Hastalık izni

Kişisel verilerle ilgili kanun 152 fz. Kişisel verilerle ilgili federal yasa. "Kişisel veri" terimi ne anlama geliyor?

08.09.2019

Taraflar arasında yazılı bir anlaşma olmaksızın kuruluşlarla işbirliği düşünülemez. bir anlaşma olmadan. Son paragrafı kişisel verilerinizin ilgili kuruluşun veri tabanında kullanılması ve saklanması konusunda mutabık kaldığınız bir sözleşmeye ne sıklıkla girdiniz?

Sevgili okuyucular! Makale tipik çözümlerden bahsediyor Yasal sorunlar ama her vaka bireyseldir. nasıl olduğunu bilmek istersen tam olarak problemini çöz- bir danışmanla iletişime geçin:

BAŞVURULAR VE ARAMALAR 7 gün 24 saat KABUL EDİLMEKTEDİR..

hızlı ve BEDAVA!

Bir anlaşmanın imzalanmasından sonra veya kısa bir işbirliğinden sonra, örneğin, kredi kuruluşları başka şirketlerden aranmış ve benzer nitelikte hizmetler sunulmuşsa, kişisel verilerinizin ifşa edildiğinden ve haklarınızın ihlal edildiğinden emin olun.

Kısa inceleme

Rusya Federasyonu vatandaşları hakkındaki bilgiler, bireylerin kişisel verilerine atıfta bulunur ve aynı adı taşıyan kanunla korunur. Ayrıca kişisel veriler kanunu, bir kişinin tüm hak ve özgürlüklerini, onun hakkındaki kişisel bilgilere ilişkin çıkarlarını nedensel bir ilişki içinde korur. Çıkarlarınızı, haklarınızı ve özgürlüklerinizi korumak ve ihlal etmemek için hakkınızdaki bilgileri nasıl korursunuz.

Kanun, kişisel verilerin toplanmasına, işlenmesine, saklanmasına ve saklanmasına ilişkin kuralları belirler ve denetler. olası transfer. Kişisel bilgilerin paylaşılabileceği veya kişisel bilgilerin elde edilemediği durumlar hakkında bilgi içerir, ör. Kişi bunu açıklamama hakkını saklı tutar.

Federal Yasa 152, 23 Ocak 2007'den beri tam olarak yürürlüktedir. Bu tarihten önce, kişisel verilerin alınması, saklanması ve aktarılması ile ilgili kurallar oluşturacak ve bunların uygulanmasını kontrol edecek ilgili bir kanun bulunmadığından, kişilerin kişisel verileri fiilen korunmuyordu.

Kanun, kişiler hakkında bilgi alan ve gerektiğinde yetkili organlara aktaran işletmecilerin hak ve yükümlülüklerini açıklar.

Mevcut belirli gereksinimler kişisel verilerin işlenmesine, kanunda da bulunabilirler.

Bir kişinin kişisel verileriyle ilgili her türlü bilgi, işletmeci tarafından ancak kişinin kendisinin muvafakati ile kabul edilebilir ve işlenebilir. Ancak, öznenin izninin gerekli olmadığı durumlar vardır. Bu istisnalar kanunda açıklanmıştır.

İhlal için sorumluluk

Kişisel verilerin güvenliği, bilgilerin doğru toplanması, üçüncü şahıslara aktarılması ve ayrıca çalışanın kişisel verilerinizi sakladığını kişiye kendisinin bildirmesi, kuruluşta sorumlu kişi tarafından sağlanır, bu bir çalışan olabilir. personel departmanı veya operatör de dahil olmak üzere belirlenmiş diğer herhangi bir kişi.

Operatör (muhasebeci, insan kaynakları görevlisi, banka memuru veya diğer atanmış kişi) bilgi sızdırdıysa veya bilgi yanlışlıkla ifşa edildiyse, bu bilgilerin konusu değil, bundan kendisi sorumludur.

Kişisel veri kanununu ihlal cezası, kişisel verileri alan çalışana ve/veya verilerin sızdırıldığı kuruluşa para cezası şeklinde olabilir.

Bilginin ifşası cezası, bu hatayı yapan kişiye bir kez değil, her sızıntı vakasına uygulanır. Ortalama olarak, para cezası 500 ila 1000 ruble arasında değişmektedir. operatörden veya 5.000 ila 10.000 ruble arasında. kuruluştan.

Belgelerin yıllık olarak gözden geçirilmesi, her biri para cezasına çarptırılacak ve tüzel kişiye kuruluşun bütçesinden önemli miktarda mal olacak çok sayıda ihlali ortaya çıkarabilir.

Tüzüğüne uygun olarak idari ihlaller bir tüzel kişinin personel veya müşterilerin kişisel verilerine ilişkin bir Yönetmeliği yoksa, ihlal durumunda iş kanunu organizasyonda yer alabilir idari sorumluluk. Bu durumda, götürü para cezalarının miktarı çok daha yüksek olacaktır.

Ayrıca gerekli tüm durumlar netleşene kadar 3 takvim ayına kadar şirketin çalışmaları durdurulabilir.

Kişisel verilere ilişkin kanunun uygulanmasını denetleyen yetkili organ Roskomnadzor'dur. Bu devlet organının talimatlarına uyulmaması durumunda, işletmeye 20.000 ruble para cezası verilebilir. Roskomnadzor'un kişisel veriler talebini dikkate almamak, kuruluşa 5.000 rubleye mal olacak.

Kişisel veriler üzerinde çalışmaktan sorumlu olarak atanan bir operatör, idari, disiplin, maddi, hukuki ve hatta cezai olarak sorumlu tutulabilir.

1 Ocak 2019 tarihinden itibaren kişisel verilere ilişkin kanunun temel hükümleri yorumlarla birlikte

152 Sayılı Federal Kanunda yeni baskı Rusya Federasyonu vatandaşları ile ilgili tüm kişisel verileri Rusya'da bulunan sunucularda saklamakla yükümlüdür.

Vatandaşların kişisel verileriyle çalışan operatörler, uygun kayıtları tutmalı, bilgi toplamalı ve gerekirse yalnızca Rusya Federasyonu topraklarında toplanan bilgilerle desteklemeli ve ayrıca yalnızca Rusya Federasyonu topraklarında depolamalıdır.

Pratik olarak Rusya dışında bulunabilecek bilgilerin kullanılması kesinlikle yasaktır, yani. Rusya dışında bulunan kaynaklardan alınmıştır. İnterneti kullanırken bile, bu siteler Rusya topraklarında tutulmuyorsa, bir kişinin kişisel verilerini yabancı sitelerden gelen bilgilerle desteklemek mümkün değildir.

Roskomnadzor, yasaları ihlal ederek sitenizi engelleyebilir veya kara listesine ekleyebilir. Her ihlal durumu şu şekilde değerlendirilir: bireysel olarak Mahkeme kararıyla. Ayrıca, kişiyle iletişime geçmeniz ve operatörden yasal işlem yardımı ile ret almanız durumunda kişisel verilerinizi silebilirsiniz.

Bu kanuna göre, bir kişinin kişisel verileri, bir kişiye ilişkin herhangi bir şekilde onunla ilgili her türlü bilgiyi içerir veya kesinlikle içerebilir. Son revizyon hukuk bu noktayı vatandaşlara kişisel verilerin sadece kendi Ad Soyad, doğum tarihi ve kayıtlı adres.

Vatandaşların kişisel verileri gizli bilgi olarak sınıflandırılmaktadır. Müşterilerin adlarını, çalıştığı şirketlerin ayrıntılarını, yazışmalarında birinin posta kodunu vb. doğrudan veya dolaylı olarak kullanan herhangi bir kuruluş, bu verilerin tam güvenliğini sağlamalıdır, yani. şifreleme veya başka yollarla bir koruma sistemi sağlamak.

Bunun olmaması durumunda, şartlar netleşene kadar şirket para cezasına çarptırılma veya kapatılma riskiyle karşı karşıyadır.

Ek olarak, 152 sayılı Federal Kanun, operatörlerin kişisel verileri kullanırken kişinin onayını almalarını zorunlu kılmaktadır. bu prosedür.

152 sayılı kanunda yer almayan şirketler tarafından kişisel verilerin korunmasını sağlamanın yolları:

  • veri merkezleri inşa etmek (yüksek uygulama maliyeti nedeniyle küçük kuruluşlar bu prosedürü karşılayamaz);
  • kişisel bilgilerin duyarsızlaştırılması (gerekirse konudan ayrı veriler, veriler Rusya Federasyonu topraklarına iade edilir ve sahipleriyle birleştirilir);
  • yabancı bir sunucunun konumunu gizlemek, istemciler hakkındaki bilgileri çoğaltmak ve yabancı sunuculara göndermek;

Video: Neden ihtiyacın var?

Ne zaman başvurulur

Kanun, kişisel verilerinin işlenmesi gerçekleştirilirken kişilerin korunması amacıyla uygulanır. Kanun ayrıca, hakkınız olan mahremiyetinizin, kişisel sırlarınızın veya ailenizin sırlarının etkilenebileceği durumlarda da geçerlidir.

Federal Kanun 152, bir kişinin kişisel verilerinin başka kişiler tarafından yalnızca kişisel amaçlar, yani kar amacı gütmeden veya zenginleştirme amacıyla. Kişisel verilerin arşiv fonları için kullanılması da bir ihlal değildir. Sizinle ilgili bilgiler bir parçasıysa devlet sırrı, bu yasa seni korumaz.

kişisel veri nedir

Tam adınız, doğum tarihiniz, ikamet yeriniz, aldığınız tüm krediler, tüm evlilikleriniz vb. dahil olmak üzere sizinle veya faaliyetlerinizle doğrudan veya dolaylı olarak ilgili tüm bilgiler, bir kişinin kişisel verileridir. kişi.

ilişkiler ne işe yarar

Kanun, vatandaşların kişisel verilerini çalışmalarında kullanan kişiler ve tüzel kişiler arasındaki çalışma kurallarını belirler. Yasanın görevi, bir kişinin kişisel verilerinin ifşa edilmesini önlemektir, çünkü bu, vatandaşların hak, özgürlük ve çıkarlarının ihlaline yol açabilir.

Uygulamada, örneğin bir banka gibi bir kuruluşun kişisel verilerinin işlenmesine ve saklanmasına izin verirseniz, bu verileri yalnızca belirli bir bankanın bankacılık işiyle ilgili işlerde kullanmasına izin vermiş olursunuz, çünkü birlikte olduğunuz için bu kuruluş yalnızca bir kredi ilişkisinde veya örneğin bir kredide.

Bankanın kişisel verilerinizi diğer bankalara aktarma hakkı var mı - hayır, banka tarafından böyle bir ihlal Federal Yasa 152 uyarınca kabul edilemez ve tehdit ediyor cezai sorumluluk operatörler ve tüzel kişinin kendisi.

Bilgilerin üçüncü şahıslara aktarımı ancak şu durumlarda gerçekleştirilebilir: Yazılı onay yüzler.

Her şeyden önce, yasa alınan bilgilerin işlenmesi sürecini düzenler. alınabilir devlet organları yetkililer, belediye yetkilileri ve ayrıca özel girişimciler, kuruluşlar veya bireyler.

Federal Kanun 152, müşterilerin kişisel verileriyle çalışan tüm kuruluşların haklarını kesinlikle kısıtlamaktadır. Kanun, onları veritabanlarını korumak için en gelişmiş programları kurmak ve kullanmakla yükümlü kılar. Küçük kuruluşlar ve firmalar, yüksek maliyeti nedeniyle böyle bir lüksü karşılayamazlar.

Bir tüzel kişilik tarafından kişisel verilerinizin kullanımına ilişkin bir sözleşme imzalayarak, belirli iş ilişkilerine bağlı olduğunuz için verilerinizi yalnızca kendi işi için saklamasına ve kullanmasına izin vermiş olursunuz. Kişisel verilerin ifşa edilmesi, sizi hak ve özgürlüklerinizin ihlali ile ve kuruluşu önemli bir para cezası veya cezai sorumlulukla tehdit edebilir.

RUSYA FEDERASYONU

FEDERAL HUKUK

KİŞİSEL VERİLER HAKKINDA

(25 Kasım 2009 tarihli ve 266-FZ sayılı Federal Kanunlarla değiştirilen şekliyle,

27 Aralık 2009 tarihli 363-FZ, 28 Haziran 2010 tarihli 123-FZ,

27 Temmuz 2010 tarihli ve 204-FZ sayılı, 27 Temmuz 2010 tarihli 227-FZ sayılı,

29 Kasım 2010 tarihli ve 23 Aralık 2010 tarihli 313-FZ sayılı 359-FZ,

06/04/2011 tarihli 123-FZ, 07/25/2011 tarihli 261-FZ sayılı,

05.04.2013 tarih ve 43-FZ, 07.23.2013 tarih No. 205-FZ)

Bölüm 1. GENEL HÜKÜMLER

Madde 1. Bu Federal Yasanın Kapsamı

1. Bu Federal Yasa, gerçekleştirilen kişisel verilerin işlenmesi ile ilgili ilişkileri düzenler. federal makamlar Devlet gücü, konuların kamu otoriteleri Rusya Federasyonu, diğer devlet organları (bundan sonra devlet organları olarak anılacaktır), kurumlar yerel hükümet, diğer belediye yetkilileri (bundan böyle belediye yetkilileri olarak anılacaktır), tüzel kişiler ve bilgi ve telekomünikasyon ağları dahil olmak üzere otomasyon araçlarını kullanan veya bu araçları kullanmayan kişiler, kişisel verilerin bu araçlar kullanılmadan işlenmesinin, otomasyon araçları kullanılarak kişisel verilerle gerçekleştirilen eylemlerin (işlemlerin) niteliğine uygun olması halinde, belirli bir algoritmaya göre, bir malzeme taşıyıcısına kaydedilen ve dosya dolaplarında veya diğer sistematikleştirilmiş kişisel veri koleksiyonlarında bulunan kişisel verilerin aranmasına ve (veya) bu tür kişisel verilere erişime izin verir.

(25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirilen Bölüm 1)

2. Bu Federal Yasa, aşağıdakilerden kaynaklanan ilişkiler için geçerli değildir:

1) kişisel veri sahiplerinin haklarının ihlal edilmemesi kaydıyla, kişisel verilerin sadece kişisel ve ailevi ihtiyaçlar için bireyler tarafından işlenmesi;

2) kişisel verileri içeren belgelerin depolanması, elde edilmesi, muhasebeleştirilmesi ve kullanılmasının organizasyonu Arşiv Fonu Rusya Federasyonu mevzuatına uygun olarak ve diğer arşiv belgeleri arşivleme Rusya Federasyonu'nda;

3) geçersiz hale geldi. - federal yasa 25 Temmuz 2011 tarihli 261-FZ;

4) Maddesinde atıfta bulunulan kişisel verilerin işlenmesi Vaktinden devlet sırrı oluşturan bilgilere;

5) sağlamak yetkili kuruluşlar 22 Aralık 2008 tarihli ve 262-FZ sayılı Federal Yasa uyarınca Rusya Federasyonu'ndaki mahkemelerin faaliyetleri hakkında bilgi "Rusya Federasyonu'ndaki mahkemelerin faaliyetleri hakkında bilgiye erişimin sağlanması hakkında".

(Madde 5, 28 Haziran 2010 tarih ve 123-FZ sayılı Federal Yasa ile getirilmiştir)

Madde 2. Bu Federal Yasanın Amacı

Bu Federal Yasanın amacı, dokunulmazlık haklarının korunması da dahil olmak üzere, kişisel verilerinin işlenmesinde bir kişinin ve bir vatandaşın hak ve özgürlüklerinin korunmasını sağlamaktır. mahremiyet, kişisel ve aile sırları.

Madde 3. Bu Federal Yasada kullanılan temel kavramlar

(25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)

Bu Federal Yasanın amaçları doğrultusunda, aşağıdaki temel kavramlar kullanılmaktadır:

1) kişisel veriler - belirli veya tanımlanabilir bir gerçek kişiyle (kişisel verilerin konusu) doğrudan veya dolaylı olarak ilgili her türlü bilgi;

2) operatör - devlet organı, belediye yetkilisi, yasal veya bireysel kişisel verilerin işlenmesini organize eden ve (veya) gerçekleştiren ve ayrıca kişisel verilerin işlenme amaçlarını, işlenecek kişisel verilerin bileşimini, kişisel verilerle gerçekleştirilen eylemleri (işlemleri) belirleyen diğer kişilerle bağımsız veya ortaklaşa;

3) kişisel verilerin işlenmesi - toplama, kaydetme, sistemleştirme, biriktirme, depolama, açıklama (güncelleme, değiştirme) dahil olmak üzere, otomasyon araçları kullanılarak veya bu tür araçlar kullanılmadan gerçekleştirilen herhangi bir eylem (işlem) veya bir dizi eylem (işlem) , çıkarma, kullanma, aktarma (dağıtım, sağlama, erişim), duyarsızlaştırma, engelleme, silme, kişisel verilerin imhası;

4) kişisel verilerin otomatik olarak işlenmesi - kişisel verilerin bilgisayar teknolojisi yardımıyla işlenmesi;

5) kişisel verilerin yayılması - kişisel verilerin belirsiz bir kişi çemberine ifşa edilmesini amaçlayan eylemler;

6) kişisel verilerin sağlanması - kişisel verilerin ifşa edilmesini amaçlayan eylemler belirli kişi veya belirli bir grup insan;

7) kişisel verilerin engellenmesi - kişisel verilerin işlenmesinin geçici olarak durdurulması (kişisel verilerin açıklığa kavuşturulması için işlemenin gerekli olduğu durumlar hariç);

8) kişisel verilerin imhası - kişisel verilerin bilgi sistemindeki kişisel verilerin içeriğinin geri yüklenmesinin imkansız hale geldiği ve (veya) bunun sonucunda kişisel verilerin maddi taşıyıcılarının imha edildiği eylemler;

9) kişisel verilerin duyarsızlaştırılması - kullanılmadan imkansız hale gelen eylemler Ek Bilgiler belirli bir kişisel veri konusu tarafından kişisel verilerin sahipliğini belirlemek;

10) kişisel verilerin bilgi sistemi - veritabanlarında bulunan ve işlenmesini sağlayan bir dizi kişisel veri Bilişim Teknolojileri ve teknik araçlar;

11) kişisel verilerin sınır ötesi aktarımı - kişisel verilerin bölgeye aktarılması yabancı devlet yabancı bir devletin, yabancı bir bireyin veya yabancı bir tüzel kişinin otoritesi.

Madde 4. Rusya Federasyonu'nun kişisel veriler alanındaki mevzuatı

1. Rusya Federasyonu'nun kişisel veriler alanındaki mevzuatı, Rusya Federasyonu Anayasası'na ve Rusya Federasyonu'nun uluslararası anlaşmalarına dayanmaktadır ve bu Federal Yasa ile verilerin işlenmesinin durumlarını ve özelliklerini belirleyen diğer federal yasalardan oluşmaktadır. kişisel veri.

2. Federal yasalar temelinde ve uyarınca, devlet organları, Rusya Bankası ve yerel özyönetim organları, yetkileri dahilinde düzenleyici yasal düzenlemeleri kabul edebilir, düzenlemeler, kişisel verilerin işlenmesiyle ilgili belirli konularda yasal işlemler (bundan böyle düzenleyici yasal işlemler olarak anılacaktır). Bu tür eylemler, kişisel veri konularının haklarını kısıtlayan, federal yasalar tarafından öngörülmeyen operatörlerin faaliyetlerine kısıtlamalar getiren veya federal yasalar tarafından öngörülmeyen operatörlere yükümlülükler getiren ve resmi yayına tabi olan hükümler içeremez.

(25 Temmuz 2011 tarih ve 261-FZ sayılı Federal Yasa ile değiştirilen 2. Kısım)

3. Otomasyon araçları kullanılmadan gerçekleştirilen kişisel verilerin işlenmesinin özellikleri federal yasalar ve diğer düzenleyici düzenlemelerle belirlenebilir. yasal işlemler Rusya Federasyonu, bu Federal Yasanın hükümlerine tabidir.

4. Eğer uluslararası anlaşma Rusya Federasyonu, bu Federal Yasanın öngördüğü kurallar dışında kurallar oluşturmuştur, uluslararası bir anlaşmanın kuralları geçerlidir.

  • Kişisel veri- doğrudan veya dolaylı olarak kimliği belirli veya belirlenebilir gerçek kişiye (kişisel verilerin konusu) ilişkin her türlü bilgi;
  • Kişisel veri operatörü- kişisel verilerin işlenmesini organize eden ve (veya) gerçekleştiren diğer kişilerle bağımsız olarak veya ortaklaşa bir devlet organı, bir belediye organı, bir tüzel kişilik veya bir şahıs, ayrıca kişisel verilerin işlenme amaçlarının belirlenmesi, kişisel verilerin bileşimi işlenecek veriler, kişisel verilerle gerçekleştirilen eylemler (işlemler);
  • Kişisel verilerin işlenmesi- toplama, kaydetme, sistemleştirme, biriktirme, depolama, açıklama (güncelleme, değiştirme), çıkarma, kullanma, aktarma dahil olmak üzere, otomasyon araçları kullanılarak veya bu tür araçlar kullanılmadan gerçekleştirilen herhangi bir eylem (işlem) veya eylemler dizisi (işlemler) ( dağıtım, sağlama, erişim), duyarsızlaştırma, engelleme, silme, kişisel verilerin imhası.

Rusya'nın neden bu yasaya ihtiyacı var?

Kişisel verilerin korunmasına ilişkin kanunun kabul edilme nedeni, bu konudaki engellerin kaldırılması ihtiyacıydı. Uluslararası Ticaret AB ülkeleri ile. Genellikle işlemlerde gerekli olan kişisel verilerin değişimi, yalnızca iletilen ve alınan bilgiler için uygun koruma sağlayabilen devletler arasında mümkündür. Karşılaştırma için, Norveç ve Fransa'da, on dokuzuncu yüzyılın sonunda benzer yasalar getirildi. 2005 sonbaharında Devlet Duması, "Kişisel verilerin otomatik olarak işlenmesiyle bağlantılı olarak bireyin korunmasına ilişkin" Avrupa Konseyi Sözleşmesini onayladı.

Kanunen, kişisel verilerin saklandığı ve işlendiği her bilgi sistemine, bu verilerin korunmasının sağlanacağı bir sınıf atanmalıdır. Ayrıca, Bilgi sistemi jenerik veya özel olabilir ve ikincisi, çalışması için zorunlu lisans gerektirir. Özel, örneğin, sağlık durumu hakkında bilgi içeren ve kararların alındığı temellere dayanan sistemlerdir. yasal sonuçlar. Başka bir deyişle, bu tür bilgi sistemlerinden elde edilen verilerin veya daha doğrusu analizlerinin ve işlenmesinin kişisel verilerin konusunun yaşamını veya sağlığını etkileyebilecek olması durumunda. Özel bilgi sistemleri sınıfı, düzenleyici kurumların düzenleyici ve metodolojik belgelerine uygun olarak bir kişisel veri güvenliği tehdit modeli temelinde belirlenir.

Kanun nasıl onaylandı ve değiştirildi

Kişisel verilerin yabancı sunuculara aktarımının sınırlandırılması planlanmaktadır.

2006-2010

Temmuz 2006'da, 152-FZ sayılı "Kişisel Veriler Üzerine" Federal Yasa kabul edildi. Yasa, Ocak 2007'de yürürlüğe girdi.

13 Haziran 2019 Perşembe Devlet Duması Rusya Federasyonu vatandaşlarının kişisel verilerinin (PD) depolanmasının ihlali için 18 milyon rubleye kadar para cezası sağlayan bir yasa taslağı çıkarıldı. Tasarıya göre, Art. Rusya Federasyonu Kanunu'nun 13.11'i idari suçlar Aşağıdaki miktarlarda para cezalarının eklenmesi ve oluşturulması önerilmektedir:

  • bireyler için 30 ila 50 bin ruble;
  • yetkililer için 200 ila 500 bin ruble;
  • tüzel kişiler için 2 ila 6 milyon.

Operatör tarafından, kişisel verileri toplarken, Rusya Federasyonu vatandaşlarının topraklarında bulunan veritabanlarını kullanarak kayıt, sistemleştirme, biriktirme, depolama, açıklama (güncelleme, değişiklik), kişisel verilerin çıkarılmasını sağlamaması durumunda idari cezalar verilir. Rusya Federasyonu. Suçun tekrarı halinde para cezası artar:

  • bireyler için 50 ila 100 bin ruble;
  • yetkililer için 500 bin ruble'den 1 milyon ruble'ye;
  • tüzel kişiler için 6 ila 18 milyon ruble.

Bu tasarı fikri, Roskomnadzor'un iddialarından sonra ortaya çıktı. sosyal ağlar Twitter ve Facebook. Şirketler, Rusya Federasyonu İdari Suçlar Kanunu'nun 19.7. 3 bin ruble miktarı. Bu şartların ihlali için ayrı bir madde bulunmadığından, tek ceza uygulanabilecek olan - 19.7'nin altındaki ceza İdari Suçlar Kanunu'nun maddesi RF.

Kanunlara uymanızı engelleyen nedir?

İlk olarak, büyük bir engel teknik problemler. Kanunun yeni baskısında şifreleme (kriptografik) araç kullanma zorunluluğu kaldırılmış olmasına rağmen, operatörlerin sistemlerinin sınıfına uygun bir dizi teknik ve organizasyonel koruma aracı kullanmaları gerekmektedir. Ayrıca, uygun korumayı organize etmek için, çoğu zaman bir şirketin teknik araç filosunu neredeyse tamamen güncellemesi gerekir. Uzmanlaşmış veya uygun personele sahip şirketler, karşı taraflar ve çalışanlar hakkındaki kişisel veriler de dahil olmak üzere kurumsal bilgileri korumak için güvenlik sistemlerini bağımsız olarak uygulayabilir. Bir nedenden ötürü güvenlik sorunlarıyla kendi başlarına uğraşmak istemeyen diğer şirketler, uzman firmalara yöneliyor. Ama sonunda koruma seçimi, bedelini ödeyenin omuzlarına düşer ve ekonomi ve güvenlik savaşı kaçınılmazdır. FZ-152'nin resmi gereksinimlerinin yerine getirilmesi gerçek koruma sağlamaz kesin bilgi kişisel veriler de dahil olmak üzere, sızıntı ve diğer dahili tehditlerden.

İkincisi, bunlar sertifika ile ilgili sorunlardır. Neticede mevzuat açısından güvenliğin kendisi değil, kişisel verilerin korunmasına yönelik tedbirlerin standartta tanımlananlara uygunluğu ön plandadır. Ve bazı şirketlerin yalnızca lisans maliyetleriyle sınırlı olması da mümkündür. Şimdiden, ilk on şirket arasında dolaştıktan sonra arama motoru, bilgi güvenliği alanında dış kaynak kullanımı ile uğraşanların çoğunun koruma sistemlerinin geliştirilmesine değil, lisans almak için belge toplama konusunda yardıma odaklandığını görebilirsiniz.

Kanunun başarılı bir şekilde uygulanması yolundaki üçüncü önemli sorun, işletmeci piyasasının dengesizliğidir. Aslında, farklı veri kaynakları için güvenlik gereksinimleri arasında ayrım yapmak gerekir. Veri operatörleri bu durumda kör kedi yavrularına benzeyebilir - bilgiyi korumanın tüm yöntemleri ve yolları düzenleyiciler tarafından tek bir fırça altında toplanır ve piyasadaki mevcut dernekler dar bir şirketler çemberi için sorunları çözer ve çıkarlarını savunmaz. bir bütün olarak piyasa katılımcıları.

Kişisel bilgilerin korunması

Olayların kronolojisi

2019: Rospotrebnadzor, genetik verileri kişisel verilerle eşitlemeyi önerdi

Tasarının yazarı Rospotrebnadzor'dur. Belge, Art. Biyometrik kişisel verilerin işlenmesine ilişkin 27 Temmuz 2006 tarihli "Kişisel Veriler Üzerine" Federal Kanunun 11'i.

Tasarının kabul edilmesi halinde, bir kişi hakkında genetik bilgi içeren biyomateryalinden elde edilen bilgilerin korunması alanındaki mevzuat boşluğunu kapatacak. Bu tür bilgiler, üçüncü bir tarafın bir kişi hakkında, örneğin sağlık durumu, yaşam tarzı, ilaçlara ve alerjenlere karşı duyarlılık vb. hakkında ek verilerle tanışmasını sağlar. Bu bağlamda, girişimin yazarları, bu tür bilgileri ek koruma önlemlerinin uygulanması gereken kişisel verilerle eşitlemeyi önerdi.

Tasarının amacı uygulamaktır anayasal haklar bir kişinin genetik özellikleri hakkında bilgi içeren kişisel verilerin işlenmesi ile ilgili ilişkiler alanındaki vatandaşlar.

Rusya Telekom ve Kitle İletişim Bakanlığı, kişisel verilerin işlenmesine izin verme prosedürünü sıkılaştırmak istiyor

Yetkili, “vatandaşlarımız çoğu zaman bu tür rızaları net bir anlayış göstermeden veriyorlar. yasal sonuçlar ve gelecekteki olası kullanımları. Bu nedenle bakanlık benzer bir girişimde bulundu - yasa çerçevesinde, hem prosedürün kendisini hem de kişisel bilgilerin işlenmesine izin verme prosedürünü iyileştirmek için. Ayrıca, Sokolov'un belirttiği gibi, şu an vatandaşlar tarafından işlenmek üzere verilen rızaların verilerinin tutulacağı bir devlet kaynağı oluşturma olasılığı üzerinde çalışılmaktadır. kişisel bilgi Kullanımlarını kontrol etmek için.

Telekom ve Kitle İletişim Bakanlığı da yasama düzeyi kişisel verilerin işlenmesine ilişkin yasal düzenlemelere, anonimleştirilmiş bir dizi kişisel veriye ve nesnelerin internetinin sonuçlarına ilişkin yaklaşımları ayırt etmek ve geliştirmek. Resmi notlar: “En çok tartışılan sorunlardan biri sözde. Mevcut yasama organı böyle veya benzer bir kavram içermez, ancak kişisel verilerin işlenmesinin belirli, önceden belirlenmiş hedeflere ulaşmasına izin verildiğini ve ardından bunların duyarsızlaştırma veya imhaya tabi olduğunu belirler. Bu nedenle, İnternet hizmetlerinde bir kişinin kimliğinin tespit edilmesine izin vermeyen çok sayıda duyarsızlaştırılmış kişisel veri birikir. Ayrıca Nesnelerin İnterneti'nin hızlı gelişimi, farklı tür sayaçlar, sensörler, Ev aletleri Kişisel veri olarak da sınıflandırılamayan önemli miktarda farklı türde veri üretir. Bunu akılda tutarak, yasama düzeyinde farklılaşma sorununu çözmek ve kişisel verilerin işlenmesinin yasal düzenlemesine, anonimleştirilmiş bir kişisel veri dizisine ve nesnelerin internetinin sonuçlarına ilişkin çeşitli yaklaşımlar geliştirmek gerekir. Tekliflerimiz 2017'nin ilk yarısında hazır olacak” Roskomnadzor, kişisel verilerin işlenmesi üzerinde kontrol ve denetim uygulamak için gerekli yetkilere sahiptir. Bu tür bilgiler hükümetin materyallerinde yer almaktadır.

Tasarının mevzuattaki hukuki belirsizliği ortadan kaldırmayı amaçladığı belirtiliyor. Bu nedenle, şu anda Rusya'da, vatandaşların kişisel verilerinin yasalara uygun olarak işlenmesini kontrol etme yükümlülüğü herhangi bir organa atanmamıştır. Bu yetkileri Roskomnadzor'a devretmek istiyorlar.

2012: Dmitry Medvedev, kişisel verilerin korunmasına ilişkin gereklilik değişikliklerini onayladı

1 Kasım 2012'de Rusya Federasyonu Başbakanı Dmitry Medvedev, kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin korunmasına ilişkin gereksinimlerdeki değişiklikleri onayladı. İlgili belge Rus hükümetinin web sitesinde yayınlandı.

Piyasa katılımcıları, önlemlerin endüstrinin tamamı üzerinde olumlu bir etkisi olmasına rağmen, bunların açıkça yeterli olmadığını ve hala çok muhafazakar olduğunu savunuyorlar.

Hükümet kararnamesi, bilgi sistemlerinde işlenmeleri sırasında kişisel verilerin dört düzeyde korunmasını ve her biri için gereksinimleri belirler. Bilgi sistemlerinin bir veya başka bir güvenlik düzeyine atanması, bilgi sisteminin işlediği kişisel verilerin türüne (özel, biyometrik, genel, diğer) bağlı olarak yapılır. gerçek tehditler(1., 2., 3.), bilgi sistemi tarafından işlenen kişisel veri konularının sayısı ve işletmecinin çalışanlarına ilişkin kişisel verilerin işlenip işlenmediği.

Kararname ayrıca, bu tür araçların kullanılmasının mevcut durumu etkisiz hale getirmek için gerekli olması durumunda, bilgi güvenliği alanındaki Rusya Federasyonu mevzuatının gerekliliklerine uygunluğu değerlendirme prosedürünü geçen bilgi güvenliği araçlarının kullanılması gerekliliğini de belirler. tehditler.

Belge, kişisel verileri işleyen bilgi sistemleri operatörlerinin, kişisel verileri yetkisiz veya kazara erişime, imha, değiştirme, kişisel verilerin engellenmesi, kopyalanması, dağıtılması, verilerin yanı sıra diğer yasa dışı eylemlerden.

Microtest Company'nin Sistem Entegrasyonu Departmanının Önde Gelen IS Mühendisi Sergei Borisov'a göre, yeni Hükümet Kararnamesi, zorunlu gerekliliklerönceki belgede 34'e karşı 14'e kadar. Sergei Borisov, "Ancak, bence, yeni karar şirketler için hayatı kolaylaştırmadı." Dedi. - en külfetli gereklilik - bilgi güvenliği tesislerinin sertifikalandırılması ihtiyacı - tüm ISPD'ler için zorunlu olmaya devam etti.

"Bir sonraki madde ISPD'lerin sınıflandırılmasıdır" diye devam etti. - Daha önce operatör, tabloya göre tipik bir ISPD'nin sınıflandırmasını veya tehdit modelinin sonuçlarına dayalı olarak özel bir ISPD'nin sınıflandırmasını seçebilseydi, şimdi başka seçenek yok. Güvenlik düzeyi her zaman tehditlerin alaka düzeyine göre belirlenir. Operatörün bunları kendi başına belirlemesi olası değildir - iletişim kurmanız gerekecek ana kuruluş veya bir danışmana.

Sergei Borisov, kayıpla birlikte yeni kararın başka bir sorununu görüyor yasal önem FSTEC R ve FSB R belgelerinin çoğu, yürürlükten kaldırılan karar uyarınca geliştirildi. Borisov, "Yeni belgeler olmadan güvenlik seviyelerini belirlemek bile mümkün olmayacak. Bu, 1119 No'lu PP'nin şimdilik faydasız olduğu anlamına geliyor," diye özetledi.

Sergey Borisov, yeni hükümet kararnamesinde, eskiden önemsiz olarak kabul edilen verilerin çoğunun artık daha fazla bilgi gerektiren başka bir kategoriye aktarılması nedeniyle, şirketlerin kişisel verilerin korunmasına yönelik harcamalarında potansiyel bir artış görüyor. yüksek derece koruma.

uzmanlar Rus Derneği elektronik iletişimin uzmanları, şu anda kişisel verilerle ilgili mevzuatın İnternet'in mevcut gelişme düzeyini dikkate almadığından ve Rusya Federasyonu'ndaki e-ticaret ve bulut hizmetlerinin gelişimini önemli ölçüde yavaşlattığından emindir.

RAEC, departmanlar arası bir sistemin oluşturulması konusunda ısrar etmeye devam ediyor. çalışma Grubuİnternet endüstrisi temsilcileri, bilgi güvenliği uzmanları, Rusya Federasyonu İletişim Bakanlığı, Rusya Federasyonu Ekonomik Kalkınma Bakanlığı, Federal Güvenlik Servisi, FSTEC, Roskomnadzor temsilcilerinin katılımıyla endüstrinin daha net bir formülasyonu için Mevzuat ve değişikliklerine ilişkin pozisyonlar. Özellikle, mevzuata uygun olarak getirilmesinde Uluslararası hukuk ve standartlar mevcut belgeler ve emirler.

2011

Konut kodu ve kişisel veriler

16 Haziran 2011 tarihinde, 4 Haziran 2011 tarihli ve 123-FZ sayılı Federal Yasa, “Rusya Federasyonu ve Bazı Konut Yasasında Değişiklik Yapılmasına Dair yasama işlemleri Rusya Federasyonu”, Madde 5, 27 Temmuz 2006 tarihli 152-FZ “Kişisel Veriler Hakkında” Federal Yasasına bir yenilik daha getirdi.

FZ-152'nin 6. Maddesinin 2. Kısmı düzeltildi ve aşağıdaki içeriğe sahip yeni bir paragrafla desteklendi:

“5.1) kişisel verilerin işlenmesi, organizasyonların, ev sahipleri derneklerinin yönetilmesi için gerekliyse, konut kooperatifleri, konut inşaat kooperatifleri veya diğer uzmanlaşmış tüketici kooperatifleri Rusya Federasyonu Konut Kanunu uyarınca yöneten apartman binaları veya bir apartmanın doğrudan yönetimi altındaki bir apartman binasındaki bina sahiplerinin, hizmetlerin sağlanması ve (veya) bakım ve onarım işlerinin yapılması için sözleşmeler imzaladığı kişiler ortak mülk Bu binada veya doğrudan yönetim altındaki bir apartmanda bulunan bina sahiplerinin veya konut binalarının sahiplerinin aşağıdakilerin sağlanması konusunda anlaşmalar yaptığı kişilere araçlar veya bir apartman binasındaki bina sahipleri, konut binaları sahipleri, bir devlet veya belediyenin konut binalarının kiracıları ile yerleşim yapmak için anlaşmalar temelinde ilgili kişilere Konut stoku bir apartmanda ortak mülkün bakım ve onarımı için, Konut inşaatları ve yardımcı programlar;…”

Yukarıdaki paragraf, kişisel veri operatörünün, kişisel verilerin işlenmesi için öznenin rızasını almasının gerekmediği bir dizi durumu tamamlamıştır.

Bir yandan, bu değişiklik mantıksal olarak yeni düzenlemeye uyuyor. yasal rejim düzeyde olan apartmanların yönetimi Federal yasa Katılımcıların ilgili hak ve yükümlülüklerini belirler. Halkla ilişkiler ve bu ilişkilerin özelliklerini tanımlar. Kişisel verilere ilişkin mevzuat açısından, söz konusu değişiklik, kişisel verilerin işlenmesi ve korunmasına ilişkin mevcut rejimde köklü değişiklikler getirmemekte, apartman binalarını yöneten çok sayıda kuruluşun hayatını bir ölçüde basitleştirmektedir, yanı sıra bina sahipleri ile kamu hizmetleri ve yerleşimlerin sağlanması.

Öte yandan, başka bir istisnanın ortaya çıkması, kişilerin kişisel verilerinin işlenmesine ilişkin rıza kurumu normlarının bütünlüğü ve uygulanabilirliği hakkında üzücü düşüncelere yol açmaktadır. Değişiklik metni, rıza alma ihtiyacının bulunmaması koşulunu açıkça belirtir: kişisel verilerin işlenmesi normlarla bağlantılı olarak gerçekleşir. Konut Kodu Rusya Federasyonu veya ilgili anlaşmanın hükümleri ile bağlantılı olarak. Ancak yukarıdaki koşul, Federal Yasa-152'nin 6. maddesinin 2. bölümünün 1. ve 2. paragraflarının içeriğini fiilen çoğaltır. Böylece, yasa koyucu düzenleme düzeyinden aşağı iner. tipik durumlar(örneğin, sözleşme hükümlerinin yerine getirilmesiyle bağlantılı olarak kişisel verilerin işlenmesi) belirli durumların düzenlenmesi düzeyine kadar ( sözleşme ilişkileri konut sektöründe). Ek olarak, deneklerin kişisel verilerinin işlenmesine rıza gösterme kurumunun diğer normlarının anlam ve değerinin devalüasyonu vardır (özellikle, Federal Yasanın 6. maddesinin 2. bölümünün 1. ve 2. paragrafları) .

535056-5 sayılı "Rusya Federasyonu'nun Bazı Yasama Kanunlarında Değişiklik Yapılmasına Dair" federal yasa taslağı

535056-5 sayılı "Rusya Federasyonu'nun Bazı Yasama Eylemlerinde Değişiklik Yapılmasına Dair" federal yasa taslağı, Rusya Federasyonu mevzuatını 210-FZ sayılı Federal Yasanın 7. maddesinin 2. paragrafının normlarına uygun hale getirmeyi önermektedir " Devlet ve belediye hizmetlerinin sağlanmasının organizasyonu hakkında. Bu kurala göre, hizmet veren kuruluşlar, toplum servisleri ve belediye hizmetlerini sağlayan organlar, başvuru sahibinden devlet kurumlarının, yerel yönetimlerin emrinde olan belge ve bilgileri sağlamasını talep etme hakkına sahip değildir.

Yukarıdaki yasa tasarısının 1. maddesinin 2. paragrafı, devlet veya belediye hizmetlerinin sağlanmasıyla bağlantılı olarak başvuranların ve diğer kişilerin kişisel verilerinin işlenmesine ilişkin usul ve koşulları belirtir. Özellikle, Sanatta yer alması önerilmektedir. Federal Yasanın 7'si “Devlet ve belediye hizmetlerinin sağlanmasının organizasyonu hakkında”, norm: “Devlet organları, yerel yönetimler ve Bölüm tarafından sağlanan devlet ve belediye hizmetlerinin sağlanmasında yer alan kuruluşlar tarafından işlenmesi için Bu Federal Yasanın 1. Maddesinin 1'i, bu tür kurum ve kuruluşların emrinde bulunan kişisel veriler, bu tür kişisel verileri, başvuranın talebi üzerine bir devlet veya belediye hizmeti sunan kuruluşa (kuruluşa) sağlamak için, 27 Temmuz 2006 tarihli 152 sayılı Federal Yasanın 6. maddesinin 2. bölümünün 1. paragrafının gereklerine uygun olarak, talebi üzerine işlemenin gerçekleştirildiği kişisel verilerin konusunun rızasını almak gerekli değildir. -FZ "Kişisel Veriler Üzerine".

Başvuranın bir devlet veya belediye hizmetinin sağlanması için organa (kuruluşa) talebi, bu tür bir başvuru sahibinin, ilgili devlet veya belediye hizmetini organa (kuruluşa) sağlamak için kişisel verilerinin işlenmesiyle rızasına eşittir. .

Bir devlet veya belediye hizmetinin sağlanması, başvuru sahibi olmayan diğer kişiler hakkında belge ve bilgilerin sağlanmasını gerektiriyorsa, bir devlet veya belediye hizmetine başvururken, başvuru sahibi ayrıca adına hareket etme yetkisini doğrulayan belgeler sunar. Bu kişilerden (onların yasal temsilciler) ve bu kişilerin (yasal temsilcilerinin) bu kişilerin kişisel verilerinin işlenmesine ilişkin rızalarını ifade etme.

Kişisel Veri İşletmecilerinin yasal gerekliliklere karşı tutumu çeşitlidir. Birisi hiçbir şey yapmamayı, PD'nin işlenmesi hakkında Roskomnadzor'a bir bildirim göndermemeyi ve PD'nin işlenmesini izleme konularının onu etkilemeyeceğini ummayı tercih ediyor. Birisi bilgi güvenliği sorunlarını tamamen onun insafına bırakıyor. üçüncü şahıslar. Birisi, kurumsal ve idari belgelerin şablon setlerini şurada bulur: kamu kaynakları, düzeltir, yazdırır ve orada durur. Bu yaklaşımların her birinin dezavantajları vardır.

Operatörün eylemsizliği, onu düzenleyici makamların planlanmış veya planlanmamış (örneğin, bir PD konusunun şikayeti temelinde düzenlenen) denetimlerinden kurtarmaz. PD işleme gereksinimlerinin ihlali için sürekli artan cezalarla ilgili haberlerin arka planına karşı, bu yaklaşım çekici görünmüyor.

Bilgi güvenliği konularının tamamen dış kaynak kullanımına aktarılmasıyla, önemli ölçüde fazla ödeme yapma riski vardır. Bu genellikle, gereksiz ve her zaman talep edilmeyen işlevselliğe sahip pahalı bilgi güvenliği araçlarının satın alınmasıyla sonuçlanır. Ayrıca, bir noktada Operatörün kullanıcılarının ve yöneticilerinin desteği olmadan oluşturulan ve uygulanan koruma sistemi, ilgili olmaktan çıkar. Sonuçta, koruma sistemi sadece uygulama değil teknik önlemler ve Operatörün çalışanları tarafından korunan bilgilere doğru tutum için normlar ve kurallar geliştirmeyi amaçlayan kurumsal önlemlerin yanı sıra anlamına gelir.

Ağdaki şablon kitleri, bilgi sistemleri aslında savunmasız ve tehditlere karşı savunmasız kalırken, yalnızca bilgileri koruyan bir görünüm oluşturmanıza izin verir.

Operatörün yetkili bir kişisi bağımsız olarak bir koruma sistemi oluşturmanın belirli adımlarından geçtiğinde sentetik bir konsept sunuyoruz. ve sahnede teknik uygulama koruma sistemleri, uzman kuruluşları çekmek mümkündür.

Bu yaklaşım, Operatörün yetkili kişilerinin mevcut bilgi işleme süreçlerini daha iyi anlamasını, tüm çalışmalarına dahil etmesini sağlar. paydaşlar ve bunun sonucunda etkin bir bilgi güvenliği sistemine sahip olun. Yaklaşımı daha ayrıntılı olarak ele alalım.

normatif temel

Her operatör işe başlarken şu soruyu sorar - nereden başlamalı? Karar verilen düzenleyici yapı neye güveneceğiz.

  1. Emir Federal Hizmet Rusya Federasyonu'nun 10 Temmuz 2014 tarihli ve 378 sayılı Güvenliği “Kişisel verilerin güvenliğini sağlamak için gerekli olan kriptografik bilgi koruma araçlarını kullanarak kişisel veri bilgi sistemlerinde işlendiğinde güvenliğini sağlamak için kurumsal ve teknik önlemlerin bileşimi ve içeriğinin onaylanması üzerine Hükümet tarafından kurulan Güvenlik düzeylerinin her biri için kişisel verilerin korunması için Rusya Federasyonu gereksinimleri.

Tek bir bilgi sistemi için prosedürü analiz edelim.

GIS veya GIS değil

Öncelikle söz konusu sistemin devlet bilgi sistemlerine (CBS) ait olup olmadığının anlaşılması gerekmektedir. Bu, koruma yaklaşımına bağlı olacaktır. Bir CBS'nin önümüzde olup olmadığının nasıl belirleneceği ayrı bir bölümde anlatılmaktadır.

Gerçek siber güvenlik tehditleri

İncelenen bilgi sistemi için hangi IS tehditlerinin alakalı olduğunu belirlemek gereklidir. Fiili tehditlerin tanımı, "Kişisel verilerin güvenliğine yönelik fiili tehditlerin belirlenmesine yönelik metodoloji" uyarınca gerçekleştirilir. AT Genel dava algoritma şöyle görünür:

  1. Bir diziye verilen toplam yanıt sayısına göre birincil sorunlar bilgi sisteminin ilk güvenliği hakkında bir sonuca varılır.
  2. "Kişisel veri güvenliği tehditlerinin temel modeli" ve bilgi güvenliği tehditlerinin Bilgi Bankası (yukarıya bakınız) temel alınarak, dikkate alınan tehditlerin bir listesi oluşturulur. Her bir tehdit için uygulama olasılığı uzman yöntemlerle belirlenir.
  3. Uygulama olasılığına ve ilk güvenlik düzeyine bağlı olarak, her bir tehdit için fizibilite katsayısı belirlenir.
  4. Her tehdit için IS ve Operatör için bir tehlike göstergesi uzman yöntemlerle belirlenir.
  5. Fizibilite ve tehlike göstergelerine dayanarak, her tehdidin alaka düzeyi hakkında bir sonuca varılır. Mevcut tehditlerin bir listesi oluşturuluyor.

ISPD güvenlik seviyesi

Gerçek tehditlerin ne tür olduğunu belirlemek gerekir. Üç tür tehdit vardır:

  • sistemdeki bildirilmemiş yeteneklerin varlığı ile ilişkili yazılım;
  • uygulama yazılımında bildirilmemiş yeteneklerin varlığı ile ilişkili;
  • sistem ve uygulama yazılımında bildirilmemiş yeteneklerin varlığı ile ilgili değildir.

Her tehdidi ayrı ayrı ele alıyoruz. Hangi maksimum türe ait olduklarını belirleyin.

Bir sonraki adım, işlenen verilerin kategorisini belirlemektir. Aşağıdaki kişisel veri kategorileri vardır:

  • özel;
  • biyometrik;
  • halka açık;
  • diğerleri.

Bir IS'de birkaç kişisel veri kategorisi işlenebilir. Kategorilerin ayrıntılı bir tanımı No. 152-FZ'de verilmiştir.

İşlenmiş PD hacmini belirlemek gereklidir. Burada mümkün olan 3 varyasyon vardır:

  • 100 bine kadar;
  • 100 binden fazla;
  • Operatörün çalışanlarının PD'si (hacimce bağlayıcı olmadan).

Tehditlerin türüne, PD kategorisine ve PD'nin hacmine bağlı olarak, 1119 sayılı Hükümet Kararnamesi uyarınca sistem güvenlik seviyesi hakkında bir sonuca varılır.

KM'yi belirlemek için özel bir tablo kullanabilirsiniz:

CBS sınıfı

Söz konusu sistem CBS'ye aitse, sınıfının 11 Şubat 2013 tarih ve 17 sayılı FSTEC sırasına göre belirlenmesi gerekir.

Bunun için önceki bölüme ek göstergeler belirlenir:

  1. CBS ölçeği. Federal, bölgesel ve nesne olabilir. Belirleme kriterleri, FSTEC No. 17'nin sırasına göre sabitlenmiştir.
  2. Bilginin önem düzeyi derecesine göre belirlenir. olası hasar Operatör, bilgilerin gizliliğini, bütünlüğünü veya kullanılabilirliğini ihlal etmekten. Azalan önem sırasına göre üç değeri vardır - UZ1, UZ2, UZ3. Uzmanlar tarafından belirlenir. Belirleme kriterleri, FSTEC No. 17'nin sırasına göre sabitlenmiştir.

IS'nin önem düzeyine ve ölçeğine dayanarak, CBS'nin sınıfı hakkında bir sonuca varılır.

Temel önlemler seti

Güvenlik seviyesini ve sınıfı (GIS için) belirledikten sonra, IS'de sağlanması gereken genel bir gereksinim ve önlem listesi oluşturmaya geçmeniz gerekir.

ISPD için gereksinimler, 152-FZ No.lu, 1119 No.lu Hükümet Kararnamesi, 378 Nolu Rusya Federasyonu Federal Güvenlik Servisi Emri ve No. 21.

GIS için, ISPD için gerekli olan gereksinimlere ek olarak, FSTEC'in 17 No'lu Siparişinin gereksinimleri de eklenir.

Sonuç olarak, olmalı genel liste IS'de sağlanması gereken gereksinimler ve önlemler. diyelim temel set miktar.

Özelleştirilmiş önlemler seti

Bir sonraki adım, ortaya çıkan temel ölçü setini analiz etmek ve güncellemektir. Yani, söz konusu bilgi sistemi için olağandışı olan tüm önlemlerin kaldırılması. Örneğin, aşağıdaki durumlarda "Kablosuz Ağ Koruması" önlemini silin. kablosuz teknoloji IS geçerli değildir. Sonuç olarak, alıyoruz uyarlanmış taban çizgisi.

Genişletilmiş önlemler seti

Uyarlanmış temel önlemler setini inceliyor ve mevcut IS tehditleri listesiyle ilişkilendiriyoruz. Önlemlerin hiçbiri ayrı bir fiili tehdidi kapatmazsa, seti tamamlarız. ek önlemler. Sonuç olarak, mevcut tüm tehditler, bir dizi önlemden IS önlemleri tarafından kapsanmalıdır. aldığımız çıktıda eklenmiş uyarlanmış taban çizgisi.

Bilgi güvenliği sistemi

Alınan önlemlere göre, teknik koruma araçlarının seçimi veya organizasyonel önlemler tedbirlerin uygulanmasına yöneliktir. Bilgi güvenliği sistemi projesi oluşturuluyor.

ISPD için, mevcut IS tehditlerini kapatmak için sertifikalı bilgi güvenliği araçları kullanılır.

CBS için yalnızca sertifikalı bilgi güvenliği araçları kullanılır.

Oluşturulan projeye göre koruma sisteminin uygulaması yapılmaktadır. tanıtılıyor organizasyonel düzenlemeler ve teknik araçlar koruma. Bilgi işleme süreçlerinde uygulanan politikalar, yönetmelikler, talimatlar geliştirilmektedir. Bilgi güvenliği araçları kurulur, yapılandırılır ve devreye alınır. Bu aşamada, ilgili hizmetleri sağlayan uzman kuruluşlar devreye girer. Kendi kendine uygulama için, SZPDN'yi oluştururken tipik hataları öğrenin.

sertifika

Koruma sistemi devreye alındıktan sonra uygunluk değerlendirmesi yapılır. Alınan tedbirler yasal yükümlülükler.

ISPD için, tasdik şeklinde uygunluk değerlendirmesi zorunlu değildir. Bir sonucun yayınlanmasıyla güvenlik gereksinimlerine uygunluk için testler yapmak yeterlidir. Testler, operatör tarafından hem bağımsız olarak hem de uzman kuruluşların katılımıyla gerçekleştirilebilir.

CBS için, tasdik şeklinde uygunluk değerlendirmesi zorunlu prosedür. Bilgi güvenliği gereksinimlerine göre sertifikasyon için, bu faaliyet için yetkilendirilmiş uzman bir organizasyonun dahil edilmesi gereklidir.

Sonuç nedir

Bu yaklaşımın sonucunda bir bilgi güvenlik sistemi elde ederiz. Gördüğünüz gibi, uzman kuruluşların katılımı yalnızca son aşamalarda gerçekleşir. Bu yaklaşım işin büyük kısmını kendileri gerçekleştirdikleri için kuruluşların önemli miktarda fon tasarrufu yapmalarını sağlar.

Ayrıca adımları takip ederek yetkili kişiler Operatörler, ortaya çıkan bilgi koruma sisteminin etkinliği üzerinde olumlu bir etkisi olması gereken IP koruması çalışmalarına doğrudan dahil olurlar.

Ve sonra ne?

Bilgi güvenliği sistemi uygulanmış ve devreye alınmıştır. Sakinleşip onu unutmak mümkün mü? Tabii ki değil. Bilgi sistemleri ve teknolojileri dünyası çok değişkendir. Teknolojiler gelişiyor ve gelişiyor, bilgi sistemleri değişiyor. Belki bir süre sonra, koruma sistemini tasarlarken alakalı olmayan IS tehditleri alakalı hale gelecektir. Bilgi güvenliği sistemini çalışır durumda tutmak için bir denetim yapılmasını tavsiye ederiz. bilgi Güvenliği yılda en az bir kez, bunun için uzmanların katılımıyla - veya kendi başlarına.

Kendi etkili bilgi koruma sisteminizi oluşturma yolunda iyi şanslar.

Stanislav Shilyaev, SKB Kontur'da Bilgi Güvenliği Proje Müdürü