Mâinile care au ajuns de mult la tastatură peste noua capodopera de reglementare sunt deja bătute până în oase.
Nu mă mai pot abține și nu mai suport. Va trebui să scrie. De asemenea, astăzi a fost adoptat Decretul din 1 noiembrie 2012 nr. 1119 „Cu privire la aprobarea cerințelor de protecție a datelor cu caracter personal în timpul prelucrării acestora în sisteme de informare date cu caracter personal”, care anulează Decretul din 17 noiembrie 2007 nr. 781, expiră șapte zile de la data publicării.
Sincer să fiu, reacția colegilor din comunitatea profesională la noua rezoluție, care definește de fapt sistemul de construire a securității tehnice pentru prelucrarea datelor cu caracter personal în sistemele informaționale, nu doar m-a surprins, ci mai degrabă m-a nedumerit. Piese, și nu puține, le-a plăcut, deoarece, în opinia lor, nu conține nimic fundamental nou și nu strânge șuruburile mai mult, iar numărul de cerințe chiar scade în comparație cu PP-781. O altă parte a colegilor ceartă documentul, dar foarte general, mai ales pentru lipsa de specific.
Aveam o părere puțin diferită despre cerințe, am exprimat-o pe scurt la webinarul de astăzi, susținut de agenția noastră împreună cu compania Security Code, iar numărul de trimiteri pe această temă m-a determinat în sfârșit să scriu această postare.
Pentru a-mi sistematiza viziunea, am venit cu mai multe rafturi, conform cărora îmi voi descompune aprecierea documentului. Ne pare rău, vor fi multe scrisori. Foarte. Cuvintele au fost atent selectate, astfel încât categoria de cititori să poată fi 0+.
Raft mai întâi. Respectarea legii. Publicarea PP-1119 este o cerință directă a paragrafelor 1 și 2 din partea 3 a articolului 19 din noua ediție a 152-FZ „Cu privire la datele cu caracter personal”. Acesta este ceea ce îmi permite să evaluez foarte clar starea de lucruri pe acest raft. Hotărârea Guvernului nu respectă legea.
Legea prevedea să determine nivelurile de securitate și cerințele pentru acestea, în funcție de cinci factori:
- posibilă vătămare a subiectului datelor cu caracter personal,
- volumul datelor cu caracter personal prelucrate,
- conținutul datelor cu caracter personal prelucrate,
- tipul de activitate în care sunt prelucrate datele cu caracter personal,
- relevanța amenințărilor la adresa securității datelor cu caracter personal.
Tipurile de activitate și, cel mai important, vătămarea subiectului din documentul adoptat sunt în general absente ca semne de calificare. În clauza 7 din Cerințe, operatorul „nu este deloc uman”, nu pot spune altfel, se propune să se determine în mod independent tipul de amenințări la adresa securității datelor personale relevante pentru sistemul informațional, ținând cont de evaluarea posibilelor prejudicii, ghidată de documentele FSB și FSTEC care încă nu există.
Acestea. șeful grădiniței sau șeful departamentului de automatizare a unei fabrici de laminare a țevilor (din moment ce pur și simplu nu există nimeni altcineva care să se ocupe de astfel de probleme în astfel de organizații) va evalua prejudiciul de la divulgarea datelor personalului, educatorilor, vizitatorilor și rudele lor. Cu absența completă a dezvoltărilor metodologice în țară pe această temă. Oricine are chiar și puțină experiență în astfel de probleme știe că problema determinării cuantumului prejudiciului în încălcarea drepturilor civile este una dintre cele mai dificile din jurisprudență și procedurile judiciare. Dar, aparent, amintindu-și postulatul clasic despre capacitățile fiecărui bucătar, autorii au decis că problema poate fi rezolvată prin crowdsourcing. Potrivit estimărilor, există aproximativ șapte milioane de operatori. Uite cu ce vin. Un exemplu clasic de schimbare a problemelor de la un cap la altul, știi ce.
Cu activități, de asemenea, o ambuscadă. Ținând cont de faptul că noua versiune a legii nu lasă loc pentru standardele industriei pentru lucrul cu date personale, chiar aceste tipuri vor trebui luate în considerare într-un singur fel - prin inventarea amenințărilor de securitate suplimentare FSB și FSTEC, care, de fapt, este precizat în părțile 5 și 6 ale aceluiași articol 19 din lege. Punct. Doar să identifice noi amenințări, și să nu prevadă vreo relaxare, asemănătoare cu cele pe care Ministerul Sănătății le-a convenit cu FSTEC în documentele sale metodologice.
Raft al doilea. Metodologie. Raftul este cel mai... prost atârnat. Deoarece metodologia este cea mai importantă, problemele documentului. Declararea principalelor amenințări care conduc inevitabil la niveluri superioare securitate (vezi Tabelul 1), capabilități nedeclarate (nedocumentate) în sistem și aplicație Cerințele nu oferă nicio metodă și modalități de a le neutraliza deloc. Pentru astfel de metode se poate verifica doar acest software pentru absența marcajelor și a altor obiceiuri proaste. Și nimeni nu cere asta de la operatori, cel puțin în PP-1119.
Pentru a fi tratați pentru bombe logice, uși din spate și alte spirite rele, ele oferă metode vechi dovedite - clyster cu ace de gramofon și tencuirea membrelor neîntrerupte. Vezi tabelul.
Cum este utilizarea firewall-uriși desemnarea unei unități (sau a unei persoane responsabile) poate ajuta la prevenirea impacturilor sistem de operare se pare că numai autorii știu despre datele în curs de prelucrare.
Raft al treilea. Terminologie. Și aceasta este partea cea mai misterioasă a documentului. De unde au venit „angajații operatorului” și de ce nu sunt angajați, al căror statut juridic este descris clar de Codul Muncii – întrebarea este simplă și evidentă. Dar ce este " jurnal electronic mesaje” (p. 15) și cum diferă de „jurnalul de securitate electronică” (p. 16), dacă diferă deloc, există un mare secret. Presupun că este vorba despre bușteni. Jurnalele de ce? OS? DB? fundul? GIS? Toate împreună sau ceva separat? Întrebări fără răspunsuri.
Decretul introduce conceptul de sistem informatic care prelucrează date cu caracter personal disponibile publicului, care este absent în lege, și consideră că acesta este primit numai din surse de date cu caracter personal disponibile public creat în conformitate cu articolul 8 din 152-FZ.
Și dacă sunt primite într-un mod diferit, de exemplu, dacă acestea sunt informații supuse publicării și dezvăluirii obligatorii, ca informații de la și care sunt disponibile public în conformitate cu Legea federală privind persoanele juridice și antreprenorii individuali sau informații despre persoane afiliate ale emitentul Sau datele personale ale candidaților la deputați, supuse publicării. Cum să fii cu ei? Din nou o întrebare fără răspuns.
În sfârșit, evaluarea conformității. Termenul, care nu are explicații în legătură cu facilitatea de securitate a informațiilor în niciun act, cu excepția Decretului închis nr. 330, continuă să cutreiere cadrul de reglementare. Dar chiar dacă operatorul a văzut acest Decret, nu îi este dat să înțeleagă cum se realizează evaluarea conformității în cadrul controlului și supravegherii de stat. Și evaluează consecințele așteptării sosirii controlorului și comportamentul acestuia la vederea fondurilor necertificate. Ei bine, să nu uităm că, în noua versiune a legii, actele juridice de reglementare referitoare la prelucrarea datelor cu caracter personal sunt supuse publicării oficiale.
Raft al patrulea. Aplicabilitate. Rezoluția poate fi pe deplin operațională numai după adoptarea actelor relevante ale FSB și FSTEC, prevăzute în partea 4 a articolului 19 din 152-FZ, precum și organismele federale care îndeplinesc funcțiile de dezvoltare a reglementărilor statale și legale în domeniu de activitate stabilit, autorităţile de stat ale subiecţilor Federația Rusă, organele fondurilor nebugetare ale statului, alte organe ale statului în ceea ce privește determinarea amenințărilor reale la adresa securității datelor cu caracter personal (partea 5 a articolului 19 din 152-FZ, clauza 2 din Cerințe), care lipsesc și nu se cunoaște când vor fi adoptate.
În aceste condiții, este aproape imposibil ca un operator să îndeplinească cerințele stabilite. Revin la șeful grădiniței și șeful secției de automatizări a instalației de laminare a țevilor. Cine va fi primul care va explica ce „capacități nedeclarate ale sistemului softwareși după ce semne va evalua relevanța acestei amenințări? Ce îl poate face pe cel de-al doilea să recunoască aceste amenințări ca fiind relevante pentru fabrica sa și să-și asume probleme suplimentare? Cum vor evalua răul despre care s-a scris atunci când au analizat primul raft? Să așteptăm documentele FSB și FSTEC. Ceva îmi spune că nu va fi posibil să refuz pur și simplu neutralizarea capacităților nedeclarate. Băncile și telecomunicațiile o vor rezolva în cele din urmă. Și ce rămâne cu restul, care nu au specialiști și licențe de la FSB/FSTEC - și universități, spitale și clinici, oficii de evidență și centre de angajare etc, etc.? Nimic decât nedumerire, un astfel de document le poate provoca.
Nu voi scrie un CV. Și astfel totul este clar.
GUVERNUL FEDERATIEI RUSE
REZOLUŢIE
Cu privire la aprobarea cerințelor de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal
În conformitate cu articolul 19 din Legea federală „Cu privire la datele cu caracter personal”, Guvernul Federației Ruse
decide:
1. Aproba cerințele anexate pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal.
2. Recunoaște invalid Decretul Guvernului Federației Ruse din 17 noiembrie 2007 N 781 „Cu privire la aprobarea Regulamentului privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu caracter personal” (Legislația colectată a Federației Ruse, 2007, N 48, Art. 6001).
Prim-ministru
Federația Rusă
D. Medvedev
Cerințe pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal
APROBAT
Decret de Guvern
Federația Rusă
din data de 1 noiembrie 2012 N 1119
1. Prezentul document stabilește cerințele pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal (denumite în continuare sisteme informatice) și nivelurile de protecție a acestor date.
2. Securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional este asigurată cu ajutorul unui sistem de protecție a datelor cu caracter personal care neutralizează amenințările actuale definite în conformitate cu Partea 5 a articolului 19 din Legea federală „Cu privire la datele cu caracter personal”.
Sistemul de protecție a datelor cu caracter personal include măsuri organizatorice și (sau) tehnice determinate ținând cont de amenințările actuale la adresa securității datelor cu caracter personal și tehnologia Informatiei utilizate în sistemele informaţionale.
3. Securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemul informatic este asigurată de operatorul acestui sistem care prelucrează datele cu caracter personal (denumit în continuare operator), sau de persoana care prelucrează datele cu caracter personal în numele operatorului pe baza a unui acord încheiat cu această persoană (denumită în continuare persoana împuternicită). Acordul dintre operator și persoana autorizată trebuie să prevadă obligația persoanei autorizate de a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional.
4. Alegerea instrumentelor de securitate a informațiilor pentru sistemul de protecție a datelor cu caracter personal se realizează de către operator în conformitate cu actele juridice de reglementare adoptate. Serviciul Federal Securitatea Federației Ruse și a Serviciului Federal pentru Controlul Tehnic și al Exporturilor în conformitate cu articolul 19 partea 4 din Legea federală „Cu privire la datele cu caracter personal”.
5. Un sistem informatic este un sistem informatic care prelucrează categorii speciale de date cu caracter personal dacă prelucrează date cu caracter personal referitoare la rasă, naționalitate, opinii politice, convingeri religioase sau filozofice, starea de sănătate, viața intimă a persoanelor vizate de date cu caracter personal.
Un sistem informatic este un sistem informatic care prelucrează date cu caracter personal biometrice dacă prelucrează informații care caracterizează caracteristicile fiziologice și biologice ale unei persoane, pe baza cărora este posibilă stabilirea identității acesteia și care sunt utilizate de operator pentru identificarea subiectului. de date cu caracter personal și nu prelucrează informații referitoare la categorii speciale de date cu caracter personal.
Un sistem informatic este un sistem informatic care prelucrează date cu caracter personal disponibile publicului dacă prelucrează date cu caracter personal ale persoanelor vizate de date cu caracter personal, obținute numai din surse de date cu caracter personal disponibile public, create în conformitate cu articolul 8 din Legea federală „Cu privire la datele cu caracter personal”.
Un sistem informatic este un sistem informatic care prelucrează alte categorii de date cu caracter personal, dacă nu prelucrează datele cu caracter personal specificate la alineatele unu-trei din prezentul alineat.
Un sistem informatic este un sistem informatic care prelucrează datele personale ale angajaților operatorului dacă prelucrează datele personale doar ale angajaților specificati. În alte cazuri, sistemul de informare cu date cu caracter personal este un sistem de informare care prelucrează date cu caracter personal ale persoanelor vizate de date cu caracter personal care nu sunt angajați ai operatorului.
6. Amenințările efective la adresa securității datelor cu caracter personal sunt înțelese ca un set de condiții și factori care creează un pericol real de acces neautorizat, inclusiv accidental, la datele cu caracter personal în timpul prelucrării acestora într-un sistem informatic, care poate avea ca rezultat distrugerea, modificarea, blocarea, copierea, furnizarea, distribuirea datelor cu caracter personal, precum și alte acțiuni ilegale.
Amenințările de primul tip sunt relevante pentru un sistem informațional dacă, printre altele, amenințările asociate cu prezența capacităților nedocumentate (nedeclarate) în software-ul de sistem utilizat în sistemul informațional sunt relevante pentru acesta.
Amenințările de al doilea tip sunt relevante pentru un sistem informațional dacă, printre altele, este supus amenințărilor legate de prezența capacităților nedocumentate (nedeclarate) în aplicația software utilizată în sistemul informațional.
Amenințările de al treilea tip sunt relevante pentru un sistem informațional dacă sunt relevante pentru acesta amenințări care nu sunt legate de prezența capacităților nedocumentate (nedeclarate) în sistem și aplicații software utilizate în sistemul informațional.
7. Determinarea tipului de amenințări la adresa securității datelor cu caracter personal relevante pentru sistemul informatic este efectuată de operator, ținând cont de evaluarea posibilelor prejudicii efectuată în temeiul clauzei 5 a părții 1 a articolului 18_1 din Legea federală „Cu privire la datele cu caracter personal” și în conformitate cu actele juridice de reglementare adoptate în temeiul părții 5 a articolului 19 din Legea federală „Cu privire la datele cu caracter personal”.
8. La prelucrarea datelor cu caracter personal în sistemele informaționale se stabilesc 4 niveluri de protecție a datelor cu caracter personal.
9. Necesitatea asigurării nivelului I de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional se stabilește dacă este prezentă cel puțin una dintre următoarele condiții:
a) Amenințările de tip 1 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează fie categorii speciale de date cu caracter personal, fie date cu caracter personal biometrice, fie alte categorii de date cu caracter personal;
b) Amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează categorii speciale de date cu caracter personal a peste 100.000 de persoane vizate care nu sunt angajați ai operatorului.
10. Necesitatea asigurării nivelului 2 de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional se stabilește dacă este prezentă cel puțin una dintre următoarele condiții:
a) Amenințările de tip 1 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile publicului;
b) Amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează categorii speciale de date cu caracter personal ale angajaților operatorului sau categorii speciale de date cu caracter personal a mai puțin de 100.000 de persoane vizate care nu sunt angajați ai operatorului;
c) amenințările de tip 2 sunt relevante pentru sistemul informațional și sistemul informațional prelucrează date cu caracter personal biometrice;
d) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile public a peste 100.000 de persoane vizate care nu sunt angajați ai operatorului;
e) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează alte categorii de date cu caracter personal a peste 100.000 de persoane vizate care nu sunt angajați ai operatorului;
f) Amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează categorii speciale de date cu caracter personal a peste 100.000 de persoane vizate care nu sunt angajați ai operatorului.
11. Necesitatea asigurării nivelului 3 de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional se stabilește dacă este prezentă cel puțin una dintre următoarele condiții:
a) Amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile public ale angajaților operatorului sau date cu caracter personal disponibile public ale mai puțin de 100.000 de persoane vizate care nu sunt angajați ai operatorului;
b) Amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează alte categorii de date cu caracter personal ale angajaților operatorului sau alte categorii de date cu caracter personal ale unui număr mai mic de 100.000 de persoane vizate care nu sunt angajați ai operatorului;
c) Amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează categorii speciale de date cu caracter personal ale angajaților operatorului sau categorii speciale de date cu caracter personal a mai puțin de 100.000 de persoane vizate care nu sunt angajați ai operatorului;
d) Amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal biometrice;
e) Amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează alte categorii de date cu caracter personal a mai mult de 100.000 de persoane vizate care nu sunt angajați ai operatorului.
12. Necesitatea asigurării nivelului 4 de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional se stabilește dacă este prezentă cel puțin una dintre următoarele condiții:
a) Amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile publicului;
b) Amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează alte categorii de date cu caracter personal ale angajaților operatorului sau alte categorii de date cu caracter personal a mai puțin de 100.000 de persoane vizate care nu sunt angajați ai operatorului.
13. Pentru asigurarea celui de-al 4-lea nivel de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale, trebuie îndeplinite următoarele cerințe:
a) organizarea unui regim de asigurare a securității incintei în care se află sistemul informațional, împiedicând posibilitatea intrării sau șederii necontrolate în aceste incinte a persoanelor care nu au dreptul de acces la aceste incinte;
b) asigurarea securității purtătorilor de date cu caracter personal;
c) aprobarea de către conducătorul operatorului a unui document care definește lista persoanelor al căror acces la datele cu caracter personal prelucrate în sistemul informațional este necesar pentru îndeplinirea atribuțiilor lor oficiale (de muncă);
d) utilizarea instrumentelor de securitate a informațiilor care au trecut procedura de evaluare a conformității cu cerințele legislației Federației Ruse în domeniul securității informațiilor, în cazul în care utilizarea unor astfel de instrumente este necesară pentru neutralizarea amenințărilor actuale.
14. Pentru a asigura nivelul 3 de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale, pe lângă îndeplinirea cerințelor prevăzute la paragraful 13 din prezentul document, este necesar ca un funcționar (angajat) să fie numit responsabil cu asigurarea securității. a datelor cu caracter personal din sistemul informatic.
15. Pentru asigurarea nivelului 2 de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale, pe lângă îndeplinirea cerințelor prevăzute la paragraful 14 al prezentului document, este necesar ca accesul la conținutul jurnalului de mesaje electronice să fie posibil doar pentru funcționarii (angajații) operatorului sau o persoană autorizată, pentru care informațiile conținute în jurnalul specificat sunt necesare pentru îndeplinirea atribuțiilor oficiale (de muncă).
16. Pentru asigurarea nivelului I de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale, pe lângă cerințele prevăzute la paragraful 15 din prezentul document, trebuie îndeplinite următoarele cerințe:
a) înregistrarea automată în jurnalul electronic de securitate a unei modificări a autorităţii angajatului operatorului de a accesa datele personale conţinute în sistemul informaţional;
b) crearea unei unități structurale responsabilă cu asigurarea securității datelor cu caracter personal în sistemul informațional sau atribuirea unor funcții de asigurare a securității uneia dintre unitățile structurale.
17. Controlul asupra implementării acestor cerințe este organizat și efectuat de către operator (persoană autorizată) în mod independent și (sau) cu implicare pe bază contractuală entitati legaleși întreprinzători individuali care au licență de desfășurare a activităților pt protectie tehnica informații confidențiale. Controlul specificat se efectuează cel puțin 1 dată în 3 ani în termeni stabiliți de operator (persoană autorizată).
Textul electronic al documentului
intocmit de CJSC „Kodeks” si verificat conform.
GUVERNUL FEDERATIEI RUSE
PRIVIND APROBAREA CERINȚELOR
În conformitate cu articolul 19 din Legea federală „Cu privire la datele cu caracter personal”, Guvernul Federației Ruse decide:
1. Aproba cerințele anexate pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal.
2. Recunoaște invalid Decretul Guvernului Federației Ruse din 17 noiembrie 2007 N 781 „Cu privire la aprobarea Regulamentului privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu caracter personal” (Sobraniye Zakonodatelstva Rossiyskoy Federatsii, 2007, N 48, Art. 6001) .
Prim-ministru
Federația Rusă
D. MEDVEDEV
Aprobat
Decret de Guvern
Federația Rusă
din data de 1 noiembrie 2012 N 1119
CERINȚE
PENTRU PROTECȚIA DATELOR PERSONALE ÎN TIMPUL PRELUCRĂRII LOR
ÎN SISTEME INFORMAȚII ALE DATELOR PERSONALE
1. Prezentul document stabilește cerințele pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal (denumite în continuare sisteme informatice) și nivelurile de protecție a acestor date.
2. Securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional este asigurată prin intermediul unui sistem de protecție a datelor cu caracter personal care neutralizează amenințările actuale definite în conformitate cu Partea 5 a articolului 19 din Legea federală „Cu privire la datele cu caracter personal”.
Sistemul de protecție a datelor cu caracter personal include măsuri organizatorice și (sau) tehnice determinate ținând cont de amenințările actuale la adresa securității datelor cu caracter personal și a tehnologiilor informaționale utilizate în sistemele informaționale.
3. Securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemul informatic este asigurată de operatorul acestui sistem care prelucrează datele cu caracter personal (denumit în continuare operator), sau de persoana care prelucrează datele cu caracter personal în numele operatorului pe baza a unui acord încheiat cu această persoană (denumită în continuare persoana împuternicită). Acordul dintre operator și persoana autorizată trebuie să prevadă obligația persoanei autorizate de a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional.
4. Alegerea instrumentelor de securitate a informațiilor pentru sistemul de protecție a datelor cu caracter personal este efectuată de operator în conformitate cu actele juridice de reglementare adoptate de Serviciul Federal de Securitate al Federației Ruse și Serviciul Federal de Control Tehnic și de Export, în conformitate cu Partea 4 al articolului 19 din Legea federală „Cu privire la datele cu caracter personal”.
5. Un sistem informatic este un sistem informatic care prelucrează categorii speciale de date cu caracter personal dacă prelucrează date cu caracter personal referitoare la rasă, naționalitate, opinii politice, convingeri religioase sau filozofice, starea de sănătate, viața intimă a persoanelor vizate de date cu caracter personal.
Un sistem informatic este un sistem informatic care prelucrează date cu caracter personal biometrice dacă prelucrează informații care caracterizează caracteristicile fiziologice și biologice ale unei persoane, pe baza cărora este posibilă stabilirea identității acesteia și care sunt utilizate de operator pentru identificarea subiectului. de date cu caracter personal și nu prelucrează informații referitoare la categorii speciale de date cu caracter personal.
Un sistem informatic este un sistem informatic care prelucrează date cu caracter personal disponibile publicului dacă prelucrează date cu caracter personal ale persoanelor vizate de date cu caracter personal, obținute numai din surse de date cu caracter personal disponibile public, create în conformitate cu articolul 8 din Legea federală „Cu privire la datele cu caracter personal”.
Un sistem informatic este un sistem informatic care prelucrează alte categorii de date cu caracter personal, dacă nu prelucrează datele cu caracter personal specificate la alineatele unu-trei din prezenta clauză.
Un sistem informatic este un sistem informatic care prelucrează datele personale ale angajaților operatorului dacă prelucrează datele personale doar ale angajaților specificati. În alte cazuri, sistemul de informare cu date cu caracter personal este un sistem de informare care prelucrează date cu caracter personal ale persoanelor vizate de date cu caracter personal care nu sunt angajați ai operatorului.
6. Amenințările efective la adresa securității datelor cu caracter personal sunt înțelese ca un set de condiții și factori care creează un pericol real de acces neautorizat, inclusiv accidental, la datele cu caracter personal în timpul prelucrării acestora într-un sistem informatic, care poate avea ca rezultat distrugerea, modificarea, blocarea, copierea, furnizarea, distribuirea datelor cu caracter personal, precum și alte acțiuni ilegale.
Amenințările de primul tip sunt relevante pentru un sistem informațional dacă, printre altele, amenințările asociate cu prezența capacităților nedocumentate (nedeclarate) în software-ul de sistem utilizat în sistemul informațional sunt relevante pentru acesta.
Amenințările de al doilea tip sunt relevante pentru un sistem informațional dacă, printre altele, este supus amenințărilor legate de prezența capacităților nedocumentate (nedeclarate) în aplicația software utilizată în sistemul informațional.
Amenințările de al treilea tip sunt relevante pentru un sistem informațional dacă sunt relevante pentru acesta amenințări care nu sunt legate de prezența capacităților nedocumentate (nedeclarate) în sistem și aplicații software utilizate în sistemul informațional.
7. Determinarea tipului de amenințări la adresa securității datelor cu caracter personal relevante pentru sistemul informatic este efectuată de operator, ținând cont de evaluarea posibilelor prejudicii efectuată în temeiul paragrafului 5 din partea 1 a articolului 18.1 din Legea federală „Cu privire la datele cu caracter personal” și în conformitate cu actele juridice de reglementare adoptate în temeiul părții 5 a articolului 19 din Legea federală „Cu privire la datele cu caracter personal”.
8. La prelucrarea datelor cu caracter personal în sistemele informaționale se stabilesc 4 niveluri de protecție a datelor cu caracter personal.
9. Necesitatea asigurării nivelului I de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional se stabilește dacă este prezentă cel puțin una dintre următoarele condiții:
a) Amenințările de tip 1 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează fie categorii speciale de date cu caracter personal, fie date cu caracter personal biometrice, fie alte categorii de date cu caracter personal;
b) Amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează categorii speciale de date cu caracter personal a peste 100.000 de persoane vizate care nu sunt angajați ai operatorului.
10. Necesitatea asigurării nivelului 2 de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional se stabilește dacă este prezentă cel puțin una dintre următoarele condiții:
a) Amenințările de tip 1 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile publicului;
b) Amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează categorii speciale de date cu caracter personal ale angajaților operatorului sau categorii speciale de date cu caracter personal a mai puțin de 100.000 de persoane vizate care nu sunt angajați ai operatorului;
c) amenințările de tip 2 sunt relevante pentru sistemul informațional și sistemul informațional prelucrează date cu caracter personal biometrice;
d) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile public a peste 100.000 de persoane vizate care nu sunt angajați ai operatorului;
e) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează alte categorii de date cu caracter personal a peste 100.000 de persoane vizate care nu sunt angajați ai operatorului;
f) Amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează categorii speciale de date cu caracter personal a peste 100.000 de persoane vizate care nu sunt angajați ai operatorului.
11. Necesitatea asigurării nivelului 3 de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional se stabilește dacă este prezentă cel puțin una dintre următoarele condiții:
a) Amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile public ale angajaților operatorului sau date cu caracter personal disponibile public ale mai puțin de 100.000 de persoane vizate care nu sunt angajați ai operatorului;
b) Amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează alte categorii de date cu caracter personal ale angajaților operatorului sau alte categorii de date cu caracter personal ale unui număr mai mic de 100.000 de persoane vizate care nu sunt angajați ai operatorului;
c) Amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează categorii speciale de date cu caracter personal ale angajaților operatorului sau categorii speciale de date cu caracter personal a mai puțin de 100.000 de persoane vizate care nu sunt angajați ai operatorului;
d) Amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal biometrice;
e) Amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează alte categorii de date cu caracter personal a mai mult de 100.000 de persoane vizate care nu sunt angajați ai operatorului.
12. Necesitatea asigurării nivelului 4 de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional se stabilește dacă este prezentă cel puțin una dintre următoarele condiții:
a) Amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile publicului;
b) Amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează alte categorii de date cu caracter personal ale angajaților operatorului sau alte categorii de date cu caracter personal a mai puțin de 100.000 de persoane vizate care nu sunt angajați ai operatorului.
13. Pentru asigurarea celui de-al 4-lea nivel de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale, trebuie îndeplinite următoarele cerințe:
a) organizarea unui regim de asigurare a securității incintei în care se află sistemul informațional, împiedicând posibilitatea intrării sau șederii necontrolate în aceste incinte a persoanelor care nu au dreptul de acces la aceste incinte;
b) asigurarea securității purtătorilor de date cu caracter personal;
c) aprobarea de către conducătorul operatorului a unui document care definește lista persoanelor al căror acces la datele cu caracter personal prelucrate în sistemul informațional este necesar pentru îndeplinirea atribuțiilor lor oficiale (de muncă);
d) utilizarea instrumentelor de securitate a informațiilor care au trecut procedura de evaluare a conformității cu cerințele legislației Federației Ruse în domeniul securității informațiilor, în cazul în care utilizarea unor astfel de instrumente este necesară pentru neutralizarea amenințărilor actuale.
14. Pentru a asigura nivelul 3 de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale, pe lângă îndeplinirea cerințelor prevăzute la paragraful 13 din prezentul document, este necesar ca un funcționar (angajat) să fie numit responsabil cu asigurarea securității. a datelor cu caracter personal din sistemul informatic.
15. Pentru asigurarea nivelului 2 de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale, pe lângă îndeplinirea cerințelor prevăzute la paragraful 14 al prezentului document, este necesar ca accesul la conținutul jurnalului de mesaje electronice să fie posibil doar pentru funcționarii (angajații) operatorului sau o persoană autorizată, pentru care informațiile conținute în jurnalul specificat sunt necesare pentru îndeplinirea atribuțiilor oficiale (de muncă).
16. Pentru asigurarea nivelului I de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale, pe lângă cerințele prevăzute la paragraful 15 din prezentul document, trebuie îndeplinite următoarele cerințe:
a) înregistrarea automată în jurnalul electronic de securitate a unei modificări a autorităţii angajatului operatorului de a accesa datele personale conţinute în sistemul informaţional;
b) crearea unei unități structurale responsabilă cu asigurarea securității datelor cu caracter personal în sistemul informațional sau atribuirea unor funcții de asigurare a securității uneia dintre unitățile structurale.
17. Controlul asupra implementării acestor cerințe este organizat și desfășurat de către operator (persoană autorizată) în mod independent și (sau) cu implicarea persoanelor juridice și a antreprenorilor individuali pe bază contractuală, licențiați să desfășoare activități de protecție tehnică a informații confidențiale. Controlul specificat se efectuează cel puțin 1 dată în 3 ani în termeni stabiliți de operator (persoană autorizată).
Mâinile care au ajuns de mult la tastatură peste noua capodopera de reglementare sunt deja bătute până în oase. Nu mă mai pot abține și nu mai suport. Va trebui să scrie. De asemenea, astăzi intră în vigoare Decretul din 01.11.2012 nr. 1119 „Cu privire la aprobarea cerințelor de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal”, care anulează Decretul din 17.11.2007 nr. 781. Șapte zile de la data publicării expiră.
Sincer să fiu, reacția colegilor din comunitatea profesională la noua rezoluție, care definește de fapt sistemul de construire a securității tehnice pentru prelucrarea datelor cu caracter personal în sistemele informaționale, nu doar m-a surprins, ci mai degrabă m-a nedumerit. Piese, și nu puține, le-a plăcut, deoarece, în opinia lor, nu conține nimic fundamental nou și nu strânge șuruburile mai mult, iar numărul de cerințe chiar scade în comparație cu PP-781. O altă parte a colegilor ceartă documentul, dar într-un mod foarte general, în principal pentru lipsa de specific.
Aveam o părere puțin diferită despre cerințe, mi-am exprimat-o pe scurt la webinarul de astăzi, ținut de agenția noastră împreună cu compania Security Code, iar numărul de întrebări primite despre asta m-a determinat în sfârșit să scriu această postare.
Pentru a-mi sistematiza viziunea, am venit cu mai multe rafturi, conform cărora îmi voi descompune aprecierea documentului. Ne pare rău, vor fi multe scrisori. Foarte. Cuvintele au fost atent selectate, astfel încât categoria de cititori să poată fi 0+.
Raft mai întâi. Respectarea legii. Eliberarea PP-1119 este o cerință directă a paragrafelor 1 și 2 din partea 3 a articolului 19 din noua ediție a 152-FZ „Cu privire la datele personale”. Acesta este ceea ce îmi permite să evaluez foarte clar starea de lucruri pe acest raft. Hotărârea Guvernului nu respectă legea. Legea prevedea să determine nivelurile de securitate și cerințele pentru acestea, în funcție de cinci factori:
· posibilă vătămare a subiectului datelor cu caracter personal,
· volumul datelor cu caracter personal prelucrate,
· conținutul datelor cu caracter personal prelucrate,
· tipul de activitate în care sunt prelucrate datele cu caracter personal,
· relevanța amenințărilor la adresa securității datelor cu caracter personal.
Tipurile de activitate și, cel mai important, vătămarea subiectului din documentul adoptat sunt în general absente ca semne de calificare. În clauza 7 din Cerințe, operatorul „nu este deloc uman”, nu pot spune altfel, se propune să se determine în mod independent tipul de amenințări la adresa securității datelor personale relevante pentru sistemul informațional, ținând cont de evaluarea posibilelor prejudicii, ghidată de documentele FSB și FSTEC care încă nu există. Acestea. șeful grădiniței sau șeful departamentului de automatizare a unei fabrici de laminare a țevilor (din moment ce pur și simplu nu există nimeni altcineva care să se ocupe de astfel de probleme în astfel de organizații) va evalua prejudiciul de la divulgarea datelor personalului, educatorilor, vizitatorilor și rudele lor. Cu absența completă a dezvoltărilor metodologice în țară pe această temă. Oricine are chiar și puțină experiență în astfel de probleme știe că problema determinării cuantumului prejudiciului în încălcarea drepturilor civile este una dintre cele mai dificile din jurisprudență și procedurile judiciare. Dar, aparent, amintindu-și postulatul clasic despre capacitățile fiecărui bucătar, autorii au decis că problema poate fi rezolvată prin crowdsourcing. Operatorii, conform lui Roskomnadzor, sunt aproximativ șapte milioane. Uite cu ce vin. Un exemplu clasic de schimbare a problemelor de la un cap la altul, știi ce.
Cu activități, de asemenea, o ambuscadă. Ținând cont de faptul că noua versiune a legii nu lasă loc standardelor din industrie pentru lucrul cu datele personale, aceleași tipuri vor trebui luate în considerare doar într-un singur fel - prin inventarea amenințărilor de securitate care sunt suplimentare celor inventate de FSB și FSTEC, care, de fapt, este precizat în părțile 5 și 6 din același articol 19 din lege. Punct. Doar să identifice noi amenințări, și să nu prevadă vreo relaxare, asemănătoare cu cele pe care Ministerul Sănătății le-a convenit cu FSTEC în documentele sale metodologice.
Raft al doilea. Metodologie. Raftul este cel mai... prost atârnat. Deoarece în metodologie - cele mai importante, probleme cheie ale documentului. Declarând caracteristicile nedeclarate (nedocumentate) în software-ul de sistem și aplicații ca fiind principalele amenințări care conduc inevitabil la stabilirea unor niveluri mai ridicate de securitate (vezi Tabelul 1), Cerințele nu oferă deloc metode sau modalități de a le neutraliza. Pentru astfel de metode se poate verifica doar acest software pentru absența marcajelor și a altor obiceiuri proaste. Și nimeni nu cere asta de la operatori, cel puțin în PP-1119.
tabelul 1
|
tip ISPD |
Personalul operatorului |
Numărul de subiecte |
Tipul de amenințări curente |
||
|
1 |
2 |
3 |
|||
|
ISPDn-S |
Nu |
> 100 000 |
UZ-1 |
UZ-1 |
UZ-2 |
|
Nu |
< 100 000 |
UZ-1 |
UZ-2 |
UZ-3 |
|
|
da |
|||||
|
ISPDn-B |
UZ-1 |
UZ-2 |
UZ-3 |
||
|
ISPDn-I |
Nu |
> 100 000 |
UZ-1 |
UZ-2 |
UZ-3 |
|
Nu |
< 100 000 |
UZ-2 |
UZ-3 |
UZ-4 |
|
|
da |
|||||
|
ISPDn-O |
Nu |
> 100 000 |
UZ-2 |
UZ-2 |
UZ-4 |
|
Nu |
< 100 000 |
UZ-2 |
UZ-3 |
UZ-4 |
|
|
da |
Pentru a fi tratați pentru bombe logice, uși din spate și alte spirite rele, ele oferă metode vechi dovedite - clyster cu ace de gramofon și tencuirea membrelor neîntrerupte. Vezi tabelul 2.
masa 2
|
Cerințe |
Niveluri Securitate |
|||
|
1 |
2 |
3 |
4 |
|
|
Regimul de securitate pentru spațiile în care sunt prelucrate datele cu caracter personal |
||||
|
Siguranța purtătorilor de date cu caracter personal |
||||
|
Lista persoanelor admise la datele personale |
||||
|
IPS care au trecut procedura de evaluare a conformității |
||||
|
Funcționarul responsabil cu asigurarea securității datelor cu caracter personal în ISPD |
||||
|
Restricționarea accesului la conținutul jurnalului de mesaje electronice |
||||
|
Înregistrarea automată în jurnalul electronic de securitate a unei modificări a autorității angajatului unui operator de a accesa datele personale |
||||
|
Unitate structurală responsabilă cu asigurarea securității datelor cu caracter personal |
Cum utilizarea firewall-urilor certificate și numirea unei unități responsabile (sau a unei persoane responsabile) poate ajuta la prevenirea impactului sistemului de operare asupra datelor prelucrate, se pare, doar autorii știu.
Raft al treilea. Terminologie. Și aceasta este partea cea mai misterioasă a documentului. De unde au venit „angajații operatorului” și de ce nu sunt angajați, al căror statut juridic este descris clar de Codul Muncii – întrebarea este simplă și evidentă. Dar ce este „jurnalul electronic de mesaje” (p. 15) și cum diferă de „jurnalul electronic de securitate” (p. 16), dacă diferă deloc - există un mare secret. Presupun că este vorba despre bușteni. Jurnalele de ce? OS? DB? fundul? GIS? Toate împreună sau ceva separat? Întrebări fără răspunsuri.
Decretul introduce conceptul de sistem informatic care prelucrează date cu caracter personal disponibile publicului, care este absent în lege, și consideră că acesta este primit numai din surse de date cu caracter personal disponibile public creat în conformitate cu articolul 8 din 152-FZ.
Și dacă sunt obținute într-un mod diferit, de exemplu, dacă acestea sunt informații care fac obiectul publicării și dezvăluirii obligatorii, cum ar fi informațiile din Registrul unificat de stat al persoanelor juridice și EGRIP, care sunt disponibile public în conformitate cu Legea federală privind înregistrarea de stat. al Persoanelor Juridice și al Antreprenorilor Individuali. Sau informații despre afiliații emitentului hârtii valoroase. Sau datele personale ale candidaților la deputați să fie publicate. Cum să fii cu ei? Din nou o întrebare fără răspuns.
În sfârșit, evaluarea conformității. Termenul, care nu are explicații în legătură cu facilitatea de securitate a informațiilor în niciun act, cu excepția Decretului închis nr. 330, continuă să cutreiere cadrul de reglementare. Dar chiar dacă operatorul a văzut acest Decret, nu îi este dat să înțeleagă cum se realizează evaluarea conformității în cadrul controlului și supravegherii de stat. Și evaluează consecințele așteptării sosirii controlorului și comportamentul acestuia la vederea fondurilor necertificate. Ei bine, să nu uităm că, în noua versiune a legii, actele juridice de reglementare referitoare la prelucrarea datelor cu caracter personal sunt supuse publicării oficiale.
Raft al patrulea. Aplicabilitate. Rezoluția poate deveni pe deplin operațională numai după adoptarea actelor relevante ale FSB și FSTEC, prevăzute în partea 4 a articolului 19 din 152-FZ, precum și organele executive federale care îndeplinesc funcțiile de dezvoltare a politicii de stat și reglementarea legală în domeniul de activitate stabilit, organele autorităților de stat ale entităților constitutive ale Federației Ruse, Banca Rusiei, organismele fondurilor extrabugetare de stat, alte organe de stat în ceea ce privește determinarea amenințărilor reale la adresa securității datelor cu caracter personal ( partea 5 a articolului 19 din 152-FZ, clauza 2 din Cerințe), care lipsesc și nu se știe când vor fi adoptate. În aceste condiții, este aproape imposibil ca un operator să îndeplinească cerințele stabilite. Revin la șeful grădiniței și șeful secției de automatizări a instalației de laminare a țevilor. Cine va fi primul care va explica ce sunt „capacități software de sistem nedeclarate” și după ce criterii va evalua relevanța acestei amenințări? Ce poate face ca a doua persoană să recunoască aceste amenințări ca fiind relevante pentru fabrica sa și să-și asume probleme suplimentare? Cum vor evalua răul despre care s-a scris atunci când au analizat primul raft? Să așteptăm documentele FSB și FSTEC. Ceva îmi spune că nu va fi posibil să refuz pur și simplu neutralizarea capacităților nedeclarate. Băncile și telecomunicațiile o vor rezolva în cele din urmă. Și ce rămâne cu restul, care nu au specialiști de specialitate și licențe FSB/FSTEC - școli și universități, spitale și clinici, oficii de evidență și centre de angajare etc, etc.? Nimic decât nedumerire, un astfel de document le poate provoca.
Nu voi scrie un CV. Și astfel totul este clar.
Mâinile care au ajuns de mult la tastatură peste noua capodopera de reglementare sunt deja bătute până în oase. Nu mă mai pot abține și nu mai suport. Va trebui să scrie. De asemenea, astăzi intră în vigoare Decretul din 01.11.2012 nr. 1119 „Cu privire la aprobarea cerințelor de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal”, care anulează Decretul din 17.11.2007 nr. 781. Șapte zile de la data publicării expiră.
Sincer să fiu, reacția colegilor din comunitatea profesională la noua rezoluție, care definește de fapt sistemul de construire a securității tehnice pentru prelucrarea datelor cu caracter personal în sistemele informaționale, nu doar m-a surprins, ci mai degrabă m-a nedumerit. Piese, și nu puține, le-a plăcut, deoarece, în opinia lor, nu conține nimic fundamental nou și nu strânge șuruburile mai mult, iar numărul de cerințe chiar scade în comparație cu PP-781. O altă parte a colegilor ceartă documentul, dar într-un mod foarte general, în principal pentru lipsa de specific.
Aveam o părere puțin diferită despre cerințe, mi-am exprimat-o pe scurt la webinarul de astăzi, ținut de agenția noastră împreună cu compania Security Code, iar numărul de întrebări primite despre asta m-a determinat în sfârșit să scriu această postare.
Pentru a-mi sistematiza viziunea, am venit cu mai multe rafturi, conform cărora îmi voi descompune aprecierea documentului. Ne pare rău, vor fi multe scrisori. Foarte. Cuvintele au fost atent selectate, astfel încât categoria de cititori să poată fi 0+.
Raft mai întâi. Respectarea legii. Eliberarea PP-1119 este o cerință directă a paragrafelor 1 și 2 din partea 3 a articolului 19 din noua ediție a 152-FZ „Cu privire la datele personale”. Acesta este ceea ce îmi permite să evaluez foarte clar starea de lucruri pe acest raft. Hotărârea Guvernului nu respectă legea. Legea prevedea să determine nivelurile de securitate și cerințele pentru acestea, în funcție de cinci factori:
· posibilă vătămare a subiectului datelor cu caracter personal,
· volumul datelor cu caracter personal prelucrate,
· conținutul datelor cu caracter personal prelucrate,
· tipul de activitate în care sunt prelucrate datele cu caracter personal,
· relevanța amenințărilor la adresa securității datelor cu caracter personal.
Tipurile de activitate și, cel mai important, vătămarea subiectului din documentul adoptat sunt în general absente ca semne de calificare. În clauza 7 din Cerințe, operatorul „nu este deloc uman”, nu pot spune altfel, se propune să se determine în mod independent tipul de amenințări la adresa securității datelor personale relevante pentru sistemul informațional, ținând cont de evaluarea posibilelor prejudicii, ghidată de documentele FSB și FSTEC care încă nu există. Acestea. șeful grădiniței sau șeful departamentului de automatizare a unei fabrici de laminare a țevilor (din moment ce pur și simplu nu există nimeni altcineva care să se ocupe de astfel de probleme în astfel de organizații) va evalua prejudiciul de la divulgarea datelor personalului, educatorilor, vizitatorilor și rudele lor. Cu absența completă a dezvoltărilor metodologice în țară pe această temă. Oricine are chiar și puțină experiență în astfel de probleme știe că problema determinării cuantumului prejudiciului în încălcarea drepturilor civile este una dintre cele mai dificile din jurisprudență și procedurile judiciare. Dar, aparent, amintindu-și postulatul clasic despre capacitățile fiecărui bucătar, autorii au decis că problema poate fi rezolvată prin crowdsourcing. Operatorii, conform lui Roskomnadzor, sunt aproximativ șapte milioane. Uite cu ce vin. Un exemplu clasic de schimbare a problemelor de la un cap la altul, știi ce.
Cu activități, de asemenea, o ambuscadă. Ținând cont de faptul că noua versiune a legii nu lasă loc standardelor din industrie pentru lucrul cu datele personale, aceleași tipuri vor trebui luate în considerare doar într-un singur fel - prin inventarea amenințărilor de securitate care sunt suplimentare celor inventate de FSB și FSTEC, care, de fapt, este precizat în părțile 5 și 6 din același articol 19 din lege. Punct. Doar să identifice noi amenințări, și să nu prevadă vreo relaxare, asemănătoare cu cele pe care Ministerul Sănătății le-a convenit cu FSTEC în documentele sale metodologice.
Raft al doilea. Metodologie. Raftul este cel mai... prost atârnat. Deoarece în metodologie - cele mai importante, probleme cheie ale documentului. Declarând caracteristicile nedeclarate (nedocumentate) în software-ul de sistem și aplicații ca fiind principalele amenințări care conduc inevitabil la stabilirea unor niveluri mai ridicate de securitate (vezi Tabelul 1), Cerințele nu oferă deloc metode sau modalități de a le neutraliza. Pentru astfel de metode se poate verifica doar acest software pentru absența marcajelor și a altor obiceiuri proaste. Și nimeni nu cere asta de la operatori, cel puțin în PP-1119.
tabelul 1
tip ISPD |
Personalul operatorului |
Numărul de subiecte |
Tipul de amenințări curente |
||
1 |
2 |
3 |
|||
ISPDn-S |
Nu |
> 100 000 |
UZ-1 |
UZ-1 |
UZ-2 |
Nu |
< 100 000 |
UZ-1 |
UZ-2 |
UZ-3 |
|
da |
|||||
ISPDn-B |
UZ-1 |
UZ-2 |
UZ-3 |
||
ISPDn-I |
Nu |
> 100 000 |
UZ-1 |
UZ-2 |
UZ-3 |
Nu |
< 100 000 |
UZ-2 |
UZ-3 |
UZ-4 |
|
da |
|||||
ISPDn-O |
Nu |
> 100 000 |
UZ-2 |
UZ-2 |
UZ-4 |
Nu |
< 100 000 |
UZ-2 |
UZ-3 |
UZ-4 |
|
da |
|||||
Pentru a fi tratați pentru bombe logice, uși din spate și alte spirite rele, ele oferă metode vechi dovedite - clyster cu ace de gramofon și tencuirea membrelor neîntrerupte. Vezi tabelul 2.
masa 2
Cerințe |
Niveluri Securitate |
|||
1 |
2 |
3 |
4 |
|
Regimul de securitate pentru spațiile în care sunt prelucrate datele cu caracter personal |
||||
Siguranța purtătorilor de date cu caracter personal |
||||
Lista persoanelor admise la datele personale |
||||
IPS care au trecut procedura de evaluare a conformității |
||||
Funcționarul responsabil cu asigurarea securității datelor cu caracter personal în ISPD |
Raft al treilea. Terminologie. Și aceasta este partea cea mai misterioasă a documentului. De unde au venit „angajații operatorului” și de ce nu sunt angajați, al căror statut juridic este descris clar de Codul Muncii – întrebarea este simplă și evidentă. Dar ce este „jurnalul electronic de mesaje” (p. 15) și cum diferă de „jurnalul electronic de securitate” (p. 16), dacă diferă deloc - există un mare secret. Presupun că este vorba despre bușteni. Jurnalele de ce? OS? DB? fundul? GIS? Toate împreună sau ceva separat? Întrebări fără răspunsuri. Decretul introduce conceptul de sistem informatic care prelucrează date cu caracter personal disponibile publicului, care este absent în lege, și consideră că acesta este primit numai din surse de date cu caracter personal disponibile public creat în conformitate cu articolul 8 din 152-FZ. Și dacă sunt obținute într-un mod diferit, de exemplu, dacă acestea sunt informații care fac obiectul publicării și dezvăluirii obligatorii, cum ar fi informațiile din Registrul unificat de stat al persoanelor juridice și EGRIP, care sunt disponibile public în conformitate cu Legea federală privind înregistrarea de stat. al Persoanelor Juridice și al Antreprenorilor Individuali. Sau informații despre persoane afiliate emitentului de valori mobiliare. Sau datele personale ale candidaților la deputați să fie publicate. Cum să fii cu ei? Din nou o întrebare fără răspuns. În sfârșit, evaluarea conformității. Termenul, care nu are explicații în legătură cu facilitatea de securitate a informațiilor în niciun act, cu excepția Decretului închis nr. 330, continuă să cutreiere cadrul de reglementare. Dar chiar dacă operatorul a văzut acest Decret, nu îi este dat să înțeleagă cum se realizează evaluarea conformității în cadrul controlului și supravegherii de stat. Și evaluează consecințele așteptării sosirii controlorului și comportamentul acestuia la vederea fondurilor necertificate. Ei bine, să nu uităm că, în noua versiune a legii, actele juridice de reglementare referitoare la prelucrarea datelor cu caracter personal sunt supuse publicării oficiale. Raft al patrulea. Aplicabilitate. Rezoluția poate deveni pe deplin operațională numai după adoptarea actelor relevante ale FSB și FSTEC, prevăzute în partea 4 a articolului 19 din 152-FZ, precum și organele executive federale care îndeplinesc funcțiile de dezvoltare a politicii de stat și reglementarea legală în domeniul de activitate stabilit, organele autorităților de stat ale entităților constitutive ale Federației Ruse, Banca Rusiei, organismele fondurilor extrabugetare de stat, alte organe de stat în ceea ce privește determinarea amenințărilor reale la adresa securității datelor cu caracter personal ( partea 5 a articolului 19 din 152-FZ, clauza 2 din Cerințe), care lipsesc și nu se știe când vor fi adoptate. În aceste condiții, este aproape imposibil ca un operator să îndeplinească cerințele stabilite. Revin la șeful grădiniței și șeful secției de automatizări a instalației de laminare a țevilor. Cine va fi primul care va explica ce sunt „capacități software de sistem nedeclarate” și după ce criterii va evalua relevanța acestei amenințări? Ce poate face ca a doua persoană să recunoască aceste amenințări ca fiind relevante pentru fabrica sa și să-și asume probleme suplimentare? Cum vor evalua răul despre care s-a scris atunci când au analizat primul raft? Să așteptăm documentele FSB și FSTEC. Ceva îmi spune că nu va fi posibil să refuz pur și simplu neutralizarea capacităților nedeclarate. Băncile și telecomunicațiile o vor rezolva în cele din urmă. Și ce rămâne cu restul, care nu au specialiști de specialitate și licențe FSB/FSTEC - școli și universități, spitale și clinici, oficii de evidență și centre de angajare etc, etc.? Nimic decât nedumerire, un astfel de document le poate provoca. Nu voi scrie un CV. Și astfel totul este clar. | |||
Se încarcă...