Személyes adatok feldolgozása és tárolása az Orosz Föderációban. Orosz állampolgárok és külföldi országokban lévő szerverek személyes adatai

Tárolási terminológia személyes adatok később alakult ki.

2001-ben ben Munka Törvénykönyve Oroszországban megjelent a 14. fejezet az alkalmazottaknak szentelve, és 15 évvel később a kormány végül meghatározta a bizalmas információk kezelésének feltételeit.

Az információ tárolása az időben és térben való elosztás módjára vonatkozik. meghatározott médium használatával. Az adattárolás fő feltétele és célja az állandó vagy igény szerinti hozzáférés biztosítása.

Az adattárolás az szerves része információ feldolgozás. Amikor egy állampolgár ad, az információgyűjtésről, felhalmozásról, tisztázásról, kinyerésről, frissítésről és tárolásról szól.

Hol lehet tárolni az Orosz Föderáció területén?

Minden üzemeltetőnek rendelkeznie kell adatvédelmi szabályzattal beleértve a következő elemeket:

Elektronikus

A személyes adatok bizalmasnak minősülnek, ezért azokat védeni kell. Az ilyen utasításokkal végzett összes művelethez, beleértve a tárolást is, (ISPD) használatos.

Oroszországban általában négy kategóriába sorolják őket az információ fontosságától és mennyiségétől függően.

  • 1. kategória. A személyes adatok tipikus információs rendszere több mint 100 ezer alany nyilatkozatával. Tartalmaz információkat fajról, nemzetiségről, politikai nézetekről, vallásról, intim életről és egyéb kijelentésekről, amelyek terjesztése egyértelmű Negatív hatás az egyének életéről.
  • 2. kategória. A rendszer személyes nyilatkozatokat tartalmaz, amelyek nyilvánosságra hozatala lehetővé teszi, hogy harmadik személyek további nyilatkozatokat kapjanak egy magánszemélyről, kivéve az első kategóriába tartozó adatokat.
  • 3. kategória. Személyes adatokat tartalmazó rendszer, amely lehetővé teszi az egyén azonosítását.
  • 4. kategória. Tárolást biztosít, amelynek nyilvánosságra hozatala nem jár negatív hatással.

A tárolási folyamat egy ilyen rendszer létrehozásával és az orosz kormányzati szervek általi ellenőrzésével kezdődik. Ezt követően az üzemeltetőnek biztosítania kell a helyiségek műszaki védelmére vonatkozó összes követelményt, a rendszer megfelelőségét az alábbiak szerint ellenőrzik:

  1. tűzbiztonsági követelmények;
  2. védelem;
  3. elektromos erő;
  4. földelés;
  5. egészségügyi követelmények.

Az utolsó pont az ISPD tanúsítása vagy tanúsítása. Ha az ISPD készen áll, akkor a cégnek regisztrálnia kell jogi alap minden olyan személyes adatot tartalmazó folyamat, amely megjelenik az oldalon, mielőtt a felhasználóra vonatkozó nyilatkozatokat beírná az űrlapba.

Bármilyennek nevezhető, például "Személyes adatkezelési szabályzat" vagy "Hozzájárulás a személyes adatok tárolásához".

A lényeg az, hogy az ügyfél megismerkedjen vele, és rákattintson a „pipára”, ezzel kifejezve hozzájárulását az üzemeltető tájékoztatásához. Az ilyen információk tárolásának teljes folyamata szabályozott jogalkotási aktusok bizalmas adatokról.

Harmadik félnek átadni tilos, valamint az eredetileg nem jelölt célokra történő felhasználás.

Az elektronikus médiával dolgozó üzemeltetők számára az utasítás így fog kinézni:

  1. Az adatokhoz való hozzáférést korlátozni kell.
  2. Információk továbbítása titkosított csatornákon.
  3. Van .
  4. Vezessen nyilvántartást a fizikai adathordozókról, ha van ilyen.
  5. Akadályozza meg a szivárgásokat.
  6. Külön tárolja a feldolgozott információkat különböző célokra.
  7. információ feldolgozás után 30 napos tárolás után (kívánatos) vagy hat hónap elteltével (in hibátlanul).

A cégek saját belátásuk szerint tehetnek közzé adatokat., beleértve a modern felhőket is.

Az állam egyértelműen szabályozza a PD tárolási folyamatait, minden ilyen információ üzemeltetőjének át kell esnie egy sor ellenőrzésen, és bizonyítania kell információszolgáltatási képességét. Az adatok jogosulatlan terjesztése vagy hozzáférése esetén az üzemeltető polgári jogi, anyagi, sőt büntetőjogi felelősséggel tartozik.

Polgárság

A légi szabályzat 105. cikke 2. és 3. részében foglaltak szerint Orosz Föderáció, a légi személyszállítási szerződést, a légi árufuvarozási szerződést vagy a légi küldeményszállítási szerződést utasszállítás esetén jegy, illetve poggyászátvételi elismervény igazolja. poggyászról, fuvarlevélről, postai számláról; jegy, poggyászfeladás, egyéb, az utasok légi szállítási szolgáltatása során használt okmányok kiállíthatók elektronikus formában(elektronikus fuvarokmány) a légi szállítási szerződés feltételeire vonatkozó információk elhelyezésével a légi szállítást kibocsátó automatizált információs rendszerben. Így a légi fuvarozók a jogszabály fenti rendelkezéseinek végrehajtása érdekében kötelesek az utasok személyes adatait feldolgozni a légi szállítási szerződés megkötését igazoló dokumentumok elkészítése érdekében.

Az Art. Az Orosz Föderáció légi szabályzatának 85.1 repülésbiztonság a fuvarozók biztosítják a repülőgép utasainak személyes adatainak továbbítását az utasok személyes adatait tartalmazó automatizált központi adatbázisokba az Orosz Föderáció közlekedésbiztonsági jogszabályaival és az Orosz Föderáció személyes adatokra vonatkozó jogszabályaival összhangban, a nemzetközi légi szállításban is. külföldi államok felhatalmazott szerveihez az Orosz Föderáció nemzetközi szerződéseivel vagy a külföldi indulási, cél- vagy tranzitország jogszabályaival összhangban, az Orosz Föderáció jogszabályai által előírt mértékben, hacsak az Orosz Föderáció nemzetközi szerződései másként nem rendelkeznek. Föderáció. Ugyanakkor szem előtt kell tartani, hogy az Orosz Föderáció több fél tagja nemzetközi egyezmények a légi közlekedés területén, különösen Chicagói egyezmény („Nemzetközi egyezmény polgári repülés” megkötésre került 1944. december 7-én Chicagóban, az Orosz Föderáció tekintetében 2005. augusztus 16-án lépett hatályba - „Az Orosz Föderáció Jogszabálygyűjteménye”, 2006.10.30., 44. sz., Varsói Egyezmény ( "A nemzetközi légi szállításra vonatkozó egyes szabályok egységesítéséről szóló egyezmény", amelyet 1929. október 12-én kötöttek Varsóban, 1933. február 13-án lépett hatályba a Szovjetunióban. Gyűjtemény meglévő megállapodások, a Szovjetunió által külföldi államokkal kötött megállapodások és egyezmények, 1. kötet. VIII, - M., 1935, p. 326-339.) és a Gualadajarai Egyezmény ( „A szerződés alapján nem fuvarozó személy által végzett nemzetközi légi fuvarozásra vonatkozó egyes szabályok egységesítéséről szóló Varsói Egyezményt kiegészítő egyezmény” Guadalajarában 1961. szeptember 18-án jött létre, a Szovjetunió tekintetében decemberben lépett hatályba. 21, 1983, "A Szovjetunió Fegyveres Erői Vedomoszti", 1984.02.15., 7. sz.), amelyek szintén szerves részét képezik jogi szabályozás a légi fuvarozók tevékenységei és a kapcsolódó információs folyamatok.

A fentiek alapján követelmények h. 5. cikk. A "Személyes adatokról" szóló szövetségi törvény 18. cikke nem vonatkozik az orosz és külföldi légi fuvarozók tevékenységére az állampolgárok utasai személyes adatainak foglalása, jegyek kiállítása és kiállítása céljából történő gyűjtése és feldolgozása tekintetében. utazási jegyek), poggyászbizonylatok és egyéb szállítási dokumentumok 1. részének (2) bekezdésében foglalt kivétel hatálya alá tartoznak. A személyes adatokról szóló szövetségi törvény 6. cikke.

Követelmények h. 5 Cikk. A személyes adatokról szóló szövetségi törvény 18. cikke szintén nem vonatkozik a légi fuvarozó (meghatalmazott ügynök) nevében eljáró személyek tevékenységére, akiknek tevékenységét az utasok légi szállítására vonatkozó általános szabályok 6. szakasza írja elő, Poggyász, rakomány és az utasok, feladók, címzettek kiszolgálására vonatkozó követelmények, az Oroszországi Közlekedési Minisztérium 2007. június 28-i, 82. számú, „A Szövetségi Légiközlekedési Szabályok jóváhagyásáról” szóló rendeletével jóváhagyva. Általános szabályok utasok, poggyászok, rakományok légi szállítása és az utasok, feladók, címzettek", valamint más személyek kiszolgálásának követelményei, az állampolgárok-utasok személyes adatainak kezelésével kapcsolatban, kizárólag repülőjegyek (utazási jegyek) foglalása, kiállítása és kiállítása céljából ), poggyászátvételi elismervények és egyéb fuvarokmányok, beleértve az elektronikus formában belföldi és nemzetközi járatokat is, ha e személyek fenti tevékenységeit az Orosz Föderáció jogszabályai vagy a vonatkozó jogszabályok előírják. nemzetközi szerződés, beleértve a légiközlekedés biztonságának biztosítását is.

Ha a személyes adatok kezelése a 6. cikk (1) bekezdésének (2), (3), (4) és (8) bekezdésében meghatározott kivételek hatálya alá tartozik szövetségi törvény A „Személyes adatokról” a 152-FZ 18. cikke 5. részének rendelkezései nem vonatkoznak. A személyes adatok kezelése érdekében tett intézkedések megfelelő minősítését és a jogszabályi előírásoknak való megfelelés biztosítását a személyes adatok kezelője az adatkezelés biztosítása (szolgáltatásának megszervezése) során végzi. Az említett minősítés és feldolgozási biztosíték helyességét egy adott helyzetben felhatalmazott ellenőrzi szövetségi ügynökség ellenőrzési tevékenységek során.

Termékek és szolgáltatások

A „Személyes adatokról” szóló szövetségi törvény 18. cikke 5. részének rendelkezéseinek összességéből („a személyes adatok gyűjtése során, beleértve az internetes információs és távközlési hálózaton keresztül történő gyűjtést is, az üzemeltető köteles gondoskodni a rögzítésről, rendszerezésről, felhalmozásról, tárolásról , pontosítás (frissítés, módosítás), az Orosz Föderáció állampolgárainak személyes adatainak visszakeresése az Orosz Föderáció területén található adatbázisok segítségével, kivéve a jelen 6. cikk 1. részének 2., 3., 4. és 8. pontjában meghatározott eseteket. Szövetségi törvény) és a „Személyes adatokról” szóló szövetségi törvény 6. cikkének 1. részének 2. bekezdése („a személyes adatok feldolgozása az Orosz Föderáció nemzetközi szerződésében vagy a törvényben meghatározott célok eléréséhez szükséges, és teljesíti az Orosz Föderáció jogszabályai által az üzemeltetőre ruházott feladatokat, hatásköröket és kötelezettségeket) ebből az következik, hogy a személyes adatoknak a meghatározott célok és követelmények szerinti feldolgozása megerősítést nyer. Az Európa Tanács Orosz Föderációjának az egyének védelméről szóló egyezménye a személyes adatok automatikus feldolgozása tekintetében nem mond ellent az Orosz Föderációnak a személyes adatok védelmével kapcsolatos kapcsolatokat szabályozó jogszabályainak. Ezenkívül a 18 152-FZ cikk 5. része nem korlátozza az Orosz Föderáció állampolgárai személyes adatainak határokon átnyúló továbbítását.

A törvény nem tartalmazza az „első gyűjtés” fogalmát, de követelményeket ír elő a személyes adatok feldolgozására bármilyen információgyűjtés során, miközben kiemeli a PD-vel végzett ilyen műveleteket, mint a személyes adatot tartalmazó információk pontosítását (frissítését, megváltoztatását). A törvény értelmében az információgyűjtés folyamata magában foglalja az információtárolási és -gyűjtési eljárásokat is, ami önmagában nem teszi lehetővé az „elsődleges gyűjtés” fogalmának használatát. Így a törvény előírja az üzemeltetőnek, hogy az összegyűjtött személyes adatok rendszerezéssel, felhalmozással, tárolással, pontosítással, kinyeréssel történő feldolgozásakor az Orosz Föderáció területén található adatbázisokat használja. Így, ha a személyes adatokat tartalmazó jelentések elkészítéséhez vagy elemzéséhez az üzemeltetőnek a személyes adatok feldolgozásának említett formáit kell végrehajtania, akkor ezeket az intézkedéseket az Orosz Föderáció területén található adatbázisok segítségével kell végrehajtani.

Az elsődleges gyűjteményre vonatkozó értelmezés a következő okok miatt helytelen. A törvény nem tartalmazza az „első gyűjtés” fogalmát, de követelményeket ír elő a személyes adatok feldolgozására bármilyen információgyűjtés során, miközben kiemeli a PD-vel végzett ilyen műveleteket, mint a személyes adatot tartalmazó információk pontosítását (frissítését, megváltoztatását). A törvény értelmében az információgyűjtés folyamata magában foglalja az információtárolási és -gyűjtési eljárásokat is, ami önmagában nem teszi lehetővé az „elsődleges gyűjtés” fogalmának használatát. Így a törvény előírja az üzemeltetőnek, hogy az összegyűjtött személyes adatok rendszerezéssel, felhalmozással, tárolással, pontosítással, kinyeréssel történő feldolgozásakor az Orosz Föderáció területén található adatbázisokat használja.

Az információról, információs technológiákról és információvédelemről szóló, 2006. július 27-i 149-FZ szövetségi törvény 16. cikke 4. része 7. szakaszának rendelkezéseivel összhangban az információ tulajdonosa, az információs rendszer üzemeltetője, az Orosz Föderáció jogszabályai által meghatározott esetekben kötelesek biztosítani az információs adatbázisok Orosz Föderáció területén történő elhelyezését, amelyeket gyűjtenek, rögzítenek, rendszereznek, felhalmoznak, tárolnak, pontosítanak (frissítenek, módosítanak), kivonnak. az Orosz Föderáció állampolgárainak személyes adatai.

Figyelembe véve a „Személyes adatokról” szóló, 2006. július 27-i 152-FZ szövetségi törvény (hatályos 2015. szeptember 1-től) 18. cikkének 5. részének rendelkezéseit is, amely megállapítja, hogy a személyes adatok gyűjtése során, beleértve az információ útján történő gyűjtést is. távközlési hálózat Internet, az üzemeltető köteles biztosítani az Orosz Föderáció állampolgárai személyes adatainak rögzítését, rendszerezését, felhalmozását, tárolását, pontosítását (frissítését, megváltoztatását) az Orosz Föderáció területén található adatbázisok segítségével, úgy gondoljuk, hogy az Orosz Föderáció állampolgárai személyes adatainak egy másik állam területén történő feldolgozása kizárólag a „Személyesekről szóló szövetségi törvény” 6. cikke 1. részének 2., 3., 4. és 8. bekezdésében meghatározott esetekben hajtható végre. Adatok", amelyre vonatkozóan a 152-FZ 18. cikkének 5. része kivételt képez. Szem előtt kell tartani azt is, hogy a „fő” személyes adatbázisra és annak „másolatára” nincs jogi felosztás. Mindkét esetben olyan adatbázisról beszélünk, amellyel a személyes adatokat kezelik. Ugyanakkor a szövetségi törvény nem tartalmaz utalásokat az Orosz Föderáció polgárai személyes adatainak olyan adatbázisok használatával történő feldolgozására vonatkozó általános tilalomra, amelyek nem találhatók az Orosz Föderáció területén.

Ebben a tekintetben úgy véljük, hogy az Orosz Föderáció polgárai személyes adatainak gyűjtése, rögzítése, rendszerezése, felhalmozása, tárolása, pontosítása, kivonatolása révén történő feldolgozása olyan adatbázisok használatával is végrehajtható, amelyek nem az Orosz Föderáció területén találhatók. a következő esetekben:

  • ha az ilyen tevékenység a 152-FZ 6. cikke 1. részének 2–4., 8. bekezdésében meghatározott esetek hatálya alá tartozik;
  • ha az ilyen tevékenység nem tartozik a 152-FZ 6. cikke 1. részének 2–4., 8. pontjában meghatározott esetek hatálya alá, és az Orosz Föderáció területén vannak olyan adatbázisok, amelyeket a személyes adatok ilyen feldolgozására használnak, és amelyek nagyobb mennyiségű személyes adat, vagy megegyezik az Orosz Föderáció területén kívül található személyes adatokkal (ebben az esetben elfogadhatatlan, hogy az Orosz Föderáció területén kívül olyan személyes adatokat találjanak, amelyek egyidejűleg nem az Orosz Föderáció területén találhatók).

A személyes adatok határokon átnyúló továbbítása nem tilos, a 152-FZ szövetségi törvény 12. cikkében meghatározott követelmények betartása mellett. Ugyanakkor a határokon átnyúló adattovábbításnak előre meghatározott adatkezelési céllal kell rendelkeznie, amelynek elérésekor a személyes adat alanya számára garantálni kell a továbbított adatok idegen állam területén történő megsemmisítését. Ha ezek a követelmények teljesülnek, a felelősség a Orosz törvényhozás, a megbízási szerződésre megállapított eljárási rend és feltételek megsértése esetén az üzemeltetőre irányadó.

A „Személyes adatokról” szóló szövetségi törvény 3. cikke (2) bekezdésének rendelkezéseivel összhangban az üzemeltető állami szerv, önkormányzati szerv, jogi személy vagy magánszemély, függetlenül vagy más személyekkel együtt, akik szervezik és (vagy) végzik a a személyes adatok kezelése, valamint a személyes adatok kezelésének céljának meghatározása, a kezelendő személyes adatok összetétele, a személyes adatokkal végzett műveletek (műveletek). Így a 242-FZ szövetségi törvény rendelkezései az összes fenti tárgyra vonatkoznak. Az elfogadott szövetségi törvény nem köti a 152-FZ 18. cikke 5. részének terjesztését csak azokra az üzemeltetőkre, ahol a személyes adatok feldolgozása a fő tevékenységük, vagy azokra az üzemeltetőkre, akik személyes adatokat csak információs és távközlési hálózatok használatával dolgoznak fel.

A „Személyes adatokról” szóló szövetségi törvény 3. cikke (2) bekezdésének rendelkezéseivel összhangban az üzemeltető állami szerv, önkormányzati szerv, jogi személy vagy magánszemély, függetlenül vagy más személyekkel együtt, akik szervezik és (vagy) végzik a a személyes adatok kezelése, valamint a személyes adatok kezelésének céljának meghatározása, a kezelendő személyes adatok összetétele, a személyes adatokkal végzett műveletek (műveletek). Így a 242-FZ szövetségi törvény rendelkezései az összes fenti tárgyra vonatkoznak. Az elfogadott szövetségi törvény nem köti a 152-FZ 18. cikke 5. részének terjesztését csak azokra az üzemeltetőkre, ahol a személyes adatok feldolgozása a fő tevékenységük, vagy azokra az üzemeltetőkre, akik személyes adatokat csak információs és távközlési hálózatok használatával dolgoznak fel. A jogalkotási tevékenységekre vonatkozó meglévő tervek nem írják elő az e rendelkezést korrigáló szövetségi törvénytervezet kidolgozását.

A törvény fenti előírásai vonatkoznak többek között a gyűjtés eredményeként megszerzett személyes adatok kezelő általi kezelésére, nevezetesen a rögzítésre, rendszerezésre, felhalmozásra, tárolásra, pontosításra (frissítésre, módosításra), kimásolásra.

A megértés helyes. A 152-FZ nem hozza nyilvánosságra a „személyes adatok felhasználása” kifejezést. Az értelmezés szempontjából „személyes adatok felhasználása” alatt olyan személyes adatokkal végzett tevékenységeket értünk, amelyek nem kapcsolódnak a személyes adatok kezelésének más formáihoz, ideértve a személyes adatokon alapuló döntések meghozatalát is, amelyek végrehajtása érdekében a személyes adatokat gyűjtöttük. (a személyes adatok gyűjtésének céljának meg kell felelnie a személyes adatok felhasználásának céljának).

Az „üzemeltető” fogalmát a 152-FZ törvény 3. cikke tartalmazza, amely állami szervre, önkormányzati szervre, jogi személyre vagy magánszemélyre vonatkozik, önállóan vagy más személyekkel közösen, akik személyes adatokat szerveznek és (vagy) feldolgoznak. valamint a személyes adatok kezelésének céljának meghatározása.az adatok, a kezelendő személyes adatok összetétele, a személyes adatokkal végzett műveletek (műveletek). Figyelembe véve, hogy a 152-FZ törvény 3. cikke nem tartalmaz kivételeket a személy általi végrehajtás tekintetében egyéni műveletek törvény rendelkezéseivel összefüggésben a személyes adatok kezeléséről, valamint az üzemeltetőtől, a személyes adatok kezelésének célját meghatározó vagy a személyes adatok feldolgozásával kapcsolatban bizonyos cselekményeket végrehajtó személytől eltérő egyéb meghatározások. 152-FZ, a személyes adatok feldolgozását végző üzemeltető.

- Valóban nem szükséges 2015. szeptember 1. után a személyes adatok kezelésének újbóli vagy további bejelentése. Szükséges-e továbbá megmondani, hogy hol találhatók az adatbázisok?

Nincs fogalma az „ismételt” vagy „további” értesítésnek. A személyes adatokról szóló szövetségi törvény 22. cikke előírja az üzemeltető azon kötelezettségét, hogy a személyes adatok feldolgozása előtt értesítést küldjön. E cikk 2. része számos kivételt tartalmaz, amikor nincs szükség ilyen értesítésre. A 242-FZ szövetségi törvény 3. része módosul, amely meghatározza a közlemény tartalmára vonatkozó követelményeket. Ha egy szervezet korábban értesítést küldött a Roszkomnadzornak a személyes adatok kezeléséről, akkor a törvény hatálybalépését követően az üzemeltetőknek a jelen cikk 7. részében foglaltak szerint tíz munkanapon belül tájékoztatást kell adniuk az adatbázis helyéről. .

- A személyes adatok papír alapon történő kezdeti gyűjtése, majd azok elektronikus adatbázisba történő bevitele a 152-FZ. sz. szövetségi törvény 18. cikkének 5. részében foglalt követelmények hatálya alá tartozik?

A 152-FZ szövetségi törvény 18. cikkének 5. részének követelményei szerint a személyes adatok gyűjtése során, beleértve az „Internet” információs és távközlési hálózatot is, az üzemeltető köteles biztosítani a rögzítést, rendszerezést, felhalmozást, tárolást, tisztázása (frissítés, módosítás), személyes adatok visszakeresése az Orosz Föderáció állampolgárai számára az Orosz Föderáció területén található adatbázisok segítségével, kivéve az e Szövetségi Föderáció 6. cikke 1. részének 2., 3., 4. és 8. bekezdésében meghatározott eseteket. Törvény. A személyes adatokra vonatkozó jog egyik alapelve az az elv, hogy a személyes adatok feldolgozását meghatározott, előre meghatározott és jogszerű célok elérésére kell korlátozni. E tekintetben a személyes adatok bevitele a személyes adatok információs rendszerébe az adatgyűjtéshez hasonló célokat szolgál papír hordozó, egyetlen folyamatnak kell tekinteni, amelynek végrehajtását szigorúan a 152-FZ szövetségi törvény 18. cikke 5. részének követelményeivel összhangban kell végrehajtani. Az Orosz Föderáció személyes adatokra vonatkozó jogszabályai nem írják elő ennek az egyetlen folyamatnak a külön cselekvésekre való felosztását. Ily módon bizonyos fajták a 152-FZ szövetségi törvény 18. cikkének 5. részében előírt személyes adatok feldolgozását, ideértve a személyes adatok papíralapú gyűjtését, majd azok elektronikus adatbázisba történő utólagos bevitelét, egyetlen folyamatként kell végrehajtani a jogi területen A személyes adatoknak az Orosz Föderáció területén való tárolására kötelezett jogszabályi norma pontja.

felhő infrastruktúra Az Integrus Group megoldása, amely jelentős anyagi és emberi erőforrások bevonása nélkül biztosítja a modern üzleti életet kész informatikai infrastruktúrával.

Az Integrus személyes adatvédelmi és tárolási szolgáltatásokat kínál vállalati ügyfelek számára Oroszországban. Ha felveszi velünk a kapcsolatot, akkor teljesen biztos lehet abban, hogy egy megbízható, biztonságos rendszert állít a rendelkezésére, és maradéktalanul megfelel a törvényi előírásoknak.

Kiknek alkalmasak szolgáltatásaink

Személyes adatok biztonságos szerveren való tárolásának árai Szentpéterváron

Díjszabás terv Tanúsítvánnyal rendelkező ISPD szerver bérlésének ára, rub./hó **
Az ISPD szerver bérlésének ára tanúsítvány nélkül, rubel / hó
ISPDn-1 5Gb 4 990 2 490
ISPDn-2 50Gb 9 990 4 990
ISPDn-3 100Gb 19 990 9 990
ISPDn-4 200Gb 29 990 14 990
ISPDn-5 400Gb 39 990 19 990
Fizetés beállítása * 10 000

* - A díjcsomagon belüli biztonságos virtuális szerver költségén felül az első szerver ISPD-ben történő megrendelésekor telepítési díj is jár

10 000 rubel összegben.

** - Egy biztonságos ISPD-szerver költsége egy dokumentumcsomaggal és egy munkahelyi tanúsítási eljárással.

A személyes adatok tárolására és feldolgozására szolgáló biztonságos infrastruktúra értékesítése a bemutatott díjszabás szerint től történik minimális futamidő- 1 év.

Munka példák

Sikeresen befejeztük a Moszkvai Intézet hallgatóinak személyes adatainak felhőbe történő átvitelét. Megtörtént a munkahely, a kommunikációs csatorna és a felhőszerver igazolása. Nem szabványos adatbázis jött létre, amely 5 GB-ot foglal el egy biztonságos szerveren.

Tanúsítványaink

  • Mit tartalmaznak személyes adatok tárolási szolgáltatásaink

    • Az információk feldolgozását és tárolását egy külső adatfeldolgozó központban (DPC) szervezzük, a személyes adatok védelméről szóló 152-FZ számú szövetségi törvény követelményeinek megfelelően védett virtuális gépet biztosítunk Önnek.
    • A jogszabályok jogi, szervezeti és technikai normáit végrehajtjuk.
    • Elkészítjük és biztosítjuk szervezetének a szükséges dokumentumok teljes készletét (figyelembe véve az Ön tevékenységének sajátosságait), beleértve a biztonsági követelményeknek való megfelelést igazoló igazolást is.
    • Nem kell megállapodást kötnie az alanyokkal, hogy személyes adataikat feldolgozás céljából egy külső adatközpontba továbbítják.

    Érdemes megemlíteni két árnyalatot:

    • A szerver minimális időtartama 6 hónap. Ha 5 GB-on belül marad, akkor az ár havi 4990 rubel lesz. Ha még mindig többre van szüksége, akkor a következő tarifára van szüksége: 50 GB és 9990 rubel. havonta.
    • A telepítés költsége 10 000 rubel. szabványos dokumentumkészletre érvényes, az Ön esetében ez a „Távoktatási Platform”, nálunk nem szabványos, és szükség lehet egy dokumentációs csomag egyedi fejlesztésére. A nem szabványos konfiguráció fejlesztésének költsége +15 000 rubel. Ez egyszer történik.

    Ahhoz, hogy megértsük, szükség lesz-e egyéni fejlesztésre, szükségünk van Rövid leírás szolgáltatás (melyik adatbázis és hol van tárolva (MySQL; SQL stb.)), amely az ISPD szerveren lesz tárolva. Azok. szolgáltatás működési algoritmusa, ki a PD alanya a szolgáltatásban, ki és hogyan jut hozzá a szolgáltatáshoz.

    Hogyan működik

    Ma már minden vállalkozás személyes adatokat feldolgozó információs rendszereket (PD) használ. Például ezek a számviteli IS, a pénzügyi, a személyzeti és mások. A feldolgozás a jogszabály szerint ezen információkkal történő gyűjtést, rögzítést, rendszerezést, tárolást, pontosítást, felhasználást, továbbítást, törlést és egyéb műveleteket jelenti.

    Ennek megfelelően előbb-utóbb felmerül a kérdés, hogy munkájukat összhangba hozzák-e a „Személyes adatokról” szóló szövetségi törvénnyel, és okmányos bizonyítékot szerezzenek ennek betartásáról.

    Meglehetősen nehéz a személyes adatok tárolására vonatkozó követelményeket önállóan és a szükséges tapasztalatok nélkül teljesíteni, ez szükségtelen idő- és erőforráspazarláshoz vezethet. Ezért szakembereink szolgáltatásait ajánljuk. A személyes adatok tárolásának és továbbításának megszervezésével kapcsolatos problémákat már nem egyszer megoldották, és jól ismerik a „csapdákat”.

    Személyes adatok tárolása adatközponti szerveren: a megközelítés előnyei

    Komplett biztonsági rendszer kiépítése információs rendszerek Személyes adatok (ISPD) esetén a vállalkozásnál el kell végezni az ISPD projekt előtti felmérését, ki kell dolgozni a biztonsági fenyegetések modelljét, koncepciót kell alkotni, majd meg kell tervezni az ISPD védelmére szolgáló rendszert, szállítani, bevezetni, tanúsítványt kell kidolgozni. módszereket, ellenőrzést végez, és megfelelőségi tanúsítványt állít ki.

    Ha az ügyfelek személyes adatainak tárolását egy külső adatközpontban található, hitelesített virtuális infrastruktúrában szervezi meg, akkor mindezen munkák végrehajtása leegyszerűsödik, és az előre kidolgozott szabványos dokumentumok jóváhagyásától függ, és a megfelelő költségek jelentősen megnőnek. csökkent. Ezenkívül az adatok megbízható és modern adatközpontban történő tárolása biztosítja, hogy az adatok mindig teljes körűen és az elvesztéstől védve álljanak az Ön rendelkezésére.

    Ha azonban a PD-t egy külső adatközpontba viszi át, akkor általában számos nehézség adódik. Így például a „Személyes adatokról” szóló 152-FZ szövetségi törvény (7. cikk és a 6. cikk 3-5. része), amely meghatározza a személyes adatok Oroszországban történő tárolásának eljárását, az üzemeltetőt megbízza a személyes adatok feldolgozásával. PD harmadik féltől származó adatközponthoz , minden érintett hozzájárulását meg kell szerezni a személyes adatok gyűjtéséhez és tárolásához, amely tartalmazza az adatok listáját és a velük kapcsolatos megengedett tevékenységeket, a célokat, a határidőket, valamint kézírásos aláírást. minden tárgyról (valójában megállapodást kötni az ügyféllel a tárolásra Személyes adat).

    1. ábra. A klasszikus séma: az üzemeltető szervezet a PD-t egy külső adatközpontba küldi feldolgozásra, ezzel az adatok biztonságával kapcsolatos minden aggályt az adatközpont üzemeltetőjére hárít.

    Az adatközponttal való munka ilyen klasszikus sémájával rendelkező PD üzemeltető szervezet jelentős kellemetlenségekkel és korlátokkal néz szembe munkája során:

    • Az adatkezelés minden szervezeti és jogi kérdése továbbra is aktuális: szükséges a személyes adatokról szóló rendelet kiadása, kidolgozása jogi indokok a személyes adatok kezeléséhez, valamint a személyes adatok harmadik fél részére történő továbbításához (beleértve az adatközpontot is).
    • A „Személyes adatokról” szóló 152-FZ szövetségi törvény 7. cikke és 6. cikkének 3–5. része értelmében kötelezettség keletkezik, hogy minden egyes személyes adatalanytól hozzájárulást kell kérni a személyes adatoknak az adatközpontba történő továbbításához. adat. Ezenkívül az ilyen hozzájárulást az említett szövetségi törvény 9. cikkében foglalt követelményeknek megfelelően kell kiadni, pl. Tartalmazza többek között az adatkezelés céljait, a személyes adatok teljes listáját, a személyes adatokkal végzett tevékenységek teljes listáját, amelyekhez a hozzájárulást megadják, a hozzájárulás érvényességi idejét, valamint kézzel írt aláírás a személyes adat tárgya vagy annak elektronikus analógja, és az ilyen hozzájárulás megszerzése általában nehézséget okoz az üzemeltető szervezet számára.

    A nehézségek elkerülése érdekében a következő munkatechnológiát ajánljuk:

    • A tanúsított kriptográfiai védelmi eszközök segítségével a kommunikációs csatornákon továbbított PD védve van a kommunikációs szolgáltatóval szemben.
    • Hasonló módon javasoljuk a személyes adatok védelmét, és az adatközpontban történő feldolgozás során eszközök alkalmazását információvédelem, kizárva az adatközpont alkalmazottai általi hozzáférés minden technikai lehetőségét. Ehhez egy vagy több virtuális gépet helyezünk üzembe, amelyek mindegyike egy átfogóan elkülönített objektum, amelyhez a tárhelyszolgáltató minden hozzáférése le van tiltva. Ezt mind a hipervizor funkciói, mind a jogosulatlan hozzáférés elleni védelem révén érik el. A jövőben egy ilyen bérelt biztonságos virtuális géppel dolgozhat a munkahelyről az ügyfél irodájából távoli terminál („Távoli asztal”, VNC-terminál vagy SSH-terminál) segítségével.

    Így sem a szolgáltató, sem az adatközpont semmilyen módon nem tudja megállapítani a személyes adatok tárgyát, meghatározni az ügyfél virtuális gépében lévő információ mennyiségét, bizalmas információ meglétét. Ezért a PD-vel végzett ilyen munka egy elszigetelt virtuális gépben nem tekinthető a PD adatközpont üzemeltetőjének történő átadásának vagy a PD feldolgozására vonatkozó utasításnak, amely mentesíti az ügyfelet az alanyok hozzájárulásának beszerzése alól.

    Példa a személyes adatok biztonságos kommunikációs csatornákon keresztüli továbbításának és kezelésének megszervezésére

    Íme egy kis eset, amely szemlélteti ezt a technológiát egy személyes adatkezelő példáján, amely területileg egy központi irodából és fiókokból áll.

    2. ábra. A szervezet a személyes adatokat nyílt csatornákon továbbítja

    Az internetszolgáltató személyes adatokat tartalmazó IP-csomagokat továbbít. Az FZ-152 3. cikkének (3) bekezdése szerint ez már így van különleges eset személyes adatok kezelése. Tehát a 152-es szövetségi törvény 3. cikkének (2) bekezdése szerint az internetszolgáltató már PD-szolgáltatóvá válik. És az FZ-152 6. és 7. cikkének követelményei szerint képzeletbeli szervezetünk, amely nyílt csatornákon keresztül továbbítja a PD-t ez az eset már szükséges a személyes adatok alanyainak hozzájárulása ahhoz, hogy személyes adataikat a szolgáltató hálózatain keresztül egyértelmű szöveggel továbbítsák. Az internetszolgáltatónak pedig minden szükséges szervezési és technikai intézkedést meg kell tennie ezen adatok védelme érdekében.

    Ha azonban intézkedéseket tesznek az adatok titkosítására (kriptográfiai védelem) az internetszolgáltató kommunikációs csatornáin történő elküldése előtt, akkor jogi szempontból a PD feldolgozásra történő átadásának ténye többé nem merül fel. Mivel A 152-es szövetségi törvény 3. cikkének (1) bekezdése szerint „a személyes adat bármely olyan információ, amely közvetlenül vagy közvetve azonosított vagy azonosítható természetes személyre (a személyes adatok alanyára) vonatkozik.”

    A 3. ábra szemlélteti, hogy a kommunikációs szolgáltató nem kap olyan információt, amely közvetlenül vagy közvetve azonosíthatná a személyes adat alanyát.

    3. ábra. A szervezet a személyes adatokat biztonságos csatornákon továbbítja

    EREDMÉNY: A kriptográfiai eszközök alkalmazása a személyes adatok védelmére a szolgáltató csatornáin történő elküldése előtt jogi szempontból lehetővé teszi, hogy megszabaduljunk attól a ténytől, hogy azokat feldolgozásra átadják ennek a szolgáltatónak.

    Személyes adatok védelme a virtuális infrastruktúrában történő feldolgozás során

    Ugyanígy az Integrus felajánlja a személyes adatok védelmét biztonságos adatátviteli csatornákon keresztül, amikor azokat adatközpontokban, felhőtárolókban és virtuális tárhelyeken dolgozzák fel. speciális eszközök információvédelem.

    A védelmet úgy kell telepíteni és konfigurálni, hogy teljesen kizárja annak technikai lehetőségét, hogy az adatközpont alkalmazottai (adminisztrátorok, mérnökök, üzemeltetők) hozzáférjenek azokhoz a személyes adatokhoz, amelyeket a szervezet az adatközpontban tárol. Az ilyen védelmet a személyes adatvédelmi rendszer projektjének megfelelően tanúsított felhasználással végzik Orosz FSTEC információvédelmi eszközök (beleértve a virtuális gép hipervizorát és az illetéktelen hozzáférés elleni védelmi eszközöket), valamint az Oroszországi Szövetségi Biztonsági Szolgálat követelményei szerint tanúsított kriptográfiai információvédelmi eszközök használata (kommunikációs csatornákon történő továbbításkor és virtuális feldolgozáskor infrastruktúra). Egy ilyen sémát részletesen szemléltet a 4. ábra.

    4. ábra. PD védelmi technológia a virtuális infrastruktúrában.

    Személyes adatok védelme - az "Integrus" szolgáltatásai a szervezeti és jogi szférában

    A biztonsági rendszer szervezése mellett minden szervezési és jogi munkát végzünk:

    • Dolgozunk a személyes adatok kezelésének jogalapjain, feladatain, módszerein és feltételein.
    • Elkészítjük és közzétesszük a személyes adatokkal való munkavégzés területén politikát deklaráló dokumentumot (a személyes adatok tárolására, kezelésére vonatkozó előírások), valamint szervezeti és adminisztratív dokumentumokat (IP minősítési törvények, utasítások, szabályzatok és folyóiratok).
    • A személyes adatok feldolgozásával kapcsolatos értesítéseket dolgozunk ki, amelyeket a Roskomnadzornak küldünk (ha szükséges).

    Ha olyan kész információs rendszert szeretne kapni, amely megfelel a személyes adatok tárolásáról szóló törvény követelményeinek, és megfelel minden szabványnak, akkor problémamentesen szeretne személyes adatokkal dolgozni, és nem kell megijednie az ügyfelek, alkalmazottak, ill. szabályozó hatóságokkal, forduljon az Integrus szakembereihez. Hagyjon igényt a weboldalon található visszajelzési űrlapon keresztül, hívjon vagy írjon nekünk, és szívesen adunk tanácsot a probléma technikai és jogi oldaláról.

    • Egyesek ezt a törvényt a vasfüggönyhöz való visszatérésnek és az információs tér változásának megkésett reflexiójának nevezik. Mások a hazai informatikai cégek pozícióinak erősítését, kapacitásainak továbbfejlesztését hozzák összefüggésbe. A módosítások készítői ragaszkodnak ehhez új törvény segít a jogok védelmében orosz állampolgárok a személyes adatok kezelése és tárolása területén. A Martynova Kristina Global Office projektmenedzseréhez fordultunk, hogy tisztázzuk, mivel kell megküzdeniük az üzleti és hétköznapi felhasználóknak a közeljövőben.

    Manapság a 242-FZ és a 152-FZ törvény széles körben hallható. Az elmúlt hónapokban akut fájdalomzónákká váltak üzletemberek, informatikusok és egyszerű halandók vitáiban. Az idén júliusban elfogadott 242-FZ szövetségi törvény új szabályokat állapított meg a személyes adatok kezelésében és tárolásában érintett valamennyi résztvevő számára. Az egyik fő újítás a 152-FZ törvény szövegét érintette, amelynek rendelkezéseit 2016. január 1-jétől kiegészítették azzal a kötelezettséggel, hogy az oroszok személyes adatait az Orosz Föderációban található szervereken tárolják:

    Személyes adatok gyűjtése során, beleértve az "Internet" információs és távközlési hálózatot is, az üzemeltető köteles biztosítani az Orosz Föderáció állampolgárai személyes adatainak rögzítését, rendszerezését, felhalmozását, tárolását, pontosítását (frissítését, módosítását), adatbázisok segítségével történő kinyerését. az Orosz Föderáció területén található.

    Ezzel egyidejűleg minden adattal végzett művelet megtiltható – egészen a számítógép képernyőjén való megjelenítésig, ha az adatbázisok fizikailag külföldön „fekszenek”. Igaz, eddig sem a parlamenti képviselők, sem a Roszkomnadzor nem adott egyértelmű választ arra a kérdésre, hogy mit is kell pontosan érteni adatkinyerés, azok rendszerezése és maga az adatbázis alatt.

    Még homályosabb a 149-FZ törvénybe bevezetett „az információs és távközlési hálózatban információfeldolgozást végző személy, ideértve az internetet is” kifejezés tartalma. Ki és mire jogosult erre a státuszra jogi jelek ilyen arc? Elképzelhető, hogy a jogalkotási repülések elemzése már az állítólagos jogsértés tényére is sor kerül. Ebben az esetben a törvény betűjének tisztázása segít arbitrázs gyakorlat. De ismét nem világos, hogy mi alapján kezdődik próba- a Roskomnadzor vagy bármely más személy kérésére.

    A jogsértő weboldalának blokkolása, a Roszkomnadzor „feketelistájára” felvétele és a felhasználók személyes adataik bírósági végzéssel történő törléséhez való joga – mindez aligha tekinthető a törvény újdonságának. Valójában ez a „Személyes adatokról” és az „Információról” szóló törvény rendelkezéseinek egy kis „frissítése”, amelyek teljes mértékben meghatározzák a büntetési eljárásokat (beleértve a szabálysértők nyilvántartásának létrehozását) és a mechanizmusokat. bírói védelemállampolgárok.

    A személyes adatokról

    Érdemes tisztelegni a törvény hivatalos vitáival egy időben kibontakozó széles körű közfelháborodás előtt. Azok a felhasználók, akik korábban azt hitték, hogy a személyes adatok egy teljes név, útlevéladatok és telefonszámok, végre egy leheletnyi józanságot és józanságot kaptak. Kiderült, hogy a PD rövidítés „minden olyan információt rejt, amely közvetlenül vagy közvetve egy meghatározott vagy azonosítható természetes személyre (a személyes adatok alanyára) vonatkozik” (a 152-FZ 3. cikkének 1. szakasza). Ezek lehetnek egészségügyi adatok, információk a végrehajtott tranzakciókról, levelezés a közösségi hálózatokban, valamint regisztrált fiókok az online áruházakban.

    A vállalkozások számára a személyes adatok mindenütt jelen lévő információ. Például az 1C: Enterprise dedikált szerveren dolgozó Global Office ügyfelek számára. Bérszámfejtés és humánerőforrás menedzsment, a személyes adatok kérdése minden alkalommal felmerül a beszámolók készítése, a bérszámfejtés és szabadságdíj számítás, a betegszabadság és az adóbeszedés során. Sőt, a Microsoft Word, Excel, Power Point stb. szoftvertermékekkel készült, ártalmatlannak tűnő dokumentumok is az új törvény cikkelye alá eshetnek, még akkor is, ha fő tartalmuk semmi köze a feladóhoz vagy a címzetthez. Hogyan lehetséges ez? A metaadatoknak köszönhetően, amelyek nemcsak magában a dokumentumban tárolhatók, hanem tulajdonságainak leírásában is: például a szerző neve, felhasználónév, a dokumentumot utoljára mentő személy postacíme, üzenetfejlécek Email stb. Ugyanez a rejtett veszély a profil regisztráció és a levelek továbbítása a Microsoft Outlookon keresztül.

    Az alkalmazottak személyes adatai mellett a cégeknek más típusú bizalmas információkkal is foglalkozniuk kell, amelyek magukban foglalják a cégadatokat, a szerződő felekre vonatkozó információkat stb. A törvény szerint a személyes adat a hat információtípus egyike. bizalmas jellege(lásd az Orosz Föderáció elnökének „A bizalmas információk listájának jóváhagyásáról szóló rendeletét”). A kényelem érdekében köztünk és ügyfeleink között megállapodás született arról, hogy az általunk biztosított 1C szoftvertermékekben tárolt összes információ személyes, ezért titkosítási, személytelenítési eljárásokat és egyéb adatvédelmi mechanizmusokat alkalmaznak rájuk.

    Mit tegyen egy vállalkozás?

    Saját adatközpont építése és jól aludni technológiai luxus, amit csak nagy cégek. A Yandexnek körülbelül két évébe és még több pénzébe került az adatközpont első fázisának megépítése. A legtöbb orosz középparaszt számára a legvalószínűbb megoldás egy már működő adatközpont felhívása, amely szervertelepítési szolgáltatásokat kínál.

    Egy másik törvényes úton hogy baráti kapcsolatot létesítsen az új törvénnyel – az adatok személytelenítése. Egyes szakértők nagy reményeket fűznek hozzá. A személyes adatokat úgy választják el az alanytól, hogy azokat ne lehessen konkrét személyhez kötni. Ilyen "amorf" formában bármit meg lehet csinálni velük. Feltételezhető, hogy a személyhez fűződő fordított kötelező erejű megkötés az anonimizált adatoknak az Orosz Föderáció területére történő visszaküldésekor kerül végrehajtásra. Ma ezt a technológiát sikeresen alkalmazzák az orvostudományban. A Microsoft, az SAP vagy az Oracle által gyártott népszerű ERP- és CRM-megoldások segítségével anonimizálhatja az adatokat.

    Egy újabb kiskapuért elfogadott törvényt– mondták az ügyvédek. A hatályos jogszabályok nem tiltják az adatok külföldre küldését és az információk sokszorosítását. Elméletileg a személyes adatok Oroszország területén tárolhatók, majd szabadon eljuthatnak másolt formában külföldi szerverekre.

    Formálisan az orosz szervereken való adattárolás követelménye is lehetővé teszi speciális programok(A Global Office-ban ez SecurityIP). Elrejtik a működő szerver végső IP-címét, így nem lehet meghatározni a szerver pontos helyét.

    Természetesen a személyes adatokról szóló fő törvény változásai nemcsak az üzleti szféra, hanem a felhasználók számára is nehézségeket okoznak. És a Roszkomnadzor kitartó hallgatása mellett a felmerülő kérdésekre a válasz továbbra is nyitva marad. A törvény 2015. január 1-jei hatálybalépését elhalasztó módosításokról még tárgyalnak a kormányhivatalokban. Az üzleti élet továbbra is konkrétabb nyelvezetet és kevesebb homályos kifejezést követel a parlamenti képviselőktől. A listán első helyen szerepel a személyes adatok meghatározásának lecserélése. Az új törvény hangosan kimondja, hogy annak világos megértése nélkül, hogy milyen típusú információk minősíthetők PD-nek, aligha lehet megvédeni az állampolgárok jogait.

    A polgárok személyes adatainak feldolgozásának folyamatát a „Személyes adatokról” szóló 152-FZ szövetségi törvény írja elő. Alapvetően ezt a törvényt 2006. július 27-én fogadták el, és ezt követően különféle változtatásokon és kiegészítéseken esett át.

    A személyes adatokról szóló törvény szabályozza az államok közötti kapcsolatokat, önkormányzati hatóságok, magánszemélyek és jogi személyek a személyes adatok feldolgozása és védelme területén, amelyeket automatizálási eszközök segítségével vagy anélkül hajtanak végre.

    E törvény célja, hogy törvényes módszerekkel biztosítsa az állampolgárok szabadságainak és jogainak védelmét személyes adataik kezelése során, beleértve a sérthetetlenséget is. magánélet, családi és személyes titkok.

    Melyik szervezetre vonatkoznak a személyes adatokról szóló szövetségi törvény követelményei?

    Bármely szervezetnek lehetősége van arra, hogy ne szabályozza tevékenységét a „Személyes adatokról” szóló 152-FZ szövetségi törvény 2. cikkének 1. fejezetével összhangban a személyes adatok feldolgozásával kapcsolatban, például:

    1. Személyes adatok magánszemélyek általi kezelése kizárólag személyes és családi szükségletekből, ha az érintettek jogai nem sérülnek;
    2. A személyes adatokat tartalmazó dokumentumok tárolásának, beszerzésének, elszámolásának és felhasználásának megszervezése Levéltári Alap Orosz Föderáció és mások levéltári dokumentumok az Orosz Föderáció archiválására vonatkozó jogszabályokkal összhangban;
    3. pontban említett személyes adatok kezelése kellő időbenállamtitkot képező információra;
    4. Ellátás felhatalmazott szervek tájékoztatás az Orosz Föderáció bíróságainak tevékenységéről az N 262-FZ „Az Orosz Föderáció bíróságainak tevékenységére vonatkozó információkhoz való hozzáférés biztosításáról” szóló, 2008. december 22-i szövetségi törvénnyel összhangban.

    Ha egy szervezet nem tartozik a fenti pontok hatálya alá, akkor feltétlenül meg kell felelnie a törvényi előírásoknak. A személyes adatok gyűjtésével, feldolgozásával és tárolásával kapcsolatos összes többi esetet a „Személyes adatokról” szóló 152. számú szövetségi törvény szabályozza. Szinte minden szervezetre vonatkoznak ezek a követelmények, hiszen szinte minden vállalat ilyen vagy olyan módon kezeli alkalmazottai vagy más magánszemélyek személyes adatait. Minden személyes adatot szigorúan bizalmasan kell kezelni.

    A személyes adatok tulajdonosainak követeléseinek kockáztatása érdekében és kormányzati szervek minimális volt, olyan munkák elvégzése szükséges, amelyek indokolják a személyes adatok kezelésének szükségességét. Szükséges továbbá a titoktartási követelmények betartása mind a nem automatizált adatkezelés, mind a személyes adatok információs rendszerekben történő feldolgozása esetén.

    Személyes adatok – mik azok?

    A személyes adatokról szóló szövetségi törvény 1. fejezetének 3. cikke a személyes adatok meghatározását tartalmazza:

    - személyes adat - bármely olyan információ, amely közvetlenül vagy közvetve azonosított vagy azonosítható természetes személyre (a személyes adat alanyára) vonatkozik.

    Ez lehet vezetéknév, keresztnév, családnév, lakcím és e-mail cím, elérhetőségek, lakóhely, vallás, családi állapot, fényképek, információk a rokonokról és még sok más. Minden ilyen információ birtokában lévő szervezet köteles megvédeni azokat az információs rendszereket, amelyekben ezeket az adatokat tárolni kívánják.

    Személyes adatok gyűjtése, tárolása és feldolgozása

    Amikor szükséges egy munkavállaló vagy más személy személyes adatainak beszerzése Egyedi a szervezetnek joga van azt közvetlenül magától az alanytól begyűjteni. Ha az információ csak harmadik féltől szerezhető be, akkor az érintettet feltétlenül értesíteni kell, és ehhez írásbeli hozzájárulását is kell adnia. ezt az eljárást. Az üzemeltető viszont köteles értesíteni az állampolgárt a személyes adatainak átvételével és feldolgozásával kapcsolatos célokról.

    A személyes adatok feldolgozásának jogalapjával kapcsolatos mindent a „Személyes adatokról” szóló szövetségi törvény 2. fejezete, 6. cikkének 1. szakasza, 152. pontja rögzít:

    1) a személyes adatok feldolgozása a személyes adatok érintettjének személyes adatainak kezeléséhez való hozzájárulásával történik;
    2) a személyes adatok feldolgozása szükséges az Orosz Föderáció nemzetközi szerződésében vagy törvényében meghatározott célok eléréséhez, az Orosz Föderáció jogszabályai által az üzemeltetőre ruházott funkciók, hatáskörök és kötelezettségek végrehajtásához és teljesítéséhez. ;
    3) a személyes adatok kezelése az igazságszolgáltatáshoz, a végrehajtáshoz szükséges bírói aktus, egy másik szerv vagy tisztviselő cselekménye, amely az Orosz Föderáció jogszabályai szerint végrehajtás alá tartozik végrehajtási eljárás(a továbbiakban: bírói cselekmény végrehajtása);
    4) a személyes adatok feldolgozása az állami vagy önkormányzati szolgáltatások nyújtásához szükséges a 2010. július 27-i N 210-FZ „Az állami és önkormányzati szolgáltatások nyújtásának megszervezéséről” szóló szövetségi törvénnyel összhangban az ellátás biztosítása érdekében. egy ilyen szolgáltatás igénybevételére, a személyes adatok alanyának regisztrálására egyetlen portálállami és önkormányzati szolgáltatások;
    5) a személyes adatok kezelése olyan megállapodás teljesítéséhez szükséges, amelynek a személyes adatok alanya szerződő fél vagy kedvezményezettje vagy kezese, valamint a személyes adat alanya kezdeményezésére megállapodás megkötéséhez, vagy a személyes adatok alanya. mely személyes adatok alanya lesz a kedvezményezett vagy a kezes;
    6) a személyes adatok kezelése a személyes adat alanyának életének, egészségének vagy egyéb létfontosságú érdekeinek védelme érdekében szükséges, ha a személyes adat alanyának hozzájárulása lehetetlen;
    7) a személyes adatok kezelése az üzemeltető vagy harmadik személyek jogainak és jogos érdekeinek gyakorlásához vagy társadalmilag jelentős célok eléréséhez szükséges, feltéve, hogy a személyes adatok alanya jogai és szabadságai nem sérülnek;
    8) a személyes adatok kezelése a végrehajtáshoz szükséges szakmai tevékenységújságíró és/vagy jogi tevékenység tömegtájékoztatási vagy tudományos, irodalmi vagy egyéb kreatív tevékenység, feltéve, hogy ez nem sérti a személyes adatok alanyának jogait és jogos érdekeit;
    9) a személyes adatok feldolgozását statisztikai vagy egyéb kutatási célból végzik, az e szövetségi törvény 15. cikkében meghatározott célok kivételével, a személyes adatok kötelező személytelenítésének függvényében;
    10) személyes adatkezelésre kerül sor, amelyhez a személyes adatok alanya vagy kérésére korlátlan számú hozzáférést biztosít (a továbbiakban: az érintett által nyilvánosságra hozott személyes adat);
    11) a közzétételhez vagy kötelező közzétételhez kötött személyes adatok szövetségi törvény szerinti feldolgozása megtörténik.

    Ha egy szervezet a fenti bekezdésekkel ellentétes személyes adatokat dolgoz fel, akkor ez a szövetségi törvény megsértését jelenti.

    A szervezet köteles biztosítani a rendelkezésre álló személyes adatok bizalmas kezelését a „Személyes adatokról” szóló szövetségi törvény 7. cikkével összhangban. Kivételt képeznek azok az esetek, amikor a személyes adatokat anonimizálják, vagy amikor azok nyilvánosan hozzáférhetőek.
    A 8. cikk kimondja, hogy lehetnek nyilvánosan elérhető személyes adatok forrásai. Tartalmazhatják az alany vezetéknevét, utónevét, családnevét, születési országát és évét, lakcímét, telefonszámát, foglalkozására vonatkozó információkat vagy egyéb személyes adatokat, amelyeket írásbeli hozzájárulásával ad meg. Ilyenek például a címtárak vagy címjegyzékek. Az alany vagy az államilag felhatalmazott szervek döntése alapján ezek az információk nem elérhetők.

    A személyes adatok kezelésének elvei és feltételei

    A személyes adatok feldolgozása során minden szervezetnek be kell tartania a „Személyes adatokról” szóló szövetségi törvény 5. cikkének 2. fejezetében meghatározott elveket:

    1. A személyes adatok feldolgozását törvényes és tisztességes alapon kell végezni.
    2. A személyes adatok feldolgozását meghatározott, előre meghatározott és jogszerű célok elérésére kell korlátozni. Nem kezelhető olyan személyes adat, amely összeegyeztethetetlen a személyes adatok gyűjtésének céljaival.
    3. Nem szabad összevonni azokat a személyes adatokat tartalmazó adatbázisokat, amelyek feldolgozása egymással össze nem egyeztethető célból történik.
    4. Csak olyan személyes adatok kezelhetők, amelyek megfelelnek az adatkezelés céljainak.
    5. A kezelt személyes adatok tartalmának és körének meg kell felelnie a megadott adatkezelési céloknak. A kezelt személyes adatok nem lehetnek túlzott mértékűek az adatkezelés meghatározott céljaihoz képest.
    6. A személyes adatok kezelése során a személyes adatok pontossága, elegendősége, ill szükséges esetekbenés relevanciája a személyes adatok kezelésének céljaira. Az üzemeltetőnek meg kell tennie a szükséges intézkedéseket, vagy gondoskodnia kell azok megtételéről a hiányos vagy pontatlan adatok eltávolítása vagy tisztázása érdekében.
    7. A személyes adatok tárolását olyan formában kell végrehajtani, amely lehetővé teszi a személyes adatok alanyának meghatározását, de legfeljebb a személyes adatok feldolgozásának céljaihoz szükséges ideig, ha a személyes adatok tárolásának időtartamát szövetségi törvény, megállapodás nem írja elő. amelynek a kedvezményezett vagy kezes fél, amelynek az alany személyes adata. A kezelt személyes adatok megsemmisítésének vagy személytelenítésének vannak kitéve az adatkezelés céljainak elérésekor, vagy e célok elérése iránti igény elvesztése esetén, hacsak a szövetségi törvény másként nem rendelkezik.

    Azokat a feltételeket, amelyeket a szervezetnek meg kell felelnie a személyes adatok feldolgozásának folyamata során, a "Személyes adatokról szóló" szövetségi törvény 6. cikke írja elő, és abból áll, hogy az üzemeltetőnek az alany személyes adatainak feldolgozása során joga van feldolgozni. csak az ő írásos beleegyezésével.
    Bizonyos esetekben azonban nincs szükség ilyen hozzájárulásra. Így például, ha a személyes adatok feldolgozását különféle tudományos és statisztikai célokra végzik előfeltétel a személyes adatok személytelenítése. Vagy ha a személyes adatok kezelése az érintett személy egészsége, élete vagy egyéb létfontosságú érdekei miatt szükséges.

    A személyes adatok kezelőjének kötelezettségei

    A „Személyes adatokról” szóló 3 152 sz. szövetségi törvény 18. cikkének 4. fejezete teljes körű tájékoztatást tartalmaz arról, hogy mi az adatfeldolgozó felelőssége.
    Figyelembe véve Főbb pontok Ez a törvénycikk a legfontosabb elvek közül kiemelhet néhányat.

    Az üzemeltető köteles:

    - a személyes adatok törvénnyel összhangban történő kezelése,
    - jogszabályban meghatározott esetekben a személyes adatok tulajdonosának engedélye van,
    - biztosítja a titoktartást,
    – válaszoljon a tulajdonos minden személyes adataira vonatkozó kérdésére a készletben törvényi határidő,
    - a személyes adatokat a feldolgozási határidő lejárta után semmisítse meg,
    - értesítse a Roskomnadzor Osztályt a személyes adatok kezeléséről és az azok védelmére hozott intézkedésekről.

    Ez a cikk azt is kimondja, hogy ha a személyes adatok tulajdonosa megtagadja a személyes adatok megadását, amelyeket a szövetségi törvény értelmében köteles megadni, az üzemeltetőnek el kell magyaráznia a tulajdonosnak az ilyen visszautasítás következményeit.

    Szervezetek önálló tevékenysége a személyes adatok védelmében

    A személyes adatok gyűjtése, feldolgozása és védelme az Orosz Föderációban engedélyezett tevékenység. A személyes adatok védelmét szolgáló módszerek kidolgozása az orosz FSB és az orosz FSTEC feladata.
    A szervezet viszont ennek a munkának csak egy részét tudja elvégezni. Például gyűjtsön információkat. A többi munkához engedély szükséges műszaki védelem bizalmas információk, valamint kriptográfiai védelmi eszközök telepítése.

    Személyes adatkezelési tevékenységek ellenőrzése

    A személyes adatok jogszerű feldolgozását ellenőrző szervezet a Szövetségi Kommunikációs Felügyeleti Szolgálat, információs technológiákés tömegkommunikáció (Roskomnadzor).
    A Roskomnadzor állami ellenőrzést és felügyeletet végez a követelmények betartása felett hatályos jogszabályok a területen:
    - Tömegmédia, TVR műsorszórás és tömegkommunikáció - az Orosz Föderáció 1991. december 27-i 2124-1. számú, „A tömegkommunikációs eszközökről” szóló törvényének előírásai, valamint azok betartása licencfeltételek,
    - kommunikáció - a 2003. július 7-i "A kommunikációról" szóló 126. szövetségi törvény követelményei, valamint a szabályzatok, beleértve az engedély érvényességét és a rádiófrekvenciás spektrum használatát,
    - személyes adatok - 2006. július 27-i szövetségi törvény, 152. sz. "A személyes adatokról".

    A végrehajtás jogalapja állami ellenőrzésés a felügyelet a 2008. december 26-i 294. sz. szövetségi törvény „A jogi személyek jogainak védelméről és egyéni vállalkozók az állami ellenőrzés (felügyelet) és az önkormányzati ellenőrzés gyakorlása során”.

    A Roskomnadzor többféle vizsgálatot végez:

    egy). Ütemezett ellenőrzés.
    Ezt az ellenőrzést a Roszkomnadzor által készített és az ügyészség által jóváhagyott ellenőrzési tervben meghatározott alapon és határidőn belül lehet elvégezni. A "Kommunikációról" szóló szövetségi törvény 27. cikkének (4) bekezdése szerint a Roskomnadzornak legfeljebb háromévente van joga ilyen típusú ellenőrzést végezni.
    A személyes adatok kezelésében részt vevő bármely szervezet bekerülhet a Roskomnadzor ellenőrzési tervébe.
    Az ütemezett ellenőrzés lefolytatásának alapja az a tény, hogy a személyes adatok üzemeltető általi kezelése megkezdődött, beleértve az időponttól számított három év elteltét. állami regisztráció személyes adatok kezelőjeként, vagy az üzemeltető vonatkozásában ütemezett ellenőrzés elvégzése az előző ütemezett ellenőrzéstől számított három év elteltével.

    2). Nem tervezett ellenőrzés.
    Az ilyen típusú felülvizsgálat okai a következők:
    – az azonosított szabálysértés megszüntetésére korábban kiadott végzés végrehajtásának ellenőrzése,
    — a jogsértések feltárása kötelező követelmények szisztematikus megfigyelés eredményeként,
    - az ügyész lebonyolítási kérelme nem tervezett ellenőrzés az állampolgároktól, egyéni vállalkozóktól, jogi személyektől, állami ill. önkormányzat,
    - jogsértések törvényes jogokés az Orosz Föderációt alkotó jogalanyok érdekei a személyes adatok feldolgozásában részt vevő gazdasági szereplők tétlensége miatt,
    - a Szolgálat vezetőjének utasítása, amelyet az Orosz Föderáció elnökének vagy az Orosz Föderáció kormányának utasításai szerint adnak ki.
    Az ellenőrzést legfeljebb 20 munkanapon belül lefolytatják, ugyanakkor súlyos okok esetén a Roszkomnadzor Osztály vezetőjének utasítása alapján további 20 további munkavégzéssel meghosszabbítható. napok.
    Ezenkívül az ellenőrzési tevékenységek a következő módszerek egyikével is végrehajthatók:
    a) mezőben, azaz az ellenőrzés az ellenőrzött helyén történik.
    b) az üzemeltető okirati, írásbeli kérelme szükséges dokumentumokatés információ. Ha a dokumentumokat nem nyújtották be, és azokat a törvénynek feltétlenül meg kell tennie, akkor ez pénzbírság kiszabását vonja maga után. Ha az adminisztratív bírságot nem fizették meg, az megduplázható.
    c) a szisztematikus megfigyelés az ellenőrzött személlyel való interakció nélkül történik, az ellenőrzött személytől semmilyen okmány és információ nem szükséges. Állami szakemberek-ellenőrök Területi Közigazgatás A Roszkomnadzor következtetéseket von le az ellenőrzöttek tevékenységére vonatkozóan, meghatározatlan témakörrel kapcsolatos tettei alapján.

    Felelősség a személyes adatok jogellenes kezeléséért

    Az üzemeltető nem engedélyezheti a személyes és a családi élet, titkos levelezés, távirati, postai vagy egyéb üzenetek, telefonbeszélgetések, ha nem ítélet vagy jogi alap ezekért a cselekedetekért.

    Az üzemeltetőnek nincs joga a személyes adatokat abból a célból felhasználni, hogy az állampolgároknak erkölcsi és vagyoni kárt okozzon, valamint nehezítse szabadságaik és jogaik gyakorlását. Ezenkívül a személyes adatok kezelőjének nincs joga korlátozni az Orosz Föderáció állampolgárainak jogait, miközben nemzeti, faji, vallási, nyelvi vagy pártbeli hovatartozásra vonatkozó személyes adataikat használja fel.
    Azok a magánszemélyek és jogi személyek, akik hatáskörüknek megfelelően az állampolgárokkal kapcsolatos személyes adatok birtokában vannak, és felhasználják azokat, miközben megsértik a „Személyes adatokról” szóló szövetségi törvényt, az Orosz Föderáció hatályos jogszabályai szerint felelősek ezért a cselekményért.

    Azok a személyek, akik tevékenységükkel megsértették a "Személyes adatokról" szóló szövetségi törvényt, polgári, közigazgatási, fegyelmi, büntetőjogi vagy egyéb felelősséggel tartoznak, amelyet az Orosz Föderáció jelenlegi jogszabályai írnak elő.

    kódja Közigazgatási jogsértések(CoAP):

    A) A 13.11. cikk megsértése törvényes az állampolgárokra vonatkozó információk (személyes adatok) gyűjtésének, tárolásának, felhasználásának vagy terjesztésének rendje. Ez a cikk figyelmeztetést vagy közigazgatási bírság kiszabását vonja maga után:
    - állampolgárok 300-500 rubel összegben,
    - tisztviselők 500-1000 rubel összegben,
    - jogi személyek 5000-10000 rubel összegben.

    B) 13.12. cikk Információvédelmi szabályok megsértése.
    E cikk szerint a törvény megsértőire 500-30 ezer rubel közigazgatási bírságot szabnak ki. Továbbá jogalanyok elkobzás vagy a tevékenység 3 hónapra történő közigazgatási felfüggesztése alkalmazható.
    C) 13.14. cikk Korlátozott hozzáférésű információk nyilvánosságra hozatala.
    E cikk értelmében közigazgatási bírság kiszabására van lehetőség:
    - állampolgárok 4-5 ezer rubel összegben.

    D) 19.5. cikk A végrehajtó szerv (tisztviselő) jogszabályi előírásának (rendelet, előterjesztés, határozat) időben történő be nem tartása. állami felügyelet(ellenőrzés).
    A cikk megsértői 300 rubeltől 500 ezer rubelig terjedő közigazgatási bírsággal, vagy akár 3 évre szóló eltiltatással sújthatók.

    Btk.

    137. cikk A magánélet megsértése.
    Ez a cikk kimondja, hogy az alany magánéletére vonatkozó, családi vagy személyes titkát képező információk beleegyezése nélküli illegális gyűjtéséért vagy terjesztéséért, illetve az ilyen információk médián keresztül történő terjesztéséért az alábbi formában kell felelősséget vállalni.
    - legfeljebb 200 ezer rubel vagy azzal megegyező összegű bírság bérek 18 hónapig,
    kötelező művek akár 360 óra
    - korrekciós munka 1 évig,
    kényszermunka legfeljebb 2 évig
    – bizonyos tevékenységek végzésének eltiltása legfeljebb 3 évig,
    - Legfeljebb 2 évig terjedő letartóztatás.

    Munka Törvénykönyve (TC).

    90. cikk Felelősség a munkavállaló személyes adatainak kezelésére és védelmére irányadó szabályok megsértéséért.
    Ez a cikk az Orosz Föderáció Büntetőtörvénykönyve értelmében elbocsátás vagy büntetés lehetőségét írja elő.

    A személyes adatok védelmére vonatkozó követelmények

    A személyes adatokról szóló szövetségi törvény 19. cikkével összhangban a személyes adatok védelmére vonatkozó követelmények kötelezőnek minősülnek. Az üzemeltető a személyes adatok kezelése során köteles megtenni a szükséges jogi, szervezési és technikai intézkedéseket, illetve gondoskodni azok meghozataláról, hogy megvédje a személyes adatokat az azokhoz való jogosulatlan vagy véletlen hozzáféréstől, a megsemmisítéstől, módosítástól, zárolástól, másolástól, a személyes adatok rendelkezésre bocsátásától, terjesztésétől, valamint a személyes adatokkal kapcsolatos egyéb jogellenes cselekményekből.

    A személyes adatok biztonságának biztosítása megvalósul, különösen:

    1) a személyes adatok biztonságát fenyegető veszélyek meghatározása a személyes adatok információs rendszerekben történő feldolgozása során;
    2) a személyes adatok biztonságát biztosító szervezési és technikai intézkedések alkalmazása a személyes adatok információs rendszerekben történő kezelése során, amelyek szükségesek a személyes adatok védelmére vonatkozó követelmények teljesítéséhez, amelyek teljesítése a kormány által megállapított az Orosz Föderáció személyes adatok védelmének szintjei;
    3) a megfelelőségértékelési eljáráson a megállapított eljárásnak megfelelően átesett információbiztonsági eszközök használata;
    4) a személyes adatok biztonsága érdekében tett intézkedések eredményességének értékelése a személyes adatok információs rendszerének üzembe helyezését megelőzően;
    5) figyelembe véve a személyes adatok gépi hordozóit;
    6) a személyes adatokhoz való jogosulatlan hozzáférés tényeinek feltárása és intézkedések megtétele;
    7) a jogosulatlan hozzáférés miatt módosított vagy megsemmisült személyes adatok helyreállítása;
    8) a személyes adatok információs rendszerében kezelt személyes adatokhoz való hozzáférés szabályainak megállapítása, valamint a személyes adatokkal végzett valamennyi tevékenység nyilvántartásának és elszámolásának biztosítása a személyes adatok információs rendszerében.

    A fenti célok elérése érdekében minden személyes adatot feldolgozó szervezetnek be kell tartania az alábbi követelményeket:

    — megfeleljen a „Személyes adatokról” szóló 152. számú szövetségi törvény követelményeinek, miközben minden szükséges bizonyítékot megad a személyes adatok gyűjtésének és feldolgozásának jogszerűségére vonatkozóan,
    – védelmet nyújt a személyes adatok jogosulatlan terjesztésével szemben,
    - szabályzatok kidolgozása helyi aktusok valamint a személyes adatok szabályozott kezelését biztosító műszaki szervezeti dokumentáció,
    — értesítse a Roszkomnadzor Osztályt.

    Ezen követelmények teljesítéséhez a következőket kell tennie:

    1. Végezzen tanulmányt a személyes adatok gyűjtésének és feldolgozásának folyamatairól a vállalaton belül. Nevezetesen, hogy ezeket milyen helyen és milyen formában kezelik, milyen helyen tárolják, ki a felelős ezért és férhet hozzájuk, mi a személyes adatok forrása és hasonló kérdések. A személyes adatokkal kapcsolatos összes folyamatról teljes körű tájékoztatást kell gyűjteni.

    2. Szükséges egy olyan dokumentumcsomag kidolgozása, amely a személyes adatok feldolgozásának folyamatához kapcsolódik, nevezetesen
    A. A kategorizálás aktusa,
    B. Személyes adatvédelmi rendszer létrehozásának koncepciója,
    B. Fenyegetés modell,
    D. Betolakodó modell,
    D. Műszaki feladat személyes adatvédelmi rendszer kiépítése,
    E. Műszaki tervezés ( magyarázó jegyzet műszaki projekt) személyes adatvédelmi rendszer kiépítésére,
    G. Szervezeti és adminisztratív dokumentáció.

    Általánosságban elmondható, hogy egy átlagos szervezetben az iratok száma körülbelül 80 darab, beleértve a nyilvántartásokat és a megbízásokat is.

    3. Műszaki védelmi eszközök megvalósítása a szervezetben, a kidolgozott dokumentáció szerint.

    4. Végezze el az információs rendszerek megfelelőségértékelését vagy tanúsítását.

    A tanúsítás és az értékelés speciálisan megállapított dokumentumok, amelyeknek köszönhetően a szervezetnek lehetősége van megerősíteni, hogy megfelel az Orosz Föderáció hatályos jogszabályai összes követelményének.

    A fejlesztés alapja jóváhagyott dokumentumokat személyes adatok kezelői a Szövetségi Műszaki és exportellenőrzés az Orosz Föderáció (FSTEC) és az Orosz Föderáció Szövetségi Biztonsági Szolgálata (FSB), amely a szabályozásukban szerepel módszertani dokumentumokés parancsokat.

    Az egyik ilyen dokumentum:

    Rendelés Szövetségi Szolgálat a Műszaki és Exportellenőrzésről (Oroszország FSTEC) 2010. február 5-én kelt 58. sz. "A személyes adatok információs rendszereiben található információk védelmének módszereiről és módszereiről szóló rendeletek jóváhagyásáról".

    V ezt a sorrendet minden szervezet számára a személyes adatok jogosulatlan elleni védelmének ilyen módszereit és módjait hozzáférés mint,
    — megengedő rendszer bevezetése a felhasználók beengedésére ( kiszolgáló személyzet) információforrásokhoz, információs rendszerhez és kapcsolódó munkákhoz, dokumentumokhoz;
    - a felhasználók hozzáférésének korlátozása azon helyiségekbe, ahol a személyes adatok feldolgozását lehetővé tevő technikai eszközök, valamint adathordozók találhatók;
    - a felhasználók és a karbantartó személyzet hozzáférésének elhatárolása az információs forrásokhoz, az információ feldolgozását (átadását) és védelmét szolgáló szoftvereszközökhöz;
    - a felhasználók és a karbantartó személyzet tevékenységeinek nyilvántartása, a jogosulatlan hozzáférés és a felhasználók, karbantartó személyzet és illetéktelen személyek tevékenységének ellenőrzése;
    - cserélhető adathordozók könyvelése, tárolása, forgalmazása, ide nem értve a lopást, cserét és megsemmisítést;
    - foglalás technikai eszközökkel, tömbök és adathordozók sokszorosítása;
    olyan információbiztonsági eszközök használata, amelyek az előírt módon megfeleltek a megfelelőségértékelési eljáráson;
    — biztonságos kommunikációs csatornák használata;
    - a személyes adatok kezelését lehetővé tevő technikai eszközök elhelyezése a védett területen belül;
    - a helyiségek fizikai védelmének és a személyes adatok kezelését lehetővé tevő műszaki eszközök megfelelő megszervezése;
    — rosszindulatú programok (vírusprogramok) és szoftverkönyvjelzők információs rendszerekbe való bekerülésének megakadályozása.

    A nemzetközi információcsere és információs rendszerek információs és távközlési hálózatai közötti interakció esetén az adatok illetéktelen hozzáférés elleni védelmének fő módszerei és eszközei a következők:

    — tűzfal a hozzáférés szabályozására, a hálózati csomagok szűrésére és a hálózati címek fordítására az információs rendszer szerkezetének elrejtése érdekében;
    - az információs rendszerbe történő olyan behatolások észlelése, amelyek megsértik a személyes adatok biztonságának biztosítására megállapított követelményeket, vagy megsértik annak előfeltételeit;
    — az információs rendszerek biztonsági elemzése speciális szoftvereszközök (biztonsági szkennerek) használatával;
    - az információ védelme kommunikációs csatornákon történő továbbítása során;
    - intelligens kártyák, elektronikus zárak és egyéb információhordozók használata a felhasználók megbízható azonosítása és hitelesítése érdekében;
    - vírusvédelem alkalmazása;
    az információs rendszer személyes adatvédelmi rendszerének központosított kezelése;
    — a bejövő (kimenő) hálózati csomagok szűrése az üzemeltető által meghatározott szabályok szerint ( felhatalmazott személy);
    — a telepített tűzfalak biztonságának időszakos elemzése az információs rendszerek elleni külső támadások utánzása alapján;
    — az információs rendszer aktív biztonsági auditja a jogosulatlan hálózati tevékenységek valós idejű észlelésére;
    — a nemzetközi információcsere (nyilvános kommunikációs hálózatok) információs és távközlési hálózatán keresztül kapott információk elemzése, beleértve a számítógépes vírusok jelenlétét;
    — biztonsági attribútumok használata;
    - kommunikációs csatorna kialakítása, amely biztosítja a továbbított információk védelmét;
    - kölcsönhatásban lévő információs rendszerek hitelesítésének megvalósítása, valamint a felhasználói hitelesítés és a továbbított adatok integritásának ellenőrzése.

    V További követelmények az alábbi szervezetek számára:

    - kommunikációs csatorna kialakítása, amely biztosítja a továbbított információk védelmét;
    - az egymással kölcsönhatásban lévő információs rendszerek hitelesítése, valamint a felhasználói hitelesítés és a továbbított adatok integritásának ellenőrzése;
    - annak biztosítása, hogy a felhasználó ne tagadhassa meg, hogy személyes adatokat továbbított egy másik felhasználónak;
    – annak biztosítása, hogy a felhasználó ne tagadhassa meg, hogy egy másik felhasználótól személyes adatokat kapott.

    Címkék: PDN 152-FZ


    © 2022 egoist24.ru Fizetési rendszerek. Jelzálog. Bankok. Yandex pénz. webpénz. Általános információ.