Σχέδια ψηφισμάτων του προϊσταμένου της διοίκησης κ.λπ.
Αρχεία *.xlsx με παραδείγματα υπολογισμών τύπων και συναρτήσεων. Και επίσης δωρεάν...
Η εμπιστευτικότητα των δεδομένων εξακολουθεί να είναι ένα από τα πιο πιεστικά προβλήματα στην πραγματικότητα. Σύμφωνα με το νόμο, οι υπάρχουσες πληροφορίες πρέπει να προστατεύονται από μη εξουσιοδοτημένη πρόσβαση. Ο έλεγχος σε αυτόν τον τομέα δραστηριότητας πραγματοποιείται από την FSTEC - την ομοσπονδιακή υπηρεσία τεχνικού και εξαγωγικού ελέγχου, Το βασικό σημείοΑπό αυτή την άποψη, η άδεια FSTEC αφορά όλες τις εταιρείες με τον ένα ή τον άλλο τρόπο που σχετίζεται με τη συλλογή, αποθήκευση και επεξεργασία προσωπικών δεδομένων για άτομα. Για τις εμπορικές εταιρείες, η άδεια FSTEC δημιουργεί επίσης πρόσθετη εγγύησηνα παρέχουν τις υπηρεσίες τους σε πελάτες, γιατί υποστηρίζεται από έλεγχο ασφαλείας για λογαριασμό του κράτους.
Όλες οι εισηγμένες εταιρείες πρέπει να διαθέτουν άδεια από την FSTEC της Ρωσίας, αυτό προκύπτει από τον ομοσπονδιακό νόμο αριθ. η οργάνωση αδειοδότησης για ορισμένους τύπους.
Η βασική έννοια που σχετίζεται με μια άδεια είναι εμπιστευτικές πληροφορίες, Απαιτείται διευκρίνιση για τους σκοπούς της λήψης του από εταιρείες που εκμεταλλεύονται δεδομένα ή αναπτύσσουν υλικό ή λογισμικόγια την προστασία της. Διάφορα δεδομένα μπορεί να περιέχουν προσωπικά, εμπορικά ή κρατικά μυστικά. ΜΕ πρακτικό σημείοΑπό την άποψή μας, η απόκτηση άδειας FSTEC μπορεί να ισχύει τόσο για την εταιρεία στο σύνολό της όσο και για τα τμήματα και τους υπαλλήλους της. Οι περισσότερες εταιρείες που δραστηριοποιούνται με δεδομένα φέρνουν συχνότερα αυτή τη δραστηριότητα στη σφαίρα της πραγματικότητας ενός υπαλλήλου. Σε τέτοιες περιπτώσεις, η ίδια η επιχείρηση δεν χρειάζεται να λάβει άδεια, αλλά ο εργαζόμενος πρέπει.
Η τεχνική προστασία των εμπιστευτικών πληροφοριών (TPKI) καθορίζεται από τη φυσική ανάγκη όλων των συμμετεχόντων στη σχέση, των οποίων τα δεδομένα μπορούν να χρησιμοποιηθούν σε για ιδιοτελείς σκοπούςεν αγνοία τους. Για παράδειγμα δεδομένα προσωπικός τύποςπληροφορίες που αφορούν την προσωπικότητα των εργαζομένων μπορούν να χρησιμεύσουν ως πηγή εικασιών και εκβιασμών. Αυτοί, μαζί με εμπορικές πληροφορίεςΟι χάκερ υπολογιστών είναι επίσης πρόθυμοι να πουλήσουν προκειμένου να αποκτήσουν άδικο (παράνομο) πλουτισμό και αθέμιτο ανταγωνισμό. Και παρά το γεγονός ότι η ίδια η έννοια των εμπιστευτικών πληροφοριών δεν είναι ακόμη σαφώς καθορισμένη στη νομοθεσία, η κοινωνία και οι επιχειρήσεις την έχουν απόλυτη ανάγκη. Επομένως, η άδεια FSTEC TZKI είναι μια μέθοδος προστασίας που ορίζεται από το νόμο και εμπιστευτικότητας σε αυτήν την περίπτωση, σε αντίθεση με τη δημοσιότητα πληροφοριών, πρόκειται για οποιαδήποτε πληροφορία που προστατεύεται από το νόμο. περιορισμένος διαφορετικά επίπεδαπρόσβαση.
Στο πλαίσιο των δραστηριοτήτων της, η FSTEC εκδίδει δύο βασικούς τύπους αδειών:
Απαιτείται άδεια TZKI ή FSTEC για τεχνική προστασία εμπιστευτικών πληροφοριών για εταιρείες που εργάζονται με έτοιμο λογισμικό και εξοπλισμό που παρέχει άμεση προστασία πληροφοριών. Η SZKI είναι μια παρόμοια άδεια FSTEC για προστασία πληροφοριών, αλλά εκδίδεται σε εταιρείες των οποίων η κύρια δραστηριότητα είναι η παραγωγή εξοπλισμού ασφαλείας. Υπόκεινται σε υποχρεωτική άδεια χρήσης προϊόντων. Αυτά τα μέσα μπορούν να εκτελέσουν μια λειτουργία ελέγχου και προστασίας.
Κατά κανόνα, η ανάγκη απόκτησης άδειας από την FSTEC πρέπει να αφορά εταιρείες που εκτελούν δραστηριότητες πιστοποίησης και πιστοποίησης, παρακολουθούν και σχεδιάζουν εργαλεία τεχνολογίας πληροφοριών, καθώς και εγκατάσταση εξοπλισμού για το TZKI.
Η απόκτηση άδειας TZKI γίνεται συνήθως από τις ίδιες τις επιχειρήσεις, αλλά είναι σημαντικό να τηρούνται ορισμένες απαιτήσεις. Το προσωπικό της εταιρείας πρέπει να είναι εκπαιδευμένο με την κατάλληλη εκπαίδευση και η τεκμηρίωση του εξοπλισμού πρέπει να συμμορφώνεται. Είναι καλύτερο να προτείνετε όλες αυτές τις ερωτήσεις σε έναν μεσάζοντα του οποίου η αρμοδιότητα αποσκοπεί στην παροχή συμβουλευτικών υπηρεσιών κατά την προετοιμασία για την αδειοδότηση. Αυτή η διαδικασία είναι πολύπλοκη και κάθε τύπος άδειας θα απαιτεί τη δική του λίστα, ανάλογα με τον όγκο δραστηριότητας των εταιρειών.
Η διαδικασία αδειοδότησης περιγράφεται λεπτομερώς στο Διάταγμα της Κυβέρνησης της Ρωσικής Ομοσπονδίας «Σχετικά με την αδειοδότηση δραστηριοτήτων για την τεχνική προστασία εμπιστευτικών πληροφοριών». Το έγγραφο προσδιορίζει λεπτομερώς ποια έγγραφα, με ποια μορφή και με ποια σειρά, απαιτείται να υποβληθούν στην αρχή αδειοδότησης (LO).
Στο χαρτί όλα φαίνονται αρκετά απλά.
Ωστόσο, στην πραγματικότητα όλα είναι πιο περίπλοκα. Υπάρχει μόνο μία αρχή αδειοδότησης για ολόκληρη τη χώρα, και βρίσκεται στη Μόσχα, πολλά άτομα εμπλέκονται στην εξέταση των αιτήσεων και ο αριθμός των οργανισμών που επιθυμούν να λάβουν άδεια αυξάνεται κάθε χρόνο. Μπορείτε να κάνετε ερωτήσεις μέσω τηλεφώνου, για αυτό σας δίνονται δύο ώρες δύο φορές την εβδομάδα, όχι περισσότερο από πέντε λεπτά ανά συνεδρία επικοινωνίας, δεν θα μπορείτε να μάθετε πολλά. Όλα αυτά σημαίνουν ότι είναι σχεδόν αδύνατο να πραγματοποιηθεί η αδειοδότηση μέσα σε λίγες μέρες ή και εβδομάδες, ειδικά εάν υπάρχουν παρεξηγήσεις στους κανόνες αδειοδότησης ή δυσκολίες στην εκπλήρωση τουλάχιστον μίας από τις απαιτήσεις. Επιπλέον, για ορισμένους τύπους υπηρεσιών, η λίστα των νομικών πράξεων που πρέπει να επισυνάπτονται μόνο στην αίτηση μπορεί να αποτελείται από 15 σελίδες.
Η αίτηση για άδεια πρέπει να συνοδεύεται από:
Οι κάτοχοι πρώτης άδειας πρέπει να υποβάλλουν συμβολαιογραφικά έγγραφα σύστασης του οργανισμού.
Κατά τη διάρκεια των εργασιών αδειοδότησης, οι οργανισμοί αντιμετωπίζουν τρεις κύριες δυσκολίες:
Προκειμένου να αποκτήσετε άδεια και στη συνέχεια να περάσετε με επιτυχία, εάν είναι απαραίτητο, προγραμματισμένες επιθεωρήσεις FSTEC για συμμόρφωση με τις απαιτήσεις, προτείνουμε να λάβετε υπόψη ορισμένα σημεία:
Όταν ένας αιτών λαμβάνει για πρώτη φορά άδεια, η επικοινωνία με την αρχή αδειοδότησης είναι απομακρυσμένη: τα μέρη ανταλλάσσουν έγγραφα και επικοινωνούν τηλεφωνικά. Κανένας προσωπικές επισκέψειςοι ρυθμιστικές αρχές δεν βλάπτουν τον αιτούντα.
Μια προγραμματισμένη επιθεώρηση μπορεί να πραγματοποιηθεί τρία χρόνια μετά την απόκτηση άδειας. Σε αυτήν την περίπτωση, οι εκπρόσωποι της FSTEC μελετούν εάν το προσωπικό, οι εγκαταστάσεις, ο εξοπλισμός και το λογισμικό που δηλώθηκαν κατά την απόκτηση της άδειας όντως υπάρχουν. Αυτό περιλαμβάνει αξιολόγηση των γνώσεων και των ικανοτήτων του προσωπικού που δηλώνονται στα έγγραφα για την απόκτηση άδειας. Οι επιθεωρητές μπορούν να ζητήσουν έναν κατάλογο πιστοποιητικών που εκδόθηκαν από τον οργανισμό πιστοποίησης (εάν αυτός ο τύπος δραστηριότητας περιλαμβάνεται στην άδεια), καθώς και έναν κατάλογο πελατών στους οποίους εκδόθηκαν αυτά τα πιστοποιητικά. Με αυτόν τον τρόπο, οι ρυθμιστικές αρχές επαληθεύουν εάν ο οργανισμός πιστοποίησης παρείχε πράγματι αυτές τις υπηρεσίες και πόσο υψηλής ποιότητας είναι.
Είναι επίσης δυνατός ένας απρογραμμάτιστος έλεγχος, ο οποίος πραγματοποιείται ανά πάσα στιγμή κατόπιν αιτήματος πολιτών, νομικά πρόσωπα, της εισαγγελίας ή με δικαστική απόφαση.
Από την 1η Ιανουαρίου 2015, το κρατικό τέλος για την αρχική λήψη άδειας FSTEC για δραστηριότητες που σχετίζονται με την τεχνική προστασία εμπιστευτικών πληροφοριών είναι 7.500 ρούβλια, για ανανέωση - 3.500 ρούβλια. Αυτά είναι αναπόφευκτα έξοδα και το λιγότερο ακριβό μέρος της εργασίας.
Σύμφωνα με τις απαιτήσεις των κανονισμών αδειοδότησης, είναι απαραίτητο να πραγματοποιηθεί πιστοποίηση και να αναπτυχθούν έγγραφα για την πιστοποίηση των προστατευόμενων χώρων και το αυτοματοποιημένο σύστημα επεξεργασίας εμπιστευτικών πληροφοριών. Αυτές οι υπηρεσίες παρέχονται από κατόχους αδειών FSTEC, για παράδειγμα εκπροσώπους του έργου.
Η γκάμα των υπηρεσιών περιλαμβάνει:
Η άδεια FSTEC είναι μια ειδική κρατική άδεια που σας επιτρέπει να διεξάγετε νόμιμες δραστηριότητες που σχετίζονται άμεσα με τη δημιουργία και τη χρήση λογισμικού ή καινοτόμες τεχνολογίες. Οι άδειες αφορούν την αποθήκευση πληροφοριακών δεδομένων ή τη δημιουργία βάσεων δεδομένων για την αποθήκευση τους.
Άδεια FSTEC στη Μόσχα και σε άλλες περιοχές της Ρωσίας με ειδικούς από τον Όμιλο AP-Rial - απόκτηση άδειας χωρίς προβλήματα. Άδεια προστασίας πληροφοριών - ένα πλήρες φάσμα υπηρεσιών στην αδειοδότηση FSTEC.
Αρχή αδειοδότησης:Ομοσπονδιακή Υπηρεσία Τεχνικού και Ελέγχου ΕξαγωγώνΤιμή άδειας FSTEC (βοήθεια για την απόκτηση):από 250.000 τρίψτε.
Η άδεια FSTEC της Ρωσίας είναι διαθέσιμη στους αιτούντες από διαφορετικές περιοχέςχώρα, αλλά η αρχή αδειοδότησης είναι αποκλειστικά ομοσπονδιακή υπηρεσίαγια τεχνικό και εξαγωγικό έλεγχο, που βρίσκεται στη Μόσχα. Η περίοδος ισχύος της επίσημης άδειας ορίζεται ως απεριόριστη και η γεωγραφία επιρροής περιορίζεται στα επίσημα σύνορα του κράτους.
Η περίοδος κατά την οποία ο αιτών λαμβάνει άδειες είναι 45 ημέρες από την ημερομηνία υποβολής των εγγράφων στον ελεγχόμενο κρατικό φορέα.
Η διαδικασία αδειοδότησης μπορεί να προχωρήσει σε τρεις επιλογές:
Ένα πλήρες φάσμα υπηρεσιών μας επιτρέπει όχι μόνο να βοηθήσουμε τις επιχειρήσεις να αποκτήσουν την απαραίτητη άδεια για τις δραστηριότητές τους, αλλά και να είμαστε έτοιμες πιθανούς ελέγχουςκατά τη διάρκεια προγραμματισμένων ή μη επιθεωρήσεων.
Ομοσπονδιακός νόμος αριθ. 99 με ημερομηνία 4 Μαΐου 2011 «Σχετικά με την αδειοδότηση ορισμένων τύπων δραστηριοτήτων» ρυθμίζει σαφώς τον κατάλογο των βιομηχανιών που απαιτούνται για την αδειοδότηση. Πρώτα απ 'όλα, πρέπει να αποκτήσετε άδεια FSTEC:
Η αδειοδότηση από την FSTEC της Ρωσίας στη βιομηχανία TZKI ρυθμίζεται από το Διάταγμα της Κυβέρνησης της Ρωσικής Ομοσπονδίας της 3ης Φεβρουαρίου 2012 Αρ. 79 «Σχετικά με τις δραστηριότητες αδειοδότησης για την τεχνική προστασία εμπιστευτικών πληροφοριών». Η περίοδος ισχύος είναι απεριόριστη, αλλά οι επιχειρήσεις κατά τη διάρκεια των δραστηριοτήτων τους πρέπει να είναι προετοιμασμένες να επιβεβαιώσουν τις απαιτήσεις για τους δικαιοδόχους.
Η αδειοδότηση στον κλάδο CIPF () ελέγχεται από το Διάταγμα της Κυβέρνησης της Ρωσικής Ομοσπονδίας της 3ης Μαρτίου 2012 Νο. 171 «Σχετικά με τις δραστηριότητες αδειοδότησης για την ανάπτυξη και παραγωγή μέσων προστασίας εμπιστευτικών πληροφοριών». Το επίσημο έγγραφο καθορίζει τις απαιτήσεις για τους αιτούντες για αυτήν την άδεια.
Προκειμένου ένας αιτών να λάβει επίσημη άδεια για να δραστηριοποιηθεί στον κλάδο, χρειάζεται τεκμηριωμένη απόδειξη συμμόρφωσης με τις ακόλουθες απαιτήσεις:
Η άδεια FSTEC προβλέπει την πλήρη συμμόρφωση του δικαιοδόχου και την εκπαίδευση του προσωπικού για την εκτέλεση αυτής της δραστηριότητας.
Η άδεια της FSTEC της Ρωσίας με τη συμμετοχή μας είναι ότι οι ειδικοί μας αναλαμβάνουν τις ακόλουθες υποχρεώσεις:
Ορισμένοι τύποι αδειών FSTEC απαιτούν άδεια FSB για να λειτουργούν με πληροφορίες που αποτελούν κρατικό μυστικό.
Εγγυόμαστε στους αιτούντες την απόκτηση άδειας και την πλήρη συμμόρφωση της επιχείρησης με τις κρατικές απαιτήσεις σε όλα τα στάδια της περαιτέρω επιχειρηματικής της δραστηριότητας.
Οι ειδικοί του Ομίλου AP-Rial παρακολουθούν τακτικά θεματικές εκθέσεις και συνέδρια, επομένως βρίσκονται πάντα στην τάση όλων των καινοτομιών στον τομέα της ασφάλειας πληροφοριών. Όλη η εμπειρία που αποκτάται γίνεται πάντα στην πράξη. Η πλούσια εμπειρία μας επιτρέπει στους δικηγόρους μας να παρέχουν συμβουλές υψηλής ποιότητας σχετικά με τον εξοπλισμό που πρέπει να διαθέτει ένας οργανισμός που ασχολείται με την προστασία δεδομένων ή την ανάπτυξη εργαλείων ασφάλειας πληροφοριών.
Την άλλη μέρα οι υπάλληλοί μας επισκέφτηκαν μια έκθεση στις προστασία πληροφοριώναπό το "INTERPOLITEX - 2018". Διοργανωτές της έκθεσης ήταν οι δυνάμεις του Υπουργείου Εσωτερικών (MVD), της Ομοσπονδιακής Υπηρεσίας Ασφαλείας (FSB) και της Ρωσικής Φρουράς. Το φωτορεπορτάζ μπορείτε να το δείτε στη σελίδα.
Τεχνική προστασία εμπιστευτικών πληροφοριών - τρέχον πρόβλημαστις σημερινές πραγματικότητες. Οποιοσδήποτε οργανισμός, με τον ένα ή τον άλλο τρόπο, συλλέγει πληροφορίες που δεν θα ήθελε ή απλά δεν έχει το δικαίωμα να αποκαλύψει. Η διαρροή τέτοιων δεδομένων μπορεί να έχει τις πιο σοβαρές συνέπειες.
Το κράτος ελέγχει αυτόν τον σημαντικό τομέα και ο κύριος ρυθμιστικός φορέας είναι η Ομοσπονδιακή Υπηρεσία Τεχνικού και Ελέγχου Εξαγωγών (FSTEC).
Οι εταιρείες που ασχολούνται ή σχεδιάζουν να συμμετάσχουν σε δραστηριότητες για την προστασία εμπιστευτικών πληροφοριών πρέπει να λάβουν άδεια FSTEC ( ο ομοσπονδιακός νόμος 99 «Περί αδειοδότησης ορισμένων τύπων δραστηριοτήτων», Κυβερνητικό Διάταγμα της 21ης Νοεμβρίου 2011 Αρ. 957 «Περί οργάνωσης αδειοδότησης ορισμένων τύπων δραστηριοτήτων»). Υπάρχει επίσης άδεια FSB, η οποία είναι απαραίτητη για εταιρείες που ασχολούνται με κρατικά μυστικά.
Εάν λάβουμε υπόψη μόνο τις δραστηριότητες που υπάγονται στη δικαιοδοσία της FSTEC, τότε υπάρχουν δύο κύριοι τύποι αδειών:
Πρώτον: Άδεια FSTEC για δραστηριότητες τεχνικής προστασίας εμπιστευτικών πληροφοριών (TZKI). Μια τέτοια άδεια απαιτείται για εταιρείες που εργάζονται απευθείας με πληροφορίες. Χρησιμοποιούν έτοιμο λογισμικό, το εγκαθιστούν, δοκιμάζουν εξοπλισμό, επικοινωνίες και ειδικούς χώρους για την αποθήκευση πληροφοριών κ.λπ. Αναλυτική λίσταέργα που απαιτούν την απόκτηση άδειας ΤΖΚΙ θα δοθούν παρακάτω.
Δεύτερον: Άδεια FSTECγια δραστηριότητες που σχετίζονται με την ανάπτυξη και την παραγωγή μέσων προστασίας εμπιστευτικών πληροφοριών (SZKI). Οι οργανισμοί που λαμβάνουν αυτήν την άδεια αναπτύσσουν και παράγουν οι ίδιοι εργαλεία ασφάλειας πληροφοριών. Αυτό περιλαμβάνει ειδικό λογισμικό και εξοπλισμό σχεδιασμένο για την επεξεργασία, την αποθήκευση και τη μετάδοση προστατευμένων πληροφοριών, καθώς και την παρακολούθηση της ασφάλειας. Τα πιστοποιητικά FSTEC εκδίδονται για όλο το λογισμικό και το υλικό που παράγονται και χρησιμοποιούνται για αυτούς τους σκοπούς. Σε ορισμένα χρονικά διαστήματα, ο προστατευτικός εξοπλισμός επαναπιστοποιείται.
Δεν υπάρχει σαφής ορισμός αυτής της έννοιας στη νομοθεσία: μπορεί να είναι είτε εμπορικό μυστικό, καθώς και προσωπικά δεδομένα ή οποιαδήποτε άλλη πληροφορία περιορισμένης χρήσης.
Υπάρχει επίσης η έννοια του «χειριστή προσωπικών δεδομένων». Αυτή είναι οποιαδήποτε οργάνωση ή άτομο, που οργανώνει και (ή) διενεργεί την επεξεργασία προσωπικών δεδομένων. Σύμφωνα με το νόμο (Ομοσπονδιακός Νόμος Αρ. 152 «Περί Δεδομένων Προσωπικού Χαρακτήρα»), ο χειριστής ΠΔ είναι υποχρεωμένος να διασφαλίζει την ακεραιότητά του, δηλαδή να λαμβάνει μέτρα για την τεχνική προστασία των πληροφοριών που υπόκεινται σε αδειοδότηση.
Στην πράξη, αυτό δεν σημαίνει πάντα ότι πρέπει να αποκτήσει άδεια FSTEC. Ο χειριστής μπορεί να δεσμευτεί για το σκοπό αυτό οργανισμός τρίτου μέρουςμε άδεια ή να ορίσει διαρθρωτική μονάδα ή στέλεχος που θα ασχοληθεί με το θέμα της ΤΖΚΙ. Σε αυτήν την περίπτωση, αυτή η μονάδα ή ο υπάλληλος απαιτείται επίσης να έχει άδεια FSTEC για TZKI.
Ποιοι οργανισμοί πρέπει να αποκτήσουν άδεια FSTEC για το TZKI; Προκειμένου να διαπιστωθεί αυτό, είναι απαραίτητο να συγκριθεί το έργο ή οι υπηρεσίες που σχεδιάζει να παρέχει αυτός ο οργανισμός με εκείνες που παρουσιάζονται στο κυβερνητικό διάταγμα. Τέτοιες εργασίες περιλαμβάνουν:
Η FSTEC της Ρωσίας συνιστά την απόκτηση άδειας για τεχνική προστασίαπληροφορίες μόνοι σας για να αποφύγετε αδικαιολόγητα έξοδα και αδικαιολόγητες εγγυήσεις. Πώς μοιάζει αυτή η διαδικασία; Για να αποκτήσετε άδεια προστασίας πληροφοριών, πρέπει να πληρούνται δύο προϋποθέσεις:
Συλλέξτε τα πάντα ΑΠΑΡΑΙΤΗΤΑ ΕΓΓΡΑΦΑ . Ο κατάλογος των εγγράφων είναι αρκετά εντυπωσιακός και βρίσκεται στον ιστότοπο του FSTEC της Ρωσίας fstec.ru. Επιπλέον, πρέπει να συμπληρώσετε μια αίτηση και να πληρώσετε ένα κρατικό τέλος 7.500 ρούβλια. Μετά την υποβολή των εγγράφων, η πληρότητα των στοιχείων ελέγχεται εντός πέντε εργάσιμων ημερών. Στη συνέχεια διενεργείται επανεξέταση για να διαπιστωθεί εάν ο αιτών πληροί τις προϋποθέσεις για να του χορηγηθεί άδεια.
Ικανοποιήστε τις απαιτήσεις. Ο κατάλογος των απαιτήσεων βρίσκεται επίσης στον επίσημο ιστότοπο του FSTEC της Ρωσίας. Φυσικά, πρέπει να το φροντίσετε εκ των προτέρων πριν υποβάλετε τα έγγραφά σας.
Συνοψίζοντας συνοπτικά αυτές τις απαιτήσεις, συνοψίζονται στα εξής:
Αφού πληρούνται όλες οι προϋποθέσεις και τα έγγραφα είναι σε τάξη, εκδίδεται άδεια. Η περίοδος ισχύος της άδειας για το TZKI δεν είναι περιορισμένη, αλλά η FSTEC θα πραγματοποιεί περιοδικά προγραμματισμένες επιθεωρήσεις. Ως εκ τούτου, η εταιρεία πρέπει να διασφαλίζει συνεχώς ότι πληρούνται όλες οι απαιτήσεις FSTEC.
Καλησπέρα, αγαπητοί αναγνώστες!
Σήμερα, για πρώτη φορά μετά από πολύ καιρό, αποφάσισα και πάλι να θίξω το θέμα της εργασίας με προσωπικά δεδομένα, καθώς πιστεύω ότι δεν έχουν ξεκαθαρίσει όλα τα ζητήματα νωρίτερα και οι καινοτομίες στη δυναμική νομοθεσία μας δεν αργούν να έρθουν. Υπάρχουν πραγματικά χαρακτηριστικά και υπάρχουν πολλά από αυτά. Ειδικότερα, εμφανίστηκε το Διάταγμα FSTEC «Σχετικά με την έγκριση της σύνθεσης και του περιεχομένου των οργανωτικών και τεχνικών μέτρων για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους στο ISPDn» Νο. 21 της 18ης Φεβρουαρίου 2013, εμφανίστηκαν νέες τροποποιήσεις στο 152-FZ Σχετικά με τα Προσωπικά Δεδομένα», και φυσικά πώς Ως αποτέλεσμα, προέκυψε ξανά το ερώτημα σχετικά με την ερμηνεία ορισμένων απαιτήσεων του κανονιστικού μας πλαισίου. Όλα αυτά, φυσικά, απαιτούν κάποια αναθεώρηση των υφιστάμενων απόψεων για την προστασία των προσωπικών δεδομένων και τις ενέργειες των φορέων εκμετάλλευσης προσωπικών δεδομένων. δεδομένα. Ειδικά σε συνδυασμό με τις συνεχώς μεταβαλλόμενες απόψεις των ρυθμιστικών αρχών - FSTEC και Roskomnadzor - για αυτό το θέμα. Έγραψα πολλά από αυτά στο άρθρο σχετικά με τη διαδικασία του νέου χειριστή εδώ.
Και τώρα θα μιλήσουμε για τα βασικά της εποχής μας. και δεν έχει φωτιστεί ακόμα από εμέναερώτηση: Χρειάζεται ο χειριστής PD άδεια για την τεχνική προστασία εμπιστευτικών πληροφοριών;Και αν ναι, σε ποιες περιπτώσεις και γιατί; Εάν όχι ή πραγματικά δεν θέλετε, τότε πώς να εξηγήσετε σωστά στις ρυθμιστικές αρχές. Οι ερωτήσεις, βλέπετε, είναι πολύ επίκαιρες και πολύ σημαντικές. Γιατί η απόκτηση μιας τέτοιας άδειας, ακόμη και στην πιο απλουστευμένη μορφή της, δεν είναι φθηνή, τόσο από οικονομικής άποψης όσο και από πλευράς σπαταλήσεων νεύρων και κόπου.
Ετσι. Χρειαζόμαστε άδεια από την FTEK για δραστηριότητες που σχετίζονται με την τεχνική προστασία εμπιστευτικών πληροφοριών, τις οποίες στην πραγματικότητα είμαστε υποχρεωμένοι να εκτελούμε από ολόκληρο το 152-FZ “On PD”; Είναι αδύνατο να απαντηθεί αυτό το ερώτημα με σαφήνεια για όλες τις πιθανές καταστάσεις. Επομένως, ας δούμε συγκεκριμένες επιλογές.
Αρχικά, ας προσπαθήσουμε να καταλάβουμε από πού προήλθε η απαίτηση για αδειοδότηση δραστηριοτήτων ΤΖΚΙ; Το όλο θέμα βρίσκεται στην παράγραφο 5 του μέρους 1 του άρθρου 12 99-FZ «Σχετικά με την αδειοδότηση ορισμένων τύπων δραστηριοτήτων», η οποία δηλώνει άμεσα ότι οι δραστηριότητες που σχετίζονται με την κυριολεκτική «τεχνική προστασία εμπιστευτικών πληροφοριών» υπόκεινται σε αδειοδότηση. Στη συνέχεια, γιατί τα PD είναι κάτι τέτοιο; Πρώτον, υπάρχει το άρθρο 7 152-FZ, το όνομα του οποίου («απόρρητο των προσωπικών δεδομένων») μιλά ήδη πολλά. Και υπάρχει και το Προεδρικό Διάταγμα Νο. 188 «Περί έγκρισης του καταλόγου εμπιστευτικών πληροφοριών» της 03/06/1997, στο πρώτο εδάφιο του οποίου αναφέρεται: «κάθε πληροφορία για την ιδιωτική ζωή του πολίτη, καθώς και όσες επιτρέπουν η προσωπικότητά του προς ταυτοποίηση είναι Π.Δ.» και περιλαμβάνονται στον υπό εξέταση κατάλογο. Σαφή. Και τέλος: γιατί η δραστηριότητα του φορέα εκμετάλλευσης υπόκειται σε TZKI; Επειδή ο ομοσπονδιακός νόμος 152 τον υποχρεώνει να το κάνει αυτό. Αυτό είναι όλο, στην πραγματικότητα. Φαίνεται ότι δεν μπορεί να υπάρχουν ερωτήσεις εδώ. Ολόκληρη η λογική του νόμου ανιχνεύεται ξεκάθαρα, αλλά δεν είναι όλα τόσο θλιβερά όσο φαίνονται με την πρώτη ματιά. Ας προχωρήσουμε σε αυτές τις επιλογές.
Η πρώτη και πιο κοινή επιλογή είναι προστατεύουμε προσωπικά δεδομένα για δικές του ανάγκες (δηλαδή τους υπαλλήλους τους ή/και τους πελάτες τους), τα οποία υποβάλλονται σε επεξεργασία αποκλειστικά για τις δικές τους ανάγκες (ή προς όφελος του υποκειμένου ΠΔ). Προς μεγάλη μας ευτυχία, στις 30 Μαΐου 2012, εμφανίστηκε το Πληροφοριακό Μήνυμα Αρ. Ιστοσελίδα FSTEC. Το κείμενό του είναι διαθέσιμο, για παράδειγμα, . Δεν θα το αναφέρω εδώ (αν ενδιαφέρεται κάποιος, ακολουθήστε τον σύνδεσμο της προηγούμενης πρότασης), θα πω απλώς το νόημα: εάν είναι νομικό πρόσωπο. ένα άτομο ασκεί δραστηριότητες στο πλαίσιο του TZKI, οι οποίες δεν αποσκοπούν στην επίτευξη κέρδους, στην παροχή υπηρεσιών και δεν περιέχονται στα συστατικά έγγραφα, τότε δεν είναι απαραίτητο να αποκτήσει την κατάλληλη άδεια. Συνεπώς, η επιλογή «για τις δικές σας ανάγκες» δεν απαιτεί την απόκτηση τέτοιας άδειας. Ωστόσο, υπάρχουν αποχρώσεις εδώ.
Τι να κάνουμε αν δεν θέλουμε να χρησιμοποιήσουμε πιστοποιημένο CIPF, εάν η παράγραφος 3 του μέρους 2 του άρθρου. Το απαιτεί αυτό το 19 152-FZ; Αυτό απαιτείται επίσης από την ρήτρα 13.ζ στο PP No. 1119: «η χρήση εργαλείων ασφάλειας πληροφοριών που έχουν περάσει τη διαδικασία αξιολόγησης της συμμόρφωσης με τις απαιτήσεις της νομοθεσίας της Ρωσικής Ομοσπονδίας στον τομέα της ασφάλειας πληροφοριών, σε περιπτώσεις όπου η χρήση τέτοιων μέσων είναι απαραίτητη για την εξουδετέρωση των τρεχουσών απειλών». Αυτή ακριβώς η «αναγκαιότητα» μπορεί να προσδιοριστεί μόνο από κάποιον που είναι ειδικός στον τομέα της ασφάλειας πληροφοριών, δηλ. έχει άδεια ΤΖΚΙ. ;) Επιπλέον, το PP-1119 περιέχει μια απαίτηση για την κατάρτιση ενός μοντέλου απειλών, το οποίο περιλαμβάνει την έννοια των πραγματικών απειλών 3 τύπων. Η διαφορά στους τύπους είναι η παρουσία απειλών που σχετίζονται με μη δηλωμένες δυνατότητες σε διάφορους τύπους λογισμικού. Αν αντιμετωπίσεις την αλήθεια, τότε Το NDV τόσο στο λογισμικό εφαρμογών όσο και στο λογισμικό συστήματος είναι πάντα σχετικό και για όλους. Αλλά ο τύπος 1 απειλών κάνει το ISPD μας απίστευτα υψηλής κατηγορίας, που συνεπάγεται την εκτέλεση ένα ολόκληρο μάτσοαπαίτηση προστασίας. Πώς μπορούμε να λύσουμε το πρόβλημα της αποφυγής των τύπων 1 και 2 των τρεχουσών απειλών;Υπάρχουν δύο επιλογές: είτε να χρησιμοποιήσετε όλο το λογισμικό συστήματος/εφαρμογών που είναι πιστοποιημένο για NDV (κάτι που δεν είναι ρεαλιστικό), είτε να αποκτήσετε άδεια για το TZKI, το οποίο δίνει το δικαίωμα διεξαγωγής τέτοιων αξιολογήσεων εμπειρογνωμόνων. Σε όλες τις άλλες περιπτώσεις, μπορεί να εμφανιστούν μεγάλες και δυσάρεστες λιβάδια με τον ρυθμιστή. Πώς να είσαι; Όλα είναι πολύ απλά. Μπορείτε να επικοινωνήσετε με τον κάτοχο άδειας FSTEC για το TZKI και να του ζητήσετε να παρέχει υπηρεσίες σε αυτό το συγκεκριμένο θέμα (ανάλυση τρεχουσών απειλών). Όπως λένε, φτηνό και χαρούμενο. :) Το θέμα με τα πιστοποιημένα crypto funds επιλύεται με παρόμοιο τρόπο.
Δεύτερη επιλογή - προστατεύουμε/επεξεργαζόμαστε τα προσωπικά δεδομένα άλλου νομικού προσώπου. άτομα (τους πελάτες/τους υπαλλήλους του). Εδώ είναι που χειροτερεύει. Σύμφωνα με το ίδιο πληροφοριακό μήνυμαΗ FSTEC, καθώς και η γενική νομική αιτιολογία παραπάνω, θα χρειαστεί άδεια. Και δεν υπάρχουν επιλογές εδώ: είτε να λάβετε είτε να αναθέσετε την επεξεργασία των προσωπικών δεδομένων σε έναν κάτοχο άδειας.
Τρίτη επιλογή - παρέχουμε υπηρεσίες για την προστασία προσωπικών δεδομένων (ή σύμφωνα με το TKKI), ή οι δραστηριότητες για την προστασία των προσωπικών δεδομένων προβλέπονται στα συστατικά έγγραφα. Duamyu, με βάση το παραπάνω κείμενο, όλα είναι ξεκάθαρα. Όσον αφορά τα συστατικά έγγραφα, είναι πιο εύκολο, φυσικά, να τα ξανακάνεις απλώς παρά να υποφέρεις με όλα τα παραπάνω. ;)
Σημαντικό σημείο:δραστηριότητα στο TKKI είναι ακριβώς ο σχεδιασμός ενός συστήματος προστασίας (σύστημα πληροφοριών προσωπικών δεδομένων ή οτιδήποτε άλλο - δεν έχει σημασία), δηλ. κατάρτιση μοντέλου απειλής, επιλογή στοιχείων ασφάλειας πληροφοριών κ.λπ.! Η ίδια η επιχείρηση λειτουργεί ήδη τελειωμένο σύστημα, για το οποίο έχουν ήδη επιλεγεί τα πάντα και έχουν συνταχθεί όλα τα μοντέλα, δεν προστατεύεται και δεν εμπίπτει σε αδειοδοτημένη δραστηριότητα! Επειδή επιλογή με τη συμμετοχή ενός δικαιοδόχου να σχεδιάσει ένα ασφαλές ISPD στην "φθηνότερη δυνατή" έκδοση - αυτή είναι, κατά κανόνα, η πιο κερδοφόρα και βολική(αν, φυσικά, μιλάμε για επεξεργασία προσωπικών δεδομένων για τις δικές μας ανάγκες).
Αυτό είναι όλο, στην πραγματικότητα. Νομίζω ότι τώρα, αγαπητοί αναγνώστες, δεν θα έχετε πλέον ερωτήσεις σχετικά με την ανάγκη απόκτησης άδειας.
Με εκτιμιση,
Lysyak Alexander