Ruky, ktoré dlho siahali po klávesnici nad novým regulačným majstrovským dielom, sú už obité do špiku kostí.
Už sa to nedá zadržať a už to nevydržím. Bude treba napísať. Navyše dnes platí vyhláška z 1. novembra 2012 č. 1119 „O schválení požiadaviek na ochranu osobných údajov pri ich spracúvaní v informačné systémy osobných údajov", ktorou sa ruší vyhláška zo 17. novembra 2007 č. 781. Uplynie sedem dní odo dňa zverejnenia.
Úprimne povedané, reakcia kolegov z odbornej verejnosti na nové uznesenie, ktoré vlastne definuje systém budovania technického zabezpečenia spracovania osobných údajov v informačných systémoch, ma nielen prekvapilo, ale skôr zarazilo. Súčiastky, a nie málo, sa páčili, pretože podľa ich názoru neobsahuje nič zásadne nové a skrutky ďalej nedoťahuje a počet požiadaviek v porovnaní s PP-781 dokonca klesá. Ďalšia časť kolegov vyčíta dokument, ale veľmi všeobecne, hlavne pre nedostatok konkrétnosti.
Na požiadavky som mal trochu iný názor, stručne som to vyjadril na dnešnom webinári, ktorý organizovala naša agentúra spolu so spoločnosťou Bezpečnostný kód a množstvo podaní v tejto veci ma napokon podnietilo napísať tento príspevok.
Pre systematizáciu mojej vízie som si vymyslel niekoľko políc, podľa ktorých rozložím svoje hodnotenie dokumentu. Prepáčte, bude tam veľa listov. Veľmi. Slová boli starostlivo vybrané, takže kategória čitateľov môže byť 0+.
Najprv polica. Súlad so zákonom. Zverejnenie PP-1119 je priamou požiadavkou odsekov 1 a 2 časti 3 článku 19 nového vydania 152-FZ „O osobných údajoch“. Práve to mi umožňuje veľmi ostro zhodnotiť stav vecí na tejto poličke. Nariadenie vlády nie je v súlade so zákonom.
Zákon nariadil určiť úrovne bezpečnosti a požiadavky na ne v závislosti od piatich faktorov:
- možnú ujmu subjektu osobných údajov,
- objem spracúvaných osobných údajov,
- obsah spracúvaných osobných údajov,
- druh činnosti, pri ktorej sa osobné údaje spracúvajú,
- závažnosť hrozieb pre bezpečnosť osobných údajov.
Typy činnosti, a čo je najdôležitejšie, poškodenie subjektu v prijatom dokumente vo všeobecnosti chýbajú ako kvalifikačné znaky. V bode 7 Požiadaviek je prevádzkovateľ „vôbec nehumánny“, inak nemôžem povedať, navrhuje sa samostatne určiť typ ohrozenia bezpečnosti osobných údajov relevantných pre informačný systém s prihliadnutím na posúdenie možnej škody na základe dokumentov FSB a FSTEC, ktoré ešte neexistujú.
Tie. vedúci materskej školy alebo vedúci oddelenia automatizácie valcovne rúr (keďže v takýchto organizáciách jednoducho nikto iný nemá na starosti takéto problémy) posúdi škody spôsobené zverejnením údajov zamestnancov, pedagógov, návštevníkov a ich príbuzných. S úplnou absenciou metodologického vývoja v krajine v tejto otázke. Každý, kto má s takouto problematikou čo i len trochu skúsenosti, vie, že problematika určenia výšky škody pri porušení občianskych práv patrí v judikatúre a súdnom konaní k najťažším. Ale očividne, pamätajúc na klasický postulát o schopnostiach každého kuchára, sa autori rozhodli, že problém možno vyriešiť crowdsourcingom. Podľa odhadov ide o približne sedem miliónov operátorov. Pozrite sa, s čím prišli. Klasický príklad presúvania problémov z jednej hlavy do druhej, viete čo.
Aj s aktivitami je to prepad. Vzhľadom na to, že nová verzia zákona nenecháva priestor pre priemyselné štandardy pre prácu s osobnými údajmi, práve tieto typy bude potrebné brať do úvahy len jedným spôsobom – vynájdením bezpečnostných hrozieb nad rámec FSB a FSTEC, ktoré: v skutočnosti je to uvedené v častiach 5 a 6 toho istého článku 19 zákona. Bodka. Iba identifikovať nové hrozby a nezabezpečiť žiadne zmiernenia, podobné tým, na ktorých sa MZ dohodlo s FSTEC vo svojich metodických dokumentoch.
Polica druhá. Metodológia. Polička je najviac ... zle zavesená. Keďže metodika je najdôležitejšia, problémy dokumentu. Deklarovanie hlavných hrozieb, ktoré nevyhnutne vedú k vyššie úrovne bezpečnosť (pozri tabuľku 1), nedeklarované (nedokumentované) schopnosti v systéme a aplikácii Požiadavky neponúkajú vôbec žiadne metódy a spôsoby ich neutralizácie. Pre takéto metódy môže byť len kontrola tohto softvéru na absenciu záložiek a iných zlých návykov. A to nikto od operátorov nevyžaduje, aspoň v PP-1119.
Na liečenie logických bômb, zadných vrátok a iných zlých duchov ponúkajú staré osvedčené metódy - klyster s gramofónovými ihlami a sadrovanie nezlomených končatín. Pozri tabuľku.
Aké je použitie firewally a určenie jednotky (alebo zodpovednej osoby) môže pomôcť predchádzať dopadom operačný systém o spracovávaných údajoch vedia zrejme len autori.
Tretia polica. Terminológia. A toto je najzáhadnejšia časť dokumentu. Odkiaľ sa vzali „zamestnanci prevádzkovateľa“ a prečo nie sú zamestnancami, ktorých právne postavenie jasne vystihuje Zákonník práce – otázka je jednoduchá a zrejmá. Ale čo je" elektronický žurnál správy“ (s. 15) a ako sa líši od „elektronického denníka bezpečnosti“ (s. 16), ak sa vôbec líši, existuje veľké tajomstvo. Asi ide o polená. Záznamy čoho? OS? DB? zadok? GIS? Všetko spolu alebo niečo zvlášť? Otázky bez odpovedí.
Vyhláška zavádza v zákone absentujúci pojem informačného systému, ktorý spracúva verejne dostupné osobné údaje a považuje ho za prijímaný len z verejne dostupných zdrojov osobných údajov vytvorených v súlade s § 8 152-FZ.
A ak sú prijímané iným spôsobom, napríklad ak ide o informácie podliehajúce zverejneniu a povinnému zverejňovaniu, ako informácie z a ktoré sú verejne dostupné v súlade s federálnym zákonom o právnických osobách a individuálnych podnikateľoch alebo informácie o prepojených osobách emitent Alebo osobné údaje kandidátov na poslancov s výhradou zverejnenia. Ako byť s nimi? Opäť otázka bez odpovede.
Nakoniec posúdenie zhody. Pojem, ktorý v žiadnom zákone okrem uzavretej vyhlášky č. 330 nemá vysvetlenia v súvislosti so zariadením informačnej bezpečnosti, sa naďalej pohybuje v regulačnom rámci. Ale aj keď prevádzkovateľ videl túto vyhlášku, nie je mu dané pochopiť, ako sa vykonáva posudzovanie zhody v rámci štátnej kontroly a dozoru. A vyhodnotiť dôsledky čakania na príchod kontrolóra a jeho správanie pri pohľade na necertifikované prostriedky. No a nezabúdajme, že v novej verzii zákona podliehajú regulačné právne akty týkajúce sa spracúvania osobných údajov úradnému zverejňovaniu.
Polica štvrtá. Použiteľnosť. Uznesenie môže byť plne funkčné až po prijatí príslušných zákonov FSB a FSTEC, uvedených v časti 4 článku 19 152-FZ, ako aj federálnych orgánov vykonávajúcich funkcie rozvojovej štátnej a právnej regulácie v ustanovené pole pôsobnosti, štátne orgány subjektov Ruská federácia, orgány štátnych mimorozpočtových fondov, iné štátne orgány z hľadiska zisťovania skutočných ohrození bezpečnosti osobných údajov (§ 5 ods. 19 152-FZ ods. 2 Požiadaviek), ktoré absentujú a nie sú známe kedy budú adoptované.
Za týchto podmienok je pre prevádzkovateľa takmer nemožné splniť stanovené požiadavky. Vraciam sa k vedúcej materskej školy a vedúcej oddelenia automatizácie valcovne rúr. Kto ako prvý vysvetlí, aké „nedeklarované schopnosti systému softvér a podľa akých znakov posúdi relevantnosť tejto hrozby? Čo môže druhého prinútiť rozpoznať tieto hrozby ako relevantné pre jeho závod a prijať ich ďalšie problémy? Ako posúdia škody, o ktorých sa písalo pri analýze prvej police? Počkajme si na dokumenty FSB a FSTEC. Niečo mi hovorí, že nebude možné jednoducho odmietnuť neutralizáciu nedeklarovaných schopností. Banky a telekomunikácie to nakoniec vyriešia. A čo zvyšok, ktorý nemá špecialistov a licencie od FSB / FSTEC - a univerzity, nemocnice a kliniky, matriky a úrady práce atď., atď.? Nič iné ako zmätok, takýto dokument ich môže spôsobiť.
Nebudem písať životopis. A tak je všetko jasné.
VLÁDA RUSKEJ FEDERÁCIE
ROZHODNUTIE
O schválení požiadaviek na ochranu osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov
V súlade s článkom 19 federálneho zákona „o osobných údajoch“ vláda Ruskej federácie
rozhoduje:
1. Schváliť priložené požiadavky na ochranu osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov.
2. Uznať za neplatné Nariadenie vlády Ruskej federácie zo 17. novembra 2007 N 781 „O schválení Nariadení o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov“ (Zbierky právnych predpisov Ruskej federácie, 2007, N 48, čl. 6001).
premiér
Ruská federácia
D. Medvedev
Požiadavky na ochranu osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov
SCHVÁLENÉ
Nariadenie vlády
Ruská federácia
zo dňa 1. novembra 2012 N 1119
1. Tento dokument ustanovuje požiadavky na ochranu osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov (ďalej len informačné systémy) a úrovne ochrany týchto údajov.
2. Bezpečnosť osobných údajov pri ich spracúvaní v informačnom systéme je zabezpečená pomocou systému ochrany osobných údajov, ktorý neutralizuje aktuálne hrozby definované v súlade s 5. časťou článku 19 spolkového zákona „O osobných údajoch“.
Systém ochrany osobných údajov zahŕňa organizačné a (alebo) technické opatrenia určené s prihliadnutím na aktuálne ohrozenia bezpečnosti osobných údajov a informačných technológií používané v informačných systémoch.
3. Bezpečnosť osobných údajov pri ich spracúvaní v informačnom systéme zaisťuje prevádzkovateľ tohto systému, ktorý spracúva osobné údaje (ďalej len prevádzkovateľ), alebo osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa na základe zmluvy uzatvorenej s touto osobou (ďalej len oprávnená osoba). Dohoda medzi prevádzkovateľom a oprávnenou osobou musí ustanoviť povinnosť oprávnenej osoby zabezpečiť bezpečnosť osobných údajov pri ich spracúvaní v informačnom systéme.
4. Výber nástrojov informačnej bezpečnosti pre systém ochrany osobných údajov vykonáva prevádzkovateľ v súlade s prijatými regulačnými právnymi aktmi Federálna služba Bezpečnosť Ruskej federácie a Federálnej služby pre technickú a exportnú kontrolu podľa časti 4 článku 19 federálneho zákona „o osobných údajoch“ .
5. Informačný systém je informačný systém, ktorý spracúva osobitné kategórie osobných údajov, ak spracúva osobné údaje týkajúce sa rasy, národnosti, politických názorov, náboženského alebo filozofického presvedčenia, zdravotného stavu, intímneho života dotknutých osôb.
Informačný systém je informačný systém, ktorý spracúva biometrické osobné údaje, ak spracúva informácie, ktoré charakterizujú fyziologické a biologické vlastnosti osoby, na základe ktorých je možné zistiť jej totožnosť a ktoré slúžia prevádzkovateľovi na identifikáciu dotknutej osoby. osobných údajov a nespracúva informácie týkajúce sa osobitných kategórií osobných údajov.
Informačný systém je informačný systém, ktorý spracúva verejne dostupné osobné údaje, ak spracúva osobné údaje dotknutých osôb získané len z verejne dostupných zdrojov osobných údajov vytvorených podľa § 8 spolkového zákona „o osobných údajoch“.
Informačný systém je informačný systém, ktorý spracúva iné kategórie osobných údajov, ak nespracúva osobné údaje uvedené v prvom až treťom odseku tohto bodu.
Informačný systém je informačný systém, ktorý spracúva osobné údaje zamestnancov prevádzkovateľa, ak spracúva osobné údaje len určených zamestnancov. V ostatných prípadoch je informačný systém osobných údajov informačný systém, ktorý spracúva osobné údaje dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa.
6. Skutočným ohrozením bezpečnosti osobných údajov sa rozumie súhrn podmienok a faktorov, ktoré vytvárajú skutočné nebezpečenstvo neoprávneného, vrátane náhodného, prístupu k osobným údajom pri ich spracúvaní v informačnom systéme, ktoré môže mať za následok zničenie, zmenu, blokovanie, kopírovanie, poskytovanie, šírenie osobných údajov, ako aj iné protiprávne konania.
Hrozby 1. typu sú pre informačný systém relevantné, ak sú preň relevantné okrem iného aj hrozby spojené s prítomnosťou nezdokumentovaných (nedeklarovaných) schopností v systémovom softvéri používanom v informačnom systéme.
Hrozby 2. typu sú pre informačný systém relevantné, ak okrem iného podlieha hrozbám súvisiacim s prítomnosťou nezdokumentovaných (nedeklarovaných) schopností v aplikačnom softvéri používanom v informačnom systéme.
Hrozby 3. typu sú relevantné pre informačný systém, ak sú preň relevantné hrozby, ktoré nesúvisia s prítomnosťou nezdokumentovaných (nedeklarovaných) schopností v systéme a aplikačného softvéru používaného v informačnom systéme.
7. Určenie druhu ohrozenia bezpečnosti osobných údajov relevantných pre informačný systém vykonáva prevádzkovateľ s prihliadnutím na posúdenie možnej ujmy vykonané podľa bodu 5 časti 1 článku 18_1 ods. Federálny zákon „O osobných údajoch“ av súlade s regulačnými právnymi aktmi prijatými podľa časti 5 článku 19 federálneho zákona „O osobných údajoch“ .
8. Pri spracúvaní osobných údajov v informačných systémoch sú stanovené 4 stupne ochrany osobných údajov.
9. Potreba zabezpečenia 1. stupňa ochrany osobných údajov pri ich spracúvaní v informačnom systéme vzniká, ak je splnená aspoň jedna z týchto podmienok:
a) ohrozenia 1. typu sú relevantné pre informačný systém a informačný systém spracúva buď osobitné kategórie osobných údajov, alebo biometrické osobné údaje, prípadne iné kategórie osobných údajov;
b) Ohrozenia typu 2 sú relevantné pre informačný systém a informačný systém spracúva osobitné kategórie osobných údajov viac ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa.
10. Potreba zabezpečenia 2. stupňa ochrany osobných údajov pri ich spracúvaní v informačnom systéme vzniká, ak je splnená aspoň jedna z týchto podmienok:
a) ohrozenia 1. typu sú relevantné pre informačný systém a informačný systém spracúva verejne dostupné osobné údaje;
b) ohrozenia typu 2 sú relevantné pre informačný systém a informačný systém spracúva osobitné kategórie osobných údajov zamestnancov prevádzkovateľa alebo osobitné kategórie osobných údajov menej ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa;
c) pre informačný systém sú relevantné hrozby 2. typu a informačný systém spracúva biometrické osobné údaje;
d) pre informačný systém sú relevantné hrozby 2. typu a informačný systém spracúva verejne dostupné osobné údaje viac ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa;
e) pre informačný systém sú relevantné hrozby 2. typu a informačný systém spracúva iné kategórie osobných údajov viac ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa;
f) Ohrozenia typu 3 sú relevantné pre informačný systém a informačný systém spracúva osobitné kategórie osobných údajov viac ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa.
11. Potreba zabezpečenia 3. stupňa ochrany osobných údajov pri ich spracúvaní v informačnom systéme vzniká, ak je splnená aspoň jedna z týchto podmienok:
a) Ohrozenia typu 2 sú relevantné pre informačný systém a informačný systém spracúva verejne dostupné osobné údaje zamestnancov prevádzkovateľa alebo verejne dostupné osobné údaje menej ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa;
b) pre informačný systém sú relevantné hrozby 2. typu a informačný systém spracúva iné kategórie osobných údajov zamestnancov prevádzkovateľa alebo iné kategórie osobných údajov menej ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa;
c) ohrozenia typu 3 sú relevantné pre informačný systém a informačný systém spracúva osobitné kategórie osobných údajov zamestnancov prevádzkovateľa alebo osobitné kategórie osobných údajov menej ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa;
d) ohrozenia 3. typu sú relevantné pre informačný systém a informačný systém spracúva biometrické osobné údaje;
e) Ohrozenia typu 3 sú relevantné pre informačný systém a informačný systém spracúva ďalšie kategórie osobných údajov viac ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa.
12. Potreba zabezpečenia 4. stupňa ochrany osobných údajov pri ich spracúvaní v informačnom systéme vzniká, ak je splnená aspoň jedna z týchto podmienok:
a) ohrozenia 3. typu sú relevantné pre informačný systém a informačný systém spracúva verejne dostupné osobné údaje;
b) Ohrozenia typu 3 sú pre informačný systém relevantné a informačný systém spracúva iné kategórie osobných údajov zamestnancov prevádzkovateľa alebo iné kategórie osobných údajov menej ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa.
13. Na zabezpečenie 4. stupňa ochrany osobných údajov pri ich spracúvaní v informačných systémoch musia byť splnené tieto požiadavky:
a) zabezpečenie režimu na zaistenie bezpečnosti priestorov, v ktorých je informačný systém umiestnený, zamedzenie možnosti nekontrolovaného vstupu alebo pobytu v týchto priestoroch osobám, ktoré nemajú právo vstupu do týchto priestorov;
b) zaistenie bezpečnosti nosičov osobných údajov;
c) schválenie dokumentu vedúceho prevádzkovateľa, ktorým sa definuje zoznam osôb, ktorých prístup k osobným údajom spracúvaným v informačnom systéme je nevyhnutný na plnenie služobných (pracovných) povinností;
d) použitie nástrojov informačnej bezpečnosti, ktoré prešli postupom na posúdenie súladu s požiadavkami legislatívy Ruskej federácie v oblasti informačnej bezpečnosti, v prípade, keď je použitie takýchto nástrojov nevyhnutné na neutralizáciu aktuálnych hrozieb.
14. Na zabezpečenie 3. stupňa ochrany osobných údajov pri ich spracúvaní v informačných systémoch je okrem splnenia požiadaviek ustanovených v bode 13 tohto dokumentu potrebné, aby bol ustanovený úradník (zamestnanec) zodpovedný za zabezpečenie bezpečnosti osobných údajov v informačnom systéme.
15. Na zabezpečenie 2. stupňa ochrany osobných údajov pri ich spracúvaní v informačných systémoch je okrem splnenia požiadaviek uvedených v bode 14 tohto dokumentu potrebné, aby bol prístup k obsahu protokolu elektronických správ možný len pre funkcionárov (zamestnancov) prevádzkovateľa alebo oprávnenej osoby, pre ktorých sú informácie uvedené v určenom denníku potrebné na plnenie služobných (pracovných) povinností.
16. Na zabezpečenie 1. stupňa ochrany osobných údajov pri ich spracúvaní v informačných systémoch musia byť okrem požiadaviek podľa odseku 15 tohto dokumentu splnené aj tieto požiadavky:
a) automatická registrácia zmeny oprávnenia zamestnanca prevádzkovateľa na prístup k osobným údajom obsiahnutým v informačnom systéme do elektronického bezpečnostného denníka;
b) vytvorenie štrukturálnej jednotky zodpovednej za zabezpečenie bezpečnosti osobných údajov v informačnom systéme alebo pridelenie funkcií na zabezpečenie tejto bezpečnosti jednej zo štrukturálnych jednotiek.
17. Kontrolu plnenia týchto požiadaviek organizuje a vykonáva prevádzkovateľ (oprávnená osoba) samostatne a (alebo) so zapojením na zmluvnom základe právnických osôb a individuálni podnikatelia, ktorí majú povolenie na vykonávanie činnosti pre technická ochrana dôverné informácie. Určená kontrola sa vykonáva minimálne 1x za 3 roky v termínoch určených prevádzkovateľom (oprávnenou osobou).
Elektronický text dokumentu
pripravené CJSC "Kodeks" a overené podľa.
VLÁDA RUSKEJ FEDERÁCIE
O SCHVÁLENÍ POŽIADAVIEK
V súlade s článkom 19 federálneho zákona „o osobných údajoch“ vláda Ruskej federácie rozhoduje:
1. Schváliť priložené požiadavky na ochranu osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov.
2. Uznať za neplatné nariadenie vlády Ruskej federácie zo 17. novembra 2007 N 781 „O schválení Nariadení o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov“ (Sobraniye Zakonodatelstva Rossiyskoy Federatsii, 2007, N 48, čl. 6001).
premiér
Ruská federácia
D. MEDVEDEV
Schválené
Nariadenie vlády
Ruská federácia
zo dňa 1. novembra 2012 N 1119
POŽIADAVKY
NA OCHRANU OSOBNÝCH ÚDAJOV PRI ICH SPRACOVANÍ
V INFORMAČNÝCH SYSTÉMOCH OSOBNÝCH ÚDAJOV
1. Tento dokument ustanovuje požiadavky na ochranu osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov (ďalej len informačné systémy) a úrovne ochrany týchto údajov.
2. Bezpečnosť osobných údajov pri ich spracúvaní v informačnom systéme je zabezpečená prostredníctvom systému ochrany osobných údajov, ktorý neutralizuje aktuálne hrozby definované v súlade s 5. časťou článku 19 spolkového zákona „O osobných údajoch“.
Systém ochrany osobných údajov zahŕňa organizačné a (alebo) technické opatrenia určené s prihliadnutím na aktuálne ohrozenie bezpečnosti osobných údajov a informačných technológií používaných v informačných systémoch.
3. Bezpečnosť osobných údajov pri ich spracúvaní v informačnom systéme zaisťuje prevádzkovateľ tohto systému, ktorý spracúva osobné údaje (ďalej len prevádzkovateľ), alebo osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa na základe zmluvy uzatvorenej s touto osobou (ďalej len oprávnená osoba). Dohoda medzi prevádzkovateľom a oprávnenou osobou musí ustanoviť povinnosť oprávnenej osoby zabezpečiť bezpečnosť osobných údajov pri ich spracúvaní v informačnom systéme.
4. Výber nástrojov informačnej bezpečnosti pre systém ochrany osobných údajov vykonáva prevádzkovateľ v súlade s regulačnými právnymi aktmi prijatými Federálnou bezpečnostnou službou Ruskej federácie a Federálnou službou pre technickú a exportnú kontrolu podľa 4. časti. článku 19 federálneho zákona „o osobných údajoch“.
5. Informačný systém je informačný systém, ktorý spracúva osobitné kategórie osobných údajov, ak spracúva osobné údaje týkajúce sa rasy, národnosti, politických názorov, náboženského alebo filozofického presvedčenia, zdravotného stavu, intímneho života dotknutých osôb.
Informačný systém je informačný systém, ktorý spracúva biometrické osobné údaje, ak spracúva informácie, ktoré charakterizujú fyziologické a biologické vlastnosti osoby, na základe ktorých je možné zistiť jej totožnosť a ktoré slúžia prevádzkovateľovi na identifikáciu dotknutej osoby. osobných údajov a nespracúva informácie týkajúce sa osobitných kategórií osobných údajov.
Informačný systém je informačný systém, ktorý spracúva verejne dostupné osobné údaje, ak spracúva osobné údaje dotknutých osôb získané len z verejne dostupných zdrojov osobných údajov vytvorených podľa § 8 spolkového zákona „o osobných údajoch“.
Informačný systém je informačný systém, ktorý spracúva iné kategórie osobných údajov, ak nespracúva osobné údaje uvedené v prvom až treťom odseku tohto bodu.
Informačný systém je informačný systém, ktorý spracúva osobné údaje zamestnancov prevádzkovateľa, ak spracúva osobné údaje len určených zamestnancov. V ostatných prípadoch je informačný systém osobných údajov informačný systém, ktorý spracúva osobné údaje dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa.
6. Skutočným ohrozením bezpečnosti osobných údajov sa rozumie súhrn podmienok a faktorov, ktoré vytvárajú skutočné nebezpečenstvo neoprávneného, vrátane náhodného, prístupu k osobným údajom pri ich spracúvaní v informačnom systéme, ktoré môže mať za následok zničenie, zmenu, blokovanie, kopírovanie, poskytovanie, šírenie osobných údajov, ako aj iné protiprávne konania.
Hrozby 1. typu sú pre informačný systém relevantné, ak sú preň relevantné okrem iného aj hrozby spojené s prítomnosťou nezdokumentovaných (nedeklarovaných) schopností v systémovom softvéri používanom v informačnom systéme.
Hrozby 2. typu sú pre informačný systém relevantné, ak okrem iného podlieha hrozbám súvisiacim s prítomnosťou nezdokumentovaných (nedeklarovaných) schopností v aplikačnom softvéri používanom v informačnom systéme.
Hrozby 3. typu sú relevantné pre informačný systém, ak sú preň relevantné hrozby, ktoré nesúvisia s prítomnosťou nezdokumentovaných (nedeklarovaných) schopností v systéme a aplikačného softvéru používaného v informačnom systéme.
7. Určenie druhu ohrozenia bezpečnosti osobných údajov relevantných pre informačný systém vykonáva prevádzkovateľ s prihliadnutím na posúdenie možnej ujmy vykonané podľa odseku 5 časti 1 článku 18.1 zákona č. Federálny zákon „o osobných údajoch“ av súlade s regulačnými právnymi aktmi prijatými podľa časti 5 článku 19 federálneho zákona „o osobných údajoch“.
8. Pri spracúvaní osobných údajov v informačných systémoch sú stanovené 4 stupne ochrany osobných údajov.
9. Potreba zabezpečenia 1. stupňa ochrany osobných údajov pri ich spracúvaní v informačnom systéme vzniká, ak je splnená aspoň jedna z týchto podmienok:
a) ohrozenia 1. typu sú relevantné pre informačný systém a informačný systém spracúva buď osobitné kategórie osobných údajov, alebo biometrické osobné údaje, prípadne iné kategórie osobných údajov;
b) Ohrozenia typu 2 sú relevantné pre informačný systém a informačný systém spracúva osobitné kategórie osobných údajov viac ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa.
10. Potreba zabezpečenia 2. stupňa ochrany osobných údajov pri ich spracúvaní v informačnom systéme vzniká, ak je splnená aspoň jedna z týchto podmienok:
a) ohrozenia 1. typu sú relevantné pre informačný systém a informačný systém spracúva verejne dostupné osobné údaje;
b) ohrozenia typu 2 sú relevantné pre informačný systém a informačný systém spracúva osobitné kategórie osobných údajov zamestnancov prevádzkovateľa alebo osobitné kategórie osobných údajov menej ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa;
c) pre informačný systém sú relevantné hrozby 2. typu a informačný systém spracúva biometrické osobné údaje;
d) pre informačný systém sú relevantné hrozby 2. typu a informačný systém spracúva verejne dostupné osobné údaje viac ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa;
e) pre informačný systém sú relevantné hrozby 2. typu a informačný systém spracúva iné kategórie osobných údajov viac ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa;
f) Ohrozenia typu 3 sú relevantné pre informačný systém a informačný systém spracúva osobitné kategórie osobných údajov viac ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa.
11. Potreba zabezpečenia 3. stupňa ochrany osobných údajov pri ich spracúvaní v informačnom systéme vzniká, ak je splnená aspoň jedna z týchto podmienok:
a) Ohrozenia typu 2 sú relevantné pre informačný systém a informačný systém spracúva verejne dostupné osobné údaje zamestnancov prevádzkovateľa alebo verejne dostupné osobné údaje menej ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa;
b) pre informačný systém sú relevantné hrozby 2. typu a informačný systém spracúva iné kategórie osobných údajov zamestnancov prevádzkovateľa alebo iné kategórie osobných údajov menej ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa;
c) ohrozenia typu 3 sú relevantné pre informačný systém a informačný systém spracúva osobitné kategórie osobných údajov zamestnancov prevádzkovateľa alebo osobitné kategórie osobných údajov menej ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa;
d) ohrozenia 3. typu sú relevantné pre informačný systém a informačný systém spracúva biometrické osobné údaje;
e) Ohrozenia typu 3 sú relevantné pre informačný systém a informačný systém spracúva ďalšie kategórie osobných údajov viac ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa.
12. Potreba zabezpečenia 4. stupňa ochrany osobných údajov pri ich spracúvaní v informačnom systéme vzniká, ak je splnená aspoň jedna z týchto podmienok:
a) ohrozenia 3. typu sú relevantné pre informačný systém a informačný systém spracúva verejne dostupné osobné údaje;
b) Ohrozenia typu 3 sú pre informačný systém relevantné a informačný systém spracúva iné kategórie osobných údajov zamestnancov prevádzkovateľa alebo iné kategórie osobných údajov menej ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa.
13. Na zabezpečenie 4. stupňa ochrany osobných údajov pri ich spracúvaní v informačných systémoch musia byť splnené tieto požiadavky:
a) zabezpečenie režimu na zaistenie bezpečnosti priestorov, v ktorých je informačný systém umiestnený, zamedzenie možnosti nekontrolovaného vstupu alebo pobytu v týchto priestoroch osobám, ktoré nemajú právo vstupu do týchto priestorov;
b) zaistenie bezpečnosti nosičov osobných údajov;
c) schválenie dokumentu vedúceho prevádzkovateľa, ktorým sa definuje zoznam osôb, ktorých prístup k osobným údajom spracúvaným v informačnom systéme je nevyhnutný na plnenie služobných (pracovných) povinností;
d) použitie nástrojov informačnej bezpečnosti, ktoré prešli postupom na posúdenie súladu s požiadavkami legislatívy Ruskej federácie v oblasti informačnej bezpečnosti, v prípade, keď je použitie takýchto nástrojov nevyhnutné na neutralizáciu aktuálnych hrozieb.
14. Na zabezpečenie 3. stupňa ochrany osobných údajov pri ich spracúvaní v informačných systémoch je okrem splnenia požiadaviek ustanovených v bode 13 tohto dokumentu potrebné, aby bol ustanovený úradník (zamestnanec) zodpovedný za zabezpečenie bezpečnosti osobných údajov v informačnom systéme.
15. Na zabezpečenie 2. stupňa ochrany osobných údajov pri ich spracúvaní v informačných systémoch je okrem splnenia požiadaviek uvedených v bode 14 tohto dokumentu potrebné, aby bol prístup k obsahu protokolu elektronických správ možný len pre funkcionárov (zamestnancov) prevádzkovateľa alebo oprávnenej osoby, pre ktorých sú informácie uvedené v určenom denníku potrebné na plnenie služobných (pracovných) povinností.
16. Na zabezpečenie 1. stupňa ochrany osobných údajov pri ich spracúvaní v informačných systémoch musia byť okrem požiadaviek podľa odseku 15 tohto dokumentu splnené aj tieto požiadavky:
a) automatická registrácia zmeny oprávnenia zamestnanca prevádzkovateľa na prístup k osobným údajom obsiahnutým v informačnom systéme do elektronického bezpečnostného denníka;
b) vytvorenie štrukturálnej jednotky zodpovednej za zabezpečenie bezpečnosti osobných údajov v informačnom systéme alebo pridelenie funkcií na zabezpečenie tejto bezpečnosti jednej zo štrukturálnych jednotiek.
17. Kontrolu plnenia týchto požiadaviek organizuje a vykonáva prevádzkovateľ (oprávnená osoba) samostatne a (alebo) so zapojením právnických osôb a fyzických osôb podnikateľov na zmluvnom základe, oprávnení vykonávať činnosti na technickú ochranu dôverné informácie. Určená kontrola sa vykonáva minimálne 1x za 3 roky v termínoch určených prevádzkovateľom (oprávnenou osobou).
Ruky, ktoré dlho siahali po klávesnici nad novým regulačným majstrovským dielom, sú už obité do špiku kostí. Už sa to nedá zadržať a už to nevydržím. Bude treba napísať. Navyše dnešným dňom nadobúda účinnosť vyhláška zo dňa 1.11.2012 č. 1119 „O schválení požiadaviek na ochranu osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov“, ktorou sa ruší vyhláška zo dňa 11.17.2007 č. 781. Platnosť uplynie sedem dní od dátumu zverejnenia.
Úprimne povedané, reakcia kolegov z odbornej verejnosti na nové uznesenie, ktoré vlastne definuje systém budovania technického zabezpečenia spracovania osobných údajov v informačných systémoch, ma nielen prekvapilo, ale skôr zarazilo. Súčiastky, a nie málo, sa páčili, pretože podľa ich názoru neobsahuje nič zásadne nové a skrutky ďalej nedoťahuje a počet požiadaviek v porovnaní s PP-781 dokonca klesá. Ďalšia časť kolegov dokument vyčíta, ale veľmi všeobecne, hlavne pre nedostatok konkrétnosti.
O požiadavkách som mal trochu iný názor, stručne som to vyjadril na dnešnom webinári, ktorý organizovala naša agentúra spolu so spoločnosťou Bezpečnostný kód a množstvo zaslaných otázok k tomu ma napokon primälo k napísaniu tohto príspevku.
Pre systematizáciu mojej vízie som si vymyslel niekoľko políc, podľa ktorých rozložím svoje hodnotenie dokumentu. Prepáčte, bude tam veľa listov. Veľmi. Slová boli starostlivo vybrané, takže kategória čitateľov môže byť 0+.
Najprv polica. Súlad so zákonom. Uvoľnenie PP-1119 je priamou požiadavkou odsekov 1 a 2 časti 3 článku 19 nového vydania 152-FZ „O osobných údajoch“. Práve to mi umožňuje veľmi ostro zhodnotiť stav vecí na tejto poličke. Nariadenie vlády nie je v súlade so zákonom. Zákon nariadil určiť úrovne bezpečnosti a požiadavky na ne v závislosti od piatich faktorov:
· možnú ujmu subjektu osobných údajov,
· objem spracúvaných osobných údajov,
· obsah spracúvaných osobných údajov,
· druh činnosti, pri ktorej sa osobné údaje spracúvajú,
· závažnosť hrozieb pre bezpečnosť osobných údajov.
Typy činnosti, a čo je najdôležitejšie, poškodenie subjektu v prijatom dokumente vo všeobecnosti chýbajú ako kvalifikačné znaky. V bode 7 Požiadaviek je prevádzkovateľ „vôbec nehumánny“, inak nemôžem povedať, navrhuje sa samostatne určiť typ ohrozenia bezpečnosti osobných údajov relevantných pre informačný systém s prihliadnutím na posúdenie možnej škody na základe dokumentov FSB a FSTEC, ktoré ešte neexistujú. Tie. vedúci materskej školy alebo vedúci oddelenia automatizácie valcovne rúr (keďže v takýchto organizáciách jednoducho nikto iný nemá na starosti takéto problémy) posúdi škody spôsobené zverejnením údajov zamestnancov, pedagógov, návštevníkov a ich príbuzných. S úplnou absenciou metodologického vývoja v krajine v tejto otázke. Každý, kto má s takouto problematikou čo i len trochu skúsenosti, vie, že problematika určenia výšky škody pri porušení občianskych práv patrí v judikatúre a súdnom konaní k najťažším. Ale očividne, pamätajúc na klasický postulát o schopnostiach každého kuchára, sa autori rozhodli, že problém možno vyriešiť crowdsourcingom. Operátorov je podľa Roskomnadzoru asi sedem miliónov. Pozrite sa, s čím prišli. Klasický príklad presúvania problémov z jednej hlavy do druhej, viete čo.
Aj s aktivitami je to prepad. Ak vezmeme do úvahy, že nová verzia zákona neponecháva priestor pre priemyselné štandardy pre prácu s osobnými údajmi, tieto rovnaké typy bude potrebné brať do úvahy iba jedným spôsobom - vynájdením bezpečnostných hrozieb, ktoré sú doplnkové k tým, ktoré vynájde FSB a FSTEC, čo je v skutočnosti uvedené v častiach 5 a 6 toho istého článku 19 zákona. Bodka. Iba identifikovať nové hrozby a nezabezpečiť žiadne zmiernenia, podobné tým, na ktorých sa MZ dohodlo s FSTEC vo svojich metodických dokumentoch.
Polica druhá. Metodológia. Polička je najviac ... zle zavesená. Keďže v metodológii - najdôležitejšie, kľúčové problémy dokumentu. Deklarujúc nedeklarované (nedokumentované) vlastnosti v systémovom a aplikačnom softvéri ako hlavné hrozby, ktoré nevyhnutne vedú k zavedeniu vyššej úrovne bezpečnosti (pozri tabuľku 1), neponúkajú požiadavky vôbec žiadne metódy alebo spôsoby, ako ich neutralizovať. Pre takéto metódy môže byť len kontrola tohto softvéru na absenciu záložiek a iných zlých návykov. A to nikto od operátorov nevyžaduje, aspoň v PP-1119.
stôl 1
|
typ ISPD |
Personál operátora |
Počet predmetov |
Typ súčasných hrozieb |
||
|
1 |
2 |
3 |
|||
|
ISPDn-S |
Nie |
> 100 000 |
UZ-1 |
UZ-1 |
UZ-2 |
|
Nie |
< 100 000 |
UZ-1 |
UZ-2 |
UZ-3 |
|
|
Áno |
|||||
|
ISPDn-B |
UZ-1 |
UZ-2 |
UZ-3 |
||
|
ISPDn-I |
Nie |
> 100 000 |
UZ-1 |
UZ-2 |
UZ-3 |
|
Nie |
< 100 000 |
UZ-2 |
UZ-3 |
UZ-4 |
|
|
Áno |
|||||
|
ISPDn-O |
Nie |
> 100 000 |
UZ-2 |
UZ-2 |
UZ-4 |
|
Nie |
< 100 000 |
UZ-2 |
UZ-3 |
UZ-4 |
|
|
Áno |
Na liečenie logických bômb, zadných vrátok a iných zlých duchov ponúkajú staré osvedčené metódy - klyster s gramofónovými ihlami a sadrovanie nezlomených končatín. Pozri tabuľku 2.
tabuľka 2
|
Požiadavky |
Úrovne bezpečnosť |
|||
|
1 |
2 |
3 |
4 |
|
|
Bezpečnostný režim priestorov, kde sa spracúvajú osobné údaje |
||||
|
Bezpečnosť nosičov osobných údajov |
||||
|
Zoznam osôb, ktoré majú prístup k osobným údajom |
||||
|
IPS, ktoré prešli postupom posudzovania zhody |
||||
|
Úradník zodpovedný za zabezpečenie bezpečnosti osobných údajov v ISPD |
||||
|
Obmedzenie prístupu k obsahu denníka elektronických správ |
||||
|
Automatická registrácia zmeny oprávnenia zamestnanca prevádzkovateľa na prístup k osobným údajom do elektronického bezpečnostného denníka |
||||
|
Štrukturálna jednotka zodpovedná za zabezpečenie bezpečnosti osobných údajov |
Ako môže použitie certifikovaných firewallov a určenie zodpovednej jednotky (resp. zodpovednej osoby) pomôcť zabrániť vplyvu operačného systému na spracovávané dáta, vedia zrejme len autori.
Tretia polica. Terminológia. A toto je najzáhadnejšia časť dokumentu. Odkiaľ sa vzali „zamestnanci prevádzkovateľa“ a prečo nie sú zamestnancami, ktorých právne postavenie jasne vystihuje Zákonník práce – otázka je jednoduchá a zrejmá. Čo je to však „elektronický denník správ“ (s. 15) a ako sa líši od „elektronického denníka zabezpečenia“ (s. 16), ak sa vôbec líši – existuje veľké tajomstvo. Asi ide o polená. Záznamy čoho? OS? DB? zadok? GIS? Všetko spolu alebo niečo zvlášť? Otázky bez odpovedí.
Vyhláška zavádza v zákone absentujúci pojem informačného systému, ktorý spracúva verejne dostupné osobné údaje a považuje ho za prijímaný len z verejne dostupných zdrojov osobných údajov vytvorených v súlade s § 8 152-FZ.
A ak sa získajú iným spôsobom, napríklad ak ide o informácie podliehajúce zverejneniu a povinnému zverejneniu, ako sú informácie z Jednotného štátneho registra právnických osôb a EGRIP, ktoré sú verejne dostupné v súlade s federálnym zákonom o štátnej registrácii právnických osôb a fyzických osôb podnikateľov. Alebo informácie o pridružených spoločnostiach emitenta cenné papiere. Alebo osobné údaje kandidátov na poslancov zverejňovať. Ako byť s nimi? Opäť otázka bez odpovede.
Nakoniec posúdenie zhody. Pojem, ktorý v žiadnom zákone okrem uzavretej vyhlášky č. 330 nemá vysvetlenia v súvislosti so zariadením informačnej bezpečnosti, sa naďalej pohybuje v regulačnom rámci. Ale aj keď prevádzkovateľ videl túto vyhlášku, nie je mu dané pochopiť, ako sa vykonáva posudzovanie zhody v rámci štátnej kontroly a dozoru. A vyhodnotiť dôsledky čakania na príchod kontrolóra a jeho správanie pri pohľade na necertifikované prostriedky. No a nezabúdajme, že v novej verzii zákona podliehajú regulačné právne akty týkajúce sa spracúvania osobných údajov úradnému zverejňovaniu.
Polica štvrtá. Použiteľnosť. Uznesenie môže nadobudnúť plnú účinnosť až po prijatí príslušných aktov FSB a FSTEC stanovených v časti 4 článku 19 152-FZ, ako aj federálnych výkonných orgánov, ktoré vykonávajú funkcie rozvoja štátnej politiky a právna úprava v ustanovenej oblasti činnosti, orgány štátne orgány zakladajúcich subjektov Ruskej federácie, Banka Ruska, orgány štátnych mimorozpočtových fondov, iné štátne orgány z hľadiska zisťovania skutočných ohrození bezpečnosti osobných údajov ( časť 5 článku 19 152-FZ bod 2 Požiadaviek), ktoré chýbajú a nie je známe, kedy budú prijaté. Za týchto podmienok je pre prevádzkovateľa takmer nemožné splniť stanovené požiadavky. Vraciam sa k vedúcej materskej školy a vedúcej oddelenia automatizácie valcovne rúr. Kto ako prvý vysvetlí, čo sú „nedeklarované schopnosti systémového softvéru“ a podľa akých kritérií vyhodnotí relevantnosť tejto hrozby? Čo môže druhú osobu prinútiť rozpoznať tieto hrozby ako relevantné pre jeho závod a riešiť ďalšie problémy? Ako posúdia škody, o ktorých sa písalo pri analýze prvej police? Počkajme si na dokumenty FSB a FSTEC. Niečo mi hovorí, že nebude možné jednoducho odmietnuť neutralizáciu nedeklarovaných schopností. Banky a telekomunikácie to nakoniec vyriešia. A čo ostatní, ktorí nemajú špecializovaných špecialistov a licencie FSB / FSTEC - školy a univerzity, nemocnice a kliniky, matriky a úrady práce atď., atď.? Nič iné ako zmätok, takýto dokument ich môže spôsobiť.
Nebudem písať životopis. A tak je všetko jasné.
Ruky, ktoré dlho siahali po klávesnici nad novým regulačným majstrovským dielom, sú už obité do špiku kostí. Už sa to nedá zadržať a už to nevydržím. Bude treba napísať. Navyše dnešným dňom nadobúda účinnosť vyhláška zo dňa 1.11.2012 č. 1119 „O schválení požiadaviek na ochranu osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov“, ktorou sa ruší vyhláška zo dňa 11.17.2007 č. 781. Platnosť uplynie sedem dní od dátumu zverejnenia.
Úprimne povedané, reakcia kolegov z odbornej verejnosti na nové uznesenie, ktoré vlastne definuje systém budovania technického zabezpečenia spracovania osobných údajov v informačných systémoch, ma nielen prekvapilo, ale skôr zarazilo. Súčiastky, a nie málo, sa páčili, pretože podľa ich názoru neobsahuje nič zásadne nové a skrutky ďalej nedoťahuje a počet požiadaviek v porovnaní s PP-781 dokonca klesá. Ďalšia časť kolegov dokument vyčíta, ale veľmi všeobecne, hlavne pre nedostatok konkrétnosti.
O požiadavkách som mal trochu iný názor, stručne som to vyjadril na dnešnom webinári, ktorý organizovala naša agentúra spolu so spoločnosťou Bezpečnostný kód a množstvo zaslaných otázok k tomu ma napokon primälo k napísaniu tohto príspevku.
Pre systematizáciu mojej vízie som si vymyslel niekoľko políc, podľa ktorých rozložím svoje hodnotenie dokumentu. Prepáčte, bude tam veľa listov. Veľmi. Slová boli starostlivo vybrané, takže kategória čitateľov môže byť 0+.
Najprv polica. Súlad so zákonom. Uvoľnenie PP-1119 je priamou požiadavkou odsekov 1 a 2 časti 3 článku 19 nového vydania 152-FZ „O osobných údajoch“. Práve to mi umožňuje veľmi ostro zhodnotiť stav vecí na tejto poličke. Nariadenie vlády nie je v súlade so zákonom. Zákon nariadil určiť úrovne bezpečnosti a požiadavky na ne v závislosti od piatich faktorov:
· možnú ujmu subjektu osobných údajov,
· objem spracúvaných osobných údajov,
· obsah spracúvaných osobných údajov,
· druh činnosti, pri ktorej sa osobné údaje spracúvajú,
· závažnosť hrozieb pre bezpečnosť osobných údajov.
Typy činnosti, a čo je najdôležitejšie, poškodenie subjektu v prijatom dokumente vo všeobecnosti chýbajú ako kvalifikačné znaky. V bode 7 Požiadaviek je prevádzkovateľ „vôbec nehumánny“, inak nemôžem povedať, navrhuje sa samostatne určiť typ ohrozenia bezpečnosti osobných údajov relevantných pre informačný systém s prihliadnutím na posúdenie možnej škody na základe dokumentov FSB a FSTEC, ktoré ešte neexistujú. Tie. vedúci materskej školy alebo vedúci oddelenia automatizácie valcovne rúr (keďže v takýchto organizáciách jednoducho nikto iný nemá na starosti takéto problémy) posúdi škody spôsobené zverejnením údajov zamestnancov, pedagógov, návštevníkov a ich príbuzných. S úplnou absenciou metodologického vývoja v krajine v tejto otázke. Každý, kto má s takouto problematikou čo i len trochu skúsenosti, vie, že problematika určenia výšky škody pri porušení občianskych práv patrí v judikatúre a súdnom konaní k najťažším. Ale očividne, pamätajúc na klasický postulát o schopnostiach každého kuchára, sa autori rozhodli, že problém možno vyriešiť crowdsourcingom. Operátorov je podľa Roskomnadzoru asi sedem miliónov. Pozrite sa, s čím prišli. Klasický príklad presúvania problémov z jednej hlavy do druhej, viete čo.
Aj s aktivitami je to prepad. Ak vezmeme do úvahy, že nová verzia zákona neponecháva priestor pre priemyselné štandardy pre prácu s osobnými údajmi, tieto rovnaké typy bude potrebné brať do úvahy iba jedným spôsobom - vynájdením bezpečnostných hrozieb, ktoré sú doplnkové k tým, ktoré vynájde FSB a FSTEC, čo je v skutočnosti uvedené v častiach 5 a 6 toho istého článku 19 zákona. Bodka. Iba identifikovať nové hrozby a nezabezpečiť žiadne zmiernenia, podobné tým, na ktorých sa MZ dohodlo s FSTEC vo svojich metodických dokumentoch.
Polica druhá. Metodológia. Polička je najviac ... zle zavesená. Keďže v metodológii - najdôležitejšie, kľúčové problémy dokumentu. Deklarujúc nedeklarované (nedokumentované) vlastnosti v systémovom a aplikačnom softvéri ako hlavné hrozby, ktoré nevyhnutne vedú k zavedeniu vyššej úrovne bezpečnosti (pozri tabuľku 1), neponúkajú požiadavky vôbec žiadne metódy alebo spôsoby, ako ich neutralizovať. Pre takéto metódy môže byť len kontrola tohto softvéru na absenciu záložiek a iných zlých návykov. A to nikto od operátorov nevyžaduje, aspoň v PP-1119.
stôl 1
typ ISPD |
Personál operátora |
Počet predmetov |
Typ súčasných hrozieb |
||
1 |
2 |
3 |
|||
ISPDn-S |
Nie |
> 100 000 |
UZ-1 |
UZ-1 |
UZ-2 |
Nie |
< 100 000 |
UZ-1 |
UZ-2 |
UZ-3 |
|
Áno |
|||||
ISPDn-B |
UZ-1 |
UZ-2 |
UZ-3 |
||
ISPDn-I |
Nie |
> 100 000 |
UZ-1 |
UZ-2 |
UZ-3 |
Nie |
< 100 000 |
UZ-2 |
UZ-3 |
UZ-4 |
|
Áno |
|||||
ISPDn-O |
Nie |
> 100 000 |
UZ-2 |
UZ-2 |
UZ-4 |
Nie |
< 100 000 |
UZ-2 |
UZ-3 |
UZ-4 |
|
Áno |
|||||
Na liečenie logických bômb, zadných vrátok a iných zlých duchov ponúkajú staré osvedčené metódy - klyster s gramofónovými ihlami a sadrovanie nezlomených končatín. Pozri tabuľku 2.
tabuľka 2
Požiadavky |
Úrovne bezpečnosť |
|||
1 |
2 |
3 |
4 |
|
Bezpečnostný režim priestorov, kde sa spracúvajú osobné údaje |
||||
Bezpečnosť nosičov osobných údajov |
||||
Zoznam osôb, ktoré majú prístup k osobným údajom |
||||
IPS, ktoré prešli postupom posudzovania zhody |
||||
Úradník zodpovedný za zabezpečenie bezpečnosti osobných údajov v ISPD |
Tretia polica. Terminológia. A toto je najzáhadnejšia časť dokumentu. Odkiaľ sa vzali „zamestnanci prevádzkovateľa“ a prečo nie sú zamestnancami, ktorých právne postavenie jasne vystihuje Zákonník práce – otázka je jednoduchá a zrejmá. Čo je to však „elektronický denník správ“ (s. 15) a ako sa líši od „elektronického denníka zabezpečenia“ (s. 16), ak sa vôbec líši – existuje veľké tajomstvo. Asi ide o polená. Záznamy čoho? OS? DB? zadok? GIS? Všetko spolu alebo niečo zvlášť? Otázky bez odpovedí. Vyhláška zavádza v zákone absentujúci pojem informačného systému, ktorý spracúva verejne dostupné osobné údaje a považuje ho za prijímaný len z verejne dostupných zdrojov osobných údajov vytvorených v súlade s § 8 152-FZ. A ak sa získajú iným spôsobom, napríklad ak ide o informácie podliehajúce zverejneniu a povinnému zverejneniu, ako sú informácie z Jednotného štátneho registra právnických osôb a EGRIP, ktoré sú verejne dostupné v súlade s federálnym zákonom o štátnej registrácii právnických osôb a fyzických osôb podnikateľov. Alebo informácie o spriaznených osobách emitenta cenných papierov. Alebo osobné údaje kandidátov na poslancov zverejňovať. Ako byť s nimi? Opäť otázka bez odpovede. Nakoniec posúdenie zhody. Pojem, ktorý v žiadnom zákone okrem uzavretej vyhlášky č. 330 nemá vysvetlenia v súvislosti so zariadením informačnej bezpečnosti, sa naďalej pohybuje v regulačnom rámci. Ale aj keď prevádzkovateľ videl túto vyhlášku, nie je mu dané pochopiť, ako sa vykonáva posudzovanie zhody v rámci štátnej kontroly a dozoru. A vyhodnotiť dôsledky čakania na príchod kontrolóra a jeho správanie pri pohľade na necertifikované prostriedky. No a nezabúdajme, že v novej verzii zákona podliehajú regulačné právne akty týkajúce sa spracúvania osobných údajov úradnému zverejňovaniu. Polica štvrtá. Použiteľnosť. Uznesenie môže nadobudnúť plnú účinnosť až po prijatí príslušných aktov FSB a FSTEC stanovených v časti 4 článku 19 152-FZ, ako aj federálnych výkonných orgánov, ktoré vykonávajú funkcie rozvoja štátnej politiky a právna úprava v ustanovenej oblasti činnosti, orgány štátne orgány zakladajúcich subjektov Ruskej federácie, Banka Ruska, orgány štátnych mimorozpočtových fondov, iné štátne orgány z hľadiska zisťovania skutočných ohrození bezpečnosti osobných údajov ( časť 5 článku 19 152-FZ bod 2 Požiadaviek), ktoré chýbajú a nie je známe, kedy budú prijaté. Za týchto podmienok je pre prevádzkovateľa takmer nemožné splniť stanovené požiadavky. Vraciam sa k vedúcej materskej školy a vedúcej oddelenia automatizácie valcovne rúr. Kto ako prvý vysvetlí, čo sú „nedeklarované schopnosti systémového softvéru“ a podľa akých kritérií vyhodnotí relevantnosť tejto hrozby? Čo môže druhú osobu prinútiť rozpoznať tieto hrozby ako relevantné pre jeho závod a riešiť ďalšie problémy? Ako posúdia škody, o ktorých sa písalo pri analýze prvej police? Počkajme si na dokumenty FSB a FSTEC. Niečo mi hovorí, že nebude možné jednoducho odmietnuť neutralizáciu nedeklarovaných schopností. Banky a telekomunikácie to nakoniec vyriešia. A čo ostatní, ktorí nemajú špecializovaných špecialistov a licencie FSB / FSTEC - školy a univerzity, nemocnice a kliniky, matriky a úrady práce atď., atď.? Nič iné ako zmätok, takýto dokument ich môže spôsobiť. Nebudem písať životopis. A tak je všetko jasné. | |||
Načítava...