Get best of the week

Fernverarbeitung personenbezogener Daten: Risiken und mögliche Folgen

Bild

Es geht um die gleichen Empfehlungen der Führung des Landes, Mitarbeiter von Unternehmen (staatlich und nichtstaatlich) in einer Pandemie in den Fernmodus zu versetzen.

Ist es möglich, den Prozess der Arbeit mit personenbezogenen Daten (PD) zu Hause zu organisieren, und was schreiben uns die Gesetze und technischen Anforderungen vor?

Wir werden versuchen, all diese Fragen in diesem Artikel zu beantworten.
 
Entsprechend den Empfehlungen sollte der Arbeitgeber dem Arbeitnehmer die notwendige Ausrüstung für die Isolationsperiode zur effektiven Durchführung der Aufgaben zur Verfügung stellen. Was ist bei der Arbeit mit PD erforderlich?

Eine automatisierte Workstation, eine sichere, unterbrechungsfreie Hochgeschwindigkeitsverbindung (etwa die Schutzstufe etwas später), ein Schlüsselmedium (Token) und Zugriff auf die Unternehmensdatenbank (DB). Aber ist es auf den ersten Blick so einfach?

11 2014 . :

«.3


.3:

— .
— :

1) ,
;
2)
,  
();
3)
.1;
4) .


-
.

.3:

1) (
, ),
;
2)
,
,
;
3) ,  
;
4)  
 
».

Stellen Sie sich vor, ein Mitarbeiter einer Institution hat nicht die Möglichkeit, seine beruflichen Tätigkeiten remote auf einem Heimcomputer auszuführen (oder er existiert überhaupt nicht). In diesem Fall kann der Arbeitgeber den Arbeitsplatz in persönlicher Verantwortung zur Verfügung stellen.
 
Aus diesem Auszug folgt, dass die Entfernung von MNI aus der Einrichtung gesetzlich zulässig ist und die Regeln für die Kontrolle der Bewegung festgelegt werden, Anforderungen an den Status der Person gestellt werden, die die Bewegung ausführt, und der gesamte Prozess durch das Vorhandensein spezifischer Aufgaben bestimmt wird.

Die Umsetzung des Punktes zur regelmäßigen Überprüfung des Vorhandenseins von PIM für einen Mitarbeiter, der sich während der Pandemie in einem Selbstisolationsregime befindet, führt jedoch zu bestimmten Überlegungen. Eine ganz andere Frage ist, wie die Regulierungsbehörden dies im Bereich der PD-Verarbeitung und des Informationsschutzes behandeln werden.
 
Die nächste Anforderung, um den Prozess der Arbeit mit PD sicherzustellen, besteht darin, einen vertrauenswürdigen Download von Computergeräten sicherzustellen.
№21 18 2013.:

«.17
 
() () .

:

— () ;
— ;
— .

( -, ).

- .

.17:

 1) - ;
 2) - , - ;
 3) ;..»

Es versteht sich, dass die Verwendung vertrauenswürdiger Boot-Tools auf Haushaltscomputern natürlich nicht möglich ist, obwohl dies technisch machbar ist. Darüber hinaus wird die Verwendung von SDZ auf den „Computern“ bereitgestellt, zu denen Sie eine Remoteverbindung herstellen müssen. Dies wirft ganz natürliche Fragen auf: Wer sollte den Startschuss für den Start im Remote-Modus geben und was soll ich tun, wenn ein Fehler auftritt und ein Neustart erforderlich ist?

In solchen Fällen gibt es nur eine Option: Die Haupt-Maschinenstation wird in den Startmodus versetzt (was an sich einen Verstoß gegen die Regeln darstellt, birgt bestimmte Risiken, die wir etwas später analysieren werden).

Der Schutz gegen das Ändern von Systemdateien wird durch die Systemintegritätskontrollfunktion bereitgestellt, deren Qualität FSTEC in der Bestellung Nr. 27 vom 15. Februar 2017 auch bestimmte Anforderungen stellt.

Technisch können alle diese Anforderungen im Rahmen des laufenden Übergangs zum "Remote-Standort" umgesetzt werden. All diese technischen organisatorischen Probleme treten jedoch in den Hintergrund, wenn wir nach der Antwort auf die Frage suchen: Wie kann der Verlust verarbeiteter Informationen, einschließlich PD, unter solchen Bedingungen minimiert (oder besser nicht zugelassen) werden?

Trotz der im Bereich des Informationsschutzes getroffenen Maßnahmen waren, sind und werden Leckagerisiken immer. Leitdokumente im Bereich ZI beschreiben ganz klar die Liste der organisatorischen und technischen Maßnahmen, um diese zu minimieren und zu verhindern.

Wie Sie wissen, ist zu Hause und die Atmosphäre gemütlich ... Und es funktioniert leicht, und die Wände helfen. Zu Hause mit PD zu arbeiten ist wahrscheinlich nur für Einzelpersonen einfacher.
 
Schauen wir uns ein einfaches Beispiel an: Ein

Vater, ein Mitarbeiter des Zertifizierungszentrums des Bundesfinanzministeriums, das personenbezogene Daten verarbeitet, brachte seinen Computer von der Arbeit. Der prahlerische Sohn erspähte versehentlich einen Scan des Passes des Ministers, des Staatsanwalts einer konstituierenden Einheit der Russischen Föderation oder des Gouverneurs. Nun, ich habe Fotos gemacht, um sie meinen Freunden zu zeigen. Und jetzt noch ein Beispiel: Stellen Sie sich einen Batch-Upload personenbezogener Daten zum Zwecke des Marketings usw. vor.

Die objektive Seite des Verbrechens in Teil 1 und 2 der Kunst. 137 des Strafgesetzbuches wird alternativ durch die folgenden Maßnahmen in Bezug auf relevante Informationen beschrieben:

  1. Sammlung.
  2. Ausbreitung.
  3. Verbreitung auf besondere Weise: in den Medien, in einer öffentlichen Arbeit oder in einer Rede.

Um zur Rechenschaft gezogen zu werden, müssen folgende Aktionen ausgeführt werden:

  • rechtswidrig (bei Verstößen gegen das gesetzlich festgelegte Verfahren);
  • ohne die Zustimmung des Betreffs der PD.

Der illegalen Verbreitung von PD geht in der Regel ihre Sammlung voraus. Die Auslegung des Begriffs „Verteilung“ im Strafrecht ist weiter gefasst als im Gesetz Nr. 152-FZ. Also, gemäß Absatz 5 der Kunst. Gemäß Artikel 3 des Gesetzes Nr. 152-FZ ist die Verteilung von PD ihre Offenlegung gegenüber einer unbestimmten Anzahl von Personen. Um die Offenlegung von PD nach Art. Gemäß Artikel 137 des Strafgesetzbuchs reicht es aus, mindestens eine Person zu informieren.

So kann gewöhnlicher Streich und Indiskretion sowohl für den Arbeitnehmer als auch für den Arbeitgeber zu ziemlich traurigen strafrechtlichen und Reputationsfolgen führen.

Zusammenfassend sollte gesagt werden, dass der Remote-Modus die Mitarbeiter und ihre Umgebung natürlich dazu ermutigt, Straftaten zu begehen, die Konsequenzen in einem anderen Ausmaß haben können.

Darüber hinaus ist die aktuelle Situation ein Signal für den Staat, gesetzgeberische Unterstützung zu studieren und zu schaffen, um die Arbeit mit PD im Fernmodus zu regulieren.

More articles:


All Articles