Domov Zotavení

Usnesení o schválení požadavků na ochranu osobních údajů při jejich zpracování v informačních systémech osobních údajů - Rossijskaja Gazeta. Úrovně ochrany osobních údajů namísto tříd Nařízení vlády 1119

Nařízení vlády Ruské federace č. 1119 ze dne 1. listopadu 2012 pohřbilo již všem známé třídy informačních systémů osobních údajů.

Místo tříd jsou podle nového usnesení stanoveny čtyři úrovně zabezpečení osobních údajů při jejich zpracování v informačních systémech a požadavky na každou z nich. Přiřazení informačních systémů k určitému stupni zabezpečení se provádí v závislosti na druhu osobních údajů, které informační systém zpracovává, na druhu aktuálních hrozeb, počtu subjektů osobních údajů zpracovávaných informačním systémem a na jejich osobních údajích. kontingent je zpracován.

Informační systémy osobních údajů (PDIS) se dle odst. 5 usnesení č. 1119 dělí do 4 skupin:

Speciální ISPD
pokud ISPD zpracovává osobní údaje týkající se rasy, národnosti, politických názorů, náboženského nebo filozofického přesvědčení, zdravotního stavu, intimního života subjektů osobních údajů;
Biometrické ISPD
pokud ISPD zpracovává informace, které charakterizují fyziologické a biologické vlastnosti osoby, na základě kterých lze zjistit její totožnost a které slouží provozovateli ke zjištění totožnosti subjektu osobních údajů, a informace týkající se zvláštních kategorií osobní údaje nejsou zpracovávány;
Veřejný ISPD
pokud ISPD zpracovává osobní údaje subjektů osobních údajů získané pouze z veřejně dostupných zdrojů osobních údajů vytvořených v souladu s článkem 8 federálního zákona „o osobních údajích“;
Jiné ISPDn
pokud ISPD zpracovává osobní údaje subjektů osobních údajů nezastoupených ve třech předchozích skupinách.

Na základě formy vztahu mezi vaší organizací a subjekty se zpracování dělí na 2 typy:

zpracování osobních údajů zaměstnanců (subjektů, se kterými má vaše organizace pracovněprávní vztahy);
zpracování osobních údajů subjektů, které nejsou zaměstnanci Vaší organizace.

Na základě počtu subjektů, jejichž osobní údaje jsou zpracovávány, definuje usnesení č. 1119 pouze 2 kategorie:

méně než 100 000 subjektů;
více než 100 000 subjektů;

A nakonec, typy aktuálních hrozeb:

Hrozby typu 1 jsou spojeny s přítomností nedeklarovaných (nedokumentovaných) schopností v systémovém softwaru používaném v ISPD;
Hrozby typu 2 jsou spojeny s přítomností nedeklarovaných schopností v aplikačním softwaru používaném v ISPD;
Hrozby typu 3 nejsou spojeny s přítomností nedeklarovaných schopností v softwaru používaném v ISPD.

Neexistuje žádný předpis, jak určit typ aktuálních hrozeb. Požadavky PP-1119 nenabízejí žádné metody nebo metody pro jejich neutralizaci. Pokud si dříve mohl operátor zvolit klasifikaci standardního ISPD na základě tabulky nebo klasifikaci speciálního ISPD na základě výsledků modelu ohrožení, nyní není na výběr. Úroveň zabezpečení se vždy určuje na základě relevance hrozeb. Je nepravděpodobné, že by je provozovatel mohl určit sám - bude muset kontaktovat vyšší organizaci nebo konzultanta. Nejjednodušší je jít cestou nejmenšího odporu, tzn. určit typ aktuální hrozby typu 3 a zapomenout na nedeklarované (nedokumentované) schopnosti v systémovém a aplikačním softwaru, ale to bude třeba zdůvodnit. Celá otázka zní jak?, vracím se na začátek odstavce.
Téma relevance hrozeb pro informační systémy osobních údajů je velmi důležité, protože správně popsané hrozby určují, jak dobře bude systém chráněn a kolik bude ochrana stát provozovatele osobních údajů.

Pokud jste se rozhodli pro počáteční data pro konkrétní ISPD, včetně typu aktuálních hrozeb, můžete určit úroveň jeho zabezpečení. Pro pohodlné určení úrovně zabezpečení použijte následující tabulku, která vychází z PP-1119:

Typ ISPDn	Zaměstnanci operátora	Počet předmětů	Typ aktuálních hrozeb
			1 (NDV OS)	2 (NDV PO)	3 (Bez NDV)
ISPDn-S (speciální)	Ne	> 100 000	UZ-1	UZ-1	UZ-2
	Ne	< 100 000	UZ-1	UZ-2	UZ-3
	Ano
ISPDn-B (biometrické)			UZ-1	UZ-2	UZ-3
ISPDn-I (ostatní)	Ne	> 100 000	UZ-1	UZ-2	UZ-3
	Ne	< 100 000	UZ-2	UZ-3	UZ-4
	Ano
ISPDn-O (veřejnost)	Ne	> 100 000	UZ-2	UZ-2	UZ-4
	Ne	< 100 000	UZ-2	UZ-3	UZ-4
	Ano

V závislosti na zvolené úrovni zabezpečení PD definuje PP-1119 řadu požadavků na ochranu osobních údajů, které organizuje a provádí provozovatel (oprávněná osoba) samostatně a (nebo) se zapojením právnických osob a fyzických osob. podnikatelé na smluvním základě, kteří mají oprávnění k výkonu činnosti technické ochrany důvěrných informací. Kontrola plnění požadavků musí být prováděna minimálně 1x za 3 roky ve lhůtě stanovené provozovatelem (oprávněnou osobou).

Požadavky	úrovně bezpečnostní
Požadavky
Organizace bezpečnostního režimu pro prostory, ve kterých je umístěn informační systém, zamezení možnosti nekontrolovaného vstupu nebo pobytu v těchto prostorách osobami, které nemají do těchto prostor přístup	+	+	+	+
Zajištění bezpečnosti nosičů osobních údajů	+	+	+	+
Schválení dokumentu vymezujícího seznam osob, jejichž přístup k osobním údajům zpracovávaným v informačním systému je nezbytný pro plnění jejich služebních (pracovních) povinností vedoucím provozovatele	+	+	+	+
Využití nástrojů informační bezpečnosti, které prošly postupem pro posouzení souladu s požadavky legislativy Ruské federace v oblasti informační bezpečnosti, v případech, kdy je použití takových nástrojů nezbytné k neutralizaci aktuálních hrozeb	+	+	+	+
Jmenování úředníka odpovědného za zajištění bezpečnosti osobních údajů v ISPD	+	+	+	-
Omezení přístupu k obsahu protokolu elektronických zpráv	+	+	-	-
Automatická evidence změn v oprávněních zaměstnance provozovatele k přístupu k osobním údajům obsaženým v informačním systému do elektronického bezpečnostního deníku	+	-	-	-
Vytvoření strukturální jednotky odpovědné za zajištění bezpečnosti osobních údajů v informačním systému nebo přidělení funkcí k zajištění této bezpečnosti jedné ze strukturálních jednotek	+	-	-	-

Po rozhodnutí o požadavcích na ochranu osobních údajů v souladu s PP-1119 můžete přistoupit k výběru organizačních a technických opatření k zajištění bezpečnosti osobních údajů na základě požadavků vyhlášky č. 21 FSTEC ze dne Rusko ze dne 18. února 2013. zaměřené na neutralizaci aktuálních hrozeb pro bezpečnost osobních údajů.

Co dělat s nástroji zabezpečení informací, pro které byly dříve vydány certifikáty pro určité třídy ISPD?

V souladu s informační zprávou FSTEC Ruska ze dne 20. listopadu 2012 N 240/24/4669 „O prvcích ochrany osobních údajů při jejich zpracování v informačních systémech osobních údajů a certifikaci nástrojů bezpečnosti informací určených k ochraně osobních údajů“, osvědčení o shodě vydaná FSTEC Ruska, před vstupem v platnost regulačního právního aktu FSTEC Ruska (rozuměj nařízení č. 21), kterým se stanoví složení a obsah organizačních a technických opatření k zajištění bezpečnosti osobní údaje při jejich zpracování v informačních systémech osobních údajů, nepodléhají opětovné registraci.
Pro zajištění bezpečnosti osobních údajů zpracovávaných v informačních systémech osobních údajů do úrovně 1 včetně lze použít nástroje informační bezpečnosti, které lze použít k ochraně osobních údajů zpracovávaných v informačních systémech osobních údajů 1. třídy;
Pro zajištění úrovně 4 zabezpečení osobních údajů zpracovávaných v informačních systémech osobních údajů lze využít nástroje informační bezpečnosti, které lze použít k ochraně osobních údajů zpracovávaných v informačních systémech osobních údajů 2. třídy.

VLÁDA RUSKÉ FEDERACE

ROZLIŠENÍ

O schválení Nařízení o zajištění bezpečnosti osobních údajů při jejich zpracování v informačních systémech osobních údajů

Ztratil platnost dne 15. listopadu 2012 na základě
usnesení vlády Ruské federace
ze dne 1. listopadu 2012 N 1119
____________________________________________________________________

V souladu s článkem 19 federálního zákona „o osobních údajích“ vláda Ruské federace

rozhoduje:

1. Schválit přiložená nařízení o zajištění bezpečnosti osobních údajů při jejich zpracování v informačních systémech osobních údajů.

2. Federální bezpečnostní služba Ruské federace a Federální služba pro technickou a exportní kontrolu schválí v rámci své působnosti ve lhůtě 3 měsíců regulační právní akty a metodické dokumenty nezbytné ke splnění požadavků stanovených Nařízeními. schváleno tímto usnesením.

předseda vlády
Ruská Federace

Nařízení o zajištění bezpečnosti osobních údajů při jejich zpracování v informačních systémech osobních údajů

SCHVÁLENÝ
usnesení vlády
Ruská Federace
ze dne 17. listopadu 2007 N 781

1. Tato nařízení stanoví požadavky na zajištění bezpečnosti osobních údajů při jejich zpracování v informačních systémech osobních údajů, které jsou shromažďováním osobních údajů obsažených v databázích, a dále informační technologie a technické prostředky, které umožňují zpracování těchto osobních údajů s využitím automatizační nástroje (dále jen informační systémy). *1)

Technickými prostředky, které umožňují zpracování osobních údajů, se rozumí počítačová zařízení, informační a výpočetní komplexy a sítě, prostředky a systémy pro přenos, příjem a zpracování osobních údajů (prostředky a systémy pro záznam zvuku, zesilování zvuku, reprodukci zvuku, domovní telefon a televize). zařízení, výrobní prostředky, replikace dokumentů a další technické prostředky zpracování řečových, grafických, video a alfanumerických informací), software (operační systémy, systémy pro správu databází atd.), nástroje informační bezpečnosti používané v informačních systémech.

2. Zabezpečení osobních údajů je dosaženo vyloučením neoprávněného, včetně nahodilého, přístupu k osobním údajům, který může mít za následek zničení, úpravu, blokování, kopírování, šíření osobních údajů, jakož i jiné neoprávněné jednání.

Zabezpečení osobních údajů při jejich zpracování v informačních systémech je zajištěno pomocí systému ochrany osobních údajů, včetně organizačních opatření a prostředků ochrany informací (včetně šifrovacích (kryptografických) prostředků, prostředků zamezujících neoprávněnému přístupu, úniku informací technickými kanály, software a hardwarové dopady na technické prostředky pro zpracování osobních údajů), jakož i informační technologie používané v informačním systému. Hardware a software musí splňovat požadavky stanovené v souladu s legislativou Ruské federace k zajištění ochrany informací.

Pro zajištění bezpečnosti osobních údajů při jejich zpracování v informačních systémech je poskytována ochrana řečových informací a informací zpracovávaných technickými prostředky, jakož i informací prezentovaných ve formě informativních elektrických signálů, fyzikálních polí, médií na papíře, magnetických, magnetických -optické a jiné báze.

3. Způsoby a prostředky ochrany informací v informačních systémech stanoví Federální služba pro technickou a exportní kontrolu a Federální bezpečnostní služba Ruské federace v mezích svých pravomocí. *3.1)

Při státní kontrole a dozoru se posuzuje přiměřenost přijatých opatření k zajištění bezpečnosti osobních údajů při jejich zpracování v informačních systémech.

4. Nedílnou součástí prací na tvorbě informačních systémů je práce na zajištění bezpečnosti osobních údajů při jejich zpracování v informačních systémech.

5. Nástroje informační bezpečnosti používané v informačních systémech procházejí postupem posuzování shody v souladu se stanoveným postupem.

6. Informační systémy jsou klasifikovány státními orgány, orgány obcí, právnickými osobami nebo fyzickými osobami, které organizují a (nebo) provádějí zpracování osobních údajů, jakož i určují účely a obsah zpracování osobních údajů (dále jen provozovatel), v závislosti na objemu jimi zpracovávaných osobních údajů a bezpečnostních hrozbách životně důležitých zájmů jednotlivce, společnosti a státu.

Postup pro klasifikaci informačních systémů společně stanoví Federální služba pro technickou a exportní kontrolu, Federální bezpečnostní služba Ruské federace a Ministerstvo informačních technologií a komunikací Ruské federace.*6.2)

7. Výměna osobních údajů při jejich zpracování v informačních systémech se uskutečňuje prostřednictvím komunikačních kanálů, jejichž ochrana je zajištěna zavedením vhodných organizačních opatření a (nebo) využitím technických prostředků.

8. Umístění informačních systémů, speciálního vybavení a zabezpečení prostor, ve kterých se pracuje s osobními údaji, organizace bezpečnostního režimu v těchto prostorách musí zajistit bezpečnost nosičů osobních údajů a prostředků zabezpečení informací a rovněž vyloučit možnost nekontrolovaného vstupu nebo přítomnosti cizích osob v těchto prostorách osob

9. Případné kanály úniku informací při zpracování osobních údajů v informačních systémech určují Federální služba pro technickou a exportní kontrolu a Federální bezpečnostní služba Ruské federace v mezích svých pravomocí.

10. Zabezpečení osobních údajů při zpracování v informačním systému zajišťuje provozovatel nebo osoba, kterou na základě smlouvy provozovatel zpracováním osobních údajů pověří (dále jen oprávněná osoba). Nezbytnou podmínkou smlouvy je povinnost oprávněné osoby zajistit důvěrnost osobních údajů a bezpečnost osobních údajů při zpracování v informačním systému.

11. Při zpracování osobních údajů v informačním systému musí být zajištěno:

a) provádění opatření směřujících k zamezení neoprávněného přístupu k osobním údajům a (nebo) jejich předávání osobám, které nemají právo na přístup k těmto informacím;

b) včasné zjištění skutečností neoprávněného přístupu k osobním údajům;

c) zamezení vlivu na technické prostředky automatizovaného zpracování osobních údajů, v důsledku čehož může být narušena jejich činnost;

d) možnost okamžité obnovy osobních údajů upravených nebo zničených v důsledku neoprávněného přístupu k nim;

e) neustálé sledování zajištění úrovně zabezpečení osobních údajů.

12. Mezi opatření k zajištění bezpečnosti osobních údajů při jejich zpracování v informačních systémech patří:

a) identifikace ohrožení bezpečnosti osobních údajů při jejich zpracování, vytvoření modelu ohrožení na jejich základě;

b) vývoj na základě modelu hrozeb systému ochrany osobních údajů, který zajišťuje neutralizaci údajných hrozeb pomocí metod a metod ochrany osobních údajů poskytovaných pro odpovídající třídu informačních systémů;

c) kontrola připravenosti nástrojů informační bezpečnosti k použití s vypracováním závěrů o možnosti jejich fungování;

d) instalace a zprovoznění prostředků informační bezpečnosti v souladu s provozní a technickou dokumentací;

e) školení osob používajících nástroje informační bezpečnosti používané v informačních systémech o pravidlech práce s nimi;

f) účtování použitých prostředků ochrany informací, provozní a technická dokumentace k nim, nosiče osobních údajů;

g) účtování osob oprávněných pracovat s osobními údaji v informačním systému;

h) kontrola dodržování podmínek pro používání nástrojů informační bezpečnosti stanovených v provozně technické dokumentaci;

i) šetření a vyvozování závěrů o skutečnostech nedodržování podmínek uchovávání nosičů osobních údajů, použití opatření k zabezpečení informací, která mohou vést k porušení důvěrnosti osobních údajů nebo jiná porušení vedoucí ke snížení úrovně zabezpečení osobních údajů, vývoj a přijímání opatření k předcházení možným nebezpečným následkům takového porušení;

j) popis systému ochrany osobních údajů.

13. K vypracování a realizaci opatření k zajištění bezpečnosti osobních údajů při jejich zpracování v informačním systému může provozovatel nebo pověřená osoba pověřit za zajištění bezpečnosti osobních údajů organizační složku nebo úředníka (zaměstnance).

14. Osobám, jejichž přístup k osobním údajům zpracovávaným v informačním systému je nezbytný k plnění služebních (pracovních) povinností, je umožněn přístup k příslušným osobním údajům na základě seznamu schváleného provozovatelem nebo pověřenou osobou.

15. Žádosti uživatelů informačního systému o získání osobních údajů, včetně osob uvedených v odst. 14 těchto Pravidel, jakož i skutečnosti poskytnutí osobních údajů o těchto žádostech jsou evidovány automatizovanými prostředky informačního systému v elektronickém logu. žádostí. Obsah elektronického protokolu žádostí je pravidelně kontrolován příslušnými úředníky (zaměstnanci) provozovatele nebo pověřené osoby.

16. V případě zjištění porušení postupu při poskytování osobních údajů provozovatel nebo pověřená osoba neprodleně pozastaví poskytování osobních údajů uživatelům informačního systému do doby zjištění příčin porušení a odstranění těchto příčin.

17. Implementace požadavků na zajištění informační bezpečnosti v nástrojích informační bezpečnosti je na jejich tvůrcích.

V návaznosti na vyvinuté šifrovací (kryptografické) nástroje informační bezpečnosti určené k zajištění bezpečnosti osobních údajů při jejich zpracování v informačních systémech jsou zpracovány případové studie a kontrolní případové studie za účelem ověření plnění požadavků na informační bezpečnost. Případovými studiemi se v tomto případě rozumí kryptografické, inženýrsko-kryptografické a speciální studie nástrojů informační bezpečnosti a speciální práce s technickými prostředky informačních systémů a kontrolní případové studie jsou periodicky prováděné případové studie.

Konkrétní termíny pro provedení kontrolních případových studií určuje Federální bezpečnostní služba Ruské federace.

18. Výsledky posuzování shody a (nebo) případové studie nástrojů bezpečnosti informací určených k zajištění bezpečnosti osobních údajů při jejich zpracování v informačních systémech jsou posuzovány při přezkoumání prováděném Federální službou pro technickou a exportní kontrolu a Federální Bezpečnostní služba Ruské federace v rámci svých pravomocí.

19. Opatření informační bezpečnosti, která mají zajistit bezpečnost osobních údajů při jejich zpracování v informačních systémech, doprovázejí pravidla pro použití těchto prostředků, dohodnutá s Federální službou pro technickou a exportní kontrolu a Federální bezpečnostní službou Ruské federace. v mezích svých pravomocí.

Změny podmínek používání prostředků ochrany informací stanovených těmito pravidly jsou dohodnuty s těmito federálními výkonnými orgány v mezích jejich pravomocí.

20. Opatření bezpečnosti informací určená k zajištění bezpečnosti osobních údajů při jejich zpracování v informačních systémech podléhají účtování pomocí indexů nebo kódových jmen a evidenčních čísel. Seznam indexů, kódových jmen a registračních čísel určuje Federální služba pro technickou a exportní kontrolu a Federální bezpečnostní služba Ruské federace v mezích svých pravomocí.

21. Vlastnosti vývoje, výroby, implementace a provozování šifrovacích (kryptografických) prostředků ochrany informací a poskytování služeb pro šifrování osobních údajů při jejich zpracování v informačních systémech stanoví Federální bezpečnostní služba Ruské federace.

Text elektronického dokumentu
připravené společností Kodeks JSC a ověřené proti:
Sbírka zákonů
Ruská Federace,
N 48, 26.11.2007, čl. 6001

Nařízení vlády Ruské federace ze dne 1. listopadu 2012 N 1119
„O schválení požadavků na ochranu osobních údajů při jejich zpracování v informačních systémech osobních údajů“

V souladu s článkem 19 federálního zákona „o osobních údajích“ vláda Ruské federace rozhoduje:

1. Schválit přiložené požadavky na ochranu osobních údajů při jejich zpracování v informačních systémech osobních údajů.

2. Uznat za neplatné nařízení vlády Ruské federace ze dne 17. listopadu 2007 N 781 „O schválení Předpisů o zajištění bezpečnosti osobních údajů při jejich zpracování v informačních systémech osobních údajů“ (Sbírka právních předpisů Ruské federace , 2007, N 48, čl. 6001).

Požadavky
k ochraně osobních údajů při jejich zpracování v informačních systémech osobních údajů
(schváleno nařízením vlády Ruské federace ze dne 1. listopadu 2012 N 1119)

1. Tento dokument stanoví požadavky na ochranu osobních údajů při zpracování v informačních systémech osobních údajů (dále jen informační systémy) a úrovně zabezpečení těchto údajů.

2. Bezpečnost osobních údajů při zpracování v informačním systému je zajištěna pomocí systému ochrany osobních údajů, který neutralizuje aktuální hrozby identifikované v souladu s částí 5 čl. 19

Systém ochrany osobních údajů zahrnuje organizační a (nebo) technická opatření stanovená s ohledem na aktuální ohrožení bezpečnosti osobních údajů a informačních technologií používaných v informačních systémech.

3. Bezpečnost osobních údajů při zpracování v informačním systému zajišťuje provozovatel tohoto systému, který osobní údaje zpracovává (dále jen provozovatel), nebo osoba zpracovávající osobní údaje jménem provozovatele na základě smlouvy uzavřené s touto osobou (dále jen oprávněná osoba). Smlouva mezi provozovatelem a oprávněnou osobou musí stanovit povinnost oprávněné osoby zajistit bezpečnost osobních údajů při zpracování v informačním systému.

4. Volbu prostředků zabezpečení informací pro systém ochrany osobních údajů provádí provozovatel v souladu s regulačními právními akty přijatými Federální bezpečnostní službou Ruské federace a Federální službou pro technickou a exportní kontrolu podle části 4. článku 19 spolkového zákona „o osobních údajích“.

5. Informační systém je informační systém, který zpracovává zvláštní kategorie osobních údajů, pokud zpracovává osobní údaje týkající se rasy, národnosti, politických názorů, náboženského nebo filozofického přesvědčení, zdravotního stavu, intimního života subjektů osobních údajů.

Informační systém je informační systém, který zpracovává biometrické osobní údaje, pokud zpracovává informace, které charakterizují fyziologické a biologické vlastnosti osoby, na základě kterých lze zjistit její totožnost a které slouží provozovateli ke zjištění totožnosti osoby. subjekt osobních údajů a nezpracovává informace související se zvláštními kategoriemi osobních údajů.

Informační systém je informační systém, který zpracovává veřejně dostupné osobní údaje, pokud zpracovává osobní údaje subjektů osobních údajů získané pouze z veřejně dostupných zdrojů osobních údajů vytvořených podle § 8 spolkového zákona „o osobních údajích“.

Informační systém je informační systém, který zpracovává jiné kategorie osobních údajů, pokud nezpracovává osobní údaje uvedené v odstavcích jedna až tři tohoto odstavce.

Informační systém je informační systém, který zpracovává osobní údaje zaměstnanců provozovatele, pokud zpracovává pouze osobní údaje určených zaměstnanců. V ostatních případech je informačním systémem osobních údajů informační systém, který zpracovává osobní údaje subjektů osobních údajů, které nejsou zaměstnanci provozovatele.

6. Aktuální ohrožení bezpečnosti osobních údajů je chápáno jako soubor podmínek a faktorů, které vytvářejí aktuální nebezpečí neoprávněného, včetně nahodilého, přístupu k osobním údajům při jejich zpracování v informačním systému, který může mít za následek zničení, pozměnění, poškození osobních údajů, jejich zpracování, ochranu osobních údajů, jejich zpracování, ochranu osobních údajů, ochranu osobních údajů apod. blokování, kopírování, poskytování, šíření osobních údajů, jakož i další protiprávní jednání.

Hrozby typu 1 jsou pro informační systém relevantní, pokud jsou pro něj relevantní i hrozby spojené s přítomností nezdokumentovaných (nedeklarovaných) schopností v systémovém softwaru používaném v informačním systému.

Hrozby 2. typu jsou pro informační systém relevantní, pokud jsou pro něj relevantní i hrozby spojené s přítomností nezdokumentovaných (nedeklarovaných) schopností v aplikačním softwaru používaném v informačním systému.

Hrozby typu 3 jsou pro informační systém relevantní, pokud jsou pro něj relevantní hrozby, které nesouvisejí s přítomností nezdokumentovaných (nedeklarovaných) schopností v systému a aplikačním software používaném v informačním systému.

7. Určení druhu ohrožení bezpečnosti osobních údajů relevantních pro informační systém provádí provozovatel s přihlédnutím k posouzení možné újmy provedenému podle odstavce 5 části 1 čl. 18.1 spolkového zákona. „O osobních údajích“ a v souladu s regulačními právními akty přijatými podle části 5 článku 19 spolkového zákona „O osobních údajích“.

8. Při zpracování osobních údajů v informačních systémech jsou stanoveny 4 úrovně zabezpečení osobních údajů.

9. Potřeba zajistit 1. stupeň zabezpečení osobních údajů při jejich zpracování v informačním systému je stanovena, je-li splněna alespoň jedna z těchto podmínek:

a) hrozby 1. typu jsou relevantní pro informační systém a informační systém zpracovává buď zvláštní kategorie osobních údajů, nebo biometrické osobní údaje, případně jiné kategorie osobních údajů;

b) hrozby 2. typu jsou relevantní pro informační systém a informační systém zpracovává zvláštní kategorie osobních údajů více než 100 000 subjektů osobních údajů, které nejsou zaměstnanci provozovatele.

10. Potřeba zajistit 2. stupeň zabezpečení osobních údajů při jejich zpracování v informačním systému je stanovena, je-li splněna alespoň jedna z těchto podmínek:

a) hrozby 1. typu jsou relevantní pro informační systém a informační systém zpracovává veřejně dostupné osobní údaje;

b) hrozby 2. typu jsou relevantní pro informační systém a informační systém zpracovává zvláštní kategorie osobních údajů zaměstnanců provozovatele nebo zvláštní kategorie osobních údajů méně než 100 000 subjektů osobních údajů, které nejsou zaměstnanci provozovatele;

c) hrozby 2. typu jsou relevantní pro informační systém a informační systém zpracovává biometrické osobní údaje;

d) hrozby 2. typu jsou relevantní pro informační systém a informační systém zpracovává veřejně dostupné osobní údaje více než 100 000 subjektů osobních údajů, kteří nejsou zaměstnanci provozovatele;

e) ohrožení 2. typu jsou relevantní pro informační systém a informační systém zpracovává další kategorie osobních údajů více než 100 000 subjektů osobních údajů, kteří nejsou zaměstnanci provozovatele;

f) pro informační systém jsou relevantní hrozby 3. typu a informační systém zpracovává zvláštní kategorie osobních údajů více než 100 000 subjektů osobních údajů, které nejsou zaměstnanci provozovatele.

11. Potřeba zajistit 3. stupeň zabezpečení osobních údajů při jejich zpracování v informačním systému je stanovena, je-li splněna alespoň jedna z těchto podmínek:

a) hrozby 2. typu jsou relevantní pro informační systém a informační systém zpracovává veřejně dostupné osobní údaje zaměstnanců provozovatele nebo veřejně dostupné osobní údaje méně než 100 000 subjektů osobních údajů, které nejsou zaměstnanci provozovatele;

b) hrozby 2. typu jsou relevantní pro informační systém a informační systém zpracovává jiné kategorie osobních údajů zaměstnanců provozovatele nebo jiné kategorie osobních údajů méně než 100 000 subjektů osobních údajů, které nejsou zaměstnanci provozovatele;

c) pro informační systém jsou relevantní hrozby typu 3 a informační systém zpracovává zvláštní kategorie osobních údajů zaměstnanců provozovatele nebo zvláštní kategorie osobních údajů méně než 100 000 subjektů osobních údajů, které nejsou zaměstnanci provozovatele;

d) hrozby 3. typu jsou relevantní pro informační systém a informační systém zpracovává biometrické osobní údaje;

e) hrozby 3. typu jsou relevantní pro informační systém a informační systém zpracovává další kategorie osobních údajů více než 100 000 subjektů osobních údajů, které nejsou zaměstnanci provozovatele.

12. Potřeba zajistit 4. stupeň zabezpečení osobních údajů při jejich zpracování v informačním systému je stanovena, je-li splněna alespoň jedna z těchto podmínek:

a) hrozby 3. typu jsou relevantní pro informační systém a informační systém zpracovává veřejně dostupné osobní údaje;

b) jsou pro informační systém relevantní hrozby typu 3 a informační systém zpracovává jiné kategorie osobních údajů zaměstnanců provozovatele nebo jiné kategorie osobních údajů méně než 100 000 subjektů osobních údajů, které nejsou zaměstnanci provozovatele.

13. Pro zajištění 4. stupně zabezpečení osobních údajů při jejich zpracování v informačních systémech musí být splněny následující požadavky:

a) zajištění bezpečnostního režimu pro prostory, ve kterých je informační systém umístěn, zamezení možnosti nekontrolovaného vstupu nebo pobytu v těchto prostorách osobám, které do těchto prostor nemají přístup;

b) zajištění bezpečnosti nosičů osobních údajů;

c) schválení dokumentu vedoucího provozovatele, kterým je definován seznam osob, jejichž přístup k osobním údajům zpracovávaným v informačním systému je nezbytný pro plnění jejich služebních (pracovních) povinností;

d) použití nástrojů informační bezpečnosti, které prošly postupem pro posouzení souladu s požadavky legislativy Ruské federace v oblasti informační bezpečnosti, v případech, kdy je použití těchto prostředků nezbytné k neutralizaci aktuálních hrozeb.

14. Pro zajištění 3. stupně zabezpečení osobních údajů při jejich zpracování v informačních systémech je kromě splnění požadavků stanovených v odst. 13 tohoto dokumentu nutné, aby byl ustanoven úředník (zaměstnanec) odpovědný za zajištění bezpečnosti osobních údajů v informačním systému.

15. Pro zajištění 2. stupně zabezpečení osobních údajů při jejich zpracování v informačních systémech je kromě splnění požadavků uvedených v odst. 14 tohoto dokumentu nutné, aby přístup k obsahu protokolu elektronických zpráv byl možný pouze pro úředníky (zaměstnance) provozovatele nebo pověřené osoby, pro které jsou údaje obsažené ve stanoveném věstníku nezbytné k plnění služebních (pracovních) povinností.

16. Pro zajištění 1. stupně zabezpečení osobních údajů při jejich zpracování v informačních systémech musí být kromě požadavků uvedených v odst. 15 tohoto dokumentu splněny následující požadavky:

a) automatickou evidenci změn v oprávněních zaměstnance provozovatele k přístupu k osobním údajům obsaženým v informačním systému do elektronického bezpečnostního deníku;

b) vytvoření strukturální jednotky odpovědné za zajištění bezpečnosti osobních údajů v informačním systému nebo přidělení funkcí k zajištění této bezpečnosti jedné ze strukturních jednotek.

17. Kontrolu dodržování těchto požadavků organizuje a provádí provozovatel (oprávněná osoba) samostatně a (nebo) se zapojením právnických osob a fyzických osob podnikatelů na smluvním základě, oprávněných k provádění činností technické ochrany utajovaných skutečností. informace. Stanovená kontrola se provádí minimálně 1x za 3 roky ve lhůtách stanovených provozovatelem (oprávněnou osobou).

VLÁDA RUSKÉ FEDERACE

O SCHVÁLENÍ POŽADAVKŮ

V souladu s článkem 19 federálního zákona „o osobních údajích“ vláda Ruské federace rozhoduje:

1. Schválit přiložené požadavky na ochranu osobních údajů při jejich zpracování v informačních systémech osobních údajů.

předseda vlády
Ruská Federace
D.MEDVEDĚV

Schválený
usnesení vlády
Ruská Federace
ze dne 1. listopadu 2012 N 1119

POŽADAVKY
K OCHRANĚ OSOBNÍCH ÚDAJŮ PŘI JEJICH ZPRACOVÁNÍ
V INFORMAČNÍCH SYSTÉMECH OSOBNÍCH ÚDAJŮ

Informační systém je informační systém, který zpracovává jiné kategorie osobních údajů, pokud nezpracovává osobní údaje uvedené v odstavcích jedna až tři tohoto odstavce.

7. Určení druhu ohrožení bezpečnosti osobních údajů relevantních pro informační systém provádí provozovatel s přihlédnutím k posouzení možné újmy provedenému podle odstavce 5 části 1 článku 18.1 spolkového zákona " o osobních údajích“ a v souladu s regulačními právními akty přijatými v souladu s částí 5 článku 19 spolkového zákona „o osobních údajích“.