Clever Geek Handbook

個人情報(簡単なFAQ)

個人データとは何ですか?



個人データ -そのような情報 基づいて決定または決定された特定の 個人に 関連する情報

-彼の姓、名前、愛称、

-年、月、日付、生年月日、

-住所、婚ital、社会、財産状況、教育、職業、収入、

- その他の 情報( FZ-152 、第3条を 参照 )。

例:パスポートデータ、財務諸表、医療記録、生年(女性用)、生体認証、その他の個人識別情報。

個人 の書面による同意の ある個人 データ(アドレス帳、リスト、およびその他の情報サポート) 公開 ソースには 、彼の姓、名、ミドルネーム、生年月日、出生地、住所、加入者番号、および その他の 個人データ が含まれる場合があります FZ-152 、art。 .8)。

個人データとは、制限された情報を指し 、ロシア連邦の法律に従って 保護 する 必要があります システムセキュリティの要件を作成する場合、個人データは4つのカテゴリに分類されます。





オペレーターと個人データの主題は何ですか?



個人データオペレーター は、原則として、組織、またはむしろ、州または地方自治体、法人または自然人であり、個人データの処理の組織化および(または)実行、および個人データの処理の目標と内容の決定です。

個人データの対象は 個人です。

オペレーターは、現在のロシア連邦の法律に従って、対象の個人データを保護する責任があります。





個人データ情報システムを分類する方法は?



典型的な 個人データ情報システム(ISPDn)を特定のクラス に帰属させる には、以下が必要です。

I. 処理された個人データの カテゴリを 定義し ます

カテゴリ4- 非個人化された(または)公開されている個人データ。

カテゴリ3- 個人データの主題の識別を可能にする個人データ。

カテゴリ2- カテゴリ1に関連する個人データを除き、個人データの主題を識別し、彼に関する追加情報を受け取ることができる個人データ。

カテゴリ1- 人種、民族、政治的見解、宗教的および哲学的信念、健康状態、親密な生活に関する個人データ。

II。 情報システムで処理される個人データ 量を 決定し ます。

ボリューム3- 特定の組織内の1000件未満の個人データの対象または個人データの対象の個人データからのデータは、情報システムで同時に処理されます。

ボリューム2 —自治体内にある政府機関のロシア連邦経済で働く1,000から100,000の個人データ主体または個人データ主体の個人データは、情報システムで同時に処理されます。

第1巻 -ロシア連邦またはロシア連邦全体の主題内の100,000人を超える個人データサブジェクトまたは個人データサブジェクトの個人データからの個人情報は、情報システムで同時に処理されます。

III。 ソースデータの分析に基づいて、 一般的な ISPDnには次の クラスの いずれかが割り当てられ ます (表を参照)。

  クラス4(K4)-処理された個人データの特定のセキュリティ特性に違反しても、個人データ主体に悪影響を及ぼさない情報システム。

  クラス3(K3)-処理された個人データの特定のセキュリティ特性の違反が、個人データ主体に対して取るに足らないマイナスの結果をもたらす可能性がある情報システム。

   クラス2(K2)-処理された個人データの特定のセキュリティ特性に違反すると、個人データ主体に悪影響を及ぼす可能性がある情報システム。

   クラス1(K1)-処理された個人データの特定のセキュリティ特性に違反すると、個人データ主体に重大な悪影響をもたらす可能性がある情報システム。

    

ボリューム/カテゴリー



第3巻

(<1,000、

組織)



第2巻

(1000〜100,000、

産業、都市)



Volume1

(> 100,000、

連邦の主題)



カテゴリー4 (非個人化、公開)



グレード4



グレード4



グレード4



カテゴリー3 (識別)



グレード3



グレード3



クラス2



カテゴリー2 (識別など)



グレード3



クラス2



グレード1



カテゴリー1 (医療、社会)



グレード1



グレード1



グレード1







ロシアのFSTEC(技術および輸出管理のための連邦サービス)、ロシアの連邦保安局、およびロシアの通信省N 55/86/20 によって導入された個人データ情報システムの分類手順を参照してください  





終末は2011年1月1日まで延期されます



ロシア連邦連邦法第152号「個人データに関する」の施行日より前に作成された個人データ情報システムは、2010年1月1日までにこの連邦法の要件に準拠する必要があります(FZ-152、第25条を参照)。

これは、2010年1月1日からFZ-152の非常に厳しい要件を満たせなかった個人データオペレーターが、適切な民事、行政、懲戒、そして多分(神の禁じられた)刑事 責任を負う ことを意味し ます。

2008年2月から4月(ロシアのFSTECおよびロシア連邦安全保障局の方法論文書の発送の瞬間以降)に既に運用されているが、個人データの分野でロシアの法律の要件を満たしていないすべての情報システムは、明日の朝など、この責任を早期に負う可能性があります。

ご注意 ロシア連邦刑法の変更は、プライバシーに影響する違反に対する責任を著しく強化するものであり、2010年1月1日に施行されます。





追加:

しかし、いつものように、個人データオペレーターはあまり移動せず、必要なすべてを実行することはできませんでした。 2009年12月16日に、下院は、個人データに関する法律(152-FZ)の第19条および第25条の3回目の読解修正で採択しました。 この法律に従って個人データ情報システム(ISPD)を持ち込む期限は、2011年1月1日まで1年間延期されました。さらに、個人データを処理する際にデータを保護するために暗号化(暗号化)手段を使用することをオペレーターに義務付ける規則から除外されました。





個人データ情報システムの保護のための必須要件



一般的なISPDのクラスに応じた、情報セキュリティシステムの組織の主な必須要件:

ISPDクラス4の場合:

個人データを保護するための対策のリストは、オペレーターによって決定されます(起こりうる損害に応じて)

ISPDクラス3の場合:   

情報セキュリティ要件 の適合宣言 または 強制認証

•機密情報の技術的保護のためにロシアのFSTECからライセンスを取得(分散ISPDn K3システムの場合)

ISPDクラス2の場合:

•情報セキュリティ要件の必須認証

•PEMINから個人データを保護するための対策を講じる必要があります

•分散システムの機密情報の技術的保護に関するロシアのFSTECからのライセンスの取得

ISPDクラス1の場合:  

•情報セキュリティ要件の必須認証

•PEMINから個人データを保護するための対策を講じる必要があります

•機密情報の技術的保護に関するロシアのFSTECからのライセンスの取得





個人情報システムを保護する手順



個人データの処理に関する法律の要件を満たすときの一連のアクション:

1)自動化ツールを使用して個人データを処理しようとする個人データ主体の権利を保護するための認定機関への通知。

2)情報システムのプロジェクト前検査-初期データの収集。

3)個人データ処理システムの分類。

4)情報システムとの関連性を判断するためのプライベートな脅威モデルの構築。

5)個人データ保護システムのための民間技術タスクの開発。

6)個人データを保護するシステムの設計。

7)個人データ保護システムの実装と実装。

8)施設の工学的保護の要件、防火の要件、保護、電源と接地、衛生および環境の要件の履行。

9)情報セキュリティ要件の認証(認証)。

10)個人データ保護の分野における従業員のさらなるトレーニング。

11)個人データ保護システムのサポート(アウトソーシング)。





認証と認証はいつ必要ですか?



情報セキュリティ要件に関する情報システムの 認証 が必要です。

-ISPDの場合、個人情報を州の情報リソースに割り当てる場合(「機密情報の技術的保護に関する特別な要件と推奨事項」、ロシア国家技術委員会、2001年を参照)。

-その他の場合-ISPDn 1、2、および3クラス用。

ISPDnクラス3の場合 、オペレーターの決定により 、必須の認証手順を適合宣言手順に置き換えることができます(「個人データ情報システムで処理される個人データのセキュリティを編成および維持するための基本的な手段」、FSTEC of Russia、2008、条項3.11を参照) 。 残念ながら、適合宣言プロセスは現在規制されていません。

ISPDnで使用される情報保護ツールは、確立された手順に従って 、情報セキュリティ要件への準拠の 認証 含む適合性評価手順(「個人データ情報システムでの処理中の個人データのセキュリティ確保に関する規制」、第5 項を参照) 。「組織の主な活動...」、3.3項。

同時に、ISPDnの情報を保護するために使用されるソフトウェア(システム全体およびアプリケーションソフトウェアに組み込まれているものを含む情報保護ツール) については、未宣言の機能がない こと に対する 認証 も実行する必要があります (「組織の主な対策」を参照)。 ..」、パラグラフ4.2、4.3)。

注:  

1)ISPDnオペレーターは、ISPDn 1、2クラス、および3クラスの分散情報システムで処理する際に個人データ(機密情報)のセキュリティを確保するための対策を講じる場合、所定の方法で機密情報の技術的保護のための活動を実施するためのライセンスを取得する必要があります。

2)情報セキュリティツールの認証申請者(情報セキュリティシステム、ISPD、または個人データオペレータの開発者)は、機密情報を保護する手段を開発および/または製造するためのライセンスが必要です。



追加:

2010年2月5日付ロシアFSTEC命令の発行に関連して、58号「個人データ情報システムにおける情報保護の方法および方法に関する規制の承認について」(2010年2月19日にロシア法務省により登録、登録番号16456; 」、2010年3月5日、No。46)2010年3月15日以降、個人データ情報システムで処理する際の個人データのセキュリティを確保するために使用されいません。ロシアFSTECの以下の方法論文書:

•2008年2月15日にロシアのFSTECの副所長によって承認された、個人データ情報システムで処理される個人データの組織および技術的セキュリティのための主な対策。

•個人データ情報システムでの処理中に個人データのセキュリティを確保するための推奨事項。2008年2月15日にロシアのFSTECの副局長によって承認されました。





個人データの処理の違反に対する責任



「個人データに関する」連邦法152-FZの要件に違反した罪を犯した者は、以下を負担するものとします。

-市民

-犯罪者(ロシア連邦刑法第137、140、155、183、272、273、274、292、293を参照)、

-行政(行政犯罪に関するロシア連邦法、第5.27、5.39、13.11-13.14、13.19、19.4-19.7、19.20、20.25、32.2を参照)、

-懲戒処分(ロシア連邦労働法第81条、第90条、第195条、第237条、第391条を参照)

ロシア連邦の法律で規定されているその他の責任(ロシア連邦の構成エンティティ、部門、および組織で公開されている個人データの取り扱いに関する細則を参照)。







この記事で使用されている略語:

FSTEC-技術および輸出管理のための連邦サービス。

PEMIN-スプリアス電磁放射とクロストーク


More articles:


All Articles