იცავს პერსონალურ მონაცემებს ბანკიდან. პერსონალური მონაცემების უსაფრთხოება ბანკში. პერსონალური მონაცემების ოპერატორის უფლებები

POSITION

პერსონალური მონაცემების დაცვის შესახებ

კლიენტები (აბონენტები)

შპს "ორტეს-ფინანსში"

ტერმინები და მნიშვნელობა

1.1. Პერსონალური მონაცემები- ნებისმიერი ინფორმაცია, რომელიც გადაეცემა მომღერალს ან მითითებულია ფიზიკური პირის ასეთი ინფორმაციის პლატფორმაზე (პერსონალური მონაცემების საგანი), მათ შორის მეტსახელი, სახელი, მამის, მდინარის, მ ისიატის მიხედვით, ხალხის თარიღი და ადგილი, მისამართები, ელექტრონული ფოსტის მისამართები, ტელეფონის ნომერი, ოჯახი, სოციალური, ძირითადი სტატუსი, განათლება, პროფესია, შემოსავალი, სხვა ინფორმაცია

1.2. პერსონალური მონაცემების დამუშავება- ოპერაციები (ოპერაციები) პერსონალური მონაცემებით, მათ შორის შეგროვება, სისტემატიზაცია, დაგროვება, შენახვა, დაზუსტება (განახლება, შეცვლა), გადასინჯვა, გაფართოება (გადაცემის ჩათვლით), უნიზოლირება, დაბლოკვა.

1.3. პერსონალური მონაცემების კონფიდენციალურობა- სავალდებულოა დანიშნულ წარმომადგენელმა პირმა უარი თქვას პერსონალურ მონაცემებზე წვდომაზე, რათა თავიდან აიცილოს მათი გაფართოება სუბიექტის ან სხვა სამართლებრივი წარმომადგენლობის გარეშე.

1.4. გაფართოებული პერსონალური მონაცემები- ქმედებები, რომლებიც მიმართულია პერსონალური მონაცემების ხალხის სასიცოცხლო ფსონზე გადაცემისკენ (პერსონალური მონაცემების გადაცემა) ან ხალხის არადაკავშირებული ფსონის პერსონალური მონაცემების გასაცნობად, მათ შორის პერსონალური მონაცემების გამოქვეყნება მასმედიაში, განთავსება საინფორმაციო და სატელეკომუნიკაციო საინფორმაციო ღონისძიებები ან პერსონალურ მონაცემებზე წვდომა, როგორიცაა -ან სხვა გზით.

1.5. პირადი ხარკი ვიკი- ქმედებები (ოპერაციები) პერსონალურ მონაცემებთან, რაც გულისხმობს გადაწყვეტილების მიღებას ან სხვა ქმედებების განხორციელებას, რაც გამოიწვევს პერსონალური მონაცემების სუბიექტების კანონიერ მემკვიდრეობას ან სხვაგვარად მოსპობს მათ უფლებებსა და თავისუფლებას ან სხვა ადამიანების უფლებებსა და თავისუფლებას.

1.6. პერსონალური მონაცემების დაბლოკვა— პერსონალური მონაცემების შრომატევადი შეგროვება, სისტემატიზაცია, დაგროვება, მოძიება, გავრცელება და მათი გადაცემის დაცვა.

1.7. ცუდი პერსონალური მონაცემები- ქმედებები, რომლებშიც შეუძლებელია პერსონალური მონაცემების ადგილმდებარეობის დადასტურება პერსონალური მონაცემების საინფორმაციო სისტემაში ან რომლებშიც დაკარგულია პერსონალური მონაცემების მატერიალური შინაარსი.

1.8. პერსონალური მონაცემების გამორიცხვა— ქმედებები, რომლებშიც შეუძლებელია პერსონალური მონაცემების საკუთრების დადგენა კონკრეტული სუბიექტის მიმართ დამატებითი დამატებითი ინფორმაციის გარეშე.

1.9. ფარულად ხელმისაწვდომი პერსონალური მონაცემები- პერსონალური მონაცემები, წვდომა ადამიანთა შეუზღუდავ რაოდენობაზე, რომლებთანაც საგანი მინიჭებული იყო ერთი წლის განმავლობაში ან, ფედერალური კანონების შესაბამისად, არ არის გაფართოებული კონფიდენციალურობის შესანარჩუნებლად.

1.10. ინფორმაცია- ანგარიშები (ანგარიშები, მონაცემები) განურჩევლად მათი წარდგენის ფორმისა.

1.11. კლიენტი (პერსონალური მონაცემების საგანი)- ფიზიკური პირი – შპს „ორტეს-ფინანსის“ თანამშრომელთა თანამშრომელი, ასევე ცნობილი როგორც „ორგანიზაცია“.

1.12. ოპერატორი- სუვერენული ორგანო, მუნიციპალური ორგანო, იურიდიული ან ფიზიკური პირი, რომელიც დამოუკიდებლად ან სხვა პირებთან ერთად ახორციელებს ორგანიზებას და/ან ამუშავებს პერსონალურ მონაცემებს, აგრეთვე პერსონალური მონაცემების დამუშავების ძირითად მიზნებს, პერსონალური მონაცემების საწყობს საქმის გასაკეთებლად, ქმედებებისთვის. (ოპერაციები), რა ვუყოთ პერსონალურ მონაცემებს. ამ დებულების პირობების მიხედვით, ოპერატორი აღიარებს პარტნიორობას ურთიერთდაკავშირებული პასუხისმგებლობით „ორტეს-ფინანსი“;

2. ჩასაფრები.

2.1. ეს დებულება პერსონალური მონაცემების დამუშავების შესახებ (შემდგომში - რეგულაცია) დაყოფილია რუსეთის ფედერაციის კონსტიტუციად, რუსეთის ფედერაციის სამოქალაქო კოდექსში, ფედერალურ კანონში "ინფორმაციის, საინფორმაციო ტექნოლოგიებისა და ინფორმაციის ისტორიის შესახებ", ფედერალური კანონი 152. -FZ "პერსონალური მონაცემების შესახებ", სხვა ფედერალური კანონები.

2.2. რეგულაციების დამუშავების პროცედურა განისაზღვრება ორგანიზაციის ყველა კლიენტის პერსონალური მონაცემების დამუშავებისა და დაცვის წესით, რაც ხელს უწყობს ოპერატორის პლატფორმაზე დამუშავებას; ადამიანებისა და მოქალაქეების უფლებებისა და თავისუფლებების დაცვის უზრუნველყოფა მათი პერსონალური მონაცემების დამუშავებისას, მათ შორის პირადი ცხოვრების კონფიდენციალურობის, სპეციალური და ოჯახური საიდუმლო ადგილის, აგრეთვე იმ ტიპის შინამეურნეობების დადგენა, რომლებსაც შეუძლიათ წვდომა პერსონალურ მონაცემებზე, nevikonannya vimog ნორმებისთვის, რა უნდა დაარეგულიროს obrobku ta zakhist პირადი ხარკი.

2.3. რეგლამენტის ამოქმედებისა და შეცვლის პროცედურა.

2.3.1. ეს დებულება წოდებას იძენს ორგანიზაციის გენერალური დირექტორის მიერ მისი დამტკიცების მომენტიდან და მოქმედებს მანამ, სანამ არ შეიცვლება ახალი დებულებით.

2.3.2. რეგლამენტში ცვლილებები შეტანილია ორგანიზაციის გენერალური დირექტორის ბრძანებების შესაბამისად.

3. პერსონალური მონაცემების საწყობი.

3.1. კლიენტების პერსონალური მონაცემების საწყობი მოიცავს:

3.1.1. მამაჩემის მეტსახელი.

3.1.2. რიკი ხალხი.

3.1.3. ხალხის თვე.

3.1.4. Დაბადების თარიღი.

3.1.5. Mіstse narodzhennya.

3.1.6. პასპორტის დეტალები

3.1.7. Ელექტრონული ფოსტის მისამართები.

3.1.8. ტელეფონის ნომერი (სახლი, პირადი).

3.2. შემდეგი დოკუმენტები და ჩანაწერები შეიძლება შეიქმნას (შექმნა, შეგროვება) და შეინახოს ორგანიზაციაში, მათ შორის ელექტრონული ფორმით, რომელიც შეიცავს მონაცემებს კლიენტების შესახებ:

3.2.1. განაცხადი ფიზიკური პირის დაკავშირების თავისუფლებისთვის.

3.2.2. შეთანხმება (საჯარო შეთავაზება).

3.2.3. ხელშეკრულებაში შეერთების დამადასტურებელი საბუთი.

3.2.5. იმ დოკუმენტების ასლები, რომლებიც იდენტიფიცირებს პირს, ასევე სხვა დოკუმენტებს, რომლებიც მოთხოვნილია კლიენტის მიერ და შეიცავს პერსონალურ მონაცემებს.

3.2.6. მონაცემები საქონლის/მომსახურების გადახდის შესახებ, რათა შეესაბამებოდეს კლიენტის გადახდას და სხვა დეტალებს.

4. პერსონალური მონაცემების დამუშავების მიზანი.

4.1. პერსონალური მონაცემების დამუშავების მიზანია ადამიანებთან წვდომისკენ მიმართული ქმედებების კომპლექსის განხორციელება, მათ შორის:

4.1.1. საკონსულტაციო და საინფორმაციო მომსახურების გაწევა.

4.1.2. სხვა ინტერესები არ არის დაცული კანონით და არსებობს პერსონალურ მონაცემებზე დაფუძნებული ქმედებების კომპლექსი, რომელიც აუცილებელია სხვა ინტერესების იდენტიფიცირებისთვის.

4.1.3. ამ გზით ვიკონანიმ შეძლო რუსეთის ფედერაციის კანონმდებლობის დაცვა.

4.2. პერსონალური მონაცემების დამუშავების საფუძველი არის ორგანიზაციის ლიკვიდაცია, ისევე როგორც კლიენტის აშკარა სარგებელი.

5. პერსონალური მონაცემების შეგროვება, დამუშავება და დაცვა.

5.1. პერსონალური მონაცემების შეგროვების (შეგროვების) პროცედურა:

5.1.1. კლიენტის ყველა პერსონალური მონაცემი უნდა ინახებოდეს ცალკე ამ წერილისთვის, გარდა ამ დებულების 5.1.4 და 5.1.6 მუხლებში მითითებული განსხვავებებისა და რუსეთის ფედერაციის კანონმდებლობით გათვალისწინებული სხვა განსხვავებებისა.

5.1.2. კლიენტის ინფორმაცია მისი პერსონალური მონაცემების შესახებ ორგანიზაციაში ინახება ქაღალდის ან/და ელექტრონული ფორმით.

5.1.3. სუბიექტის პერსონალური მონაცემების დამუშავების უფლება ექვემდებარება ხელშეკრულების ამ პირობებს, ასევე გაჭიმვა 5 კლდეკლიენტისა და ორგანიზაციის სახელშეკრულებო გადახდების გამოყენების დღიდან. განსაზღვრული ვადის დასრულების შემდეგ, მოქმედება უნდა გაგრძელდეს კანზე ხუთჯერ, მისი დაწკაპუნების შესახებ ინფორმაციის არსებობისთვის.

5.1.4. თუ კლიენტის პერსონალური მონაცემების შეგროვება შესაძლებელია მხოლოდ მესამე მხარისგან, კლიენტი პასუხისმგებელია წინასწარ მიაწოდოს შეტყობინებები ამის შესახებ და შესაძლებელია წერილის გაუქმება. მესამე პირი, რომელიც უზრუნველყოფს კლიენტის პერსონალურ მონაცემებს, პასუხისმგებელია სუბიექტის თანხმობაზე პერსონალური მონაცემების ორგანიზაციაში გადაცემაზე. ორგანიზაცია ვალდებულია, უარი თქვას მესამე მხარისგან დადასტურებაზე, რომელიც გადასცემს კლიენტის პერსონალურ მონაცემებს მათ შესახებ, ვისი პერსონალური მონაცემებიც გადაცემულია მათთვის. ორგანიზაცია ვალდებულია მესამე პირებთან ურთიერთობისას უზრუნველყოს კლიენტების პერსონალურ მონაცემებთან დაკავშირებული ინფორმაციის კონფიდენციალურობა.

5.1.5. მოთხოვნის ორგანიზაცია ვალდებულია აცნობოს კლიენტს პერსონალური მონაცემების ჩამორთმევის მიზნების, გადაცემის და მეთოდების შესახებ, ასევე დაყადაღებისთვის საჭირო პერსონალური მონაცემების ბუნება და კლიენტის პერსონალური მონაცემების მემკვიდრეობა, წერილის თარიღი. თანხმობა მათ დაყადაღებაზე.

5.1.6. კლიენტების პერსონალური მონაცემების ყოველგვარი მიზნის გარეშე დამუშავება ხდება შემდეგ შემთხვევებში:

5.1.6.1. პერსონალური მონაცემები საჯაროდ ხელმისაწვდომია.

5.1.6.2. ამავდროულად, ყველაზე მნიშვნელოვანი სამთავრობო ორგანოები გადადის ფედერალურ კანონმდებლობაში.

5.1.6.3. პერსონალური მონაცემების დამუშავება ექვემდებარება ფედერალურ კანონს, რომელიც ადგენს პერსონალური მონაცემების ამოღების მეთოდს და სუბიექტების რაოდენობას, რომელთა პერსონალური მონაცემები ექვემდებარება დამუშავებას და ოპერატორის თავდაპირველ მიზანს.

5.1.6.4. პერსონალური მონაცემების დამუშავება ექვემდებარება ხელშეკრულების პირობებს, რომელთაგან ერთ-ერთი პერსონალური მონაცემების საგანია – კლიენტი.

5.1.6.5. პერსონალური მონაცემების დამუშავება ხორციელდება სტატისტიკური მიზნებით პერსონალური მონაცემების კანონიერი გამიჯვნის მიზნით.

5.1.6.6. სხვა შემთხვევებში მოქმედებს კანონი.

5.1.7. ორგანიზაციას არ აქვს უფლება წაშალოს ან დაამუშავოს კლიენტის პერსონალური მონაცემები მისი რასის, ეროვნების, პოლიტიკური შეხედულებების, რელიგიური ან ფილოსოფიური შეხედულებების, ჯანმრთელობისა და ინტიმური ცხოვრების შესახებ.

5.2. პერსონალური მონაცემების დამუშავების პროცედურა:

5.2.1. პერსონალური მონაცემების სუბიექტი ორგანიზაციას აწვდის სანდო ინფორმაციას მის შესახებ.

5.2.2. კლიენტების პერსონალური მონაცემების დამუშავებამდე წვდომა შეიძლება მიენიჭოს მხოლოდ ორგანიზაციის უსაფრთხოების პერსონალს, რომელიც უფლებამოსილია იმუშაოს კლიენტის პერსონალურ მონაცემებთან და ხელი მოაწერა შეთანხმებას კლიენტის პერსონალური მონაცემების კონფიდენციალურობის შესახებ.

5.2.3. ორგანიზაციაში კლიენტის პერსონალურ მონაცემებზე წვდომის უფლება შეიძლება იყოს:

 ორგანიზაციის გენერალური დირექტორი;

 პრაქტიკოსები, რომლებიც პასუხისმგებელნი არიან ფინანსური საქმეების მართვაზე (მენეჯერი, ბუღალტერი).

 გაყიდვების თანამშრომლები მუშაობენ კლიენტებთან (გაყიდვების მენეჯერი, მენეჯერი).

 IT სპეციალისტები (ტექნიკური დირექტორი, სისტემის ადმინისტრატორი).

 კლიენტი არის პერსონალური მონაცემების სუბიექტი.

5.2.3.1. ორგანიზაციის უსაფრთხოების პერსონალის მუდმივი გადაყვანა, რაც კლიენტების პერსონალურ მონაცემებზე წვდომის საშუალებას იძლევა, განისაზღვრება ორგანიზაციის გენერალური დირექტორის ბრძანებით.

5.2.4. კლიენტის პერსონალური მონაცემების დამუშავება შეიძლება განხორციელდეს მხოლოდ რუსეთის ფედერაციის კანონებისა და სხვა მარეგულირებელი სამართლებრივი აქტების დებულებების შესაბამისად.

5.2.5. როდესაც საქმე ეხება პერსონალური მონაცემების დამუშავების ვალდებულებას, ორგანიზაცია ექვემდებარება რუსეთის ფედერაციის კონსტიტუციას, კანონს პერსონალური მონაცემების შესახებ და სხვა ფედერალურ კანონებს.

5.3. პერსონალური მონაცემების მცველი:

5.3.1. კლიენტის პერსონალური მონაცემების დაცვის ქვეშ, არსებობს შეყვანის კომპლექსი (ორგანიზაციული და ადმინისტრაციული, ტექნიკური, იურიდიული), რომელიც მიზნად ისახავს მათზე არაავტორიზებული ან არაავტორიზებული წვდომის აღკვეთას, შემცირებას, შეცვლას, დაბლოკვას, კოპირებას და სხვა პერსონალურ მონაცემებს სუბიექტებისგან. , ისევე როგორც სხვა უკანონო ქმედებები.

5.3.2. კლიენტის პერსონალური მონაცემების დაცვა ექვემდებარება ორგანიზაციის პროცედურებს, რომლებიც დადგენილია რუსეთის ფედერაციის ფედერალური კანონით.

5.3.3. კლიენტების პერსონალური მონაცემების შენახვისას ორგანიზაცია ზრუნავს ყველა საჭირო ორგანიზაციულ, პროცედურულ, იურიდიულ და ტექნიკურ საკითხზე, მათ შორის:

 ანტივირუსული დაცვა.

 ქურდობის ანალიზი.

 გამოავლინეს და შეიპყრეს დამპყრობლებმა.

 წვდომის კონტროლი.

 რეგისტრაცია და გამოჩენა.

 მთლიანობის უზრუნველყოფა.

 პერსონალური მონაცემების დაცვის მარეგულირებელი ნორმატიული და მეთოდოლოგიური ლოკალური საქმიანობის ორგანიზება.

5.3.4. კლიენტთა პერსონალური მონაცემების დაცვის საიდუმლო ორგანიზაციას ახორციელებს ორგანიზაციის გენერალური დირექტორი.

5.3.5. კლიენტის პერსონალურ მონაცემებზე წვდომა უზრუნველყოფილია ორგანიზაციის უსაფრთხოების სამსახურების მიერ, რომლებიც ითხოვენ პერსონალურ მონაცემებს შესაბამის შრომით ვალდებულებებთან დაკავშირებით.

5.3.6. კლიენტების პერსონალური მონაცემების ამოღებაში, დამუშავებასა და დაცვაში ჩართული ყველა პრაქტიკოსი ვალდებულია ხელი მოაწეროს შეთანხმებას კლიენტების პერსონალური მონაცემების კონფიდენციალურობის შესახებ.

5.3.7. კლიენტის პერსონალურ მონაცემებზე წვდომის მიღების პროცედურა მოიცავს:

 პრაქტიკოსის ინფორმირებულობა წინამდებარე რეგულაციებიდან გამოსვლამდე. სხვა რეგულაციების არსებობისთვის (სასჯელები, ბრძანებები, ინსტრუქციები და ა.შ.), რომლებიც არეგულირებს კლიენტის პერსონალური მონაცემების დამუშავებას და დაცვას, თქვენ ასევე უნდა გაეცნოთ ამ აქტებს ხელმოწერამდე.

 ჩვენ შეგვიძლია წარვადგინოთ წერილობითი მოთხოვნა (გენერალური დირექტორის მოთხოვნით) კლიენტების პერსონალური მონაცემების კონფიდენციალურობის შესანარჩუნებლად და მათი დამუშავების წესების დაცვა ორგანიზაციის შიდა საქმიანობის შესაბამისად, რომელიც არეგულირებს აუცილებელია უზრუნველყოს კონფიდენციალური ინფორმაციის უსაფრთხოება.

5.3.8. ორგანიზაციის საიდუმლო სამსახური, რომელიც უზრუნველყოფს კლიენტების პერსონალურ მონაცემებზე წვდომას სამუშაო ვალდებულებებთან დაკავშირებით:

 უზრუნველყოფს ინფორმაციის შენახვას კლიენტის პერსონალურ მონაცემებზე, რაც ხელს უშლის მესამე მხარის მასზე წვდომას.

 იმ პერიოდის განმავლობაში, როდესაც თანამშრომელი დასაქმებულია სამუშაო ადგილზე, ის არ არის პასუხისმგებელი იმ დოკუმენტების არსებობაზე, რომლებიც არასწორად ასახავს კლიენტების პერსონალურ მონაცემებს.

 გათავისუფლების დროს, მოვალეობის გადამზადების დროს და მძიმე მოვალეობის შესრულების დროს, თანამშრომელი მუშაობს სამუშაო ადგილზე, კლიენტების პერსონალური მონაცემების ნაცვლად დოკუმენტების და სხვა მედიის გადაცემის საჭიროების გამო. კერძოდ, ამხანაგობის ადგილობრივი აქტის მიხედვით (მანდატი, დებულება) დაეკისრება Vikonannya მის შრომით ვალდებულებებს.

 თუ ასეთი პირი არ არის დანიშნული, დოკუმენტები და სხვა დოკუმენტები, რომლებიც შეიცავს კლიენტების პერსონალურ მონაცემებს, გადაეცემა უსაფრთხოების სხვა პროვაიდერს, რომელსაც აქვს წვდომა კლიენტების პერსონალურ მონაცემებზე ორგანიზაციის გენერალური დირექტორის მოთხოვნით.

 როდესაც ავტორიზებული აგენტი, რომელსაც აქვს წვდომა კლიენტის პერსონალურ მონაცემებზე, დოკუმენტები და სხვა დოკუმენტები, რომლებიც შეიცავს კლიენტის პერსონალურ მონაცემებს, გადაეცემა სხვა პროვაიდერს, რომელსაც აქვს წვდომა კლიენტის პერსონალურ მონაცემებზე და გენერალური დირექტორის მოთხოვნით.

 გენერალური დირექტორის დადებითი რეზოლუციით სამსახურებრივი ცნობის უკანა მხარეს მინდობილ მენეჯერის განთავსებით, კლიენტის პერსონალურ მონაცემებზე წვდომა შეიძლება მიენიჭოს სხვა თანამშრომელს. კლიენტის პერსონალურ მონაცემებზე წვდომა ორგანიზაციის სხვა წევრების მიერ, თუ მათ არ აქვთ სათანადო ავტორიზებული წვდომა, აკრძალულია.

5.3.9. HR მენეჯერი უზრუნველყოფს:

 პრაქტიკოსების ინფორმირებულობა წინამდებარე რეგულაციებიდან გამოსვლამდე.

 წერილობითი მოთხოვნების აღსრულება კლიენტის პერსონალური მონაცემების კონფიდენციალურობის (კონფიდენციალურობის) და მათი დამუშავების წესების უზრუნველსაყოფად.

 გარე კონტროლი შესვლების დამუშავებაზე კლიენტის პერსონალური მონაცემების დასაცავად.

5.3.10. ორგანიზაციის ელექტრონულ მონაცემთა ბაზებში შენახული კლიენტების პერსონალური მონაცემების დაცვას არასანქცირებული წვდომისგან, ინფორმაციის განადგურებისა და სხვა უკანონო ქმედებებისგან უზრუნველყოფს სისტემის ადმინისტრატორის ინსტრუქტორი.

5.4. პირადი მონაცემების შენახვა:

5.4.1. კლიენტების პერსონალური მონაცემები ქაღალდის ჩანაწერებზე ინახება სეიფებში.

5.4.2. კლიენტების პერსონალური მონაცემები ელექტრონული ფორმით ინახება ორგანიზაციის ლოკალურ კომპიუტერულ ქსელში, კომპანიის გენერალური დირექტორისა და თანამშრომლების პერსონალურ კომპიუტერებში ელექტრონულ საქაღალდეებში და ფაილებში, რომლებიც დაშვებულია კლიენტის პერსონალური მონაცემების დამუშავებამდე. .

5.4.3. კლიენტების პერსონალური მონაცემების შემცველი დოკუმენტები ინახება კარადებში (სეიფებში), რომლებიც ჩაკეტილია არაავტორიზებული წვდომისგან დაცვის უზრუნველსაყოფად. სამუშაო დღის ბოლოს ყველა დოკუმენტი, რომელიც შეიცავს კლიენტების პერსონალურ მონაცემებს, თავსდება კაბინეტებში (სეიფებში), რათა უზრუნველყოფილი იყოს დაცვა არასანქცირებული წვდომისგან.

5.4.4. უზრუნველყოფილია ელექტრონულ მონაცემთა ბაზებზე წვდომის დაცვა, რომლებიც შეიცავს კლიენტების პერსონალურ მონაცემებს:

 ლიცენზირებული ანტივირუსული და ანტი-ჰაკერული პროგრამების ლიცენზირება, რომლებიც ხელს უშლიან ორგანიზაციის ლოკალურ ქსელში უნებართვო შესვლას.

 დამატებითი ღრუბლოვანი ჩანაწერებისთვის წვდომის უფლებების განაწილება.

 პაროლის ორეტაპიანი სისტემა: ლოკალური კომპიუტერული ქსელის დონეზე და მონაცემთა ბაზების დონეზე. პაროლები დგინდება ორგანიზაციის სისტემის ადმინისტრატორის მიერ და ინდივიდუალურად ეცნობება თანამშრომლებს, რომლებსაც აქვთ წვდომა კლიენტების პერსონალურ მონაცემებზე.

5.4.4.1. უნებართვო შესვლა კომპიუტერში, რომელიც შეიცავს კლიენტების პერსონალურ მონაცემებს, დაბლოკილია პაროლით, რომელიც მითითებულია სისტემის ადმინისტრატორის მიერ და არ იწვევს გამჟღავნებას.

5.4.4.2. ყველა ელექტრონული საქაღალდე და ფაილი, რომელიც შეიცავს კლიენტების პერსონალურ მონაცემებს, დაცულია პაროლით, რომელიც დაყენებულია ორგანიზაციის კომპიუტერული უსაფრთხოების ავტორიზებული პროვაიდერის მიერ და ეცნობება სისტემის ადმინისტრატორს.

5.4.4.3. პაროლების შეცვლა შესაძლებელია სისტემის ადმინისტრატორის მიერ მინიმუმ 3 თვეში ერთხელ.

5.4.5. კლიენტის პერსონალური მონაცემების კოპირება და ჩაწერა ნებადართულია, მათ შორის მომსახურების მიზნებისთვის, ორგანიზაციის გენერალური დირექტორის წერილობითი ნებართვით.

5.4.6. კლიენტების პერსონალური მონაცემების შესახებ სხვა ორგანიზაციებისა და პარამეტრების წერილობითი მოთხოვნის შეტანა მოცემულია მხოლოდ თავად კლიენტის წერილობითი თანხმობის შესაბამისად, თუ კანონით სხვა რამ არ არის გათვალისწინებული. დადასტურებები კეთდება წერილობით, ორგანიზაციის ბლანკზე და ისე, რომ კლიენტის პერსონალური მონაცემების კონფიდენციალურობის დაცვას იძლევა.

6. პერსონალური მონაცემების დაბლოკვა, იზოლაცია, გაღატაკება

6.1. პერსონალური მონაცემების დაბლოკვისა და განბლოკვის პროცედურა:

6.1.1. კლიენტების პერსონალური მონაცემების დაბლოკვა ექვემდებარება კლიენტის წერილობით მოთხოვნას.

6.1.2. პერსონალური მონაცემების დაბლოკვა ექვემდებარება პატივისცემას:

6.1.2.2. ყველა პერსონალური მონაცემების დაცვა ნებისმიერი საშუალებით (ელ.ფოსტა, ელ.ფოსტა, მატერიალური ნივთები).

6.1.2.4. კლიენტისთვის გასაგზავნად ქაღალდის დოკუმენტების მიღება და მისი პერსონალური მონაცემების შეცვლა ორგანიზაციის შიდა ჩანაწერებიდან და მათი დაცვა კორუფციისგან.

6.1.3. კლიენტის პერსონალური მონაცემების დაბლოკვა შეიძლება დაუყოვნებლივ მოიხსნას, როგორც ამას მოითხოვს რუსეთის ფედერაციის კანონმდებლობა.

6.1.4. კლიენტის პერსონალური მონაცემების განბლოკვა ექვემდებარება მის წერილობით მოთხოვნას (თუ აშკარად აუცილებელია მისი ამოღება) ან კლიენტის განცხადება.

6.1.5. კლიენტს უფლება აქვს კვლავ დაამუშავოს მისი პერსონალური მონაცემები (საჭიროების შემთხვევაში წაშალოს) და შემდეგ განბლოკოს მისი პერსონალური მონაცემები.

6.2. პერსონალური მონაცემების გამორიცხვისა და შემცირების პროცედურა:

6.2.1. კლიენტის პერსონალური მონაცემების არ იზოლირება ექვემდებარება კლიენტის წერილობით მოთხოვნას, რომელიც უზრუნველყოფს ყველა შეთანხმებული აქტივობის დასრულებას და დარჩენილი ხელშეკრულების დასრულების თარიღს გასული მინიმუმ 5 წლის განმავლობაში.

6.2.2. როდესაც არ არის იზოლირებული, საინფორმაციო სისტემებში პერსონალური მონაცემები იცვლება სიმბოლოების ნაკრებით, რაც შეუძლებელს ხდის პერსონალური მონაცემების შესაბამისობის განსაზღვრას კონკრეტული კლიენტისთვის.

6.2.3. ქაღალდის დოკუმენტები იკარგება, თუ პერსონალური მონაცემები არ არის იზოლირებული.

6.2.4. ორგანიზაცია ვალდებულია უზრუნველყოს პერსონალური მონაცემების კონფიდენციალურობა, როდესაც საჭიროა საცალო ვაჭრობის ტერიტორიაზე საინფორმაციო სისტემების ტესტირება და უზრუნველყოს, რომ პერსონალური მონაცემები არ არის იზოლირებული საცალო ვაჭრობისთვის გადაცემული საინფორმაციო სისტემებისგან.

6.2.5. კლიენტის პერსონალური მონაცემების დაკარგვა უზრუნველყოფს კლიენტის პერსონალურ მონაცემებზე წვდომას.

6.2.6. თუ კლიენტის პერსონალური მონაცემები შეზღუდულია, ორგანიზაციის იურიდიულ გუნდს არ შეუძლია უარი თქვას სუბიექტის პერსონალურ მონაცემებზე წვდომაზე საინფორმაციო სისტემებში.

6.2.7. ქაღალდის დოკუმენტები ინახება მაშინ, როდესაც პერსონალური მონაცემების ნაკლებობაა და პერსონალური მონაცემები საინფორმაციო სისტემებში არ არის დაცული. პერსონალური მონაცემების განახლება შეუძლებელია.

6.2.8. პერსონალური მონაცემების ჩამორთმევის ტრანზაქცია შეთანხმებას არ ექვემდებარება.

6.2.9. ხაზი, კლიენტის პერსონალური მონაცემების შემცირების ნებისმიერი შესაძლო ოპერაციის შემდეგ, მიეთითება ამ დებულების 7.3 პუნქტში მითითებული შევსებული ხაზით.

7. პერსონალური მონაცემების გადაცემა და შენარჩუნება

7.1. პერსონალური მონაცემების გადაცემა:

7.1.1. სუბიექტის პერსონალური მონაცემების გადაცემისას იგულისხმება, რომ გაიზრდება ინფორმაცია საკომუნიკაციო არხებითა და მატერიალური მედიით.

7.1.2. პერსონალური მონაცემების გადაცემისას ორგანიზაციის თანამშრომლები პასუხისმგებელნი არიან შემდეგ შეღავათებზე:

7.1.2.1. არ გაამჟღავნოთ კლიენტის პირადი მონაცემები კომერციული ნიშნით.

7.1.2.2. არ გაუმჟღავნოთ კლიენტის პერსონალური მონაცემები მესამე მხარეს კლიენტის წერილობითი თანხმობის გარეშე, გარდა რუსეთის ფედერაციის ფედერალური კანონით დადგენილი გამონაკლისებისა.

7.1.2.3. გაითვალისწინეთ ის ფაქტი, რომ თქვენ უნდა აირჩიოთ კლიენტის პერსონალური მონაცემები იმ მონაცემების შესახებ, რომლებზეც ეს მონაცემები შეიძლება შეიცვალოს, ნებისმიერი ინფორმაციისთვის და დაადასტუროთ, რომ ეს წესი დაცულია;

7.1.2.4. კლიენტების პერსონალურ მონაცემებზე წვდომის დაშვება მხოლოდ სპეციალურად უფლებამოსილ პირებს, ამ შემთხვევაში პასუხისმგებელ პირს უფლება აქვს წაშალოს კლიენტების ის პერსონალური მონაცემები, რომლებიც აუცილებელია კონკრეტული ფუნქციების განსახორციელებლად.

7.1.2.5. გააგრძელეთ კლიენტის პერსონალური მონაცემების გადაცემა ორგანიზაციაში ამ დებულების, მარეგულირებელი და ტექნოლოგიური დოკუმენტაციისა და გამწვანების ინსტრუქციების შესაბამისად.

7.1.2.6. მიეცით კლიენტს წვდომა მის პერსონალურ მონაცემებზე კლიენტის მოთხოვნის ჩამოტვირთვის ან წაშლისას. ორგანიზაცია ვალდებულია კლიენტს მიაწოდოს ინფორმაცია მის შესახებ პერსონალური მონაცემების ხელმისაწვდომობის შესახებ, აგრეთვე მათი გაცნობის შესაძლებლობა წარდგენის მომენტიდან ათი სამუშაო დღის განმავლობაში.

7.1.2.7. გადასცეს კლიენტის პერსონალური მონაცემები კლიენტის წარმომადგენლებს კანონით დადგენილი წესით და მარეგულირებელი და ტექნოლოგიური დოკუმენტაციით და გამოეყო ეს ინფორმაცია სუბიექტის პერსონალურ მონაცემებთან, რაც აუცილებელია მათი დანიშნული წარმომადგენლების მიერ დასანიშნად.

7.2. პირადი მონაცემების შენახვა და ვიკორასტანია:

7.2.1. პერსონალური მონაცემების შენახვისას იგულისხმება, რომ ჩანაწერები ინახება საინფორმაციო სისტემებში და მატერიალურ მედიაში.

7.2.2. კლიენტების პერსონალური მონაცემები მუშავდება და ინახება ორგანიზაციის საინფორმაციო სისტემებში, ასევე ქაღალდზე. კლიენტების პერსონალური მონაცემები ასევე ინახება ელექტრონული ფორმით: ორგანიზაციის ლოკალურ კომპიუტერულ ქსელში, გენერალური დირექტორის პერსონალურ კომპიუტერში ელექტრონულ საქაღალდეებში და ფაილებში და კლიენტების პერსონალური მონაცემების დამუშავებაზე უფლებამოსილი თანამშრომლებისთვის.

7.2.3. კლიენტის პერსონალური მონაცემების შენახვა აღარ შეიძლება გაგრძელდეს ნებისმიერი დამუშავების საფუძველზე, რომელიც სხვაგვარად არ არის გათვალისწინებული რუსეთის ფედერაციის ფედერალური კანონებით.

7.3. პირადი მონაცემების შენახვის ვადა:

7.3.1. სამოქალაქო-სამართლებრივი ხელშეკრულებების დაცვის პირობები, რომლებიც პატივს სცემენ კლიენტების პერსონალურ მონაცემებს, ასევე მათთან დაკავშირებულ დოკუმენტებს – ხელშეკრულებების დადების მომენტიდან 5 დღე.

7.3.2. პერსონალური მონაცემების შენარჩუნების ტერმინის გამოყენებისას შეუძლებელია რაიმე განსხვავების ან შეზღუდვის ამოცნობა.

7.3.3. ვადის დასრულების შემდეგ, პერსონალური მონაცემების შენახვა შესაძლებელია საინფორმაციო სისტემებში და შენახვა ქაღალდზე რუსეთის ფედერაციის რეგლამენტითა და ოფიციალური კანონმდებლობით დადგენილი წესით. (დამატებითი აქტი პერსონალური მონაცემების გაღატაკების შესახებ)

8. პერსონალური მონაცემების ოპერატორის უფლებები

ორგანიზაციას უფლება აქვს:

8.1. თქვენი ინტერესების დაცვა სასამართლოში.

8.2. კლიენტების პერსონალური მონაცემების მიწოდება მესამე პირებს, როგორც ამას მოქმედი კანონმდებლობა მოითხოვს (გადასახადები, სამართალდამცავი ორგანოები და ა.შ.).

8.3. გთხოვთ გაითვალისწინოთ თქვენი პერსონალური მონაცემები კანონით განსაზღვრულ შემთხვევებში.

8.4. კლიენტის პერსონალური მონაცემების ვიკორიზაცია დაუყოვნებლად, რუსეთის ფედერაციის კანონმდებლობის შესაბამისად.

9. კლიენტის უფლებები

კლიენტს უფლება აქვს:

9.1. გთხოვთ, დააზუსტოთ თქვენი პერსონალური მონაცემები, დაბლოკოთ და შეამციროთ ისინი იმ შემთხვევაში, თუ თქვენი პერსონალური მონაცემები არასწორია, მოძველებული, არაზუსტი, უკანონოდ ჩამორთმეული ან აუცილებელი არ არის დამუშავების მითითებული მიზნისთვის, ასევე კანონით მიღებული მოთხოვნების შესასრულებლად. ჩემი უფლებების დაცვა ;

9.2. ორგანიზაციაში არსებული შეგროვებული პერსონალური მონაცემების Vimagati გადაცემა და მათი წაშლა.

9.3. მიიღეთ ინფორმაცია პერსონალური მონაცემების დამუშავების პირობების, მათ შორის მათი შენახვის პირობების შესახებ.

9.4. გთხოვთ, შეატყობინოთ ყველა იმ პირს, ვინც ადრე იყო ინფორმირებული არასწორი ან ორაზროვანი პერსონალური მონაცემების შესახებ, მათში აღმოჩენილი, შესწორებული ან დამატებული ყველა ხარვეზის შესახებ.

9.5. პერსონალური მონაცემების სუბიექტების უფლებების დასაცავად და სასამართლო განხილვისას პერსონალური მონაცემების დამუშავებისას უკანონო ქმედებებს ან უმოქმედობას მხარს უჭერს უფლებამოსილი ორგანო.

10. პასუხისმგებლობა პერსონალური მონაცემების დამუშავებისა და დაცვის მარეგულირებელი წესების დარღვევისთვის

10.1. ორგანიზაციის თანამშრომლები, რომლებიც პასუხისმგებელნი არიან პერსონალური მონაცემების ჩამორთმევის, დამუშავებისა და დაცვის მარეგულირებელი ნორმების დარღვევაზე, ეკისრებათ დისციპლინური, ადმინისტრაციული, სამოქალაქო და სისხლის სამართლის პასუხისმგებლობა კანონის სრული შემადგენლობით. ორგანიზაცია.

პერსონალური მონაცემების უსაფრთხოება ბანკში

რა არის ეს განსაკუთრებული ხარკი?

ფედერალური კანონის თანახმად, პერსონალური მონაცემები არის ნებისმიერი ინფორმაცია, რომელიც ეცნობება პირს ან მითითებულია ფიზიკური პირის (პერსონალური მონაცემების საგანი) ასეთი ინფორმაციის საფუძველზე, მათ შორის, მისი მეტსახელი, სახელი, მამის, რიკის, თვის მიხედვით. , დაბადების თარიღი და ადგილი, მისამართები, ოჯახი, სოციალური, ქალაქი, განათლება, პროფესია, შემოსავალი, სხვა ინფორმაცია.

სად არის პერსონალური მონაცემები?

პერსონალური მონაცემები (PDN) ბანკიდან ხელმისაწვდომია შემდეგ სისტემებში:

ავტომატური საბანკო სისტემა (ABS);

კლიენტ-ბანკის სისტემები;

პენის გადაცემის სისტემები;

სააღრიცხვო სისტემები;

HR სისტემები;

კორპორატიული საინფორმაციო სისტემა;

შიდა ვებ პორტალი.

PDN შეიძლება წარმოდგენილი იყოს ქაღალდის დოკუმენტებზე (შეთანხმებები, ფორმები, ინსტრუქციები, ინსტრუქციები, კითხვარები და ა.შ.).

რა დოკუმენტები შეიძლება დამონტაჟდეს პერსონალური მონაცემების დასაცავად?

ფედერალური კანონები

2006 წლის 27 ივნისის ფედერალური კანონი No149-FZ „ინფორმაციის, საინფორმაციო ტექნოლოგიებისა და ინფორმაციის დაცვის შესახებ“;

გადაწყვიტე შეკვეთა

რუსეთის ფედერაციის 2007 წლის 17 ნოემბრის №781 ბრძანების დადგენილება „პერსონალური მონაცემების საინფორმაციო სისტემებში მათი დამუშავებისას პერსონალური მონაცემების უსაფრთხოების შესახებ დებულებების დადასტურების შესახებ“;

რუსეთის ფედერაციის 2007 წლის 29 აპრილის №957 ბრძანების დადგენილება „დაშიფვრის (კრიპტოგრაფიული) მეთოდებთან დაკავშირებული საქმიანობის გარკვეული სახეობების ლიცენზირების დამტკიცების შესახებ“;

რუსეთის ფედერაციის 2008 წლის 15 ივნისის №687 ბრძანების დადგენილება „პერსონალური მონაცემების დამუშავების სპეციფიკის შესახებ დებულებების დადასტურების შესახებ, რომელიც მუშაობს ავტომატიზაციის მეთოდების გამოყენების გარეშე“.

რუსეთის FSTEC

რუსეთის FSTEC, რუსეთის FSB და რუსეთის კომუნიკაციების სამინისტროს საბოლოო ბრძანება 2008 წლის 13 თებერვლით. No55/86/20 „პერსონალური მონაცემების საინფორმაციო სისტემების კლასიფიკაციის პროცედურის დამტკიცების შესახებ“;

რუსეთის FSTEC-ის ძირითადი დოკუმენტი „პერსონალური მონაცემების უსაფრთხოების საფრთხის ძირითადი მოდელი საინფორმაციო სისტემებში პერსონალური მონაცემების დამუშავებისას“;

რუსეთის FSTEC-ის ძირითადი დოკუმენტი „პერსონალური მონაცემების საინფორმაციო სისტემებში დამუშავებისას პერსონალური მონაცემების უსაფრთხოებისთვის არსებული საფრთხეების იდენტიფიცირების მეთოდოლოგია“;

რუსეთის FSTEC-ის ბრძანება 2010 წლის 5 თებერვლით. No58 „პერსონალურ ინფორმაციაში ინფორმაციის მეთოდებისა და დაცვის შესახებ დებულების დამტკიცების შესახებ“.

რუსეთის FSB

FAPSI-ის ბრძანება, დათარიღებული 2001 წლის 13 ივნისით No152 „არხებით შენახვის, დამუშავებისა და გადაცემის ორგანიზაციისა და უსაფრთხოების შესახებ ინსტრუქციების დამტკიცების შესახებ ინფორმაციის კრიპტოგრაფიული დაცვის სხვადასხვა მახასიათებლებთან დაკავშირებით საერთო წვდომით, რათა არ ჩაერიოს ინფორმაციაში, რა უნდა დადგინდეს სუვერენული ციხე“;

რუსეთის ფედერაციის FSB 2005 წლის 9 თებერვლის ბრძანება. No66 „ინფორმაციის დაცვის დაშიფვრის (კრიპტოგრაფიული) მახასიათებლების შემუშავების, შემუშავების, დანერგვისა და ექსპლუატაციის შესახებ დებულების დამტკიცების შესახებ (ფორმირება PKZ-2005)“;

რუსეთის FSB-ის ოფიციალური დოკუმენტი 2008 წლის 21 თებერვლით. No149/54-144 „მეთოდოლოგიური რეკომენდაციები პერსონალური მონაცემების უსაფრთხოების უზრუნველსაყოფად კრიპტოგრაფიული მეთოდებით მათი დამუშავებისას პერსონალურ მონაცემთა საინფორმაციო სისტემებში სხვადასხვა ავტომატიზაციის მეთოდების გამოყენებით“;

რუსეთის FSB-ის ოფიციალური დოკუმენტი 2008 წლის 21 თებერვლით. No149/6/6-622 „ინფორმაციის დასაცავად განკუთვნილი დაშიფვრის (კრიპტოგრაფიული) ფუნქციების ორგანიზებისა და ფუნქციონირების უზრუნველსაყოფად ტიპიური მეთოდები, რათა არ მოხდეს ჩანაწერების გადაადგილება სახელმწიფო საიდუმლო ადგილად, ამავე დროს. დრო ეს არის გზამკვლევი თქვენი პერსონალური მონაცემების უსაფრთხოების უზრუნველსაყოფად პერსონალური მონაცემების საინფორმაციო სისტემებში დამუშავებისას“;

რუსეთის სტანდარტული ბანკი

STO BR IBBS-1.0-2010 რუსეთის ფედერაციის საბანკო სისტემის ორგანიზაციის ინფორმაციული უსაფრთხოება. ზაგალნის თანამდებობა“;

STO BR IBBS-1.1-2007 რუსეთის ფედერაციის საბანკო სისტემის ორგანიზაციის ინფორმაციული უსაფრთხოება. ინფორმაციული უსაფრთხოების აუდიტი“;

STO BR IBBS-1.2-2010 „რუსეთის ფედერაციის საბანკო სისტემის ორგანიზაციის ინფორმაციული უსაფრთხოება. რუსეთის ფედერაციის საბანკო სისტემის ორგანიზაციის მიერ ინფორმაციული უსაფრთხოების სანდოობის შეფასების მეთოდოლოგია STO BR IBBS-1.0-20xx“;

RS BR IBBS-2.0-2007 „რუსეთის ფედერაციის საბანკო სისტემის ორგანიზაციის ინფორმაციული უსაფრთხოება. ინფორმაციული უსაფრთხოების სფეროში დოკუმენტაციის მეთოდოლოგიური რეკომენდაციები შეესაბამება STO BR IBBS-1.0"-ის შესაძლებლობებს;

RS BR IBBS-2.1-2007 „რუსეთის ფედერაციის საბანკო სისტემის ორგანიზაციის ინფორმაციული უსაფრთხოება. სახელმძღვანელო ინფორმაციული უსაფრთხოების სანდოობის თვითშეფასების შესახებ რუსეთის ფედერაციის საბანკო სისტემის ორგანიზაციაში STO BR IBBS-1.0“ შესაძლებლობების გამოყენებით;

RS BR IBBS-2.3-2010 „რუსეთის ფედერაციის საბანკო სისტემის IB ორგანიზაციის უსაფრთხოება. როგორ უზრუნველვყოთ პერსონალური მონაცემების უსაფრთხოება რუსეთის ფედერაციის საბანკო სისტემის ორგანიზაციის პერსონალური მონაცემების საინფორმაციო სისტემებში";

RS BR IBBS-2.4-2010 „რუსეთის ფედერაციის საბანკო სისტემის IB ორგანიზაციის უსაფრთხოება. რუსეთის ფედერაციის საბანკო სისტემის ბანკების ორგანიზაციის PD-ს საინფორმაციო სისტემებში პერსონალური მონაცემების უსაფრთხოების საფრთხის შესახებ გალუზევის პირადი მოდელი.

მეთოდური რეკომენდაციები იმის უზრუნველსაყოფად, რომ კანონმდებლებს შეეძლოთ პერსონალური მონაცემების დამუშავება RF BS ორგანიზაციებში, რომლებიც იყოფა ერთ ნაწილად რუსეთის ბანკის, ARB და რუსეთის რეგიონალური ბანკების ასოციაციის მიერ (ასოციაცია "Ros Iya").

როგორ დავიცვათ პირადი მონაცემები?

ექვემდებარება PDN-ის დაცვის ყველა შესაძლო მეთოდოლოგიურ დოკუმენტს, რომელიც აუცილებელია ყველა ტიპის ISPDN-ისთვის, მათ შორის შემდეგი ქვესისტემებისთვის:

წვდომის კონტროლის ქვესისტემა;

აღრიცხვისა და შენახვის ქვესისტემა;

მთლიანობის უზრუნველყოფის ქვესისტემა;

სასაზღვრო უსაფრთხოების ქვესისტემა.

თუ ISPD დაკავშირებულია ინტერნეტთან, აუცილებელია შემდეგი ქვესისტემების ადეკვატური მონიტორინგი:

ანტივირუსული უსაფრთხოების ქვესისტემა;

შეჭრის აღმოჩენის ქვესისტემა;

უსაფრთხოების ანალიზის ქვესისტემა.

ასევე აუცილებელია ელექტრონული საკეტების ან/და ელექტრონული გასაღებების გამოყენება დამჭერების საიმედო იდენტიფიკაციისა და ავთენტიფიკაციისთვის.

ვინაიდან ISPD ნაწილდება დამატებით გზაზე არაავტორიზებული წვდომის თავიდან ასაცილებლად, საიდუმლო ხელმისაწვდომობისგან დაცული ინფორმაციის განცალკევების მიზნით, აუცილებელია კრიპტოგრაფიის ვიკორიზაცია, როდესაც გადასცემს პერსონალურ მონაცემებს დაუცველ არხებზე, ისევე როგორც EDS, დასადასტურებლად. მონაცემების სისწორე.

ასეთი დაყოფა ქვესისტემებად და მათ საფუძველზე ჩამოსხმა, პროდუქტების გადატანა PDN-ის დასაცავად ინჰალირებულია და გამოიყენება უმეტეს შემთხვევაში.

რატომ არის საჭირო კონკრეტული მონაცემების დაცვა?

თუ მონაცემები დაცულია PDN-ის კონფიდენციალურობისაგან, აუცილებელია შეიტანოთ და/ან გამოიყენოთ ტექნიკური მახასიათებლები, რომლებიც მიმართულია არაავტორიზებული წვდომის თავიდან ასაცილებლად, მაშინ ასეთი ISPD ხდება სტანდარტი.

გარდა ამისა, შესაძლებელია ინფორმაციული უსაფრთხოების სხვა ორგანოების უზრუნველყოფა, როგორიცაა მთლიანობის, ხელმისაწვდომობის უზრუნველყოფა, ასევე მსგავსი (უხილავობა, კონფიდენციალობა, ადეკვატურობა და ა.შ.) ეს მართალია), მაშინ ასეთი ISPD ხდება განსაკუთრებული. უმეტეს შემთხვევაში, ISPD იქნება სპეციალური, ასე რომ, გარდა PDN კლასებისა, დაცვის მექანიზმების განსაზღვრის მიზნით, აუცილებელია საფრთხის ამ მოდელის გადაწყვეტის შექმნა.

იაკ ზმენშიტი კლასი PDN?

იმისათვის, რომ შეცვალოთ და აპატიოთ, გადადით PDN-ის დაცვაზე, ბანკები ხრიკების წყალობაზე არიან. ქვემოთ ჩამოვთვლი ტიპურ მეთოდებს, რომლებიც საშუალებას გაძლევთ შეცვალოთ დაცვის მახასიათებლების მრავალფეროვნება. თავისთავად დაიცავით ბანკის საინფორმაციო სისტემების „გადახაზვა“ რთულ და შრომატევად ამოცანებს.

მაიდანების რაოდენობის ცვლილება

როგორც აჩვენა, რომ ISPD იყოფა, მაშინ ბოლომდე შეიცვლება შესაძლებლობები, მათი შესაცვლელად აუცილებელია ISPD-ის დანაყოფების აღმოფხვრა.

ISPD-ის განაწილებისას, PDN განლაგებულია სხვადასხვა პლატფორმაზე, PDN გადაიცემა ბანკის მიერ არ კონტროლირებული საკომუნიკაციო არხებით და ფარული გზით, ეს ნიშნავს, რომ PDN ტოვებს ან ართმევს კონტროლირებად ზონას. შემდეგ, უპირველეს ყოვლისა, აუცილებელია PDN-ის ლოკალიზაცია, მაიდანების რაოდენობის შეცვლით, რომლებიც სუნი იქნება. ზოგიერთ შემთხვევაში, ეს ნამდვილად არ არის შესაძლებელი, მაგრამ თუ თქვენ ხედავთ ABS, მაშინ არ იქნება ასეთი ტევადობა, რაც უკეთესია ყველაფრისთვის.

სერვერების რაოდენობის შეცვლა

ვინაიდან ISPD არის ლოკალური და მოქმედებს ბანკის ადგილობრივ საზღვრებში, დახარჯული თანხის შეცვლის ყველაზე მარტივი გზა არის სერვერის აღჭურვილობის რაოდენობის შეცვლა, რომელზედაც გაიცემა PDN.

ავტომატური სამუშაო სადგურების და პერსონალის რაოდენობის ცვლილება

ნებისმიერი ტიპის ISPD-ისთვის (ავტომატური სამუშაო ადგილის სახით, ლოკალური, განაწილებული) PDN-ის ბოლომდე დამუშავება ჩვეულებრივ ხორციელდება ბანკის პერსონალის მიერ. თუ არ იყენებთ ტერმინალის წვდომას, რაზეც ქვემოთ იქნება განხილული, ამან შეიძლება შეიცვალოს ბანკის პერსონალის რაოდენობა, რომლებიც ამუშავებენ პერსონალურ მონაცემებს ან აქვთ მათზე წვდომა.

Podil ІС MSE-ს დახმარებისთვის

PDN-ის რაოდენობის შესაცვლელად და შესაბამისად დაცვის ფუნქციების ხარისხის შესაცვლელად, საუკეთესო გზაა ინფორმაციის დაყოფა სეგმენტებად, რომლებშიც მუშავდება PDN. ამ მიზნით აუცილებელია მარგინალური ეკრანების დაყენება და ვიკორიზაცია და PDN-დან სეგმენტების დამატება ნებისმიერი კვალის პორტებში. ხშირად, ყველა სერვერი განლაგებულია დემილიტარიზებულ ზონაში, ან უკანონოდ მისაწვდომი და საბანკო ზონების გაძლიერებულ სეგმენტებში სასაზღვრო ეკრანებს შორის. ეს მეთოდი ასევე ხელს უწყობს ინფორმაციის საზღვრების თანდაყოლილ „გადახურვას“. მეთოდი ეფუძნება ეგრეთ წოდებულ „ხაზოვან დაშიფვრას“, ისე, რომ კლიენტი-კლიენტი, კლიენტ-სერვერი, სერვერ-სერვერი დაშიფრული არხია. ურთიერთდაკავშირებული ტრაფიკის ასეთი დაშიფვრა შეიძლება განხორციელდეს უსაფრთხოების სპეციალური ფუნქციების ან სტანდარტული IPSec ტექნოლოგიის გამოყენებით, თუმცა, ის არ არის დამოწმებული რუსეთის FSB-ს მიერ, რაც არსებითად მინუსია.

ISPD-ის გამოყენების კიდევ ერთი გზა მთელი ქსელის მასშტაბით შეიძლება იყოს ვირტუალური ქსელების ტექნოლოგია - VLAN, ფაქტობრივად, VLAN არის მხოლოდ იდენტიფიკატორი ქსელის პაკეტის ერთ-ერთ ველში, რომელიც საშუალებას გვაძლევს ვისაუბროთ ამ ტექნოლოგიაზე როგორც ” საინფორმაციო ტექნოლოგია". ამიტომ მეორადი VLAN-ის დაყოფა არ იწვევს ინფორმაციულ უსაფრთხოებას თანამედროვე ტექნოლოგიების გამოყენების გამო.

მონაცემთა ბაზები დაყავით ნაწილებად

დავუშვათ, რომ არსებობს მონაცემთა ბაზა, რომელიც შედგება ათასობით ჩანაწერისგან: P.I.B. რომ თანხის შესატანად.

ჩვენ ვქმნით ორ სხვა მონაცემთა ბაზას. შეიყვანეთ თქვენი დამატებითი უნიკალური იდენტიფიკატორი. ცხრილი გავყოთ ორ ნაწილად, პირველში განვათავსებთ ველებს P.I.B და იდენტიფიკატორი, მეორეში განვათავსებთ იდენტიფიკატორს და დეპოზიტის თანხას.

ამრიგად, ვინაიდან უცხო ქვეყნის მოქალაქეს შეუძლია შექმნას მხოლოდ ერთი ახალი მონაცემთა ბაზა, PDN დაცვა სრულიად დავიწყებული იქნება, რადგან ის აღარ შეიქმნება. ცხადია, ასეთი მონაცემთა ბაზის ღირებულება არსებითად დაბალია და ნაკლებად ხელმისაწვდომი. შეურაცხმყოფელი მონაცემთა ბაზები გადაიცემა ყველაზე უსაფრთხო სერვერზე. სინამდვილეში, მონაცემთა ბაზაში გაცილებით მეტი ველია, ამიტომ ეს პრინციპი შეიძლება გამოყენებულ იქნას პრაქტიკულად კანის დაზიანებებზე, რადგან უსაფრთხოების თვალსაზრისით მნიშვნელოვანი ველების რაოდენობა არც ისე დიდია, არამედ უფრო ვიწროა. საზღვარზე შეგიძლიათ შეინახოთ ძირითადი ტიპები თქვენს კომპიუტერში, ასე რომ არ დაგჭირდეთ ადგილობრივ ქსელში შესვლა ან ავტომატური დამუშავების თავიდან აცილება.

ცალკე PDN

152-FZ დებულებების გათვალისწინებით, პერსონალური მონაცემების იზოლაცია არის მათთვის, რომლებშიც შეუძლებელია პერსონალური მონაცემების მიკუთვნების დადგენა კონკრეტული პერსონალური მონაცემების სუბიექტისთვის. აქედან გამომდინარეობს მეთოდების სერია, რომელთა გარდა შესაძლებელია პერსონალური მონაცემების ამოღება, რომლის გამოყენებაც შეუძლებელია პერსონალურ მონაცემებზე საკუთრების დასადგენად. მაგალითად, რადგან დამუშავების მიზნებისთვის სუნიანი ველების ზუსტი მონაცემები არ არის მნიშვნელოვანი, ისინი შეიძლება არ იყოს ნაჩვენები ან გამოჩნდეს მხოლოდ იმ დიაპაზონში, სადაც სუნი მოიხმარება. მაგალითად, 20-30 საუკუნე, 30-40 და ა.შ. მისამართი შეიძლება "დამრგვალდეს" რაიონში, ოკრუგში ან ქალაქზე: ცარიცინო, პივდენი, მოსკოვი. რა თქმა უნდა, PDN-ის დეიზოლირების პროცესი შეიძლება იყოს შეთანხმებული ან დაუსაბუთებელი. გარდაუვალია, არსებობს "დამრგვალების" უფრო მეტი მეთოდი და პირიქით, მაგალითად, დაშიფვრა. ჩემი აზრით, დაშიფვრა (დაშიფვრა) შეიძლება იყოს მონაცემთა გამიჯვნის საშუალება და შეიძლება გამოყენებულ იქნას ამ მიზნებისთვის.

თხელი კლიენტები და ტერმინალის წვდომა

სერვერებზე თხელი კლიენტის ტექნოლოგიისა და ტერმინალის წვდომის მსგავსი ტექნოლოგიის გამოყენება შესაძლებელს ხდის მნიშვნელოვნად შეამციროს მონაცემთა დაკარგვის რისკი. მარჯვნივ, „თხელი“ კლიენტების გამოყენებით და ბანკის მომხმარებლების კომპიუტერებზე ტერმინალის წვდომით, ბანკს არ სჭირდება სპეციალიზებული პროგრამული უზრუნველყოფის დაყენება, როგორიცაა მონაცემთა ბაზის კლიენტის ნაწილები, ABS კლიენტის ნაწილები და ა.შ. გარდა ამისა, ბანკს არ სჭირდება სპეციალური უსაფრთხოების მახასიათებლების დაყენება ბანკის თანამშრომლების კომპიუტერებზე. ეს ტექნოლოგიები საშუალებას გაძლევთ აჩვენოთ თქვენს დესკტოპზე ინფორმაცია სერვერებზე შენახული მონაცემთა ბაზებიდან და მართოთ პერსონალური მონაცემების დამუშავება. ეს ტექნოლოგიები აპრიორი უსაფრთხოა, რადგან ტერმინალის პოლიტიკა ადვილად ზღუდავს ტერმინალის კლიენტების (ბანკის პერსონალის) შესაძლებლობებს კოპირება და შემდგომში გაფართოების PDN. საკომუნიკაციო არხი სერვერებსა და კომპიუტერებს შორის "თხელ კლიენტთან" ადვილად შეიძლება იყოს დაშიფრული, ასე რომ, მარტივი გზებით შეგიძლიათ უზრუნველყოთ გადაცემული მონაცემების კონფიდენციალურობა.

მონაცემთა პოტენციური ნაკადების სითხე ერთმანეთთან არის დაკავშირებული მხოლოდ ვიზუალური არხით, რაც მიუთითებს კამერის ან ვიდეოკამერის სითხეში, მაგრამ სპეციალური ორგანიზაციული ნაბიჯების დანერგვით, ასეთი კოპირება კიდევ უფრო მნიშვნელოვანი ხდება.

როგორ შეგიძლიათ მოიპაროთ სპეციალური ხარკი?

უსაფრთხოების განცდა არაავტორიზებული წვდომისგან მოიცავს ორგანიზაციული და ტექნიკური ნაბიჯების კომპლექსს. ეს შესვლა ექვემდებარება გონივრულ მექანიზმებს სხვადასხვა დონეზე არაავტორიზებული წვდომის თავიდან ასაცილებლად:

იდენტიფიკაცია და ავთენტიფიკაცია (ასევე ორფაქტორიანი ან მკაცრი). ეს შეიძლება იყოს (ოპერაციული სისტემა, ინფრასტრუქტურის პროგრამული უზრუნველყოფა, აპლიკაციის პროგრამული უზრუნველყოფა, აპარატურა, მაგალითად, ელექტრონული გასაღებები);

რეგისტრაცია და გამოჩენა. ეს შეიძლება განხორციელდეს ყველა ზედაზღვევის სისტემაში, პროგრამულ უზრუნველყოფასა და პროცესებში ლოგინგით (ლოგირება, პროტოკოლი);

მთლიანობის უზრუნველყოფა. ეს შეიძლება მოიცავდეს კონტროლირებადი ფაილების საკონტროლო თანხების დაცვას, პროგრამული უზრუნველყოფის კომპონენტების მთლიანობის უზრუნველყოფას, დახურული პროგრამული გარემოს დაცვას და ასევე სანდო OS-ის უსაფრთხოების უზრუნველყოფას;

შუალედური ეკრანი, როგორც კარიბჭის ეკრანი, და ადგილობრივი;

ანტივირუსული უსაფრთხოება (შედგება თავდაცვის სამ დონემდე, ეშელონური დონის ან მრავალპროვაიდერის მიდგომისგან);

კრიპტოგრაფია (ფუნქციურად ფუნქციონირებს OSI მოდელის სხვადასხვა დონეზე (ინტერფეისი, ტრანსპორტი და ა.შ.) და უზრუნველყოფს სხვადასხვა ფუნქციონალურობას).

არსებობს მთელი რიგი კომპლექსური პროდუქტები, რომლებიც შეიძლება ექვემდებარებოდეს ბოდიშს NSD ფუნქციონირებისთვის. ყველა მათგანი დიფერენცირებულია სტაგნაციის ტიპების, საკუთრების მხარდაჭერის, პროგრამული უზრუნველყოფის და განხორციელების ტოპოლოგიის მიხედვით.

როდესაც იყოფა ან დაკავშირებულია ინტერნეტის მასშტაბით (ინტერნეტი, როსტელეკომი და ა.შ.) ISPD, უსაფრთხოების ანალიზის პროდუქტები (MaxPatrol Positive Technologies-დან, რომელსაც არ ჰყავს პირდაპირი კონკურენტები რუსეთის ფედერაციაში), ასევე დადგინდა, რომ არ არის შემოჭრილი. (IDS/IPS) – როგორც კარიბჭის ტოლი და ბოლო კვანძის ტოლი.

როგორ შემიძლია გადმოვცე სპეციალური ხარკი?

ვინაიდან IPDN განაწილებულია, ეს ნიშნავს, რომ აუცილებელია PDN-ის გადაცემა დაუცველი საკომუნიკაციო არხებით. მეტყველებაზე, დაუცველ არხზე არის „შოკები“. PDn-ის დასაცავად, არხების დამაკავშირებელი გამოყენება შესაძლებელია სხვადასხვა გზით:

საკომუნიკაციო არხის დაშიფვრა. თქვენ შეგიძლიათ დაიცვათ იგი ნებისმიერი გზით, როგორიცაა VPN კარიბჭეებს შორის, VPN სერვერებს შორის, VPN სამუშაო სადგურებს შორის (InfoTecs ViPNet Custom, Informzakhist APKSH Continent და ა.შ.);

MPLS პაკეტის გადართვა. პაკეტების გადაცემა ხორციელდება სხვადასხვა გზით იმ ნიშნების მიხედვით, რომლებიც მინიჭებულია საზღვრებზე. MPLS-Meshzhaza MAH სერთიფიკატის შემდეგ Vidpovly, the Merei Pacific Romatatsiy Koimogami, ინფორმაცია Bezpeki FSTEK ROSICH, SO გატაცებული მორჩილების გარანტი, Scho ძირითადი ძირითადი;

დოკუმენტების დაშიფვრა. მონაცემთა ფაილების, ასევე კონტეინერების ფაილების დაშიფვრისთვის შეიძლება გამოყენებულ იქნას უსაფრთხოების სხვადასხვა პროგრამები (ViPNet SafeDisk, InfoWatch CryptoStorage, True Crypt და ა.შ.);

არქივების დაშიფვრა. შეიძლება არსებობდეს სხვადასხვა არქივი, რომელიც საშუალებას გაძლევთ დაარქივოთ და დაშიფროთ ფაილები კრიპტოუსაფრთხო ალგორითმების გამოყენებით, როგორიცაა AES. (WinRAR, WinZIP, 7-ZIP და ა.შ.).

გჭირდებათ ჯანმრთელობის დაცვის სერტიფიცირებული სერვისების მიღება?

დღეს რუსეთის FSTEC-ს მხოლოდ ერთი სარგებელი აქვს პერსონალური მონაცემთა დაცვის მახასიათებლების დამოწმებისთვის. თუ არადეკლარირებული შესაძლებლობების მე-4 დონე უჭირს, დანარჩენ საკვებს სამ ქულას ვაძლევ:

უსაფრთხოების სამსახურების სერტიფიცირების სისტემა;

საკმარისია visconati vimogi კანონმდებლობა;

არ არის საჭირო პერსონალური მონაცემების საინფორმაციო სისტემის რეესტრით დამოწმება.

შაურო ევგენი

მსგავსი დოკუმენტები

კანონმდებლები პერსონალური მონაცემების დაცვას ჩასაფრებულები არიან. ინფორმაციული უსაფრთხოების საფრთხეების კლასიფიკაცია. ინდივიდუალური მონაცემთა ბაზა. მოწყობილობები და საფრთხეების ჯართი საწარმო. PEOM დაცვის სისტემის ძირითადი პროგრამული და ტექნიკური მახასიათებლები. ბეზპეკოვის ძირითადი პოლიტიკა.

სადიპლომო ნამუშევარი, დამატება 06/10/2011


გამოიწვიოს პერსონალური მონაცემების უსაფრთხოების სისტემის შექმნა. ინფორმაციული უსაფრთხოების საფრთხეები. Dzherela-ს არაავტორიზებული წვდომა ISPDn-ზე. პერსონალური მონაცემების საინფორმაციო სისტემების კონტროლი. მოკალი ზაჰისტი. უსაფრთხოების პოლიტიკა.

საკურსო სამუშაო, დაამატეთ 07.10.2016წ


განაწილებული საინფორმაციო სისტემის სტრუქტურისა და მისგან შეგროვებული პერსონალური მონაცემების ანალიზი. შეარჩიეთ ძირითადი მიდგომები და მეთოდები, რათა უზრუნველყოთ პერსონალური მონაცემების უსაფრთხოება მიმდინარე საფრთხეებისგან. ანაზღაურება პროექტის შექმნისა და მხარდაჭერისთვის.

სადიპლომო ნამუშევარი, დაამატეთ 07/01/2011


საწარმოში კონტროლის სისტემა და წვდომის მართვა. შეგროვებული ინფორმაციის ანალიზი და ISPD-ის კლასიფიკაცია. ACS VAT "MMZ"-ის პერსონალური მონაცემების საინფორმაციო სისტემაში პერსონალური მონაცემების დამუშავებისას მათი უსაფრთხოების საფრთხის მოდელის შესწავლა.

სადიპლომო ნამუშევარი, დაამატეთ 04/11/2012


კომპიუტერული კლასში დაყენებული პერსონალური მონაცემების საინფორმაციო სისტემის აღჭურვის ძირითადი ტექნიკური გადაწყვეტილებების აღწერა. ანტივირუსული დაცვის ქვესისტემა. გთხოვთ, მოემზადოთ ინფორმაციის უსაფრთხოების ფუნქციების დანერგვამდე.

კურსის მუშაობა, დაამატეთ 09/30/2013


დოკუმენტირებული ინფორმაციის საიდუმლოება და უსაფრთხოება. ორგანიზაციის საქმიანობასთან დაკავშირებული პერსონალური მონაცემების სახეები. მათ კონტროლს ექვემდებარება უსაფრთხოების სფეროში კანონმდებლობის განვითარება. რუსეთის ფედერაციის ინფორმაციული უსაფრთხოების უზრუნველყოფის მეთოდები.

პრეზენტაცია, დამატება 15.11.2016წ


ინფორმაციული უსაფრთხოების რისკების ანალიზი. არსებული და დაგეგმილი დაცვის მახასიათებლების შეფასება. ორგანიზაციული ნაბიჯების ერთობლიობა ინფორმაციული უსაფრთხოების უზრუნველსაყოფად და საწარმოს ინფორმაციის დაცვაზე. პროექტის განხორციელების საკონტროლო მაგალითი და აღწერა.

სადიპლომო ნამუშევარი, დაამატეთ 19.12.2012წ


მარეგულირებელი და სამართლებრივი დოკუმენტები ინფორმაციული უსაფრთხოების სფეროში რუსეთში. საინფორმაციო სისტემების საფრთხეების ანალიზი. კლინიკის პერსონალური მონაცემების დაცვის სისტემის ორგანიზაციის მახასიათებლები. ავთენტიფიკაციის სისტემის დანერგვა ელექტრონული გასაღებების გამოყენებით.

სადიპლომო ნამუშევარი დაუმატეთ 31.10.2016წ


კულისებში არსებული ინფორმაცია საწარმოს საქმიანობის შესახებ. ინფორმაციული უსაფრთხოების ობიექტები ბიზნესისთვის. განაგრძეთ და დაიცავით თქვენი ინფორმაცია. მონაცემთა კოპირება ჩანაცვლების მიზნით. შიდა სარეზერვო სერვერის ინსტალაცია. IB სისტემის განახლების ეფექტურობა.

რობოტის კონტროლი, დაამატეთ 08/29/2013


მთავარი საფრთხე ინფორმაციაა. მე მესმის, მეთოდი არის მონაცემთა დაცვის უზრუნველყოფა. ვიმოგი სისტემა ზახისტუ. საინფორმაციო ბაზაში ავტორიზაციის მექანიზმი სპეციფიკურია მომხმარებლის ტიპისთვის. ადმინისტრატორის მუშაობა უსაფრთხოების სისტემასთან.

ეს განსაკუთრებით საჭირო გახდა უცხოური კომპანიების რუსული კომპანიებისთვის მე-18 მუხლის მე-5 ნაწილის 152-FZ „პერსონალური მონაცემების შესახებ“ დამატებასთან დაკავშირებით: „...საჩივრის ოპერატორი უზრუნველყოფს ჩაწერას, სისტემატიზაციას, დაგროვებას, შენახვას, დაზუსტებას. (განახლება, შეცვლა) , იძულებითი პირადი დეტალებირუსეთის ფედერაციის თემები შემდეგი მონაცემთა ბაზებით, რომლებიც მდებარეობს რუსეთის ფედერაციის ტერიტორიაზე. . კანონს რამდენიმე დამნაშავე ჰყავს, მაგრამ ერთი წუთით, მარეგულირებლის მიერ ხელახალი გადამოწმების მომენტში ვისურვებდი, რომ დედა უფრო სანდო იყოს, მაგრამ „ჩვენ არ გვაინტერესებს“.

ქურდების სასჯელი კიდევ უფრო მძიმეა. ონლაინ მაღაზიები, სოციალური ქსელები, საინფორმაციო საიტები, დაკავშირებული სხვა ბიზნესები ინტერნეტინებისმიერ შემთხვევაში, საზედამხედველო ორგანოების მხრიდან პრეტენზიები შეიძლება რეალურად დაიხუროს. არ არის გამორიცხული, რომ პირველი გადასინჯვისას მარეგულირებელმა ერთი საათი მისცეს ხარვეზების აღმოსაფხვრელად, წინააღმდეგ შემთხვევაში ვადა დარეგულირდება. თუ პრობლემა არც კი სწრაფად მოგვარდება (მნიშვნელოვანია მისი გადაჭრა წინასწარი მომზადების გარეშე), პრობლემები აღარ ანაზღაურდება. საიტების დაბლოკვა არ იწვევს მხოლოდ გაყიდვების შეჩერებას, რაც ნიშნავს ბაზრის სივრცის დაკარგვას.

ოფლაინ კომპანიებისთვის PDN-ის შესახებ კანონის დამრღვევთა „შავ სიაში“ გამოჩენა ნაკლებად დრამატულია. ეს იწვევს რეპუტაციის რისკებს, რაც რეალური ფაქტორია უცხოური კომპანიებისთვის. გარდა ამისა, ამავდროულად, არ შეიძლება დაიკარგოს ისეთი სახის საქმიანობა, რომელიც არანაირად არ ეხება პერსონალური მონაცემების დაცვას. საბანკო საქმიანობა, ვაჭრობა, წარმოება - ყველა ფუნქციონირებს კლიენტთა ბაზაზე და, შესაბამისად, ექვემდებარება იმავე კანონებს.

აქ მნიშვნელოვანია გვესმოდეს, რომ საკვები არ შეიძლება ჩაითვალოს იზოლირებულად კომპანიის შუაგულში. PDN დაცვა ვერ შეუშლის ხელს სერვერებზე სერტიფიცირებული უსაფრთხოების მახასიათებლების დაყენებას და სეიფში ქაღალდის ბარათების დაბლოკვას. პერსონალურ მონაცემებს აქვს მრავალი შესვლის წერტილი კომპანიაში - გაყიდვები, HR, მომხმარებელთა მომსახურება, ასევე წინა ხაზის ცენტრები, შესყიდვის საკომისიოები და სხვა ქვედანაყოფები. PDN დაცვის მენეჯმენტი რთული პროცესია, რომელიც მოიცავს IT, დოკუმენტების მართვა, რეგულაციები, იურიდიული რეგისტრაცია

მოდით შევხედოთ რა არის საჭირო ასეთი პროცესის დასაწყებად და შესანარჩუნებლად.

ყველა ხარკი პირადად ითვლება

მკაცრად აშკარაა, იქნება ეს ნებისმიერი ინფორმაცია, რომელიც შეიძლება პირდაპირ ან ირიბად გადაეცეს კონკრეტულ ფიზიკურ პირს - მათ შორის პერსონალურ მონაცემებს. გთხოვთ პატივი სცეს, ჩვენ ვსაუბრობთ ადამიანებზე და არა იურიდიულ პირებზე. შესვლისთვის საკმარისია მიუთითოთ თქვენი პირადი მისამართი და საცხოვრებელი მისამართი, რათა დაიწყოს ამ (ასევე მათთან დაკავშირებული) მონაცემების დაცვა. არანაკლებ მნიშვნელოვანია, რომ ელექტრონული ფურცლის ამოღება, რომელიც შეიცავს პერსონალურ მონაცემებს, რომლებიც გამოჩნდება ხელმოწერისა და ტელეფონის ნომრის სახით, არ გამოიწვევს მათ მოპარვას. საკვანძო ტერმინი: „პერსონალური მონაცემების შეგროვების გაგება“. „პერსონალური მონაცემების შესახებ“ კანონის რიგი მუხლების კონტექსტის გასარკვევად, მსურს ნათლად დავინახო ისინი.

მუხლი 5 პერსონალური მონაცემების დამუშავების პრინციპები. ნათელი მიზნებისთვის, ცხადია, რომ ეს ინფორმაცია გროვდება. წინააღმდეგ შემთხვევაში, დაწესდება შესაძლო სანქციები გადაწყვეტილებებისა და წესების შემდგომი შესწორებისთვის.

მუხლი 10 პერსონალური მონაცემების განსაკუთრებული კატეგორიები. მაგალითად, პერსონალის სამსახურს შეუძლია დააფიქსიროს ფულის გაცვლა სამუშაო ძალის განახლებისა და დაცვის მიზნით. გასაგებია, რომ ასეთი დამატებითი ინფორმაციაც ხელს უწყობს განკურნებას. ეს მნიშვნელოვნად აფართოებს PDN-ის ფარგლებს, ასევე კომპანიის განყოფილებებისა და საინფორმაციო რესურსების ჩამონათვალს, რომლებსაც დაცვა სჭირდება.

მუხლი 12. პერსონალური მონაცემების ტრანსკორდონული გადაცემა. ვინაიდან რუსეთის ფედერაციის მოქალაქეების მონაცემებით საინფორმაციო სისტემა მდებარეობს იმ ქვეყნის ტერიტორიაზე, რომელსაც არ მოახდინა პერსონალური მონაცემების დაცვის კონვენციის რატიფიცირება (მაგალითად, ისრაელში), რუსეთის კანონმდებლობის დებულებები უნდა იყოს დაცული. მოჰყვა.

მუხლი 22. შეტყობინება პერსონალური მონაცემების დამუშავების შესახებ. ობოვიაზკოვა უმოვა, რათა არ გაფუჭდეს რეგულატორი. თუ თქვენ ახორციელებთ PDN-თან დაკავშირებულ ბიზნეს საქმიანობას, გთხოვთ მოგვაწოდოთ ამის შესახებ თავად, ორმაგი შემოწმების გარეშე.

სადაც შეიძლება იყოს პერსონალური მონაცემები

ტექნიკურად, PD შეიძლება გამოყენებულ იქნას ნებისმიერ დროს, დაწყებული პორტატული მედიიდან (ქაღალდის ფაილები) მანქანურ მედიამდე (მყარი დისკები, ფლეშ დრაივები, CD და ა.შ.). შემდეგ ყურადღება გამახვილდება მონაცემთა შენახვაზე, რომელიც გამოიყენება ISPD-ის (პერსონალური მონაცემების საინფორმაციო სისტემების) იდენტიფიკაციისთვის.

როზტაშუვანიას გეოგრაფია - ასევე შესანიშნავი საკვები. ერთის მხრივ, რუსების პერსონალური მონაცემები (ფიზიკური პირები, როგორიცაა რუსეთის ფედერაციის მოქალაქეები) დაცული უნდა იყოს რუსეთის ფედერაციის მიერ. მეორე მხრივ, ამ მომენტში ვითარების განვითარების უფრო დიდი ვექტორი იყო, მაგრამ ფაქტია, რომ ეს მოხდა. ბევრმა საერთაშორისო და საექსპორტო კომპანიამ, სხვადასხვა ჰოლდინგმა და კერძო საწარმომ ისტორიულად ააშენა განაწილებული ინფრასტრუქტურა - და ეს არ შეიცვლება. გარდა PDN-ის შენახვისა და დაცვის მეთოდებისა, რომლებიც შეიძლება შეგროვდეს დაუყოვნებლივ, დაუყოვნებლივ.

ელემენტთა მინიმალური სია, რომლებიც მონაწილეობენ ჩაწერაში, სისტემატიზაციაში, დაგროვილი, შენახული, დაზუსტებული (განახლებული, შეცვლილი), PDN კოლექცია:

• პერსონალის მომსახურება.
• გაიყიდა.
• იურიდიული ფილიალი.

ფრაგმენტები იშვიათად არის სრულყოფილი თანმიმდევრობით, თუმცა ამ "დახვეწილ" სიას ხშირად შეიძლება დაემატოს ყველაზე მოწინავე ქვედანაყოფები. მაგალითად, საფოსტო მუშაკების შესახებ პერსონალიზებული ინფორმაცია შეიძლება ჩაიწეროს საწყობში, ან უსაფრთხოების სამსახურს შეუძლია საფუძვლიანი მოხსენება მოახდინოს ტერიტორიაზე შემოსულთა შესახებ. ამრიგად, საუბრის წინ, სამხედრო პერსონალის PDN საწყობს შეიძლება დაემატოს კლიენტების, პარტნიორების, კონტრაქტორების, ასევე შემთხვევითი პირების და სხვა მომწოდებლების მონაცემები - რომელთა PDN ხდება „კრიმინალი“ ფოტოგრაფიის დროს და კროსვორდი, სკანირებული პირების იდენტიფიკაცია და სხვა შემთხვევებში. ACS (კონტროლისა და წვდომის მართვის სისტემები) ადვილად შეიძლება გახდეს პრობლემების წყარო PD დაცვის კონტექსტში. ეს არის პასუხი კითხვაზე: "რა?" ერთი შეხედვით, ორიგინალური კანონი ასე ჟღერს: ყველგან სუბეროვნულ ტერიტორიაზე. უფრო ზუსტად, ინფორმაციის მიწოდება შესაძლებელია მხოლოდ მეორადი აუდიტის ჩატარებით. პირველი ეტაპი პროექტიპერსონალური მონაცემების დაცვის გამო. ძირითადი ფაზების ახალი ცვლილება:

1) კომპანიის ნაკადის მდგომარეობის აუდიტი.

2) ტექნიკური გადაწყვეტილებების დიზაინი.

3) პერსონალური მონაცემების დაცვის პროცესისთვის მომზადება.

4) ტექნიკური გადაწყვეტისა და პერსონალური მონაცემების დაცვის პროცესის შემოწმება რუსეთის ფედერაციის კანონმდებლობასთან და ბიზნეს რეგულაციებთან შესაბამისობაში.

5) ტექნიკური გადაწყვეტილებების შემუშავება.

6) პერსონალური მონაცემების დაცვის პროცესის დაწყება.

1. კომპანიის ნაკადის მდგომარეობის აუდიტი

უპირველეს ყოვლისა, გადაამოწმეთ HR დეპარტამენტთან და სხვა განყოფილებებთან, თუ როგორ უნდა დამუშავდეს ქაღალდის ცხვირები პერსონალური მონაცემებით:

• რა ფორმაა საჭირო პერსონალური მონაცემების დასამუშავებლად? დაასრულეთ და მოაწერეთ ხელი?
• უნდა დავიცვათ რეგლამენტი პერსონალური მონაცემების დამუშავების თავისებურებების შესახებ, რომელიც ხორციელდება დამატებითი ავტომატიზაციის ფუნქციების საჭიროების გარეშე 2008 წლის 15 ივნისის ნომერი 687?

ISPD-ის გეოგრაფიული განაწილება:

• რომელ ქვეყნებშია სუნი?
• რა ბაზაზე?
• რა შეთანხმებებია ამ საიტზე?
• რა სახის ტექნოლოგიური დაცვაა საჭირო PDN-ის ნაკადის შესაჩერებლად?
• რა ორგანიზაციული მიდგომები გამოიყენება PDN-ის დასაცავად?

იდეალურ შემთხვევაში, რუსების PDN-თან საინფორმაციო სისტემას შეუძლია შეასრულოს 152-FZ კანონის ყველა მოთხოვნა "პერსონალური მონაცემების შესახებ", რაც ნიშნავს, რომ ის მდებარეობს საზღვრის უკან.

იპოვეთ, ყურადღება მიაქციეთ დოკუმენტების მნიშვნელოვან ჩამონათვალს, რომლებიც საჭიროა გადამოწმებისთვის (არა ყველა, მხოლოდ მთავარი ცვლილება):

• შენიშვნა PDN-ის დამუშავების შესახებ.
• დოკუმენტი, რომელიც პასუხისმგებელია პერსონალური მონაცემების დამუშავების ორგანიზებაზე.
• ექიმების რაოდენობა PDN-ის დამუშავების ნებადართულია.
• დოკუმენტი, რომელიც აღნიშნავს პერსონალური მონაცემების შენახვის მიზანს.
• ინფორმაცია პერსონალური მონაცემების სპეციალური და ბიომეტრიული კატეგორიების დამუშავების შესახებ.
• მტკიცებულებები PDN-ის ტრანსკორდონული გადაცემის განვითარების შესახებ.
• დოკუმენტების ტიპიური ფორმები PD-დან.
• სტანდარტული ფორმა მზად არის PDN ტესტირებისთვის.
• PDN მესამე პირებზე გადაცემის პროცედურა.
• PDN-ის სუბიექტების რეგისტრაციის პროცედურა.
• პერსონალური მონაცემების საინფორმაციო სისტემების გადაცემა (ISPD).
• დოკუმენტები, რომლებიც არეგულირებს მონაცემთა დაჯავშნას ISPDN-ში.
• არსებობს მთელი რიგი ფუნქციები ინფორმაციის დასაცავად, რომლებზეც წვდომა ხდება.
• PDN-ის შემცირების პროცედურა.
• მატრიცის წვდომა.
• საფრთხის მოდელი
• ჟურნალი მანქანის ცხვირის გარეგნობის შესახებ PDN.
• დოკუმენტი, რომელიც მიუთითებს კანის ISPD დაცვის დონეს, დათარიღებულია PP-1119 2012 წლის 1 ნოემბრით „პერსონალური მონაცემების დაცვის დადასტურების შესახებ პერსონალური მონაცემების საინფორმაციო სისტემებში მათი დამუშავების საათის განმავლობაში“.

2. ტექნიკური გადაწყვეტილებების დიზაინი

ორგანიზაციული და ტექნიკური ნაბიჯების აღწერა, რომლებიც შეიძლება გადაიდგას PDN-ის დასაცავად, შეგიძლიათ იხილოთ მე-4 თავში. 152-FZ კანონის „პერსონალური მონაცემების შესახებ“ კანონის „ოპერატორის ვალდებულებები“. ტექნიკური გადაწყვეტა შეიძლება ეფუძნებოდეს 2014 წლის 21 ივნისის 242-FZ კანონის მე-2 მუხლის დებულებებს.

როგორ შეგვიძლია დავიცვათ კანონი და გავცეთ რუსეთის ფედერაციის მოქალაქეების PDN რუსეთის ტერიტორიაზე არახელსაყრელ მდგომარეობაში, თუ PDN კვლავ მდებარეობს კორდონის უკან? აქ არის რამდენიმე ვარიანტი:

• საინფორმაციო სისტემის და მონაცემთა ბაზის ფიზიკური გადატანა რუსეთის ფედერაციის ტერიტორიაზე. რაც ტექნიკურად განხორციელდება, ყველაზე მარტივი იქნება.
• ISPD ჩამოერთვა საზღვრებს მიღმა, მაგრამ ასლი იქმნება რუსეთში და იქმნება რუსეთის ფედერაციის მოქალაქეების PDN-ის ცალმხრივი რეპლიკაცია რუსული ასლიდან უცხოურზე. თუ უცხოურ სისტემაში გამორთავთ რუსეთის მოქალაქეების PDN-ის შეცვლის შესაძლებლობას, ყველა ცვლილება შეიძლება განხორციელდეს მხოლოდ რუსული IPDN-ის მეშვეობით.
• ISPDn descho და ყველა სურნელი კორდონის მიღმა. გადარიცხვა შეიძლება იყოს ძვირი, ან ტექნიკურად რთული (მაგალითად, შეუძლებელია მონაცემთა ბაზის ნაწილის ნახვა რუსეთის ფედერაციის მოქალაქეების PDN-დან და რუსეთში ჩამოტანა). ამ შემთხვევაში, გადაწყვეტილებებმა შეიძლება გამოიწვიოს ახალი ISPD-ის შექმნა ნებისმიერ ხელმისაწვდომ პლატფორმაზე სერვერზე რუსეთში და ცალმხრივი რეპლიკაცია მოხდება უცხოური ISPD-ის კანში. ეს ნიშნავს, რომ პლატფორმის არჩევანი კომპანიის ხელშია.

თუ IPDN ექსკლუზიურად არ არის გადაცემული რუსეთში, არ დაგავიწყდეთ ბოლოს მიუთითოთ მონაცემების ტრანსკორდონის გადაცემის შესახებ, ვისთვის და რომელი კომპლექტი გამოიყენება PDN. დამუშავების შესახებ შეტყობინებაში უნდა მიუთითოთ პერსონალური მონაცემების გადაცემის მეთოდი. ვიმეორებ, ეს მეტა შეიძლება იყოს ლეგალური და მკაფიოდ განსაზღვრული.

3. პერსონალური მონაცემების დაცვის პროცესისთვის მომზადება

პერსონალური მონაცემების დაცვის პროცესი მოიცავს მინიმუმ შემდეგ პუნქტებს:

• კომპანიისგან პერსონალური მონაცემების დამუშავებაზე პასუხისმგებელი პირების სია.
• ISPD-ზე წვდომის უზრუნველყოფის პროცედურა. იდეალურ შემთხვევაში, არსებობს თანატოლებთან წვდომის მატრიცა კანისთვის ან კონკრეტული მოწყობილობისთვის (წაკითხვა/წაკითხვა-ჩაწერა/მოდიფიკაცია). ან კანის ხელმისაწვდომი მონაცემების სია. აქ ყველაფერი დარჩა განხორციელებისთვის და კომპანიის საკეთილდღეოდ.
• პერსონალურ მონაცემებზე წვდომის აუდიტი და დაშვების ტესტების ანალიზი კომპრომეტირებული წვდომის დონეებით.
• პერსონალური მონაცემების მიუწვდომლობის მიზეზების ანალიზი.
• PDN სუბიექტებზე რეაგირების პროცედურა, რომლებიც ითხოვენ მათ PDN-ს.
• კომპანიებს შორის გადაცემული პერსონალური მონაცემების ნაკადის მიმოხილვა.
• პერსონალური მონაცემების ფლობის მიმოხილვა, კორდონის მიღმა.
• პერსონალური მონაცემების საფრთხის მოდელის პერიოდული მიმოხილვა, ასევე პერსონალური მონაცემების ქურდობის დონის შეცვლა საფრთხის მოდელის შეცვლით.
• კომპანიის დოკუმენტების განახლების შენარჩუნება (სია ვრცელია და საჭიროების შემთხვევაში შეიძლება დაემატოს).

აქ შეგიძლიათ დეტალურად გაეცნოთ კანს, მაგრამ განსაკუთრებით თუ მსურს ჩემი უსაფრთხოების დონის გაზრდა. VIN განისაზღვრება მიმდინარე დოკუმენტების საფუძველზე (წაიკითხეთ თანმიმდევრულად):

1. „მიმდინარე საფრთხეების დაძლევის მეთოდოლოგია უსაფრთხოებაპერსონალური მონაცემები პერსონალური მონაცემების საინფორმაციო სისტემებში მათი დამუშავების საათის განმავლობაში“ (რუსეთის ფედერაციის FSTEC 2008 წლის 14 თებერვალი).

2. ბრძანებულება რუსეთის ფედერაციის 2012 წლის 1 ნოემბრის No1119 ბრძანებით „პერსონალური მონაცემების დაცვის დადასტურების შესახებ პერსონალური მონაცემების საინფორმაციო სისტემებში მათი დამუშავებისას“.

3. FSTEC 2013 წლის 18 დეკემბრის No21 ბრძანება „საწყობის დამტკიცებისა და ორგანიზაციულ-ტექნიკური მიდგომების შეცვლის შესახებ პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფის შესახებ პერსონალურ მონაცემთა საინფორმაციო სისტემებში მათი დამუშავებისას“.

ასევე, არ დაგავიწყდეთ ხაზგასმით აღვნიშნოთ ისეთი კატეგორიის შენატანების აუცილებლობა, როგორიცაა:

• ორგანიზაცია პროექტის გუნდიდა პროექტის მენეჯმენტი.
• საცალო ვაჭრობა კანისთვის ISPDn პლატფორმებიდან.
• სერვერები ხელმისაწვდომია (საკუთრებაში ან ქირავდება მონაცემთა ცენტრში).

პროექტის სხვა და მესამე ეტაპების დასრულებამდე თქვენ ხართ დამნაშავე:

• როზრახუნოკი ვიტრა.
• ვიმოგი სიმწარემდე.
• პროექტის პირობები და კალენდარული გეგმა.
• პროექტის ტექნიკური და ორგანიზაციული ასპექტები.

4. ტექნიკური გადაწყვეტის შემოწმება და პერსონალური მონაცემების დაცვის პროცესი რუსეთის ფედერაციის კანონმდებლობასთან და კომპანიის რეგულაციებთან შესაბამისობისთვის.

მოკლე, მაგრამ მნიშვნელოვანი ნაბიჯი, რომლის დროსაც საზღვრები უნდა გადალახოს ისე, რომ ყველა გეგმა არ შეესაბამებოდეს რუსეთის ფედერაციის კანონმდებლობას და კომპანიის წესებს (მაგალითად, უსაფრთხოების პოლიტიკა). თუ ვერაფერს მიაღწევენ, პროექტის საძირკველში განთავსდება ბომბი, რათა მათ შემდგომ „აფეთქდეს“, მიღწეული შედეგებიდან მოგების დაკარგვით.

5. ტექნიკური გადაწყვეტილებების შემუშავება

აქ ყველაფერი მეტ-ნაკლებად აშკარაა. სპეციფიკა მდგომარეობს შედეგის სიტუაციაში და გადაწყვეტილებაში. თუ მსგავს რამეს შეხედავთ, შეიძლება დასრულდეს მსგავსი რამ:

• დაფიქსირდა სერვერის ძალისხმევა.
• მერეჟევის ინჟინრებმა უზრუნველყო არხის საკმარისი სიმძლავრე PDN-ის მიღებასა და გადაცემას შორის.
• საცალო მოვაჭრეებმა დაადგინეს რეპლიკაცია ISPDN მონაცემთა ბაზებს შორის.
• ადმინისტრატორებმა დაივიწყეს ცვლილებები ISPD-ში, რადგან ისინი კორდონის მიღმა არიან.

PDN-ის დაცვაზე პასუხისმგებელი პირი ან „პროცესის ავტორი“ შეიძლება იყოს ერთი ან იგივე ან განსხვავებული. ფაქტია, რომ „პროცესის ავტორს“ შეუძლია მოამზადოს მთელი დოკუმენტაცია და მოაწყოს PDN-ის დაცვის მთელი პროცესი. ამ მიზნით, ყველა ჩართულ პირს ეცნობება, უსაფრთხოების სპეციალისტებს დაევალებათ ინსტრუქციები, ხოლო IT სერვისი ხელმისაწვდომი იქნება მონაცემთა დაცვის ტექნიკური ნაბიჯების გასატარებლად.

6. პერსონალური მონაცემების დაცვის პროცესის დაწყება

ეს მნიშვნელოვანი ეტაპია და მთელი პროექტის მთავარი გაგებით - დინებაზე კონტროლის დამყარება. ტექნიკური გადაწყვეტილებებისა და მარეგულირებელი დოკუმენტაციის გარდა, აქ ძალზე მნიშვნელოვანია ხელისუფლების როლი პროცესში. ჩვენ შეგვიძლია ვაკონტროლოთ ცვლილებები არა მხოლოდ კანონმდებლობაში, არამედ IT ინფრასტრუქტურაშიც. ასევე, საჭიროა ზოგადი უნარები და კომპეტენციები.

გარდა ამისა, რაც კრიტიკულად მნიშვნელოვანია რეალური მუშაობის გონებაში, PDN დაცვის პროცესის მმართველი მოითხოვს ყველა საჭირო განახლებას და ადმინისტრაციულ მხარდაჭერას კომპანიის მოვლისთვის. წინააღმდეგ შემთხვევაში, ის იქნება მარადიული თაღლითი, რომლის მიმართაც არავინ პატივს სცემს და დაახლოებით ერთ საათში შეიძლება პროექტის ხელახლა დაწყება, თავიდან აუდიტით დაწყება.

ნიუანსი

რამდენიმე მომენტი, რომელთაგან თავის დაღწევა ადვილია:

• თუ თქვენ მართავთ მონაცემთა ცენტრს, დაგჭირდებათ სერვისის ხელშეკრულება სერვერის მოვალეობებისთვის, რათა თქვენი კომპანია ინახავს მონაცემებს ლეგალურ პლატფორმებზე და აკონტროლებს მათ.
• უსაფრთხოების პროგრამისთვის საჭირო ლიცენზიები, რომლებიც უნდა გამოიყენოთ პერსონალური მონაცემების შეგროვების, შენახვისა და დამუშავებისთვის და ქირავნობის ხელშეკრულებები.
• მას შემდეგ, რაც ISPD გაფართოვდება საზღვარგარეთ, არის აუცილებელი შეთანხმება კომპანიასთან, რომელიც ახორციელებს სისტემას იქ - გარანტირებული იყოს რუსეთის ფედერაციის კანონმდებლობის დაცვა რუსების პირადი მონაცემების ასი პროცენტით.
• თუ პერსონალური მონაცემები გადაეცემა თქვენი კომპანიის კონტრაქტორს (მაგალითად, IT აუთსორსინგის პარტნიორს), მაშინ შემკვეთის პერსონალური მონაცემები არ ექვემდებარება პასუხისმგებლობას პრეტენზიებზე. თქვენს კომპანიას შეუძლია პრეტენზიების წარდგენა შემკვეთთან. შესაძლოა, ამ ფაქტორზე გავლენა იქონიოს სამუშაოს აუთსორსინგის ფაქტმა.

და კიდევ ერთხელ, ყველაზე მნიშვნელოვანი ის არის, რომ პერსონალური მონაცემების დაცვა არ შეიძლება იყოს აღებული ან დაცული. ეს არის პროცესი. უწყვეტი განმეორებითი პროცესი, რომელიც დიდად არის დამოკიდებული კანონმდებლობის შემდგომ ცვლილებებზე, ასევე ამ ნორმების პრაქტიკაში სტაგნაციის ფორმატსა და სიჩქარეზე.

მარინა პროხოროვა,ჟურნალის "პირადი ხარკი" რედაქტორი

ნატალია სამოილოვა,კომპანია "ინფოტექნოპროექტის" იურისტი

მარეგულირებელი ჩარჩო, რომელიც შემუშავებულია დღემდე პერსონალური მონაცემების დამუშავების სფეროში, დოკუმენტები, რომლებიც უნდა იქნას მიღებული ორგანიზაციებში პერსონალური მონაცემების დაცვისგან მუშაობის უფრო ეფექტური ორგანიზებისთვის, ინფორმაციის მომზადების ტექნიკური ასპექტები პერსონალური მონაცემების ოპერატორების ღირებული სისტემები - იგივე პირობა ბევრს რჩებოდა დანარჩენი დროის გაზეთში, ჟურნალ Publikatsii-ზე, პრობლემური დანის აკინძვა Tsiy Statti-ზე, საბანკო საქმის ასეთ ასპექტზე ყვირილით, პირადი დანიას „სინკიში“ ზაჰისტი, ჩეთები. ორგანიზების ჩიროში.

მოდით ვისაუბროთ კონკრეტულ მაგალითზე

არის შეკითხვა სასამართლო განხილვის შესახებ, გამოიკითხეთ პერსონალური მონაცემების დაცვა, ოშადბანკის დარღვევები ჩერნიაში 2008 რუბლი. გემის განხილვის არსი შეტევაზე შემცირდა. მოქალაქესა და ბანკს შორის დაიდო თავდებობის ხელშეკრულება, როგორც ჩანს, მანამ, სანამ მოქალაქე არ დათანხმდა ბანკში გამოცხადების ვალდებულებას სასესხო ხელშეკრულებაზე პასუხისმგებლობის დარღვევისთვის. საკრედიტო ხელშეკრულების დებულებების შეუსრულებლობის გამო, ინფორმაცია თავდებლის, როგორც არასანდო კლიენტის შესახებ, შევიდა Stop List ბანკის ავტომატიზირებულ საინფორმაციო სისტემაში, რაც, თავის მხრივ, გახდა თქვენთვის გაცემული სესხის გამოყენების საფუძველი. ამ შემთხვევაში ბანკმა მოქალაქეს ვერ აცნობა სასესხო ხელშეკრულების ძირითადი მოვალეობის არაჯეროვნად შესრულების შესახებ. გარდა ამისა, თავდებობის ხელშეკრულებაში არ იყო გათვალისწინებული, რომ ბანკს უფლება აქვს შეიყვანოს გარანტიის შესახებ ინფორმაცია საინფორმაციო სისტემაში „Stop List“, თუ მისი მოთხოვნების მფლობელი უკანონოა. ამ გზით ბანკი ამუშავებდა მოქალაქის პერსონალურ მონაცემებს ახალი Stop List საინფორმაციო სისტემის შესახებ ინფორმაციის უმიზეზოდ ჩართვით, რაც არღვევს ხელოვნების 1 ნაწილის უფლებამოსილებებს. 2006 წლის 27 ივნისის No152-FZ ფედერალური კანონის 9 „პერსონალური მონაცემების შესახებ“, რომლითაც პერსონალური მონაცემების სუბიექტი იღებს გადაწყვეტილებას თავისი პერსონალური მონაცემების მიწოდების შესახებ და აძლევს ნებართვას მათი დამუშავების საკუთარი ნებით და ინტერესებიდან გამომდინარე. ყირიმი, თანმიმდევრობით, გადაეცა ხელოვნების 1 ნაწილს. ამ კანონის მე-14 მუხლით, გიგანტი მივიდა ბანკში, რათა მას საშუალება მისცეს გაეცნოს Stop List-ის საინფორმაციო სისტემაში მის შესახებ დაფიქსირებულ ინფორმაციას, ასევე დაბლოკოს ეს ჩანაწერები და მათი ამოწურვა. ბანკში კმაყოფილმა მოქალაქემ დაარწმუნა.

განხილვის შედეგები განიხილა ვლადივოსტოკის ლენინსკის რაიონულმა სასამართლომ, დააკმაყოფილა პრიმორსკის ტერიტორიის როსკომნაგლიადის ადმინისტრაციის ზარები რუსეთის ოშადბანკში მოქალაქის უფლებების დარღვევის დაცვის შესახებ და ბანკის მოთხოვნის შესახებ ინფორმაციის მოპოვება. მოქალაქის შესახებ ინფორმაციის ї „Stop list“ სისტემით.

რატომ უნდა ვაჩვენოთ ეს კონდახი? ბანკები, რომლებიც ინახავენ თავიანთი კლიენტების მნიშვნელოვანი რაოდენობის პერსონალურ მონაცემებს, არ ცდილობენ მათ ერთი მონაცემთა ბაზიდან მეორეში გადატანას და ყველაზე ხშირად არ აწვდიან ინფორმაციას პერსონალური მონაცემების საგანზე, როგორც ჩანს, უკვე არ ახორციელებენ მათ შესახებ, ვისაც სარგებლობა წაართმევს. ასეთი რამ მისგან პირადი მონაცემებიდან. რა თქმა უნდა, საბანკო საქმიანობას აქვს მრავალი მახასიათებელი და ხშირად კლიენტების პერსონალური მონაცემები გროვდება არა მხოლოდ ბანკის ხელშეკრულებების დადასტურების მიზნით, არამედ ბანკის მიერ კლიენტის ვალდებულებებზე ეფექტური კონტროლისთვის და ასევე ეს ნიშნავს, რომ არ აქვს მნიშვნელობა როგორ ხდება პერსონალური მონაცემების მანიპულირება, მათი სუბიექტის საჭირო ჯანმრთელობა.

სირთულე ბნელ სიტუაციაში

რატომ არ განახორციელებთ რაიმე ტრანზაქციას პერსონალური მონაცემების გამოყენებით, რომლებიც ლეგალურია? სიგიჟეა, ვისთვისაც ყველაფერზე მეტად საჭიროა მესამე მხარის ფალსიფიკატორების მოპოვება, რის გამოც დიდი ბანკების იურიდიული განყოფილებების იურისტები არიან პირველი კლასის პროფესიონალები და ამ სფეროში მუშაობის სპეციფიკის გამო. პერსონალური მონაცემები, მათ პრაქტიკულად ნულიდან უნდა ისწავლონ. ასე რომ, საუკეთესო გამოსავალია მუშაობა პერსონალური მონაცემების დაცვის სისტემის ორგანიზებისგან იმ კომპანიებისგან, რომლებიც სპეციალიზირებულნი არიან სერვისების მიწოდებაში, პერსონალური მონაცემებიდან სამუშაოს ორგანიზებაში, მათ შორის, ვინც ატარებს კანონმდებლთან არატექნიკური დაცვის ჩანაწერის შესაბამისობის აუდიტს. .

ანალიტიკური კვლევის შედეგები საშუალებას გვაძლევს მივიღოთ ინფორმაცია მათ შესახებ, რომლებიც უდიდეს სირთულეებს ქმნიან ფედერალური კანონის No152-FZ „პერსონალური მონაცემების შესახებ“ დებულებების შესაბამისად.

ამ მარეგულირებელი დოკუმენტის 22-ე მუხლის პირველი ნაწილის გათვალისწინებით, მოთხოვნის ოპერატორმა უნდა აცნობოს პერსონალური მონაცემების დამუშავების შესაბამის ორგანოს. დამნაშავეთა შორის არის უბედური შემთხვევა, თუ პერსონალური მონაცემების დამუშავება ჩამოერთვა დადგენილ კონტრაქტთან კავშირს, რომლის მხარეც არის პერსონალური მონაცემების საგანი... და ექვემდებარება ოპერატორის დარღვევას, მათ შორის ხელშეკრულების იდენტიფიკაცია, რომელიც მინიჭებული აქვს 22-ე მუხლის მე-2 ნაწილის მე-2 პუნქტის ქვეპუნქტს, ფედერალური კანონის No152 -FZ „პერსონალური მონაცემების შესახებ. სწორედ ამ სიტუაციაში მოქმედი ბანკები არ აწვდიან ინფორმაციას პერსონალური მონაცემების დამუშავების შესახებ. და მათი უმეტესობა არ სცემს პატივს საკუთარ თავს, როგორც ოპერატორებს, რაც ფუნდამენტურად არასწორია.

ასევე, კიდევ ერთი გაფართოება გავრცელდა ბანკებზე, როგორც პერსონალური მონაცემების ოპერატორებზე, რომელიც დაკავშირებულია ხელშეკრულებასთან და ელოდება. მიწოდება სადგურზე. 6, კანონის თანახმად, პერსონალური მონაცემების დამუშავება ოპერატორმა შეიძლება განახორციელოს პერსონალური მონაცემების სუბიექტების წლის განმავლობაში, ასეთი დამუშავების შედეგების გამო, შეთანხმების მეთოდით, რომლის ერთ-ერთი მხარეა მათი პირადი მონაცემების საგანი. ამიტომ ბევრი საბანკო რეგულაცია პერსონალური მონაცემების საგნის არსებობას სწორედ ასეთი შეთანხმების ფაქტით ხსნის.

ოღონდ დავფიქრდეთ, რატომ არ უნდა წაართვას ბანკმა, როგორც ოპერატორმა, სუბიექტს პერსონალური მონაცემები ხელშეკრულების დადების მომენტში, მაგალითად, ახალი სერვისების შესახებ შეტყობინებების გასაგზავნად, „გაჩერების სიების“ შესანახად. ”? ამასთან, პერსონალური მონაცემების დამუშავება ხორციელდება ხელშეკრულების დასრულების მიზნით და სხვა მიზნებისთვის, რომლებიც წარმოადგენს ბანკების კომერციულ ინტერესს და ასევე:

• ბანკები ვალდებულნი არიან წარუდგინონ შეტყობინება პერსონალური მონაცემების დამუშავების შესახებ უფლებამოსილ ორგანოს;
• ბანკები პასუხისმგებელნი არიან პერსონალური მონაცემების დამუშავებაზე მხოლოდ სუბიექტის სასარგებლოდ.

ეს ნიშნავს, რომ ბანკებს შეუძლიათ მოაწყონ რობოტული სისტემა თავიანთი კლიენტების პერსონალური მონაცემებით, რათა უზრუნველყონ ასეთი მონაცემების არატექნიკური დაცვა.

საგრანტო წერილი პირადი ხარკის დამუშავებისთვის

ამიტომ, თუ პერსონალური მონაცემების სუბიექტს მოეთხოვება პერსონალური მონაცემების დამუშავება, მაშინ ფედერალური კანონი No152-FZ „პერსონალური მონაცემების შესახებ“ ოპერატორებს ავალდებულებს შეზღუდონ წერილობითი თანხმობა პერსონალური მონაცემების დამუშავებაზე, გარდა კანონით გათვალისწინებული შემთხვევებისა. ამავდროულად, ხელოვნების მე-3 ნაწილამდე. სუბიექტის პერსონალური მონაცემების დამუშავებიდან ამოღების უზრუნველსაყოფად 9 ვალდებულება ეკისრება ოპერატორს. ასე რომ, საჭიროების შემთხვევაში, არ დაკარგოთ საათი ასეთი მტკიცებულებების შეგროვებაში (მაგალითად, მტკიცებულებების ძიებაში), ჩვენი აზრით, უკეთესი იქნება საგნები წერილობითი ფორმიდან გამოვყოთ.

პერსონალური მონაცემების დამუშავების წერილობითი ფორმის კიდევ ერთი არგუმენტი წარმოვადგინოთ. ყველაზე ხშირად, ბანკების საქმიანობა გულისხმობს მონაცემთა (პერსონალური მონაცემების) გადაცემას უცხო სახელმწიფოს ტერიტორიაზე. მე-3 დისკი, ნაწილი 1, ხელოვნება. 152-FZ ფედერალური კანონის 12 „პერსონალური მონაცემების შესახებ“ ნათქვამია, რომ პერსონალური მონაცემების ტრანსკორდონის გადაცემის დაწყებამდე პრეტენზიების ოპერატორი დაუკავშირდება უცხოურ ძალას, რომლის ტერიტორიაზეც ხდება პერსონალური მონაცემების გადაცემა. , პირადი სუბიექტების უფლებების ადეკვატური დაცვა ხარკით თუ ასეთი დაცვა შეუძლებელია, პერსონალური მონაცემების ტრანსკორდონით გადაცემა შესაძლებელია მხოლოდ პერსონალური მონაცემების სუბიექტის წერილობითი თანხმობის შემდეგ. შეიძლება ვივარაუდოთ, რომ უცხოურ ბანკებს გაუადვილდებათ უარი ეთქვათ კლიენტის წერილობით მოთხოვნაზე პერსონალური მონაცემების დამუშავებაზე, ვიდრე მათი დაცვის ადეკვატურობის დადგენა უცხო სახელმწიფოში.

ჩვენ ვუბრუნებთ თქვენს პატივისცემას იმ ფაქტს, რომ ინფორმაცია, რომელიც შეიძლება წერილობითი იყოს ამ წლიდან, ხელახლა დალაგებულია ხელოვნების მე-4 ნაწილში. 9 ცნობილი ფედერალური კანონი და ეს განსხვავება მნიშვნელოვანია. და ხელმოწერა ფრაზის ქვეშ, მაგალითად, სესხის ხელშეკრულებაში: „მე უფლებამოსილი ვარ აღვადგინო ჩემი პერსონალური მონაცემები“, ფედერალური კანონის No152-FZ „პერსონალური მონაცემების შესახებ“ შესაბამისად, და არ არსებობს მათი დამუშავების უფლება!

როგორც ჩანს, კანონში მხოლოდ რამდენიმე პუნქტია და რამდენი გართულება, გემის გამოძახებამდე, შეიძლება არასწორად დასახელდეს. დღემდე, როდესაც სუბიექტების პერსონალური მონაცემები ხშირად ხდება საქონელი სხვადასხვა სტრუქტურების კონკურენტულ ბრძოლაში, მათი დაცვის წარმატებული მიწოდება, საბანკო და საკრედიტო ინსტიტუტების საინფორმაციო სისტემების უსაფრთხოება ხდება დაზოგვის საწინდარი მარადიული რეპუტაცია, პატიოსნად, ნებისმიერი. ორგანიზაცია.

ყოველდღიურად ადამიანები უფრო მეტად აცნობიერებენ მათი პერსონალური მონაცემების აღმოჩენის შესაძლო უარყოფით შედეგებს, რაც იწვევს პროფილის მონაცემების გაჩენას. შეისწავლეთ და შეისწავლეთ სხვადასხვა კომპანიების საინფორმაციო რესურსები. ზოგიერთი მათგანი ზოგადად ხაზს უსვამს თემების მთელ ფართო სპექტრს, რომლებიც დაკავშირებულია „ინფორმაციული უსაფრთხოების“ ცნებებთან, ზოგი კი ეძღვნება ტექნიკური უსაფრთხოების პროგრესისა და მახასიათებლების შესწავლას, თუმცა, ისინი საუბრობენ იმ პრობლემებზე, რომლებიც დაკავშირებულია არატექნიკური მცველი. სხვა სიტყვებით რომ ვთქვათ, პერსონალური მონაცემების დაცვის შესახებ ინფორმაცია უფრო ხელმისაწვდომი გახდება, რაც იმას ნიშნავს, რომ მოქალაქეები უფრო მეტად იცოდნენ თავიანთი უფლებების დაცვის შესახებ.