Hastalık izni

Kişisel veriler hakkında FZ 152. Federal "Kişisel Veriler Üzerine" Yasası: basit kelimelerle ana hükümler

03.05.2019

"Kişisel veriler hakkında" (FZ No. 152)? Bu projede yer alan temel gereksinimler ve hükümler nelerdir? Tüm bu sorular makalede cevaplanacaktır.

Genel Hükümler

Önerilen yasa tasarısının amaçları nelerdir? Birincisi ve en temel olanı, bilginin işlenmesiyle ilgili ilişkilerin düzenlenmesidir. Otomasyon araçlarından, bilgi ve telekomünikasyon ağlarından, malzeme ortamlarından ve dosya dolaplarından bahsediyoruz. Kanun, belirli bir yerel alanda, aile veya kişisel veri korumasını düzenlemez. Sunulan tasarının en önemli çalışma yönü, kişisel verilerinin yüksek kalitede işlenmesi yoluyla vatandaşların özgürlük ve haklarının korunmasıdır. Bu, özel, aile ve özel hayatın dokunulmazlığının kalite güvencesi için gereklidir.

"Kişisel Veriler Hakkında Kanun" vatandaşların haklarını korumayı amaçlamaktadır. Kişisel verilerle ne kastedilmektedir? Kısacası, kesinlikle belirli bir kişiyle dolaylı veya doğrudan ilgili olan herhangi bir bilgidir. Bu verileri işleme süreci, bilgileri depolamayı, engellemeyi, silmeyi veya sistemleştirmeyi amaçlayan bir dizi işlemdir.

Prensipler

152) tüm bilgi işleme sürecinin dayandığı bir dizi temel ilkeyi içerir. Bu ilkeler nelerdir? Burada şunları vurgulayabiliriz:

  • Tüm eylemler adil ve yasal bir şekilde gerçekleştirilmelidir. İncelenmekte olan kanun taslağının varlığı bu ilkeyi doğrulamaktadır.
  • Belirli, net bir hedef belirlenmelidir. Bu hedeften herhangi bir sapma kabul edilemez (amaç vatandaşların haklarını korumaktır).
  • Belirlenen hedeflerin doğruluğu, yeterliliği ve uygunluğu sağlanmalıdır. İçerik oluşturulmalıdır (kişisel veriler yasası bunu içerir).
  • Gerekli tüm verilerin saklanması, tüm son tarihler, gereksinimler ve amaçlara uygun olarak gerçekleştirilmelidir.

Böylece, düşünülen normatif eylem bilgi koruma faaliyetlerinin oluşturulabileceği temelinde gerekli tüm ilkeleri içerir.

Şartlar

Kişisel verilerin işlenmesi yalnızca belirli ilkelere uygun olarak değil, aynı zamanda sıkı bir tabiiyet içinde gerçekleştirilmelidir. belirli koşullar. Bu koşullar nelerdir ve nasıl gruplandırılır? İşte vurgulamaya değer olan şey:

  • Bir vatandaşın verilerinin işlenmesine zorunlu rızası - temel koşul"Kişisel Veriler Üzerine" yasasını içeren (FZ No. 152).
  • Tüm veri işleme, öncelikle belirli hedeflere ulaşmaya yöneliktir, yasalarla düzenlenir ve anlaşmalar Rusya Federasyonu.
  • Kişisel verilerin işlenmesi, adaletin yerine getirilmesine veya herhangi bir yasal işlemin uygulanmasına yöneliktir.
  • Bir vatandaştan rıza almak mümkün değilse, verilerinin işlenmesi yine de bir kişinin hayatı veya sağlığı tehlikede olduğunda gerçekleştirilmelidir.

Gerekli tüm kişisel verilerin işlenmesinin özel, yetkili operatörler tarafından gerçekleştirilmesi gerektiğini de belirtmekte fayda var. Bu profesyonellerin sorumlulukları aşağıda özetlenecektir.

Kategoriler

Kişisel verilerin korunmasına ilişkin yönetmelik, işlenmesi gereken bu bilgi unsurlarının belirli türlerini ve kategorilerini içerir. Tam olarak ne hakkında konuşuyoruz? Kısacası, ana kategoriler, ilgili yasa tasarısı tarafından sağlanan ırksal, ulusal, dini veya diğer inançlar olarak karakterize edilebilir. Bunların işlenmesi yalnızca vatandaşın doğrudan rızasıyla ve tüm normlara, standartlara ve düzenlemelere uygun olarak gerçekleştirilmelidir.

Kişisel verilerin ana kategorilerini daha ayrıntılı olarak açıklamanın çok zor olduğu söylenmelidir. Ancak, bir kural olarak, bu, çeşitli bireyler, hükümet yetkilileri, ordu vb. hakkında gizli bilgilerdir. Bir vatandaşın kamuoyuna açıklamak istemeyeceği her şey devletin koruması altında olmalıdır. Bunlar kişisel pasaport verileri, sertifika veya hak sayıları, dünya görüşü inançları vb.

Öznelerin Hakları

"Kişisel Veriler Hakkında Kanun" (FZ No. 152), verileri işlenen herhangi bir vatandaşın herhangi bir zamanda hem verileri hakkında hem de korunma düzeyleri hakkında gerekli tüm bilgileri alma hakkına sahip olduğunu belirtmektedir. Her kişi özel bir talepte bulunabilir, bunun ardından serbest bırakılan herhangi bir operatör gerekli tüm verileri sağlamalıdır.

Bu durumda, özne şu haklara sahiptir:

  • gerekli tüm verileri görüntülemek için;
  • işlenmiş bilgileri yok etmek;
  • bilgilerde belirli değişiklikler yapmak için.

Gerekli tüm bilgilerin elde edilebilmesi için öznenin kişisel numarasını (kimliğini) belirterek talepte bulunması gerekmektedir. Aynı zamanda, her vatandaşın hakkı vardır. tekrarlanan istekler gerekli makamlara.

Ayrıca, operatörün konuyu görüntülemeyi reddetme hakkına sahip olduğu da belirtilmelidir. gerekli bilgi. Ancak, bu reddetme motive edilmelidir. Kural olarak, ana motifler yanlış biçimlendirilmiş bir talep, eksik veri işleme veya sınırlı hukuki durum konunun kendisi.

Operatör Sorumlulukları

Operatörler kimlerdir? Bu işçiler yukarıda zaten tartışıldı, ancak ana işlevleri tanımlanmadı. Kişisel verilerin korunmasına ilişkin ilgili yönetmelik burada aşağıdakileri düzenlemektedir:

  • işletmeci, konumu, soyadı ve adı ile adresini konuya bildirmekle yükümlüdür;
  • belirli yasal işlemler temelinde, yasalara sıkı sıkıya bağlı olarak çalışmalıdır;
  • tüm konuları bilgilendirmekle yükümlüdür. gerekli kurallar kişisel bilgilerin kullanımı;
  • korunan ve işlenen tüm kişisel verilerin kayıt altına alınmasını, saklanmasını, sistemleştirilmesini, biriktirilmesini ve değiştirilmesini niteliksel olarak sağlamakla yükümlüdür.

Operatörün, aktif olarak işleniyorsa veya konunun kendisi kişisel verilerin elde edilmesi için gerekli tüm kural ve koşullara uymaması durumunda vatandaşa kişisel bilgi vermeme hakkına sahip olduğunu da belirtmekte fayda var.

Güvenlik önlemleri

Operatörlerin - kişisel verilerin işlenmesinde çalışanların temel görev ve sorumlulukları yukarıda özetlenmiştir. Herhangi bir operatörün en önemli işlevlerinden biri, bilgilerin uygun kaynaklarda güvenli bir şekilde saklanmasını sağlamaktır. 27 Temmuz 2006 tarihli Rusya Federasyonu Federal Yasası (No. 152, FZ), herhangi bir kişisel verinin yüksek kalitede güvenliğini sağlamak için ana önlemleri ve yöntemleri düzenlemektedir. Burada vurgulanabilecek şey şudur:

  • güvenlik tehditlerinin etkin ve hızlı bir şekilde belirlenmesi, derhal ortadan kaldırılması;
  • depolama güvenliğini sağlamak için çeşitli teknik ve organizasyonel önlemlerin açık bir şekilde uygulanması;
  • ilgili prosedürler için tahminler derlemek, depolama ve biriktirme çalışmalarını analiz etmek;
  • kalite güvencesi makine ortamı, çeşitli teknik unsurların yanı sıra;
  • sızıntı veya kayıp durumunda tüm kişisel verilere erişimin hızlı bir şekilde geri yüklenmesi.

Buna ek olarak, yasadaki bazı değişiklikler, kişisel verilerin işlenmesine ilişkin çalışmaları niteliksel olarak değerlendirmenin mümkün olduğu belirli güvenlik seviyelerinin oluşturulmasıyla da ilgilidir.

Yetkili kuruluş

Son olarak, kimin görevleri arasında kontrolü içerdiğinden bahsetmek gerekir. kişisel işleme belirli vatandaşların verileri. Yetkili kuruluşun kuruluş olduğunu tahmin etmek kolaydır yürütme gücü. Bilgi işlemenin etkili çalışması üzerinde kalite kontrol ve denetimi içeren sorumluluklarıdır. Yetkili kuruluş ne yapabilir?

152 Sayılı (FZ) "Kişisel Verilere Dair Kanun" bunu düzenlemektedir.

federal yasa kişisel verilerin korunmasına ilişkin son değişiklikler(güncellemeler) Eylül 2015'te, ancak 1 Ocak 2016'dan bu yana pek çok kişinin beklemesine rağmen hiçbir yenilik olmadı.

Göre son baskı Federal Yasa, Rusya Federasyonu'nun her vatandaşının sahip olduğu özel hak kişisel korumak kesin bilgi hangi üçüncü şahıslar tarafından kullanılamaz.

Rusya Federasyonu yasalarına göre kişisel veriler nedir?

Rusya Federasyonu'nun mevcut ilgili mevzuatına göre, kişisel veriler şu şekilde kabul edilir:

  • pasaport detayları,
  • adları ve soyadları,
  • bazı yasal ilişkiler sırasında konuya aşina hale gelen diğer bazı noktalar.

Örneğin, FZ 152, kredi ve diğer sözleşmeleri imzalarken banka tarafından alınan bilgilerin ifşa edilmemesine ilişkin kuralları da düzenler. Bu anlaşmanın pratik anlamı, verilerini belirli ilişkiler çerçevesinde emanet eden Rus'un, bunların gizli tutulacağından emin olabilmesidir. Aksi takdirde, bu kuralın ihlali şunları içerebilir: cezai ceza. Genel anlamda, bu bilgiler gizlidir ve ifşası veya dağıtımı söz konusu olamaz.

152 FZ kişisel veriler yasası

Bu tasarı 2006 yılında nihai hale getirilmiştir. O zamana kadar Rusya'da böyle bir eylem yoktu, bu da ülkemizin topraklarında vatandaşların bu konuda korunmasız olduğu anlamına geliyor. Kişisel verilere ilişkin 27 Temmuz 2006 tarih ve 152 FZ sayılı Federal Kanun, Federasyon Konseyi tarafından onaylandıktan sonra yasal olarak yürürlüğe girmiştir. Vadesi dolmuş idari emir okumanın Devlet Duması tarafından yapıldığını varsayar ve üst meclis onay verir. Bu prosedür, her birinin meşrulaştırılması için sağlanmıştır. yeni baskı.

Federal Yasanın ihlali durumunda ne olacağı hakkında daha fazla konuşacağız.

Kişisel verilerin işlenmesine ilişkin 152 FZ sayılı Kanun 2016 için yeni baskı,

Yeni baskıdaki yorum ve açıklamaları içeren Federal Yasa metni internette "Danışman +" özel sitesinde bulunabilir. Sistem ve işin kapsamı da burada açıklanmaktadır. bu hareket. Materyal, 2016 için değişiklik ve düzeltmelerle belirtilmiştir, bu nedenle mümkün olduğunca alakalıdır. Bu eylemi okuduktan sonra, her kişi mevcut sorunun cevabını bulacaktır. Örneğin, Ruslar genellikle aşağıdaki noktalarla ilgilenirler:

  • gizliliğin tanımı (gizlilik);
  • ihlal durumunda sorumluluk (mevcut sürüm);
  • iş düzenlemeleri (veya kişisel veriler nedir);
  • içtihat (genellikle bilgilerin bankalar tarafından kullanılmasıyla ilgilidir);
  • yeni (en son) baskı.

Kişisel verilere ilişkin yasanın ihlali ve bilgilerin ifşa edilmesi sorumluluğu

152 sayılı Federal Kanun'un kişisel verilerin ifşa edilmemesine ilişkin hükümlerine uyulmaması durumunda, davalıya aynı anda iki tür ceza uygulanabilir:

  • madde uyarınca (5 yıla kadar hapis cezası);
  • ve için (5 bin rubleye kadar para cezası).

Sivil ve iş kodları bu bağlamda yalnızca kuralcı eğilimleri içerir. Tüm bu eylemler için bilgilerin işlenmesi, sağlanması, saklanması, iletilmesi, silinmesi ve cezalandırılması hakkında açıklamalar sağlar.

Rusya Federasyonu topraklarında kişisel verilerin İnternet'te depolanmasına ilişkin yasa

Rusya genelinde tüm kurallara uyulması ve kişisel verilerin ve hakların korunması zorunludur. devlet kontrolüÇalışma bu kararİnternette Roskomnadzor tarafından yürütülmektedir. Dolayısıyla bu gibi durumlarda nereye şikayette bulunacağınız konusunda bir sorunuz varsa o zaman sizi yetkili yapıya yönlendirdik. Örnek bir mektup da çevrimiçi olarak bulunabilir. Kanunun tüm hükümlerine uyma zorunluluğu istisnalara müsamaha göstermez.

Üçüncü şahıslara devir hakkında, Federal Yasa 152 ne diyor?

Kişisel veriler, açık bir şekilde tanımlamak için yeterli olan her türlü bilgiyi içerir. bireysel ve bu konuda biraz bilgi alın Ek Bilgiler. Kişisel verileri işleyen herhangi bir kuruluş şunları korumalıdır: Bilgi sistemi ve bu sistemlerin yasaların gereklerine uygunluğunu teyit eden belgeler elde edin.

Tanımlar

  • Kişisel veri- doğrudan veya dolaylı olarak kimliği belirli veya belirlenebilir gerçek kişiye (kişisel verilerin konusu) ilişkin her türlü bilgi;
  • Kişisel veri operatörü- kişisel verilerin işlenmesini organize eden ve (veya) gerçekleştiren diğer kişilerle bağımsız olarak veya ortaklaşa bir devlet organı, bir belediye organı, bir tüzel kişilik veya bir birey, ayrıca kişisel verilerin işlenme amaçlarının belirlenmesi, kişisel verilerin bileşimi işlenecek veriler, kişisel verilerle gerçekleştirilen eylemler (işlemler);
  • Kişisel verilerin işlenmesi- toplama, kaydetme, sistematikleştirme, biriktirme, depolama, açıklama (güncelleme, değiştirme), çıkarma, kullanma, aktarma dahil olmak üzere, otomasyon araçları kullanılarak veya bu tür araçlar kullanılmadan gerçekleştirilen herhangi bir eylem (işlem) veya bir dizi eylem (işlem) (dağıtım, tedarik, erişim), duyarsızlaştırma, engelleme, silme, kişisel verilerin imhası.

Rusya'nın neden bu yasaya ihtiyacı var?

Kişisel verilerin korunmasına ilişkin yasanın kabul edilmesinin nedeni, Avrupa Birliği ülkeleriyle uluslararası ticarette engellerin kaldırılması ihtiyacıydı. Genellikle işlemlerde gerekli olan kişisel verilerin değişimi, yalnızca iletilen ve alınan bilgilerin uygun şekilde korunmasını sağlayabilen devletler arasında mümkündür. Karşılaştırma için, Norveç ve Fransa'da, on dokuzuncu yüzyılın sonunda benzer yasalar getirildi. 2005 sonbaharında Devlet Duması Kişisel Verilerin Otomatik İşlenmesine İlişkin Kişilerin Korunmasına İlişkin Avrupa Konseyi Sözleşmesini onayladı.

Kanunen, kişisel verilerin saklandığı ve işlendiği her bilgi sistemine, bu verilerin korunmasının sağlanacağı bir sınıf atanmalıdır. Ek olarak, bilgi sistemleri standart veya özel olabilir ve ikincisi işletim için zorunlu lisans gerektirir. Özel, örneğin, sağlık durumu hakkında bilgi içeren ve kararların alındığı temellere dayanan sistemlerdir. yasal etkiler. Başka bir deyişle, bu tür bilgi sistemlerinden gelen veriler veya daha doğrusu analizleri ve işlenmesi, kişisel verilerin konusunun yaşamını veya sağlığını etkileyebilirse. Özel bilgi sistemleri sınıfı, düzenleyici kurumların düzenleyici ve metodolojik belgelerine uygun olarak bir kişisel veri güvenliği tehdit modeli temelinde belirlenir.

Kanun nasıl onaylandı ve değiştirildi

Kişisel verilerin yabancı sunuculara aktarımının sınırlandırılması planlanmaktadır.

1 Eylül 2015 tarihinde, Rusya'da FZ-242 kanunu tarafından belirlenen ve kişisel veri operatörlerinin Rusya Federasyonu topraklarında bulunan veritabanlarını kullanarak Rusların kişisel verilerini işlemesini ve saklamasını zorunlu kılan bir hüküm yürürlüğe girdi. Bu hükümde kullanılan belirli terimlerin ve formülasyonların izin vermesi nedeniyle, çeşitli yorumlar, Telekom ve Kitle İletişim Bakanlığı buna ilişkin açıklamalar hazırladı. Açıklamaların bir listesi adresinde mevcuttur.

2006-2010

Temmuz 2006'da 152-FZ sayılı "Kişisel Veriler Üzerine" Federal Yasa kabul edildi. Yasa, Ocak 2007'de yürürlüğe girdi.

Kanunlara uymanızı engelleyen nedir?

İlk olarak, teknik sorunlar ciddi bir engeldir. Kanunun yeni baskısında şifreleme (kriptografik) araçları kullanma zorunluluğu kaldırılmış olmasına rağmen, operatörlerin sistemlerinin sınıfına uygun bir dizi teknik ve organizasyonel koruma aracı kullanmaları gerekmektedir. Ayrıca, uygun korumayı organize etmek için, çoğu zaman bir şirketin teknik araç filosunu neredeyse tamamen güncellemesi gerekir. Uzmanlaşmış veya uygun personele sahip şirketler, karşı taraflar ve çalışanlar hakkındaki kişisel veriler de dahil olmak üzere kurumsal bilgileri korumak için güvenlik sistemlerini bağımsız olarak uygulayabilir. Bir nedenden dolayı güvenlik sorunlarıyla kendi başlarına uğraşmak istemeyen diğer şirketler, uzman firmalara yöneliyor. Ama nihayetinde çare seçimi, bedelini ödeyenlerin omuzlarına düşer ve ekonomi ve güvenlik savaşı kaçınılmazdır. FZ-152'nin resmi gereksinimlerine uygunluk, kişisel veriler de dahil olmak üzere gizli bilgilerin sızıntı ve diğer iç tehditlerden gerçek anlamda korunmasını sağlamaz.

İkincisi, bunlar sertifika ile ilgili sorunlardır. Nitekim mevzuat açısından güvenliğin kendisi değil, kişisel verilerin korunmasına yönelik tedbirlerin standartta tanımlananlara uygunluğu ön plandadır. Ve bazı şirketlerin yalnızca lisanslama maliyetleriyle sınırlı olması da mümkündür. Zaten şimdi, ilk on şirketten geçtik arama motoru Bilgi güvenliği alanında dış kaynak kullanımı ile uğraşan şirketlerin çoğunun koruma sistemlerinin geliştirilmesine değil, lisans almak için belge toplama konusunda yardıma odaklandığını görebilirsiniz.

Kanunun başarılı bir şekilde uygulanması yolundaki üçüncü önemli sorun, işletmeci piyasasının dengesizliğidir. Aslında, farklı veri kaynakları için güvenlik gereksinimleri arasında ayrım yapmak gerekir. Veri operatörleri bu durumda kör kedi yavrularına benzeyebilir - bilgiyi korumanın tüm yöntemleri ve yolları düzenleyiciler tarafından tek bir fırça altında toplanır ve piyasadaki mevcut dernekler dar bir şirketler çemberi için sorunları çözer ve çıkarlarını savunmaz. bir bütün olarak piyasa katılımcıları.

Kişisel bilgilerin korunması

Olayların kronolojisi

2017

Facebook ve Twitter, Rus yasalarının gerekliliklerine uyacak

Büyük ABD şirketleri Facebook ve Twitter, Kişisel Veriler Yasası'nın gerekliliklerine uyacaktır. Izvestia, Kasım 2017'de kaynaklarına atıfta bulunarak, Facebook'un bir Rusya temsilciliği kurmayı planladığını ve Twitter'ın Rusların kişisel verilerini içeren sunucuları Rusya Federasyonu topraklarına aktarmak için planladığını bildirdi.

Rusya Telekom ve Kitle İletişim Bakanlığı, kişisel verilerin işlenmesine izin verme prosedürünü sıkılaştırmak istiyor

Yetkili, “vatandaşlarımız çoğu zaman bu tür rızaları net bir anlayış olmadan veriyorlar. yasal sonuçlar ve gelecekteki olası kullanımları. Bu nedenle bakanlık, yasa çerçevesinde, hem prosedürün kendisini hem de kişisel bilgilerin işlenmesine izin verme prosedürünü iyileştirmek için benzer bir girişimde bulunmuştur. Ayrıca, Sokolov'un belirttiği gibi, şu an vatandaşlar tarafından işlenmek üzere verilen rızaların verilerinin tutulacağı bir devlet kaynağı oluşturma olasılığı üzerinde çalışılmaktadır. kişisel bilgi Kullanımlarını kontrol etmek için.

Telekom ve Kitle İletişim Bakanlığı ayrıca yasama düzeyinde, kişisel verilerin işlenmesine ilişkin yasal düzenlemeye, anonimleştirilmiş bir dizi kişisel veriye ve nesnelerin internetinin sonuçlarına ilişkin yaklaşımları ayırt etmeyi ve geliştirmeyi önermektedir. Resmi notlar: “En çok tartışılan sorunlardan biri sözde. Mevcut yasama organı böyle veya benzer bir kavram içermez, ancak kişisel verilerin işlenmesinin belirli, önceden belirlenmiş hedeflere ulaşmasına izin verildiğini ve ardından bunların duyarsızlaştırma veya imhaya tabi olduğunu belirler. Bu nedenle, İnternet hizmetlerinde bir kişinin kimliğinin tespit edilmesine izin vermeyen çok sayıda duyarsızlaştırılmış kişisel veri birikir. Ayrıca Nesnelerin İnterneti'nin hızlı gelişimi, farklı tür sayaçlar, sensörler, Ev aletleri Kişisel veri olarak da sınıflandırılamayan önemli miktarda farklı türde veri üretir. Bunu akılda tutarak, yasal düzeyde farklılaşma sorununu çözmek ve kişisel verilerin işlenmesinin yasal düzenlemesine, anonimleştirilmiş bir kişisel veri dizisine ve nesnelerin internetinin sonuçlarına ilişkin çeşitli yaklaşımlar geliştirmek gerekir. Tekliflerimiz 2017 yılının ilk yarısında hazır olacak.”

Rusların kişisel verilerinin işlenmesini denetleme yetkisi RKN'ye verilecek

Piyasa katılımcıları, tedbirlerin bir bütün olarak sektör üzerinde olumlu bir etkisi olmasına rağmen, bunların açıkça yeterli olmadığını ve hala çok muhafazakar olduklarını savunuyorlar.

Hükümet kararnamesi, bilgi sistemlerinde işlenmeleri sırasında kişisel verilerin dört düzeyde korunmasını ve her biri için gereksinimleri belirler. Bilgi sistemlerinin bir veya başka bir güvenlik düzeyine atanması, bilgi sisteminin işlediği kişisel verilerin türüne (özel, biyometrik, genel, diğer) bağlı olarak yapılır. gerçek tehditler(1., 2., 3.), bilgi sistemi tarafından işlenen kişisel veri konularının sayısı ve işletmecinin çalışanlarına ilişkin kişisel verilerin işlenip işlenmediği.

Kararname ayrıca, bu tür araçların kullanılmasının mevcut durumu etkisiz hale getirmek için gerekli olması durumunda, bilgi güvenliği alanındaki Rusya Federasyonu mevzuatının gerekliliklerine uygunluğu değerlendirme prosedürünü geçen bilgi güvenliği araçlarının kullanılması gerekliliğini de belirler. tehditler.

Belge, kişisel verileri işleyen bilgi sistemleri operatörlerinin, kişisel verileri yetkisiz veya kazara erişime, imha, değiştirme, kişisel verilerin engellenmesi, kopyalanması, dağıtılması, verilerin yanı sıra diğer yasa dışı eylemlerden.

Microtest Company'nin Sistem Entegrasyon Departmanının Baş Mühendisi Sergei Borisov'a göre, yeni Hükümet Kararnamesi, zorunlu gerekliliklerönceki belgede 34'e karşı 14'e kadar. Sergei Borisov, "Ancak, bence, yeni karar şirketler için hayatı kolaylaştırmadı." Dedi. - en külfetli gereklilik - bilgi güvenliği tesislerinin sertifikalandırılması ihtiyacı - tüm ISPD'ler için zorunlu olmaya devam etti.

"Bir sonraki madde ISPD'lerin sınıflandırılmasıdır" diye devam etti. - Daha önce operatör, tabloya göre tipik bir ISPD'nin sınıflandırmasını veya tehdit modelinin sonuçlarına dayalı olarak özel bir ISPD'nin sınıflandırmasını seçebilseydi, şimdi başka seçenek yoktur. Güvenlik düzeyi her zaman tehditlerin alaka düzeyine göre belirlenir. Operatörün bunları kendi başına belirlemesi pek olası değildir - iletişim kurmanız gerekecek ana kuruluş veya bir danışmana.

Sergei Borisov, kayıpla birlikte yeni kararın başka bir sorununu görüyor yasal önem FSTEC R ve FSB R belgelerinin çoğu, yürürlükten kaldırılan karar uyarınca geliştirildi. Borisov, "Yeni belgeler olmadan güvenlik seviyelerini belirlemek bile mümkün olmayacak. Bu, 1119 No'lu PP'nin şimdilik işe yaramaz olduğu anlamına geliyor," diye özetledi.

Sergey Borisov, yeni hükümet kararnamesinde, eskiden önemsiz olarak kabul edilen verilerin çoğunun artık daha fazla bilgi gerektiren başka bir kategoriye aktarılması nedeniyle şirketlerin kişisel verilerin korunmasına yönelik harcamalarında potansiyel bir artış görüyor. yüksek derece koruma.

Uzmanlar Rus Derneği Elektronik iletişimin uzmanları, şu anda kişisel verilerle ilgili mevzuatın İnternet'in mevcut gelişme düzeyini dikkate almadığından ve Rusya Federasyonu'ndaki e-ticaret ve bulut hizmetlerinin gelişimini önemli ölçüde yavaşlattığından emindir.

RAEC, İnternet endüstrisinin temsilcilerinin katılımıyla bölümler arası bir çalışma grubu oluşturulması konusunda ısrar etmeye devam ediyor. bilgi Güvenliği, Rusya Federasyonu İletişim Bakanlığı, Rusya Federasyonu Ekonomik Kalkınma Bakanlığı, Federal Güvenlik Servisi, FSTEC, Roskomnadzor temsilcileri, endüstrinin mevzuat ve değişiklikler konusundaki pozisyonlarının daha net bir şekilde formüle edilmesi için. Özellikle mevcut belge ve yönetmeliklerin uluslararası mevzuat ve standartlara uygun hale getirilmesinde.

2011

Konut kodu ve kişisel veriler

16 Haziran 2011 tarihinde, 4 Haziran 2011 tarihli ve 123-FZ sayılı Federal Kanun “Rusya Federasyonu ve Bazı Konut Kanunu'nda Değişiklik Yapılmasına Dair yasama işlemleri Rusya Federasyonu”, Madde 5, 27 Temmuz 2006 tarihli 152-FZ “Kişisel Veriler Hakkında” Federal Yasasına bir yenilik daha getirdi.

FZ-152'nin 6. Maddesinin 2. Kısmı düzeltildi ve aşağıdaki içeriğe sahip yeni bir paragraf eklendi:

“5.1) kişisel verilerin işlenmesi, organizasyonların, ev sahipleri derneklerinin yönetilmesi için gerekliyse, konut kooperatifleri, konut inşaat kooperatifleri veya diğer uzmanlaşmış tüketici kooperatifleri Rusya Federasyonu Konut Kanunu uyarınca yöneten apartman binaları veya bir apartmanın doğrudan yönetimi altındaki bir apartmandaki bina sahiplerinin, hizmetlerin sağlanması ve (veya) bakım ve onarım işlerinin yapılması için sözleşmeler imzaladığı kişilere ortak mülk bu binada veya doğrudan yönetim altındaki bir apartmanda bulunan bina sahiplerinin veya konut binalarının sahiplerinin, aşağıdakilerin sağlanmasına ilişkin anlaşmalar yaptığı kişilere araçlar veya bir apartman binasındaki bina sahipleri, konut binaları sahipleri, bir devlet veya belediyenin konut binalarının kiracıları ile yerleşim yapmak için anlaşmalar temelinde yer alan kişilere Konut stoku bir apartmanda, konutlarda ve kamu hizmetlerinde ortak mülkün bakım ve onarımı için; ... "

Yukarıdaki paragraf, kişisel veri operatörünün kişisel verilerin işlenmesi için öznenin rızasını almasının gerekmediği bir dizi durumu tamamlamıştır.

Bir yandan, bu değişiklik mantıksal olarak yeni düzenlemeye uyuyor. yasal rejim düzeyde olan apartmanların yönetimi Federal yasa ilgili sosyal ilişkilerde katılımcıların hak ve yükümlülüklerini belirler ve bu ilişkilerin özelliklerini belirler. Kişisel verilere ilişkin mevzuat açısından, söz konusu değişiklik, kişisel verilerin işlenmesi ve korunmasına ilişkin mevcut rejimde köklü değişiklikler getirmemekte, apartman binalarını yöneten çok sayıda kuruluşun hayatını bir ölçüde basitleştirmektedir, yanı sıra bina sahipleri ile kamu hizmetleri ve yerleşimlerin sağlanması.

Öte yandan, başka bir istisnanın ortaya çıkması, kişilerin kişisel verilerinin işlenmesine ilişkin rıza kurumunun normlarının bütünlüğü ve uygulanabilirliği hakkında üzücü düşüncelere yol açmaktadır. Değişiklik metni, rıza alma ihtiyacının bulunmaması koşulunu açıkça belirtir: kişisel verilerin işlenmesi normlarla bağlantılı olarak gerçekleşir. Konut Kodu Rusya Federasyonu veya ilgili anlaşmanın hükümleri ile bağlantılı olarak. Ancak yukarıdaki koşul, Federal Yasa-152'nin 6. maddesinin 2. bölümünün 1. ve 2. paragraflarının içeriğini fiilen çoğaltır. Böylece, yasa koyucu düzenleme düzeyinden aşağı iner. tipik durumlar(örneğin, sözleşme hükümlerinin yerine getirilmesiyle bağlantılı olarak kişisel verilerin işlenmesi) belirli durumların düzenlenmesi düzeyine kadar ( sözleşme ilişkileri konut sektöründe). Ek olarak, deneklerin kişisel verilerinin işlenmesine rıza gösterme kurumunun diğer normlarının anlamı ve değerinin devalüasyonu vardır (özellikle, Federal Yasanın 6. maddesinin 2. bölümünün 1. ve 2. paragrafları) .

535056-5 sayılı "Rusya Federasyonu'nun Bazı Yasama Eylemlerinde Değişiklik Yapılmasına Dair" federal yasa taslağı

535056-5 sayılı “Rusya Federasyonu'nun Bazı Yasama Eylemlerinde Değişiklik Yapılmasına Dair” federal yasa taslağı, Rusya Federasyonu mevzuatını 210-FZ sayılı Federal Yasanın 7. maddesinin 2. paragrafının normlarıyla uyumlu hale getirmeyi önermektedir. devlet ve belediye hizmetlerinin sağlanmasının organizasyonu. Bu kurala göre, kamu hizmeti veren kuruluşlar ve belediye hizmetleri sunan kuruluşlar, başvuru sahibinden devlet kurumlarının, organlarının emrinde olan belge ve bilgileri sağlamasını talep etme hakkına sahip değildir. yerel hükümet.

Yukarıdaki yasa tasarısının 1. maddesinin 2. paragrafı, devlet veya belediye hizmetlerinin sağlanmasıyla bağlantılı olarak başvuranların ve diğer kişilerin kişisel verilerinin işlenmesine ilişkin usul ve koşulları belirtir. Özellikle, Sanatta yer alması önerilmektedir. Federal Yasanın 7'si “Devlet ve belediye hizmetlerinin sağlanmasının organizasyonu hakkında”, norm: “İşleme için devlet organları, yerel yönetimler ve bu Federal Yasanın 1. maddesinin 1. Bölümü tarafından sağlanan devlet ve belediye hizmetlerinin sağlanmasında yer alan kuruluşlar, bu tür kişisel verilerin vücuda sağlanması için bu tür kurum ve kuruluşların emrindeki kişisel veriler (kuruluş) ) başvuru sahibinin talebi üzerine devlet veya belediye hizmetlerinin sağlanması, talebi üzerine işlenen kişisel verilerin konusunun, 2. maddenin 2. bölümünün 1. paragrafının gereklerine uygun olarak rızasının alınması gerekli değildir. 27 Temmuz 2006 tarihli ve 152-FZ sayılı "Kişisel Veriler Üzerine" Federal Kanunun 6'sı.

Başvuru sahibinin devlet veya devlet sağlanması için organa (kuruluşa) talebi belediye hizmeti ilgili devlet veya belediye hizmetini kuruma (kuruluşa) sağlamak için böyle bir başvuru sahibinin kişisel verilerinin işlenmesi ile rızasına eşittir.

Bir devlet veya belediye hizmetinin sağlanması, başvuru sahibi olmayan diğer kişiler hakkında belge ve bilgilerin sağlanmasını gerektiriyorsa, bir devlet veya belediye hizmetine başvururken, başvuru sahibi ayrıca adına hareket etme yetkisini teyit eden belgeleri sunar. Bu kişilerden (onların yasal temsilciler) ve bu kişilerin (yasal temsilcilerinin) bu kişilerin kişisel verilerinin işlenmesine ilişkin rızalarını ifade etme.

1 Temmuz 2017'den itibaren arttı idari para cezaları 27 Temmuz 2006 tarih ve 152-FZ sayılı "Kişisel Veriler Üzerine" Federal Kanunun gerekliliklerine uyulmaması nedeniyle. Roskomnadzor teftişleri sırasında para cezalarından nasıl kaçınılacağı hakkında BUKH.1C'ye bir vergi uzmanı tarafından söylendi İgor Karmazin.

"Kişisel Veriler Üzerine" Federal Yasanın gerekliliklerine uymama cezaları 7 Şubat 2017 tarihli 13-FZ sayılı Federal Kanun uyarınca artırılmıştır. Mevcut cezalara kıyasla yeni cezalar katlanarak büyüdü. Kuruluşlar için azami ceza sınırı 75 bin rubleye, girişimciler için azami ceza 20 bin rubleye çıkarıldı. Aynı zamanda, daha önce İdari Suçlar Kanunu'nda, tüm davalar için ortak olan, kişisel veriler alanındaki bir suçun bileşimi (Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11. Maddesi), şimdi bu makale yedi kadar kompozisyon var.

İle 152-FZ altındaki para cezalarından kaçının, şirketler ve bireysel girişimciler 1 Temmuz 2017'den itibaren kişisel verilerle ilgili yasanın gerekliliklerine uyumu daha yakından incelemelidir.

Zamanı olmayanlar için BUKH.1C editörlerinden makalenin hile sayfası

1. 1 Temmuz 2017'den itibaren, "Kişisel Veriler Hakkında" Federal Yasanın gerekliliklerine uyulmaması nedeniyle artan idari para cezaları getirildi.

2. Yeni cezalar mevcut cezalara göre önemli ölçüde arttı. Kuruluşlar için azami ceza sınırı 75 bin rubleye, girişimciler için azami ceza 20 bin rubleye çıkarıldı.

3. Yasadışı işleme cezaları kişisel bilgi vatandaşlar, Rusların pasaport verilerini alan tüm şirketlere ve girişimcilere başvuruyor. Kanun, bu tür kuruluşların belirli bir listesini içermemektedir.

4. Kanunen kişisel veri operatörleri olarak sınıflandırılan şirketler Roskomnadzor'a kayıtlı olmalıdır.

5. 6 kurala uyarak kendinizi para cezalarından koruyabilirsiniz:

  • uygun olmayan veri toplama ve işleme durumlarını hariç tutmak;
  • vatandaşlarının verilerinin işlenmesi için yazılı onayını almak;
  • vatandaşları kişisel veri işleme politikası hakkında bilgilendirmek;
  • vatandaşlardan kişisel verilerinin nasıl kullanıldığına ilişkin soruları yanıtlamak;
  • vatandaşların kişisel verileri netleştirme, engelleme veya imha etme gereksinimlerini yerine getirmek;
  • sızıntı, hasar, hırsızlık, kopyalama vb. durumlar dışında kişisel verilerle medyanın güvenliğini sağlamak.

6. 01/07/2017 tarihinden itibaren, cezbetmek için basitleştirilmiş bir prosedür idari sorumluluk. Davalar, savcıların katılımı olmadan Roskomnadzor tarafından başlatılacak.

Yeni cezalardan kimler etkilenecek?

Vatandaşların kişisel bilgilerinin yasa dışı işlenmesine ilişkin cezalar, Rusların pasaport verilerini alan tüm şirketler ve girişimciler için geçerlidir. Kanunen, kişisel veri operatörleri olarak sınıflandırılırlar ve yasal kısıtlamalara uymaları gerekir.

Kanun, bu tür kuruluşların belirli bir listesini içermemektedir. Ancak, bunlar bankaları içerir. Sigorta şirketleri, operatörler mobil iletişim ve internet tıbbi kuruluşlar, nakliye şirketleri, Eğitim kurumları ve tüm bu şirketler, başvururken vatandaşlardan kişisel veri sağlamaları veya bir anket doldurmaları isteniyor.

Ama hepsi bu değil. Kanun, çalışanlardan şu şekilde bilgi alan işverenler için geçerlidir: iş sözleşmeleri yanı sıra medeni hukuk sözleşmeleri kapsamında. İşverenler ayrıca küçük bir uyarı ile kişisel veri operatörleridir. İşveren, çalışan bir vatandaşla birlikteyse veya medeni hukuk ilişkileri, kişisel bilgilerin işlenmesi hakkında Roskomnadzor'u bilgilendirmesi gerekmemektedir (152-FZ sayılı Federal Yasanın 22. maddesinin 2. kısmı).

Ayrıca kişisel veri operatörleri, geri bildirim formu ve kişisel bilgilerinin talep edildiği kullanıcıların kaydı ile kendi web sitelerine sahip şirketleri içerir.

Kendinizi para cezalarından nasıl korursunuz: 6 kural

1. Uygun olmayan veri toplama ve işleme durumlarını hariç tutun.

Altında bu ihlal vatandaşlar hakkında aşırı bilgi toplama vakaları da var. Örneğin, e-posta bültenleri için bir site, ziyaretçilerin örneğin pasaport verilerini sağlamasını gerektirdiğinde. Bu, verilerin uygunsuz işlenmesi olarak kabul edilir, bu nedenle bu tür durumları şirketinizin ve web sitenizin uygulamasından hariç tutun.

Bu eylemler, Sanatın 1. Bölümü uyarınca suçun bileşimini oluşturur. Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11'i. Girişimciler için para cezası 5 ila 10 bin ruble ve kuruluşlar için - 30 ila 50 bin ruble.

2. Verilerinin işlenmesi için vatandaşların yazılı onayını alın.

Vatandaşların, yasaların gerektirdiği durumlarda kişisel verilerin işlenmesine ilişkin rızası, Sanatın 4. Kısmına uygun olarak operatörler tarafından alınır. 152-FZ sayılı Federal Yasanın 9'u. Bu kuralın çok fazla istisnası yoktur. Örneğin, gerekli değildir Yazılı onay kişisel, ailevi amaçlar için kişisel verilerin alınması üzerine (152-FZ sayılı Federal Yasanın 1. maddesinin 2. kısmı).

Çoğu durumda, ana sözleşmeye ek olarak, tarafların kişisel verilerin işlenmesine ilişkin bir sözleşme imzalaması gerekir. Bu sözleşme, ana sözleşme metnine dahil edilebilir veya ayrı belge. Rıza vatandaştan şahsen gelmelidir. Bilgi onun bilgisi olmadan aktarılamaz.

Bu konudaki en banal suistimal örneği, örneğin bir mobil operatörün abonelerinin bağlantılarını bilgisi dışında üçüncü taraf şirketlere aktarması ve vatandaşların telefon numaralarına her türlü spam'ın ulaşmaya başlamasıdır.

Şirketin veri işleme konusunda yazılı bir anlaşması yoksa, vatandaşlar (IP) 3 ila 5 bin ruble arasında para cezasına çarptırılacak, memurlar 10 ila 20 bin ruble ve tüzel kişiler için - 15 ila 75 bin ruble (Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11. maddesinin 2. kısmı). tarafından yargılamak adli uygulama, bireysel girişimciler ilk kez bireyler olarak para cezasına çarptırılır ve ihlal tekrarlanırsa, o zaman zaten yetkililer olarak - bireysel girişimcilerin başkanları, çünkü ikinci durumda para cezası daha yüksektir.

Kontrolörler tarafından yazılı rızanın alınmamasının sonuçları önemsiz olacaktır, ancak yazılı olarak böyle bir rızanın varlığı veya yokluğu önemli olacaktır.

3. Vatandaşları kişisel veri işleme politikası hakkında bilgilendirmek.

Bu bilgiler serbestçe erişilebilir olmalı ve herkes tarafından erişilebilir olmalıdır. Örneğin, siteler kendi sayfalarında kişisel verilerle çalışma prosedürü hakkında bilgi yayınlar.

Aksi takdirde, Sanatın 3. Bölümü kapsamında sorumluluk olacaktır. Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11'i. Bireysel girişimciler 5 ila 10 bin ruble, kuruluşlar ise 15 ila 30 bin ruble arasında para cezası ödeyecek.

4. Vatandaşların kişisel verilerinin nasıl kullanıldığına ilişkin sorularını yanıtlayın.

Uygulamada, verilerin üçüncü taraflara "sızdırıldığı" durumlar ve mağazalardan, tıp merkezlerinden ve mağazalardan her türlü reklamın yapıldığı durumlar vardır. kredi kuruluşları. Bu durumda müşteri, kişisel veri operatörünün kişisel bilgilerinin nasıl kullanıldığı ve saklandığı hakkında bilgi vermesini isteyebilir.

Vatandaşların itirazlarını görmezden gelmek için, kişisel veri operatörleri, Sanatın 4. Kısmına göre sorumludur. Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11'i. Bireysel girişimciler için para cezası 10 ila 15 bin ruble ve tüzel kişiler için - 20 ila 40 bin ruble.

5. Vatandaşların kişisel verilerin açıklığa kavuşturulması, engellenmesi veya imha edilmesi konusundaki gerekliliklerini yerine getirmek.

Bu, kişisel verilerin eksik, güncelliğini yitirmiş, yanlış, hukuka aykırı olarak elde edilmiş veya belirtilen işleme amacı için gerekli olmadığı durumlarda yapılmalıdır.

Bu yükümlülüğün yerine getirilmemesi, Sanatın 5. Bölümü uyarınca para cezası ile tehdit eder. Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11'i. Bireysel girişimciler için para cezası 10 ila 20 bin ruble, kuruluşlar için - 25 ila 45 bin ruble olacak.

6. Sızıntı, hasar, hırsızlık, kopyalama vb. durumlar dışında kişisel verilerle medyanın güvenliğini sağlamak.

Kişisel bilgilerin güvenliğinin sağlanamamasının sorumluluğu, Sanatın 6. Bölümünde belirlenir. Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11'i. Girişimciler için - 10 ila 20 bin ruble, şirketler için - 25 ila 50 bin ruble.

Devlet ve belediye yetkililerine karşı sorumluluk

Hem devlet hem de ceza Belediye yetkilileri makamlar (Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11. maddesinin 7. kısmı).

Belgelerinde (protokoller, özetler, kararlar vb.), ikamet yerlerinin ve tam adlarının belirtilmesine izin vermeyerek, vatandaşların kişisel verilerini kişiselleştirmelidirler.

Aksi takdirde, 3 ila 6 bin ruble arasında para cezası ödemek zorunda kalacaksınız.

Roskomnadzor'da kişisel veri operatörlerinin kaydı

Yasal olarak kişisel veri operatörleri olarak sınıflandırılan şirketler Roskomnadzor'a kayıtlı olmalıdır. Bunu yapmak için bir işleme bildirimi göndermelisiniz(işleme niyeti hakkında) kişisel veriler (Bölüm 3, 152-FZ sayılı Federal Yasanın 22. Maddesi).

Kişisel verilerin (işleme niyetinin) işlenmesine ilişkin bildirim formu doldurulduktan sonra bilgi sistemine gönderilmelidir. yetkili kuruluş kişisel veri sahiplerinin haklarını korumak. Daha sonra, doldurulmuş form yazdırılmalı ve usulüne uygun olarak onaylanmalı, kuruluşun imzası ve mührü ile yapıştırılmalı ve daha sonra kişisel veri operatörü şirketinin kayıt yerindeki Roskomnadzor'un uygun bölgesel organına gönderilmelidir.

siteler ne yapmalı

Web sitelerine gelince (ve şimdi hemen hemen her şirkette var), buradaki ihlallerin büyük kısmı tam olarak kişisel verilerin uygunsuz toplanması ve kullanılmasıyla ilgilidir (Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11. maddesinin 1. kısmı).

Örneğin sitedeki kayıt formunda “doğum tarihi” ve “telefon numarası” gibi alanlar sıklıkla kullanılırken, “patronimik”, “doğum tarihi”, “ikamet yeri” (ülke, bölge/bölge, şehir) kullanıcı profili formunda kullanılır.

Bir kullanıcıyı çoğu ağ kaynağına kaydetmek için, kullanıcının telefon numarası ve ikamet/kayıt yeri gibi verileri bilmesinin gerekli olmadığı anlaşılmalıdır. Bu bilgiler kayıt formundan çıkarılmalıdır.

Ve kişisel profil formundan “meslek”, “www-sayfası”, Skype (veya başka bir haberci) ve “doğum tarihi” gibi bilgileri kaldırmak daha iyidir.

Yabancıların (ve şirketiniz böyle bir kişidir) bu bilgileri bilmesine gerek yoktur. Site haber abonelik formu sadece kullanıcıların e-postaları hakkında bilgi toplamalıdır. Kayıt formu, kullanıcının adını, soyadını, e-posta adresini ve cinsiyetini toplayabilir.

Doğrulama sırasında gereksiz bilgilerin toplanması bir ihlal olarak değerlendirilebilir.

Yukarıdaki kurallara uyulması ve yasa bilgisi, ihlali için sorumluluktan kaçınacaktır. Bu durumda, önemli bir durum dikkate alınmalıdır. Daha önce kişisel verilerle ilgili yasa şirketinizi atlamışsa ve ihlali için herhangi bir sorumluluk üstlenmediyseniz, 1 Temmuz'dan itibaren her şey önemli ölçüde değişebilir.

Gerçek şu ki, bu tarihten itibaren idari sorumluluğu getirmek için basitleştirilmiş bir prosedür çalışmaya başlar. Daha önce, bu alandaki davalar savcılık tarafından başlatılmıştı (Rusya Federasyonu İdari Suçlar Kanunu'nun 28.1. Maddesi). Yeni kurallara göre (madde 58, bölüm 2, Rusya Federasyonu İdari Suçlar Kanunu'nun 28.3 maddesi), Roskomnadzor savcıların katılımı olmadan davaları başlatacak. Uygulamada bu, para cezalarının ve mahkemeye getirilen davaların sayısının önemli ölçüde artabileceği ve sorumluluktan kaçınmanın çok daha zor olacağı anlamına geliyor.

Kişisel Veri İşletmecilerinin yasal gerekliliklere karşı tutumu çeşitlidir. Birisi hiçbir şey yapmamayı, PD'nin işlenmesi hakkında Roskomnadzor'a bir bildirim göndermemeyi ve PD'nin işlenmesini izleme konularının onu etkilemeyeceğini ummayı tercih ediyor. Birisi bilgi güvenliği sorunlarını tamamen onun insafına bırakıyor. üçüncü şahıslar. Birisi, kurumsal ve idari belgelerin şablon setlerini şurada bulur: kamu kaynakları, düzeltir, yazdırır ve orada durur. Bu yaklaşımların her birinin dezavantajları vardır.

Operatörün eylemsizliği, onu düzenleyici makamların planlanmış veya planlanmamış (örneğin, bir PD konusunun şikayeti temelinde düzenlenen) denetimlerinden kurtarmaz. PD işleme gereksinimlerinin ihlali için sürekli artan para cezaları hakkındaki haberlerin arka planına karşı, bu yaklaşım çekici görünmüyor.

Bilgi güvenliği konularının tamamen dış kaynak kullanımına aktarılmasıyla, önemli ölçüde fazla ödeme yapma riski vardır. Bu, çoğu zaman, gereksiz ve her zaman talep edilmeyen işlevselliğe sahip pahalı bilgi güvenliği araçlarının satın alınmasıyla sonuçlanır. Ayrıca, bir noktada Operatörün kullanıcılarının ve yöneticilerinin desteği olmadan oluşturulan ve uygulanan koruma sistemi, ilgili olmaktan çıkar. Sonuçta, koruma sistemi sadece uygulama değil teknik önlemler ve Operatör çalışanları tarafından korunan bilgilere doğru tutum için normlar ve kurallar geliştirmeyi amaçlayan kurumsal önlemlerin yanı sıra anlamına gelir.

Ağdaki şablon kitleri, bilgi sistemleri aslında savunmasız ve tehditlere karşı savunmasız kalırken, yalnızca bilgileri koruyan bir görünüm oluşturmanıza izin verir.

Operatörün yetkili bir kişinin bir koruma sistemi oluşturmanın belirli adımlarından bağımsız olarak geçtiği zaman, sentetik bir konsept sunuyoruz. ve sahnede teknik uygulama koruma sistemleri, uzman kuruluşları çekmek mümkündür.

Bu yaklaşım, Operatörün yetkili kişilerinin mevcut bilgi işleme süreçlerini daha iyi anlamasını, tüm çalışmalarına dahil etmesini sağlar. paydaşlar ve bunun sonucunda etkin bir bilgi güvenliği sistemine sahip olun. Yaklaşımı daha ayrıntılı olarak ele alalım.

normatif temel

Her operatör işe başlarken şu soruyu sorar - nereden başlamalı? Karar verilen düzenleyici yapı neye güveneceğiz.

  1. Emir Federal Hizmet Rusya Federasyonu'nun 10 Temmuz 2014 tarih ve 378 sayılı Güvenliği “Kişisel verilerin güvenliğini sağlamak için gerekli olan kriptografik bilgi koruma araçlarını kullanarak kişisel veri bilgi sistemlerinde işlendiğinde güvenliğini sağlamak için kurumsal ve teknik önlemlerin bileşimi ve içeriğinin onaylanması üzerine Hükümet tarafından kurulan Güvenlik seviyelerinin her biri için kişisel verilerin korunması için Rusya Federasyonu gereksinimleri.

Tek bir bilgi sistemi için prosedürü analiz edelim.

GIS veya GIS değil

Öncelikle incelenen sistemin devlet bilgi sistemlerine (CBS) ait olup olmadığının anlaşılması gerekmektedir. Bu, koruma yaklaşımına bağlı olacaktır. Bir CBS'nin önümüzde olup olmadığının nasıl belirleneceği ayrı bir bölümde anlatılmaktadır.

Gerçek siber güvenlik tehditleri

İncelenen bilgi sistemi için hangi IS tehditlerinin alakalı olduğunu belirlemek gereklidir. Gerçek tehditlerin tanımı, "Kişisel verilerin güvenliğine yönelik fiili tehditleri belirleme yöntemi"ne göre yapılır. AT Genel dava algoritma şöyle görünür:

  1. Bir diziye verilen toplam yanıt sayısına göre birincil sorunlar bilgi sisteminin ilk güvenliği hakkında bir sonuca varılır.
  2. "Kişisel veri güvenliği tehditlerinin temel modeli" ve bilgi güvenliği tehditlerinin Bilgi Bankası (yukarıya bakınız) temel alınarak, dikkate alınan tehditlerin bir listesi oluşturulur. Her bir tehdit için uygulama olasılığı uzman yöntemlerle belirlenir.
  3. Uygulama olasılığına ve ilk güvenlik düzeyine bağlı olarak, her bir tehdit için fizibilite katsayısı belirlenir.
  4. Her bir tehdit için IS ve Operatör için bir tehlike göstergesi uzman yöntemlerle belirlenir.
  5. Fizibilite ve tehlike göstergelerine dayanarak, her tehdidin alaka düzeyi hakkında bir sonuca varılır. Mevcut tehditlerin bir listesi oluşturuluyor.

ISPD güvenlik seviyesi

Gerçek tehditlerin ne tür olduğunu belirlemek gereklidir. Üç tür tehdit vardır:

  • sistemdeki bildirilmemiş yeteneklerin varlığı ile ilişkili yazılım;
  • uygulama yazılımında bildirilmemiş yeteneklerin varlığı ile ilişkili;
  • sistem ve uygulama yazılımında bildirilmemiş yeteneklerin varlığı ile ilgili değildir.

Her tehdidi ayrı ayrı ele alıyoruz. Hangi maksimum türe ait olduklarını belirleyin.

Bir sonraki adım, işlenen verilerin kategorisini belirlemektir. Aşağıdaki kişisel veri kategorileri vardır:

  • özel;
  • biyometrik;
  • halka açık;
  • diğerleri.

Bir IS'de birkaç kişisel veri kategorisi işlenebilir. Kategorilerin ayrıntılı bir tanımı No. 152-FZ'de verilmiştir.

İşlenmiş PD hacmini belirlemek gereklidir. Burada mümkün olan 3 varyasyon vardır:

  • 100 bine kadar;
  • 100 binden fazla;
  • Operatörün çalışanlarının PD'si (hacime göre bağlayıcı olmadan).

Tehditlerin türüne, PD kategorisine ve PD hacmine bağlı olarak, 1119 sayılı Hükümet Kararnamesi uyarınca sistem güvenlik seviyesi hakkında bir sonuca varılır.

KM'yi belirlemek için özel bir tablo kullanabilirsiniz:

CBS sınıfı

Söz konusu sistem CBS'ye aitse, sınıfını 11 Şubat 2013 tarih ve 17 sayılı FSTEC sırasına göre belirlemek gerekir.

Bunun için önceki bölüme ek göstergeler belirlenir:

  1. CBS ölçeği. Federal, bölgesel ve nesne olabilir. Belirleme kriterleri, FSTEC No. 17'nin sırasına göre sabitlenmiştir.
  2. Bilginin önem düzeyi derecesine göre belirlenir. olası hasar Operatör, bilgilerin gizliliğini, bütünlüğünü veya kullanılabilirliğini ihlal etmekten. Azalan önem sırasına göre üç değeri vardır - UZ1, UZ2, UZ3. Uzmanlar tarafından belirlenir. Belirleme kriterleri, FSTEC No. 17'nin sırasına göre sabitlenmiştir.

IS'nin önem düzeyine ve ölçeğine dayanarak, CBS'nin sınıfı hakkında bir sonuca varılır.

Temel önlemler seti

Güvenlik seviyesini ve sınıfı (CBS için) belirledikten sonra, IS'de sağlanması gereken genel bir gereksinim ve önlem listesinin oluşturulmasına geçmeniz gerekir.

ISPD için gereksinimler, 152-FZ No.lu, 1119 No.lu Hükümet Kararnamesi, 378 No.lu Rusya Federasyonu Federal Güvenlik Servisi Emri ve FSTEC No. 21.

GIS için, ISPD için gerekli gereksinimlere ek olarak, FSTEC'in 17 No'lu Siparişinin gereksinimleri de eklenir.

Sonuç olarak, olmalı genel liste IS'de sağlanması gereken gereksinimler ve önlemler. diyelim temel set miktar.

Özelleştirilmiş önlemler seti

Bir sonraki adım, ortaya çıkan temel ölçüm setini analiz etmek ve güncellemektir. Yani, söz konusu bilgi sistemi için olağandışı olan tüm önlemlerin kaldırılması. Örneğin, aşağıdaki durumlarda "Kablosuz Ağ Koruması" önlemini silin. kablosuz teknoloji IS geçerli değildir. Sonuç olarak, alıyoruz uyarlanmış taban çizgisi.

Genişletilmiş önlemler seti

Uyarlanmış temel önlemler setini inceliyor ve mevcut IS tehditleri listesiyle ilişkilendiriyoruz. Önlemlerin hiçbiri ayrı bir fiili tehdidi kapatmazsa, seti tamamlarız. ek önlemler. Sonuç olarak, mevcut tüm tehditler, bir dizi önlemden IS önlemleri tarafından kapsanmalıdır. aldığımız çıktıda eklenmiş uyarlanmış taban çizgisi.

Bilgi güvenliği sistemi

Alınan önlemlere göre, teknik koruma araçlarının seçimi veya organizasyonel önlemler tedbirlerin uygulanmasına yöneliktir. Bilgi güvenliği sistemi projesi oluşturuluyor.

ISPD için, mevcut IS tehditlerini kapatmak için sertifikalı bilgi güvenliği araçları kullanılır.

CBS için yalnızca sertifikalı bilgi güvenliği araçları kullanılır.

Oluşturulan projeye göre koruma sisteminin uygulaması yapılmaktadır. tanıtılıyor organizasyonel düzenlemeler ve teknik araçlar koruma. Bilgi işleme süreçlerinde uygulanan politikalar, yönetmelikler, talimatlar geliştirilmektedir. Bilgi güvenliği araçları kurulur, yapılandırılır ve devreye alınır. Bu aşamada, ilgili hizmetleri sağlayan uzman kuruluşlar devreye girer. Kendi kendine uygulama için, SZPDN'yi oluştururken tipik hataları öğrenin.

sertifika

Koruma sistemi devreye alındıktan sonra uygunluk değerlendirmesi yapılır. Alınan tedbirler yasal yükümlülükler.

ISPD için, tasdik şeklinde uygunluk değerlendirmesi zorunlu değildir. Bir sonucun yayınlanmasıyla güvenlik gereksinimlerine uygunluk için testler yapmak yeterlidir. Testler, operatör tarafından hem bağımsız olarak hem de uzman kuruluşların katılımıyla gerçekleştirilebilir.

CBS için, tasdik şeklinde uygunluk değerlendirmesi zorunlu prosedür. Bilgi güvenliği gereksinimlerine göre sertifikasyon için, bu faaliyet için yetkilendirilmiş uzman bir organizasyonun dahil edilmesi gereklidir.

Sonuç nedir

Bu yaklaşımın sonucunda bir bilgi güvenlik sistemi elde ederiz. Gördüğünüz gibi, uzman kuruluşların katılımı yalnızca son aşamalarda gerçekleşir. Bu yaklaşım işin büyük kısmını kendileri gerçekleştirdikleri için kuruluşların önemli miktarda fon tasarrufu yapmalarını sağlar.

Ayrıca adımları takip ederek yetkili kişiler Operatörler, ortaya çıkan bilgi koruma sisteminin etkinliği üzerinde olumlu bir etkisi olması gereken IP koruması çalışmalarına doğrudan dahil olurlar.

Ve sonra ne?

Bilgi güvenliği sistemi uygulanmış ve devreye alınmıştır. Sakinleşip onu unutmak mümkün mü? Tabii ki değil. Bilgi sistemleri ve teknolojileri dünyası çok değişkendir. Teknolojiler gelişiyor ve gelişiyor, bilgi sistemleri değişiyor. Belki bir süre sonra, koruma sistemini tasarlarken alakalı olmayan IS tehditleri alakalı hale gelecektir. Bilgi güvenliği sistemini çalışır durumda tutmak için, yılda en az bir kez, bunun için uzmanların katılımıyla veya kendi başınıza bilgi güvenliği denetimi yapmanızı öneririz.

Kendi etkili bilgi koruma sisteminizi oluşturma yolunda iyi şanslar.

Stanislav Shilyaev, SKB Kontur'da Bilgi Güvenliği Proje Müdürü