ФЗ-152 «О защите персональных данных» распространяется на всех существующих субъектов: физических и юридических лиц, федеральные органы государственной власти и местного самоуправления. Фактически, этот закон распространяется на любые организации, обрабатывающие информацию и личные данные граждан РФ, независимо от формы собственности и размера организации.
Порой организация достаточно неожиданно для себя может обнаружить изначально неявные информационные системы персональных данных (ПДн). Например, компания считается оператором персональных данных, если на ее сайте есть формы обратной связи, регистрацииавторизации и прочие формы сбора данных, по которым можно идентифицировать субъекта.
Контроль и надзор в отношении соблюдения требований федерального закона «О персональных данных» осуществляют регуляторы:
- Роскомнадзор в части защиты прав субъектов персональных данных;
- ФСБ России в части выполнения требований в области криптографии;
- ФСТЭК России в части соблюдения требований по защите информации от несанкционированного доступа и утечки по техническим каналам.
Так как ФЗ «О персональных данных» является лишь основой правового обеспечения защиты ПДн, его требования в дальнейшем были конкретизированы в актах Правительства РФ и Министерства связи, и иных нормативно-методических документах регуляторов.
Федеральные органы, регулирующие деятельность в сфере обработки персональных данных
|
Каждая организация, обрабатывающая персональные данные, сталкивается с проблемой приведения своих информационных систем в соответствие с требованиями законодательства. Защита персональных данных — один из самых актуальных вопросов, причем не только в России, но и в других странах.
Виды персональных данных
Согласно ФЗ-152, персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). К примеру: ФИО, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование и т.д.
Персональные данные разделяют на несколько категорий:
СпециальныеПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни |
БиометрическиеПДн, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных |
ИныеПДн, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, и не относящаяся к вышеперечисленным категориям |
ОбщедоступныеПДн, полученные из общедоступных источников, в которых данные были опубликованы с письменного согласия субъекта персональных данныз |
Обработка персональных данных — это любое действие (операция) или совокупность действий с персональными данными с использованием средств автоматизации или без них, включая:
- сбор,
- запись,
- систематизацию,
- накопление,
- хранение,
- уточнение (обновление, изменение),
- извлечение,
- использование,
- передачу (распространение, предоставление, доступ),
- обезличивание,
- блокирование,
- удаление,
- уничтожение персональных данных.
Ответственность за нарушения
Согласно статье 24 ФЗ-152, лица несут ответственность за нарушение закона в соответствии с законодательством Российской Федерации.
Проверяя компанию, регуляторы руководствуется ФЗ-152 и рядом подзаконных актов. Проверка может быть как плановой, так и внеплановой — по фактам нарушений, а также для контроля ранее выданного предписания об их устранении.
Лицам, нарушившим требования по защите ПДн может грозить не только гражданско-правовая и дисциплинарная, но также административная и даже уголовная ответственность.
Как соответствовать требованиям ФЗ-152?
Итак, компания или организация, обрабатывающая персональные данные или другую информацию ограниченного доступа, должна защищать эту информацию в соответствии с законодательством. Это не только требует серьезной экспертизы, знаний и опыта, но и сопряжено с техническими сложностями и немалыми затратами.
Согласно официальному определению, утвержденному ФСТЭК, «… Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных...»
Чтобы выполнить организационные, правовые и технические требования ФЗ-152, самостоятельно, нужно изучить не только сам закон, но и его подзаконные акты, разобраться в том, какие именно меры необходимо предпринять. Специалисты на аутсорсинге могут изучить процессы обработки персональных данных в компании, составить необходимые документы, внедрить средства защиты и т. д.
Комплексная система защиты информации включает в себя:
- Средства предотвращения вторжений (IDS).
- Межсетевое экранирование (FW).
- Защиту от вредоносного ПО.
- Систему мониторинга и регистрации событий безопасности.
- Систему криптографической защиты каналов связи (шифрование).
- Средства защиты виртуальной среды, систему защиты от несанкционированного доступа (НСД), идентификации и управления доступом.
- Систему анализа защищенности/выявления уязвимостей и др.
Кроме того, комплексная информационная безопасность предполагает не только технические, но и организационные меры.
Облако ФЗ-152: особенности реализации
Ряд российских провайдеров оказывает услуги по предоставлению облачной инфраструктуры для размещения информационных систем в соответствии с требованиями федерального законодательства в части ПДн. При размещении систем клиента в облаке провайдер берет на себя решение многих вопросов ИБ, в том числе и касающихся защиты персональных данных. При миграции в облако он обеспечит защиту инфраструктуры ИТ, и это снимет часть обязанностей с клиента. Например, провайдер выполняет требования ФЗ-152, касающиеся защиты среды виртуализации.
Провайдеры также могут оказывать заказчикам экспертную поддержку в решении задачи защиты данных: определять требуемый уровень защищенности и в соответствии с этим предлагать вариант реализации; разрабатывать документацию для выполнения требований законодательства РФ.
Защищенное облако поможет оптимизировать затраты организации, сократив издержки на создание и обслуживание ИТ-инфраструктуры и внутренней системы защиты информации. Как правило, квалифицированные эксперты обеспечивают комплексное техническое сопровождение и поддержку, включая консалтинг и разработку пакета документов для аттестации в регулирующих органах, а платформа для оказания услуг соответствует строгим техническим стандартам и удовлетворяет необходимые организационные требования. Клиенты могут воспользоваться услугами по подготовке необходимой документации и защите ИСПДн на уровне приложений и операционной системы.
Также предусмотрены процессы управления рисками и уязвимостями, расследование инцидентов, внутренние и внешние аудиты безопасности, а также регулярный мониторинг и тестирование сети, систем и процессов ИБ. Квалифицированные специалисты обеспечивают круглосуточное сопровождение ИТ-инфраструктуры.
В совокупности эти меры обеспечивают соблюдение федерального законодательства в части защиты персональных данных.
Сертифицированная платформа
IBS DataFort предоставляет такой сервис на базе сертифицированной платформы DF Cloud. Вся техническая часть, администрирование и средства виртуализации данной платформы соответствуют нормам и требованиям ФЗ-152.
Архитектура защищенного облака IBS DataFort.
Платформа обеспечивает гарантированную защиту ИСПДн (до 1-го уровня защищенности включительно), ГИС (до 1-го класса защищенности включительно) и безопасное хранение данных в ЦОД Tier III. На платформе применяются сертифицированные межсетевые экраны, средства обнаружения и предотвращения вторжений (IDS/IPS), шифрование каналов связи (ГОСТ VPN), антивирусная защита, средства защиты от несанкционированного доступа, защита среды виртуализации, а также средства сканирования уязвимостей.
Облако ФЗ-152 — также подходящее решение для тех, кто предъявляет высокие требования к конфиденциальности и защите данных, хочет укрепить свою деловую репутацию или получить такое конкурентное преимущество как подтвержденный высокий уровень информационной безопасности.
Как же «переехать» в такое облако? Возможна ли «бесшовная миграция»? Вполне. Например, IBS DataFort осуществляет безопасный перенос ИСПДн в свое защищенное облако, минимизируя простои и влияние на бизнес-процессы компании (в том числе, с зарубежных площадок).
Приведения ИТ-инфраструктуры в соответствие с ФЗ-152
Процесс приведения ИТ-инфраструктуры клиента в соответствие с требованиями ФЗ-152 начинается с аудита и оценки текущего уровня защищенности.
Аудит ИТ-инфраструктуры клиента включает обследование процессов обработки и защиты ПДн и обследование ИСПДн заказчика. Составляется отчет об обследовании с подробным описанием процессов обработки ПДн с технической точки зрения.
Работы предусматривают также моделирование угроз и нарушителей и составление акта определения уровня защищенности для ИСПДн. По результатам аудита составляется частное ТЗ на систему защиты ИСПДн и определяющее требования к проектируемой системе.
Разрабатывается набор политик, инструкций, регламентов и прочих документов по защите ПДн. При этом специалисты стараются оптимизировать затраты заказчика на внедрения средств защиты.
IBS DataFort оказывает услуги по подготовке документации и защите ИСПДн для соблюдения федерального законодательства по защите персональных данных и может помочь в подготовке и прохождении аттестации (ИСПДн, ГИС, АС).
Аттестация проводится независимыми аудиторами, обладающими лицензиями ФСТЭК и ФСБ России. Прохождение такой аттестации подтверждает надежную защиту персональных данных партнеров и клиентов компании от внешних угроз, комплексное соответствие требованиям регуляторов. Важно, что клиенты получают удобство «одного окна»: все обеспечивает одна компания — IBS DataFort.
Для оператора персональных данных это означает готовность к проверкам Роскомнадзора, ФСТЭК и ФСБ, исключение рисков блокировки ресурсов, отсутствие претензий и санкций регулятора.
Такая услуга актуальна для многих категорий заказчиков государственного и корпоративного сегмента и может быть востребована операторами персональных данных, которые хотят привести свою деятельность в соответствие с законодательством. Размещение ИС в закрытом сегменте инфраструктуры провайдера, аттестованном по всем необходимым стандартам и требованиям, избавляет заказчика от необходимости самостоятельной организации всех работ.
Автор: Dmitry Egorov