Kişisel verileri işleyen bilgi sistemlerinin bağlantısı. Ispdn ciddi. Erişim hakları farklılaştırma modu

02.05.2019

Kayıt N 11462

Kişisel verilerin işlenmesi sırasında güvenliğinin sağlanmasına ilişkin Yönetmelik'in 6. maddesi uyarınca; bilgi sistemi ah hükümet tarafından onaylanan kişisel veriler Rusya Federasyonu 17 Kasım 2007 tarihli N 781 "Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğinin sağlanmasına ilişkin Yönetmeliğin onaylanması üzerine" (Rusya Federasyonu Toplu Mevzuatı, 2007, N 48, bölüm II, md. 6001), sipariş ediyoruz:

Kişisel veri bilgi sistemlerini sınıflandırmak için ekli prosedürü onaylayın.

Müdür

Federal Hizmet

teknik ve ihracat kontrolü için

S. Grigorov

Federal Güvenlik Servisi Direktörü

Rusya Federasyonu

N. Patruşev

Bakan Bilişim Teknolojileri ve Rusya Federasyonu'nun iletişimi

L.Reiman

Kişisel veri bilgi sistemlerini sınıflandırma prosedürü

1. Bu Prosedür, veri tabanlarında yer alan bir dizi kişisel veri olan kişisel veri bilgi sistemleri ile bilgi teknolojileri ve teknik araçlar bu tür kişisel verilerin otomasyon araçları (bundan sonra bilgi sistemleri olarak anılacaktır) kullanılarak işlenmesine izin veren.

2. Bilgi sistemlerinin sınıflandırılması yapılır devlet organları, belediye yetkilileri, yasal ve bireyler kişisel verilerin işlenmesini organize etmek ve (veya) yürütmek ve ayrıca kişisel verilerin işlenmesinin amaçlarını ve içeriğini belirlemek (bundan sonra operatör olarak anılacaktır)2.

3. Bilgi sistemlerinin sınıflandırılması, bilgi sistemlerinin oluşturulması aşamasında veya işletimleri sırasında (önceden işletmeye alınmış ve (veya) modernleştirilmiş bilgi sistemleri için) güvenliği sağlamak için gerekli bilgileri koruma yöntemlerini ve araçlarını oluşturmak amacıyla gerçekleştirilir. kişisel veriler.

4. Bilgi sistemlerinin sınıflandırılması aşağıdaki adımları içerir:

bilgi sistemindeki ilk verilerin toplanması ve analizi:

uygun sınıfın bilgi sistemine atanması ve dokümantasyonu.

5. Bir bilgi sistemini sınıflandırırken, aşağıdaki ilk veriler dikkate alınır:

işlenen kişisel veri hacmi (kişisel verileri bilgi sisteminde işlenen kişisel veri konularının sayısı) - X npd;

işletmeci tarafından belirtilen bilgi sisteminde işlenen kişisel verilerin güvenlik özellikleri;

bilgi sisteminin yapısı;

kamu iletişim ağlarına ve (veya) uluslararası ağlara bilgi sistemi bağlantılarının mevcudiyeti bilgi değişimi;

kişisel verileri işleme şekli;

bilgi sistemi kullanıcılarının erişim haklarının farklılaşma modu;

bilgi sisteminin teknik araçlarının yeri.

6. Bilgi sisteminde (X pd) işlenen aşağıdaki kişisel veri kategorileri tanımlanmıştır:

7. Х npd aşağıdaki değerleri alabilir:

1 - bilgi sistemi, Rusya Federasyonu'nun veya bir bütün olarak Rusya Federasyonu'nun kurucu bir kuruluşu içindeki 100.000'den fazla kişisel veri konusunun kişisel verilerini veya kişisel veri konularının kişisel verilerini aynı anda işler;

2 - bilgi sistemi aynı anda 1.000 ila 100.000 kişisel veri konusunun kişisel verilerini veya Rusya Federasyonu ekonomisi sektöründe çalışan kişisel veri konularının kişisel verilerini bir belediyede ikamet eden bir kamu kurumunda işler;

3 - bilgi sistemi, belirli bir kuruluştaki 1000'den az kişisel veri konusunun verilerini veya kişisel veri konularının kişisel verilerini aynı anda işler.

8. Tarafından verilen operatör bilgi sisteminde işlenen kişisel verilerin güvenliğinin özellikleri, bilgi sistemleri standart ve özel bilgi sistemleri olmak üzere ikiye ayrılmaktadır.

Tipik bilgi sistemleri, yalnızca kişisel verilerin gizliliğini gerektiren bilgi sistemleridir.

Özel bilgi sistemleri, kişisel verilerin gizliliğini sağlama ihtiyacından bağımsız olarak, kişisel verilerin gizlilik dışındaki güvenlik özelliklerinden en az birinin (yok edilmeye karşı korunma, değiştirilme, bloke edilme gibi) sağlanmasının zorunlu olduğu bilgi sistemleridir. diğer yetkisiz eylemler gibi).

Özel bilgi sistemleri şunları içermelidir:

kişisel veri sahiplerinin sağlık durumuna ilişkin kişisel verilerin işlendiği bilgi sistemleri;

Kişisel verilerin münhasıran otomatik olarak işlenmesi temelinde, kişisel verilerin konusuyla ilgili olarak yasal sonuçlara yol açan veya haklarını ve meşru menfaatlerini başka şekilde etkileyen kararların alınmasını sağlayan bilgi sistemleri.

9. Yapıya göre bilgi sistemleri aşağıdakilere ayrılır:

kişisel verilerin işlenmesi için tasarlanmış özerk (diğer bilgi sistemlerine bağlı olmayan) donanım ve yazılım komplekslerine (otomatik iş istasyonları);

teknoloji kullanılmadan iletişim yoluyla tek bir bilgi sisteminde birleştirilen otomatik iş yeri komplekslerinde uzaktan erişim(yerel bilgi sistemleri);

uzaktan erişim teknolojisi (dağıtılmış bilgi sistemleri) kullanılarak iletişim yoluyla tek bir bilgi sisteminde birleştirilen otomatik işyerleri ve (veya) yerel bilgi sistemleri kompleksleri hakkında.

10. Kamusal iletişim ağlarına ve (veya) uluslararası bilgi alışverişi ağlarına bağlantıların mevcudiyetine göre, bilgi sistemleri bağlantıları olan sistemler ve bağlantısı olmayan sistemler olarak ikiye ayrılır.

11. Bilgi sisteminde kişisel verilerin işlenme şekline göre bilgi sistemleri tek kullanıcılı ve çok kullanıcılı olmak üzere ikiye ayrılır.

12. Kullanıcı erişim haklarının sınırlandırılmasına göre, bilgi sistemleri, erişim hakları sınırlandırılmamış sistemler ve erişim hakları sınırlandırılmış sistemler olarak ikiye ayrılır.

13. Bilgi sistemleri, teknik araçlarının konumuna bağlı olarak, tüm teknik araçları Rusya Federasyonu içinde bulunan sistemlere ve teknik araçları kısmen veya tamamen Rusya Federasyonu dışında bulunan sistemlere bölünmüştür.

14. İlk verilerin analizinin sonuçlarına dayanarak, tipik bir bilgi sistemine aşağıdaki sınıflardan biri atanır:

sınıf 1 (K1) - işlenen kişisel verilerin belirli bir güvenlik özelliğinin ihlalinin kişisel veri sahipleri için önemli olumsuz sonuçlara yol açabileceği bilgi sistemleri;

sınıf 2 (K2) - işlenen kişisel verilerin belirli bir güvenlik özelliğinin ihlalinin kişisel veri sahipleri için olumsuz sonuçlara yol açabileceği bilgi sistemleri;

sınıf 3 (K3) - işlenen kişisel verilerin belirli bir güvenlik özelliğinin ihlalinin kişisel veri sahipleri için küçük olumsuz sonuçlara yol açabileceği bilgi sistemleri;

sınıf 4 (K4) - işlenen kişisel verilerin belirli bir güvenlik özelliğinin ihlalinin kişisel veri sahipleri için olumsuz sonuçlara yol açmadığı bilgi sistemleri.

15. Tipik bir bilgi sisteminin sınıfı tabloya göre belirlenir.

16. İlk verilerin analizinin sonuçlarına dayanarak, özel bir bilgi sisteminin sınıfı, kişisel verilerin güvenliğine yönelik bir tehdit modeli temelinde belirlenir. metodolojik belgeler, 17 Kasım 2007 tarihli Rusya Federasyonu Hükümeti Kararnamesi'nin 2. paragrafı uyarınca geliştirilen N 781 "Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğinin sağlanmasına ilişkin Yönetmeliğin onaylanması üzerine"3.

17. Bilgi sistemi içerisinde her biri bir bilgi sistemi olan alt sistemlerin tahsis edilmesi durumunda, bilgi sistemine bir bütün olarak alt sistemlerinin en üst sınıfına karşılık gelen bir sınıf atanır.

18. Bilgi sistemlerinin sınıflandırılmasının sonuçları, işleticinin ilgili kanunu ile belgelenir.

19. Bilgi sisteminin sınıfı revize edilebilir:

belirli bir bilgi sistemindeki özellikleri ve (veya) değişiklikleri dikkate alarak, kişisel verilerin güvenliğine yönelik tehditlerin analizi ve değerlendirmesi temelinde operatörün kararı ile;

bilgi sisteminde işlenmesi sırasında kişisel verilerin güvenliğini sağlamak için gerekliliklere uygunluğu kontrol etmeye yönelik önlemlerin sonuçlarına dayanarak.

1 17 Kasım 2007 tarihli Rusya Federasyonu Hükümeti Kararnamesi ile onaylanan kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğinin sağlanmasına ilişkin Yönetmeliğin 1. maddesinin birinci fıkrası

N 781 (Sobraniye zakonodatelstva Rossiyskoy Federatsii, 2007, N 48, bölüm II,

2Yönetmeliğin 6. paragrafının birinci paragrafı.

3Sobranie zakonodatelstva Rossiyskoy Federatsii 2007, N 48, bölüm II,Sanat. 6001.

"Kamu kuruluşları: muhasebe ve vergilendirme", 2009, N 12

1 Ocak 2010 tarihinden itibaren, bütçe kurumları da dahil olmak üzere tüm kuruluşlardaki kişisel veri bilgi sistemlerinin "Kişisel Veriler Hakkında Kanun" gerekliliklerine uygun hale getirilmesi gerekmektedir.<1>. Bu Kanuna bir takım tüzükler çıkarılmış ve bunun sonucunda devlet ve belediye kurumlarının sahip oldukları bilgi sistemlerine ilişkin görevleri artık farklı yorumlanmıştır. Bu makale, mevcut mevzuat hükümlerini analiz etmekte ve yerine getirilmesi gereken gereklilikleri vurgulamaktadır.

<1>27 Temmuz 2006 tarihli 152-FZ sayılı Federal Kanun.

Sanata göre. "Kişisel Veriler Üzerine" Kanununun 1'i, bu Federal Kanun, federal devlet makamları, Rusya Federasyonu'nun kurucu kuruluşlarının devlet makamları, diğer devlet organları, yerel yönetimler, belediye organları tarafından yürütülen kişisel verilerin işlenmesi ile ilgili ilişkileri düzenler. otomasyon araçlarını kullanan veya bu araçları kullanmayan yerel yönetimler, tüzel kişiler ve bireylerin, kişisel verilerin bu araçları kullanmadan işlenmesinin, otomasyon araçları kullanılarak kişisel verilerle gerçekleştirilen eylemlerin (işlemlerin) niteliğine uygun olması durumunda, sistemin bir parçası değildir. .

Kişisel verilerin işlenmesinin otomatikleştirilmesi konularına bu kadar dikkat edilmesi, bilgi teknolojisinin kullanımına ilişkin özel mevzuata uyulmasını gerektirir. Aynı zamanda, özellikle bilgi sistemleri için gereksinimlerin sunulması açısından şu anda çok belirsiz olarak yorumlanabilen düzenleyici çerçeveyi dikkatli bir şekilde incelemek gerekir.

Mevcut mevzuatta "bilgi sistemi" kavramı

"Bilgi, Bilgi Teknolojileri ve Bilgi Koruma" Federal Yasası uyarınca<2> Bilgi sistemi- veritabanlarında ve bilgi teknolojilerinde bulunan bir dizi bilgi ve işlenmesini sağlayan teknik araçlar. Bu tanıma dayanarak, kullanılmayan bilgi sistemlerinin olmadığı sonucuna varabiliriz. bilgisayar Teknolojisi ve ilgili yazılımlar.

<2>27 Temmuz 2006 tarihli 149-FZ sayılı Federal Kanun.

Ancak, Sanatta. "Kişisel Veriler Hakkında Kanun"un 3. bilgi sistemi: bu, veri tabanında yer alan bir dizi kişisel veri ile bu tür kişisel verilerin işlenmesine izin veren bilgi teknolojileri ve teknik araçlardır. otomasyon araçlarının kullanımı ile veya bu tür araçların kullanılmaması.

Tanımları "Bilgi, Bilgi Teknolojileri ve Bilginin Korunması Hakkında Federal Kanun", Rusya Federasyonu Hükümeti'nin diğer yasa ve düzenlemelerinde bulunabilecek bu tanımın bileşenlerini inceleyelim.

Altında veri tabanı makine tarafından okunabilen ortamlarda bir dizi organize birbirine bağlı veri olarak anlaşılmaktadır (Devlet muhasebesi ve veritabanlarının ve veri bankalarının kaydı hakkında geçici düzenleme<3>). Ancak, Rusya Federasyonu Medeni Kanunu'nun dördüncü bölümünde (paragraf 2, fıkra 2, madde 1260), daha ayrıntılı bir tanım verilmiştir. Veri tabanı: bu, nesnel bir biçimde (makaleler, hesaplamalar, düzenlemeler, mahkeme kararları ve diğer benzer materyaller) sunulan, bu materyallerin elektronik olarak bulunabileceği ve işlenebileceği şekilde sistematik hale getirilmiş bir dizi bağımsız materyaldir. bilgisayar(BİLGİSAYAR).

<3>28 Şubat 1996 N 226 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile onaylanmıştır.

Bilgi Teknolojisi- süreçler, araştırma, toplama, depolama, işleme, sağlama, yayma yöntemleri ve bu tür süreç ve yöntemlerin uygulanmasına yönelik yöntemler ("Bilgi, Bilgi Teknolojileri ve Bilginin Korunması Hakkında Federal Kanun").

Altında teknik araçlar kişisel verilerin işlenmesine izin veren araçlar olarak anlaşılmaktadır. bilgisayar Bilimi bilgi ve bilgisayar kompleksleri ve ağları, kişisel verilerin iletilmesi, alınması ve işlenmesi için araçlar ve sistemler (ses kaydı, ses yükseltme, ses çoğaltma, müzakere ve televizyon cihazları, üretim araçları, belgelerin kopyalanması ve konuşma, grafik, video ve alfanümerik bilgilerin işlenmesi için diğer teknik araçlar), yazılım (İşletim sistemleri, veri tabanı yönetim sistemleri vb.), bilgi sistemlerinde kullanılan bilgi güvenliği araçları (Kişisel verilerin kişisel veri bilgi sistemlerinde işlenmesi sırasında güvenliğinin sağlanmasına ilişkin yönetmelik)<4>).

<4>17 Kasım 2007 N 781 Rusya Federasyonu Hükümeti Kararnamesi ile onaylanmıştır.

Bu nedenle, teknik araçların bileşimi hem kopyalayıcıları hem de yazılımı içerir, ancak "veritabanı" kavramı, kişisel verilerin bilgi sistemini belirlemede anahtardır. Bu tanımdan, veritabanının işlenmesinin bir bilgisayar yardımıyla gerçekleştirildiği sonucu çıkar (medya makine tarafından okunabilir olmalıdır). İşleme bir bilgisayar ve bir veritabanı (makine tarafından okunabilir ortam) kullanılmadan gerçekleştirilirse, resmi olarak bir bilgi sistemi yoktur. Ayrıca, kişisel verilerin işlenmesine izin veren teknik araçlar olmadan, veri tabanı da bir bilgi sistemi olarak kabul edilemez. Ayrıca bilgi sistemleri, sadece bilgisayar donanımları ve veritabanlarından gelen bilgileri işleyen bazı programların birleşimi değildir, otomasyon araçlarını kullanabilir veya kullanmayabilir.

Otomasyon araçları ile ne kastedilmektedir?

Otomasyon kullanımının, herhangi bir bilgisayar işlemesi veya kullanımı anlamına geldiğine göre bir bakış açısı vardır. elektronik aletler. Veritabanı bir bilgisayarda depolanıyorsa (örneğin, elektronik tablo veya muhasebe programı) veya örneğin not defteri cep telefonu, o zaman bu zaten kişisel verilerin otomatik olarak işlenmesidir ve Roskomnadzor tarafından bildirime tabidir. Ek olarak, bazı uzmanlar otomasyon araçları kullanılmadan işlemenin yalnızca kağıt üzerinde gerçekleştirilebileceğine inanmaktadır (el ile doldurulan dergilerde, el yazısı listelerde).

Sanatın 3. Bölümü uyarınca. "Kişisel Veriler Üzerine" Kanunun 4'ü, otomasyon araçları kullanılmadan gerçekleştirilen kişisel verilerin işlenmesinin özellikleri, bu hükümlere tabi olarak federal yasalar ve Rusya Federasyonu'nun diğer düzenleyici yasal düzenlemeleri tarafından belirlenebilir. Federal yasa.

15 Eylül 2008 tarihli Rusya Federasyonu Hükümeti Kararnamesi N 687, otomasyon araçları kullanılmadan gerçekleştirilen kişisel verilerin işlenmesinin özelliklerine ilişkin Yönetmeliği onayladı. Söz konusu Yönetmeliğin 1. maddesine göre, kişisel verilerin bilgi sisteminde yer alan veya bu tür bir sistemden çıkarılan kişisel verilerin (bundan sonra kişisel veriler olarak anılacaktır) işlenmesi, otomasyon araçları (otomatik olmayan) kullanılmadan gerçekleştirildiği kabul edilir. ), kişisel verilerin konularının her biri ile ilgili kişisel verilerin kullanımı, açıklığa kavuşturulması, dağıtılması, imhası gibi kişisel verilerle ilgili eylemler, bir kişinin doğrudan katılımıyla gerçekleştirilirse.

Otomasyon araçları kullanılmadan gerçekleştirilen kişisel verilerin işlenmesinin özelliklerine ilişkin Yönetmeliğin 2. paragrafı uyarınca, kişisel verilerin işlenmesinin otomasyon araçları kullanılarak gerçekleştirildiği kabul edilemeyeceğine özellikle dikkat edelim. sadece bilgi sisteminde yer aldıkları veya ondan alınmış oldukları gerekçesiyle.

Bu nedenle, mevcut mevzuatta yer alan tanımlar açısından, devlet ve belediye kurumlarındaki bilgi sistemlerinin büyük çoğunluğunun, otomasyon araçları kullanılmadan (önemli bir kısmı dahil olmak üzere) resmen uygulanmış sayılabileceği ifade edilebilir. Muhasebe yazılımı). Sonuçta, bu sistemlerdeki tüm yüz kartları ilgili pencerelerde manuel olarak düzenlenir. Yüz kartları yok etmek için, bunları operatör tarafından listeden seçip verileri silmek için özel bir tuşa basmak da gereklidir. Arşivleme bile yapılıyor özel program, bir kişi tarafından başlatılan.

Fakat çeşitli programlar, verileri yeniden biçimlendirmenize olanak tanır (biçim muhasebe programı biçimi, örneğin Emeklilik Fonu programları) ve bunları uygulamak otomatik giriş ve her bir özel çalışan kaydına atıfta bulunulmadan daha fazla aktarım, otomatikleştirilmiş veri işlemeye atfedilebilir. Aynı zamanda, kişisel verilerin (soyadı, adı, soyadı, emeklilik sertifikası numarası vb. dahil) işlenmesi bu tür programların ayrılmaz bir parçasıdır.

Aynı zamanda, verilerin başka programlara aktarılması (vergi muhasebesi amaçları dahil) tamamen otomatik olarak değil, kişisel verilerin işlenmesinde yer alan bir kişinin yardımıyla gerçekleştirilirse, bu tür işlemler otomatik olarak kabul edilemez. .

Bu bağlamda, Federal Eğitim Ajansı'nın 29 Temmuz 2009 tarihli N 17-110 "Kişisel Verilerin Korunmasının Sağlanması Hakkında" Mektubunda belirtilen tavsiyelerinin pratikte oldukça sınırlı bir uygulaması vardır. Anketlerdeki kişisel verilerin işlenmesini otomatikleştirmek için, Rosobrazovanie'nin ayrıca dahili bilgileri belirtmesi tavsiye edilir. kimlik numarası(kişisel kod), tüm çalışma veya çalışma süresi için atanan kişisel verilerin konusunun. Bu, başka kişisel veriler içermiyorlarsa veritabanlarını kişiselleştirmeyi mümkün kılar ve bilgi koruma maliyetini önemli ölçüde azaltır.

Bununla birlikte, bir devlet veya belediye kurumundaki yönetim faaliyetlerini otomatikleştirmek için, en azından soyadları, adları, çalışanların, öğrencilerin, öğrencilerin vb. muhasebe ve vergi amaçlı gelirleri hakkında bilgi). itiraz kişisel kodlar broşürlerde (anketlerde) bulunan, yazılım kullanan veri işlemenin geri kalanı en azından garip görünecek ve modern bilgi teknolojilerinin tanıtımının etkinliğini azaltacaktır. Aynı zamanda, kullanılan anketlerin biçimine bağlı olarak, bilgi sisteminin bir parçası olarak kabul edilebilirler (olduğu gibi). ayrılmaz parça veritabanları), ek kodlamanın anlamını tamamen ortadan kaldıracak (bu tür kodlama, örneğin istatistiksel araştırmalar için verilerin kişiselleştirilmesi uygunsa gereklidir).

Otomasyon araçları kullanılmadan kişisel verilerin işlenmesi

Bu nedenle, yukarıda tartışıldığı gibi, faaliyetlerin bilgisayarlaştırılmasına rağmen, çoğu durumda, kişisel verilerin devlet ve belediye kurumlarında işlenmesi, otomasyon araçları kullanılmadan (otomatik olmayan) gerçekleştirilir ve buna göre, Yönetmelik ile düzenlenir. otomasyon araçları kullanılmadan gerçekleştirilen kişisel verilerin işlenmesinin özellikleri.<5>.

<5>15 Eylül 2008 N 687 Rusya Federasyonu Hükümeti Kararnamesi ile onaylanmıştır.

Bu tür işlemeyi gerçekleştiren kişiler (işletmeci kuruluşun çalışanları veya işletmeci ile bir sözleşme kapsamında çalışan kişiler dahil), kişisel verileri otomasyon araçları kullanılmadan işledikleri, işlenen kişisel verilerin kategorileri, olduğu gibi, bilgilendirilmelidir. federal yürütme makamlarının düzenleyici yasal düzenlemeleri, Rusya Federasyonu'nun kurucu kuruluşlarının yürütme makamları ve bir eğitim kurumunun yerel düzenlemeleri tarafından oluşturulan bu tür işlemlerin uygulanmasına ilişkin özellikler ve kurallar.

Otomasyon araçları kullanılmadan gerçekleştirilen işlenmesi sırasındaki kişisel veriler, özellikle ayrı somut ortamlara, özel bölümlere veya form (form) alanlarına sabitlenerek diğer bilgilerden ayrılmalıdır.

Aynı zamanda, işlenme amaçları açıkça uyumsuzsa, kişisel verilerin bir malzeme taşıyıcısına sabitlenmesine izin verilmez. Bu durumda, her bir kişisel veri kategorisi için ayrı bir maddi taşıyıcı kullanılmalıdır.

Bu nedenle, işleme, her bir kişisel veri kategorisiyle ilgili olarak aşağıdakileri sağlayacak şekilde gerçekleştirilmelidir:

depolama yerleri belirlenir ve verileri işleyen veya bunlara erişimi olan kişilerin bir listesi oluşturulur;
işlenmesi çeşitli amaçlarla gerçekleştirilen kişisel verilerin (maddi medya) ayrı depolanması sağlanır;
kişisel verilerin güvenliğini sağlamak ve bunlara yetkisiz erişimi engellemek için koşullar yerine getirilir.

Bu koşulları sağlamak için gerekli önlemlerin listesi, kabul edilme prosedürü ve bu önlemlerin uygulanmasından sorumlu kişilerin listesi, eğitim kurumu tarafından çocukların korunmasına ilişkin düzenleyici yasal düzenlemelerin gereklerine uygun olarak belirlenir. kişisel veri.

Tek bir maddi ortama kaydedilen kişisel verilerin işlenme amaçlarının uyuşmaması durumunda, bunların aynı ortamda kaydedilen diğer kişisel verilerden ayrı olarak işlenmesine izin vermiyorsa, ayrı işlenmesini sağlamak için önlemler alınmalıdır, özellikle:

belirli kişisel verilerin aynı maddi ortamda bulunan diğerlerinden ayrı olarak kullanılması veya dağıtılması gerekiyorsa, dağıtılacak veya kullanılacak verilerin, dağıtım ve kullanıma tabi olmayan verilerin eş zamanlı kopyalanması hariç tutulacak şekilde kopyalanması ve kişisel verilerin bir kopyası kullanılır (dağıtılır);
kişisel verilerin bir kısmının yok edilmesi veya bloke edilmesi gerekiyorsa, söz konusu kişisel verilerin eşzamanlı olarak kopyalanmasını hariç tutacak şekilde, imha veya engellemeye tabi olmayan bilgilerin ön kopyalanması ile maddi taşıyıcı imha edilir veya engellenir. yok etme veya engelleme.

Kişisel verilerin bir kısmının yok edilmesi veya kişisel olmayan hale getirilmesi, eğer maddi bir ortam tarafından buna izin veriliyorsa, bu kişisel verilerin daha fazla işlenmesini hariç tutarken, maddi bir ortama kaydedilen diğer verilerin işlenme olasılığını muhafaza edecek şekilde gerçekleştirilebilir (silme). , karartma).

Kişisel verilerin otomasyon araçları kullanılmadan işlenmesi sırasında açıklığa kavuşturulması, verilerin somut bir ortamda güncellenmesi veya değiştirilmesi ve buna izin verilmemesi halinde gerçekleştirilir. teknik özellikler malzeme taşıyıcı - bunlarda yapılan değişiklikler hakkında aynı taşıyıcı bilgilerini sabitleyerek veya güncellenmiş kişisel verilerle yeni bir malzeme taşıyıcı üreterek.

Otomasyon araçları kullanılarak kişisel verilerin işlenmesi

Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğinin sağlanmasına ilişkin yönetmelik, kişisel verilerin veri tabanlarında yer alan kişisel veriler ile kişisel verilerin toplanması olan kişisel veri bilgi sistemlerinde işlenmesi sırasında güvenliğinin sağlanması için gerekli şartları belirlemektedir. teknolojiler ve teknik araçlar.

1. paragraftan aşağıdaki gibi bu Yönetmeliğin"Bilgi sistemleri" terimi, yalnızca kişisel verilerin otomasyon araçları kullanılarak işlenmesine izin veren bilgi sistemlerini ifade eder, bu nedenle bu Yönetmelik gereklilikleri, otomasyon araçları kullanılmadan veri işlemenin gerçekleştirildiği bilgi sistemleri için geçerli değildir.

Kişisel verilerin otomatik olarak işlenmesi bir eyalette veya belediye kurumunda gerçekleştirilirse, aşağıdaki gereksinimlerin karşılanması gerekir.

Kişisel verilerin bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğinin sağlanmasına ilişkin Yönetmelik uyarınca, kişisel verilerin güvenliği sağlanır:

kişisel verilerin imhası, değiştirilmesi, engellenmesi, kopyalanması, dağıtılması ile sonuçlanabilecek kişisel verilere kazara dahil olmak üzere yetkisiz erişimi hariç tutarak;
diğer yetkisiz eylemleri hariç tutarak.

Kişisel verilerin bilgi sistemlerinde işlenmesi sırasında güvenliği, kişisel veri koruma sistemleri içermek:

organizasyon önlemleri;
bilgi koruma araçları;
Bilgi Teknolojisi.

Bilgi güvenliği araçları şunları içerir:

şifreleme (kriptografik) araçlar;
yetkisiz erişimi önleme yolları;
bilgi sızıntısı önleme araçları teknik kanallar;
kişisel verilerin işlenmesine ilişkin teknik araçlar üzerindeki yazılım ve donanım etkilerini önleme yolları.

Kişisel verilerin bilgi sistemlerinde işlenmesi sırasında güvenliğini sağlamak, konuşma bilgilerinin ve teknik yollarla işlenen bilgilerin yanı sıra bilgilendirme şeklinde sunulan bilgilerin korunması elektrik sinyalleri, fiziksel alanlar, kağıt üzerindeki ortamlar, manyetik, manyeto-optik ve diğer temeller.

Bilgi sistemi kullanıcılarının kişisel veri elde etme talepleri ve bu taleplere ilişkin veri sağlama gerçekleri kaydedilmelidir. otomatik yollarla elektronik arama günlüğünde bilgi sistemi. Aynı zamanda içerik elektronik dergi talepler, işletmecinin ilgili yetkilileri (çalışanları) veya yetkili bir kişi tarafından periyodik olarak kontrol edilmelidir.

Kişisel veri sağlama prosedürünün ihlalleri bulunursa, operatör veya yetkili kişi, ihlal nedenleri belirlenip ortadan kaldırılıncaya kadar bilgi sistemi kullanıcılarına kişisel verilerin sağlanmasını derhal askıya alacaktır.

Donanım ve yazılım, Rusya Federasyonu mevzuatına uygun olarak belirlenen gereksinimleri karşılamalı ve bilgilerin korunmasını sağlamalıdır. Aynı zamanda, bilgi sistemlerinde bilgiyi koruma yöntemleri ve araçları belirlenir. Federal Hizmet yetkileri dahilinde teknik ve ihracat kontrolü (FSTEC) ve Federal Güvenlik Servisi (FSB) için.

Kişisel verilerin bilgi sisteminde işlenmesi sırasında güvenliği, operatör veya bir anlaşma temelinde operatörün kişisel verilerin işlenmesini emanet ettiği kişi tarafından sağlanır. Resmi (işçi) görevlerini yerine getirmek için bilgi sisteminde işlenen kişisel verilere erişimi gerekli olan kişilerin, ilgili kişisel verilere işletmeci veya yetkili bir kişi tarafından onaylanmış bir liste temelinde erişmelerine izin verilir. Sözleşmenin asli koşulu, yetkili kişinin kişisel verilerin bilgi sisteminde işlenmesi sırasında gizliliğini ve güvenliğini sağlama yükümlülüğüdür.

Bilgi sistemlerinde kullanılan bilgi güvenliği araçları, Vaktinden uygunluk değerlendirme sürecinden geçer. Bilgi sistemlerinde işlenmesi sırasında kişisel verilerin değişimi, korunması uygun kurumsal önlemlerin uygulanmasıyla ve (veya) teknik araçların kullanılmasıyla sağlanan iletişim kanalları aracılığıyla gerçekleştirilir.

Aynı zamanda, bilgi sistemleri, devlet organları, belediye organları, tüzel kişiler veya kişisel verileri organize eden ve (veya) işleyen kişiler ve ayrıca işlenen kişisel verilerin miktarına bağlı olarak kişisel verilerin işlenmesinin amaçlarını ve içeriğini belirleyen kişiler tarafından sınıflandırılır. bunlar tarafından ve bireyin, toplumun ve devletin hayati çıkarlarına yönelik güvenlik tehditleri.

Bilgi sistemlerini sınıflandırma prosedürü, Federal Teknik ve İhracat Kontrol Servisi, Federal Güvenlik Servisi ve Bilgi Teknolojileri ve İletişim Bakanlığı tarafından ortaklaşa belirlenir. Bu prosedür Sipariş tarafından belirlenir Rusya'nın FSTEC'i, Rusya FSB, Rusya Bilgi ve İletişim Bakanlığı 13 Şubat 2008 N 55/86/20 tarihli.

Ek olarak, tesisler ve bunların korunması için gereksinimler belirtilmiştir. Kişisel verilerin bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğinin sağlanmasına ilişkin Yönetmeliğin 8. paragrafına göre bilgi sistemlerinin yerleştirilmesi, özel teçhizat ve kişisel verilerin işlendiği tesislerin korunması, bu tesislerdeki güvenlik rejiminin organizasyonu, kişisel veri taşıyıcılarının ve bilgi güvenliği araçlarının güvenliğini sağlamalı ve bu tesislere kontrolsüz giriş veya kalma olasılığını dışlamalıdır. yabancılar.

Bunun için hükümet ve belediye kurumları belirtilen tesislerde, kapı girişlerinde ek alarmlar kurmalıdır - ek kilitler veya metal kapılar.

Kişisel verilerin bilgi sistemlerinde işlenmesi sırasında güvenliğini sağlamaya yönelik tedbirler şunları içerir:

a) Kişisel verilerin işlenmesi sırasında güvenliğine yönelik tehditlerin belirlenmesi, bunlara dayalı bir tehdit modelinin oluşturulması;

b) ilgili bilgi sistemleri sınıfı için sağlanan kişisel verileri koruma yöntemleri ve araçları kullanılarak iddia edilen tehditlerin etkisiz hale getirilmesini sağlayan bir kişisel veri koruma sisteminin tehdit modeline dayalı olarak geliştirilmesi;

c) çalışma olasılıkları hakkında sonuçlar çıkarmak için bilgi güvenliği araçlarının kullanıma hazır olup olmadığını kontrol etmek;

d) operasyonel ve teknik belgelere uygun olarak bilgi güvenliği araçlarının kurulumu ve devreye alınması;

e) bilgi sistemlerinde kullanılan bilgi güvenliği araçlarını kullanan kişilerin eğitimi, bunlarla çalışma kuralları;

f) kullanılan bilgi koruma araçlarını, onlar için operasyonel ve teknik belgeleri, kişisel veri taşıyıcılarını dikkate alarak;

g) kişisel verilerle çalışmak üzere kabul edilen kişilerin bilgi sistemine kaydı;

h) operasyonel ve teknik belgeler tarafından sağlanan bilgi güvenliği araçlarının kullanım koşullarına uygunluğun kontrolü;

i) kişisel veri taşıyıcılarının saklanmasına ilişkin koşullara uyulmaması, kişisel verilerin gizliliğinin ihlaline yol açabilecek bilgi güvenliği araçlarının kullanılması veya azalmaya yol açan diğer ihlallerin araştırılması ve sonuçların çıkarılması kişisel verilerin korunma düzeyi, bu tür ihlallerin olası tehlikeli sonuçlarını önlemek için önlemlerin geliştirilmesi ve benimsenmesi;

j) kişisel veri koruma sisteminin tanımı.

Erişimi olan kişiler bilgi tabanları kişisel verilerle, ifşa etmeme yükümlülüklerini imzalayın kesin bilgi(Bu tür bir yükümlülük iş sözleşmesine de konulabilir). Ancak bundan sonra eğitim kurumu kişisel verileri işlemelerine izin verir.

Bilgi sisteminde kişisel verileri işlerken, bir eğitim kurumu şunları sağlamalıdır:

a) kişisel verilere yetkisiz erişimi ve/veya bu bilgilere erişim hakkı olmayan kişilere aktarılmasını önlemeye yönelik tedbirler almak;

b) kişisel verilere yetkisiz erişim gerçeklerinin zamanında tespiti;

c) kişisel verilerin otomatik olarak işlenmesinin teknik araçları üzerindeki etkisinin önlenmesi, bunun sonucunda işlevlerinin kesintiye uğraması;

d) Yetkisiz erişim nedeniyle değiştirilen veya yok edilen kişisel verilerin derhal kurtarılması olasılığı;

e) sürekli kontrol kişisel verilerin koruma düzeyini sağlamak için.

Bilgi sisteminde işlenmesi sırasında kişisel verilerin güvenliğini sağlamaya yönelik tedbirlerin geliştirilmesi ve uygulanması için işletmeci veya yetkili kişi atayabilir. yapısal alt bölüm veya kişisel verilerin güvenliğini sağlamaktan sorumlu bir yetkili (çalışan).

Ayrıca, kişisel verilerin bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğinin sağlanmasına ilişkin Yönetmeliğin 17. maddesi uyarınca, bilgi güvenliği araçlarında bilgi güvenliğini sağlamaya yönelik gerekliliklerin uygulanmasının özel olarak dikkate alınması gerekmektedir. geliştiricilerine atanır.

yeterlilik Alınan tedbirler kişisel verilerin bilgi sistemlerinde işlenmesi sırasında güvenliğinin sağlanması, devlet denetimi ve denetimi sırasında değerlendirilir.

Kişisel veri bilgi sistemlerinin sınıflandırılması

Bu verilerin otomasyon araçları kullanılarak işlenmesine izin veren kişisel veri bilgi sistemlerinin sınıflandırılması, kişisel veri bilgi sistemlerinin sınıflandırılması Prosedürüne uygun olarak eğitim kurumu - işletmecisi tarafından gerçekleştirilir.<6>işlenmiş veri kategorisine ve miktarına bağlı olarak.

<6>Rusya FSTEC, Rusya FSB, Rusya Bilgi ve İletişim Bakanlığı'nın 13 Şubat 2008 N 55/86/20 tarihli Emri ile onaylanmıştır.

Aşağıdaki dört kişisel veri kategorisi oluşturulmuştur:

ırk, milliyet, siyasi görüş, dini ve felsefi inançlar, sağlık durumu, mahrem yaşamla ilgili kişisel veriler;
birinci kategoriye ait kişisel veriler hariç olmak üzere, kişisel verilerin konusunu belirlemenize ve onun hakkında ek bilgi edinmenize izin veren kişisel veriler;
kişisel verilerin konusunu belirlemeye izin veren kişisel veriler;
kişisel olmayan ve (veya) kamuya açık kişisel veriler.

Herhangi bir üniversitede, halka açık stantlarda, tam adların bir kombinasyonu da dahil olmak üzere çeşitli öğrenci listeleri bulabilirsiniz. Öğrenciyi benzersiz bir şekilde tanımlamanıza izin veren öğrenci, kurs, grup. Sonuç olarak, kişisel verilerin böyle bir bileşimi, onları üçüncü kategoride kişisel veri olarak sınıflandırılmaya zorlar; bu verileri halka açık bir yerde resmi olarak yayınlamak, öğrencinin onayını gerektirir.

Çalışanın kişisel kartı (T-2 formu), öğrencinin (öğrencinin) kişisel dosyası ikinci kategoriye aittir, çünkü bunlar yalnızca kişisel verilerin konusunu tanımlamaya değil, aynı zamanda ek elde etmeye izin veren kişisel verilerdir. onun hakkında bilgi.

Kişisel verilerin bilgi sistemleri standart ve özel olarak ikiye ayrılmaktadır. Tipik sistemler, yalnızca kişisel verilerin gizliliğinin gerekli olduğu sistemleri içerir. Diğer tüm sistemler özeldir.

Özel bilgi sistemleri ayrıca şunları içermelidir:

kişisel veri sahiplerinin sağlık durumuna ilişkin kişisel verilerin işlendiği bilgi sistemleri;
Kişisel verilerin münhasıran otomatik olarak işlenmesi temelinde, kişisel verilerin konusuyla ilgili olarak yasal sonuçlara yol açan veya haklarını ve meşru menfaatlerini başka şekilde etkileyen kararların alınmasını sağlayan bilgi sistemleri.

Yukarıdaki sınıflandırmaya dayanarak, herhangi bir tıbbi verinin yanı sıra "uyruk" sütununu içeren personel kayıtlarının (ve bunların hemen hemen tümü mevcut anketler ve kişisel çarşaflarşu anda kullanımda) ilk kategoriye atanmalıdır.

Mevcut verilerin analiz sonuçlarına göre, Kişisel Veri Bilgi Sistemlerinin Sınıflandırılması Prosedüründe belirtilen dört sınıftan biri tipik bir bilgi sistemine atanır.

Özel bir bilgi sisteminin sınıfı, FSTEC'in metodolojik belgelerine uygun olarak ilk verilerin analizinin sonuçlarına dayanan bir kişisel veri güvenliği tehdidi modeli temelinde belirlenir.

FSTEC, yalnızca bu kurumla iletişime geçilerek edinilebilecek aşağıdaki DSP belgelerini yayınlamıştır:

Organizasyonun ana faaliyetleri ve teknik Destek 15.02.2008 tarihli kişisel veri bilgi sistemlerinde işlenen kişisel verilerin güvenliği;
15 Şubat 2008 tarihli kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğine yönelik tehditlerin temel modeli;
15.02.2008 tarihli kişisel verilerin bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğine yönelik fiili tehditlerin belirlenmesine yönelik metodoloji;
15.02.2008 tarihli kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğinin sağlanmasına ilişkin öneriler.

Bu metodolojik belgeler, birçok devlet veya belediye kurumunun hem kurumsal hem de mali nitelikteki nedenlerle yerine getirmesi son derece zor olan çok sayıda gereklilik içermektedir.

Kişisel verilerin korunmasına yönelik faaliyetlerin beyanı, belgelendirilmesi (onay) ve lisanslanması

Yukarıda listelenen FSTEC metodolojik belgeleri, bilgi sistemlerinin güvenlik derecesinin güvenlik gereksinimlerine uygunluğunu değerlendirmek için aşağıdaki prosedürü oluşturur:

birinci ve ikinci sınıf bilgi sistemleri için, güvenlik derecesinin güvenlik gereksinimlerine uygunluğu, zorunlu sertifikalandırma (onay) yoluyla belirlenir;
üçüncü sınıf bilgi sistemleri için, güvenlik gereksinimlerine uygunluk, sertifika (onay) veya (operatörün seçimine göre) kişisel veri operatörü tarafından yürütülen uygunluk beyanı ile onaylanır;
dördüncü sınıf bilgi sistemleri için uygunluk değerlendirmesi düzenlenmemiştir ve kişisel veri operatörünün takdirine bağlı olarak gerçekleştirilir.

Uygunluk beyanı- bu, kişisel veri bilgi sisteminin özelliklerinin, FSTEC ve FSB'nin yasa, yönergeler ve düzenleyici ve metodolojik belgeleri tarafından belirlenen, kendisi için oluşturulan gerekliliklere uygunluğunun bir onayıdır.

Uygunluk beyanı, kendi kanıtlarına veya gerekli lisanslara sahip ilgili kuruluşların katılımıyla elde edilen kanıtlara dayanılarak yapılabilir. İletişim kurulabilecek bilgi güvenliği gereksinimleri için bilgi güvenliği araçları sertifikasyon sisteminin onaylanması için kuruluşların (kuruluşların) listesi Eğitim Kurumları ve gerekli uzmanlara ve lisanslara sahip olmayan eğitim kurumlarının yanı sıra Devlet Sicili sertifikalı fonlar bilgi koruması FSTEC web sitesinde yayınlanır. Bu tür prosedürlerin maliyeti oldukça yüksektir ve yüzbinlerce ruble ile ölçülür.

Kendi kanıtlarına dayanarak beyanda bulunma durumunda, operatör bağımsız olarak aşağıdakiler gibi bir dizi belge oluşturur: teknik döküman, kişisel veri bilgi sisteminin tüm standartlara uygunluğunu doğrulamak için motive edici bir temel olarak hizmet eden diğer belgeler ve kendi araştırma sonuçları gerekli gereksinimlerüçüncü sınıf için.

Tasdik (belgelendirme) testleri gerekli FSTEC lisanslarına sahip kuruluşlar tarafından gerçekleştirilir. Aynı zamanda, tasdik, bilgi sisteminin, FSTEC'in düzenleyici ve metodolojik belgelerinde belirtilen beyan edilen sınıf için bilgi güvenliği gereksinimlerine uygun hale getirilmesini mümkün kılan bir dizi önlem olarak anlaşılmaktadır.

Onay (sertifikasyon) testleri, tesiste halihazırda mevcut olan kişisel veri bilgi sistemlerinin analizini ve ayrıca bilgi güvenliğini sağlamak için yeni alınan kararları içerir ve aşağıdakilerin doğrulanmasını içerir:

bilginin korunmasını sağlamak için örgütsel ve rejimsel önlemler;
teknik kanallar (PEMIN) aracılığıyla bilgilerin sızıntılardan korunması;
bilgilerin yetkisiz erişime karşı korunması.

Tasdik testlerinin sonuçlarına dayanarak, bilgi güvenliği gereksinimlerine göre bilgi sisteminin beyan edilen sınıfa uygunluk belgesi verilmesine karar verilir. Sertifika üç yıllık bir süre için verilir.

FSTEC'in metodolojik belgeleri de Ek gereksinimler kişisel verilerin korunması için faaliyetler yürütmek için lisansların mevcudiyeti hakkında. Uygun lisanslar olmadan, bu tür olayların tutulması yalnızca üçüncü ve dördüncü sınıfların bilgi sistemleri için mümkündür.

Özel bilgi sistemleri, birinci ve ikinci sınıf sistemler ve üçüncü sınıf dağıtık (İnternete bağlı olanlar dahil) sistemler için kişisel verilerin güvenliğini sağlamaya yönelik tedbirlerin alınması için, operatörlerin öngörülen şekilde elde etmeleri gerekmektedir. FSTEC lisansı faaliyetler için teknik koruma kesin bilgi.

Devlet ve belediye kurumları tarafından metodolojik olarak beyan, belgelendirme (onay) ve lisanslama prosedürlerinin yürütülmesi için gerekliliklerin yasallığı FSTEC belgeleri son derece şüphelidir.

Federal Yürütme Organlarında Sınırlı Dağıtıma İlişkin Resmi Bilgilerin İşlenmesi Prosedürüne İlişkin Yönetmelikler<7>(Madde 1.2), dağıtımına ilişkin kısıtlamaları resmi gereklilik tarafından belirlenen kuruluşların faaliyetlerine ilişkin sınıflandırılmamış bilgileri sınırlı dağıtımlı sınıflandırılmış bilgiler olarak sınıflandırır. Kuruluşların faaliyetlerini lisanslamak için yükümlülüklerin belirlenmesi hiçbir şekilde DSP'den bilgi olarak kabul edilemez.

<7>3 Kasım 1994 N 1233 Rusya Federasyonu Hükümeti Kararnamesi ile onaylanmıştır.

Lisanslama Sorumlulukları belirli türler Gizli bilgilerin teknik olarak korunmasına yönelik faaliyetler de dahil olmak üzere faaliyetler, "Belirli Faaliyet Türlerinin Lisanslanmasına Dair Federal Kanun" ile tanımlanır.<8>. Gerçekleştirilen gizli bilgilerin teknik korunması için lisanslama faaliyetleri prosedürü tüzel kişiler ve bireysel girişimciler, 15 Ağustos 2006 N 504 Rusya Federasyonu Hükümeti Kararnamesi ile tanımlanmıştır.

<8>08.08.2001 N 128-FZ Federal Yasası.

Ne Gizli Bilgilerin Teknik Korunmasına İlişkin Lisans Faaliyetleri Hakkında Yönetmelik ne de Kişisel Veri Bilgi Sistemlerinin Sınıflandırılması Prosedürü, bilgi sisteminin sınıfına bağlı olarak gizli bilgilerin teknik korunmasına yönelik lisanslama faaliyetlerine ilişkin yükümlülükler getirmemektedir. Bu gereksinimler DSP belgesinde belirlenir - ISPD'de işlenen PD'nin organizasyonu ve teknik güvenliği için temel önlemler.

Kişisel verilerin kişisel veri bilgi sistemlerinde işlenmesi sırasında güvenliğinin sağlanmasına ilişkin yönetmelik yalnızca şunları belirler:

bilgi sistemlerinde kullanılan bilgi güvenliği araçları, öngörülen şekilde uygunluk değerlendirme prosedüründen (madde 5) geçer - yani sertifikaya tabi olan operatör değil, bilgi güvenliği aracıdır ve kuruluş tarafından gerçekleştirilir. Bu aletin üreticisi (dahil bilgisayar programı bilgi koruması hakkında);
Bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğini sağlamak için tasarlanmış bilgi güvenliği araçlarının uygunluk değerlendirmesi ve (veya) vaka çalışmaları, Federal Teknik ve İhracat Kontrol Servisi tarafından yürütülen bir inceleme sırasında değerlendirilir ve Federal Güvenlik Servisi yetkileri dahilinde.

Sanatın 3. Bölümü uyarınca. Rusya Federasyonu Anayasası'nın 15'i, tüm yasaların yanı sıra bir kişinin ve bir vatandaşın haklarını, özgürlüklerini ve görevlerini etkileyen normatif eylemler, genel bilgi için resmi olarak yayınlanmalıdır, yani kamuya açıklanmalıdır. Yayımlanmamış normatif yasal düzenlemeler uygulanmaz, yürürlüğe girmediği için yasal sonuçlar doğurmaz.

15 Mayıs 1992'den bu yana, 05/08/1992 N 305 Rusya Federasyonu Hükümeti Kararnamesi ile "On devlet kaydı departman normatif kanunları" vatandaşların haklarını ve çıkarlarını etkileyen ve bakanlıklar arası nitelikteki bakanlıkların ve dairelerin normatif eylemlerinin devlet tescili getirildi.

Devlet tescili ve departman düzenleyici yasal işlemlerin yürürlüğe girmesi konuları, Rusya Federasyonu N 763 Cumhurbaşkanı Kararnamesi ile düzenlenir.<9>ve Rusya Federasyonu Hükümeti Kararnamesi N 1009<10>.

<9>23.05.1996 N 763 Rusya Federasyonu Cumhurbaşkanı Kararnamesi "Rusya Federasyonu Başkanı, Rusya Federasyonu Hükümeti ve federal yürütme organlarının düzenleyici yasal düzenlemelerinin yayınlanması ve yürürlüğe girmesi prosedürü hakkında. "
<10>13 Ağustos 1997 tarihli Rusya Federasyonu Hükümeti Kararnamesi N 1009 "Federal yürütme organlarının düzenleyici yasal işlemlerinin hazırlanmasına ve devlet tesciline ilişkin Kuralların onaylanması üzerine."

Federal yürütme organlarının düzenleyici yasal işlemlerinin hazırlanmasına ve devlet tesciline ilişkin Kuralların 10. paragrafına göre, devlet kaydı, bir kişinin ve bir vatandaşın haklarını, özgürlüklerini ve görevlerini etkileyen düzenleyici yasal düzenlemelere tabidir. hukuki durum oluşturan bilgileri içeren eylemler de dahil olmak üzere, geçerlilik süreleri ne olursa olsun, bölümler arası nitelikteki kuruluşlar devlet sırrı veya gizli bilgiler.

Normatif yasal işlemlerin devlet kaydı, federal yürütme organlarının normatif yasal işlemlerinin Devlet Sicilini tutan Adalet Bakanlığı tarafından gerçekleştirilir.

Normatif bir yasal işlemin devlet kaydı şunları içerir:

yolsuzluğun tezahürü için koşulların yaratılmasına katkıda bulunan hükümlerin varlığının kontrol edilmesi de dahil olmak üzere, bu yasanın Rusya Federasyonu mevzuatına uygunluğunun yasal olarak incelenmesi;
devlet kaydı ihtiyacı hakkında karar vermek bu hareket;
kayıt numarasının atanması;
Federal Yürütme Organlarının Normatif Yasal İşlemlerinin Devlet Siciline giriş.

Bir kişinin ve bir vatandaşın haklarını, özgürlüklerini ve görevlerini etkileyen, kuruluşların yasal statüsünü oluşturan veya bölümler arası nitelikteki normatif yasal işlemler, bir belge oluşturan bilgileri içeren eylemler veya bireysel hükümleri dışında, öngörülen şekilde resmi yayına tabidir. devlet sırrı veya gizli nitelikteki bilgiler,

Adalet Bakanlığı tarafından devlet kaydı gerektirmediği kabul edilen bir kanun, kanunu onaylayan federal yürütme organı tarafından belirlenen şekilde yayına tabidir. Aynı zamanda, bu kanunun yürürlüğe girme prosedürü, onu yayınlayan federal yürütme organı tarafından da belirlenir.

Bu nedenle, yazara göre, yürüten devlet ve belediye kurumları otomatik işleme kişisel veriler, lisans alma, beyan etme veya belgelendirme (onay) için gerekliliklerin sunulması durumunda, mahkemede bu tür gerekliliklere itiraz edebilirler (özellikle kullanılan kişisel verileri koruma araçları üreticileri tarafından zaten onaylanmışsa).

A. Beytüllahim

müdür

Nijniy Novgorod merkezi

eğitim ekonomisi

askere almak 9 Kasım 2010, 12:31

Kişisel veriler (ISPD sınıflandırması)

Kereste odası *

Kişisel veri bilgi sistemlerinin sınıflandırılması hakkında çok şey yazıldı: tüm makaleler, web siteleri ve forumlar bu yanan konuya ayrılmıştır. FSTEC \ FSB \ MITiS No. 55 \ 86 \ 20'nin sırasına göre olduğu gerçeğiyle başlayalım. tipik ve özel ISPDn. Yalnızca kişisel verilerin gizliliğinin sağlanmasının gerekli olduğu tipik ISPD'lere ve kişisel verilerin gizlilik dışındaki güvenlik özelliklerinden (bütünlük, özgünlük, kullanılabilirlik) en az birinin sağlanması gerekiyorsa özel olanlara atıfta bulunuyoruz. , vb.)
Sipariş, verileri içinde işlenen PD deneklerine olası zararın değerlendirilmesine dayalı olarak ISPD sınıflandırmasını varsaymaktadır: olası hasar ne kadar yüksekse, sınıf o kadar yüksek ve buna göre teknik koruma gereksinimleri o kadar yüksek olmalıdır. Düzenin 14. paragrafı 4 sınıftan bahseder:
- olumsuz sonuç yok (4. derece)
-küçük olumsuz sonuçlar (Sınıf 3)
-olumsuz sonuçlar (2. derece)
-önemli olumsuz sonuçlar (1. derece).
Aynı paragrafa göre bir veya başka bir ISPD sınıfının atanması, ilk verilerin analizinin sonuçlarına göre gerçekleştirilir.
Burada tipik ISPD'lerin sınıflandırılmasından zaten bahsetmiştik, o yüzden doğrudan özel olanlara geçelim.

Özel bir ISPD nasıl sınıflandırılır?

ISPD'niz ırk, milliyet,
siyasi görüşler, dini ve felsefi inançlar, sağlık durumu, samimi yaşam, o zaman her şey basit:
sisteminizin sınıfı K1. Ve bunların 10 kayıt veya 100.000 olması önemli değil, o zaman sistemi ya FSTEC sipariş No. 58'in gerekliliklerine göre K1'e göre korursunuz ya da örneğin bu tür verileri kişiselleştirerek sınıfı düşürürsünüz.
Şimdi sınıflandırmamız gereken belirli bir ISPD hayal edin. Müşterilerine hizmet veren büyük bir işletme olsun.
Sistemimizin ilk verileri:
1. Kişisel verilerin kapsamı- 100.000'den fazla.
2. Kişisel veri kategorisi- 2 (yani, kişisel verilerin konusunu tanımlamanıza ve onun hakkında ek bilgi edinmenize izin veren kişisel verilerdir).
3. Bilgi sistemi yapısı- dağıtılmış;
4. Bağlantıların kullanılabilirliği kamu iletişim ağlarına ve (veya) uluslararası bilgi değişim ağlarına bilgi sistemi - evet;
5. Kişisel verileri işleme şekli- çok kullanıcılı;
6. Erişim hakları farklılaştırma modu bilgi sisteminin kullanıcıları - erişim haklarının farklılaşmasıyla;
7. Teknik araçların yeri bilgi sistemi - Rusya Federasyonu içinde.

Ancak böyle bir sistemi 55 \ 86 \ 20 numaralı siparişten plakaya göre sınıflandıramayız, çünkü. “İlk verilerin analizinin sonuçlarına göre tipik bilgi sistemine aşağıdaki sınıflardan biri atanır. Üzülmüyoruz, siparişi daha da okuyoruz ve aşağıdaki paragrafı görüyoruz:
16. İlk verilerin analizinin sonuçlarına dayanarak, Hükümet Kararnamesi'nin 2. paragrafı uyarınca geliştirilen metodolojik belgelere uygun olarak bir kişisel veri güvenliği tehdidi modeli temelinde özel bir bilgi sisteminin sınıfı belirlenir. Rusya Federasyonu'nun 17 Kasım 2007 tarihli N 781 "Kişisel verilerin bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğinin sağlanmasına ilişkin Yönetmeliğin onaylanması üzerine"
Bu nedenle, ilk verileri analiz ettikten sonra, işlenen PD'nin bileşimi, ISPD'nin yapısının belirlenmesi ve teknolojik süreçler makul bir şekilde şu sonuca varabiliriz: Olumsuz sonuçlar bilgilerin gizliliğinin ihlaline neden olabilir (örneğin, bir çalışanın engelliliği ile ilgili bilgilerin yayılması). Diğer tüm tehditlerin uygulanması, küçük negatif sonuçları, çünkü kabul edildikleri (veya gelecekte sistemin oluşturulması sırasında kabul edilecekleri) ISPD koruması) yeterli teknik önlemler onları etkisiz hale getirmek için koruma. Bu bilgiyi tehdit modelinde yansıtan özel bir ISPD, belirtilen özellikler tarafımızca güvenle K2 olarak sınıflandırılabilir.

Etiketler: kişisel veriler, ispdn

ISPD sınıflandırma yasası, kural olarak, gizli bir belgedir ve bir gizlilik damgasına ("Gizli", "DSP", "Ticari sır") ve bir hesap numarasına sahip olmalıdır.

İşletmede sınıflandırma yapmak için bir komisyon oluşturulmalıdır. Komisyon, kişisel verilerin korunmasından sorumlu bir kişiyi içermelidir. Komisyon, başkanının emriyle atanmalı ve faaliyetlerini sınıflandırma komisyonu Yönetmeliğine göre yürütmelidir. Sınıflandırmanın sonuçlarına göre, bir kanun hazırlanmalıdır. ISPD sınıflandırma yasası komisyon başkanı tarafından onaylanmalı ve komisyonun tüm üyeleri tarafından imzalanmalıdır.

ISPD sınıflandırma eylemi nasıl hazırlanır

Tanımlanan her ISPD için sınıflandırma yasası düzenlenir. Alınan verilere dayanarak, her ISPD belirlenir gereken seviye kişisel verilerin güvenliği. Bu, kişisel veri bilgi sisteminin korunmasını sağlamak için gereksinimleri oluşturmak için gereklidir. Kişisel verilerin korunma seviyesinin belirlenmesi, 01.11.2012 tarih ve 1119 sayılı Rusya Federasyonu Hükümeti Kararnamesi uyarınca gerçekleştirilir. sistemler."

Kanun şöyle diyor:

sistemde işlenen kişisel veriler;
işlenen kişisel veri miktarı;
ISPD'ye yönelik gerçek tehditlerin türü;
bilgi sisteminin yapısı;
kamu iletişim ağlarına ve (veya) uluslararası bilgi alışverişi ağlarına bağlantıların mevcudiyeti;
sistemdeki kişisel verilerin işlenme şekli;
kullanıcı erişim haklarının farklılaştırılması;
ISPD'nin yeri;
PD güvenlik seviyesi.

ISPD sınıflandırma yasası, bu tür verilerin depolandığı sistemleri içerebilir:

özel kişisel veri kategorileri - ırk, milliyet, siyasi görüş, dini veya felsefi inançlar, sağlık durumu, kişisel veri konularının mahrem hayatı ile ilgili bilgiler;
biyometrik kişisel veriler - bir kişinin fizyolojik ve biyolojik özelliklerini karakterize eden, kimliğini belirlemenin mümkün olduğu ve operatör tarafından kişisel verilerin konusunu tanımlamak için kullanılan bilgiler;
halka açık kişisel veriler - yalnızca "Kişisel Veriler Hakkında" Federal Kanunun 8. Maddesi uyarınca oluşturulan halka açık kişisel veri kaynaklarından elde edilen bilgiler.

Oldukça ender olarak 3. kategorideki kişisel verilerin işlendiği sistemler bulunmaktadır. Bunun nedeni, gerçek görevlerin yalnızca konuyu tanımlayan verileri (tam ad, pasaport verileri) değil, aynı zamanda Ek Bilgiler onun hakkında (örneğin, maaş bilgileri).

2. kategorideki kişisel verilerin işlendiği en yaygın bilgi sistemleridir. Örneğin, çalışanlar için bordro sistemleri.

İşlenen PD hacmi, sistemde kişisel verileri işlenen kişilerin sayısını belirler. Aşağıdaki derecelendirme geçerlidir:

100.000'den fazla PD konusu;
100.000'den az PD konusu.

Kişisel veri güvenliği tehditlerinin türleri

ISPD'ye yönelik mevcut tehditlerin türü:

1. tip tehditler, bilgi sisteminde kullanılan sistem yazılımında belgelenmemiş (bildirilmemiş) yeteneklerin varlığıyla ilgili tehditlerden de etkileniyorsa, bilgi sistemiyle ilgilidir;
2. tip tehditler, bilgi sisteminde kullanılan uygulama yazılımında belgelenmemiş (bildirilmemiş) yeteneklerin varlığıyla ilgili tehditlerden de etkileniyorsa, bilgi sistemiyle ilgilidir;
Tip 3 tehditler, sistemdeki belgelenmemiş (bildirilmemiş) yeteneklerin ve bilgi sisteminde kullanılan uygulama yazılımlarının varlığı ile ilgili olmayan tehditlere tabi ise, bir bilgi sistemi ile ilgilidir.

Türüne göre, ISPD sınıflandırma kanununda açıklanan kişisel veri bilgi sistemleri, standart ve özel olanlara ayrılır. Standart ISPD - yalnızca PD'nin gizliliğini sağlamanın gerekli olduğu bilgi sistemleri. Özel ISPD'ler, gizliliğe ek olarak, kişisel verilerin güvenliğinin en az bir özelliğinin (bütünlük, kullanılabilirlik) sağlanmasının gerekli olduğu bilgi sistemleridir.

Ayrıca, özel sistemler, kişilerin sağlığına ilişkin verileri işleyen tüm ISPD'leri ve otomatik işlemeye dayalı olarak konu için yasal sonuçlar doğuran kararların alınmasını sağlayan ISPD'leri içerir.

Mevcut ISPD'lerin çoğu özeldir. Bunun nedeni, gizliliğe ek olarak, PD'nin her zaman işlemeye hazır, eksiksiz ve güvenilir olması da önemlidir. Hepsi için özel sistemler“Gerçek tehditlerin özel bir modelinin” geliştirilmesi gerekmektedir.

Kişisel veri bilgi sistemlerinin yapıya göre sınıflandırılması:

Özerk. Bu bir otomatik iş yeri(bir bilgisayar).
Yerel. Yerel bir ağda birleştirilmiş otomatik iş istasyonları (AWP).
dağıtıldı. Otomatik iş istasyonları veya yerel ağlar uzaktan erişim teknolojileri kullanılarak birbirine bağlanır.

ISPD sisteminde kişisel verilerin işlenme şekline göre tek kullanıcılı ve çok kullanıcılı olarak ikiye ayrılmaktadır. Tek kullanıcılı sistemler nadirdir. Kural olarak, bir özerk işyerinde bile en az iki kişi çalışır (tatil ve hastalık durumunda).

Çok kullanıcılı ISPD'lerin sınıflandırılması şu şekildedir:

Erişim hakları farklılaştırılmadan. Bu tür sistemlerde tüm kullanıcıların tüm bilgilere erişimi vardır.
Erişim haklarının sınırlandırılması ile. Her kullanıcının sistemde kesin olarak tanımlanmış bir bilgi parçasına erişimi vardır.

Konumlarına göre, ISPD'ler ayrılır.

Kişisel veri bilgi sistemleri (ISPD) birçok işletme ve kuruluş tarafından çalışmalarında kullanılmaktadır. Bakalım bunun ne olduğunu ve ISPD ile çalışanlar tarafından hangi nüansların dikkate alınması gerektiğini görelim.

ISDN nedir?

Basitçe söylemek gerekirse, ISPD bilgi sistemi kişisel verileri depolamak ve işlemek için kullanılır. Aşağıdaki bileşenleri içerir:

Aslında sistemde saklanan kişisel verilerin toplamı, veri tabanında.
Bu verilerle çalışmak için kullanılan teknik araçlar.
ISPD'de saklanan muhasebe ve işleme bilgilerinin otomatikleştirilmesi için araçlar (tüm sistemlerde mevcut olmayabilir).

ISDN ciddi

Söz konusu sistemleri kullanırken kişisel verilerin yetkisiz erişim, kayıp ve diğer acil durumlardan korunmasını sağlamak önemlidir. Bu, yasama düzeyinde bile dile getirilmiştir. Bilgiye erişimi kısıtlamak ve bilgiyi korumak için tavsiye niteliğinde önlemler almak için bir ISPD denetimi gerçekleştirilir (daha fazla ayrıntı için, örneğin Rentacloud uzmanlarıyla iletişime geçin: http://rentacloud.su/services/zashchita-personalnykh-dannykh /denetim/). Sonuç olarak, aşağıdaki bilgileri içeren bir kanun hazırlanır:

Anket yapılan sistemde saklanan ve işlenen kişisel verilerin kategorisi.
Sınıfları ve türleri (aşağıda daha fazlası).
İncelenen sistemin parametreleri ve yapısı.
ISPD'de saklanan ve işlenen PD hacimleri (kayıt sayısı vb.).
Sistemin konumu hakkında bilgi.
Genel kullanıma açık ağlar (LAN, İnternet, vb.) aracılığıyla veri tabanına erişim olasılığı hakkında bilgi.

Denetim sıkı bir şekilde gerçekleştirilir ortak belge Haberleşme Bakanlığı, FSTEC ve FSB tarafından hazırlanmıştır. Çok hacimlidir ve kapsamlı bir çalışma gerektirir. Bu bağlamda, sistemin denetimi ve ISPD'nin korunmasının esas alınacağı tavsiyelerin hazırlanması konusunda uzmanlara güvenilmelidir. Hizmetleri, örneğin Rentacloud ile iletişime geçilerek kullanılabilir: (http://rentacloud.su).

ISPD türleri, sınıfları ve bu tür sistemler hakkında bilmeniz gerekenler

Kişisel veri bilgi sistemleri (PD) 4 sınıfa ve 2 türe ayrılmaktadır. Sınıflara ayırma, işlenmiş PD kategorisi ve hacimleri gibi özellikler temelinde gerçekleştirilir.

sınıflar

Bu tablo anlamanıza yardımcı olacaktır:

Tablo için açıklamalar.

Kategori 4, belirli bir konuyu tanımlamanın imkansız olduğu duyarsızlaştırılmış PD'yi içerir (bir örnek istatistiksel verilerdir). Cat 3, yalnızca bir kişinin tanımlanmasının mümkün olduğu (oldukça nadirdir) kişisel verileri içerir. Kategori 2, bir kişiyi tanımlamanın ve onun hakkında bazı bilgiler edinmenin mümkün olduğu verileri içerir. Ek Bilgiler(örnek - kuruluşlarda ve işletmelerde bordro sistemleri). İlk kategori, uyruk, sağlık durumu ve diğer sosyal bilgiler ile farklı nitelikteki bilgileri (örneğin, sağlık kurumlarının veri tabanları) içeren verileri içerir.

Tabloda belirtilen sınıflara gelince, ISDN'nin bunlara atanması, güvenlik koşullarının ihlali durumunda deneklere olası zararlar temelinde gerçekleştirilir:

Cl 4. Konu için herhangi bir olumsuz sonuç hariçtir.
Cl 3. Küçük yan etkiler meydana gelebilir.
Cl 2. Bu tür sonuçların ortaya çıkması.
Cl 1. Çok ciddi olumsuz sonuçlar mümkündür.

ISPD Türleri

İlk tip, ISPD koruma işlevlerinin yalnızca elde etmeye indirgendiği sistemleri içerir. doğru göstergeler onun mahremiyeti. Gizliliğe ek olarak, en az bir ek güvenlik göstergesinin (gerçeklik, kullanılabilirlik, veri bütünlüğü vb.) sağlanmasına ihtiyaç varsa, Konuşuyoruzİkinci tip hakkında.

Bugün kullanılan sistemlerin çoğunun ikinci tipe atandığını belirtmekte fayda var.

ISPD'nin geliştirilmesi, sınıflandırılması ve güvenilir şekilde sağlanması, etkili korumaçok karmaşık ve çok yönlü süreçlerdir. Ve hatalardan kaçınmak için bunu uzmanlara emanet etmeniz önerilir. Bunu yapmak için, örneğin, bu pazarda lider konumlardan birini işgal eden "Rentacloud" şirketi ile iletişime geçebilirsiniz.

En son makaleler

2022-04-27 04:35:28
Fixies masters tam sürüm Fixies oyunu tam sürüm bilgisayarınıza indir
2022-04-27 04:35:28
Net framework 3 hatalarını yükleme veya güncelleme, düzeltme
2022-04-27 04:35:28
Dünyadaki sanal para birimleri ve sanal borsalar

Popüler Makaleler

Editörün Seçimi

2022-04-07 02:16:41

Rakip alternatif uygulamalar
Android için profesyonel spor simülatörü Athletics 2, dünya standartlarında sporcu olmaya hazırlanan kendine güvenen gençler için oluşturuldu....
2022-04-07 02:16:41

HiSuite - Huawei akıllı telefonları PC ile senkronize etme programı huawei pc suite için İndirme programı
HiSuite, Huawei mobil cihazlarını bir bilgisayarla senkronize etmek için tasarlanmış resmi bir yazılımdır. Bu yönetici kapsıyor...
2022-04-07 02:16:41

Hangi Sony Xperia Akıllı Telefon daha iyi?
2017'nin yarısında Sony Mobile bir sürü akıllı telefon çıkarmayı başardı. Ama hangileri satın almak için en alakalı? Ve aralarından seçim yapmaya değer mi?
2022-03-29 09:24:03

Karadağ'da tatil evi Gizlilik ayarlarının değiştirilmesi
Karadağ turları her yıl çok sayıda turist seçmektedir. Bu yönün popülaritesi, Karadağ'daki tatillerin ...
2022-03-29 09:24:03

Doğrudan Rezervasyon hizmeti nasıl göründü?
Gizlilik ayarlarınızı değiştirme Sitede kabul etmek istediğiniz çerezleri seçin. İşlevsel çerezler nelerdir? Fonksiyonel...