Ψήφισμα σχετικά με την έγκριση απαιτήσεων για την προστασία των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών προσωπικών δεδομένων - Rossiyskaya Gazeta. Επίπεδα προστασίας προσωπικών δεδομένων αντί για τάξεις Κυβερνητικό διάταγμα 1119

Το διάταγμα της κυβέρνησης της Ρωσικής Ομοσπονδίας αριθ. 1119 της 1ης Νοεμβρίου 2012 έθαψε κατηγορίες συστημάτων πληροφοριών προσωπικών δεδομένων που είχαν ήδη γίνει γνωστά σε όλους.

Στη θέση των κλάσεων, σύμφωνα με το νέο ψήφισμα, καθορίζονται τέσσερα επίπεδα ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακά συστήματα και απαιτήσεις για καθένα από αυτά. Η εκχώρηση πληροφοριακών συστημάτων σε ένα συγκεκριμένο επίπεδο ασφάλειας γίνεται ανάλογα με τον τύπο των προσωπικών δεδομένων που επεξεργάζεται το πληροφοριακό σύστημα, τον τύπο των τρεχουσών απειλών, τον αριθμό των υποκειμένων των προσωπικών δεδομένων που επεξεργάζεται το σύστημα πληροφοριών και τα προσωπικά δεδομένα των οποίων υποβάλλεται σε επεξεργασία.

Τα συστήματα πληροφοριών προσωπικών δεδομένων (PDIS), σύμφωνα με την παράγραφο 5 του Ψηφίσματος Νο. 1119, χωρίζονται σε 4 ομάδες:

  • Ειδικό ISPD

    εάν το ISPD επεξεργάζεται δεδομένα προσωπικού χαρακτήρα που σχετίζονται με τη φυλή, την εθνικότητα, τις πολιτικές απόψεις, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, την κατάσταση της υγείας, την οικεία ζωή των υποκειμένων των προσωπικών δεδομένων·

  • Βιομετρική ISPD

    εάν το ISPD επεξεργάζεται πληροφορίες που χαρακτηρίζουν τα φυσιολογικά και βιολογικά χαρακτηριστικά ενός ατόμου, βάσει των οποίων μπορεί να εξακριβωθεί η ταυτότητά του και οι οποίες χρησιμοποιούνται από τον χειριστή για τον προσδιορισμό της ταυτότητας του υποκειμένου των προσωπικών δεδομένων και πληροφορίες που σχετίζονται με ειδικές κατηγορίες των προσωπικών δεδομένων δεν υποβάλλονται σε επεξεργασία·

  • Δημόσιο ISPD

    εάν το ISPD επεξεργάζεται προσωπικά δεδομένα υποκειμένων προσωπικών δεδομένων που λαμβάνονται μόνο από διαθέσιμες στο κοινό πηγές προσωπικών δεδομένων που έχουν δημιουργηθεί σύμφωνα με το άρθρο 8 του ομοσπονδιακού νόμου «Περί των δεδομένων προσωπικού χαρακτήρα»·

  • Άλλο ISPDn

    εάν το ISPD επεξεργάζεται προσωπικά δεδομένα υποκειμένων δεδομένων προσωπικού χαρακτήρα που δεν εκπροσωπούνται στις τρεις προηγούμενες ομάδες.

Με βάση τη μορφή της σχέσης μεταξύ του οργανισμού σας και των υποκειμένων, η επεξεργασία χωρίζεται σε 2 τύπους:

  • επεξεργασία προσωπικών δεδομένων εργαζομένων (οντότητες με τις οποίες ο οργανισμός σας έχει εργασιακές σχέσεις)·
  • επεξεργασία προσωπικών δεδομένων υποκειμένων που δεν είναι υπάλληλοι του οργανισμού σας.

Με βάση τον αριθμό των υποκειμένων των οποίων τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία, το ψήφισμα αριθ. 1119 ορίζει μόνο 2 κατηγορίες:

  • λιγότερα από 100.000 θέματα.
  • περισσότερα από 100.000 θέματα.

Και τελικά, τύποι τρεχουσών απειλών:

  • Οι απειλές τύπου 1 σχετίζονται με την παρουσία αδήλωτων (μη τεκμηριωμένων) δυνατοτήτων στο λογισμικό συστήματος που χρησιμοποιείται στο ISPD.
  • Οι απειλές τύπου 2 σχετίζονται με την παρουσία μη δηλωμένων δυνατοτήτων στο λογισμικό εφαρμογής που χρησιμοποιείται στο ISPD.
  • Οι απειλές τύπου 3 δεν σχετίζονται με την παρουσία μη δηλωμένων δυνατοτήτων στο λογισμικό που χρησιμοποιείται στο ISPD.

Δεν υπάρχει κανονισμός για τον προσδιορισμό του τύπου των τρεχουσών απειλών. Οι απαιτήσεις του PP-1119 δεν προσφέρουν μεθόδους ή μεθόδους για την εξουδετέρωση τους. Εάν προηγουμένως ο χειριστής μπορούσε να επιλέξει να ταξινομήσει ένα τυπικό ISPD με βάση έναν πίνακα ή να ταξινομήσει ένα ειδικό ISPD με βάση τα αποτελέσματα ενός μοντέλου απειλής, τώρα δεν υπάρχει επιλογή. Το επίπεδο ασφάλειας καθορίζεται πάντα με βάση τη συνάφεια των απειλών. Ο χειριστής είναι απίθανο να είναι σε θέση να τα προσδιορίσει μόνος του - θα πρέπει να επικοινωνήσει με έναν ανώτερο οργανισμό ή έναν σύμβουλο. Ο ευκολότερος τρόπος είναι να ακολουθήσετε το μονοπάτι της ελάχιστης αντίστασης, δηλ. προσδιορίστε τον τύπο της τρέχουσας απειλής τύπου 3 και ξεχάστε τις αδήλωτες (μη τεκμηριωμένες) δυνατότητες στο λογισμικό συστήματος και εφαρμογών, αλλά αυτό θα πρέπει να αιτιολογηθεί. Το όλο ερώτημα είναι πώς;, επιστρέφοντας στην αρχή της παραγράφου.
Το θέμα της συνάφειας των απειλών για τα συστήματα πληροφοριών προσωπικών δεδομένων είναι πολύ σημαντικό, επειδή οι σωστά περιγραφόμενες απειλές καθορίζουν πόσο καλά θα προστατεύεται το σύστημα, καθώς και πόσο θα κοστίσει η προστασία για τον χειριστή προσωπικών δεδομένων.

Εάν έχετε αποφασίσει για τα αρχικά δεδομένα για ένα συγκεκριμένο ISPD, συμπεριλαμβανομένου του τύπου των τρεχουσών απειλών, τότε μπορείτε να προσδιορίσετε το επίπεδο ασφάλειάς του. Για να προσδιορίσετε εύκολα το επίπεδο ασφάλειας, χρησιμοποιήστε τον παρακάτω πίνακα, ο οποίος βασίζεται στο PP-1119:

Τύπος ISPDn

Υπάλληλοι χειριστή

Αριθμός θεμάτων

Τύπος τρεχουσών απειλών

1
(NDV OS)

2
(NDV PO)

3
(Χωρίς NDV)

ISPDn-S
(ειδικός)

 Οχι > 100 000 UZ-1 UZ-1 UZ-2
Οχι < 100 000 UZ-1 UZ-2 UZ-3
Ναί

ISPDn-B
(βιομετρικά)

 UZ-1 UZ-2 UZ-3

ISPDn-I
(οι υπολοιποι)

 Οχι > 100 000 UZ-1 UZ-2 UZ-3
Οχι < 100 000 UZ-2 UZ-3 UZ-4
Ναί

ISPDn-O
(δημόσιο)

 Οχι > 100 000 UZ-2 UZ-2 UZ-4
Οχι < 100 000 UZ-2 UZ-3 UZ-4
Ναί

Ανάλογα με το επιλεγμένο επίπεδο ασφάλειας PD, το PP-1119 ορίζει μια σειρά από απαιτήσεις για την προστασία των προσωπικών δεδομένων, οι οποίες οργανώνονται και εκτελούνται από τον χειριστή (εξουσιοδοτημένο πρόσωπο) ανεξάρτητα και (ή) με τη συμμετοχή νομικών και ιδιωτών επιχειρηματίες σε συμβατική βάση, με άδεια άσκησης δραστηριοτήτων τεχνικής προστασίας εμπιστευτικών πληροφοριών. Η παρακολούθηση της συμμόρφωσης με τις απαιτήσεις πρέπει να πραγματοποιείται τουλάχιστον μία φορά κάθε 3 χρόνια εντός του χρονικού πλαισίου που καθορίζει ο χειριστής (εξουσιοδοτημένο πρόσωπο).

Απαιτήσεις

Επίπεδα
ασφάλεια
Οργάνωση καθεστώτος ασφαλείας για τις εγκαταστάσεις στις οποίες βρίσκεται το πληροφοριακό σύστημα, αποτρέποντας τη δυνατότητα ανεξέλεγκτη εισόδου ή παραμονής σε αυτούς τους χώρους από άτομα που δεν έχουν πρόσβαση σε αυτούς τους χώρους + + + +
Διασφάλιση της ασφάλειας των φορέων προσωπικών δεδομένων + + + +
Έγκριση από τον επικεφαλής του χειριστή εγγράφου που καθορίζει τον κατάλογο των προσώπων των οποίων η πρόσβαση στα προσωπικά δεδομένα που υποβάλλονται σε επεξεργασία στο σύστημα πληροφοριών είναι απαραίτητη για την εκτέλεση των επίσημων (εργασιακών) καθηκόντων τους + + + +
Η χρήση εργαλείων ασφάλειας πληροφοριών που έχουν περάσει τη διαδικασία αξιολόγησης της συμμόρφωσης με τις απαιτήσεις της νομοθεσίας της Ρωσικής Ομοσπονδίας στον τομέα της ασφάλειας πληροφοριών, σε περιπτώσεις όπου η χρήση τέτοιων εργαλείων είναι απαραίτητη για την εξουδετέρωση των τρεχουσών απειλών + + + +
Ορισμός υπαλλήλου υπεύθυνου για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων στο ISPD + + + -
Περιορισμός πρόσβασης στα περιεχόμενα του ηλεκτρονικού αρχείου μηνυμάτων + + - -
Αυτόματη εγγραφή στο ηλεκτρονικό ημερολόγιο ασφαλείας των αλλαγών στις εξουσίες του υπαλλήλου του χειριστή για πρόσβαση σε προσωπικά δεδομένα που περιέχονται στο σύστημα πληροφοριών + - - -
Δημιουργία δομικής μονάδας υπεύθυνης για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων στο σύστημα πληροφοριών ή ανάθεση λειτουργιών για τη διασφάλιση αυτής της ασφάλειας σε μία από τις δομικές μονάδες + - - -

Έχοντας αποφασίσει για τις απαιτήσεις για την προστασία των προσωπικών δεδομένων σύμφωνα με το PP-1119, μπορείτε να προχωρήσετε στην επιλογή οργανωτικών και τεχνικών μέτρων για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων, με βάση τις απαιτήσεις της εντολής αριθ. 21 του FSTEC του Ρωσία με ημερομηνία 18 Φεβρουαρίου 2013. με στόχο την εξουδετέρωση των τρεχουσών απειλών για την ασφάλεια των προσωπικών δεδομένων.

Τι να κάνετε με τα εργαλεία ασφάλειας πληροφοριών, πιστοποιητικά για τα οποία είχαν εκδοθεί προηγουμένως για ορισμένες κατηγορίες ISPD;

Σύμφωνα με το πληροφοριακό μήνυμα της FSTEC της Ρωσίας της 20ης Νοεμβρίου 2012 N 240/24/4669 «Σχετικά με τα χαρακτηριστικά προστασίας των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών προσωπικών δεδομένων και την πιστοποίηση εργαλείων ασφάλειας πληροφοριών που προορίζονται για την προστασία προσωπικών δεδομένων», πιστοποιητικά συμμόρφωσης που εκδόθηκαν FSTEC της Ρωσίας, πριν από την έναρξη ισχύος της κανονιστικής νομικής πράξης της FSTEC της Ρωσίας (που σημαίνει Διάταγμα αριθ. 21), που καθορίζει τη σύνθεση και το περιεχόμενο των οργανωτικών και τεχνικών μέτρων για τη διασφάλιση της ασφάλειας του προσωπικά δεδομένα κατά την επεξεργασία τους σε πληροφοριακά συστήματα προσωπικών δεδομένων, δεν υπόκεινται σε επανεγγραφή.
Τα εργαλεία ασφάλειας πληροφοριών που μπορούν να χρησιμοποιηθούν για την προστασία προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία σε συστήματα πληροφοριών προσωπικών δεδομένων της κλάσης 1 μπορούν να χρησιμοποιηθούν για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία σε συστήματα πληροφοριών προσωπικών δεδομένων έως και το επίπεδο 1.
Τα εργαλεία ασφάλειας πληροφοριών που μπορούν να χρησιμοποιηθούν για την προστασία προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία σε συστήματα πληροφοριών προσωπικών δεδομένων κλάσης 2 μπορούν να χρησιμοποιηθούν για τη διασφάλιση της ασφάλειας επιπέδου 4 των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία σε συστήματα πληροφοριών προσωπικών δεδομένων.

ΚΥΒΕΡΝΗΣΗ ΤΗΣ ΡΩΣΙΚΗΣ ΟΜΟΣΠΟΝΔΙΑΣ

ΑΝΑΛΥΣΗ

Περί έγκρισης Κανονισμών για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακά συστήματα προσωπικών δεδομένων


Χάθηκε δύναμη στις 15 Νοεμβρίου 2012 με βάση
ψηφίσματα της κυβέρνησης της Ρωσικής Ομοσπονδίας
με ημερομηνία 1 Νοεμβρίου 2012 N 1119
____________________________________________________________________

Σύμφωνα με το άρθρο 19 του ομοσπονδιακού νόμου "Περί Προσωπικών Δεδομένων", η κυβέρνηση της Ρωσικής Ομοσπονδίας

αποφασίζει:

1. Έγκριση των συνημμένων Κανονισμών για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών προσωπικών δεδομένων.

2. Η Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσικής Ομοσπονδίας και η Ομοσπονδιακή Υπηρεσία Τεχνικού και Ελέγχου Εξαγωγών εγκρίνουν, στο πλαίσιο της αρμοδιότητάς τους, εντός προθεσμίας 3 μηνών, τις κανονιστικές νομικές πράξεις και τα μεθοδολογικά έγγραφα που είναι απαραίτητα για την εκπλήρωση των απαιτήσεων που προβλέπονται από τους Κανονισμούς εγκρίνεται με το παρόν ψήφισμα.

Πρόεδρος της Κυβέρνησης
Ρωσική Ομοσπονδία

Κανονισμοί για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών προσωπικών δεδομένων

ΕΓΚΕΚΡΙΜΕΝΟ
Κυβερνητικό ψήφισμα
Ρωσική Ομοσπονδία
με ημερομηνία 17 Νοεμβρίου 2007 N 781

1. Οι παρόντες Κανονισμοί θεσπίζουν απαιτήσεις για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών προσωπικών δεδομένων, τα οποία αποτελούν συλλογή προσωπικών δεδομένων που περιέχονται σε βάσεις δεδομένων, καθώς και τεχνολογίες πληροφοριών και τεχνικά μέσα που επιτρέπουν την επεξεργασία τέτοιων προσωπικών δεδομένων χρησιμοποιώντας εργαλεία αυτοματισμού (στο εξής θα αναφέρονται ως συστήματα πληροφοριών). *1)

Ως τεχνικά μέσα που επιτρέπουν την επεξεργασία προσωπικών δεδομένων νοούνται εγκαταστάσεις υπολογιστών, πληροφοριακά και υπολογιστικά συγκροτήματα και δίκτυα, μέσα και συστήματα μετάδοσης, λήψης και επεξεργασίας προσωπικών δεδομένων (μέσα και συστήματα για ηχογράφηση, ενίσχυση ήχου, αναπαραγωγή ήχου, ενδοεπικοινωνία και τηλεόραση συσκευές, μέσα κατασκευής, αναπαραγωγή εγγράφων και άλλα τεχνικά μέσα επεξεργασίας ομιλίας, γραφικών, βίντεο και αλφαριθμητικών πληροφοριών), λογισμικό (λειτουργικά συστήματα, συστήματα διαχείρισης βάσεων δεδομένων κ.λπ.), εργαλεία ασφάλειας πληροφοριών που χρησιμοποιούνται σε συστήματα πληροφοριών.

2. Η ασφάλεια των προσωπικών δεδομένων επιτυγχάνεται με τον αποκλεισμό της μη εξουσιοδοτημένης, συμπεριλαμβανομένης της τυχαίας, πρόσβασης σε προσωπικά δεδομένα, η οποία μπορεί να οδηγήσει σε καταστροφή, τροποποίηση, αποκλεισμό, αντιγραφή, διανομή προσωπικών δεδομένων, καθώς και άλλες μη εξουσιοδοτημένες ενέργειες.

Η ασφάλεια των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακά συστήματα διασφαλίζεται με τη χρήση συστήματος προστασίας προσωπικών δεδομένων, συμπεριλαμβανομένων οργανωτικών μέτρων και μέσων προστασίας πληροφοριών (συμπεριλαμβανομένων μέσων κρυπτογράφησης (κρυπτογραφικών), μέσων αποτροπής μη εξουσιοδοτημένης πρόσβασης, διαρροής πληροφοριών μέσω τεχνικών καναλιών, λογισμικού και επιπτώσεις υλικού σε τεχνικά μέσα για την επεξεργασία προσωπικών δεδομένων), καθώς και στις τεχνολογίες πληροφοριών που χρησιμοποιούνται στο πληροφοριακό σύστημα. Το υλικό και το λογισμικό πρέπει να πληρούν τις απαιτήσεις που καθορίζονται σύμφωνα με τη νομοθεσία της Ρωσικής Ομοσπονδίας για τη διασφάλιση της προστασίας των πληροφοριών.

Για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακά συστήματα, παρέχεται προστασία για πληροφορίες ομιλίας και πληροφορίες που υποβάλλονται σε επεξεργασία με τεχνικά μέσα, καθώς και πληροφορίες που παρουσιάζονται με τη μορφή πληροφοριακών ηλεκτρικών σημάτων, φυσικών πεδίων, μέσων σε χαρτί, μαγνητικά, μαγνητικά. -οπτικές και άλλες βάσεις.

3. Οι μέθοδοι και τα μέσα προστασίας των πληροφοριών σε συστήματα πληροφοριών καθορίζονται από την Ομοσπονδιακή Υπηρεσία Τεχνικού και Ελέγχου Εξαγωγών και την Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσικής Ομοσπονδίας εντός των ορίων των αρμοδιοτήτων τους. *3.1)

Η επάρκεια των μέτρων που λαμβάνονται για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακά συστήματα αξιολογείται κατά τον κρατικό έλεγχο και εποπτεία.

4. Οι εργασίες για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών αποτελούν αναπόσπαστο μέρος των εργασιών για τη δημιουργία πληροφοριακών συστημάτων.

5. Τα εργαλεία ασφάλειας πληροφοριών που χρησιμοποιούνται σε συστήματα πληροφοριών υποβάλλονται σε διαδικασία αξιολόγησης της συμμόρφωσης σύμφωνα με την καθιερωμένη διαδικασία.

6. Τα πληροφοριακά συστήματα ταξινομούνται από κρατικούς φορείς, δημοτικούς φορείς, νομικά ή φυσικά πρόσωπα που οργανώνουν και (ή) εκτελούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και καθορίζουν τους σκοπούς και το περιεχόμενο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα (εφεξής « χειριστή), ανάλογα με τον όγκο των προσωπικών δεδομένων που επεξεργάζονται και τις απειλές για την ασφάλεια ζωτικά συμφέροντα του ατόμου, της κοινωνίας και του κράτους.

Η διαδικασία ταξινόμησης συστημάτων πληροφοριών καθορίζεται από κοινού από την Ομοσπονδιακή Υπηρεσία Τεχνικού και Ελέγχου Εξαγωγών, την Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσικής Ομοσπονδίας και το Υπουργείο Τεχνολογιών Πληροφορικής και Επικοινωνιών της Ρωσικής Ομοσπονδίας.*6.2)

7. Η ανταλλαγή προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακά συστήματα πραγματοποιείται μέσω διαύλων επικοινωνίας, η προστασία των οποίων διασφαλίζεται με την εφαρμογή κατάλληλων οργανωτικών μέτρων ή (ή) με τη χρήση τεχνικών μέσων.

8. Η τοποθέτηση συστημάτων πληροφοριών, ειδικού εξοπλισμού και ασφάλειας των χώρων στους οποίους πραγματοποιείται εργασία με δεδομένα προσωπικού χαρακτήρα, η οργάνωση καθεστώτος ασφαλείας σε αυτούς τους χώρους πρέπει να διασφαλίζει την ασφάλεια των φορέων προσωπικών δεδομένων και των μέσων ασφάλειας πληροφοριών και επίσης να αποκλείει δυνατότητα ανεξέλεγκτη εισόδου ή παρουσίας αγνώστων σε αυτούς τους χώρους προσώπων

9. Τα πιθανά κανάλια διαρροής πληροφοριών κατά την επεξεργασία προσωπικών δεδομένων σε συστήματα πληροφοριών καθορίζονται από την Ομοσπονδιακή Υπηρεσία Τεχνικού και Ελέγχου Εξαγωγών και την Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσικής Ομοσπονδίας εντός των ορίων των αρμοδιοτήτων τους.

10. Η ασφάλεια των προσωπικών δεδομένων κατά την επεξεργασία στο πληροφοριακό σύστημα διασφαλίζεται από τον χειριστή ή το πρόσωπο στο οποίο, βάσει συμφωνίας, ο φορέας εκμετάλλευσης εμπιστεύεται την επεξεργασία προσωπικών δεδομένων (εφεξής καλούμενο εξουσιοδοτημένο πρόσωπο). Βασική προϋπόθεση της σύμβασης είναι η υποχρέωση του εξουσιοδοτημένου προσώπου να διασφαλίζει την εμπιστευτικότητα των προσωπικών δεδομένων και την ασφάλεια των προσωπικών δεδομένων κατά την επεξεργασία τους στο πληροφοριακό σύστημα.

11. Κατά την επεξεργασία προσωπικών δεδομένων στο πληροφοριακό σύστημα, πρέπει να διασφαλίζονται τα ακόλουθα:

α) τη λήψη μέτρων με στόχο την αποτροπή της μη εξουσιοδοτημένης πρόσβασης σε προσωπικά δεδομένα και (ή) τη μεταφορά τους σε άτομα που δεν έχουν δικαίωμα πρόσβασης σε αυτές τις πληροφορίες·

β) έγκαιρη ανίχνευση γεγονότων μη εξουσιοδοτημένης πρόσβασης σε προσωπικά δεδομένα·

γ) αποτροπή επιρροής σε τεχνικά μέσα αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ως αποτέλεσμα της οποίας μπορεί να διαταραχθεί η λειτουργία τους·

δ) τη δυνατότητα άμεσης αποκατάστασης προσωπικών δεδομένων που τροποποιήθηκαν ή καταστράφηκαν λόγω μη εξουσιοδοτημένης πρόσβασης σε αυτά·

ε) συνεχής παρακολούθηση για τη διασφάλιση του επιπέδου ασφάλειας των προσωπικών δεδομένων.

12. Τα μέτρα για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακά συστήματα περιλαμβάνουν:

α) εντοπισμός απειλών για την ασφάλεια των προσωπικών δεδομένων κατά την επεξεργασία τους, διαμόρφωση ενός μοντέλου απειλών που βασίζεται σε αυτές·

β) ανάπτυξη, βάσει του μοντέλου απειλών, ενός συστήματος προστασίας προσωπικών δεδομένων που διασφαλίζει την εξουδετέρωση εικαζόμενων απειλών χρησιμοποιώντας μεθόδους και μεθόδους για την προστασία των προσωπικών δεδομένων που παρέχονται για την αντίστοιχη κατηγορία συστημάτων πληροφοριών·

γ) έλεγχος της ετοιμότητας των εργαλείων ασφάλειας πληροφοριών για χρήση με την εξαγωγή συμπερασμάτων σχετικά με τη δυνατότητα λειτουργίας τους·

δ) εγκατάσταση και θέση σε λειτουργία μέσων ασφάλειας πληροφοριών σύμφωνα με την επιχειρησιακή και τεχνική τεκμηρίωση·

ε) εκπαίδευση προσώπων που χρησιμοποιούν εργαλεία ασφάλειας πληροφοριών που χρησιμοποιούνται σε συστήματα πληροφοριών σχετικά με τους κανόνες συνεργασίας μαζί τους·

στ) λογιστική των μέσων προστασίας των πληροφοριών που χρησιμοποιούνται, επιχειρησιακή και τεχνική τεκμηρίωση για αυτούς, φορείς προσωπικών δεδομένων·

ζ) λογιστική των προσώπων που είναι εξουσιοδοτημένα να εργάζονται με προσωπικά δεδομένα στο σύστημα πληροφοριών·

η) έλεγχος της συμμόρφωσης με τις προϋποθέσεις για τη χρήση εργαλείων ασφάλειας πληροφοριών που προβλέπονται στην επιχειρησιακή και τεχνική τεκμηρίωση·

θ) διερεύνηση και εξαγωγή συμπερασμάτων σχετικά με γεγονότα μη συμμόρφωσης με τις συνθήκες αποθήκευσης των φορέων προσωπικών δεδομένων, τη χρήση μέτρων ασφάλειας πληροφοριών που μπορεί να οδηγήσουν σε παραβίαση του απορρήτου των προσωπικών δεδομένων ή άλλες παραβιάσεις που οδηγούν σε μείωση του επιπέδου την ασφάλεια των προσωπικών δεδομένων, την ανάπτυξη και υιοθέτηση μέτρων για την πρόληψη πιθανών επικίνδυνων συνεπειών τέτοιων παραβιάσεων·

ι) περιγραφή του συστήματος προστασίας δεδομένων προσωπικού χαρακτήρα.

13. Για την ανάπτυξη και εφαρμογή μέτρων για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους στο σύστημα πληροφοριών, ένας χειριστής ή εξουσιοδοτημένο πρόσωπο μπορεί να ορίσει μια δομική μονάδα ή έναν υπάλληλο (υπάλληλο) υπεύθυνο για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων.

14. Τα άτομα των οποίων η πρόσβαση στα προσωπικά δεδομένα που υποβάλλονται σε επεξεργασία στο σύστημα πληροφοριών είναι απαραίτητη για την εκτέλεση επίσημων (εργατικών) καθηκόντων, επιτρέπεται η πρόσβαση στα σχετικά προσωπικά δεδομένα βάσει καταλόγου εγκεκριμένου από τον χειριστή ή το εξουσιοδοτημένο πρόσωπο.

15. Τα αιτήματα των χρηστών του πληροφοριακού συστήματος για απόκτηση προσωπικών δεδομένων, συμπεριλαμβανομένων των προσώπων που καθορίζονται στην παράγραφο 14 του παρόντος Κανονισμού, καθώς και τα στοιχεία παροχής προσωπικών δεδομένων σχετικά με αυτά τα αιτήματα καταχωρούνται με αυτοματοποιημένα μέσα του πληροφοριακού συστήματος στο ηλεκτρονικό αρχείο καταγραφής των αιτημάτων. Τα περιεχόμενα του ηλεκτρονικού αρχείου αιτημάτων ελέγχονται περιοδικά από τους αρμόδιους υπαλλήλους (υπαλλήλους) του χειριστή ή εξουσιοδοτημένου προσώπου.

16. Εάν διαπιστωθούν παραβιάσεις της διαδικασίας παροχής προσωπικών δεδομένων, ο χειριστής ή το εξουσιοδοτημένο πρόσωπο αναστέλλει αμέσως την παροχή προσωπικών δεδομένων στους χρήστες του συστήματος πληροφοριών έως ότου εντοπιστούν τα αίτια των παραβιάσεων και εξαλειφθούν αυτά τα αίτια.

17. Η εφαρμογή των απαιτήσεων για τη διασφάλιση της ασφάλειας των πληροφοριών στα εργαλεία ασφάλειας πληροφοριών ανήκει στους προγραμματιστές τους.

Σε σχέση με τα αναπτυγμένα εργαλεία κρυπτογράφησης (κρυπτογραφικής) ασφάλειας πληροφοριών που έχουν σχεδιαστεί για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακά συστήματα, διεξάγονται μελέτες περιπτώσεων και μελέτες περιπτώσεων ελέγχου προκειμένου να επαληθεύεται η συμμόρφωση με τις απαιτήσεις ασφάλειας πληροφοριών. Στην περίπτωση αυτή, οι μελέτες περιπτώσεων νοούνται ως κρυπτογραφικές, μηχανολογικές-κρυπτογραφικές και ειδικές μελέτες εργαλείων ασφάλειας πληροφοριών και ειδική εργασία με τεχνικά μέσα πληροφοριακών συστημάτων και μελέτες περιπτώσεων ελέγχου διεξάγονται περιοδικά περιπτωσιολογικές μελέτες.

Οι συγκεκριμένες προθεσμίες για τη διεξαγωγή περιπτωσιολογικών μελετών ελέγχου καθορίζονται από την Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσικής Ομοσπονδίας.

18. Τα αποτελέσματα της αξιολόγησης της συμμόρφωσης και (ή) περιπτωσιολογικών μελετών εργαλείων ασφάλειας πληροφοριών που έχουν σχεδιαστεί για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών αξιολογούνται κατά την εξέταση που διενεργείται από την Ομοσπονδιακή Υπηρεσία Τεχνικού και Ελέγχου Εξαγωγών και την Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσικής Ομοσπονδίας στο πλαίσιο των αρμοδιοτήτων τους.

19. Τα μέτρα ασφάλειας πληροφοριών που αποσκοπούν στη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών συνοδεύονται από κανόνες για τη χρήση αυτών των μέσων, που έχουν συμφωνηθεί με την Ομοσπονδιακή Υπηρεσία Τεχνικού και Ελέγχου Εξαγωγών και την Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσικής Ομοσπονδίας εντός των ορίων των εξουσιών τους.

Οι αλλαγές στους όρους χρήσης των μέσων προστασίας πληροφοριών που προβλέπονται από αυτούς τους κανόνες συμφωνούνται με αυτές τις ομοσπονδιακές εκτελεστικές αρχές εντός των ορίων των εξουσιών τους.

20. Τα μέτρα ασφάλειας των πληροφοριών που έχουν σχεδιαστεί για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών υπόκεινται σε λογιστική με χρήση ευρετηρίων ή κωδικών ονομάτων και αριθμών εγγραφής. Ο κατάλογος των δεικτών, των κωδικών ονομάτων και των αριθμών εγγραφής καθορίζεται από την Ομοσπονδιακή Υπηρεσία Τεχνικού και Ελέγχου Εξαγωγών και την Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσικής Ομοσπονδίας εντός των ορίων των αρμοδιοτήτων τους.

21. Τα χαρακτηριστικά της ανάπτυξης, παραγωγής, υλοποίησης και λειτουργίας κρυπτογραφικών (κρυπτογραφικών) μέσων προστασίας πληροφοριών και παροχής υπηρεσιών κρυπτογράφησης προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών καθορίζονται από την Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσικής Ομοσπονδίας.

Κείμενο ηλεκτρονικού εγγράφου
εκπονήθηκε από την Kodeks JSC και επαληθεύτηκε έναντι:
Συλλογή νομοθεσίας
Ρωσική Ομοσπονδία,
Ν 48, 26.11.2007, άρθρ. 6001

Διάταγμα της κυβέρνησης της Ρωσικής Ομοσπονδίας της 1ης Νοεμβρίου 2012 N 1119
«Σχετικά με την έγκριση απαιτήσεων για την προστασία των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών προσωπικών δεδομένων»

Σύμφωνα με το άρθρο 19 του ομοσπονδιακού νόμου «Περί δεδομένων προσωπικού χαρακτήρα», η κυβέρνηση της Ρωσικής Ομοσπονδίας αποφασίζει:

1. Έγκριση των συνημμένων απαιτήσεων για την προστασία των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακά συστήματα προσωπικών δεδομένων.

2. Αναγνωρίστε ως άκυρο το Διάταγμα της Κυβέρνησης της Ρωσικής Ομοσπονδίας της 17ης Νοεμβρίου 2007 N 781 «Σχετικά με την έγκριση των κανονισμών για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών προσωπικών δεδομένων» (Collected Legislation of the Russian Federation , 2007, Ν 48, Άρθ. 6001) .

Απαιτήσεις
στην προστασία των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών προσωπικών δεδομένων
(εγκρίθηκε με διάταγμα της κυβέρνησης της Ρωσικής Ομοσπονδίας της 1ης Νοεμβρίου 2012 N 1119)

1. Το παρόν έγγραφο θεσπίζει απαιτήσεις για την προστασία των προσωπικών δεδομένων όταν υποβάλλονται σε επεξεργασία σε συστήματα πληροφοριών προσωπικών δεδομένων (εφεξής καλούμενα συστήματα πληροφοριών) και τα επίπεδα ασφάλειας των δεδομένων αυτών.

2. Η ασφάλεια των προσωπικών δεδομένων κατά την επεξεργασία στο πληροφοριακό σύστημα διασφαλίζεται με τη χρήση συστήματος προστασίας προσωπικών δεδομένων που εξουδετερώνει τις τρέχουσες απειλές που εντοπίζονται σύμφωνα με το Μέρος 5 του άρθρου 19

Το σύστημα προστασίας προσωπικών δεδομένων περιλαμβάνει οργανωτικά και (ή) τεχνικά μέτρα που καθορίζονται λαμβάνοντας υπόψη τις τρέχουσες απειλές για την ασφάλεια των προσωπικών δεδομένων και των τεχνολογιών πληροφοριών που χρησιμοποιούνται στα συστήματα πληροφοριών.

3. Η ασφάλεια των προσωπικών δεδομένων όταν υποβάλλονται σε επεξεργασία σε ένα σύστημα πληροφοριών διασφαλίζεται από τον διαχειριστή αυτού του συστήματος, ο οποίος επεξεργάζεται προσωπικά δεδομένα (εφεξής καλούμενος χειριστής) ή από το πρόσωπο που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του φορέα εκμετάλλευσης βάσει συμφωνίας που έχει συναφθεί με αυτό το πρόσωπο (εφεξής το εξουσιοδοτημένο πρόσωπο). Η συμφωνία μεταξύ του χειριστή και του εξουσιοδοτημένου προσώπου πρέπει να προβλέπει την υποχρέωση του εξουσιοδοτημένου προσώπου να διασφαλίζει την ασφάλεια των προσωπικών δεδομένων όταν υποβάλλονται σε επεξεργασία στο σύστημα πληροφοριών.

4. Η επιλογή των μέσων ασφάλειας πληροφοριών για το σύστημα προστασίας προσωπικών δεδομένων πραγματοποιείται από τον χειριστή σύμφωνα με κανονιστικές νομικές πράξεις που έχουν εγκριθεί από την Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσικής Ομοσπονδίας και την Ομοσπονδιακή Υπηρεσία Τεχνικού και Ελέγχου Εξαγωγών σύμφωνα με το Μέρος 4 του άρθρου 19 του ομοσπονδιακού νόμου "Περί Προσωπικών Δεδομένων".

5. Πληροφοριακό σύστημα είναι ένα πληροφοριακό σύστημα που επεξεργάζεται ειδικές κατηγορίες προσωπικών δεδομένων εάν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα που σχετίζονται με φυλή, εθνικότητα, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, κατάσταση υγείας, οικεία ζωή των υποκειμένων των προσωπικών δεδομένων.

Ένα πληροφοριακό σύστημα είναι ένα σύστημα πληροφοριών που επεξεργάζεται βιομετρικά δεδομένα προσωπικού χαρακτήρα, εάν επεξεργάζεται πληροφορίες που χαρακτηρίζουν τα φυσιολογικά και βιολογικά χαρακτηριστικά ενός ατόμου, βάσει των οποίων μπορεί κανείς να προσδιορίσει την ταυτότητά του και το οποίο χρησιμοποιείται από τον χειριστή για την εξακρίβωση της ταυτότητας του αντικείμενο προσωπικών δεδομένων, και δεν επεξεργάζεται πληροφορίες που σχετίζονται με ειδικές κατηγορίες προσωπικών δεδομένων.

Ένα πληροφοριακό σύστημα είναι ένα σύστημα πληροφοριών που επεξεργάζεται δημόσια διαθέσιμα προσωπικά δεδομένα εάν επεξεργάζεται προσωπικά δεδομένα υποκειμένων προσωπικών δεδομένων που λαμβάνονται μόνο από διαθέσιμες στο κοινό πηγές προσωπικών δεδομένων που δημιουργήθηκαν σύμφωνα με το άρθρο 8 του Ομοσπονδιακού Νόμου «Περί Προσωπικών Δεδομένων».

Πληροφοριακό σύστημα είναι ένα πληροφοριακό σύστημα που επεξεργάζεται άλλες κατηγορίες προσωπικών δεδομένων, εάν δεν επεξεργάζεται τα προσωπικά δεδομένα που ορίζονται στις παραγράφους 1 έως 3 της παρούσας παραγράφου.

Ένα πληροφοριακό σύστημα είναι ένα πληροφοριακό σύστημα που επεξεργάζεται προσωπικά δεδομένα των υπαλλήλων του χειριστή εάν επεξεργάζεται μόνο τα προσωπικά δεδομένα συγκεκριμένων υπαλλήλων. Σε άλλες περιπτώσεις, το σύστημα πληροφοριών προσωπικών δεδομένων είναι ένα σύστημα πληροφοριών που επεξεργάζεται προσωπικά δεδομένα υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή.

6. Οι τρέχουσες απειλές για την ασφάλεια των προσωπικών δεδομένων νοούνται ως ένα σύνολο συνθηκών και παραγόντων που δημιουργούν τον τρέχοντα κίνδυνο μη εξουσιοδοτημένης, συμπεριλαμβανομένης της τυχαίας, πρόσβασης σε προσωπικά δεδομένα κατά την επεξεργασία τους σε ένα σύστημα πληροφοριών, η οποία μπορεί να οδηγήσει σε καταστροφή, τροποποίηση, αποκλεισμός, αντιγραφή, παροχή, διανομή προσωπικών δεδομένων, καθώς και άλλες παράνομες ενέργειες.

Οι απειλές του 1ου τύπου είναι σχετικές για ένα σύστημα πληροφοριών εάν οι απειλές που σχετίζονται με την παρουσία μη τεκμηριωμένων (μη δηλωμένων) δυνατοτήτων στο λογισμικό συστήματος που χρησιμοποιείται στο σύστημα πληροφοριών είναι επίσης σχετικές με αυτό.

Οι απειλές του 2ου τύπου είναι σχετικές για ένα πληροφοριακό σύστημα εάν οι απειλές που σχετίζονται με την παρουσία μη τεκμηριωμένων (μη δηλωμένων) δυνατοτήτων στο λογισμικό εφαρμογής που χρησιμοποιείται στο σύστημα πληροφοριών είναι επίσης σχετικές με αυτό.

Οι απειλές τύπου 3 σχετίζονται με ένα πληροφοριακό σύστημα εάν οι απειλές που δεν σχετίζονται με την παρουσία μη τεκμηριωμένων (μη δηλωμένων) δυνατοτήτων στο σύστημα και το λογισμικό εφαρμογής που χρησιμοποιείται στο σύστημα πληροφοριών σχετίζονται με αυτό.

7. Ο προσδιορισμός του είδους των απειλών για την ασφάλεια των δεδομένων προσωπικού χαρακτήρα που σχετίζονται με το σύστημα πληροφοριών πραγματοποιείται από τον χειριστή λαμβάνοντας υπόψη την εκτίμηση πιθανής βλάβης που πραγματοποιείται σύμφωνα με την παράγραφο 5 του μέρους 1 του άρθρου 18.1 του ομοσπονδιακού νόμου "Σχετικά με τα Προσωπικά Δεδομένα" και σύμφωνα με τις κανονιστικές νομικές πράξεις που εκδόθηκαν σύμφωνα με το Μέρος 5 του άρθρου 19 του ομοσπονδιακού νόμου "για τα προσωπικά δεδομένα".

8. Κατά την επεξεργασία προσωπικών δεδομένων σε πληροφοριακά συστήματα καθορίζονται 4 επίπεδα ασφάλειας προσωπικών δεδομένων.

9. Η ανάγκη διασφάλισης του 1ου επιπέδου ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους στο πληροφοριακό σύστημα διαπιστώνεται εφόσον συντρέχει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

α) οι απειλές τύπου 1 σχετίζονται με το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται είτε ειδικές κατηγορίες προσωπικών δεδομένων είτε βιομετρικά προσωπικά δεδομένα είτε άλλες κατηγορίες προσωπικών δεδομένων·

β) οι απειλές τύπου 2 σχετίζονται με το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται ειδικές κατηγορίες προσωπικών δεδομένων περισσότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή.

10. Η ανάγκη διασφάλισης του 2ου επιπέδου ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους στο πληροφοριακό σύστημα διαπιστώνεται εάν συντρέχει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

α) οι απειλές τύπου 1 σχετίζονται με το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται δημόσια δεδομένα προσωπικού χαρακτήρα·

β) οι απειλές τύπου 2 σχετίζονται με το σύστημα πληροφοριών και το σύστημα πληροφοριών επεξεργάζεται ειδικές κατηγορίες προσωπικών δεδομένων των υπαλλήλων του φορέα εκμετάλλευσης ή ειδικές κατηγορίες προσωπικών δεδομένων λιγότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή·

γ) οι απειλές τύπου 2 σχετίζονται με το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται βιομετρικά προσωπικά δεδομένα·

δ) οι απειλές τύπου 2 σχετίζονται με το σύστημα πληροφοριών και το σύστημα πληροφοριών επεξεργάζεται δημόσια διαθέσιμα προσωπικά δεδομένα περισσότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή·

ε) οι απειλές τύπου 2 σχετίζονται με το σύστημα πληροφοριών και το σύστημα πληροφοριών επεξεργάζεται άλλες κατηγορίες προσωπικών δεδομένων περισσότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή·

στ) οι απειλές τύπου 3 σχετίζονται με το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται ειδικές κατηγορίες προσωπικών δεδομένων περισσότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή.

11. Η ανάγκη διασφάλισης του 3ου επιπέδου ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους στο πληροφοριακό σύστημα διαπιστώνεται εφόσον συντρέχει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

α) οι απειλές τύπου 2 σχετίζονται με το σύστημα πληροφοριών και το σύστημα πληροφοριών επεξεργάζεται δημόσια διαθέσιμα προσωπικά δεδομένα των υπαλλήλων του φορέα εκμετάλλευσης ή δημόσια διαθέσιμα προσωπικά δεδομένα λιγότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του φορέα εκμετάλλευσης·

β) οι απειλές τύπου 2 σχετίζονται με το σύστημα πληροφοριών και το σύστημα πληροφοριών επεξεργάζεται άλλες κατηγορίες προσωπικών δεδομένων των υπαλλήλων του φορέα εκμετάλλευσης ή άλλες κατηγορίες προσωπικών δεδομένων λιγότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή·

γ) οι απειλές τύπου 3 αφορούν το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται ειδικές κατηγορίες προσωπικών δεδομένων των υπαλλήλων του φορέα εκμετάλλευσης ή ειδικές κατηγορίες προσωπικών δεδομένων λιγότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή·

δ) οι απειλές τύπου 3 σχετίζονται με το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται βιομετρικά προσωπικά δεδομένα·

ε) οι απειλές τύπου 3 σχετίζονται με το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται άλλες κατηγορίες προσωπικών δεδομένων περισσότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή.

12. Η ανάγκη διασφάλισης του 4ου επιπέδου ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακό σύστημα διαπιστώνεται εάν συντρέχει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

α) οι απειλές τύπου 3 σχετίζονται με το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται δημόσια δεδομένα προσωπικού χαρακτήρα·

β) οι απειλές τύπου 3 αφορούν το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται άλλες κατηγορίες προσωπικών δεδομένων των υπαλλήλων του φορέα εκμετάλλευσης ή άλλες κατηγορίες προσωπικών δεδομένων λιγότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή.

13. Για τη διασφάλιση του 4ου επιπέδου ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακά συστήματα, πρέπει να πληρούνται οι ακόλουθες απαιτήσεις:

α) οργάνωση καθεστώτος ασφαλείας για τις εγκαταστάσεις στις οποίες βρίσκεται το σύστημα πληροφοριών, αποτρέποντας τη δυνατότητα ανεξέλεγκτη εισόδου ή παραμονής σε αυτούς τους χώρους από άτομα που δεν έχουν πρόσβαση σε αυτούς τους χώρους·

β) διασφάλιση της ασφάλειας των φορέων προσωπικών δεδομένων·

γ) έγκριση από τον επικεφαλής του χειριστή ενός εγγράφου που καθορίζει τον κατάλογο των προσώπων των οποίων η πρόσβαση στα προσωπικά δεδομένα που υποβάλλονται σε επεξεργασία στο σύστημα πληροφοριών είναι απαραίτητη για την εκτέλεση των επίσημων (εργασιακών) καθηκόντων τους·

δ) τη χρήση εργαλείων ασφάλειας πληροφοριών που έχουν περάσει τη διαδικασία αξιολόγησης της συμμόρφωσης με τις απαιτήσεις της νομοθεσίας της Ρωσικής Ομοσπονδίας στον τομέα της ασφάλειας πληροφοριών, σε περιπτώσεις όπου η χρήση τέτοιων μέσων είναι απαραίτητη για την εξουδετέρωση των τρεχουσών απειλών.

14. Για τη διασφάλιση του 3ου επιπέδου ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακά συστήματα, εκτός από την εκπλήρωση των απαιτήσεων που προβλέπονται στην παράγραφο 13 του παρόντος εγγράφου, είναι απαραίτητο να οριστεί ένας υπάλληλος (υπάλληλος) υπεύθυνος για τη διασφάλιση της ασφάλειας προσωπικών δεδομένων στο πληροφοριακό σύστημα.

15. Για τη διασφάλιση του 2ου επιπέδου ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών, εκτός από την εκπλήρωση των απαιτήσεων που προβλέπονται στην παράγραφο 14 του παρόντος εγγράφου, είναι απαραίτητο να είναι δυνατή μόνο η πρόσβαση στα περιεχόμενα του ηλεκτρονικού αρχείου μηνυμάτων για υπαλλήλους (υπαλλήλους) του χειριστή ή εξουσιοδοτημένο πρόσωπο, για το οποίο οι πληροφορίες που περιέχονται στο καθορισμένο ημερολόγιο είναι απαραίτητες για την εκτέλεση επίσημων (εργατικών) καθηκόντων.

16. Για τη διασφάλιση του 1ου επιπέδου ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακά συστήματα, εκτός από τις απαιτήσεις που προβλέπονται στην παράγραφο 15 του παρόντος εγγράφου, πρέπει να πληρούνται και οι ακόλουθες απαιτήσεις:

α) αυτόματη εγγραφή στο ηλεκτρονικό αρχείο καταγραφής ασφαλείας των αλλαγών στις εξουσίες του υπαλλήλου του χειριστή να έχει πρόσβαση σε προσωπικά δεδομένα που περιέχονται στο σύστημα πληροφοριών·

β) τη δημιουργία μιας δομικής μονάδας υπεύθυνης για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων στο σύστημα πληροφοριών ή την ανάθεση λειτουργιών για τη διασφάλιση αυτής της ασφάλειας σε μία από τις δομικές μονάδες.

17. Η παρακολούθηση της συμμόρφωσης με αυτές τις απαιτήσεις οργανώνεται και πραγματοποιείται από τον χειριστή (εξουσιοδοτημένο πρόσωπο) ανεξάρτητα και (ή) με τη συμμετοχή νομικών οντοτήτων και μεμονωμένων επιχειρηματιών σε συμβατική βάση, με άδεια να ασκούν δραστηριότητες για την τεχνική προστασία του απορρήτου πληροφορίες. Ο καθορισμένος έλεγχος πραγματοποιείται τουλάχιστον μία φορά κάθε 3 χρόνια εντός των χρονικών ορίων που καθορίζει ο χειριστής (εξουσιοδοτημένο πρόσωπο).

ΚΥΒΕΡΝΗΣΗ ΤΗΣ ΡΩΣΙΚΗΣ ΟΜΟΣΠΟΝΔΙΑΣ

ΠΕΡΙ ΕΓΚΡΙΣΗΣ ΑΠΑΙΤΗΣΕΩΝ

Σύμφωνα με το άρθρο 19 του ομοσπονδιακού νόμου «Περί δεδομένων προσωπικού χαρακτήρα», η κυβέρνηση της Ρωσικής Ομοσπονδίας αποφασίζει:

1. Έγκριση των συνημμένων απαιτήσεων για την προστασία των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακά συστήματα προσωπικών δεδομένων.

2. Αναγνωρίστε ως άκυρο το Διάταγμα της Κυβέρνησης της Ρωσικής Ομοσπονδίας της 17ης Νοεμβρίου 2007 N 781 «Σχετικά με την έγκριση των κανονισμών για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών προσωπικών δεδομένων» (Collected Legislation of the Russian Federation , 2007, Ν 48, Άρθ. 6001) .

Πρόεδρος της Κυβέρνησης
Ρωσική Ομοσπονδία
D.MEDVEDEV

Εγκρίθηκε
Κυβερνητικό ψήφισμα
Ρωσική Ομοσπονδία
με ημερομηνία 1 Νοεμβρίου 2012 N 1119

ΑΠΑΙΤΗΣΕΙΣ
ΣΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΚΑΤΑ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΤΟΥΣ
ΣΕ ΠΛΗΡΟΦΟΡΙΚΑ ΣΥΣΤΗΜΑΤΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

1. Το παρόν έγγραφο θεσπίζει απαιτήσεις για την προστασία των προσωπικών δεδομένων όταν υποβάλλονται σε επεξεργασία σε συστήματα πληροφοριών προσωπικών δεδομένων (εφεξής καλούμενα συστήματα πληροφοριών) και τα επίπεδα ασφάλειας των δεδομένων αυτών.

2. Η ασφάλεια των προσωπικών δεδομένων κατά την επεξεργασία στο σύστημα πληροφοριών διασφαλίζεται με τη χρήση συστήματος προστασίας προσωπικών δεδομένων που εξουδετερώνει τις τρέχουσες απειλές που εντοπίζονται σύμφωνα με το Μέρος 5 του Άρθρου 19 του Ομοσπονδιακού Νόμου «Περί Προσωπικών Δεδομένων».

Το σύστημα προστασίας προσωπικών δεδομένων περιλαμβάνει οργανωτικά και (ή) τεχνικά μέτρα που καθορίζονται λαμβάνοντας υπόψη τις τρέχουσες απειλές για την ασφάλεια των προσωπικών δεδομένων και των τεχνολογιών πληροφοριών που χρησιμοποιούνται στα συστήματα πληροφοριών.

3. Η ασφάλεια των προσωπικών δεδομένων όταν υποβάλλονται σε επεξεργασία σε ένα σύστημα πληροφοριών διασφαλίζεται από τον διαχειριστή αυτού του συστήματος, ο οποίος επεξεργάζεται προσωπικά δεδομένα (εφεξής καλούμενος χειριστής) ή από το πρόσωπο που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του φορέα εκμετάλλευσης βάσει συμφωνίας που έχει συναφθεί με αυτό το πρόσωπο (εφεξής το εξουσιοδοτημένο πρόσωπο). Η συμφωνία μεταξύ του χειριστή και του εξουσιοδοτημένου προσώπου πρέπει να προβλέπει την υποχρέωση του εξουσιοδοτημένου προσώπου να διασφαλίζει την ασφάλεια των προσωπικών δεδομένων όταν υποβάλλονται σε επεξεργασία στο σύστημα πληροφοριών.

4. Η επιλογή των μέσων ασφάλειας πληροφοριών για το σύστημα προστασίας προσωπικών δεδομένων πραγματοποιείται από τον χειριστή σύμφωνα με κανονιστικές νομικές πράξεις που έχουν εγκριθεί από την Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσικής Ομοσπονδίας και την Ομοσπονδιακή Υπηρεσία Τεχνικού και Ελέγχου Εξαγωγών σύμφωνα με το Μέρος 4 του άρθρου 19 του ομοσπονδιακού νόμου "Περί Προσωπικών Δεδομένων".

5. Πληροφοριακό σύστημα είναι ένα πληροφοριακό σύστημα που επεξεργάζεται ειδικές κατηγορίες προσωπικών δεδομένων εάν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα που σχετίζονται με φυλή, εθνικότητα, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, κατάσταση υγείας, οικεία ζωή των υποκειμένων των προσωπικών δεδομένων.

Ένα πληροφοριακό σύστημα είναι ένα σύστημα πληροφοριών που επεξεργάζεται βιομετρικά δεδομένα προσωπικού χαρακτήρα, εάν επεξεργάζεται πληροφορίες που χαρακτηρίζουν τα φυσιολογικά και βιολογικά χαρακτηριστικά ενός ατόμου, βάσει των οποίων μπορεί κανείς να προσδιορίσει την ταυτότητά του και το οποίο χρησιμοποιείται από τον χειριστή για την εξακρίβωση της ταυτότητας του αντικείμενο προσωπικών δεδομένων, και δεν επεξεργάζεται πληροφορίες που σχετίζονται με ειδικές κατηγορίες προσωπικών δεδομένων.

Ένα πληροφοριακό σύστημα είναι ένα σύστημα πληροφοριών που επεξεργάζεται δημόσια διαθέσιμα προσωπικά δεδομένα εάν επεξεργάζεται προσωπικά δεδομένα υποκειμένων προσωπικών δεδομένων που λαμβάνονται μόνο από διαθέσιμες στο κοινό πηγές προσωπικών δεδομένων που δημιουργήθηκαν σύμφωνα με το άρθρο 8 του Ομοσπονδιακού Νόμου «Περί Προσωπικών Δεδομένων».

Πληροφοριακό σύστημα είναι ένα πληροφοριακό σύστημα που επεξεργάζεται άλλες κατηγορίες προσωπικών δεδομένων, εάν δεν επεξεργάζεται τα προσωπικά δεδομένα που ορίζονται στις παραγράφους 1 έως 3 της παρούσας παραγράφου.

Ένα πληροφοριακό σύστημα είναι ένα πληροφοριακό σύστημα που επεξεργάζεται προσωπικά δεδομένα των υπαλλήλων του χειριστή εάν επεξεργάζεται μόνο τα προσωπικά δεδομένα συγκεκριμένων υπαλλήλων. Σε άλλες περιπτώσεις, το σύστημα πληροφοριών προσωπικών δεδομένων είναι ένα σύστημα πληροφοριών που επεξεργάζεται προσωπικά δεδομένα υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή.

6. Οι τρέχουσες απειλές για την ασφάλεια των προσωπικών δεδομένων νοούνται ως ένα σύνολο συνθηκών και παραγόντων που δημιουργούν τον τρέχοντα κίνδυνο μη εξουσιοδοτημένης, συμπεριλαμβανομένης της τυχαίας, πρόσβασης σε προσωπικά δεδομένα κατά την επεξεργασία τους σε ένα σύστημα πληροφοριών, η οποία μπορεί να οδηγήσει σε καταστροφή, τροποποίηση, αποκλεισμός, αντιγραφή, παροχή, διανομή προσωπικών δεδομένων, καθώς και άλλες παράνομες ενέργειες.

Οι απειλές του 1ου τύπου είναι σχετικές για ένα σύστημα πληροφοριών εάν οι απειλές που σχετίζονται με την παρουσία μη τεκμηριωμένων (μη δηλωμένων) δυνατοτήτων στο λογισμικό συστήματος που χρησιμοποιείται στο σύστημα πληροφοριών είναι επίσης σχετικές με αυτό.

Οι απειλές του 2ου τύπου είναι σχετικές για ένα πληροφοριακό σύστημα εάν οι απειλές που σχετίζονται με την παρουσία μη τεκμηριωμένων (μη δηλωμένων) δυνατοτήτων στο λογισμικό εφαρμογής που χρησιμοποιείται στο σύστημα πληροφοριών είναι επίσης σχετικές με αυτό.

Οι απειλές τύπου 3 σχετίζονται με ένα πληροφοριακό σύστημα εάν οι απειλές που δεν σχετίζονται με την παρουσία μη τεκμηριωμένων (μη δηλωμένων) δυνατοτήτων στο σύστημα και το λογισμικό εφαρμογής που χρησιμοποιείται στο σύστημα πληροφοριών σχετίζονται με αυτό.

7. Ο προσδιορισμός του είδους των απειλών για την ασφάλεια των δεδομένων προσωπικού χαρακτήρα που σχετίζονται με το σύστημα πληροφοριών γίνεται από τον χειριστή λαμβάνοντας υπόψη την εκτίμηση πιθανής βλάβης που πραγματοποιείται σύμφωνα με την παράγραφο 5 του μέρους 1 του άρθρου 18.1 του ομοσπονδιακού νόμου ". Σχετικά με τα Προσωπικά Δεδομένα», και σύμφωνα με τις κανονιστικές νομικές πράξεις που εκδόθηκαν σύμφωνα με το Μέρος 5 του άρθρου 19 του Ομοσπονδιακού Νόμου «Περί Προσωπικών Δεδομένων».

8. Κατά την επεξεργασία προσωπικών δεδομένων σε πληροφοριακά συστήματα καθορίζονται 4 επίπεδα ασφάλειας προσωπικών δεδομένων.

9. Η ανάγκη διασφάλισης του 1ου επιπέδου ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους στο πληροφοριακό σύστημα διαπιστώνεται εφόσον συντρέχει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

α) οι απειλές τύπου 1 σχετίζονται με το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται είτε ειδικές κατηγορίες προσωπικών δεδομένων είτε βιομετρικά προσωπικά δεδομένα είτε άλλες κατηγορίες προσωπικών δεδομένων·

β) οι απειλές τύπου 2 σχετίζονται με το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται ειδικές κατηγορίες προσωπικών δεδομένων περισσότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή.

10. Η ανάγκη διασφάλισης του 2ου επιπέδου ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους στο πληροφοριακό σύστημα διαπιστώνεται εάν συντρέχει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

α) οι απειλές τύπου 1 σχετίζονται με το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται δημόσια δεδομένα προσωπικού χαρακτήρα·

β) οι απειλές τύπου 2 σχετίζονται με το σύστημα πληροφοριών και το σύστημα πληροφοριών επεξεργάζεται ειδικές κατηγορίες προσωπικών δεδομένων των υπαλλήλων του φορέα εκμετάλλευσης ή ειδικές κατηγορίες προσωπικών δεδομένων λιγότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή·

γ) οι απειλές τύπου 2 σχετίζονται με το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται βιομετρικά προσωπικά δεδομένα·

δ) οι απειλές τύπου 2 σχετίζονται με το σύστημα πληροφοριών και το σύστημα πληροφοριών επεξεργάζεται δημόσια διαθέσιμα προσωπικά δεδομένα περισσότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή·

ε) οι απειλές τύπου 2 σχετίζονται με το σύστημα πληροφοριών και το σύστημα πληροφοριών επεξεργάζεται άλλες κατηγορίες προσωπικών δεδομένων περισσότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή·

στ) οι απειλές τύπου 3 σχετίζονται με το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται ειδικές κατηγορίες προσωπικών δεδομένων περισσότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή.

11. Η ανάγκη διασφάλισης του 3ου επιπέδου ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους στο πληροφοριακό σύστημα διαπιστώνεται εφόσον συντρέχει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

α) οι απειλές τύπου 2 σχετίζονται με το σύστημα πληροφοριών και το σύστημα πληροφοριών επεξεργάζεται δημόσια διαθέσιμα προσωπικά δεδομένα των υπαλλήλων του φορέα εκμετάλλευσης ή δημόσια διαθέσιμα προσωπικά δεδομένα λιγότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του φορέα εκμετάλλευσης·

β) οι απειλές τύπου 2 σχετίζονται με το σύστημα πληροφοριών και το σύστημα πληροφοριών επεξεργάζεται άλλες κατηγορίες προσωπικών δεδομένων των υπαλλήλων του φορέα εκμετάλλευσης ή άλλες κατηγορίες προσωπικών δεδομένων λιγότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή·

γ) οι απειλές τύπου 3 αφορούν το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται ειδικές κατηγορίες προσωπικών δεδομένων των υπαλλήλων του φορέα εκμετάλλευσης ή ειδικές κατηγορίες προσωπικών δεδομένων λιγότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή·

δ) οι απειλές τύπου 3 σχετίζονται με το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται βιομετρικά προσωπικά δεδομένα·

ε) οι απειλές τύπου 3 σχετίζονται με το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται άλλες κατηγορίες προσωπικών δεδομένων περισσότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή.

12. Η ανάγκη διασφάλισης του 4ου επιπέδου ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακό σύστημα διαπιστώνεται εάν συντρέχει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

α) οι απειλές τύπου 3 σχετίζονται με το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται δημόσια δεδομένα προσωπικού χαρακτήρα·

β) οι απειλές τύπου 3 αφορούν το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται άλλες κατηγορίες προσωπικών δεδομένων των υπαλλήλων του φορέα εκμετάλλευσης ή άλλες κατηγορίες προσωπικών δεδομένων λιγότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή.

13. Για τη διασφάλιση του 4ου επιπέδου ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακά συστήματα, πρέπει να πληρούνται οι ακόλουθες απαιτήσεις:

α) οργάνωση καθεστώτος ασφαλείας για τις εγκαταστάσεις στις οποίες βρίσκεται το σύστημα πληροφοριών, αποτρέποντας τη δυνατότητα ανεξέλεγκτη εισόδου ή παραμονής σε αυτούς τους χώρους από άτομα που δεν έχουν πρόσβαση σε αυτούς τους χώρους·

β) διασφάλιση της ασφάλειας των φορέων προσωπικών δεδομένων·

γ) έγκριση από τον επικεφαλής του χειριστή ενός εγγράφου που καθορίζει τον κατάλογο των προσώπων των οποίων η πρόσβαση στα προσωπικά δεδομένα που υποβάλλονται σε επεξεργασία στο σύστημα πληροφοριών είναι απαραίτητη για την εκτέλεση των επίσημων (εργασιακών) καθηκόντων τους·

δ) τη χρήση εργαλείων ασφάλειας πληροφοριών που έχουν περάσει τη διαδικασία αξιολόγησης της συμμόρφωσης με τις απαιτήσεις της νομοθεσίας της Ρωσικής Ομοσπονδίας στον τομέα της ασφάλειας πληροφοριών, σε περιπτώσεις όπου η χρήση τέτοιων μέσων είναι απαραίτητη για την εξουδετέρωση των τρεχουσών απειλών.

14. Για τη διασφάλιση του 3ου επιπέδου ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακά συστήματα, εκτός από την εκπλήρωση των απαιτήσεων που προβλέπονται στην παράγραφο 13 του παρόντος εγγράφου, είναι απαραίτητο να οριστεί ένας υπάλληλος (υπάλληλος) υπεύθυνος για τη διασφάλιση της ασφάλειας προσωπικών δεδομένων στο πληροφοριακό σύστημα.

15. Για τη διασφάλιση του 2ου επιπέδου ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών, εκτός από την εκπλήρωση των απαιτήσεων που προβλέπονται στην παράγραφο 14 του παρόντος εγγράφου, είναι απαραίτητο να είναι δυνατή μόνο η πρόσβαση στα περιεχόμενα του ηλεκτρονικού αρχείου μηνυμάτων για υπαλλήλους (υπαλλήλους) του χειριστή ή εξουσιοδοτημένο πρόσωπο, για το οποίο οι πληροφορίες που περιέχονται στο καθορισμένο ημερολόγιο είναι απαραίτητες για την εκτέλεση επίσημων (εργατικών) καθηκόντων.

16. Για τη διασφάλιση του 1ου επιπέδου ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακά συστήματα, εκτός από τις απαιτήσεις που προβλέπονται στην παράγραφο 15 του παρόντος εγγράφου, πρέπει να πληρούνται και οι ακόλουθες απαιτήσεις:

α) αυτόματη εγγραφή στο ηλεκτρονικό αρχείο καταγραφής ασφαλείας των αλλαγών στις εξουσίες του υπαλλήλου του χειριστή να έχει πρόσβαση σε προσωπικά δεδομένα που περιέχονται στο σύστημα πληροφοριών·

β) τη δημιουργία μιας δομικής μονάδας υπεύθυνης για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων στο σύστημα πληροφοριών ή την ανάθεση λειτουργιών για τη διασφάλιση αυτής της ασφάλειας σε μία από τις δομικές μονάδες.

17. Η παρακολούθηση της συμμόρφωσης με αυτές τις απαιτήσεις οργανώνεται και πραγματοποιείται από τον χειριστή (εξουσιοδοτημένο πρόσωπο) ανεξάρτητα και (ή) με τη συμμετοχή νομικών οντοτήτων και μεμονωμένων επιχειρηματιών σε συμβατική βάση, με άδεια να ασκούν δραστηριότητες για την τεχνική προστασία του απορρήτου πληροφορίες. Ο καθορισμένος έλεγχος πραγματοποιείται τουλάχιστον μία φορά κάθε 3 χρόνια εντός των χρονικών ορίων που καθορίζει ο χειριστής (εξουσιοδοτημένο πρόσωπο).

ΚΥΒΕΡΝΗΣΗ ΤΗΣ ΡΩΣΙΚΗΣ ΟΜΟΣΠΟΝΔΙΑΣ

ΑΝΑΛΥΣΗ

Περί έγκρισης απαιτήσεων για την προστασία των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακά συστήματα προσωπικών δεδομένων

Σύμφωνα με το άρθρο 19 του ομοσπονδιακού νόμου "Περί Προσωπικών Δεδομένων", η κυβέρνηση της Ρωσικής Ομοσπονδίας

αποφασίζει:

1. Έγκριση των συνημμένων απαιτήσεων για την προστασία των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακά συστήματα προσωπικών δεδομένων.

2. Αναγνωρίστε ως άκυρο το Διάταγμα της Κυβέρνησης της Ρωσικής Ομοσπονδίας της 17ης Νοεμβρίου 2007 N 781 «Σχετικά με την έγκριση των κανονισμών για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών προσωπικών δεδομένων» (Collected Legislation of the Russian Federation , 2007, Ν 48, Άρθ. 6001).

Πρόεδρος της Κυβέρνησης
Ρωσική Ομοσπονδία
Ντ.Μεντβέντεφ

Απαιτήσεις για την προστασία των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακά συστήματα προσωπικών δεδομένων

ΕΓΚΕΚΡΙΜΕΝΟ
Κυβερνητικό ψήφισμα
Ρωσική Ομοσπονδία
με ημερομηνία 1 Νοεμβρίου 2012 N 1119

1. Το παρόν έγγραφο θεσπίζει απαιτήσεις για την προστασία των προσωπικών δεδομένων όταν υποβάλλονται σε επεξεργασία σε συστήματα πληροφοριών προσωπικών δεδομένων (εφεξής καλούμενα συστήματα πληροφοριών) και τα επίπεδα ασφάλειας των δεδομένων αυτών.

2. Η ασφάλεια των προσωπικών δεδομένων κατά την επεξεργασία στο σύστημα πληροφοριών διασφαλίζεται με τη χρήση συστήματος προστασίας προσωπικών δεδομένων που εξουδετερώνει τις τρέχουσες απειλές που εντοπίζονται σύμφωνα με το Μέρος 5 του Άρθρου 19 του Ομοσπονδιακού Νόμου «Περί Προσωπικών Δεδομένων».

Το σύστημα προστασίας προσωπικών δεδομένων περιλαμβάνει οργανωτικά και (ή) τεχνικά μέτρα που καθορίζονται λαμβάνοντας υπόψη τις τρέχουσες απειλές για την ασφάλεια των προσωπικών δεδομένων και των τεχνολογιών πληροφοριών που χρησιμοποιούνται στα συστήματα πληροφοριών.

3. Η ασφάλεια των προσωπικών δεδομένων όταν υποβάλλονται σε επεξεργασία σε ένα σύστημα πληροφοριών διασφαλίζεται από τον διαχειριστή αυτού του συστήματος, ο οποίος επεξεργάζεται προσωπικά δεδομένα (εφεξής καλούμενος χειριστής) ή από το πρόσωπο που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του φορέα εκμετάλλευσης βάσει συμφωνίας που έχει συναφθεί με αυτό το πρόσωπο (εφεξής το εξουσιοδοτημένο πρόσωπο). Η συμφωνία μεταξύ του χειριστή και του εξουσιοδοτημένου προσώπου πρέπει να προβλέπει την υποχρέωση του εξουσιοδοτημένου προσώπου να διασφαλίζει την ασφάλεια των προσωπικών δεδομένων όταν υποβάλλονται σε επεξεργασία στο σύστημα πληροφοριών.

4. Η επιλογή των μέσων ασφάλειας πληροφοριών για το σύστημα προστασίας προσωπικών δεδομένων πραγματοποιείται από τον χειριστή σύμφωνα με κανονιστικές νομικές πράξεις που έχουν εγκριθεί από την Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσικής Ομοσπονδίας και την Ομοσπονδιακή Υπηρεσία Τεχνικού και Ελέγχου Εξαγωγών σύμφωνα με το Μέρος 4 του άρθρου 19 του ομοσπονδιακού νόμου "Περί Προσωπικών Δεδομένων".

5. Πληροφοριακό σύστημα είναι ένα πληροφοριακό σύστημα που επεξεργάζεται ειδικές κατηγορίες προσωπικών δεδομένων εάν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα που σχετίζονται με φυλή, εθνικότητα, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, κατάσταση υγείας, οικεία ζωή των υποκειμένων των προσωπικών δεδομένων.

Ένα πληροφοριακό σύστημα είναι ένα σύστημα πληροφοριών που επεξεργάζεται βιομετρικά δεδομένα προσωπικού χαρακτήρα, εάν επεξεργάζεται πληροφορίες που χαρακτηρίζουν τα φυσιολογικά και βιολογικά χαρακτηριστικά ενός ατόμου, βάσει των οποίων μπορεί κανείς να προσδιορίσει την ταυτότητά του και το οποίο χρησιμοποιείται από τον χειριστή για την εξακρίβωση της ταυτότητας του αντικείμενο προσωπικών δεδομένων, και δεν επεξεργάζεται πληροφορίες που σχετίζονται με ειδικές κατηγορίες προσωπικών δεδομένων.

Ένα πληροφοριακό σύστημα είναι ένα σύστημα πληροφοριών που επεξεργάζεται δημόσια διαθέσιμα προσωπικά δεδομένα εάν επεξεργάζεται προσωπικά δεδομένα υποκειμένων προσωπικών δεδομένων που λαμβάνονται μόνο από διαθέσιμες στο κοινό πηγές προσωπικών δεδομένων που δημιουργήθηκαν σύμφωνα με το άρθρο 8 του Ομοσπονδιακού Νόμου "Περί Προσωπικών Δεδομένων".

Πληροφοριακό σύστημα είναι το πληροφοριακό σύστημα που επεξεργάζεται άλλες κατηγορίες προσωπικών δεδομένων, εάν δεν επεξεργάζεται τα προσωπικά δεδομένα που ορίζονται στις παραγράφους 1 έως 3 της παρούσας παραγράφου.

Ένα πληροφοριακό σύστημα είναι ένα πληροφοριακό σύστημα που επεξεργάζεται προσωπικά δεδομένα των υπαλλήλων του χειριστή εάν επεξεργάζεται μόνο τα προσωπικά δεδομένα συγκεκριμένων υπαλλήλων. Σε άλλες περιπτώσεις, το σύστημα πληροφοριών προσωπικών δεδομένων είναι ένα σύστημα πληροφοριών που επεξεργάζεται προσωπικά δεδομένα υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή.

6. Οι τρέχουσες απειλές για την ασφάλεια των προσωπικών δεδομένων νοούνται ως ένα σύνολο συνθηκών και παραγόντων που δημιουργούν τον τρέχοντα κίνδυνο μη εξουσιοδοτημένης, συμπεριλαμβανομένης της τυχαίας, πρόσβασης σε προσωπικά δεδομένα κατά την επεξεργασία τους σε ένα σύστημα πληροφοριών, η οποία μπορεί να οδηγήσει σε καταστροφή, τροποποίηση, αποκλεισμός, αντιγραφή, παροχή, διανομή προσωπικών δεδομένων, καθώς και άλλες παράνομες ενέργειες.

Οι απειλές του 1ου τύπου είναι σχετικές για ένα σύστημα πληροφοριών εάν οι απειλές που σχετίζονται με την παρουσία μη τεκμηριωμένων (μη δηλωμένων) δυνατοτήτων στο λογισμικό συστήματος που χρησιμοποιείται στο σύστημα πληροφοριών είναι επίσης σχετικές με αυτό.

Οι απειλές του 2ου τύπου είναι σχετικές για ένα πληροφοριακό σύστημα εάν οι απειλές που σχετίζονται με την παρουσία μη τεκμηριωμένων (μη δηλωμένων) δυνατοτήτων στο λογισμικό εφαρμογής που χρησιμοποιείται στο σύστημα πληροφοριών είναι επίσης σχετικές με αυτό.

Οι απειλές τύπου 3 σχετίζονται με ένα πληροφοριακό σύστημα εάν οι απειλές που δεν σχετίζονται με την παρουσία μη τεκμηριωμένων (μη δηλωμένων) δυνατοτήτων στο σύστημα και το λογισμικό εφαρμογής που χρησιμοποιείται στο σύστημα πληροφοριών σχετίζονται με αυτό.

7. Ο προσδιορισμός του είδους των απειλών για την ασφάλεια των προσωπικών δεδομένων που σχετίζονται με το σύστημα πληροφοριών γίνεται από τον χειριστή λαμβάνοντας υπόψη την εκτίμηση πιθανής βλάβης που πραγματοποιείται σύμφωνα με την παράγραφο 5 του μέρους 1 του άρθρου 18_1 του ομοσπονδιακού νόμου " Σχετικά με τα Προσωπικά Δεδομένα», και σύμφωνα με τις κανονιστικές νομικές πράξεις που εκδόθηκαν σύμφωνα με το Μέρος 5 του άρθρου 19 του Ομοσπονδιακού Νόμου «Περί Προσωπικών Δεδομένων».

8. Κατά την επεξεργασία προσωπικών δεδομένων σε πληροφοριακά συστήματα καθορίζονται 4 επίπεδα ασφάλειας προσωπικών δεδομένων.

9. Η ανάγκη διασφάλισης του 1ου επιπέδου ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους στο πληροφοριακό σύστημα διαπιστώνεται εφόσον συντρέχει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

α) οι απειλές τύπου 1 σχετίζονται με το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται είτε ειδικές κατηγορίες προσωπικών δεδομένων είτε βιομετρικά προσωπικά δεδομένα είτε άλλες κατηγορίες προσωπικών δεδομένων·

β) οι απειλές τύπου 2 σχετίζονται με το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται ειδικές κατηγορίες προσωπικών δεδομένων περισσότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή.

10. Η ανάγκη διασφάλισης του 2ου επιπέδου ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους στο πληροφοριακό σύστημα διαπιστώνεται εάν συντρέχει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

α) οι απειλές τύπου 1 σχετίζονται με το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται δημόσια δεδομένα προσωπικού χαρακτήρα·

β) οι απειλές τύπου 2 σχετίζονται με το σύστημα πληροφοριών και το σύστημα πληροφοριών επεξεργάζεται ειδικές κατηγορίες προσωπικών δεδομένων των υπαλλήλων του φορέα εκμετάλλευσης ή ειδικές κατηγορίες προσωπικών δεδομένων λιγότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή·

γ) οι απειλές τύπου 2 σχετίζονται με το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται βιομετρικά προσωπικά δεδομένα·

δ) οι απειλές τύπου 2 σχετίζονται με το σύστημα πληροφοριών και το σύστημα πληροφοριών επεξεργάζεται δημόσια διαθέσιμα προσωπικά δεδομένα περισσότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή·

ε) οι απειλές τύπου 2 σχετίζονται με το σύστημα πληροφοριών και το σύστημα πληροφοριών επεξεργάζεται άλλες κατηγορίες προσωπικών δεδομένων περισσότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή·

στ) οι απειλές τύπου 3 σχετίζονται με το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται ειδικές κατηγορίες προσωπικών δεδομένων περισσότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή.

11. Η ανάγκη διασφάλισης του 3ου επιπέδου ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους στο πληροφοριακό σύστημα διαπιστώνεται εφόσον συντρέχει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

α) οι απειλές τύπου 2 σχετίζονται με το σύστημα πληροφοριών και το σύστημα πληροφοριών επεξεργάζεται δημόσια διαθέσιμα προσωπικά δεδομένα των υπαλλήλων του φορέα εκμετάλλευσης ή δημόσια διαθέσιμα προσωπικά δεδομένα λιγότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του φορέα εκμετάλλευσης·

β) οι απειλές τύπου 2 σχετίζονται με το σύστημα πληροφοριών και το σύστημα πληροφοριών επεξεργάζεται άλλες κατηγορίες προσωπικών δεδομένων των υπαλλήλων του φορέα εκμετάλλευσης ή άλλες κατηγορίες προσωπικών δεδομένων λιγότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή·

γ) οι απειλές τύπου 3 αφορούν το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται ειδικές κατηγορίες προσωπικών δεδομένων των υπαλλήλων του φορέα εκμετάλλευσης ή ειδικές κατηγορίες προσωπικών δεδομένων λιγότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή·

δ) οι απειλές τύπου 3 σχετίζονται με το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται βιομετρικά προσωπικά δεδομένα·

ε) οι απειλές τύπου 3 σχετίζονται με το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται άλλες κατηγορίες προσωπικών δεδομένων περισσότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή.

12. Η ανάγκη διασφάλισης του 4ου επιπέδου ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακό σύστημα διαπιστώνεται εάν συντρέχει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

α) οι απειλές τύπου 3 σχετίζονται με το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται δημόσια δεδομένα προσωπικού χαρακτήρα·

β) οι απειλές τύπου 3 αφορούν το σύστημα πληροφοριών και το πληροφοριακό σύστημα επεξεργάζεται άλλες κατηγορίες προσωπικών δεδομένων των υπαλλήλων του φορέα εκμετάλλευσης ή άλλες κατηγορίες προσωπικών δεδομένων λιγότερων από 100.000 υποκειμένων προσωπικών δεδομένων που δεν είναι υπάλληλοι του χειριστή.

13. Για τη διασφάλιση του 4ου επιπέδου ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακά συστήματα, πρέπει να πληρούνται οι ακόλουθες απαιτήσεις:

α) οργάνωση καθεστώτος ασφαλείας για τις εγκαταστάσεις στις οποίες βρίσκεται το σύστημα πληροφοριών, αποτρέποντας τη δυνατότητα ανεξέλεγκτη εισόδου ή παραμονής σε αυτούς τους χώρους από άτομα που δεν έχουν πρόσβαση σε αυτούς τους χώρους·

β) διασφάλιση της ασφάλειας των φορέων προσωπικών δεδομένων·

γ) έγκριση από τον επικεφαλής του χειριστή ενός εγγράφου που καθορίζει τον κατάλογο των προσώπων των οποίων η πρόσβαση στα προσωπικά δεδομένα που υποβάλλονται σε επεξεργασία στο σύστημα πληροφοριών είναι απαραίτητη για την εκτέλεση των επίσημων (εργασιακών) καθηκόντων τους·

δ) τη χρήση εργαλείων ασφάλειας πληροφοριών που έχουν περάσει τη διαδικασία αξιολόγησης της συμμόρφωσης με τις απαιτήσεις της νομοθεσίας της Ρωσικής Ομοσπονδίας στον τομέα της ασφάλειας πληροφοριών, σε περιπτώσεις όπου η χρήση τέτοιων μέσων είναι απαραίτητη για την εξουδετέρωση των τρεχουσών απειλών.

14. Για τη διασφάλιση του 3ου επιπέδου ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακά συστήματα, εκτός από την εκπλήρωση των απαιτήσεων που προβλέπονται στην παράγραφο 13 του παρόντος εγγράφου, είναι απαραίτητο να οριστεί ένας υπάλληλος (υπάλληλος) υπεύθυνος για τη διασφάλιση της ασφάλειας προσωπικών δεδομένων στο πληροφοριακό σύστημα.

15. Για τη διασφάλιση του 2ου επιπέδου ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών, εκτός από την εκπλήρωση των απαιτήσεων που προβλέπονται στην παράγραφο 14 του παρόντος εγγράφου, είναι απαραίτητο να είναι δυνατή μόνο η πρόσβαση στα περιεχόμενα του ηλεκτρονικού αρχείου μηνυμάτων για υπαλλήλους (υπαλλήλους) του χειριστή ή εξουσιοδοτημένο πρόσωπο, για το οποίο οι πληροφορίες που περιέχονται στο καθορισμένο ημερολόγιο είναι απαραίτητες για την εκτέλεση επίσημων (εργατικών) καθηκόντων.

16. Για τη διασφάλιση του 1ου επιπέδου ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακά συστήματα, εκτός από τις απαιτήσεις που προβλέπονται στην παράγραφο 15 του παρόντος εγγράφου, πρέπει να πληρούνται και οι ακόλουθες απαιτήσεις:

α) αυτόματη εγγραφή στο ηλεκτρονικό αρχείο καταγραφής ασφαλείας των αλλαγών στις εξουσίες του υπαλλήλου του χειριστή να έχει πρόσβαση σε προσωπικά δεδομένα που περιέχονται στο σύστημα πληροφοριών·

β) τη δημιουργία μιας δομικής μονάδας υπεύθυνης για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων στο σύστημα πληροφοριών ή την ανάθεση λειτουργιών για τη διασφάλιση αυτής της ασφάλειας σε μία από τις δομικές μονάδες.

17. Η παρακολούθηση της συμμόρφωσης με αυτές τις απαιτήσεις οργανώνεται και πραγματοποιείται από τον χειριστή (εξουσιοδοτημένο πρόσωπο) ανεξάρτητα και (ή) με τη συμμετοχή νομικών οντοτήτων και μεμονωμένων επιχειρηματιών σε συμβατική βάση, με άδεια να ασκούν δραστηριότητες για την τεχνική προστασία του απορρήτου πληροφορίες. Ο καθορισμένος έλεγχος πραγματοποιείται τουλάχιστον μία φορά κάθε 3 χρόνια εντός των χρονικών ορίων που καθορίζει ο χειριστής (εξουσιοδοτημένο πρόσωπο).

Κείμενο ηλεκτρονικού εγγράφου
συντάχθηκε από την Kodeks JSC και επαληθεύτηκε κατά.



Σχετικές δημοσιεύσεις