Klasifikácia informačných systémov pre osobné údaje FSTEC. Postup pre klasifikáciu informačných systémov osobných údajov

Jeden z priorít, ktoré sa musia realizovať pri vytváraní informačného systému na spracovanie osobných údajov (CDN), je klasifikácia CDN.

To je nevyhnutné na určenie triedy triedy a príslušné požiadavky na FSTEC a FSB pri spracovaní osobných údajov (PDN). V tomto článku opím všeobecný postup vykonávania klasifikácie CDM.

V súlade s objednávkou Fstek / FSB / Mininformsvyatsie z 13.02.2008 č. 55/86/20 o poradí klasifikácie informačného systému osobných údajov ", ktorý je možné stiahnuť tu, je potrebná klasifikácia, obsahuje nasledovné Kroky:

• Zber a analýza zdrojových údajov o informačnom systéme;
• Priradenie informačného systému príslušnej triedy a jej dokumentácie.

Pri klasifikácii informačného systému je potrebné odpovedať na nasledujúce otázky:

1. 1K Ktorá kategória patrí osobné údaje spracované v informačnom systéme - XPD?
2. Aké množstvo spracovaných osobných údajov (počet osobných údajov, ktorých osobné údaje sa spracovávajú v informačnom systéme) - XNPD?
3. Aké sú funkcie bezpečnosti osobných údajov spracovaných v informačnom systéme?
4. Aká je štruktúra informačného systému?
5. Existuje informačný systém na pripojenie k public relations a / alebo internetovej sieti?
6. Aký je spôsob spracovania osobných údajov?
7. Aký je rozdiel medzi užívateľmi informačného systému informačného systému?
8. Umiestnenie technických prostriedkov informačného systému?

Zdrojové údaje a pomocné informácie

Nasledujúce kategórie osobných údajov spracovaných v informačnom systéme sú určené (XPD):

1. kategória 1. - osobné údaje týkajúce sa rasovej, štátnej príslušnosti, politických názorov, náboženských a filozofických viery, zdravie, intímneho života;
2. kategória 2. - osobné údaje, ktoré vám umožní identifikovať predmet osobných údajov a získať ďalšie informácie o ňom, s výnimkou osobných údajov týkajúcich sa kategórie 1.;
3. kategória 3. - osobné údaje, ktoré môžu identifikovať predmet osobných údajov;
4. kategória 4. - DiskLifikované a (alebo) verejne dostupné osobné údaje.

XNPD môže vykonať nasledujúce hodnoty:

• 1 - v informačnom systéme sa v informačnom systéme spracúva viac ako 100 000 subjektov osobných údajov alebo osobné údaje subjektov osobných údajov v rámci subjektu Ruskej federácie alebo Ruskej federácie ako celku.
• 2 - v informačnom systéme súčasne spracováva osobné údaje z 1000 až 100 000 subjektov osobných údajov alebo osobné údaje subjektov osobných údajov pracujúcich v priemysle Ruskej federácie, vo verejnom orgáne žijúcej v rámci obce;
• 3 - v informačnom systéme sú údaje súčasne spracované menej ako 1000 subjektmi osobných údajov alebo osobných údajov subjektov osobných údajov v rámci konkrétnej organizácie.

Funkcie bezpečnosti osobných údajov

Pre DODGE sú definované bezpečnostné funkcie osobných údajov, ktoré sú rozdelené do hlavného a ďalšieho:

Hlavný:

• dôvernosť
• integrita
• dostupnosť

Ďalšie:

• neschopnosť
• Účtovníctvo (ovládanie)
• autenticity (spoľahlivosť)
• primeranosť

Štruktúra informačného systému rozdelený na:

• autonómny (nie je pripojený k iným informačným systémom) Komplexy technického a softvéru určené na spracovanie osobných údajov (automatizované pracovné miesta);
• komplex automatizovaných pracovných miest, kombinovaný do jednotného informačného systému prostredníctvom komunikácie bez použitia technológie vzdialenej prístupu (miestne informačné systémy);
• komplex automatizovaných pracovných miest a (alebo) lokálnych informačných systémov v kombinácii do jednotného informačného systému s komunikáciou s použitím technológie vzdialenej prístupovej (distribuované informačné systémy).

Spracovanie

Pri organizovaní nasledujúce režimy spracovania určujú nasledovné:

• jediný používateľ;
• multiplayer.

Režim vymedzenia prístupových práv

V doplnku je implicitný systém zničenia prístupu:

• bez vymedzenia prístupových práv;
• s vymedzením prístupových práv.

Informačné systémy sú rozdelené do typ a Špeciálny.
Na typický informačný systém Ide o systémy, ktoré vyžadujú len pd dôvernosť.

Na špeciálny informačný systém Ide o systémy, ktoré okrem súkromia vyžadujú:

• Informačné systémy, v ktorých sa osobné údaje spracúvajú v súvislosti so zdravím subjektov osobných údajov;
• Informačné systémy, v ktorých sú založené na výlučne automatizované spracovanie osobných údajov, ktoré sú určené na rozhodovanie, ktoré vytvárajú právne dôsledky týkajúce sa predmetu osobných údajov alebo inak ovplyvňujúce svoje práva a oprávnené záujmy.

Klasifikácia informačného systému

Podľa komunikačnej komunikácie FSTEC / FSB / Mininform č. 55/86/20, môže to prijať jednu zo štyroch tried definovaných v tomto poradí:

1. trieda 1 (K1)- informačné systémy, pre ktorých porušenie špecifikovaných bezpečnostných charakteristík osobných údajov spracovaných v nich môže viesť k významným negatívnym dôsledkom pre subjekty osobnej osoby;
2. trieda 2 (K2) - informačné systémy, pre ktoré je porušenie špecifikovaných bezpečnostných charakteristík osobných údajov spracovaných v nich, môže viesť k negatívnym dôsledkom pre subjekty osobných údajov;
3. trieda 3 (K3)- informačné systémy, pre ktoré porušenie špecifikovaných bezpečnostných charakteristík osobných údajov spracovaných v nich môže viesť k menším negatívnym dôsledkom pre subjekty osobnej data;
4. trieda 4 (K4)- Informačné systémy, pre ktoré porušenie špecifikovaných bezpečnostných charakteristík osobných údajov spracovaných v nich nespôsobí k negatívnym dôsledkom pre subjekty osobných údajov.

Informačné systémy osobných údajov (CDN) využívajú mnohé podniky a organizácie v ich práci. Poďme na to, čo to je, a aké nuansy musia brať do úvahy tých, ktorí pracujú s Dodge.

Čo je tebe?

Ak poviete jednoducho, informačný systém vytáčania sa používa na ukladanie a spracovanie osobných údajov. Vo svojom zložení sa vytvorili tieto komponenty:

• V skutočnosti kombinácia osobných údajov uložených v systéme v databáze.
• Technické prostriedky používané na prácu s týmito údajmi.
• Nástroje automatizácie účtovných procesov a spracovanie informácií uložených v DODGE (nemusia byť vo všetkých systémoch).

Caiden je vážny

Pri použití posudzovaných systémov je dôležité zabezpečiť ochranu osobných údajov pred neoprávneným prístupom, stratou a inými abnormálnymi situáciami. Je napísané aj na legislatívnej úrovni. A s cieľom prijať značné opatrenia na obmedzenie prístupu k informáciám a ich ochrane, audit sa vykonáva (viac podrobností možno nájsť napríklad od špecialistov z Realityloud: http://rentocloud.su/services/zashchita-personalnykh- Dannykh / Audit /). Podľa jeho výsledkov sa vypracuje zákon obsahujúci tieto informácie: \\ t

• Kategória osobných údajov, ktoré sú uložené a spracované v skúmanom systéme.
• Ich trieda a typ (o ňom nižšie).
• Parametre a štruktúra študijného systému.
• Objemy PDM (počet záznamov atď.) Uchovávané a spracované do CPF.
• Informácie o umiestnení systému.
• Informácie o prístupe k databáze prostredníctvom sietí dostupných pre verejné použitie (LAN, internet atď.).

Audit sa vykonáva presne v súlade so spoločným dokumentom vypracovaným Ministerstvom komunikácií, FSTEC a FSB. Je to veľmi objemné a vyžaduje dôkladnú štúdiu. V tejto súvislosti audit systému a prípravu odporúčaní, na ktorých bude založená ochrana protiruhu, je potrebné dôverovať špecialistom. So svojimi službami môžete použiť napríklad kontaktovaním Retacloud: (http://rentacloud.su).

Typy, zachytené triedy a čo ešte potrebuje vedieť o takýchto systémoch

Informačné systémy osobných údajov (PDN) sú rozdelené do 4 typov triedy a 2. Divízia do tried sa vykonáva na základe takýchto označení ako kategória spracovaných PDN a ich objemov.

Triedy

Zaoberať sa tým vám pomôže tabuľku:

Vysvetlenia tabuľky.

Číslo kategórie 4 zahŕňa neosobné PDS, podľa ktorého nie je možné identifikovať konkrétny predmet (príklad - štatistické údaje). KAT 3 zahŕňa PDN, na základe ktorej je možné iba ľudská identifikácia (je dosť zriedkavé). Kategória 2 obsahuje údaje, na základe ktorých môže byť osoba identifikovaná a získať niektoré ďalšie informácie o ňom (príklad - mzdové akruálne systémy v organizáciách a podnikoch). Prvá kategória obsahuje údaje obsahujúce informácie o národných zdravotníckych a iných sociálnych informáciách a informácie o inej povahe (príklad - databáza zdravotníckych inštitúcií).

Pokiaľ ide o triedy uvedené v tabuľke, priradenie CAD k nim sa vykonáva na základe možného poškodenia subjektov v porušení bezpečnostných podmienok:

• Cl 4. Akékoľvek negatívne dôsledky pre túto tému sú vylúčené.
• Cl 3. Môže existovať negatívne negatívne dôsledky.
• Cl 2. Vznik takýchto následkov.
• Cl 1. Možné veľmi závažné negatívne dôsledky.

TYPY KEEN

Systémy súvisia s prvým typom, kde sú obranné funkcie namontované len na dosiahnutie potrebných ukazovateľov jeho dôvernosti. Ak je okrem súkromia, je potrebné poskytnúť ešte jeden dodatočný bezpečnostný indikátor (pravosť, dostupnosť, integrita údajov atď.), Hovoríme o druhom type.

Stojí za zmienku, že väčšina použitých systémov je priradená druhému typu.

Je možné vidieť, že rozvoj CDN, ich klasifikácie a zabezpečenie spoľahlivej, efektívnej ochrany - veľmi zložité a mnohostranné procesy. A aby sa zabránilo chybám, je vhodné zveriť ho špecialistom. Môžete to vidieť, napríklad v spoločnosti Retacloud, ktorá zaberá jednu z vedúcich pozícií na tomto trhu.

Akt klasifikácie CDN, spravidla je dôverný dokument, a mal by mať súkromie ("dôverné", "drevotrieskové", "komerčné tajomstvo") a účtovné číslo.

Pre klasifikáciu v podniku by mala byť vytvorená Komisia. Komisia musí zahŕňať zodpovednú za ochranu osobných údajov. Komisia musí byť vymenutá uznesením vedúceho a vykonávať svoje činnosti na základe nariadenia o Komisii pre klasifikáciu. Podľa výsledkov klasifikácie musí byť akt vydaný. Akt klasifikácie CDM by mal schváliť predseda Komisie a prihlásiť sa všetkým členom Komisie.

Ako kompilovať akt klasifikácie CDN

Akt o klasifikácii je vypracovaný pre každý zistený CDN. Na základe získaných údajov každého kódu sa určí potrebná úroveň bezpečnosti osobných údajov. Je potrebné stanoviť požiadavky na zabezpečenie ochrany informačného systému osobných údajov. Stanovenie úrovne bezpečnosti osobných údajov sa vykonáva v súlade s vyhláškou vlády Ruskej federácie 01.11.2012. Č. 1119 "o schválení požiadaviek na ochranu osobných údajov pri spracovaní v informačných systémoch \\ t osobné údaje".

Zákon poukazuje:

• osobné údaje spracované v systéme;
• množstvo spracovaných osobných údajov;
• typ súčasných hrozieb pre DODGE;
• Štruktúra informačného systému;
• dostupnosť pripojení k verejným komunikačným sieťam a (alebo) sieťam medzinárodnej výmeny informácií;
• režim spracovania osobných údajov v systéme;
• vymedzenie prístupových práv používateľov;
• umiestnenie Kennane;
• Úroveň ochrany PDN.

V zákone o klasifikácii môže CDNS obsahovať systémy, v ktorých sa takéto údaje uložia:

• osobitné kategórie osobných údajov - Informácie týkajúce sa rasovej, národnej príslušnosti, politických názorov, náboženských alebo filozofických viery, zdravie, intímny život subjektov osobných údajov;
• biometrické osobné údaje - informácie, ktoré charakterizujú fyziologické a biologické črty osoby, na základe ktorých je možné stanoviť svoju identitu a ktorú prevádzkovateľ využíva na stanovenie totožnosti predmetu osobných údajov;
• verejne dostupné osobné údaje - informácie získané len z verejne dostupných zdrojov osobných údajov vytvorených v súlade s článkom 8 federálneho zákona "o osobných údajoch".

Docela zriedka sa stretli s systémami, v ktorých sú spracované osobné údaje 3 kategórie. Je to spôsobené skutočnosťou, že pre skutočné úlohy sú potrebné nielen údaje identifikáciu predmetu (názov, pasové údaje), ale aj ďalšie informácie o ňom (napríklad platové informácie).

Najbežnejšie informačné systémy, v ktorých sú spracované osobné údaje 2 kategórie. Napríklad systémy mzdy zamestnancov.

Objem spracovaných PDS definuje počet predmetov, ktorých osobné údaje sa spracovávajú v systéme. Použije sa nasledujúca gradácia:

• viac ako 100 000 jednotiek PD;
• menej ako 100 000 jednotiek PD.

Druhy hrozieb pre bezpečnosť osobných údajov

Typ relevantných hrozieb pre bodku:

• hrozby 1 typu sú relevantné pre informačný systém, ak pre ňu vrátane hrozieb spojených s prítomnosťou nerušených (nezrovnatých) schopností v systémovom softvéri používanom v informačnom systéme;
• hrozby 2. typu sú relevantné pre informačný systém, ak pre ňu vrátane hrozieb spojených s prítomnosťou nezdokumentovaných (nehlásovaných) schopností v aplikačnom softvéri používanom v informačnom systéme;
• hrozby 3. typu sú relevantné pre informačný systém, ak sú relevantné pre hrozby, ktoré nesúvisia s prítomnosťou nezdokumentovaných (nehlásených) schopností v systéme a aplikačnom softvéri používanom v informačnom systéme.

Podľa informačných systémov osobných údajov opísaných v zákone o klasifikácii CD sú rozdelené na typické a špeciálne. Typické informačné systémy CDM, v ktorých sa vyžaduje iba PD dôvernosť. ŠPECIÁLNE HUSTOTY - Informačné systémy, v ktorých je okrem dôvernosti zabezpečiť aj jednu osobnostné zabezpečenie (integrita, dostupnosť).

Okrem toho, špeciálne systémy zahŕňajú všetky ševely, ktoré vyrába zdravotné údaje o zdraví predmetov a CDM, v ktorých sú rozhodovacie rozhodnutia poskytnuté pre subjekt na základe automatizovaného spracovania.

Väčšina existujúcich hustôt je výnimočná. Je to spôsobené tým, že okrem dôvernosti je tiež dôležité, aby boli PDN vždy k dispozícii na spracovanie sú prepojené a spoľahlivé. Pre všetky špeciálne systémy je potrebné vypracovať "súkromný model relevantných hrozieb".

Klasifikácia informačných systémov osobných údajov o štruktúre:

• Autonómny. Je to jedno automatizované pracovisko (počítač).
• Miestne. Automatizované pracovné miesta (zbrane) v kombinácii do miestnej siete.
• Distribuovaný. Automatizované pracoviská alebo miestne siete týkajúce sa technológií vzdialeného prístupu.

Podľa spracovania osobných údajov v systéme sú kľúče rozdelené do jedného používateľa a multiplayer. Jednorazové systémy sú zriedkavé. Dokonca aj jedna z autonómnej pracovnej stanice je aspoň dvaja ľudia (v prípade dovolenkovej a choroby) práce.

Klasifikácia multiplayerových kľúčov je rozdelená na:

• Bez vymedzenia prístupových práv. V takýchto systémoch majú všetci používatelia prístup k všetkým informáciám.
• S vymedzením prístupových práv. Každý užívateľ má prístup k prísne definovanej časti informácií v systéme.

Na mieste Caiden sú rozdelené.

"Rozpočtové organizácie: Účtovníctvo a zdanenie", 2009, N 12

Od 1. januára 2010 by mali byť informačné systémy osobných údajov vo všetkých organizáciách vrátane rozpočtových inštitúcií zosúladiť s požiadavkami zákona "o osobných údajoch"<1>. Tento zákon prijal niekoľko regulačných predpisov a v dôsledku toho existujú rôzne interpretácie povinností štátnych a komunálnych inštitúcií, pokiaľ ide o informačné systémy, ktoré sú v nich dostupné. Tento článok analyzuje ustanovenia súčasných právnych predpisov a pridelených požiadaviek potrebných na vykonávanie.

<1> Federálny zákon 27.07.2006 N 152-FZ.

Podľa čl. 1 zákona "o osobných údajoch" Tento federálny zákon upravuje vzťahy súvisiace so spracovaním osobných údajov vykonávaných federálnymi orgánmi štátu, štátne orgány ústavných subjektov Ruskej federácie, iných vládnych agentúr, miestnych orgánov, \\ t nie sú zahrnuté v systéme miestnych samospráv mestskými orgánmi, právnickými osobami a jednotlivcami využívajúcimi automatizačnými nástrojmi alebo bez použitia takýchto nástrojov, ak spracovanie osobných údajov bez použitia takýchto nástrojov spĺňa charakter opatrení (operácie) spáchaných Osobné údaje pomocou nástrojov automatizácie.

Takáto pozornosť pre otázky automatizácie spracovania osobných údajov zahŕňa potrebu splniť osobitné normy právnych predpisov týkajúcich sa využívania informačných technológií. Zároveň je potrebné starostlivo preskúmať regulačný rámec, ktorý možno v súčasnosti vykladať veľmi nejednoznačne, najmä pokiaľ ide o prezentáciu informačných systémov.

Koncepcia "informačného systému" v súčasnej legislatíve

V súlade s federálnym zákonom "o informáciách, informačných technológiách a ochrane informácií"<2> informačný systém - kombinácia informácií obsiahnutých v databázach a zabezpečenie spracovania informačných technológií a technických prostriedkov. Na základe tejto definície možno konštatovať, že neexistujú žiadne informačné systémy bez použitia počítačového vybavenia a príslušného softvéru.

<2> Federálny zákon z 27.07.2006 N 149-FZ.

Avšak v čl. 3 zákona "o osobných údajoch" zobrazuje širšiu definíciu informačný systém: Toto je kombinácia osobných údajov obsiahnutých v databáze, ako aj informačné technológie a technické prostriedky, ktoré umožňujú spracovanie takýchto osobných údajov pomocou nástrojov automatizácie alebo bez použitia týchto fondov.

Analyzujeme komponenty tejto definície, z ktorých definícia možno nájsť vo federálnom zákone "o informáciách, informačných technológiách a ochrane informácií, iných zákonov av regulačných aktoch vlády Ruskej federácie.

Pod databáza Je chápané ako kombinácia organizovaných vzájomne prepojených údajov o strojovo čitateľných médiách (dočasné predpisy o štátnom účtovníctve a registrácii databáz a dátových bánk<3>). V časti štvrtého Občianskeho zákonníka Ruskej federácie (odsek 2 odseku 2 čl. 1260) je však uvedená podrobnejšia definícia databáza: Toto je kombinácia nezávislých materiálov (článkov, osídlenia, predpisov, súdnych rozhodnutí a iných materiálov), systematizované tak, že tieto materiály možno nájsť a spracovať pomocou elektronického výpočtového stroja (počítače).

<3> Schválené vyhláškou vlády Ruskej federácie 28.02.1996 N 226.

Informačné technológie - procesy, metódy vyhľadávania, zhromažďovania, skladovania, spracovania, poskytovania, šírenia informácií a metód vykonávania takýchto procesov a metód (federálny zákon "o informáciách, informačných technológiách a ochrane informácií").

Pod technické prostriedkyPovolenie spracovania osobných údajov sa vzťahuje na prostriedky výpočtovej techniky, informačných a výpočtových komplexov a sietí, prostriedkov a systémov prenosu, recepcie a spracovania osobných údajov (prostriedok a zvukové záznamové systémy, zvuk, prehrávanie zvuku, vyjednávania a televíznych zariadení , Výrobné nástroje, replikácia dokumentov a iných technických prostriedkov spracovania hlasových, grafických, video a alfanumerických informácií), softvér (operačné systémy, databázové systémy a podobne), nástroje na informačné zabezpečenie používané v informačných systémoch (ustanovenie o zabezpečení bezpečnosti osobných údajov pri ich spracovaní v informačných systémoch osobných údajov<4>).

<4> Schválené vyhláškou vlády Ruskej federácie 11/17/2007 N 781.

Zloženie technických prostriedkov teda zahŕňa aj kopírovacie zariadenia a softvér, ale kľúčom v definícii informačného systému osobných údajov je koncepcia "databázy". Z tejto definície vyplýva, že spracovanie databázy sa vykonáva pomocou počítača (médium musí byť čitateľné). Ak sa spracovanie vykonáva bez použitia počítača a databázy (počítačovo čitateľné médiá), potom chýba informačný systém. Okrem toho, bez technických prostriedkov umožňujúcich spracovanie osobných údajov, databáza nemôže byť tiež rozpoznaná ako informačný systém. Okrem toho informačné systémy nie sú len súborom počítačového vybavenia a niektoré programy, ktoré spracúvajú informácie z databáz, môžu používať nástroje automatizácie a nesmú sa používať.

Čo je chápané pod prostriedkom automatizácie?

Existuje hľadisko podľa toho, podľa ktorého sa podľa používania automatizačných nástrojov znamená akékoľvek počítačové spracovanie alebo spracovanie s elektronickými zariadeniami. Ak je databáza uložená v počítači (napríklad v programe tabuľky alebo účtovníctva), alebo napríklad v zázname o mobilnom telefóne, je to už automatizované osobné spracovanie údajov a podlieha oznámeniu Roskomnadzororu. Okrem toho niektorí odborníci sa domnievajú, že spracovanie bez použitia automatizačných nástrojov možno vykonávať len na papieri (v časopisoch vyplnených z ruky, v rukopisných zoznamoch).

V súlade s časťou 3 umenia. 4 zákona "o osobných údajoch" Funkcie spracovania osobných údajov vykonaných bez použitia automatizačných nástrojov môžu byť stanovené federálnymi zákonmi a inými regulačnými právnymi aktmi Ruskej federácie, pričom sa zohľadnia ustanovenia tohto spolkového zákona.

Vyhláška vlády Ruskej federácie 15. septembra 2008 N 687 schválila nariadenie o vlastnostiach spracovania osobných údajov vykonaných bez použitia automatizačných nástrojov. Podľa bodu 1 tohto ustanovenia sa spracovanie osobných údajov obsiahnutých v informačnom systéme osobných údajov alebo extrahovaných z takéhoto systému (ďalej len "osobné údaje) považuje za implementáciu bez použitia automatizačných nástrojov (neautomatických), \\ t Ak sa takéto opatrenia s osobnými údajmi ako používanie, objasnenie, distribúcia, zničenie osobných údajov týkajúcich sa každého z tém osobných údajov vykonávajú s priamou účasťou osoby.

Osobitnú pozornosť venujeme skutočnosti, že v súlade s odsekom 2 ustanovení o znakoch spracovania osobných údajov vykonaných bez použitia nástrojov automatizácie nemožno spracovanie osobných údajov uznané použitím automatizačných nástrojov len na základe že sú obsiahnuté v informačnom systéme alebo boli extrahované z nej.

Možno teda uviesť, že z hľadiska definícií, ktoré sú k dispozícii v súčasnej legislatíve, môže prevažná väčšina informačných systémov v štátnych a komunálnych inštitúciách formálne považovať za vykonanú bez použitia nástrojov automatizácie (vrátane významnej časti účtovného softvéru). Koniec koncov, všetky tváre v týchto systémoch majú pravdu v príslušných oknách ručne. Ak chcete zničiť tvárové karty, musíte ich tiež zvýrazniť v zozname operátora a stlačiť špeciálny kľúč na odstránenie údajov. Dokonca aj archivácia vykonáva osobitný program, ktorý spúšťa osoba.

A tu sú rôzne programy na preformátovanie údajov (vrátane formátu účtovného programu vo formáte, napríklad programy dôchodkového fondu) a automatický vstup a ďalší prenos bez kontaktovania každého konkrétneho záznamu zamestnanca možno pripísať automatizovaným údajom spracovanie. Zároveň je neoddeliteľnou súčasťou takýchto programov spracovanie osobných údajov (vrátane mena, názvu, patronymického čísla dôchodkového certifikátu a podobne).

Zároveň, ak prevod údajov na iné programy (vrátane na účely daňového účtovníctva) nie je úplne automaticky vyrobené, as pomocou osoby, ktorá sa zúčastňuje na spracovaní osobných údajov, potom takéto spracovanie môže byť tiež uznané automatizované.

V tomto ohľade odporúčania Ruska uvedené v liste z 29.07.2009 N 17-110 "na zabezpečenie ochrany osobných údajov", majú skôr obmedzené použitie v praxi. S cieľom automatizovať spracovanie osobných údajov v ruských dotazníkoch sa odporúča dodatočne špecifikovať interné identifikačné číslo (osobný kód) predmetu osobných údajov pridelených na celú dobu tréningu alebo práce. To vám umožní hanbiť databázu, ak neobsahujú iné osobné údaje, a výrazne znižujú náklady na ochranu informácií.

Avšak, pre automatizáciu manažérskych činností v štátnej alebo obecnej inštitúcii, minimálne mená, mená zamestnancov, študentov, študentov, a tak ďalej, ako aj niekoľko ďalších osobných údajov (napríklad zamestnancov , informácie o ich príjmoch pre účtovné a daňové účty). Odvolanie na osobné kódy obsiahnuté v listoch (dotazníky), so zvyškom spracovania údajov pomocou softvéru sa bude zaoberať aspoň podivou, čím sa znižuje účinnosť zavedenia moderných informačných technológií. V tom istom čase, v závislosti od formy použitých dotazníkov, môžu byť uznané ako súčasť informačného systému (ako súčasť databázy), ktorá úplne zbaví význam dodatočného kódovania (takéto kódovanie je potrebné Prípad účelnosti údajov o početí, napríklad na štatistické štúdie).

Spracovanie osobných údajov bez použitia nástrojov automatizácie

Takže, ako je uvedené vyššie, napriek tomu, že sa upozorňuje na automatizáciu aktivít, vo väčšine prípadov sa spracovanie osobných údajov v štátnych a komunálnych inštitúciách vykonáva bez použitia nástrojov automatizácie (non-automaticky), a preto sa riadi predpismi o \\ t Vlastnosti spracovania osobných údajov vykonaných bez použitia nástrojov automatizácie<5>.

<5> Schválené vyhláškou vlády Ruskej federácie 15. septembra 2008 N 687.

Osoby, ktoré vykonávajú takéto spracovanie (vrátane zamestnancov prevádzkovateľa organizácie alebo osôb, ktoré pracujú v rámci zmluvy s prevádzkovateľom), by mali byť informované o skutočnosti spracovania osobných údajov bez použitia nástrojov automatizácie, kategórie spracovaných osobných údajov, ako aj na Vlastnosti a pravidlá implementácie takéhoto spracovania zriadeného regulačnými právnymi aktmi spolkových výkonných orgánov, výkonných orgánov ústavných subjektov Ruskej federácie a miestnych aktov vzdelávacej inštitúcie.

Osobné údaje, keď sa spracúvajú bez použitia automatizačných nástrojov, by mali byť oddelené od iných informácií, najmä tým, že ich upevnenie na jednotlivých nosičoch materiálu, v špeciálnych častiach alebo na foriem oblastí (formy).

Nedovoľuje fixáciu osobných údajov na jednom nosiči materiálu, ak je účel ich spracovania zjavne nezlučiteľný. V tomto prípade by sa mal pre každú kategóriu osobných údajov použiť samostatný nosič materiálu.

A preto spracovanie by sa malo vykonávať takým spôsobom, že v súvislosti s každou kategóriou osobných údajov: \\ t

• skladovacie miesta a zoznam osôb spracovania údajov buď majú prístup k nim;
• poskytol samostatné skladovanie osobných údajov (nosiče materiálu), ktorého spracovanie sa vykonáva na rôzne účely;
• dodržiavanie podmienok, ktoré zabezpečujú bezpečnosť osobných údajov a nevylučuje neoprávnený prístup k nim.

Zoznam opatrení potrebných na zabezpečenie takýchto podmienok, postup na ich prijatie, ako aj zoznam osôb zodpovedných za vykonávanie týchto opatrení stanovuje vzdelávacia inštitúcia v súlade s požiadavkami na regulačné právne akty o ochrane osobných údajov údajov.

Ak sú na účely spracovania osobných údajov zaznamenaných na jednom nosiči materiálov nekompatibility, ak neumožňuje ich spracovať oddelene od iných osobných údajov zaznamenaných na ten istý dopravca, musia sa prijať opatrenia na zabezpečenie samostatného spracovania, najmä: \\ t

• ak potrebujete použiť alebo šíriť určité osobné údaje oddelene od iných na rovnakom nosiči materiálu, môžete kopírovať údaje, ktoré majú byť distribuované alebo pomocou metódy, ktorá nezahŕňa súčasné kopírovanie údajov, ktoré sa majú distribuovať a používať, a používa sa (distribuovaný) a Kópia osobných údajov;
• ak potrebujete zničiť alebo blokovať časť osobných údajov, nosič materiálu je zničený alebo je zablokovaný predbežným kopírovaním informácií, ktoré nemajú byť zničené alebo blokovanie, spôsobom, ktorý vylučuje súčasné kopírovanie osobných údajov, ktoré sa majú zničiť alebo zablokovať.

Zničenie alebo vymazanie časti osobných údajov, ak je to povolené nositeľom materiálu, môže byť vykonaná metódou, ktorá eliminuje ďalšie spracovanie týchto osobných údajov, pričom sa zachová možnosť spracovania iných údajov zaznamenaných na nosiči materiálu (odstránenie, \\ t okresu).

Zvýšenie osobných údajov pri vykonávaní ich spracovania bez použitia automatizačných nástrojov sa vykonáva aktualizáciou alebo zmenenými údajmi o nosiči materiálu, a ak to nie je povolené technickými vlastnosťami nosiča materiálu - upevnením na rovnakom médiu Informácie o zmenách vykonaných v nich alebo výrobou nového nosiča materiálu s rafinovanými osobnými údajmi.

Spracovanie osobných údajov pomocou nástrojov automatizácie

Nariadenia o bezpečnosti osobných údajov, ak sú spracované v informačných systémoch osobných údajov, stanovuje požiadavky na zabezpečenie bezpečnosti osobných údajov pri spracovaní v informačných systémoch osobných údajov, ktoré sú kombináciou osobných údajov obsiahnutých v databázach, ako aj informácie Technológia a technické prostriedky.

Z odseku 1 tohto ustanovenia sa podľa termínu "informačné systémy" zohľadňujú len informačné systémy, že na spracovanie osobných údajov pomocou nástrojov automatizácie, preto informačné systémy, v ktorých sa spracovanie údajov vykonáva bez použitia nástrojov automatizácie, požiadaviek tejto pozície.

Ak je štát alebo obecná inštitúcia automatizované spracovanie osobných údajov, musia sa vykonať nasledujúce požiadavky.

Podľa ustanovenia o bezpečnosti osobných údajov pri spracovaní v informačných systémoch osobných údajov sa dosiahne bezpečnosť osobných údajov:

• elimináciou neoprávneného, \u200b\u200bvrátane náhodného prístupu k osobným údajom, ktorého výsledkom môže byť zničenie, zmena, blokovanie, kopírovanie, distribúciu osobných údajov;
• odstránením iných neoprávnených akcií.

Bezpečnosť osobných údajov, keď sú spracované v informačných systémoch osobné systémy ochrany údajovpočítajúc do toho:

• organizačné opatrenia;
• nástroje na informačné účely;
• informačné technológie.

Nástroje na bezpečnosť informácií zahŕňajú:

• Šifrovanie (kryptografické) prostriedky;
• prostriedkov na prevenciu neoprávneného prístupu;
• prostriedky na prevenciu úniku informácií na technických kanáloch;
• nástroje Prevencia softvéru a technických vplyvov na technické prostriedky spracovania osobných údajov.

Na zabezpečenie bezpečnosti osobných údajov, keď sú spracované v informačných systémoch, informácie o reči a informáciách spracovaných technickými prostriedkami, ako aj informácie uvedené vo forme informatívnych elektrických signálov, fyzických polí, nosičov na papieri, magnetické, magnetické a optické a iné.

Žiadosti o používateľov informačného systému pre osobné údaje, ako aj fakty poskytovania údajov o týchto požiadavkách by sa mali zaznamenať automatizovanými prostriedkami informačného systému v elektronickom časopise odvolania. Zároveň by mal obsah E-Journals of Appements pravidelne overiť príslušnými úradníkmi (zamestnancami) prevádzkovateľa alebo oprávnenej osoby.

Ak zistíte porušenie postupu na poskytovanie osobných údajov, prevádzkovateľ alebo oprávnená osoba okamžite pozastaví poskytovanie osobných údajov používateľom informačného systému pred identifikáciou a odstránením príčin porušovania.

Technický a softvér by mal byť spokojný s požiadavkami na ochranu informácií v súlade s právnymi predpismi Ruskej federácie. Zároveň sú metódy a metódy ochrany informácií v informačných systémoch zriadené federálnou službou pre technickú a vývoznú kontrolu (FSTEC) a federálnu bezpečnostnú službu (FSB) v rámci svojich právomocí.

Bezpečnosť osobných údajov Pri ich spracovaní v informačnom systéme poskytuje operátorovi alebo osobu, na ktorú na základe zmluvy prevádzkovateľ poveruje spracovanie osobných údajov. Osoby, ktorých prístup k osobným údajom spracovaným v informačnom systéme sú potrebné na splnenie úradných (pracovných) povinností, umožňujú príslušné osobné údaje na základe zoznamu schváleného prevádzkovateľom alebo oprávnenou osobou. Základnou podmienkou zmluvy je povinnosť oprávnenej osoby zabezpečiť dôvernosť a bezpečnosť osobných údajov, keď sa spracúvajú v informačnom systéme.

Nástroje na ochranu informácií používané v informačných systémoch sú predpísané spôsobom, ktorý prechádzajú postup posudzovania zhody. Výmena osobných údajov počas spracovania v informačných systémoch sa vykonáva prostredníctvom komunikačných kanálov, ktorých ochrana je zabezpečená vykonaním príslušných organizačných opatrení a (alebo) uplatňovaním technických prostriedkov.

Informačné systémy sú zároveň klasifikované vládnymi agentúrami, obecnými orgánmi, právnymi alebo jednotlivcami organizujúcimi a (alebo) spracovanie osobných údajov, ako aj definovanie cieľov a údržby spracovania osobných údajov v závislosti od objemu spracovaných osobných údajov a bezpečnosti ohrozenia životne dôležitých záujmov. Osobnosť, spoločnosť a štát.

Postup klasifikácie informačných systémov je vytvorený spoločne Federálna služba pre technickú a vývoznú kontrolu, federálnu bezpečnostnú službu a Ministerstvo informačných technológií a komunikácie. Takáto objednávka je určená príkazom FSTEC Ruska, FSB Ruska, Ministerstva oznámenia Ruska z 13.02.2008 č. 55/86/20.

Okrem toho sú uvedené požiadavky na priestory a ich ochrana. Podľa odseku 8 poskytovania bezpečnosti osobných údajov, pri spracovaní v informačných systémoch osobných údajov, by umiestnenie informačných systémov, špeciálnych zariadení a ochrany priestorov, ktoré pracujú s osobnými údajmi, organizovanie bezpečnostného režimu v týchto priestoroch Zabezpečiť bezpečnosť nosičov osobných údajov a nástrojov na ochranu informácií, ako aj vylúčiť možnosť nekontrolovaného prieniku alebo pobytu v týchto priestoroch neoprávnených osôb.

Pre toto, štátne a obecné inštitúcie musia nadviazať dodatočný alarm v špecifikovaných miestnostiach, vo dverách - ďalšie zámky alebo kovové dvere.

Opatrenia na bezpečnosť osobných údajov, ak sú spracované v informačných systémoch, zahŕňajú:

a) určovanie hrozieb pre bezpečnosť osobných údajov pri ich spracovaní, vytvorenie modelu hrozby založeného na nich;

b) vývoj založený na modeli ohrozenia systému ochrany osobných údajov, ktorý zabezpečuje neutralizáciu zamýšľaných hrozieb s použitím metód a metód ochrany osobných údajov poskytnutých pre príslušnú triedu informačných systémov;

c) kontrola dostupnosti nástrojov na ochranu informácií na použitie so zostavovaním záverov o možnosti ich prevádzky;

d) inštalácia a uvedenie do prevádzky nástrojov informačnej bezpečnosti v súlade s prevádzkovou a technickou dokumentáciou;

e) školenie osôb pomocou nástrojov na ochranu informácií používaných v informačných systémoch, pravidlá pre prácu s nimi;

e) účtovanie uplatňovaných nástrojov na ochranu informácií, prevádzkovú a technickú dokumentáciu pre nich, dopravcov osobných údajov;

g) Účtovníctvo osôb prijatých na prácu s osobnými údajmi v informačnom systéme;

h) kontrolu nad dodržiavaním podmienok používania nástrojov informačnej bezpečnosti ustanovených v prevádzkovom a technickej dokumentácii;

i) Skúšobné a vypracovanie záverov o nesúlade s podmienkami skladovania osobných údajov ukladania údajov, využívanie nástrojov na bezpečnosť informácií, ktoré môžu znamenať porušenie dôvernosti osobných údajov alebo iných porušení, čo vedie k zníženiu úrovne ochrany osobných údajov vývoj a prijatie opatrení na zabránenie možným nebezpečným dôsledkom takýchto porušení;

k) opis systému ochrany osobných údajov.

Osoby, ktoré majú prístup k informačným základniam s osobnými údajmi o podpísaní záväzkov na nezverejnenie dôverných informácií (takáto povinnosť môžu byť zahrnuté do pracovnej zmluvy). Iba potom, čo ich vzdelávacia inštitúcia pripúšťa, či spracovávajú osobné údaje.

Pri spracovaní osobných údajov v informačnom systéme musí byť poskytnutá vzdelávacia inštitúcia:

a) vykonávanie činností zameraných na zabránenie neoprávnenému prístupu k osobným údajom a (alebo) prevodu na ich osoby, ktoré nemajú prístup k takýmto informáciám;

b) včasná odhalenie neoprávneného prístupu k osobným údajom;

c) zabránenie vplyvu na technické prostriedky automatizovaného spracovania osobných údajov, v dôsledku čoho môže byť ich fungovanie rozbité;

d) možnosť okamžitého vymáhania osobných údajov, upravených alebo zničených kvôli neoprávnenému prístupu k nim;

e) neustále kontrola na zabezpečenie úrovne bezpečnosti osobných údajov.

Pre rozvoj a vykonávanie opatrení na zabezpečenie bezpečnosti osobných údajov, keď sa spracúvajú v informačnom systéme, musí byť pre prevádzkovateľovi pridelené štrukturálnu jednotku alebo úradník (zamestnanec) zodpovedný za zabezpečenie bezpečnosti osobných údajov, alebo autorizovaná osoba.

Mala by tiež venovať osobitnú pozornosť skutočnosti, že v súlade s odsekom 17 poskytovania bezpečnosti osobných údajov, ak sú spracované v informačných systémoch osobných údajov, vykonávanie požiadaviek na bezpečnosť informácií o bezpečnosti informácií pridelených svojim vývojárom.

Primeranosť opatrení prijatých na zabezpečenie bezpečnosti osobných údajov, keď sa spracúvajú v informačných systémoch, sa odhadujú počas štátnej kontroly a dohľadu.

Klasifikácia informačných systémov osobných údajov

Klasifikácia informačných systémov osobných údajov, ktoré umožňuje spracúvať tieto údaje pomocou nástrojov automatizácie, vykonáva vzdelávacia inštitúcia - prevádzkovateľ v súlade s postupom pre klasifikáciu informačných systémov osobných údajov<6> V závislosti od kategórie spracovaných údajov a ich množstiev.

<6> Schválené uznesením Ruska FSB Ruska, Mininformová komunikácia Ruska z 13.02.2008 N 55/86/20.

Nainštalujú sa nasledujúce štyri kategórie osobných údajov:

1. osobné údaje týkajúce sa rasovej, štátnej príslušnosti, politických názorov, náboženských a filozofických viery, zdravie, intímny život;
2. osobné údaje, ktoré vám umožní identifikovať predmet osobných údajov a získať viac informácií o tom, s výnimkou osobných údajov týkajúcich sa prvej kategórie;
3. osobné údaje, ktoré umožňujú identifikáciu predmetu osobných údajov;
4. dinflashované a (alebo) verejne dostupné osobné údaje.

Na ktorejkoľvek univerzite na verejne dostupných stánkoch nájdete rôzne zoznamy študentov vrátane kombinácie fi. Študent, kurz, skupiny, ktoré vám umožnia jednoznačne identifikovať študenta. Výsledkom je, že taká kombinácia osobných údajov ich núti pripisovať ich osobným údajom tretej kategórie; Súhlas študenta sa vyžaduje, aby sa tieto údaje umiestnili do verejne prístupného miesta.

Osobné zamestnanecké karty (F. T-2), osobný prípad študenta (študent) sa týka druhej kategórie, pretože tieto osobné údaje umožňujúce nielen identifikovať predmet osobných údajov, ale aj na získanie ďalších informácií o tom.

Osobné dátové systémy sú rozdelené na typické a špeciálne. Typ obsahuje systémy, ktoré vyžadujú len dôvernosť osobných údajov. Všetky ostatné systémy patria k špeciálnemu.

Špeciálne informačné systémy by mali zahŕňať aj:

• informačné systémy, v ktorých sa osobné údaje spracúvajú v súvislosti so zdravím subjektov osobných údajov;
• informačné systémy, ktoré zabezpečujú prijatie na základe výlučne automatizovaného spracovania riešení osobných údajov, ktoré vytvárajú právne dôsledky týkajúce sa predmetu osobných údajov alebo inak ovplyvňujúce svoje práva a oprávnené záujmy.

Na základe vyššie uvedenej klasifikácie je možné uviesť, že akékoľvek lekárske údaje, ako aj personálne záznamy obsahujúce počet "štátnej príslušnosti" (a tých, takmer všetky súčasné profily a osobné účty pre účtovníctvo v súčasnosti používaných), sa musia považovať za, prvej kategórie.

Podľa výsledkov analýzy dostupných údajov je typický informačný systém pridelený jednou zo štyroch tried uvedených v poradí klasifikácie informačných systémov osobných údajov.

Trieda špeciálneho informačného systému je určená na základe modelu hrozieb pre bezpečnosť osobných údajov založených na výsledkoch analýzy zdrojových údajov v súlade s metodickými dokumentmi FSTEC.

FSTEC vydal nasledujúce dokumenty DSP, ktoré možno získať len kontaktovaním tohto orgánu:

• Hlavné činnosti v oblasti organizácie a technickej podpory bezpečnosti osobných údajov spracúvaných v informačných systémoch osobných údajov, od 15. februára 2008;
• Základný model ohrozenia bezpečnosti osobných údajov pri spracovaní v informačných systémoch osobných údajov 15.02.2008;
• Metódy určenia aktuálnych hrozieb pre bezpečnosť osobných údajov, ak sú spracované v informačných systémoch osobných údajov 15.02.2008;
• Odporúčania na bezpečnosť osobných údajov pri spracovaní v informačných systémoch osobných údajov 15.02.2008.

Tieto metodické dokumenty obsahujú početné požiadavky, ktoré pre väčšinu štátnych alebo obecných inštitúcií sú mimoriadne ťažké z dôvodov organizačnej a finančnej povahy.

Vyhlásenie, certifikácia (certifikácia) a udeľovanie licencií na osobné ochrany údajov

Vo vyššie uvedených metodických dokumentoch FSTEC stanovuje nasledujúci postup na posúdenie zhody miery bezpečnosti informačných systémov podľa bezpečnostných požiadaviek: \\ t

• pre informačné systémy prvej a druhej triedy, súlad so stupňom bezpečnosti na bezpečnostné požiadavky sa stanoví prostredníctvom povinnej certifikácie (certifikácia);
• pre informačné systémy tretích tried potvrdzujú súlad s bezpečnostnými požiadavkami potvrdzujú certifikáciu (certifikácia) alebo (pri výbere prevádzkovateľa) vyhlásenia o zhode, ktorý vykonáva operátor osobných údajov;
• v prípade informačných systémov štvrtej triedy nie je posúdenie zhody regulované a vykonáva sa riešením prevádzkovateľa osobných údajov.

Vyhlásenie o zhode - Toto je potvrdenie o zhode vlastností informačného systému osobných údajov, požiadavky ustanovené zákonom, usmerneniami a regulačnými dokumentmi FSTEC a FSB.

Vyhlásenie o zhode sa môže vykonávať na základe vlastných dôkazov alebo dôkazov získaných s účasťou priťahovaných organizácií s potrebnými licenciami. Zoznam orgánov (organizácií) o certifikácii certifikačného systému na ochranu informácií o bezpečnostných požiadavkách informácií, v ktorých vzdelávacie inštitúcie a vzdelávacie inštitúcie, ktoré nemajú potrebných odborníkov a licencií, ako aj štátny register certifikovaných informácií Bezpečnostné nástroje uverejnené na webovej stránke FSTEC. Náklady na takéto postupy sú dostatočne veľké a merané stovkami tisíc rubľov.

V prípade vyhlásenia založeného na jeho vlastných dôkazoch prevádzkovateľ nezávisle vytvára súbor dokumentov, ako napríklad: technická dokumentácia, iné dokumenty a výsledky ich vlastných štúdií, ktoré slúžili ako motivovaný základ pre potvrdenie súladu informačného systému osobného údaje na všetky potrebné požiadavky na tretiu triedu.

Testy certifikácie (certifikácie) Sme vykonávať organizácie, ktoré majú potrebné licencie FSEC. Certifikácia zároveň chápe súbor opatrení na poskytovanie informačného systému v súlade s požiadavkami na bezpečnosť informácií príslušnej triede uvedenej v regulačných dokumentoch FSTEC.

Testy certifikácie (certifikácie) obsahujú analýzu informačných systémov, ktoré sú už dostupné na objekte informačných systémov, ako aj novo akceptované riešenia bezpečnosti informácií a zahŕňajú overenie:

• organizačné a režimové opatrenia na zabezpečenie ochrany informácií;
• ochrana informácií z únikov na technických kanáloch (Pamin);
• ochrana informácií pred neoprávneným prístupom.

Podľa výsledkov certifikačných testov sa rozhodne o vydávaní osvedčenia o zhode informačného systému do uvedenej triedy podľa bezpečnostných požiadaviek informácií. Osvedčenie sa vydáva na obdobie troch rokov.

Usmernenia FSTEC tiež zaviedli dodatočné požiadavky na licencie na ochranu osobných údajov. Bez dostupnosti príslušných licencií sú takéto udalosti možné len pre tretie a štvrté informačné informačné systémy.

Na vykonávanie bezpečnostných opatrení pre bezpečnosť osobných údajov pre špeciálne informačné systémy, systémy prvej a druhej triedy a distribuované (vrátane tých, ktoré sú pripojené k internetu) systémov tretích tried, sú povinní získať licenciu FSTEC pre technické Ochrana dôverných informácií.

Zákonnosť požiadaviek na vyhlásenie postupov, certifikácie (certifikácie) a udeľovanie licencií štátnymi a obecnými inštitúciami na základe metodických dokumentov FSTEK spôsobuje väčšie pochybnosti.

Predpisy o konaní o obehu s oficiálnymi informáciami o obmedzenej distribúcii vo federálnych výkonných orgánoch<7> (Doložka 1.2) odkazuje na informácie o poskytovaní služieb obmedzeného šírenia súvisiacich informácií týkajúcich sa činností organizácií, obmedzenia týkajúce sa distribúcie, ktoré sú diktované úradnou potrebou. Zriadenie zodpovednosti za licenčné činnosti organizácií nemožno uznať ako drevotriesk.

<7> Schválené vyhláškou vlády Ruskej federácie 03.11.1994 N 1233.

Zodpovednosti za udeľovanie licencií určité druhy činností vrátane technickej ochrany dôverných informácií sú určené federálnym zákonom "o licencovaní osobitných činností" \\ t<8>. Postup udeľovania licencií na technickú ochranu dôverných informácií vykonávaných právnymi subjektmi a individuálnymi podnikateľmi je určený vyhláškou vlády Ruskej federácie 15. augusta 2006 N 504.

<8> Federálny zákon 08.08.2001 N 128-FZ.

Ani nariadenia o udeľovaní licencií na činnosti technickej ochrany dôverných informácií, ani konanie o klasifikácii informačných systémov osobných údajov nepreukazujú povinnosti o udeľovaní licencií technickej ochrany dôverných informácií v závislosti od triedy informačného systému. Tieto požiadavky sú stanovené v dokumente DSP - hlavné činnosti pre organizáciu a technickú podporu PD spracovaného v APDI.

Rezerva na zabezpečenie bezpečnosti osobných údajov pri spracovaní v informačných systémoch osobných údajov určuje len to, že: \\ t

• nástroje na informačné zabezpečenie používané v informačných systémoch v predpísanom spôsobe prechádzajú postup na posudzovanie zhody (článok 5) - to znamená, že certifikácia nepodlieha prevádzkovateľovi, ale na prostriedky na informačnú bezpečnosť a jeho výrobcu tohto fondu (vrátane počítačový program na ochranu informácií);
• výsledky posudzovania zhody a (alebo) tematických štúdií prostriedkov na ochranu informácií určených na zabezpečenie bezpečnosti osobných údajov pri spracovaní informačných systémov sa hodnotia počas skúšky federálnou technickou a vývoznou kontrolnou službou a federálnou bezpečnostnou službou v rámci ich právomocí.

V súlade s časťou 3 umenia. 15 Ústava Ruskej federácie Všetky zákony, ako aj akékoľvek nariadenia, ktoré majú vplyv na práva, sloboda a zodpovednosť osoby a občana, musia byť oficiálne uverejnené pre univerzálne informácie, ktoré sú oznámené. Nepublikované regulačné právne akty sa neuplatňujú, nezaznamenávajú právne dôsledky, ktoré neboli nadobudnuté platné.

Od 15. mája 1992 bola vyhláška vlády Ruskej federácie 08.05.1992 N 305 "o štátnej registrácii regulačných aktov rezortov" zaviedla štátnu registráciu regulačných aktov ministerstiev a oddelení, ktoré ovplyvňujú práva a záujmy občanov a nosenie interdepartmentálneho charakteru.

Otázky štátnej registrácie a nadobudnutia účinnosti regulačných právnych aktov rezortu sú upravené vyhláškou predsedu Ruskej federácie N 763<9> a vyhláška vlády Ruskej federácie n 1009<10>.

<9> Vyhláška predsedu Ruskej federácie 05.23.1996 N 763 "o postupe publikovania a nadobudnutia účinnosti aktov predsedu Ruskej federácie, vlády Ruskej federácie a regulačných právnych aktov federálnych výkonných orgánov ".
<10> Vyhláška vlády Ruskej federácie 13. augusta 19977 N 1009 "o schválení pravidiel na prípravu regulačných právnych aktov federálnych výkonných orgánov a ich štátnej registrácie."

Podľa odseku 10 pravidiel na prípravu regulačných právnych aktov federálnych výkonných orgánov a ich štátnej registrácie štátnej registrácie, regulačné právne akty, ktoré majú vplyv na práva, slobody a povinnosti osoby a občana, ktoré stanovujú právne postavenie organizácií, ktoré mať medzirezortný charakter bez ohľadu na ich termín, vrátane aktov obsahujúcich informácie, ktoré tvoria štátne tajomstvá alebo dôverné informácie.

Štátna registrácia regulačných právnych aktov vykonáva Ministerstvo spravodlivosti, ktoré vedie štátny registra regulačných právnych aktov federálnych výkonných orgánov.

Štátna registrácia regulačného zákona zahŕňa: \\ t

• právne odborné znalosti súladu tohto zákona podľa právnych predpisov Ruskej federácie vrátane inšpekcie ustanovení v ňom prispieva k vytvoreniu podmienok pre prejav korupcie;
• rozhodnutie o potrebe štátnej registrácie tohto zákona;
• priradenie registračného čísla;
• pred Štátnym registrom regulačných právnych aktov spolkových výkonných orgánov.

Regulačné právne akty, ktoré majú vplyv na práva, slobody a povinnosti osoby a občana, ktorí stanovujú právne postavenie organizácií alebo s medzirezortnou povahou, podliehajú úradným zverejnením predpísaným spôsobom, s výnimkou aktov alebo jednotlivcov obsahujúcich informácie, ktoré tvoria štátne tajomstvá, alebo \\ t dôverné informácie,

Zákon uznaný ministerstvom núdzového registra nemusí byť uverejnený spôsobom, ktorý určí Spolkový orgán výkonného orgánu schváleného zákonom. Postup nadobudnutia účinnosti tohto zákona je zároveň určený Federálnym výkonným orgánom, uverejnený.

Podľa autora, štátnych a komunálnych inštitúcií, ktoré vykonávajú automatizované spracovanie osobných údajov, v prípade požiadaviek na získanie licencií, vykonávacieho vyhlásenia alebo certifikácie (certifikácie), môžu odvolať takéto požiadavky na súde (najmä v prípade, ak sa finančné prostriedky používajú na ochranu Osobné údaje už boli certifikované svoj výrobca).

A.VULEMSKY

riaditeľ

NIZHNY NOVGOROD Central Center

ekonomické vzdelávanie