বাড়ি পুনরুদ্ধার

ব্যক্তিগত ডেটা তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটা সুরক্ষার জন্য প্রয়োজনীয়তার অনুমোদনের রেজোলিউশন - রোসিস্কায়া গেজেটা। সরকারি ডিক্রি 1119 ক্লাসের পরিবর্তে ব্যক্তিগত ডেটা সুরক্ষার স্তর

1 নভেম্বর, 2012 এর রাশিয়ান ফেডারেশন নং 1119 সরকারের ডিক্রিতে ব্যক্তিগত ডেটা তথ্য সিস্টেমের ক্লাসগুলি সমাহিত করা হয়েছে যা ইতিমধ্যে সবার কাছে পরিচিত হয়ে উঠেছে।

ক্লাসের জায়গায়, নতুন রেজোলিউশন অনুসারে, তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার নিরাপত্তার চার স্তর এবং তাদের প্রত্যেকের জন্য প্রয়োজনীয়তা প্রতিষ্ঠিত হয়। একটি নির্দিষ্ট স্তরের নিরাপত্তার জন্য তথ্য সিস্টেমের নিয়োগ করা হয় তথ্য সিস্টেম প্রক্রিয়াজাত করা ব্যক্তিগত ডেটার ধরন, বর্তমান হুমকির ধরন, তথ্য সিস্টেম দ্বারা প্রক্রিয়াকৃত ব্যক্তিগত ডেটা বিষয়ের সংখ্যা এবং যার ব্যক্তিগত ডেটা। কন্টিনজেন্ট প্রক্রিয়া করা হয়.

পার্সোনাল ডাটা ইনফরমেশন সিস্টেম (PDIS), রেজোলিউশন নং 1119 এর অনুচ্ছেদ 5 অনুযায়ী, 4টি গ্রুপে বিভক্ত:

বিশেষ আইএসপিডি
যদি আইএসপিডি জাতি, জাতীয়তা, রাজনৈতিক দৃষ্টিভঙ্গি, ধর্মীয় বা দার্শনিক বিশ্বাস, স্বাস্থ্যের অবস্থা, ব্যক্তিগত ডেটার বিষয়গুলির অন্তরঙ্গ জীবন সম্পর্কিত ব্যক্তিগত ডেটা প্রক্রিয়া করে;
বায়োমেট্রিক আইএসপিডি
যদি আইএসপিডি এমন তথ্য প্রক্রিয়া করে যা একজন ব্যক্তির শারীরবৃত্তীয় এবং জৈবিক বৈশিষ্ট্যগুলিকে চিহ্নিত করে, যার ভিত্তিতে তার পরিচয় প্রতিষ্ঠিত হতে পারে এবং যা অপারেটর দ্বারা ব্যক্তিগত ডেটার বিষয়বস্তুর পরিচয় এবং বিশেষ বিভাগ সম্পর্কিত তথ্য প্রতিষ্ঠা করতে ব্যবহৃত হয় ব্যক্তিগত তথ্য প্রক্রিয়া করা হয় না;
পাবলিক আইএসপিডি
যদি ISPD ফেডারেল আইন "ব্যক্তিগত ডেটার উপর" এর অনুচ্ছেদ 8 অনুসারে তৈরি ব্যক্তিগত ডেটার সর্বজনীনভাবে উপলব্ধ উত্স থেকে প্রাপ্ত ব্যক্তিগত ডেটার বিষয়গুলির ব্যক্তিগত ডেটা প্রক্রিয়া করে;
অন্যান্য ISPDn
যদি আইএসপিডি ব্যক্তিগত ডেটা বিষয়ের ব্যক্তিগত ডেটা প্রক্রিয়া করে যা পূর্ববর্তী তিনটি গোষ্ঠীতে উপস্থাপন করা হয়নি।

আপনার প্রতিষ্ঠান এবং বিষয়ের মধ্যে সম্পর্কের ফর্মের উপর ভিত্তি করে, প্রক্রিয়াকরণ 2 প্রকারে বিভক্ত:

কর্মীদের ব্যক্তিগত ডেটা প্রক্রিয়াকরণ (সত্তা যাদের সাথে আপনার সংস্থার শ্রম সম্পর্ক রয়েছে);
আপনার প্রতিষ্ঠানের কর্মচারী নন এমন ব্যক্তিদের ব্যক্তিগত ডেটা প্রক্রিয়াকরণ।

বিষয়ের সংখ্যার উপর ভিত্তি করে যাদের ব্যক্তিগত ডেটা প্রক্রিয়া করা হয়, রেজোলিউশন নং 1119 শুধুমাত্র 2টি বিভাগ সংজ্ঞায়িত করে:

100,000 এর কম বিষয়;
100,000 এর বেশি বিষয়;

এবং পরিশেষে, বর্তমান হুমকির ধরন:

টাইপ 1 হুমকিগুলি আইএসপিডি-তে ব্যবহৃত সিস্টেম সফ্টওয়্যারে অঘোষিত (অনথিভুক্ত) ক্ষমতার উপস্থিতির সাথে যুক্ত;
টাইপ 2 হুমকিগুলি আইএসপিডি-তে ব্যবহৃত অ্যাপ্লিকেশন সফ্টওয়্যারে অঘোষিত ক্ষমতার উপস্থিতির সাথে যুক্ত;
টাইপ 3 হুমকি ISPD-তে ব্যবহৃত সফ্টওয়্যারটিতে অঘোষিত ক্ষমতার উপস্থিতির সাথে সম্পর্কিত নয়।

বর্তমান হুমকির ধরন কীভাবে নির্ধারণ করা যায় সে সম্পর্কে কোনও নিয়ম নেই। PP-1119 এর প্রয়োজনীয়তাগুলি তাদের নিরপেক্ষকরণের জন্য কোনও পদ্ধতি বা পদ্ধতির প্রস্তাব দেয় না। পূর্বে যদি অপারেটর একটি টেবিলের উপর ভিত্তি করে একটি স্ট্যান্ডার্ড ISPD শ্রেণীবদ্ধ করতে বা হুমকি মডেলের ফলাফলের উপর ভিত্তি করে একটি বিশেষ ISPD শ্রেণীবদ্ধ করতে বেছে নিতে পারে, এখন কোন বিকল্প নেই। নিরাপত্তার স্তর সবসময় হুমকির প্রাসঙ্গিকতার উপর ভিত্তি করে নির্ধারিত হয়। অপারেটর নিজেরাই সেগুলি নির্ধারণ করতে সক্ষম হওয়ার সম্ভাবনা কম - তাকে একটি উচ্চ সংস্থা বা পরামর্শদাতার সাথে যোগাযোগ করতে হবে। সবচেয়ে সহজ উপায় হল ন্যূনতম প্রতিরোধের পথ অনুসরণ করা, অর্থাৎ টাইপ 3-এর বর্তমান হুমকির ধরন নির্ধারণ করুন এবং সিস্টেম এবং অ্যাপ্লিকেশন সফ্টওয়্যারের অঘোষিত (অনথিভুক্ত) ক্ষমতা সম্পর্কে ভুলে যান, তবে এটি ন্যায্য হতে হবে। পুরো প্রশ্ন হল কিভাবে?, অনুচ্ছেদের শুরুতে ফিরে আসা।
ব্যক্তিগত ডেটা তথ্য সিস্টেমের হুমকির প্রাসঙ্গিকতার বিষয়টি খুবই গুরুত্বপূর্ণ, কারণ সঠিকভাবে বর্ণিত হুমকিগুলি নির্ধারণ করে যে সিস্টেমটি কতটা সুরক্ষিত হবে, সেইসাথে ব্যক্তিগত ডেটা অপারেটরের জন্য সুরক্ষার জন্য কত খরচ হবে।

আপনি যদি বর্তমান হুমকির ধরন সহ একটি নির্দিষ্ট ISPD-এর প্রাথমিক ডেটা নিয়ে সিদ্ধান্ত নেন, তাহলে আপনি এর নিরাপত্তার স্তর নির্ধারণ করতে পারেন। সুরক্ষার স্তরটি সুবিধাজনকভাবে নির্ধারণ করতে, নিম্নলিখিত টেবিলটি ব্যবহার করুন, যা PP-1119 এর উপর ভিত্তি করে:

ISPDn টাইপ	অপারেটর কর্মীরা	বিষয়ের সংখ্যা	বর্তমান হুমকির ধরন
			1 (NDV OS)	2 (NDV PO)	3 (NDV ছাড়া)
আইএসপিডিএন-এস (বিশেষ)	না	> 100 000	UZ-1	UZ-1	UZ-2
	না	< 100 000	UZ-1	UZ-2	UZ-3
	হ্যাঁ
আইএসপিডিএন-বি (বায়োমেট্রিক)			UZ-1	UZ-2	UZ-3
আইএসপিডিএন-আই (অন্যান্য)	না	> 100 000	UZ-1	UZ-2	UZ-3
	না	< 100 000	UZ-2	UZ-3	UZ-4
	হ্যাঁ
আইএসপিডিএন-ও (পাবলিক)	না	> 100 000	UZ-2	UZ-2	UZ-4
	না	< 100 000	UZ-2	UZ-3	UZ-4
	হ্যাঁ

PD নিরাপত্তার নির্বাচিত স্তরের উপর নির্ভর করে, PP-1119 ব্যক্তিগত ডেটা সুরক্ষার জন্য অনেকগুলি প্রয়োজনীয়তা সংজ্ঞায়িত করে, যেগুলি অপারেটর (অনুমোদিত ব্যক্তি) দ্বারা স্বাধীনভাবে এবং (বা) আইনি সত্তা এবং ব্যক্তির জড়িত থাকার সাথে সংগঠিত এবং সঞ্চালিত হয়। একটি চুক্তি ভিত্তিতে উদ্যোক্তা, গোপনীয় তথ্য প্রযুক্তিগত সুরক্ষা কার্যক্রম পরিচালনা করার লাইসেন্স আছে. অপারেটর (অনুমোদিত ব্যক্তি) দ্বারা নির্ধারিত সময়সীমার মধ্যে প্রয়োজনীয়তাগুলির সাথে সম্মতির নিরীক্ষণ অবশ্যই প্রতি 3 বছরে অন্তত একবার করা উচিত।

প্রয়োজনীয়তা	স্তর নিরাপত্তা
প্রয়োজনীয়তা
যে প্রাঙ্গনে তথ্য ব্যবস্থা রয়েছে তার জন্য একটি নিরাপত্তা ব্যবস্থার সংগঠন, অনিয়ন্ত্রিত প্রবেশের সম্ভাবনা রোধ করে বা এই প্রাঙ্গণে প্রবেশাধিকার নেই এমন ব্যক্তিদের দ্বারা এই প্রাঙ্গনে থাকার সম্ভাবনা রোধ করে	+	+	+	+
ব্যক্তিগত তথ্য বাহকদের নিরাপত্তা নিশ্চিত করা	+	+	+	+
একটি নথির অপারেটরের প্রধানের অনুমোদন যা ব্যক্তিদের তালিকা সংজ্ঞায়িত করে যাদের তথ্য সিস্টেমে প্রক্রিয়াকৃত ব্যক্তিগত ডেটাতে অ্যাক্সেস তাদের অফিসিয়াল (শ্রম) দায়িত্ব পালনের জন্য প্রয়োজনীয়।	+	+	+	+
তথ্য সুরক্ষা সরঞ্জামগুলির ব্যবহার যা তথ্য সুরক্ষার ক্ষেত্রে রাশিয়ান ফেডারেশনের আইনের প্রয়োজনীয়তাগুলির সাথে সম্মতির মূল্যায়ন করার পদ্ধতিটি পাস করেছে, এমন ক্ষেত্রে যেখানে বর্তমান হুমকিগুলিকে নিরপেক্ষ করার জন্য এই জাতীয় সরঞ্জামগুলির ব্যবহার প্রয়োজনীয়।	+	+	+	+
আইএসপিডি-তে ব্যক্তিগত তথ্যের নিরাপত্তা নিশ্চিত করার জন্য দায়ী একজন কর্মকর্তার নিয়োগ	+	+	+	-
বৈদ্যুতিন বার্তা লগের বিষয়বস্তুতে অ্যাক্সেস সীমাবদ্ধ করা	+	+	-	-
তথ্য সিস্টেমে থাকা ব্যক্তিগত ডেটা অ্যাক্সেস করার জন্য অপারেটরের কর্মচারীর ক্ষমতার পরিবর্তনের বৈদ্যুতিন সুরক্ষা লগে স্বয়ংক্রিয় নিবন্ধন	+	-	-	-
তথ্য সিস্টেমে ব্যক্তিগত ডেটার নিরাপত্তা নিশ্চিত করার জন্য দায়ী একটি কাঠামোগত ইউনিট তৈরি করা, বা কাঠামোগত ইউনিটগুলির মধ্যে একটিতে এই জাতীয় নিরাপত্তা নিশ্চিত করার জন্য কার্যাবলী অর্পণ করা	+	-	-	-

PP-1119 অনুসারে ব্যক্তিগত ডেটা সুরক্ষার প্রয়োজনীয়তার বিষয়ে সিদ্ধান্ত নেওয়ার পরে, আপনি FSTEC-এর আদেশ নং 21-এর প্রয়োজনীয়তার ভিত্তিতে ব্যক্তিগত ডেটার সুরক্ষা নিশ্চিত করার জন্য সাংগঠনিক এবং প্রযুক্তিগত ব্যবস্থা নির্বাচনের দিকে এগিয়ে যেতে পারেন। রাশিয়া 18 ফেব্রুয়ারি, 2013 তারিখে। ব্যক্তিগত তথ্যের নিরাপত্তার বর্তমান হুমকি নিরপেক্ষ করার লক্ষ্যে।

তথ্য সুরক্ষা সরঞ্জামগুলির সাথে কী করতে হবে, সার্টিফিকেট যার জন্য পূর্বে ISPD এর নির্দিষ্ট শ্রেণীর জন্য জারি করা হয়েছিল?

20 নভেম্বর, 2012 তারিখের রাশিয়ার FSTEC-এর তথ্য বার্তা অনুসারে N 240/24/4669 “ব্যক্তিগত ডেটা তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটা সুরক্ষার বৈশিষ্ট্য এবং সুরক্ষার উদ্দেশ্যে তথ্য সুরক্ষা সরঞ্জামগুলির শংসাপত্রের উপর "ব্যক্তিগত ডেটা", রাশিয়ার FSTEC এর নিয়ন্ত্রক আইনী আইন (অর্থাৎ আদেশ নং 21) কার্যকর হওয়ার আগে রাশিয়ার এফএসটিইসি জারি করা সামঞ্জস্যের শংসাপত্র, সুরক্ষা নিশ্চিত করার জন্য সাংগঠনিক এবং প্রযুক্তিগত ব্যবস্থাগুলির রচনা এবং বিষয়বস্তু প্রতিষ্ঠা করে। ব্যক্তিগত তথ্য তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটা, পুনঃনিবন্ধনের বিষয় নয়।
তথ্য সুরক্ষা সরঞ্জাম যা ক্লাস 1 এর ব্যক্তিগত ডেটা তথ্য সিস্টেমে প্রক্রিয়াকৃত ব্যক্তিগত ডেটা সুরক্ষার জন্য ব্যবহার করা যেতে পারে সেগুলি লেভেল 1 পর্যন্ত অন্তর্ভুক্ত ব্যক্তিগত ডেটা তথ্য সিস্টেমে প্রক্রিয়াকৃত ব্যক্তিগত ডেটার সুরক্ষা নিশ্চিত করতে ব্যবহার করা যেতে পারে;
তথ্য সুরক্ষা সরঞ্জাম যা ক্লাস 2 ব্যক্তিগত ডেটা তথ্য সিস্টেমে প্রক্রিয়াকৃত ব্যক্তিগত ডেটা সুরক্ষার জন্য ব্যবহার করা যেতে পারে সেগুলি ব্যক্তিগত ডেটা তথ্য সিস্টেমে প্রক্রিয়াকৃত ব্যক্তিগত ডেটার স্তর 4 সুরক্ষা নিশ্চিত করতে ব্যবহার করা যেতে পারে।

রাশিয়ান ফেডারেশনের সরকার

রেজোলিউশন

ব্যক্তিগত ডেটা তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার নিরাপত্তা নিশ্চিত করার প্রবিধানের অনুমোদনের পরে

15 নভেম্বর, 2012 ভিত্তিক শক্তি হারানো
রাশিয়ান ফেডারেশন সরকারের সিদ্ধান্ত
তারিখ 1 নভেম্বর, 2012 N 1119
____________________________________________________________________

ফেডারেল আইন "ব্যক্তিগত ডেটার উপর" এর 19 ধারা অনুসারে, রাশিয়ান ফেডারেশনের সরকার

সিদ্ধান্ত নেয়:

1. ব্যক্তিগত ডেটা তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার নিরাপত্তা নিশ্চিত করার জন্য সংযুক্ত প্রবিধানগুলি অনুমোদন করুন৷

2. রাশিয়ান ফেডারেশনের ফেডারেল সিকিউরিটি সার্ভিস এবং ফেডারেল সার্ভিস ফর টেকনিক্যাল অ্যান্ড এক্সপোর্ট কন্ট্রোল তাদের যোগ্যতার মধ্যে, 3-মাসের মধ্যে, প্রবিধান দ্বারা প্রদত্ত প্রয়োজনীয়তাগুলি পূরণ করার জন্য প্রয়োজনীয় নিয়ন্ত্রক আইনি আইন এবং পদ্ধতিগত নথি অনুমোদন করবে। এই রেজুলেশন দ্বারা অনুমোদিত।

সরকারের চেয়ারম্যান ড
রাশিয়ান ফেডারেশন

ব্যক্তিগত ডেটা তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার নিরাপত্তা নিশ্চিত করার প্রবিধান

অনুমোদিত
সরকারী সিদ্ধান্ত
রাশিয়ান ফেডারেশন
তারিখ 17 নভেম্বর, 2007 N 781

1. এই প্রবিধানগুলি ব্যক্তিগত ডেটা তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার নিরাপত্তা নিশ্চিত করার প্রয়োজনীয়তাগুলি স্থাপন করে, যা ডেটাবেসে থাকা ব্যক্তিগত ডেটার সংগ্রহ, সেইসাথে তথ্য প্রযুক্তি এবং প্রযুক্তিগত উপায় যা ব্যবহার করে এই ধরনের ব্যক্তিগত ডেটা প্রক্রিয়াকরণের অনুমতি দেয়। অটোমেশন টুলস (এর পরে তথ্য সিস্টেম হিসাবে উল্লেখ করা হয়)। *1)

প্রযুক্তিগত অর্থ যা ব্যক্তিগত ডেটা প্রক্রিয়াকরণের অনুমতি দেয় কম্পিউটার সুবিধা, তথ্য এবং কম্পিউটিং কমপ্লেক্স এবং নেটওয়ার্ক, ব্যক্তিগত ডেটা প্রেরণ, গ্রহণ এবং প্রক্রিয়াকরণের উপায় এবং সিস্টেম (সাউন্ড রেকর্ডিং, শব্দ পরিবর্ধন, শব্দ প্রজনন, ইন্টারকম এবং টেলিভিশনের উপায় এবং সিস্টেম) ডিভাইস, ম্যানুফ্যাকচারিং মাধ্যম, নথির প্রতিলিপি এবং স্পিচ, গ্রাফিক, ভিডিও এবং আলফানিউমেরিক তথ্য প্রক্রিয়াকরণের অন্যান্য প্রযুক্তিগত উপায়, সফ্টওয়্যার (অপারেটিং সিস্টেম, ডাটাবেস ম্যানেজমেন্ট সিস্টেম, ইত্যাদি), তথ্য সিস্টেমে ব্যবহৃত তথ্য সুরক্ষা সরঞ্জাম।

2. ব্যক্তিগত ডেটার নিরাপত্তা অননুমোদিত বাদ দিয়ে অর্জন করা হয়, দুর্ঘটনাজনিত, ব্যক্তিগত ডেটা অ্যাক্সেস সহ, যার ফলে ব্যক্তিগত ডেটা ধ্বংস, পরিবর্তন, ব্লক করা, অনুলিপি করা, বিতরণ করা এবং সেইসাথে অন্যান্য অননুমোদিত ক্রিয়াকলাপ হতে পারে৷

তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার সুরক্ষা একটি ব্যক্তিগত ডেটা সুরক্ষা ব্যবস্থা ব্যবহার করে নিশ্চিত করা হয়, যার মধ্যে রয়েছে সাংগঠনিক ব্যবস্থা এবং তথ্য সুরক্ষার উপায় (এনক্রিপশন (ক্রিপ্টোগ্রাফিক) উপায় সহ, অননুমোদিত অ্যাক্সেস রোধ করার উপায়, প্রযুক্তিগত চ্যানেলগুলির মাধ্যমে তথ্য ফাঁস, সফ্টওয়্যার এবং ব্যক্তিগত তথ্য প্রক্রিয়াকরণের জন্য প্রযুক্তিগত উপায়ে হার্ডওয়্যারের প্রভাব, সেইসাথে তথ্য সিস্টেমে ব্যবহৃত তথ্য প্রযুক্তি। তথ্য সুরক্ষা নিশ্চিত করতে হার্ডওয়্যার এবং সফ্টওয়্যারকে অবশ্যই রাশিয়ান ফেডারেশনের আইন অনুসারে প্রতিষ্ঠিত প্রয়োজনীয়তাগুলি পূরণ করতে হবে।

তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত তথ্যের নিরাপত্তা নিশ্চিত করতে, প্রযুক্তিগত উপায়ে প্রক্রিয়াকৃত বক্তৃতা তথ্য এবং তথ্যের পাশাপাশি তথ্যমূলক বৈদ্যুতিক সংকেত, ভৌত ক্ষেত্র, কাগজে মিডিয়া, চৌম্বক, চুম্বকীয় আকারে উপস্থাপিত তথ্যের জন্য সুরক্ষা প্রদান করা হয়। - অপটিক্যাল এবং অন্যান্য ঘাঁটি।

3. প্রযুক্তিগত এবং রপ্তানি নিয়ন্ত্রণের জন্য ফেডারেল সার্ভিস এবং রাশিয়ান ফেডারেশনের ফেডারেল সিকিউরিটি সার্ভিস তাদের ক্ষমতার সীমার মধ্যে তথ্য সিস্টেমে তথ্য সুরক্ষার পদ্ধতি এবং উপায়গুলি প্রতিষ্ঠিত হয়। *৩.১)

তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার নিরাপত্তা নিশ্চিত করার জন্য গৃহীত ব্যবস্থাগুলির পর্যাপ্ততা রাষ্ট্রীয় নিয়ন্ত্রণ এবং তত্ত্বাবধানের সময় মূল্যায়ন করা হয়।

4. তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার নিরাপত্তা নিশ্চিত করার কাজ তথ্য সিস্টেম তৈরির কাজের একটি অবিচ্ছেদ্য অংশ।

5. তথ্য সিস্টেমে ব্যবহৃত তথ্য সুরক্ষা সরঞ্জামগুলি প্রতিষ্ঠিত পদ্ধতি অনুসারে একটি সামঞ্জস্য মূল্যায়ন পদ্ধতির মধ্য দিয়ে যায়।

6. তথ্য ব্যবস্থাগুলিকে রাষ্ট্রীয় সংস্থা, পৌর সংস্থা, আইনি সংস্থা বা ব্যক্তিদের দ্বারা শ্রেণীবদ্ধ করা হয় যারা সংগঠিত এবং (বা) ব্যক্তিগত ডেটা প্রক্রিয়াকরণ পরিচালনা করে, সেইসাথে ব্যক্তিগত ডেটা প্রক্রিয়াকরণের উদ্দেশ্য এবং বিষয়বস্তু নির্ধারণ করে (এর পরে এটি হিসাবে উল্লেখ করা হয়েছে অপারেটর), তাদের দ্বারা প্রক্রিয়াকৃত ব্যক্তিগত ডেটার পরিমাণ এবং ব্যক্তি, সমাজ এবং রাষ্ট্রের গুরুত্বপূর্ণ স্বার্থের নিরাপত্তা হুমকির উপর নির্ভর করে।

তথ্য সিস্টেমের শ্রেণীবিভাগ করার পদ্ধতিটি ফেডারেল সার্ভিস ফর টেকনিক্যাল এবং এক্সপোর্ট কন্ট্রোল, রাশিয়ান ফেডারেশনের ফেডারেল সিকিউরিটি সার্ভিস এবং রাশিয়ান ফেডারেশনের তথ্য প্রযুক্তি ও যোগাযোগ মন্ত্রকের দ্বারা যৌথভাবে প্রতিষ্ঠিত হয়েছে।*6.2)

7. তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটা বিনিময় যোগাযোগ চ্যানেলের মাধ্যমে সঞ্চালিত হয়, যার সুরক্ষা যথাযথ সাংগঠনিক ব্যবস্থা বাস্তবায়নের মাধ্যমে এবং (বা) প্রযুক্তিগত উপায় ব্যবহারের মাধ্যমে নিশ্চিত করা হয়।

8. তথ্য ব্যবস্থা স্থাপন, বিশেষ সরঞ্জাম এবং প্রাঙ্গনের নিরাপত্তা যেখানে ব্যক্তিগত ডেটা নিয়ে কাজ করা হয়, এই প্রাঙ্গনে একটি নিরাপত্তা ব্যবস্থার সংস্থাকে অবশ্যই ব্যক্তিগত ডেটা বাহক এবং তথ্য সুরক্ষা উপায়গুলির সুরক্ষা নিশ্চিত করতে হবে এবং এছাড়াও বাদ দিতে হবে। অনিয়ন্ত্রিত প্রবেশ বা এই প্রাঙ্গনে অপরিচিত ব্যক্তিদের উপস্থিতির সম্ভাবনা

9. তথ্য সিস্টেমে ব্যক্তিগত ডেটা প্রক্রিয়াকরণের সময় তথ্য ফাঁসের সম্ভাব্য চ্যানেলগুলি প্রযুক্তিগত এবং রপ্তানি নিয়ন্ত্রণের জন্য ফেডারেল পরিষেবা এবং রাশিয়ান ফেডারেশনের ফেডারেল নিরাপত্তা পরিষেবা তাদের ক্ষমতার সীমার মধ্যে নির্ধারিত হয়।

10. তথ্য ব্যবস্থায় প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার নিরাপত্তা অপারেটর বা ব্যক্তির দ্বারা নিশ্চিত করা হয়, যার কাছে চুক্তির ভিত্তিতে, অপারেটর ব্যক্তিগত ডেটা প্রক্রিয়াকরণের দায়িত্ব দেয় (এরপরে তাকে অনুমোদিত ব্যক্তি হিসাবে উল্লেখ করা হয়)৷ চুক্তির একটি অপরিহার্য শর্ত হল তথ্য সিস্টেমে প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার গোপনীয়তা এবং ব্যক্তিগত ডেটার নিরাপত্তা নিশ্চিত করার জন্য অনুমোদিত ব্যক্তির বাধ্যবাধকতা।

11. তথ্য সিস্টেমে ব্যক্তিগত ডেটা প্রক্রিয়া করার সময়, নিম্নলিখিতগুলি নিশ্চিত করতে হবে:

ক) ব্যক্তিগত ডেটাতে অননুমোদিত অ্যাক্সেস রোধ করার লক্ষ্যে ব্যবস্থা গ্রহণ করা এবং (বা) এই ধরনের তথ্য অ্যাক্সেস করার অধিকার নেই এমন ব্যক্তিদের কাছে তাদের স্থানান্তর;

খ) ব্যক্তিগত ডেটাতে অননুমোদিত অ্যাক্সেসের তথ্য সময়মত সনাক্তকরণ;

গ) ব্যক্তিগত ডেটার স্বয়ংক্রিয় প্রক্রিয়াকরণের প্রযুক্তিগত উপায়ে প্রভাব প্রতিরোধ করা, যার ফলে তাদের কার্যকারিতা ব্যাহত হতে পারে;

ঘ) অননুমোদিত অ্যাক্সেসের কারণে সংশোধিত বা ধ্বংস হওয়া ব্যক্তিগত ডেটা অবিলম্বে পুনরুদ্ধারের সম্ভাবনা;

e) ব্যক্তিগত তথ্যের নিরাপত্তার স্তর নিশ্চিত করার জন্য অবিরাম পর্যবেক্ষণ।

12. তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার নিরাপত্তা নিশ্চিত করার ব্যবস্থাগুলির মধ্যে রয়েছে:

ক) তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত তথ্যের নিরাপত্তার জন্য হুমকির সনাক্তকরণ, তাদের উপর ভিত্তি করে একটি হুমকি মডেল গঠন;

খ) হুমকি মডেলের উপর ভিত্তি করে একটি ব্যক্তিগত ডেটা সুরক্ষা ব্যবস্থার বিকাশ যা সংশ্লিষ্ট শ্রেণীর তথ্য সিস্টেমের জন্য প্রদত্ত ব্যক্তিগত ডেটা সুরক্ষার জন্য পদ্ধতি এবং পদ্ধতি ব্যবহার করে অভিযুক্ত হুমকিগুলির নিরপেক্ষকরণ নিশ্চিত করে;

গ) তাদের অপারেশনের সম্ভাবনার উপর উপসংহার আঁকার সাথে ব্যবহারের জন্য তথ্য সুরক্ষা সরঞ্জামগুলির প্রস্তুতি পরীক্ষা করা;

ঘ) তথ্য সুরক্ষার ইনস্টলেশন এবং কমিশনিং মানে অপারেশনাল এবং প্রযুক্তিগত ডকুমেন্টেশন অনুযায়ী;

e) তথ্য সিস্টেমে ব্যবহৃত তথ্য সুরক্ষা সরঞ্জাম ব্যবহার করে ব্যক্তিদের তাদের সাথে কাজ করার নিয়ম সম্পর্কে প্রশিক্ষণ;

f) তথ্য সুরক্ষার অ্যাকাউন্টিং অর্থ তাদের জন্য ব্যবহৃত, কর্মক্ষম এবং প্রযুক্তিগত ডকুমেন্টেশন, ব্যক্তিগত ডেটা বাহক;

ছ) তথ্য ব্যবস্থায় ব্যক্তিগত ডেটা নিয়ে কাজ করার জন্য অনুমোদিত ব্যক্তিদের অ্যাকাউন্টিং;

জ) অপারেশনাল এবং প্রযুক্তিগত ডকুমেন্টেশনের জন্য প্রদত্ত তথ্য সুরক্ষা সরঞ্জাম ব্যবহারের শর্তাবলী মেনে চলার উপর নিয়ন্ত্রণ;

i) ব্যক্তিগত ডেটা বাহকের স্টোরেজ শর্তাবলীর সাথে অ-সম্মতির তথ্যের তদন্ত এবং সিদ্ধান্তে উপনীত হওয়া, তথ্য সুরক্ষা ব্যবস্থার ব্যবহার যা ব্যক্তিগত ডেটার গোপনীয়তা লঙ্ঘন বা অন্যান্য লঙ্ঘনের মাত্রা হ্রাসের দিকে নিয়ে যেতে পারে। ব্যক্তিগত তথ্যের নিরাপত্তা, উন্নয়ন এবং এই ধরনের লঙ্ঘনের সম্ভাব্য বিপজ্জনক পরিণতি প্রতিরোধের ব্যবস্থা গ্রহণ;

j) ব্যক্তিগত তথ্য সুরক্ষা সিস্টেমের বর্ণনা।

13. তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার নিরাপত্তা নিশ্চিত করার জন্য ব্যবস্থাগুলি বিকাশ ও বাস্তবায়ন করতে, একজন অপারেটর বা একজন অনুমোদিত ব্যক্তি ব্যক্তিগত ডেটার নিরাপত্তা নিশ্চিত করার জন্য দায়ী একটি কাঠামোগত ইউনিট বা কর্মকর্তা (কর্মচারী) নিয়োগ করতে পারেন।

14. যে ব্যক্তিদের তথ্য ব্যবস্থায় প্রক্রিয়াকৃত ব্যক্তিগত ডেটাতে অ্যাক্সেস অফিসিয়াল (শ্রম) দায়িত্ব পালনের জন্য প্রয়োজনীয় তাদের অপারেটর বা অনুমোদিত ব্যক্তির দ্বারা অনুমোদিত একটি তালিকার ভিত্তিতে প্রাসঙ্গিক ব্যক্তিগত ডেটা অ্যাক্সেস করার অনুমতি দেওয়া হয়।

15. এই প্রবিধানের অনুচ্ছেদ 14-এ উল্লিখিত ব্যক্তিদের সহ ব্যক্তিগত ডেটা প্রাপ্ত করার জন্য তথ্য সিস্টেমের ব্যবহারকারীদের কাছ থেকে অনুরোধ, সেইসাথে এই অনুরোধগুলিতে ব্যক্তিগত ডেটা প্রদানের তথ্যগুলি ইলেকট্রনিক লগে তথ্য সিস্টেমের স্বয়ংক্রিয় উপায়ে নিবন্ধিত হয়। অনুরোধ অনুরোধের ইলেকট্রনিক লগের বিষয়বস্তু পর্যায়ক্রমে অপারেটর বা অনুমোদিত ব্যক্তির সংশ্লিষ্ট কর্মকর্তা (কর্মচারী) দ্বারা পরীক্ষা করা হয়।

16. যদি ব্যক্তিগত তথ্য প্রদানের পদ্ধতির লঙ্ঘন সনাক্ত করা হয়, তবে অপারেটর বা অনুমোদিত ব্যক্তি লঙ্ঘনের কারণগুলি চিহ্নিত না হওয়া পর্যন্ত এবং এই কারণগুলি নির্মূল না হওয়া পর্যন্ত তথ্য সিস্টেমের ব্যবহারকারীদের ব্যক্তিগত ডেটার বিধান অবিলম্বে স্থগিত করবে৷

17. তথ্য সুরক্ষা সরঞ্জামগুলিতে তথ্য সুরক্ষা নিশ্চিত করার জন্য প্রয়োজনীয়তার বাস্তবায়ন তাদের বিকাশকারীদের উপর নির্ভর করে।

তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার নিরাপত্তা নিশ্চিত করার জন্য ডিজাইন করা উন্নত এনক্রিপশন (ক্রিপ্টোগ্রাফিক) তথ্য সুরক্ষা সরঞ্জামগুলির সাথে সম্পর্কিত, তথ্য সুরক্ষা প্রয়োজনীয়তাগুলির সাথে সম্মতি যাচাই করার জন্য কেস স্টাডি এবং নিয়ন্ত্রণ কেস স্টাডি করা হয়। এই ক্ষেত্রে, কেস স্টাডিগুলিকে ক্রিপ্টোগ্রাফিক, ইঞ্জিনিয়ারিং-ক্রিপ্টোগ্রাফিক এবং তথ্য সুরক্ষা সরঞ্জামগুলির বিশেষ অধ্যয়ন এবং তথ্য সিস্টেমের প্রযুক্তিগত উপায়গুলির সাথে বিশেষ কাজ হিসাবে বোঝা যায় এবং নিয়ন্ত্রণ কেস স্টাডিগুলি পর্যায়ক্রমে কেস স্টাডি করা হয়।

কন্ট্রোল কেস স্টাডি পরিচালনার জন্য নির্দিষ্ট সময়সীমা রাশিয়ান ফেডারেশনের ফেডারেল সিকিউরিটি সার্ভিস দ্বারা নির্ধারিত হয়।

18. তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার নিরাপত্তা নিশ্চিত করার জন্য ডিজাইন করা তথ্য সুরক্ষা সরঞ্জামগুলির সামঞ্জস্য মূল্যায়ন এবং (বা) কেস স্টাডির ফলাফলগুলি ফেডারেল সার্ভিস ফর টেকনিক্যাল অ্যান্ড এক্সপোর্ট কন্ট্রোল এবং ফেডারেল পরিষেবা দ্বারা পরিচালিত পরীক্ষার সময় মূল্যায়ন করা হয়। রাশিয়ান ফেডারেশনের নিরাপত্তা পরিষেবা তাদের ক্ষমতার মধ্যে।

19. তথ্য সুরক্ষা ব্যবস্থাগুলি তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার সুরক্ষা নিশ্চিত করার উদ্দেশ্যে এই উপায়গুলির ব্যবহারের নিয়মগুলির সাথে রয়েছে, যা প্রযুক্তিগত এবং রপ্তানি নিয়ন্ত্রণের জন্য ফেডারেল পরিষেবা এবং রাশিয়ান ফেডারেশনের ফেডারেল সুরক্ষা পরিষেবার সাথে সম্মত হয়েছে৷ তাদের ক্ষমতার সীমার মধ্যে।

এই নিয়মগুলির দ্বারা প্রদত্ত তথ্য সুরক্ষা উপায়গুলির ব্যবহারের শর্তগুলির পরিবর্তনগুলি এই ফেডারেল নির্বাহী কর্তৃপক্ষের সাথে তাদের ক্ষমতার সীমার মধ্যে সম্মত হয়৷

20. তথ্য সুরক্ষা ব্যবস্থাগুলি তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার নিরাপত্তা নিশ্চিত করার জন্য ডিজাইন করা হয়েছে সূচক বা কোড নাম এবং নিবন্ধন নম্বর ব্যবহার করে অ্যাকাউন্টিং সাপেক্ষে৷ সূচক, কোড নাম এবং রেজিস্ট্রেশন নম্বরের তালিকা ফেডারেল সার্ভিস ফর টেকনিক্যাল অ্যান্ড এক্সপোর্ট কন্ট্রোল এবং রাশিয়ান ফেডারেশনের ফেডারেল সিকিউরিটি সার্ভিস তাদের ক্ষমতার সীমার মধ্যে নির্ধারণ করে।

21. তথ্য সুরক্ষার এনক্রিপশন (ক্রিপ্টোগ্রাফিক) উপায়গুলির বিকাশ, উত্পাদন, বাস্তবায়ন এবং পরিচালনার বৈশিষ্ট্য এবং তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটা এনক্রিপ্ট করার জন্য পরিষেবাগুলির বিধান রাশিয়ান ফেডারেশনের ফেডারেল সুরক্ষা পরিষেবা দ্বারা প্রতিষ্ঠিত হয়।

ইলেকট্রনিক নথি পাঠ্য
কোডেকস জেএসসি দ্বারা প্রস্তুত এবং এর বিরুদ্ধে যাচাই করা হয়েছে:
আইন সংগ্রহ
রাশিয়ান ফেডারেশন,
N 48, 26.11.2007, আর্ট 6001

1 নভেম্বর, 2012 N 1119 এর রাশিয়ান ফেডারেশন সরকারের ডিক্রি
"ব্যক্তিগত ডেটা তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটা সুরক্ষার প্রয়োজনীয়তার অনুমোদনের উপর"

"ব্যক্তিগত ডেটাতে" ফেডারেল আইনের 19 অনুচ্ছেদ অনুসারে, রাশিয়ান ফেডারেশন সরকার সিদ্ধান্ত নেয়:

1. ব্যক্তিগত ডেটা তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটা সুরক্ষার জন্য সংযুক্ত প্রয়োজনীয়তাগুলি অনুমোদন করুন৷

2. 17 নভেম্বর, 2007 N 781 এর রাশিয়ান ফেডারেশন সরকারের ডিক্রিকে অবৈধ হিসাবে স্বীকৃতি দিন "ব্যক্তিগত ডেটা তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার সুরক্ষা নিশ্চিত করার প্রবিধানের অনুমোদনের ভিত্তিতে" (রাশিয়ান ফেডারেশনের সংগৃহীত আইন , 2007, N 48, আর্ট। 6001)।

প্রয়োজনীয়তা
ব্যক্তিগত ডেটা তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটা সুরক্ষার জন্য
(1 নভেম্বর, 2012 N 1119-এর রাশিয়ান ফেডারেশন সরকারের ডিক্রি দ্বারা অনুমোদিত)

1. এই দস্তাবেজটি ব্যক্তিগত ডেটার সুরক্ষার প্রয়োজনীয়তাগুলি প্রতিষ্ঠিত করে যখন ব্যক্তিগত ডেটা তথ্য সিস্টেমে প্রক্রিয়া করা হয় (এখন থেকে তথ্য সিস্টেম হিসাবে উল্লেখ করা হয়) এবং এই জাতীয় ডেটার সুরক্ষার স্তরগুলি।

2. তথ্য সিস্টেমে প্রক্রিয়া করার সময় ব্যক্তিগত ডেটার নিরাপত্তা একটি ব্যক্তিগত ডেটা সুরক্ষা ব্যবস্থা ব্যবহার করে নিশ্চিত করা হয় যা 19 অনুচ্ছেদের অংশ 5 অনুসারে চিহ্নিত বর্তমান হুমকিগুলিকে নিরপেক্ষ করে।

ব্যক্তিগত ডেটা সুরক্ষা ব্যবস্থার মধ্যে রয়েছে সাংগঠনিক এবং (বা) প্রযুক্তিগত ব্যবস্থা যা তথ্য সিস্টেমে ব্যবহৃত ব্যক্তিগত ডেটা এবং তথ্য প্রযুক্তির সুরক্ষার বর্তমান হুমকি বিবেচনা করে নির্ধারিত হয়।

3. একটি তথ্য সিস্টেমে প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার নিরাপত্তা নিশ্চিত করা হয় এই সিস্টেমের অপারেটর দ্বারা, যিনি ব্যক্তিগত ডেটা প্রক্রিয়া করেন (এর পরে অপারেটর হিসাবে উল্লেখ করা হয়), বা অপারেটরের পক্ষে ব্যক্তিগত ডেটা প্রক্রিয়াকরণকারী ব্যক্তি দ্বারা এই ব্যক্তির সাথে সমাপ্ত একটি চুক্তি (এর পরে অনুমোদিত ব্যক্তি হিসাবে উল্লেখ করা হয়েছে)। অপারেটর এবং অনুমোদিত ব্যক্তির মধ্যে চুক্তিটি তথ্য সিস্টেমে প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার নিরাপত্তা নিশ্চিত করার জন্য অনুমোদিত ব্যক্তির বাধ্যবাধকতা প্রদান করতে হবে।

4. রাশিয়ান ফেডারেশনের ফেডারেল সিকিউরিটি সার্ভিস এবং পার্ট 4 অনুসরণে প্রযুক্তিগত এবং রপ্তানি নিয়ন্ত্রণের জন্য ফেডারেল পরিষেবা দ্বারা গৃহীত নিয়ন্ত্রক আইনি আইন অনুসারে ব্যক্তিগত ডেটা সুরক্ষা ব্যবস্থার জন্য তথ্য সুরক্ষা উপায়ের পছন্দ অপারেটর দ্বারা পরিচালিত হয়। ফেডারেল আইনের অনুচ্ছেদ 19 এর "ব্যক্তিগত ডেটাতে"।

5. একটি তথ্য ব্যবস্থা এমন একটি তথ্য ব্যবস্থা যা ব্যক্তিগত ডেটার বিশেষ বিভাগগুলি প্রক্রিয়া করে যদি এটি জাতি, জাতীয়তা, রাজনৈতিক দৃষ্টিভঙ্গি, ধর্মীয় বা দার্শনিক বিশ্বাস, স্বাস্থ্যের অবস্থা, ব্যক্তিগত ডেটার বিষয়গুলির অন্তরঙ্গ জীবন সম্পর্কিত ব্যক্তিগত ডেটা প্রক্রিয়া করে।

একটি তথ্য ব্যবস্থা এমন একটি তথ্য ব্যবস্থা যা বায়োমেট্রিক ব্যক্তিগত ডেটা প্রক্রিয়া করে যদি এটি এমন তথ্য প্রক্রিয়া করে যা কোনও ব্যক্তির শারীরবৃত্তীয় এবং জৈবিক বৈশিষ্ট্যগুলিকে বৈশিষ্ট্যযুক্ত করে, যার ভিত্তিতে কেউ তার পরিচয় প্রতিষ্ঠা করতে পারে এবং যা অপারেটর দ্বারা তার পরিচয় প্রতিষ্ঠা করতে ব্যবহৃত হয়। ব্যক্তিগত ডেটার বিষয়, এবং ব্যক্তিগত ডেটার বিশেষ বিভাগের সাথে সম্পর্কিত তথ্য প্রক্রিয়া করে না।

একটি তথ্য ব্যবস্থা এমন একটি তথ্য ব্যবস্থা যা সর্বজনীনভাবে উপলব্ধ ব্যক্তিগত ডেটা প্রক্রিয়া করে যদি এটি ব্যক্তিগত ডেটা বিষয়গুলির ব্যক্তিগত ডেটা প্রক্রিয়া করে যা শুধুমাত্র ফেডারেল আইন "ব্যক্তিগত ডেটাতে" এর ধারা 8 অনুসারে তৈরি ব্যক্তিগত ডেটার সর্বজনীনভাবে উপলব্ধ উত্স থেকে প্রাপ্ত ব্যক্তিগত ডেটা প্রক্রিয়া করে।

একটি তথ্য সিস্টেম হল একটি তথ্য ব্যবস্থা যা ব্যক্তিগত ডেটার অন্যান্য বিভাগের প্রক্রিয়া করে, যদি এটি এই অনুচ্ছেদের এক থেকে তিনটি অনুচ্ছেদে নির্দিষ্ট ব্যক্তিগত ডেটা প্রক্রিয়া না করে।

একটি তথ্য সিস্টেম একটি তথ্য সিস্টেম যা অপারেটরের কর্মীদের ব্যক্তিগত ডেটা প্রক্রিয়া করে যদি এটি শুধুমাত্র নির্দিষ্ট কর্মীদের ব্যক্তিগত ডেটা প্রক্রিয়া করে। অন্যান্য ক্ষেত্রে, ব্যক্তিগত ডেটা তথ্য সিস্টেম হল একটি তথ্য সিস্টেম যা ব্যক্তিগত ডেটা বিষয়ের ব্যক্তিগত ডেটা প্রক্রিয়া করে যারা অপারেটরের কর্মচারী নয়।

6. ব্যক্তিগত ডেটার নিরাপত্তার জন্য বর্তমান হুমকিগুলি এমন একটি শর্ত এবং কারণগুলির একটি সেট হিসাবে বোঝা যায় যা তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটাতে দুর্ঘটনাজনিত, অ্যাক্সেস সহ অননুমোদিত হওয়ার বর্তমান বিপদ তৈরি করে, যার ফলে ধ্বংস, পরিবর্তন, ব্লক করা, অনুলিপি করা, বিধান করা, ব্যক্তিগত তথ্য বিতরণ করা, সেইসাথে অন্যান্য অবৈধ ক্রিয়াকলাপ।

টাইপ 1 হুমকি একটি তথ্য সিস্টেমের সাথে প্রাসঙ্গিক যদি তথ্য সিস্টেমে ব্যবহৃত সিস্টেম সফ্টওয়্যারটিতে অনথিভুক্ত (অঘোষিত) ক্ষমতার উপস্থিতির সাথে সম্পর্কিত হুমকিগুলিও এটির সাথে প্রাসঙ্গিক হয়।

২য় প্রকারের হুমকি একটি তথ্য সিস্টেমের জন্য প্রাসঙ্গিক যদি তথ্য সিস্টেমে ব্যবহৃত অ্যাপ্লিকেশন সফ্টওয়্যারটিতে অনথিভুক্ত (অঘোষিত) ক্ষমতার উপস্থিতির সাথে সম্পর্কিত হুমকিগুলিও এটির জন্য প্রাসঙ্গিক হয়।

টাইপ 3 হুমকিগুলি একটি তথ্য সিস্টেমের সাথে প্রাসঙ্গিক হয় যদি হুমকিগুলি যেগুলি তথ্য সিস্টেমে ব্যবহৃত সিস্টেম এবং অ্যাপ্লিকেশন সফ্টওয়্যারগুলিতে অপ্রমাণিত (অঘোষিত) ক্ষমতাগুলির উপস্থিতির সাথে সম্পর্কিত নয়।

7. তথ্য ব্যবস্থার সাথে প্রাসঙ্গিক ব্যক্তিগত ডেটার নিরাপত্তার জন্য হুমকির ধরন নির্ধারণ অপারেটর দ্বারা ফেডারেল আইনের 18.1 অনুচ্ছেদের 18.1 অনুচ্ছেদের অনুচ্ছেদের অনুচ্ছেদ 5 অনুসরণ করে সম্ভাব্য ক্ষতির মূল্যায়ন বিবেচনা করে করা হয়। "ব্যক্তিগত ডেটার উপর", এবং ফেডারেল আইন "ব্যক্তিগত ডেটার উপর" এর অনুচ্ছেদ 19 এর অংশ 5 অনুসরণে গৃহীত নিয়ন্ত্রক আইনী আইন অনুসারে।

8. তথ্য সিস্টেমে ব্যক্তিগত ডেটা প্রক্রিয়াকরণের সময়, ব্যক্তিগত ডেটা নিরাপত্তার 4 স্তর প্রতিষ্ঠিত হয়।

9. নিম্নলিখিত শর্তগুলির মধ্যে অন্তত একটি উপস্থিত থাকলে একটি তথ্য সিস্টেমে প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার নিরাপত্তার প্রথম স্তর নিশ্চিত করার প্রয়োজনীয়তা প্রতিষ্ঠিত হয়:

ক) টাইপ 1 হুমকি তথ্য সিস্টেমের সাথে প্রাসঙ্গিক এবং তথ্য সিস্টেম ব্যক্তিগত ডেটার বিশেষ বিভাগ, বা বায়োমেট্রিক ব্যক্তিগত ডেটা, বা ব্যক্তিগত ডেটার অন্যান্য বিভাগ প্রক্রিয়া করে;

b) টাইপ 2 হুমকি তথ্য সিস্টেমের সাথে প্রাসঙ্গিক এবং তথ্য সিস্টেম 100,000 এর বেশি ব্যক্তিগত ডেটা বিষয়ের ব্যক্তিগত ডেটার বিশেষ বিভাগ প্রক্রিয়া করে যারা অপারেটরের কর্মচারী নয়।

10. তথ্য ব্যবস্থায় এটি প্রক্রিয়া করার সময় ব্যক্তিগত ডেটার নিরাপত্তার দ্বিতীয় স্তর নিশ্চিত করার প্রয়োজনীয়তা প্রতিষ্ঠিত হয় যদি নিম্নলিখিত শর্তগুলির মধ্যে অন্তত একটি উপস্থিত থাকে:

ক) টাইপ 1 হুমকি তথ্য সিস্টেমের সাথে প্রাসঙ্গিক এবং তথ্য সিস্টেম সর্বজনীনভাবে উপলব্ধ ব্যক্তিগত ডেটা প্রক্রিয়া করে;

b) টাইপ 2 হুমকি তথ্য সিস্টেমের সাথে প্রাসঙ্গিক এবং তথ্য সিস্টেম অপারেটরের কর্মচারীদের ব্যক্তিগত ডেটার বিশেষ বিভাগ বা 100,000 এর কম ব্যক্তিগত ডেটা বিষয়ের ব্যক্তিগত ডেটার বিশেষ বিভাগ প্রক্রিয়া করে যারা অপারেটরের কর্মচারী নয়;

গ) টাইপ 2 হুমকি তথ্য সিস্টেমের সাথে প্রাসঙ্গিক এবং তথ্য সিস্টেম বায়োমেট্রিক ব্যক্তিগত ডেটা প্রক্রিয়া করে;

d) টাইপ 2 হুমকি তথ্য সিস্টেমের সাথে প্রাসঙ্গিক এবং তথ্য সিস্টেম 100,000 টিরও বেশি ব্যক্তিগত ডেটা বিষয়ের সর্বজনীনভাবে উপলব্ধ ব্যক্তিগত ডেটা প্রক্রিয়া করে যারা অপারেটরের কর্মচারী নয়;

e) টাইপ 2 হুমকি তথ্য সিস্টেমের সাথে প্রাসঙ্গিক এবং তথ্য সিস্টেম 100,000 এরও বেশি ব্যক্তিগত ডেটা বিষয়ের ব্যক্তিগত ডেটার অন্যান্য বিভাগ প্রক্রিয়া করে যারা অপারেটরের কর্মচারী নয়;

f) টাইপ 3 হুমকি তথ্য সিস্টেমের জন্য প্রাসঙ্গিক এবং তথ্য সিস্টেম 100,000 এর বেশি ব্যক্তিগত ডেটা বিষয়ের ব্যক্তিগত ডেটার বিশেষ বিভাগ প্রক্রিয়া করে যারা অপারেটরের কর্মচারী নয়।

11. তথ্য ব্যবস্থায় তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার নিরাপত্তার তৃতীয় স্তর নিশ্চিত করার প্রয়োজনীয়তা প্রতিষ্ঠিত হয় যদি নিম্নলিখিত শর্তগুলির মধ্যে অন্তত একটি উপস্থিত থাকে:

ক) টাইপ 2 হুমকি তথ্য সিস্টেমের সাথে প্রাসঙ্গিক এবং তথ্য সিস্টেম অপারেটরের কর্মচারীদের সর্বজনীনভাবে উপলব্ধ ব্যক্তিগত ডেটা বা 100,000 এর কম ব্যক্তিগত ডেটা বিষয়ের সর্বজনীনভাবে উপলব্ধ ব্যক্তিগত ডেটা প্রক্রিয়া করে যারা অপারেটরের কর্মচারী নয়;

b) টাইপ 2 হুমকি তথ্য সিস্টেমের সাথে প্রাসঙ্গিক এবং তথ্য সিস্টেম অপারেটরের কর্মচারীদের ব্যক্তিগত ডেটার অন্যান্য বিভাগ বা 100,000 এর কম ব্যক্তিগত ডেটা বিষয়ের ব্যক্তিগত ডেটার অন্যান্য বিভাগ প্রক্রিয়া করে যারা অপারেটরের কর্মচারী নয়;

গ) টাইপ 3 হুমকি তথ্য সিস্টেমের জন্য প্রাসঙ্গিক এবং তথ্য সিস্টেম অপারেটরের কর্মচারীদের ব্যক্তিগত ডেটার বিশেষ বিভাগ বা 100,000 এর কম ব্যক্তিগত ডেটা বিষয়ের ব্যক্তিগত ডেটার বিশেষ বিভাগ প্রক্রিয়া করে যারা অপারেটরের কর্মচারী নয়;

ঘ) টাইপ 3 হুমকি তথ্য সিস্টেমের সাথে প্রাসঙ্গিক এবং তথ্য সিস্টেম বায়োমেট্রিক ব্যক্তিগত ডেটা প্রক্রিয়া করে;

e) টাইপ 3 হুমকি তথ্য সিস্টেমের সাথে প্রাসঙ্গিক এবং তথ্য সিস্টেম 100,000 এরও বেশি ব্যক্তিগত ডেটা বিষয়ের ব্যক্তিগত ডেটার অন্যান্য বিভাগ প্রক্রিয়া করে যারা অপারেটরের কর্মচারী নয়।

12. একটি তথ্য সিস্টেমে এটি প্রক্রিয়া করার সময় ব্যক্তিগত ডেটার 4 র্থ স্তরের নিরাপত্তা নিশ্চিত করার প্রয়োজনীয়তা প্রতিষ্ঠিত হয় যদি নিম্নলিখিত শর্তগুলির মধ্যে অন্তত একটি উপস্থিত থাকে:

ক) টাইপ 3 হুমকি তথ্য সিস্টেমের সাথে প্রাসঙ্গিক এবং তথ্য সিস্টেম সর্বজনীনভাবে উপলব্ধ ব্যক্তিগত ডেটা প্রক্রিয়া করে;

b) টাইপ 3 হুমকি তথ্য সিস্টেমের জন্য প্রাসঙ্গিক এবং তথ্য সিস্টেম অপারেটরের কর্মচারীদের ব্যক্তিগত ডেটার অন্যান্য বিভাগ বা 100,000 এর কম ব্যক্তিগত ডেটা বিষয়ের ব্যক্তিগত ডেটার অন্যান্য বিভাগ প্রক্রিয়া করে যারা অপারেটরের কর্মচারী নয়৷

13. তথ্য সিস্টেমে প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার নিরাপত্তার 4 র্থ স্তর নিশ্চিত করতে, নিম্নলিখিত প্রয়োজনীয়তাগুলি অবশ্যই পূরণ করতে হবে:

ক) যে প্রাঙ্গনে তথ্য ব্যবস্থা রয়েছে তার জন্য একটি নিরাপত্তা ব্যবস্থা সংগঠিত করা, অনিয়ন্ত্রিত প্রবেশের সম্ভাবনা রোধ করা বা এই প্রাঙ্গনে প্রবেশাধিকার নেই এমন ব্যক্তিদের দ্বারা এই প্রাঙ্গনে থাকার সম্ভাবনা রোধ করা;

খ) ব্যক্তিগত তথ্য বাহকদের নিরাপত্তা নিশ্চিত করা;

গ) একটি নথির অপারেটরের প্রধানের অনুমোদন যা ব্যক্তিদের তালিকা সংজ্ঞায়িত করে যাদের তথ্য সিস্টেমে প্রক্রিয়াকৃত ব্যক্তিগত ডেটাতে অ্যাক্সেস তাদের অফিসিয়াল (শ্রম) দায়িত্ব পালনের জন্য প্রয়োজনীয়;

ঘ) তথ্য সুরক্ষা সরঞ্জামগুলির ব্যবহার যা তথ্য সুরক্ষার ক্ষেত্রে রাশিয়ান ফেডারেশনের আইনের প্রয়োজনীয়তাগুলির সাথে সম্মতির মূল্যায়ন করার পদ্ধতিটি পাস করেছে, এমন ক্ষেত্রে যেখানে বর্তমান হুমকিগুলিকে নিরপেক্ষ করার জন্য এই জাতীয় উপায়গুলির ব্যবহার প্রয়োজন।

14. তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার 3য় স্তরের নিরাপত্তা নিশ্চিত করতে, এই নথির 13 অনুচ্ছেদে প্রদত্ত প্রয়োজনীয়তাগুলি পূরণ করার পাশাপাশি, নিরাপত্তা নিশ্চিত করার জন্য একজন কর্মকর্তা (কর্মচারী) নিয়োগ করা আবশ্যক তথ্য সিস্টেমে ব্যক্তিগত তথ্য।

15. তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার দ্বিতীয় স্তরের নিরাপত্তা নিশ্চিত করার জন্য, এই নথির অনুচ্ছেদ 14-এ প্রদত্ত প্রয়োজনীয়তাগুলি পূরণ করার পাশাপাশি, এটি প্রয়োজনীয় যে কেবলমাত্র ইলেকট্রনিক বার্তা লগের বিষয়বস্তুগুলিতে অ্যাক্সেস সম্ভব। অপারেটরের কর্মকর্তাদের (কর্মচারী) বা একজন অনুমোদিত ব্যক্তির জন্য, যাদের জন্য নির্দিষ্ট জার্নালে থাকা তথ্য অফিসিয়াল (শ্রম) দায়িত্ব পালনের জন্য প্রয়োজনীয়।

16. তথ্য সিস্টেমে প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার প্রথম স্তরের নিরাপত্তা নিশ্চিত করতে, এই নথির অনুচ্ছেদ 15-এ প্রদত্ত প্রয়োজনীয়তাগুলি ছাড়াও, নিম্নলিখিত প্রয়োজনীয়তাগুলি অবশ্যই পূরণ করতে হবে:

ক) তথ্য সিস্টেমে থাকা ব্যক্তিগত ডেটা অ্যাক্সেস করার জন্য অপারেটরের কর্মচারীর ক্ষমতার পরিবর্তনের বৈদ্যুতিন সুরক্ষা লগে স্বয়ংক্রিয় নিবন্ধন;

খ) তথ্য ব্যবস্থায় ব্যক্তিগত ডেটার নিরাপত্তা নিশ্চিত করার জন্য দায়ী একটি কাঠামোগত ইউনিট তৈরি করা, বা কাঠামোগত ইউনিটগুলির মধ্যে একটিকে এই জাতীয় নিরাপত্তা নিশ্চিত করার জন্য কার্যাবলী অর্পণ করা।

17. এই প্রয়োজনীয়তাগুলির সাথে সম্মতির নিরীক্ষণ অপারেটর (অনুমোদিত ব্যক্তি) দ্বারা স্বাধীনভাবে এবং (বা) চুক্তির ভিত্তিতে আইনি সত্তা এবং পৃথক উদ্যোক্তাদের জড়িত থাকার সাথে সংগঠিত এবং পরিচালিত হয়, গোপনীয় প্রযুক্তিগত সুরক্ষার জন্য ক্রিয়াকলাপ চালানোর লাইসেন্সপ্রাপ্ত তথ্য নির্দিষ্ট নিয়ন্ত্রণ অপারেটর (অনুমোদিত ব্যক্তি) দ্বারা নির্ধারিত সময়ের সীমার মধ্যে প্রতি 3 বছরে অন্তত একবার করা হয়।

রাশিয়ান ফেডারেশনের সরকার

প্রয়োজনীয়তা অনুমোদন সম্পর্কে

সরকারের চেয়ারম্যান ড
রাশিয়ান ফেডারেশন
ডি.মেদভেদেভ

অনুমোদিত
সরকারী সিদ্ধান্ত
রাশিয়ান ফেডারেশন
তারিখ 1 নভেম্বর, 2012 N 1119

প্রয়োজনীয়তা
তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটার সুরক্ষার জন্য
ব্যক্তিগত ডেটার ইনফরমেশন সিস্টেম

2. তথ্য সিস্টেমে প্রক্রিয়া করার সময় ব্যক্তিগত ডেটার নিরাপত্তা একটি ব্যক্তিগত ডেটা সুরক্ষা ব্যবস্থা ব্যবহার করে নিশ্চিত করা হয় যা ফেডারেল আইন "ব্যক্তিগত ডেটার উপর" এর অনুচ্ছেদ 19 এর অংশ 5 অনুসারে চিহ্নিত বর্তমান হুমকিগুলিকে নিরপেক্ষ করে৷

7. তথ্য ব্যবস্থার সাথে প্রাসঙ্গিক ব্যক্তিগত ডেটার নিরাপত্তার জন্য হুমকির ধরন নির্ধারণ অপারেটর দ্বারা ফেডারেল আইনের 18.1 অনুচ্ছেদের অংশ 1 এর অনুচ্ছেদ 5 অনুসরণ করে সম্ভাব্য ক্ষতির মূল্যায়ন বিবেচনা করে করা হয় ব্যক্তিগত ডেটার উপর", এবং ফেডারেল আইন "ব্যক্তিগত ডেটার উপর" এর অনুচ্ছেদ 19 এর পার্ট 5 অনুসরণে গৃহীত নিয়ন্ত্রক আইনী আইন অনুসারে।

খ) ব্যক্তিগত তথ্য বাহকদের নিরাপত্তা নিশ্চিত করা;

রাশিয়ান ফেডারেশনের সরকার

রেজোলিউশন

ব্যক্তিগত ডেটা তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটা সুরক্ষার প্রয়োজনীয়তার অনুমোদনের উপর

ফেডারেল আইন "ব্যক্তিগত ডেটার উপর" এর 19 ধারা অনুসারে, রাশিয়ান ফেডারেশনের সরকার

সিদ্ধান্ত নেয়:

সরকারের চেয়ারম্যান ড
রাশিয়ান ফেডারেশন
ডি.মেদভেদেভ

ব্যক্তিগত ডেটা তথ্য সিস্টেমে তাদের প্রক্রিয়াকরণের সময় ব্যক্তিগত ডেটা সুরক্ষার জন্য প্রয়োজনীয়তা

অনুমোদিত
সরকারী সিদ্ধান্ত
রাশিয়ান ফেডারেশন
তারিখ 1 নভেম্বর, 2012 N 1119

একটি তথ্য ব্যবস্থা হল একটি তথ্য ব্যবস্থা যা ব্যক্তিগত ডেটার অন্যান্য বিভাগের প্রক্রিয়াকরণ করে, যদি এটি এই অনুচ্ছেদের এক থেকে তিনটি অনুচ্ছেদে নির্দিষ্ট ব্যক্তিগত ডেটা প্রক্রিয়া না করে।

7. তথ্য সিস্টেমের সাথে প্রাসঙ্গিক ব্যক্তিগত ডেটার নিরাপত্তার জন্য হুমকির ধরন নির্ধারণ অপারেটর দ্বারা ফেডারেল আইনের 18_1 অনুচ্ছেদের অংশ 1 এর অনুচ্ছেদ 5 এর অনুচ্ছেদ অনুযায়ী সম্পাদিত সম্ভাব্য ক্ষতির মূল্যায়ন বিবেচনা করে করা হয় " ব্যক্তিগত ডেটাতে”, এবং ফেডারেল আইন "ব্যক্তিগত ডেটার উপর" এর অনুচ্ছেদ 19 এর পার্ট 5 অনুসরণে গৃহীত নিয়ন্ত্রক আইনী আইন অনুসারে।

খ) ব্যক্তিগত তথ্য বাহকদের নিরাপত্তা নিশ্চিত করা;

ইলেকট্রনিক নথি পাঠ্য
কোডেক জেএসসি দ্বারা প্রস্তুত এবং বিরুদ্ধে যাচাই করা হয়েছে।