無論公司屬於大型、小型或中型企業,無論是老牌組織或新創企業,個人資料保護問題與每個人都息息相關。本文專門介紹此類保護的特點和方法,以及有助於簡化這項工作並使其更加有效的建議。
誰來確保資料保護?
資料保護領域由資訊法(行政法的分支之一)進行法律規範,其規範在多項立法中都有規定。其中主要的一項是2006年7月27日第 152-FZ號聯邦法“關於個人資料”,其目的是“在處理個人資料時全面保護人和公民的憲法權利和自由”,例如隱私權、個人和家庭秘密。
實施保護個人資料的措施是運營者(即資訊系統中收集和處理資料的實體)的責任。通常,此類實體是擁有其員工和客戶資料庫的公司或由所有者公司授權的第三方組織。
未採取防護措施的,經營者承擔法定責任。在這種情況下,Roskomnadzor 負責監控和檢查公司。違反法律規定的,經營者承擔行政責任並處以罰款。自 2019 年以來,根據俄羅斯聯邦《行政違法法典》最近的修正案,其規模已增加至數十萬(對於法人實體為數百萬)盧布。
上一年根據檢查結果開出的罰款總額超過500萬。
保護什麼以及免受什麼侵害?
讓我們從術語問題開始。個人資料是指與法律規定為個人資料主體的個人直接或間接相關的任何資訊。此類資訊最常見的類型是:
姓氏、名字和父名本身也可以是個人資料。該資訊不得提供給任何第三方。
如果營運公司未能證明任何所列的處理理由,也將受到罰款,並且資料收集被視為非法。
這裡最重要的一點是同意處理本身。大多數公司使用的最簡單的方法是以某種方式實現的快速同意形式。通常,這是有關同意本身的隨附文本下熟悉的“勾號”。
另一個需要考慮的參數是,您不應處理與合同主題不直接相關的個人資訊(例如,對於經典銷售合同,買方的職業、教育水平或兵役不受影響)事情)。過多的興趣可能會被監管機構解釋為違規行為。
由於 Roskomnadzor 會不時進行不定期檢查(最常見的是來自特定人員的投訴 – 前員工、競爭公司或認為其權利受到侵犯的客戶),為了避免索賠,運營公司需要確保:
- 有關個人資料的政策已記錄並公開。
- 個人資料收集表格包建立個人資料保護含有關收集原因的解釋資訊(當需要輸入個人資料來簽訂協議時,也必須公佈其文字)。
- 已經收集的個人特殊數據,包括生物識別資訊(表徵一個人的生理和生物特徵的信息,在此基礎上可以確定其身份)不能轉移給外國公司。
- 個人資料主體的請求和要求(包括澄清、刪除、封鎖)始終得到滿足。
大多數情況下,Roskomnadzor 的檢查會發現此清單中的違規行為。另一個常見的抱怨是對處理實施的內部控制不足,以及負責處理的員工對其實施的規則和要求的認識不足。
我們列出的條件是一種基礎,一個基礎,因為個人資料的保護不僅基於遵守法律方面建立個人資料保護的規定 – 一般來說,這並不那麼困難,只需要內部紀律公司- 但也是一個更加複雜的技術組織。
當使用資訊系統(以及電子設備)進行處理時,會出現新的潛在威脅,需要將其最小化,或者更好的是完全消除。讓我們看看它們。
對資訊的威脅被認為是從內部或外部對自動化處理系統可能產生的影響或影響,這會為該資訊的主體帶來任何負面後果。通常,資訊系統在以下情況下特別容易受到攻擊:
- 公司軟體不完善、長期未更新且有漏洞;
- 某些系統進程(特別是保護性進程)無法滿載運作;
- 操作和儲存資訊的條件變得更加複雜。
威脅通常分為幾組(分類基於威脅的性質):
- 客觀的。直接取決於儲存和處理設備選擇得如何以及安全軟體是否正常運作。
不可能預見所有可能的故障和故障,但了解它們可能發生的地點和原因並保護自己非常重要。
- 隨機的。該組包括不可預見的情況、各種緊急情況和系統故障。在這種情況下,重要的是要準備好快速消除它們(系統所有可能級別的技術手段的任何故障,包括負責存取控制、各個建立個人資料保護晶片、儲存媒體、線性連接、陳舊和磨損的技術手段的故障) 。
- 主觀。通常,此類威脅被理解為從事資訊科技處理、儲存和保護的員工的不正確行為。他們可能在遵守安全規則方面犯錯誤,並在加載軟體或主動使用系統期間、在資料庫的各種操作期間或在打開和關閉設備時允許洩漏。該群組還包括仍具有未經授權存取資料的前員工的非法行為。
運營商公司的專家必須考慮所有類型的威脅。您應該考慮一些標準,以幫助您了解一種或另一種威脅的真正可能性(以及保護演算法失敗或成功繞過的可能性):
- 可用性。此標準表明攻擊者可以多麼容易地存取他需要的資訊或儲存該資料的組織基礎設施。
- 致命性。此特徵涉及評估威脅對系統整體運作的影響程度以及公司專門人員應對該因素影響後果的能力。
- 數量。此參數涉及確定資料儲存和處理系統中潛在易受攻擊部分的數量。
還有其他分類,在建立個人資料保護參數中考慮工作人員存取系統本身或其元素的能力、存取系統主要部分的方法以及放置資訊的具體方式。
專家將所有威脅的很大一部分與客觀外部因素以及來自競爭對手、攻擊者和前員工的資訊入侵聯繫起來。特別危險的是那些熟悉特定係統的操作規則、具有程序開發人員水平的知識並且掌握有關係統中一個或另一個脆弱點的信息的人。
個人資料保護體系建設
資訊安全涉及四個層級的威脅防護:
- 第一級。最高的要求對特殊個人資料(國籍和種族、宗教態度、健康狀況和個人生活)進行全面保護。
- 第二級。涉及生物辨識資料(包括照片、指紋)的保護。
- 第三級。它代表對公開資料的保護,即個人本人授予完全且不受限制的存取權限的資料。
- 第四級。這是一個複合組,包括前三段中未提及的所有數據。
因此,公司資訊庫中收集的所有資料都可以根據保護等級進行清晰的分佈。
提供保護
每種情況下的資訊保護均由一系列措施組成。
- 第四級。這意味著將未經授權的人員排除在資訊設備所在的場所之外,確保 bc 數據香港 資料載體的安全,批准有權進行資料處理的工人的明確名單,以及使用特殊的資訊安全工具。
- 第三級。意味著滿足上一層級的所有要求並任命一名負責資訊安全的官員。
- 第二級。除了滿足上一層級的要求外,還包括限制對電子安全日誌的存取。
- 第一級。除了第二級必須遵循的所有要求外,它還包括確保在電子安全日誌中自動記錄有權訪問資料的員工的權力(如果這些權力發生變化),並分配責任資訊安全交給專門成立的單位。
依照層級正確實施法律規定的個人資料保護措施,可確保營運商公司所採取的整體資訊保護策略的最大效率。
資訊安全工具
法律還規定了技術和組織安全措施的詳細清單。其中包括識別和驗證存取主體和客體的程式、存取控制鏈、限制軟體環境、電腦儲存媒體的可靠保護、防毒保護、入侵預防和偵測、環境安全程度分析、同時確保 淺談暗模式電子郵件行銷 資料可用性並識別可能導致系統故障的事件。此外,如果技術上無法實施任何措施,法律規定必須制定其他補償措施來消除威脅。
保護的技術手段也有單獨的分類,必須根據所需的保護等級進行選擇。這些手段由聯邦技術和出口管制局(負責資訊保護的執行機構)起草的官方文件定義。該文件可在 該服務的官方資源上取得。每個類別都有一套最低的保護要求。
資訊保護的加密手段
保護個人資料最有效的方法之一是使用密碼學。為了簡單起見,我們討論的是使用數字代碼加密文字。
加密工具包括硬體、軟體以及能夠實現資訊加密轉換演算法的組合設備和複合體。
它們旨在同時保護透過通建立個人資料保護訊通道傳輸的訊息,並在處理和儲存過程中防止未經授權的存取。邏輯很簡單:不知道程式碼的攻擊者即 中國資料庫 使獲得了數據的存取權限也將無法使用數據,因為他不會讀取數據。對他來說,它們仍然是一組毫無意義的看似隨機的數字。
使用加密手段的規定由聯邦安全局確定並記錄在相關命令中。
保護個人資料的建議
正如您所看到的,由單獨的公司維護資訊安全系統似乎是一項相當勞力密集的任務。
這種合作始終需要公司管理階層和全體員工的大力參與。不認真採取安全措施可能會導致資料被盜、巨額罰款、訴訟和聲譽受損。
定期評估所選保護措施的有效性,及時調整,並監控立法變化。預防威脅比處理威脅後果更容易(也更便宜。