The Web-site of design Company Chelyabenergoproekt in English   English
Maison Écrire le courrier Carte
Die Web-seite der Projektorganisation Tscheljabenergoprojekt in Deutsch   Deutsch




Сайт проектной организации Челябэнергопроект на русском языке   Русский

Projets de maîtrise intellectuelle!
Nos Nouvelles
22.12.2016 Bonne année!
Bonne année! Administration ...
30.12.2015 Bonne année!
Bonne année! Administration ...
21.12.2015 Energie heureux!
Energie heureux! Administration ...



Nouvelles CAD
объекты Ростехнадзора
Sur les exigences de performance de la loi fédérale N 152 “Données à caractère personnel” lorsque le projet fonctionne “clés en main”
À l'exécution des travaux d'étude “clés en main” il est nécessaire de travailler avec les données personnelles comme des architectes de la documentation de projet et d'études, et les clients.

On sait que le 27 juillet 2006 était accepté la Loi Fédérale N 152 “ Données à caractère personnel ” pour le support de la sécurité des droits et les libertés de la personne et le citoyen au traitement de ses données personnelles, y compris les sécurités des droits d'inviolabilité de la vie privée, le secret personnel et familial. De nombreux faits des vols des bases des données personnelles dans les structures d'Etat et commerciales, leur vente universelle ont servi à une des raisons de l'acceptation de la loi donnée.

Il est nécessaire de sélectionner que les délais selon l'exécution des exigences N 152B sont prolongés jusqu'à janvier 2011

Nous examinerons le terme “les données personnelles”.

La définition des données personnelles (DP) se rencontrait et avant l'adoption de la loi, par exemple, à “la Nomenclature des informations du caractère confidentiel” affirmé par le décret du Président de la Fédération de Russie N 188 du 6 mars 1997:

Vers de l'information confidentielle Se rapportent: les informations sur les faits, les événements et les circonstances de la vie privée du citoyen, permettant d'identifier sa personnalité ( les données personnelles), à l'exception des informations étant passibles de la distribution dans les médias dans les cas établis par les lois Fédéraux.

Cependant la loi l'a complété. Maintenant, est d'accord N 152, les données personnelles – n'importe quelle information se rapportant à la personne physique définie ou définie en vertu de la telle information (le sujet des données personnelles), y compris son nom, le nom, le nom patronymique, l'année, le mois, la date et le lieu de naissance, l'adresse, familial, social, la situation de fortune, la formation, la profession, les revenus, une autre information.

Ainsi, les données personnelles sont, avant tout, les données du passeport, les informations sur l'état civil, les informations sur la formation, les numéros de l'INN, le certificat d'assurance de l'assurance d'Etat de retraité, l'assurance médicale, les informations sur l'activité professionnelle, social et la situation de fortune, l'information sur les revenus. Telles données sont pratiquement dans chaque organisation.

À l'entrée sur le travail sont des données du service du personnel de l'employeur, que le travailleur indique dans la fiche d'immatriculation, les curriculums vitae, d'autres documents remplis à la conclusion du contrat de travail.

À l'entrée de l'enfant au jardin d'enfants, l'école, l'institut, d'autres institutions d'instruction on remplit aussi la multitude de questionnaires et les formes, à qui on indique les données comme de l'enfant (par exemple, les actes de naissance donnés), et ses parents (jusqu'au lieu de travail, à la fonction occupée).

Au passage du traitement dans les institutions médicales il est nécessaire d'indiquer non seulement les données du passeport, mais aussi les informations sur les avantages, les assurances médicales, les informations sur les traitements précédents, les résultats des analyses. Dans plusieurs institutions médicales les cartes ambulatoires/stationnaires sont doublées dans l'aspect électronique.

Et toutes ces données, selon la législation actuelle, sont passibles de la sécurité.

Nous examinerons, par quoi il est nécessaire de commencer la sécurité et si elle est demandée.

La confidentialité des données personnelles – obligatoire pour l'observation par l'opérateur ou l'autre recevant l'accès vers personnel par la personne donnée l'exigence de ne pas admettre leur distribution sans accord du sujet des données personnelles ou la présence d'un autre motif légal (N 152).

L’opérateur – les administrations, l'organisme municipal, la personne civile ou physique, organisation et (ou) réalisant le traitement des données personnelles, ainsi que les buts définissant et le contenu du traitement des données personnelles (la loi fédérale 152).

Le système d'information des données personnelles (SIDP) – le système d'information représentant l'ensemble des données personnelles, trouvant dans la base de données, ainsi que les filières informatiques et les équipements, permettant de réaliser le traitement de telles données personnelles avec l'utilisation des moyens de l'automatisation ou sans utilisation de tels moyens (loi fédérale 152).

Le traitement des données personnelles Sont des actions (opération) avec DP, y compris la taxe, la systématisation, l'emmagasinage, le stockage, la précision (la rénovation, le changement), l'utilisation, la distribution (y compris la transmission), la dépersonnalisation, le blocage, l'annulation des données personnelles (ФЗ-152).

L'opérateur au traitement DP doit prendre toutes les mesures nécessaires d'organisation et techniques pour la sécurité des données personnelles contre l'accès illégal ou accidentel vers eux, les annulations, les changements, les blocages, les copiages, les distributions des données personnelles, ainsi que des autres faits illicites.

Qu'il est nécessaire de faire pour protéger les données personnelles ?

Avant tout, il est nécessaire de définir quels systèmes d'information DP est de quel type DP à eux sont travaillés.

Nous examinerons la classification des systèmes d'information des données personnelles.

Pour comprendre, autant le problème de la sécurité DP est essentiel, ainsi que pour le choix des méthodes nécessaires et les moyens de la sécurité DP, l'opérateur doit passer la classification SIDP. L'ordre de la classification est défini par l'ordre Fédérale de contrôle technique et de l'Exportationde la Russie, le FSB de la Russie et le Ministère de l'information et de la communication de la Russie N 55/86/20 du 13 février 2008

Donc, l'opérateur forme la commission (l'ordre du chef de l'organisation), qui après l'analyse des données initiales prend la décision de l'appropriation SIDP de la classe correspondante. Au cours de la classification sont définis:
- la catégorie des données travaillées personnelles;
- le volume des données travaillées personnelles;
- le type du système d'information;
- la structure du système d'information et la situation de ses équipements;
- les modes du traitement des données personnelles;
- les modes de la démarcation des droits d'accès des utilisateurs;
- la présence des connexions aux réseaux de l'usage total et (ou) les réseaux de l'échange de supports de données international.

Est d'accord à l'ordre N 55/86/20, tous les systèmes (CI) d'information se divisent sur standard et spécial.

Les systèmes Standard d'information – les systèmes d'information, à qui on demande le support seulement à la confidentialité des données personnelles.

Les systèmes Spéciaux d'information – les systèmes d'information, à qui en dehors de la dépendance de la nécessité du support de la confidentialité des données personnelles il faut assurer quand même une des caractéristiques de la sécurité des données personnelles, excellent de la confidentialité (la sécurité de l'annulation, les changements, les blocages, ainsi que des autres actions non sanctionnées).

Pratiquement il s'en suit que le CI standard est absent pratiquement, puisque dans la plupart des cas en dehors de la confidentialité il est nécessaire d'assurer aussi l'intégrité et l'accessibilité de l'information. En outre en ordre obligatoire aux systèmes spéciaux doivent être portés:
- Les systèmes d'information, à qui on travaille les données personnelles concernant l'état de santé des sujets des données personnelles;
- Les systèmes d'information, à qui on prévoit l'acceptation en vertu du traitement exceptionnellement automatisé des décisions personnelles données engendrant les effets juridiques en ce qui concerne le sujet des données personnelles ou les droits d'une autre manière abordant lui et les intérêts légitimes.

Donc, d'après les résultats de l'analyse des données initiales la commission assigne au système des données personnelles la classe correspondante:
La classe 1 (C1) – les systèmes d'information, pour qui la violation de la caractéristique donnée de la sécurité des données personnelles travaillées à eux, peut amener aux conséquences considérables négatives pour les sujets des données personnelles;
La classe 2 (C2) – les systèmes d'information, pour qui la violation de la caractéristique donnée de la sécurité des données personnelles travaillées à eux, peut amener aux conséquences négatives pour les sujets des données personnelles;
La classe 3 (C3) – les systèmes d'information, pour qui la violation de la caractéristique donnée de la sécurité des données personnelles travaillées à eux, peut amener aux conséquences insignifiantes négatives pour les sujets des données personnelles;
La classe 4 (C4) – les systèmes d'information, pour qui la violation de la caractéristique donnée de la sécurité des données personnelles travaillées à eux, n'amène pas aux conséquences négatives pour les sujets des données personnelles.

Les résultats de la classification prennent une forme par l'Acte de la classification SIDP, dans qui sont indiqués le type SIDP (standard, spécial), assigné SIDP la classe et la condition, à la raison de qui la décision était acceptée.

Comme on l'a déjà dit, la classification est nécessaire au choix ultérieur des méthodes et les moyens de défense DP travaillés à SIDP, puisque dans les documents Fédérale de contrôle technique et de l'Exportation et le FSB à chaque classe s'établissent les exigences selon la sécurité SIDP, de qui nous parlerons un peu plus tard.

Nous examinerons la réduction de la classe du CI des données personnelles.

La question sur, si a le sens séparément attirer IT les juristes, si on peut organiser l'appel d'offres sur la fourniture de services selon la réduction de l'activité conformément aux exigences de la législation et les forces des licenciés de la Fédération de Russie de FSTEK selon la sécurité technique de l'information confidentielle, des centers accrédités d'attestation des impératifs de sécurité assurer l'exercement de tels services est très controversé. Le sens clé dans ce qu'ayant passé l'analyse scrupuleuse juridique et l'argumentation du travail avec chaque accessoires des données personnelles, ainsi que, ayant découvert la technologie du traitement automatisé personnel donné par l'image juste dans la documentation normative, de projet et d'études et d'organisation et d'administration, on peut beaucoup réduire la classe de votre SIDP.

Nous examinerons certains moyens de la réduction de la classe de votre SIDP en vue de la réduction de la plupart des dépenses accompagnant.

Le moyen 1
En premier lieu les opérateurs travaillent les données personnelles, qui permettent d'identifier la personnalité (par exemple le citoyen de la Fédération de Russie) ou la personnalité du participant de n'importe quel registre ouvert conformément à la législation en vigueur de la Fédération de Russie. Si lire attentivement la législation, par exemple, sur les documents identifiant la personnalité du citoyen de la Fédération de Russie ou le citoyen étranger sur le territoire de la RF, on peut conclure un fait très intéressant sur ce que même nous devons montrer notre passeport du citoyen de la Fédération de Russie (quand même sa première page) à une très grande quantité de gens (les milices, les caissiers dans le magasin au paiement de l'achat par la carte bancaire, les analystes d'opérations aux banques, les managers aux aéroports, les gardiens et plusieurs autres). De plus, peu de gens de ces gens répond pour l'intégrité de ces données d'après la loi ou selon quelques ordonnances et en général les travaille quelque peu, excepté l'authentification visuelle de la personnalité. Tandis que l'on peut dire sur de ces données ? À l'étude ultérieure de certains actes fédéraux législatifs la partie des données doit être simplement ouverte par tout à l'exécution des actions définies.

En dehors de la définition de l'ouverture des données, se trouve comprendre que concrètement pour vos opérations du traitement DP permet uniquement d'identifier le sujet DP. Par exemple, si votre client est potentiel peut avoir quelques accords (recevoir quelques services). Alors, à titre de l'identificateur connaître insuffisamment simplement l'identificateur de la personnalité. Pour l'authentification du sujet il est nécessaire de connaître l'identificateur du service. L'identificateur de telle sorte des services peut être les numéros des comptes, les téléphones, les numéros des accords et cetera – la décision et l'argumentation pour l'opérateur DP.

Le moyen 2
Les compagnies se sont habituées à collecter une grande quantité d'information de certaines catégories des sujets DP (par exemple des collaborateurs personnels, les étudiants de l'ÉCOLE supérieure et les autres). La raison pour la collecte des données pouvait être la nécessité simplement réflexe du remplissage de la même fiche d'immatriculation du collaborateur (la forme T-2). Cependant, si réfléchir sur le sens et le bien-fondé de l'insertion de l'information sur les parents du travailleur à ses données, comme argumenter cette nécessité. Si plusieurs compagnies se servaient jamais d'une telle information à la vie ? Si si oui, cela ils peuvent trouver les raisons de l'utilisation d'une telle information dans les lois Fédérales ? À notre avis en très grande quantité de situations se réunit la quantité excédentaire de données personnelles, qui on peut simplement ne pas collecter, mais dans les cas exceptionnels les recevoir sur la cartonette et ne pas les apporter au système d'information. Argumentez juridiquement chaque accessoires des données collectées et travaillées personnelles et vous verrez que les excédentaires plusieurs d'eux. La cessation correcte de leur traitement simplifiera beaucoup le modèle des menaces à votre compagnie.

Le moyen 3
Divisez les données personnelles des sujets, que vous gardez et travaillez dans le SIDP, sur les parties séparées. Par exemple, travaillez séparément avec les données identificatoires du sujet et travaillez séparément avec les données supplémentaires du sujet, en les liant entre lui-même par l'identificateur arbitraire intérieur. En plusieurs cas avoir dans un espace les données identifiant et supplémentaires il n'y a pas simplement de nécessité logique et juridique, alors pourquoi compliquer à lui-même l'objectif ? Ayant divisé ces données aux étapes de leur traitement vous pourrez réduire la classe de chaque noeud du CI et, par cela même, réduire la classe finale du SIDP en tout.

Le moyen 4
N'importe quelles actions doivent être argumentées par quelque chose. Par exemple, les dépenses pour les actions de la création des mesures de la sécurité de l'information doivent être argumentées par le préjudice possible, qui peut porter à l'opérateur ou le sujet DP l'incident de la sécurité avec les données personnelles. L'étape de l'argumentation est coupée dans la plupart des documents normatifs comme l'étape obligatoire à l'organisation des travaux sur la création du système de la sécurité. Comme il se trouve, le moyen assez effectif de la réduction de n'importe quelles dépenses à la défense de DP est l'absence du préjudice comparable de l'incident notamment avec ces données. Ainsi, par exemple, quel sens dépenser centaines de mille roubles pour la sécurité et l'attestation du poste de travail, quand sur lui sont affichés à l'unité de temps seulement les données identificatoires et seulement un sujet ? Le principe du bien-fondé économique est le principe de base et trouve la réflexion même dans les standards d'Etat. En raison de cela, le conseil clé pour IT des juristes sera la révélation des portions travaillées des données personnelles dans de divers noeuds du SIDP et le calcul du dommage à l'apparition de l'incident à partir d'agissant civil, administratif et la législation criminelle de la Fédération de Russie. De plus, il est rationnel de peser le préjudice possible avec le niveau de la probabilité de l'apparition de n'importe quel incident.

Le moyen 5
Une importante étape à la réduction de l'activité conformément aux exigences de la législation selon les données personnelles est la construction du modèle des menaces. Il est nécessaire de construire le modèle des menaces selon les exigences de la Fédération de Russie de FSTEK et à l'utilisation des moyens de l'information cryptographique selon les exigences du FSB de la Fédération de Russie. Que le modèle en détail étudié des menaces peut nous donner ? Mais qu'il n'y a pas de nécessité d'appliquer une série de moyens de défense de l'information, si l'implémentation de la menace est pratiquement improbable. Certes, on peut se défendre de la chute possible du météorite sur le bâtiment, dans qui vous travaillez les données personnelles ou de ce que le serveur sortiront dans le trou dans le mur de mètre du bâtiment. Mais si ainsi c'est nécessaire et autant cela probablement notamment pour vous ? La réponse à ces questions et argumenté de divers points de vue (avec physique, logique, aléatoire, juridique, économique et les autres) l'estimation, peut considérablement simplifier à vous l'objectif.

Le moyen 6
La bogue fréquente est les constructions de l'interface d'utilisateur des systèmes d'information et la non-conformité de cette construction à l'objectif réel décidé par l'utilisateur. Par exemple, si d'après la loi l'analyste d'opérations de la banque doit identifier d'abord le client, mais puis accomplir les activités bancaires, pourquoi prévoir pour tous les analystes d'opérations la possibilité de l'image du répertoire des clients trouvés d'après les résultats de sa requête. En cas d'urgence une telle possibilité peut être seulement chez un utilisateur dans l'agence bancaire. La fonction, indiqué ci-dessus dans l'exemple, peut être bloquée encore au niveau du DBMS, en enlevant alors la nécessité de la création des moyens de défense spéciaux de l'information sur la multitude de sujets simultanément, qui ne peut pas quitter du dépôt des données. Les exemples analogues est la création des formes complexes d'écran, sur qui est affiché “à la fois tout”. Oui, dans certains cas c'est plus confortable, mais en effet, on peut reconstruire la partie de l'interface d'utilisateur liée aux données personnelles et ne pas admettre sur le poste de travail du simultanée traitement des données personnelles 1 et 2 de la catégorie. Les règles analogues de la dissection doivent agir et pour le trafic de données des postes de travail des utilisateurs vers le serveur. Il est important de sélectionner Ici que pour réaliser les recommandations indiquées ci-dessus il ne faut pas souvent recopier assez le système d'information, mais on peut seulement accomplir certaines petites modifications.

Le moyen 7
Le réseau informatique, d'une part, est la base pour la construction des multichefs de groupe distribués des systèmes d'information permettant beaucoup simplifier le travail des collaborateurs et les clients de la compagnie, mais, d'autre part, est souvent la pierre angulaire à l'étude des questions de la sécurité de leur utilisation. Mais si ainsi il nous est nécessaire simultanément de transmettre selon le réseau l'assortiment des données personnelles 1 ou 2 les catégories ? Il y avoir nous être pouvons les diviser, ayant amené la classe des données transmises vers 3 ou même 4 les catégories ? Alors on beaucoup réduit la classe totale du CI.

Aussi ça vaut la peine de noter que l'application des moyens de la cryptographie selon les algorithmes la norme d'État, souvent examiné Fédérale de contrôle technique et de l'Exportation comme seulement le moyen extrême, est parfois plus simple dans l'implantation et l'exploitation. De plus, il ne vous faut pas de quelques licences pour accomplir l'appel des méthodes du FSB certifié SKZI dans la partie des fonctions se trouvant dans sa documentation. Tels travaux de l'opinion se rencontrant souvent des représentants du FSB ne se rapportent pas à l'activité accordée une licence, puisque vous utilisez simplement par le moyen documenté contrôlé par eux et connu de lui certifié l'outil et sa documentation publique coordonnée.

Le moyen 8
Étudiez attentivement les caractéristiques et les données du passeport de l'équipement utilisé, les câbles et des autres éléments constructifs, à qui d'une manière ou d'une autre on lie le travail de votre SIDP. La plupart d'eux ont le certificat de la conformité validant leurs caractéristiques de passeport. Par l'objectif de vos spécialistes collectera seulement tous les documents ensemble, il est formel de comparer aux exigences de la législation selon la fuite des données selon les voies de communication techniques. Finalement vous verrez qu'il est plus facile d'accomplir plus souvent les exigences d'exploitation à l'ordinateur, qu'appliquer les moyens de défense spécialisés des fuites des données selon les fossés techniques.

Le Moyen 9
Très plusieurs systèmes modernes d'information sont construits à la base le multichef de groupe de l'architecture. C'est-à-dire, l'information passe le traitement à plusieurs degrés, en étant translaté de l'espace de l'entrée vers l'espace du stockage, d'un sous-système vers l'autre. Absolument, si vos sous-systèmes ou les groupes dans l'architecture je coopère entre lui-même en mode du temps réel synchronement (i.e. l'exécution de la fonction dans un sous-système provoque synchronement l'exécution de la fonction à l'autre), à partir de la compréhension agissant des standards et la législation, un tel groupement des sous-systèmes sera considéré par le CI commun. Mais en effet, dans très plusieurs cas on peut donner la coopération réelle synchrone et faire le trafic de données asynchronement en mode pseudo-réel. Une telle variante n'aggravera pas le business des caractéristiques de la décision, permettra à niveau nécessaire et détail de la documentation de projets dire cependant sur deux divers CI, pour un de qui les données débarquent et sur cela le travail avec eux s'achève, mais déjà un autre CI récupère ces données et travaille avec eux. Cela peut permettre de s'écarter de la caractéristique “distributions” votre SIDP et est essentiel de simplifier la sécurité demandée de la transmission déchargé et puis les données récupérées.

Le moyen 10
Cela peut sonne non d'une manière actuelle, mais parfois la sortie du traitement automatisé de quelque terrain de toute la multitude de données personnelles est capable beaucoup de faciliter la vie à l'opérateur DP. Le conseil fait la propagande comme le FSB de la Fédération de Russie et la Fédération de Russie de FSTEK, sur le traitement de la partie DP sur les cartonettes peut réduire dans nombre de cas la classe du CI utilisé DP, il est essentiel de réduire les dépenses pour l'organisation du système de la sécurité et parfois même simplifier le travail des spécialistes travaillant avec ces données conformément aux normes de la législation. Nous proposons de ne pas rejeter ce conseil, puisque à partir de notre pratique dans certains cas il peut vous donner l'effet très efficace.

Simultanément avec la traduction de l'information sur les cartonettes, il est rationnel d'analyser une exception très intéressante, qui est indiquée au paragraphe 2 art. 2 lois clés 152-FZ que l'action de la loi ne se répand pas à l'organisation du stockage, le regroupement, le compte et l'utilisation des documents contenant les données personnelles du fonds D'archives de la Fédération de Russie et d'autres documents d'archives conformément à la législation sur l'affaire d'archives en Fédération de Russie. La construction et l'utilisation effective de l'archive dans l'organisation accomplissant les travaux d'étude, conformément à la législation d'archives peut permettre de simplifier l'implémentation des exigences de la législation sur DP pour l'exécution de la partie des opérations avec la partie des données personnelles.


Les sources:
1. Anashkin A. Comment faire pour se conformer aux exigences de la loi fédérale N 152 “Données à caractère personnel”. – 2010 [http://daily.sec.ru/dailypblshow.cfm?pid=24558]
2. Luzhetskyy M.G. 10 moyens de réduire la classe du SI personnel donné (SIDP) [http://www.softmart.ru/site/pdf/10ways2fz152.pdf]
3. La loi fédérale de 27/07/2006 N 152 (27/12/2009) “Données à caractère personnel” (est accepté Fédération de Russie de 08/07/2006) [http://base.consultant.ru/cons/cgi/ online.cgi?req=doc; base=LAW; n=95593]

L'auteur: Челябэнергопроект
La date: 23/03/2010

Les commentaires des spécialistes de Челябэнергопроект:
Non
Статьи

смета проектных работ
©Челябэнергопроект – проектные работыinfo@chepr.ru, 2007-2013
DRA.RU - проектирование сайта под ключ; системный администратор ООО «Челябэнергопроект»
Главная|О компании|Стратегия|
Компетенция / услуги|Контакты
Сертификат качества