Захист персональних даних: відкладати більше не можна, Криптографія, Security & Hack, статті

З кожним місяцем питання захисту персональних даних (ПДН) стає гостріше. У організацій, що обробляють таку інформацію, залишається все менше часу до 1 січня 2010 року, щоб привести свої інформаційні системи у відповідність з федеральним законом № 152-ФЗ. Раз у раз від Роскомнадзора надходять недвозначні сигнали про необхідність подачі заявки на реєстрацію в якості оператора ПДН. Якщо компанія цього не зробила, вона порушує встановлені законом вимоги, і її діяльність може бути припинена регулюючим органом. І, судячи з дій Роскомнадзора, масові перевірки вже не за горами.


Закон № 152-ФЗ несе в собі ще одну загрозу – дає додатковий інструмент недобросовісним конкурентам. Що заважає подати заяву від імені суб’єкта персональних даних (конкретного громадянина) про порушення його прав компанією, якій він повідомив особисту інформацію? Підприємство чекає ще одна перевірка, відволікаюча сили від основного бізнесу. Тому завдання побудови захисту персональних даних виходить далеко за рамки повноважень департаменту інформаційної безпеки. Адже невиконання вимог закону несе загрозу не просто інформаційним ресурсам чи інтересам окремих клієнтів – виникає загроза для нормального функціонування самого бізнесу. Саме тому завдання побудови захисту персональних даних виходить далеко за рамки повноважень департаменту інформаційної безпеки, і всі найважливіші рішення за проектом “Побудова захисту персональних даних” повинні прийматися на рівні вищого менеджменту організації.


“Переважна більшість організацій до цих пір не запустило проекти з приведення інформаційних систем у відповідність до положень закону” Про персональні дані “, – відзначає виконавчий директор Leta IT-company Андрій Конусов. – Зволікання було пов’язано, насамперед, з тим, що лише зовсім недавно з’явився повний масив нормативних актів регуляторів. Друга причина в тому, що організаціям дуже непросто зважитися на серйозні витрати і реорганізацію ряду бізнес-процесів, зберігаючи традиційну надію на те, що “біда пройде стороною”. Але, як показує практика, держава не змінило своїх намірів добитися реалізації положень закону “Про персональні дані” – це наочно демонструють масові перевірки, які вже почали проводити територіальні підрозділи Роскомнадзора. У цій ситуації можна звернутися до спеціалізованих ІБ-компаніям, що пропонують послуги з побудови інформаційних систем ПДН. Але слід пам’ятати, що і їх ресурс обмежений. Робити конкретні кроки у відповідності до вимог 152-ФЗ необхідно як якнайшвидше, не чекаючи, коли у двері постукає перевірка “.

Типові помилки операторів ПДН


Незважаючи на те, що питання захисту персональних даних в Росії досить молоді, вже почали складатися певні помилки в даній області. Наведемо основні з них.


Перше – це впевненість, що поки можна нічого не робити і почекати, поки когось покарають. Така компанія не несе поки ніяких витрат, не навчає співробітників і не замислюється про зміну сформованих процесів обробки ПДН. І сподівається, що перші ж гучні випадки процесів або якихось санкцій змусять регулюючі органи внести суттєві корективи. Наприклад, значно розширити список засобів, дозволених для використання в системах захисту ПДН, або зрушити терміни готовності системи захисту ПДН. Але така компанія, тим не менше, сильно ризикує. Санкції, передбачені існуючим законодавством, істотні. Сценарії, які можуть призвести до накладання санкцій, цілком реалістичні. Швидко виконати всі роботи – від отримання ліцензії ФСБ до зміни окремих процесів обробки даних – в ході перевірки попросту неможливо.


Інше оману – переконаність у тому, що дія закону не пошириться саме на “нашу” компанію. Відповідно, теж можна нічого не робити. Прихильники такого підходу наводять різні аргументи. Наприклад, що в компанії не ведеться автоматизована обробка персональних даних, і все робиться на папері. Інші компанії кажуть: “У нас велика компанія з іноземним капіталом, бази даних фізично знаходяться на закордонних майданчиках. Та й взагалі – хто нас зачепить? “. Зустрічається і надія на” блискучих юристів “, які доведуть, що компанія не є оператором ПДН. А деякі вважають, що якщо не подати заявку на оператора ПДН, то і з перевіркою ніхто й не прийде.


Закон № 152-ФЗ ставить за мету ввести достатньо жорсткі обмеження, яким має слідувати оператор персональних даних


Однак у більшості випадків регулюючі органи не поділяють подібну позицію, і якщо компанія потрапить в поле нагляду, санкції виявляться неминучі. “Лазівки” в чинній нормативній базі поки не виявлені, а якщо вони і знайдуться, то вони будуть негайно закриті.

У чому полягають вимоги закону?


Закон № 152-ФЗ покликаний захистити права і свободи людини при обробці його особистої інформації, у тому числі право на недоторканність приватного життя, особисту й сімейну таємницю. Персональні дані – це будь-яка інформація, що відноситься до певної особи: ПІБ, адресу, номер телефону, сімейне, соціальне, майнове становище, освіта, професія, розмір доходів, ставлення до релігії, дані про здоров’я, хобі – перелік справді нескінченний. Також в законі визначено поняття “оператор персональних даних” – це організація, якій свої персональні дані довірив сама людина, або інша організація, обробна їх.


По суті, закон має на меті ввести достатньо жорсткі обмеження, яким має слідувати оператор персональних даних. Як уже згадувалося, він встановлює дату, до якої інформаційні системи ПДН, створені до набрання законом чинності, повинні бути приведені у відповідність з його вимогами – не пізніше 1 січня 2010 року. Крім того, оператор персональних даних в більшості випадків зобов’язаний направити в уповноважений державний орган відповідне повідомлення.

Регулятори й персональні дані


Відповідно до № 152-ФЗ, в орбіту процесів, пов’язаних із захистом ПДН, залучені три органи державної влади: ФСБ, ФСТЕК і Роскомнадзор Міністерства зв’язку і масових комунікацій. Область відповідальності у кожного з них своя. ФСБ традиційно курирує питання захисту інформації з використанням засобів шифрування (криптографії). ФСТЕК Росії здійснює контроль захисту інформації з застосуванням технічних засобів. Одна з його компетенцій – підтвердження відсутності в засобах захисту інформації недекларований (“шпигунських”) можливостей. Роскомнадзор є основним виконавчим і наглядовим органом по захист прав фізичних осіб, чиї персональні дані обробляються.

Роскомнадзор володіє наступними правами: проводити перевірку відомостей, що містяться в повідомленні, поданому оператором; залучати для такої перевірки інші державні органи (ФСБ, ФСТЕК); приймати заходи по призупиненню або припиненню обробки ПДН, здійснюваної з порушенням вимог закону; звертатися до суду з позовними заявами на захист прав суб’єктів ПДН і представляти їх інтереси в суді. А також направляти заяви до органу, який здійснює ліцензування діяльності оператора, для розгляду питання про прийняття заходів щодо призупинення дії його ліцензії; направляти до правоохоронних органів матеріали для вирішення питання про порушення кримінальних справ у зв’язку з порушенням прав суб’єктів ПДН; притягати до адміністративної відповідальності осіб, винних у порушенні закону.


Список повноважень вельми значний – очевидно, що у Роскомнадзора достатньо важелів впливу практично на будь-яку організацію. На практиці регулювати дану сферу діяльності повинен саме Роскомнадзор, а ФСБ і ФСТЕК будуть залучатися для контролю за реалізованими заходами захисту ПДН. Справа в тому, що організації, які експлуатують інформаційні системи ПДН певних класів, повинні отримати ліцензію ФСТЕК на діяльність з технічного захисту конфіденційної інформації. Крім того, технічні засоби, які будуть використані для захисту ПДН, необхідно сертифікувати в ФСТЕК. Саме методики ФСТЕК повинні бути покладені в основу “Моделі загроз” для кожної інформаційної системи, що обробляє ПДН. Цей документ належить розробити кожному оператору. На виконання цих аспектів, швидше за все, і будуть сфокусовані співробітники ФСТЕК, які залучаються для перевірок.


Закон також вимагає, щоб організації, які експлуатують інформаційні системи ПДН певних класів та передавальні ПДН через загальнодоступні та міжнародні мережі, забезпечили їх захист з використанням криптографічних засобів. А діяльність по впровадженню шифрувальних (криптографічних засобів), як і по розробці телекомунікаційних систем, захищених з використанням даних коштів, підлягає ліцензуванню в органах ФСБ. Так що фахівці ФСБ в першу чергу приділять увагу наявності необхідних ліцензій і використання засобів криптографічного захисту, перерахованих в реєстрі ФСБ.

Що таке “категорія персональних даних”


Законодавство вводить нове поняття – “категорія персональних даних”, всього таких категорій – чотири. До четвертої, найбільш простий, відносяться знеособлені і (або) загальнодоступні персональні дані. У третю включається інформація, що дозволяє ідентифікувати суб’єкта ПДН. У другу категорію входять дані, що дозволяють не тільки ідентифікувати суб’єкта, а й отримати про нього додаткову інформацію. І, нарешті, найвища, що вимагає найбільш серйозного захисту, перша категорія об’єднує дані, в яких відображені расова, національна приналежність, політичні погляди, релігійні та філософські переконання, стан здоров’я, інтимне життя.


Відповідно до досить зрозумілими критеріями, кожен вид ПДН відноситься до певної категорії, а кожна система, обробна ПДН, повинна бути віднесена до конкретного класу. На клас впливає категорія даних та інші ознаки (розподіленість інформаційної системи, кількість записів ПДН в ній і т.д.). Очевидно, що рівень захищеності ІС повинен відповідати критичності даних. Саме тому для різних класів вводяться різні вимоги за ступенем захисту. Отже, чим менше детальну інформацію можна отримати про суб’єкта ПДН, чим менше записів у системі і чим менше вона розподілена – тим нижче вимоги до захисних механізмів. З практичної точки зору вкрай важливо представити систему ПДН як відноситься до “нижчого” класу. Це дозволить мінімізувати витрати на забезпечення захисту персональних даних.

Відповідальність за порушення закону


Відповідальність при невиконанні вимог закону, на жаль, досить серйозна, щоб, по крайней мере, прийняти її до відома. Проаналізувавши КоАП РФ і КК РФ, можна виділити ряд статей, відповідно до якими буде визначатися відповідальність за порушення вимог щодо захисту ПДН. КпАП Стаття 5.39 – відмова в наданні громадянину інформації. Відповідальність – штраф до 1000 руб., Але також це може бути підставою для відповідальності за статтею 3.12 (Адміністративне призупинення діяльності). КпАП Стаття 13.11 – порушення встановленого законом порядку збору, зберігання, використання або поширення інформації про громадян. Відповідальність – штраф до 1000 руб.


КпАП Стаття 13.12 – порушення правил захисту даних. Відповідальність – штраф від 10 000 до 20 000 руб. з конфіскацією несертифікованих засобів захисту інформації або адміністративне призупинення діяльності на термін до 90 діб. КК Стаття 137 – порушення недоторканності приватного життя. Відповідальність може доходити до штрафу в розмірі ЗП засудженого за 18 місяців або арешту на 6 місяців. КК Стаття 140-відмова у наданні громадянину інформації. Відповідальність – штраф до ЗП за 18 місяців або позбавлення права займати ряд посад чи займатися певною діяльністю. КК Стаття 171 – незаконне підприємництво. Відповідальність – до 5 років позбавлення волі зі штрафом у розмірі ЗП засудженого за 6 місяців.


Часом доводиться чути, що поки ці статті не працюють і реального переслідування ніхто здійснювати не збирається. На жаль, це не зовсім так – правозастосовна наглядова практика вже починає складатися. Давайте уявимо кілька типових ситуацій.


Приклад № 1. Компанія отримує лист від громадянина, дані якого раніше отримала і включила в свої бази, з проханням надати йому інформацію про те, як ведеться обробка його ПДН. Що їм рухає – незрозуміло. Можливо, щирий інтерес, можливо, природна любов до конфліктів, а може і недобрий намір. У будь-якому випадку він має право на таке звернення відповідно до статті 14, частиною 4 закону № 152-ФЗ. Але компанія не готова до того, щоб дати вичерпну відповідь у відведений час. Вона не надає затребувану інформацію або надає її не повністю. Клієнт, не отримавши у вказані в законі терміни відповідь, звертається зі скаргою в Роскомнадзор. Той направляє до органів прокуратури запит про порушення кримінальної справи у зв’язку з порушенням прав суб’єкта персональних даних. Можлива відповідальність: за КпАП ст.5.39 або за КК ст.140. І ось у вас під дверима прокурорська перевірка.


Приклад № 2. Компанія поспішно реєструється в якості оператора персональних даних. При цьому багато аспектів опускаються або залишаються на майбутнє. У певний момент компанія отримує припис з Роскомнадзора про перевірку інформації, зазначеної в заявці на реєстрацію в якості оператора. При документальному вивченні додаткових даних Роскомнадзор робить попередній висновок про недостатність заходів щодо захисту ПДН. Наприклад, співробітникам Роскомнадзора не пред’являються копії сертифікатів на засоби захисту інформації, не демонструються ліцензії ФСТЕК, ФСБ або документи, що описують модель загроз і поведінку потенційного порушника. Після чого Роскомнадзор направляє звернення до ФСТЕК та / або ФСБ з питання проведення позапланової перевірки організації з метою з’ясування ступеня виконання вимог щодо забезпечення захисту ПДН.


Перед керівництвом постає класична дилема: використовувати для захисту ПДН ресурси власних співробітників або залучати компанію-консультанта


В ході перевірки виявляється, що дана організація експлуатує інформаційну систему певного класу та у зв’язку з цим повинна була отримати ліцензію на діяльність з технічного захисту конфіденційної інформації ФСТЕК. Ліцензії дана організація не має, та робіт по її отриманню вона не починала. ФСТЕК направляє звіт про перевірку в Роскомнадзор, який, у свою чергу, направляє до органів прокуратури або інші правоохоронні органи матеріали для вирішення питання про порушення справи. Можлива відповідальність: за КпАП ст.13.12 або за КК ст.171.


Необхідно відзначити і той факт, що в КК РФ вже внесені зміни (стаття 137), що посилюють відповідальність за порушення, що зачіпають недоторканність приватного життя. Вони вступлять в силу з 1 січня 2010 року.

Чим регламентована захист ПДН


Всі законодавчі та нормативні акти щодо захисту ПДН можна розбити на дві групи: загальнодоступні та закриті. Перелік загальнодоступних правових актів відомий, але й до закритих документів доступ отримати нескладно. По суті, це методичні рекомендації, яким оператор ПДН повинен слідувати. Випустив ці керівні документи ФСТЕК, вони носять гриф “Для службового користування”, але надаються всім заявникам. Так що для їх отримання досить письмово звернутися в підрозділ ФСТЕК за місцем знаходження організації. Документи наступні: “Основні заходи з організації та технічного забезпечення безпеки ПДН, оброблюваних в ІСПДн (інформаційній системі персональних даних) “;” Рекомендації щодо забезпечення безпеки ПДН при їх обробці в ІСПДн “;” Базова модель загроз безпеки ПДН при їх обробці в ІСПДн “;” Методика визначення актуальних загроз безпеки персональних даних при їх обробці в ІСПДн “. До відкритих спеціальним актам з даної теми належать також керівні документи ФСБ, які можна знайти за посиланням http://www.rsoc.ru/main/directions/874/916.shtml. Там же опубліковано ряд відкритих актів з ПДН, а також документи Роскомнадзора, що регулюють порядок реєстрації оператора персональних даних.


Навіть якщо побудовою системи займається стороння компанія, запит на отримання документів направити потрібно. Причина проста – у разі перевірки підприємство буде набагато краще виглядати в очах співробітників ФСТЕК або ФСБ, якщо вони побачать номерні копії керівних документів серед іншої документації по проекту побудови захисту ПДН. Якщо навіть перевірка виявить якісь огріхи, буде враховано, що ви чесно намагалися розібратися, залучали людей, вивчали керівні документи, закуповували сертифіковані засоби захисту. Все це, безумовно, згладить можливі наслідки.

Вимоги до засобів захисту ПДН


Закон передбачає, що оператор застосовує спеціалізоване програмне і апаратне забезпечення в процесах збору, обробки, передачі та зберігання ПДН. Як уже згадувалося, засоби захисту ПДН повинні володіти сертифікатами ФСТЕК або ФСБ. Державний реєстр сертифікованих засобів захисту інформації № РОСС RU.0001.01БІ00: див нижче. Перелік засобів захисту інформації, яка не містить відомостей, що становлять державну таємницю: див нижче.


У списках переважають продукти вітчизняних виробників, але останнім часом все більше західних рішень успішно проходить діючі системи сертифікації. Так що з кожним роком вибір засобів все більше розширюється. Цілком реальна ситуація, коли в реєстрі згадується засіб, аналогічне тому, що вже встановлено в компанії, але не пройшло процедури сертифікації. Якщо так, то цей засіб не буде розглядатися перевіряючим як належний механізм захисту ПДН. Виходів у такій ситуації два: або переходити на використання сертифікованих засобів або подавати на сертифікацію вже застосовуються. На жаль, сертифікація – дуже непроста процедура, що вимагає залучення спеціалізованої акредитованої тестової лабораторії, підготовки об’ємної документації про можливості системи, надання вихідних кодів. Крім того, це може вимагати відчутних витрат і займе не менше 6 місяців.


У відповідності з керівними документами регуляторів для деяких класів ІСПДн необхідно впровадити систему захисту, яка може складатися з 10 підсистем. Серед них: підсистеми антивірусного захисту; захисту від НСД; аналізу захищеності та виявлення вразливостей; криптографічного захисту інформації; маршрутизації, комутації та міжмережевого екранування; виявлення вторгнень. У ряді випадків (якщо це прямо вказано в розробленій моделі загроз або інформаційна система ПДН відноситься до першого класу) передбачається також запровадження і специфічних систем, званих “підсистемами захисту інформації від витоку по технічним каналам “. Вони захищають персональні дані: від витоків по ланцюгах електроживлення та заземлення; від витоків за рахунок побічних електромагнітних випромінювань і наведень; від витоків з акустичного (віброакустичним) каналу; від витоків за рахунок акустоелектричних перетворень та високочастотного нав’язування.


У таблиці “Перелік підсистем ІБ в залежності від класу ІСПДн” перераховані класи інформаційних систем ПДН і показано, які підсистеми інформаційної безпеки повинні бути впроваджені для кожного класу, згідно керівним документам ФСТЕК.

Перелік підсистем ІБ в залежності від класу ІСПДн




























































   Антивірусний захист  Захист від НСД  Аналіз захищеності і виявлення вразливостей  Підсистема виявлення вторгнення  Підсистема маршрутизації, комутації та міжмережевого екранування  Підсистема криптограф. захисту інформації 
ІСПДн 1 (распред.) + + + + + +
ІСПДн 1 (локальн.) + + + +
ІСПДн 2 (распред.) + + + + +
ІСПДн 2 (локальн.) + + +
ІСПДн 3 (распред.) + + + + +
ІСПДн 3 (локальн.) + + +


Джерело: Leta IT-company, 2009


Підсистема криптографічного захисту інформації необхідна тільки для ІСПДн, що задовольняють певним умовам. Зокрема, ІСПДн повинна бути розрахована на багато користувачів з рівними правами доступу до інформації.


У зв’язку з цим можна дати практичну пораду. Слід розглянути можливість максимально повного використання сертифікованих засобів захисту. Якщо ж вдасться знизити клас системи ПДН, то вимоги будуть значно скромніше. При цьому почати треба з можливого звуження сегмента мережі організації, в якій ведеться обробка ПДН. Знизили клас системи ПДН, обмежили область звернення ПДН, вибрали оптимальний склад сертифікованих засобів для захисту тільки даній області – і витрати стануть значно нижче.


Зустрічаються, правда, складні випадки, коли ПДН використовуються в рамках багатофункціональних інформаційних систем рівня всієї організації, наприклад, банківських АБС. Такі системи, очевидно, не мають сертифікатів ФСТЕК, але навіть отримання їх для однієї версії не вирішить проблеми. Адже ці ІС постійно модернізуються – підтримка актуальності сертифікатів на них в існуючій системі сертифікації неможливо. Мабуть, єдине, що можна порадити в такому випадку, – це звернутися в регулюючий орган з описом проблеми. Хочеться вірити, що вимоги регуляторів після деякого періоду застосування зазнають ряд змін, які передбачатимуть якийсь вихід з даної ситуації.


Запрошувати консультанта або робити самим?


Як це часто буває, перед керівництвом встає класична дилема: використовувати ресурси власних співробітників або залучати професійну компанію-консультанта. Для її рішення можна порадити відповісти на кілька питань. Чи достатньо у співробітників організації кваліфікації, щоб виконати вимоги закону № 152-ФЗ? Чи є у них розуміння того, скільки часу займе і яких ресурсів зажадає вирішення завдання щодо забезпечення відповідності закону № 152-ФЗ? Хто з керівників департаментів готовий взяти на себе відповідальність за ефективний хід проекту з побудови системи захисту ПДН? Які дії повинні бути зроблені для подачі повідомлення від оператора ПДН? Як виконати вимоги щодо захисту ПДН, визначені в керівних документах регулюючих органів, і не порушити бізнес-процеси організації? Як мінімізувати витрати на вирішення завдань щодо забезпечення відповідності закону?


Можливо, в компанії є фахівці, які служили раніше в підрозділах ФСБ або ФСТЕК і знайомі з підходом регуляторів до питання захисту конфіденційної інформації. Вони знають основні керівні документи, в яких ці вимоги визначені, їм відомо, як подаються заявки на ліцензії ФСБ і ФСТЕК. Залучення таких фахівців, безумовно, матиме неабиякий сприяння ходу проекту. Але треба віддавати собі звіт, що побудова системи захисту ПДН – багатоплановий проект, він зачіпає різні аспекти діяльності компанії. Швидше за все, згаданий вище фахівець буде готовий брати участь в ньому тільки як експерт, але не як керівник.


Найбільш ефективний підхід, при якому для виконання робіт по проекту залучається зовнішня компанія – інтегратор інформаційної безпеки, але при цьому організовується робоча група всередині підприємства. Правда, він, звичайно, вимагатиме додаткових витрат на послуги підрядчика. До робочої групи включаються такі співробітники компанії: керівник вищої ланки в якості спонсора проекту, глава департаменту інформаційної безпеки як керівник проекту і головний відповідальний за його хід, глава або провідний співробітник ІТ-департаменту, фахівці, які мали досвід служби в ФСБ і ФСТЕК, юрист компанії.


Внутрішня команда буде здійснювати контроль за ходом проекту, залученням внутрішніх ресурсів, мотивуванням лінійних менеджерів до активного сприяння процесу і відповідати за ефективне фінансування проекту. А більшу частину робіт належить виконати команді консультанта. При виборі підрядника необхідно оцінити наступні аспекти: який досвід роботи має дана компанія на ринку інформаційної безпеки, чи володіє вона необхідним набором ліцензій регулюючих органів (ФСТЕК і ФСБ) для виконання робіт із захисту ПДН; чи може компанія поставити весь спектр необхідних сертифікованих рішень і надати сприяння при атестації ІСПДн (це потрібно для певних класів систем). Основна мета атестації – підтвердити, що інформаційна система ПДН відповідає вимогам керівних документів з безпеки даних, затверджених ФСТЕК.


Етапи побудови системи захисту ПДН


Після того, як в організації сформована робоча або проектна група і обрана стороння ІТ-компанія, належить послідовно реалізувати наступні етапи роботи. Перш за все, потрібно визначити всі ситуації, коли потрібно проводити збір, зберігання, передачу або обробку ПДН. Потім – виділити бізнес-процеси, пов’язані з такими ситуаціями. Розумно вибрати обмежене число бізнес-процесів і проаналізувати їх. В рамках такого дослідження формується перелік підрозділів і співробітників компанії, що беруть участь в обробці ПДН в рамках своєї службової діяльності. Потім потрібно визначити коло інформаційних систем та сукупність оброблюваних ПДН. Наступний крок – категорірованіе ПДН та попередня класифікація ІС. Потім проводиться вироблення пропозицій щодо зниження категорій оброблюваних ПДН. Після цього формується актуальна модель загроз для кожної ІСПДн, готується завдання по створенню необхідної системи захисту. Потім проводиться уточнення класів ІС та підготовка рекомендацій з використання технічних засобів захисту ПДН. Потім в Роскомнадзор подається повідомлення про діяльність в якості оператора ПДН, а в ФСТЕК – заявка на отримання примірників керівних документів з організації системи захисту.


Ці роботи належить виконати на першому, початковому етапі. Саме в цей час закладається фундамент успіху всього проекту і робляться основні витрати на консалтинг. Але заснована робота відбувається на наступних стадіях. Адже вони включають розгортання повноцінної виробничої системи обробки ПДН, повномасштабне впровадження засобів захисту, атестацію ІС, приведення всіх бізнес-процесів обробки ПДН у відповідність до вимог закону, реагування на регулярні перевірки і т.д.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*