घर वसूली

व्यक्तिगत डेटा सूचना प्रणालियों में प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा के लिए आवश्यकताओं के अनुमोदन पर संकल्प - रोसिय्स्काया गज़ेटा। सरकारी डिक्री 1119 की कक्षाओं के बजाय व्यक्तिगत डेटा की सुरक्षा के स्तर

1 नवंबर, 2012 के रूसी संघ संख्या 1119 की सरकार के डिक्री ने व्यक्तिगत डेटा सूचना प्रणालियों की कक्षाओं को दफन कर दिया जो पहले से ही सभी के लिए परिचित हो गए थे।

कक्षाओं के स्थान पर, नए संकल्प के अनुसार, सूचना प्रणालियों में प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा के चार स्तर और उनमें से प्रत्येक के लिए आवश्यकताएं स्थापित की जाती हैं। सुरक्षा के एक विशेष स्तर पर सूचना प्रणालियों का असाइनमेंट व्यक्तिगत डेटा के प्रकार के आधार पर किया जाता है जिसे सूचना प्रणाली संसाधित करती है, वर्तमान खतरों का प्रकार, सूचना प्रणाली द्वारा संसाधित व्यक्तिगत डेटा विषयों की संख्या और किसका व्यक्तिगत डेटा आकस्मिक कार्रवाई की जाती है.

व्यक्तिगत डेटा सूचना प्रणाली (पीडीआईएस), संकल्प संख्या 1119 के अनुच्छेद 5 के अनुसार, 4 समूहों में विभाजित हैं:

विशेष आईएसपीडी
यदि आईएसपीडी व्यक्तिगत डेटा के विषयों की नस्ल, राष्ट्रीयता, राजनीतिक विचार, धार्मिक या दार्शनिक विश्वास, स्वास्थ्य स्थिति, अंतरंग जीवन से संबंधित व्यक्तिगत डेटा संसाधित करता है;
बायोमेट्रिक आईएसपीडी
यदि आईएसपीडी किसी व्यक्ति की शारीरिक और जैविक विशेषताओं को दर्शाने वाली जानकारी संसाधित करता है, जिसके आधार पर उसकी पहचान स्थापित की जा सकती है और जिसका उपयोग ऑपरेटर द्वारा व्यक्तिगत डेटा के विषय की पहचान स्थापित करने और विशेष श्रेणियों से संबंधित जानकारी के लिए किया जाता है। व्यक्तिगत डेटा का प्रसंस्करण नहीं किया जाता है;
सार्वजनिक आईएसपीडी
यदि आईएसपीडी संघीय कानून "व्यक्तिगत डेटा पर" के अनुच्छेद 8 के अनुसार बनाए गए व्यक्तिगत डेटा के सार्वजनिक रूप से उपलब्ध स्रोतों से प्राप्त व्यक्तिगत डेटा के विषयों के व्यक्तिगत डेटा को संसाधित करता है;
अन्य आईएसपीडीएन
यदि आईएसपीडी उन व्यक्तिगत डेटा विषयों के व्यक्तिगत डेटा को संसाधित करता है जो पिछले तीन समूहों में प्रतिनिधित्व नहीं करते हैं।

आपके संगठन और विषयों के बीच संबंध के स्वरूप के आधार पर, प्रसंस्करण को 2 प्रकारों में विभाजित किया गया है:

कर्मचारियों के व्यक्तिगत डेटा का प्रसंस्करण (ऐसी संस्थाएँ जिनके साथ आपके संगठन के श्रमिक संबंध हैं);
उन विषयों के व्यक्तिगत डेटा का प्रसंस्करण जो आपके संगठन के कर्मचारी नहीं हैं।

उन विषयों की संख्या के आधार पर जिनका व्यक्तिगत डेटा संसाधित किया जाता है, संकल्प संख्या 1119 केवल 2 श्रेणियों को परिभाषित करता है:

100,000 से कम विषय;
100,000 से अधिक विषय;

और अंत में, वर्तमान खतरों के प्रकार:

टाइप 1 खतरे आईएसपीडी में प्रयुक्त सिस्टम सॉफ्टवेयर में अघोषित (अप्रलेखित) क्षमताओं की उपस्थिति से जुड़े हैं;
टाइप 2 खतरे आईएसपीडी में उपयोग किए जाने वाले एप्लिकेशन सॉफ़्टवेयर में अघोषित क्षमताओं की उपस्थिति से जुड़े हैं;
टाइप 3 खतरे आईएसपीडी में उपयोग किए गए सॉफ़्टवेयर में अघोषित क्षमताओं की उपस्थिति से जुड़े नहीं हैं।

वर्तमान खतरों के प्रकार का निर्धारण कैसे किया जाए, इस पर कोई विनियमन नहीं है। पीपी-1119 की आवश्यकताएं उनके निराकरण के लिए कोई तरीका या तरीका प्रदान नहीं करती हैं। यदि पहले ऑपरेटर किसी तालिका के आधार पर एक मानक आईएसपीडी को वर्गीकृत करना चुन सकता था या खतरे के मॉडल के परिणामों के आधार पर एक विशेष आईएसपीडी को वर्गीकृत कर सकता था, तो अब कोई विकल्प नहीं है। सुरक्षा का स्तर हमेशा खतरों की प्रासंगिकता के आधार पर निर्धारित किया जाता है। ऑपरेटर द्वारा उन्हें स्वयं निर्धारित करने में सक्षम होने की संभावना नहीं है - उसे किसी उच्च संगठन या सलाहकार से संपर्क करना होगा। सबसे आसान तरीका है कम से कम प्रतिरोध का रास्ता अपनाना, यानी। टाइप 3 के मौजूदा खतरे का प्रकार निर्धारित करें, और सिस्टम और एप्लिकेशन सॉफ़्टवेयर में अघोषित (अप्रलेखित) क्षमताओं के बारे में भूल जाएं, लेकिन इसे उचित ठहराने की आवश्यकता होगी। संपूर्ण प्रश्न यह है कि कैसे?, पैराग्राफ की शुरुआत में लौटते हुए।
व्यक्तिगत डेटा सूचना प्रणालियों के लिए खतरों की प्रासंगिकता का विषय बहुत महत्वपूर्ण है, क्योंकि सही ढंग से वर्णित खतरे यह निर्धारित करते हैं कि सिस्टम को कितनी अच्छी तरह संरक्षित किया जाएगा, साथ ही व्यक्तिगत डेटा ऑपरेटर के लिए सुरक्षा की लागत कितनी होगी।

यदि आपने मौजूदा खतरों के प्रकार सहित किसी विशिष्ट आईएसपीडी के लिए प्रारंभिक डेटा पर निर्णय लिया है, तो आप इसकी सुरक्षा का स्तर निर्धारित कर सकते हैं। सुरक्षा के स्तर को आसानी से निर्धारित करने के लिए, निम्न तालिका का उपयोग करें, जो पीपी-1119 पर आधारित है:

आईएसपीडीएन प्रकार	संचालक के कर्मचारी	विषयों की संख्या	वर्तमान खतरों का प्रकार
			1 (एनडीवी ओएस)	2 (एनडीवी पीओ)	3 (एनडीवी के बिना)
आईएसपीडीएन-एस (विशेष)	नहीं	> 100 000	यूजेड-1	यूजेड-1	यूजेड-2
	नहीं	< 100 000	यूजेड-1	यूजेड-2	यूजेड-3
	हाँ
आईएसपीडीएन-बी (बायोमेट्रिक)			यूजेड-1	यूजेड-2	यूजेड-3
आईएसपीडीएन-I (अन्य)	नहीं	> 100 000	यूजेड-1	यूजेड-2	यूजेड-3
	नहीं	< 100 000	यूजेड-2	यूजेड-3	यूजेड-4
	हाँ
आईएसपीडीएन-ओ (जनता)	नहीं	> 100 000	यूजेड-2	यूजेड-2	यूजेड-4
	नहीं	< 100 000	यूजेड-2	यूजेड-3	यूजेड-4
	हाँ

पीडी सुरक्षा के चयनित स्तर के आधार पर, पीपी-1119 व्यक्तिगत डेटा की सुरक्षा के लिए कई आवश्यकताओं को परिभाषित करता है, जो ऑपरेटर (अधिकृत व्यक्ति) द्वारा स्वतंत्र रूप से और (या) कानूनी संस्थाओं और व्यक्तियों की भागीदारी के साथ व्यवस्थित और कार्यान्वित किए जाते हैं। गोपनीय जानकारी की तकनीकी सुरक्षा पर गतिविधियों को करने का लाइसेंस रखने वाले अनुबंध के आधार पर उद्यमी। आवश्यकताओं के अनुपालन की निगरानी ऑपरेटर (अधिकृत व्यक्ति) द्वारा निर्धारित समय सीमा के भीतर हर 3 साल में कम से कम एक बार की जानी चाहिए।

आवश्यकताएं	स्तरों सुरक्षा
आवश्यकताएं
उस परिसर के लिए एक सुरक्षा व्यवस्था का संगठन जिसमें सूचना प्रणाली स्थित है, उन व्यक्तियों द्वारा इन परिसरों में अनियंत्रित प्रवेश या रहने की संभावना को रोकना, जिनके पास इन परिसरों तक पहुंच नहीं है	+	+	+	+
व्यक्तिगत डेटा वाहकों की सुरक्षा सुनिश्चित करना	+	+	+	+
उन व्यक्तियों की सूची को परिभाषित करने वाले दस्तावेज़ के ऑपरेटर के प्रमुख द्वारा अनुमोदन जिनकी सूचना प्रणाली में संसाधित व्यक्तिगत डेटा तक पहुंच उनके आधिकारिक (श्रम) कर्तव्यों के प्रदर्शन के लिए आवश्यक है	+	+	+	+
सूचना सुरक्षा उपकरणों का उपयोग जो सूचना सुरक्षा के क्षेत्र में रूसी संघ के कानून की आवश्यकताओं के अनुपालन का आकलन करने की प्रक्रिया को पारित कर चुके हैं, ऐसे मामलों में जहां वर्तमान खतरों को बेअसर करने के लिए ऐसे उपकरणों का उपयोग आवश्यक है	+	+	+	+
आईएसपीडी में व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए जिम्मेदार अधिकारी की नियुक्ति	+	+	+	-
इलेक्ट्रॉनिक संदेश लॉग की सामग्री तक पहुंच प्रतिबंधित करना	+	+	-	-
सूचना प्रणाली में निहित व्यक्तिगत डेटा तक पहुंचने के लिए ऑपरेटर के कर्मचारी की शक्तियों में परिवर्तन के इलेक्ट्रॉनिक सुरक्षा लॉग में स्वचालित पंजीकरण	+	-	-	-
सूचना प्रणाली में व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए जिम्मेदार एक संरचनात्मक इकाई का निर्माण, या संरचनात्मक इकाइयों में से किसी एक को ऐसी सुरक्षा सुनिश्चित करने के लिए कार्य सौंपना	+	-	-	-

पीपी-1119 के अनुसार व्यक्तिगत डेटा की सुरक्षा के लिए आवश्यकताओं पर निर्णय लेने के बाद, आप एफएसटीईसी के आदेश संख्या 21 की आवश्यकताओं के आधार पर, व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए संगठनात्मक और तकनीकी उपायों के चयन के लिए आगे बढ़ सकते हैं। रूस दिनांक 18 फ़रवरी 2013. इसका उद्देश्य व्यक्तिगत डेटा की सुरक्षा के लिए मौजूदा खतरों को बेअसर करना है।

सूचना सुरक्षा उपकरणों का क्या करें, जिनके प्रमाणपत्र पहले आईएसपीडी के कुछ वर्गों के लिए जारी किए गए थे?

20 नवंबर 2012 एन 240/24/4669 के रूस के एफएसटीईसी के सूचना संदेश के अनुसार "व्यक्तिगत डेटा सूचना प्रणालियों में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा की सुविधाओं और सुरक्षा के लिए सूचना सुरक्षा उपकरणों के प्रमाणीकरण पर" व्यक्तिगत डेटा", रूस के FSTEC के नियामक कानूनी अधिनियम (अर्थात् आदेश संख्या 21) के लागू होने से पहले, रूस के FSTEC द्वारा जारी किए गए अनुरूपता के प्रमाण पत्र, सुरक्षा सुनिश्चित करने के लिए संगठनात्मक और तकनीकी उपायों की संरचना और सामग्री की स्थापना करते हैं। व्यक्तिगत डेटा सूचना प्रणालियों में प्रसंस्करण के दौरान व्यक्तिगत डेटा, पुन: पंजीकरण के अधीन नहीं हैं।
सूचना सुरक्षा उपकरण जिनका उपयोग कक्षा 1 के व्यक्तिगत डेटा सूचना प्रणालियों में संसाधित व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए किया जा सकता है, स्तर 1 तक के व्यक्तिगत डेटा सूचना प्रणालियों में संसाधित व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए किया जा सकता है;
सूचना सुरक्षा उपकरण जिनका उपयोग कक्षा 2 व्यक्तिगत डेटा सूचना प्रणालियों में संसाधित व्यक्तिगत डेटा की सुरक्षा के लिए किया जा सकता है, का उपयोग व्यक्तिगत डेटा सूचना प्रणालियों में संसाधित व्यक्तिगत डेटा की स्तर 4 सुरक्षा सुनिश्चित करने के लिए किया जा सकता है।

रूसी संघ की सरकार

संकल्प

व्यक्तिगत डेटा सूचना प्रणालियों में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने पर विनियमों के अनुमोदन पर

15 नवंबर 2012 को खोई हुई ताकत के आधार पर
रूसी संघ की सरकार के संकल्प
दिनांक 1 नवंबर, 2012 एन 1119
____________________________________________________________________

रूसी संघ की सरकार, संघीय कानून "व्यक्तिगत डेटा पर" के अनुच्छेद 19 के अनुसार

निर्णय लेता है:

1. व्यक्तिगत डेटा सूचना प्रणालियों में प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने पर संलग्न विनियमों को मंजूरी दें।

2. रूसी संघ की संघीय सुरक्षा सेवा और तकनीकी और निर्यात नियंत्रण के लिए संघीय सेवा, अपनी क्षमता के भीतर, 3 महीने की अवधि के भीतर, विनियमों द्वारा प्रदान की गई आवश्यकताओं को पूरा करने के लिए आवश्यक नियामक कानूनी कृत्यों और पद्धति संबंधी दस्तावेजों को मंजूरी देगी। इस संकल्प द्वारा अनुमोदित.

सरकार के अध्यक्ष
रूसी संघ

व्यक्तिगत डेटा सूचना प्रणालियों में प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने पर विनियम

अनुमत
सरकारी संकल्प
रूसी संघ
दिनांक 17 नवम्बर 2007 एन 781

1. ये विनियम व्यक्तिगत डेटा सूचना प्रणालियों में प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए आवश्यकताओं को स्थापित करते हैं, जो डेटाबेस में निहित व्यक्तिगत डेटा का एक संग्रह है, साथ ही सूचना प्रौद्योगिकी और तकनीकी साधन हैं जो ऐसे व्यक्तिगत डेटा के प्रसंस्करण की अनुमति देते हैं। स्वचालन उपकरण (इसके बाद सूचना प्रणाली के रूप में संदर्भित)। *1)

तकनीकी साधन जो व्यक्तिगत डेटा के प्रसंस्करण की अनुमति देते हैं उन्हें कंप्यूटर सुविधाओं, सूचना और कंप्यूटिंग परिसरों और नेटवर्क, व्यक्तिगत डेटा को प्रसारित करने, प्राप्त करने और संसाधित करने के साधन और सिस्टम (ध्वनि रिकॉर्डिंग, ध्वनि प्रवर्धन, ध्वनि प्रजनन, इंटरकॉम और टेलीविजन के लिए साधन और सिस्टम) के रूप में समझा जाता है। उपकरण, विनिर्माण साधन, दस्तावेज़ प्रतिकृति और भाषण, ग्राफिक, वीडियो और अल्फ़ान्यूमेरिक जानकारी के प्रसंस्करण के अन्य तकनीकी साधन), सॉफ़्टवेयर (ऑपरेटिंग सिस्टम, डेटाबेस प्रबंधन सिस्टम, आदि), सूचना प्रणालियों में उपयोग किए जाने वाले सूचना सुरक्षा उपकरण।

2. व्यक्तिगत डेटा की सुरक्षा आकस्मिक सहित अनधिकृत, व्यक्तिगत डेटा तक पहुंच को छोड़कर प्राप्त की जाती है, जिसके परिणामस्वरूप व्यक्तिगत डेटा का विनाश, संशोधन, अवरोधन, प्रतिलिपि, वितरण, साथ ही अन्य अनधिकृत कार्य हो सकते हैं।

सूचना प्रणालियों में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा एक व्यक्तिगत डेटा सुरक्षा प्रणाली का उपयोग करके सुनिश्चित की जाती है, जिसमें संगठनात्मक उपाय और जानकारी की सुरक्षा के साधन (एन्क्रिप्शन (क्रिप्टोग्राफ़िक) साधन, अनधिकृत पहुंच को रोकने के साधन, तकनीकी चैनलों के माध्यम से सूचना रिसाव, सॉफ्टवेयर और शामिल हैं) व्यक्तिगत डेटा को संसाधित करने के लिए तकनीकी साधनों पर हार्डवेयर प्रभाव), साथ ही सूचना प्रणाली में उपयोग की जाने वाली सूचना प्रौद्योगिकियाँ। हार्डवेयर और सॉफ़्टवेयर को सूचना की सुरक्षा सुनिश्चित करने के लिए रूसी संघ के कानून के अनुसार स्थापित आवश्यकताओं को पूरा करना होगा।

सूचना प्रणालियों में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए, भाषण सूचना और तकनीकी साधनों द्वारा संसाधित जानकारी के साथ-साथ सूचनात्मक विद्युत संकेतों, भौतिक क्षेत्रों, कागज पर मीडिया, चुंबकीय, मैग्नेटो के रूप में प्रस्तुत जानकारी के लिए सुरक्षा प्रदान की जाती है। -ऑप्टिकल और अन्य आधार।

3. सूचना प्रणालियों में जानकारी की सुरक्षा के तरीके और साधन तकनीकी और निर्यात नियंत्रण के लिए संघीय सेवा और रूसी संघ की संघीय सुरक्षा सेवा द्वारा उनकी शक्तियों की सीमा के भीतर स्थापित किए जाते हैं। *3.1)

सूचना प्रणालियों में प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए किए गए उपायों की पर्याप्तता का आकलन राज्य नियंत्रण और पर्यवेक्षण के दौरान किया जाता है।

4. सूचना प्रणालियों में प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने का कार्य सूचना प्रणाली बनाने के कार्य का एक अभिन्न अंग है।

5. सूचना प्रणालियों में प्रयुक्त सूचना सुरक्षा उपकरण स्थापित प्रक्रिया के अनुसार अनुरूपता मूल्यांकन प्रक्रिया से गुजरते हैं।

6. सूचना प्रणालियों को राज्य निकायों, नगर निकायों, कानूनी संस्थाओं या व्यक्तियों द्वारा वर्गीकृत किया जाता है जो व्यक्तिगत डेटा के प्रसंस्करण का आयोजन और (या) करते हैं, साथ ही व्यक्तिगत डेटा के प्रसंस्करण के उद्देश्यों और सामग्री का निर्धारण करते हैं (बाद में इसे कहा जाता है)। ऑपरेटर), उनके द्वारा संसाधित व्यक्तिगत डेटा की मात्रा और व्यक्ति, समाज और राज्य के महत्वपूर्ण हितों के लिए सुरक्षा खतरों पर निर्भर करता है।

सूचना प्रणालियों को वर्गीकृत करने की प्रक्रिया तकनीकी और निर्यात नियंत्रण के लिए संघीय सेवा, रूसी संघ की संघीय सुरक्षा सेवा और रूसी संघ के सूचना प्रौद्योगिकी और संचार मंत्रालय द्वारा संयुक्त रूप से स्थापित की जाती है।*6.2)

7. सूचना प्रणालियों में प्रसंस्करण के दौरान व्यक्तिगत डेटा का आदान-प्रदान संचार चैनलों के माध्यम से किया जाता है, जिसकी सुरक्षा उचित संगठनात्मक उपायों के कार्यान्वयन और (या) तकनीकी साधनों के उपयोग के माध्यम से सुनिश्चित की जाती है।

8. सूचना प्रणालियों की नियुक्ति, विशेष उपकरण और परिसर की सुरक्षा जिसमें व्यक्तिगत डेटा के साथ काम किया जाता है, इन परिसरों में सुरक्षा व्यवस्था के संगठन को व्यक्तिगत डेटा वाहक और सूचना सुरक्षा साधनों की सुरक्षा सुनिश्चित करनी चाहिए, और इसे भी बाहर करना चाहिए इन परिसरों में अजनबियों के अनियंत्रित प्रवेश या उपस्थिति की संभावना

9. सूचना प्रणालियों में व्यक्तिगत डेटा के प्रसंस्करण के दौरान सूचना रिसाव के संभावित चैनल तकनीकी और निर्यात नियंत्रण के लिए संघीय सेवा और रूसी संघ की संघीय सुरक्षा सेवा द्वारा उनकी शक्तियों की सीमा के भीतर निर्धारित किए जाते हैं।

10. सूचना प्रणाली में संसाधित होने पर व्यक्तिगत डेटा की सुरक्षा ऑपरेटर या उस व्यक्ति द्वारा सुनिश्चित की जाती है, जिसे एक समझौते के आधार पर, ऑपरेटर व्यक्तिगत डेटा का प्रसंस्करण सौंपता है (बाद में अधिकृत व्यक्ति के रूप में संदर्भित)। अनुबंध की एक अनिवार्य शर्त सूचना प्रणाली में संसाधित होने पर व्यक्तिगत डेटा की गोपनीयता और व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए अधिकृत व्यक्ति का दायित्व है।

11. सूचना प्रणाली में व्यक्तिगत डेटा संसाधित करते समय, निम्नलिखित सुनिश्चित किया जाना चाहिए:

ए) व्यक्तिगत डेटा तक अनधिकृत पहुंच को रोकने और (या) उन व्यक्तियों को उनके हस्तांतरण को रोकने के उद्देश्य से उपाय करना जिनके पास ऐसी जानकारी तक पहुंचने का अधिकार नहीं है;

बी) व्यक्तिगत डेटा तक अनधिकृत पहुंच के तथ्यों का समय पर पता लगाना;

ग) व्यक्तिगत डेटा के स्वचालित प्रसंस्करण के तकनीकी साधनों पर प्रभाव को रोकना, जिसके परिणामस्वरूप उनका कामकाज बाधित हो सकता है;

घ) अनधिकृत पहुंच के कारण संशोधित या नष्ट किए गए व्यक्तिगत डेटा की तत्काल बहाली की संभावना;

ई) व्यक्तिगत डेटा की सुरक्षा के स्तर को सुनिश्चित करने की निरंतर निगरानी।

12. सूचना प्रणालियों में प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के उपायों में शामिल हैं:

ए) उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा के लिए खतरों की पहचान, उनके आधार पर एक खतरा मॉडल का गठन;

बी) व्यक्तिगत डेटा सुरक्षा प्रणाली के खतरे के मॉडल के आधार पर विकास, जो सूचना प्रणालियों के संबंधित वर्ग के लिए प्रदान किए गए व्यक्तिगत डेटा की सुरक्षा के तरीकों और विधियों का उपयोग करके कथित खतरों को बेअसर करना सुनिश्चित करता है;

ग) उनके संचालन की संभावना पर निष्कर्ष निकालने में उपयोग के लिए सूचना सुरक्षा उपकरणों की तत्परता की जाँच करना;

घ) परिचालन और तकनीकी दस्तावेज के अनुसार सूचना सुरक्षा साधनों की स्थापना और कमीशनिंग;

ई) सूचना प्रणालियों में उपयोग किए जाने वाले सूचना सुरक्षा उपकरणों का उपयोग करने वाले व्यक्तियों को उनके साथ काम करने के नियमों पर प्रशिक्षण;

च) सूचना सुरक्षा के साधनों का उपयोग, उनके लिए परिचालन और तकनीकी दस्तावेज, व्यक्तिगत डेटा वाहक का लेखांकन;

छ) सूचना प्रणाली में व्यक्तिगत डेटा के साथ काम करने के लिए अधिकृत व्यक्तियों का लेखा-जोखा;

ज) परिचालन और तकनीकी दस्तावेज़ीकरण में प्रदान किए गए सूचना सुरक्षा उपकरणों के उपयोग की शर्तों के अनुपालन पर नियंत्रण;

i) व्यक्तिगत डेटा वाहकों की भंडारण शर्तों के अनुपालन न करने के तथ्यों पर जांच और निष्कर्ष निकालना, सूचना सुरक्षा उपायों का उपयोग जिससे व्यक्तिगत डेटा की गोपनीयता का उल्लंघन हो सकता है या अन्य उल्लंघन हो सकते हैं जिससे स्तर में कमी आ सकती है। ऐसे उल्लंघनों के संभावित खतरनाक परिणामों को रोकने के लिए व्यक्तिगत डेटा की सुरक्षा, विकास और उपाय अपनाना;

जे) व्यक्तिगत डेटा सुरक्षा प्रणाली का विवरण।

13. सूचना प्रणाली में प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के उपायों को विकसित करने और लागू करने के लिए, एक ऑपरेटर या अधिकृत व्यक्ति व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए जिम्मेदार एक संरचनात्मक इकाई या अधिकारी (कर्मचारी) को नियुक्त कर सकता है।

14. जिन व्यक्तियों की सूचना प्रणाली में संसाधित व्यक्तिगत डेटा तक पहुंच आधिकारिक (श्रम) कर्तव्यों को पूरा करने के लिए आवश्यक है, उन्हें ऑपरेटर या अधिकृत व्यक्ति द्वारा अनुमोदित सूची के आधार पर प्रासंगिक व्यक्तिगत डेटा तक पहुंच की अनुमति दी जाती है।

15. इन विनियमों के अनुच्छेद 14 में निर्दिष्ट व्यक्तियों सहित व्यक्तिगत डेटा प्राप्त करने के लिए सूचना प्रणाली के उपयोगकर्ताओं से अनुरोध, साथ ही इन अनुरोधों पर व्यक्तिगत डेटा प्रदान करने के तथ्य इलेक्ट्रॉनिक लॉग में सूचना प्रणाली के स्वचालित माध्यमों द्वारा पंजीकृत किए जाते हैं। अनुरोधों का. अनुरोधों के इलेक्ट्रॉनिक लॉग की सामग्री को समय-समय पर ऑपरेटर या अधिकृत व्यक्ति के संबंधित अधिकारियों (कर्मचारियों) द्वारा जांचा जाता है।

16. यदि व्यक्तिगत डेटा प्रदान करने की प्रक्रिया के उल्लंघन का पता चलता है, तो ऑपरेटर या अधिकृत व्यक्ति सूचना प्रणाली के उपयोगकर्ताओं को व्यक्तिगत डेटा के प्रावधान को तुरंत निलंबित कर देगा जब तक कि उल्लंघन के कारणों की पहचान नहीं हो जाती और इन कारणों को समाप्त नहीं कर दिया जाता।

17. सूचना सुरक्षा उपकरणों में सूचना सुरक्षा सुनिश्चित करने के लिए आवश्यकताओं का कार्यान्वयन उनके डेवलपर्स पर निर्भर है।

सूचना प्रणालियों में प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए डिज़ाइन किए गए विकसित एन्क्रिप्शन (क्रिप्टोग्राफ़िक) सूचना सुरक्षा उपकरणों के संबंध में, सूचना सुरक्षा आवश्यकताओं के अनुपालन को सत्यापित करने के लिए केस अध्ययन और नियंत्रण केस अध्ययन आयोजित किए जाते हैं। इस मामले में, केस स्टडीज को क्रिप्टोग्राफ़िक, इंजीनियरिंग-क्रिप्टोग्राफ़िक और सूचना सुरक्षा उपकरणों के विशेष अध्ययन और सूचना प्रणालियों के तकनीकी साधनों के साथ विशेष कार्य के रूप में समझा जाता है, और नियंत्रण केस स्टडीज़ को समय-समय पर केस स्टडीज़ आयोजित की जाती हैं।

नियंत्रण मामले के अध्ययन के संचालन के लिए विशिष्ट समय सीमा रूसी संघ की संघीय सुरक्षा सेवा द्वारा निर्धारित की जाती है।

18. सूचना प्रणालियों में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए डिज़ाइन किए गए सूचना सुरक्षा उपकरणों के अनुरूपता मूल्यांकन और (या) केस अध्ययन के परिणामों का मूल्यांकन तकनीकी और निर्यात नियंत्रण के लिए संघीय सेवा और संघीय द्वारा की गई परीक्षा के दौरान किया जाता है। रूसी संघ की सुरक्षा सेवा उनकी शक्तियों के भीतर।

19. सूचना सुरक्षा उपायों का उद्देश्य सूचना प्रणालियों में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करना है, इन साधनों के उपयोग के लिए नियमों के साथ तकनीकी और निर्यात नियंत्रण के लिए संघीय सेवा और रूसी संघ की संघीय सुरक्षा सेवा के साथ सहमति व्यक्त की गई है। उनकी शक्तियों की सीमा के भीतर।

इन नियमों द्वारा प्रदान किए गए सूचना सुरक्षा साधनों के उपयोग की शर्तों में बदलाव पर इन संघीय कार्यकारी अधिकारियों के साथ उनकी शक्तियों की सीमा के भीतर सहमति व्यक्त की जाती है।

20. सूचना प्रणालियों में प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए डिज़ाइन किए गए सूचना सुरक्षा उपाय इंडेक्स या कोड नाम और पंजीकरण संख्याओं का उपयोग करके लेखांकन के अधीन हैं। सूचकांकों, कोड नामों और पंजीकरण संख्याओं की सूची तकनीकी और निर्यात नियंत्रण के लिए संघीय सेवा और रूसी संघ की संघीय सुरक्षा सेवा द्वारा उनकी शक्तियों की सीमा के भीतर निर्धारित की जाती है।

21. सूचना सुरक्षा के एन्क्रिप्शन (क्रिप्टोग्राफ़िक) साधनों के विकास, उत्पादन, कार्यान्वयन और संचालन की विशेषताएं और सूचना प्रणालियों में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा को एन्क्रिप्ट करने के लिए सेवाओं का प्रावधान रूसी संघ की संघीय सुरक्षा सेवा द्वारा स्थापित किया गया है।

इलेक्ट्रॉनिक दस्तावेज़ पाठ
कोडेक्स जेएससी द्वारा तैयार और इसके विरुद्ध सत्यापित:
विधान का संग्रह
रूसी संघ,
एन 48, 26.11.2007, कला. 6001

1 नवंबर 2012 एन 1119 के रूसी संघ की सरकार का फरमान
"व्यक्तिगत डेटा सूचना प्रणालियों में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा के लिए आवश्यकताओं के अनुमोदन पर"

संघीय कानून "व्यक्तिगत डेटा पर" के अनुच्छेद 19 के अनुसार, रूसी संघ की सरकार निर्णय लेती है:

1. व्यक्तिगत डेटा सूचना प्रणालियों में प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा के लिए संलग्न आवश्यकताओं को मंजूरी दें।

2. 17 नवंबर, 2007 एन 781 के रूसी संघ की सरकार के डिक्री को अमान्य मानें "व्यक्तिगत डेटा सूचना प्रणालियों में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने पर विनियमों के अनुमोदन पर" (रूसी संघ का एकत्रित विधान) , 2007, एन 48, कला. 6001) .

आवश्यकताएं
व्यक्तिगत डेटा सूचना प्रणालियों में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा के लिए
(1 नवंबर 2012 एन 1119 के रूसी संघ की सरकार के डिक्री द्वारा अनुमोदित)

1. यह दस्तावेज़ व्यक्तिगत डेटा सूचना प्रणालियों (बाद में सूचना प्रणालियों के रूप में संदर्भित) में संसाधित होने पर व्यक्तिगत डेटा की सुरक्षा और ऐसे डेटा की सुरक्षा के स्तर के लिए आवश्यकताओं को स्थापित करता है।

2. सूचना प्रणाली में संसाधित होने पर व्यक्तिगत डेटा की सुरक्षा एक व्यक्तिगत डेटा सुरक्षा प्रणाली का उपयोग करके सुनिश्चित की जाती है जो अनुच्छेद 19 के भाग 5 के अनुसार पहचाने गए वर्तमान खतरों को बेअसर करती है।

व्यक्तिगत डेटा सुरक्षा प्रणाली में सूचना प्रणालियों में उपयोग की जाने वाली व्यक्तिगत डेटा और सूचना प्रौद्योगिकियों की सुरक्षा के लिए वर्तमान खतरों को ध्यान में रखते हुए निर्धारित संगठनात्मक और (या) तकनीकी उपाय शामिल हैं।

3. सूचना प्रणाली में संसाधित होने पर व्यक्तिगत डेटा की सुरक्षा इस प्रणाली के ऑपरेटर द्वारा सुनिश्चित की जाती है, जो व्यक्तिगत डेटा को संसाधित करता है (बाद में ऑपरेटर के रूप में संदर्भित), या आधार पर ऑपरेटर की ओर से व्यक्तिगत डेटा को संसाधित करने वाले व्यक्ति द्वारा इस व्यक्ति के साथ संपन्न एक समझौते का (इसके बाद अधिकृत व्यक्ति के रूप में संदर्भित)। ऑपरेटर और अधिकृत व्यक्ति के बीच समझौते में सूचना प्रणाली में संसाधित होने पर व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए अधिकृत व्यक्ति के दायित्व का प्रावधान होना चाहिए।

4. व्यक्तिगत डेटा सुरक्षा प्रणाली के लिए सूचना सुरक्षा साधनों का चुनाव ऑपरेटर द्वारा रूसी संघ की संघीय सुरक्षा सेवा और तकनीकी और निर्यात नियंत्रण के लिए संघीय सेवा द्वारा भाग 4 के अनुसरण में अपनाए गए नियामक कानूनी कृत्यों के अनुसार किया जाता है। संघीय कानून "व्यक्तिगत डेटा पर" के अनुच्छेद 19 का।

5. एक सूचना प्रणाली एक सूचना प्रणाली है जो व्यक्तिगत डेटा की विशेष श्रेणियों को संसाधित करती है यदि यह नस्ल, राष्ट्रीयता, राजनीतिक विचारों, धार्मिक या दार्शनिक मान्यताओं, स्वास्थ्य स्थिति, व्यक्तिगत डेटा के विषयों के अंतरंग जीवन से संबंधित व्यक्तिगत डेटा को संसाधित करती है।

एक सूचना प्रणाली एक सूचना प्रणाली है जो बायोमेट्रिक व्यक्तिगत डेटा को संसाधित करती है यदि यह किसी व्यक्ति की शारीरिक और जैविक विशेषताओं की विशेषता वाली जानकारी को संसाधित करती है, जिसके आधार पर कोई अपनी पहचान स्थापित कर सकता है और जिसका उपयोग ऑपरेटर द्वारा पहचान स्थापित करने के लिए किया जाता है। व्यक्तिगत डेटा का विषय, और व्यक्तिगत डेटा की विशेष श्रेणियों से संबंधित जानकारी संसाधित नहीं करता है।

एक सूचना प्रणाली एक सूचना प्रणाली है जो सार्वजनिक रूप से उपलब्ध व्यक्तिगत डेटा को संसाधित करती है यदि यह संघीय कानून "व्यक्तिगत डेटा पर" के अनुच्छेद 8 के अनुसार बनाए गए व्यक्तिगत डेटा के सार्वजनिक रूप से उपलब्ध स्रोतों से प्राप्त व्यक्तिगत डेटा विषयों के व्यक्तिगत डेटा को संसाधित करती है।

एक सूचना प्रणाली एक सूचना प्रणाली है जो व्यक्तिगत डेटा की अन्य श्रेणियों को संसाधित करती है, यदि यह इस पैराग्राफ के पैराग्राफ एक से तीन में निर्दिष्ट व्यक्तिगत डेटा को संसाधित नहीं करती है।

सूचना प्रणाली एक सूचना प्रणाली है जो ऑपरेटर के कर्मचारियों के व्यक्तिगत डेटा को संसाधित करती है यदि यह केवल निर्दिष्ट कर्मचारियों के व्यक्तिगत डेटा को संसाधित करती है। अन्य मामलों में, व्यक्तिगत डेटा सूचना प्रणाली एक सूचना प्रणाली है जो व्यक्तिगत डेटा विषयों के व्यक्तिगत डेटा को संसाधित करती है जो ऑपरेटर के कर्मचारी नहीं हैं।

6. व्यक्तिगत डेटा की सुरक्षा के लिए वर्तमान खतरों को उन स्थितियों और कारकों के एक समूह के रूप में समझा जाता है जो सूचना प्रणाली में प्रसंस्करण के दौरान व्यक्तिगत डेटा तक अनधिकृत, आकस्मिक सहित पहुंच का वर्तमान खतरा पैदा करते हैं, जिसके परिणामस्वरूप विनाश, संशोधन हो सकता है। व्यक्तिगत डेटा को अवरुद्ध करना, प्रतिलिपि बनाना, प्रावधान करना, वितरण करना, साथ ही अन्य गैरकानूनी कार्रवाइयां।

प्रथम प्रकार के खतरे किसी सूचना प्रणाली के लिए प्रासंगिक होते हैं यदि सूचना प्रणाली में उपयोग किए जाने वाले सिस्टम सॉफ़्टवेयर में अनिर्धारित (अघोषित) क्षमताओं की उपस्थिति से जुड़े खतरे भी इसके लिए प्रासंगिक होते हैं।

दूसरे प्रकार के खतरे किसी सूचना प्रणाली के लिए प्रासंगिक होते हैं यदि सूचना प्रणाली में उपयोग किए जाने वाले एप्लिकेशन सॉफ़्टवेयर में अघोषित (अघोषित) क्षमताओं की उपस्थिति से जुड़े खतरे भी इसके लिए प्रासंगिक होते हैं।

टाइप 3 खतरे एक सूचना प्रणाली के लिए प्रासंगिक हैं यदि ऐसे खतरे जो सिस्टम में अघोषित (अघोषित) क्षमताओं की उपस्थिति से संबंधित नहीं हैं और सूचना प्रणाली में उपयोग किए जाने वाले एप्लिकेशन सॉफ़्टवेयर इसके लिए प्रासंगिक हैं।

7. सूचना प्रणाली से संबंधित व्यक्तिगत डेटा की सुरक्षा के लिए खतरों के प्रकार का निर्धारण ऑपरेटर द्वारा संघीय कानून के अनुच्छेद 18.1 के भाग 1 के अनुच्छेद 5 के अनुसरण में किए गए संभावित नुकसान के आकलन को ध्यान में रखते हुए किया जाता है। "व्यक्तिगत डेटा पर", और संघीय कानून "व्यक्तिगत डेटा पर" के अनुच्छेद 19 के भाग 5 के अनुसरण में अपनाए गए नियामक कानूनी कृत्यों के अनुसार।

8. सूचना प्रणालियों में व्यक्तिगत डेटा संसाधित करते समय, व्यक्तिगत डेटा सुरक्षा के 4 स्तर स्थापित किए जाते हैं।

9. सूचना प्रणाली में प्रसंस्करण के दौरान व्यक्तिगत डेटा की प्रथम स्तर की सुरक्षा सुनिश्चित करने की आवश्यकता तब स्थापित होती है जब निम्नलिखित में से कम से कम एक स्थिति मौजूद हो:

ए) टाइप 1 खतरे सूचना प्रणाली के लिए प्रासंगिक हैं और सूचना प्रणाली या तो व्यक्तिगत डेटा की विशेष श्रेणियों, या बायोमेट्रिक व्यक्तिगत डेटा, या व्यक्तिगत डेटा की अन्य श्रेणियों को संसाधित करती है;

बी) टाइप 2 खतरे सूचना प्रणाली के लिए प्रासंगिक हैं और सूचना प्रणाली 100,000 से अधिक व्यक्तिगत डेटा विषयों के व्यक्तिगत डेटा की विशेष श्रेणियों को संसाधित करती है जो ऑपरेटर के कर्मचारी नहीं हैं।

10. सूचना प्रणाली में इसे संसाधित करते समय व्यक्तिगत डेटा की सुरक्षा के दूसरे स्तर को सुनिश्चित करने की आवश्यकता निम्न में से कम से कम एक स्थिति मौजूद होने पर स्थापित की जाती है:

ए) टाइप 1 खतरे सूचना प्रणाली के लिए प्रासंगिक हैं और सूचना प्रणाली सार्वजनिक रूप से उपलब्ध व्यक्तिगत डेटा को संसाधित करती है;

बी) प्रकार 2 के खतरे सूचना प्रणाली के लिए प्रासंगिक हैं और सूचना प्रणाली ऑपरेटर के कर्मचारियों के व्यक्तिगत डेटा की विशेष श्रेणियों या 100,000 से कम व्यक्तिगत डेटा विषयों के व्यक्तिगत डेटा की विशेष श्रेणियों को संसाधित करती है जो ऑपरेटर के कर्मचारी नहीं हैं;

ग) टाइप 2 खतरे सूचना प्रणाली के लिए प्रासंगिक हैं और सूचना प्रणाली बायोमेट्रिक व्यक्तिगत डेटा को संसाधित करती है;

घ) टाइप 2 खतरे सूचना प्रणाली के लिए प्रासंगिक हैं और सूचना प्रणाली 100,000 से अधिक व्यक्तिगत डेटा विषयों के सार्वजनिक रूप से उपलब्ध व्यक्तिगत डेटा को संसाधित करती है जो ऑपरेटर के कर्मचारी नहीं हैं;

ई) टाइप 2 खतरे सूचना प्रणाली के लिए प्रासंगिक हैं और सूचना प्रणाली 100,000 से अधिक व्यक्तिगत डेटा विषयों के व्यक्तिगत डेटा की अन्य श्रेणियों को संसाधित करती है जो ऑपरेटर के कर्मचारी नहीं हैं;

एफ) प्रकार 3 खतरे सूचना प्रणाली के लिए प्रासंगिक हैं और सूचना प्रणाली 100,000 से अधिक व्यक्तिगत डेटा विषयों के व्यक्तिगत डेटा की विशेष श्रेणियों को संसाधित करती है जो ऑपरेटर के कर्मचारी नहीं हैं।

11. सूचना प्रणाली में प्रसंस्करण के दौरान व्यक्तिगत डेटा की तीसरे स्तर की सुरक्षा सुनिश्चित करने की आवश्यकता स्थापित की जाती है यदि निम्नलिखित में से कम से कम एक स्थिति मौजूद हो:

ए) टाइप 2 खतरे सूचना प्रणाली के लिए प्रासंगिक हैं और सूचना प्रणाली ऑपरेटर के कर्मचारियों के सार्वजनिक रूप से उपलब्ध व्यक्तिगत डेटा या 100,000 से कम व्यक्तिगत डेटा विषयों के सार्वजनिक रूप से उपलब्ध व्यक्तिगत डेटा को संसाधित करती है जो ऑपरेटर के कर्मचारी नहीं हैं;

बी) प्रकार 2 के खतरे सूचना प्रणाली के लिए प्रासंगिक हैं और सूचना प्रणाली ऑपरेटर के कर्मचारियों के व्यक्तिगत डेटा की अन्य श्रेणियों या 100,000 से कम व्यक्तिगत डेटा विषयों के व्यक्तिगत डेटा की अन्य श्रेणियों को संसाधित करती है जो ऑपरेटर के कर्मचारी नहीं हैं;

ग) प्रकार 3 खतरे सूचना प्रणाली के लिए प्रासंगिक हैं और सूचना प्रणाली ऑपरेटर के कर्मचारियों के व्यक्तिगत डेटा की विशेष श्रेणियों या 100,000 से कम व्यक्तिगत डेटा विषयों के व्यक्तिगत डेटा की विशेष श्रेणियों को संसाधित करती है जो ऑपरेटर के कर्मचारी नहीं हैं;

घ) प्रकार 3 के खतरे सूचना प्रणाली के लिए प्रासंगिक हैं और सूचना प्रणाली बायोमेट्रिक व्यक्तिगत डेटा को संसाधित करती है;

ई) प्रकार 3 खतरे सूचना प्रणाली के लिए प्रासंगिक हैं और सूचना प्रणाली 100,000 से अधिक व्यक्तिगत डेटा विषयों के व्यक्तिगत डेटा की अन्य श्रेणियों को संसाधित करती है जो ऑपरेटर के कर्मचारी नहीं हैं।

12. सूचना प्रणाली में इसे संसाधित करते समय व्यक्तिगत डेटा की सुरक्षा के चौथे स्तर को सुनिश्चित करने की आवश्यकता स्थापित की जाती है यदि निम्न में से कम से कम एक स्थिति मौजूद हो:

ए) टाइप 3 खतरे सूचना प्रणाली के लिए प्रासंगिक हैं और सूचना प्रणाली सार्वजनिक रूप से उपलब्ध व्यक्तिगत डेटा को संसाधित करती है;

बी) प्रकार 3 खतरे सूचना प्रणाली के लिए प्रासंगिक हैं और सूचना प्रणाली ऑपरेटर के कर्मचारियों के व्यक्तिगत डेटा की अन्य श्रेणियों या 100,000 से कम व्यक्तिगत डेटा विषयों के व्यक्तिगत डेटा की अन्य श्रेणियों को संसाधित करती है जो ऑपरेटर के कर्मचारी नहीं हैं।

13. सूचना प्रणालियों में व्यक्तिगत डेटा को संसाधित करते समय उसकी चौथे स्तर की सुरक्षा सुनिश्चित करने के लिए, निम्नलिखित आवश्यकताओं को पूरा किया जाना चाहिए:

ए) उस परिसर के लिए एक सुरक्षा व्यवस्था का आयोजन करना जिसमें सूचना प्रणाली स्थित है, उन व्यक्तियों द्वारा इन परिसरों में अनियंत्रित प्रवेश या रहने की संभावना को रोकना, जिनके पास इन परिसरों तक पहुंच नहीं है;

बी) व्यक्तिगत डेटा वाहकों की सुरक्षा सुनिश्चित करना;

ग) उन व्यक्तियों की सूची को परिभाषित करने वाले दस्तावेज़ के ऑपरेटर के प्रमुख द्वारा अनुमोदन, जिनकी सूचना प्रणाली में संसाधित व्यक्तिगत डेटा तक पहुंच उनके आधिकारिक (श्रम) कर्तव्यों के प्रदर्शन के लिए आवश्यक है;

डी) सूचना सुरक्षा उपकरणों का उपयोग जो सूचना सुरक्षा के क्षेत्र में रूसी संघ के कानून की आवश्यकताओं के अनुपालन का आकलन करने की प्रक्रिया को पारित कर चुके हैं, ऐसे मामलों में जहां मौजूदा खतरों को बेअसर करने के लिए ऐसे साधनों का उपयोग आवश्यक है।

14. सूचना प्रणालियों में इसे संसाधित करते समय व्यक्तिगत डेटा की सुरक्षा के तीसरे स्तर को सुनिश्चित करने के लिए, इस दस्तावेज़ के पैराग्राफ 13 में प्रदान की गई आवश्यकताओं को पूरा करने के अलावा, यह आवश्यक है कि सुरक्षा सुनिश्चित करने के लिए एक अधिकारी (कर्मचारी) को जिम्मेदार नियुक्त किया जाए। सूचना प्रणाली में व्यक्तिगत डेटा का.

15. सूचना प्रणालियों में प्रसंस्करण के दौरान व्यक्तिगत डेटा की दूसरे स्तर की सुरक्षा सुनिश्चित करने के लिए, इस दस्तावेज़ के पैराग्राफ 14 में प्रदान की गई आवश्यकताओं को पूरा करने के अलावा, यह आवश्यक है कि इलेक्ट्रॉनिक संदेश लॉग की सामग्री तक पहुंच केवल संभव हो ऑपरेटर या अधिकृत व्यक्ति के अधिकारियों (कर्मचारियों) के लिए, जिनके लिए निर्दिष्ट जर्नल में निहित जानकारी आधिकारिक (श्रम) कर्तव्यों को पूरा करने के लिए आवश्यक है।

16. सूचना प्रणालियों में व्यक्तिगत डेटा को संसाधित करते समय उसकी प्रथम स्तर की सुरक्षा सुनिश्चित करने के लिए, इस दस्तावेज़ के पैराग्राफ 15 में प्रदान की गई आवश्यकताओं के अलावा, निम्नलिखित आवश्यकताओं को पूरा किया जाना चाहिए:

ए) सूचना प्रणाली में निहित व्यक्तिगत डेटा तक पहुंचने के लिए ऑपरेटर के कर्मचारी की शक्तियों में परिवर्तन के इलेक्ट्रॉनिक सुरक्षा लॉग में स्वचालित पंजीकरण;

बी) सूचना प्रणाली में व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए जिम्मेदार एक संरचनात्मक इकाई बनाना, या संरचनात्मक इकाइयों में से किसी एक को ऐसी सुरक्षा सुनिश्चित करने के लिए कार्य सौंपना।

17. इन आवश्यकताओं के अनुपालन की निगरानी ऑपरेटर (अधिकृत व्यक्ति) द्वारा स्वतंत्र रूप से आयोजित और की जाती है और (या) अनुबंध के आधार पर कानूनी संस्थाओं और व्यक्तिगत उद्यमियों की भागीदारी के साथ, गोपनीय की तकनीकी सुरक्षा के लिए गतिविधियों को करने के लिए लाइसेंस प्राप्त किया जाता है। जानकारी। निर्दिष्ट नियंत्रण ऑपरेटर (अधिकृत व्यक्ति) द्वारा निर्धारित समय सीमा के भीतर हर 3 साल में कम से कम एक बार किया जाता है।

रूसी संघ की सरकार

आवश्यकताओं के अनुमोदन के बारे में

सरकार के अध्यक्ष
रूसी संघ
डी. मेदवेदेव

अनुमत
सरकारी संकल्प
रूसी संघ
दिनांक 1 नवंबर, 2012 एन 1119

आवश्यकताएं
उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा के लिए
व्यक्तिगत डेटा की सूचना प्रणाली में

2. सूचना प्रणाली में संसाधित होने पर व्यक्तिगत डेटा की सुरक्षा एक व्यक्तिगत डेटा सुरक्षा प्रणाली का उपयोग करके सुनिश्चित की जाती है जो संघीय कानून "व्यक्तिगत डेटा पर" के अनुच्छेद 19 के भाग 5 के अनुसार पहचाने गए वर्तमान खतरों को बेअसर करती है।

7. सूचना प्रणाली से संबंधित व्यक्तिगत डेटा की सुरक्षा के लिए खतरों के प्रकार का निर्धारण ऑपरेटर द्वारा संघीय कानून के अनुच्छेद 18.1 के भाग 1 के अनुच्छेद 5 के अनुसरण में किए गए संभावित नुकसान के आकलन को ध्यान में रखते हुए किया जाता है। व्यक्तिगत डेटा पर", और संघीय कानून "व्यक्तिगत डेटा पर" के अनुच्छेद 19 के भाग 5 के अनुसरण में अपनाए गए नियामक कानूनी कृत्यों के अनुसार।

बी) व्यक्तिगत डेटा वाहकों की सुरक्षा सुनिश्चित करना;

रूसी संघ की सरकार

संकल्प

व्यक्तिगत डेटा सूचना प्रणालियों में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा के लिए आवश्यकताओं के अनुमोदन पर

रूसी संघ की सरकार, संघीय कानून "व्यक्तिगत डेटा पर" के अनुच्छेद 19 के अनुसार

निर्णय लेता है:

सरकार के अध्यक्ष
रूसी संघ
डी.मेदवेदेव

व्यक्तिगत डेटा सूचना प्रणालियों में प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा के लिए आवश्यकताएँ

अनुमत
सरकारी संकल्प
रूसी संघ
दिनांक 1 नवंबर, 2012 एन 1119

7. सूचना प्रणाली से संबंधित व्यक्तिगत डेटा की सुरक्षा के लिए खतरों के प्रकार का निर्धारण ऑपरेटर द्वारा संघीय कानून के अनुच्छेद 18_1 के भाग 1 के अनुच्छेद 5 के अनुसरण में किए गए संभावित नुकसान के आकलन को ध्यान में रखते हुए किया जाता है। व्यक्तिगत डेटा पर", और संघीय कानून "व्यक्तिगत डेटा पर" के अनुच्छेद 19 के भाग 5 के अनुसरण में अपनाए गए नियामक कानूनी कृत्यों के अनुसार।

बी) व्यक्तिगत डेटा वाहकों की सुरक्षा सुनिश्चित करना;

इलेक्ट्रॉनिक दस्तावेज़ पाठ
कोडेक्स जेएससी द्वारा तैयार किया गया और इसके विरुद्ध सत्यापित किया गया।