Ce este nou?
De fapt, nu se mai aplică orientări FSB și FSTEC bazate pe PP-781:
Schimbarea de abordare a certificării:
Securitatea datelor personale
securitatea datelor cu caracter personal la prelucrarea acestora în cadrul sistemului de informații furnizate de sistemul de protecție a datelor cu caracter personal, neutralizând amenințarea a expirat, determinată în conformitate cu partea 5 din articolul 19 din Legea federală „privind protecția datelor personale“.
Sistemul personal de protecție a datelor include măsuri tehnice organizatorice și (sau), determinate în funcție de amenințările actuale la adresa securității tehnologiilor de date și informații cu caracter personal utilizate în sistemele de informații.
5. Autoritatea executivă federală care desfășoară activități de ordine publică și reglementarea legală în domeniul stabilit de activitate, autoritățile publice de subiecți ai Băncii Române de România, organele fondurilor de stat extrabugetare, alte organe de stat în cadrul competențelor lor de a adopta acte legislative de reglementare, determinând o amenințare a securității datelor cu caracter personal, a expirat în prelucrarea datelor cu caracter personal în sistemele informaționale de date cu caracter personal, e kspluatiruemyh în punerea în aplicare a activităților conexe, ținând seama de conținutul datelor cu caracter personal, natura și metodele de prelucrare a acestora.
Alegerea mijloacelor de protecție a PD
Alegerea mijloacelor de protecție a informației pentru sistemul personal de protecție a datelor de către operator, în conformitate cu reglementările adoptate de Serviciul Federal de Securitate din România și Serviciul Federal pentru Controlul Tehnic și de export, în conformitate cu paragraful 4 al articolului 19 din Legea federală „privind protecția datelor personale“.
3. Guvernul România, având în vedere posibila deteriorare a datelor cu caracter personal fac obiectul, domeniul de aplicare și conținutul datelor cu caracter personal prelucrate, tipul de activitate, punerea în aplicare a care sunt prelucrate date cu caracter personal, relevanța amenințărilor de securitate ale seturilor de date cu caracter personal:
1,) Nivelurile de securitate a datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaționale de date cu caracter personal, în funcție de riscurile de securitate ale datelor;
2) cerințele privind protecția datelor cu caracter personal în timpul prelucrării acestora în cadrul sistemelor informaționale de date cu caracter personal, executarea, care prevede niveluri prescrise de protecție a datelor cu caracter personal;
3) cerințele pentru suporturi cu date personale și tehnologii biometrice astfel de informații de stocare a datelor sunt sistemele de date cu caracter personal.
Noua clasificare ISPDn
Procesat de PD TIP
PD privind originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, de sănătate, subiecte de viață sexuală
- ISPDn procesare biometrice PD (PDIuri-B)
- ISPDn PD publice de fabricație (PDIuri-O)
PD a obținut numai din surse accesibile publicului de date cu caracter personal stabilite în conformitate cu articolul 8 din Legea federală „privind protecția datelor personale“
dacă nu este gestionată PD indicat în primul paragraf - al treilea acest paragraf
ACCESORII PENTRU PD PRELUCRAT
- ISPDn operator de angajați de fabricație PD
PD angajați numai specificate (cadre). În alte cazuri, sistemul informatic de date cu caracter personal este un sistem de informații care prelucrează datele personale ale subiecților datelor cu caracter personal care nu sunt angajați ai operatorului. S-ar putea să fie o specială, publice și altele.
Tipurile de amenințări de securitate PD
Amenințări de tip 1 (la nivel de sistem) sunt relevante pentru sistemul de informații, în cazul în care are, inclusiv amenințările relevante legate de prezența nedocumentat (negru) caracteristici în software-ul de sistem utilizat în sistemul de informații.
Amenințări de tip 2 (cerere) sunt relevante pentru sistemul de informații, în cazul în care are, inclusiv amenințările relevante legate de prezența capacităților fără forme legale (nedeclarate) în aplicația software utilizat în sistemul de informații.
Amenințările treilea tip (nivel de utilizator) sunt relevante pentru sistemul de informații, în cazul în care are amenințări relevante care nu sunt legate de prezența nedocumentat capacității (nedeclarată) în software-ul de sistem și de aplicare utilizate în sistemul de informații.
Determinarea tipului de amenințări la adresa securității datelor cu caracter personal, relevante pentru sistemul de informații, produse de operator pe baza unei evaluări a posibilelor daune efectuate în conformitate cu punctul 5 din partea 1 a articolului 18 1 din Legea federală „privind datele personale“, și în conformitate cu actele normative adoptate în aplicarea 5 articolul 19 din legea federală „cu privire la datele cu caracter personal“.
niveluri de securitate ISPDn
Prelucrarea datelor cu caracter personal în sistemele de informații set 4 niveluri de protecție a datelor cu caracter personal.
Necesitatea de a asigura un anumit nivel de protecție determinată de tipul ISPDn, tipul de amenințările curente și numărul de subiecți, PD care sunt prelucrate în PDIuri.
Necesitatea de a asigura un anumit nivel de securitate al PD este stabilit prin prezența a cel puțin una dintre condițiile
Cerințe pentru nivelul de securitate
Pentru a asigura securitatea nivelul 4:
a) organizarea regimului pentru a asigura securitatea spațiilor, care găzduiește sistemul de informații, care împiedică posibilitatea unei penetrării necontrolate sau de ședere în aceste spații pentru persoane care nu au dreptul de a avea acces la aceste facilități;
b) păstrarea suporturilor de date cu caracter personal;
c) aprobarea șefului operatorului documentului care definește lista persoanelor care au acces la datele cu caracter personal prelucrate în sistemul de informații, necesare pentru a efectua oficiale a acestora (angajare) taxe;
g) utilizarea mijloacelor de protecție a informației, conformitatea din trecut cu procedura de evaluare a legislației românești în domeniul securității informațiilor, într-un caz în care utilizarea acestor fonduri este necesară pentru a neutraliza amenințările reale.
Pentru a asigura al treilea nivel de securitate:
a) conformitatea cu cerințele stipulate pentru al 4-lea nivel de securitate;
b) numirea unui funcționar (angajat), care este responsabil pentru securitatea datelor cu caracter personal
Pentru a asigura securitatea doilea nivel:
a) conformitatea cu cerințele prevăzute pentru al treilea nivel de securitate;
b) accesul la conținutul revistei de comunicații electronice a fost posibilă numai pentru funcționari (angajați) ai operatorului sau persoana autorizată la care informațiile conținute în această revistă sunt necesare pentru îndeplinirea sarcinilor de muncă) oficiale (.
Pentru a asigura nivelul de securitate 1:
a) conformitatea cu cerințele stipulate pentru nivelul 2 de securitate;
b) înregistrarea automată în jurnalul electronic de siguranță schimbă operatorul muncitor de birou pentru a avea acces la datele cu caracter personal conținute în sistemul de informații;
c) crearea unei unități structurale responsabile de asigurarea securității datelor cu caracter personal într-un sistem informatic sau de stabilire pe una dintre unitățile structurale pentru a oferi astfel de caracteristici de securitate.
Monitorizarea respectării cerințelor
Controlul asupra îndeplinirii cerințelor este organizată și condusă de către operatorul (persoana autorizată) propriu și (sau) cu asistența pe bază de contract a persoanelor juridice și a întreprinzătorilor individuali, care au o licență de a opera pe TZKI.
Aceasta a efectuat cel puțin 1 dată în 3 ani, în condițiile definite de către operator (persoană autorizată).
Operatorii în acest moment, este necesar să se testeze pe următoarele aspecte:
Dezvoltarea / Punerea în aplicare, dacă nu aveți deja:
- Determina lista transportatorilor de PD și cerințele lor de depozitare, manipulare, transport și eliminare.
- Asigurarea securității fizice și PD de control al accesului mass-media in camere de tratament PD. O bună practică este de a avea o listă aprobată de persoane autorizate în camera serverului. Uneori, autoritățile de reglementare, de asemenea, întrebat despre lista persoanelor admise la toate spațiile, în cazul în care un tratament adecvat al PD, dar, în opinia mea, nu este necesar.
- Numește un funcționar (angajat), care este responsabil pentru asigurarea siguranței PD în PDIuri. Este necesar să se facă distincția între persoana responsabilă de prelucrare și pentru a asigura securitatea PD.
- Elaborarea și aprobarea listei persoanelor admise la tratamentul PD.
- Sistemul de protecție a datelor cu caracter personal pentru utilizarea GIS, a trecut procedura de evaluare a conformității.
- Stabilirea unei proceduri de inspecții regulate pentru a îndeplini cerințele sistemului de protecție a datelor cu caracter personal (procedură de control intern).
Revizuirea / modificată, având în vedere noile date:
- Revizuiți protocolul de posibila deteriorare a subiecților PD.
- Revizuirea și actualizarea de clasificare a nivelurilor de securitate bazate pe Fapte ISPDn.
Fii pregătit pentru examinare și revizuire:
- Fii pregătit să revizuiască modelul amenințărilor ISPDn.
- Fiți pregătiți să revizuiască întregul sistem de protecție a datelor cu caracter personal și achiziționarea de noi GIS.
- Incepe sa te gandesti la revista electronica (ceea ce este și ce tehnologii sunt folosite) și păstrați-l în condiții de siguranță.