So bereiten Sie sich auf die Überprüfung personenbezogener Daten von ILV vor: eine vollständige Anleitung

Über uns

Guten Tag, Habr! Wir sind ein Unternehmen für Informationszentren. Unsere Hauptrichtung ist Informationssicherheit (es ist auch Informationssicherheit). In IS beschäftigen wir uns mit fast allem: Audit, Design von Sicherheitssystemen, Zertifizierung, Compliance, Pentests, wir haben unseren eigenen SOC, wir arbeiten sogar mit Staatsgeheimnissen. Da wir in Wladiwostok ansässig sind, haben wir zunächst mehr im Primorsky-Territorium und in den fernöstlichen Regionen des Landes gearbeitet, aber in letzter Zeit hat uns die Geografie unserer Projekte zum Zeitpunkt der Grenzgründung weiter undenkbar gemacht.

In unserem ersten Artikel möchten wir eine solche Seite der Informationssicherheit als Compliance betrachten (englische Konformität - Compliance, Compliance). Und wir werden darüber sprechen, was getan werden muss, um die russische Gesetzgebung zu personenbezogenen Daten vollständig einzuhalten.

Was ist neu in der Gesetzgebung?

Es wurden viele Artikel zum Thema Kontrollen zum Schutz personenbezogener Daten verfasst, von denen viele vor 2015 veröffentlicht wurden. Um irgendwie in die Realität einzutreten, muss zunächst analysiert werden, was sich in den letzten Jahren in der Gesetzgebung geändert hat.

242-FZ

Erinnern wir uns zunächst an den berüchtigten 242-FZ. Im Jahr 2015 machte er viel Lärm, weil die persönlichen Daten der Bürger der Russischen Föderation auf dem Territorium der Russischen Föderation lokalisiert werden mussten. Vier Jahre später ist das einzige große Opfer dieses Gesetzes das soziale Netzwerk von LinkedIn.

Aber es gab eine andere Seite in 242-FZ, die in den Medien nicht so aktiv repliziert wurde.

In 242- gab es sehr wichtige Änderungen im Zusammenhang mit ILV-Überprüfungen personenbezogener Daten: Die Aktivitäten von Roskomnadzor zum Schutz der Rechte personenbezogener Personen ab dem 1. September 2015 unterliegen nicht dem Bundesgesetz Nr. 294- „Zum Schutz der Rechte juristischer Personen und einzelner Unternehmer unter Umsetzung der staatlichen Kontrolle (Aufsicht) und der kommunalen Kontrolle. “

Was bedeutet das? Für Betreiber personenbezogener Daten, wie Sie sich vorstellen können, nichts Gutes. Wie die Praxis bereits gezeigt hat, hat die Anzahl der geplanten Inspektionen stark abgenommen, und die Anzahl der außerplanmäßigen Inspektionen hat proportional zugenommen. Dies belegen auch die Inspektionspläne von Roskomnadzor , die Ende 2015 (und in den Folgejahren) auf der Website der Agentur veröffentlicht wurden. Geplante Überprüfung personenbezogener Daten dort - eins, zwei und im Gegensatz zu den Vorjahren falsch berechnet.

Das Hauptproblem bei außerplanmäßigen Inspektionen besteht darin, dass Sie nicht rechtzeitig davon erfahren können und sich daher nicht so gut wie möglich vorbereiten können. Zum Beispiel konnte früher, als der Auditplan veröffentlicht wurde, jeder ihn herunterladen und herausfinden, ob sich die Organisation darin befindet oder nicht. Und überraschenderweise konnten nur die wenigen Organisationen gefangen werden, deren Überprüfungsdatum von Januar bis Februar angegeben war. Der Rest hatte die Möglichkeit, sich ordnungsgemäß vorzubereiten, auch wenn bis zu diesem Zeitpunkt in der Organisation nichts zum Schutz personenbezogener Daten unternommen worden war. Jetzt ist es natürlich besser, jederzeit darauf vorbereitet zu sein, Roskomnadzor auf personenbezogene Daten zu überprüfen, dh immer die aktuellen Unterlagen zum Schutz personenbezogener Daten bereit zu halten.

13.11 Verwaltungsgesetzbuch der Russischen Föderation

Eine weitere wichtige Gesetzesänderung ist die Änderung von Artikel 13.11 des Verwaltungsgesetzbuchs der Russischen Föderation „Verstoß gegen die Gesetzgebung der Russischen Föderation im Bereich personenbezogener Daten“ . Diese Änderungen haben die Strafe für Gesetzesverstöße im Bereich des Schutzes personenbezogener Daten völlig verändert. Bisher war Artikel 13.11 nicht in Teile geteilt, und die Höchststrafe wurde für juristische Personen in Höhe von 10 000 Rubel festgesetzt. Jetzt gibt es hier 7 Teile (und eine Erweiterung ist ebenfalls geplant), von denen einer (Verstoß gegen die Regeln für die Verarbeitung spezieller Kategorien personenbezogener Daten) die Höchststrafe für juristische Personen 75.000 Rubel beträgt. Wenn Inspektoren unterschiedliche Verstöße feststellen, können sich theoretisch Strafen für verschiedene Teile des Artikels des Kodex für Verwaltungsverstöße summieren. Warum "theoretisch"? Zuvor veröffentlichte der Nachrichtenbereich auf den Websites der regionalen Abteilungen des ILV ständig Nachrichten, wonach die Regulierungsbehörde 3 Organisationen unter Vorbehalt auf Einhaltung der Rechtsvorschriften über personenbezogene Daten überprüft hatte, Organisation Nr. 1 in Ordnung war, Organisation Nr. 2 mit einer Geldstrafe von 3.000 Rubel belegt wurde, Organisation Nr. 3 mit einer Geldstrafe belegt wurde 5.000 Rubel. Es war möglich, solche Nachrichten auf einem Haufen für das Jahr zu sammeln und einige Statistiken über Geldbußen auszuschalten. Jetzt gibt es keine solchen Neuigkeiten. Wenn jemand nach den Änderungen in 13.11 des Verwaltungscodes Daten zu Geldbußen wegen Verstoßes gegen 152-FZ hat, können Sie diese Informationen in den Kommentaren teilen.

Es sollte sofort angemerkt werden, dass der ursprüngliche Wortlaut des Gesetzentwurfs zur Änderung von Artikel 13.11 des Kodex für Verwaltungsverstöße der Russischen Föderation anfänglich höhere Geldbußen enthielt, zum Beispiel, als die Höchststrafe auf 75.000 Rubel festgesetzt wurde und ursprünglich geplant war, bis zu 300.000 Rubel zu bestrafen. Es ist solide, aber die Beträge für Verstöße gegen die DSGVO sind noch weit entfernt. Trotz der Tatsache, dass die Höhe der Geldbußen infolgedessen stark gesunken ist, versuchen einige Verkäufer von Datenschutzdiensten leider immer noch, sich mit der Zahl "300.000" einzuschüchtern. Sei wachsam.

Wir waren daher davon überzeugt, dass die erhöhte Wahrscheinlichkeit einer außerplanmäßigen Inspektion und die mehrfach erhöhten Bußgelder für Verstöße gegen 152-FZ überhaupt nicht schlecht sind. Stimulieren Sie daher, jederzeit zur Überprüfung bereit zu sein. Lassen Sie uns herausfinden, was wir dafür tun müssen.

Arten von Schecks

Bevor wir mit den unmittelbaren Schritten zur Vorbereitung der Inspektionen fortfahren, wollen wir uns ansehen, welche Arten von Inspektionen stattfinden und wie ein typisches Audit abläuft.

Im Allgemeinen können Schecks in zwei Typen unterteilt werden: Dokumentation und Feld.

Dokumentenprüfungen

Eine Dokumentenprüfung beginnt meistens mit der Tatsache, dass ein Brief der örtlichen ILV-Abteilung bei jeder Anforderung bei der Organisation eintrifft. Wenn Ihre Organisation beispielsweise keine Benachrichtigung über die Aufnahme in das Register der Betreiber personenbezogener Daten übermittelt hat, werden Sie möglicherweise daran erinnert, dass es hilfreich wäre, diese Benachrichtigung einzureichen. Das Gesetz verlangt. Oder begründen Sie, warum Ihre Organisation personenbezogene Daten ohne vorherige Ankündigung verarbeiten kann (eine Reihe von Ausnahmen sind in 152-FZ enthalten). Wenn Ihre Organisation dennoch eine Benachrichtigung gesendet hat, werden Sie möglicherweise daran erinnert, dass von Zeit zu Zeit neue Felder in der Registrierung angezeigt werden und diese auch ausgefüllt werden müssen. Beispielsweise muss angegeben werden, wo sich das Rechenzentrum befindet und ob es vermietet oder gehört. Und ja, die Datenbank 1C auf dem Computer des Hauptbuchhalters im Verständnis von Roskomnadzor ist ein Rechenzentrum.


Möglicherweise werden Sie auch gebeten, Kopien von Dokumenten, die den Schutz personenbezogener Daten in der Organisation regeln, per Post zu senden - Bestellungen, Anweisungen, ein Bedrohungsmodell und das ist alles.

Sie haben also einen solchen Brief von Roskomnadzor erhalten. Was soll ich tun?

In der Tat ist es einfacher zu sagen, was unbedingt nicht getan werden sollte - diese Buchstaben zu ignorieren. Leider machen in der Praxis viele genau das. Jemand vergisst zu antworten, jemand weiß nicht, was er als Antwort schreiben soll und antwortet nicht, und jemand hofft, dass er vergessen wird und alles von selbst auf die Bremse geht. Nein, sie werden es nicht vergessen, nicht in diesem Fall.

Vielleicht haben einige Abteilungen eine solche Praxis gemeinsam - schreiben Sie einen Brief an die Organisation „zur Show“ und vergessen Sie ihn, aber nicht mit ILV. Daher ist es ratsam, innerhalb der im Schreiben angegebenen Frist zu antworten, andernfalls wird die Organisation gemäß Artikel 19.7 des Verwaltungsgesetzbuchs der Russischen Föderation „Nichtvorlage oder vorzeitige Übermittlung von Informationen an eine staatliche Stelle“ bestraft. Sie können die Website Ihrer regionalen Abteilung von Roskomnadzor (% number _region% .rkn.gov.ru) im Bereich "Nachrichten" aufrufen. Im Jahr 2016 war eine gute Hälfte der Nachrichten darauf gerichtet, juristische Personen gemäß demselben Artikel des Kodex für Verwaltungsverstöße der Russischen Föderation zur Rechenschaft zu ziehen. Darüber hinaus können in jeder Nachricht bis zu 10-15 Organisationen erscheinen. Jetzt gibt es auch solche Neuigkeiten, aber weniger, dies ist höchstwahrscheinlich auf die Tatsache zurückzuführen, dass die ILV selbst begann, weniger aktiv „Glücksbriefe“ zu senden.

Die Geldbuße auf dem 19.7 Verwaltungscode der Russischen Föderation ist gering - 3-5 Tausend Rubel, aber hier müssen Sie daran denken, dass nach Zahlung der Geldbuße die im Originalbrief angeforderten Informationen noch bereitgestellt werden müssen.


Wenn der Inhalt des an Sie gesendeten Briefes nicht klar ist, werden am Ende in der Regel der Vollstrecker des Briefes und seine Kontaktinformationen angegeben. Sie können jederzeit anrufen und klären, was die Aufsichtsbehörde noch von Ihnen will.

Über Dokumentenprüfungen gibt es vielleicht nichts hinzuzufügen, lassen Sie uns zu Exkursionen übergehen.

Feldkontrollen

Aus dem Namen selbst geht bereits hervor, dass sich die Inspektoren mindestens zwei- bis dreimal in Ihrem Gebiet aufhalten. Nach unserer Erfahrung können wir sagen, dass der Überprüfungsprozess ungefähr so ​​aussieht:

• Inspektoren kommen zur Organisation, machen sich mit dem Leiter vertraut, geben ihm eine Bestätigung, machen einen Eintrag im Prüfungsjournal der juristischen Person durch die Regulierungsbehörden (das Fehlen eines solchen Journals ist übrigens bereits ein Verstoß);
• Anschließend werden die ILV-Vertreter gebeten, die in der Organisation verfügbaren Unterlagen zum Schutz personenbezogener Daten bereitzustellen. Hier ziehen Sie diesen ganzen Berg von Dokumenten - Befehle, Anweisungen, Vorschriften, Richtlinien, Bedrohungsmodell;
• Die Inspektoren werfen einen kurzen Blick auf die Zusammensetzung der Dokumente und bitten sie, einen Raum zur Verfügung zu stellen, in dem sie sie studieren, oder sie bitten um Kopien aller Unterlagen und lassen sie in ihren Büros die von Ihnen bereitgestellten Informationen studieren.
• Bei der Einarbeitung in die Dokumente können Fragen zu deren Inhalt oder zu Änderungswünschen auftreten.
• An einem der Inspektionstage werden die ILV-Vertreter auf jeden Fall die Büros durchlaufen, in denen personenbezogene Daten verarbeitet werden, und die Orte für die Aufbewahrung von PDs auf Papier untersuchen - Schränke, Safes, Regale (hier werden Sie wahrscheinlich darauf hingewiesen, dass abschließbare Eisenschränke gekauft werden müssen, wenn die PDs irgendwie anders aufbewahrt werden ) kann auch das Informationssystem sehen;
• Am Ende machen die Inspektoren im selben Prüfungsjournal einen Eintrag über die Ergebnisse der Prüfung (unabhängig davon, ob Kommentare offengelegt werden oder nicht), und auf der Grundlage der Ergebnisse der Prüfung wird eine Handlung erlassen.

Hier lohnt es sich vielleicht, darüber zu sprechen, woran Sie sich bei der Inspektion vor Ort erinnern müssen.

Erstens müssen Sie in keinem Fall mit denen gehen, die nach Konflikten suchen und den Überprüfungsprozess irgendwie stören (den Schlüssel zum Büro mit Dokumenten und ähnlichen Tricks „verlieren“). Ja, Rezensenten können sich auch irren. Ein anschauliches Beispiel für einen solchen Fehler war die übermäßige Begeisterung für die Verbote von allem und jedem, was 2015-2016 in unserem Primorsky-Territorium geschah . Niemand hat das Hausmeistersyndrom abgesagt, und während des Überprüfungsprozesses können völlig rechtswidrige und unvernünftige Forderungen gestellt werden. Dies hebt jedoch nicht die einfachen Regeln der menschlichen Kommunikation auf. Wenn Sie mit etwas nicht einverstanden sind, drücken Sie es ruhig aus und fordern Sie einen Link zur Gesetzgebung an, was der Grund für die zweifelhafte Anforderung ist.

Zweitens ist es wichtig, unabhängig davon, welche Ansprüche die Inspektoren während des Audits geltend machen, nur, was nach den Ergebnissen des Audits in das Gesetz aufgenommen wird. Ich werde ein einfaches Beispiel geben. Bei einer der Überprüfungen behaupteten die ILV-Vertreter, es sei notwendig, die Informationssysteme für personenbezogene Daten „Rechnungswesen“ und „Personal“ zu trennen und sie in den Dokumenten getrennt zu beschreiben. Die Anforderung wird vom Gesetz überhaupt nicht unterstützt, und die Definition der ISPD von 152-FZ verbietet nicht die Vereinheitlichung von Informationssystemen und beschreibt sie so, wie wir es selbst wollen. Wir können ein Dokumentationssystem mit medizinischen Daten mit denselben Personalmanagern einer medizinischen Einrichtung kombinieren und sagen, dass wir eine ISPD haben. In diesem Fall muss zwar daran erinnert werden, dass die Cadrubs wahrscheinlich auf einem höheren Niveau der Sicherheit personenbezogener Daten geschützt werden müssen, das für einen Teil des Informationssystems mit Medikamenten festgelegt wird. Es ist jedoch keineswegs richtig, die Buchhaltung vom Personal zu trennen und für jedes System Berge von Aufträgen, Anweisungen und Bedrohungsmodellen separat zu erstellen, selbst aus Sicht des gesunden Menschenverstandes. Die Hauptsache in dieser Geschichte ist also, dass in dem Gesetz, das auf die Ergebnisse der Prüfung folgt, geschrieben wurde: "Es gab keine Gesetzesverstöße." Und dies streicht alle verbalen illegitimen Kommentare der Inspektoren durch.

Drittens ist es unbedingt erforderlich, alle an der Verarbeitung personenbezogener Daten beteiligten Mitarbeiter anzuweisen, was während des Audits möglich ist und was nicht. Sie können beispielsweise personenbezogene Daten gemäß den Anweisungen und Regeln verarbeiten, jedoch keine Kopien von Mitarbeiterpässen auf dem Desktop verteilen.

Benachrichtigung des Betreibers personenbezogener Daten

Der erste Platz in der Rangfolge der Gründe für die Erteilung von Anweisungen zu Gesetzesverstößen gemäß den Ergebnissen der Inspektionen wird durch die Angabe unvollständiger oder unwahrer Informationen in der Benachrichtigung des Betreibers personenbezogener Daten auf dem Portal personenbezogener Daten oder durch das Fehlen einer solchen Benachrichtigung angegeben. Als erstes müssen wir herausfinden, ob unser Fall der Verarbeitung personenbezogener Daten unter Fälle fällt, in denen der Betreiber möglicherweise keine Benachrichtigung an Roskomnadzor übermittelt. Solche Ausnahmen sind in Artikel 22 Abschnitt 2 des Bundesgesetzes Nr. 152-FZ „Über personenbezogene Daten“ aufgeführt. Wir werden nicht alle Punkte auflisten, da es auch sehr exotische gibt, aber hier sind die für die meisten Organisationen am besten geeigneten:

• Ein Hinweis kann weggelassen werden, wenn PD nur in Übereinstimmung mit dem Arbeitsrecht verarbeitet werden.
• Eine Benachrichtigung kann weggelassen werden, wenn Sie die personenbezogenen Daten von Kunden verarbeiten, die Vertragspartei mit Ihnen sind, und gleichzeitig deren personenbezogene Daten ohne die entsprechende Zustimmung des Betreffenden nicht an Dritte weitergegeben werden.
• Personenbezogene Daten werden nur in einem nicht automatisierten Modus (dh ohne Einsatz von Computertechnologie) verarbeitet.

Es ist erwähnenswert, dass es hier Fallstricke gibt. Zum Beispiel führen jetzt viele Organisationen, insbesondere staatliche, Gehaltsprojekte durch, um blutverdiente Rubel direkt auf Bankkarten an Mitarbeiter zu übertragen. Es ist sehr praktisch für Arbeitgeber und Arbeitnehmer, und die Bank ist auch von Vorteil. Bei der Umsetzung eines solchen Projekts müssen Sie jedoch die Daten Ihrer Mitarbeiter an die Bank übertragen. Und eine solche Weitergabe personenbezogener Daten an Dritte ist nicht mehr arbeitsrechtlich geregelt, was bedeutet, dass der erste Ausschluss von der obigen Liste nicht funktioniert. Daher muss Roskomnadzor eine Mitteilung über die Verarbeitung personenbezogener Daten übermittelt werden.

So suchen Sie in der Registrierung nach einer Benachrichtigung und wie geht es weiter?

Unabhängig davon, welches Ergebnis wir im vorherigen Schritt erzielt haben, müssen Sie außerdem prüfen, ob in der Registrierung der Betreiber personenbezogener Daten ein Eintrag zu Ihrer Organisation vorhanden ist. Hier finden Sie leicht einen Eintrag in der Registrierung nach Name oder TIN der Organisation.

Dann sollten Ihre Handlungen ungefähr so ​​aussehen.

Wenn die Organisation Ausnahmen unterliegt und keine Benachrichtigung erfolgt - ausgezeichnet, sollte es sein! Wir machen nichts

Wenn die Organisation Ausnahmen unterliegt, der Hinweis jedoch in der Registrierung enthalten ist. Nun, vielleicht hat jemand vor ein paar Jahren, zum Beispiel auf Anweisung eines pensionierten Managers, diese Mitteilung gesendet. Aber es kann behoben werden. Es gibt ein Verfahren, um Organisationen aus dem Register der PD-Betreiber auszuschließen. Dazu müssen Sie lediglich einen Brief an das Gebietsbüro von Roskomnadzor schreiben, in dem die Benachrichtigungsnummer und eine Beschreibung der Gründe angegeben sind, warum Ihre Organisation nicht im Register der Betreiber personenbezogener Daten eingetragen sein muss. Löschen Sie dann im selben Brief den entsprechenden Eintrag aus der Registrierung. Wir warten 30 Tage. Wir prüfen. Wenn die Aufzeichnung im Register verbleibt, rufen wir Roskomnadzor an und prüfen, ob Ihr Brief empfangen und bearbeitet wurde.

Wenn die Organisation nicht unter die Ausnahme fällt, aber keine Benachrichtigung in der Registrierung vorhanden ist, füllen wir dringend eine Benachrichtigung aus ! Warum dringend? Ja, denn laut Gesetz muss vor Beginn der Verarbeitung personenbezogener Daten ein Hinweis ausgefüllt werden, wenn diese Verarbeitung nicht unter dieselben Ausnahmen von Artikel 22 des Gesetzes Nr. 152- „Über personenbezogene Daten“ fällt. In einem der folgenden Artikel wird erläutert, wie Sie eine Benachrichtigung von Grund auf korrekt und kompetent ausfüllen oder eine vorhandene aktualisieren.

Nun, die letzte Option: Die Organisation fällt nicht unter die Ausnahme, aber es gibt eine Benachrichtigung in der Registrierung. Ich möchte hier wie im ersten Fall schreiben, dass nichts getan werden muss, aber nein. Nicht umsonst habe ich oben gesagt, dass neben der fehlenden Benachrichtigung als solche einer der häufigsten Gründe für eine Verschreibung auf der Grundlage der Ergebnisse einer Überprüfung und einer Geldbuße gemäß Artikel 13.11 des Ordnungswidrigkeitskodex der Russischen Föderation die Inkonsistenz der Daten in der Mitteilung mit dem tatsächlichen Geschehen ist. Beispielsweise werden nicht alle Kategorien verarbeiteter personenbezogener Daten angegeben oder Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten nicht angegeben. Es kann viele Gründe für diese Diskrepanz geben, aber hier sind zwei Hauptgründe:

• Die Bekanntmachung wurde lange Zeit ausgefüllt und die Organisation hat sich seitdem wirklich verändert. Viele Bedingungen für die Verarbeitung personenbezogener Daten.
• Die Mitteilung wurde zur Überprüfung ohne ordnungsgemäße Analyse der Situation und der Sammlung von Informationen ausgefüllt.

In solchen Fällen wird auf dem Portal für personenbezogene Daten ein Formular zur Änderung einer bestehenden Mitteilung bereitgestellt.

Nach dem Ausfüllen des Formulars zum Vornehmen von Änderungen (oder der ersten Benachrichtigung) muss das resultierende Dokument ausgedruckt, unterschrieben, (falls vorhanden) abgestempelt und in einem analogen Brief an die Gebietsverwaltung von Roskomnadzor gesendet werden. Nur auf der Grundlage eines Papierbriefs wird ein Eintrag in die Registrierung vorgenommen, oder es werden Änderungen an einem vorhandenen Eintrag vorgenommen.

Verifizierungsdokumentation

Ich wollte diesen feierlichen Moment am Ende des Artikels verlassen. Aber was ist schon da, da wir bereits über eine Reihe notwendiger Dokumentationen gesprochen haben, finden Sie hier einen Link zu unseren Vorlagen . Das Archiv enthält 4 Ordner und die Vorlage "Bedrohungsmodelle". Hier werden nur Dokumente aus den Ordnern General und PDN behandelt. "Allgemein" - Dies sind Dokumente, die für alle Informationssysteme plus oder minus verwendet werden können, und "PDN" ist ein reiner Roskomnadzor-Teil. Eine vollständige Beschreibung der Zusammensetzung der Dokumente im Archiv finden Sie auf unserer Website .

Der Artikel erwies sich als ziemlich umfangreich, daher werden wir hier nicht analysieren, aus welchen spezifischen Anforderungen ein bestimmtes Dokument (oder ein Dokumentabschnitt) stammt. Dies ist ein Thema für einen separaten Artikel. Lassen Sie uns die allgemeinen Punkte durchgehen.

Zusammensetzung der Dokumente

Zunächst wirft der Spezialist, der beauftragt wurde, sich auf das bevorstehende Audit vorzubereiten, die Frage auf, welche Dokumente im Allgemeinen benötigt werden. Der Spezialist wendet sich der Gesetzgebung zu und ... findet fast nichts Nützliches. Nun, nicht, dass es überhaupt nichts direktes ist. Ja, wahrscheinlich wird ein Spezialist auf ein Dekret der Regierung der Russischen Föderation vom 21. Februar 2012 Nr. 211 stoßen und sagen: „Nun, Sie haben sich geirrt, jetzt gibt es eine Liste von Dokumenten!“ Ja, gibt es. Nur ein Spezialist wartet auf eine Art Falle. Wenn Sie nur Dokumente aus dieser Liste erhalten, erhält die Organisation einen Auftrag, der auf den Ergebnissen des Audits basiert, da die Liste nicht einmal einen kleinen Teil der gesetzlichen Anforderungen abdeckt. Außerdem gibt es in der Liste solche Absurditäten, wie zum Beispiel die Notwendigkeit, die Liste der ISPDn separat zu genehmigen. Warum müssen wir ein separates Dokument erstellen, wenn es möglich ist, ISPDn in der "Verordnung über die Verarbeitung und den Schutz von ISPDn" oder in der "Informationssicherheitsrichtlinie" aufzulisten - es ist nicht klar. Und schließlich gilt die Resolution Nr. 211 nur für staatliche und kommunale Behörden, daher gilt sie nicht für die meisten PD-Betreiber. Übrigens gibt es in unseren Dokumenten per Dekret 211 keine, da die meisten Probleme daher in anderen Dokumenten berücksichtigt werden.

Mal sehen, was wir dort in der Gesetzgebung haben.

Das Bundesgesetz "Über personenbezogene Daten" spricht direkt nur von der Notwendigkeit, ein "Modell für Sicherheitsbedrohungen" zu entwickeln (obwohl nicht direkt gesagt wird, dass es auch direkt im Gesetz festgelegt ist, dass Sicherheitsbedrohungen für personenbezogene Daten identifiziert werden müssen) und die Veröffentlichung einer "Richtlinie zur Verarbeitung personenbezogener Daten" Daten. "

In einem der folgenden Artikel können wir auch ausführlicher über den Entwicklungsprozess des Bedrohungsmodells schreiben.

Alles andere ist mehrdeutig, so etwas wie:

… , , :

1) , , ;

2) , , , , , , , , ;
...
4) () , , , ;

Usw. , 152- : , , , , , . , . ! — .

, – , . «», . « » , , , , .

, . « », « ...» « ...». .

, , ? . , , . :

• , , , . , .
• ( , ) .
• . , .
• . , . , . . . – .
• 9 « ». , , , . , . « ». , , .
• . , , .

, « ». . , , .

Fazit

, , .

1. . , . , .
2. , , , . . .
3. .
4. . / . , .
5. ( , - ).
6. .
7. .
8. , , .
9. . .

, , , . , – .

! 20 22 FortiGate. . , , .