heim Erholung

Beschluss zur Genehmigung von Anforderungen zum Schutz personenbezogener Daten bei ihrer Verarbeitung in Informationssystemen für personenbezogene Daten – Rossiyskaya Gazeta. Schutzniveaus personenbezogener Daten anstelle von Klassen Regierungserlass 1119

Das Dekret der Regierung der Russischen Föderation Nr. 1119 vom 1. November 2012 begrub Klassen von Informationssystemen für personenbezogene Daten, die bereits jedem bekannt waren.

Anstelle von Klassen werden gemäß dem neuen Beschluss vier Stufen der Sicherheit personenbezogener Daten bei ihrer Verarbeitung in Informationssystemen und Anforderungen für jede davon festgelegt. Die Zuordnung von Informationssystemen zu einem bestimmten Sicherheitsniveau erfolgt in Abhängigkeit von der Art der personenbezogenen Daten, die das Informationssystem verarbeitet, der Art der aktuellen Bedrohungen, der Anzahl der vom Informationssystem verarbeiteten Personen personenbezogener Daten und deren personenbezogenen Daten Kontingent wird bearbeitet.

Informationssysteme für personenbezogene Daten (PDIS) sind gemäß Absatz 5 der Resolution Nr. 1119 in 4 Gruppen unterteilt:

Spezielles ISPD
wenn das ISPD personenbezogene Daten in Bezug auf Rasse, Nationalität, politische Ansichten, religiöse oder philosophische Überzeugungen, Gesundheitszustand, Intimleben der Subjekte personenbezogener Daten verarbeitet;
Biometrisches ISPD
wenn das ISPD Informationen verarbeitet, die die physiologischen und biologischen Eigenschaften einer Person charakterisieren, auf deren Grundlage ihre Identität festgestellt werden kann und die vom Betreiber zur Feststellung der Identität des Subjekts personenbezogener Daten verwendet werden, sowie Informationen, die sich auf besondere Kategorien beziehen personenbezogene Daten werden nicht verarbeitet;
Öffentliches ISPD
wenn das ISPD personenbezogene Daten von Subjekten personenbezogener Daten verarbeitet, die nur aus öffentlich zugänglichen Quellen personenbezogener Daten stammen, die gemäß Artikel 8 des Bundesgesetzes „Über personenbezogene Daten“ erstellt wurden;
Andere ISPDn
wenn das ISPD personenbezogene Daten von Personen verarbeitet, die nicht in den drei vorherigen Gruppen vertreten sind.

Basierend auf der Form der Beziehung zwischen Ihrer Organisation und den Subjekten wird die Verarbeitung in zwei Arten unterteilt:

Verarbeitung personenbezogener Daten von Mitarbeitern (Unternehmen, mit denen Ihre Organisation Arbeitsbeziehungen unterhält);
Verarbeitung personenbezogener Daten von Personen, die keine Mitarbeiter Ihrer Organisation sind.

Basierend auf der Anzahl der Personen, deren personenbezogene Daten verarbeitet werden, definiert die Resolution Nr. 1119 nur zwei Kategorien:

weniger als 100.000 Probanden;
mehr als 100.000 Probanden;

Und endlich, Arten aktueller Bedrohungen:

Bedrohungen vom Typ 1 sind mit dem Vorhandensein nicht deklarierter (undokumentierter) Fähigkeiten in der im ISPD verwendeten Systemsoftware verbunden.
Bedrohungen vom Typ 2 sind mit dem Vorhandensein nicht deklarierter Funktionen in der im ISPD verwendeten Anwendungssoftware verbunden.
Bedrohungen vom Typ 3 sind nicht mit dem Vorhandensein nicht deklarierter Funktionen in der im ISPD verwendeten Software verbunden.

Es gibt keine Regelung, wie die Art aktueller Bedrohungen zu bestimmen ist. Die Anforderungen von PP-1119 bieten keine Methoden oder Methoden zu ihrer Neutralisierung. Konnte der Betreiber früher wählen, ob er einen Standard-ISPD anhand einer Tabelle oder einen speziellen ISPD anhand der Ergebnisse eines Bedrohungsmodells klassifizieren wollte, hat er jetzt keine Wahl mehr. Das Sicherheitsniveau wird immer anhand der Relevanz der Bedrohungen bestimmt. Es ist unwahrscheinlich, dass der Betreiber diese selbst ermitteln kann – er muss sich an eine übergeordnete Organisation oder einen Berater wenden. Am einfachsten ist es, den Weg des geringsten Widerstands zu gehen, d.h. Bestimmen Sie die Art der aktuellen Bedrohung vom Typ 3 und vergessen Sie nicht deklarierte (undokumentierte) Funktionen in System- und Anwendungssoftware, aber dies muss begründet werden. Die ganze Frage ist „Wie?“, um zum Anfang des Absatzes zurückzukehren.
Das Thema der Relevanz von Bedrohungen für Informationssysteme mit personenbezogenen Daten ist sehr wichtig, da richtig beschriebene Bedrohungen bestimmen, wie gut das System geschützt wird und wie viel der Schutz für den Betreiber personenbezogener Daten kosten wird.

Wenn Sie sich für die Ausgangsdaten für ein bestimmtes ISPD entschieden haben, einschließlich der Art der aktuellen Bedrohungen, können Sie dessen Sicherheitsniveau bestimmen. Um das Sicherheitsniveau bequem zu bestimmen, verwenden Sie die folgende Tabelle, die auf PP-1119 basiert:

ISPDn-Typ	Mitarbeiter des Betreibers	Anzahl der Fächer	Art der aktuellen Bedrohungen
			1 (NDV-Betriebssystem)	2 (NDV PO)	3 (Ohne NDV)
ISPDn-S (besonders)	Nein	> 100 000	UZ-1	UZ-1	UZ-2
	Nein	< 100 000	UZ-1	UZ-2	UZ-3
	Ja
ISPDn-B (biometrisch)			UZ-1	UZ-2	UZ-3
ISPDn-I (Andere)	Nein	> 100 000	UZ-1	UZ-2	UZ-3
	Nein	< 100 000	UZ-2	UZ-3	UZ-4
	Ja
ISPDn-O (öffentlich)	Nein	> 100 000	UZ-2	UZ-2	UZ-4
	Nein	< 100 000	UZ-2	UZ-3	UZ-4
	Ja

Abhängig vom gewählten PD-Sicherheitsniveau definiert PP-1119 eine Reihe von Anforderungen an den Schutz personenbezogener Daten, die vom Betreiber (befugter Person) unabhängig und (oder) unter Einbeziehung juristischer und natürlicher Personen organisiert und durchgeführt werden Unternehmer auf vertraglicher Basis, die über eine Lizenz zur Durchführung von Tätigkeiten zum technischen Schutz vertraulicher Informationen verfügen. Die Überwachung der Einhaltung der Anforderungen muss mindestens alle 3 Jahre innerhalb des vom Betreiber (Befugten) festgelegten Zeitrahmens erfolgen.

Anforderungen	Ebenen Sicherheit
Anforderungen
Organisation eines Sicherheitssystems für die Räumlichkeiten, in denen sich das Informationssystem befindet, um die Möglichkeit des unkontrollierten Zutritts oder Aufenthalts in diesen Räumlichkeiten durch Personen zu verhindern, die keinen Zugang zu diesen Räumlichkeiten haben	+	+	+	+
Gewährleistung der Sicherheit personenbezogener Datenträger	+	+	+	+
Genehmigung eines Dokuments durch den Leiter des Betreibers, das die Liste der Personen definiert, deren Zugang zu den im Informationssystem verarbeiteten personenbezogenen Daten für die Erfüllung ihrer offiziellen (Arbeits-)Aufgaben erforderlich ist	+	+	+	+
Der Einsatz von Informationssicherheitstools, die das Verfahren zur Bewertung der Einhaltung der Anforderungen der Gesetzgebung der Russischen Föderation im Bereich der Informationssicherheit bestanden haben, in Fällen, in denen der Einsatz solcher Tools zur Neutralisierung aktueller Bedrohungen erforderlich ist	+	+	+	+
Ernennung eines Beamten, der für die Gewährleistung der Sicherheit personenbezogener Daten im ISPD verantwortlich ist	+	+	+	-
Einschränkung des Zugriffs auf den Inhalt des elektronischen Nachrichtenprotokolls	+	+	-	-
Automatische Registrierung im elektronischen Sicherheitsprotokoll von Änderungen der Befugnisse des Mitarbeiters des Betreibers, auf die im Informationssystem enthaltenen personenbezogenen Daten zuzugreifen	+	-	-	-
Schaffung einer Struktureinheit, die für die Gewährleistung der Sicherheit personenbezogener Daten im Informationssystem verantwortlich ist, oder Zuweisung von Funktionen zur Gewährleistung dieser Sicherheit an eine der Struktureinheiten	+	-	-	-

Nachdem Sie sich für die Anforderungen an den Schutz personenbezogener Daten gemäß PP-1119 entschieden haben, können Sie mit der Auswahl organisatorischer und technischer Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten auf der Grundlage der Anforderungen der Verordnung Nr. 21 des FSTEC von fortfahren Russland vom 18. Februar 2013. Ziel ist es, aktuelle Bedrohungen für die Sicherheit personenbezogener Daten zu neutralisieren.

Was tun mit Informationssicherheitstools, für die zuvor Zertifikate für bestimmte ISPD-Klassen ausgestellt wurden?

Gemäß der Informationsmitteilung des FSTEC Russlands vom 20. November 2012 N 240/24/4669 „Über die Merkmale des Schutzes personenbezogener Daten während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten und die Zertifizierung von Informationssicherheitsinstrumenten, die für den Schutz vorgesehen sind.“ personenbezogener Daten“, Konformitätsbescheinigungen, die vom FSTEC Russlands vor Inkrafttreten des Rechtsakts des FSTEC Russlands (d. h. Verordnung Nr. 21) ausgestellt wurden und die Zusammensetzung und den Inhalt der organisatorischen und technischen Maßnahmen zur Gewährleistung der Sicherheit festlegen Personenbezogene Daten während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten unterliegen nicht der erneuten Registrierung.
Informationssicherheitstools, die zum Schutz personenbezogener Daten verwendet werden können, die in Informationssystemen für personenbezogene Daten der Klasse 1 verarbeitet werden, können verwendet werden, um die Sicherheit personenbezogener Daten zu gewährleisten, die in Informationssystemen für personenbezogene Daten bis einschließlich Stufe 1 verarbeitet werden;
Informationssicherheitstools, die zum Schutz personenbezogener Daten verwendet werden können, die in Informationssystemen für personenbezogene Daten der Klasse 2 verarbeitet werden, können verwendet werden, um die Sicherheit personenbezogener Daten der Stufe 4 zu gewährleisten, die in Informationssystemen für personenbezogene Daten verarbeitet werden.

REGIERUNG DER RUSSISCHEN FÖDERATION

AUFLÖSUNG

Bei Genehmigung der Verordnungen zur Gewährleistung der Sicherheit personenbezogener Daten bei ihrer Verarbeitung in Informationssystemen für personenbezogene Daten

Verlorene Kraft am 15. November 2012 basierend auf
Beschlüsse der Regierung der Russischen Föderation
vom 1. November 2012 N 1119
____________________________________________________________________

Gemäß Artikel 19 des Bundesgesetzes „Über personenbezogene Daten“ hat die Regierung der Russischen Föderation

entscheidet:

1. Genehmigen Sie die beigefügten Vorschriften zur Gewährleistung der Sicherheit personenbezogener Daten bei ihrer Verarbeitung in Informationssystemen für personenbezogene Daten.

2. Der Föderale Sicherheitsdienst der Russischen Föderation und der Föderale Dienst für technische Kontrolle und Exportkontrolle genehmigen im Rahmen ihrer Zuständigkeit innerhalb einer Frist von drei Monaten die regulatorischen Rechtsakte und methodischen Dokumente, die zur Erfüllung der in der Verordnung vorgesehenen Anforderungen erforderlich sind durch diesen Beschluss genehmigt.

Vorsitzender der Regierung
Russische Föderation

Vorschriften zur Gewährleistung der Sicherheit personenbezogener Daten während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten

GENEHMIGT
Regierungsbeschluss
Russische Föderation
vom 17. November 2007 N 781

1. Diese Verordnungen legen Anforderungen zur Gewährleistung der Sicherheit personenbezogener Daten während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten fest, bei denen es sich um eine Sammlung personenbezogener Daten handelt, die in Datenbanken enthalten sind, sowie für Informationstechnologien und technische Mittel, die die Verarbeitung dieser personenbezogenen Daten ermöglichen Automatisierungstools (im Folgenden Informationssysteme genannt). *1)

Unter technischen Mitteln, die die Verarbeitung personenbezogener Daten ermöglichen, werden Computeranlagen, Informations- und Rechenkomplexe und -netze, Mittel und Systeme zur Übertragung, zum Empfang und zur Verarbeitung personenbezogener Daten (Mittel und Systeme zur Tonaufzeichnung, Tonverstärkung, Tonwiedergabe, Gegensprechanlage und Fernsehen) verstanden Geräte, Produktionsmittel, Dokumentenreplikation und andere technische Mittel zur Verarbeitung von Sprach-, Grafik-, Video- und alphanumerischen Informationen), Software (Betriebssysteme, Datenbankverwaltungssysteme usw.), Informationssicherheitstools, die in Informationssystemen verwendet werden.

2. Die Sicherheit personenbezogener Daten wird dadurch erreicht, dass unbefugter, auch versehentlicher Zugriff auf personenbezogene Daten ausgeschlossen wird, der zur Zerstörung, Änderung, Sperrung, Vervielfältigung, Verbreitung personenbezogener Daten sowie zu anderen unbefugten Handlungen führen kann.

Die Sicherheit personenbezogener Daten während ihrer Verarbeitung in Informationssystemen wird durch ein System zum Schutz personenbezogener Daten gewährleistet, einschließlich organisatorischer Maßnahmen und Mittel zum Schutz von Informationen (einschließlich Verschlüsselungsmitteln (kryptografischer Mittel), Mittel zur Verhinderung unbefugten Zugriffs, Informationslecks über technische Kanäle, Software usw Hardware-Auswirkungen auf technische Mittel zur Verarbeitung personenbezogener Daten) sowie im Informationssystem verwendete Informationstechnologien. Hardware und Software müssen die gemäß der Gesetzgebung der Russischen Föderation festgelegten Anforderungen erfüllen, um den Schutz von Informationen zu gewährleisten.

Um die Sicherheit personenbezogener Daten während ihrer Verarbeitung in Informationssystemen zu gewährleisten, werden Sprachinformationen und mit technischen Mitteln verarbeitete Informationen sowie Informationen, die in Form von informativen elektrischen Signalen, physikalischen Feldern, Medien auf Papier, magnetisch, magnetisch dargestellt werden, geschützt -optische und andere Basen.

3. Methoden und Mittel zum Schutz von Informationen in Informationssystemen werden vom Föderalen Dienst für technische Kontrolle und Exportkontrolle und dem Föderalen Sicherheitsdienst der Russischen Föderation im Rahmen ihrer Befugnisse festgelegt. *3.1)

Die Angemessenheit der getroffenen Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten bei ihrer Verarbeitung in Informationssystemen wird im Rahmen der staatlichen Kontrolle und Aufsicht beurteilt.

4. Die Arbeit zur Gewährleistung der Sicherheit personenbezogener Daten bei ihrer Verarbeitung in Informationssystemen ist integraler Bestandteil der Arbeit zur Schaffung von Informationssystemen.

5. In Informationssystemen eingesetzte Indurchlaufen ein Konformitätsbewertungsverfahren nach dem festgelegten Verfahren.

6. Informationssysteme werden von staatlichen Stellen, kommunalen Stellen, juristischen Personen oder Einzelpersonen klassifiziert, die die Verarbeitung personenbezogener Daten organisieren und (oder) durchführen sowie die Zwecke und den Inhalt der Verarbeitung personenbezogener Daten festlegen (im Folgenden als „Informationssysteme“ bezeichnet). Betreiber), abhängig von der Menge der von ihnen verarbeiteten personenbezogenen Daten und Sicherheitsbedrohungen für lebenswichtige Interessen des Einzelnen, der Gesellschaft und des Staates.

Das Verfahren zur Klassifizierung von Informationssystemen wird gemeinsam vom Föderalen Dienst für technische Kontrolle und Exportkontrolle, dem Föderalen Sicherheitsdienst der Russischen Föderation und dem Ministerium für Informationstechnologien und Kommunikation der Russischen Föderation festgelegt.*6.2)

7. Der Austausch personenbezogener Daten während ihrer Verarbeitung in Informationssystemen erfolgt über Kommunikationskanäle, deren Schutz durch die Umsetzung geeigneter organisatorischer Maßnahmen und (oder) durch den Einsatz technischer Mittel gewährleistet ist.

8. Die Platzierung von Informationssystemen, spezieller Ausrüstung und Sicherheit von Räumlichkeiten, in denen mit personenbezogenen Daten gearbeitet wird, die Organisation eines Sicherheitsregimes in diesen Räumlichkeiten muss die Sicherheit von persönlichen Datenträgern und Informationssicherheitsmitteln gewährleisten und auch dies ausschließen Möglichkeit des unkontrollierten Zutritts oder der Anwesenheit fremder Personen in diesen Räumlichkeiten

9. Mögliche Kanäle für Informationslecks bei der Verarbeitung personenbezogener Daten in Informationssystemen werden vom Föderalen Dienst für technische Kontrolle und Exportkontrolle und vom Föderalen Sicherheitsdienst der Russischen Föderation im Rahmen ihrer Befugnisse bestimmt.

10. Die Sicherheit personenbezogener Daten bei der Verarbeitung im Informationssystem wird durch den Betreiber oder die Person gewährleistet, der der Betreiber aufgrund einer Vereinbarung die Verarbeitung personenbezogener Daten anvertraut (im Folgenden als autorisierte Person bezeichnet). Eine wesentliche Vertragsbedingung ist die Verpflichtung der berechtigten Person, die Vertraulichkeit personenbezogener Daten und die Sicherheit personenbezogener Daten bei der Verarbeitung im Informationssystem zu gewährleisten.

11. Bei der Verarbeitung personenbezogener Daten im Informationssystem ist Folgendes sicherzustellen:

a) Durchführung von Maßnahmen, die darauf abzielen, den unbefugten Zugriff auf personenbezogene Daten und (oder) deren Weitergabe an Personen zu verhindern, die nicht das Recht haben, auf diese Informationen zuzugreifen;

b) rechtzeitige Erkennung von Tatsachen eines unbefugten Zugriffs auf personenbezogene Daten;

c) Verhinderung des Einflusses auf technische Mittel zur automatisierten Verarbeitung personenbezogener Daten, wodurch deren Funktion beeinträchtigt werden könnte;

d) die Möglichkeit der sofortigen Wiederherstellung personenbezogener Daten, die aufgrund eines unbefugten Zugriffs verändert oder zerstört wurden;

e) ständige Überwachung der Gewährleistung des Sicherheitsniveaus personenbezogener Daten.

12. Zu den Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten während ihrer Verarbeitung in Informationssystemen gehören:

a) Identifizierung von Bedrohungen für die Sicherheit personenbezogener Daten während ihrer Verarbeitung und Bildung eines darauf basierenden Bedrohungsmodells;

b) Entwicklung eines Systems zum Schutz personenbezogener Daten auf der Grundlage des Bedrohungsmodells, das die Neutralisierung mutmaßlicher Bedrohungen mithilfe von Methoden und Methoden zum Schutz personenbezogener Daten gewährleistet, die für die entsprechende Klasse von Informationssystemen vorgesehen sind;

c) Überprüfung der Einsatzbereitschaft von Informationssicherheitstools mit Schlussfolgerungen über die Möglichkeit ihres Einsatzes;

d) Installation und Inbetriebnahme von Informationssicherheitsmitteln gemäß der betrieblichen und technischen Dokumentation;

e) Schulung von Personen, die in Informationssystemen verwendete Informationssicherheitstools verwenden, über die Regeln für die Arbeit mit ihnen;

f) Abrechnung der eingesetzten Informationsschutzmittel, betriebliche und technische Dokumentation dafür, personenbezogene Datenträger;

g) Erfassung der Personen, die berechtigt sind, mit personenbezogenen Daten im Informationssystem zu arbeiten;

h) Kontrolle über die Einhaltung der in der betrieblichen und technischen Dokumentation vorgesehenen Bedingungen für den Einsatz von Informationssicherheitstools;

i) Untersuchung und Erstellung von Schlussfolgerungen zu Tatsachen der Nichteinhaltung der Aufbewahrungsbedingungen von Trägern personenbezogener Daten, der Anwendung von Informationssicherheitsmaßnahmen, die zu einer Verletzung der Vertraulichkeit personenbezogener Daten führen können, oder anderer Verstöße, die zu einer Verringerung des Niveaus führen können der Sicherheit personenbezogener Daten, Entwicklung und Annahme von Maßnahmen zur Verhinderung möglicher gefährlicher Folgen solcher Verstöße;

j) Beschreibung des Systems zum Schutz personenbezogener Daten.

13. Um Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten während ihrer Verarbeitung im Informationssystem zu entwickeln und umzusetzen, kann ein Betreiber oder eine autorisierte Person eine Struktureinheit oder einen Beamten (Mitarbeiter) ernennen, der für die Gewährleistung der Sicherheit personenbezogener Daten verantwortlich ist.

14. Personen, deren Zugriff auf die im Informationssystem verarbeiteten personenbezogenen Daten für die Erfüllung dienstlicher (Arbeits-)Aufgaben erforderlich ist, erhalten Zugriff auf die entsprechenden personenbezogenen Daten auf der Grundlage einer vom Betreiber oder einer autorisierten Person genehmigten Liste.

15. Anträge von Benutzern des Informationssystems auf Erhalt personenbezogener Daten, einschließlich der in Absatz 14 dieser Verordnung genannten Personen, sowie die Tatsachen der Bereitstellung personenbezogener Daten zu diesen Anträgen werden durch automatisierte Mittel des Informationssystems im elektronischen Protokoll registriert von Anfragen. Der Inhalt des elektronischen Antragsprotokolls wird regelmäßig von den zuständigen Beamten (Mitarbeitern) des Betreibers oder einer autorisierten Person überprüft.

16. Werden Verstöße gegen das Verfahren zur Bereitstellung personenbezogener Daten festgestellt, hat der Betreiber oder die befugte Person die Bereitstellung personenbezogener Daten an Benutzer des Informationssystems unverzüglich auszusetzen, bis die Ursachen der Verstöße ermittelt und diese Ursachen beseitigt sind.

17. Die Umsetzung von Anforderungen zur Gewährleistung der Informationssicherheit in Informationssicherheitstools liegt bei deren Entwicklern.

In Bezug auf die entwickelten Verschlüsselungs- (kryptografischen) Informationssicherheitstools, die die Sicherheit personenbezogener Daten während ihrer Verarbeitung in Informationssystemen gewährleisten sollen, werden Fallstudien und Kontrollfallstudien durchgeführt, um die Einhaltung der Anforderungen an die Informationssicherheit zu überprüfen. In diesem Fall werden unter Fallstudien kryptografische, ingenieurkryptografische und spezielle Studien zu Infund spezielle Arbeiten mit technischen Mitteln von Informationssystemen verstanden, und unter Kontrollfallstudien werden periodisch durchgeführte Fallstudien verstanden.

Konkrete Fristen für die Durchführung von Kontrollfallstudien werden vom Föderalen Sicherheitsdienst der Russischen Föderation festgelegt.

18. Die Ergebnisse der Konformitätsbewertung und (oder) Fallstudien zu Informationssicherheitsinstrumenten, die die Sicherheit personenbezogener Daten während ihrer Verarbeitung in Informationssystemen gewährleisten sollen, werden im Rahmen der vom Föderalen Dienst für technische und Exportkontrolle und dem Föderalen Dienst durchgeführten Prüfung bewertet Sicherheitsdienst der Russischen Föderation innerhalb ihrer Befugnisse.

19. Informationssicherheitsmaßnahmen, die die Sicherheit personenbezogener Daten während ihrer Verarbeitung in Informationssystemen gewährleisten sollen, werden von Regeln für die Verwendung dieser Mittel begleitet, die mit dem Föderalen Dienst für technische Kontrolle und Exportkontrolle und dem Föderalen Sicherheitsdienst der Russischen Föderation vereinbart wurden im Rahmen ihrer Befugnisse.

Änderungen der in diesen Vorschriften vorgesehenen Bedingungen für den Einsatz von Informationsschutzmitteln werden mit diesen Bundesvollzugsbehörden im Rahmen ihrer Befugnisse vereinbart.

20. Informationssicherheitsmaßnahmen, die die Sicherheit personenbezogener Daten während ihrer Verarbeitung in Informationssystemen gewährleisten sollen, unterliegen der Abrechnung anhand von Indizes oder Codenamen und Registrierungsnummern. Die Liste der Indizes, Codenamen und Registrierungsnummern wird vom Föderalen Dienst für technische Kontrolle und Exportkontrolle und vom Föderalen Sicherheitsdienst der Russischen Föderation im Rahmen ihrer Befugnisse festgelegt.

21. Merkmale der Entwicklung, Produktion, Implementierung und des Betriebs von Verschlüsselungsmitteln (kryptografischen) Informationsschutzmitteln und der Bereitstellung von Diensten zur Verschlüsselung personenbezogener Daten während ihrer Verarbeitung in Informationssystemen werden vom Föderalen Sicherheitsdienst der Russischen Föderation festgelegt.

Elektronischer Dokumenttext
erstellt von Kodeks JSC und überprüft gegen:
Sammlung von Rechtsvorschriften
Russische Föderation,
N 48, 26.11.2007, Art. 6001

Dekret der Regierung der Russischen Föderation vom 1. November 2012 N 1119
„Zur Genehmigung von Anforderungen zum Schutz personenbezogener Daten bei ihrer Verarbeitung in Informationssystemen für personenbezogene Daten“

Gemäß Artikel 19 des Bundesgesetzes „Über personenbezogene Daten“ beschließt die Regierung der Russischen Föderation:

1. Genehmigen Sie die beigefügten Anforderungen an den Schutz personenbezogener Daten während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten.

2. Erkennen Sie das Dekret der Regierung der Russischen Föderation vom 17. November 2007 N 781 „Über die Genehmigung der Verordnungen zur Gewährleistung der Sicherheit personenbezogener Daten bei ihrer Verarbeitung in Informationssystemen für personenbezogene Daten“ (Gesammelte Rechtsvorschriften der Russischen Föderation) als ungültig an , 2007, N 48, Art. 6001) .

Anforderungen
zum Schutz personenbezogener Daten während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten
(genehmigt durch das Dekret der Regierung der Russischen Föderation vom 1. November 2012 N 1119)

1. Dieses Dokument legt Anforderungen an den Schutz personenbezogener Daten bei der Verarbeitung in Informationssystemen für personenbezogene Daten (im Folgenden als Informationssysteme bezeichnet) und die Sicherheitsniveaus dieser Daten fest.

2. Die Sicherheit personenbezogener Daten bei der Verarbeitung im Informationssystem wird durch ein System zum Schutz personenbezogener Daten gewährleistet, das aktuelle Bedrohungen neutralisiert, die gemäß Artikel 19 Teil 5 ermittelt wurden

Das System zum Schutz personenbezogener Daten umfasst organisatorische und (oder) technische Maßnahmen, die unter Berücksichtigung aktueller Bedrohungen der Sicherheit personenbezogener Daten und der in Informationssystemen verwendeten Informationstechnologien festgelegt werden.

3. Die Sicherheit personenbezogener Daten bei der Verarbeitung in einem Informationssystem wird durch den Betreiber dieses Systems, der personenbezogene Daten verarbeitet (im Folgenden Betreiber genannt), oder durch die Person, die personenbezogene Daten im Auftrag des Betreibers auf der Grundlage verarbeitet, gewährleistet eines mit dieser Person (im Folgenden Bevollmächtigte) geschlossenen Vertrages. Die Vereinbarung zwischen dem Betreiber und der autorisierten Person muss die Verpflichtung der autorisierten Person vorsehen, die Sicherheit personenbezogener Daten bei der Verarbeitung im Informationssystem zu gewährleisten.

4. Die Wahl der Informationssicherheitsmittel für das System zum Schutz personenbezogener Daten erfolgt durch den Betreiber gemäß den vom Föderalen Sicherheitsdienst der Russischen Föderation und dem Föderalen Dienst für technische und Exportkontrolle gemäß Teil 4 erlassenen Rechtsakten des Artikels 19 des Bundesgesetzes „Über personenbezogene Daten“.

5. Ein Informationssystem ist ein Informationssystem, das besondere Kategorien personenbezogener Daten verarbeitet, wenn es personenbezogene Daten in Bezug auf Rasse, Nationalität, politische Ansichten, religiöse oder philosophische Überzeugungen, Gesundheitszustand, Intimleben der Subjekte personenbezogener Daten verarbeitet.

Ein Informationssystem ist ein Informationssystem, das biometrische personenbezogene Daten verarbeitet, wenn es Informationen verarbeitet, die die physiologischen und biologischen Eigenschaften einer Person charakterisieren, anhand derer man ihre Identität feststellen kann und die vom Betreiber zur Feststellung der Identität der Person verwendet werden Gegenstand personenbezogener Daten und verarbeitet keine Informationen im Zusammenhang mit besonderen Kategorien personenbezogener Daten.

Ein Informationssystem ist ein Informationssystem, das öffentlich zugängliche personenbezogene Daten verarbeitet, wenn es personenbezogene Daten personenbezogener Datensubjekte verarbeitet, die nur aus öffentlich zugänglichen Quellen personenbezogener Daten stammen, die gemäß Artikel 8 des Bundesgesetzes „Über personenbezogene Daten“ erstellt wurden.

Ein Informationssystem ist ein Informationssystem, das andere Kategorien personenbezogener Daten verarbeitet, sofern es nicht die in den Absätzen eins bis drei dieses Absatzes genannten personenbezogenen Daten verarbeitet.

Ein Informationssystem ist ein Informationssystem, das personenbezogene Daten der Mitarbeiter des Betreibers verarbeitet, wenn es nur die personenbezogenen Daten bestimmter Mitarbeiter verarbeitet. In anderen Fällen ist das Informationssystem für personenbezogene Daten ein Informationssystem, das personenbezogene Daten von Personen verarbeitet, die keine Mitarbeiter des Betreibers sind.

6. Unter aktuellen Bedrohungen für die Sicherheit personenbezogener Daten versteht man eine Reihe von Bedingungen und Faktoren, die die aktuelle Gefahr eines unbefugten, auch versehentlichen Zugriffs auf personenbezogene Daten während ihrer Verarbeitung in einem Informationssystem schaffen, was zu Zerstörung, Änderung, Sperren, Kopieren, Bereitstellen, Verbreiten personenbezogener Daten sowie andere rechtswidrige Handlungen.

Bedrohungen vom Typ 1 sind für ein Informationssystem relevant, wenn Bedrohungen, die mit dem Vorhandensein undokumentierter (nicht deklarierter) Fähigkeiten in der im Informationssystem verwendeten Systemsoftware verbunden sind, auch für dieses relevant sind.

Bedrohungen der 2. Art sind für ein Informationssystem relevant, wenn auch Bedrohungen, die mit dem Vorhandensein undokumentierter (nicht deklarierter) Fähigkeiten in der im Informationssystem verwendeten Anwendungssoftware verbunden sind, für dieses relevant sind.

Bedrohungen vom Typ 3 sind für ein Informationssystem relevant, wenn Bedrohungen, die nicht mit dem Vorhandensein undokumentierter (nicht deklarierter) Fähigkeiten im System und der im Informationssystem verwendeten Anwendungssoftware zusammenhängen, für dieses relevant sind.

7. Die Bestimmung der Art der Bedrohung der Sicherheit personenbezogener Daten im Zusammenhang mit dem Informationssystem erfolgt durch den Betreiber unter Berücksichtigung der Bewertung des möglichen Schadens gemäß Artikel 18.1 Absatz 5 Teil 1 des Bundesgesetzes „Über personenbezogene Daten“ und in Übereinstimmung mit den gemäß Artikel 19 Teil 5 des Bundesgesetzes „Über personenbezogene Daten“ erlassenen Rechtsakten.

8. Bei der Verarbeitung personenbezogener Daten in Informationssystemen werden 4 Stufen der Sicherheit personenbezogener Daten festgelegt.

9. Die Notwendigkeit, bei der Verarbeitung personenbezogener Daten im Informationssystem die 1. Sicherheitsstufe zu gewährleisten, liegt vor, wenn mindestens eine der folgenden Bedingungen vorliegt:

a) Bedrohungen vom Typ 1 sind für das Informationssystem relevant und das Informationssystem verarbeitet entweder besondere Kategorien personenbezogener Daten oder biometrische personenbezogene Daten oder andere Kategorien personenbezogener Daten;

b) Bedrohungen vom Typ 2 sind für das Informationssystem relevant und das Informationssystem verarbeitet besondere Kategorien personenbezogener Daten von mehr als 100.000 personenbezogenen Datensubjekten, die keine Mitarbeiter des Betreibers sind.

10. Die Notwendigkeit, bei der Verarbeitung personenbezogener Daten im Informationssystem die 2. Sicherheitsstufe zu gewährleisten, liegt vor, wenn mindestens eine der folgenden Bedingungen vorliegt:

a) Bedrohungen vom Typ 1 sind für das Informationssystem relevant und das Informationssystem verarbeitet öffentlich zugängliche personenbezogene Daten;

b) Bedrohungen vom Typ 2 sind für das Informationssystem relevant und das Informationssystem verarbeitet besondere Kategorien personenbezogener Daten der Mitarbeiter des Betreibers oder besondere Kategorien personenbezogener Daten von weniger als 100.000 Personen personenbezogener Daten, die keine Mitarbeiter des Betreibers sind;

c) Bedrohungen vom Typ 2 sind für das Informationssystem relevant und das Informationssystem verarbeitet biometrische personenbezogene Daten;

d) Bedrohungen vom Typ 2 sind für das Informationssystem relevant und das Informationssystem verarbeitet öffentlich zugängliche personenbezogene Daten von mehr als 100.000 personenbezogenen Datensubjekten, die keine Mitarbeiter des Betreibers sind;

e) Bedrohungen vom Typ 2 sind für das Informationssystem relevant und das Informationssystem verarbeitet andere Kategorien personenbezogener Daten von mehr als 100.000 personenbezogenen Datensubjekten, die keine Mitarbeiter des Betreibers sind;

f) Bedrohungen vom Typ 3 sind für das Informationssystem relevant und das Informationssystem verarbeitet besondere Kategorien personenbezogener Daten von mehr als 100.000 personenbezogenen Datensubjekten, die keine Mitarbeiter des Betreibers sind.

11. Die Notwendigkeit, die 3. Sicherheitsstufe personenbezogener Daten bei ihrer Verarbeitung im Informationssystem zu gewährleisten, liegt vor, wenn mindestens eine der folgenden Bedingungen vorliegt:

a) Bedrohungen vom Typ 2 sind für das Informationssystem relevant und das Informationssystem verarbeitet öffentlich zugängliche personenbezogene Daten der Mitarbeiter des Betreibers oder öffentlich zugängliche personenbezogene Daten von weniger als 100.000 Personen personenbezogener Daten, die keine Mitarbeiter des Betreibers sind;

b) Bedrohungen vom Typ 2 sind für das Informationssystem relevant und das Informationssystem verarbeitet andere Kategorien personenbezogener Daten der Mitarbeiter des Betreibers oder andere Kategorien personenbezogener Daten von weniger als 100.000 Personen personenbezogener Daten, die keine Mitarbeiter des Betreibers sind;

c) Bedrohungen vom Typ 3 sind für das Informationssystem relevant und das Informationssystem verarbeitet besondere Kategorien personenbezogener Daten der Mitarbeiter des Betreibers oder besondere Kategorien personenbezogener Daten von weniger als 100.000 Personen personenbezogener Daten, die keine Mitarbeiter des Betreibers sind;

d) Bedrohungen vom Typ 3 sind für das Informationssystem relevant und das Informationssystem verarbeitet biometrische personenbezogene Daten;

e) Bedrohungen vom Typ 3 sind für das Informationssystem relevant und das Informationssystem verarbeitet andere Kategorien personenbezogener Daten von mehr als 100.000 personenbezogenen Datensubjekten, die keine Mitarbeiter des Betreibers sind.

12. Die Notwendigkeit, bei der Verarbeitung personenbezogener Daten in einem Informationssystem die 4. Sicherheitsstufe zu gewährleisten, liegt vor, wenn mindestens eine der folgenden Bedingungen vorliegt:

a) Bedrohungen vom Typ 3 sind für das Informationssystem relevant und das Informationssystem verarbeitet öffentlich zugängliche personenbezogene Daten;

b) Bedrohungen vom Typ 3 sind für das Informationssystem relevant und das Informationssystem verarbeitet andere Kategorien personenbezogener Daten der Mitarbeiter des Betreibers oder andere Kategorien personenbezogener Daten von weniger als 100.000 Personen personenbezogener Daten, die keine Mitarbeiter des Betreibers sind.

13. Um die 4. Sicherheitsstufe personenbezogener Daten bei der Verarbeitung in Informationssystemen zu gewährleisten, müssen folgende Anforderungen erfüllt sein:

a) Organisation eines Sicherheitssystems für die Räumlichkeiten, in denen sich das Informationssystem befindet, um die Möglichkeit des unkontrollierten Zutritts oder Aufenthalts in diesen Räumlichkeiten durch Personen zu verhindern, die keinen Zugang zu diesen Räumlichkeiten haben;

b) Gewährleistung der Sicherheit personenbezogener Datenträger;

c) Genehmigung eines Dokuments durch den Leiter des Betreibers, das die Liste der Personen definiert, deren Zugang zu den im Informationssystem verarbeiteten personenbezogenen Daten für die Erfüllung ihrer offiziellen (Arbeits-)Aufgaben erforderlich ist;

d) der Einsatz von Informationssicherheitsinstrumenten, die das Verfahren zur Bewertung der Einhaltung der Anforderungen der Gesetzgebung der Russischen Föderation im Bereich der Informationssicherheit bestanden haben, in Fällen, in denen der Einsatz solcher Mittel zur Neutralisierung aktueller Bedrohungen erforderlich ist.

14. Um die 3. Sicherheitsstufe personenbezogener Daten bei der Verarbeitung in Informationssystemen zu gewährleisten, ist es zusätzlich zur Erfüllung der in Absatz 13 dieses Dokuments vorgesehenen Anforderungen erforderlich, dass ein Beamter (Mitarbeiter) ernannt wird, der für die Gewährleistung der Sicherheit verantwortlich ist personenbezogener Daten im Informationssystem.

15. Um die 2. Sicherheitsstufe personenbezogener Daten während ihrer Verarbeitung in Informationssystemen zu gewährleisten, ist es neben der Erfüllung der in Absatz 14 dieses Dokuments vorgesehenen Anforderungen erforderlich, dass nur der Zugriff auf den Inhalt des elektronischen Nachrichtenprotokolls möglich ist für Beamte (Angestellte) des Betreibers oder eine bevollmächtigte Person, für die die im angegebenen Journal enthaltenen Informationen zur Erfüllung dienstlicher (Arbeits-)Aufgaben erforderlich sind.

16. Um die 1. Sicherheitsstufe personenbezogener Daten bei der Verarbeitung in Informationssystemen zu gewährleisten, müssen zusätzlich zu den in Absatz 15 dieses Dokuments vorgesehenen Anforderungen die folgenden Anforderungen erfüllt sein:

a) automatische Registrierung im elektronischen Sicherheitsprotokoll von Änderungen der Befugnisse des Mitarbeiters des Betreibers, auf die im Informationssystem enthaltenen personenbezogenen Daten zuzugreifen;

b) Schaffung einer Struktureinheit, die für die Gewährleistung der Sicherheit personenbezogener Daten im Informationssystem verantwortlich ist, oder Zuweisung von Funktionen zur Gewährleistung dieser Sicherheit an eine der Struktureinheiten.

17. Die Überwachung der Einhaltung dieser Anforderungen wird vom Betreiber (Bevollmächtigter) selbstständig und (oder) unter Einbeziehung juristischer Personen und Einzelunternehmer auf vertraglicher Basis, die zur Durchführung von Tätigkeiten zum technischen Schutz vertraulicher Daten berechtigt sind, organisiert und durchgeführt Information. Die vorgeschriebene Kontrolle wird mindestens alle 3 Jahre innerhalb der vom Betreiber (Befugten) festgelegten Fristen durchgeführt.

REGIERUNG DER RUSSISCHEN FÖDERATION

ÜBER DIE GENEHMIGUNG VON ANFORDERUNGEN

Gemäß Artikel 19 des Bundesgesetzes „Über personenbezogene Daten“ beschließt die Regierung der Russischen Föderation:

1. Genehmigen Sie die beigefügten Anforderungen an den Schutz personenbezogener Daten während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten.

Vorsitzender der Regierung
Russische Föderation
D.MEDVEDEV

Genehmigt
Regierungsbeschluss
Russische Föderation
vom 1. November 2012 N 1119

ANFORDERUNGEN
ZUM SCHUTZ PERSONENBEZOGENER DATEN BEI IHRER VERARBEITUNG
IN INFORMATIONSSYSTEMEN PERSÖNLICHER DATEN

7. Die Bestimmung der Art der Bedrohung der Sicherheit personenbezogener Daten im Zusammenhang mit dem Informationssystem erfolgt durch den Betreiber unter Berücksichtigung der Bewertung des möglichen Schadens gemäß Artikel 18.1 Absatz 5 Teil 1 des Bundesgesetzes. „Über personenbezogene Daten“ und in Übereinstimmung mit den gemäß Artikel 19 Teil 5 des Bundesgesetzes „Über personenbezogene Daten“ erlassenen Rechtsakten.