/写真チャールズダイアー CC
示された戦略に従って、情報へのアクセスを制限するメカニズムを改善する必要があり、その配布はロシア連邦の法律で禁止されています。 この文書はまた、メディアや情報源の立法規制のメカニズムを改善する必要があると述べていますが、これは多くの点でソーシャルネットワーク、ニュースアグリゲーター、インスタントメッセンジャー、インターネットテレビです。
これはすべて、情報に関する法律および個人データ(PD)の保存に関する法律と関連しています。 彼らは、サイトに活動の開始をRoskomnadzorに通知し、ロシア連邦市民の個人データの保存を担当し、SORM機器(運用検索手段の機能を確保するための技術的手段のシステム)への接続を編成および構成し、入力に必要なデータを提供することを義務付けています情報普及オーガナイザー(ARI)の登録簿へ。
このレジストリの参加者は、ユーザーの行動に関するデータを保存し、政府機関および特別なサービスの要求に応じて送信する必要があります。 さらに、法律によれば、Roskomnadzorは、登記に必要な情報の提供を拒否した企業のウェブサイトをブロックする義務があります。
たとえば、4月中旬に、連邦サービスはZelloモバイル無線のサイトとサーバーをブロックしました 。 また、5月上旬には、Line、Imo、Vchat、およびBlackBerry Messengerインスタントメッセンジャーのサイトおよびサーバーへのアクセスが制限されました 。 そして5月4日、Roskomnadzorは中国の主要サービスWeChatをブロックしましたが、後に代理店はブロックをキャンセルしました -データの問題は解決しました。
現在の法律によると、情報普及オーガナイザーは、サービス参加者のすべてのアクションに関するメタデータを6か月間保存する必要があります。 同時に、2018年7月から「 Spring Package 」の新しい規定が施行されると、企業はその年に送信されたメッセージ(音声、テキスト、マルチメディアの両方)に関する情報をサーバー上に保持する必要があります。
個人データ保護
これはすべて、個人データに関する法律の特有の結果であり、個人データを保存、収集、送信、または処理する個人だけでなく、すべての民間および国有企業および組織の要件を大幅に厳しくしています。 同時に、情報を保護するタスクは、この個人データを処理する組織の肩にかかっていました。
個人データの処理は、個人データの収集、記録、体系化、保存、変更、使用、配布、ブロック、削除、破壊など、自動化ツールを使用して、または使用せずに実行される操作、アクション、アクションのセットとして理解されます。
FZ-152の18.1項によると、オペレーター(「オペレーター」の州および地方自治体の定義、および個人データを処理する法的または物理的なエンティティ)から、個人データは多くの組織的、法的および技術的手段を実行するために必要です。 最初に、責任者を任命して、個人データの処理を整理します。 第二に、内部統制および(または)個人データ処理が連邦法およびそれに基づいて採用された規制法的行為の要件に準拠しているかどうかの監査を実施します。
第三に、この連邦法に違反した場合に個人データの対象に生じる可能性のある損害を評価し、個人データに関するロシア連邦の法律の規定に個人データを直接処理する従業員を熟知すること。 また、これは要件の完全なリストではありません(完全なリストはこちらで確認できます)。
組織が「個人データに関する法律」の要件を遵守していない場合、次のリスクに直面する可能性があります。クライアントまたは従業員による民事請求、組織内の個人データの処理の停止または終了、組織の管理、刑事、民事、懲戒およびその他の責任、組織の主な活動の種類のライセンスの一時停止または取り消し、評判のリスク、および不公正な競争のリスク。
法律の前にきれいにするために、企業にはいくつかの方法があります。 1つ目は、第三者の法律相談の有無にかかわらず、個人データの保護を独立して編成することです。 独自のサーバーまたはデータセンターが個人データを処理する機器へのアクセスを明確に制御するため、このシナリオは受け入れられます。 これにより、外部マシンから保護されアクセスできない領域に情報が漏洩する可能性を制限できます。 また、独自のインフラストラクチャにより、追加の監視および保護ツールを簡単にインストールできます。
ただし、この方法には欠点があります。 実装するのは非常に難しく、高価になる可能性があります。そのためには、高価な機器を購入し、インフラストラクチャを構成および保守する必要があるためです。 さらに、すべての企業がユーザーの個人データの適切なレベルの信頼性とセキュリティを提供できるわけではありません。
インフラストラクチャの自己展開の代替として-FZ-152のすべての要件を独立して満たすことは非常に難しいため、個人データオペレーターは契約ベースでサードパーティ組織に関与することができます。これにより、データを保護するための組織的および技術的手段が提供されます。 クライアントがIaaSモデルの一部として必要なすべての認定情報セキュリティツールを備えたインフラストラクチャをレンタルする場合、多くのIaaSプロバイダーが提供するサービス(IT-GRAD企業を含む )と呼ばれるクラウドホスティングについて話します。
インフラストラクチャスキームIT-GRAD
この場合 、サプライヤーの顧客は、独自の情報システム、安全なITインフラストラクチャの作成と所有のコスト、および法的責任を認証する必要性を取り除きます。 さらに、クライアントは、世界のハードウェアメーカー(NetApp、Cisco、IBMなど)の認定ハードウェアを使用した安全なホスティングと、暗号化ソフトウェアおよびハードウェアの使用を受け取ります。
ただし、ここで覚えておく必要があるいくつかの特性があります。 サービスプロバイダーとの契約を締結する場合、クライアントはそこに記載されているすべてのポイントを注意深くお読みください。 クラウドでホストされるデータへのプロバイダーによるアクセス権の制限の問題には、特に注意を払う必要があります。
サービスレベル契約(SLA)を忘れないでください。 PDホスティングは、合意された条件のコンテキストで提供される他のサービスと同様に、提供されるサービスのレベルに関する合意を伴う必要があります。 データの整合性とアクセス可能性は重要な側面であるため、詳細を議論し、特定の条件を満たさなかった場合にサプライヤーが負う責任を見つける必要があります。
両方の場合-独自のインフラストラクチャを作成またはレンタルする場合-個人データの保護に関する法律の要件を完全に遵守し、規制当局に問題がない顧客のために、ホスティングプロバイダーまたはコンサルティング組織を慎重に選択する必要があることに注意してください。 監査を実施できると主張する不正な会社に出会わないため、または情報構造を法律に完全に準拠させるが、約束を守らないため。
PS企業IaaSに関する最初のブログのトピックに関する資料の選択: