关于我们
美好的一天,哈伯! 我们是一家信息中心公司。 我们的主要方向是信息安全(它也是信息安全)。 在IS中,我们几乎参与所有工作:审计,安全系统设计,认证,合规性,渗透测试,我们拥有自己的SOC,甚至处理国家机密。 由于我们位于符拉迪沃斯托克(Vladivostok),我们最初在滨海边疆区(Primorsky Territory)和该国远东地区开展了更多工作,但最近,我们的项目所处的地理位置使我们在边界建立之初的想法变得更加不可思议。
在我们的第一篇文章中,我们将考虑信息安全性的一面,例如合规性(英语合规性-合规性,合规性)。 我们将讨论如何完全遵守俄罗斯有关个人数据的法规。
立法中有什么新内容?
关于个人数据保护检查的主题已经写了很多文章,其中许多是在2015年之前发布的。 为了以某种方式进入现实,首先必须分析近年来立法中发生的变化。
242-FZ
首先,让我们回想一下臭名昭著的242-FZ。 2015年,由于需要在俄罗斯联邦领土上本地化俄罗斯联邦公民的个人数据,他引起了极大的反响。 四年后,该法律的唯一主要受害者是LinkedIn社交网络。
但是242-FZ中还有另一面没有在媒体中如此积极地复制。
在242-中,ILV检查个人数据方面发生了非常重要的变化:自2015年9月1日起,Roskomnadzor在保护个人数据主体权利方面的活动不受第294-号联邦法律的约束,“关于保护法人和实施国家控制(监督)和市政控制。”
这是什么意思? 您可能会猜到,对于个人数据运营商来说,这没有什么好处。 现在,如实践所示,定期检查的数量已大大减少,未定期检查的数量也按比例增加。 Roskomnadzor的检查计划已于2015年底(及以后的几年)在该机构的网站上
发布 ,也证明了这一点。 计划对个人数据进行检查-与往年相比,一次,两次和计算错误。
计划外检查的主要问题是,您无法在足够的时间范围内了解它们,因此,您无法尽可能地做好准备。 例如,在较早的时候,当审计计划发布时,每个人都可以下载它,并确定组织是否在其中。 出乎意料的是,只有少数组织的验证日期在1月至2月被列出。 剩下的人有机会进行适当的准备,即使直到那时在组织中根本没有为保护个人数据做任何事情。 当然,现在最好可以随时检查Roskomnadzor的个人数据,也就是说,始终准备好用于保护个人数据的最新文档集。
13.11俄罗斯联邦行政法规
另一个重要的法律变更是对
俄罗斯联邦《行政法》第
13.11条
“在个人数据领域违反俄罗斯联邦法律”的修正。 这些变化完全改变了个人数据保护领域中对违法行为的惩罚。 以前,第13.11条没有分成几部分,对法人的最高罚款额为1万卢布。 现在这里有7个部分(并且正在计划扩展),其中之一(违反处理特殊类别的个人数据的规则)对法人的最高罚款为75,000卢布。 此外,当检查员发现不同的违法行为时,从理论上讲,可以对《行政犯罪法》条文的不同部分进行加重处罚。 为什么是“理论上”? 此前,在ILV区域部门的网站上,“新闻”部分不断发布新闻,称监管机构有条件地检查了3个组织是否符合个人数据法规,第1个组织罚款,第2个组织罚款3,000卢布,第3个组织罚款。 5千卢布。 有可能在一年中大量收集此类新闻,并敲除一些罚款数据。 现在没有这样的消息。 如果在《行政法规》 13.11中进行更改后,有人拥有违反152-FZ的罚款数据,则可以在注释中共享此信息。
应当立即指出,修正俄罗斯联邦《行政犯罪法》第13.11条
的法案的原始
案文最初包括更高的罚款,例如,由于最高罚款定为75,000卢布,原本计划处以最高300,000卢布的罚款。 它是可靠的,但是违反GDPR的金额仍然遥遥无期。 但是,尽管由此导致的罚款额已大大减少,但是不幸的是,一些个人数据保护服务的卖方仍在试图对数字“ 300,000”进行威吓。 保持警惕。
因此,我们坚信,计划外检查的可能性增加,并且违反152-FZ的罚款增加了几倍,这一点也不是坏事,因此请随时准备接受检查。 让我们弄清楚我们需要做什么。
支票类型
在继续进行准备检查所涉及的直接步骤之前,让我们看看发生了哪些类型的检查以及典型的审核如何进行。
通常,支票可以分为两种类型:单据和实地。
文件检查
文件记录检查通常始于有任何要求的,来自当地ILV部门的信函到达组织的事实。 例如,如果您的组织未提交有关将其包含在个人数据运营商注册中的通知,那么可能会提醒您,最好将此通知归档。 法律确实有要求。 或说明您的组织为何可以处理个人数据而不另行通知(152-FZ中提供了许多例外)。 但是,如果您的组织提交了通知,则可能会提醒您新字段不时出现在注册表中,因此也需要填写。 例如,有必要指出数据中心的位置以及它是租用的还是自己的。 是的,在了解Roskomnadzor的情况下,总会计师计算机上的数据库1C是一个数据中心。
关于填写通知实践表明,许多个人数据操作员有疑问-如何正确填写一个或另一个通知字段。 在本文中,我们将讨论有关个人数据操作员的通知,但是有关完成此操作的教程已经单独介绍了。
可能还会要求您通过邮件发送文件副本,以规范组织中的个人数据保护,包括命令,说明,威胁模型等等。
那么,您收到了Roskomnadzor这样的一封信,我该怎么办?
实际上,说出绝对不应该做的事情比较容易-忽略这些字母。 不幸的是,实际上,许多这样做。 有人忘记回答,有人不知道该写些什么,也没有回答,有人希望他们会被遗忘,一切都会自己刹车。 不,他们不会忘记,在这种情况下不会。
也许某些部门有这样的惯例-给组织写一封信“供表演”而忘了,但不是与ILV一起写。 因此,建议在信函中指定的期限内做出答复,否则该组织将受到俄罗斯联邦《行政法》第19.7条“未能向国家机构提交或不及时提交信息”的惩罚。 您可以在“新闻”部分转到Roskomnadzor地区部门的网站(%number _region%.rkn.gov.ru)。 2016年,有一半的新闻专门针对根据俄罗斯联邦《行政犯罪法》的条文追究法人责任。 此外,在每个新闻中,最多可以出现10-15个组织。 现在也有这样的新闻,但更少,这很可能是由于ILV本身开始不太积极地发送“幸福信”。
俄罗斯联邦19.7年《行政法》上的罚款很小-3-5千卢布,但在这里您需要记住,在缴纳罚款之后,仍然必须提供原始信件中要求的信息。
2016年滨海边疆区Roskomnadzor办公室网站的屏幕截图 如果发给您的信件内容不清楚,通常会在最后注明信件的执行人及其联系方式。 您可以随时致电并澄清监管机构仍然希望您提供什么。
关于文件检查,也许没有什么可添加的,让我们继续实地考察。
现场检查
从名称本身,已经很清楚,检查员将是您领土上的至少2至3倍。 根据我们的经验,可以说验证过程如下所示:
- 检查员来到组织,结识了组长,给了他确认通知,并由控制机构在法人的审计日志中输入了一个条目(顺便说一句,缺少这种日志已经是违法的);
- 然后,ILV代表被要求提供组织中用于保护个人数据的文档,在这里,您正在拖拉整个文档–订单,说明,法规,策略,威胁模型;
- 检查人员快速浏览了文件的组成之后,要么要求他们提供一个供他们学习的房间,要么要求提供所有文件的副本并离开办公室去研究您提供的信息;
- 在熟悉文档的过程中,可能会出现有关其内容的问题或希望对其进行任何更改;
- 在检查的某一天,ILV代表一定会经过处理个人数据的办公室,检查将PD存放在纸上的位置-柜子,保险箱,架子(在这里,如果PD存放的方式有所不同,您可能会提示需要购买可上锁的铁柜子。 ),也可以看到信息系统;
- 最后,检查员在同一审计日志中输入有关审计结果的条目(无论是否已确定注释),并根据审计结果发布一个操作。
在这里,也许值得一谈的是您在现场检查期间需要记住的内容。
首先,在任何情况下,您都无需与检查冲突并以某种方式干扰验证过程的人员(用文件等技巧“丢掉”办公室的钥匙)。 是的,审稿人也可能是错的。 这种错误的生动例子与我们对2015-2016年滨海边疆区禁止一切事物的过度热情有关。 没有人可以消除看守者的综合症,在验证过程中可能会提出完全非法和不合理的要求。 但这并不能消除人类交流的简单规则。 如果您不同意某件事,请冷静地表达,要求与立法建立联系,这是提出可疑要求的原因。
其次,无论检查员在审核期间提出什么主张,重要的是仅在审核结果之后的行为中写上什么。 我将举一个简单的例子,在一项检查中,ILV代表声称有必要将个人数据信息系统“会计”和“人员”分开,并分别在文档中进行描述。 该要求完全不受法律支持,并且152-FZ的ISPD定义并不禁止信息系统的统一,也不以我们自己想要的方式描述它们。 我们可以将具有医疗数据的文档系统与医疗机构中相同的人事经理相结合,并说我们拥有一个ISPD。 的确,在这种情况下,必须记住,可能必须在更高的个人数据安全级别上保护cadrub,这将由医学信息系统的一部分确定。 但是,即使从常识的角度来看,将簿记与人员分开,以及每个系统分别生成大量的命令,指令和威胁模型是完全不对的。 因此,这个故事的主要内容是,在遵循审计结果的行为中,该行为被写为“没有违反法律的行为”。 这就消除了检查员的所有口头上的非法评论。
第三,必须指示其所有参与处理任何个人数据的员工在审核期间可能做什么,不能做什么以及说什么。 例如,您可以按照说明和规则处理个人数据,但不能将员工护照的副本散布在桌面上。
个人数据操作员通知
根据检查结果,在发布违法指示的原因中排名第一的是个人数据操作员在个人数据门户网站上的通知中指出的信息不完整或不真实,或者没有此类通知。 因此,我们需要做的第一件事就是确定我们处理个人数据的情况是否属于运营商可能不向Roskomnadzor提交通知的情况。 此类例外在第152-FZ号联邦法律“关于个人数据”的第22条第2节中列出。 我们也不会列出所有要点,因为也有一些非常特殊的要点,但是以下是大多数组织中最适用的要点:
- 如果仅根据劳动法规处理PD,则可以省略通知;
- 如果您处理与您订立合同的当事人的客户的个人数据,并且在未经当事人适当同意的情况下,他们的个人数据不会转移给第三方,则可以省略通知;
- 个人数据仅在非自动化模式下处理(即不使用计算机技术)。
值得注意的是,这里有陷阱。 例如,现在许多组织,特别是国有组织,正在实施工资项目,将血汗的卢布直接转给员工,转给银行卡。 这对雇主和雇员都非常方便,银行也很有利。 但是在实施这样的项目时,无论怎么说,您都必须将员工的数据传输到银行。 而且,此类个人数据向第三方的传输不再受劳动法规的约束,这意味着从上述列表中进行的首次排除是行不通的,因此,有必要向Roskomnadzor提交有关处理个人数据的通知。
如何在注册表中检查通知以及下一步
此外,无论我们在上一步中获得了什么结果,您都需要检查
个人数据运营商注册表中是否存在有关您的组织的条目。 在这里,您可以按组织的名称或TIN轻松在注册表中找到一个条目。
然后,您的操作应如下所示。
如果组织有例外情况,并且没有任何通知-很好,那就应该了! 我们什么都不做。
如果组织有例外情况,但是该通知位于注册表中。 嗯,也许是几年前有人,例如,在一位退休经理的指示下,发送了此通知。 但是可以解决。 有一种程序可以将组织从PD运营商的登记册中排除。 为此,您只需要写一封信给Roskomnadzor领土办公室,注明通知编号,并说明不需要您的组织成为个人数据运营商登记册的原因。 然后,以相同的字母从注册表中删除相应的条目。 我们正在等待30天。 我们检查。 如果记录仍保留在注册表中,我们会致电Roskomnadzor,并检查您的来信是否已收到并得到处理。
如果该组织不属于例外情况,但是注册表中没有任何通知,我们紧急
去填写通知 ! 为什么要紧急? 是的,因为根据法律,如果处理不属于第152-号法律“关于个人数据”的所有相同例外,则必须在开始处理个人数据之前填写通知。 以下文章之一计划如何正确正确地从头开始填写通知或升级现有通知。
好了,最后一个选择:组织没有属于例外,但是注册表中有一个通知。 与第一种情况一样,我想在这里写些什么,但没有。 上面我无非是说,除了没有这样的通知外,根据检查结果和根据俄罗斯联邦《行政犯罪法》第13.11条处以罚款的规定开具处方的常见原因之一是通知中的数据与实际情况不一致。 例如,并非指示所有类型的已处理个人数据,也不指示确保个人数据安全的措施。 造成差异的原因可能很多,但主要有两个原因:
- 该通知已经填写了很长时间,从那时起,该组织确实发生了变化,处理个人数据的条件很多;
- 对该通知进行填写以进行检查,但未对情况和信息进行适当的分析。
对于此类情况,个人数据门户网站上提供了
用于修改现有通知的
表格 。
填写完更改(或初次通知)表格后,有必要打印出结果文档,签名,加盖邮票(如果有的话),然后以类似的信件发送给俄罗斯联邦领土行政机构。 仅基于纸质信函,才会对注册表进行输入或对现有条目进行更改。
验证文件
我想在本文结尾处留下这个严肃的时刻。 但是由于我们已经开始谈论一组必要的文档,因此已经有了,这里是指向我们
的模板集的链接。 归档文件包含4个文件夹和“威胁模型”模板。 在这里,我们仅讨论General和PDN文件夹中的文档。 “一般”-这些文档可在任何信息系统上使用或减去,而“ PDN”仅是Roskomnadzor的一部分。 可以
在我们的网站上查看档案中文档组成的完整说明。
事实证明,本文篇幅如此之多,因此,在此我们将不分析特定文档(或文档部分)的具体要求。 这是另一篇文章的主题。 让我们看一下一般要点。
文件组成
因此,首先,受命为即将进行的审核做准备的专家提出了一个问题-一般需要什么文件。 专家转向立法,发现几乎没有任何用处。 好吧,这并不是说没有任何直接意义。 是的,可能是,专家会偶然发现俄罗斯联邦政府于2012年2月21日发布的第211号法令,并说:“好吧,您错了,现在有文件清单!” 是的,有。 只有专家正在等待一种陷阱。 如果您仅从此列表中获取文件,则组织将根据审核结果收到命令,因为该列表甚至覆盖了法律要求的一小部分。 此外,列表中还存在一些荒谬之处,例如,需要单独批准ISPDn列表。 当可能在“关于ISPDn的处理和保护的法规”或“信息安全策略”中列出ISPDn时,为什么我们需要创建一个单独的文档-尚不清楚。 最后,第211号决议仅适用于州和市政府,因此不适用于大多数PD运营商。 而且,顺便说一句,在第211号法令的我们的文件集中没有,因为因此大多数问题都在其他文件中得到了考虑。
好吧,让我们看看立法中的内容。
联邦法律“关于个人数据”仅直接说明了开发“安全威胁模型”的必要性(尽管并未直接说法律中也直接指出有必要确定对个人数据的安全威胁)以及发布“关于处理个人数据的政策”数据。”
在以下文章之一中,我们可能还会更详细地描述威胁模型的开发过程。
其他的一切都是模棱两可的,就像这样:
… , , :
1) , , ;
2) , , , , , , , , ;
...
4) () , , , ;
依此类推。 , 152- : , , , , , . , . ! — .
, – , . «», . « » , , , , .
, . « », « ...» « ...». .
, , ? . ,
, . :
- , , , . , .
- ( , ) .
- . , .
- . , . , . . . – .
- 9 « ». , , , . , . « ». , , .
- . , , .
, « ». . , , .
结论
, , .
- . , . , .
- , , , . . .
- .
- . / . , .
- ( , - ).
- .
- .
- , , .
- . .
, , , . , – .
! 20 22 FortiGate. . , , .