Die Notwendigkeit, die Sicherheit personenbezogener Daten in unserer Zeit zu gewährleisten, ist eine objektive Realität. Informationen über eine Person waren schon immer von großem Wert, aber heute sind sie das teuerste Gut. Informationen in den Händen eines Betrügers werden zu einem Instrument der Kriminalität, in den Händen eines entlassenen Mitarbeiters - zu einem Mittel der Rache, in den Händen eines Insiders - ein Produkt, das an einen Konkurrenten verkauft wird ... Deshalb personenbezogene Daten braucht den ernsthaftesten Schutz.

Einführung

Warum ist es notwendig, personenbezogene Daten zu schützen?

Die Notwendigkeit, die Sicherheit personenbezogener Daten in unserer Zeit zu gewährleisten, ist eine objektive Realität. Informationen über eine Person waren schon immer von großem Wert, aber heute sind sie das teuerste Gut. Informationen in den Händen eines Betrügers werden zu einem Instrument der Kriminalität, in den Händen eines entlassenen Mitarbeiters - zu einem Mittel der Rache, in den Händen eines Insiders - ein Produkt zum Verkauf an einen Konkurrenten ... Deshalb personenbezogene Daten braucht den ernsthaftesten Schutz.

Die Notwendigkeit, Maßnahmen zum Schutz personenbezogener Daten (im Folgenden PD) zu ergreifen, ergibt sich auch aus den gestiegenen technischen Möglichkeiten zum Kopieren und Verteilen von Informationen. Der Stand der Informationstechnologie hat einen Punkt erreicht, an dem der Selbstschutz von Informationsrechten kein wirksames Mittel mehr gegen Eingriffe in die Privatsphäre ist. Der moderne Mensch ist physisch nicht mehr in der Lage, sich vor der ganzen Vielfalt der auf ihn angewandten technischen Geräte zur Erhebung und Verarbeitung von Daten über Personen explizit oder implizit zu verstecken.

Mit der Entwicklung des elektronischen Handels und der zugänglichen Massenkommunikationsmittel haben auch die Missbrauchsmöglichkeiten im Zusammenhang mit der Verwendung gesammelter und gesammelter Informationen über eine Person zugenommen. Es sind Mittel zur Integration und schnellen Verarbeitung personenbezogener Daten aufgetaucht, die die Menschenrechte und legitimen Interessen gefährden, und werden von Cyberkriminellen effektiv genutzt.

Der Schutz personenbezogener Daten ist eine geschäftliche Anforderung

Die Aktivitäten einer Organisation sind heute ohne die Verarbeitung von Informationen über eine Person kaum noch vorstellbar. In jedem Fall speichert und verarbeitet die Organisation Daten über Mitarbeiter, Kunden, Partner, Lieferanten und andere Personen. Das Durchsickern, der Verlust oder die unbefugte Änderung personenbezogener Daten führt zu irreparablen Schäden und manchmal zu einer vollständigen Einstellung der Aktivitäten der Organisation. Stellen Sie sich vor, Sie arbeiten für ein Kredit- und Finanz- oder Telekommunikationsunternehmen, das zumindest einige seiner Kundendaten verloren hat. Wie lange hält so ein Unternehmen am Markt? ..

Der Schutz personenbezogener Daten ist gesetzlich vorgeschrieben

In Anbetracht der Bedeutung und des Wertes von Informationen über eine Person sowie der Wahrung der Rechte seiner Bürger fordert der Staat Organisationen und Einzelpersonen auf, einen zuverlässigen Schutz personenbezogener Daten zu gewährleisten. Die Gesetzgebung der Russischen Föderation im Bereich der personenbezogenen Daten basiert auf der Verfassung der Russischen Föderation und den internationalen Verträgen der Russischen Föderation und besteht aus dem Bundesgesetz der Russischen Föderation vom 27. Juli 2006 N 152-FZ "On Personal Daten", andere Bundesgesetze, die die Fälle und Merkmale der Verarbeitung personenbezogener Daten, Branchenvorschriften, Anweisungen und behördliche Anforderungen festlegen.

Gesetzgebung

1981 verabschiedete der Europarat das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten. Am 25. November 2005 ratifizierte die Staatsduma dieses Übereinkommen (Bundesgesetz vom 19. Dezember 2005 Nr. 160-FZ "Über die Ratifizierung des Übereinkommens des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten") und betraute die Russische Föderation mit der Verpflichtung, sie mit den europäischen Rechtsvorschriften im Bereich des Schutzes der Rechte der personenbezogenen Daten in Einklang zu bringen. Der erste Schritt zur Umsetzung der eingegangenen Verpflichtungen war die Verabschiedung des Bundesgesetzes Nr. 152-FZ vom 27. Juli 2006 "Über personenbezogene Daten". Das Gesetz trat im Januar 2007 in Kraft.

Das Gesetz Nr. 152-FZ definierte hochrangige Anforderungen, die dann in den Statuten der Regierung der Russischen Föderation und des Kommunikationsministeriums, den regulatorischen und methodischen Dokumenten der Regulierungsbehörden des Föderalen Dienstes für technische und Exportkontrolle (FSTEC of Russland), dem Föderalen Sicherheitsdienst der Russischen Föderation (FSB Russlands) und den Föderalen Diensten für die Überwachung im Bereich Kommunikation und Massenkommunikation (Roskomnadzor).

Jedes dieser Gesetze und Dokumente widmet sich bestimmten Bereichen und Themen der Gesetzgebung und wird in Zukunft im Rahmen der Materialpräsentation bekannt gegeben. Der Zweck der russischen Gesetzgebung im Bereich PDA besteht darin, den Schutz der Rechte und Freiheiten des Bürgers bei der Verarbeitung seiner personenbezogenen Daten zu gewährleisten, einschließlich des Schutzes des Rechts auf Privatsphäre, Persönlichkeits- und Familiengeheimnisse. Das Gesetz regelt die Beziehungen im Zusammenhang mit der Verarbeitung personenbezogener Daten durch staatliche Behörden, lokale Behörden, juristische Personen und natürliche Personen.

Persönliche Informationen

Gemäß dem Gesetz Nr. 152-FZ sind personenbezogene Daten alle Informationen, die verwendet werden können, um eine Person (PD-Person) eindeutig zu identifizieren. In diesem Zusammenhang können personenbezogene Daten Nachname, Vorname, Vatersname, Jahr, Monat, Geburtsdatum und -ort, Adresse, Familie, sozialer Status, Vermögensstand, Ausbildung, Beruf, Einkommen und andere zum PD-Subjekt gehörende Informationen sein.

Zusammensetzung und Inhalt personenbezogener Daten

Die Zusammensetzung und der Inhalt der personenbezogenen Daten werden von den PDn1-Betreibern je nach Zweck ihrer Verarbeitung bestimmt. Beispielsweise enthält die Liste der personenbezogenen Daten für die neuerdings populären Kundenbindungssysteme des Unternehmens in der Regel die für die Kommunikation mit den Kunden erforderlichen Kontaktdaten und Informationen zu den erbrachten Dienstleistungen. Die Zusammenstellung dieser Informationen sollte nicht redundant sein und dennoch ausreichend sein, um die Präferenzen des Kunden, seine finanziellen Möglichkeiten, seine Kaufhistorie usw. zu „verstehen“.

Unterschied zwischen russischer und internationaler Gesetzgebung Die Vereinigten Staaten, Großbritannien und Kanada sowie Russland haben technische Vorschriften entwickelt, die die Bestimmungen der obersten Gesetzgebung in konkrete Ratschläge und Empfehlungen zum Schutz personenbezogener Daten übersetzen. Im Vereinigten Königreich wurde 1998 der Data Protection Act 1998 verabschiedet. Seine technische Umsetzung – der Normentwurf „Spezifikation für die Verwaltung personenbezogener Daten gemäß dem Datenschutzgesetz 1998“ (BS 10012) soll im Juni 2009 den Status eines offiziellen Dokuments erhalten In den USA wurde ein Standard zur Sicherheit personenbezogener Daten veröffentlicht. Der Dokumententwurf zum Schutz personenbezogener Daten für US-Behörden – „Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)“ (SP 800122) regelt die Umsetzung der Gesetze „The Privacy Act of 1974“ und „Privacy Protection Act von 1980". Kanada hat den "Privacy Code" veröffentlicht - eine Reihe von Dokumenten zur Umsetzung von Gesetzen zum Schutz von Informationen über Personen (The Privacy Act und PIPEDA).

Kanadische, englische und amerikanische Standards geben im Gegensatz zu den Dokumenten der russischen Aufsichtsbehörden allgemeinere Empfehlungen zur Gewährleistung der Sicherheit personenbezogener Daten und schreiben nicht vor, wie personenbezogene Daten im Einzelnen geschützt werden sollen. Darüber hinaus empfiehlt der gleiche amerikanische Standard, personenbezogene Daten nach Möglichkeit zu anonymisieren, um verschiedene Schutzmaßnahmen zu vermeiden, die den Komfort der Verwendung von Informationen beeinträchtigen.

Es gibt Fälle, in denen Ziele, Zusammensetzung und Inhalt der PD durch Rechts- und Verordnungsakte klar definiert sind. Dies gilt für Bereiche, in denen die Beziehung zwischen PD-Subjekten und Betreibern einer strengen Regulierung bedarf. Gleichzeitig ist die betroffene Person in einigen Fällen2 verpflichtet, dem Betreiber Angaben zu ihrer Person zu machen.

So ist beispielsweise das Funktionieren bestimmter Wirtschaftssektoren mit der Notwendigkeit verbunden, Sicherheit zu gewährleisten. So stellt FZ-16 "On Transport Security" die Notwendigkeit fest, ein einheitliches staatliches Informationssystem zur Gewährleistung der Transportsicherheit zu schaffen. Ein solches System sollte aus zentralisierten Datenbanken mit personenbezogenen Daten über Fahrgäste bestehen, einschließlich der folgenden Daten:

• Vollständiger Name;
• Geburtsdatum und-ort;
• Art und Nummer des Ausweises, mit dem das Reisedokument (Ticket) gekauft wird;
• Abgangsort, Zielort, Art der Route (direkt, Transit);
• Reisedatum.

Die Regelung der Zusammensetzung und des Inhalts der PD betrifft die mit der Erwerbstätigkeit einer Person verbundenen Beziehungen. Wenn wir über das Personalsystem sprechen, umfasst die Zusammensetzung der personenbezogenen Daten die Informationen, die von der einheitlichen Form der Abrechnung des Personals T-2 bereitgestellt werden, die durch Beschluss Nr. 1 des Staatlichen Statistikausschusses Russlands vom 05.01.2004 genehmigt wurde. Zu diesen Informationen gehören:

• Vollständiger Name;
• Geburtsdatum;
• Staatsbürgerschaft;
• Versicherungsscheinnummer;
• Fremdsprachenkenntnisse;
• Daten zur Ausbildung (Anzahl, Abschlussserie, Abschlussjahr);
• Daten zu erworbenen Spezialitäten
• Familienstand;
• Daten zu Familienangehörigen (Verwandtschaftsgrad, vollständiger Name, Geburtsjahr, Passdaten, inkl. Registrierung und Geburtsort);
• tatsächlicher Wohnort;
• Kontaktinformationen;
• Daten zum Militärdienst;
• Daten zur aktuellen Erwerbstätigkeit (Datum des Beginns der Erwerbstätigkeit, Personalbewegungen, Gehälter und deren Veränderungen, Angaben zu Anreizen, Daten zur Weiterbildung etc.).

Andere Vorschriften, die die Beziehungen im Bereich der menschlichen Tätigkeit regeln und die Zwecke der Verarbeitung, die Zusammensetzung und den Inhalt der PD regeln, sind FZ-179 "Arbeitsgesetzbuch der Russischen Föderation", FZ-27 "Über die individuelle (personifizierte) Abrechnung in der obligatorischen Rente". Versicherungssystem", FZ-129 "Über die staatliche Registrierung von juristischen Personen und Einzelunternehmern" usw.

Welche Informationen über Mitarbeiter staatlicher Organisationen gesammelt und verarbeitet werden sollen, bestimmt das Dekret des Präsidenten der Russischen Föderation vom 30. Mai 2005 N 609 "Über die Genehmigung der Verordnung über personenbezogene Daten eines Staatsbeamten der Russischen Föderation". Föderation und die Führung seiner Personalakte."
Seine Besonderheit besteht auch in verschiedenen Wirtschaftssektoren. Ein gewisser Rahmen für die Verarbeitung personenbezogener Daten für Kredit- und Finanzinstitute wird durch FZ-218 "Über Kredithistorien", für den Luftverkehr - das Luftverkehrsgesetzbuch, für Handelsorganisationen (Online-Shops usw.) - Erlass der Regierung vom der Russischen Föderation vom 27. September 2007. N 612 "Über die Genehmigung der Regeln für den Fernverkauf von Waren", für das Tourismusgeschäft - Dekret der Regierung der Russischen Föderation vom 18. Juli 2007 N 452 "Über die Genehmigung" der Regeln für die Erbringung von Dienstleistungen für den Verkauf eines touristischen Produkts" usw.

Nicht zu vergessen FZ-143 "Über Personenstandsurkunden", in dem der Staat klar definiert, welche Informationen über eine Person während ihres gesamten Lebens gesammelt, gespeichert und verarbeitet werden sollen.

Kategorien personenbezogener Daten

Die Gesetzgebung definiert verschiedene Kategorien personenbezogener Daten. Diese können öffentlich zugängliche PD, besondere Kategorien von personenbezogenen Daten, Kategorien von personenbezogenen Daten, die in Informationssystemen für personenbezogene Daten verarbeitet werden (im Folgenden ISPDN), biometrische PD und andere umfassen.

Öffentlich verfügbare PD

Öffentlich zugänglich sind die Daten, auf die mit Zustimmung des PD-Betroffenen einer unbegrenzten Zahl von Personen Zugriff gewährt wird oder für die nach Bundesgesetzen keine Geheimhaltungspflicht besteht. Solche Daten können Nachname, Vorname, Vatername, Geburtsjahr und -ort, Adresse, Abonnentennummer, Angaben zum Beruf und andere personenbezogene Daten sein. Quellen solcher Informationen sind beispielsweise Verzeichnisse, Adressbücher etc. Informationen zum Thema PD können jederzeit auf Antrag des Themas oder durch Beschluss eines Gerichts oder befugter staatlicher Stellen aus öffentlich zugänglichen Quellen ausgeschlossen werden.

Besondere Kategorien personenbezogener Daten

Besondere Kategorien umfassen personenbezogene Daten in Bezug auf Rasse, Nationalität, politische Ansichten, religiöse oder philosophische Überzeugungen, Gesundheitszustand und Intimleben. Ihre Verarbeitung ist nur in folgenden Fällen zulässig:

• der PD-Betroffene hat der Verarbeitung seiner personenbezogenen Daten schriftlich zugestimmt;
• personenbezogene Daten sind öffentlich zugänglich;
• Die personenbezogenen Daten beziehen sich auf den Gesundheitszustand des Betroffenen der Parkinson-Krankheit und es ist nicht möglich, seine Einwilligung einzuholen, oder die Verarbeitung der personenbezogenen Daten erfolgt durch eine Person, die beruflich eine medizinische Tätigkeit ausübt und gemäß den Rechtsvorschriften der Russischen Föderation verpflichtet ist Föderation, um medizinische Geheimnisse zu bewahren;
• Verarbeitung personenbezogener Daten von Mitgliedern (Teilnehmern) einer öffentlichen Vereinigung oder religiösen Organisation, sofern die personenbezogenen Daten nicht ohne die schriftliche Zustimmung der Betroffenen verbreitet werden;
• die Verarbeitung personenbezogener Daten erfolgt in Übereinstimmung mit den Rechtsvorschriften der Russischen Föderation über die Sicherheit, über operative Suchtätigkeiten sowie in Übereinstimmung mit den Strafvollzugsgesetzen der Russischen Föderation oder ist im Zusammenhang mit der Verwaltung von Justiz.

Kategorien personenbezogener Daten, die im ISPD verarbeitet werden

Die gemeinsame Verordnung von FSTEC, FSB und dem Ministerium für Informationstechnologien und Kommunikation der Russischen Föderation vom 13. Februar 2008 N 55/86/20 "Über die Genehmigung des Verfahrens zur Klassifizierung von Informationssystemen personenbezogener Daten" definiert die folgenden Kategorien von personenbezogenen Daten, die im ISPDN verarbeitet werden:

Kategorie 1 - personenbezogene Daten zu Rasse, Nationalität, politischen Ansichten, religiösen und philosophischen Überzeugungen, Gesundheitszustand, Intimleben.
Kategorie 2 - Personenbezogene Daten, die es Ihnen ermöglichen, die betroffene Person zu identifizieren und zusätzliche Informationen über sie zu erhalten, mit Ausnahme von personenbezogenen Daten der Kategorie 1.
Kategorie 3 – personenbezogene Daten, die es Ihnen ermöglichen, den PD-Betreff zu identifizieren.
Kategorie 4 - anonymisierte und (oder) öffentlich zugängliche personenbezogene Daten.

Die Kategorisierung personenbezogener Daten bei der Verarbeitung im ISPD kann auch nach dem Parameter „Menge der verarbeiteten personenbezogenen Daten“ erfolgen. Darunter versteht man die Anzahl der Personen, deren Daten im Informationssystem verarbeitet werden. Dieser Parameter kann die folgenden Werte annehmen:

1. Das Informationssystem verarbeitet gleichzeitig personenbezogene Daten von mehr als 100.000 PD-Personen oder personenbezogene Daten von PD-Personen innerhalb einer konstituierenden Einheit der Russischen Föderation oder der Russischen Föderation insgesamt.
2. Das Informationssystem verarbeitet gleichzeitig personenbezogene Daten von 1.000 bis 100.000 personenbezogenen Datensubjekten oder personenbezogene Daten von personenbezogenen Datensubjekten, die in der Industrie der Russischen Föderation in einer in der Gemeinde ansässigen Behörde tätig sind.
3. Das Informationssystem verarbeitet gleichzeitig Daten von weniger als 1000 PD-Personen oder personenbezogene Daten von PD-Personen innerhalb einer bestimmten Organisation.

Biometrische personenbezogene Daten

Biometrische personenbezogene Daten sind Informationen, die die physiologischen Merkmale einer Person charakterisieren und anhand derer ihre Identität festgestellt werden kann. Biometrische personenbezogene Daten werden gemäß Artikel 11 des Bundesgesetzes der Russischen Föderation vom 27. Juli 2006 N 152-FZ "Über personenbezogene Daten" verarbeitet. Sie dürfen nur mit schriftlicher Zustimmung des PD-Betreffs verarbeitet werden. Die Verarbeitung biometrischer personenbezogener Daten ohne Zustimmung des Betroffenen kann im Zusammenhang mit der Rechtspflege sowie in den Fällen, die in den Rechtsvorschriften der Russischen Föderation über die Sicherheit, über operative Suchaktivitäten, über den öffentlichen Dienst, über das Verfahren zur Ausreise aus der Russischen Föderation und zur Einreise in die Russische Föderation, strafrechtlich - Exekutivgesetzgebung.

Basierend auf der Definition der biometrischen PD umfassen diese Fotografien und Videobilder von PD-Patienten. Dies wird von Vertretern der Aufsichtsbehörden, insbesondere des Bundesdienstes für Technische und Ausfuhrkontrolle, bestätigt. Fotos von PD-Themen können in Zutrittskontrollsystemen und Zutrittskontrollsystemen verarbeitet werden, Videobilder - in Videoüberwachungssystemen usw.

Betreiber personenbezogener Daten

Nach dem Gesetz Nr. 152-FZ sind Betreiber personenbezogener Daten eine staatliche Stelle, eine kommunale Einrichtung, eine juristische Person oder eine natürliche Person, die die Verarbeitung personenbezogener Daten organisiert und (oder) durchführt, sowie deren Zwecke und Inhalte festlegt der Verarbeitung personenbezogener Daten.
Die Verarbeitung personenbezogener Daten umfasst Handlungen (Vorgänge) mit personenbezogenen Daten, einschließlich Erhebung, Systematisierung, Sammlung, Speicherung, Klärung (Aktualisierung, Änderung), Verwendung, Verbreitung (einschließlich Weitergabe), Entpersönlichung, Sperrung, Vernichtung von personenbezogenen Daten.

Aus der Definition kann geschlossen werden, dass ausnahmslos alle Organisationen oder Unternehmen, unabhängig von ihrer Eigentumsform, Betreiber von personenbezogenen Daten sind, da sie zumindest Informationen über ihre Mitarbeiter gemäß russischer Gesetz (Arbeitsgesetzbuch RF). Darüber hinaus verarbeiten viele Unternehmen aufgrund ihrer Tätigkeit Informationen über ihre Kunden, Partner, Lieferanten und Unterauftragnehmer, die sie zur Erfüllung ihrer Aufgaben gemäß ihrem Zweck benötigen.

In welchen Fällen hat der PD-Betreiber das Recht, Roskomnadzor nicht zu benachrichtigen Der Betreiber hat das Recht, die folgenden personenbezogenen Daten zu verarbeiten, ohne die autorisierte Stelle zum Schutz der Rechte von PD-Subjekten (Roskomnadzor) zu benachrichtigen:

• in Bezug auf die Subjekte der personenbezogenen Daten, die mit dem Betreiber durch Arbeitsbeziehungen verbunden sind;
• die der Betreiber im Zusammenhang mit dem Abschluss eines Vertrages erhält, an dem der PD-Subjekt beteiligt ist, wenn personenbezogene Daten nicht weitergegeben und ohne Zustimmung des PD-Subjekts nicht an Dritte weitergegeben werden und vom Betreiber ausschließlich für die Ausführung der angegebenen Vereinbarung
  und den Abschluss von Verträgen mit dem Subjekt personenbezogener Daten;
• sich auf Mitglieder (Teilnehmer) einer öffentlichen Vereinigung oder religiösen Organisation beziehen und von der entsprechenden öffentlichen Vereinigung oder religiösen Organisation verarbeitet werden, die in Übereinstimmung mit den Rechtsvorschriften der Russischen Föderation handelt, um rechtliche
  die in ihren Gründungsdokumenten festgelegten Zwecke, vorausgesetzt, dass die personenbezogenen Daten nicht ohne die schriftliche Zustimmung der PD-Personen verbreitet werden;
• sind öffentlich zugängliche personenbezogene Daten;
• einschließlich nur der Nachnamen, Vornamen und Vatersnamen der Personen, die von personenbezogenen Daten betroffen sind;
• erforderlich für die einmalige Durchfahrt der PD gemäß dem Gebiet, in dem sich der Betreiber befindet, oder für andere ähnliche Zwecke;
• in Informationssysteme mit personenbezogenen Daten, die gemäß Bundesgesetzen den Status automatisierter Informationssysteme des Bundes (im Folgenden IS) haben, sowie in staatliche ISPDN enthalten sind, die zum Schutz der Sicherheit des Staates und der öffentlichen Ordnung geschaffen wurden;
• ohne den Einsatz von Automatisierungstools in Übereinstimmung mit Bundesgesetzen oder anderen Rechtsakten der Russischen Föderation, die Anforderungen zur Gewährleistung der Sicherheit personenbezogener Daten während ihrer Verarbeitung und zur Wahrung der Rechte von Personen mit personenbezogenen Daten enthalten, verarbeitet werden.

Gleichzeitig besteht die irrige Meinung, dass, wenn keine Registrierung als PD-Betreiber bei Roskomnadzor erforderlich ist (und das Gesetz solche Fälle vorsieht), das Unternehmen kein PD-Betreiber ist und die gesetzlich vorgeschriebenen Verpflichtungen nicht erfüllt sind darauf nicht zutreffen. Darüber hinaus versuchen Unternehmen auf diese Weise, ihre Untätigkeit im Bereich der Sicherheit personenbezogener Daten zu rechtfertigen. Unternimmt das Unternehmen keine Anstrengungen zum Schutz personenbezogener Daten, wird dies eindeutig als „Nichteinhaltung der Anforderungen der russischen Gesetzgebung“ gewertet.

Pflichten des PD-Betreibers

Die russische Gesetzgebung erlegt PD-Betreibern bestimmte Pflichten auf, von denen die wichtigsten sind:

1. Gewährleistung der Sicherheit der Verarbeitung personenbezogener Daten, d. h. die Verpflichtung, "die erforderlichen organisatorischen und technischen Maßnahmen zu treffen, um personenbezogene Daten vor unbefugtem oder versehentlichem Zugriff auf sie, Zerstörung, Änderung, Sperrung, Vervielfältigung, Verbreitung personenbezogener Daten sowie vor" zu schützen andere illegale Handlungen."
2. Der mitteilende Charakter der Verarbeitung personenbezogener Daten. Gemäß Artikel 22 des Gesetzes ist der Betreiber verpflichtet, vor Beginn der Verarbeitung personenbezogener Daten die zuständige Stelle zum Schutz der Rechte von Personen mit personenbezogenen Daten (Roskomnadzor) über seine Absicht zur Verarbeitung personenbezogener Daten zu informieren.
   Roskomnadzor trägt Informationen über den Betreiber in das Betreiberregister ein. Die im Register enthaltenen Informationen, mit Ausnahme von Informationen über die Mittel zur Gewährleistung der Sicherheit personenbezogener Daten bei ihrer Verarbeitung, sind öffentlich zugänglich.
3. Bei Erhalt personenbezogener Daten (auch von Dritten) muss der PD-Betreiber vor Beginn der Verarbeitung eine schriftliche Einwilligung des Betroffenen dieser PD zur Verarbeitung einholen (es sei denn, die personenbezogenen Daten wurden dem Betreiber aufgrund von Bundesgesetz oder wenn sie öffentlich zugänglich sind).
4. Der Betreiber ist verpflichtet, dem Betroffenen auf Anfrage alle verfügbaren Informationen über ihn, die Zwecke und Bedingungen der Verarbeitung und die Möglichkeiten zum Schutz seiner personenbezogenen Daten zu erteilen. Der Betreiber muss auch die betreffenden personenbezogenen Daten vernichten oder sperren, die erforderlichen Änderungen vornehmen, nachdem die betroffene Person oder sein gesetzlicher Vertreter Informationen darüber erteilt hat, dass die personenbezogenen Daten, die sich auf die betroffene Person beziehen und die der Betreiber verarbeitet, unvollständig, veraltet oder unrichtig sind , rechtswidrig erhalten oder für den genannten Zweck der Verarbeitung nicht erforderlich sind.
   Darüber hinaus ist der PD-Betreiber verpflichtet, die Einwilligung des PD-Betreibers für die Verarbeitung seiner personenbezogenen Daten und im Falle der Verarbeitung öffentlich zugänglicher personenbezogener Daten nachzuweisen, dass die verarbeiteten personenbezogenen Daten öffentlich zugänglich sind.
5. Kontrolle und Überwachung der Tätigkeiten von Betreibern personenbezogener Daten gegenüber staatlichen Stellen. Dies bedeutet, dass der Betreiber verpflichtet ist, der autorisierten Stelle zum Schutz der Rechte von PD-Subjekten auf deren Verlangen die für die Durchführung der Tätigkeiten der benannten Stelle erforderlichen Informationen zu melden. Der Staat hat Roskomnadzor, FSTEC und FSB mit Kontroll- und Aufsichtsfunktionen ausgestattet3.

Nichteinhaltung gesetzlicher Vorgaben? .. Welche Folgen hat das? ..

Das Gesetz sieht zivil-, strafrechtliche, verwaltungsrechtliche, disziplinarische und sonstige Haftung für die Verletzung seiner Anforderungen vor. So sieht das Gesetz über Ordnungswidrigkeiten eine Höchststrafe von 500.000 Rubel für die Nichteinhaltung der Rechtsordnung von Roskomnadzor (Artikel 19.5 des Verwaltungsgesetzbuchs) vor. Dass
derselbe Kodex sieht die Aussetzung der Aktivitäten der Organisation für bis zu 90 Tage vor, wenn Aktivitäten zum Schutz personenbezogener Daten ohne Genehmigung durchgeführt werden (Artikel 19.20 des Verwaltungsgesetzbuchs).

Das Strafgesetzbuch sieht eine Geldstrafe von 300.000 Rubel, Arbeitspflicht bis zu 1 Jahr, Haft bis zu 6 Monaten und Entzug des Amtsrechts für bis zu 5 Jahre vor, wenn personenbezogene Daten ohne Erlaubnis geschützt werden, wenn diese Tat hat den Bürgern großen Schaden zugefügt (Artikel 171 des Strafgesetzbuches).

Bei systematischen und groben Verstößen hat Roskomnadzor das Recht, den Widerruf von Lizenzen für die Haupttätigkeitsart zu beantragen.

Verarbeitung personenbezogener Daten

Die russische Gesetzgebung definiert die Grundprinzipien der Verarbeitung personenbezogener Daten4. Dazu zählen insbesondere:

• Der Betreiber der personenbezogenen Daten bestimmt die Zwecke der Verarbeitung nach seinen Befugnissen.
• Umfang und Art der verarbeiteten personenbezogenen Daten müssen dem Zweck ihrer Verarbeitung entsprechen.
• Es ist nicht akzeptabel, personenbezogene Daten, die für verschiedene Zwecke erstellt wurden (z. B. in einer Datenbank), zu kombinieren.
• Personenbezogene Daten werden bei Erreichung der Ziele (Verlust der Notwendigkeit) ihrer Verarbeitung vernichtet.

Das Gesetz legt großen Wert auf Bedingungen für die Verarbeitung personenbezogener Daten5... Daher kann die Verarbeitung personenbezogener Daten durch den Betreiber nur mit schriftlicher Zustimmung der PD-Personen erfolgen.

In welchen Fällen ist die Zustimmung des PD-Betroffenen zur Verarbeitung von Informationen über ihn nicht erforderlich?

In folgenden Fällen ist die Zustimmung des PD-Subjekts nicht erforderlich:

• die Verarbeitung personenbezogener Daten erfolgt auf der Grundlage anderer Bundesgesetze, zum Beispiel sehen einige Bundesgesetze Fälle vor, in denen der PD-Betroffene seine personenbezogenen Daten zwingend zur Verfügung stellt, um die Grundlagen der verfassungsmäßigen Ordnung, der Moral, der Gesundheit zu schützen , Rechte und berechtigte Interessen anderer, um die Verteidigung und Staatssicherheit des Landes zu gewährleisten;
• der Betreiber und die betroffene Person sind an eine Vereinbarung zur Durchführung von Handlungen gebunden, die die Verarbeitung personenbezogener Daten dieser Person erfordern, beispielsweise eine Vereinbarung, nach der das Reiseunternehmen (Veranstalter) das Recht hat, die personenbezogenen Daten zu verwenden des Subjekts, ein Hotel zu buchen;
• die Verarbeitung personenbezogener Daten ist zum Schutz des Lebens, der Gesundheit oder anderer lebenswichtiger Interessen der betroffenen Person erforderlich, wenn eine Einwilligung nicht eingeholt werden kann, beispielsweise bei einem Krankenhausaufenthalt einer Person im Falle eines Unfalls;
• die Verarbeitung personenbezogener Daten ist für die Zustellung von Postsendungen durch Postorganisationen, für Telekommunikationsbetreiber erforderlich, um Abrechnungen mit Nutzern von Kommunikationsdiensten für die bereitgestellten Kommunikationsdienste zu tätigen sowie um Ansprüche von Nutzern von Kommunikationsdiensten zu berücksichtigen;
• die Verarbeitung personenbezogener Daten erfolgt zum Zwecke der beruflichen Tätigkeit eines Journalisten oder zum Zwecke einer wissenschaftlichen, literarischen oder sonstigen schöpferischen Tätigkeit, sofern dadurch nicht die Rechte und Freiheiten des Betroffenen der personenbezogenen Daten verletzt werden;
• Verarbeitung personenbezogener Daten, die der Veröffentlichung gemäß Bundesgesetzen unterliegen, einschließlich personenbezogener Daten von Personen in öffentlichen Ämtern, Beamtenstellen, personenbezogenen Daten von Kandidaten für Landes- oder Kommunalwahlen.

Es gibt zwei Arten der Verarbeitung personenbezogener Daten: automatisiert und nicht automatisiert. Diese Arten der PD-Verarbeitung werden in den folgenden Abschnitten des Artikels erörtert.

Lebenszyklus personenbezogener Daten

Die Verarbeitung personenbezogener Daten erfordert die Schaffung eines besonderen Systems, in dem die Technologie für ihre Verarbeitung, das Verfahren und die Bedingungen für das Bestehen von personenbezogenen Daten in jeder Phase ihres Lebenszyklus klar definiert sind. Dies sieht die Entwicklung und Durchführung von Verfahren zu deren Erhebung, Annahme, Abrechnung, Registrierung, Speicherung, Verwendung, Vernichtung usw. vor. Gleichzeitig ist die Speicherdauer von PD von großer Bedeutung sowie das Vorhandensein eines Kontrollsystems für die PD-Verarbeitung in allen Phasen ihres Lebenszyklus.

PD-Bearbeitungszeit

Die Bestimmung des Zeitpunkts der Verarbeitung personenbezogener Daten ist äußerst wichtig, da das Bundesgesetz bestimmt, dass "der Betreiber bei Erreichen des Zwecks der Verarbeitung personenbezogener Daten die Verarbeitung personenbezogener Daten unverzüglich einstellen und die entsprechenden personenbezogenen Daten innerhalb einer Frist von höchstens drei Werktagen ab dem Datum vernichten muss". Datum, an dem der Zweck der Verarbeitung erreicht ist."

Analyse technologischer Prozesse der TE-Verarbeitung

In ihren Projekten zum Schutz personenbezogener Daten legen die Spezialisten von Jet Infosystems großen Wert auf die Berücksichtigung der technologischen Verfahren zur Verarbeitung personenbezogener Daten (Lebenszyklus personenbezogener Daten) und die Einholung von Informationen über bestehende Verfahren zur Verarbeitung personenbezogener Daten. Zu diesem Zweck führen sie folgende Arbeiten durch:

• Analyse von Dokumenten, die technologische Prozesse der PD-Verarbeitung definieren;
• Durchführung von Interviews mit den Mitarbeitern des Kunden, die die PD-Verarbeitungsverfahren durchführen;
• Bestimmung des Eigentümers des technologischen Prozesses der PD-Verarbeitung (Korrelation des technologischen Prozesses mit der Struktureinheit des Kunden und dem verwendeten PDIS);
• Festlegung von Verfahren zum Sammeln, Empfangen, Aufzeichnen und Registrieren von personenbezogenen Daten in Informationssystemen für personenbezogene Daten, Speicherung, Verarbeitung, Ausgabe, Vervielfältigung und Übermittlung von personenbezogenen Daten, deren Vernichtung und Überwachung dieser Verfahren.

Bearbeitungszeiten werden auch aufgrund anderer Vorschriften festgelegt. Daher legen die Anforderungen des Arbeits-, Zivil-, Renten- und Branchenrechts bestimmte Bedingungen für die Verarbeitung personenbezogener Daten fest. Für T-2-Karten beträgt sie beispielsweise 75 Jahre6 (Goskomstat-Beschluss Nr. 1) und für Informationen über die dem Abonnenten bereitgestellten Kommunikationsdienste 3 Jahre (Regierungsbeschluss Nr. 538).

Nicht automatisierte Verarbeitung personenbezogener Daten

Die nicht automatisierte Verarbeitung personenbezogener Daten erfolgt gemäß dem Dekret der Regierung der Russischen Föderation vom 15. September 2008 N 687. "Nach Genehmigung der Verordnung über die Besonderheiten der Verarbeitung personenbezogener Daten, die ohne Verwendung von" Automatisierungstools."
Gemäß diesem Beschluss gilt die Verarbeitung personenbezogener Daten als ohne den Einsatz von Automatisierungstools (nicht automatisiert) durchgeführt, wenn diese Aktionen unter direkter Beteiligung einer Person durchgeführt werden.

Was gilt als manuelle Verarbeitung personenbezogener Daten?

Die Trennung von menschlicher und automatisierter Verarbeitung ist für viele Unternehmen schwierig. Betrachten Sie S. 1 und 2

HF-Auflösungen:

1. Die Verarbeitung personenbezogener Daten, die im Informationssystem personenbezogener Daten enthalten sind oder aus einem solchen System extrahiert werden (im Folgenden als personenbezogene Daten bezeichnet), gilt als ohne den Einsatz von Automatisierungswerkzeugen (nicht automatisiert) durchgeführt, wenn solche Handlungen mit personenbezogenen Daten wie die Verwendung, Klärung, Verbreitung, Vernichtung personenbezogener Daten in Bezug auf jeden der Personen, die personenbezogenen Daten betreffen, unter direkter Beteiligung einer Person erfolgen.
2. Die Verarbeitung personenbezogener Daten kann nicht als durch Automatisierungstools durchgeführte Verarbeitung nur daran erkannt werden, dass personenbezogene Daten im Personendaten-Informationssystem enthalten sind oder aus diesem extrahiert wurden. Auf dieser Grundlage glauben einige Organisationen, dass die gesamte PD-Verarbeitung auf nicht automatisierte zurückzuführen ist, da in allen Fällen eine „PD-Verarbeitung unter direkter Beteiligung einer Person“ vorliegt. Und das ist ein Fehler. In diesem Fall ist es falsch, diese Verarbeitung nur als manuell zu betrachten. Wenn der Benutzer beispielsweise Daten nur zum Drucken in einen PC eingegeben und die Daten nicht auf dem Computer gespeichert hat, kann diese Verarbeitung als nicht automatisiert angesehen werden. Wenn der Nutzer diese Daten als Datei gespeichert hat und auf einem Computer speichert, sollte diese PD-Verarbeitung in Betracht gezogen werden, einschließlich
   und wie automatisiert.

Personenbezogene Daten sollten bei ihrer Verarbeitung, die ohne den Einsatz von Automatisierungstools erfolgt, von anderen Informationen getrennt werden, insbesondere durch Fixierung auf gesonderten materiellen Trägern, in besonderen Abschnitten oder in Formularfeldern (Formularen). Gleichzeitig ist es nicht erlaubt, personenbezogene Daten auf einem materiellen Träger zu fixieren, deren Verarbeitungszwecke offensichtlich unvereinbar sind. Um für jede von ihnen verschiedene Kategorien von PD zu verarbeiten, muss ein separates Materialmedium verwendet werden.

Der Beschluss legt fest, welche Informationen in die Standardformulare von Dokumenten aufgenommen werden sollen, die personenbezogene Daten enthalten, die Bedingungen für die Führung von Zeitschriften (Registern, Büchern), die PD enthalten (z. beschreibt die wichtigsten Phasen des Lebenszyklus personenbezogener Daten, die auf einem materiellen Datenträger aufgezeichnet sind.

Automatisierte Verarbeitung personenbezogener Daten

Um zu bestimmen, was unter einer „automatischen PSA-Verarbeitung“ zu verstehen ist, ist es erforderlich, das Konzept der „automatischen PSA-Datei“ einzuführen, d personenbezogener Daten", ETS Nr. 108 vom 28. Januar 1981).

"Automatisierte PD-Verarbeitung" bedeutet Aktionen mit "automatisierten PD-Dateien", die die folgenden Vorgänge umfassen, die ganz oder teilweise unter Verwendung von Automatisierungswerkzeugen ausgeführt werden: Daten speichern, logische und / oder arithmetische Operationen mit diesen Daten durchführen, sie ändern, zerstören, durchsuchen oder verteilen...

Gewährleistung der Sicherheit personenbezogener Daten

Gemäß Artikel 19 des Bundesgesetzes "Personenbezogene Daten" ist der Betreiber bei der Verarbeitung von personenbezogenen Daten verpflichtet, die erforderlichen organisatorischen und technischen Maßnahmen zu treffen, um sie vor unbefugtem oder versehentlichem Zugriff, Zerstörung, Änderung, Sperrung, Vervielfältigung, Verbreitung, sowie von anderen illegalen Handlungen ...

Gewährleistung der Sicherheit personenbezogener Daten, die in Informationssystemen für personenbezogene Daten verarbeitet werden

In diesem Abschnitt werden die Anforderungen zur Gewährleistung der Sicherheit personenbezogener Daten während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten (ISPDN) beschrieben, die im Dekret der Regierung der Russischen Föderation vom 17. November 2007 N 781 "Über die Genehmigung der Verordnung über die Gewährleistung der Sicherheit personenbezogener Daten während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten " und sind auch in den regulatorischen und methodischen Dokumenten des FSTEC und des FSB festgelegt.

In welchen Fällen ist PD-Sicherheit nicht erforderlich? ..

Die Gewährleistung der Sicherheit (in diesem Fall der Vertraulichkeit) gemäß russischem Recht ist nicht nur für anonymisierte und öffentlich zugängliche personenbezogene Daten erforderlich.

Personenbezogene Daten können unpersönlich sein, wenn an ihnen Handlungen vorgenommen wurden, wodurch ihre Zugehörigkeit zu einem bestimmten PD-Subjekt nicht festgestellt werden kann.

Personenbezogene Daten dürfen nur mit schriftlicher Zustimmung des Betroffenen öffentlich zugänglich gemacht werden. Sie können Nachname, Vorname, Vatername, Geburtsjahr und -ort, Adresse, Abonnentennummer, Angaben zum Beruf und andere personenbezogene Daten des PD-Betreffs enthalten.

Die Gewährleistung der Sicherheit von personenbezogenen Daten während ihrer Verarbeitung in ISPD wird dadurch erreicht, dass unbefugter, einschließlich versehentlicher Zugriff auf personenbezogene Daten ausgeschlossen wird, der zur Zerstörung, Änderung, Sperrung, Vervielfältigung und Verbreitung personenbezogener Daten führen kann. Die Pflicht zur Gewährleistung der Sicherheit von personenbezogenen Daten bei deren Verarbeitung im ISPD wird vollständig vom Betreiber der personenbezogenen Daten getragen. Der Betreiber ist diesbezüglich verpflichtet:

• Maßnahmen zur Verhinderung des unbefugten Zugriffs (im Folgenden als NSD bezeichnet) auf die personenbezogenen Daten durchzuführen und (oder) sie an Personen weiterzugeben, die kein Recht auf Zugang zu diesen Informationen haben;
• rechtzeitig die Tatsachen der unbefugten Identifizierung personenbezogener Daten erkennen;
• keine Auswirkungen auf die technischen Mittel der automatisierten Verarbeitung personenbezogener Daten zuzulassen, wodurch deren Funktionieren beeinträchtigt werden kann;
• PD, die aufgrund eines unbefugten Zugriffs verändert oder zerstört wurde, unverzüglich wiederherstellen;
• eine ständige Kontrolle über die Sicherstellung des PD-Sicherheitsniveaus durchführen.

Wer sollte die Sicherheit personenbezogener Daten gewährleisten? ..

Die Sicherheit von PD während ihrer Verarbeitung im ISPD wird durch den Betreiber oder die Person gewährleistet, der der Betreiber aufgrund des Vertrages die Verarbeitung personenbezogener Daten anvertraut (Bevollmächtigte). In diesem Fall muss der Betreiber einen Vertrag mit einer autorisierten Person abschließen. Eine wesentliche Bedingung dieser Vereinbarung ist die Pflicht der bevollmächtigten Person, die Vertraulichkeit und Sicherheit von PD bei der Verarbeitung in ISPD zu gewährleisten.

Zur Entwicklung und Umsetzung von Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten bei deren Verarbeitung in Informationssystemen kann der Betreiber eine Struktureinheit oder einen Bediensteten (Mitarbeiter) benennen, der für die Gewährleistung der Sicherheit personenbezogener Daten verantwortlich ist.

Was ist ISPDN?

Informationssysteme personenbezogener Daten sind eine Reihe von Informationen sowie Software- und Hardwareelementen, von denen die wichtigsten sind:

• In Datenbanken enthaltene PD als eine Sammlung von Informationen und deren Quellen, die in Informationssystemen verwendet werden;
• Informationstechnologie als eine Reihe von Techniken, Methoden und Methoden zur Verwendung von Computertechnologie bei der PD-Verarbeitung;
• technische Mittel zur Verarbeitung von PD, darunter Mittel der Computertechnik, Informations- und Rechensysteme und -netze, Mittel und Systeme zum Übertragen, Empfangen und Verarbeiten von PD (Mittel und Systeme zur Tonaufzeichnung, Beschallung, Tonwiedergabe, Gegensprech- und Fernsehgeräte) , Produktionsmittel, Vervielfältigung von Dokumenten und andere technische Mittel zur Verarbeitung von Sprache, Grafik, Video und alphanumerischen Informationen);
• Softwaretools (Betriebssysteme, Datenbankverwaltungssysteme, Anwendungssoftware usw.);
• Informationssicherheitsmittel;
• technische Hilfsmittel und -systeme, zu denen auch Kommunikationsmittel und -systeme gehören, die nicht für die PD-Verarbeitung bestimmt sind, sich jedoch in den Räumlichkeiten befinden, in denen sich das ISPD befindet (verschiedene Arten von Telefonmitteln und -systemen, Computertechnik, Mitteln und Datenübertragungssystemen in der Funkkommunikationssystem, Sicherheits- und Feueralarmmittel und -systeme, Warn- und Signalgebungs-, Kontroll- und Messgeräte, Klimaanlagen und -systeme, drahtgebundenes Rundfunknetz und Empfang von Rundfunk- und Fernsehprogrammen, elektrische Uhr7, elektronische Bürogeräte).

Bedingungen, um die ISPD in Übereinstimmung mit der Gesetzgebung zu bringen

Die russische Gesetzgebung legt die Bedingungen fest, um die ISPD mit den Anforderungen zur Gewährleistung der Sicherheit der PD in Einklang zu bringen.

Für Informationssysteme personenbezogener Daten, die vor dem Inkrafttreten des Bundesgesetzes vom 27. Juli 2006 Nr. 152FZ "Über personenbezogene Daten" in Betrieb waren, muss deren Revision sichergestellt werden, um die Sicherheit personenbezogener Daten gemäß den Anforderungen zu gewährleisten der Gesetzgebung, bis 1. Januar 2010 G.

Für funktionierende ISPDs sollte die Überarbeitung (Modernisierung) von Systemen zum Schutz personenbezogener Daten (im Folgenden SZPDn) durchgeführt werden, wenn:

• sich die Zusammensetzung oder Struktur des Informationssystems selbst oder die technischen Merkmale seines Aufbaus geändert haben (die Zusammensetzung oder Struktur der Software, die technischen Mittel der PD-Verarbeitung, die Topologie des ISPDN haben sich geändert);
• die Zusammensetzung der Bedrohungen der Sicherheit personenbezogener Daten im Informationssystem hat sich geändert;
• die ISPDN-Klasse hat sich geändert.

Bei neu geschaffenen oder modernisierten Informationssystemen ist die Tätigkeit zur Gewährleistung der Sicherheit personenbezogener Daten ein integraler Bestandteil der Arbeit an ihrer Einrichtung oder Modernisierung. Hersteller von Anwendungen, die die Verarbeitung von personenbezogenen Daten vorsehen, sind verpflichtet, in ihren
Entwicklung der PD-Sicherheitsanforderungen gemäß der russischen Gesetzgebung.

Jet Infosystems entwickelt und implementiert als Systemintegrator in seinen Projekten verschiedene Computersysteme und Geschäftsanwendungen. Diese Arbeiten werden unter Berücksichtigung der Anforderungen der russischen Gesetzgebung zur Informationssicherheit, einschließlich des Schutzes personenbezogener Daten, durchgeführt.

Welche ISPDs gibt es?

In einer Vielzahl von Anwendungen werden personenbezogene Daten verarbeitet. Wie die Erfahrung von Jet Infosystems bei der Umsetzung von Projekten auf ZPD gezeigt hat, kann deren Anzahl bei kleinen und mittleren Unternehmen zwischen 3 und 5, bei großen Unternehmen zwischen 30 und 50 variieren. Informationssysteme für personenbezogene Daten können Folgendes umfassen:

• CRM-Systeme (Daten über Kunden - natürliche Personen und Vertreter von Kunden - juristische Personen);
• Abrechnungssysteme (Daten über Kunden, die für Dienstleistungen bezahlen);
• automatisierte Banksysteme (Daten über Bankmitarbeiter, Kunden, Partner usw.);
• automatisierte medizinische Systeme (Patientendaten usw.);
• Callcenter (Daten über Kunden und Mitarbeiter, je nach Zweck des Callcenters);
• Personalsysteme (Daten über die Mitarbeiter der Organisation);
• Buchhaltungssysteme (Daten über Mitarbeiter und Kunden der Organisation);
• Dokumentenmanagementsysteme (Daten über Mitarbeiter der Organisation, Kunden, Partner);
• Postsysteme (Daten über Mitarbeiter der Organisation, Kunden, Partner, ausgefüllte Karten in den Adressbüchern von Postsystemen usw.);
• automatisierte Systeme von Ausweisbüros (Besucherdaten).

Aus der Sicht der Zugehörigkeit können Informationssysteme folgender Art sein: ISPDN von staatlichen und kommunalen Stellen, juristischen Personen und natürlichen Personen, die die Verarbeitung personenbezogener Daten organisieren oder durchführen, sowie die Bestimmung der Zwecke und des Inhalts der Verarbeitung personenbezogener Daten (außer in Fällen, in denen letztere diese Systeme ausschließlich für den persönlichen und familiären Bedarf verwenden).

ISPD-Klassifizierung

Die ISPD-Klassifizierung wird vom Betreiber gemäß dem "Verfahren zur Klassifizierung von Informationssystemen mit personenbezogenen Daten" durchgeführt, das auf Anordnung des FSTEC Russlands, des FSB Russlands und des Ministeriums für Information und Kommunikation Russlands vom 13. Februar genehmigt wurde , 2008 Nr. 55/86/20, sowie auf der Grundlage der regulatorischen und methodischen Dokumente der Aufsichtsbehörden FSTEC und FSB.

Die Klassifizierung von Informationssystemen erfolgt in der Phase der Erstellung oder während ihres Betriebs (bei bereits in Betrieb genommenen und aktualisierten Informationssystemen), um Methoden und Methoden zum Schutz von Informationen festzulegen, die zur Gewährleistung der Sicherheit personenbezogener Daten erforderlich sind.
Die Klassifizierung von Informationssystemen umfasst die folgenden Phasen:

• Sammlung und Analyse von Ausgangsdaten des Informationssystems;
• ihm eine geeignete Klasse zuordnen;
• seine Dokumentation (Erstellung und Genehmigung durch die Leitung der Organisation der Klassifikationsgesetze für bestimmte ISPD).

Bei der Klassifikation des Informationssystems werden folgende Ausgangsdaten berücksichtigt:

Tab. 1. Bestimmung der Klasse eines typischen Informationssystems

• Kategorie der im Informationssystem verarbeiteten personenbezogenen Daten (Kategorie 1, Kategorie 2, Kategorie 3, Kategorie 4) 8;
• Umfang der verarbeiteten personenbezogenen Daten (Anzahl der Personen mit personenbezogenen Daten, deren personenbezogene Daten im Informationssystem verarbeitet werden - 1, 2, 3) 9;
• die Sicherheitsmerkmale der personenbezogenen Daten, die im vom Betreiber eingestellten Informationssystem verarbeitet werden;
• Struktur des Informationssystems;
• Verfügbarkeit von Verbindungen des Informationssystems zu öffentlichen Kommunikationsnetzen und (oder) Netzen des internationalen Informationsaustauschs;
• Verarbeitungsmodus für personenbezogene Daten;
• Art der Differenzierung von Zugriffsrechten für Benutzer des Informationssystems;
• den Standort der technischen Mittel des Informationssystems.

ISPD-Klassifizierung

Die Praxis hat gezeigt, dass die Einstufung von ISPD durch Betreiber mit gewissen Schwierigkeiten verbunden ist, da die Kompetenz der eigenen Spezialisten für diese Aufgabe nicht immer ausreicht.

Aufgrund seiner Erfahrung in der Durchführung von Projekten zum Schutz personenbezogener Daten hat Jet Infosystems einen eigenen Ansatz für die Durchführung dieser Art von Arbeit entwickelt. Gleichzeitig zeichnet sich die „richtige“ Einstufung von ISPD aus, die dazu beiträgt, die Kosten unserer Kunden für den Aufbau eines personenbezogenen Datenschutzsystems deutlich zu minimieren.

Dies wird insbesondere möglich durch die Minimierung von Orten für die Speicherung und Verarbeitung personenbezogener Daten, die Trennung / Segmentierung von IS, die Reduzierung der Anforderungen für einige Segmente, die Reduzierung der Anzahl der Mitarbeiter, die Zugriff auf personenbezogene Daten haben, die Anonymisierung einiger personenbezogener Daten, Entfernen eines Teils der Daten aus dem ISPD.
Im Zuge der Analyse der technologischen Prozesse der PD-Verarbeitung entwickeln die Spezialisten von Jet Infosystems Empfehlungen zur Reduzierung der geschätzten PDIS-Klassen, die Folgendes beinhalten können:

• Abstrahieren von PDs – um sie weniger genau zu machen, beispielsweise durch Gruppieren gemeinsamer Merkmale;
• PD ausblenden - Löschen Sie den gesamten oder einen Teil des PD-Datensatzes;
• Ersetzen von PD - Neuanordnen der Felder eines PD-Datensatzes mit den gleichen Feldern eines anderen ähnlichen Datensatzes;
• Daten durch Durchschnittswert ersetzen - Ersetzen Sie die ausgewählten Daten durch den Durchschnittswert für die PD-Gruppe;
• Aufteilen von PD in Teile - Verwendung von Querverweistabellen;
• PD-Maskierung - Ersetzen einiger Zeichen in PD durch andere.

Gemäß den Sicherheitsmerkmalen der im Informationssystem des Betreibers verarbeiteten personenbezogenen Daten wird ISPD in Standard- und Spezialdaten unterteilt:

• typische Informationssysteme - Informationssysteme, in denen nur die Vertraulichkeit personenbezogener Daten erforderlich ist;
• Spezielle Informationssysteme - Informationssysteme, in denen unabhängig von der Notwendigkeit, die Vertraulichkeit personenbezogener Daten zu gewährleisten, mindestens eines ihrer Sicherheitsmerkmale außer der Vertraulichkeit (Schutz vor Vernichtung, Änderung, Sperrung usw.) als andere unerlaubte Handlungen).

Nach Struktur werden Informationssysteme unterteilt:

• für autonome (nicht mit anderen Informationssystemen verbundene) Komplexe von Hard- und Software (automatisierte Arbeitsstationen);
• für Komplexe von automatisierten Arbeitsplätzen, die durch Kommunikation ohne Verwendung von Fernzugriffstechnologie zu einem einzigen Informationssystem zusammengefasst sind (lokale Informationssysteme);
• auf Komplexen von automatisierten Arbeitsplätzen und lokalen Informationssystemen, die durch Kommunikation mittels Fernzugriffstechnologie zu einem einzigen Informationssystem zusammengefasst sind (verteilte Informationssysteme).

Je nach Verfügbarkeit von Verbindungen zu öffentlichen Kommunikationsnetzen und Netzen des internationalen Informationsaustausches werden Informationssysteme in solche mit und ohne Anbindung an solche Netze unterteilt.

Je nach Art der Verarbeitung personenbezogener Daten im Informationssystem wird ISPD in Single-User und Multi-User unterteilt.

Durch Differenzierung von Benutzerzugriffsrechten werden Informationssysteme in Systeme ohne Differenzierung von Zugriffsrechten und mit Differenzierung von Zugriffsrechten unterteilt.

Informationssysteme werden je nach Standort ihrer technischen Mittel unterteilt in Systeme, deren technische Mittel sich alle innerhalb der Russischen Föderation befinden, und Systeme, deren technische Mittel sich teilweise oder vollständig außerhalb der Russischen Föderation befinden.

Klassifizierung typischer ISPDN

Basierend auf den Ergebnissen der Analyse der Ausgangsdaten wird einem typischen Informationssystem eine der folgenden Klassen zugeordnet:

• Klasse 1 (K1) - Informationssysteme, bei denen eine Verletzung eines bestimmten Sicherheitsmerkmals der in ihnen verarbeiteten personenbezogenen Daten zu erheblichen negativen Folgen für Personen mit personenbezogenen Daten führen kann;
• Klasse 2 (K2) - Informationssysteme, bei denen eine Verletzung eines bestimmten Sicherheitsmerkmals der in ihnen verarbeiteten personenbezogenen Daten zu negativen Folgen für Personen mit personenbezogenen Daten führen kann;
• Klasse 3 (K3) - Informationssysteme, bei denen eine Verletzung der spezifizierten Sicherheitsmerkmale der darin verarbeiteten personenbezogenen Daten zu geringfügigen negativen Folgen für Personen mit personenbezogenen Daten führen kann;
• Klasse 4 (K4) - Informationssysteme, bei denen eine Verletzung der festgelegten Sicherheitsmerkmale der darin verarbeiteten personenbezogenen Daten keine negativen Folgen für die Personen der personenbezogenen Daten hat.

Die Klasse eines typischen Informationssystems wird gemäß bestimmt.

Klassifizierung von speziellen ISPDN

Die Klasse eines speziellen Informationssystems wird auf der Grundlage eines Bedrohungsmodells für die Sicherheit personenbezogener Daten gemäß den regulatorischen und methodischen Dokumenten der FSTEC- und FSB-Regulierungsbehörden bestimmt.

Spezielle ISPDs beinhalten automatisch:

• Informationssysteme, in denen personenbezogene Daten zum Gesundheitszustand von PD-Patienten verarbeitet werden;
• Informationssysteme, in denen aufgrund einer ausschließlich automatisierten Verarbeitung personenbezogener Daten Entscheidungen getroffen werden, die gegenüber dem Betroffenen rechtliche Konsequenzen nach sich ziehen oder seine Rechte und berechtigten Interessen in sonstiger Weise beeinträchtigen.

Erstellung von Bedrohungsmodellen für spezielle ISPDN

In Bezug auf die wichtigsten Arten von Informationssystemen wurden Standardmodelle für Bedrohungen der Sicherheit personenbezogener Daten entwickelt, die das Einsetzen verschiedener Arten von Folgen infolge eines unbefugten oder versehentlichen Zugriffs und der Umsetzung von Bedrohungen für personenbezogene Daten charakterisieren. Es gibt insgesamt sechs solcher Modelle, die im FSTEC-Dokument "Grundmodell der Bedrohungen der Sicherheit personenbezogener Daten während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten" beschrieben sind, das am 15. Februar 2008 genehmigt wurde:

• ein typisches Bedrohungsmodell für die Sicherheit personenbezogener Daten, die auf automatisierten Workstations verarbeitet werden, die nicht an öffentliche Netze und (oder) Netze des internationalen Informationsaustauschs angeschlossen sind;
• ein typisches Modell von Bedrohungen der Sicherheit personenbezogener Daten, die in automatisierten Workstations mit Verbindungen zu öffentlichen Netzen und (oder) Netzen des internationalen Informationsaustauschs verarbeitet werden;
• ein typisches Modell von Bedrohungen für die Sicherheit von PD, die in lokalen ISPD verarbeitet werden, die nicht mit öffentlichen Netzen und (oder) Netzen des internationalen Informationsaustauschs verbunden sind;
• ein typisches Modell von Bedrohungen der Sicherheit personenbezogener Daten, die in lokalen ISPD verarbeitet werden, die Verbindungen zu öffentlichen Netzen und (oder) Netzen des internationalen Informationsaustauschs haben;
• ein typisches Modell von Bedrohungen für die Sicherheit von PD, die in verteilten ISPD verarbeitet werden, die nicht mit öffentlichen Netzen und (oder) Netzen des internationalen Informationsaustauschs verbunden sind;
• ein typisches Modell von Bedrohungen für die Sicherheit von PD, die in verteilten ISPD verarbeitet werden, die Verbindungen zu öffentlichen Netzen und (oder) Netzen des internationalen Informationsaustauschs haben.

Auf der Grundlage des grundlegenden Bedrohungsmodells und in Übereinstimmung mit dem am 14. Februar 2008 genehmigten normativen Dokument des FSTEC "Methodik zur Ermittlung tatsächlicher Bedrohungen der Sicherheit personenbezogener Daten bei ihrer Verarbeitung in personenbezogenen Dateninformationssystemen" werden private Bedrohungsmodelle in Bezug auf bestimmte ISPDN entwickelt. Im Zuge dieser Entwicklung wird eine Liste aktueller Bedrohungen in Bezug auf bestimmte Informationssysteme erstellt.

Verwendung von Daten zur Klasse von PDIS und der zusammengestellten Liste aktueller Bedrohungen auf Grundlage der „Empfehlungen zur Gewährleistung der Sicherheit von PDIS bei deren Verarbeitung in PDIS“ und „Grundlegende Maßnahmen zur Organisation und technischen Sicherheit von PDIS verarbeiteten PDIS“ , genehmigt von FSTEC, spezifische organisatorische und technische Anforderungen zum Schutz von Informationssystemen vor Datenlecks über technische Kanäle, vor unbefugtem Zugriff. Auch erfolgt die Wahl der Software und der technischen Mittel des Informationsschutzes, die bei der Erstellung und dem weiteren Betrieb von ISPD verwendet werden können.

Was ist in der ISPD schutzbedürftig?

Um die Sicherheit personenbezogener Daten während ihrer Verarbeitung im ISPDN, Sprachinformationen und technisch verarbeitete Informationen sowie Informationen, die in Form von informativen elektrischen Signalen, physikalischen Feldern, Medien auf Papier, magnetischen, optischen und anderen Trägern dargestellt werden, zu gewährleisten, in die Form von Informationsarrays sind geschützt und Datenbanken in ISPDn.

Um den Schutz vor Bedrohungen in Bezug auf Daten zu gewährleisten, wird das Konzept des „Trägers (Quelle) personenbezogener Daten. Dieser Begriff bezeichnet ein Individuum oder einen materiellen Gegenstand, einschließlich eines physikalischen Feldes, in dem sich PD in Form von Symbolen, Bildern, Signalen, technischen Lösungen und Prozessen, quantitativen Eigenschaften physikalischer Größen widerspiegelt.

Personenbezogene Datenträger können Informationen in den folgenden Formen enthalten:

• akustische (Sprach-)Informationen, die direkt in der gesprochenen Sprache des Benutzers des ISPD bei der Spracheingabe von Daten in das Informationssystem oder bei der Wiedergabe mit akustischen Mitteln des ISPD enthalten sind, sowie in den auftretenden elektromagnetischen Feldern und elektrischen Signalen enthalten sind aufgrund der Transformationen akustischer Informationen;
• Arteninformationen, die in Form von Text oder Bildern dargestellt und mit Hilfe verschiedener Informationsanzeigegeräte von Computereinrichtungen, Informations- und Rechenkomplexen wiedergegeben werden, technische Mittel zur Verarbeitung von Grafik-, Video- und alphanumerischen Informationen, die Teil des ISPDN sind;
• Informationen in Form von elektrischen, elektromagnetischen, optischen Signalen, die aus der Verarbeitung von PD in ISPD stammen;
• im ISPDN verarbeitete Informationen, dargestellt in Form von Bits, Bytes, IP-Protokollen, Dateien und anderen logischen Strukturen.

Maßnahmen zum Schutz personenbezogener Daten bei der Verarbeitung in ISPD

In Übereinstimmung mit dem Dekret der Regierung der Russischen Föderation vom 17. November 2007 Nr. 781 "Vorschriften zur Gewährleistung der Sicherheit personenbezogener Daten während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten" sowie dem FSTEC-Dokument personenbezogener Datensysteme ", genehmigt am 15. Februar 2008, werden Maßnahmen zur Gewährleistung der Sicherheit von personenbezogenen Daten bei der Verarbeitung in ISPD in Abhängigkeit von der Klasse der Informationssysteme unter Berücksichtigung des möglichen Auftretens von Sicherheitsbedrohungen in Bezug auf personenbezogene Daten formuliert. Zu diesen Aktivitäten gehören:

• Identifizierung von Sicherheitsbedrohungen in Bezug auf PD während ihrer Verarbeitung in ISPD, Bildung von Bedrohungsmodellen auf deren Grundlage;
• Entwicklung auf der Grundlage solcher Bedrohungsmodelle eines Systems zum Schutz personenbezogener Daten (PDIS), das die Neutralisierung wahrgenommener Bedrohungen unter Verwendung der Methoden und Methoden des PD-Schutzes gewährleistet, die für die entsprechende Klasse von PDIS vorgesehen sind;
• Überprüfung der Einsatzbereitschaft von Informationssicherheitstools (im Folgenden SIS) und Schlussfolgerungen über deren Einsatzmöglichkeit;
• Installation und Inbetriebnahme von Informationssicherheitssystemen gemäß betrieblicher und technischer Dokumentation;
• Schulung der Personen, die das Informationssicherheitssystem bedienen, Regeln für die Arbeit mit ihnen;
• Kontrolle über die Nutzung von Informationssicherheitssystemen, Abrechnung der betrieblichen und technischen Dokumentation für diese, Träger personenbezogener Daten;
• Registrierung von Personen, die zur Arbeit mit personenbezogenen Daten im Informationssystem zugelassen sind;
• Kontrolle über die Einhaltung der Bedingungen für die Nutzung von Informationssicherheitssystemen, die in der Betriebs- und technischen Dokumentation vorgesehen sind;
• Durchführung von Untersuchungen und Schlussfolgerungen zu Tatsachen der Nichteinhaltung der Aufbewahrungsbedingungen von Personendatenträgern, der Verwendung von Informationen zur Informationssicherheit, die zu einer Verletzung der Geheimhaltungspflicht von Personendaten führen können, oder andere Verstöße, die zu einer Verringerung des PS-Niveaus führen Sicherheit; sowie Maßnahmen zu ergreifen, um die möglichen gefährlichen Folgen solcher Verstöße zu verhindern;
• Beschreibung des Systems zum Schutz personenbezogener Daten.

Maßnahmen zur Gewährleistung der Sicherheit von PD während ihrer Verarbeitung in ISPD umfassen:

• Vorkehrungen für die Unterbringung, spezielle Ausrüstung, Sicherheit und Organisation des Einlassregimes zu den Räumlichkeiten, in denen mit PD gearbeitet wird;
• Maßnahmen, um das Durchsickern von PD über technische Kanäle während ihrer Verarbeitung in Informationssystemen zu schließen;
• Maßnahmen zum Schutz personenbezogener Daten vor unbefugtem Zugriff (im Folgenden als NSD bezeichnet) und Festlegung des Verfahrens zur Auswahl von Mitteln zum Schutz personenbezogener Daten bei deren Verarbeitung im ISPD.

PD-Schutzsystem während ihrer Verarbeitung in ISPDN

Die Sicherheit der personenbezogenen Daten während ihrer Verarbeitung im ISPD wird durch das System zum Schutz personenbezogener Daten gewährleistet.

Was beinhaltet die PDPD?

Aufbau, Zusammensetzung und Hauptfunktionen von Systemen zum Schutz personenbezogener Daten werden anhand der ISPD-Klasse bestimmt. SZPDn umfasst organisatorische Maßnahmen, Mittel zum Informationsschutz sowie im Informationssystem eingesetzte Informationstechnologien.

Organisatorische Maßnahmen

Die Gewährleistung der Sicherheit personenbezogener Daten während ihrer Verarbeitung im ISPD sollte Folgendes vorsehen:

• Einschätzung der Lage;
• Begründung der Anforderungen zur Gewährleistung der Sicherheit von PD und Formulierung von Aufgaben zu deren Schutz;
• Entwicklung einer Idee zur Gewährleistung der Sicherheit personenbezogener Daten;
• Auswahl geeigneter Methoden (Maßnahmen und Mittel) zum Schutz personenbezogener Daten entsprechend den Aufgaben und der Ausgestaltung des Schutzes;
• Behandlung von Fragen des Umgangs mit der Sicherheit personenbezogener Daten in der Dynamik von Veränderungen der Situation und Überwachung der Wirksamkeit des Schutzes;
• Sicherstellung der Umsetzung des verabschiedeten Schutzkonzepts;
• Planung von Maßnahmen zum Schutz personenbezogener Daten;
• Organisation und Durchführung von Arbeiten zur Schaffung eines Systems zum Schutz personenbezogener Daten im Rahmen der Entwicklung (Modernisierung) des ISPD, Entwicklung und Einsatz des PDPD oder seiner Elemente im ISPD, Lösung der Hauptprobleme der Interaktion, Definition ihrer Aufgaben und Funktionen in verschiedenen Phasen der Erstellung und des Betriebs von Informationssystemen;
• Entwicklung von Dokumenten, die die Organisation der PD-Sicherheit und den Betrieb von PDS in PDIS regeln;
• Einsatz und Probebetrieb von SZPD in Personendaten-Informationssystemen;
• Fertigstellung des SZPDn auf Basis der Ergebnisse des Probebetriebs.

Schutz personenbezogener Daten bedeutet

Entsprechend der Klassifizierung von ISPD sowie unter Berücksichtigung der aktuellen Bedrohungen in den adaptiven Modellen für „spezielle“ ISPD und gemäß den Anforderungen der regulatorischen und methodischen Dokumente der FSTEC RF und FSB RF Regulatoren, SZPD sollte eine Reihe von Teilsystemen umfassen, deren Beschreibung in den folgenden Abschnitten dargestellt wird.

Schutz personenbezogener Daten gegen Datenlecks über technische Kanäle

Um das Durchsickern von akustischen (Sprache), Speziesinformationen sowie Informationsverlusten durch elektromagnetische Störstrahlung und Interferenzen zu verhindern, werden spezielle technische Mittel verwendet. Dabei werden passive und aktive Schutzmittel unterschieden.

Passive Abwehr, werden in der Regel in der Phase der Entwicklung von Entwurfslösungen für den Bau oder den Umbau von Gebäuden umgesetzt. Die Vorteile der Verwendung passiver Mittel bestehen darin, dass Sie die Arten von Gebäudestrukturen, Kommunikationsmethoden und die optimalen Standorte für die geschützten Räumlichkeiten im Voraus berücksichtigen können.

Der Schutz personenbezogener Daten bei der Spracheingabe von Daten durch die Benutzer von Informationssystemen in ISPD oder deren Wiedergabe mit akustischen Mitteln des ISPD wird durch Schallisolierung der Räumlichkeiten, in denen die ISPD-Hardware installiert ist, technische Unterstützungssysteme (Lüftung, Heizung und Klimaanlage), sowie umschließende Gebäudestrukturen (Wände, Boden, Decke, Fenster, Türen).

Sollte ich integrierten oder Overlay-Schutz verwenden?

Basierend auf den gesammelten Erfahrungen im Bereich der Informationssicherheit versuchen die Spezialisten von Jet Infosystems bei der Gestaltung von Lösungen zum Schutz personenbezogener Daten während ihrer Verarbeitung in ISPD, sowohl auferlegte Informationssicherheitstools als auch eingebaute Sicherheitsmechanismen im systemweiten Bereich zu kombinieren und Anwendungssoftware (Software), die in ISPDn verwendet wird. Jede Option hat ihre eigenen Vor- und Nachteile. Die auferlegten Mittel sind bei weitem nicht immer in der Lage, die Anforderungen der Aufsichtsbehörden vollständig umzusetzen, und können sich auch als inkompatibel mit den bereits im ISPD verwendeten Softwarelösungen erweisen. Die Verwendung eingebauter Mechanismen führt zu Problemen im Zusammenhang mit dem obligatorischen Vorhandensein von Konformitätsbescheinigungen für solche Software von russischen Regulierungsbehörden.

Die Spezialisten von Jet Infosystems bevorzugen eingebaute Mechanismen zur Realisierung der Zugangskontrolle zu personenbezogenen Daten.

Dieser Ansatz ist darauf zurückzuführen, dass Änderungen in der Struktur sowohl des ISPD selbst als auch der Sicherheitsmechanismen minimiert werden können.

Auch bei der Gestaltung eines Datenschutzsystems achten Spezialisten unseres Unternehmens auf die Integrität der Einstellungen der Informationssicherheitstools selbst. Bei der Auswahl dieser Tools analysiert Jet Infosystems sorgfältig seine eigenen Integritätskontrollmechanismen. Nur die Unveränderlichkeit der Einstellungen von Informationssicherheitstools kann dem PD-Betreiber einen zuverlässigen Schutz der im ISPD verarbeiteten Informationen gewährleisten.

Die Schalldämmung erfolgt mit Hilfe architektonischer und technischer Lösungen, der Verwendung spezieller schallabsorbierender Bau- und Ausbaumaterialien, schwingungsisolierender Stützen, die verschiedene umschließende Strukturen voneinander trennen. Um die Anforderungen an den Schutz personenbezogener Daten zu erfüllen, ist eine Erhöhung der Schalldämmung um 10-15 dB ausreichend. Um die Wahrscheinlichkeit des Abfangens von Informationen dieser Art zu verringern, ist es notwendig, die Möglichkeit auszuschließen, dass Fremdkörper außerhalb der umschließenden Strukturen des Geländes und der sie verlassenden technischen Kommunikation installiert werden.
Im Falle der technischen Unmöglichkeit, passive Mittel zum Schutz von Räumlichkeiten zu verwenden, wenden Sie sich an aktive Schutzmaßnahmen, bestehend aus der Erzeugung von maskierenden akustischen und Vibrationsinterferenzen.

Akustische Maskierungsmittel werden verwendet, um Sprachinformationen vor Leckage entlang eines direkten akustischen Kanals zu schützen, indem akustische Geräusche an Orten erzeugt werden, an denen sich Abhörgeräte oder unbefugte Personen befinden können.

Mittel der vibroakustischen Maskierung werden verwendet, um Informationen mit elektronischen Stethoskopen, Funkstethoskopen sowie laserakustischen Abhörsystemen vor dem Abhören zu schützen.

Um den optimalen Virenschutz für ISPD zu erreichen, implementiert Jet Infosystems ein zweistufiges Informationsschutzsystem. Die erste Staffel ist im Umkreis des Informationssystems des PD-Betreibers organisiert, die zweite Staffel schützt die internen Ressourcen des Systems vor möglichen Viren durch die Verwendung nicht überprüfter Medien durch das Personal des Betreibers. Es ist kein Geheimnis, dass nicht alle Antivirenprogramme „gleich nützlich“ sind. Die Erfahrung unseres Unternehmens zeigt, dass es keinen universellen Schutz vor Viren gibt, daher verwenden unsere Spezialisten für den effektivsten Schutz in den entwickelten Lösungen gleichzeitig Antiviren-Tools verschiedener Hersteller.

Um das Durchsickern von Informationen über Telefonkommunikationskanäle zu verhindern, ist es erforderlich, Telefonendgeräte, die direkten Zugang zur automatischen Telefonzentrale der Stadt haben, mit speziellen Informationsschutzmitteln auszustatten, die eine elektroakustische Umwandlung verwenden.

Schutz personenbezogener Daten vor unbefugtem Zugriff

Um Maßnahmen zum Schutz personenbezogener Daten während ihrer Verarbeitung in Informationssystemen vor unbefugtem Zugriff (unbefugtem Zugriff) und rechtswidrigen Handlungen von Benutzern und Rechtsverletzern zu ergreifen, kann PDS die folgenden Teilsysteme umfassen:

• Zugangskontrolle;
• Registrierung und Buchhaltung;
• Gewährleistung der Integrität;
• Virenschutz;
• Gewährleistung der Sicherheit der Zusammenschaltung ISPDn;
• Sicherheitsanalyse;
• Einbruchserkennung.

Subsystem der Zugangskontrolle, Registrierung und Abrechnung, wird in der Regel durch Software zur Manipulations-, Signalisierungs- und Registrierungssperre realisiert. Dies sind spezielle Software- und Software- und Hardwareschutztools für Betriebssysteme selbst, DBMS und Anwendungsprogramme, die nicht im Betriebssystemkernel enthalten sind. Sie erfüllen die Schutzfunktionen unabhängig oder in Kombination mit anderen Schutzmitteln und zielen darauf ab, unbefugte Handlungen von Benutzern oder Rechtsverletzern auszuschließen oder zu verhindern. Dazu gehören spezielle Dienstprogramme und Sicherheitssoftwarekomplexe, die die Funktionen der Diagnose (Testen des Dateisystems), der Registrierung (Protokollierung von Aktionen und Operationen), des Alarms (Warnung vor der Erkennung von Tatsachen unberechtigter Aktionen oder Verletzung des normalen Betriebs der ISPD).

Integritäts-Subsystem es wird auch hauptsächlich durch die Betriebssysteme selbst und das DBMS implementiert. Die Funktionsweise dieser Tools basiert auf der Berechnung von Prüfsummen, der Benachrichtigung über einen Fehler bei der Übertragung von Nachrichtenpaketen und der erneuten Übertragung nicht akzeptierter Pakete.
Die Häufigkeit der Anwendung von Microsoft-Produkten als Betriebssystem in russischen Unternehmen hat es notwendig gemacht, die Funktionalität von Microsoft Windows Server 2003 als Basisplattform für den Aufbau einer Lösung für ein Subsystem zur Begrenzung und Kontrolle des Zugriffs auf Informationssystemressourcen zu verwenden.

Dieses Netzwerkbetriebssystem verfügt zusammen mit den technologischen Parametern, die zur Gewährleistung der Sicherheit personenbezogener Daten erforderlich sind, über alle erforderlichen Zertifikate zur Einhaltung der Anforderungen der Regulierungsbehörden. FSTEC Russlands im Zertifizierungssystem für Informationssicherheitsmittel gemäß den Anforderungen an die Informationssicherheit Nr. ROSS RU.0001.01BI00 zertifiziert:

• Russische Version von Windows Server 2003 (Standard Edition und Enterprise Edition);
• Russische Version von Windows Server 2003 R2 (Standard Edition und Enterprise Edition).

Microsoft zertifiziert auch monatlich neue Patches für diese Produkte.

Der FSB Russlands hat die russische Version des Serverbetriebssystems Windows Server 2003 Enterprise Edition zertifiziert. Das FSB-Zertifikat bestätigt, dass das Produkt die Anforderungen des FSB Russlands erfüllt, um Informationen, die keine Informationen enthalten, die ein Staatsgeheimnis darstellen, vor unbefugtem Zugriff in automatisierten Informationssystemen der Klasse AK2 zu schützen. Somit kann dieses System als Mittel zum Schutz von PD bei ISPD verwendet werden.

Die neueste Version von Windows Server ist Windows Server 2008. Es wird erwartet, dass bis zum Datum dieses Artikels die Zertifizierung dieses Betriebssystems vorliegt und Microsoft Windows Server 2008 in technischen Lösungen für das Zugriffskontroll-, Registrierungs- und Abrechnungssubsystem verfügbar sein wird .
Um die Sicherheit von PD und der ISPD-Software- und Hardwareumgebung, die die Verarbeitung dieser Informationen gewährleistet, zu gewährleisten, wird empfohlen, spezielle Antivirenschutzmittel (Antivirenschutz-Subsystem) zu verwenden. Solche Fonds können Folgendes bereitstellen:

• Erkennung und Blockierung destruktiver viraler Einflüsse auf systemweite und angewandte Software, die die PD-Verarbeitung implementiert, sowie auf PD selbst;
• Erkennung und Entfernung von "unbekannten" Viren (dh Viren, deren Signaturen noch nicht in die Antiviren-Datenbanken aufgenommen wurden);
• Sicherstellung der Selbstüberwachung (Verhinderung einer Infektion) dieses Antiviren-Tools beim Start.

Das Antivirenschutz-Subsystem sollte unter Berücksichtigung der folgenden Faktoren erstellt werden:

• Verfügbarkeit von Mitteln zur zentralen Kontrolle des Funktionierens des Virenschutzes vom Arbeitsplatz des Inforim ISPD;
• die Möglichkeit, den Infim ISPD zeitnah über alle Ereignisse und Tatsachen des Auftretens von Programm- und mathematischen Einflüssen (PVM) zu informieren.

Um das Subsystem des Antivirenschutzes personenbezogener Daten während ihrer Verarbeitung in ISPD zu implementieren, können Antivirentools der Firma "Kaspersky Lab" verwendet werden.

Die Produkte von Kaspersky Lab sind vom Föderalen Sicherheitsdienst Russlands zertifiziert. Diese Zertifikate bescheinigen, dass Kaspersky Anti-Virus 6.0 für Windows Server die Anforderungen für Antiviren-Tools der Klasse A1c, Kaspersky Anti-Virus 5.5 für Linux und FreeBSD Workstations und File Server die Anforderungen für Antiviren-Tools der Klasse A2c erfüllt und Kaspersky Administration Kit 6.0 die Anforderungen der Anforderungen an Antiviren-Tools der Klasse A3c. Diese Produkte können von den staatlichen Behörden der Russischen Föderation zum Schutz von Informationen verwendet werden, die Informationen enthalten, die ein Staatsgeheimnis darstellen.

Darüber hinaus erfüllen die Produkte Kaspersky Anti-Virus 6.0 für Windows Server, Kaspersky Anti-Virus 6.0 für Windows Workstation und Kaspersky Administration Kit 6.0 die Anforderungen des FSTEC-Leitfadens – auf der 3. Kontrollebene und den Anforderungen der technischen Spezifikationen.
Um den Zugriff auf ISPD-Ressourcen während der Zusammenschaltung zu differenzieren (Subsystem zur Gewährleistung der Sicherheit der Zusammenschaltung ISPDN) Firewalling wird angewendet, das durch Software und Software- und Hardware-Firewalls (FW) implementiert wird. Die Firewall wird zwischen den geschützten internen und externen Netzwerken installiert. ME ist Teil des geschützten Netzwerks. Durch entsprechende Einstellungen werden Regeln festgelegt, die es Ihnen ermöglichen, den Benutzerzugriff vom internen Netzwerk auf das externe Netzwerk und umgekehrt zu beschränken.

Um eine sichere Zusammenschaltung in Klasse 3 und 4 ISPD zu gewährleisten, wird empfohlen, ME mindestens der fünften Sicherheitsstufe, in Klasse 2 ISPD - ME mindestens der vierten Sicherheitsstufe, in Klasse 1 ISPD - ME mindestens der dritten Sicherheitsstufe zu verwenden .

Subsystem zur Sicherheitsanalyse wurde entwickelt, um die Schutzeinstellungen von Betriebssystemen auf Workstations und Servern zu kontrollieren und ermöglicht es Ihnen, die Möglichkeit von Eindringlingen zu bewerten, die Angriffe auf Netzwerkgeräte ausführen, überwacht die Sicherheit von Software. Diese Tools (Tools zur Erkennung von Schwachstellen) scannen das Netzwerk, um seine Topologie zu untersuchen, nach ungesicherten oder nicht autorisierten Netzwerkverbindungen zu suchen, Firewall-Einstellungen zu überprüfen usw. Diese Analyse basiert auf detaillierten Beschreibungen von Sicherheitsschwachstellen (zB Switches, Router, Firewalls) oder Schwachstellen in Betriebssystemen oder Anwendungssoftware. Das Ergebnis der Sicherheitsanalysetools ist ein Bericht, der Informationen über die erkannten Schwachstellen zusammenfasst.
Schwachstellendetektoren können auf netzwerkbasierter, hostbasierter und anwendungsbasierter Ebene betrieben werden. Mithilfe von Scan-Software ist es möglich, eine Karte der verfügbaren ISPD-Knoten zu erstellen, die jeweils verwendeten Dienste und Protokolle zu identifizieren, deren Grundeinstellungen zu bestimmen und Annahmen über die Wahrscheinlichkeit der NSD-Implementierung zu treffen. Basierend auf den Ergebnissen der Systemüberprüfung werden Empfehlungen und Maßnahmen zur Behebung der festgestellten Mängel entwickelt.

Als Werkzeug im Sicherheitsanalyse-Subsystem verwenden die Spezialisten von Jet Infosystems häufig Xspider von Positive Technologies. Der Xspider Netzwerkscanner ist vom FSTEC Russlands (Konformitätsbescheinigung Nr. 1323 vom 23. Januar 2007, gültig bis 23. Januar 2010) und dem Verteidigungsministerium (Konformitätsbescheinigung Nr. 354) zertifiziert. Xspider ist ein Netzwerksicherheitsscanner, der auf einer intelligenten Scan-Engine basiert und die vollständigste und zuverlässigste Erkennung von Schwachstellen auf System- und Anwendungsebene bietet. XSpider läuft unter Microsoft Windows, prüft alle möglichen Schwachstellen unabhängig von der Hard- und Softwareplattform der Nodes, arbeitet mit Schwachstellen auf unterschiedlichen Ebenen – vom System bis zur Anwendung. Insbesondere enthält XSpider einen leistungsstarken und tiefen Webserver und einen Sicherheitsanalysator für Webanwendungen. Xspider unterstützt verschiedene Scanmethoden, einschließlich Remote Scanning, während die Verfügbarkeit des Netzwerksegments garantiert wird.

Aktuell positiv Technologien führt Arbeiten zur Zertifizierung durch für das Fehlen von NDV und die Einhaltung der technischen Spezifikationen des Systems zur Bewertung der Sicherheit und Überwachung der Einhaltung der technischen Richtlinien MaxPatrol.
Im Gegensatz zu einem Sicherheitsscanner, der nur externe Schwachstellen bewertet, führt MaxPatrol eine interne Prüfung der Informationsressourcen durch.

Die Verwendung des MaxPatrol-Systems ermöglicht:

• Beurteilen Sie die Sicherheit von Informationssystemen. MaxPatrol identifiziert Lücken im Schutz von automatisierten Systemen (AS), erstellt eine Aufgabe zu deren Beseitigung, überwacht die Wirksamkeit und Rechtzeitigkeit der Beseitigung der gefundenen Schwachstellen.
• Verfolgen Sie den aktuellen Status von Informationsressourcen. MaxPatrol führt eine Bestandsaufnahme der geschützten Ressourcen durch und ermöglicht die rechtzeitige Erkennung von Änderungen in der AU, insbesondere in den Einstellungen von Netzwerkgeräten, Benutzerrechten auf Workstations, Datenbanktabellen, Clients von ERP-Systemen.
• Überwachen Sie die Einhaltung der technischen Richtlinien der AU. MaxPatrol bildet technische Standards unter Verwendung der im System verfügbaren Wissensdatenbank, die komplexe Standards für Cisco / Nortel / Huawei-Netzwerkgeräte, Windows / Linux / Solaris / Plattformen, Microsoft SQL / Oracle DBMS, Netzwerkanwendungen, Webdienste, Mailsysteme, ERP umfasst - Anwendungen. MaxPatrol führt automatisch Inspektionen zur Einhaltung der AU mit den erstellten technischen Sicherheitsrichtlinien durch.
• Messen Sie die Effektivität von Informationssicherheitsprozessen in der Organisation. Auf Basis ständig gesammelter Informationen generiert das System Sicherheitskennzahlen (KPI), anhand derer die Wirksamkeit von Informationssicherheitsprozessen bewertet wird. Es gibt Dutzende verschiedener Metriken: von technisch (zum Beispiel der Prozentsatz der Workstations, die die Antivirenrichtlinie nicht erfüllen) bis hin zu High-Level (der Prozentsatz der Filialen, die die Sicherheitsanforderungen im Vergleich zu anderen Filialen über einen bestimmten Zeitraum erfüllen .) von Zeit). Die Metriken werden basierend auf echten quantitativen Daten berechnet, die von den Modulen für Sicherheitsbewertung, Inventarisierung und Compliance-Kontrolle gesammelt wurden.

Derzeit läuft die Zertifizierung des MaxPatrol-Systems.

Intrusion Detection-Systeme werden verwendet, um Bedrohungen durch Intrusion Detection während der Verbindung zu erkennen (Intrusion Detection Subsystem)... Solche Systeme werden unter Berücksichtigung der Besonderheiten der Durchführung von Angriffen und der Stadien ihrer Entwicklung erstellt. Sie basieren auf folgenden Angriffserkennungsmethoden: Signaturmethoden, Anomalieerkennungsmethoden, kombinierte Methoden mit beiden Methoden.

Um Einbrüche in ISPDN der Klassen 3 und 4 zu erkennen, wird empfohlen, Nzu verwenden, die Signaturanalysemethoden verwenden, 1 und 2 Klassen - Systeme, die die Signaturmethode und die Anomalieerkennungsmethode verwenden.
Jet Infosystems verwendet häufig Cisco-Produkte, um ein Subsystem zur Erkennung und Verhinderung von Eindringlingen zu implementieren. Diese Fonds sind von FSTEC zertifiziert und erfüllen die Anforderungen der technischen Bedingungen und der Norm GOST R ISO / IEC 15408-2002.
Zu diesen Produkten zählt insbesondere das Cisco Intrusion Detection System / Intrusion Preventing System (IPS / IDS), das Hauptbestandteil der Cisco Systems Lösungen zur Erkennung und Abwehr von Angriffen ist. Neben den traditionellen Mechanismen verwendet Cisco IDS / IPS auch einzigartige Algorithmen, die Anomalien im Netzwerkverkehr und Abweichungen vom normalen Verhalten von Netzwerkanwendungen verfolgen. Dadurch können sowohl bekannte als auch viele unbekannte Angriffe erkannt werden. Die integrierten Technologien zur Korrelation von Sicherheitsereignissen Cisco Threat Response, Threat Risk Rating und Meta Event Generator tragen nicht nur dazu bei, die Anzahl von Fehlalarmen erheblich zu reduzieren, sondern ermöglichen es Administratoren auch, nur auf wirklich kritische Angriffe zu reagieren, die die Ressourcen des Unternehmensnetzwerks ernsthaft beschädigen können.

Mittel zum Schutz der Kanäle während der TE-Übertragung

Um die Sicherheit von PD während der Übertragung über offene Kanäle oder in einem nicht segmentierten Netzwerk zu gewährleisten, wird ein Subsystem zum kryptographischen Schutz von Kommunikationskanälen verwendet. Neben der oben genannten Aufgabe ermöglicht dieses Subsystem die sichere Interaktion mit industriellen Netzwerken und den Zugriff für die Remote-Administration. Dieses Subsystem kann auf Basis der Cisco Adaptive Security Appliance implementiert werden. Dieser Komplex ist von FSTEC zertifiziert (Einhaltung der Richtlinien für Firewalls (Klasse 3 und 4) und der Anforderungen der technischen Spezifikationen).

Der Cisco ASA 5500 wurde entwickelt, um mehrere Probleme gleichzeitig zu lösen – Begrenzung des Zugriffs auf Netzwerkressourcen, Schutz vor Angriffen, Schutz der Interaktion mit entfernten Bereichen, Blockierung von Viren, Würmern, Spyware und anderen bösartigen Programmen, Spam- und Phishing-Angriffen. Dies geschieht durch die Kombination der besten Sicherheitsfunktionen in einem Gerät – der Cisco Pix Firewall, Cisco IPS und Cisco VPN 3000 Concentrator.

Zusätzlich zu den oben beschriebenen Software- und Hardwareschutztools verwendet Jet Infosystems häufig Produkte anderer führender Hersteller auf dem Informationssicherheitsmarkt. Hierzu zählen insbesondere Oracle, Aladdin, Check Point, S-Terra CSP, CryptoPro. Diese Unternehmen setzen sich aktiv für die Einhaltung der Anforderungen der Aufsichtsbehörden und die Zertifizierung ihrer Produkte ein, um sie in Lösungen zum Schutz personenbezogener Daten zu verwenden.

Anforderungen an den Schutz personenbezogener Daten

Für die Implementierung der aufgeführten Teilsysteme kann der allgemeine Aufbau des Datenschutzsystems sowohl bestehende als auch zusätzliche Soft- und Hardware zum Informationsschutz umfassen.

In Übereinstimmung mit dem Dekret der Regierung der Russischen Föderation vom 17. November 2007 Nr. 781 "Vorschriften zur Gewährleistung der Sicherheit personenbezogener Daten bei deren Verarbeitung in Informationssystemen für personenbezogene Daten", die für die Verarbeitung von Daten im ISPD verwendete Hard- und Software müssen sich einem Konformitätsbewertungsverfahren nach dem festgelegten Verfahren einschließlich einer Zertifizierung zur Einhaltung der Anforderungen an die Informationssicherheit unterziehen.

Im Hinblick auf die entwickelten Verschlüsselungs- (kryptografischen) Informationsschutzinstrumente, die die Sicherheit personenbezogener Daten bei deren Verarbeitung in Informationssystemen gewährleisten sollen, werden Fallstudien und Kontroll-Fallstudien durchgeführt, um zu überprüfen, ob die Anforderungen an die Informationssicherheit erfüllt sind10.

Die Ergebnisse der Konformitätsbewertung (Zertifizierung) und Fallstudien von Instrumenten der Informationssicherheit, die die Sicherheit personenbezogener Daten bei deren Verarbeitung in Informationssystemen gewährleisten sollen, werden im Rahmen einer Prüfung durch den Bundesdienst für technische und Ausfuhrkontrolle und die Föderaler Sicherheitsdienst der Russischen Föderation.

Informationssicherheitstools, die die Sicherheit personenbezogener Daten bei deren Verarbeitung in Informationssystemen gewährleisten sollen, werden von den Regeln für die Verwendung dieser Tools begleitet, die mit dem Föderalen Dienst für technische und Ausfuhrkontrolle und dem Föderalen Sicherheitsdienst der Russischen Föderation im Rahmen ihrer Befugnisse vereinbart wurden.

Änderungen der Bedingungen für den Einsatz von Inf(z. B. im Zuge der Modernisierung des ISPD), die in diesen Regeln vorgesehen sind, werden mit dem FSTEC und dem FSB abgestimmt.

Informationsschutzinstrumente, die die Sicherheit personenbezogener Daten bei der Verarbeitung in Informationssystemen gewährleisten sollen, unterliegen der Buchführung anhand von Verzeichnissen oder herkömmlichen Namen und Registrierungsnummern. Die Liste der Indizes, konventionellen Namen und Registrierungsnummern wird vom Föderalen Dienst für technische und Ausfuhrkontrolle und dem Föderalen Sicherheitsdienst der Russischen Föderation festgelegt.

Merkmale der Entwicklung, Herstellung, Implementierung und des Betriebs von Verschlüsselungsmitteln (kryptografischen) zum Schutz von Informationen und zur Bereitstellung von Diensten zur Verschlüsselung personenbezogener Daten bei deren Verarbeitung in Informationssystemen werden vom Föderalen Sicherheitsdienst der Russischen Föderation festgelegt.
Alle FSTEC-zertifizierten Sicherheitsprodukte werden auf der FSTEC-Website (http://www.fstec.ru/) im Abschnitt „Informationen zum Informationssicherheits-Zertifizierungssystem für Anforderungen an die Informationssicherheit“ (http://www.fstec. ru/_razd/_serto .htm) im Unterabschnitt "Staatliches Register zertifizierter Informationssicherheitsmittel".

Phasen der Erstellung einer PDPD

• Vorentwurfsphase, einschließlich Vorentwurfsinspektion des ISPD, Entwicklung von technischen (privaten technischen) Spezifikationen für seine Erstellung;
• die Phase der Konzeption (Entwicklung von Projekten) und Umsetzung des ISPD, einschließlich der Entwicklung des PDIS im Rahmen des ISPD;
• die Phase der Inbetriebnahme des PDIS, einschließlich Probebetrieb und Abnahmetests von Informationssicherheitstools, sowie eine Bewertung der Konformität des PDIS mit den Anforderungen an die Informationssicherheit.

Vorentwurfsprüfung

• die Notwendigkeit der Datenverarbeitung im ISPDN wird festgestellt;
• eine Liste der personenbezogenen Daten, die vor unbefugtem Zugriff geschützt sind, erstellt wird;
• die Bedingungen für den Standort des ISPD relativ zu den Grenzen des kontrollierten Bereichs (SC) werden bestimmt;
• die Konfiguration und Topologie des ISPD als Ganzes und seiner einzelnen Komponenten, physische, funktionale und technologische Verbindungen sowohl innerhalb dieser Systeme als auch mit anderen Systemen verschiedener Ebenen und Zwecke bestimmt werden;
• bestimmt die technischen Mittel und Systeme, die für die Verwendung im entwickelten ISPD vorgesehen sind, die Bedingungen für ihren Standort, die systemweite und angewandte Software, die verfügbar und zur Entwicklung vorgeschlagen wird;
• die Modi der PD-Verarbeitung in ISPD insgesamt und in einzelnen Komponenten werden bestimmt;
• die Klasse der ISPD wird bestimmt;
• spezifiziert den Grad der Beteiligung des Personals an der Datenverarbeitung, die Art ihrer Interaktion untereinander;
• identifiziert (spezifiziert) Bedrohungen für die PD-Sicherheit unter bestimmten Betriebsbedingungen (Entwicklung eines privaten Bedrohungsmodells).

Entwicklung technischer Spezifikationen

Basierend auf den Ergebnissen der Pre-Design-Befragung werden unter Berücksichtigung der etablierten ISPD-Klasse konkrete Anforderungen zur Gewährleistung der Datensicherheit gestellt, die in die technische (private technische) Aufgabe zur Entwicklung eines Sicherheitssystems einfließen.
Der technische (privattechnische) Auftrag zur Entwicklung von SZPD sollte beinhalten:

• Begründung für die Entwicklung des PDPD;
• Ausgangsdaten des erstellten (modernisierten) ISPD in technischer, softwaretechnischer, informationeller und organisatorischer Hinsicht; Klasse ISPDN;
• einen Verweis auf die Regulierungsdokumente, unter Berücksichtigung dessen, welche PDPD entwickelt und das Informationssystem in Betrieb genommen wird; Konkretisierung von Aktivitäten und Anforderungen an SZPDn;
• eine Liste zertifizierter Informationssicherheitstools, die verwendet werden sollen;
• Begründung der Entwicklung eigener Informationssicherheitsmittel, wenn es unmöglich oder unzweckmäßig ist, auf dem Markt erhältliche zertifizierte Informationssicherheitsmittel einzusetzen;
• Zusammensetzung, Inhalt und Zeitpunkt der Arbeiten an den Entwicklungs- und Umsetzungsstufen von SZPDn.

Gestaltung von SZPDn

In der Phase des Entwurfs und der Erstellung eines ISPD (PDIS) werden die folgenden Aktivitäten durchgeführt:

• Entwicklung einer Aufgabe und eines Projekts für Bau-, Bau- und Installationsarbeiten (bzw. Umbau) des ISPD gemäß den Anforderungen des technischen (privaten) Auftrages zur Entwicklung des ISPD;
• Entwicklung eines Abschnitts eines technischen Projekts zu ISPDN in Bezug auf Informationssicherheit;
• Bau- und Installationsarbeiten gemäß der Projektdokumentation;
• Verwendung handelsüblicher technischer Mittel zur Verarbeitung, Übertragung und Speicherung von Informationen;
• Entwicklung von Maßnahmen zum Schutz von Informationen gemäß den Anforderungen;
• Verwendung von zertifizierten technischen, Soft- und Soft- und Hardwaremitteln zum Informationsschutz und deren Installation;
• Zertifizierung von Informationssicherheitssoftware gemäß den Anforderungen der Datensicherheit für den Fall, dass die erforderlichen zertifizierten Informationssicherheitsmittel nicht auf dem Markt verfügbar sind;
• Entwicklung und Implementierung eines permissiven Systems für den Benutzerzugriff auf die im ISPD verarbeiteten Informationen;
• Bestimmung von Unterteilungen und Ernennung von Personen, die für den Betrieb von Informationsschutzmitteln verantwortlich sind, mit ihrer Ausbildung in Richtung Gewährleistung der Sicherheit personenbezogener Daten;
• Entwicklung der Betriebsdokumentation für ISPD- und Informationssicherheitstools sowie organisatorischer und administrativer Dokumentation zum Schutz von Informationen (Aufträge, Anweisungen und andere Dokumente);
• Durchführung anderer spezifischer Aktivitäten für bestimmte ISPD und Bereiche zur Gewährleistung der Sicherheit personenbezogener Daten.

Der Entwurf eines Datenschutzsystems ist einer der arbeitsintensivsten und kritischsten Schritte beim Aufbau eines Schutzsystems. Aus diesem Grund und mit großer Erfahrung in diesem Bereich führen die Spezialisten von Jet Infosystems Arbeiten unter Berücksichtigung der folgenden Faktoren durch:

• Kompatibilität der Schutzmittel mit Standardsoftware ISPDN;
• der Grad der Abnahme der Produktivität des Funktionierens von ISPDn für den Hauptzweck;
• Verfügbarkeit einer ausführlichen Dokumentation zum Betrieb von Schutzausrüstungen;
• die Möglichkeit, regelmäßige Tests oder Selbsttests von Mitteln zum Schutz personenbezogener Daten durchzuführen;
• die Möglichkeit, die Zusammensetzung der Schutzausrüstung mit neuen zusätzlichen Mitteln zu erhöhen, ohne Einschränkungen der Wirksamkeit des ISPD und "Konflikt" mit anderen Arten von Schutzausrüstungen vorzunehmen;
• Harmonisierung der Inmit den bereits im Informationssystem vorhandenen;
• Skalierung (Verteilung) angewandter Lösungen zum Schutz personenbezogener Daten auf andere Informationssysteme.

Nur durch die Berücksichtigung dieser Faktoren kann sichergestellt werden, dass das durch das Design entstandene PDIS alle Schutzanforderungen erfüllt und sich gleichzeitig nicht negativ auf den Betrieb des modernisierten (erstellten) ISPD und damit auf alle Geschäftsprozesse der Organisation.

Bewertung der ISPD-Konformität mit den Sicherheitsanforderungen für personenbezogene Daten

Die Bewertung der Konformität des ISPD gemäß den Sicherheitsanforderungen des PD erfolgt:

• für ISPDn 1 und 2 Klassen - obligatorische Zertifizierung (Attestierung) gemäß den Anforderungen der Informationssicherheit;
• für ISPD Klasse 3 - Konformitätserklärung oder obligatorische Zertifizierung (Bescheinigung) für Anforderungen an die Informationssicherheit (nach Entscheidung des Betreibers);
• für ISPDn 4 wird die Konformitätsbewertung der Klasse durch die Entscheidung des Betreibers durchgeführt.

Die Zertifizierung des ISPD des Kunden nach den Anforderungen der Informationssicherheit geht dem Beginn der Verarbeitung der schutzbedürftigen Informationen voraus und ist bedingt durch die Notwendigkeit, die Wirksamkeit des im ISPD eingesetzten Maßnahmenkomplexes und Datenschutzmaßnahmen behördlich zu bestätigen.

Die Attestierung eines Informationsobjekts wird als eine Reihe von organisatorischen und technischen Maßnahmen verstanden, durch die ein spezielles Dokument - "Certificate of Conformity" bestätigt, dass das ISPD des Kunden den Anforderungen von Normen und behördlichen und technischen Dokumenten zur PD-Sicherheit entspricht, die von . genehmigt wurden der FSTEC von Russland.

Die Bewertung der ISPDn-Konformität mit den Anforderungen an die Informationssicherheit umfasst die folgenden Arbeiten:

1. Entwicklung eines Pakets von Bescheinigungsdokumenten. Es wird ein Paket organisatorischer, administrativer und technischer Dokumentation für das zertifizierte ISPD gebildet, das Folgendes enthält:
   • Programm und Methodik der Zertifizierungstests;
   • Entwurf des Dokuments „Liste der im ISPDN verarbeiteten personenbezogenen Daten“;
   • Entwurf des Dokuments "Liste der zur PD-Verarbeitung zugelassenen Personen";
   • Entwurf des Dokuments "Liste der Personen, die in den Räumlichkeiten zugelassen sind, in denen sich die technischen Mittel des ISPDN befinden";
   • Entwurf des Dokuments "Gesetz zur Klassifizierung von ISPDN";
   • Entwurf des Dokuments "Gesetz zur Einführung von Informationssicherheitssystemen";
   • technischer Pass für ISPDn;
   • Entwürfe von Anordnungen zur Ernennung von Personen, die für die Gewährleistung der Sicherheit personenbezogener Daten verantwortlich sind;
   • Anweisungen zur Gewährleistung der Sicherheit personenbezogener Daten;
   • Beschreibung der Infoim ISPDN.
2. Durchführung von Qualifizierungstests. Das Niveau der Informationssicherheit, das während der Zertifizierungstests bewertet wird, wird durch die ISPD-Klasse bestimmt (gemäß der Klassifizierung gemäß den regulatorischen und methodischen Dokumenten des FSTEC of Russia). In diesem Fall werden folgende Arbeiten ausgeführt:
   • Durchführung von Zertifizierungstests von ISPDn;
   • Erstellung von Berichtsdokumenten.

Die Zertifizierungsprüfungen von ISPD werden von der Zertifizierungskommission durchgeführt, die von der vom FSTEC of Russia akkreditierten Zertifizierungsstelle gebildet wird. Zertifizierungsprüfungen werden nach Prüfprogramm und Prüfmethodik sowie nach der Verordnung über die Zertifizierung von Automatisierungsobjekten durchgeführt.

ISPD-Zertifizierungstests umfassen die folgenden Prüfungen:

• Überprüfung des Stands des technologischen Prozesses der automatisierten Verarbeitung personenbezogener Daten im ISPDN;
• Überprüfung der ISPD auf Einhaltung der organisatorischen und technischen Anforderungen zum Schutz von Informationen;
• Prüfungen der ISPD auf Einhaltung der Anforderungen zum Informationsschutz vor unbefugtem Zugriff.

Das Ergebnis der Arbeit an dieser Unterstufe ist:

• Zertifizierungsprüfbericht;
• Fazit zu den Ergebnissen der Zertifizierungsprüfungen;
• Konformitätsbescheinigung für ISPDn (ausgestellt bei positivem Abschluss);
• Gesetz über die Überführung von PDIS in den Industriebetrieb (bei positivem Abschluss aufgrund der Ergebnisse der Zertifizierungsprüfungen von PDIS).

Lizenzierung von Aktivitäten zum Schutz personenbezogener Daten

In Übereinstimmung mit den Bestimmungen des Bundesgesetzes vom 8. August 2001 Nr. 128 "Über die Lizenzierung bestimmter Arten von Aktivitäten" und den Anforderungen des Dekrets der Regierung der Russischen Föderation Nr. 504 vom 16. August 2006 "Über die Lizenzierung von Aktivitäten" zum technischen Schutz vertraulicher Informationen" ISPDN-Betreiber bei Veranstaltungen zur Gewährleistung der Sicherheit von PD (vertraulichen Informationen) während ihrer Verarbeitung in ISPD der Klassen 1, 2 und verteilten Informationssystemen der 3 Klassen müssen eine Lizenz zur Durchführung von Tätigkeiten für die technische Schutz vertraulicher Informationen in der vorgeschriebenen Weise.

Der technische Schutz vertraulicher Informationen wird als eine Reihe von Maßnahmen und (oder) Diensten verstanden, um diese vor unbefugtem Zugriff, auch über technische Kanäle, sowie vor besonderen Einflüssen zu schützen, um sie zu zerstören, zu verfälschen oder den Zugriff darauf zu sperren.
Die Genehmigung von Tätigkeiten zum technischen Schutz vertraulicher Informationen erfolgt durch den Föderalen Dienst für Technische und Ausfuhrkontrolle. Die Lizenz ist 5 Jahre gültig und kann nach Ablauf auf Antrag des Lizenznehmers verlängert werden.
Bedingungen für den Erwerb einer Lizenz

Lizenzvoraussetzungen und Bedingungen für die Durchführung von Aktivitäten zum technischen Schutz vertraulicher Informationen sind:

• Verfügbarkeit von Fachleuten, die für den technischen Schutz von Informationen qualifiziert sind (die Fachkurse der FSTEC absolviert haben);
• Verfügbarkeit von Räumlichkeiten für die Verarbeitung personenbezogener Daten, die den technischen Standards und Anforderungen für den technischen Schutz von Informationen entsprechen, die durch Rechtsakte der Russischen Föderation festgelegt wurden;
• Verfügbarkeit von Prüf-, Kontroll- und Messgeräten, die einer messtechnischen Überprüfung (Kalibrierung), Kennzeichnung und Zertifizierung gemäß den Rechtsvorschriften der Russischen Föderation unterzogen wurden;
• Verwendung von ISPDN sowie von PD-Schutzmitteln, die das Konformitätsbewertungsverfahren (zertifiziert und (oder) für Infozertifiziert) gemäß den Rechtsvorschriften der Russischen Föderation bestanden haben;
• die Verwendung von Programmen zur PD-Verarbeitung für elektronische Computer und Datenbanken;
• Verfügbarkeit von regulatorischen Rechtsakten, regulatorischen und methodischen und methodischen Dokumenten zum technischen Schutz von Informationen gemäß der von FSTEC erstellten Liste.

Verfahren zur Erlangung einer Lizenz

Um eine Lizenz für den technischen Schutz personenbezogener Daten zu erhalten, ist es notwendig, folgende Arbeiten durchzuführen:

1. Bereiten Sie eine Reihe von Dokumenten zur Einreichung beim FSTEC RF vor. Diese beinhalten:
   • Stellungnahme;
   • Kopien der Gründungsurkunden (notariell beglaubigt);
   • Kopien der Bescheinigung über die staatliche Registrierung des Lizenzbewerbers als juristische Person (notariell beglaubigt);
   • Eine Kopie der Lieferbescheinigung des Lizenzbewerbers zur Registrierung beim Finanzamt (notariell beglaubigt);
   • Erläuterungen;
   • Kopien von Dokumenten, die das Eigentumsrecht, das Recht der wirtschaftlichen Führung an den Räumlichkeiten bestätigen;
   • Eine Kopie der Konformitätsbescheinigung für die geschützten Räumlichkeiten;
   • Kopien von Dokumenten zu ISPD (Technischer Pass, ISPD-Klassifizierungsgesetz, OTSS- und VTSS-Platzierungsplan, Konformitätsbescheinigung zu ISPD, Liste der geschützten ISPD-Ressourcen), Beschreibung des technologischen Prozesses der Informationsverarbeitung bei ISPD;
   • Kopien von Dokumenten, die das Recht an verwendeten Computerprogrammen und Datenbanken bestätigen (Lizenzen);
   • Informationen über die Verfügbarkeit von Produktions- und Kontroll- und Messgeräten, Informationssicherheitsmittel, Sicherheitskontrollen mit Anhängen von Kopien von Dokumenten über die Überprüfung von Kontroll- und Messgeräten;
   • Informationen zu den verfügbaren Regulierungsrechtsakten, Regulierungs- und Methodendokumenten zum technischen Schutz von Informationen.
2. Bilden Sie in den Fachkursen des FSTEC mindestens zwei Fachkräfte aus, die Tätigkeiten zum Schutz personenbezogener Daten durchführen (Dienstleistungen zum Schutz personenbezogener Daten erbringen).
3. Vorbereitung und Durchführung der Zertifizierung von Prüfungen der geschützten Räumlichkeiten, die Folgendes umfasst: Inspektion, Entwicklung eines Pakets von organisatorischen und administrativen Dokumenten, Vorbereitung und Durchführung von Zertifizierungsaktivitäten.
4. Besorgen Sie regulatorische und methodische Dokumente: "Besondere Anforderungen und Empfehlungen für den technischen Schutz vertraulicher Informationen (STR-K)" und "Sammlung von temporären Methoden zur Bewertung des Schutzes vertraulicher Informationen vor Leckagen durch technische Kanäle".
5. Senden Sie Dokumente an FSTEC RF.

TE-Schutz bei manueller Verarbeitung

Der Schutz personenbezogener Daten bei nicht automatisierter Verarbeitung erfolgt gemäß dem Dekret der Regierung der Russischen Föderation vom 15. September 2008 N 687. „Über die Genehmigung der Verordnung über die Besonderheiten der Verarbeitung personenbezogener Daten ohne Verwendung von Automatisierungstools."
Personenbezogene Daten sind bei ihrer Verarbeitung, die ohne den Einsatz von Automatisierungswerkzeugen erfolgt, von anderen Informationen zu trennen, insbesondere durch Fixierung auf gesonderten materiellen Trägern personenbezogener Daten, in besonderen Abschnitten oder in Formularfeldern (Formularen).

Bei der Fixierung personenbezogener Daten auf materiellen Datenträgern ist es nicht gestattet, personenbezogene Daten auf einem materiellen Datenträger zu fixieren, deren Verarbeitungszwecke nicht miteinander vereinbar sind. Für die Verarbeitung verschiedener Kategorien personenbezogener Daten, die ohne den Einsatz von Automatisierungstools durchgeführt wird, muss für jede Kategorie personenbezogener Daten ein separater materieller Datenträger verwendet werden.

Personen, die personenbezogene Daten verarbeiten, sowohl Mitarbeiter der Betreiberorganisation als auch eine befugte Person (die eine solche Verarbeitung im Rahmen einer Vereinbarung mit dem Betreiber durchführt), müssen über die Verarbeitung personenbezogener Daten, die Kategorien der verarbeiteten personenbezogenen Daten sowie über die Verarbeitung personenbezogener Daten informiert werden zu den Merkmalen und Regeln einer solchen Verarbeitung ...

Bei der Entwicklung und Verwendung von Standarddokumenten, in denen sie PD enthalten soll, sind bestimmte inhaltliche Bedingungen zu beachten. Sie müssen beispielsweise Informationen über den Zweck der Verarbeitung, den Namen (Name) und die Anschrift des Betreibers, den Nachnamen, den Vornamen, das Patronym und die Adresse des Betreffs der personenbezogenen Daten, die Quelle der Beschaffung der personenbezogenen Daten, den Zeitpunkt der ihre Verarbeitung, eine Liste der Aktionen mit personenbezogenen Daten, die im Rahmen ihrer Verarbeitung durchgeführt werden, eine allgemeine Beschreibung der vom Betreiber verwendeten Methoden der personenbezogenen Datenverarbeitung, das Feld, in dem die Person der personenbezogenen Daten ihre Zustimmung eintragen kann die Verarbeitung personenbezogener Daten usw.

Bei der Führung von Zeitschriften (Registern, Büchern), die personenbezogene Daten enthalten, die für einen einzigen Pass der PD in dem Gebiet, in dem sich der Betreiber befindet, oder für andere ähnliche Zwecke erforderlich sind, müssen die folgenden Bedingungen erfüllt sein:

• das Bestehen eines Gesetzes über die Notwendigkeit, ein solches Protokoll zu führen, das die Ziele, die Methoden der Aufzeichnung und die Zusammensetzung der von den Personen mit personenbezogenen Daten angeforderten Informationen enthält, eine Liste der Personen (namentlich oder nach Funktion), die Zugang zu ihnen haben und verantwortlich für deren Aufrechterhaltung und Sicherheit, den Zeitpunkt der Verarbeitung personenbezogener Daten sowie Informationen über das Verfahren zur Einreise des PD-Betroffenen in das Gebiet, in dem sich der Betreiber befindet;
• Unzulässigkeit des Kopierens von Informationen, die in solchen Zeitschriften (Registern, Büchern) enthalten sind;
• die personenbezogenen Daten eines jeden Probanden können in ein solches Journal (Buch, Register) höchstens einmal bei der Aufnahme des Probanden in das Hoheitsgebiet eingetragen werden.

Für PDs mit unterschiedlichen Verarbeitungszwecken sollte eine separate Fixierung auf dem Materialträger vorgesehen werden. Wenn der materielle Datenträger eine getrennte Verarbeitung personenbezogener Daten von anderen auf demselben Datenträger gespeicherten personenbezogenen Daten nicht zulässt, sollten Maßnahmen ergriffen werden, um deren getrennte Verarbeitung sicherzustellen.

Für jede Kategorie von personenbezogenen Daten müssen die Orte der Speicherung personenbezogener Daten (Materialträger) festgelegt und eine Liste der Personen erstellt werden, die die personenbezogenen Daten verarbeiten oder auf diese zugreifen können.

Es ist eine gesonderte Speicherung personenbezogener Daten (materielle Träger) erforderlich, deren Verarbeitung zu verschiedenen Zwecken erfolgt. Bei der Lagerung materieller Medien sind Bedingungen zu beachten, die die Sicherheit personenbezogener Daten gewährleisten und unbefugten Zugriff darauf ausschließen. In diesem Fall wird die Liste der Maßnahmen, die zur Gewährleistung dieser Bedingungen erforderlich sind, das Verfahren zu ihrer Annahme sowie die Liste der Personen, die für die Umsetzung dieser Maßnahmen verantwortlich sind, vom Betreiber erstellt.

Schutz biometrischer PD

Aus Sicht der Bildung von Anforderungen an den Schutz personenbezogener Daten gibt es zwei Arten von biometrischen Daten. Der erste Typ sind biometrische Daten, die im ISPD verarbeitet werden. Die Anforderungen an ihren Schutz sind im Dekret der Regierung der Russischen Föderation vom 17. November 2007 Nr. 781 "Vorschriften zur Gewährleistung der Sicherheit personenbezogener Daten bei der Verarbeitung in Informationssystemen für personenbezogene Daten" definiert und unterscheiden sich nicht von den Anforderungen zum Schutz gewöhnlicher personenbezogener Daten, die in Informationssystemen verarbeitet werden.

Der zweite Typ sind biometrische Daten, die außerhalb von Informationssystemen für personenbezogene Daten verarbeitet werden. Anforderungen an den Schutz solcher personenbezogenen Daten sind in der Entschließung vom 6. Juli 2008 Nr. 512 "Über die Genehmigung von Anforderungen an materielle Träger biometrischer personenbezogener Daten und Technologien zur Speicherung dieser Daten außerhalb personenbezogener Dateninformationssysteme" formuliert.

Unter einem materiellen Medium wird in diesem Fall ein maschinenlesbarer Informationsträger (einschließlich magnetischer und elektronischer) verstanden, auf dem die Aufzeichnung und Speicherung von Informationen, die die physiologischen Eigenschaften einer Person charakterisieren, und auf deren Grundlage es möglich ist, seine Identität feststellen, durchgeführt werden.

Der materielle Träger einer solchen PD sollte Folgendes bereitstellen:

• Schutz vor unbefugter wiederholter und zusätzlicher Aufzeichnung von Informationen nach ihrer Entnahme aus dem Informationssystem für personenbezogene Daten;
• die Möglichkeit, auf auf einem materiellen Träger aufgezeichnete biometrische personenbezogene Daten zuzugreifen, die vom Betreiber und von Personen durchgeführt werden, die gemäß den Rechtsvorschriften der Russischen Föderation zur Arbeit mit biometrischen PD autorisiert sind;
• die Fähigkeit, das Informationssystem für personenbezogene Daten zu identifizieren, in dem die biometrische PD erfasst wurde, sowie den Betreiber, der eine solche Aufzeichnung erstellt hat;
• Unmöglichkeit des unbefugten Zugriffs auf biometrische personenbezogene Daten, die auf einem materiellen Datenträger enthalten sind.

Der Betreiber biometrischer Daten, die außerhalb des ISPD verwendet werden, ist verpflichtet:

• die Anzahl der Kopien von materiellen Medien im Auge behalten;
• Weisen Sie dem Materialträger eine eindeutige Identifikationsnummer zu, mit der Sie genau feststellen können, welcher Bediener die biometrischen Personendaten auf dem Materialträger erfasst hat.

Technologien zur Speicherung biometrischer personenbezogener Daten außerhalb der ISPD sollten den Zugang zu Informationen auf einem materiellen Datenträger, die Verwendung elektronischer digitaler Signaturen oder anderer Informationstechnologien ermöglichen, die es ermöglichen, die Integrität und Unveränderlichkeit der auf einem materiellen Datenträger aufgezeichneten biometrischen personenbezogenen Daten zu bewahren, da sowie die Überprüfung der schriftlichen Zustimmung des PD in Bezug auf die Verarbeitung seiner biometrischen personenbezogenen Daten.

Bei der Speicherung biometrischer personenbezogener Daten außerhalb des ISPD sollte die Erfassung der Tatsachen der unbefugten wiederholten und zusätzlichen Erfassung von Informationen nach ihrer Extraktion aus dem Informationssystem für personenbezogene Daten sichergestellt werden.

Schutz personenbezogener Daten bei grenzüberschreitender Übermittlung

Die Gesetzgebung legt besonderen Wert auf die Sicherheit personenbezogener Daten bei deren Übermittlung außerhalb der Russischen Föderation. Diese Übertragung wird als grenzüberschreitend bezeichnet.

Vor Beginn der grenzüberschreitenden Übermittlung personenbezogener Daten ist der PD-Betreiber verpflichtet, sicherzustellen, dass der ausländische Staat, in dessen Hoheitsgebiet die personenbezogenen Daten übermittelt werden, die Rechte der PD-Personen angemessen schützt. Das Ministerium für Telekommunikation und Massenkommunikation der Russischen Föderation (das Ministerium für Telekommunikation und Massenkommunikation) definierte in seinem Schreiben Nr. DS-P11-2502 vom 13.05.2009 "angemessenen Schutz" als einen Schutz, bei dem "das Schutzniveau" der Rechte der Betroffenen personenbezogener Daten ist nicht niedriger als in der Russischen Föderation."

Eines der Kriterien für die Beurteilung des Staates in dieser Hinsicht kann die Tatsache sein, dass er das "Übereinkommen über den Schutz der Rechte des Einzelnen bei der automatisierten Verarbeitung personenbezogener Daten" vom 28. Januar 1981, SEV Nr. 108, ratifiziert hat. Heute Zu den Ländern, die dieses Übereinkommen unterzeichnet und ratifiziert haben, gehören: Österreich, Andorra, Belgien, Bulgarien, Dänemark, Großbritannien, Ungarn, Deutschland, Griechenland, Israel, Irland, Island, Spanien, Italien, Lettland, Litauen, Liechtenstein, Luxemburg , Malta, Niederlande, Norwegen, Polen, Portugal, Rumänien, Serbien, Slowakei, Slowenien, Finnland, Frankreich, Kroatien, Montenegro, Tschechien, Schweiz, Schweden, Estland.

Die Besonderheiten des Schutzes personenbezogener Daten für verschiedene vertikale Märkte

Jet Infosystems berücksichtigt die Besonderheiten der Umsetzung des Gesetzes durch Organisationen aus verschiedenen Branchen. Leider verwenden viele Anbieter von Lösungen zum Schutz personenbezogener Daten einen einheitlichen Ansatz sowohl in Bezug auf Arbeitsschritte und -umfang als auch bei der Auswahl der Schutzmittel. Unsere Spezialisten versuchen, solche "Nivellierungen" zu vermeiden. Bei der Entwicklung von Lösungen für den Schutz personenbezogener Daten in Telekommunikationsunternehmen berücksichtigen die Spezialisten von Jet Infosystems beispielsweise die Besonderheiten der Arbeit mit Teilnehmerstämmen und Abrechnungssystemen von Telekommunikationsbetreibern. Bei Finanzinstituten schenken viele Unternehmen dem STO BR-Standard große Aufmerksamkeit, daher ist es bei der Durchführung von Arbeiten zum Schutz personenbezogener Daten wichtig, Lösungen auszuwählen, die gleichzeitig die Anforderungen der Gesetzgebung und des Standards abdecken können.

In welchen Fällen ist ein „angemessener Schutz“ personenbezogener Daten bei der grenzüberschreitenden Übermittlung nicht erforderlich? ..

Die grenzüberschreitende Übermittlung personenbezogener Daten in das Hoheitsgebiet ausländischer Staaten, die keinen angemessenen Schutz der Rechte von Personen, die personenbezogenen Daten unterliegen, bietet, kann in folgenden Fällen durchgeführt werden:

• die schriftliche Zustimmung des Subjekts der personenbezogenen Daten. Das heißt, der PD-Betroffene muss dem Betreiber zumindest schriftlich versichern, dass "er der Organisation, die seine personenbezogenen Daten verarbeitet, gestattet, diese bei der Übermittlung ins Ausland nicht zu schützen." Der Autor dieses Artikels steht dieser Möglichkeit skeptisch gegenüber;
• gemäß den internationalen Verträgen der Russischen Föderation über die Erteilung von Visa sowie den internationalen Verträgen der Russischen Föderation über die Gewährung von Rechtshilfe in Zivil-, Familien- und Strafsachen;
• durch Bundesgesetze vorgesehen, wenn dies zum Schutz der Grundlagen des Verfassungssystems der Russischen Föderation, zur Gewährleistung der Landesverteidigung und der Staatssicherheit erforderlich ist;
• Durchführung einer Vereinbarung, deren Vertragspartei der Gegenstand der personenbezogenen Daten ist;
• Schutz des Lebens, der Gesundheit, anderer lebenswichtiger Interessen des Betroffenen der personenbezogenen Daten oder anderer Personen, wenn eine schriftliche Einwilligung des Betroffenen der personenbezogenen Daten nicht eingeholt werden kann.

Jet Infosystems orientiert sich bei seinen Aktivitäten auch an der russischen Gesetzgebung. In den vorgestellten normativen Gesetzen, die die Anforderungen in diesem Bereich für die Organisation verschiedener Branchen festlegen.

Jet Infosystems verfügt über umfangreiche Erfahrung in der Umsetzung von Projekten in Kredit- und Finanzinstituten. Insbesondere der nächste Abschnitt des Artikels enthält ein Beispiel für eine der Lösungen, die in einer der großen russischen Banken implementiert wurden.

Tab. 2. Normative Rechtsakte, die Anforderungen an den Schutz personenbezogener Daten für verschiedene vertikale Märkte festlegen

Gewährleistung der Sicherheit personenbezogener Daten bei Kredit- und Finanzinstituten

Für personenbezogene Daten für den Abschnitt des automatisierten Banksystems, der mit der Pflege der Kredithistorie des Kunden verbunden ist, kann die Liste der verarbeiteten personenbezogenen Daten auf der Grundlage des Bundesgesetzes Nr. 218-FZ vom 30. Dezember 2004 "Über Kreditgeschichten" bestimmt werden. In Übereinstimmung mit diesem Gesetz ist es notwendig, die folgenden Informationen über den Kreditnehmer zu haben:

• Vollständiger Name;
• Geburtsdatum und-ort;
• Daten des Reisepasses oder eines anderen Ausweises (Nummer, Datum und Ort der Ausstellung, Name der ausstellenden Behörde);
• Versicherungsnummer eines individuellen Privatkontos;
• Meldeort und tatsächlicher Wohnsitz;
• Informationen über die staatliche Registrierung einer natürlichen Person als Einzelunternehmer.

Berücksichtigt man, dass die Anzahl der Kunden, denen die durchschnittliche statistische Bank Kredite vergibt, mindestens 80.000 Personen beträgt, lässt ein solcher Parametersatz den Schluss zu, dass die ABS zum ISPD der 2. Klasse gehören. Und da diese Daten nicht nur Vertraulichkeit, sondern auch Verfügbarkeit und Integrität gewährleisten müssen, stufen wir das ABS als spezielles ISPD der 2. Klasse ein. Je nach Art der Verarbeitung personenbezogener Daten gehört die betrachtete ISPD zum Multi-User und nach der Differenzierung der Zugriffsrechte zu einem System mit unterschiedlichen Zugriffsrechten auf PD. Dies erfordert bestimmte Sicherheitsmaßnahmen.

Im Subsystem Zugangskontrolle sollten folgende Aktivitäten ausgeführt werden:

• Identifizierung und Authentifizierung von Zugangsberechtigten beim Betreten des Systems mit einem bedingt dauerhaften Passwort von mindestens sechs alphanumerischen Zeichen;
• Firewalling - nicht niedriger als die dritte Sicherheitsstufe (wenn eine Verbindung zu öffentlichen Netzwerken in einem verteilten ISPDN besteht, muss die ME die Funktionen ausführen, wie bei ISPDN der Klasse 1 mit Mehrbenutzermodus und gleichen Benutzerzugriffsrechten);
• Identifizierung von Endgeräten, Computern, ISPDN-Netzknoten, Kommunikationskanälen, externen Computergeräten durch logische Namen;
• Identifizierung von Programmen, Datenträgern, Verzeichnissen, Dateien, Datensätzen, Datensatzfeldern durch Namen;
• Kontrolle des Zugangs von Subjekten zu geschützten Ressourcen gemäß der Zugangsmatrix.

Die folgenden Aktivitäten sollten im Registrierungs- und Abrechnungssubsystem durchgeführt werden:

• Registrierung des Eintritts (Exit) von Subjekten des Zugriffs auf das System (vom System) oder Registrierung des Ladens und Initialisierens des Betriebssystems und seiner korrekten Abschaltung;
• Abrechnung geschützter Medien in einer Zeitschrift (Kartei) mit Registrierung ihrer Ausgabe (Empfang);
• Registrierung der Ausgabe von gedruckten (grafischen) Dokumenten für eine "Hard"-Kopie;
• Registrierung des Starts (Beendigung) von Programmen und Prozessen (Aufgaben, Aufgaben), die für die Verarbeitung geschützter Dateien bestimmt sind;
• Registrierung von Zugriffsversuchen auf Softwaretools (Programme, Prozesse, Aufgaben, Aufgaben) auf geschützte Dateien;
• Registrierung von Softwarezugriffsversuchen auf folgende Zugriffsobjekte: Endgeräte, Computer, ISPDN-Netzknoten, Kommunikationsleitungen (Kanäle), externe Computergeräte, Programme, Datenträger, Verzeichnisse, Dateien, Datensätze, Datensatzfelder;
• Abrechnung aller geschützten Medien durch Markierung und Eintragung in ein Journal (Registrierungskarte);
• Bereinigen (Nullen, Depersonalisieren) freigegebener Bereiche von Computer-RAM und externen Laufwerken.

Im Teilsystem zur Integritätssicherung sollten folgende Aktivitäten durchgeführt werden:

• Sicherungskopien personenbezogener Daten auf entfremdete Medien;
• Gewährleistung der Integrität der Schutzmittel gegen Software und mathematische Einflüsse.

Im Subsystem Antivirenschutz sollten folgende Maßnahmen ergriffen werden:

• auf allen technischen Mitteln der ISPD sollte eine kontinuierliche automatische Überwachung des Informationsaustauschs in ISPD durchgeführt werden, die nach einem einzigen Szenario koordiniert wird, um Manifestationen von Programm- und mathematischen Einflüssen zu identifizieren.

Im Subsystem des Schutzes gegen Datenlecks in ISPD durch technische Kanäle für ISPD der 2. mit Hygienestandards für Videoanzeigeterminals von Personalcomputern (zum Beispiel , GOST 29216-91, GOST R 50948-96, GOST R 50949-96, GOST R 50923-96, SanPiN 2.2.2.542-96).

Kontrolle und Überwachung der Einhaltung der gesetzlichen Vorgaben

Gemäß Artikel 23 des Bundesgesetzes "Personenbezogene Daten", um die Kontrolle und Überwachung der Übereinstimmung der Verarbeitung personenbezogener Daten mit den Anforderungen des Bundesgesetzes zu gewährleisten, wird eine befugte Stelle zum Schutz der Rechte von Personen personenbezogener Daten ( im Folgenden als Regulierungsbehörde bezeichnet) wird bestellt. Diese Funktionen sind drei Organisationen zugeordnet:

• an den Föderalen Dienst für die Überwachung der Kommunikation, Informationstechnologie und Massenmedien (Roskomnadzor) in Bezug auf die Einhaltung der Regeln und Anforderungen für die Verarbeitung personenbezogener Daten;
• an den Föderalen Sicherheitsdienst der Russischen Föderation in Bezug auf die Einhaltung der Anforderungen an die Organisation und Gewährleistung des Funktionierens von Verschlüsselungsmitteln (kryptografischen Mitteln), wenn diese verwendet werden, um die Sicherheit personenbezogener Daten bei deren Verarbeitung im ISPDN zu gewährleisten;
• an den Föderalen Dienst für Technische und Ausfuhrkontrolle hinsichtlich der Kontrolle und Erfüllung der Anforderungen an die Organisation und technische Bereitstellung der PD-Sicherheit (ohne Verwendung kryptographischer Verfahren) bei deren Verarbeitung im ISPD.

Aufsichtsbehörden haben im Rahmen ihrer Befugnisse das Recht, geplante und außerplanmäßige Kontrollen durchzuführen.

Roskomnadzor führt planmäßige Kontrollen durch, um die in der Mitteilung der zuständigen Stelle für den Schutz personenbezogener Daten angegebenen Informationen zu kontrollieren, sowie außerplanmäßige Kontrollen auf Antrag von Einzelpersonen, um die in diesem Antrag angegebenen Informationen zu überprüfen.
Der FSB Russlands hat das Recht, planmäßige Inspektionen durchzuführen:

• Vorlage von Kopien von Konformitätsbescheinigungen zu Infofür automatisierte Systeme, die kryptografische Informationssicherheitssysteme (CIP) verwenden;

FSTEC RF ist berechtigt, planmäßige Inspektionen durchzuführen:

• Vorlage eines Berichts über lizenzierte Aktivitäten auf Anfrage;
• Vorlage von Kopien von Zertifikaten über die Einhaltung der Infofür automatisierte Systeme;
• Vorlage von Kopien von Konformitätsbescheinigungen an geschützte Räumlichkeiten gemäß den Sicherheitsanforderungen;
• Vor-Ort-Überprüfung der Umsetzung organisatorischer Maßnahmen in den Einrichtungen der konzessionierten Tätigkeiten.

Im Rahmen der ressortübergreifenden Zusammenarbeit zwischen Roskomnadzor, FSTEC Russlands und dem FSB der Russischen Föderation wurde eine Vereinbarung über gemeinsame Kontroll- und Aufsichtsmaßnahmen im Bereich personenbezogener Daten getroffen.

Roskomnadzor

Roskomnadzor berücksichtigt die Anfragen des PD-Subjekts bezüglich der Übereinstimmung des Inhalts der personenbezogenen Daten und der Methoden ihrer Verarbeitung mit den Zwecken ihrer Verarbeitung und trifft eine angemessene Entscheidung. Er hat das Recht:

• von natürlichen oder juristischen Personen die zur Ausübung ihrer Befugnisse erforderlichen Informationen anzufordern und diese Informationen kostenlos zu erhalten;
• die in der Mitteilung über die Verarbeitung personenbezogener Daten enthaltenen Angaben zu prüfen oder andere staatliche Stellen im Rahmen ihrer Befugnisse mit der Durchführung einer solchen Prüfung zu beauftragen;
• vom Betreiber verlangen, unrichtige oder unrechtmäßig erlangte personenbezogene Daten zu klären, zu sperren oder zu vernichten;
• Maßnahmen gemäß dem in den Rechtsvorschriften der Russischen Föderation festgelegten Verfahren ergreifen, um die Verarbeitung personenbezogener Daten, die unter Verstoß gegen die Anforderungen dieses Bundesgesetzes erfolgt, auszusetzen oder zu beenden;
• sich mit Klageanträgen an das Gericht zur Verteidigung der Rechte von Personen mit personenbezogenen Daten zu wenden und die Interessen von Personen mit personenbezogenen Daten vor Gericht zu vertreten;
• einen Antrag an die Stelle zu stellen, die die Tätigkeit des Betreibers genehmigt, um die Frage zu prüfen, ob Maßnahmen zur Aussetzung oder Aufhebung der entsprechenden Genehmigung gemäß den Rechtsvorschriften der Russischen Föderation ergriffen werden, wenn die Bedingung für die Ausübung dieser Tätigkeiten ein Verbot ist bei der Weitergabe personenbezogener Daten an Dritte ohne schriftliche Zustimmung des Gegenstands der personenbezogenen Daten;
• Materialien an die Staatsanwaltschaft und andere Strafverfolgungsbehörden senden, um die Frage der Einleitung von Strafverfahren aufgrund von Straftaten im Zusammenhang mit der Verletzung der Rechte von Personen in Bezug auf personenbezogene Daten in Übereinstimmung mit der Gerichtsbarkeit zu lösen;
• der Regierung der Russischen Föderation Vorschläge zur Verbesserung der gesetzlichen Regelung des Schutzes der Rechte von Personen personenbezogener Daten unterbreiten;
• die Personen, die sich der Verletzung dieses Bundesgesetzes schuldig gemacht haben, der Verwaltungsverantwortung zu stellen.

Roskomnadzor-Ergebnisse für 2008

Im Jahr 2008 führte Roskomnadzor 76 Kontroll- und Überwachungsmaßnahmen, darunter 36 geplante und 40 außerplanmäßige Maßnahmen, im Rahmen der Wahrnehmung der Funktionen der staatlichen Kontrolle und Überwachung der Übereinstimmung der Verarbeitung personenbezogener Daten mit den Anforderungen der Gesetzgebung der Russischen Föderation durch im Bereich der personenbezogenen Daten.

Basierend auf den Ergebnissen der Inspektionen wurden 19 Anordnungen zur Beseitigung der festgestellten Verstöße gegen das Bundesgesetz "Personenbezogene Daten" erlassen, 5 Materialien wurden an die Staatsanwaltschaft geschickt, 11 - an die Justizbehörden.

Die aufgedeckten Verstöße werden gemäß den folgenden Artikeln des Gesetzes über Ordnungswidrigkeiten der Russischen Föderation klassifiziert:

• Kunst. 13.11. - Verstoß gegen das gesetzlich vorgeschriebene Verfahren zur Erhebung, Speicherung, Nutzung oder Verbreitung von Informationen über Bürger (personenbezogene Daten);
• Kunst. 19.7. - Unterlassung oder nicht rechtzeitige Übermittlung von Informationen an die staatliche Stelle, deren Übermittlung gesetzlich vorgesehen und für die Ausübung ihrer rechtlichen Tätigkeit erforderlich ist, sowie Übermittlung solcher Informationen an die staatliche Stelle unvollständig Lautstärke oder in verzerrter Form.

Seit Beginn der Auferlegung der Behörde zum Schutz der Rechte von Personen auf personenbezogene Daten gegen Roskomnadzor sind 146 Beschwerden eingegangen: davon wurden den Antragstellern Antworten gegeben - 60, an die Strafverfolgungsbehörden gesendet - 5, Staatsanwälte - 24, an die Justiz - 22, zum Zeitpunkt der Veröffentlichung dieses Artikels - 35.

Infolge der Interaktion mit den Strafverfolgungsbehörden wurden die Aktivitäten der Internetressourcen www.nomer.org.ru und www.vslomaj.com, die den Zugriff auf personenbezogene Daten von Bürgern der Russischen Föderation ermöglichen, ausgesetzt.

Im Jahr 2008 wurden die ersten Gerichtsverfahren zu Ansprüchen im Bereich des Schutzes der Rechte von Personen personenbezogener Daten geführt. Von 22 Verwaltungsverfahren entschieden die Gerichte sieben zugunsten der Personen, in denen personenbezogene Daten betroffen sind, in sechs Fällen wurden Anträge abgewiesen, neun Verwaltungsverfahren waren zum Jahresende anhängig.

Am häufigsten befassen sich die Personen mit personenbezogenen Daten mit den Tatsachen von Verstößen gegen das Bundesgesetz vom 27. Juli 2006 Nr. 152-FZ "Über personenbezogene Daten":

• Kapitel 2 von Artikel 5 „Grundsätze der Verarbeitung personenbezogener Daten“;
• Artikel 6 „Bedingungen für die Verarbeitung personenbezogener Daten“;
• Artikel 9 "Einwilligung des Subjekts der personenbezogenen Daten in die Verarbeitung seiner personenbezogenen Daten."

Die in den Berufungen angeführten Tatsachen des Verstoßes gegen Bundesgesetze wurden in den meisten Fällen im Zuge der Abwägung bestätigt.

Eine Analyse der Kategorien von Betreibern, die personenbezogene Daten verarbeiten, deren Aktionen am häufigsten Anfragen von personenbezogenen Datensubjekten erhalten, legt nahe, dass die "Führungskräfte" sind:

• Kreditinstitute - 34;
• Wohnungs- und Kommunalorganisationen - 21;
• Telekommunikationsbetreiber - 10;
• Versicherungsgesellschaften - 9.

Zur Lösung der gestellten Aufgaben hat die Beauftragte Stelle zum Schutz der Rechte personenbezogener Daten am 28 konstituierende Einheiten der Russischen Föderation - die entsprechenden strukturellen Gliederungen in 78 Gebietskörperschaften.

Schlussfolgerungen

Der Staat hat die notwendigen Voraussetzungen geschaffen, um die Anforderungen an die Sicherheit personenbezogener Daten zu erfüllen. Es definiert die Konzepte der personenbezogenen Daten und der Betreiber, die diese Daten verarbeiten. Laut Gesetz sind PD-Betreiber praktisch alle Organisationen, die auf dem Territorium der Russischen Föderation tätig sind, da sie zumindest Informationen über ihre Mitarbeiter, Kunden und Partner sammeln, organisieren und speichern.

Der Staat hat den PD-Betreibern bestimmte Verantwortlichkeiten auferlegt. Die wichtigste davon ist die Gewährleistung der Sicherheit personenbezogener Daten. Dies bedeutet, dass der PD-Betreiber verpflichtet ist, alle erforderlichen Maßnahmen zu ergreifen, um die Vertraulichkeit (und in einigen Fällen Verfügbarkeit und Integrität) von Informationen über PD-Themen zu gewährleisten. Die vom Staat ermächtigten Behörden haben Anforderungen an die Einrichtung eines personenbezogenen Datenschutzsystems erarbeitet und in ordnungspolitischen und methodischen Dokumenten konkretisiert.

Die Praxis hat gezeigt, dass es für Organisationen recht schwierig ist, diese Anforderungen alleine umzusetzen. Zu ihrer Hilfe kommen spezialisierte Unternehmen, die im Markt der Informationssicherheit tätig sind. Mit ausreichenden und qualifizierten Ressourcen sind Integratorunternehmen in der Lage, gesetzliche Anforderungen in konkrete Lösungen umzusetzen.

Der Schutz personenbezogener Daten ist heute eine vorrangige Tätigkeit des Informationssicherheitszentrums von Jet Infosystems. Die Spezialisten unseres Unternehmens betrachten diese Aufgabe nicht nur als Erfüllung der Anforderungen der russischen und internationalen Gesetzgebung, sondern auch als Chance, ein vollwertiges Sicherheitssystem zu schaffen.

Mit umfangreichen Erfahrungen in der Durchführung von Projekten zur Gewährleistung der Informationssicherheit haben die Spezialisten von Jet Infosystems einen eigenen Ansatz zur Umsetzung der Aufgabe des Schutzes personenbezogener Daten entwickelt. Es basiert auf staatlichen Normen (GOST 34.201-89, GOST 34.601-90), Vorschriften und Dokumenten von Aufsichtsbehörden sowie auf der fachlichen Erfahrung unserer Spezialisten.

Gleichzeitig berücksichtigt unser Unternehmen die wichtigsten Prinzipien bei der Durchführung von Projekten zur Umsetzung der Anforderungen der russischen Gesetzgebung im Bereich des Schutzes personenbezogener Daten:

• Minimierung der Kosten für die Erstellung einer PDPD. Jet Infosystems sieht die Minimierung der Kosten der Kunden als eine der Hauptaufgaben in Projekten zur Anpassung von ISPD an den regulatorischen Rahmen. Dies wird vor allem möglich, indem die Prozesse der Verarbeitung und Speicherung personenbezogener Daten optimiert werden, bei denen redundante Verknüpfungen und unnötige Verfahren ausgeschlossen werden, eine unangemessen große Menge personenbezogener Daten unter Berücksichtigung der Möglichkeit ihrer Anonymisierung reduziert wird, personenbezogene Daten durch Symbole ersetzt werden oder Codes, Beseitigung redundanter ISPD und Einengung des Kreises der am Prozess der PD-Verarbeitung beteiligten Personen sowie Einführung alternativer Schutzmechanismen.
• Schutz personenbezogener Daten als wesentliches Element des gesamten Informationssicherheitssystems einer Organisation. Jet Infosystems konzentriert sich nicht nur auf die Erfüllung regulatorischer Anforderungen, sondern auch auf die Erhöhung der tatsächlichen Sicherheit personenbezogener Daten, indem nicht nur die Mittel zur Verarbeitung personenbezogener Daten, sondern auch die personenbezogenen Daten selbst geschützt werden. Die Rede ist hier von Informationen, die über die ISPD hinausgehen und in die Hände von Mitarbeitern fallen, die legalen Zugang zu personenbezogenen Daten haben. Laut Statistik entstehen mehr als 80 % der Lecks durch das Verschulden dieser Mitarbeiter (sowohl vorsätzlich als auch fahrlässig). Die Lösung für dieses Problem sehen die Spezialisten von Jet Infosystems darin, den richtigen Prozess für die Verarbeitung personenbezogener Daten durch alle daran beteiligten Mitarbeiter mit zusätzlichen Schutzmechanismen aufzubauen, was wiederum die Informationssicherheit des Unternehmens insgesamt erhöht.

Die Notwendigkeit, bei der Durchführung von Projekten branchenspezifische Besonderheiten zu berücksichtigen. Jet Infosystems berücksichtigt die Besonderheiten der Umsetzung des Gesetzes durch Organisationen aus verschiedenen Branchen. Gleichzeitig versuchen unsere Spezialisten, sowohl bei den Arbeitsschritten als auch bei der Auswahl der Schutzausrüstung einen Standardansatz zu vermeiden. Auf diese Weise können Sie Lösungen finden, die gleichzeitig die Anforderungen des Gesetzes und der Industriestandards abdecken, die Besonderheiten der Aktivitäten der Organisation und die Durchführung ihrer Geschäftsprozesse bei der Entwicklung von Lösungen zum Schutz personenbezogener Daten berücksichtigen.

Alle Organisationen in der Russischen Föderation müssen mit der einen oder anderen Menge personenbezogener Daten arbeiten, und oft haben Manager nicht einmal eine Vorstellung davon, wie viele Informationen über Mitarbeiter eines Unternehmens oder Unternehmens unter Verstoß gegen die geltende Gesetzgebung verarbeitet werden.

Zu beachten ist, dass hier Verstöße in den meisten Fällen nicht erlaubt sind, da der Wunsch besteht, das Gesetz irgendwie zu umgehen. Der Grund ist banaler - es ist elementare Unwissenheit. Ein ziemlich häufiges Beispiel für einen Verstoß in Russland kann angeführt werden - ein neuer Mitarbeiter reicht ein Dokumentenpaket gemäß einer bestimmten Liste ein. Arbeitgeber, die solche Dokumente akzeptieren, nehmen die Zustimmung des Eigentümers zur Verarbeitung seiner personenbezogenen Daten nicht entgegen, und dies stellt bereits einen Verstoß gegen die gesetzlichen Anforderungen dar, auch wenn dies unbeabsichtigt ist. Diese Art von Risiko kann jedoch mit etwas Wissen vermieden werden. Insbesondere müssen Sie wissen, dass personenbezogene Daten in Russland Folgendes umfassen:

• Vollständiger Name, Geburtsdatum;
• Vermögen und Familienstand;
• Angaben über die erhaltene Ausbildung;
• Angaben zum Arbeits- und Berufsort;
• Angaben zu den Familienangehörigen der Person.

Die Dokumente, die für die Beschäftigung vorgelegt werden müssen, enthalten eine beträchtliche Menge an personenbezogenen Daten. Die Liste dieser Dokumente findet sich in Artikel 65 des Arbeitsgesetzbuches, auf dessen Grundlage der Arbeitgeber das Recht hat, die dort verfügbaren personenbezogenen Daten ohne Zustimmung des Eigentümers zu verarbeiten. Diese Liste enthält jedoch keine Dokumente wie eine Bescheinigung über den Gesundheitszustand oder die Familienzusammensetzung.

Gleichzeitig erfordert die von vielen Unternehmen bei der Einstellung geforderte Bereitstellung der TIN durch den Mitarbeiter eine Einwilligung zur Verarbeitung der hierin enthaltenen Daten. Eine Reihe von Arbeitgebern fordern höchstwahrscheinlich aufgrund einer Gewohnheit aus der Vergangenheit, ein Foto eines Arbeitnehmers in eine persönliche T2-Karte einzufügen, und der Arbeitnehmer selbst wird nicht zu einer solchen Aktion aufgefordert. Nach einer recht verbreiteten Meinung gehört das Foto nicht zu personenbezogenen Daten. Dies ist eine ziemlich umstrittene Meinung, da das Gesetz besagt, dass personenbezogene Daten Informationen sind, die zur Identifizierung einer Person verwendet werden können, ohne ihren vollständigen Namen und ihr Geburtsdatum anzugeben. Es ist klar, dass es natürlich möglich ist, eine Person anhand eines Fotos zu identifizieren. In der Zwischenzeit nehmen Arbeitgeber, die einen Arbeitnehmer um sein Foto bitten, seine schriftliche Zustimmung zur Verarbeitung personenbezogener Daten nicht ein - dies ist der falsche Ansatz.

Der Arbeitgeber muss gemäß Artikel 86 Absatz 7 des Arbeitsgesetzbuchs Schutz vor Verlust oder Missbrauch der personenbezogenen Daten seiner Arbeitnehmer gewährleisten, und das Gesetz verpflichtet ihn dazu auf eigene Kosten. Darüber hinaus sieht das Gesetz auch die Einhaltung eines bestimmten Verfahrens für die Speicherung dieser Daten und deren Verwendung vor.

Um die gesetzlichen Anforderungen zu erfüllen, erlässt die Unternehmensleitung ein lokales Regulierungsgesetz. Dieses Dokument regelt alle Fragen im Zusammenhang mit der Speicherung personenbezogener Daten sowie deren Verwendung. Darüber hinaus schützt es auch Daten vor Verlust oder Missbrauch.

Ein solches lokales Regulierungsgesetz muss Folgendes enthalten:

• Beschreibung des Zugriffs auf Daten - sowohl extern als auch intern;
• eine Liste der Mitarbeiter, die über einen solchen Zugang verfügen;
• Verfahren zum Arbeiten mit Daten;
• Verantwortung für die Offenlegung von Informationen;
• Schutzvorschriften ein.

In der Regel wird die Bestimmung zum Schutz personenbezogener Daten zu einem solchen lokalen Rechtsakt. Die Struktur eines solchen Dokuments besteht aus mehreren Abschnitten, die angeben:

• der Zweck der Erstellung dieses Dokuments, allgemeine Punkte, Geltungsbereich;
• verwendete Definitionen;
• eine Liste der Daten und den Zweck ihrer Verarbeitung, dh welche Informationen von den Betreibern verwendet werden können;
• Bedingungen, die bei der Verarbeitung beachtet werden müssen;
• das Verfahren zur Übermittlung personenbezogener Daten sowohl innerhalb eines Unternehmens oder einer Gesellschaft als auch an staatliche Stellen und Dritte;
• Zugangsverfahren, sowohl intern als auch extern;
• Verantwortung bei Verstößen gegen geltende Vorschriften;
• Sicherheitsbedrohungen - ein Modell der Bedrohung und ihres Ausmaßes. Darüber hinaus werden Maßnahmen zum Schutz von Informationen angegeben;
• Bestimmungen über das Gesetz selbst - über sein Inkrafttreten, die Gültigkeitsdauer, das Verfahren zur Vornahme von Änderungen.

Schutz personenbezogener Daten von Mitarbeitern

Wie oben erwähnt, besteht die auf gesetzlicher Ebene festgelegte Verpflichtung des Arbeitgebers darin, alle erforderlichen Voraussetzungen zum Schutz der personenbezogenen Daten der Arbeitnehmer zu schaffen. Mit anderen Worten, es muss ein System geschaffen werden, das die Unzugänglichkeit solcher Informationen, ihre Vertraulichkeit sowie ihre Sicherheit und Integrität im Prozess des Unternehmens oder der Organisation gewährleisten kann.

Die Normen der russischen Gesetzgebung sehen einen äußeren und inneren Schutz vor. Insbesondere kann das Unternehmen zum internen Schutz die Zusammensetzung der Mitarbeiter bestimmen, deren funktionale Aufgaben den Zugriff auf die personenbezogenen Daten ihrer Kollegen erfordern. Gleichzeitig ist es notwendig, Dokumente mit solchen Informationen vernünftig und selektiv an Mitarbeiter zu verteilen, die berechtigt sind, mit personenbezogenen Daten zu arbeiten. Arbeitsplätze erfordern hier einen ernsthaften Ansatz – sie müssen so ausgestattet sein, dass ein ungehindertes Betreten und Einsehen durch Unbefugte vollständig ausgeschlossen ist.

Zum Schutz von außen kann die Unternehmensleitung beispielsweise eine Zutrittskontrolle für alle Besucher einführen. Eine weitere Möglichkeit besteht darin, die auf elektronischen Medien gespeicherten Informationen durch einen speziellen Schutz-Soft- und Hardware-Komplex zu schützen.

Beim Ergreifen einer Reihe von Maßnahmen zum Schutz personenbezogener Daten sollte zunächst von der Ebene einer echten Sicherheitsbedrohung ausgegangen werden. Je höher diese Stufe ist, desto mehr Maßnahmen müssen natürlich zum Schutz personenbezogener Daten ergriffen werden.

Es gibt 3 Arten von Bedrohungen, die eine echte Gefahr des illegalen Zugriffs auf personenbezogene Daten darstellen. Gleichzeitig bestimmt der Arbeitgeber selbstständig, welche dieser Arten für das Unternehmen oder die Organisation, die er leitet, charakteristisch ist. Um Sicherheit auf wirklich hohem Niveau zu gewährleisten, gibt es eine Reihe von Auflagen, die eingehalten werden müssen. Um das minimale 4. Schutzniveau zu gewährleisten, sind insbesondere folgende Maßnahmen zu treffen:

• die Räumlichkeiten mit dem darin befindlichen Informationssystem vor einem möglichen unbefugten Zutritt sichern;
• Bereitstellung einer sicheren Speicherung von Medien, auf denen Informationen gespeichert sind;
• Informationen mit den Mitteln schützen, die das Konformitätsbewertungsverfahren bestanden haben;
• über Mitarbeiter entscheiden, die aufgrund ihrer beruflichen Aufgaben Zugriff auf personenbezogene Daten haben.

Es ist auch erforderlich, über die technischen Mittel zum Schutz von Informationen zu entscheiden, die einen unbefugten Zugriff verhindern. Solche Tools sind beispielsweise kryptografische Tools, Firewalls und Antivirensoftware. Ein ganz wichtiger Punkt ist dabei zu beachten: Alle hier eingesetzten Tools müssen zunächst das Zertifizierungsverfahren durchlaufen. Auf der offiziellen Website von FSTEC können Sie sich mit der Liste der zertifizierten Mittel zum Schutz personenbezogener Daten vertraut machen. Aber das ist nicht alles. Nach der Auswahl eines Schutzwerkzeugs und dessen Installation müssen auch die richtigen Einstellungen vorgenommen werden, da sonst die Arbeit aufgrund von zu diesem Zeitpunkt vorgenommenen Ungenauigkeiten einfach blockiert werden kann.

Umgang mit personenbezogenen Daten in einem Lebenslauf

Ich möchte Sie auf einen weiteren, eher kuriosen Punkt aufmerksam machen – wir sprechen über die personenbezogenen Daten von Bewerbern für eine Stelle und über die Maßnahmen, die ein Arbeitgeber mit solchen Informationen ergreifen kann. Hier sei daran erinnert, dass laut Gesetz der Lebenslauf eines Arbeitssuchenden öffentlich zugängliche Informationen ist, daher darf eine schriftliche Zustimmung zu seiner Verarbeitung vom Eigentümer nicht eingeholt werden. Füllt ein Bewerber für eine bestimmte Stelle jedoch einen Fragebogen aus, der die Angabe personenbezogener Daten vorsieht, oder werden potenzielle Arbeitgeber aus den Unterlagen des Bewerbers wie Diplom, Reisepass usw wird schon benötigt.

Für Besucher unserer Seite gibt es ein spezielles Angebot - Sie können sich völlig kostenlos von einem professionellen Anwalt beraten lassen, indem Sie einfach Ihre Frage im untenstehenden Formular hinterlassen.

Der Umgang mit personenbezogenen Daten ist mit einer sehr hohen Verantwortung verbunden, daher ist es offensichtlich nicht zu unterschätzen, wie wichtig es ist, einen zuverlässigen Schutz zu schaffen, Einwilligungen einzuholen und die etablierten Regeln zu vernachlässigen. Es sollte auch daran erinnert werden, dass die Arbeitsaufsicht derzeit die Umsetzung der Normen des Arbeitsgesetzbuchs sehr streng überwacht und versucht, keinen der aktuellen Regulierungsbereiche zu verpassen. Daher kann nur ein Dokument – ​​eine schriftliche Zustimmung zur Verarbeitung personenbezogener Daten – den Arbeitgeber in Zukunft vor vielen Problemen schützen.

Sie stellt besondere Anforderungen an Informationssysteme, die personenbezogene Daten enthalten, und beinhaltet die Schaffung spezieller Mittel und Systeme zum Schutz von Informationen.

Das System zum Schutz personenbezogener Daten (PDS) ist eine Reihe von Maßnahmen und Maßnahmen organisatorischer und technischer Art, die darauf abzielen, dem unbefugten Zugriff auf Verschlusssachen unter Berücksichtigung der aktuellen Art von Sicherheitsbedrohungen entgegenzuwirken (Artikel 2 des Dekrets der Regierung der Russische Föderation vom 01.11.2012 N 1119).

Jede natürliche oder juristische Person, die unter die Definition des „PD-Betreibers“ fällt, ist verpflichtet, Bedingungen zu schaffen und Maßnahmen zu ergreifen, um PD vor unbeabsichtigten oder kriminellen Versuchen zu schützen.

SPSD sollte so aufgebaut sein, dass es effizient arbeitet, aber gleichzeitig die Kontinuität der internen Prozesse des Unternehmens oder der Organisation gewährleistet.

Welche Sicherheitsstufen gibt es?

Wichtig! Zur Überwachung der Einhaltung der Anforderungen an die Informationssicherheit kann der Betreiber unabhängig sein oder eine lizenzierte Organisation beauftragen, die auf die Erstellung und Implementierung von Datenschutzsystemen spezialisiert ist.

Welche Maßnahmen und Aktivitäten werden ergriffen?

PD-Schutzmaßnahmen sind eine Reihe von Maßnahmen zum zuverlässigen Schutz vertraulicher Informationen und die die Entität dem Betreiber der Organisation zur Verfügung stellt.

Organisatorische Maßnahmen umfassen:

1. Roskomnadzor-Alarmüber den Beginn der Verarbeitung personenbezogener Daten durch eine entsprechende Mitteilung an die Behörde.

Entwicklung eines Dokumentationspakets für den internen Gebrauch, die den Betrieb mit personenbezogenen Daten, deren Verarbeitung und Speicherung regelt, insbesondere die Bestellung eines Verantwortlichen für die Verarbeitung personenbezogener Daten, Stellenbeschreibungen etc. zum Schutz der persönlichen Identität von Mitarbeitern in Organisationen, teilen wir mit.

Einführung der Zugangskontrolle um auf das Objekt zuzugreifen, in dem Daten gespeichert und verarbeitet werden.

Unterzeichnung von Verträgen mit Dritten die an der Verarbeitung von Informationen beteiligt sind.

Erstellung einer Liste eines eingeschränkten Personenkreises die das Recht haben, mit PD zusammenzuarbeiten und für die Vertraulichkeit der Informationen verantwortlich sind.

Rationelle Anordnung der Arbeitsplätze in der Organisation die den unbefugten Zugriff auf personenbezogene Daten ausschließt.

2. Interne Kontrolle über die Einhaltung der Anforderungen für in Übereinstimmung mit dem Gesetz.

Technische Maßnahmen beinhalten den Einsatz von Software- und Hardware-Informationssicherheitstools und zielen auf:

• Schutz vor unbefugtem Zugriff- Implementierung eines Zugangskontrollsystems, Installation von Antivirenprogrammen, Firewalls, kryptografischen und Blockierungstools;
• Verhinderung des Durchsickerns von technischen Informationen- die Verwendung von geschirmten Kabeln, Hochfrequenzfiltern, Rauschsystemen usw.

Der Betreiber wählt die Schutzmittel und -methoden selbstständig unter Berücksichtigung der aktuellen Bedrohungen und der Besonderheiten der mit PD durchgeführten Operationen.

Schritt-für-Schritt-Anleitung zum Aufbau eines Datenschutzsystems

Die Prozesse der Verarbeitung und des Schutzes personenbezogener Daten müssen den Gesetzgebungsakten der Russischen Föderation, insbesondere den Bestimmungen des Bundesgesetzes Nr. 152-FZ "Über personenbezogene Daten", strikt entsprechen. Dies ist nur mit einem gut durchdachten System möglich. Die Erstellung eines Systems ist ein komplexer Prozess, der in Etappen abläuft:

1. Erteilung einer internen Bestellung, wonach die Prozesse zur Vorbereitung und Durchführung von Maßnahmen zum Schutz personenbezogener Daten und zum Aufbau eines Schutzsystems beginnen. Die Anordnung muss den für die Durchführung der entsprechenden Maßnahmen verantwortlichen Mitarbeiter angeben, lokale Dokumente einschließlich der Verordnung über den Schutz und die Verarbeitung von Daten und die Zusammensetzung der Sonderkommission auflisten.
2. Inspektion interner Systeme vertrauliche Informationen enthalten. In dieser Phase muss festgestellt werden, ob die Organisation ein PD-Betreiber ist. Wenn ja, zu welcher Kategorie gehören die verarbeiteten Daten? Es wird ein Bericht über diagnostische Maßnahmen erstellt, ein Gesetz über die Klassifizierung des Informationssystems, das Sicherheitsniveau und das Modell der Bedrohungen erstellt, denen personenbezogene Daten in der Einrichtung ausgesetzt sein können.
3. Sollte sich bei der Befragung herausstellen, dass die Organisation Betreiber der PD ist, Roskomnadzor wird über die Absicht, die PD zu verarbeiten, benachrichtigt(Artikel 22 des Gesetzes vom 27. Juli 2006 Nr. 152-FZ "Über personenbezogene Daten").
4. Entwicklung und Genehmigung von Einwilligungsdokumenten vorbehaltlich der PD-Verarbeitung und des Widerrufs der Einwilligung (Art. 9 des Gesetzes vom 27. Juli 2006 Nr. 152-FZ "Über personenbezogene Daten").
5. Implementierung eines Schutzsystems. In dieser Phase werden eine Reihe von Dokumenten erstellt, die das interne Verfahren zum Bearbeiten, Aufbewahren, Übertragen und Vernichten von PD regeln. Es wird eine Liste der zur Datenverarbeitung zugelassenen Personen und eine Liste der Informationen, mit denen Vorgänge durchgeführt werden, erstellt.

   Es ist notwendig, eine spezielle Verordnung über die Verarbeitung und den Schutz von personenbezogenen Daten in der Organisation zu entwickeln, Anweisungen für Benutzer und Administratoren zum Umgang mit Informationen, zur Sicherung und Wiederherstellung zu entwickeln.

6. Bestimmung des Inhalts technischer Sicherheitsvorkehrungen. Insbesondere müssen sie Informationen vor unbefugtem Zugriff schützen, Antiviren- und kryptografische Tools enthalten usw. (Beschluss des FSTEC Russlands vom 18.02.2013 Nr. 21).
7. Unterzeichnung der „Schlussfolgerung zur Konformität des Schutzsystems mit Daten“ in den Informationssystemen der Organisation verarbeitet.

Sie finden detaillierte Anleitungen zur Implementierung des PD-Schutzes in verschiedenen Organisationen.

Zur Abrechnung und Speicherung der Daten wird ein spezielles Journal gestartet. Bei der Abschreibung und Vernichtung von Papier und elektronischen Medien wird ein entsprechendes Gesetz erstellt. Informationen über Änderungen der technischen Ausstattung, der Organisationsstruktur, der Erweiterung von Bereichen oder der Verabschiedung neuer Schutzmaßnahmen sollten in die gesamte interne Dokumentation aufgenommen werden.

Technische Mittel zum Informationsschutz müssen zertifiziert und richtig konfiguriert sein. Die Liste der zertifizierten Produkte finden Sie auf der Website von FSTEC of Russia.

Die Mittel und das System des PD-Schutzes sind eine ganze Reihe von Maßnahmen, die nicht nur wichtig sind, um das System richtig zu entwickeln und umzusetzen, sondern auch, um das System auf dem neuesten Stand zu halten.

Wenn Sie einen Fehler finden, wählen Sie bitte einen Text aus und drücken Sie Strg + Eingabetaste.

Führt Ihr Unternehmen Personalakten und Personalbeschaffung mit Hilfe von Automatisierungstools (Informationssystemen)?
Übermittelt Ihr Unternehmen personenbezogene Daten von Mitarbeitern oder Kunden mit Hilfe von Automatisierungstools (Informationssystemen) an andere Organisationen?
Hat Ihr Unternehmen Kunden - Privatpersonen?

Jede Organisation, die sich mit der Verarbeitung und Speicherung personenbezogener Daten über ihre Mitarbeiter, Kunden usw. Die Verwendung von Automatisierungstools ist der Betreiber der personenbezogenen Daten.

WICHTIG! Artikel 22 des Bundesgesetzes "Über personenbezogene Daten" verpflichtet die Betreiber, vor Beginn der Verarbeitung personenbezogener Daten die für den Schutz der Rechte der personenbezogenen Daten autorisierte Stelle über ihre Absicht zur Durchführung einer solchen Verarbeitung zu informieren. Jene. Sie müssen Roskomnadzor eine Mitteilung über die Registrierung als PD-Betreiber und den Beginn der PD-Verarbeitung senden.

Die Gründe, aus denen der Arbeitgeber das Recht hat, personenbezogene Daten (abgekürzt als PD) zu verarbeiten, ohne Roskomnadzor zu benachrichtigen, sind in Teil 2 der Kunst aufgeführt. 22 des Bundesgesetzes vom 27.07.2006 Nr. 152-FZ "Über personenbezogene Daten".

Schutz personenbezogener Daten in der Organisation.

Personenbezogene Daten von Bürgern beziehen sich auf Informationen, die durch das Gesetz der Russischen Föderation besonders geschützt sind. Die Gesetzgebung der Russischen Föderation (Bundesgesetz vom 27.07.2006 Nr. 152-FZ "Über personenbezogene Daten") definiert streng die Anforderungen an den Schutz personenbezogener Daten, die Merkmale und Regeln für deren Verarbeitung ohne den Einsatz von Automatisierungswerkzeugen und in Informationssysteme für personenbezogene Daten.

Für die Erhebung, Verarbeitung, Speicherung und den Schutz personenbezogener Daten von Mitarbeitern, Kunden und anderen ist allein der Arbeitgeber verantwortlich. Daher sollte jedes Unternehmen ein Verfahren für den Umgang mit personenbezogenen Daten festlegen und Dokumente und Maßnahmen zur Organisation des Schutzes personenbezogener Daten entwickeln.

Dazu muss das Unternehmen gemäß den Rechtsvorschriften eine Verordnung entwickeln und genehmigen, die das Verfahren zur Verarbeitung und zum Schutz personenbezogener Daten festlegt.

WICHTIG! Artikel 19. ФЗ N 152-ФЗ. Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten während ihrer Verarbeitung.

Bei der Verarbeitung personenbezogener Daten ist der Betreiber verpflichtet, die erforderlichen rechtlichen, organisatorischen und technischen Maßnahmen zu treffen oder für deren Erlass zu sorgen, um die personenbezogenen Daten vor unbefugtem oder zufälligem Zugriff, Zerstörung, Veränderung, Sperrung, Vervielfältigung, Bereitstellung, Verbreitung personenbezogener Daten zu schützen, sowie aus anderen rechtswidrigen Handlungen in Bezug auf personenbezogene Daten.

Administrative Verantwortung für die Offenlegung personenbezogener Daten.

Ab dem 1. Juli 2017 erhöhen sich die Bußgelder wegen Verletzung des Bundesgesetzes "Über personenbezogene Daten" vom 27. Juli 2006 N 152-FZ im Bereich des Verfahrens zur Erhebung, Speicherung, Verwendung oder Verbreitung personenbezogener Daten.

Änderungen des Gesetzes über Ordnungswidrigkeiten der Russischen Föderation wurden durch das Bundesgesetz Nr. 13-FZ vom 07.02.2017 eingeführt. Auf Grundlage des Bundesgesetzes Nr. 13-ФЗ vom 07.02.2017 werden sieben Delikte und Bußgeldbeträge für Beamte und juristische Personen wegen Nichteinhaltung des Gesetzes über personenbezogene Daten eingeführt.

Organisation des Schutzes personenbezogener Daten in der Organisation.

Die allgemeine Liste der Dokumente, über die der Betreiber personenbezogener Daten verfügen muss, um die Anforderungen der Gesetzgebung im Bereich personenbezogener Daten zu erfüllen.

Das Verfahren zur Durchführung von Maßnahmen zum Schutz personenbezogener Daten in Informationssystemen.

Verordnung des Innenministeriums der Russischen Föderation vom 6. Juli 2012 N 678
"Nach Genehmigung der Anweisungen zur Organisation des Schutzes personenbezogener Daten in den Informationssystemen der Organe für innere Angelegenheiten der Russischen Föderation"

Klausel 2. Diese Anweisung legt das Verfahren für die Durchführung von Maßnahmen zum Schutz personenbezogener Daten fest, die in den Informationssystemen der Organe für innere Angelegenheiten der Russischen Föderation enthalten sind, legt Maßnahmen fest, um die Sicherheit personenbezogener Daten während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten zu gewährleisten, und legt auch die Aufgaben der Beamten fest.

Eine ungefähre Liste von Dokumenten zum Schutz personenbezogener Daten.

In naher Zukunft wird die Tabelle Vorlagen für Dokumente zum Schutz personenbezogener Daten enthalten.

Das Verfahren zur Registrierung des Zugriffs auf personenbezogene Daten der Person, die personenbezogene Daten verarbeitet.

Rechtsgrundlage: Arbeitsgesetzbuch der Russischen Föderation Art. 85-90, Bundesgesetz vom 27. Juli 2006 N 152-FZ "Über personenbezogene Daten", Verordnung über die Gewährleistung der Sicherheit personenbezogener Daten während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten, genehmigt von der Regierung der Russischen Föderation vom 01. November, 2012 Nr. 1119 "Zur Genehmigung von Anforderungen an den Schutz personenbezogener Daten bei ihrer Verarbeitung in personenbezogenen Dateninformationssystemen"
1. Registrierung einer Bestellung zur Bestellung eines Verantwortlichen für die Organisation der Verarbeitung personenbezogener Daten
Nach Art. 22.1 des Bundesgesetzes vom 27. Juli 2006 Nr. 152-FZ "Über personenbezogene Daten" ist der Arbeitgeber verpflichtet, einen Verantwortlichen für die Organisation der Verarbeitung personenbezogener Daten zu benennen. Dieser Auftrag hat keine einheitliche Form und wird in beliebiger Form erstellt.
2. Eintragung einer Zusatzvereinbarung zum Arbeitsvertrag, Änderungen der Stellenbeschreibung.
Es ist notwendig, den Arbeitsvertrag des mit der Organisation der Verarbeitung personenbezogener Daten beauftragten Mitarbeiters im Zusammenhang mit der Einführung neuer Verantwortlichkeiten zu ändern. Diese Änderungen werden in Form einer Zusatzvereinbarung in zweifacher Ausfertigung erstellt und von Arbeitgeber und Arbeitnehmer unterzeichnet.
Der Auftrag zur Benennung eines Verantwortlichen für die Organisation der Verarbeitung personenbezogener Daten und eine Zusatzvereinbarung sollen mit einem Termin erstellt werden
Wenn die Organisation zuvor einen Verantwortlichen für die Organisation der Verarbeitung personenbezogener Daten benannt hat, ist es erforderlich, eine Anordnung zu erteilen, um dem Mitarbeiter diese Pflichten zu entziehen.
3. Registrierung oder Änderung der Bestellung zur Erstellung einer Liste von Personen, die Zugang zu den personenbezogenen Daten der Mitarbeiter haben.
Personen, deren Zugang zu den im Informationssystem verarbeiteten personenbezogenen Daten für die Wahrnehmung von behördlichen (Arbeits-)Aufgaben erforderlich ist, werden auf der Grundlage einer vom Arbeitgeber genehmigten Liste in die betreffenden personenbezogenen Daten aufgenommen. Um eine Liste solcher Arbeitnehmer zu erstellen, muss eine Anordnung erlassen werden.
4. Anmeldung schriftlicher Verpflichtungen zur Geheimhaltung personenbezogener Daten.
Beschäftigte, die für die Dauer ihrer dienstlichen Tätigkeit Zugang zu personenbezogenen Daten von Mitarbeitern der Organisation erhalten haben, sind auf die Verpflichtung zur Geheimhaltung personenbezogener Daten gegen ihre Unterschrift hinzuweisen.

5. Kennenlernen des Mitarbeiters, der die Verarbeitung personenbezogener Daten durchführt, mit den Rechtsvorschriften der Russischen Föderation über personenbezogene Daten, LNA, Anweisungen oder Durchführung seiner Schulung.

Der direkt an der Verarbeitung personenbezogener Daten beteiligte Mitarbeiter des Betreibers ist zu informieren. mit den Bestimmungen der Gesetzgebung der Russischen Föderation über personenbezogene Daten, einschließlich Anforderungen an den Schutz personenbezogener Daten, Dokumente, die die Politik des Betreibers in Bezug auf die Verarbeitung personenbezogener Daten festlegen, lokale Gesetze zur Verarbeitung personenbezogener Daten und (oder) müssen geschult werden (§ 6 h. 1 Artikel 18_1).

Eine Reihe von Maßnahmen anderer Art, die durchgeführt werden, um einem möglichen unbefugten Zugriff auf personenbezogene Daten aktiv entgegenzuwirken, bestehend aus Managementmaßnahmen, effektiv arbeitenden Hardwareschutzmitteln, bildet die Grundlage für ein effizient arbeitendes System zum Schutz personenbezogener Daten (PDS).

Der Zweck der Einführung eines zuverlässig funktionierenden Maßnahmenpakets ist:

Genaue Einhaltung der Anforderungen der Aufsichtsbehörde zur Einhaltung der Bestimmungen des Bundesgesetzes "Über den Schutz personenbezogener Daten", der Bestimmungen der genehmigten Satzung, die ein angemessenes Sicherheitsniveau für die verwendeten personenbezogenen Daten gewährleisten;

Entwicklung von Anweisungen, die die Umsetzung bestimmter Regeln bei der Umwandlung der verwendeten PD vorschreiben und deren Schutz gewährleisten.

• Zu lösende Aufgaben
• Verwendete Ausrüstung
• Anwendungen

Die Entwicklung und Implementierung eines Systems zum Schutz personenbezogener Daten (PDS) ist eine Reihe von technischen und betrieblichen Maßnahmen, die auf einen umfassenden Schutz von Informationen abzielen, der durch das Bundesgesetz vom 27.07. 2006 N 152-FZ personenbezogene Daten.

Die Betreiber, d. h. Regierungsbehörden und Handelsunternehmen, die Maßnahmen zur Arbeit mit PD durchführen, sind an deren sicherer Verarbeitung interessiert und erkennen daher die Notwendigkeit, ein Sicherheitssystem zu implementieren.

Unter Berücksichtigung der Erfahrungen, die bei der Durchführung von Projekten zur Erstellung von SPSD gesammelt wurden, scheint es möglich, eine Reihe wichtiger Vorteile aus der Implementierung des Systems zu ermitteln:

An erster Stelle steht eine drastische Reduzierung sowohl der Rechts- als auch der Reputationsrisiken, die sich aus der Nichteinhaltung der geltenden Gesetze zum Schutz personenbezogener Daten ergeben.

Der zweite wichtige Punkt ist die Tatsache, dass Sie durch den wissenschaftlich fundierten Aufbau des Sicherheitssystems die personenbezogenen Daten von Mitarbeitern und Kunden ohne Angst um deren Sicherheit verarbeiten können. Dies kann im Umgang mit vertraulichen Informationen von Einzelpersonen und Informationen, die nur für den offiziellen (internen) Gebrauch bestimmt sind, zu einem starken Wettbewerbsvorteil werden. Ein gut aufgebautes SZPDn bewältigt problemlos die häufigsten Bedrohungen - es blockiert die Auswirkungen von Malware, verhindert den Diebstahl von Kundendatenbanken, der oft von entlassenen Mitarbeitern praktiziert wird.

Der dritte Faktor, der die Einführung eines wirksamen Systems zum Schutz personenbezogener Daten motiviert, ist die Schaffung des Unternehmensimages eines zuverlässigen Partners, der die Vertraulichkeit personenbezogener Daten gewährleistet.

Analysten weisen darauf hin, dass die häufigen Skandale im Zusammenhang mit dem Verlust vertraulicher Informationen die Menschen dazu zwingen, bei der Auswahl eines Kontrahenten auf das Sicherheitssystem zu achten. Bereits heute sind Partnerschaftsverträge oder Ausschreibungsbedingungen üblich, in denen eine dokumentierte Einhaltung der PDPD mit den aktuellen Regularien gefordert wird.

Es darf nicht vergessen werden, dass ein wirksames PDS die Kontinuität aller Geschäftsprozesse im Unternehmen selbst sicherstellt, Kundenbeschwerden, berechtigte Beschwerden von Mitarbeitern und einschneidende Weisungen der Aufsichtsbehörden ausschließt.

Arbeitsschritte zur Einhaltung von 152-FZ

1. Inventarisierung, vollständige Analyse des Zustands der Informationsstrukturen, die an der PD-Verarbeitung beteiligt sind.

Ein solches Vorprojekt-Audit gibt objektive Auskunft über die Prozesse der Verarbeitung personenbezogener Daten im Unternehmen und Maßnahmen zu deren Schutz. Die Spezialisten von Open Vision überprüfen obligatorisch alle Leistungsdokumentationen, die Ordnungsmäßigkeit der ergriffenen Maßnahmen, die entwickelt wurden, um die Anforderungen des Rechtsrahmens an die Sicherheit der bei der Arbeit verwendeten eingeschränkten Daten zu erfüllen.

2. Erstellung des Konzepts eines Sicherheitssystems zum Schutz personenbezogener Daten, das dem Kunden fundierte Empfehlungen zur Optimierung der Verarbeitung personenbezogener Daten unterbreitet und die Sicherheit vertraulicher Informationen gewährleistet.

In dieser Phase der Arbeit bewerten qualifizierte Spezialisten die möglichen Optionen für die Umsetzung des Projekts, legen die Ausgangspunkte für die Umsetzung fest und setzen bestimmte Einschränkungen des Umfangs des in die Praxis umzusetzenden Projekts. Die Hauptprobleme werden identifiziert, die Begründung für die vorgeschlagenen Lösungen wird erstellt. Die Kunden erhalten eine Liste der Software- und Hardwareelemente des zu entwickelnden Informationssicherheitskomplexes mit einer obligatorischen Angabe der Kosten für jeden Artikel.

3. Klärung des tatsächlichen PD-Sicherheitsniveaus

Im Rahmen der Arbeit wird die mögliche Art der Gefährdung geschützter personenbezogener Daten ermittelt, unter Bezugnahme auf ein bestimmtes Informationssystem, die voraussichtliche Zusammensetzung der personenbezogenen Daten, die mögliche Anzahl der Betroffenen festgelegt. Unter Berücksichtigung des gesamten erhaltenen Informationsvolumens wird der tatsächliche Zustand des Sicherheitssystems für personenbezogene Daten bestimmt.

4. Entwicklung eines Modells möglicher Bedrohungen des PD-Sicherheitssystems, Erstellung eines Angreifermodells

Das dem Kunden zur Verfügung gestellte Dokument ist eine systematisierte Liste möglicher Bedrohungen für die Sicherheit personenbezogener Daten bei der Arbeit mit diesen in personenbezogenen Dateninformationssystemen (ISPDN). Bedrohungen der Sicherheit personenbezogener Daten (UBPDn) können durch böswillige oder versehentliche Handlungen von Einzelpersonen, die Aktivitäten ausländischer Sonderdienste oder auf Spionage spezialisierter Organisationen, spezialisierte kriminelle Gruppen, die einen Hack für die Sicherheit personenbezogener Daten vorbereiten, der sich auf die Rechte und Freiheiten sowohl der Gesellschaft als auch des Staates oder der Bürger ...

5. Entwicklung der Leistungsbeschreibung für den Bau von SZPDn

Die private Leistungsbeschreibung für den Aufbau einer spezifischen Informationsstruktur der PDS definiert ihren Zweck, die verfolgten Ziele, die Anforderungen an die technische und organisatorische Unterstützung, einen Plan für die Entwicklung und direkte Erstellung der PDS.

6. Erstellung des SZPD-Projekts

Die in dieser Phase der Umsetzung der SPSD erstellte Projektdokumentation sieht eine Arbeit vor, die die Standards der Datensicherheit mit eingeschränktem Zugang berücksichtigt, die durch die Verordnungen vorgeschrieben sind.

7. Entwicklung der organisatorischen und administrativen Dokumentation

Eine Reihe von Dokumenten, die die Regeln für die Verarbeitung und den Schutz personenbezogener Daten vorschreiben, besteht aus Dutzenden von organisatorischen und administrativen Anweisungen, die erforderlich sind, um alle Prozesse für die Arbeit und Sicherheit personenbezogener Daten in Übereinstimmung mit den Standards der geltenden Gesetzgebung zu bringen.

8. Lieferung von Soft- und Hardware zur Informationssicherheit

Dem Kunden werden Software- und Hardwareelemente zur Implementierung des PDS geliefert, die getestet wurden und den Anforderungen der Gesetze der Russischen Föderation bezüglich Informationssicherheitsmaßnahmen entsprechen.

9. Installation, Konfiguration des Informationssicherheitssystems

In dieser Phase der Implementierung von SZPD wird die Ausrüstung installiert, die Software mit den entsprechenden Einstellungen installiert. Als Ergebnis der durchgeführten Arbeiten erhält der Kunde ein Set von Informationssicherheitstools, die mit der verwendeten Informationsstruktur für die Arbeit mit PD kompatibel sind.

10. Bewertung der Wirksamkeit von Maßnahmen zur Schaffung eines wirksamen Schutzes personenbezogener Daten

Die Feststellung der Wirksamkeit der entwickelten Sicherheitsmaßnahmen für eingeschränkte Daten erfolgt vor der Inbetriebnahme des SPSD. Eine Nachweisprüfung eines kommerziellen Systems ist alle 3 Jahre erforderlich.

11. Zertifizierung des verwendeten ISPD zur Einhaltung moderner Informationssicherheitsanforderungen

Die ISPD-Zertifizierung umfasst eine Reihe von organisatorischen und technischen Prüfungen (Zertifizierungstests), die darauf abzielen, die Einhaltung der Anforderungen an die Informationssicherheit zu bestätigen. Für Regierungsbehörden bereitgestellt.

Eines der sich schnell entwickelnden Segmente des heimischen IT-Marktes ist der Internethandel, der aufgrund der technischen Einfachheit der Umsetzung dieses Projekts die Transparenz der Geschäftsprozesse gewährleistet. E-Commerce gilt als effektiver und vielversprechender Geschäftstyp.

Die Themen der Informationssicherheit von Unternehmen im Internet verlieren nicht an Relevanz, im Gegenteil, die Zunahme von Hackerangriffen auf die größten Finanzinstitute, die riesige Summen in Sicherheitssysteme investieren, erfordert rechtzeitige Maßnahmen. So geht das, und das sogar mit akzeptablen Kosten.

Viele haben vor allem in der Anfangsphase nicht die Möglichkeit, durch Investitionen in Informationssicherheitssysteme erhebliche Summen aus dem Verkehr zu ziehen. Das Geschäft ist neu, mögliche „Stolperfallen“ sind nicht bekannt und die Besonderheiten des Geschäfts im Internet setzen ständige Veränderungen voraus.

In der Folge entsteht ein Sicherheitssystem, das aber „von Bekannten“ entwickelt oder an einen Freelancer, bestenfalls ein offiziell registriertes Webstudio, bestellt wird. Auch die Anschaffung einer vorgefertigten Lösung kann nicht als ernsthaftes Sicherheitsniveau angesehen werden, da es Probleme bei der Integration in die bereits vorhandene IT-Infrastruktur gibt.

Oder sollten Sie sich überlegen, ob solche Systeme wirklich das richtige Maß an Sicherheit bieten? Verfügt der Unternehmer selbst über die notwendigen Qualifikationen, um den Ausbildungsstand von „Internet-Shabashniks“ zu bestimmen? Können solche Arbeiten mögliche Risiken minimieren? Leider lautet die Antwort in den meisten Fällen nein.

Obwohl es keine besonders strengen Anforderungen des Verbrauchers an die Sicherheit der personenbezogenen Daten gibt, die er beim Kauf an den Online-Shop übermittelt, kann dies nicht als Hauptindikator für die Wahl der Methoden zur Organisation der Verarbeitung und Speicherung von Daten dienen solche vertraulichen Informationen. Der Käufer hat keinerlei Möglichkeit zu beurteilen, wie effektiv der Schutz seiner personenbezogenen Daten funktioniert. Ja, das stört vorerst nicht sonderlich, da attraktive Preise, eine schön gemachte Warenbeschreibung, bevorzugte Lieferung ans Ziel kommen.

Die meisten Käufer fragen sich nicht einmal, wohin sie ihre persönlichen Daten schicken. Entweder handelt es sich um einen Einzelunternehmer oder um einen Privatunternehmer, der sein eigenes Internetgeschäft entwickelt. Oder es ist die Web-Sparte eines großen Elektrofachhändlers. Natürlich ist die Einstellung zur Informationssicherheit in einem großen Handelsnetzwerk strenger als die eines Unternehmers, der manchmal selbstständig Waren an Kunden liefern muss.

Es ist bemerkenswert, dass das Vertrauen in den Internethandel trotz der ständig wachsenden Bedrohung durch den Diebstahl vertraulicher Informationen ständig wächst. Der Käufer gibt Informationen über sich selbst ein, füllt das Bestellformular aus, manchmal ohne sich Gedanken darüber zu machen, wie die Mitarbeiter des Ladens damit umgehen. Oder ist es für bestehende Geschäftsprozesse nicht so gefragt?

Die daraus resultierende Redundanz der angeforderten Daten fällt gerade unter die FZ-152, da eine Diskrepanz zwischen Art und Umfang der erhaltenen Informationen, den bestehenden Aufgaben der Verarbeitung dieser für die im Online-Shop bereitgestellten Geschäftsprozesse besteht.

Der technische Entwicklungsstand des modernen Internet-Handels lässt den Einsatz von CRM-Systemen voraus, wodurch es möglich ist, Daten über den Kunden für die spätere Interaktion mit ihm und den Vorschlag eines neuen Produkts zu speichern. Aber ist es für den Grad der After-Sales-Interaktion mit dem Käufer notwendig?

Personenbezogene Daten dürfen laut FZ-152 nur für den Zeitraum gespeichert werden, der für ihre Verarbeitung erforderlich ist. Nach einem Kauf oder einer Ablehnung sollten alle personenbezogenen Daten vernichtet werden, da deren Speicherung nicht den Besonderheiten der durchgeführten Geschäftsprozesse entspricht. Es besteht kein Zweifel, dass dies praktisch niemand tut.

FZ-152 enthält Bestimmungen, die die Existenz des Internethandels gefährden. Jede Kontrollstelle kann vom Inhaber eines Online-Shops verlangen, genau die schriftliche Erlaubnis eines Bürgers zu erteilen, seine personenbezogenen Daten bei der Arbeit zu verwenden. Niemand erteilt eine solche schriftliche Erlaubnis, das Maximum ist auf eine Markierung bei der Einarbeitung in die Regeln des Ladens beschränkt.

Da ein direkter Kontakt im Sinne des Handels über das Internet mit Ausnahme eines Treffens zwischen dem Käufer und dem Kurier zur Zustellung der Ware nicht zu erwarten ist, kann die Einhaltung der FZ-152 nur durch die Anonymisierung der personenbezogenen Daten des Verbrauchers sichergestellt werden, was einer Anpassung bedarf bestehende Geschäftsprozesse.

Zweifellos werden Unternehmensportale als bequemes Werkzeug anerkannt, das den Zugang zu verschiedenen Informationsdiensten eines Unternehmens vereinfacht. Bei einem ausgebauten Netz von Niederlassungen und Niederlassungen in großer Entfernung vom Hauptsitz, einer erheblichen Anzahl von Geschäftspartnern ist das optimale Kommunikationsmittel eine VPN-Verbindung mit ausreichender Sicherheit. Die Wahl einer solchen Hightech-Lösung ist jedoch recht teuer und nicht für jedes Unternehmen verfügbar. In Ermangelung kostenloser Mittel für eine sichere Verbindung ist ein Zugangspunkt aus dem Internet eine einfachere Möglichkeit zum Arbeiten.

Ein Merkmal des Unternehmensportals, auch unter Berücksichtigung des unterschiedlichen Infrastrukturniveaus, ist die Speicherung sowohl vertraulicher Informationen von Mitarbeitern, Kunden der Kanzlei und Geschäftspartnern der juristischen Person als auch die Platzierung von Finanzinformationen des Unternehmens selbst, deren Offenlegung zu Schäden führen kann. Bei der effektiven Organisation aller Prozesse zum Umgang mit personenbezogenen Daten sollte berücksichtigt werden, dass die Zwecke und Methoden der Datenverarbeitung für jede Untergruppe von Personen unterschiedlich sind. Es handelt sich um einen differenzierten Ansatz zur Transformation eingeschränkter Daten, der in das Konzept der Unternehmenssicherheit integriert werden sollte.

Zweifellos ermöglicht es die finanzielle Lage eines Unternehmens, das ein Unternehmensportal erstellt, erfahrene Programmierer für die Arbeit zu gewinnen oder eine fertige und mehrfach getestete Lösung zu erwerben. Es sollte jedoch nicht vergessen werden, dass die Codesicherheit nicht der einzige Parameter ist, der bei der Entwicklung eines effektiven Informationssicherheitssystems berücksichtigt werden muss. Im Großen und Ganzen sollte Informationssicherheit von der Unternehmensleitung als integraler Bestandteil des gesamten Sicherheitssystems anerkannt werden.

In den letzten Jahren ist die Zahl der Nutzer beliebter sozialer Netzwerke auf dem Runet in einem beispiellosen Tempo gewachsen und hat die 50-Millionen-Marke überschritten. Die enorme Menge an personenbezogenen Daten, die in sozialen Netzwerken gesammelt werden, erfordert eine angemessene Kontrolle, die von den Normen der FZ-152 vorgeschlagen wird.

Trotz des ersten Eindrucks, dass die in sozialen Netzwerken verfügbaren Informationen als „öffentlich verfügbar“ bezeichnet werden können, werden die von Jahr zu Jahr wachsenden Datenmengen gesetzlich als „vertrauliche personenbezogene Daten“ eingestuft.

Die Tatsachen des Diebstahls aus sozialen Netzwerken von Konten sind im Ausland und in Russland keine Seltenheit. Hunderttausende Konten sind Cyberkriminellen ausgesetzt. Die Zahl der Hackerangriffe auf soziale Netzwerke nimmt nicht ab, Experten stellen die ständige Aufmerksamkeit der Cyberkriminalität auf diesen Teil des Internets fest.

Sozial orientierte betrügerische Schemata haben ein großes Potenzial, indem sie Pharming-Angriffe, Spam-Versand und Phishing für ihre eigenen Zwecke nutzen. All diese Tools der modernen Cyberkriminalität können zum Diebstahl vertraulicher Daten führen, der durch die Leichtgläubigkeit und Unerfahrenheit der Menschen begünstigt wird. Administratoren sozialer Netzwerke müssen eine ständige Überwachung durchführen, Vorfälle identifizieren und deren Folgen beseitigen.

Der Internet-Banking-Service wird im russischen Bankensektor immer beliebter, mehrere Dutzend Finanzinstitute bieten diesen Service vollständig an. Dies ist sowohl auf das Fehlen einer einzigen Integrationsplattform als auch auf den unzureichenden Automatisierungsgrad vieler Institutionen zurückzuführen.

Wie übliche Webanwendungen basieren Internetbanking-Dienste und elektronische Zahlungssysteme auf einer gemeinsamen Client-Server-Architektur. Es wird anerkannt, dass das „schwache Glied“ einer solchen Interaktion gerade der Benutzer und die Geräte sind, mit denen er seinen eigenen Account verwaltet.

Leider ist der Verbraucher nicht in der Lage, alle Risiken, die bei der Führung eines Bankkontos aus der Ferne zwangsläufig entstehen, objektiv einzuschätzen. Ganz zu schweigen von geeigneten Sicherheitsmaßnahmen. Daher sollten Banken das Wissen der Kunden zu diesen Themen füllen.

Bemerkenswert ist, dass Internet-Banking von Cyberkriminellen oft nicht mit dem Ziel verfolgt wird, Gelder zu stehlen, da Finanzinstitute maximale Sicherheit für Transaktionen bieten, sondern um Zugang zu den persönlichen Daten des Kunden zu erhalten. Dadurch werden betrügerische Machenschaften mit Bankkarten und andere Methoden des Finanzdiebstahls möglich. Viele Experten glauben, dass auf dem Schwarzmarkt die einfache Erfassung von Kundenkonten eigene Kosten verursacht.

Statistiken zeigen deutlich, dass die Einrichtung und der Betrieb des Internet-Banking-Dienstes in vielen Strukturen nicht den Branchennormen und -regeln entspricht. In den meisten Fällen war jedes Finanzinstitut unabhängig an der Entwicklung beteiligt, und die bestehenden Standards hatten nur beratenden Charakter.

Der Beginn von FZ-152 hat für viele Banken erhebliche Probleme geschaffen, da die Kontrolle der Aufsichtsbehörde über die Sicherheit personenbezogener Daten verschärft wird, was eine Verbesserung der bestehenden Sicherheitssysteme erfordert. So sehr sich der Bankenverband auch bemühte, den Start der FZ-152 zu verschieben, es wurde notwendig, ihre Bestimmungen einzuhalten.