كيفية الاستعداد لفحص ILV على البيانات الشخصية: دليل كامل

عنا

يوم جيد يا هبر! نحن شركة مركز المعلومات. اتجاهنا الرئيسي هو أمن المعلومات (كما أنه أمن المعلومات). في IS ، نحن نشارك في كل شيء تقريبًا: التدقيق ، تصميم أنظمة الأمان ، إصدار الشهادات ، الامتثال ، pentests ، لدينا SOC الخاصة بنا ، بل إننا نعمل مع أسرار الدولة. نظرًا لأننا متمركزون في فلاديفوستوك ، فقد عملنا في البداية بشكل أكبر في إقليم بريمورسكي وفي مناطق الشرق الأقصى من البلاد ، ولكن في الآونة الأخيرة ، دفعنا جغرافيا مشاريعنا إلى المزيد من التفكير في وقت إقامة الحدود.

في مقالتنا الأولى ، نود أن نعتبر أن جانبًا من أمان المعلومات هو الامتثال (الشكوى الإنجليزية - الامتثال ، الامتثال). وسوف نتحدث عن ما يجب القيام به للامتثال التام للتشريع الروسي بشأن البيانات الشخصية.

ما الجديد في التشريع؟

تمت كتابة الكثير من المقالات حول موضوع الشيكات الخاصة بحماية البيانات الشخصية وتم نشر العديد منها قبل عام 2015. من أجل إدخال حقائق حقيقية بطريقة أو بأخرى ، من الضروري أولاً تحليل ما تغير في التشريعات في السنوات الأخيرة.

242-FZ

أولاً ، دعنا نتذكر 242-FZ سيئة السمعة. في عام 2015 ، قدم الكثير من الضوضاء بسبب الحاجة إلى توطين البيانات الشخصية لمواطني الاتحاد الروسي على أراضي الاتحاد الروسي. بعد أربع سنوات ، الضحية الرئيسية الوحيدة لهذا القانون هي شبكة LinkedIn الاجتماعية.

ولكن كان هناك جانب آخر في 242-FZ لم يتم نسخه بشكل نشط في وسائل الإعلام.

في 242- كانت هناك تغييرات مهمة للغاية في سياق شيكات ILV على البيانات الشخصية: أنشطة Roskomnadzor في حماية حقوق موضوعات البيانات الشخصية من 1 سبتمبر 2015 لا تخضع للقانون الاتحادي رقم 294-On "بشأن حماية حقوق الكيانات القانونية وأصحاب المشاريع الفردية بموجب تنفيذ سيطرة الدولة (الإشراف) والرقابة البلدية. "

ماذا يعني هذا؟ لمشغلي البيانات الشخصية ، كما قد تخمين ، لا شيء جيد. الآن ، كما أظهرت الممارسة بالفعل ، انخفض عدد عمليات التفتيش المجدولة إلى حد كبير وزاد عدد عمليات التفتيش غير المجدولة بشكل متناسب. يتضح هذا أيضًا من خلال خطط التفتيش الخاصة بـ Roskomnadzor ، والتي تم نشرها في نهاية عام 2015 (وفي السنوات اللاحقة) على موقع الوكالة. عمليات التفتيش المجدولة للبيانات الشخصية هناك - واحدة ، اثنتان ، وأُسيء تقديرها ، على عكس السنوات السابقة.

تتمثل المشكلة الرئيسية لعمليات التفتيش غير المجدولة في أنه لا يمكنك التعرف عليها بفارق زمني جيد ، ونتيجة لذلك ، لا يمكنك التحضير على أفضل وجه ممكن. على سبيل المثال ، في وقت سابق ، عندما تم نشر خطة التدقيق ، يمكن للجميع تنزيلها ومعرفة ما إذا كانت المنظمة موجودة فيها أم لا. والمفاجأة أنه كان من الممكن اللحاق بتلك المنظمات القليلة فقط التي تم إدراج تاريخ التحقق فيها في الفترة من يناير إلى فبراير. أتيحت الفرصة للبقية للتحضير بشكل صحيح ، حتى لو لم يتم فعل شيء في المنظمة لحماية البيانات الشخصية. من الأفضل الآن ، بالطبع ، أن تكون مستعدًا للتحقق من Roskomnadzor بحثًا عن البيانات الشخصية في أي وقت ، أي أن تظل دائمًا على استعداد لمجموعة الوثائق الحالية لحماية البيانات الشخصية.

13.11 القانون الإداري للاتحاد الروسي

تغيير تشريعي مهم آخر هو تعديل المادة 13.11 من القانون الإداري للاتحاد الروسي "انتهاك تشريعات الاتحاد الروسي في مجال البيانات الشخصية" . غيرت هذه التغييرات تمامًا العقوبة على انتهاك القانون في مجال حماية البيانات الشخصية. في السابق ، لم يتم تقسيم المادة 13.11 إلى أجزاء ، وتم تقديم الحد الأقصى للغرامة بمبلغ 10 آلاف روبل للكيانات القانونية. يوجد الآن 7 أجزاء هنا (والتخطيط مخطط أيضًا) ، وفقًا لأحدها (انتهاك قواعد معالجة فئات خاصة من البيانات الشخصية) ، تبلغ الغرامة القصوى للكيانات القانونية 75000 روبل. بالإضافة إلى ذلك ، عندما يحدد المفتشون انتهاكات مختلفة - فإن العقوبات المفروضة على أجزاء مختلفة من المادة من قانون الجرائم الإدارية يمكن أن تضاف نظريًا. لماذا "نظريا"؟ في السابق ، على المواقع الإلكترونية للإدارات الإقليمية لـ ILV ، ينشر قسم الأخبار باستمرار أخبارًا مفادها أن المنظم قام بالتحقق المشروط من 3 منظمات للامتثال للتشريع المتعلق بالبيانات الشخصية ، المنظمة رقم 1 على ما يرام ، وتم تغريم المنظمة رقم 2 3000 روبل ، وتم تغريم المنظمة رقم 3 5 آلاف روبل. كان من الممكن جمع مثل هذه الأخبار في كومة لهذا العام وضرب بعض الإحصاءات عن الغرامات. الآن لا يوجد مثل هذا الخبر. إذا كان لدى شخص ما بيانات عن الغرامات بسبب انتهاك 152-FZ بعد التغييرات في 13.11 من القانون الإداري ، فيمكنك مشاركة هذه المعلومات في التعليقات.

تجدر الإشارة إلى أن النص الأصلي لمشروع القانون لتعديل المادة 13.11 من قانون الجرائم الإدارية في الاتحاد الروسي تضمن في البداية غرامات أكثر أهمية ، على سبيل المثال ، حيث تم تحديد الحد الأقصى للغرامة بحد أقصى 75000 روبل ، وكان من المقرر أصلاً معاقبة ما يصل إلى 300000 روبل. إنه قوي ، لكن مبالغ انتهاك الناتج المحلي الإجمالي لا تزال بعيدة. ولكن على الرغم من حقيقة أن كمية الغرامات نتيجة لذلك انخفضت بشكل كبير ، للأسف ، لا يزال بعض بائعي خدمات حماية البيانات الشخصية يحاولون التخويف برقم "300000". كن حذرا.

لذلك ، كنا مقتنعين بأن زيادة احتمال إجراء عملية تفتيش غير مجدولة والغرامات المتزايدة التي تضاعف بسبب انتهاك 152-FZ ليست سيئة على الإطلاق ، لذلك يتم تحفيزها لتكون جاهزة للفحص في أي وقت. دعونا نتعرف على ما يتعين علينا القيام به لهذا الغرض.

أنواع الشيكات

قبل أن ننتقل إلى الخطوات الفورية المتضمنة في التحضير لعمليات التفتيش ، دعونا نرى أنواع عمليات التفتيش التي تحدث وكيف تسير عملية التدقيق المعتادة.

بشكل عام ، يمكن تقسيم الشيكات إلى نوعين: الوثائقي والميدان.

الشيكات الوثائقية

غالبًا ما يبدأ الفحص الوثائقي بحقيقة وصول خطاب إلى المؤسسة من قسم ILV المحلي مع أي شرط. إذا كانت مؤسستك ، على سبيل المثال ، لم تقدم إخطارًا حول إدراجها في سجل مشغلي البيانات الشخصية ، فقد يتم تذكيرك أنه سيكون من الجيد أن تقدم هذا الإشعار. القانون لا يتطلب. أو قم بتبرير سبب قيام مؤسستك بمعالجة البيانات الشخصية دون إشعار (يتم تقديم عدد من الاستثناءات في 152-FZ). إذا كانت مؤسستك لا تزال تقدم إشعارًا ، فقد يتم تذكيرك بأن هناك حقولًا جديدة تظهر في السجل من وقت لآخر ويجب أيضًا ملؤها. على سبيل المثال ، من الضروري الإشارة إلى موقع مركز البيانات وما إذا كان مستأجراً أم خاصًا. ونعم ، قاعدة البيانات 1C على كمبيوتر كبير المحاسبين في فهم Roskomnadzor هي مركز بيانات.


قد يُطلب منك أيضًا إرسال نسخ من المستندات التي تنظم حماية البيانات الشخصية في المؤسسة عن طريق البريد - أوامر وتعليمات ونموذج تهديد وكل ذلك.

لذا ، تلقيت مثل هذه الرسالة من روسكومنادور ، فماذا أفعل؟

في الحقيقة ، من الأسهل قول ما لا يجب فعله مطلقًا - تجاهل هذه الرسائل. لسوء الحظ ، في الممارسة العملية ، يفعل الكثيرون ذلك بالضبط. شخص ما ينسى الإجابة ، شخص ما لا يعرف ما يكتب استجابةً ولا يجيب ، ويأمل شخص ما في أن يتم نسيانه وأن كل شيء سينخفض ​​بنفسه على الفرامل. لا ، لن ينسوا ، ليس في هذه الحالة.

ربما يكون لدى بعض الإدارات مثل هذه الممارسة الشائعة - كتابة خطاب إلى المنظمة "للعرض" ونسيانها ، ولكن ليس مع ILV. لذلك ، يُنصح بالرد خلال الفترة الزمنية المحددة في الرسالة ، وإلا سيتم معاقبة المنظمة بموجب المادة 19.7 من القانون الإداري للاتحاد الروسي "عدم تقديم المعلومات أو تقديمها في الوقت المناسب إلى هيئة حكومية". يمكنك الانتقال إلى موقع القسم الإقليمي الخاص بك في Roskomnadzor (٪ number _region٪ .rkn.gov.ru) في قسم "الأخبار". في عام 2016 ، تم تخصيص نصف الأخبار الجيدة لمحاسبة الكيانات القانونية بموجب المادة ذاتها من قانون الجرائم الإدارية للاتحاد الروسي. علاوة على ذلك ، في كل الأخبار ، يمكن أن تظهر ما يصل إلى 10-15 مؤسسة. يوجد الآن مثل هذه الأخبار أيضًا ، ولكن أقل ، وهذا على الأرجح يرجع إلى حقيقة أن ILV نفسها بدأت في إرسال "خطابات السعادة" بشكل أقل نشاطًا.

الغرامة على القانون الإداري 19.7 للاتحاد الروسي صغيرة - 3-5 آلاف روبل ، ولكن عليك أن تتذكر أنه بعد دفع الغرامة ، ستظل المعلومات المطلوبة في الرسالة الأصلية مطلوبة.


إذا لم يكن هناك شيء واضح في محتوى الرسالة المرسلة إليك ، فسيتم عادةً توضيح الجهة المنفذة للرسالة ومعلومات الاتصال الخاصة به. يمكنك دائمًا الاتصال وتوضيح ما يريده المنظم منك.

حول الشيكات الوثائقية ، ربما ، لا يوجد شيء يمكن إضافته ، دعنا ننتقل إلى الرحلات الميدانية.

الشيكات الميدانية

من الاسم نفسه ، أصبح من الواضح بالفعل أن المفتشين سيكونون على الأقل مرتين إلى ثلاث مرات في منطقتك. في تجربتنا ، يمكننا أن نقول أن عملية التحقق تبدو مثل هذا:

• يأتي المفتشون إلى المنظمة ، والتعرف على الرئيس ، وإخطاره بالتحقق ، وإدخاله في مجلة تدقيق الكيان القانوني من قبل السلطات التنظيمية (غياب مثل هذه المجلة ، بالمناسبة ، بالفعل انتهاك) ؛
• بعد ذلك ، يُطلب من ممثلي ILV تقديم الوثائق المتوفرة في المنظمة لحماية البيانات الشخصية ، وهنا تقوم بسحب هذا الجبل بأكمله من الوثائق - الأوامر والتعليمات واللوائح والسياسات ونموذج التهديد ؛
• من خلال إلقاء نظرة سريعة على تكوين الوثائق ، يطلب المفتشون منهم توفير غرفة يدرسون فيها ، أو يطلبون نسخًا من جميع الوثائق ويتركون مكاتبهم لدراسة المعلومات التي قدمتها ؛
• في عملية التعرف على الوثائق ، قد تنشأ أسئلة بخصوص محتواها أو ترغب في إجراء أي تغييرات عليها ؛
• في أحد أيام التفتيش ، سيقوم ممثلو ILV بالتأكيد بالتجول في المكاتب التي تتم فيها معالجة البيانات الشخصية ، وفحص أماكن تخزين ملفات PD على الورق - الخزائن والخزائن والأرفف (هنا ربما يتم التلميح لك عند الحاجة إلى شراء خزانات حديدية قابلة للقفل إذا تم تخزين ملفات PDS بطريقة مختلفة بطريقة ما ) ، يمكن أن يرى أيضا نظام المعلومات ؛
• في النهاية ، يقوم المفتشون بتسجيل الدخول في مجلة التدقيق نفسها حول نتائج التدقيق (سواء تم تحديد التعليقات أم لا) ويتم إصدار فعل بناءً على نتائج التدقيق.

هنا ، ربما ، يجدر الحديث عن ما تحتاج إلى تذكره أثناء التفتيش الموقعي.

أولاً ، لا تحتاج في أي حال من الأحوال إلى الذهاب مع أولئك الذين يبحثون عن التعارض والتدخل بطريقة أو بأخرى في عملية التحقق ("يفقد" مفتاح المكتب بالوثائق والحيل المشابهة). نعم ، يمكن أن يكون المراجعون مخطئين أيضًا. مثال حي على مثل هذا الخطأ يتعلق بالحماس المفرط لحظر كل شيء وكل شيء حدث في إقليم بريمورسكي في 2015-2016. لم يقم أي شخص بإلغاء متلازمة القائم بأعمال الرعاية ، وقد يتم تقديم طلبات غير قانونية وغير معقولة تمامًا أثناء عملية التحقق. ولكن هذا لا يلغي القواعد البسيطة للاتصال البشري. إذا كنت لا توافق على شيء ما ، فعبّر عنه بهدوء ، فاطلب رابطًا للتشريع ، وهذا هو سبب الشرط المريب.

ثانياً ، بغض النظر عن الادعاءات التي سيقدمها المفتشون أثناء التدقيق ، من المهم فقط ما سيتم كتابته في الفعل بعد نتائج التدقيق. سأقدم مثالًا بسيطًا ، على أحد عمليات الفحص ، ادعى ممثلو ILV أنه كان من الضروري فصل أنظمة معلومات البيانات الشخصية "المحاسبة" و "شؤون الموظفين" ووصفها بشكل منفصل في المستندات ، على التوالي. هذا المطلب غير مدعوم تمامًا بموجب القانون على الإطلاق ، وتعريف ISPD من 152-FZ لا يحظر توحيد أنظمة المعلومات ويصفها بالطريقة التي نريدها نحن. يمكننا دمج نظام توثيقي مع بيانات طبية مع نفس مديري الموظفين في مؤسسة طبية ، ونقول أن لدينا ISPD واحد. صحيح ، في هذه الحالة ، يجب أن نتذكر أنه من المحتمل أن تكون الكرادوب محمية في مستوى أعلى من أمان البيانات الشخصية ، والتي سيتم تحديدها لجزء من نظام المعلومات مع الدواء. لكن ليس من حق على الإطلاق الفصل بين مسك الدفاتر والموظفين ولكل نظام لإنتاج جبال من الأوامر والتعليمات ونماذج التهديد بشكل منفصل ، حتى من وجهة نظر الحس السليم. لذا ، فإن الشيء الرئيسي في هذه القصة هو أنه في الفعل الذي أعقب نتائج التدقيق ، تمت كتابته "لم تكن هناك انتهاكات للقانون". وهذا يعبر عن كل التعليقات غير المشروعة اللفظية للمفتشين.

ثالثًا ، من الضروري توجيه تعليمات إلى جميع موظفيها المشاركين في معالجة أي بيانات شخصية بما هو ممكن وما لا يمكن فعله وقيل خلال التدقيق. على سبيل المثال ، يمكنك معالجة البيانات الشخصية وفقًا للتعليمات والقواعد ، لكن لا يمكنك نشر نسخ من جوازات سفر الموظفين على سطح المكتب.

إشعار مشغل بيانات شخصي

يشار إلى المركز الأول في ترتيب أسباب إصدار تعليمات حول انتهاك القانون ، وفقًا لنتائج عمليات التفتيش ، بالإشارة إلى معلومات غير كاملة أو غير صحيحة في إخطار مشغل البيانات الشخصية على بوابة البيانات الشخصية أو عدم وجود هذا الإخطار. لذا فإن أول ما يتعين علينا القيام به هو معرفة ما إذا كانت حالتنا الخاصة بمعالجة البيانات الشخصية تندرج تحت الحالات التي لا يجوز للمشغل فيها إرسال إشعار إلى Roskomnadzor. يتم سرد هذه الاستثناءات في القسم 2 من المادة 22 من القانون الاتحادي رقم 152-FZ "بشأن البيانات الشخصية". لن ندرج جميع النقاط ، نظرًا لوجود نقاط غريبة للغاية ، ولكن هنا هي الأكثر ملائمة بالنسبة لمعظم المنظمات:

• يمكن حذف إشعار إذا تمت معالجة PD فقط وفقًا لتشريعات العمل ؛
• يمكن حذف إشعار إذا قمت بمعالجة البيانات الشخصية للعملاء الذين هم طرف في العقد معك ، وفي نفس الوقت لا يتم نقل بياناتهم الشخصية إلى أطراف ثالثة دون موافقة مناسبة من الموضوع ؛
• تتم معالجة البيانات الشخصية فقط في الوضع غير التلقائي (أي ، دون استخدام تكنولوجيا الكمبيوتر).

تجدر الإشارة إلى أن هناك مطبات هنا. على سبيل المثال ، تقوم الآن العديد من المؤسسات ، خاصة المؤسسات الحكومية ، بتنفيذ مشاريع الرواتب لتحويل الروبل المكتسب بالدم إلى الموظفين مباشرة إلى البطاقات المصرفية. أنها مريحة للغاية لأصحاب العمل والموظفين ، والبنك مفيد أيضا. ولكن عند تنفيذ مثل هذا المشروع ، بغض النظر عما قد يقوله المرء ، يتعين عليك نقل بيانات موظفيك إلى البنك. وهذا النقل للبيانات الشخصية إلى أطراف ثالثة لم يعد خاضعًا لقانون العمل ، مما يعني أن الاستثناء الأول من القائمة أعلاه لا يعمل ، لذلك ، من الضروري تقديم إشعار بشأن معالجة البيانات الشخصية إلى Roskomnadzor.

كيفية التحقق من وجود إشعار في التسجيل وماذا تفعل بعد ذلك

علاوة على ذلك ، بغض النظر عن النتيجة التي حصلنا عليها في الخطوة السابقة ، يجب عليك التحقق مما إذا كان هناك إدخال حول مؤسستك في سجل مشغلي البيانات الشخصية . هنا يمكنك بسهولة العثور على إدخال في التسجيل بالاسم أو TIN للمؤسسة.

ثم يجب أن تبدو أفعالك مثل هذا.

إذا كانت المنظمة خاضعة للاستثناءات وليس هناك إخطار - ممتاز ، يجب أن يكون! نحن لا نفعل شيئا.

إذا كانت المنظمة خاضعة للاستثناءات ، ولكن الإشعار موجود في السجل. حسنًا ، ربما أرسل شخص ما هذا الإشعار قبل بضع سنوات ، على سبيل المثال ، بناءً على تعليمات مدير متقاعد. ولكن يمكن أن تكون ثابتة. هناك إجراء لاستبعاد المؤسسات من سجل مشغلي PD. للقيام بذلك ، تحتاج فقط إلى إرسال خطاب إلى المكتب الإقليمي لـ Roskomnadzor مع الإشارة إلى رقم الإخطار ووصف للأسباب التي تجعل مؤسستك غير مطلوبة في سجل مشغلي البيانات الشخصية. ثم ، في نفس الرسالة ، يرجى حذف الإدخال المقابل من التسجيل. نحن ننتظر لمدة 30 يوما. نحن نتحقق. إذا كان السجل لا يزال في السجل ، فإننا ندعو Roskomnadzor ونتحقق مما إذا كان قد تم استلام رسالتكم وفحصها.

إذا لم تقع المؤسسة ضمن الاستثناء ، ولكن لا يوجد إشعار في السجل ، فإننا نذهب على وجه السرعة لملء إشعار ! لماذا على وجه السرعة؟ نعم ، لأنه وفقًا للقانون ، يجب ملء الإشعار قبل بدء معالجة البيانات الشخصية ، إذا كان هذا المعالجة لا يندرج تحت جميع الاستثناءات نفسها من المادة 22 من القانون رقم 152-"بشأن البيانات الشخصية". تم التخطيط لإحدى المقالات التالية حول كيفية ملء إشعار بشكل صحيح وكفء من البداية أو ترقية إشعار موجود.

حسنًا ، الخيار الأخير: لا تقع المؤسسة ضمن الاستثناء ، ولكن يوجد إشعار في السجل. أود أن أكتب هنا ، كما في الحالة الأولى ، أنه لا يوجد شيء يجب القيام به ، لكن لا. لم يكن من أجل لا شيء قلته أعلاه أنه بالإضافة إلى عدم وجود إشعار على هذا النحو ، فإن أحد الأسباب الشائعة لوصفة طبية بناءً على نتائج التفتيش وإصدار غرامة بموجب المادة 13.11 من قانون المخالفات الإدارية للاتحاد الروسي هو عدم تناسق البيانات الموجودة في الإشعار مع ما يحدث بالفعل. على سبيل المثال ، لا تتم الإشارة إلى جميع فئات البيانات الشخصية التي تمت معالجتها أو عدم الإشارة إلى تدابير لضمان أمان البيانات الشخصية. يمكن أن يكون هناك العديد من الأسباب لهذا التناقض ، ولكن هنا يوجد سببان رئيسيان:

• تم ملء الإشعار لفترة طويلة ، وقد تغيرت المؤسسة بالفعل منذ ذلك الحين العديد من الشروط لمعالجة البيانات الشخصية ؛
• تم ملء الإشعار لإجراء فحص دون تحليل مناسب للوضع وجمع المعلومات.

لمثل هذه الحالات ، يتم تقديم نموذج لتعديل إشعار موجود على بوابة البيانات الشخصية.

بعد ملء النموذج عند إجراء التغييرات (أو الإخطار الأولي) ، من الضروري طباعة المستند الناتج ، والتوقيع عليه ، وختمه (إن وجد) وإرساله في خطاب مماثل إلى الإدارة الإقليمية ل Roskomnadzor. فقط على أساس رسالة ورقية ، سيتم إجراء إدخال إلى السجل أو سيتم إجراء تغييرات على إدخال موجود.

وثائق التحقق

أردت أن أترك هذه اللحظة المهيبة في نهاية المقال. ولكن ما هو موجود بالفعل ، نظرًا لأننا بدأنا بالفعل التحدث عن مجموعة من الوثائق اللازمة ، إليك رابط لمجموعة القوالب الخاصة بنا . يحتوي الأرشيف على 4 مجلدات والقالب "نماذج التهديد". هنا سنتحدث فقط عن المستندات من المجلدات العامة و PDN. "عام" - هذه هي المستندات التي يمكن استخدامها زائد أو ناقص لأي أنظمة معلومات ، و "PDN" جزء Roskomnadzor بحت. يمكن الاطلاع على وصف كامل لتكوين المستندات في الأرشيف على موقعنا .

لقد تبين أن المقالة ضخمة جدًا ، لذلك ، لن نحلل هنا المتطلبات المحددة التي أتى منها مستند معين (أو قسم مستند). هذا موضوع لمقال منفصل. دعنا نذهب من خلال النقاط العامة.

تكوين الوثائق

أولاً وقبل كل شيء ، يطرح المختص الذي تم تكليفه بالإعداد للمراجعة القادمة السؤال - ما هي المستندات المطلوبة بشكل عام. يتحول المتخصص إلى التشريع و ... يجد شيئًا مفيدًا تقريبًا. حسنًا ، هذا ليس شيئًا مباشرًا على الإطلاق. نعم ، على الأرجح ، سوف يتعثر أحد المتخصصين بموجب مرسوم صادر عن حكومة الاتحاد الروسي بتاريخ 21 فبراير 2012 رقم 211 ويقول: "حسنًا ، لقد كنت مخطئًا ، الآن ، هناك قائمة من الوثائق!" نعم هناك. أخصائي فقط ينتظر نوعًا من الفخ. إذا حصلت على مستندات فقط من هذه القائمة ، فستتلقى المؤسسة طلبًا بناءً على نتائج التدقيق ، لأن القائمة لا تغطي حتى جزءًا صغيرًا من متطلبات القانون. بالإضافة إلى وجود مثل هذه العبثية في القائمة ، على سبيل المثال ، الحاجة إلى الموافقة بشكل منفصل على قائمة ISPDn. لماذا نحتاج إلى إنشاء مستند منفصل عندما يكون من الممكن إدراج ISPDn في "لائحة بشأن معالجة وحماية ISPDn" أو في "سياسة أمن المعلومات" - هذا غير واضح. وأخيراً ، ينطبق القرار رقم 211 على سلطات الدولة والبلدية فقط ، وبالتالي فهو لا ينطبق على معظم مشغلي PD. وبالمناسبة ، في مجموعتنا من الوثائق بموجب المرسوم 211 لا يوجد ، حيث يتم أخذ معظم القضايا في الاعتبار في وثائق أخرى.

حسنًا ، دعنا نرى ما لدينا في التشريع.

يتحدث القانون الفيدرالي "بشأن البيانات الشخصية" مباشرةً عن الحاجة إلى تطوير "نموذج للتهديدات الأمنية" (على الرغم من أنه لا يقال بشكل مباشر أنه ينص أيضًا بشكل مباشر في القانون على أنه من الضروري تحديد التهديدات الأمنية للبيانات الشخصية) ونشر "سياسة تتعلق بمعالجة البيانات الشخصية" البيانات. "

قد نكتب أيضًا بمزيد من التفاصيل حول عملية تطوير نموذج التهديد في إحدى المقالات التالية.

كل شيء آخر غامض ، شيء مثل هذا:

… , , :

1) , , ;

2) , , , , , , , , ;
...
4) () , , , ;

و هكذا. , 152- : , , , , , . , . ! — .

, – , . «», . « » , , , , .

, . « », « ...» « ...». .

, , ? . , , . :

• , , , . , .
• ( , ) .
• . , .
• . , . , . . . – .
• 9 « ». , , , . , . « ». , , .
• . , , .

, « ». . , , .

استنتاج

, , .

1. . , . , .
2. , , , . . .
3. .
4. . / . , .
5. ( , - ).
6. .
7. .
8. , , .
9. . .

, , , . , – .

ولدينا أيضا مركز تدريب! ستعقد الدورات القادمة في 20 مايو و 22 مايو على منتجات FortiGate. قائمة كاملة من الدورات التدريبية متاحة هنا . نعم ، نحن موجودون في فلاديفوستوك ، ولكن لدينا خبرة واسعة في تنظيم دورات في الموقع.