Mbrojtje për të garantuar sigurinë e të dhënave personale. GIS NSD lokale

28.04.2019 Programet

Shërbimet e banimit dhe komunale, shoqatat e strehimit dhe kompanitë e tjera janë të detyruara të mbrojnë informacionin e mbledhur nga modifikimi dhe zbulimi. Pajtueshmëria me kërkesat rregullatore monitorohet nga Roskomnadzor, Shërbimi Federal për Mbikëqyrjen e Komunikimeve, Teknologjisë së Informacionit dhe komunikimet masive, duke mbajtur regjistrin e operatorëve të të dhënave personale. Aktet nënligjore të FSTEC dhe FSB kërkojnë që operatorët të ndërtojnë një sistem modern mbrojtjeje duke përdorur zgjidhje antivirus, mure zjarri, sisteme të parandalimit të ndërhyrjeve, menaxhimin e identifikimit të përdoruesit dhe kontrollin e aksesit, enkriptimin, mbrojtjen kundër rrjedhjeve, një sistem të menaxhimit të ngjarjeve të sigurisë dhe mekanizma të tjerë mbrojtës të listuar. në dokumentin udhëzues FSTEC "Për miratimin e përbërjes dhe përmbajtjes së masave organizative dhe teknike për të garantuar sigurinë e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të dhënat personale "datë 18 shkurt 2013 N 21. Ndërmarrjet e banesave dhe shërbimeve komunale përdorin sisteme informacioni për të punuar me popullatën, ndërmarrjet, institucione dhe shërbime të ndryshme. Kontabiliteti, menaxhimi, kontabiliteti tatimor kryhet gjithashtu, si në ndërmarrjet e tjera, praktikisht bëjnë. nuk ndryshojnë nga detyrat e ngjashme në llojet e tjera të ndërmarrjeve.

Duke analizuar ndërtimin e bazave të të dhënave të përdorura për ruajtjen dhe përpunimin e informacionit në sistemet e banesave dhe shërbimeve komunale, theksohen dy pika: baza e ndërtimit dhe vendndodhja territoriale. Korniza më e vjetër dhe më e përdorur e bazës së të dhënave janë skedarët dbf. Por për kompleksin e sotëm sisteme të automatizuara ato nuk janë të përshtatshme për dy arsye kryesore: një numër i kufizuar regjistrimesh në një tabelë dhe besueshmëri e pamjaftueshme.

Bazat e të dhënave moderne janë ndërtuar mbi një klient - teknologjitë e serverëve... ekziston sisteme të ndryshme menaxhimin e bazës së të dhënave, të cilat kanë avantazhet dhe disavantazhet e tyre. Secila prej tyre përdoret në të paktën një sistem të krijuar për automatizimin e banesave dhe shërbimeve komunale. Më i zakonshmi është MS SQL 2000. Pasi është projektuar për sistemin operativ popullor të kompjuterëve personalë - Windows. Tjetra në popullaritet është Interbase. Ekzistojnë gjithashtu zbatime të bazës së të dhënave të banesave dhe shërbimeve komunale nën kontrollin e Oracle, një nga sistemet më të avancuara, por të shtrenjta dhe të vështira të menaxhimit të bazës së të dhënave.

Duhet të theksohet gjithashtu se ekziston një tendencë që shitësit e sistemeve të menaxhimit të bazës së të dhënave të përhapin të tyren produkte softuerike- ofertë versionet falas me kufizime të caktuara, që u përshtaten përdoruesve jo të mëdhenj dhe jo të pasur, ku përfshihen zyrat e strehimit dhe pikat e pranimit të pagesave. Një shembull i sistemeve të tilla janë MSDE 2000, MSDE 2005 nga Microsoft Corporation.

Topologjia më themelore e bazës së të dhënave është ajo ku i gjithë informacioni ndodhet në një server. Klientët lidhen me linjat e largëta dhe të zgjidhin detyrat e tyre aktuale.

Një tjetër mundësi zbatimi është bazë e shpërndarë të dhëna për të gjithë ose një pjesë të pjesëmarrësve në shërbimet e banimit dhe komunale. Disavantazhi është nevoja për të sinkronizuar të dhënat.

Sinkronizimi i të dhënave është në proces menyra te ndryshme... Më e zakonshme është eksporti/importi. Të dhënat në një transportues ose me e-mail transferohen midis pjesëmarrësve në shërbimet e strehimit dhe komunës. Në këtë, faktori njerëzor ka një ndikim të rëndësishëm në performancën e sistemit - gjithçka duhet bërë në kohë dhe me shumë kujdes.

Niveli i dytë i sinkronizimit është shkëmbimi i të dhënave ndërmjet moduleve të sistemit duke komunikuar me serverë të largët... Ky shkëmbim thirret ose me komandë të përdoruesit ose sipas një plani të caktuar. Ai konsiston në faktin se një procedurë e caktuar në një nga serverë të lidhur"lexon në vetvete" ose "i shkruan" të dhënat e nevojshme për sinkronizim.

Së fundi, niveli më i lartë është sinkronizimi i bazës së të dhënave përmes replikimit. Këto mjete lejojnë ndryshimin e të dhënave si në njërën anë të linjës së komunikimit ashtu edhe në anën tjetër. Sipas orarit të specifikuar ose me urdhër të përdoruesit, serverët lidhin dhe sinkronizojnë bazat e të dhënave.

Mbrojtja e të dhënave personale mund të sigurohet vetëm në sistemin e informacionit ku një sulmues nuk mund të ndërhyjë në funksionimin e tij. elementet bazë- pajisjet e rrjetit, sistemet operative, aplikacionet dhe DBMS.

Kërcënimet kryesore për sigurinë e të dhënave personale, përkatësisht shkatërrimi, modifikimi, bllokimi, kopjimi, shpërndarja e të dhënave personale, si dhe veprime të tjera të paautorizuara gjatë përpunimit të tyre në sistemin e informacionit. Rrjedhja e informacionit mund të jetë për shkak të viruseve, malware, sulmet në rrjet... Antiviruset, muret e zjarrit, sistemet e parandalimit të ndërhyrjeve (IPS) përdoren për mbrojtje (Shërbejnë për të identifikuar shenjat e një sulmi në trafikun kalimtar dhe për të bllokuar sulmin më të njohur të zbuluar. Ndryshe nga antiviruset e portës, IPS analizon jo vetëm përmbajtjen e paketave IP, por gjithashtu protokollet e përdorura dhe korrektësia e përdorimit të tyre.), skanerët e cenueshmërisë (Ata kontrollojnë sistemin e informacionit për "boshllëqe" të ndryshme në sistemet operative dhe softuerët. Si rregull, këto janë programe individuale ose pajisje që testojnë sistemin duke dërguar kërkesa të veçanta që simulojnë një sulm në një protokoll ose aplikacion.). Kompleti i mjeteve për mbrojtjen e të dhënave konfidenciale nga rrjedhjet përbëhet nga tre produkte: sistemet e kontrollit për pajisjet periferike, sistemet e mbrojtjes kundër rrjedhjeve (Data Leak Prevention, DLP) dhe mjetet e enkriptimit për siguri të plotë ka kuptim të kombinohen të tre llojet e ushqimeve. Me ndihmën e këtyre fondeve, shërbimet e strehimit dhe komunave dhe kompanitë e tjera të menaxhimit mund të plotësojnë kërkesat e FSTEC për mbrojtjen e të dhënave personale.

Kontroll mbi pajisjet. Rrjedhja e të dhënave shpesh ndodh përmes mediave të lëvizshme dhe kanale të paautorizuara komunikimi: memorie flash, disqe USB, Bluetooth ose Wi-Fi, kështu që monitorimi i përdorimit të portave USB dhe pajisjeve të tjera periferike është gjithashtu një nga mënyrat për të kontrolluar rrjedhjet.

DLP. Sistemet e mbrojtjes nga rrjedhjet lejojnë përdorimin e algoritmeve speciale për të ndarë të dhënat konfidenciale nga rrjedha e të dhënave dhe për të bllokuar transmetimin e tyre të paautorizuar. Sistemet DLP ofrojnë mekanizma për kontrollin e kanaleve të ndryshme të transmetimit të informacionit: e-mail, mesazhe të çastit, postë në internet, printim në një printer, kursim në disk i lëvizshëm Për më tepër, modulet DLP bllokojnë rrjedhjen vetëm të të dhënave konfidenciale, pasi ato kanë mekanizma të integruar për të përcaktuar se sa është sekret ky apo ai informacion.

Enkriptimi. Mbrojtja e të dhënave nga rrjedhjet në një mënyrë ose në një tjetër përdor mekanizmat e kriptimit, dhe kjo industri ka qenë gjithmonë e kontrolluar nga FSB, dhe të gjitha kërkesat për certifikimin e sistemeve të kriptimit publikohen dhe verifikohen nga ky departament. Duhet të theksohet se është e nevojshme të kriptohet jo vetëm vetë bazat e të dhënave personale, por edhe transmetimi i tyre përmes rrjetit, si dhe kopje rezervë bazat e të dhënave. Kriptimi përdoret gjithashtu kur transmetohen të dhëna personale përmes një rrjeti në një sistem të shpërndarë. Për këtë qëllim, është e mundur të përdoren produkte të klasës VPN të ofruara nga zhvillues të ndryshëm, të cilët, si rregull, bazohen në enkriptim, por sisteme të tilla duhet të jenë të certifikuara dhe të integrohen ngushtë me bazat e të dhënave në të cilat ruhen të dhënat personale.

Duhet theksuar se në aktet nënligjore të FSTEC ka një ndarje në baza të të dhënave të vogla, të mesme dhe të shpërndara, kërkesat për mbrojtjen e të cilave janë shumë të ndryshme. Pra, për të mbrojtur bazat e të dhënave të shpërndara, si rregull, ju duhet mjete shtesë mbrojtje, e cila është e kuptueshme - një bazë e shpërndarë duhet të ketë kanale komunikimi ndërmjet pjesëve të saj, të cilat gjithashtu duhet të mbrohen

Në sistemin e informacionit të banesave dhe shërbimeve komunale, problemi kryesor për menaxherin është organizimi i saktë i aksesit të punonjësve në burime të ndryshme - nga vendosjen e duhur të drejtat e aksesit shpesh varen nga siguria e të dhënave konfidenciale, kështu që sistemi i menaxhimit të të drejtave të aksesit duhet të përfshihet në sistemin e mbrojtjes së një sistemi të madh informacioni. Sistemi bllokon përpjekjet për të ndryshuar të drejtat e aksesit pa lejen e operatorit të sigurisë, i cili siguron mbrojtje nga operatorët lokalë.

Një sistem i madh mbrojtës mund të gjenerojë shumë mesazhe rreth sulmeve të mundshme, të cilat janë vetëm potencialisht të afta të çojnë në zbatimin e një kërcënimi të veçantë. Shpesh këto mesazhe janë vetëm paralajmërime, por operatorët e sigurisë në një sistem të madh duhet të kenë një mjet për t'i ndihmuar ata të kuptojnë se çfarë po ndodh. Sistemi i korrelacionit të ngjarjeve mund të bëhet një mjet i tillë analize, i cili lejon lidhjen e disa mesazheve nga pajisjet mbrojtëse në një zinxhir të vetëm ngjarjesh dhe vlerësimin gjithëpërfshirës të rrezikut të të gjithë zinxhirit. Kjo tërheq vëmendjen e operatorëve të sigurisë për ngjarjet më të rrezikshme.

Sistemet e kontrollit të centralizuar të mekanizmave mbrojtës lejojnë kontrollin e plotë të të gjitha ngjarjeve që lidhen me sigurinë e sistemit të informacionit. Produktet në këtë nivel mund të zbulojnë, menaxhojnë dhe raportojnë mbi mekanizmat e sigurisë të instaluara në ndërmarrje. Të njëjtat produkte mund të automatizohen më së shumti probleme të thjeshta ose ndihmoni administratorët të kuptojnë shpejt sulmet komplekse.

Të tre produktet e mësipërme nuk kërkohen për të mbrojtur sisteme të mëdha informacioni, por ato ju lejojnë të automatizoni shumicën e detyrave të zgjidhura nga operatorët e sigurisë dhe të minimizoni numrin e punonjësve të kërkuar për të mbrojtur një sistem të madh, si sistemi i informacionit të strehimit dhe shërbimet komunale.

Përgjegjësia për shkeljen e kërkesave për mbrojtjen e të dhënave personale

Personat fajtorë për shkeljen e kërkesave të Ligjit për të Dhënat Personale janë përgjegjës sipas legjislacionit të Federatës Ruse (për shembull, civil, penal, administrativ, disiplinor). Këtë e tregon paragrafi 1 i nenit 24 të Ligjit për të Dhënat Personale.

Për momentin, përgjegjësia administrative për operatorët (me përjashtim të personave për të cilët përpunimi i të dhënave personale është një aktivitet profesional dhe i nënshtrohet licencimit) parashikohet:

· Për refuzimin e paligjshëm për t'i dhënë një qytetari dhe (ose) një organizate informacione, dispozita e të cilave përcaktohet nga ligjet federale, dhënia e parakohshme ose dhënia e informacionit qëllimisht të pasaktë (neni 5.39 i Kodit të Kundërvajtjeve Administrative të Federatës Ruse). Një përjashtim nga ky rregull janë rastet e parashikuara nga neni 7.23.1 i Kodit Administrativ të Federatës Ruse;

· Për shkelje të kërkesave të legjislacionit për zbulimin e informacionit nga organizatat që kryejnë veprimtari në fushën e menaxhimit të ndërtesave të banimit (neni 7.23.1 i Kodit të Kundërvajtjeve Administrative të Federatës Ruse);

· Për shkelje të procedurës për mbledhjen, ruajtjen, përdorimin ose shpërndarjen e të dhënave personale të përcaktuara me ligj (neni 13.11 i Kodit Administrativ të Federatës Ruse);

· Për zbulimin e informacionit, qasja në të cilën është e kufizuar me ligj federal (me përjashtim të rasteve kur zbulimi i tij sjell përgjegjësi penale), nga një person që ka fituar akses në të në lidhje me kryerjen e detyrave zyrtare ose profesionale (neni 13.14 i Kodi i kundërvajtjeve administrative të Federatës Ruse).

Krimet që sjellin përgjegjësi penale janë:

Mbledhja ose shpërndarja e paligjshme e informacionit rreth privatësi personat që përbëjnë sekretin e tij personal ose familjar, pa pëlqimin e tij, ose shpërndarjen e këtij informacioni në një fjalim publik, vepër të shfaqur publikisht ose mjete. masmedia(neni 137 i Kodit Penal të Federatës Ruse);

Refuzim i paligjshëm zyrtare në sigurimin e dokumenteve dhe materialeve të mbledhura në mënyrën e përcaktuar që prekin drejtpërdrejt të drejtat dhe liritë e një qytetari, ose dhënien e informacionit jo të plotë ose qëllimisht të rremë një qytetari nëse këto veprime kanë shkaktuar dëmtim të të drejtave dhe interesave legjitime të qytetarëve ( neni 140 i Kodit Penal të Federatës Ruse);

Qasje e paligjshme në të mbrojtura ligjërisht informacion kompjuterik nëse ky akt ka sjellë shkatërrimin, bllokimin, modifikimin ose kopjimin e informacionit (neni 272 i Kodit Penal të Federatës Ruse)

Pas publikimit të Dekretit të Qeverisë së Federatës Ruse Nr. 781 "Për miratimin e Rregullores për garantimin e sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale" të datës 17 nëntor 2007 dhe një urdhër të përbashkët Shërbimi Federal për kontrollin teknik dhe të eksportit, Shërbimi Federal i Sigurisë i Federatës Ruse dhe Ministria e Teknologjive të Informacionit dhe Komunikimeve të Federatës Ruse të datës 13 shkurt 2008 Nr. 55/86/20 "Për miratimin e procedurës për klasifikimin e të dhënave personale sistemet e informacionit" (në tekstin e mëtejmë "Procedura ...") përpara se sistemet e informacionit të zhvillimit dhe funksionimit (IS) të përpunonin të dhënat personale, u ngritën dy pyetje pothuajse Hamlet:

si të klasifikohet IP e krijuar për të mbrojtur të dhënat personale;
si të zgjidhni mjetet e sigurisë së informacionit për të mbrojtur të dhënat personale në këto sisteme.

"Procedura ..." thotë se "klasifikimi i sistemeve të informacionit kryhet nga organet shtetërore, organet komunale, personat juridikë dhe individët që organizojnë dhe (ose) kryejnë përpunimin e të dhënave personale, si dhe përcaktojnë qëllimet dhe përmbajtjen e përpunimin e të dhënave personale." Kjo do të thotë se të dhënat personale (PD) i klasifikojnë ato pronar, e cila është një ndihmë serioze për një zgjedhje objektive të metodave dhe mjeteve të mbrojtjes së të dhënave personale dhe krijon një bazë objektive për një dialog me autoritetet inspektuese për përshtatshmërinë e masave të marra në organizatë për mbrojtjen e të dhënave personale.

Kur klasifikoni IP-në e destinuar për përpunimin e të dhënave personale, merren parasysh të dhënat e mëposhtme fillestare:

kategori të dhënat personale të përpunuara në sistemin e informacionit; ·
vëllimi PD e përpunuar (numri i subjekteve të dhënat personale të të cilëve përpunohen në SI); ·
karakteristikat e sigurisë së të dhënave personale të përpunuara në SI të vendosura nga pronari i sistemit të informacionit; ·
struktura e sistemit të informacionit; ·
disponueshmëria e lidhjeve IS me rrjetet e komunikimit përdorim të përbashkët dhe/ose rrjete ndërkombëtare shkëmbimi i informacionit; ·
Mënyra e përpunimit të PD; ·
mënyra e diferencimit të të drejtave të aksesit për përdoruesit e sistemit të informacionit; ·
vendndodhjen e mjeteve teknike të IP.

Para së gjithash, ne do të përcaktojmë se çfarë lidhet me të dhënat personale. Ky është informacion i një natyre të ndryshme për individë të veçantë. Vini re se ne po flasim vetëm për informacion në formë elektronike, futet, ruhet, përpunohet dhe transmetohet në sistemin e informacionit. Ky informacion ndahet në katër kategori kryesore:

kategoria 1 - PD në lidhje me racën, kombësinë, pikëpamjet politike, besimet fetare dhe filozofike, gjendjen shëndetësore, jetën intime; ·
kategoria 2 - PD, duke ju lejuar të identifikoni subjektin e të dhënave personale dhe të merrni informacion shtesë rreth tij, me përjashtim të të dhënave personale që i përkasin kategorisë 1; ·
kategoria 3 - të dhëna personale që ju lejojnë të identifikoni subjektin e të dhënave personale; ·
kategoria 4 - PD jopersonale dhe (ose) e disponueshme publikisht.

Për shembull, veçmas mbiemri janë të dhënat e kategorisë së 4-të, kombinimi i mbiemrit dhe adresës është i treti, mbiemri, adresa, sigurimi dhe numrat e kartës është i dyti dhe nëse këtyre të dhënave i shtohet një kartelë mjekësore elektronike, atëherë të dhënat personale që rezultojnë i përkasin ekskluzivisht kategorisë së parë.

Bazuar në këtë klasifikim, mund të thuhet se çdo e dhënë mjekësore, si dhe të dhënat e personelit që përmbajnë kolonën "kombësia" (dhe të tilla janë pothuajse të gjithë pyetësorët e vlefshëm dhe të dhënat personale në të dhënat e personelit të përdorura aktualisht), duhet të klasifikohen në të parën. kategori. Është gjithashtu e qartë se pjesët e të dhënave personale pothuajse gjithmonë kanë një kategori më të ulët se sa përmbledhja e tyre. Edhe informacioni i detajuar për shëndetin e një individi mund të jetë i pakuptimtë nëse mbiemri i tij ose të dhëna të tjera nuk dihen, gjë që e lidh pa mëdyshje këtë informacion me pacientin.

Vëllimi i PD-së së përpunuar mund të marrë vlerat e mëposhtme:

- IS përpunon njëkohësisht të dhëna personale të më shumë se 100,000 subjekteve ose të dhëna personale të subjekteve brenda rajonit të Federatës Ruse ose Federatës Ruse në tërësi; ·
- IS përpunon në të njëjtën kohë të dhëna personale nga 1000 deri në 100,000 subjekte ose të dhëna personale të subjekteve që punojnë në ekonominë e Federatës Ruse, në organin qeveritar që banon në komunë; ·
- IS përpunon njëkohësisht të dhënat e më pak se 1000 subjekteve ose të dhënat personale të subjekteve të një organizate të caktuar.

Sipas karakteristikave të sigurisë së PD të përpunuara në sistemin e informacionit, IS-të ndahen në standarde dhe të veçanta. Të parat janë sistemet e informacionit në të cilat vetëm ofrimi i konfidencialiteti te dhena Personale.

Karakteristika e “konfidencialitetit” do të thotë se vetëm ai për të cilin ato synohen mund të trajtojë (fusë, ruajë, përpunojë dhe transmetojë) PD-në në formë elektronike. Për të siguruar konfidencialitet gjatë transferimit të të dhënave personale përmes rrjeteve, duke përfshirë internetin, duhet të përdoret enkriptimi i të dhënave.

Sisteme të veçanta informacioni janë IS në të cilat, pavarësisht nga nevoja për të garantuar konfidencialitetin e PD-së, kërkohet të sigurohet të paktën një nga karakteristikat e sigurisë së të dhënave personale, përveç konfidencialitetit (për shembull, integriteti ose disponueshmëria). Karakteristika "integritet" do të thotë që të dhënat personale duhet të ndryshohen vetëm në mënyrë të rregulluar, për shembull, vetëm një mjek i autorizuar mund të bëjë ndryshime në dosjen elektronike të dosjes mjekësore dhe në çdo rast tjetër informacioni në kartelën mjekësore nuk duhet të ndryshohet. . Kur transmetohet përmes rrjeteve, integriteti sigurohet duke përdorur një nënshkrim elektronik dixhital.

Karakteristika "disponueshmëri" nënkupton që puna me PD duhet të sigurohet për një sasi të caktuar të dhënash dhe përdoruesish në përputhje me rregulloret e përcaktuara kohore. Me fjalë të tjera, "disponueshmëria" është një formulim tjetër i besueshmërisë së sistemit. Vini re gjithashtu se të folurit për disponueshmërinë në rrjetet e hapura është praktikisht e pakuptimtë - asnjë ofrues nuk do të sigurojë akses të garantuar në të dhëna ose transmetimin e tyre të pandërprerë.

Sistemet e veçanta të informacionit përfshijnë:

IS, në të cilin përpunohen të dhënat personale në lidhje me gjendjen shëndetësore të subjekteve; ·
IP, e cila parashikon miratimin mbi bazën e përpunimit ekskluzivisht të automatizuar të të dhënave personale të vendimeve që gjenerojnë pasoja juridike në lidhje me subjektin ose që prekin të drejtat dhe interesat e tij legjitime.

Sipas strukturës, sistemet e informacionit për përpunimin e PD-së ndahen:

për autonome (jo të lidhur me SI të tjera), të destinuara për përpunimin e të dhënave personale (stacione të automatizuara pune); ·
për komplekset e stacioneve të punës të automatizuara, të bashkuara në një IS të vetëm me anë të komunikimit pa përdorimin e teknologjisë akses në distancë(sistemet e informacionit lokal); ·
në komplekset e stacioneve të automatizuara të punës dhe (ose) IS lokale, të bashkuara në një sistem të vetëm informacioni me anë të komunikimit duke përdorur teknologjinë e aksesit në distancë (sistemet e informacionit të shpërndarë).

Sipas pranisë së lidhjeve me rrjetet e komunikimit publik dhe (ose) shkëmbimin ndërkombëtar të informacionit, IS-të ndahen në sisteme që kanë lidhje që nuk kanë lidhje.

Nisur nga fakti se është e detyrueshme të sigurohet konfidencialiteti i të dhënave, është e mundur të theksohen elementët e nevojshëm të sistemit të informacionit për përpunimin e të dhënave personale.

Para së gjithash, sistemi i informacionit është i detyruar të identifikojë përdoruesit dhe të jetë në gjendje të krijojë autoritet individual për aksesin e përdoruesit në PD, domethënë të ketë sisteme identifikimi dhe vërtetimi dhe kontroll të aksesit.

Së dyti, është e nevojshme të sigurohet mbrojtja e të dhënave personale që mund të tjetërsohen nga sistemi. Për shembull, ju duhet të kontrolloni transferimin e informacionit në media e lëvizshme... Ka shumë të ngjarë që në disa raste të jetë e nevojshme të merret parasysh mundësia e vjedhjes dhe humbjes (humbjes) teknologji kompjuterike me të dhëna personale. Në këtë rast, enkriptimi i PD-së së ruajtur në median kompjuterike është gjithashtu i detyrueshëm.

Nëse sistemi ka lidhje me rrjete të hapura ose parashikon shkëmbimin e të dhënave, është i detyrueshëm përdorimi i kriptimit të të dhënave dhe nënshkrimeve dixhitale elektronike, si dhe sigurimi i mbrojtjes kundër sulmeve nga rrjetet e jashtme duke përfshirë mbrojtjen kundër viruseve.

Për kriptim dhe nënshkrim elektronik përdoren çelësa dhe certifikata që gjenerohen nga vetë përdoruesit dhe regjistrohen në të ashtuquajturat qendra certifikimi.

Një pikë shumë e rëndësishme është regjistrimi i veprimeve pranë PD-së, i cili nga njëra anë të lejon të identifikosh përgjegjësit e rrjedhjes së tyre dhe nga ana tjetër krijon motivim psikologjik për punë korrekte me ta.

Një sistemi informacioni për përpunimin e PD mund t'i caktohet një nga klasat e mëposhtme:

klasa 1 (K1) - IS, për të cilën një shkelje e një karakteristike të caktuar sigurie të të dhënave personale të përpunuara në to mund të çojë në pasoja të rëndësishme negative për subjektet e të dhënave personale; ·
klasa 2 (K2) - IS, për të cilat shkelja e një karakteristike të caktuar sigurie të PD-së e përpunuar në to mund të çojë në pasoja negative për subjektet e të dhënave personale; ·
klasa 3 (K3) - IS, për të cilën një shkelje e karakteristikave të specifikuara të sigurisë të të dhënave personale të përpunuara në to mund të çojë në pasoja të vogla negative për subjektet e të dhënave personale; ·
klasa 4 (K4) - IS, për të cilat shkelja e një karakteristike të caktuar sigurie të të dhënave personale të përpunuara në to nuk çon në pasoja negative për subjektet e të dhënave personale.

Tabela 1

Kategoria
Kategoria

Së pari, nga "Rendi ..." rrjedh ekzistenca e kategoritë te dhena Personale. Është logjike të zbatohet grumbullimi bazat e të dhënave në SI që përmbajnë PD në pjesë jo të mbivendosura që përmbajnë të dhëna të kategorive të ndryshme. Gjithashtu, IC për përpunimin e PD duhet të jetë të ndara në skica që përmbajnë të dhëna të vetëm një kategorie. Është mjaft e mundur për ta bërë këtë, pasi individët identifikohen pa mëdyshje nga numri i pasaportës ose TIN-it të tyre ose nga numri i policës së sigurimit shëndetësor, gjë që bën të mundur indeksimin e bazave të të dhënave mjekësore dhe grupeve të tjera në mënyrë të paqartë. Kështu, është e nevojshme të ndiqet parimi që në çdo qark të IS për përpunimin e të dhënave personale, është e nevojshme të përdoret produkte të çertifikuara të së njëjtës klasë, dhe konturet duhet të jenë i izoluar veçmas.

Mund të thuhet se shumica e sistemeve të informacionit për përpunimin e PD (veçanërisht për qëllime mjekësore) do të jenë e veçantë, domethënë në to është e nevojshme të sigurohet jo vetëm konfidencialiteti, por edhe integriteti karakteristika të detyrueshme dhe të tjera të sigurisë dhe besueshmërisë.

Kur të shpërndara IP për përpunimin e të dhënave personale, edhe nëse është e nevojshme të sigurohet vetëm konfidencialiteti në përputhje me "Procedurën ..." do t'ju duhet patjetër mbrojtja e PD-së së transmetuar dhe të ruajtur... Kjo përputhet plotësisht me kërkesat aktuale të Shërbimit Federal të Sigurisë të Federatës Ruse për IC-të e automatizuara të krijuara për të mbrojtur informacion konfidencial, që nuk përbën sekret shtetëror, përkatësisht, dispozita se “të gjitha informacionet konfidenciale të transmetuara përmes kanaleve të komunikimit duhet të mbrohen; informacioni i transmetuar përmes kanaleve të komunikimit duhet të kodohet duke përdorur mjete mbrojtje kriptografike informacioni (CIPF), ose kanalet e sigurta të komunikimit duhet të përdoren për transmetimin e tij. Duhet të bëhet mbrojtja e informacionit të regjistruar në media të tjetërsueshme.”

Kërkesa e fundit është padyshim e zbatueshme për IS-të e izoluara të PD-së që nuk kanë kanale për transmetimin e PD-së, domethënë për vendet individuale të punës që përpunojnë të dhëna personale.

Kjo do të thotë që për përpunimin e të dhënave personale, IP duhet të certifikohet në një klasë jo më të ulët se AK2 në klasifikimin e FSB të Federatës Ruse. Për shembull, kjo klasë korrespondon me Windows XP të mbrojtur me Secure Pack Rus. Përbërja e mjeteve të mbrojtjes duhet të përfshijë mjetet e mbrojtjes kriptografike të informacionit (CIP) të një klase jo më të ulët se KC2.

Bazuar në këtë, për çdo IS PD që përpunon PD të kategorive mbi të 4-tën (të cilës do t'i atribuohen sigurisht të gjitha sistemet e përpunimit të PD mjekësore), do të jetë e nevojshme të kryhet të gjitha kërkesat e klasës AK2 në klasifikimin e FSB RF.

Nga arkitektura e IS PD me një numër mjaft të madh të PD-ve të përpunuara (treguesi 1 ose 2), patjetër do të ndahet komponenti i serverit, i cili gjithashtu do të kërkojë mbrojtje. Në këtë rast, mbrojtja e të gjithë informacionit konfidencial ruhet në media magnetike stacione pune dhe serverë që plotësojnë kërkesat e klasës AK3.

Kështu, ne mund të ofrojmë një strategji të bazuar mirë për mbrojtjen e të dhënave personale, që konsiston në atë tabelë. 1 plotësohet si më poshtë (shih tabelën 2).

tabela 2

Kategoria IP	Klasa IP në varësi të vëllimit të PD-së së përpunuar
Kategoria IP



	Jo më e ulët se AK3	Jo më e ulët se AK3	Jo më e ulët se AK3

Shënim. "-" - do të thotë që nuk ka kërkesa.

Kështu, për të mbrojtur PD të kategorisë së parë, që përfshin të gjitha të dhënat mjekësore, është e nevojshme të përdoren mjete mbrojtëse të klasave jo më të ulëta se AK3 dhe mjete mbrojtëse kriptografike të klasave jo më të ulëta se KC3.

Për pajisjen praktike të IP me mjete mbrojtëse, mund të rekomandohen produkte të përshtatura posaçërisht për mbrojtjen e të dhënave personale dhe me lejet e nevojshme (certifikatat dhe konkluzionet). Këto janë, para së gjithash, Secure Pack Rus dhe mjetet e mbrojtjes kriptografike të familjes CryptoPro.

Le të përpiqemi tani të vlerësojmë kostot e pajisjes së një vendi pune për përpunimin e PD. Duke përjashtuar zbritjet, çmimi i paketës Secure Pack Rus është afërsisht 2000 RUB, ndërsa familja e mjeteve të mbrojtjes kriptografike CryptoPro tashmë janë përfshirë në këtë paketë. Më tej, për të mbrojtur informacionin personal të ruajtur në një kompjuter, këshillohet të blini një nga paketat e mbrojtjes së të dhënave CryptoPro EFS, Secure Pack Explorer ose "Crypto Explorer". Çmimi i secilit prej këtyre produkteve varion nga 600 në 1000 rubla. Mbrojtja totale e një vendi pune, duke përjashtuar instalimin dhe konfigurimin, do të kushtojë rreth 3000 rubla, dhe instalimi dhe përshtatja e programeve tradicionalisht do të shtojë 10-15% në kosto.

Është e mundur me kusht të veçohen "dhjetë hapa mistik në rrugë" drejt një sistemi të sigurt për përpunimin e PD.

Identifikoni elementët e IP-së tuaj që duhet të mbrohen së pari. Së pari, zbuloni se cilat të dhëna personale duhet të mbrohen dhe ku ndodhen aktualisht në sistemin tuaj. Pastaj kontrolloni nëse vendet e punës të të gjithë punonjësve, pa përjashtim, kanë vërtet nevojë për mbrojtje të të dhënave. Ndoshta është më e lehtë të ndash kompjuterë të veçantë për të punuar me informacione personale që duhet të mbrohen veçanërisht me besueshmëri? Mos harroni se një kompjuter i lidhur në internet nuk është vendi më i mirë për të ruajtur PD!
Vlerësoni gjendjen aktuale të sigurisë së informacionit. Sa e kënaqshme është? Nëse është e mundur, kryeni një auditim të jashtëm të sigurisë së sistemit tuaj. Klasifikoni IP-në tuaj sipas udhëzimeve të mësipërme. Krahasoni gjetjet tuaja me ato të një auditimi të jashtëm.
Përcaktoni se kush është aktualisht përgjegjës për zbatimin e IP. A është e mundur të ngushtohet rrethi i personave nga të cilët varet besueshmëria e kësaj mbrojtjeje? Në të njëjtën kohë, mbani mend - siguria nuk mund të varet nga një person! Sigurohuni që të caktoni auditorë, për shembull, mjeku kryesor mund të mbikëqyrë punën e specialistëve në plotësimin dhe lëvizjen e PD.
Jini kritik ndaj kërkesave të ekspertëve nëse ata insistojnë në instalimin e pajisjeve të sigurisë. Vini re gjithashtu se përdorimi i mjeteve kriptografike është një punë mjaft serioze. Është e rëndësishme të kuptohet: A do të ndërhynte ruajtja e kriptimit dhe nënshkrimeve dixhitale në biznesin kryesor të kompanisë suaj? Ju lutemi vini re gjithashtu se jo çdo punonjës mund dhe duhet të përfshihet në enkriptimin e të dhënave.
Pastroni sigurinë e klinikës suaj. Vendosni një regjim që do të sigurojë nivelin e kërkuar të sigurisë së informacionit, por mos e teproni. Për shembull, njerëzit nuk duhet të privohen nga aftësia për të përdorur celularët e tyre. Është gjithashtu e papërshtatshme t'i ndalosh punonjësit të hyjnë në e-mail dhe internet për qëllime personale. Në të njëjtën kohë, është mjaft e këshillueshme që të rregulloni procedurën për futjen e disqeve flash dhe laptopëve të vet në territorin e kompanisë, ose të përdorni funksionin e çaktivizimit të disqeve USB që nuk lejohen për përdorim nga administratori, i disponueshëm në Secure Pack Rus.
Kërkoni nga profesionistët e IT të hartojnë një plan të qartë pune për krijimin dhe konfigurimin e një sistemi sigurie. Kërkoni të justifikoni nevojën për blerje fonde shtesë duke garantuar siguri. Këmbëngulni të siguroheni që cilësimi i sigurisë të mos ndërhyjë në funksionimin bazë të sistemit.
Monitoroni zbatimin e planit të sigurisë.
Dëgjoni mendimet e mjekëve dhe punonjësve - a ndërhyjnë masat e sigurisë në punën dhe aktivitetet e tyre kryesore?
Ruajtja dhe monitorimi i statusit të sigurisë së PD-së, si dhe ndërtimi i besnikërisë së personelit të sigurisë.
Merreni lehtë me inovacionin e sigurisë - konservatorizmi i shëndetshëm do t'ju kursejë para.

27 korrik 2006 u miratua Ligji Federal Nr. 152-FZ "Për të dhënat personale" të sigurojë mbrojtjen e të drejtave dhe lirive të njeriut dhe qytetarit gjatë përpunimit të të dhënave të tij personale, duke përfshirë mbrojtjen e të drejtave të privatësisë, sekreteve personale dhe familjare. Një nga arsyet e miratimit të këtij ligji ishin faktet e shumta të vjedhjes së bazave të të dhënave personale në strukturat qeveritare dhe tregtare, shitja e gjerë e tyre.

Çfarë do të thotë termi "të dhëna personale"?

Përkufizimi i të dhënave personale (PD) plotësohej përpara miratimit të ligjit, për shembull, në "Listën e informacionit konfidencial", miratuar nga me dekret të Presidentit të Federatës Ruse nr. 188 e datës 6 mars 1997:

Informacioni konfidencial përfshin: informacione në lidhje me faktet, ngjarjet dhe rrethanat e jetës private të një qytetari, duke i lejuar atij të identifikojë identitetin e tij (të dhënat personale), me përjashtim të informacionit që do të shpërndahet në media në rastet e përcaktuara me ligje federale.

Megjithatë, ligji e plotësoi atë. Tani, sipas FZ-152, të dhëna personale - çdo informacion që lidhet me një informacion specifik ose të përcaktuar në bazë të një informacioni të tillë një individ (subjekt i të dhënave personale), duke përfshirë mbiemrin, emrin, patronimin e tij, vitin, muajin, datën dhe vendin e lindjes, adresën, familjen. , sociale, pozita pronësore, arsimi, profesioni, të ardhurat, informacione të tjera.

Kështu, të dhënat personale janë, para së gjithash, të dhëna pasaporte, informacione rreth statusi martesor, informacion për arsimin, numrin TIN, certifikatën e sigurimit të sigurimit të pensionit shtetëror, sigurimin mjekësor, informacion për aktivitetin e punës, gjendjen shoqërore dhe pasurore, informacion për të ardhurat. Pothuajse çdo organizatë ka të dhëna të tilla.

Kur aplikoni për punë, këto janë të dhënat e departamentit të personelit të punëdhënësit, të cilat punonjësi i tregon në kartën e tij personale, autobiografinë dhe dokumentet e tjera të plotësuara gjatë lidhjes së një kontrate pune.

Kur hyn një fëmijë kopshti i fëmijëve, shkollë, institut, të tjera institucionet arsimore Gjithashtu, plotësohen shumë pyetësorë dhe formularë, të cilët tregojnë të dhënat si të fëmijës (për shembull, të dhënat e certifikatës së lindjes), ashtu edhe të prindërve të tij (deri në vendin e punës, pozicionin e mbajtur).

Kur i nënshtrohet trajtimit në institucionet mjekësoreështë e nevojshme të tregohen jo vetëm të dhënat e pasaportës, por edhe informacioni në lidhje me përfitimet, sigurimin mjekësor, informacionin për trajtimet e mëparshme, rezultatet e testeve. Në shumë institucione mjekësore, kartat ambulatore / spitalore kopjohen në format elektronik.

Dhe të gjitha këto të dhëna, sipas legjislacionit aktual, i nënshtrohen mbrojtjes.

Ku të filloni mbrojtjen dhe a është e nevojshme fare?

Konfidencialiteti i të dhënave personale është një kërkesë e detyrueshme për operatorin ose personin tjetër që ka fituar akses në të dhënat personale për të parandaluar shpërndarjen e tyre pa pëlqimin e subjektit të të dhënave personale ose arsye të tjera ligjore ( FZ-152).

Operatori - agjenci qeveritare, organ komunal, person juridik ose individ që organizon dhe (ose) kryen përpunimin e të dhënave personale, si dhe përcaktimin e qëllimeve dhe përmbajtjes së përpunimit të të dhënave personale ( FZ-152).

Sistemi i informacionit të të dhënave personale (ISPDN) është një sistem informacioni që është një koleksion i të dhënave personale të përfshira në një bazë të dhënash, si dhe teknologjive të informacionit dhe mjeteve teknike që lejojnë përpunimin e të dhënave të tilla personale duke përdorur mjete automatizimi ose pa përdorur mjete të tilla. FZ-152).

Përpunimi i të dhënave personale është veprime (operacione) me të dhëna personale, duke përfshirë mbledhjen, sistemimin, grumbullimin, ruajtjen, sqarimin (përditësimin, ndryshimin), përdorimin, shpërndarjen (përfshirë transferimin), depersonalizimin, bllokimin, shkatërrimin e të dhënave personale ( FZ-152).

Gjatë përpunimit të PD, operatori duhet të marrë të gjitha të nevojshme organizative dhe masat teknike për të mbrojtur të dhënat personale nga aksesi i paautorizuar ose aksidental në to, shkatërrimi, ndryshimi, bllokimi, kopjimi, shpërndarja e të dhënave personale, si dhe nga veprime të tjera të paligjshme.

Çfarë duhet bërë për të mbrojtur të dhënat personale?

Para së gjithash, është e nevojshme të përcaktohet se cilat janë sistemet e informacionit të PD dhe çfarë lloj PD përpunohen në to.

Klasifikimi i sistemit të informacionit të të dhënave personale

Për të kuptuar se sa i rëndësishëm është problemi i mbrojtjes së PD, si dhe për të zgjedhur metodat dhe metodat e nevojshme për mbrojtjen e PD, operatori duhet të klasifikojë PDIS. Rendi i klasifikimit është përcaktuar me urdhër të FSTEC të Rusisë, FSB të Rusisë dhe Ministrisë së Teknologjive të Informacionit dhe Komunikimeve të Rusisë Nr. 55/86/20, datë 13 shkurt 2008.

Pra, operatori formon një komision (me urdhër të drejtuesit të organizatës), i cili, pasi analizon të dhënat fillestare, merr vendim për caktimin e ISPD të klasës përkatëse. Gjatë klasifikimit përcaktohen sa vijon:

kategoria e të dhënave personale të përpunuara;
vëllimi i të dhënave personale të përpunuara;
lloji i sistemit të informacionit;
strukturën e sistemit të informacionit dhe vendndodhjen e mjeteve të tij teknike;
mënyrat e përpunimit të të dhënave personale;
mënyrat e diferencimit të të drejtave të aksesit të përdoruesit;
disponueshmëria e lidhjeve me rrjetet publike dhe (ose) rrjetet e shkëmbimit ndërkombëtar të informacionit.

Sipas urdhër nr 55/86/20, të gjitha sistemet e informacionit (IS) ndahen në standarde dhe speciale.

Sistemet tipike të informacionit janë sisteme informacioni në të cilat kërkohet vetëm konfidencialiteti i të dhënave personale.

Sistemet e veçanta të informacionit janë sisteme informacioni në të cilat, pavarësisht nga nevoja për të garantuar konfidencialitetin e të dhënave personale, kërkohet të sigurohet të paktën një nga karakteristikat e sigurisë së të dhënave personale, përveç konfidencialitetit (mbrojtja nga shkatërrimi, ndryshimi, bllokimi, si si dhe veprime të tjera të paautorizuara).

Në praktikë, rezulton se praktikisht nuk ka IS tipike, pasi në shumicën e rasteve, përveç konfidencialitetit, është gjithashtu e nevojshme të sigurohet integriteti dhe disponueshmëria e informacionit. Përveç kësaj, pa dështuar për të sisteme të veçanta duhet t'i atribuohet:

sistemet e informacionit në të cilat përpunohen të dhënat personale në lidhje me gjendjen shëndetësore të subjekteve të të dhënave personale;
sistemet e informacionit, të cilat parashikojnë miratimin mbi bazën e përpunimit ekskluzivisht të automatizuar të të dhënave personale të vendimeve që gjenerojnë pasoja juridike në lidhje me subjektin e të dhënave personale ose që cenojnë ndryshe të drejtat dhe interesat e tij legjitime.

Pra, bazuar në rezultatet e analizës së të dhënave fillestare, komisioni cakton klasën e duhur në sistemin e të dhënave personale:

klasa 1 (K1) - sistemet e informacionit për të cilat një shkelje e karakteristikave të specifikuara të sigurisë së të dhënave personale të përpunuara në to mund të çojë në pasoja të rëndësishme negative për subjektet e të dhënave personale;

klasa 2 (K2) - sisteme informacioni për të cilat një shkelje e karakteristikave të specifikuara të sigurisë së të dhënave personale të përpunuara në to mund të çojë në pasoja negative për subjektet e të dhënave personale;

klasa 3 (K3) - sisteme informacioni për të cilat një shkelje e karakteristikave të specifikuara të sigurisë së të dhënave personale të përpunuara në to mund të çojë në pasoja të vogla negative për subjektet e të dhënave personale;

klasa 4 (K4) - sisteme informacioni për të cilat një shkelje e karakteristikave të specifikuara të sigurisë të të dhënave personale të përpunuara në to nuk çon në pasoja negative për subjektet e të dhënave personale.

Rezultatet e klasifikimit janë formalizuar me ligj Klasifikimi ISPD, e cila tregon llojin e ISPD-së (tipike, speciale), klasën që i është caktuar ISPD-së dhe kushtet mbi bazën e të cilave është marrë vendimi.

Siç është përmendur tashmë, klasifikimi është i nevojshëm për zgjedhje të mëtejshme metodat dhe mjetet e mbrojtjes së të dhënave personale të përpunuara në ISPD, pasi në dokumentet e FSTEC dhe FSB, secila klasë ka kërkesat e veta për mbrojtjen e ISPD, për të cilat do të flasim pak më vonë.

Pëlqimi i PD-së objekt përpunimi

Më pas, duhet të vazhdoni me përpunimin e këtyre të dhënave, por përpara se përpunimi i tyre të jetë i ligjshëm, është e nevojshme të merret pëlqimi i subjektit të të dhënave personale për përpunim (ligji parandalon në këtë mënyrë mbledhjen dhe përdorimin e paligjshëm të të dhënave personale):

Neni 6 FZ-152:

Përpunimi i të dhënave personale mund të kryhet nga operatori me pëlqimin e subjekteve të PD-së, me përjashtim të rasteve:

1) përpunimi i të dhënave personale kryhet në bazë të një ligji federal që përcakton qëllimin e tij, kushtet për marrjen e të dhënave personale dhe gamën e subjekteve, të dhënat personale të të cilëve janë objekt i përpunimit, si dhe përcaktimin e kompetencave të operatorit;

2) përpunimi i të dhënave personale kryhet për të përmbushur një marrëveshje, njëra nga palët e së cilës është subjekt i të dhënave personale;

3) përpunimi i të dhënave personale kryhet për qëllime statistikore ose të tjera shkencore, duke iu nënshtruar depersonalizimit të detyrueshëm të të dhënave personale;

4) përpunimi i të dhënave personale është i nevojshëm për të mbrojtur jetën, shëndetin ose interesat e tjera jetike të subjektit të të dhënave personale, nëse është e pamundur të merret pëlqimi i subjektit të të dhënave personale;

5) përpunimi i të dhënave personale është i nevojshëm për dërgimin e dërgesave postare nga organizatat postare, që operatorët e telekomunikacionit të kryejnë marrëveshje me përdoruesit e shërbimeve të komunikimit për shërbimet e ofruara të komunikimit, si dhe të marrin në konsideratë pretendimet e përdoruesve të shërbimeve të komunikimit;

6) përpunimi i të dhënave personale kryhet për qëllime të veprimtarisë profesionale të gazetarit ose për qëllime të veprimtarisë shkencore, letrare ose veprimtari tjetër krijuese, me kusht që kjo të mos cenojë të drejtat dhe liritë e subjektit të të dhënave personale;

7) përpunimi i të dhënave personale që i nënshtrohen publikimit në përputhje me ligjet federale, duke përfshirë të dhënat personale të personave që mbajnë poste publike, poste në shërbimin civil, të dhënat personale të kandidatëve për poste të zgjedhura shtetërore ose komunale.

Pra, nëse rasti ynë i përpunimit të PD-së parashikohet nga Pjesa 2 e Nenit 6 të FZ-152, atëherë marrja e pëlqimit është fakultative.

Ju gjithashtu duhet të udhëhiqeni nga Kodi i Punës, Kapitulli 14... Për shembull, një punëdhënës ka të drejtë të marrë dhe përpunojë të dhëna për jetën private të një punonjësi vetëm me pëlqimin e tij me shkrim ( Neni 86 pjesa 4 e Kodit të Punës).

Sipas neni 9 i FZ-152është e nevojshme të merret me shkrim pëlqimi i subjektit të të dhënave personale për përpunimin e të dhënave të tij personale. Pëlqimi me shkrim i subjektit të të dhënave personale duhet të përfshijë:

Mbiemri, emri, patronimi, adresa e subjektit të të dhënave personale, numri i dokumentit kryesor që vërteton identitetin e tij, informacioni për datën e lëshimit dokumenti i thënë dhe autoriteti lëshues;

Emri (mbiemri, emri, patronimi) dhe adresa e operatorit që merr pëlqimin e subjektit të të dhënave personale;

Qëllimi i përpunimit të të dhënave personale;

Lista e të dhënave personale për përpunimin e të cilave jepet pëlqimi i subjektit të të dhënave personale;

Lista e veprimeve me të dhënat personale, për kryerjen e të cilave jepet pëlqimi, një përshkrim i përgjithshëm i metodave të përpunimit të të dhënave personale të përdorura nga operatori;

Periudha gjatë së cilës pëlqimi është i vlefshëm, si dhe procedura për tërheqjen e tij.

Rregulloret që rregullojnë procedurën për përpunimin dhe mbrojtjen e të dhënave personale

Pra, operatori ka marrë (nëse është e nevojshme) pëlqimin për përpunimin e të dhënave personale - të dhënat personale mund të përpunohen. Por sipas Kodi i Punës dhe FZ-152është e nevojshme të hartohet (nëse ka, të modifikohet në përputhje me Ligjin Federal) një rregullore që rregullon procedurën e ruajtjes, përpunimit dhe mbrojtjes së të dhënave personale. Le ta quajmë kushtimisht Rregullorja për sigurinë e të dhënave personale. Rregullorja për sigurimin e të dhënave personale është një dokument i brendshëm (lokal) i organizatës. Nuk ka asnjë formë strikte të këtij dokumenti, por duhet të plotësojë kërkesat TC dhe FZ-152, dhe, për rrjedhojë, duhet të tregojë:

Rregullorja për sigurimin e të dhënave personale miratohet nga drejtuesi i organizatës ose personi i autorizuar prej tij dhe hyn në fuqi me urdhër të drejtuesit. Punëdhënësi është i detyruar të njohë punonjësin me Rregulloren nën nënshkrim.

Lista e personave të pranuar në përpunimin e PD

Përveç kësaj, është e nevojshme të hartohet një listë e personave të pranuar në përpunimin e PD, d.m.th. një listë e atyre (sipas pozicionit) që kanë nevojë për akses në të dhënat personale për të kryer detyrat e tyre zyrtare. Para së gjithash, këta janë punonjës të departamentit të personelit, pasi ata mbledhin dhe formojnë të dhëna për punonjësin, si dhe punonjës të departamentit të kontabilitetit. Për më tepër, drejtuesit e divizioneve strukturore (për shembull, drejtuesit e departamenteve) mund të kenë akses në këtë informacion - dhe kjo duhet të pasqyrohet gjithashtu në listë. Sidoqoftë, të gjithë kanë të drejtë të kërkojnë jo ndonjë të dhënë, por vetëm ato që janë të nevojshme për të kryer funksione specifike të punës (për shembull, për të llogaritur përfitimet tatimore, departamenti i kontabilitetit nuk do të marrë të gjitha informacionet për punonjësin, por vetëm të dhënat për numrin e vartësve të tij). Prandaj, këshillohet të përshkruhet një listë e burimeve të informacionit në të cilat pranohen përdoruesit.

Lista e personave të pranuar në përpunimin e PD-së mund të hartohet në formën e një shtojce të Rregullores për garantimin e sigurisë së të dhënave personale ose si një dokument i veçantë i miratuar nga titullari.

Njoftimi i Roskomnadzor

Më tej, në përputhje me neni 22 FZ-152 Para përpunimit të të dhënave personale, operatori është i detyruar të njoftojë organin e autorizuar për mbrojtjen e të drejtave të subjekteve të PD-së (sot është Shërbimi Federal i Mbikëqyrjes në Sferën e Komunikimeve, Teknologjisë së Informacionit dhe Masmedias (Roskomnadzor)) për synimin e saj për procedimin e PD, me përjashtim të rasteve të parashikuara pjesa 2 e nenit 22 të FZ-152:

Operatori ka të drejtë të përpunojë të dhëna personale pa njoftuar organin e autorizuar për mbrojtjen e të drejtave të subjekteve të të dhënave personale:

1) në lidhje me subjektet e të dhënave personale që janë të lidhur me operatorin nga marrëdhëniet e punës;

2) marrë nga operatori në lidhje me lidhjen e një marrëveshjeje në të cilën subjekti i të dhënave personale është palë, nëse të dhënat personale nuk shpërndahen dhe nuk u jepen palëve të treta pa pëlqimin e subjektit të të dhënave personale dhe përdoret nga operatori vetëm për ekzekutimin e marrëveshjes së specifikuar dhe lidhjen e marrëveshjeve me subjektin e të dhënave personale;

3) në lidhje me anëtarët (pjesëmarrësit) e një shoqate publike ose organizate fetare dhe të përpunuar nga shoqata përkatëse publike ose organizata fetare, duke vepruar në përputhje me legjislacionin e Federatës Ruse, për të arritur qëllimet legjitime të përcaktuara nga dokumentet përbërëse, me kusht që të dhënat personale të mos shpërndahen pa pëlqimin me shkrim të subjekteve të të dhënave personale;

4) të cilat janë të dhëna personale në dispozicion të publikut;

5) duke përfshirë vetëm mbiemrat, emrat dhe patronimet e subjekteve të të dhënave personale;

6) të nevojshme për qëllimin e një kalimi të vetëm të subjektit të të dhënave personale në territorin në të cilin ndodhet operatori, ose për qëllime të tjera të ngjashme;

7) përfshihen në sistemet e informacionit të të dhënave personale, të cilat, në përputhje me ligjet federale, kanë statusin e sistemeve federale të automatizuara të informacionit, si dhe në sistemet shtetërore të informacionit të të dhënave personale të krijuara për të mbrojtur sigurinë shtetërore dhe rendin publik;

8) përpunuar pa përdorimin e mjeteve të automatizimit në përputhje me ligjet federale ose aktet e tjera rregullatore ligjore të Federatës Ruse, duke vendosur kërkesa për sigurimin e të dhënave personale gjatë përpunimit të tyre dhe për respektimin e të drejtave të subjekteve të të dhënave personale

Kërkesat e njoftimit janë të specifikuara në pjesa 3 e nenit 22 të FZ-152... Formulari i njoftimit për përpunimin (të synimit për të përpunuar) të dhënat personale mund të plotësohet elektronikisht në faqen e internetit të Roskomnadzor: http://rsoc.ru/personal-data/p181/

Tani mund të filloni përpunimin e të dhënave personale, duke zgjidhur njëkohësisht çështjen më të vështirë dhe problematike - duke siguruar sigurinë e të dhënave personale gjatë përpunimit të tyre.

Sigurimi i sigurisë së të dhënave personale gjatë përpunimit të tyre

Masat për mbrojtjen e informacionit janë të mundimshme dhe mund të çojnë në kosto të konsiderueshme financiare, për shkak të nevojës për:

Merrni (nëse është e nevojshme) një licencë për të vepruar mbrojtje teknike konfidenciale Informacioni i FSTEC Rusia;

Angazhoni të licencuarin e FSTEC të Rusisë për zbatimin e masave për krijimin e një sistemi për mbrojtjen e ISPD dhe / ose certifikimin e tij për kërkesat e sigurisë së informacionit;

Dërgoni punonjës përgjegjës për sigurimin e informacionit në kurse trajnimi të avancuara për sigurinë e informacionit dhe/ose punësoni specialistë të sigurisë së informacionit;

Instaloni mjete sigurie informacioni të çertifikuara sipas kërkesave FSTEC (SRZI), mjete kriptografike të sigurisë së informacionit (CIPF) të certifikuara nga FSB, në varësi të klasës ISPD.

Diçka që mund ta bëni vetë, por diku është më mirë t'u besoni specialistëve. Por është e nevojshme të mbrohen të dhënat personale, në një mënyrë ose në një tjetër.

Neni 19, FZ-152:

Gjatë përpunimit të të dhënave personale, operatori është i detyruar të marrë masat e nevojshme organizative dhe teknike për të mbrojtur të dhënat personale nga aksesi i paautorizuar ose aksidental në to, shkatërrimi, modifikimi, bllokimi, kopjimi, shpërndarja e të dhënave personale, si dhe nga veprime të tjera të paligjshme.

"Rregulloret për sigurimin e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale", miratuar me Dekret të Qeverisë së Federatës Ruse nr. 781, datë 17 nëntor 2007.
"Rregulloret mbi specifikat e përpunimit të të dhënave personale të kryera pa përdorimin e mjeteve të automatizimit", miratuar me Dekret të Qeverisë së Federatës Ruse nr. 687, datë 15 shtator 2008.
"Kërkesat për transportuesit e prekshëm të të dhënave personale biometrike dhe teknologjitë për ruajtjen e të dhënave të tilla jashtë sistemeve të informacionit të të dhënave personale", miratuar me Dekret të Qeverisë së Federatës Ruse nr. 512, datë 6 korrik 2008.
Kërkesa dhe rekomandime të veçanta për mbrojtjen teknike të informacionit konfidencial (STR-K), miratuar me urdhër të Komisionit Teknik Shtetëror të Rusisë nr. 282, datë 30 gusht 2002 (ДСП)
Modeli bazë i kërcënimeve ndaj sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale i datës 15 shkurt 2008 (Ekstrakt, kur merren parasysh kërcënimet e rrjedhjes së informacionit përmes kanaleve dytësore rrezatimi elektromagnetik dhe ndërhyrje (PEMIN), duhet të aplikoni versionin e plotë të këtij dokumenti - chipboard)
Metodologjia për përcaktimin e kërcënimeve aktuale ndaj sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale të datës 15 shkurt 2008 (Shenja "për përdorim zyrtar" u hoq me Vendimin FSTEC të 16 nëntorit 2009)
Rekomandime për garantimin e sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale të datës 15 shkurt 2008 (Shenja "për përdorim zyrtar" u hoq me Vendimin FSTEC të 11 nëntorit 2009)
Masat kryesore për organizimin dhe mbështetjen teknike të sigurisë së të dhënave personale të përpunuara në sistemet e informacionit të të dhënave personale të datës 15 shkurt 2008 (shënimi "për përdorim zyrtar" u hoq me Vendimin FSTEC të 11 nëntorit 2009)
Rekomandime metodologjike për sigurimin e sigurisë së të dhënave personale me ndihmën e mjeteve kriptografike gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale duke përdorur mjete automatizimi. FSB, 21 shkurt 2008
Kërkesat tipike për organizimin dhe funksionimin e mjeteve të enkriptimit (kriptografike) të krijuara për të mbrojtur informacionin që nuk përmban informacione që përbëjnë sekret shtetëror në rastin e përdorimit të tyre për të garantuar sigurinë e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale. FSB, 21 shkurt 2008

Ne nuk do të shqyrtojmë në detaje të gjitha kërkesat që duhet të plotësohen për të garantuar sigurinë e PD-së gjatë përpunimit të tyre në ISPD - ka shumë prej tyre dhe varen fuqishëm nga një ISPD specifike. Le të ndalemi në pikat kryesore që shpesh shkaktojnë vështirësi për operatorët.

Licenca - të marrësh apo të mos marrësh?

Legjislacioni, si dhe dokumentet e FSTEC, na tregojnë sa vijon:

Neni 16, pjesa 6 FZ-149“Për informacionin, teknologjitë e informacionit dhe mbrojtjen e informacionit” datë 27 korrik 2006:

Ligjet federale mund të vendosin kufizime në përdorimin e mjeteve të caktuara për mbrojtjen e informacionit dhe zbatimin e llojeve të caktuara të aktiviteteve në fushën e mbrojtjes së informacionit.

Neni 17, pjesa 1, pika 11 e Ligjit Federal-128“Për licencimin e disa llojeve të veprimtarive” datë 8 gusht 2001:

Në përputhje me këtë ligj federal, llojet e mëposhtme të veprimtarive i nënshtrohen licencimit: veprimtaria për mbrojtjen teknike të informacionit konfidencial.

Rezoluta e Qeverisë së Federatës Ruse nr. 504"Për licencimin e veprimtarive për mbrojtjen teknike të informacionit konfidencial" datë 15 gusht 2006

Mbrojtja teknike e informacionit konfidencial kuptohet si një grup masash dhe (ose) shërbimesh për ta mbrojtur atë nga aksesi i paautorizuar, duke përfshirë kanalet teknike, si dhe nga ndikimet e veçanta në një informacion të tillë për ta shkatërruar, shtrembëruar ose bllokuar aksesin në të.

Ngjarjet kryesore të FSTEC

Klauzola 3.14

Në përputhje me dispozitat e ligjit federal nr. 128 "Për licencimin e disa llojeve të veprimtarive" dhe kërkesat e Dekretit të Qeverisë nr. 504 "Për veprimtaritë e licencimit për mbrojtjen teknike të informacionit konfidencial", operatorët e ISPD kur kryejnë masa për të siguruar siguria e PD (informacioneve konfidenciale) gjatë përpunimit të tyre në ISPDN 1, 2 dhe 3 (sistemet e shpërndara) të klasave duhet të marrin licencë për të kryer veprimtari për mbrojtjen teknike të informacionit konfidencial në mënyrën e përcaktuar.

Kreu i Departamentit të FSTEC të Rusisë NAZAROV Igor Grigorievich iu përgjigj gjithashtu pyetjes në lidhje me nevojën për një licencë në tryezë të rrumbullakët mbajtur nga Connect! Bota e Komunikimeve "(http://www.connect.ru/article.asp?id=9406):

Pyetje: A duhet operatorët që përpunojnë të dhëna personale në ISPDN të marrin një licencë për mbrojtjen teknike të informacionit konfidencial?

Igor Nazarov: Në përputhje me dokumentet e FSTEC, kërkohet një licencë për operatorët e PD-së që kryejnë në mënyrë të pavarur aktivitete të tilla në sistemet e informacionit të 1, 2 klasave dhe sistemet e shpërndara gjeografikisht të 3 klasave, si rregull, këto janë sisteme të mëdha informacioni shtetëror. Në të njëjtën kohë, për poliklinikat, kopshtet, farmacitë etj. që kanë ISPD të klasave 3 dhe 4, licenca të tilla nuk kërkohen.

Në përputhje me Dekretin e Qeverisë së Federatës Ruse të datës 17 nëntor 2007 Nr. 781, nëse operatori i ISPD lidh një marrëveshje për zbatimin e masave të duhura në drejtim të mbrojtjes së informacionit (PD) me një person të autorizuar - të licencuarin i FSTEC të Rusisë, ai nuk ka nevojë të ketë licencë.

Pra, për organizatat e vogla, në vend që të marrin një licencë FSTEC për TZKI për kryerjen e masave për të garantuar sigurinë e PD (krijimi i një sistemi për mbrojtjen e ISPD, certifikimi), do të jetë më me kosto efektive tërheqja e një të licencuari të FSTEC, i cili do të kryejë të gjitha punët e nevojshme.

Për organizatat e mëdha (si operatorët e telekomit, bankat e mëdha, etj.), është më fitimprurëse të merrni një licencë dhe të kryeni vetë të gjitha punët e nevojshme.

Përcaktohet procedura për dhënien e licencës për kryerjen e veprimtarive për mbrojtjen teknike të informacionit konfidencial “Rregullorja për licencimin e veprimtarive për mbrojtjen teknike të informacionit konfidencial"(Miratuar me Dekret të Qeverisë së Federatës Ruse të 15 gushtit 2006 Nr. 504). Kërkesat për marrjen e licencës:

a) prania në stafin e aplikantit për licencë (të licencës) të specialistëve që kanë arsim të lartë profesional në fushën e sigurisë së informacionit teknik ose arsim të lartë ose të mesëm profesional (teknik) dhe kanë kryer rikualifikim ose trajnim të avancuar në fushën e sigurisë së informacionit teknik;

b) aplikanti për licencë (i licencuari) ka ambiente për kryerjen e veprimtarive të licencuara që plotësojnë standardet teknike dhe kërkesat për mbrojtjen teknike të informacionit të përcaktuara nga aktet ligjore rregullatore të Federatës Ruse, dhe që i përkasin atij në bazë të pronësisë ose në bazë tjetër ligjore;

c) disponueshmëria, mbi çdo bazë ligjore, e pajisjeve të prodhimit, testimit dhe kontrollit dhe matjes që i janë nënshtruar verifikimit (kalibrimit), shënimit dhe certifikimit metrologjik në përputhje me legjislacionin e Federatës Ruse;

d) përdorimi i sistemeve të automatizuara që përpunojnë informacione konfidenciale, si dhe mjete për mbrojtjen e informacionit të tillë që kanë kaluar procedurën e vlerësimit të konformitetit (të certifikuar dhe (ose) të certifikuar në përputhje me kërkesat e sigurisë së informacionit) në përputhje me legjislacionin e Federatës Ruse ;

e) përdorimi i programeve për kompjuterë elektronikë dhe bazave të të dhënave të destinuara për zbatimin e veprimtarive të licencuara në bazë të një marrëveshjeje me mbajtësin e të drejtave të tyre;

f) disponueshmërinë e akteve ligjore rregullatore, dokumenteve rregullatore, metodologjike dhe metodologjike për mbrojtjen teknike të informacionit, në përputhje me listën e vendosur nga Shërbimi Federal për Kontrollin Teknik dhe Eksport.

Fazat e krijimit të një PDSD

Sipas Ngjarjet kryesore për organizimin dhe mbështetjen teknike të sigurisë së të dhënave personale të përpunuara në sistemet e informacionit të të dhënave personale të lëshuara nga FSTEC, krijimi i një sistemi të mbrojtjes së të dhënave personale (SZPDn) përbëhet nga fazat e mëposhtme:

1 Faza e para-projektimit

1.1 Inspektimi i objektit të informatizimit:

vendosja e nevojës për përpunimin e PD në ISPD;
përcaktimi i listës së të dhënave personale objekt i mbrojtjes;
përcaktimi i kushteve për vendndodhjen e ISPD në lidhje me kufijtë e zonës së kontrolluar (KZ);
përcaktimi i konfigurimit dhe topologjisë së ISPD në tërësi dhe i saj komponente individuale; lidhjet fizike, funksionale dhe teknologjike si brenda ISPD ashtu edhe me sisteme të tjera të niveleve dhe qëllimeve të ndryshme;
përcaktimin e mjeteve dhe sistemeve teknike të përdorura në ISPD-në e mbrojtur, kushtet e vendndodhjes së tyre;
përkufizimi i sistemit të gjerë, i veçantë dhe i aplikuar mjete softuerike përdoret në ISPDN-në e mbrojtur;
përcaktimi i mënyrës së përpunimit të informacionit në ISPD në tërësi dhe në komponentë të veçantë;
klasifikimi i ISPD;
përcaktimi i shkallës së pjesëmarrjes së personelit në përpunimin (diskutimin, transferimin, ruajtjen) e informacionit, natyrën e ndërveprimit të tyre me njëri-tjetrin;
përcaktimin dhe përpilimin e një liste të dobësive dhe kërcënimeve për sigurinë e informacionit, duke vlerësuar rëndësinë e kërcënimeve për sigurinë e informacionit;
zhvillimi i një modeli të kërcënimit privat.

1.2 zhvillimi i specifikimeve teknike për krijimin e një PDS, i cili duhet të përmbajë:

vërtetimi i nevojës për zhvillimin e një PDPD;
të dhënat fillestare të ISPD në aspektin teknik, softuer, informativ dhe organizativ;
klasa ISPDN;
një referencë në dokumentet normative, duke marrë parasysh të cilat PDIS do të zhvillohet dhe do të pranohet në funksion nga PDIS;
konkretizimi i aktiviteteve dhe kërkesave për SZPDn;
një listë e mjeteve të certifikuara të sigurisë së informacionit të destinuara për përdorim;
vërtetimi i zhvillimit të mjeteve të sigurisë së informacionit të vet nëse është e pamundur ose e papërshtatshme të përdoren mjete të certifikuara të sigurisë së informacionit të disponueshme në treg;
përbërja, përmbajtja dhe koha e punës në fazat e zhvillimit dhe zbatimit të SZPDn.

2. Faza e projektimit dhe zbatimit të SZPD

2.1 zhvillimi i një projekti për krijimin e SZPDn;

2.2 zhvillimi i masave organizative dhe teknike për mbrojtjen e informacionit në përputhje me kërkesat;

2.3 blerja e mjeteve të certifikuara të sigurisë së informacionit;

2.4 zhvillimi dhe zbatimi i një sistemi të lejeve për aksesin e përdoruesve dhe personelit në informacionin e përpunuar në ISPD;

2.5 instalimi dhe konfigurimi i SRZI;

2.6 përcaktimin e divizioneve dhe personave përgjegjës për funksionimin e mjeteve të sigurisë së informacionit, trajnimin e personave të caktuar në specifikat e punës për mbrojtjen e të dhënave personale;

2.7 zhvillimi i dokumentacionit operativ për ISPDN dhe mjetet e sigurisë së informacionit, si dhe dokumentacioni organizativ dhe administrativ për mbrojtjen e informacionit (rregullore, urdhra, udhëzime dhe dokumente të tjera);

2.8 zbatimin e masave të tjera që synojnë mbrojtjen e informacionit.

3. Faza e vënies në punë të PDSD-së

3.1 funksionimin provë të mjeteve të sigurisë së informacionit në kombinim me mjete të tjera teknike dhe softuerike për të kontrolluar performancën e tyre si pjesë e ISPD;

3.2 testet e pranimit të mjeteve të sigurisë së informacionit bazuar në rezultatet e provës së funksionimit me lëshimin e një certifikate pranimi;

3.3 Vlerësimi i përputhshmërisë së ISPD me kërkesat e sigurisë së informacionit - certifikimi (deklarata) për kërkesat e sigurisë së informacionit.

4. Mirëmbajtja dhe mirëmbajtjen e sistemit të sigurisë së informacionit

Dokumentacioni organizativ dhe administrativ për mbrojtjen e të dhënave personale

Përveç zgjidhjeve teknike sistemi që krijohet mbrojtjen e të dhënave personale, operatori duhet të sigurojë zhvillimin e dokumenteve organizative dhe administrative që do të rregullojnë të gjitha çështjet e shfaqura për sigurimin e sigurisë së të dhënave personale gjatë përpunimit të tyre në ISPD dhe funksionimin e PDS. Ka shumë dokumente të tilla, kryesoret janë:

1. Rregulloret për garantimin e sigurisë së të dhënave personale - në fillim të artikullit ne kemi prekur tashmë qëllimin dhe përbërjen e këtij dokumenti. Për çdo rast, ne do të përsërisim - duhet të tregojë:

Qëllimi dhe objektivat në fushën e mbrojtjes së të dhënave personale;

Koncepti dhe përbërja e të dhënave personale;

Në cilat ndarje strukturore dhe në çfarë media (letër, elektronike) grumbullohen dhe ruhen këto të dhëna;

Si është mbledhja dhe ruajtja e të dhënave personale;

Si përpunohen dhe përdoren;

Kush (sipas titullit të punës) brenda firmës ka akses në to;

Parimet e mbrojtjes së PD, duke përfshirë aksesin e paautorizuar;

Të drejtat e punonjësve për të siguruar mbrojtjen e të dhënave të tyre personale;

Përgjegjësia për zbulimin e informacionit konfidencial në lidhje me të dhënat personale të punonjësve.

2. Të organizohet sistemi i pranimit dhe regjistrimit të personave të pranuar për të punuar me PD në ISPD, - Lista e personave të pranuar në përpunimin e PD (një listë e pozicioneve të atyre që kanë nevojë për akses në PD për të kryer detyrat e tyre zyrtare) dhe Matrica e Aksesit ( duhet të pasqyrojë autoritetin e përdoruesve për zbatimin e veprimeve specifike në lidhje me burimet specifike të informacionit të ISPD - leximi, shkrimi, korrigjimi, fshirja). Të dy dokumentet miratohen nga titullari.

3. Një model kërcënimi privat (nëse ka disa ISPD, atëherë për secilën prej tyre zhvillohet një model kërcënimi) - zhvillohet bazuar në rezultatet e një sondazhi paraprak. FSTEC e Rusisë ofron Modeli bazë kërcënimet ndaj sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale, sipas të cilave, gjatë krijimit të një modeli privat, duhet të merren parasysh sa vijon:

Kërcënimet e rrjedhjes së informacionit përmes kanaleve teknike;

Kërcënimet për akses të paautorizuar që lidhen me veprimet e shkelësve që kanë akses në ISPD, duke realizuar kërcënime direkt në ISPD. Në të njëjtën kohë, është e nevojshme që përdoruesit e ligjshëm të ISPD të konsiderohen si shkelës të mundshëm;

Kërcënimet për akses të paautorizuar që lidhen me veprimet e shkelësve që nuk kanë akses në ISPD, duke realizuar kërcënime nga rrjetet e jashtme të komunikimit publik dhe (ose) rrjetet ndërkombëtare të shkëmbimit të informacionit.

Modeli i zhvilluar i kërcënimit miratohet nga kreu.

4. Bazuar në modelin e miratuar të kërcënimeve ndaj ISPD-së, është e nevojshme të zhvillohen kërkesat për garantimin e sigurisë së PD gjatë përpunimit të tyre në ISPD. Kërkesat, si modeli i kërcënimit, janë një dokument i pavarur që duhet të miratohet nga kreu i organizatës.

Për të zhvilluar një model kërcënimesh dhe kërkesash, këshillohet që operatori të përfshijë specialistë nga të licencuarit e FSTEC.

5. Udhëzime në drejtim të garantimit të sigurisë së PD gjatë përpunimit të tyre në ISPD.

Për më tepër, përpara se të marrë të gjitha masat për mbrojtjen e PD-së, operatori duhet të caktojë një zyrtar ose (nëse PDIS është mjaft i madh) një njësi strukturore përgjegjëse për garantimin e sigurisë së PD. Vendimi për emërimin zyrtarizohet me urdhër të titullarit. Detyrat, funksionet dhe kompetencat e zyrtarit (departamentit) përgjegjës për garantimin e sigurisë së PD-së përcaktohen nga dokumentet e brendshme organizative dhe administrative (përshkrimet e punës, rregulloret).

Çfarë duhet të certifikohet dhe çfarë jo?

Shpesh ekziston një keqkuptim se i gjithë softueri (softueri) i përdorur duhet të jetë i certifikuar, dhe certifikimi është i shtrenjtë dhe kërkon kohë.

Megjithatë, asnjë nga dokumentet për rregullimin e çështjeve të mbrojtjes së të dhënave personale nuk thotë se i gjithë programi kompjuterik duhet të jetë i certifikuar. Mjetet e sigurisë së informacionit duhet të jenë të certifikuara sipas kërkesave të FSTEC të Rusisë, por në asnjë mënyrë sistemi, aplikacioni ose softueri special që nuk merr pjesë në mbrojtjen e ISPD.

Igor Nazarov:... certifikimi për kontrollin e mungesës së NDV ka të bëjë me funksionalitetin e sigurisë, përkatësisht mjetet e mbrojtjes, dhe jo gjithçka. software, i cili përdoret në sistemin e informacionit (http://www.connect.ru/article.asp?id=9406).

Sot, dokumentet e FSTEC, të cilat mund të shihen në faqen e internetit të Shërbimit Federal të Kontrollit Teknik dhe Eksportit, na tregojnë sa vijon për këtë:

Në ISPDN duhet të përdoren vetëm mjete teknike dhe sisteme sigurie të certifikuara në përputhje me kërkesat e sigurisë së informacionit.

Ngjarjet kryesore...

Klauzola 4.2:... në ISPD duhet të kryhet një kontroll për praninë e aftësive të padeklaruara në softuer dhe firmware dhe një analizë e sigurisë së sistemit dhe softuerit aplikativ.

Klauzola 4.3: Për softuerin që përdoret për të mbrojtur informacionin në ISPD (mjetet e sigurisë së informacionit, duke përfshirë ato të integruara në sistemin e përgjithshëm dhe softuerin e aplikacionit), duhet të sigurohet një nivel i përshtatshëm kontrolli për mungesën e NDV në të.

Kështu, nuk ka nevojë të certifikoni sistemin dhe softuerin e aplikacionit nëse ai nuk merr pjesë në procesin e mbrojtjes së informacionit - kjo mund të bëhet me kërkesë të operatorit.

Praktika e krijimit të sistemeve të mbrojtjes së të dhënave personale tregon se është i nevojshëm përdorimi i softuerit të licencuar (sistemi, aplikacioni dhe softueri special) dhe siguria e informacionit të certifikuar dhe mbrojtje antivirus(kjo mund të jetë një SRI nga NSD, produkte antivirus, muret e zjarrit, mjetet e zbulimit të ndërhyrjeve, mjetet e analizës së sigurisë, të përshtatshme një klasë të caktuar). Nëse ISPD është vendosur mjete kriptografike mbrojtja e informacionit (CIP), atëherë ato gjithashtu duhet të certifikohen sipas kërkesave të FSB të Rusisë.

Duhet të theksohet se vetëm i licencuari i FSTEC ka të drejtë të instalojë SRZI të certifikuar, dhe i licencuari i FSB ka të drejtë të instalojë ICZI.

Vërtetim

Faza përfundimtare e krijimit të një sistemi për mbrojtjen e ISPD duhet të jetë certifikimi (deklarata e konformitetit) - një grup masash organizative dhe teknike, si rezultat i të cilave, përmes dokument i veçantë- Certifikata e Konformitetit (Përfundimi) konfirmon se ISPDn përputhet me kërkesat e standardeve ose dokumenteve të tjera rregullatore dhe metodologjike për sigurinë e informacionit. Prania e një Certifikate të Pajtueshmërisë të vlefshme jep të drejtën për të përpunuar informacionin me një nivel të përshtatshëm konfidencialiteti për periudhën kohore të specifikuar në Certifikatën e Pajtueshmërisë.

Pyetje: Kush mund të certifikojë vendet e punës për respektimin e kërkesave të legjislacionit dhe dokumenteve rregullatore në fushën e të dhënave personale?

Igor Nazarov: Të licencuarit e FSTEC që kanë një licencë për mbrojtjen teknike të informacionit konfidencial (http://www.connect.ru/article.asp?id=9406) kanë të drejtë të certifikojnë ISPD për pajtueshmërinë me kërkesat e sigurisë së informacionit.

Certifikimi parashikon një kontroll gjithëpërfshirës (teste certifikimi) të ISPD në kushte reale operimi për të vlerësuar përputhshmërinë e grupit të masave mbrojtëse të miratuara me nivelin e kërkuar të sigurisë së PD.

V pamje e përgjithshme Certifikimi ISPD për kërkesat e sigurisë së informacionit përfshin fazat e mëposhtme:

Analiza e të dhënave fillestare për ISPD-në e dëshmuar;

Kryerja e një vrojtimi eksperti të ISPD-së dhe analiza e dokumentacionit të zhvilluar për garantimin e sigurisë së PD-së për respektimin e kërkesave të dokumenteve rregullatore dhe metodologjike;

Kryerja e testeve gjithëpërfshirëse të certifikimit të ISPD në kushte reale operimi duke përdorur pajisje speciale kontrolli dhe softuer për monitorimin e sigurisë ndaj aksesit të paautorizuar;

Analiza e rezultateve të testeve gjithëpërfshirëse të certifikimit, ekzekutimi dhe miratimi i Konkluzionit dhe Certifikatës së Konformitetit bazuar në rezultatet e vërtetimit.

Një pikë e rëndësishme është që në rast të ndryshimit të kushteve dhe teknologjisë së përpunimit të PD, operatori duhet të njoftojë organizatën e licencuar që ka kryer certifikimin e PDIS. Pas kësaj, organizata e licencuar vendos për nevojën për të verifikim shtesë efikasiteti i sistemit të mbrojtjes ISPDN.

Përgjegjësia dhe rreziqet për mosrespektimin e kërkesave të ligjit

Nëse kërkesat për garantimin e sigurisë së të dhënave personale nuk plotësohen, operatori mund të përballet me rreziqe të padive civile nga klientët ose punonjësit.

Kjo, nga ana tjetër, mund të ndikojë në reputacionin e kompanisë, si dhe të çojë në pezullimin (përfundimin) me forcë të përpunimit të PD, duke e çuar kompaninë dhe (ose) drejtuesin e saj në përgjegjësi administrative ose lloje të tjera, dhe në kushte të caktuara - për pezullimin ose heqjen e licencave. Për më tepër, sipas Ligjit Federal, personat fajtorë për shkeljen e kërkesave mbajnë përgjegjësi civile, penale, administrative, disiplinore dhe të tjera të përcaktuara me legjislacionin e Federatës Ruse ( neni 24 FZ-152):

Disiplinor (Kodi i Punës i Federatës Ruse, nenet 81, 90, 195, 237, 391);

Administrative (Kodi i Federatës Ruse për kundërvajtjet administrative, nenet 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2);

Penale (Kodi Penal i Federatës Ruse, nenet 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).

Një grup masash të një natyre të ndryshme, të kryera për të kundërshtuar në mënyrë aktive aksesin e mundshëm të paautorizuar në të dhënat personale, i përbërë nga masat e menaxhimit, përdorimi efektiv i mjeteve të mbrojtjes harduerike, përbën bazën e një Sistemi të Mbrojtjes së të Dhënave Personale që funksionon në mënyrë efikase (PDS).

Qëllimi i prezantimit të një grupi masash funksionale të besueshme është:

Pajtueshmëria e saktë me kërkesat e rregullatorit për pajtueshmërinë me dispozitat e Ligjit Federal "Për Mbrojtjen e të Dhënave Personale", dispozitat e akteve nënligjore të miratuara që sigurojnë nivelin e duhur të sigurisë për të dhënat personale të përdorura;

Zhvillimi i udhëzimeve që përshkruajnë ekzekutimin rregulla të caktuara gjatë konvertimit të PD-së së përdorur, duke siguruar mbrojtjen e tyre.

Detyrat për t'u zgjidhur
Pajisjet e përdorura
Aplikacionet

Zhvillimi dhe zbatimi i një sistemi të mbrojtjes së të dhënave personale (PDS) është një seri masash teknike dhe menaxheriale që synojnë sigurimin e mbrojtjes gjithëpërfshirëse të informacionit që njihet nga Ligji Federal i 27.07. 2006 N 152-FZ të dhënat personale.

Operatorët, që janë agjenci qeveritare dhe sipërmarrje tregtare që kryejnë veprime për të punuar me PD-në, janë të interesuar për përpunimin e tyre të sigurt, duke njohur kështu nevojën e zbatimit të një sistemi sigurie.

Duke marrë parasysh përvojën e grumbulluar gjatë zbatimit të projekteve për krijimin e SZPD-së, duket e mundur të përcaktohen një sërë avantazhe të rëndësishme nga zbatimi i sistemit:

Në radhë të parë është një reduktim dramatik i rreziqeve ligjore dhe reputacionit që rrjedhin nga mospërputhja legjislacionin aktual në lidhje me sigurinë e të dhënave personale.

Pika e dytë e rëndësishme është fakti se ndërtimi i bazuar shkencërisht i sistemit të sigurisë ju lejon të përpunoni të dhënat personale të punonjësve dhe klientëve pa frikë nga siguria e tyre. Kjo mund të bëhet një avantazh i fuqishëm konkurrues kur kemi të bëjmë me informacione konfidenciale të individëve dhe informacione të destinuara vetëm për përdorim zyrtar (të brendshëm). Një SZPDn i ndërtuar mirë përballon lehtësisht kërcënimet më të zakonshme - bllokon ndikimin e malware, parandalon vjedhjen e bazave të të dhënave të klientëve, gjë që shpesh praktikohet nga punonjës të pushuar nga puna.

Faktori i tretë që motivon zbatimin e një sistemi efektiv të mbrojtjes së të dhënave personale është krijimi i imazhit të kompanisë si një partner i besueshëm, të cilit mund t'i besohet sigurimi i konfidencialitetit të të dhënave personale.

Siç theksojnë analistët, skandalet e shpeshta që lidhen me rrjedhjen e informacionit konfidencial i detyrojnë njerëzit t'i kushtojnë vëmendje sistemit të sigurisë kur zgjedhin një partner palë. Marrëveshjet e partneritetit apo kushtet e tenderit tashmë po bëhen të zakonshme, në të cilat kërkohet të sigurohet pajtueshmëria e dokumentuar e PDPD-së me rregulloret aktuale.

Nuk duhet harruar se një PDS efektive siguron vazhdimësinë e të gjitha proceseve të biznesit në vetë kompaninë, eliminon mundësinë e ankesave të klientëve, ankesave të justifikuara nga punonjësit dhe urdhrave të frikshëm nga autoritetet rregullatore.

Fazat e punës për të sjellë në përputhje me 152-FZ

1. Inventarizimi, analiza e plotë e gjendjes së strukturave të informacionit të përfshira në përpunimin e PD.

Një auditim i tillë para projektit ofron informacion objektiv në lidhje me proceset e përfshira në përpunimin e të dhënave personale në kompani dhe masat për mbrojtjen e tyre. Specialistët e Open Vision kontrollojnë në mënyrë të detyrueshme të gjithë dokumentacionin e shërbimit, rregullsinë e masave të marra, të zhvilluara për të përmbushur kërkesat e kuadrit ligjor në lidhje me sigurinë e të dhënave të kufizuara të përdorura në punë.

2. Krijimi i konceptit të një sistemi sigurie që përdoret për sigurinë e të dhënave personale, duke i ofruar klientit rekomandime të arsyeshme për optimizimin e përpunimit të të dhënave personale, duke garantuar sigurinë e informacionit konfidencial.

Në këtë fazë të punës vlerësojnë specialistë të kualifikuar opsionet e mundshme zbatimin e projektit, të përcaktojë pikat fillestare për zbatimin e tij, të vendosë kufizime të caktuara në shkallën e projektit që po zbatohet. Identifikohen problemet kryesore, krijohet arsyetimi për zgjidhjet e propozuara. Klientët marrin një listë të elementeve softuerike dhe harduerike të kompleksit të sigurisë së informacionit që po zhvillohet, me tregues të detyrueshëm të kostos për çdo artikull.

3. Sqarim nivel real Sigurimi i PD

Në procesin e punës, përcaktohet lloji i mundshëm i kërcënimeve ndaj të dhënave personale të mbrojtura, duke iu referuar një sistemi specifik informacioni, specifikohet përbërja e pritshme e të dhënave personale, numri i mundshëm i subjekteve. Duke marrë parasysh të gjithë vëllimin e informacionit të marrë, përcaktohet gjendja reale e sistemit të sigurisë së të dhënave personale.

4. Zhvillimi i një modeli të kërcënimeve të mundshme ndaj sistemit të sigurisë së PD, krijimi i një modeli të një sulmuesi

Dokumenti i ofruar klientit është një listë e sistemuar e kërcënimeve të mundshme për sigurinë e të dhënave personale kur punoni me ta në sistemet e informacionit të të dhënave personale (ISPDN). Kërcënimet për sigurinë e të dhënave personale (UBPDn) mund të lindin si rezultat i veprimeve keqdashëse ose aksidentale të individëve, aktiviteteve të shërbimeve speciale të huaja ose organizatave të specializuara në spiunazh, grupeve të specializuara kriminale që përgatisin një hakerim të sigurisë së të dhënave personale, të cilat do të ndikojnë në të drejtat dhe liritë e shoqërisë dhe shtetit apo qytetarëve...

5. Zhvillimi i Termave të Referencës për ndërtimin e SZPDn

Termat e referencës private për ndërtimin e një SZPD për një strukturë specifike informacioni përcaktojnë qëllimin e tij, qëllimet e ndjekura, kërkesat për teknike dhe mbështetje organizative, një plan për zhvillimin dhe krijimin e drejtpërdrejtë të SZPDn.

6. Krijimi i projektit SZPD

Krijuar në këtë fazë të zbatimit të PDPD dokumentacionin e projektit parashikon punë që merr parasysh standardet e sigurisë së të dhënave me akses të kufizuar të përcaktuara nga aktet rregullatore.

7. Zhvillimi i dokumentacionit organizativ dhe administrativ

Kompleti i dokumenteve që përshkruajnë rregullat për përpunimin, mbrojtjen e të dhënave personale, përbëhet nga dhjetëra udhëzime organizative dhe administrative që janë të nevojshme për të sjellë të gjitha proceset për punën dhe sigurinë e të dhënave personale në përputhje me standardet e legjislacionit aktual.

8. Furnizimi me softuer dhe mbrojtje të informacionit harduer

Klienti pajiset me softuer dhe elementë harduerikë për zbatimin e PDS, të cilat janë testuar dhe plotësojnë kërkesat e ligjeve të Federatës Ruse në lidhje me masat e sigurisë së informacionit.

9. Instalimi, konfigurimi i sistemit të sigurisë së informacionit

Në këtë fazë të zbatimit të SZPD, po instalohen pajisjet, instalohet softueri, me cilësimet e duhura. Si rezultat i punës së kryer, klienti merr një sërë mjetesh të sigurisë së informacionit që janë në përputhje me strukturën e informacionit të përdorur për të punuar me PD.

10. Vlerësimi i efektivitetit të masave të marra për krijimin e mbrojtjes efektive të të dhënave personale

Përcaktimi i efektivitetit të masave të sigurisë të zhvilluara për të dhënat e kufizuara kryhet përpara nisjes në funksion të PDPD. Testimi i vërtetimit të një sistemi tregtar kërkohet çdo 3 vjet.

11. Certifikimi i ISPD-së së përdorur për përputhjen me kërkesat moderne të sigurisë së informacionit

Certifikimi ISPDn përfshin një grup kontrollesh organizative dhe teknike (teste certifikimi) që synojnë konfirmimin e pajtueshmërisë me kërkesat e sigurisë së informacionit. Ofrohet për agjencitë qeveritare.

Një nga segmentet me zhvillim të shpejtë të tregut vendas të TI-së është tregtia në internet, e cila është për shkak të thjeshtësisë teknike të zbatimit. të këtij projekti, transparencë e proceseve të biznesit. E-commerce njihet si një lloj biznesi efektiv dhe premtues.

Çështjet e sigurisë së informacionit të biznesit në internet nuk e humbasin rëndësinë e tyre, përkundrazi, numri i sulmet e hakerëve Institucionet më të mëdha financiare që investojnë shuma të mëdha parash në sistemet e mbrojtjes kërkojnë veprim në kohë. Ja se si ta arrini këtë, madje edhe me një nivel të pranueshëm kostosh.

Shumë, veçanërisht në faza fillestare, nuk kanë mundësi të rrëmbejnë nga qarkullimi shuma të konsiderueshme duke i investuar në sistemet e sigurisë së informacionit. Biznesi është i ri, "grackat" e mundshme nuk dihen, dhe specifikat e biznesit në internet presupozojnë ndryshime të vazhdueshme.

Si rezultat, një sistem sigurie po krijohet, por po zhvillohet "me njohje" ose i bëhet një porosi një profesionisti të lirë, në rastin më të mirë, një studio e regjistruar zyrtarisht në internet. Përvetësimi i një zgjidhjeje të gatshme gjithashtu nuk mund të konsiderohet si sigurim i një niveli serioz sigurie, pasi ka probleme për integrimin e saj në infrastrukturën tashmë ekzistuese të IT.

Apo ndoshta duhet të mendoni nëse sisteme të tilla ofrojnë vërtet nivelin e duhur të sigurisë? A i ka vetë sipërmarrësi kualifikimet e nevojshme për të përcaktuar nivelin e formimit të “shabashnikëve të internetit”? A mund të minimizohet një punë e tillë rreziqet e mundshme? Fatkeqësisht, në shumicën e rasteve, përgjigja është jo.

Edhe pse nga ana e konsumatorit nuk ka shumë kërkesa të rrepta në lidhje me sigurinë e të dhënave personale që ai transferon në dyqanin online kur bën një blerje, kjo nuk mund të shërbejë si treguesi kryesor për zgjedhjen e metodave të organizimit të përpunimit dhe ruajtjes së një informacioni të tillë konfidencial. Blerësi nuk ka fare mundësinë të vlerësojë se sa efektivisht funksionon mbrojtja e të dhënave të tij personale. Po, kjo, për momentin, nuk shqetëson veçanërisht, pasi çmimet tërheqëse, një përshkrim i bukur i mallrave, dërgesa preferenciale, arrijnë qëllimin.

Shumica e audiencës blerëse as nuk e pyesin veten se ku i dërgojnë të dhënat e tyre personale. Ose është një sipërmarrës individual ose një sipërmarrës privat që zhvillon biznesin e tij në internet. Ose është divizioni në internet i një shitësi të madh elektronik të konsumit. Natyrisht, qëndrimi ndaj sigurisë së informacionit në një rrjet të madh tregtar është më i rreptë se ai i një sipërmarrësi, i cili ndonjëherë duhet të dorëzojë mallra në mënyrë të pavarur te klientët.

Vlen të përmendet se, megjithë kërcënimin gjithnjë në rritje të vjedhjes së informacionit konfidencial, besimi në tregtinë në internet po rritet vazhdimisht. Blerësi fut informacione për veten e tij, duke plotësuar formularin e porosisë, ndonjëherë edhe pa u shqetësuar se si do ta trajtojnë punonjësit e dyqanit. Apo ndoshta nuk është aq shumë e kërkuar për proceset ekzistuese të biznesit?

Teprica që rezulton e të dhënave të kërkuara thjesht bie nën FZ-152, pasi ka një mospërputhje midis natyrës dhe vëllimit të informacionit të marrë detyrat ekzistuese përpunimin e tij për proceset e biznesit të ofruara në dyqanin online.

Niveli teknik i zhvillimit të tregtisë moderne në internet bën të mundur supozimin e përdorimit të sistemeve CRM, për shkak të të cilave është e mundur të ruhen të dhëna rreth klientit për ndërveprim të mëvonshëm me të dhe propozimin e një produkti të ri. Por a është e nevojshme për nivelin e ndërveprimit pas shitjes me blerësin?

Sipas FZ-152 informata personale mund të ruhet vetëm për periudhën kohore që është e nevojshme për përpunimin e tij. Pas blerjes ose refuzimit, të gjitha të dhënat personale duhet të shkatërrohen, pasi ruajtja e tyre nuk korrespondon me specifikat e proceseve të biznesit që po kryhen. Nuk ka dyshim se praktikisht askush nuk po e bën këtë.

FZ-152 përmban dispozita që kërcënojnë vetë ekzistencën e tregtisë në internet. Çdo organ inspektues mund t'i kërkojë pronarit të një dyqani online që të sigurojë saktësisht lejen me shkrim të një qytetari për të përdorur të dhënat e tij personale në punë. Askush nuk e jep një leje të tillë me shkrim, maksimumi është i kufizuar në një shenjë për njohjen me rregullat e dyqanit.

Meqenëse kontakti i drejtpërdrejtë për sa i përket tregtimit nëpërmjet internetit nuk pritet, përveç takimit të blerësit me një korrier për dërgimin e mallrave, pajtueshmëria me Ligjin Federal 152 mund të arrihet vetëm duke depersonalizuar të dhënat personale të konsumatorit dhe kjo kërkon rregullimin e proceseve ekzistuese të biznesit.

Pa dyshim mjet i përshtatshëm portalet e korporatave njihen në mënyrë të arsyeshme se lehtësojnë aksesin në shërbime të ndryshme informacioni të kompanisë. Me një rrjet të zhvilluar të degëve dhe zyrave të vendosura në një distancë të madhe nga zyra qendrore, një numër të konsiderueshëm partnerësh biznesi, mjeti optimal i komunikimit është një lidhje VPN me një nivel adekuat sigurie. Zgjedhja e një zgjidhjeje të tillë të teknologjisë së lartë, megjithatë, është mjaft e shtrenjtë dhe jo e disponueshme për çdo kompani. Në mungesë të fondeve të lira për një lidhje të sigurt, më shumë se në një mënyrë të thjeshtë puna është një pikë aksesi nga interneti.

Një veçori e portalit të korporatës, madje duke marrë parasysh nivel të ndryshëm infrastruktura, është ruajtja e informacionit konfidencial të punonjësve, klientëve të firmës dhe partnerëve të biznesit person juridik dhe vendosjen e informacionit financiar të vetë shoqërisë, zbulimi i të cilave mund të jetë i dëmshëm. Organizimi efektiv i të gjitha proceseve për punën me të dhënat personale duhet të marrë parasysh që qëllimet dhe metodat e përpunimit të të dhënave janë të ndryshme për çdo nëngrup subjektesh. Është një qasje e diferencuar për transformimin e të dhënave të kufizuara që duhet të përfshihen në konceptin e sigurisë së korporatës.

Nuk ka dyshim se pozita financiare e kompanisë duke krijuar portali i korporatës, bën të mundur tërheqjen e programuesve me përvojë për punë ose blerjen e një zgjidhjeje të gatshme dhe të testuar në mënyrë të përsëritur. Megjithatë, nuk duhet harruar se siguria e kodit nuk është parametri i vetëm të cilit duhet t'i kushtoni vëmendje kur zhvilloni një sistem efektiv të sigurisë së informacionit. Nga në përgjithësi, siguria e informacionit duhet të njihet nga menaxhmenti i kompanisë si një pjesë integrale sistemi i përbashkët sigurinë.

Gjatë viteve të fundit, numri i përdoruesve të rrjeteve sociale të njohura në Runet është rritur me një ritëm të paparë, duke tejkaluar shifrën 50 milionë. Sasia kolosale e të dhënave personale të grumbulluara në rrjetet sociale kërkon kontroll të duhur, gjë që sugjerohet nga normat e FZ-152.

Pavarësisht përshtypjes së parë se informacioni i disponueshëm në rrjetet sociale mund të konsiderohet si "i disponueshëm publikisht", çdo vit vëllimi në rritje i të dhënave klasifikohet me ligj si "të dhëna personale konfidenciale".

Faktet e vjedhjes nga rrjetet sociale të llogarive nuk janë të rralla jashtë vendit dhe në Rusi. Qindra mijëra llogari janë të ekspozuara ndaj kriminelëve kibernetikë. Numri i sulmeve të hakerëve në rrjetet sociale nuk po zvogëlohet, ekspertët vënë në dukje vëmendjen e vazhdueshme të krimit kibernetik ndaj kësaj pjese të internetit.

Skemat mashtruese të orientuara nga shoqëria kanë potencial të madh, duke përdorur sulme farmingutike, dërgimin e mesazheve të padëshiruara dhe phishing për qëllimet e tyre. I gjithë ky grup mjetesh të krimit modern kibernetik mund të çojë në vjedhje të të dhënave konfidenciale, gjë e cila lehtësohet nga mendjemprehtësia dhe papërvojë e njerëzve. Nga administratorët e rrjeteve sociale kërkohet monitorim i vazhdueshëm, identifikimi i incidenteve, eliminimi i pasojave të tyre.

Shërbimi bankar në internet po bëhet gjithnjë e më i popullarizuar në sektorin bankar rus, duke ofruar plotësisht disa dhjetëra institucione financiare një shërbim të ngjashëm... Kjo si pasojë e mungesës së një platforme të unifikuar integruese dhe nivelit të pamjaftueshëm të automatizimit të shumë institucioneve.

Ashtu si aplikacionet e zakonshme në internet, shërbimet bankare në internet dhe sistemet elektronike të pagesave bazohen në një arkitekturë të përbashkët klient-server. Dihet se "lidhja e dobët" e një ndërveprimi të tillë është pikërisht përdoruesi dhe pajisjet me të cilat ai menaxhon llogarinë e tij.

Fatkeqësisht, konsumatori nuk është në gjendje të vlerësojë objektivisht të gjitha rreziqet që lindin në mënyrë të pashmangshme gjatë menaxhimit Llogari bankare në distancë. Për të mos përmendur marrjen e masave të duhura të sigurisë. Prandaj, bankat duhet të plotësojnë njohuritë e klientëve për këto çështje.

Vlen të përmendet se kriminelët kibernetikë shpesh e përqendrojnë vëmendjen e tyre në bankingun në internet jo me qëllim të vjedhjes së fondeve, pasi institucionet financiare ofrojnë sigurinë maksimale të transaksioneve, por për të fituar akses në të dhënat personale të klientit. Është falë kësaj që skemat mashtruese bëhen të mundshme karta bankare, metoda të tjera të vjedhjes financiare. Shumë ekspertë besojnë se në tregun e zi hyrje e thjeshtë për llogaritë e klientëve ka vlerën e vet.

Statistikat tregojnë qartë se krijimi dhe funksionimi i shërbimit të bankingut në internet në shumë struktura nuk përputhet me normat dhe rregullat e industrisë. Më shpesh, çdo institucion financiar ishte i angazhuar në zhvillim në mënyrë të pavarur, dhe standardet ekzistuese ishin vetëm këshillimore.

Fillimi i FZ-152 ka krijuar probleme të konsiderueshme për shumë banka, pasi kontrolli i rregullatorit mbi sigurinë e të dhënave personale po forcohet, gjë që kërkon përmirësimin e sistemeve ekzistuese të sigurisë. Pavarësisht se sa shumë u përpoq shoqata e bankave të shtynte fillimin e FZ-152, u bë e nevojshme të respektoheshin dispozitat e tij.