چرا به سیستم حفاظت از داده های شخصی (PDS) نیاز داریم؟ سیستم حفاظت از اطلاعات شخصی چیست؟ اقدامات امنیتی و دستورالعمل برای توسعه یک توافق نامه حفاظت از داده ها اقدامات سازمانی برای حفاظت از داده های شخصی

حاشیه نویسی: این سخنرانی به شما امکان می دهد شرایط اساسی و قوانین اساسی فدراسیون روسیه را در زمینه حفاظت از داده های شخصی مطالعه کنید.

تنظیم کنندهنهادهای دولتی هستند که مجاز به انجام اقدامات کنترلی و نظارتی در رابطه با رعایت الزامات قانون فدرال هستند. قانون فدرال "در مورد داده های شخصی" سه تنظیم کننده را ایجاد می کند:

• Roskomnadzor (حفاظت از حقوق اشخاص داده های شخصی)
• FSB (الزامات در زمینه رمزنگاری)
• FSTEC روسیه (الزامات محافظت از اطلاعات در برابر دسترسی غیرمجاز و نشت از طریق کانال های فنی).

از آنجایی که قانون فدرال "در مورد داده های شخصی" تنها مبنای حمایت قانونی برای حفاظت از داده های شخصی است، الزامات آن متعاقباً در قوانین دولت فدراسیون روسیه و وزارت ارتباطات و اسناد نظارتی و روش شناختی تنظیم کنندگان مشخص شد. .

2.2. دسته بندی داده های شخصی

قانون فدرال "در مورد داده های شخصی" دسته های زیر را از داده های شخصی مشخص می کند.

PD عمومی -داده هایی که دسترسی به آنها برای تعداد نامحدودی از افراد با رضایت موضوع PD ارائه می شود یا مطابق با قوانین فدرال، الزامات محرمانگی برای آنها اعمال نمی شود. منابع عمومی داده های شخصی برای اهداف پشتیبانی اطلاعات ایجاد می شوند (به عنوان مثال، دایرکتوری ها و دفترچه های آدرس). منابع عمومی داده های شخصی، با رضایت کتبی موضوع داده های شخصی، ممکن است شامل نام خانوادگی، نام، نام خانوادگی، سال و محل تولد، آدرس، شماره مشترک، اطلاعات مربوط به حرفه و موارد دیگر باشد. اطلاعات شخصیارائه شده توسط موضوع داده های شخصی.

توجه به این نکته ضروری است که اطلاعات مربوط به موضوع داده های شخصی را می توان در هر زمان از منابع در دسترس عموم به درخواست شخص یا تصمیم دادگاه یا نهادهای دولتی مجاز حذف کرد.

دسته های ویژه PD - اطلاعات شخصیمربوط به نژاد، ملیت، دیدگاه های سیاسی، اعتقادات مذهبی یا فلسفی، سلامتی، زندگی صمیمی. پردازش آنها فقط در موارد زیر مجاز است:

• موضوع داده های شخصی به صورت کتبی با پردازش داده های شخصی خود موافقت کرده است.
• داده های شخصی در دسترس عموم است؛
• داده های شخصی مربوط به وضعیت سلامتی موضوع داده های شخصی است و کسب رضایت او غیرممکن است، یا پردازش داده های شخصی توسط شخصی که به طور حرفه ای در فعالیت های پزشکی مشغول است و مطابق با قوانین فدراسیون روسیه موظف است انجام شود. حفظ رازداری پزشکی؛
• پردازش داده های شخصی اعضای (شرکت کنندگان) یک انجمن عمومی یا سازمان مذهبی، مشروط بر اینکه داده های شخصی بدون رضایت کتبی افراد اطلاعات شخصی منتشر نمی شود.
• پردازش داده های شخصی مطابق با قوانین فدراسیون روسیه در مورد امنیت، فعالیت های تحقیقاتی عملیاتی و همچنین مطابق با قوانین اجرایی کیفری فدراسیون روسیه انجام می شود یا در ارتباط با اجرای عدالت ضروری است.

دستور مشترک FSTEC، FSB و وزارت فناوری اطلاعات و ارتباطات فدراسیون روسیه مورخ 13 فوریه 2008 N 55/86/20 "در مورد تصویب رویه طبقه بندی سیستم های اطلاعات داده های شخصی" موارد زیر را تعریف می کند. دسته بندی داده های شخصی، که در ISPD پردازش می شوند:

تعریف داده های بیومتریک در قوانین روسیه به اپراتور داده های شخصی این امکان را می دهد که تصمیم مستقلی در مورد طبقه بندی داده های خاص به عنوان بیومتریک بگیرد. این موضوع باعث بحث و جدل های زیادی شد. بیایید به یک مثال با یک عکس نگاه کنیم. از یک طرف، ویژگی های فیزیولوژیکی یک فرد را مشخص می کند. اما یک فرد می تواند در طول زمان تغییرات زیادی کند، یا یک مهاجم می تواند نشانه های خارجی یک موضوع قانونی را جعل کند. آیا شناسایی در این مورد اینقدر واضح است؟ رگولاتورها اکنون تایید می کنند که تصاویر عکاسی و ویدئویی به عنوان داده های بیومتریک طبقه بندی می شوند.

2.3. حقوق موضوع داده های شخصی

موضوع داده های شخصی فردی است که می تواند به طور منحصر به فرد بر اساس داده های شخصی شناسایی شود، یعنی در واقع فردی است که داده هایش باید محافظت شود. بیایید حقوق اساسی موضوع داده های شخصی را که توسط قانون فدرال شماره 152 تعیین شده است در نظر بگیریم.

1. حق موضوع داده های شخصی برای دسترسی به داده های شخصی خود. این مستلزم حق موضوع برای دریافت اطلاعات در مورد اپراتور داده های شخصی و آنچه PD مربوط به این موضوع پردازش می کند و همچنین دسترسی مستقیم به این PD است. موضوع حق دارد از اپراتور شفاف سازی PD، مسدود کردن یا تخریب آن را در صورت قدیمی بودن، ناقص بودن یا غیر ضروری بودن آن برای هدف ذکر شده از پردازش مطالبه کند. دسترسی به داده های شخصی شما در هنگام تماس یا بر اساس یک درخواست برای موضوع (یا نماینده او) فراهم می شود. اطلاعات دریافت شده ممکن است حاوی اطلاعات زیر باشد:
   • هدف از پردازش PD
   • روش های پردازش PD
   • بازه های زمانی پردازش PD
   • لیست افراد پذیرفته شده در پردازش PD
   • لیست PD پردازش شده و منبع دریافت آن
   • اطلاعات در مورد عواقب قانونی احتمالی پردازش PD برای موضوع PD.

   قانون مواردی را تعریف می‌کند که این حق موضوع داده‌های شخصی محدود می‌شود، مثلاً در مورد امنیت کشور، نقض حقوق اساسی و آزادی‌های افراد دیگر یا فعالیت‌های تحقیقاتی عملیاتی.

2. حقوق افراد PD هنگام پردازش داده های شخصی آنها به منظور تبلیغ کالاها، آثار، خدمات در بازار و همچنین برای اهداف تبلیغات سیاسی. در این مورد، پردازش فقط با رضایت قبلی موضوع انجام می شود. توجه به این نکته مهم است که پردازش بدون رضایت شخص انجام شده است، مگر اینکه اپراتور خلاف آن را ثابت کند. اپراتور موظف است بلافاصله پردازش PD را بنا به درخواست موضوع متوقف کند.
3. حقوق سوژه های داده های شخصی هنگام تصمیم گیری صرفاً بر اساس پردازش خودکار داده های شخصی آنها. این قانون تصمیم گیری در مورد موضوع داده های شخصی را صرفاً بر اساس پردازش خودکار ممنوع می کند، مگر اینکه رضایت وی به صورت کتبی یا در مواردی که توسط قوانین فدرال پیش بینی شده است به دست آید.
4. حق اعتراض علیه اقدامات یا عدم اقدامات اپراتور. اگر موضوع PD معتقد است که اپراتور PD خود را به طور نادرست پردازش می کند، یعنی حقوق خود را نقض می کند، می تواند برای حمایت از حقوق افراد سوژه داده های شخصی یا در دادگاه با نهاد مجاز تماس بگیرد.

لازم به ذکر است که موضوع داده های شخصی حق جبران ضرر و زیان و جبران خسارت مادی در دادگاه را دارد.

2.4. مسئولیت های اپراتور داده های شخصی

قبلاً به مفهوم نگاه کردیم اپراتور داده های شخصیو اقداماتی که هستند پردازش داده های شخصی. بر اساس تعریف، می توان نتیجه گرفت که همه سازمان ها، بدون استثنا، اپراتورهای PD هستند، زیرا آنها اطلاعات مربوط به کارکنان خود را در چارچوب قانون کار فدراسیون روسیه جمع آوری، جمع آوری و پردازش می کنند. علاوه بر این، بسیاری از سازمان ها اطلاعاتی در مورد مشتریان، پیمانکاران، تامین کنندگان و شرکای خود به عنوان بخشی از کسب و کار اصلی خود جمع آوری می کنند. مسئولیت اصلی اپراتور PD اطلاع رسانی Roskomnadzor در مورد پردازش PD و در واقع محافظت از PD است.

قانون مواردی را پیش بینی می کند که اپراتور موظف به اطلاع Roskomnadzor در مورد پردازش داده های شخصی نیست:

1. اگر او از طریق روابط کار با موضوع مرتبط باشد.
2. اگر توافقی بین اپراتور و موضوع وجود داشته باشد و داده ها برای انجام تعهدات تحت آن لازم باشد.
3. در صورتی که داده ها مربوط به اعضای انجمن های مذهبی و سازمان های عمومی باشد و طبق اسناد تشکیل دهنده و قانون پردازش شود.
4. اگر داده ها در دسترس عموم باشد؛
5. اگر آنها فقط شامل نام کامل باشند؛
6. داده ها برای یک بار عبور به قلمرو اپراتور یا اهداف مشابه لازم است.
7. اگر داده ها در سیستم های اطلاعات خودکار فدرال و سیستم های اطلاعات شخصی اطلاعات ایالتی گنجانده شده باشند.
8. اگر داده ها بدون استفاده از ابزارهای اتوماسیون مطابق با قوانین فدراسیون روسیه پردازش شوند.

مهم است که توجه داشته باشید که تعهد اپراتور به عدم انتقال اطلاعات شخصیبه اشخاص ثالث

در عین حال، بسیاری از سازمان ها این اشتباه را مرتکب می شوند که اگر موظف به اطلاع رسانی به مرجع مجاز در مورد پردازش PD نباشند، ممکن است به تعهدات تحمیل شده توسط قانون برای اپراتورهای PD عمل نکنند. چنین اقداماتی غیرقانونی است، به وضوح به عنوان عدم رعایت الزامات قانونی تفسیر می شود و با اقدامات مقرر در قانون مجازات می شود.

بیایید مسئولیت های اصلی اپراتور داده های شخصی را که توسط قانون فدرال شماره 152 ارائه شده است در نظر بگیریم:

1. تضمین امنیت پردازش داده‌های شخصی، که به معنای تعهد به «انجام اقدامات سازمانی و فنی لازم برای حفاظت از داده های شخصیاز دسترسی غیرمجاز یا تصادفی به آنها، تخریب، اصلاح، مسدود کردن، کپی کردن، توزیع داده های شخصی و همچنین سایر اقدامات غیرقانونی."
2. ماهیت اطلاع رسانی از پردازش داده های شخصی. مطابق ماده 2 قانون فدرال شماره 152، اپراتور موظف است قبل از شروع پردازش داده های شخصی، قصد خود را برای پردازش داده های شخصی به سازمان مجاز برای محافظت از حقوق افراد سوژه داده های شخصی (Roskomnadzor) اطلاع دهد. Roskomnadzor اطلاعات مربوط به اپراتور را در ثبت اپراتورها وارد می کند. اطلاعات موجود در ثبت نام، به استثنای اطلاعات مربوط به ابزارهای تضمین امنیت داده های شخصی در طول پردازش آنها، در دسترس عموم است.
3. هنگام دریافت داده های شخصی (از جمله از اشخاص ثالث)، اپراتور PD، قبل از شروع پردازش، موظف است از موضوع این PD برای پردازش آنها مجوز کتبی دریافت کند (به استثنای مواردی که داده های شخصی بر اساس آن در اختیار اپراتور قرار گرفته است. قانون فدرال یا اگر آنها در دسترس عموم باشند). ذکر این نکته ضروری است که موضوع حق ابطال این مجوز را دارد.
4. اپراتور موظف است در صورت درخواست، تمام اطلاعات موجود در مورد او، اهداف و شرایط پردازش و روش های حفاظت از داده های شخصی را به موضوع PD ارائه دهد.

   اپراتور همچنین باید داده های شخصی مربوطه را از بین ببرد یا مسدود کند، تغییرات لازم را در آنها ایجاد کند، با ارائه اطلاعات توسط موضوع PD یا نماینده قانونی او که تأیید می کند داده های شخصی مربوط به موضوع مربوطه و پردازش آنها توسط آن انجام می شود. اپراتور ناقص، قدیمی، غیرقابل اعتماد، غیرقانونی دریافت شده است یا برای هدف ذکر شده از پردازش ضروری نیست.

   علاوه بر این، اپراتور PD موظف است مدارکی مبنی بر کسب رضایت PD موضوع پردازش داده های شخصی وی ارائه دهد و در مورد پردازش داده های شخصی در دسترس عموم، او موظف است ثابت کند که PD پردازش شده در دسترس عموم است.

5. تبعیت و نظارت بر فعالیت اپراتورهای داده های شخصی به سازمان های دولتی. این به معنای تعهد اپراتور به گزارش به مرجع مجاز برای حمایت از حقوق افراد موضوع داده های شخصی، در صورت درخواست آن، اطلاعات لازم برای اجرای فعالیت های سازمان مذکور است. ایالت وظایف کنترل و نظارت را به Roskomnadzor، FSTEC و FSB واگذار کرده است.

قانون همچنین مواردی را پیش بینی می کند که رضایت موضوع داده های شخصی برای پردازش اطلاعات مربوط به او مورد نیاز نباشد:

1. پردازش داده های شخصی بر اساس سایر قوانین فدرال انجام می شود، به عنوان مثال، برخی از قوانین فدرال مواردی را برای ارائه اجباری توسط موضوع داده های شخصی داده های شخصی وی به منظور حفاظت از مبانی سیستم قانون اساسی، اخلاق پیش بینی می کند. ، سلامتی، حقوق و منافع مشروع سایر افراد، تأمین دفاع از کشور و امنیت کشور.
2. اپراتور و موضوع داده های شخصی با توافق نامه ای ملزم به انجام اقداماتی هستند که نیاز به پردازش داده های شخصی این موضوع دارد، به عنوان مثال، توافق نامه ای که به موجب آن یک شرکت مسافرتی (اپراتور) حق استفاده از اطلاعات شخصی موضوع را دارد. داده های رزرو هتل؛
3. پردازش داده های شخصی برای محافظت از جان، سلامت یا سایر منافع حیاتی موضوع داده های شخصی ضروری است، در صورتی که کسب رضایت او غیرممکن باشد، به عنوان مثال، بستری شدن در بیمارستان در صورت وقوع حادثه.
4. پردازش داده های شخصی برای تحویل مرسولات پستی توسط سازمان های پستی، برای اپراتورهای مخابراتی برای پرداخت به کاربران خدمات ارتباطی برای خدمات ارتباطی ارائه شده و همچنین برای رسیدگی به ادعاهای کاربران خدمات ارتباطی ضروری است.
5. پردازش داده های شخصی برای اهداف فعالیت های حرفه ای روزنامه نگار یا برای اهداف علمی، ادبی یا سایر فعالیت های خلاقانه انجام می شود، مشروط بر اینکه حقوق و آزادی های موضوع داده های شخصی نقض نشود.
6. داده های شخصی مشمول انتشار مطابق با قوانین فدرال پردازش می شود، از جمله اطلاعات شخصی افراد دارای پست های دولتی، موقعیت های شغلی در خدمات دولتی ایالتی، اطلاعات شخصی نامزدهای منتخب ایالتی یا شهرداری.

در سایر موارد، اپراتور باید الزامات قوانین روسیه در مورد پردازش داده های شخصی را رعایت کند. این قانون مسئولیت مدنی، کیفری، اداری، انتظامی و غیره را برای تخلف از الزامات آن پیش بینی کرده است.

بنابراین، قانون تخلفات اداری حداکثر 500000 روبل جریمه را برای عدم رعایت دستور قانونی Roskomnadzor (ماده 19.5 قانون اداری) در نظر می گیرد. همان قانون تعلیق فعالیت های یک سازمان را تا 90 روز در هنگام انجام فعالیت هایی برای محافظت از داده های شخصی بدون مجوز (ماده 19.20 قانون اداری) پیش بینی می کند.

قانون کیفری در مورد جریمه 300000 روبلی، کار اجباری تا 1 سال، بازداشت تا 6 ماه و محرومیت از حق تصدی پست تا 5 سال در صورت ارتکاب صحبت می کند. حفاظت از داده های شخصیبدون مجوز در مواردی که این عمل باعث آسیب عمده به شهروندان شود (ماده 171 قانون جزا).

در صورت نقض سیستماتیک و فاحش، Roskomnadzor حق دارد برای لغو مجوز برای نوع اصلی فعالیت درخواست دهد.

الزامات ویژه ای را بر روی سیستم های اطلاعاتی حاوی داده های شخصی اعمال می کند و شامل ایجاد وسایل و سیستم های ویژه برای محافظت از اطلاعات است.

سیستم حفاظت از داده های شخصی (PDS) مجموعه ای از اقدامات و اقدامات با ماهیت سازمانی و فنی با هدف مقابله با دسترسی غیرمجاز به اطلاعات طبقه بندی شده با در نظر گرفتن نوع فعلی تهدیدات امنیتی است (بند 2 دولت فدراسیون روسیه 1 نوامبر 2012 N 1119).

هر شخص حقیقی یا حقوقی که تحت تعریف "اپراتور PD" قرار می گیرد، موظف است شرایطی را ایجاد کند و اقداماتی را برای محافظت از PD در برابر تلاش های غیرعمدی یا مجرمانه انجام دهد.

PPA باید به گونه ای ساختار یابد که به طور مؤثر عمل کند، اما در عین حال تداوم فرآیندهای داخلی شرکت یا سازمان را تضمین کند.

چه سطوحی از امنیت وجود دارد؟

مهم!اپراتور می تواند انطباق با الزامات امنیت اطلاعات را به طور مستقل نظارت کند یا با یک سازمان دارای مجوز که متخصص در ایجاد و اجرای سیستم های حفاظت اطلاعات است، همکاری کند.

چه اقدامات و فعالیت هایی در حال انجام است؟

اقدامات برای حفاظت از داده های شخصی هستند مجموعه ای از اقدامات با هدف حفاظت قابل اعتماد از اطلاعات محرمانهو که موضوع در اختیار بهره بردار سازمان قرار می دهد.

اقدامات سازمانی عبارتند از:

1. هشدار از Roskomnadzorدر مورد شروع پردازش داده های شخصی با ارسال یک اطلاعیه مربوطه به مرجع.

توسعه بسته ای از اسناد برای استفاده داخلی، که عملیات با داده های شخصی، پردازش و ذخیره سازی آنها را تنظیم می کند، به ویژه، دستور انتصاب فردی مسئول پردازش داده های شخصی، شرح وظایف و غیره. اطلاعات بیشتری در مورد بسته اسناد لازم برای ایجاد داده های شخصی خواهید یافت. حفاظت و در مورد مدارک مورد نیاز برای حفاظت از اطلاعات شخصی کارکنان در سازمان ها به شما می گوییم.

پیاده سازی کنترل دسترسیبرای دسترسی به امکاناتی که داده ها در آن ذخیره و پردازش می شوند.

امضای قرارداد با اشخاص ثالثکه در پردازش اطلاعات نقش دارند.

تهیه فهرستی از دایره محدودی از افرادکه حق کار با داده های شخصی را دارند و مسئول محرمانه بودن اطلاعات هستند.

چیدمان منطقی محل کار در سازمان، به استثنای دسترسی غیرمجاز به اطلاعات شخصی.

2. کنترل داخلی بر رعایت الزاماتمطابق با قانون.

اقدامات فنی شامل استفاده از ابزارهای امنیتی اطلاعات نرم افزاری و سخت افزاری است.

• جلوگیری از دسترسی غیرمجاز- پیاده سازی سیستم کنترل دسترسی، نصب برنامه های ضد ویروس، فایروال، ابزارهای رمزنگاری و مسدودسازی؛
• جلوگیری از نشت اطلاعات فنی- استفاده از کابل های محافظ، فیلترهای فرکانس بالا، سیستم های کاهش نویز و غیره.

اپراتور ابزارها و روش های حفاظت را به طور مستقل با در نظر گرفتن تهدیدات فعلی و ویژگی های عملیات انجام شده با داده های شخصی انتخاب می کند.

دستورالعمل های گام به گام برای توسعه SZPD

فرآیندهای پردازش و حفاظت از داده های شخصی باید کاملاً مطابق با قوانین قانونی فدراسیون روسیه باشد، در درجه اول مقررات قانون فدرال شماره 152-FZ "در مورد داده های شخصی". این امر تنها با کمک یک سیستم خوب طراحی شده قابل دستیابی است. ایجاد یک سیستم یک فرآیند پیچیده است که در مراحل زیر انجام می شود:

1. صدور دستور داخلی، مطابق با آن فرآیندهای آماده سازی و اجرای اقدامات برای حفاظت از داده های شخصی و ساخت یک سیستم حفاظتی آغاز می شود. دستور باید نشان دهنده کارمندی باشد که مسئول اجرای اقدامات مربوطه است، اسناد محلی را فهرست کند، از جمله مقررات حفاظت و پردازش داده ها و ترکیب کمیسیون ویژه.
2. بازرسی سیستم های داخلیحاوی اطلاعات محرمانه در این مرحله باید مشخص شود که آیا سازمان اپراتور PD است یا خیر. اگر بله، داده های پردازش شده به چه دسته ای تعلق دارند؟ گزارشی در مورد فعالیت های تشخیصی تهیه می شود ، اقدامی در مورد طبقه بندی سیستم اطلاعاتی ، سطح امنیت آن و مدل تهدیداتی که ممکن است اطلاعات شخصی در مرکز در معرض آن قرار گیرد ایجاد می شود.
3. اگر در طی بررسی مشخص شد که سازمان یک اپراتور PD است، اعلانی در مورد قصد پردازش PD به Roskomnadzor ارسال می شود(ماده 22 قانون 27 ژوئیه 2006 شماره 152-FZ "در مورد داده های شخصی").
4. تدوین و تایید اسناد رضایتمشروط به پردازش داده های شخصی و انصراف از رضایت (ماده 9 قانون 27 ژوئیه 2006 شماره 152-FZ "در مورد داده های شخصی").
5. پیاده سازی سیستم حفاظتیدر این مرحله، تعدادی از اسناد ایجاد می شود که رویه داخلی کار، ذخیره سازی، انتقال و تخریب داده های شخصی را تنظیم می کند. فهرستی از افرادی که مجاز به پردازش داده ها هستند و فهرستی از اطلاعاتی که تراکنش ها با آنها انجام می شود، تهیه می شود.

   لازم است مقررات ویژه ای در مورد پردازش و حفاظت از داده های شخصی در سازمان ایجاد شود، دستورالعمل هایی برای کاربران و مدیران برای کار با اطلاعات، پشتیبان گیری و بازیابی ایجاد شود.

6. تعیین محتوای اقدامات حفاظتی فنی.به ویژه، آنها باید از اطلاعات در برابر دسترسی غیرمجاز محافظت کنند، شامل ابزارهای ضد ویروس و رمزنگاری و غیره باشند (دستور FSTEC روسیه مورخ 18 فوریه 2013 شماره 21).
7. امضای "نتیجه گیری در مورد انطباق با سیستم حفاظت از داده هادر سیستم های اطلاعاتی سازمان پردازش می شود."

دستورالعمل های دقیقی در مورد نحوه اجرای حفاظت از داده های شخصی در سازمان های مختلف خواهید یافت.

یک مجله ویژه برای ثبت و ذخیره داده ها ایجاد می شود. هنگام نوشتن و از بین بردن کاغذ و رسانه های الکترونیکی، اقدام مربوطه تنظیم می شود. اطلاعات مربوط به تغییرات در تجهیزات فنی، ساختار سازمانی، گسترش فضا یا اتخاذ اقدامات حفاظتی جدید باید در کل مجموعه اسناد داخلی گنجانده شود.

فناوری امنیت اطلاعات باید تایید شده و به درستی پیکربندی شود. لیست محصولات تایید شده را می توان در وب سایت FSTEC روسیه یافت.

ابزارها و سیستم‌های حفاظت از PD طیف وسیعی از اقدامات هستند که نه تنها برای توسعه و پیاده‌سازی صحیح، بلکه برای به‌روز نگه‌داشتن سیستم نیز مهم هستند.

داده های شخصی کارکنان در حال حاضر موضوعی خاص است. برای جلوگیری از جریمه شدن توسط بازرسی مالیاتی ایالتی و Roskomnadzor، در مورد نحوه پردازش صحیح داده های شخصی، نحوه ذخیره آنها و نحوه محافظت از آنها بخوانید. دانلود نمونه آماده کلیه مدارک لازم

از این مقاله یاد خواهید گرفت:

داده های شخصی کارکنان: آنچه در مورد آنها اعمال می شود

ابتدا، باید به وضوح تعریف کنید که چه چیزی داده های شخصی (PD) را تشکیل می دهد. آنها توسط هر شرکت مدیریت می شوند و می توان آنها را به دو نوع تقسیم کرد:

1. اسنادی که کارمند خود در هنگام استخدام ارائه کرده است (ماده 65 قانون کار فدراسیون روسیه).
2. اسناد تولید شده در طول فرآیند کار (سفارش، کارت شخصی، اوراق حسابداری برای دستمزد).

همه این داده ها محرمانه هستند و باید محافظت شوند.

دسته بندی های زیر از داده های شخصی توسط قانون تعیین شده است:

نامه Roskomnadzor مورخ 14 دسامبر 2012 تعدادی موارد دیگر را تعریف می کند، به عنوان مثال، هنگام پردازش:

• PDN بستگان کارمند که در پرونده وی ثبت شده است (در صورت داشتن حق نفقه، مزایای اجتماعی و دسترسی به اسرار دولتی).
• اطلاعات پزشکی مربوط به توانایی انجام یک وظیفه شغلی؛
• PD مورد نیاز برای پذیرش؛
• ارسال اطلاعات شخصی پرسنل در اینترنت

حفاظت از داده های شخصی در یک سازمان: دستورالعمل های گام به گام

مرحله 1. تدوین و تصویب مقررات مربوط به حفاظت از داده های شخصی.

مرحله 2. یک برگه آشنایی با مقررات تهیه کنید که در آن هر یک از کارکنان پس از خواندن سند و مهر کردن تاریخ آن را امضا می کنند.

مرحله 3. دستورالعمل ها را برای شخص مسئول تهیه و تأیید کنید (می تواند به عنوان پیوست به مقررات صادر شود).

نیازی به اطلاع Roskomnadzor در مورد شروع جمع آوری داده های شخصی از کارمندان نیست، زیرا در چارچوب روابط کار انجام می شود.

مرحله 4. دستوری برای سازماندهی پردازش داده های شخصی در شرکت صادر کنید.

مرحله 5. فهرست داده های شخصی پردازش شده در سازمان را گردآوری و تأیید کنید.

مرحله 6. با دستور، شخصی را برای پردازش اطلاعات شخصی منصوب کنید.

مرحله 7. دستوری را صادر کنید که فهرستی از افرادی که به اطلاعات شخصی پرسنل دسترسی دارند تنظیم می کند.

مرحله 8. برای پردازش اطلاعات شخصی از هر کارمند رضایت کتبی دریافت کنید.

مرحله 9. از نگهداری ایمن اسناد کاغذی در کابینت ها یا گاوصندوق های ویژه اطمینان حاصل کنید.

مرحله 10. هنگام ذخیره اطلاعات در یک پایگاه داده، ابتدا باید اقدامی برای طبقه بندی آنها و تعیین سطح امنیت آن تهیه کنید.

مجموعه ای از اسناد در مورد حفاظت از داده های شخصی

توسعه بسته ای از اسناد در مورد حفاظت از داده های شخصی در سال 2018 برای هر اپراتور داده مورد نیاز خواهد بود. علاوه بر این، قانون فدرال شماره 152 فهرستی از اسناد را تعیین نمی کند و فرم های آنها را پیشنهاد نمی کند و بنابراین هر شرکت حق دارد به طور مستقل ترکیب بسته را تعیین کند. تمام مطالب مربوط به حفاظت از داده های شخصی در یک شرکت را می توان به سه زیر گروه تقسیم کرد:

1. سازمانی:

• مقررات مربوط به حفاظت از داده های شخصی؛
• شرح شغل؛
• دستورات (در مورد تعیین مسئولین و دسترسی و ...)

2. فن آوری (دستورالعمل).

3. روش شناختی (قوانین کار با داده های شخصی).

دوره ذخیره سازی اطلاعات شخصی

PD در پرونده کارمند جمع آوری می شود و مدت نگهداری آن 75 سال تعیین شده است. استثنا داده های مدیران و کارمندان با عناوین (جوایز، جوایز، مدارک تحصیلی) است - آنها باید به طور دائم ذخیره شوند.

تصویب شده در 27 ژوئیه 2006 قانون فدرال شماره 152-FZ "در مورد داده های شخصی"تضمین حفاظت از حقوق و آزادی های انسان و شهروند هنگام پردازش داده های شخصی او، از جمله حفاظت از حقوق حریم خصوصی، اسرار شخصی و خانوادگی. یکی از دلایل تصویب این قانون موارد متعدد سرقت پایگاه داده های شخصی در ساختارهای دولتی و تجاری و فروش گسترده آنها بود.

اصطلاح "داده های شخصی" به چه معناست؟

تعریف داده های شخصی (PD) نیز قبل از تصویب قانون، به عنوان مثال، در "فهرست اطلاعات محرمانه" تصویب شده یافت شد. فرمان شماره 188 رئیس جمهور فدراسیون روسیهمورخ 6 مارس 1997:

اطلاعات محرمانه شامل: اطلاعات در مورد حقایق، رویدادها و شرایط زندگی خصوصی یک شهروند، اجازه شناسایی هویت او (داده های شخصی)، به استثنای اطلاعاتی که در مواردی که توسط قوانین فدرال تعیین شده است، در رسانه ها منتشر می شود.

با این حال، قانون آن را تکمیل کرد. در حال حاضر، با توجه به FZ-152اطلاعات شخصی - هر گونه اطلاعات مربوط به فردی که بر اساس چنین اطلاعاتی (موضوع داده های شخصی) شناسایی یا تعیین شده است، از جمله نام خانوادگی، نام، نام خانوادگی، سال، ماه، تاریخ و محل تولد، آدرس، خانواده، اجتماعی، موقعیت دارایی، تحصیلات، حرفه، درآمد، اطلاعات دیگر.

بنابراین، داده های شخصی، اول از همه، داده های گذرنامه، اطلاعات مربوط به وضعیت تأهل، اطلاعات مربوط به تحصیلات، شماره TIN، گواهی بیمه بیمه بازنشستگی کشوری، بیمه سلامت، اطلاعات مربوط به فعالیت کاری، وضعیت اجتماعی و دارایی، اطلاعات مربوط به درآمد است. تقریباً هر سازمانی چنین داده هایی دارد.

هنگام درخواست شغل، این داده هایی از بخش منابع انسانی کارفرما است که کارمند در کارت شخصی، زندگی نامه و سایر اسنادی که هنگام انعقاد قرارداد کار پر شده است، نشان می دهد.

هنگامی که کودک وارد مهدکودک، مدرسه، مؤسسه یا سایر موسسات آموزشی می شود، پرسشنامه ها و فرم های زیادی نیز پر می شود که اطلاعات کودک (مثلاً اطلاعات شناسنامه) و والدین او (تا محل اقامت) را نشان می دهد. کار، موقعیتی که در اختیار گرفته شده است).

هنگام انجام درمان در موسسات پزشکی، لازم است نه تنها اطلاعات گذرنامه، بلکه اطلاعاتی در مورد مزایا، بیمه پزشکی، اطلاعات مربوط به درمان های قبلی و نتایج آزمایش ذکر شود. در بسیاری از مؤسسات پزشکی، سوابق سرپایی / بستری به صورت الکترونیکی تکرار می شود.

و همه این داده ها، طبق قوانین فعلی، مشمول حفاظت هستند.

حفاظت را از کجا شروع کنیم و آیا اصلاً لازم است؟

محرمانه بودن داده های شخصی یک الزام اجباری برای اپراتور یا سایر افرادی است که به داده های شخصی دسترسی دارند تا اجازه توزیع آنها را بدون رضایت موضوع داده های شخصی یا وجود مبنای قانونی دیگر ندهند. FZ-152).

اپراتور - یک نهاد دولتی، ارگان شهرداری، شخص حقوقی یا شخصی که پردازش داده های شخصی را سازماندهی و/یا انجام می دهد و همچنین اهداف و محتوای پردازش داده های شخصی را تعیین می کند. FZ-152).

سیستم اطلاعات شخصی (PDIS) یک سیستم اطلاعاتی است که مجموعه ای از داده های شخصی موجود در یک پایگاه داده و همچنین فناوری های اطلاعاتی و ابزارهای فنی است که امکان پردازش چنین داده های شخصی را با استفاده از ابزارهای اتوماسیون یا بدون استفاده از چنین ابزارهایی فراهم می کند. FZ-152).

پردازش داده های شخصی اقدامات (عملیات) با داده های شخصی، از جمله جمع آوری، سیستم سازی، انباشت، ذخیره سازی، شفاف سازی (به روز رسانی، تغییر)، استفاده، توزیع (از جمله انتقال)، غیر شخصی سازی، مسدود کردن، تخریب داده های شخصی است. FZ-152).

هنگام پردازش داده های شخصی، اپراتور باید تمام اقدامات سازمانی و فنی لازم را برای محافظت از داده های شخصی در برابر دسترسی غیرمجاز یا تصادفی، تخریب، تغییر، مسدود کردن، کپی، توزیع داده های شخصی و همچنین سایر اقدامات غیرقانونی انجام دهد.

برای محافظت از داده های شخصی چه باید کرد؟

اول از همه، لازم است مشخص شود که چه سیستم های اطلاعات شخصی وجود دارد و چه نوع داده های شخصی در آنها پردازش می شود.

طبقه بندی سیستم اطلاعات داده های شخصی

برای درک اینکه مشکل حفاظت PD چقدر مهم است و همچنین برای انتخاب روش ها و روش های لازم برای محافظت از PD، اپراتور باید ISPD را طبقه بندی کند. ترتیب طبقه بندی مشخص می شود به دستور FSTEC روسیه، FSB روسیه و وزارت اطلاعات و ارتباطات روسیه به شماره 55/86/20 مورخ 13 فوریه 2008.

بنابراین ، اپراتور کمیسیونی را (به دستور رئیس سازمان) تشکیل می دهد که پس از تجزیه و تحلیل داده های اولیه ، در مورد اختصاص کلاس مناسب به ISPD تصمیم گیری می کند. در طی طبقه بندی موارد زیر مشخص می شود:

• دسته داده های شخصی پردازش شده؛
• حجم داده های شخصی پردازش شده؛
• نوع سیستم اطلاعاتی؛
• ساختار سیستم اطلاعاتی و محل وسایل فنی آن؛
• حالت های پردازش داده های شخصی؛
• حالت های محدود کردن حقوق دسترسی کاربر؛
• در دسترس بودن اتصالات به شبکه های عمومی و (یا) شبکه های تبادل اطلاعات بین المللی.

مطابق با دستور شماره 55/86/20، کلیه سیستم های اطلاعاتی (IS) به استاندارد و ویژه تقسیم می شوند.

سیستم های اطلاعاتی معمولی، سیستم های اطلاعاتی هستند که فقط به اطمینان از محرمانه بودن داده های شخصی نیاز دارند.

سیستم‌های اطلاعاتی ویژه، سیستم‌های اطلاعاتی هستند که در آن‌ها، صرف‌نظر از نیاز به اطمینان از محرمانه بودن داده‌های شخصی، لازم است حداقل یکی از ویژگی‌های امنیتی داده‌های شخصی به غیر از محرمانه بودن (محافظت در برابر تخریب، اصلاح، مسدود کردن و همچنین حفظ امنیت اطلاعات شخصی) تضمین شود. مانند سایر اقدامات غیرمجاز).

در عمل معلوم می شود که عملاً هیچ سیستم اطلاعاتی استانداردی وجود ندارد ، زیرا در بیشتر موارد علاوه بر محرمانه بودن ، اطمینان از یکپارچگی و در دسترس بودن اطلاعات نیز ضروری است. علاوه بر این، سیستم های ویژه باید شامل موارد زیر باشد:

• سیستم های اطلاعاتی که در آن داده های شخصی مربوط به وضعیت سلامت افراد داده های شخصی پردازش می شود.
• سیستم‌های اطلاعاتی که صرفاً بر اساس پردازش خودکار داده‌های شخصی، تصمیماتی را اتخاذ می‌کنند که منجر به عواقب قانونی در رابطه با موضوع داده‌های شخصی می‌شود یا به نحوی دیگر بر حقوق و منافع مشروع وی تأثیر می‌گذارد.

بنابراین، بر اساس نتایج تجزیه و تحلیل داده های اولیه، کمیسیون کلاس مربوطه را به سیستم داده های شخصی اختصاص می دهد:

کلاس 1 (K1) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها می تواند منجر به عواقب منفی قابل توجهی برای افراد داده های شخصی شود.

کلاس 2 (K2) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها ممکن است منجر به عواقب منفی برای افراد داده های شخصی شود.

کلاس 3 (K3) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها ممکن است منجر به عواقب منفی جزئی برای افراد داده های شخصی شود.

کلاس 4 (K4) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها منجر به عواقب منفی برای افراد داده های شخصی نمی شود.

نتایج طبقه بندی در قانون طبقه بندی ISPD مستند شده است که نشان دهنده نوع ISPD (استاندارد، ویژه)، کلاس اختصاص داده شده به ISPD و شرایطی است که بر اساس آن تصمیم گرفته شده است.

همانطور که قبلا ذکر شد، طبقه بندی برای انتخاب بیشتر روش ها و ابزارهای حفاظت از داده های شخصی پردازش شده در ISPD ضروری است، زیرا اسناد FSTEC و FSB هر کلاس را با الزامات خاص خود برای محافظت از ISPD ایجاد می کند که کمی بعد در مورد آن صحبت خواهیم کرد.

رضایت PD مشمول پردازش است

در مرحله بعد، باید به پردازش این داده ها ادامه دهید، اما قبل از اینکه پردازش آنها قانونی باشد، رضایت موضوع داده های شخصی برای پردازش لازم است (قانون از این طریق از جمع آوری و استفاده غیرقانونی از داده های شخصی جلوگیری می کند):

ماده 6 قانون فدرال-152:

پردازش اطلاعات شخصی می تواند توسط اپراتور با رضایت موضوع داده های شخصی انجام شود، مگر در موارد زیر:

1) پردازش داده های شخصی بر اساس قانون فدرال انجام می شود که هدف آن، شرایط به دست آوردن داده های شخصی و طیف وسیعی از موضوعاتی را که داده های شخصی آنها در معرض پردازش است و همچنین تعیین اختیارات اپراتور تعیین می کند.

2) پردازش داده های شخصی به منظور انجام قراردادی انجام می شود که یکی از طرفین آن موضوع داده های شخصی است.

3) پردازش داده های شخصی برای اهداف آماری یا علمی دیگر، مشروط به ناشناس سازی اجباری داده های شخصی انجام می شود.

4) پردازش داده های شخصی برای محافظت از جان، سلامت یا سایر منافع حیاتی موضوع داده های شخصی ضروری است، در صورتی که کسب رضایت موضوع داده های شخصی غیرممکن باشد.

5) پردازش داده های شخصی برای تحویل مرسولات پستی توسط سازمان های پستی، برای اپراتورهای مخابراتی برای پرداخت به کاربران خدمات ارتباطی برای خدمات ارائه شده و همچنین برای رسیدگی به ادعاهای کاربران خدمات ارتباطی ضروری است.

6) پردازش داده های شخصی برای اهداف فعالیت های حرفه ای روزنامه نگار یا برای اهداف علمی، ادبی یا سایر فعالیت های خلاقانه انجام می شود، مشروط بر اینکه حقوق و آزادی های موضوع داده های شخصی نقض نشود.

7) داده های شخصی مشمول انتشار مطابق با قوانین فدرال پردازش می شود ، از جمله داده های شخصی افراد دارای پست های دولتی ، سمت های در خدمات دولتی ایالتی ، اطلاعات شخصی نامزدهای منتخب ایالتی یا شهرداری.

بنابراین، اگر مورد پردازش داده های شخصی ما در قسمت 2 ماده 6 قانون فدرال شماره 152 پیش بینی شده باشد، دریافت رضایت ضروری نیست.

هدایت هم لازم است قانون کار، فصل 14. به عنوان مثال، یک کارفرما حق دارد اطلاعات مربوط به زندگی خصوصی کارمند را فقط با رضایت کتبی او دریافت و پردازش کند. بند 4 ماده 86 قانون کار).

مطابق با ماده 9 قانون فدرال-152کسب رضایت موضوع داده های شخصی برای پردازش داده های شخصی وی به صورت کتبی ضروری است. رضایت کتبی موضوع داده های شخصی باید شامل موارد زیر باشد:

نام خانوادگی، نام، نام خانوادگی، آدرس موضوع داده های شخصی، شماره سند اصلی که هویت او را ثابت می کند، اطلاعات مربوط به تاریخ صدور سند مشخص شده و مرجع صادر کننده.

نام (نام خانوادگی، نام، نام خانوادگی) و آدرس اپراتور دریافت کننده رضایت موضوع داده های شخصی؛

هدف از پردازش داده های شخصی؛

فهرست داده های شخصی که برای پردازش آنها رضایت موضوع داده های شخصی داده شده است.

فهرستی از اقدامات با داده های شخصی که برای آنها رضایت داده شده است، شرح کلی روش های استفاده شده توسط اپراتور برای پردازش داده های شخصی؛

مدت زمانی که رضایت نامه معتبر است و همچنین مراحل لغو آن.

مقرراتی که رویه پردازش و حفاظت از داده های شخصی را تنظیم می کند

بنابراین، اپراتور رضایت (در صورت لزوم) را برای پردازش داده های شخصی دریافت کرده است - داده های شخصی قابل پردازش هستند. اما، با توجه به قانون کارو FZ-152لازم است (در صورت وجود، مطابق با قانون فدرال نهایی شود) آیین نامه ای تنظیم شود که روند ذخیره سازی، پردازش و حفاظت از داده های شخصی را تنظیم کند. بیایید آن را مقررات مربوط به تضمین امنیت داده های شخصی بنامیم. مقررات مربوط به اطمینان از امنیت داده های شخصی یک سند داخلی (محلی) سازمان است. هیچ فرم سختگیرانه ای برای این سند وجود ندارد، اما باید شرایط لازم را داشته باشد TKو FZ-152، و بنابراین، باید نشان دهد:

آیین نامه تامین امنیت اطلاعات شخصی به تصویب رئیس سازمان یا شخص مجاز از طرف وی می رسد و به دستور رئیس اجرا می شود. کارفرما موظف است کارمند را با مقررات در مقابل امضا آشنا کند.

فهرست افراد مجاز به پردازش داده های شخصی

علاوه بر این، لازم است فهرستی از افراد مجاز به پردازش داده های شخصی تهیه شود، یعنی. فهرستی از کسانی (بر اساس موقعیت) که برای انجام وظایف رسمی خود نیاز به دسترسی به داده های شخصی دارند. اول از همه، اینها کارکنان خدمات پرسنلی هستند، زیرا آنها داده های مربوط به کارمند و همچنین کارمندان حسابداری را جمع آوری و تولید می کنند. علاوه بر این، روسای واحدهای ساختاری (به عنوان مثال، روسای ادارات) می توانند به این اطلاعات دسترسی داشته باشند - و این نیز باید در لیست منعکس شود. با این حال، همه آنها حق دارند هیچ داده ای را درخواست نکنند، بلکه فقط آنهایی را که برای انجام وظایف شغلی خاص ضروری است (به عنوان مثال، برای محاسبه مزایای مالیاتی، بخش حسابداری تمام اطلاعات مربوط به کارمند را دریافت نمی کند، بلکه فقط داده های مربوط به کارمند را دریافت می کند. تعداد افراد تحت تکفل او). بنابراین، توصیه می شود فهرستی از منابع اطلاعاتی را که کاربران مجاز به استفاده از آنها هستند، یادداشت کنید.

فهرست افراد مجاز به پردازش داده های شخصی را می توان به عنوان ضمیمه مقررات مربوط به اطمینان از امنیت داده های شخصی یا به عنوان یک سند جداگانه که توسط مدیر تأیید شده است تهیه کرد.

اطلاعیه Roskomnadzor

بیشتر مطابق با ماده 22 FZ-152اپراتور، قبل از شروع پردازش داده های شخصی، موظف است به سازمان مجاز برای حفاظت از حقوق افراد داده های شخصی (امروز این سرویس فدرال برای نظارت بر ارتباطات، فناوری های اطلاعات و ارتباطات جمعی (Roskomnadzor)) اطلاع دهد. قصد آن برای پردازش داده های شخصی، به استثنای موارد پیش بینی شده است قسمت 2 ماده 22 قانون فدرال-152:

اپراتور این حق را دارد که داده های شخصی را بدون اطلاع دادن به سازمان مجاز برای حفاظت از حقوق اشخاص داده های شخصی پردازش کند:

1) مربوط به موضوعات داده های شخصی که با اپراتور رابطه کاری دارند.

2) دریافت شده توسط اپراتور در ارتباط با انعقاد توافق نامه ای که موضوع داده های شخصی یک طرف آن است، در صورتی که داده های شخصی بدون رضایت موضوع داده های شخصی در اختیار اشخاص ثالث قرار نگرفته و مورد استفاده قرار گیرد. اپراتور صرفاً برای اجرای توافقنامه مشخص شده و انعقاد قرارداد با موضوع داده های شخصی؛

3) مربوط به اعضای (شرکت کنندگان) یک انجمن عمومی یا سازمان مذهبی است و توسط انجمن عمومی یا سازمان مذهبی مربوطه که مطابق با قوانین فدراسیون روسیه عمل می کند برای دستیابی به اهداف قانونی مندرج در اسناد تشکیل دهنده آنها پردازش می شود، مشروط بر اینکه داده های شخصی بدون رضایت کتبی افراد اطلاعات شخصی منتشر نخواهد شد.

4) که داده های شخصی در دسترس عموم هستند.

5) شامل فقط نام خانوادگی، نام و نام خانوادگی افراد مربوط به داده های شخصی.

6) برای ورود یکباره موضوع داده های شخصی به قلمروی که اپراتور در آن قرار دارد یا برای اهداف مشابه دیگر ضروری است.

7) در سیستم های اطلاعات داده های شخصی گنجانده شده است که مطابق با قوانین فدرال دارای وضعیت سیستم های اطلاعات خودکار فدرال هستند و همچنین در سیستم های اطلاعات شخصی ایالتی ایجاد شده برای محافظت از امنیت ایالت و نظم عمومی.

8) بدون استفاده از ابزارهای اتوماسیون مطابق با قوانین فدرال یا سایر اقدامات قانونی نظارتی فدراسیون روسیه که الزاماتی را برای اطمینان از امنیت داده های شخصی در طول پردازش آنها و برای احترام به حقوق افراد موضوع داده های شخصی ایجاد می کند پردازش می شود.

الزامات اطلاعیه در مشخص شده است قسمت 3 ماده 22 FZ-152. فرم اطلاع رسانی برای پردازش (قصد پردازش) داده های شخصی را می توان به صورت الکترونیکی در وب سایت Roskomnadzor پر کرد: http://rsoc.ru/personal-data/p181/

اکنون می توانید پردازش داده های شخصی را شروع کنید، در حالی که به طور همزمان مشکل ترین و مشکل ساز ترین مسئله را حل کنید - اطمینان از امنیت داده های شخصی در طول پردازش آنها.

اطمینان از امنیت داده های شخصی در طول پردازش آنها

اقدامات برای حفاظت از اطلاعات کار فشرده است و به دلیل نیاز به موارد زیر می تواند منجر به هزینه های مالی قابل توجهی شود:

(در صورت لزوم) مجوز فعالیت های مربوط به حفاظت فنی اطلاعات محرمانه را از FSTEC روسیه دریافت کنید.

یک دارنده مجوز از FSTEC روسیه را برای اجرای اقداماتی برای ایجاد یک سیستم حفاظتی ISPD و/یا گواهی آن بر اساس الزامات امنیت اطلاعات درگیر کنید.

کارکنانی را که مسئول تضمین امنیت اطلاعات هستند به دوره های آموزشی پیشرفته در مورد مسائل امنیت اطلاعات بفرستید و/یا متخصصان امنیت اطلاعات را استخدام کنید.

بسته به کلاس ISPDn، وسایل حفاظت اطلاعات (IPI) دارای گواهینامه FSTEC، وسایل حفاظت از اطلاعات رمزنگاری (CIPF) تایید شده توسط FSB را نصب کنید.

برخی از کارها را خودتان می توانید انجام دهید، اما در برخی دیگر بهتر است به متخصصان اعتماد کنید. اما حفاظت از داده های شخصی به هر طریقی ضروری است.

ماده 19، قانون فدرال-152:

هنگام پردازش داده های شخصی، اپراتور موظف است اقدامات سازمانی و فنی لازم را برای محافظت از داده های شخصی در برابر دسترسی غیرمجاز یا تصادفی، تخریب، تغییر، مسدود کردن، کپی، توزیع داده های شخصی و همچنین سایر اقدامات غیرقانونی انجام دهد.

• "مقررات مربوط به اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی" با فرمان شماره 781 دولت فدراسیون روسیه در 17 نوامبر 2007 تصویب شد.
• "مقررات در مورد ویژگی های پردازش داده های شخصی که بدون استفاده از ابزارهای اتوماسیون انجام می شود" با فرمان شماره 687 دولت فدراسیون روسیه در 15 سپتامبر 2008 تصویب شد.
• "الزامات رسانه های مادی داده های شخصی بیومتریک و فناوری برای ذخیره چنین داده هایی خارج از سیستم های اطلاعات داده های شخصی" با فرمان شماره 512 دولت فدراسیون روسیه در 6 ژوئیه 2008 تصویب شد.
• الزامات و توصیه‌های ویژه برای حفاظت فنی از اطلاعات محرمانه (STR-K)، تأیید شده به دستور کمیسیون فنی دولتی روسیه شماره 282 در 30 اوت 2002 (DSP)
• مدل اساسی تهدیدات امنیت داده های شخصی در حین پردازش آنها در سیستم های اطلاعات داده های شخصی مورخ 15 فوریه 2008 (عصاره، هنگام در نظر گرفتن تهدیدات نشت اطلاعات از طریق کانال های تشعشعات و تداخل الکترومغناطیسی جعلی (PEMIN)، لازم است از نسخه کامل این سند - DSP)
• روش تعیین تهدیدهای فعلی برای امنیت داده های شخصی در طول پردازش آنها در سیستم های اطلاعات شخصی مورخ 15 فوریه 2008 (علامت "برای استفاده رسمی" توسط تصمیم FSTEC در 16 نوامبر 2009 حذف شد)
• توصیه هایی برای اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی مورخ 15 فوریه 2008 (علامت "برای استفاده رسمی" توسط تصمیم FSTEC در 11 نوامبر 2009 حذف شد)
• اقدامات اصلی برای سازماندهی و تضمین فنی از امنیت داده های شخصی پردازش شده در سیستم های اطلاعات شخصی مورخ 15 فوریه 2008 (علامت "برای استفاده رسمی" توسط تصمیم FSTEC در 11 نوامبر 2009 حذف شد)
• توصیه های روش شناختی برای اطمینان از امنیت داده های شخصی با استفاده از ابزارهای رمزنگاری هنگام پردازش آنها در سیستم های اطلاعات شخصی با استفاده از ابزارهای اتوماسیون. FSB، 21 فوریه 2008
• الزامات استاندارد برای سازماندهی و اطمینان از عملکرد رمزگذاری (رمزنگاری) ابزاری است که برای محافظت از اطلاعاتی طراحی شده است که حاوی اطلاعات محرمانه دولتی در مورد استفاده از آنها برای اطمینان از امنیت داده های شخصی در طول پردازش آنها در سیستم های اطلاعات داده های شخصی نیست. FSB، 21 فوریه 2008

ما تمام الزاماتی را که برای اطمینان از امنیت داده های شخصی هنگام پردازش در یک ISPD باید برآورده شوند، به تفصیل در نظر نخواهیم گرفت - بسیاری از آنها وجود دارد و آنها به شدت به ISPD خاص بستگی دارند. بگذارید روی نکات اصلی که اغلب برای اپراتورها مشکل ایجاد می کند صحبت کنیم.

مجوز - گرفتن یا نگرفتن؟

قانون و همچنین اسناد FSTEC موارد زیر را به ما می گوید:

ماده 16، قسمت 6 قانون فدرال-149"در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات" مورخ 27 ژوئیه 2006:

قوانین فدرال ممکن است محدودیت هایی را برای استفاده از ابزارهای خاص امنیت اطلاعات و اجرای انواع خاصی از فعالیت ها در زمینه امنیت اطلاعات ایجاد کند.

ماده 17، قسمت 1، بند 11 قانون فدرال-128"در مورد مجوز انواع خاصی از فعالیت ها" مورخ 8 اوت 2001:

مطابق با این قانون فدرال، انواع فعالیت های زیر مشمول مجوز هستند: فعالیت هایی برای حفاظت فنی از اطلاعات محرمانه.

فرمان شماره 504 دولت فدراسیون روسیه"در مورد مجوز فعالیت برای حفاظت فنی از اطلاعات محرمانه" مورخ 15 اوت 2006.

حفاظت فنی از اطلاعات محرمانه به عنوان مجموعه ای از اقدامات و (یا) خدمات برای محافظت از آن در برابر دسترسی غیرمجاز، از جمله از طریق کانال های فنی، و همچنین در برابر تأثیرات ویژه بر روی چنین اطلاعاتی به منظور تخریب، تحریف یا مسدود کردن دسترسی به آن درک می شود. آی تی.

رویدادهای اصلی FSTEC

بند 3.14

مطابق با مفاد قانون فدرال شماره 128 "در مورد مجوز انواع خاصی از فعالیت ها" و الزامات فرمان شماره 504 دولت "در مورد صدور مجوز فعالیت برای حفاظت فنی از اطلاعات محرمانه"، اپراتورهای ISPDn هنگام انجام اقداماتی برای اطمینان از امنیت داده های شخصی (اطلاعات محرمانه) در طول پردازش آنها در کلاس های ISPDn 1، 2 و 3 (سیستم های توزیع شده) باید مجوز انجام فعالیت های حفاظت فنی از اطلاعات محرمانه را به روش مقرر دریافت کند.

همچنین، رئیس بخش FSTEC روسیه، ایگور گریگوریویچ نازاروف، در میز گردی که توسط مجله "Connect" برگزار شد، به این سوال در مورد نیاز به مجوز پاسخ داد. دنیای ارتباطات" (http://www.connect.ru/article.asp?id=9406):

سوال: آیا اپراتورهای پردازش اطلاعات شخصی در ISPD نیاز به دریافت مجوز برای حفاظت فنی از اطلاعات محرمانه دارند؟

ایگور نظروف:مطابق با اسناد FSTEC، برای اپراتورهای داده های شخصی که به طور مستقل چنین فعالیت هایی را در سیستم های اطلاعاتی کلاس 1، کلاس 2 و سیستم های توزیع جغرافیایی کلاس 3 انجام می دهند، مجوز لازم است، به عنوان یک قاعده، اینها سیستم های اطلاعات دولتی بزرگ هستند. در عین حال برای کلینیک ها، مهدکودک ها، داروخانه ها و ... دارای ISPD کلاس های 3 و 4، اخذ چنین مجوزهایی الزامی نیست.

مطابق با فرمان دولت فدراسیون روسیه مورخ 17 نوامبر 2007 شماره 781، اگر یک اپراتور ISPDn توافق نامه ای را برای انجام اقدامات مربوطه در زمینه حفاظت از اطلاعات (PD) با یک شخص مجاز - دارنده مجوز از FSTEC روسیه، او نیازی به داشتن مجوز ندارد.

بنابراین، برای سازمان های کوچک، به جای دریافت مجوز FSTEC TZKI برای انجام اقداماتی برای اطمینان از امنیت داده های شخصی (ایجاد یک سیستم حفاظتی ISPD، صدور گواهینامه)، جذب یک مجوز FSTEC مقرون به صرفه تر خواهد بود. تمام کارهای لازم را انجام دهد.

برای سازمان های بزرگ (مانند اپراتورهای مخابراتی، بانک های بزرگ و غیره) سود بیشتری دارد که خودتان مجوز دریافت کنید و تمام کارهای لازم را انجام دهید.

نحوه اعطای مجوز برای انجام فعالیت های حفاظت فنی از اطلاعات محرمانه مشخص می شود مقررات مربوط به مجوز فعالیت برای حفاظت فنی از اطلاعات محرمانه"(مصوب با فرمان دولت فدراسیون روسیه در 15 اوت 2006 شماره 504). شرایط لازم برای اخذ مجوز:

الف) حضور متخصصانی که دارای تحصیلات عالی حرفه ای در زمینه امنیت اطلاعات فنی یا آموزش عالی یا متوسطه حرفه ای (فنی) بوده و دوره های بازآموزی یا آموزش پیشرفته را در مسائل امنیتی اطلاعات فنی گذرانده اند، در کارکنان متقاضی مجوز (دارنده مجوز). ;

ب) وجود محل برای متقاضی مجوز (دارنده مجوز) برای انجام فعالیت های دارای مجوز که مطابق با استانداردهای فنی و الزامات حفاظت فنی از اطلاعات تعیین شده توسط قوانین قانونی نظارتی فدراسیون روسیه است و با حق مالکیت یا متعلق به وی است. مبنای قانونی دیگر؛

ج) وجود، بر اساس هر مبنای قانونی، تجهیزات تولید، آزمایش و کنترل که مطابق با قوانین فدراسیون روسیه تحت بررسی اندازه شناسی (کالیبراسیون)، علامت گذاری و صدور گواهینامه قرار گرفته است.

د) استفاده از سیستم های خودکاری که اطلاعات محرمانه را پردازش می کنند و همچنین ابزارهای محافظت از چنین اطلاعاتی که رویه ارزیابی انطباق را گذرانده اند (تأیید شده و (یا) مطابق با الزامات امنیت اطلاعات) مطابق با قوانین فدراسیون روسیه؛

ه) استفاده از برنامه‌های رایانه‌های الکترونیکی و پایگاه‌های اطلاعاتی که برای انجام فعالیت‌های دارای مجوز بر اساس توافق با دارنده حق چاپ آنها در نظر گرفته شده است.

و) در دسترس بودن اقدامات قانونی نظارتی، اسناد نظارتی، روش شناختی و روش شناختی در مورد مسائل حفاظت از اطلاعات فنی مطابق با لیستی که توسط سرویس فدرال برای کنترل فنی و صادرات ایجاد شده است.

مراحل ایجاد SZPDn

مطابق با رویدادهای اصلیبرای سازماندهی و پشتیبانی فنی از امنیت داده های شخصی پردازش شده در سیستم های اطلاعات شخصی صادر شده توسط FSTEC، ایجاد یک سیستم حفاظت از داده های شخصی (PDPS) شامل مراحل زیر است:

1 مرحله پیش پروژه

1.1 بازرسی شی اطلاعات سازی:

• ایجاد نیاز به پردازش PD در ISPD؛
• تعیین لیست داده های شخصی موضوع حفاظت؛
• تعیین شرایط برای مکان ISPD نسبت به مرزهای منطقه کنترل شده (CA).
• تعیین پیکربندی و توپولوژی ISPD به عنوان یک کل و اجزای جداگانه آن؛ ارتباطات فیزیکی، عملکردی و فناوری هم در داخل ISPD و هم با سایر سیستم‌ها در سطوح و اهداف مختلف؛
• تعیین ابزار و سیستم های فنی مورد استفاده در ISPD حفاظت شده، شرایط مکان آنها.
• شناسایی نرم افزارهای کاربردی، ویژه و کاربردی در سراسر سیستم که در ISPD محافظت شده استفاده می شود.
• تعیین حالت پردازش اطلاعات در ISPD به طور کلی و در اجزای جداگانه.
• انجام طبقه بندی ISPD؛
• تعیین میزان مشارکت پرسنل در پردازش (بحث، انتقال، ذخیره سازی) اطلاعات، ماهیت تعامل آنها با یکدیگر.
• شناسایی و تهیه فهرستی از آسیب پذیری ها و تهدیدات برای امنیت اطلاعات، ارزیابی ارتباط تهدیدات برای امنیت اطلاعات؛
• توسعه یک مدل تهدید خصوصی

1.2 توسعه مشخصات فنی برای ایجاد SZPD که باید شامل موارد زیر باشد:

• اثبات نیاز به توسعه SPDn؛
• منبع داده های ISPD در جنبه های فنی، برنامه ای، اطلاعاتی و سازمانی؛
• کلاس ISPDn؛
• پیوندی به اسناد نظارتی، با در نظر گرفتن اینکه SPPD توسعه خواهد یافت و ISPD پذیرفته شده است.
• مشخصات فعالیت ها و الزامات SPDn؛
• فهرستی از ابزارهای امنیتی اطلاعات تایید شده برای استفاده؛
• توجیه توسعه ابزارهای امنیت اطلاعات خودمان در صورتی که استفاده از ابزارهای امنیت اطلاعات تایید شده موجود در بازار غیرممکن یا غیرعملی باشد.
• ترکیب، محتوا و زمان کار در مراحل توسعه و اجرای SPDn.

2. مرحله طراحی و اجرای SZPDn

2.1 توسعه یک پروژه برای ایجاد SZPDn.

2.2 توسعه اقدامات سازمانی و فنی برای حفاظت از اطلاعات مطابق با الزامات.

2.3 خرید ابزار امنیت اطلاعات گواهی شده؛

2.4 توسعه و اجرای یک سیستم مجوز برای دسترسی کاربران و پرسنل به اطلاعات پردازش شده در ISPD.

2.5 نصب و پیکربندی اطلاعات و دستگاه های اطلاعاتی.

2.6 شناسایی ادارات و افراد مسئول عملیات وسایل امنیت اطلاعات، آموزش افراد تعیین شده در خصوص کار برای حفاظت از داده های شخصی.

2.7 توسعه اسناد عملیاتی برای ISPD و ابزارهای امنیت اطلاعات، و همچنین اسناد سازمانی و اداری برای امنیت اطلاعات (مقررات، دستورات، دستورالعمل ها و سایر اسناد).

2.8 اجرای سایر اقدامات با هدف حفاظت از اطلاعات.

3. مرحله اجرای SZPDn

3.1 عملیات آزمایشی ابزارهای امنیت اطلاعات در ترکیب با سایر سخت افزارها و نرم افزارها به منظور آزمایش عملکرد آنها به عنوان بخشی از ISPD.

3.2 آزمون های پذیرش تجهیزات امنیت اطلاعات بر اساس نتایج عملیات آزمایشی با اجرای گواهی پذیرش.

3.3 ارزیابی انطباق ISPD با الزامات امنیت اطلاعات - صدور گواهینامه (اعلامیه) با توجه به الزامات امنیت اطلاعات.

4. نگهداری و پشتیبانی از سیستم امنیت اطلاعات

اسناد سازمانی و اداری برای حفاظت از داده های شخصی

علاوه بر راه حل های فنی برای سیستم حفاظت از داده های شخصی در حال ایجاد، اپراتور باید از توسعه اسناد سازمانی و اداری اطمینان حاصل کند که کلیه مسائل نوظهور مربوط به اطمینان از امنیت داده های شخصی در طول پردازش آنها در ISPD و عملکرد آنها را تنظیم می کند. SPPD چنین اسناد بسیار زیادی وجود دارد که مهمترین آنها عبارتند از:

1. مقررات مربوط به تضمین امنیت داده های شخصی - در ابتدای مقاله قبلاً به هدف و ترکیب این سند اشاره کردیم. فقط در مورد، ما تکرار می کنیم - باید نشان دهد:

هدف و اهداف در زمینه حفاظت از داده های شخصی؛

مفهوم و ترکیب داده های شخصی؛

این داده ها در چه واحدهای ساختاری و در چه رسانه ای (کاغذی، الکترونیکی) انباشته و ذخیره می شود.

نحوه جمع آوری و ذخیره داده های شخصی؛

نحوه پردازش و استفاده از آنها؛

چه کسی (بر اساس موقعیت) در شرکت به آنها دسترسی دارد.

اصول حفاظت از داده های شخصی، از جمله در برابر دسترسی غیرمجاز؛

حقوق کارمندان برای اطمینان از حفاظت از داده های شخصی خود؛

مسئولیت افشای اطلاعات محرمانه مربوط به اطلاعات شخصی کارکنان.

2. برای سازماندهی یک سیستم پذیرش و ثبت نام افراد مجاز به کار با PD در ISPD، - فهرست افراد مجاز برای پردازش PD (فهرست بر اساس موقعیت کسانی که برای انجام وظایف رسمی نیاز به دسترسی به PD دارند) و یک ماتریس دسترسی. (باید منعکس کننده قدرت کاربران برای انجام اقدامات خاص در رابطه با منابع اطلاعاتی خاص ISPD - خواندن، نوشتن، تنظیم، حذف) باشد. هر دو سند توسط مدیر تایید شده است.

3. یک مدل تهدید خصوصی (اگر چندین ISDN وجود داشته باشد، یک مدل تهدید برای هر یک از آنها ایجاد می شود) - بر اساس نتایج یک بررسی اولیه توسعه یافته است. FSTEC روسیه ارائه می دهد مدل پایهتهدیدی برای امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات شخصی، که بر اساس آن هنگام ایجاد یک مدل خصوصی موارد زیر باید در نظر گرفته شود:

تهدیدات نشت اطلاعات از طریق کانال های فنی؛

تهدیدات دسترسی غیرمجاز مرتبط با اقدامات متخلفانی که به ISPD دسترسی دارند و تهدیدات را مستقیماً در ISPD اجرا می کنند. در این مورد، لازم است کاربران قانونی ISPD را به عنوان متخلفان احتمالی در نظر بگیریم.

تهدیدات دسترسی غیرمجاز مرتبط با اقدامات متخلفانی که به ISPD دسترسی ندارند، تهدیدات ناشی از شبکه های ارتباط عمومی خارجی و (یا) شبکه های تبادل اطلاعات بین المللی.

مدل تهدید توسعه یافته توسط مدیر تایید شده است.

4. بر اساس مدل تهدید ISPD تایید شده، لازم است الزاماتی برای اطمینان از امنیت داده های شخصی در هنگام پردازش در ISPD ایجاد شود. الزامات نیز مانند مدل تهدید یک سند مستقل است که باید به تایید رئیس سازمان برسد.

برای توسعه مدلی از تهدیدها و الزامات، توصیه می‌شود که اپراتور متخصصانی را از سازمان‌های دارای مجوز FSTEC درگیر کند.

5. دستورالعمل های مربوط به اطمینان از امنیت داده های شخصی در طول پردازش آنها در ISPD.

علاوه بر این، قبل از انجام کلیه اقدامات برای محافظت از داده های شخصی، اپراتور باید یک مقام رسمی یا (اگر سیستم اطلاعاتی به اندازه کافی بزرگ باشد) یک واحد ساختاری مسئول تضمین امنیت داده های شخصی را تعیین کند. تصمیم در مورد انتصاب به دستور رئیس رسمیت می یابد. وظایف، وظایف و اختیارات مقام (واحد) مسئول تضمین امنیت PD توسط اسناد داخلی سازمانی و اداری (شرح وظایف، مقررات) تعیین می شود.

چه چیزی برای تایید نیاز است و چه چیزی نیست؟

اغلب این تصور غلط وجود دارد که همه نرم افزارهای مورد استفاده باید دارای گواهینامه باشند و صدور گواهینامه گران و زمان بر است.

با این حال، هیچ یک از اسنادی که مسائل مربوط به حفاظت از داده های شخصی را تنظیم می کند، بیان نمی کند که همه نرم افزارها باید تایید شده باشند. ابزارهای امنیت اطلاعات باید مطابق با الزامات FSTEC روسیه تأیید شده باشند، اما نه سیستم، برنامه یا نرم افزار خاصی که در حفاظت از ISPD دخیل نیست.

ایگور نظروف:... گواهی برای نظارت بر عدم انطباق با اطلاعات عدم انطباق مربوط به عملکرد امنیتی، به ویژه اقدامات امنیتی، و نه همه نرم افزارهایی است که در سیستم اطلاعاتی استفاده می شود (http://www.connect.ru/article.asp). ?id=9406).

امروزه اسناد FSTEC که در وب سایت سرویس فدرال کنترل فنی و صادرات قابل مشاهده است، موارد زیر را در این مورد به ما می گویند:

ISPD باید فقط از وسایل فنی و سیستم های حفاظتی که مطابق با الزامات امنیت اطلاعات گواهی شده اند استفاده کند.

رویدادهای اصلی…

بند 4.2: ISPD باید بر وجود قابلیت های اعلام نشده در نرم افزار و سخت افزار نظارت کند و امنیت سیستم و نرم افزار کاربردی را تجزیه و تحلیل کند.

بند 4.3:برای نرم افزار مورد استفاده برای محافظت از اطلاعات در ISPD (ابزارهای امنیت اطلاعات، از جمله ابزارهای تعبیه شده در نرم افزارهای کاربردی در سراسر سیستم)، باید از سطح مناسبی از کنترل بر عدم وجود داده های ناسازگار در آن اطمینان حاصل شود.

بنابراین، در صورتی که نرم افزار سیستم و نرم افزار درگیر فرآیند امنیت اطلاعات نباشد، نیازی به تأیید اعتبار نیست - این می تواند به درخواست اپراتور انجام شود.

رویه ایجاد سیستم‌های حفاظت از داده‌های شخصی نشان می‌دهد که لازم است از نرم‌افزارهای دارای مجوز (سیستم، برنامه کاربردی و نرم‌افزارهای ویژه) و امنیت اطلاعات گواهی شده و ابزارهای محافظت از ضد ویروس (این می‌تواند اطلاعات امنیت اطلاعات از داده‌های شخصی، محصولات ضد ویروس باشد) استفاده شود. ، فایروال ها، ابزارهای تشخیص نفوذ، ابزارهای تجزیه و تحلیل امنیتی، مربوط به یک کلاس خاص). اگر ابزارهای امنیت اطلاعات رمزنگاری (CIPF) در ISPD نصب شده باشند، باید مطابق با الزامات FSB روسیه نیز تأیید شوند.

لازم به ذکر است که فقط یک دارنده مجوز FSTEC حق نصب اطلاعات امنیتی اطلاعات تایید شده را دارد و یک دارنده مجوز FSB حق نصب CIPF را دارد.

گواهینامه

مرحله نهایی ایجاد یک سیستم حفاظتی ISPD باید صدور گواهینامه (اعلام انطباق) باشد - مجموعه ای از اقدامات سازمانی و فنی، که در نتیجه، از طریق یک سند خاص - یک گواهی انطباق (نتیجه گیری)، تایید می شود که ISPD الزامات استانداردها یا سایر اسناد نظارتی و روش شناختی در مورد امنیت اطلاعات را برآورده می کند. داشتن یک گواهی انطباق معتبر این حق را به شما می دهد که اطلاعات را با سطح محرمانه مناسبی برای مدت زمان تعیین شده در گواهی انطباق پردازش کند.

سوال: چه کسی می تواند محل کار را برای مطابقت با الزامات قوانین و اسناد نظارتی در زمینه داده های شخصی تأیید کند؟

ایگور نظروف:دارندگان مجوز FSTEC که مجوز فعالیت در حفاظت فنی اطلاعات محرمانه را دارند، حق دارند ISPDn را برای انطباق با الزامات امنیت اطلاعات تأیید کنند (http://www.connect.ru/article.asp?id=9406).

صدور گواهینامه یک بررسی جامع (تست های گواهینامه) منبع داده اطلاعات را در شرایط عملیاتی واقعی به منظور ارزیابی انطباق مجموعه اقدامات حفاظتی اتخاذ شده با سطح مورد نیاز امنیت داده های شخصی فراهم می کند.

به طور کلی گواهینامه ISPD با توجه به الزامات امنیت اطلاعات شامل مراحل زیر است:

تجزیه و تحلیل داده های اولیه در مورد ISPD تایید شده.

انجام یک بررسی تخصصی از سیستم های اطلاعاتی و تجزیه و تحلیل اسناد توسعه یافته برای اطمینان از امنیت داده های شخصی برای انطباق با الزامات اسناد نظارتی و روش شناختی.

انجام تست های صدور گواهینامه جامع ISPD در شرایط عملیاتی واقعی با استفاده از تجهیزات نظارتی و نرم افزار ویژه برای نظارت بر امنیت در برابر دسترسی های غیرمجاز.

تجزیه و تحلیل نتایج آزمایشات گواهینامه پیچیده، تهیه و تایید نتیجه گیری و گواهی انطباق بر اساس نتایج گواهینامه.

نکته مهم این است که در صورت تغییر در شرایط و فناوری پردازش PD، اپراتور موظف است مراتب را به سازمان دارنده مجوز که صدور گواهینامه ISPD را انجام داده است، اعلام کند. پس از آن سازمان صاحب مجوز در مورد نیاز به انجام تأییدیه اضافی از اثربخشی سیستم حفاظت ISPD تصمیم می گیرد.

مسئولیت و خطرات ناشی از عدم رعایت الزامات قانونی

اگر شرایط لازم برای اطمینان از امنیت داده های شخصی برآورده نشود، اپراتور ممکن است با خطر ادعاهای مدنی مشتریان یا کارمندان مواجه شود.

که به نوبه خود می تواند بر شهرت شرکت تأثیر بگذارد و همچنین منجر به تعلیق (خاتمه) اجباری پردازش PD شود و شرکت و (یا) مدیر آن را به مسئولیت اداری یا سایر انواع مسئولیت برساند و تحت شرایط خاص به تعلیق یا لغو مجوزها. علاوه بر این، طبق قانون فدرال، اشخاصی که مقصر نقض الزامات هستند، مسئولیت مدنی، کیفری، اداری، انضباطی و سایر موارد مقرر در قانون فدراسیون روسیه را دارند. ماده 24 FZ-152):

انضباطی (قانون کار فدراسیون روسیه، مواد 81، 90، 195، 237، 391).

اداری (کد فدراسیون روسیه در مورد جرائم اداری، مواد 5.27، 5.39، 13.11-13.14، 13.19، 19.4-19.7، 19.20، 20.25، 32.2).

جنایی (قانون جنایی فدراسیون روسیه، مواد 137، 140، 155، 171، 183، 272، 273، 274، 292، 293).

مجموعه ای از اقدامات با ماهیت متفاوت، انجام شده برای مقابله فعالانه با دسترسی غیرمجاز احتمالی به داده های شخصی، متشکل از اقدامات مدیریتی، حفاظت سخت افزاری موثر، اساس یک سیستم حفاظت از داده های شخصی (PDPS) را تشکیل می دهد.

هدف از معرفی مجموعه ای از اقدامات قابل اعتماد به شرح زیر است:

انطباق دقیق با الزامات تنظیم کننده برای انطباق با مفاد قانون فدرال "در مورد حفاظت از داده های شخصی"، مفاد آیین نامه های تایید شده که سطح مناسب امنیت برای داده های شخصی مورد استفاده را تضمین می کند.

توسعه دستورالعمل هایی که اجرای قوانین خاصی را هنگام تبدیل داده های شخصی استفاده شده تجویز می کند و از محافظت از آنها اطمینان می دهد.

• مشکلاتی که باید حل شوند
• تجهیزات مورد استفاده
• حوزه های کاربردی

توسعه و اجرای سیستم حفاظت از داده های شخصی (PDS) مجموعه ای از اقدامات فنی و مدیریتی با هدف تضمین حفاظت جامع از اطلاعات است که توسط قانون فدرال 27 جولای به رسمیت شناخته شده است. اطلاعات شخصی N 152-FZ 2006.

اپراتور، که سازمان‌های دولتی و شرکت‌های تجاری است که عملیات‌هایی را با داده‌های شخصی انجام می‌دهند، علاقه‌مند به پردازش ایمن آنها هستند و در نتیجه نیاز به پیاده‌سازی یک سیستم حفاظتی را تشخیص می‌دهند.

با در نظر گرفتن تجربه انباشته شده در طول اجرای پروژه ها برای ایجاد SPDn، به نظر می رسد که بتوان تعدادی از مزایای مهم را از اجرای سیستم تعیین کرد:

در وهله اول کاهش شدید خطرات حقوقی و اعتباری است که ناشی از عدم انطباق با قوانین فعلی در مورد ایمنی داده های شخصی است.

دومین نکته مهم این واقعیت است که ساخت سیستم حفاظتی مبتنی بر علمی به شما امکان می دهد تا اطلاعات شخصی کارکنان و مشتریان را بدون ترس از ایمنی آنها پردازش کنید. این می تواند به یک مزیت رقابتی قدرتمند در هنگام کار با اطلاعات محرمانه افراد و اطلاعاتی که فقط برای استفاده رسمی (داخلی) در نظر گرفته شده است تبدیل شود. یک سیستم حفاظت امنیتی که به خوبی ساخته شده است به راحتی با رایج ترین تهدیدها مقابله می کند - تأثیر بدافزار را مسدود می کند، از سرقت پایگاه داده های مشتری جلوگیری می کند، که اغلب توسط کارکنان اخراج شده انجام می شود.

سومین عامل ایجاد انگیزه برای اجرای یک PPSD موثر، ایجاد تصویر شرکت از یک شریک قابل اعتماد است که می توان برای اطمینان از محرمانه بودن داده های شخصی به او اعتماد کرد.

همانطور که تحلیلگران اشاره می کنند، رسوایی های مکرر مربوط به نشت اطلاعات محرمانه، فرد را مجبور می کند هنگام انتخاب طرف مقابل، به سیستم امنیتی توجه کند. توافق نامه های مشارکت یا شرایط مناقصه در حال حاضر عادی شده اند، و مستلزم انطباق مستند SPD با مقررات فعلی است.

نباید فراموش کنیم که یک PPSD کارآمد، تداوم تمام فرآیندهای تجاری را در خود شرکت تضمین می کند، احتمال شکایت مشتریان، شکایات موجه کارمندان و دستورات تهدیدآمیز مقامات نظارتی نظارتی را از بین می برد.

مراحل کار برای مطابقت با 152-FZ

1. موجودی، تجزیه و تحلیل کامل از وضعیت ساختارهای اطلاعاتی درگیر در پردازش داده های شخصی.

چنین ممیزی قبل از پروژه اطلاعات عینی در مورد فرآیندهای مربوط به پردازش داده های شخصی در شرکت و اقدامات لازم برای محافظت از آنها ارائه می دهد. متخصصان Open Vision ملزم به بررسی تمام اسناد رسمی، منظم بودن فعالیت های انجام شده، طراحی شده برای مطابقت با الزامات چارچوب قانونی در مورد امنیت داده های دسترسی محدود مورد استفاده در کار خود هستند.

2. ایجاد مفهومی برای سیستم امنیتی مورد استفاده برای محافظت از داده های شخصی، ارائه توصیه های صحیح به مشتری برای بهینه سازی پردازش داده های شخصی و اطمینان از ایمنی اطلاعات محرمانه.

در این مرحله از کار، متخصصان واجد شرایط گزینه های ممکن برای اجرای پروژه را ارزیابی می کنند، نقاط شروع اجرای آن را تعیین می کنند و محدودیت های خاصی را در مقیاس پروژه در حال اجرا تعیین می کنند. مشکلات اصلی شناسایی شده و منطق راه حل های پیشنهادی ایجاد می شود. مشتریان لیستی از عناصر نرم افزاری و سخت افزاری سیستم امنیت اطلاعات در حال توسعه را دریافت می کنند که هزینه هر مورد را اجباری نشان می دهد.

3. شفاف سازی سطح واقعی امنیت PD

در فرآیند کار، نوع تهدیدات احتمالی برای داده های شخصی محافظت شده با اشاره به یک سیستم اطلاعاتی خاص، ترکیب مورد انتظار داده های شخصی و تعداد احتمالی موضوعات مشخص می شود. با در نظر گرفتن کل حجم اطلاعات دریافتی، وضعیت واقعی سیستم امنیت داده های شخصی مشخص می شود.

4. توسعه مدل تهدیدات احتمالی برای سیستم امنیت داده های شخصی، ایجاد مدل یک مهاجم

سند ارائه شده به مشتری فهرستی سیستماتیک از تهدیدات احتمالی برای امنیت داده های شخصی هنگام کار با آنها در سیستم های اطلاعات شخصی (PDIS) است. تهدیدات برای امنیت داده های شخصی (PDS) می تواند در نتیجه اقدامات بدخواهانه یا تصادفی افراد، فعالیت های سرویس های اطلاعاتی خارجی یا سازمان های متخصص در جاسوسی، گروه های جنایی تخصصی در حال آماده سازی هک امنیت PD باشد که بر حقوق و حقوق تأثیر می گذارد. آزادی های جامعه و دولت یا شهروندان.

5. توسعه شرایط مرجع برای ساخت SZPDn

یک مشخصات فنی خاص برای ساخت یک ساختار اطلاعاتی خاص یک سیستم حفاظت از داده ها، هدف آن، اهداف دنبال شده، الزامات پشتیبانی فنی و سازمانی، برنامه ای برای توسعه و ایجاد مستقیم یک سیستم حفاظت از داده ها را تعیین می کند.

6. ایجاد پروژه SZPDn

مستندات پروژه ایجاد شده در این مرحله از اجرای SPDn کارهایی را ارائه می دهد که استانداردهای امنیت داده ها با دسترسی محدود را که توسط مقررات تعیین شده است در نظر می گیرد.

7. تدوین اسناد سازمانی و اداری

مجموعه اسنادی که قوانین پردازش و حفاظت از داده های شخصی را تجویز می کند شامل ده ها مقررات سازمانی و اداری است که برای مطابقت دادن کلیه فرآیندهای کار و ایمنی داده های شخصی با استانداردهای قانون فعلی ضروری است.

8. تامین ابزارهای نرم افزاری و سخت افزاری امنیت اطلاعات

مشتری دارای نرم افزار و عناصر سخت افزاری برای اجرای SPDn است که آزمایش شده و مطابق با الزامات قوانین فدراسیون روسیه در مورد اقدامات امنیت اطلاعات است.

9. نصب، پیکربندی تجهیزات حفاظت اطلاعات

در این مرحله از اجرای SZPDn، تجهیزات نصب شده، نرم افزار نصب می شود، با تنظیمات مناسب. در نتیجه کار انجام شده، مشتری مجموعه ای از اطلاعات امنیت اطلاعات را دریافت می کند که با ساختار اطلاعات مورد استفاده برای کار با داده های شخصی سازگار است.

10. ارزیابی اثربخشی اقدامات انجام شده برای ایجاد حفاظت موثر از داده های شخصی

تعیین اثربخشی اقدامات امنیتی توسعه یافته برای داده های محدود قبل از راه اندازی سیستم حفاظت از داده ها انجام می شود. آزمایش کنترل سیستمی که در سازه های تجاری کار می کند هر 3 سال یکبار لازم است.

11. گواهی ISPD استفاده شده برای انطباق با الزامات امنیت اطلاعات مدرن

گواهینامه ISPD شامل مجموعه ای از بررسی های سازمانی و فنی (تست های صدور گواهینامه) با هدف تأیید انطباق با الزامات امنیت اطلاعات است. در نظر گرفته شده برای سازمان های دولتی

یکی از بخش های به سرعت در حال توسعه بازار فناوری اطلاعات داخلی، تجارت آنلاین است که به دلیل سادگی فنی اجرای این پروژه و شفافیت فرآیندهای تجاری است. تجارت الکترونیک به عنوان یک نوع کارآفرینی موثر و امیدوارکننده شناخته شده است.

مسائل مربوط به امنیت اطلاعات برای کسب و کارها در اینترنت ارتباط خود را از دست نمی دهد، برعکس، افزایش تعداد حملات هکرها به موسسات مالی بزرگ که مقادیر زیادی پول در سیستم های امنیتی سرمایه گذاری می کنند، نیاز به اقدامات به موقع دارد. در اینجا نحوه دستیابی به این هدف و در سطح قابل قبولی از هزینه ها آمده است.

بسیاری، به خصوص در مرحله اولیه، فرصتی برای ربودن مبالغ قابل توجهی از گردش مالی با سرمایه گذاری در سیستم های امنیت اطلاعات ندارند. کسب و کار جدید است، مشکلات احتمالی ناشناخته است، و ویژگی های کسب و کار در اینترنت مستلزم تغییرات مداوم است.

در نتیجه، یک سیستم امنیتی ایجاد می‌شود، اما «بدون آشنایان» توسعه می‌یابد یا به یک فریلنسر سفارش داده می‌شود، در بهترین حالت یک استودیوی وب ثبت‌شده رسمی. خرید یک راه حل آماده نیز نمی تواند به عنوان یک سطح جدی از امنیت در نظر گرفته شود، زیرا سوالاتی در مورد ادغام آن در زیرساخت های فناوری اطلاعات موجود مطرح می شود.

یا شاید باید به این فکر کرد که آیا چنین سیستم هایی واقعاً سطح مناسبی از امنیت را ارائه می دهند؟ آیا خود کارآفرین دارای شرایط لازم برای تعیین سطح آموزش "هک های اینترنتی" است؟ آیا چنین کاری می تواند خطرات احتمالی را به حداقل برساند؟ متأسفانه در بیشتر موارد پاسخ منفی است.

اگرچه هیچ الزامات سختگیرانه ای از جانب مصرف کننده در مورد ایمنی داده های شخصی که هنگام خرید به فروشگاه آنلاین منتقل می کند وجود ندارد، این نمی تواند به عنوان شاخص اصلی برای انتخاب روش هایی برای سازماندهی پردازش و ذخیره سازی چنین مواردی باشد. اطلاعات محرمانه. خریدار معمولاً فرصتی برای ارزیابی اثربخشی حفاظت از داده های شخصی خود ندارد. بله، در حال حاضر، این نگرانی خاصی نیست، زیرا قیمت های جذاب، توصیفی زیبا از محصول و تحویل ترجیحی به هدف خود می رسد.

اکثر مخاطبان خرید حتی نمی‌دانند که اطلاعات شخصی خود را به کجا ارسال می‌کنند. یا یک کارآفرین فردی یا یک کارآفرین خصوصی است که کسب و کار اینترنتی خود را توسعه می دهد. یا این بخش وب یک خرده فروش بزرگ لوازم الکترونیکی مصرفی است. به طور طبیعی، نگرش به امنیت اطلاعات در یک زنجیره خرده فروشی بزرگ، سختگیرانه تر از یک کارآفرین است، که گاهی اوقات مجبور است به طور مستقل کالاها را به مشتریان تحویل دهد.

قابل توجه است که با وجود تهدید روزافزون سرقت اطلاعات محرمانه، اعتماد به تجارت آنلاین به طور مداوم در حال افزایش است. خریدار با پر کردن فرم سفارش اطلاعات مربوط به خود را وارد می‌کند، حتی گاهی اوقات بدون اینکه نگران نحوه رسیدگی کارکنان فروشگاه باشد. یا شاید برای فرآیندهای تجاری موجود چندان مورد تقاضا نیست؟

افزونگی حاصل از داده های درخواستی دقیقاً مشمول قانون فدرال-152 است، زیرا بین ماهیت و حجم اطلاعات دریافتی و وظایف موجود پردازش آن برای فرآیندهای تجاری ارائه شده در فروشگاه آنلاین مغایرت وجود دارد.

سطح فنی توسعه تجارت اینترنتی مدرن امکان استفاده از سیستم های CRM را فراهم می کند که به لطف آن می توان داده های مربوط به مشتری را برای تعامل بعدی با او و ارائه محصول جدید ذخیره کرد. اما آیا این برای سطح تعامل پس از فروش با خریدار ضروری است؟

طبق قانون فدرال 152، اطلاعات شخصی فقط برای مدت زمانی لازم برای پردازش آنها قابل ذخیره است. پس از خرید یا امتناع، تمام داده های شخصی باید از بین بروند، زیرا ذخیره آنها با ویژگی های فرآیندهای تجاری در حال انجام مطابقت ندارد. آیا هیچ شکی وجود دارد که عملاً کسی این کار را انجام نمی دهد.

قانون فدرال 152 حاوی مقرراتی است که وجود تجارت آنلاین را تهدید می کند. هر سازمان بازرسی ممکن است از صاحب یک فروشگاه آنلاین بخواهد که اجازه کتبی شهروند را برای استفاده از داده های شخصی خود در کارش ارائه دهد. هیچ کس حداکثر به صورت کتبی چنین مجوزی را ارائه نمی دهد، آنها به یادداشتی در مورد آشنایی با قوانین فروشگاه محدود می شوند.

از آنجایی که تماس مستقیم در تجارت آنلاین انتظار نمی رود، به استثنای ملاقات خریدار با پیک برای تحویل کالا، انطباق با قانون فدرال 152 تنها با غیر شخصی سازی داده های شخصی مصرف کننده امکان پذیر است و این مستلزم تنظیم فرآیندهای تجاری موجود است.

شکی نیست که پورتال های شرکتی به درستی به عنوان ابزاری مناسب شناخته می شوند که دسترسی به خدمات مختلف اطلاعات شرکت را ساده می کند. با شبکه توسعه یافته شعب و دفاتر مستقر در فاصله بسیار زیاد از دفتر مرکزی و تعداد قابل توجهی از شرکای تجاری، بهترین راه ارتباطی، اتصال از طریق کانال های VPN است که از سطح امنیتی مناسبی برخوردار است. با این حال، انتخاب چنین راه حل با تکنولوژی بالا بسیار گران است و برای هر شرکتی در دسترس نیست. در غیاب وجوه رایگان برای اتصال ایمن، یک راه آسان تر برای کار، یک نقطه دسترسی از اینترنت است.

یکی از ویژگی های پورتال شرکتی، حتی با در نظر گرفتن سطوح مختلف زیرساخت، ذخیره سازی اطلاعات محرمانه کارکنان، مشتریان شرکت و شرکای تجاری شخص حقوقی و قرار دادن اطلاعات مالی خود شرکت است. که افشای آن می تواند خسارت وارد کند. سازماندهی مؤثر کلیه فرآیندهای کار با داده های شخصی باید در نظر داشته باشد که اهداف و روش های پردازش داده ها برای هر زیر گروه از موضوعات متفاوت است. این یک رویکرد متمایز برای تبدیل داده های دسترسی محدود است که باید در مفهوم امنیت شرکت گنجانده شود.

شکی نیست که موقعیت مالی شرکت ایجاد یک پورتال شرکتی امکان جذب برنامه نویسان با تجربه برای کار یا خرید راه حل آماده و بارها آزمایش شده را فراهم می کند. با این حال، نباید فراموش کنیم که امنیت کد تنها پارامتری نیست که باید در هنگام توسعه یک سیستم امنیت اطلاعات موثر مورد توجه قرار گیرد. به طور کلی، امنیت اطلاعات باید توسط مدیریت شرکت به عنوان بخشی جدایی ناپذیر از سیستم امنیتی کلی شناخته شود.

در چند سال گذشته، تعداد کاربران شبکه های اجتماعی محبوب در RuNet با سرعت بی سابقه ای افزایش یافته و از مرز 50 میلیون نفر عبور کرده است. حجم عظیم داده های شخصی انباشته شده در شبکه های اجتماعی نیاز به کنترل مناسب دارد، این همان چیزی است که هنجارهای قانون فدرال-152 ایجاب می کند.

علیرغم تصور اول مبنی بر اینکه اطلاعات موجود در شبکه های اجتماعی را می توان «در دسترس عموم» در نظر گرفت، هر ساله تعداد فزاینده ای از داده ها طبق قانون به عنوان «داده های شخصی محرمانه» طبقه بندی می شود.

حقایق سرقت حساب های کاربری از شبکه های اجتماعی در خارج از کشور و روسیه غیر معمول نیست. صدها هزار حساب در دسترس مهاجمان قرار می گیرد. تعداد حملات هکرها در شبکه های اجتماعی در حال کاهش نیست.

طرح‌های متقلبانه اجتماعی پتانسیل بالایی دارند و از حملات فارمینگ، ارسال هرزنامه و فیشینگ برای اهداف خود استفاده می‌کنند. مجموعه تمام ابزارهای جرایم سایبری مدرن می تواند منجر به سرقت داده های محرمانه شود که با زودباوری و بی تجربگی افراد تسهیل می شود. مدیران رسانه های اجتماعی باید نظارت مستمر، شناسایی حوادث و حذف عواقب آن را انجام دهند.

خدمات بانکداری اینترنتی در صنعت بانکداری روسیه به طور فزاینده ای محبوب می شود. این هم به دلیل فقدان یک پلت فرم یکپارچه سازی و هم به دلیل سطح ناکافی اتوماسیون بسیاری از موسسات است.

مانند برنامه های کاربردی وب رایج، خدمات بانکداری اینترنتی و سیستم های پرداخت الکترونیکی مبتنی بر معماری مشتری-سرور مشترک هستند. مشخص است که "حلقه ضعیف" چنین تعاملی دقیقاً کاربر و دستگاه هایی است که با استفاده از آنها حساب خود را مدیریت می کند.

متأسفانه، مصرف کننده فرصتی برای ارزیابی عینی تمام خطراتی که به طور اجتناب ناپذیری هنگام مدیریت یک حساب بانکی از راه دور ایجاد می شود، ندارد. ناگفته نماند که اقدامات ایمنی مناسب را رعایت کنید. بنابراین بانک ها باید دانش مشتریان را در این زمینه ارتقا دهند.

قابل توجه است که مهاجمان اغلب به منظور سرقت وجوه به بانکداری اینترنتی توجه نمی کنند، زیرا موسسات مالی حداکثر امنیت را برای تراکنش ها فراهم می کنند، بلکه به منظور دسترسی به داده های شخصی مشتری. به همین دلیل است که طرح های کلاهبرداری با کارت های بانکی و سایر روش های سرقت مالی امکان پذیر می شود. بسیاری از کارشناسان بر این باورند که در بازار سیاه، صرفاً ثبت حساب های مشتریان ارزش خاص خود را دارد.

آمار به وضوح نشان می دهد که ایجاد و راه اندازی سرویس بانکداری اینترنتی در بسیاری از ساختارها با هنجارها و قوانین صنعت مطابقت ندارد. اغلب، هر موسسه مالی آن را به طور مستقل توسعه می داد و استانداردهای موجود فقط ماهیت مشاوره ای داشتند.

لازم الاجرا شدن قانون فدرال 152 مشکلات قابل توجهی را برای بسیاری از بانک ها ایجاد کرده است، زیرا کنترل تنظیم کننده بر ایمنی داده های شخصی در حال تشدید است، که نیاز به بهبود سیستم های امنیتی موجود دارد. مهم نیست که انجمن بانک ها چگونه تلاش کردند تا شروع قانون فدرال 152 را به تاخیر بیندازند، باز هم رعایت مفاد آن ضروری بود.