前回の記事とそれに基づくコメントに基づいて、さまざまな種類のサービスを提供する際に個人データの保護とライセンスを整理するトピックを最大化する続編を作成しています。
詳細に移動します。
あなたがビジネスのオーナーであるとします。小規模な会計事務所から大企業まで、規模は重要ではありません。 インフラストラクチャの保守は、何らかの理由で費用がかかるか受け入れられないため、データストレージと処理機能をサードパーティに移行する必要があります。
この問題を解決するとき、いくつかの質問をする必要があります。
- 処理を第三者に譲渡する権利はありますか?また、あなたとあなたのデータ処理パートナーにはどのような条件が課されますか? 第三者のパートナーに転送された場合、個人データの責任者は誰ですか?
- ライセンスが必要ですか? どのレポートを引き渡す必要がありますか? 個人データオペレーターは誰ですか?
- 機密情報を扱いますか?あなたとパートナーはどのような条件を満たす必要がありますか? どのライセンスが必要ですか?
データに対する責任の問題に対する答えは、同時に最も簡単で基本的なものです。
はい、個人データの処理を第三者に転送できますが、データの処理と保存を第三者に転送する場合、知識、経験、適切な容量、および送信する情報の種類に応じて特定のライセンスが必要であることを考慮する必要があります。 ただし、データの保存および処理の責任は、元の会社、つまりお客様にあります。 したがって、この問題のパートナーの選択に非常に慎重に取り組む必要があります。 活動の種類と収集される情報に応じて、会社とパートナーは特定のライセンスを取得する必要があります。
その結果、私たちは原則に沿って行動します。情報を扱うために特定のライセンスが必要な場合、データ処理を転送する際にパートナーがそれを所有している必要があります。
どのライセンスが必要ですか?
それはあなたの活動の種類と収集された情報に依存します。 あなたのビジネスが顧客情報の収集のみを含み、サービスがコミュニケーションの提供を含まない場合(例えば、あなたは美容室であり、記録作業を整理するためにサイトで顧客データを収集する)、ライセンスは必要ありません(ただし、サロンでの可能性のある医療サービスのライセンス)。 ここではすべてが非常に簡単です。
また、何らかの方法で機器に通信サービスを提供する場合(インターネットプロバイダー、ウェブサイトホスティング業者など)、「通信に関する法律」に従って、機器を使用した通信サービスの提供には、Roskomnadzorからのテレマティックサービスの提供のライセンスが必要です通信、および音声情報を送信しない通信サービス。 このライセンスは、事業会社がサービスの提供のためのすべての活動が実行される独自の認定コミュニケーションセンターを持っていることを意味します。
このライセンスを取得するためのアルゴリズムは、標準形式のアプリケーション、州の義務の支払いを提出することです。 申請書を提出してから1か月以内に、ライセンスまたは理由のある拒否を受け取ります。
ライセンスは、提供されるサービスに関する年次および四半期報告書を提出することをオペレーターに義務付けています。
あなたに代わって通信サービスを提供する場合、これはあなたの会社に適用されることに注意してください。 パートナーから通信サービスを再販する場合(たとえば、クライアントとの契約で、通信が別の通信オペレーターによって提供されたことを示す場合)、正式にライセンスなしで作業できます。
「そして誰もが知っているアイテムを規制するのは誰ですか」「個人データの処理に同意します」という質問をするでしょう。
この条項は、「個人データに関する」第152連邦法に準拠しています。 法律の観点から、データ収集は、州機関と法人の両方、さらには個人によって実行できます。 つまり、すべての人に適用されます-上記の例の美しさと、ビッグスリーからサロンまでのモバイルオペレーターの両方です。 それらの一般的なことは、データを収集および処理するとき、次の原則に基づいてガイドされるべきであるということです。
- データの処理に対するクライアントの無条件の同意(追加の契約、契約におけるデータ収集または署名について警告するときのチェックマーク)、
- データ収集の透明で明確な目的(たとえば、顧客データを収集して、必要に応じて連絡を取ることができます)。 クライアントの明示的な同意なしに広告代理店にデータを転送することは、すでにこれらの原則に違反していますが、
- 不正アクセスからデータを保護するために講じられた対策の存在(データベースの保護、従業員のアクセス制限、内部規制および影響と責任の対策)
- 宗教的、人種的所属、健康状態、親密な生活、機密情報または国家機密に関連する情報に関するデータの収集からの除外、
- 処理を停止し、彼について収集されたデータを削除するクライアントの要求での身体能力の可用性。
ご覧のように、この点に関する法律はビジネスに非常に忠実であり、実際には、連絡先番号を残す美容師も含めて、誰もがデータを収集することを理解しています。 この場合の法律は障害を引き起こすことはありませんが、顧客の電話が広告主の手に渡ることを排除するために、ターゲットデータ処理の原則を規制するだけです。
パスポート(スキャンなど)で作業する場合、一方では機密情報ではないが、一方ではオンラインストアなどで登録するときに明らかに冗長な他のドキュメントを収集する場合は、考慮する必要があります。個人データオペレーターとして登録する。 この場合、通知方法で通信オペレーターになることができます。 これにより、「個人データのオペレーターは誰ですか?」という質問に答えられます。
したがって、ビジネスを開始するには、ほとんどの場合、個人データの処理に関する内部ポリシーで十分です。通信サービスを提供する場合は、Roskomnaadzorのライセンスで十分です。 ただし、データ処理パートナーも上記の原則を順守し、ライセンスを所有している必要があります。また、データ処理パートナーはお客様側でデータ処理を実行していないにもかかわらず、覚えておく必要があります。
ここで、機密情報(CI)を扱う予定があると想像してください。
たとえば、機密情報を収集して保存する法人、政府機関、またはあなた自身と協力します。
このような状況では、CIと連携するための適切な資格、リソース、経験、ライセンスが必要です。
輸出技術管理連邦サービス(FSTEC)および連邦保安サービス(FSB)は、機密情報を使用して作業を規制します。
原則として、機密情報の技術的保護(TZKI)のライセンスで十分です(自分でセキュリティツールを開発していない場合)。 FSTECによって発行されます。
ライセンスとはどういう意味ですか?
このライセンスを申請できるようにするには、次の要件を満たす必要があります。
- 技術施設、情報システム、情報が処理される部屋(会議室を含む)には、技術チャネルを介した情報漏洩からの保護手段を装備する必要があります。
- 情報へのアクセスを常に監視して、情報への不正アクセスを排除し、
- オペレーターには、機密情報を扱う権利を確認する卒業証書を持つ少なくとも2人の従業員が必要です。
- 機密情報の処理に関与するすべてのオブジェクト(従業員、コンピューター、ソフトウェア、施設)を認証する必要があります。
これらの要件に加えて、組織には一連の規制文書が必要です(公式に使用するため)。 また、施設の所有権(リース)を証明する必要があります。これは、機密情報を扱うために証明されます。
すべての文書が既に認証された施設に提出された瞬間からライセンスを取得するための期間は、最大6ヶ月です。
これらのすべてのアイテムには多くの時間とお金がかかりますが、これがないと機密情報を扱う権利を得ることができません。
施設と従業員について話せば、多かれ少なかれ疑問は生じません。
関心と潜在的な困難は、認定された従業員の管理下にある保護された部屋にある情報システムとソフトウェア全体の保護によって引き起こされます。
前回の記事でおわかりのように、Windowsファミリーから市場で需要のあるオペレーティングシステムのほとんどは認定されています。 たとえば、 仮想サーバー上のクライアントに提供するもの-Windows Server 2012 R2 Datacenterの証明書は3367です。また、Linuxファミリの多くのオペレーティングシステムはFSTECによって認定されています。 オフィスアプリケーションでは、同じ問題は発生しません。 ソフトウェアの全リストはこちらfstec.ru/component/attachments/download/489
ソフトウェアの問題は解決されたようです。 しかし、それほど単純ではありません。
あなたが真剣なサーバーを持っていると想像してください、それが賃貸されているかあなたの財産にあるかどうかは関係ありません。 従業員専用の仮想サーバーを作成します。 つまり、ある種の仮想化ツールを使用します。これは、大企業の簿記や分析部門でよく発生します。
ここでは、ハイパーバイザーを使用して作成された仮想サーバーはデータ保護の脆弱なリンクであるため、物理サーバー上の認証済みOSの存在はすべての仮想サーバーの自動認証を必要としないことを知る必要があります。
FSTECリストを検討すると、認定ソフトウェアのリストにハイパーバイザーが含まれていないことがわかります。つまり、その保護に注意する必要があります。 この場合、Hyper-V用のVGateセキュリティツールをインストールすると役立ちます。 しかし、これは安易な喜びではありません-Vgateは物理サーバーあたり100,000ルーブルの費用がかかります。
これは、サーバー保護のための特別なソフトウェアのコストをカウントするものではありません。技術的手段の認定をパスするときに会社がインストールする必要があります。
したがって、FSTECライセンスが必要な場合は、多大な時間と材料費を準備する必要があります。
同時に、企業の開発プロセスでは、Roskomnadzorからの内部ポリシーとライセンスが十分であるか、FSTECライセンスが必要であるという原則に従って、企業と顧客の内部開発ベクトルを分割することが可能であり、必要であることを理解します。 当然、顧客のクラスと価格は異なります。
FSTECライセンスを取得するアルゴリズムの詳細は、非常に詳細なマニュアルbis-expert.ru/sites/default/files/miscellaneous/practic_licenc_fstec.pdfに記載されています。
記事の最後で、「FSTECではなくFSTEC」の原則に基づいてクライアントを分離しても、「FSTECなし」の顧客との関係で「リラックス」してはならないことを思い出してください。 通信サービスを提供した瞬間から、データの収集を開始しました-あなたはRoskomnadzorおよび第152連邦法の規制下にあります。 したがって、データを扱う際の責任基準は、すべての顧客にとって等しく高くなければなりません。