Dom Oporavak

Rezolucija o odobravanju zahteva za zaštitu ličnih podataka tokom njihove obrade u informacionim sistemima ličnih podataka - Rossiyskaya Gazeta. Nivoi zaštite ličnih podataka umjesto klasa Uredba Vlade 1119

Uredbom Vlade Ruske Federacije br. 1119 od 1. novembra 2012. godine sahranjene su klase informacionih sistema ličnih podataka koji su svima već bili poznati.

Umjesto klasa, prema novoj rezoluciji, utvrđuju se četiri nivoa sigurnosti ličnih podataka prilikom njihove obrade u informacionim sistemima i zahtjevi za svaki od njih. Dodeljivanje informacionih sistema određenom nivou bezbednosti vrši se u zavisnosti od vrste ličnih podataka koje informacioni sistem obrađuje, vrste aktuelnih pretnji, broja subjekata ličnih podataka koje informacioni sistem obrađuje i čiji podaci o ličnosti kontingent je obrađen.

Informacioni sistemi ličnih podataka (PDIS), prema stavu 5 Rezolucije br. 1119, podeljeni su u 4 grupe:

Specijalni ISPD
ako ISPD obrađuje lične podatke koji se odnose na rasu, nacionalnost, političke stavove, vjerska ili filozofska uvjerenja, zdravstveno stanje, intimni život subjekata ličnih podataka;
Biometrijski ISPD
ako ISPD obrađuje informacije koje karakterišu fiziološke i biološke karakteristike osobe, na osnovu kojih se može utvrditi njen identitet i koje koristi operater za utvrđivanje identiteta subjekta ličnih podataka, te informacije koje se odnose na posebne kategorije ličnih podataka se ne obrađuje;
Javni ISPD
ako ISPD obrađuje lične podatke subjekata ličnih podataka dobijene samo iz javno dostupnih izvora ličnih podataka kreiranih u skladu sa članom 8. Federalnog zakona „O ličnim podacima“;
Ostalo ISPDn
ako ISPD obrađuje lične podatke subjekata ličnih podataka koji nisu zastupljeni u tri prethodne grupe.

Na osnovu oblika odnosa između vaše organizacije i subjekata, obrada se dijeli na 2 tipa:

obrada ličnih podataka zaposlenih (subjekata sa kojima vaša organizacija ima radne odnose);
obradu ličnih podataka subjekata koji nisu zaposleni u vašoj organizaciji.

Na osnovu broja subjekata čiji se lični podaci obrađuju, Rezolucijom br. 1119 definisane su samo 2 kategorije:

manje od 100.000 subjekata;
više od 100.000 subjekata;

I na kraju, vrste trenutnih prijetnji:

Prijetnje tipa 1 povezane su s prisustvom neprijavljenih (nedokumentiranih) sposobnosti u sistemskom softveru koji se koristi u ISPD-u;
Prijetnje tipa 2 povezane su s prisustvom neprijavljenih sposobnosti u aplikativnom softveru koji se koristi u ISPD-u;
Prijetnje tipa 3 nisu povezane s prisustvom neprijavljenih mogućnosti u softveru koji se koristi u ISPD-u.

Ne postoji propis o tome kako odrediti vrstu trenutnih prijetnji. Zahtjevi PP-1119 ne nude nikakve metode ili metode za njihovu neutralizaciju. Ako je ranije operater mogao izabrati da klasifikuje standardni ISPD na osnovu tabele ili da klasifikuje poseban ISPD na osnovu rezultata modela pretnje, sada nema izbora. Nivo sigurnosti se uvijek određuje na osnovu relevantnosti prijetnji. Malo je vjerovatno da će ih operater moći sam odrediti - morat će kontaktirati višu organizaciju ili konsultanta. Najlakši način je ići putem manjeg otpora, tj. odrediti tip trenutne prijetnje tipa 3 i zaboraviti na neprijavljene (nedokumentovane) mogućnosti u sistemskom i aplikativnom softveru, ali to će morati biti opravdano. Čitavo pitanje je kako?, vraćajući se na početak pasusa.
Tema o važnosti prijetnji informacionim sistemima podataka o ličnosti je veoma važna, jer pravilno opisane pretnje određuju koliko će sistem biti zaštićen, kao i koliko će zaštita koštati operatera ličnih podataka.

Ako ste se odlučili za početne podatke za određeni ISPD, uključujući vrstu trenutnih prijetnji, tada možete odrediti njegov nivo sigurnosti. Da biste jednostavno odredili nivo sigurnosti, koristite sljedeću tabelu, koja se zasniva na PP-1119:

ISPDn tip	Zaposlenici operatera	Broj predmeta	Vrsta trenutnih prijetnji
			1 (NDV OS)	2 (NDV PO)	3 (bez NDV)
ISPDn-S (poseban)	br	> 100 000	UZ-1	UZ-1	UZ-2
	br	< 100 000	UZ-1	UZ-2	UZ-3
	Da
ISPDn-B (biometrijski)			UZ-1	UZ-2	UZ-3
ISPDn-I (ostali)	br	> 100 000	UZ-1	UZ-2	UZ-3
	br	< 100 000	UZ-2	UZ-3	UZ-4
	Da
ISPDn-O (javno)	br	> 100 000	UZ-2	UZ-2	UZ-4
	br	< 100 000	UZ-2	UZ-3	UZ-4
	Da

U zavisnosti od izabranog nivoa bezbednosti PD, PP-1119 definiše niz zahteva za zaštitu ličnih podataka, koje organizuje i sprovodi operater (ovlašćeno lice) samostalno i (ili) uz angažovanje pravnih i fizičkih lica. preduzetnici na osnovu ugovora, koji imaju licencu za obavljanje djelatnosti tehničke zaštite povjerljivih informacija. Praćenje usklađenosti sa zahtjevima mora se vršiti najmanje jednom u 3 godine u roku koji odredi operater (ovlašćeno lice).

Zahtjevi	Nivoi sigurnost
Zahtjevi
Organizacija sigurnosnog režima za prostorije u kojima se nalazi informacioni sistem, sprečavanje mogućnosti nekontrolisanog ulaska ili boravka u ovim prostorijama lica koja nemaju pristup ovim prostorijama	+	+	+	+
Osiguravanje sigurnosti nosilaca ličnih podataka	+	+	+	+
Odobrenje od strane rukovodioca operatora dokumenta kojim se definiše spisak lica čiji je pristup ličnim podacima koji se obrađuju u informacionom sistemu neophodan za obavljanje službene (radne) dužnosti	+	+	+	+
Upotreba alata za informacijsku sigurnost koji su prošli proceduru za procjenu usklađenosti sa zahtjevima zakonodavstva Ruske Federacije u oblasti informacione sigurnosti, u slučajevima kada je upotreba takvih alata neophodna za neutralizaciju trenutnih prijetnji	+	+	+	+
Imenovanje službenika odgovornog za osiguranje sigurnosti ličnih podataka u ISPD-u	+	+	+	-
Ograničavanje pristupa sadržaju elektronskog dnevnika poruka	+	+	-	-
Automatska registracija u elektroničkom sigurnosnom dnevniku promjena ovlaštenja zaposlenika operatera za pristup ličnim podacima sadržanim u informacionom sistemu	+	-	-	-
Osnivanje strukturne jedinice zadužene za osiguranje sigurnosti ličnih podataka u informacionom sistemu, odnosno dodeljivanje funkcija za obezbeđivanje te bezbednosti jednoj od strukturnih jedinica	+	-	-	-

Odlukom o zahtjevima za zaštitu ličnih podataka u skladu sa PP-1119, možete pristupiti odabiru organizacionih i tehničkih mjera za osiguranje sigurnosti ličnih podataka, na osnovu zahtjeva Naredbe br. 21 FSTEC-a od Rusija od 18.02.2013. usmjerena na neutralizaciju trenutnih prijetnji sigurnosti ličnih podataka.

Što učiniti s alatima za sigurnost informacija, za koje su prethodno izdati certifikati za određene klase ISPD-a?

U skladu sa informativnom porukom FSTEC Rusije od 20. novembra 2012. N 240/24/4669 „O karakteristikama zaštite ličnih podataka tokom njihove obrade u informacionim sistemima ličnih podataka i sertifikacije alata za bezbednost informacija namenjenih zaštiti ličnih podataka”, potvrde o usklađenosti koje je izdao FSTEC Rusije, prije stupanja na snagu regulatornog pravnog akta FSTEC Rusije (što znači Naredba br. 21), kojim se utvrđuje sastav i sadržaj organizacionih i tehničkih mjera za osiguranje sigurnosti lični podaci tokom njihove obrade u informacionim sistemima ličnih podataka, ne podležu ponovnoj registraciji.
Alati za sigurnost informacija koji se mogu koristiti za zaštitu ličnih podataka koji se obrađuju u informacionim sistemima ličnih podataka klase 1 mogu se koristiti za osiguranje sigurnosti ličnih podataka koji se obrađuju u informacionim sistemima ličnih podataka do nivoa 1 uključujući;
Alati za sigurnost informacija koji se mogu koristiti za zaštitu ličnih podataka koji se obrađuju u informacionim sistemima ličnih podataka klase 2 mogu se koristiti za osiguranje nivoa 4 sigurnosti ličnih podataka koji se obrađuju u informacionim sistemima ličnih podataka.

VLADA RUSKE FEDERACIJE

RESOLUCIJA

O davanju saglasnosti na Pravilnik o obezbjeđivanju sigurnosti podataka o ličnosti prilikom njihove obrade u informacionim sistemima podataka o ličnosti

Izgubljena na snazi 15. novembra 2012 na osnovu
rezolucije Vlade Ruske Federacije
od 1. novembra 2012. godine N 1119
____________________________________________________________________

U skladu sa članom 19. Federalnog zakona "O ličnim podacima", Vlada Ruske Federacije

odlučuje:

1. Utvrditi priloženi Pravilnik o obezbjeđivanju sigurnosti ličnih podataka prilikom njihove obrade u informacionim sistemima podataka o ličnosti.

2. Federalna služba bezbednosti Ruske Federacije i Federalna služba za tehničku i izvoznu kontrolu odobriće, u okviru svoje nadležnosti, u roku od 3 meseca, regulatorne pravne akte i metodološke dokumente neophodne za ispunjavanje uslova predviđenih Pravilnikom. odobren ovom rezolucijom.

predsjedavajući Vlade
Ruska Federacija

Pravilnik o obezbjeđivanju sigurnosti podataka o ličnosti prilikom njihove obrade u informacionim sistemima podataka o ličnosti

ODOBRENO
Vladina rezolucija
Ruska Federacija
od 17. novembra 2007. godine N 781

1. Ovim pravilnikom utvrđuju se zahtjevi za osiguranje sigurnosti ličnih podataka tokom njihove obrade u informacionim sistemima o ličnim podacima, koji predstavljaju zbir ličnih podataka sadržanih u bazama podataka, kao i informacione tehnologije i tehnička sredstva koja omogućavaju obradu takvih ličnih podataka korišćenjem alati za automatizaciju (u daljem tekstu informacioni sistemi). *1)

Pod tehničkim sredstvima koja omogućavaju obradu ličnih podataka podrazumevaju se računarski objekti, informacioni i računarski kompleksi i mreže, sredstva i sistemi za prenos, prijem i obradu ličnih podataka (sredstva i sistemi za snimanje zvuka, pojačanje zvuka, reprodukciju zvuka, interfon i televizija uređaji, proizvodna sredstva, replikacija dokumenata i druga tehnička sredstva za obradu govornih, grafičkih, video i alfanumeričkih informacija), softver (operativni sistemi, sistemi za upravljanje bazama podataka itd.), alati za sigurnost informacija koji se koriste u informacionim sistemima.

2. Sigurnost ličnih podataka se postiže isključivanjem neovlaštenog, uključujući slučajan, pristup ličnim podacima, koji može rezultirati uništenjem, modifikacijom, blokiranjem, kopiranjem, distribucijom ličnih podataka, kao i drugim nedozvoljenim radnjama.

Sigurnost ličnih podataka tokom njihove obrade u informacionim sistemima obezbeđuje se korišćenjem sistema zaštite ličnih podataka, uključujući organizacione mere i sredstva zaštite informacija (uključujući enkripciona (kriptografska) sredstva, sredstva za sprečavanje neovlašćenog pristupa, curenje informacija kroz tehničke kanale, softver i uticaji hardvera na tehnička sredstva za obradu ličnih podataka), kao i informacione tehnologije koje se koriste u informacionom sistemu. Hardver i softver moraju ispunjavati zahtjeve utvrđene u skladu sa zakonodavstvom Ruske Federacije kako bi se osigurala zaštita informacija.

Kako bi se osigurala sigurnost ličnih podataka prilikom njihove obrade u informacionim sistemima, obezbeđena je zaštita govornih informacija i informacija obrađenih tehničkim sredstvima, kao i informacija predstavljenih u vidu informativnih električnih signala, fizičkih polja, medija na papiru, magnetu, magneto -optičke i druge baze.

3. Metode i sredstva zaštite informacija u informacionim sistemima utvrđuju Federalna služba za tehničku i izvoznu kontrolu i Federalna služba bezbednosti Ruske Federacije u granicama svojih ovlašćenja. *3.1)

Adekvatnost preduzetih mjera za obezbjeđivanje sigurnosti ličnih podataka prilikom njihove obrade u informacionim sistemima ocjenjuje se tokom državne kontrole i nadzora.

4. Rad na obezbjeđivanju sigurnosti ličnih podataka prilikom njihove obrade u informacionim sistemima je sastavni dio rada na kreiranju informacionih sistema.

5. Alati za sigurnost informacija koji se koriste u informacionim sistemima prolaze proceduru ocjenjivanja usklađenosti u skladu sa utvrđenom procedurom.

6. Informacione sisteme razvrstavaju državni organi, organi opštine, pravna ili fizička lica koja organizuju i (ili) sprovode obradu ličnih podataka, kao i određuju svrhu i sadržaj obrade ličnih podataka (u daljem tekstu: operatera), u zavisnosti od obima ličnih podataka koje oni obrađuju i bezbednosnih pretnji po vitalne interese pojedinca, društva i države.

Proceduru za klasifikaciju informacionih sistema zajednički uspostavljaju Federalna služba za tehničku i izvoznu kontrolu, Federalna služba bezbednosti Ruske Federacije i Ministarstvo informacionih tehnologija i komunikacija Ruske Federacije.*6.2)

7. Razmjena ličnih podataka prilikom njihove obrade u informacionim sistemima vrši se putem komunikacionih kanala čija se zaštita obezbjeđuje sprovođenjem odgovarajućih organizacionih mjera i (ili) upotrebom tehničkih sredstava.

8. Postavljanje informacionih sistema, posebne opreme i obezbeđenje prostorija u kojima se obavlja rad sa ličnim podacima, organizacija režima bezbednosti u ovim prostorijama mora da obezbedi bezbednost nosilaca ličnih podataka i sredstava za bezbednost informacija, kao i da isključi mogućnost nekontrolisanog ulaska ili prisustva stranaca u ovim prostorijama lica

9. Moguće kanale curenja informacija tokom obrade ličnih podataka u informacionim sistemima utvrđuju Federalna služba za tehničku i izvoznu kontrolu i Federalna služba bezbednosti Ruske Federacije u granicama svojih ovlašćenja.

10. Sigurnost ličnih podataka prilikom obrade u informacionom sistemu obezbjeđuje operater ili lice kome na osnovu ugovora operater povjerava obradu ličnih podataka (u daljem tekstu: ovlašteno lice). Bitan uslov ugovora je obaveza ovlašćenog lica da obezbedi poverljivost ličnih podataka i sigurnost ličnih podataka prilikom obrade u informacionom sistemu.

11. Prilikom obrade ličnih podataka u informacionom sistemu, mora se osigurati sljedeće:

a) sprovođenje mera u cilju sprečavanja neovlašćenog pristupa ličnim podacima i (ili) njihovog prenošenja licima koja nemaju pravo pristupa takvim informacijama;

b) blagovremeno otkrivanje činjenica neovlašćenog pristupa ličnim podacima;

c) sprečavanje uticaja na tehnička sredstva automatizovane obrade ličnih podataka, usled čega može biti poremećeno njihovo funkcionisanje;

d) mogućnost trenutnog vraćanja ličnih podataka izmijenjenih ili uništenih zbog neovlaštenog pristupa njima;

e) stalno praćenje obezbjeđenja nivoa sigurnosti ličnih podataka.

12. Mjere za osiguranje sigurnosti ličnih podataka tokom njihove obrade u informacionim sistemima obuhvataju:

a) identifikovanje pretnji po bezbednost ličnih podataka tokom njihove obrade, formiranje modela pretnji na osnovu njih;

b) razvoj, na osnovu modela pretnji, sistema zaštite podataka o ličnosti koji obezbeđuje neutralizaciju navodnih pretnji korišćenjem metoda i metoda za zaštitu ličnih podataka predviđenih za odgovarajuću klasu informacionih sistema;

c) provjera spremnosti alata za sigurnost informacija za upotrebu uz donošenje zaključaka o mogućnosti njihovog rada;

d) instaliranje i puštanje u rad sredstava informacione sigurnosti u skladu sa operativnom i tehničkom dokumentacijom;

e) obuka lica koja koriste alate informacione bezbednosti koji se koriste u informacionim sistemima o pravilima rada sa njima;

f) računovodstvo upotrebljenih sredstava za zaštitu informacija, operativne i tehničke dokumentacije za njih, nosilaca ličnih podataka;

g) računovodstvo lica ovlašćenih za rad sa ličnim podacima u informacionom sistemu;

h) kontrolu poštovanja uslova za korišćenje sredstava informacione bezbednosti predviđenih operativnom i tehničkom dokumentacijom;

i) istragu i donošenje zaključaka o činjenicama nepoštivanja uslova čuvanja nosilaca ličnih podataka, upotrebe mera bezbednosti informacija koje mogu dovesti do narušavanja poverljivosti ličnih podataka ili drugih povreda koje dovode do smanjenja nivoa sigurnosti ličnih podataka, razvoj i donošenje mjera za sprječavanje mogućih opasnih posljedica takvih povreda;

j) opis sistema zaštite ličnih podataka.

13. Operater ili ovlašćeno lice može imenovati strukturnu jedinicu ili službenika (zaposlenika) odgovornog za obezbjeđivanje sigurnosti ličnih podataka, radi izrade i implementacije mjera za obezbjeđivanje sigurnosti ličnih podataka prilikom njihove obrade u informacionom sistemu.

14. Licima čiji je pristup ličnim podacima koji se obrađuju u informacionom sistemu neophodan za obavljanje službene (radne) dužnosti omogućava se pristup relevantnim ličnim podacima na osnovu liste koju odobrava operater ili ovlašćeno lice.

15. Zahtjevi korisnika informacionog sistema za pribavljanje ličnih podataka, uključujući lica iz stava 14. ovog pravilnika, kao i činjenice davanja ličnih podataka po tim zahtjevima registruju se automatizovanim sredstvima informacionog sistema u elektronskom dnevniku. zahtjeva. Sadržaj elektronskog dnevnika zahtjeva periodično provjeravaju relevantna službena lica (zaposleni) operatera ili ovlaštene osobe.

16. Ukoliko se utvrde povrede procedure za davanje ličnih podataka, operater ili ovlašćeno lice će odmah obustaviti davanje ličnih podataka korisnicima informacionog sistema dok se ne utvrde uzroci kršenja i ovi uzroci ne otklone.

17. Implementacija zahtjeva za osiguranje sigurnosti informacija u alatima za sigurnost informacija je na njihovim programerima.

U vezi sa razvijenim enkripcijskim (kriptografskim) alatima za sigurnost informacija koji su dizajnirani da osiguraju sigurnost ličnih podataka prilikom njihove obrade u informacionim sistemima, sprovode se studije slučaja i kontrolne studije slučaja u cilju provjere usklađenosti sa zahtjevima informacione sigurnosti. Pod studijama slučaja se u ovom slučaju podrazumijevaju kriptografske, inženjersko-kriptografske i specijalne studije alata za informatičku sigurnost i poseban rad sa tehničkim sredstvima informacionih sistema, a kontrolne studije slučaja su periodično vođene studije slučaja.

Konkretne rokove za sprovođenje kontrolnih studija slučaja utvrđuje Federalna služba bezbednosti Ruske Federacije.

18. Rezultati ocjenjivanja usklađenosti i (ili) studija slučaja alata za informatičku sigurnost dizajniranih da osiguraju sigurnost ličnih podataka tokom njihove obrade u informacionim sistemima ocjenjuju se tokom ispitivanja koje provode Federalna služba za tehničku i izvoznu kontrolu i Federalna služba za kontrolu izvoza. Služba sigurnosti Ruske Federacije u okviru svojih ovlaštenja.

19. Mere bezbednosti informacija koje imaju za cilj da obezbede bezbednost ličnih podataka tokom njihove obrade u informacionim sistemima praćene su pravilima za korišćenje ovih sredstava, dogovorenim sa Federalnom službom za tehničku i izvoznu kontrolu i Federalnom službom bezbednosti Ruske Federacije. u granicama svojih ovlasti.

Sa ovim saveznim organima izvršne vlasti dogovaraju se izmene uslova za korišćenje sredstava zaštite informacija predviđenih ovim pravilima u granicama njihovih ovlašćenja.

20. Mjere sigurnosti informacija koje su osmišljene da osiguraju sigurnost ličnih podataka tokom njihove obrade u informacionim sistemima podliježu računovodstvu pomoću indeksa ili kodnih naziva i registarskih brojeva. Spisak indeksa, kodnih naziva i registarskih brojeva utvrđuju Federalna služba za tehničku i izvoznu kontrolu i Federalna služba bezbednosti Ruske Federacije u granicama svojih ovlašćenja.

21. Karakteristike razvoja, proizvodnje, implementacije i rada enkripcijskih (kriptografskih) sredstava zaštite informacija i pružanja usluga za šifrovanje ličnih podataka tokom njihove obrade u informacionim sistemima utvrđuje Federalna služba bezbednosti Ruske Federacije.

Tekst elektronskog dokumenta
pripremio Kodeks dd i verificirao prema:
Zbirka zakona
Ruska Federacija,
N 48, 26.11.2007., član 6001

Uredba Vlade Ruske Federacije od 1. novembra 2012. N 1119
„O odobravanju uslova za zaštitu ličnih podataka prilikom njihove obrade u informacionim sistemima ličnih podataka“

U skladu sa članom 19. Federalnog zakona "O ličnim podacima", Vlada Ruske Federacije odlučuje:

1. Odobreti priložene zahtjeve za zaštitu ličnih podataka tokom njihove obrade u informacionim sistemima ličnih podataka.

2. Priznati nevažećom Uredbu Vlade Ruske Federacije od 17. novembra 2007. N 781 „O odobravanju Pravilnika o osiguranju sigurnosti ličnih podataka tokom njihove obrade u informacionim sistemima o ličnim podacima“ (Sabrani zakoni Ruske Federacije , 2007, N 48, član 6001) .

Zahtjevi
na zaštitu ličnih podataka tokom njihove obrade u informacionim sistemima ličnih podataka
(odobreno Uredbom Vlade Ruske Federacije od 1. novembra 2012. N 1119)

1. Ovim dokumentom utvrđuju se zahtjevi za zaštitu ličnih podataka prilikom obrade u informacionim sistemima ličnih podataka (u daljem tekstu: informacioni sistemi) i nivoi sigurnosti tih podataka.

2. Sigurnost ličnih podataka prilikom obrade u informacionom sistemu obezbjeđuje se korištenjem sistema zaštite ličnih podataka koji neutrališe trenutne prijetnje identifikovane u skladu sa dijelom 5. člana 19.

Sistem zaštite podataka o ličnosti obuhvata organizacione i (ili) tehničke mere određene uzimajući u obzir aktuelne pretnje bezbednosti ličnih podataka i informacionih tehnologija koje se koriste u informacionim sistemima.

3. Sigurnost ličnih podataka prilikom obrade u informacionom sistemu obezbeđuje operater ovog sistema, koji obrađuje lične podatke (u daljem tekstu: operater), ili lice koje obrađuje lične podatke u ime operatora na osnovu ugovora zaključenog sa ovim licem (u daljem tekstu: ovlašćeno lice). Ugovorom između operatera i ovlaštenog lica mora biti predviđena obaveza ovlaštenog lica da osigura sigurnost ličnih podataka prilikom obrade u informacionom sistemu.

4. Izbor sredstava za sigurnost informacija za sistem zaštite ličnih podataka vrši operater u skladu sa regulatornim pravnim aktima koje su donele Federalna služba bezbednosti Ruske Federacije i Federalna služba za tehničku i izvoznu kontrolu u skladu sa delom 4. člana 19. Saveznog zakona "O ličnim podacima".

5. Informacioni sistem je informacioni sistem koji obrađuje posebne kategorije ličnih podataka ako obrađuje lične podatke koji se odnose na rasu, nacionalnost, političke stavove, verska ili filozofska uverenja, zdravstveno stanje, intimni život subjekata ličnih podataka.

Informacioni sistem je informacioni sistem koji obrađuje biometrijske lične podatke ako obrađuje informacije koje karakterišu fiziološke i biološke karakteristike osobe, na osnovu kojih se može utvrditi njen identitet i koje koristi operater za utvrđivanje identiteta osobe. subjekt ličnih podataka, te ne obrađuje informacije koje se odnose na posebne kategorije ličnih podataka.

Informacioni sistem je informacioni sistem koji obrađuje javno dostupne lične podatke ako obrađuje lične podatke subjekata ličnih podataka dobijene samo iz javno dostupnih izvora ličnih podataka kreiranih u skladu sa članom 8. Federalnog zakona „O ličnim podacima“.

Informacioni sistem je informacioni sistem koji obrađuje druge kategorije ličnih podataka, ako ne obrađuje podatke o ličnosti iz st. od prvog do trećeg ovog stava.

Informacioni sistem je informacioni sistem koji obrađuje lične podatke zaposlenih u operateru ako obrađuje samo lične podatke određenih zaposlenih. U drugim slučajevima, informacioni sistem ličnih podataka je informacioni sistem koji obrađuje lične podatke subjekata ličnih podataka koji nisu zaposleni kod operatera.

6. Aktuelne prijetnje sigurnosti ličnih podataka podrazumijevaju se kao skup uslova i faktora koji stvaraju trenutnu opasnost od neovlaštenog, uključujući i slučajnog, pristupa ličnim podacima tokom njihove obrade u informacionom sistemu, što može rezultirati uništenjem, modifikacijom, blokiranje, kopiranje, dostavljanje, distribucija ličnih podataka, kao i druge nezakonite radnje.

Pretnje tipa 1 su relevantne za informacioni sistem ako su pretnje povezane sa prisustvom nedokumentovanih (nedeklarisanih) sposobnosti u sistemskom softveru koji se koristi u informacionom sistemu takođe relevantne za njega.

Pretnje 2. tipa su relevantne za informacioni sistem ako su za njega relevantne i pretnje povezane sa prisustvom nedokumentovanih (nedeklariranih) sposobnosti u aplikativnom softveru koji se koristi u informacionom sistemu.

Pretnje tipa 3 su relevantne za informacioni sistem ako su za njega relevantne pretnje koje nisu povezane sa prisustvom nedokumentovanih (nedeklariranih) sposobnosti u sistemu i aplikativnom softveru koji se koristi u informacionom sistemu.

7. Utvrđivanje vrste prijetnji po sigurnost ličnih podataka relevantnih za informacioni sistem vrši operater uzimajući u obzir procjenu moguće štete izvršene u skladu sa stavom 5. dijela 1. člana 18.1. Federalnog zakona. "O ličnim podacima", au skladu sa regulatornim pravnim aktima usvojenim u skladu sa dijelom 5. člana 19. Federalnog zakona "O ličnim podacima".

8. Prilikom obrade ličnih podataka u informacionim sistemima uspostavljaju se 4 nivoa sigurnosti ličnih podataka.

9. Potreba za osiguranjem 1. nivoa sigurnosti ličnih podataka prilikom njihove obrade u informacionom sistemu utvrđuje se ako je prisutan najmanje jedan od sljedećih uslova:

a) prijetnje tipa 1 su relevantne za informacioni sistem i informacioni sistem obrađuje ili posebne kategorije ličnih podataka, ili biometrijske lične podatke, ili druge kategorije ličnih podataka;

b) prijetnje tipa 2 su relevantne za informacioni sistem i informacioni sistem obrađuje posebne kategorije ličnih podataka više od 100.000 subjekata ličnih podataka koji nisu zaposleni kod operatera.

10. Potreba za osiguranjem 2. stepena sigurnosti ličnih podataka prilikom obrade istih u informacionom sistemu utvrđuje se ako je prisutan najmanje jedan od sljedećih uslova:

a) prijetnje tipa 1 su relevantne za informacioni sistem i informacioni sistem obrađuje javno dostupne lične podatke;

b) prijetnje tipa 2 su relevantne za informacioni sistem i informacioni sistem obrađuje posebne kategorije ličnih podataka zaposlenih kod operatera ili posebne kategorije ličnih podataka manje od 100.000 subjekata ličnih podataka koji nisu zaposleni kod operatera;

c) prijetnje tipa 2 su relevantne za informacioni sistem i informacioni sistem obrađuje biometrijske lične podatke;

d) prijetnje tipa 2 su relevantne za informacioni sistem i informacioni sistem obrađuje javno dostupne lične podatke više od 100.000 subjekata ličnih podataka koji nisu zaposleni kod operatera;

e) prijetnje tipa 2 su relevantne za informacioni sistem i informacioni sistem obrađuje druge kategorije ličnih podataka više od 100.000 subjekata ličnih podataka koji nisu zaposleni kod operatera;

f) prijetnje tipa 3 su relevantne za informacioni sistem i informacioni sistem obrađuje posebne kategorije ličnih podataka više od 100.000 subjekata ličnih podataka koji nisu zaposleni kod operatera.

11. Potreba za osiguranjem 3. stepena sigurnosti ličnih podataka prilikom njihove obrade u informacionom sistemu utvrđuje se ako je prisutan najmanje jedan od sljedećih uslova:

a) prijetnje tipa 2 su relevantne za informacioni sistem i informacioni sistem obrađuje javno dostupne lične podatke zaposlenih u operateru ili javno dostupne lične podatke manje od 100.000 subjekata ličnih podataka koji nisu zaposleni kod operatera;

b) prijetnje tipa 2 su relevantne za informacioni sistem i informacioni sistem obrađuje druge kategorije ličnih podataka zaposlenih kod operatera ili druge kategorije ličnih podataka manje od 100.000 subjekata ličnih podataka koji nisu zaposleni kod operatera;

c) prijetnje tipa 3 su relevantne za informacioni sistem i informacioni sistem obrađuje posebne kategorije ličnih podataka zaposlenih kod operatera ili posebne kategorije ličnih podataka manje od 100.000 subjekata ličnih podataka koji nisu zaposleni kod operatera;

d) prijetnje tipa 3 su relevantne za informacioni sistem i informacioni sistem obrađuje biometrijske lične podatke;

e) prijetnje tipa 3 su relevantne za informacioni sistem i informacioni sistem obrađuje druge kategorije ličnih podataka više od 100.000 subjekata ličnih podataka koji nisu zaposleni kod operatera.

12. Potreba za osiguranjem 4. stepena sigurnosti ličnih podataka prilikom obrade istih u informacionom sistemu utvrđuje se ako je prisutan najmanje jedan od sljedećih uslova:

a) prijetnje tipa 3 su relevantne za informacioni sistem i informacioni sistem obrađuje javno dostupne lične podatke;

b) prijetnje tipa 3 su relevantne za informacioni sistem i informacioni sistem obrađuje druge kategorije ličnih podataka zaposlenih u operateru ili druge kategorije ličnih podataka manje od 100.000 subjekata ličnih podataka koji nisu zaposleni kod operatera.

13. Da bi se osigurao 4. nivo sigurnosti ličnih podataka prilikom obrade u informacionim sistemima, moraju biti ispunjeni sljedeći zahtjevi:

a) organizovanje bezbednosnog režima za prostorije u kojima se nalazi informacioni sistem, sprečavanje mogućnosti nekontrolisanog ulaska ili boravka u ovim prostorijama lica koja nemaju pristup ovim prostorijama;

b) osiguranje sigurnosti nosilaca ličnih podataka;

c) saglasnost rukovodioca operatora na dokument kojim se utvrđuje lista lica čiji je pristup ličnim podacima koji se obrađuju u informacionom sistemu neophodan za obavljanje službene (radne) dužnosti;

d) korištenje alata za sigurnost informacija koji su prošli proceduru za procjenu usklađenosti sa zahtjevima zakonodavstva Ruske Federacije u oblasti informacione sigurnosti, u slučajevima kada je upotreba takvih sredstava neophodna za neutralizaciju trenutnih prijetnji.

14. Za obezbjeđenje 3. stepena sigurnosti ličnih podataka prilikom obrade istih u informacionim sistemima, pored ispunjenja uslova iz stava 13. ovog dokumenta, potrebno je da se imenuje službeno lice (zaposleni) zaduženo za obezbjeđenje sigurnosti. ličnih podataka u informacionom sistemu.

15. Da bi se osigurao 2. nivo sigurnosti ličnih podataka prilikom njihove obrade u informacionim sistemima, pored ispunjavanja uslova iz stava 14. ovog dokumenta, potrebno je da pristup sadržaju elektronskog dnevnika poruka bude moguć samo za službena lica (zaposlene) operatera ili ovlašteno lice, kojima su podaci sadržani u navedenom dnevniku neophodni za obavljanje službenih (radnih) dužnosti.

16. Da bi se osigurao 1. nivo sigurnosti ličnih podataka prilikom obrade u informacionim sistemima, pored uslova iz stava 15. ovog dokumenta, moraju biti ispunjeni i sledeći uslovi:

a) automatska registracija u elektronskom sigurnosnom dnevniku promjena ovlaštenja službenika operatera za pristup ličnim podacima sadržanim u informacionom sistemu;

b) formiranje strukturne jedinice zadužene za obezbjeđivanje sigurnosti ličnih podataka u informacionom sistemu, odnosno dodjeljivanje funkcija za obezbjeđivanje te sigurnosti jednoj od strukturnih jedinica.

17. Praćenje poštovanja ovih uslova organizuje i sprovodi operater (ovlašćeno lice) samostalno i (ili) uz angažovanje pravnih lica i individualnih preduzetnika na osnovu ugovora, licenciranih za obavljanje delatnosti tehničke zaštite poverljivih podataka. informacije. Navedena kontrola se vrši najmanje jednom u 3 godine u rokovima koje odredi operater (ovlašćeno lice).

VLADA RUSKE FEDERACIJE

O ODOBRAVANJU ZAHTJEVA

U skladu sa članom 19. Federalnog zakona "O ličnim podacima", Vlada Ruske Federacije odlučuje:

1. Odobreti priložene zahtjeve za zaštitu ličnih podataka tokom njihove obrade u informacionim sistemima ličnih podataka.

predsjedavajući Vlade
Ruska Federacija
D.MEDVEDEV

Odobreno
Vladina rezolucija
Ruska Federacija
od 1. novembra 2012. godine N 1119

ZAHTJEVI
NA ZAŠTITU LIČNIH PODATAKA TOKOM NJIHOVE OBRADE
U INFORMACIONIM SISTEMIMA LIČNIH PODATAKA

2. Sigurnost ličnih podataka prilikom obrade u informacionom sistemu obezbjeđuje se korištenjem sistema zaštite ličnih podataka koji neutrališe postojeće prijetnje identifikovane u skladu sa dijelom 5. člana 19. Federalnog zakona „O ličnim podacima“.

Informacioni sistem je informacioni sistem koji obrađuje druge kategorije ličnih podataka, ako ne obrađuje podatke o ličnosti iz st. od prvog do trećeg ovog stava.

7. Utvrđivanje vrste prijetnji sigurnosti ličnih podataka relevantnih za informacioni sistem vrši operater uzimajući u obzir procjenu moguće štete izvršene u skladu sa stavom 5. dijela 1. člana 18.1. Federalnog zakona. O ličnim podacima", au skladu sa regulatornim pravnim aktima usvojenim u skladu sa dijelom 5 člana 19 Federalnog zakona "O ličnim podacima".