar
- transmissão (distribuição, provisão, acesso),
- despersonalização
- bloqueio
- remoção
- destruição de dados pessoais.
Responsabilidade por violações
De acordo com o artigo 24 da Lei Federal 152, as pessoas são responsáveis por violar a lei de acordo com a legislação da Federação Russa.
Ao verificar a empresa, os reguladores são orientados pela Lei Federal 152 e vários estatutos. A auditoria pode ser planejada e não programada - sobre os fatos das violações, bem como controlar a ordem emitida anteriormente para eliminá-las.
As pessoas que violarem os requisitos para a proteção da DP podem enfrentar não apenas responsabilidades civis e disciplinares, mas também administrativas e até criminais.
Como atender aos requisitos do FZ-152?
Portanto, uma empresa ou organização que processa dados pessoais ou outras informações restritas deve proteger essas informações de acordo com a lei. Isso requer não apenas conhecimento, experiência e experiência sérios, mas também envolve dificuldades técnicas e custos consideráveis.
De acordo com a definição oficial aprovada pelo FSTEC, "... Segurança de dados pessoais é o estado de proteção de dados pessoais, caracterizado pela capacidade dos usuários, meios técnicos e tecnologias da informação de garantir a confidencialidade, integridade e disponibilidade dos dados pessoais quando processados em sistemas de informação de dados pessoais ..."
Para cumprir os requisitos organizacionais, legais e técnicos do FZ-152, você deve estudar não apenas a lei em si, mas também seu estatuto, para entender exatamente quais medidas precisam ser tomadas. Os especialistas em terceirização podem estudar os processos de processamento de dados pessoais em uma empresa, elaborar os documentos necessários, implementar medidas de segurança, etc.
O sistema integrado de segurança da informação inclui:
- Ferramentas de prevenção de intrusões (IDS).
- Firewall (FW).
- Proteção contra malware.
- Um sistema para monitorar e registrar eventos de segurança.
- O sistema de proteção criptográfica dos canais de comunicação (criptografia).
- Ferramentas de proteção do ambiente virtual, sistema de proteção contra acesso não autorizado (NSD), identificação e controle de acesso.
- Sistema de análise de segurança / identificação de vulnerabilidades, etc.
Além disso, a segurança da informação integrada envolve não apenas medidas técnicas, mas também organizacionais.
Cloud FZ-152: recursos de implementação
Vários provedores russos fornecem serviços de infraestrutura em nuvem para a implantação de sistemas de informação de acordo com os requisitos da legislação federal sobre PD. Ao colocar os sistemas clientes na nuvem, o provedor assume a solução de muitos problemas de SI, incluindo aqueles relacionados à proteção de dados pessoais. Ao migrar para a nuvem, ele protegerá a infraestrutura de TI e isso removerá algumas das responsabilidades do cliente. Por exemplo, um provedor cumpre os requisitos do FZ-152 em relação à proteção de um ambiente de virtualização.
Os fornecedores também podem fornecer aos clientes suporte especializado na solução do problema de proteção de dados: determinar o nível de segurança exigido e, de acordo com isso, oferecer uma opção de implementação; desenvolver documentação para atender aos requisitos da legislação da Federação Russa.
Uma nuvem segura ajudará a otimizar os custos da organização, reduzindo o custo de criação e manutenção de uma infraestrutura de TI e sistema interno de proteção de informações. Como regra, especialistas qualificados fornecem suporte e suporte técnico abrangente, incluindo consultoria e desenvolvimento de um pacote de documentos para certificação nas autoridades reguladoras, e a plataforma para a prestação de serviços atende aos padrões técnicos rigorosos e aos requisitos organizacionais necessários. Os clientes podem usar os serviços de preparação da documentação necessária e proteção do ISPD no nível do aplicativo e do sistema operacional.
Também são fornecidos processos de gerenciamento de riscos e vulnerabilidades, investigação de incidentes, auditorias de segurança internas e externas, além de monitoramento e teste regulares da rede, sistemas e processos de segurança da informação. Especialistas qualificados fornecem suporte ininterrupto da infraestrutura de TI.
Juntas, essas medidas garantem a conformidade com a legislação federal referente à proteção de dados pessoais.
Plataforma certificada
O IBS DataFort fornece esse serviço com base na
plataforma certificada DF Cloud . Toda a parte técnica, ferramentas de administração e virtualização desta plataforma estão em conformidade com os padrões e requisitos do FZ-152.
Arquitetura de nuvem segura IBS DataFort.A plataforma fornece proteção garantida para ISPDN (até o 1º nível de segurança inclusive), GIS (até o 1º nível de segurança inclusive) e armazenamento seguro de dados no data center de nível III. A plataforma usa firewalls certificados, ferramentas de detecção e prevenção de intrusões (IDS / IPS), criptografia de canal de comunicação (VPN GOST), proteção antivírus, proteção de acesso não autorizado, proteção do ambiente de virtualização e ferramentas de verificação de vulnerabilidades.
A nuvem FZ-152 também é uma solução adequada para aqueles que exigem muito sigilo e proteção de dados, desejam fortalecer a reputação de seus negócios ou obter uma vantagem competitiva como um alto nível confirmado de segurança das informações.
Como "mover" para uma nuvem dessas? É possível uma "migração contínua"? Bastante. Por exemplo, o IBS DataFort transfere com segurança o ISPDn para sua nuvem segura, minimizando o tempo de inatividade e o impacto nos processos de negócios da empresa (inclusive em sites no exterior).
Trazendo infraestrutura de TI de acordo com a Lei Federal 152
O processo de trazer a infraestrutura de TI do cliente de acordo com os requisitos da Lei Federal 152, começa com uma auditoria e avaliação do nível atual de segurança.
Uma auditoria da infraestrutura de TI de um cliente inclui um exame dos processos de processamento e proteção de PD e um exame do ISPD de um cliente. Um relatório de pesquisa é preparado com uma descrição detalhada dos processos de processamento de PD do ponto de vista técnico.
O trabalho também inclui modelar ameaças e violadores e elaborar um ato para determinar o nível de segurança do ISPDn. Com base nos resultados da auditoria, é compilada uma declaração privada do trabalho no sistema de proteção ISPD e a determinação dos requisitos para o sistema projetado.
Está sendo desenvolvido um conjunto de políticas, instruções, regulamentos e outros documentos para a proteção de dados pessoais. Ao mesmo tempo, especialistas estão tentando otimizar os custos do cliente para a implementação de equipamentos de proteção.
O IBS DataFort fornece serviços de preparação de documentação e proteção de ISPD para cumprir a legislação federal sobre proteção de dados pessoais e pode ajudar na preparação e certificação (ISPD, GIS, AS).
A certificação é realizada por auditores independentes licenciados pelo FSTEC e pelo FSB da Rússia. A aprovação dessa certificação confirma a proteção confiável dos dados pessoais de parceiros e clientes da empresa contra ameaças externas, conformidade abrangente com os requisitos dos reguladores. É importante que os clientes obtenham a conveniência de um "balcão único": tudo é fornecido por uma empresa - IBS DataFort.
Para o operador de dados pessoais, isso significa disposição para inspecionar Roskomnadzor, FSTEC e FSB, eliminando os riscos de bloqueio de recursos e a ausência de reivindicações e sanções por parte do regulador.
Esse serviço é relevante para muitas categorias de clientes dos segmentos estadual e corporativo e pode ser reivindicado por operadores de dados pessoais que desejam levar suas atividades de acordo com a lei. A colocação de IP no segmento fechado da infraestrutura do provedor, certificado de acordo com todos os padrões e requisitos necessários, elimina a necessidade de o cliente organizar independentemente todo o trabalho.