Dia duit gach duine! Ritheann mé an t-ionad cibearchosanta DataLine. Tagann custaiméirí chugainn leis an tasc chun ceanglais 152-FZ a chomhlíonadh sa scamall nó ar bhonneagar fisiceach.
I mbeagnach gach tionscadal is gá obair oideachais a dhéanamh chun na miotais a bhaineann leis an dlí seo a scriosadh. Tá na míthuiscintí is coitianta bailithe agam a d’fhéadfadh a bheith costasach do bhuiséad agus do néarchóras an oibreora sonraí pearsanta. Déanfaidh mé forchoimeád láithreach go bhfanfaidh cásanna oifigí stáit (GIS) a dhéileálann le rúin stáit, KII, etc. lasmuigh de raon feidhme an ailt seo.
Miotas 1. Suiteáil mé antivirus, balla dóiteáin, agus timpeall na racaí le fál. An bhfuil an dlí á leanúint agam?
Ní bhaineann 152-FZ le cosaint na gcóras agus na bhfreastalaithe, ach le cosaint sonraí pearsanta na ndaoine is ábhar. Mar sin, ní le frithvíreas a thosaíonn comhlíonadh 152-FZ, ach le líon mór píosaí páipéir agus saincheisteanna eagrúcháin.
Ní bhreathnóidh an príomhchigire, Roskomnadzor, ar láithreacht agus ar riocht na modhanna teicniúla cosanta, ach ar an mbunús dlí chun sonraí pearsanta a phróiseáil (PD):
- cén cuspóir a bhailíonn tú sonraí pearsanta;
- cibé an mbailíonn tú níos mó díobh ná mar a theastaíonn uait chun do chríocha;
- cé chomh fada a stórálann tú sonraí pearsanta;
- an bhfuil beartas ann chun sonraí pearsanta a phróiseáil;
- An bhfuil tú ag bailiú toiliú le haghaidh próiseála sonraí pearsanta, aistriú trasteorann, próiseáil ag tríú páirtithe, etc.
Ba cheart freagraí na gceisteanna seo, chomh maith leis na próisis féin, a thaifeadadh i ndoiciméid chuí. Seo liosta iomlán de na rudaí a chaithfidh oibreoir sonraí pearsanta a ullmhú:
- Foirm thoilithe chaighdeánach chun sonraí pearsanta a phróiseáil (is iad seo na bileoga a shínímid anois beagnach gach áit ina bhfágaimid ár n-ainmneacha iomlána agus ár sonraí pas).
- Beartas an oibreora maidir le próiseáil sonraí pearsanta ( tá moltaí maidir le dearadh).
- Ordú maidir le ceapadh duine atá freagrach as próiseáil sonraí pearsanta a eagrú.
- Cur síos poist ar an duine atá freagrach as próiseáil sonraí pearsanta a eagrú.
- Rialacha maidir le rialú inmheánach agus (nó) iniúchadh ar chomhlíonadh na próiseála PD le ceanglais dhlíthiúla.
- Liosta de chórais faisnéise sonraí pearsanta (ISPD).
- Rialacháin chun rochtain a sholáthar don ábhar ar a shonraí pearsanta.
- Rialacháin um imscrúdú teagmhas.
- Ordú maidir le ligean isteach fostaithe chun sonraí pearsanta a phróiseáil.
- Rialacháin maidir le hidirghníomhaíocht le rialtóirí.
- Fógra RKN, etc.
- Íoslódáil an fhoirm treoracha le haghaidh próiseála PD.
- Múnla bagairt ISPD.
Tar éis duit na saincheisteanna seo a réiteach, is féidir leat tosú ar bhearta sonracha agus modhanna teicniúla a roghnú. Braitheann na cinn atá uait ar na córais, a gcoinníollacha oibriúcháin, agus na bagairtí reatha. Ach níos mó ar sin níos déanaí.
Réaltacht: Is é comhlíonadh an dlí próisis áirithe a bhunú agus a chomhlíonadh, ar an gcéad dul síos, agus gan ach sa dara háit - úsáid modhanna teicniúla speisialta.
Miotas 2. Stóráil mé sonraí pearsanta sa scamall, ionad sonraí a chomhlíonann ceanglais 152-FZ. Anois tá siad freagrach as an dlí a fhorfheidhmiú
Nuair a dhéanann tú stóráil sonraí pearsanta a fhoinsiú allamuigh chuig soláthraí néil nó lárionad sonraí, ní scoireann tú de bheith i d’oibreoir sonraí pearsanta.
Glaoimid ar an sainmhíniú ón dlí chun cabhair a fháil:
Próiseáil sonraí pearsanta – aon ghníomh (oibríocht) nó sraith gníomhartha (oibríochtaí) a dhéantar ag baint úsáide as uirlisí uathoibrithe nó gan úsáid a bhaint as modhanna den sórt sin le sonraí pearsanta, lena n-áirítear bailiú, taifeadadh, córasú, carnadh, stóráil, soiléiriú (uasdátú, athrú), asbhaint, úsáid, aistriú (dáileadh, soláthar, rochtain), díphearsanú, blocáil, scriosadh, scriosadh sonraí pearsanta.
Foinse: alt 3,
As na gníomhartha seo go léir, tá an soláthraí seirbhíse freagrach as sonraí pearsanta a stóráil agus a scriosadh (nuair a chuireann an cliant deireadh leis an gconradh leis). Soláthraíonn an t-oibreoir sonraí pearsanta gach rud eile. Ciallaíonn sé seo gurb é an t-oibreoir, agus ní an soláthraí seirbhíse, a chinneann an beartas maidir le próiseáil sonraí pearsanta, go bhfaigheann sé toiliú sínithe chun sonraí pearsanta a phróiseáil óna chliaint, go ndéanann sé cásanna sceitheadh sonraí pearsanta chuig tríú páirtithe a chosc agus a imscrúdú, agus mar sin de.
Dá bhrí sin, ní mór don oibreoir sonraí pearsanta fós na doiciméid a liostaítear thuas a bhailiú agus bearta eagraíochtúla agus teicniúla a chur i bhfeidhm chun a PDIS a chosaint.
De ghnáth, cabhraíonn an soláthraí leis an oibreoir trína chinntiú go gcomhlíontar ceanglais dhlíthiúla ar an leibhéal bonneagair ina mbeidh ISPD an oibreora suite: racaí le trealamh nó an scamall. Bailíonn sé pacáiste doiciméad freisin, glacann sé bearta eagraíochtúla agus teicniúla dá phíosa bonneagair i gcomhréir le 152-FZ.
Cuidíonn roinnt soláthraithe le páipéarachas agus le soláthar beart teicniúil slándála do na ISDNanna iad féin, i.e., ag leibhéal os cionn an bhonneagair. Is féidir leis an oibreoir na tascanna seo a sheachfhoinsiú freisin, ach ní imíonn an fhreagracht agus na hoibleagáidí faoin dlí.
Réaltacht: Trí úsáid a bhaint as seirbhísí soláthraí nó ionad sonraí, ní féidir leat freagrachtaí oibreora sonraí pearsanta a aistriú chuige agus fáil réidh leis an bhfreagracht. Má gheallann an soláthraí é seo duit, ansin, chun é a chur go réidh, tá sé ina luí.
Miotas 3. Tá an pacáiste riachtanach doiciméad agus beart agam. Stóráilim sonraí pearsanta le soláthraí a gheallann comhlíonadh 152-FZ. An bhfuil gach rud in ord?
Sea, más cuimhin leat an t-ordú a shíniú. De réir an dlí, is féidir leis an oibreoir próiseáil sonraí pearsanta a chur ar iontaoibh duine eile, mar shampla, an soláthraí seirbhíse céanna. Is cineál comhaontaithe é ordú a liostaíonn cad is féidir leis an soláthraí seirbhíse a dhéanamh le sonraí pearsanta an oibreora.
Tá sé de cheart ag an oibreoir próiseáil sonraí pearsanta a chur ar iontaoibh duine eile le toiliú an duine is ábhar do shonraí pearsanta, mura bhforáiltear a mhalairt leis an Dlí Chónaidhme, ar bhonn comhaontú arna thabhairt i gcrích leis an duine seo, lena n-áirítear conradh stáit nó bardasach, nó trí ghníomh ábhartha a ghlacadh ag comhlacht stáit nó bardasach (dá ngairtear an t-oibreoir sannacháin anseo feasta). Tá sé de dhualgas ar an duine a phróiseálann sonraí pearsanta thar ceann an oibreora cloí leis na prionsabail agus na rialacha maidir le próiseáil sonraí pearsanta dá bhforáiltear sa Dlí Chónaidhme seo.
Foinse:
Bunaítear freisin an oibleagáid atá ar an soláthraí rúndacht sonraí pearsanta a choinneáil agus a slándáil a áirithiú i gcomhréir leis na ceanglais shonraithe:
Ní mór ordú an oibreora liosta de ghníomhaíochtaí (oibríochtaí) a shainiú le sonraí pearsanta a dhéanfaidh an duine a phróiseálann sonraí pearsanta agus chun críocha na próiseála, ní mór oibleagáid duine den sórt sin a bhunú chun rúndacht na sonraí pearsanta a choinneáil agus chun an ní mór slándáil sonraí pearsanta le linn a bpróiseála, chomh maith le ceanglais maidir le cosaint sonraí pearsanta próiseáilte a shonrú i gcomhréir leis den Dlí Chónaidhme seo.
Foinse:
Chuige seo, tá an soláthraí freagrach don oibreoir, agus ní don ábhar sonraí pearsanta:
Má thugann an t-oibreoir próiseáil sonraí pearsanta ar iontaoibh duine eile, beidh an t-oibreoir freagrach don ábhar sonraí pearsanta as gníomhartha an duine shonraithe. Tá an duine a phróiseálann sonraí pearsanta thar ceann an oibreora freagrach don oibreoir.
Foinse: .
Tá sé tábhachtach freisin a ordú san ord an oibleagáid chun cosaint sonraí pearsanta a áirithiú:
Áirithíonn oibreoir an chórais seo, a phróiseálann sonraí pearsanta (dá ngairfear an t-oibreoir anseo feasta), nó an duine a phróiseálann sonraí pearsanta thar ceann an oibreora iad slándáil sonraí pearsanta nuair a phróiseáiltear iad i gcóras faisnéise ar bhonn comhaontú arna thabhairt i gcrích leis an duine seo (dá ngairtear an duine údaraithe anseo feasta). Ní mór foráil a dhéanamh sa chomhaontú idir an t-oibreoir agus an duine údaraithe d’oibleagáid ar an duine údaraithe slándáil sonraí pearsanta a áirithiú nuair a phróiseáiltear iad sa chóras faisnéise.
Foinse:
Réaltacht: Má thugann tú sonraí pearsanta don soláthraí, ansin sínigh an t-ordú. San ord, cuir in iúl an ceanglas chun sonraí pearsanta na ndaoine is ábhar a chosaint a áirithiú. Seachas sin, ní chomhlíonann tú an dlí maidir le haistriú obair phróiseála sonraí pearsanta chuig tríú páirtí, agus níl aon rud faoi chomaoin ag an soláthraí maidir le comhlíonadh 152-FZ.
Miotas 4. Tá an Mossad ag spiaireacht orm, nó is cinnte go bhfuil UZ-1 agam
Cruthaíonn roinnt custaiméirí go seasta go bhfuil ISPD de leibhéal slándála 1 nó 2 acu. Go minic ní mar sin atá an scéal. A ligean ar cuimhneamh ar na crua-earraí a dhéanamh amach cén fáth a tharlaíonn sé seo.
Cinneann an LO, nó an leibhéal slándála, cad uaidh a chosnóidh tú do shonraí pearsanta.
Cuireann na pointí seo a leanas isteach ar leibhéal na slándála:
- cineál sonraí pearsanta (speisialta, bithmhéadrach, atá ar fáil go poiblí agus eile);
- cé leis na sonraí pearsanta - fostaithe nó daoine nach fostaithe iad de chuid an oibreora sonraí pearsanta;
- líon na ndaoine is ábhar do shonraí pearsanta – níos mó nó níos lú ná 100 míle.
- cineálacha bagairtí reatha.
Insíonn sé dúinn faoi chineálacha bagairtí . Seo cur síos ar gach ceann acu le m’aistriúchán saor in aisce go teanga dhaonna.
Tá bagairtí den 1ú cineál ábhartha do chóras faisnéise má tá bagairtí a bhaineann le cumas neamhdhoiciméadaithe (neamhdhearbhaithe) a bheith sna bogearraí córais a úsáidtear sa chóras faisnéise ábhartha dó freisin.
Má aithníonn tú go bhfuil an cineál seo bagairte ábhartha, creideann tú go daingean gur chuir gníomhairí an CIA, MI6 nó MOSSAD leabharmharc sa chóras oibriúcháin chun sonraí pearsanta ábhar ar leith a ghoid ó do ISPD.
Tá bagairtí den 2ú cineál ábhartha do chóras faisnéise má tá bagairtí a bhaineann le cumas neamhdhoiciméadaithe (neamhdhearbhaithe) a bheith sna bogearraí feidhmchláir a úsáidtear sa chóras faisnéise ábhartha dó freisin.
Má cheapann tú gur bagairtí den dara cineál atá i gceist agat, ansin codlaíonn tú agus feiceann tú conas a chuir gníomhairí céanna an CIA, MI6, MOSSAD, hacker aonair olc nó grúpa leabharmharcanna i roinnt pacáiste bogearraí oifige chun cuardach a dhéanamh go díreach orthu. do shonraí pearsanta. Sea, tá bogearraí feidhmchláir amhrasacha cosúil le μTorrent, ach is féidir leat liosta de na bogearraí ceadaithe a dhéanamh lena suiteáil agus comhaontú a shíniú le húsáideoirí, gan cearta riarthóirí áitiúla a thabhairt d'úsáideoirí, etc.
Tá bagairtí Chineál 3 ábhartha do chóras faisnéise más rud é go bhfuil bagairtí nach mbaineann le láithreacht inniúlachtaí neamhdhoiciméadaithe (neamhdhearbhaithe) sa chóras agus sna bogearraí feidhmchláir a úsáidtear sa chóras faisnéise ábhartha dó.
Níl bagairtí cineálacha 1 agus 2 oiriúnach duit, mar sin is é seo an áit duit.
Tá na cineálacha bagairtí réitithe againn, breathnaímid anois ar an leibhéal slándála a bheidh ag ár ISPD.
Tábla bunaithe ar an gcomhfhreagras a shonraítear i .
Má roghnaigh muid an tríú cineál bagairtí iarbhír, ansin i bhformhór na gcásanna beidh UZ-3 againn. An t-aon eisceacht, nuair nach bhfuil bagairtí de chineál 1 agus 2 ábhartha, ach beidh an leibhéal slándála fós ard (UZ-2), is iad cuideachtaí a phróiseálann sonraí pearsanta speisialta neamhfhostaithe i méid níos mó ná 100 mar shampla, cuideachtaí atá i mbun diagnóisic leighis agus soláthar seirbhísí leighis.
Tá UZ-4 ann freisin, agus tá sé le fáil go príomha i gcuideachtaí nach bhfuil a ngnó bainteach le próiseáil sonraí pearsanta daoine nach fostaithe iad, i.e. cliaint nó conraitheoirí, nó gur beag na bunachair shonraí pearsanta.
Cén fáth a bhfuil sé chomh tábhachtach gan an iomarca a dhéanamh leis an leibhéal slándála? Tá sé simplí: beidh an tsraith beart agus modhanna cosanta chun an leibhéal slándála seo a chinntiú ag brath air seo. Dá airde an leibhéal eolais, beidh gá níos mó a dhéanamh ó thaobh eagrúcháin agus teicniúla de (léigh: is ea is mó airgid agus imní a bheidh ort).
Seo, mar shampla, an chaoi a n-athraíonn an tsraith beart slándála de réir an PP-1119 céanna.
Anois, feicfimid conas, ag brath ar an leibhéal slándála roghnaithe, a athraíonn liosta na mbeart riachtanach de réir Tá aguisín fada leis an doiciméad seo, a shainíonn na bearta is gá. Tá 109 acu san iomlán, sainmhínítear bearta éigeantacha gach KM agus marcáiltear iad le comhartha “+” - ríomhtar go beacht iad sa tábla thíos. Mura bhfágann tú ach na cinn atá ag teastáil le haghaidh UZ-3, gheobhaidh tú 4.
Réaltacht: mura mbailíonn tú tástálacha nó bithmhéadracht ó chliaint, níl tú paranóideach faoi leabharmharcanna i mbogearraí córais agus feidhmchláir, is dóichí go bhfuil UZ-3 agat. Tá liosta réasúnta de bhearta eagraíochtúla agus teicniúla ann is féidir a chur i bhfeidhm i ndáiríre.
Miotas 5. Ní mór gach modh chun sonraí pearsanta a chosaint a bheith deimhnithe ag FSTEC na Rúise
Más mian leat nó má tá ort deimhniú a dhéanamh, is dóichí go mbeidh ort trealamh cosanta deimhnithe a úsáid. Is é ceadúnaí FSTEC na Rúise a dhéanfaidh an deimhniú:
- suim acu feistí cosanta faisnéise níos deimhnithe a dhíol;
- beidh eagla air roimh an gceadúnas a bheith cúlghairthe ag an rialtóir má théann rud éigin mícheart.
Mura bhfuil deimhniú ag teastáil uait agus go bhfuil tú réidh chun comhlíonadh na gceanglas a dhearbhú ar bhealach eile, ainmnithe i “Measúnú a dhéanamh ar éifeachtúlacht na mbeart a chuirtear i bhfeidhm laistigh den chóras cosanta sonraí pearsanta chun slándáil sonraí pearsanta a chinntiú,” ansin níl córais shlándála faisnéise deimhnithe ag teastáil uait. Déanfaidh mé iarracht an réasúnaíocht a mhíniú go hachomair.
В sonraítear gur gá trealamh cosanta a chuaigh faoin nós imeachta um measúnú comhréireachta a úsáid i gcomhréir leis an nós imeachta bunaithe:
A chinntiú go mbaintear amach slándáil sonraí pearsanta, go háirithe:
[...]
3)применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
В Tá ceanglas freisin úsáid a bhaint as uirlisí slándála faisnéise a bhfuil an nós imeachta chun comhlíonadh na gceanglas dlí a rith faighte acu a úsáid:
[...]
использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
dúblaíonn sé mír PP-1119 go praiticiúil:
Déantar bearta chun slándáil sonraí pearsanta a áirithiú a chur chun feidhme, inter alia, trí uirlisí slándála faisnéise a úsáid sa chóras faisnéise a bhfuil an nós imeachta um measúnú comhréireachta pasaithe acu i gcomhréir leis an nós imeachta bunaithe, i gcásanna inar gá uirlisí den sórt sin a úsáid. bagairtí reatha ar shlándáil sonraí pearsanta a neodrú.
Cad atá i gcoiteann ag na foirmlithe seo? Sin ceart - ní éilíonn siad úsáid trealamh cosanta deimhnithe. Is é fírinne an scéil go bhfuil cineálacha éagsúla measúnaithe comhréireachta ann (deimhniú deonach nó éigeantach, dearbhú comhréireachta). Níl sa deimhniú ach ceann amháin acu. Is féidir leis an oibreoir táirgí neamhdheimhnithe a úsáid, ach beidh air a thaispeáint don rialtóir le linn iniúchta go bhfuil nós imeachta measúnaithe comhréireachta de chineál éigin déanta aige.
Má chinneann an t-oibreoir trealamh cosanta deimhnithe a úsáid, ansin is gá an córas cosanta faisnéise a roghnú de réir na cosanta ultrafhuaime, atá léirithe go soiléir i :
Cuirtear bearta teicniúla chun sonraí pearsanta a chosaint chun feidhme trí úsáid a bhaint as uirlisí slándála faisnéise, lena n-áirítear uirlisí bogearraí (crua-earraí) ina gcuirtear chun feidhme iad, a bhfuil na feidhmeanna slándála riachtanacha acu.
Agus uirlisí slándála faisnéise á n-úsáid atá deimhnithe de réir riachtanais slándála faisnéise i gcórais faisnéise:
Réaltacht: Ní éilíonn an dlí go n-úsáidfear trealamh cosanta deimhnithe go héigeantach.
Miotas 6. Tá cosaint crypto ag teastáil uaim
Tá cúpla nuances anseo:
- Creideann go leor daoine go bhfuil cripteagrafaíocht éigeantach d'aon ISPD. Go deimhin, níor cheart iad a úsáid ach amháin mura bhfeiceann an t-oibreoir aon bhearta cosanta eile dó féin seachas úsáid cripteagrafaíochta.
- Mura féidir leat a dhéanamh gan cripteagrafaíocht, ní mór duit CIPF arna dheimhniú ag an FSB a úsáid.
- Mar shampla, socraíonn tú ISPD a óstáil i néal soláthraí seirbhíse, ach níl muinín agat as. Déanann tú cur síos ar do chuid imní i múnla bagairt agus ionraidh. Tá sonraí pearsanta agat, mar sin shocraigh tú gurb é cripteagrafaíocht an t-aon bhealach chun tú féin a chosaint: cripteoidh tú meaisíní fíorúla, tógfaidh tú bealaí slán ag baint úsáide as cosaint cripteagrafach. Sa chás seo, beidh ort úsáid a bhaint as CIPF deimhnithe ag an FSB na Rúise.
- Roghnaítear CIPF deimhnithe de réir leibhéal áirithe slándála de réir .
Maidir le ISPDn le UZ-3, is féidir leat KS1, KS2, KS3 a úsáid. Is é KS1, mar shampla, C-Terra Virtual Gateway 4.2 le haghaidh cosaint cainéal.
Ní dhéantar ionadaíocht ar KC2, KS3 ach le córais bogearraí agus crua-earraí, mar shampla: Comhordaitheoir ViPNet, APKSH "Continent", S-Terra Gateway, etc.
Má tá UZ-2 nó 1 agat, beidh modhanna cosanta cripteagrafacha de rang KV1, 2 agus KA uait. Is córais shonracha bogearraí agus crua-earraí iad seo, tá siad deacair a oibriú, agus tá a saintréithe feidhmíochta measartha.
Réaltacht: Ní chuireann an dlí ceangal ar úsáid CIPF deimhnithe ag an FSB.
Foinse: will.com