FZ-152“关于个人数据的保护”适用于所有现有实体:个人和法人实体,联邦国家权力机构和地方自治政府。 实际上,该法律适用于处理俄罗斯联邦公民的信息和个人数据的任何组织,而不论该组织的所有权形式和规模如何。
有时,一个组织,对于自己而言,出乎意料之外,可以检测到最初隐含的个人数据信息系统(PD)。 例如,如果某家公司的网站上有反馈表,注册/授权以及其他形式的数据收集方式(通过这些方式可以识别主题),则该公司被视为个人数据的操作者。
监管机构对遵守联邦法律“关于个人数据”的要求进行控制和监督:
- Roskomnadzor关于保护个人数据主体的权利;
- 俄罗斯的FSB满足密码学领域的要求;
- 俄罗斯FSTEC遵守保护信息免遭未经授权访问和通过技术渠道泄漏的要求。
由于“关于个人数据”的联邦法律只是保护个人数据的法律依据,因此,俄罗斯联邦政府和交通部的法律以及监管机构的其他监管和方法文件进一步规定了其要求。
每个处理个人数据的组织都面临着根据法律要求配备其信息系统的问题。 个人数据的保护是最紧迫的问题之一,不仅在俄罗斯,而且在其他国家也是如此。
个人资料类型
根据第152号联邦法律,个人数据是与特定人有关的任何信息(基于此类信息)(个人数据主体)。 例如:姓名,出生日期和地点,地址,婚姻,社会,财产状况,教育程度等。
个人数据分为几类:
处理个人数据是指使用自动化工具或不使用自动化工具对个人数据进行的任何操作(操作)或一组操作,包括:
- 收藏品
- 记录
- 系统化
- 积累
- 贮藏
- 澄清(更新,更改),
- 提取
- 使用
- 传输(分发,提供,访问),
- 去个人化
- 阻塞
- 清除
- 个人数据的破坏。
违规责任
根据《联邦法律152》第24条,根据俄罗斯联邦的法律,个人应承担违反法律的责任。
在检查公司时,监管机构会受到152号联邦法律和许多附则的指导。 审核可以有计划地进行,也可以不定期进行-根据违规的事实,以及控制先前发布的命令以消除违规情况。
违反保护PD要求的人可能不仅面临民事和纪律处分,而且还面临行政甚至刑事责任。
如何满足FZ-152的要求?
因此,处理个人数据或其他受限制信息的公司或组织必须依法保护该信息。 这不仅需要认真的专业知识,知识和经验,而且还涉及技术难题和大量成本。
根据FSTEC批准的官方定义,“ ...个人数据的安全性是个人数据的保护状态,其特征在于用户,技术手段和信息技术确保在个人数据信息系统中处理个人数据时的机密性,完整性和可用性的能力...”
为了单独满足FZ-152的组织,法律和技术要求,您不仅需要研究法律本身,还需要研究其章程,以确切了解需要采取的措施。 外包专家可以研究公司中处理个人数据的过程,草拟必要的文件,实施安全措施等。
综合信息安全系统包括:
- 入侵防御工具(IDS)。
- 防火墙(FW)。
- 防范恶意软件。
- 用于监视和记录安全事件的系统。
- 通信通道的密码保护系统(加密)。
- 虚拟环境保护工具,防止未经授权的访问的系统(NSD),标识和访问控制。
- 安全分析/漏洞识别系统等
此外,集成的信息安全不仅涉及技术措施,还涉及组织措施。
Cloud FZ-152:实施功能
许多俄罗斯提供商根据联邦立法有关PD的要求,为信息系统的部署提供云基础设施服务。 当将客户端系统放置在云中时,提供商将假定解决了许多IS问题,包括与保护个人数据有关的问题。 当迁移到云时,它将保护IT基础架构,这将减轻客户端的一些责任。 例如,提供者符合联邦法律152关于保护虚拟化环境的要求。
提供商还可以为客户提供专家支持,以解决数据保护问题:确定所需的安全级别,并据此提供实施选项; 开发文档以满足俄罗斯联邦法律的要求。
安全的云将通过减少创建和维护IT基础架构和内部信息保护系统的成本来帮助优化组织的成本。 通常,合格的专家会提供全面的技术支持和支持,包括咨询和制定监管机构的认证文件包,并且提供服务的平台符合严格的技术标准并符合必要的组织要求。 客户可以使用服务来准备必要的文档,并在应用程序和操作系统级别保护ISPD。
还提供了风险和漏洞管理过程,事件调查,内部和外部安全审核以及对网络,信息安全系统和过程的定期监视和测试。 合格的专家为IT基础架构提供全天候支持。
这些措施共同确保遵守有关个人数据保护的联邦法律。
认证平台
IBS DataFort基于
经过认证的DF Cloud平台提供此类服务。 该平台的所有技术部分,管理和虚拟化工具均符合FZ-152的标准和要求。
安全云架构IBS DataFort。该平台可为ISPDN(最高包括第一安全级别),GIS(最高包括第一安全级别)和第三层数据中心中的安全数据存储提供有保障的保护。 该平台使用经过认证的防火墙,入侵检测和防御工具(IDS / IPS),通信通道加密(GOST VPN),防病毒保护,反未经授权的访问保护,虚拟化环境保护和漏洞扫描工具。
对于对机密性和数据保护有很高要求,想要增强其商业声誉或获得诸如已确认的高信息安全性的竞争优势的用户,
FZ-152云也是一种合适的解决方案。
如何“移动”到这样的云? “无缝迁移”是否可能? 挺好的 例如,IBS DataFort安全地将ISPDn传输到其安全的云中,从而最大程度地减少停机时间并减少对公司业务流程(包括来自海外站点)的影响。
使IT基础设施符合联邦法律152
根据联邦法律152的要求,为客户提供IT基础架构的过程始于对当前安全级别的审核和评估。
对客户的IT基础架构的审核包括对PD处理和保护流程的检查以及对客户ISPD的检查。 准备了一份调查报告,从技术角度对PD处理流程进行了详细描述。
这项工作还包括对威胁和违规行为进行建模,并制定法案来确定ISPDn的安全级别。 根据审核结果,为ISPDn安全系统编制一份私人工作声明,并定义设计系统的要求。
正在制定一套保护个人数据的政策,说明,法规和其他文件。 同时,专家们正在尝试优化客户实施保护设备的成本。
IBS DataFort提供文件准备和ISPD保护服务,以遵守联邦关于保护个人数据的法律,并可以帮助准备和认证(ISPD,GIS,AS)。
认证由俄罗斯FSTEC和FSB许可的独立审核员进行。 通过此类认证可确保可靠地保护公司合作伙伴和客户的个人数据免受外部威胁,并完全符合监管机构的要求。 客户获得“一站式商店”的便利非常重要:一切都由一家公司-IBS DataFort提供。
对于个人数据运营商而言,这意味着愿意检查Roskomnadzor,FSTEC和FSB,消除了阻塞资源的风险,并且没有监管机构的要求和制裁。
此类服务与州和公司部门的许多类别的客户相关,并且希望根据法律进行活动的个人数据运营商可以要求提供此服务。 将IP放置在提供商基础结构的封闭部分中,并根据所有必要的标准和要求进行认证,从而消除了客户独立组织所有工作的需要。