itthon Felépülés

Határozat a személyes adatok védelmére vonatkozó követelmények jóváhagyásáról a személyes adatok információs rendszerekben történő feldolgozása során - Rossiyskaya Gazeta. A személyes adatok védelmének szintjei osztályok helyett 1119. Korm. rendelet

Az Orosz Föderáció kormányának 2012. november 1-i 1119. számú rendelete eltemette a személyes adatok információs rendszereinek olyan osztályait, amelyek már mindenki számára ismertek lettek.

Az osztályok helyett az új határozat értelmében a személyes adatok információs rendszerekben történő feldolgozása során négy biztonsági szint és mindegyikre vonatkozó követelmények kerülnek megállapításra. Az információs rendszerek meghatározott biztonsági szinthez való hozzárendelése az információs rendszer által feldolgozott személyes adatok típusától, az aktuális fenyegetések típusától, az információs rendszer által feldolgozott személyes adatok alanyainak számától és a személyes adatoktól függően történik. kontingens feldolgozásra kerül.

A személyes adatok információs rendszereit (PDIS) az 1119. számú határozat 5. bekezdése szerint 4 csoportra osztják:

Különleges ISPD
ha az ISPD a személyes adatok alanyainak fajra, nemzetiségére, politikai nézeteire, vallási vagy filozófiai meggyőződésére, egészségi állapotára, intim életére vonatkozó személyes adatokat kezel;
Biometrikus ISPD
ha az ISPD egy személy fiziológiai és biológiai tulajdonságait jellemző információkat dolgoz fel, amelyek alapján személyazonossága megállapítható, és amelyet az üzemeltető a személyes adat alanyának azonosítására használ fel, valamint speciális kategóriákhoz kapcsolódó információkat személyes adatait nem kezelik;
Nyilvános ISPD
ha az ISPD a személyes adatok alanyainak személyes adatait csak a „Személyes adatokról” szóló szövetségi törvény 8. cikkével összhangban létrehozott, nyilvánosan elérhető személyes adatok forrásaiból kezeli;
Egyéb ISPDn
ha az ISPD az előző három csoportban nem képviselt személyes érintettek személyes adatait kezeli.

A szervezet és az alanyok közötti kapcsolat formája alapján a feldolgozás 2 típusra oszlik:

alkalmazottak személyes adatainak feldolgozása (azok a jogalanyok, akikkel az Ön szervezete munkaügyi kapcsolatban áll);
olyan személyek személyes adatainak kezelése, akik nem az Ön szervezetének alkalmazottai.

Azon alanyok száma alapján, akiknek személyes adatait kezelik, a 1119. számú határozat csak 2 kategóriát határoz meg:

kevesebb mint 100 000 alany;
több mint 100 000 alany;

És végül, A jelenlegi fenyegetések típusai:

Az 1-es típusú fenyegetések az ISPD-ben használt rendszerszoftver be nem jelentett (nem dokumentált) képességeihez kapcsolódnak;
A 2-es típusú fenyegetések az ISPD-ben használt alkalmazásszoftver nem deklarált képességeihez kapcsolódnak;
A 3-as típusú fenyegetések nem kapcsolódnak az ISPD-ben használt szoftver nem bejelentett képességeihez.

A jelenlegi fenyegetések típusának meghatározására nincs szabályozás. A PP-1119 követelményei nem kínálnak semmilyen módszert vagy módszert semlegesítésükre. Ha korábban az üzemeltető dönthetett úgy, hogy egy szabványos ISPD-t táblázat alapján osztályoz, vagy egy speciális ISPD-t a fenyegetési modell eredményei alapján, akkor most nincs más választása. A biztonsági szintet mindig a fenyegetések relevanciája alapján határozzák meg. Az üzemeltető valószínűleg nem tudja egyedül meghatározni őket - fel kell vennie a kapcsolatot egy magasabb szervezettel vagy egy tanácsadóval. A legegyszerűbb a legkisebb ellenállás útját követni, i.e. határozza meg a 3-as típusú aktuális fenyegetés típusát, és felejtse el a rendszer- és alkalmazásszoftverek nem bejelentett (nem dokumentált) képességeit, de ezt indokolni kell. Az egész kérdés a hogyan?, visszatérve a bekezdés elejére.
A fenyegetések személyesadat-információs rendszerekkel kapcsolatos relevanciájának témája nagyon fontos, mert a helyesen leírt fenyegetések határozzák meg, hogy a rendszer mennyire lesz védett, és mennyibe kerül a személyes adatok kezelőjének a védelem.

Ha eldöntötte egy adott ISPD kezdeti adatait, beleértve az aktuális fenyegetések típusát, akkor meghatározhatja annak biztonsági szintjét. A biztonsági szint kényelmes meghatározásához használja a következő táblázatot, amely a PP-1119-en alapul:

ISPDn típus	Az üzemeltető alkalmazottai	Tantárgyak száma	A jelenlegi fenyegetések típusa
			1 (NDV OS)	2 (NDV PO)	3 (NDV nélkül)
ISPDn-S (különleges)	Nem	> 100 000	UZ-1	UZ-1	UZ-2
	Nem	< 100 000	UZ-1	UZ-2	UZ-3
	Igen
ISPDn-B (biometrikus)			UZ-1	UZ-2	UZ-3
ISPDn-I (egyéb)	Nem	> 100 000	UZ-1	UZ-2	UZ-3
	Nem	< 100 000	UZ-2	UZ-3	UZ-4
	Igen
ISPDn-O (nyilvános)	Nem	> 100 000	UZ-2	UZ-2	UZ-4
	Nem	< 100 000	UZ-2	UZ-3	UZ-4
	Igen

A PD-biztonság választott szintjétől függően a PP-1119 számos követelményt határoz meg a személyes adatok védelmére vonatkozóan, amelyeket az üzemeltető (jogosult személy) önállóan és (vagy) jogi személyek és magánszemélyek bevonásával szervez és hajt végre. szerződéses alapon, bizalmas információk műszaki védelmével kapcsolatos tevékenység végzésére engedéllyel rendelkező vállalkozók. A követelmények betartásának ellenőrzését az üzemeltető (jogosult) által meghatározott időkereten belül legalább 3 évente el kell végezni.

Követelmények	Szintek Biztonság
Követelmények
Biztonsági rendszer megszervezése azon helyiségek számára, ahol az információs rendszer található, megakadályozva, hogy olyan személyek ellenőrizetlen belépést vagy tartózkodást engedjenek ezekbe a helyiségekbe, akik nem férnek hozzá ezekhez a helyiségekhez	+	+	+	+
A személyes adathordozók biztonságának biztosítása	+	+	+	+
Az üzemeltető vezetője jóváhagyja azon személyek listáját, akiknek az információs rendszerben kezelt személyes adataihoz hivatali (munkaügyi) feladataik ellátásához hozzáférése szükséges.	+	+	+	+
Olyan információbiztonsági eszközök használata, amelyek átmentek az Orosz Föderáció információbiztonsági jogszabályai követelményeinek való megfelelés értékelésére szolgáló eljáráson, olyan esetekben, amikor ilyen eszközök használata szükséges a jelenlegi fenyegetések semlegesítéséhez	+	+	+	+
Az ISPD-ben a személyes adatok biztonságának biztosításáért felelős tisztviselő kijelölése	+	+	+	-
Az elektronikus üzenetnapló tartalmához való hozzáférés korlátozása	+	+	-	-
Az üzemeltető alkalmazottjának az információs rendszerben tárolt személyes adatokhoz való hozzáférési jogkörében bekövetkezett változások automatikus regisztrálása az elektronikus biztonsági naplóban	+	-	-	-
Az információs rendszerben található személyes adatok biztonságának biztosításáért felelős strukturális egység létrehozása, vagy az ilyen biztonságot biztosító funkciók kijelölése valamelyik szerkezeti egységhez	+	-	-	-

Miután döntött a személyes adatok védelmére vonatkozó követelményekről a PP-1119 szerint, folytathatja a személyes adatok biztonságát biztosító szervezési és technikai intézkedések kiválasztását az FSTEC 21. számú rendeletének követelményei alapján. Oroszország 2013. február 18-án kelt. célja a személyes adatok biztonságát fenyegető jelenlegi veszélyek semlegesítése.

Mi a teendő az információbiztonsági eszközökkel, amelyek tanúsítványait korábban bizonyos ISPD osztályokhoz adtak ki?

Az oroszországi FSTEC 2012. november 20-i N 240/24/4669 „A személyes adatok védelmének jellemzőiről a személyes adatok információs rendszerekben történő feldolgozása során és a védelmet szolgáló információbiztonsági eszközök tanúsításáról” című tájékoztató üzenetének megfelelően. személyes adatokról”, az orosz FSTEC által kiadott megfelelőségi tanúsítványok az orosz FSTEC szabályozási jogi aktusának (értsd: 21. számú rendelet) hatálybalépése előtt, amely meghatározza a szervezeti és technikai intézkedések összetételét és tartalmát a biztonságot garantáló szervezeti és technikai intézkedésekről. a személyes adatok a személyes adatok információs rendszerekben történő feldolgozása során nem képezik újraregisztrálás tárgyát.
osztályú személyes adatok információs rendszerekben feldolgozott személyes adatok védelmére használható információbiztonsági eszközök a személyes adatok információs rendszerekben kezelt személyes adatok biztonságának biztosítására 1. szintig bezárólag;
osztályú személyes adatok információs rendszerekben kezelt személyes adatok védelmére használható információbiztonsági eszközökkel biztosítható a személyes adatok információs rendszereiben kezelt személyes adatok 4. szintű biztonsága.

AZ OROSZ FÖDERÁCIÓ KORMÁNYA

FELBONTÁS

A személyes adatok személyes adatok információs rendszerekben történő kezelése során történő biztonságának biztosításáról szóló szabályzat jóváhagyásáról

2012. november 15-én elvesztett ereje alapján
az Orosz Föderáció kormányának határozatai
2012. november 1-jén kelt N 1119
____________________________________________________________________

A személyes adatokról szóló szövetségi törvény 19. cikkével összhangban az Orosz Föderáció kormánya

úgy dönt:

1. Hagyja jóvá a csatolt Szabályzatot a személyes adatok biztonságának biztosításáról a személyes adatok információs rendszerekben történő kezelése során.

(2) Az Orosz Föderáció Szövetségi Biztonsági Szolgálata és a Szövetségi Műszaki és Exportellenőrzési Szolgálat – hatáskörükön belül – 3 hónapon belül jóváhagyja a szabályzatban előírt követelmények teljesítéséhez szükséges szabályozási jogi aktusokat és módszertani dokumentumokat. határozattal jóváhagyta.

a kormány elnöke
Orosz Föderáció

Szabályzat a személyes adatok biztonságának biztosításáról a személyes adatok információs rendszerekben történő kezelése során

JÓVÁHAGYOTT
kormányhatározat
Orosz Föderáció
2007. november 17-én kelt N 781

1. Jelen Szabályzat követelményeket állapít meg a személyes adatok biztonságának biztosítására a személyes adatok adatbázisokban tárolt információs rendszerekben történő kezelése során, valamint olyan információs technológiákat és technikai eszközöket, amelyek lehetővé teszik az ilyen személyes adatok feldolgozását automatizálási eszközök (a továbbiakban: információs rendszerek). *1)

A személyes adatok feldolgozását lehetővé tevő technikai eszközök alatt számítástechnikai eszközök, információs és számítástechnikai komplexumok és hálózatok, személyes adatok továbbítására, fogadására és feldolgozására szolgáló eszközök és rendszerek (hangrögzítésre, hangerősítésre, hangvisszaadásra szolgáló eszközök és rendszerek, kaputelefon és televízió) értendők. eszközök, gyártási eszközök, dokumentum sokszorosítás és egyéb technikai eszközök a beszéd, grafikus, videó és alfanumerikus információk feldolgozására, szoftverek (operációs rendszerek, adatbázis-kezelő rendszerek stb.), információs rendszerekben használt információbiztonsági eszközök.

2. A személyes adatok biztonsága a személyes adatokhoz való jogosulatlan, ideértve a véletlenszerű hozzáférés kizárásával valósul meg, amely a személyes adatok megsemmisítését, módosítását, zárolását, másolását, terjesztését, valamint egyéb jogosulatlan cselekményeket eredményezhet.

A személyes adatok információs rendszerekben történő feldolgozása során a személyes adatok biztonságát személyes adatvédelmi rendszer biztosítja, ideértve az információ védelmét szolgáló szervezeti intézkedéseket és eszközöket (ideértve a titkosítási (kriptográfiai) eszközöket, a jogosulatlan hozzáférés megakadályozását, a technikai csatornákon keresztüli információszivárgást, szoftvereket, ill. hardverhatások a személyes adatok feldolgozásának technikai eszközeire), valamint az információs rendszerben használt információs technológiák. A hardvernek és a szoftvernek meg kell felelnie az Orosz Föderáció jogszabályaival összhangban meghatározott követelményeknek az információk védelmének biztosítása érdekében.

A személyes adatok biztonsága érdekében az információs rendszerekben történő feldolgozásuk során védelem biztosított a beszédinformációk és a technikai eszközökkel feldolgozott információk, valamint az informatív elektromos jelek, fizikai mezők, papíron, mágneses, mágneses adathordozók formájában megjelenő információk számára. -optikai és egyéb alapok.

3. Az információs rendszerekben található információk védelmének módszereit és eszközeit az Orosz Föderáció Szövetségi Műszaki és Exportellenőrzési Szolgálata és az Orosz Föderáció Szövetségi Biztonsági Szolgálata határozza meg hatáskörük keretein belül. *3.1)

A személyes adatok információs rendszerekben történő feldolgozása során megtett intézkedések megfelelőségét az állami ellenőrzés és felügyelet során értékelik.

4. Az információs rendszerek létrehozására irányuló munka szerves részét képezi a személyes adatok biztonságának biztosítására irányuló munka az információs rendszerekben történő feldolgozásuk során.

5. Az információs rendszerekben használt információbiztonsági eszközök a megállapított eljárásnak megfelelően megfelelőségértékelési eljáráson esnek át.

6. Az információs rendszereket a személyes adatok kezelését szervező és (vagy) végző, valamint a személyes adatok kezelésének célját és tartalmát meghatározó állami szervek, önkormányzati szervek, jogi személyek vagy magánszemélyek minősítik (a továbbiakban: üzemeltető), az általuk kezelt személyes adatok mennyiségétől, valamint az egyén, a társadalom és az állam létfontosságú érdekeit fenyegető biztonsági veszélyektől függően.

Az információs rendszerek osztályozási eljárását a Szövetségi Műszaki és Exportellenőrzési Szolgálat, az Orosz Föderáció Szövetségi Biztonsági Szolgálata és az Orosz Föderáció Információs Technológiai és Kommunikációs Minisztériuma közösen állapítja meg.*6.2)

7. Az információs rendszerekben történő feldolgozásuk során a személyes adatok cseréje kommunikációs csatornákon keresztül történik, amelyek védelme megfelelő szervezési intézkedések végrehajtásával és (vagy) technikai eszközök alkalmazásával biztosított.

8. Az információs rendszerek, speciális berendezések elhelyezése és a személyes adatokkal végzett munkavégzés helyének biztonsága, ezen helyiségekben a biztonsági rendszer megszervezése biztosítani kell a személyes adathordozók és az információbiztonsági eszközök biztonságát, továbbá kizárja a idegenek ellenőrizetlen belépésének vagy jelenlétének lehetősége ezekbe a helyiségekbe

9. A személyes adatok információs rendszerekben történő feldolgozása során az információszivárgás lehetséges csatornáit a Szövetségi Műszaki és Exportellenőrzési Szolgálat és az Orosz Föderáció Szövetségi Biztonsági Szolgálata határozza meg hatáskörük keretein belül.

10. Az információs rendszerben történő kezelés során a személyes adatok biztonságáról az üzemeltető, illetve az a személy gondoskodik, akire az üzemeltető megállapodás alapján a személyes adatok kezelését megbízza (a továbbiakban: meghatalmazott). A szerződés elengedhetetlen feltétele a meghatalmazott kötelezettsége, hogy az információs rendszerben történő feldolgozás során gondoskodjon a személyes adatok titkosságáról és a személyes adatok biztonságáról.

11. A személyes adatok információs rendszerben történő kezelése során a következőkről kell gondoskodni:

a) olyan intézkedések megtétele, amelyek célja a személyes adatokhoz való jogosulatlan hozzáférés megakadályozása és (vagy) azok olyan személyek számára történő továbbítása, akik nem jogosultak az ilyen információkhoz való hozzáférésre;

b) a személyes adatokhoz való jogosulatlan hozzáférés tényeinek időben történő felismerése;

c) megakadályozza a személyes adatok automatizált feldolgozásának technikai eszközeire való befolyást, aminek következtében azok működése megszakadhat;

d) a jogosulatlan hozzáférés miatt módosított vagy megsemmisült személyes adatok azonnali helyreállításának lehetősége;

e) a személyes adatok biztonságának biztosításának folyamatos ellenőrzése.

12. A személyes adatok biztonságát biztosító intézkedések az információs rendszerekben történő feldolgozásuk során:

a) a személyes adatok biztonságát fenyegető veszélyek azonosítása azok feldolgozása során, ezek alapján fenyegetettségi modell kialakítása;

b) a fenyegetési modellen alapuló olyan személyes adatvédelmi rendszer kidolgozása, amely biztosítja az állítólagos fenyegetések semlegesítését az információs rendszerek megfelelő osztályához biztosított személyes adatok védelmének módszereivel és módszereivel;

c) az információbiztonsági eszközök használhatóságának ellenőrzése, következtetések levonásával azok működési lehetőségére vonatkozóan;

d) információbiztonsági eszközök telepítése és üzembe helyezése az üzemeltetési és műszaki dokumentáció szerint;

e) az információs rendszerekben használt információbiztonsági eszközöket használó személyek oktatása a velük való munkavégzés szabályairól;

f) az alkalmazott információvédelmi eszközök, az ezekre vonatkozó működési és műszaki dokumentációk, személyes adathordozók elszámolása;

g) az információs rendszerben a személyes adatokkal való foglalkozásra jogosultak elszámolása;

h) az információbiztonsági eszközök használatára vonatkozó üzemeltetési és műszaki dokumentációban előírt feltételek betartásának ellenőrzése;

i) a személyes adathordozók tárolási feltételeinek be nem tartása, a személyes adatok bizalmas kezelésének megsértéséhez vagy egyéb, a titkosság szintjének csökkenéséhez vezető információbiztonsági intézkedések alkalmazása tényeinek kivizsgálása és következtetések levonása a személyes adatok biztonsága, intézkedések kidolgozása és elfogadása az ilyen jogsértések lehetséges veszélyes következményeinek megelőzésére;

j) a személyes adatvédelmi rendszer leírása.

13. A személyes adatok információs rendszerben történő feldolgozása során a személyes adatok biztonságát biztosító intézkedések kidolgozására és végrehajtására az üzemeltető vagy meghatalmazott személy a személyes adatok biztonságának biztosításáért felelős szerkezeti egységet vagy tisztviselőt (alkalmazottat) jelölhet ki.

14. Azok a személyek, akiknek az információs rendszerben kezelt személyes adataihoz hatósági (munkaügyi) feladatok ellátásához szükséges hozzáférése, a vonatkozó személyes adatokhoz az üzemeltető vagy meghatalmazott által jóváhagyott lista alapján férhetnek hozzá.

15. Az információs rendszer felhasználóitól – ideértve a jelen Szabályzat 14. pontjában meghatározott személyeket is – személyes adatok megszerzésére irányuló kérelmeket, valamint az ezen kérelmekre vonatkozó személyes adatok megadásának tényeit az információs rendszer automatizált eszközével rögzíti az elektronikus naplóban. kérésekről. Az elektronikus kérelmek napló tartalmát az üzemeltető vagy meghatalmazott illetékes tisztségviselői (alkalmazottai) időszakonként ellenőrzik.

16. A személyes adatok megadására vonatkozó eljárás megsértésének észlelése esetén az üzemeltető vagy a meghatalmazott haladéktalanul felfüggeszti a személyes adatoknak az információs rendszer felhasználói számára történő szolgáltatását a jogsértés okainak feltárásáig és ezen okok megszüntetéséig.

17. Az információbiztonsági eszközökben az információbiztonság biztosítására vonatkozó követelmények megvalósítása a fejlesztők feladata.

A kifejlesztett titkosítási (kriptográfiai) információbiztonsági eszközökhöz kapcsolódóan, amelyek célja a személyes adatok biztonságának biztosítása az információs rendszerekben történő feldolgozásuk során, esettanulmányok és kontrollesettanulmányok készülnek az információbiztonsági követelmények betartásának igazolására. Ebben az esetben az esettanulmányok alatt az információbiztonsági eszközök kriptográfiai, mérnöki-kriptográfiai és speciális tanulmányait, valamint az információs rendszerek műszaki eszközeivel végzett speciális munkákat, a kontroll esettanulmányok pedig időszakosan végzett esettanulmányokat értünk.

Az ellenőrzési esettanulmányok elvégzésének konkrét határidejét az Orosz Föderáció Szövetségi Biztonsági Szolgálata határozza meg.

18. A megfelelőségértékelés és (vagy) esettanulmányok eredményeit a személyes adatok biztonságának biztosítására tervezett információbiztonsági eszközök információs rendszerekben történő feldolgozása során a Szövetségi Műszaki és Exportellenőrzési Szolgálat és a Szövetségi Hivatal által végzett vizsgálat során értékelik. Az Orosz Föderáció Biztonsági Szolgálata hatáskörükön belül.

19. Az információbiztonsági intézkedéseket, amelyek célja a személyes adatok biztonságának biztosítása az információs rendszerekben történő feldolgozásuk során, ezen eszközök használatára vonatkozó szabályok kísérik, amelyekről a Szövetségi Műszaki és Exportellenőrzési Szolgálattal és az Orosz Föderáció Szövetségi Biztonsági Szolgálatával állapodtak meg. hatáskörük határain belül.

Az e szabályokban előírt információvédelmi eszközök használatának feltételeiben bekövetkezett változásokat hatáskörük keretein belül ezekkel a szövetségi végrehajtó hatóságokkal egyeztetik.

20. A személyes adatok információs rendszerekben történő feldolgozása során a személyes adatok biztonságát biztosító információbiztonsági intézkedéseket indexek vagy kódnevek és regisztrációs számok használatával kell elszámolni. Az indexek, kódnevek és regisztrációs számok listáját a Szövetségi Műszaki és Exportellenőrzési Szolgálat és az Orosz Föderáció Szövetségi Biztonsági Szolgálata határozza meg hatáskörük keretein belül.

21. Az információvédelmi titkosítási (kriptográfiai) eszközök fejlesztésének, előállításának, megvalósításának és működésének jellemzőit, valamint a személyes adatok titkosítására szolgáló szolgáltatásokat az információs rendszerekben történő feldolgozásuk során az Orosz Föderáció Szövetségi Biztonsági Szolgálata állapítja meg.

Elektronikus dokumentum szövege
a Kodeks JSC készítette és ellenőrzi:
Jogszabálygyűjtemény
Orosz Föderáció,
N 48, 2007.11.26., 6001. sz

Az Orosz Föderáció kormányának 2012. november 1-jei N 1119 rendelete
"A személyes adatok személyes adatok információs rendszerekben történő kezelése során történő védelmére vonatkozó követelmények jóváhagyásáról"

A személyes adatokról szóló szövetségi törvény 19. cikkével összhangban az Orosz Föderáció kormánya úgy határoz:

1. Jóváhagyja a mellékelt követelményeket a személyes adatok védelmére a személyes adatok információs rendszerekben történő feldolgozása során.

2. Érvénytelennek ismerje el az Orosz Föderáció kormányának 2007. november 17-i N 781 „A személyes adatok személyes adatok információs rendszerekben történő feldolgozásuk során történő biztonságának biztosításáról szóló szabályzat jóváhagyásáról” szóló rendeletét (Az Orosz Föderáció összegyűjtött jogszabályai). , 2007, N 48, Art. 6001) .

Követelmények
a személyes adatok védelmére a személyes adatok információs rendszerekben történő feldolgozása során
(jóváhagyva az Orosz Föderáció kormányának 2012. november 1-jei N 1119 rendeletével)

1. Ez a dokumentum meghatározza a személyes adatok védelmére vonatkozó követelményeket a személyes adatok információs rendszereiben (a továbbiakban: információs rendszerekben) történő feldolgozás esetén, valamint az ilyen adatok biztonsági szintjeit.

2. Az információs rendszerben feldolgozott személyes adatok biztonságát olyan személyes adatvédelmi rendszer biztosítja, amely semlegesíti a 19. cikk 5. részével összhangban azonosított aktuális fenyegetéseket.

A személyes adatok védelmi rendszere a személyes adatok biztonságát fenyegető aktuális veszélyek és az információs rendszerekben használt információs technológiák figyelembevételével meghatározott szervezési és (vagy) technikai intézkedéseket tartalmaz.

3. Az információs rendszerben feldolgozott személyes adatok biztonságát a rendszer üzemeltetője, aki személyes adatot kezel (a továbbiakban: üzemeltető), vagy az üzemeltető megbízásából személyes adatot feldolgozó személy gondoskodik. az ezzel a személlyel (a továbbiakban: meghatalmazott) kötött megállapodás alapján. Az üzemeltető és a meghatalmazott közötti megállapodásnak rendelkeznie kell a meghatalmazott azon kötelezettségéről, hogy az információs rendszerben történő feldolgozás során gondoskodjon a személyes adatok biztonságáról.

4. A személyes adatok védelmére szolgáló rendszer információbiztonsági eszközeinek megválasztását az üzemeltető az Orosz Föderáció Szövetségi Biztonsági Szolgálata és a Szövetségi Műszaki és Exportellenőrzési Szolgálat által a 4. rész értelmében elfogadott szabályozási jogi aktusokkal összhangban végzi el. a „Személyes adatokról” szóló szövetségi törvény 19. cikke.

5. Az információs rendszer olyan információs rendszer, amely a személyes adatok különleges kategóriáit kezeli, ha az érintettek faji, nemzetiségi, politikai nézetei, vallási vagy filozófiai meggyőződése, egészségi állapota, intim élete vonatkozásában személyes adatokat kezel.

Az információs rendszer olyan információs rendszer, amely biometrikus személyes adatot dolgoz fel, ha olyan információt dolgoz fel, amely a személy fiziológiai és biológiai jellemzőit jellemzi, amelyek alapján megállapítható a személyazonossága, és amelyet az üzemeltető a személyazonosságának megállapítására használ fel. személyes adatok alanya, és nem kezel különleges kategóriájú személyes adatokkal kapcsolatos információkat.

Az információs rendszer olyan információs rendszer, amely nyilvánosan elérhető személyes adatokat dolgoz fel, ha a személyes adatok alanyainak személyes adatait csak a „Személyes adatokról” szóló szövetségi törvény 8. cikkével összhangban létrehozott, nyilvánosan elérhető személyes adatok forrásaiból szerezték be.

Az információs rendszer olyan információs rendszer, amely más kategóriájú személyes adatokat kezel, ha nem az e bekezdés (1)–3. pontjában meghatározott személyes adatokat kezeli.

Az információs rendszer olyan információs rendszer, amely az üzemeltető alkalmazottainak személyes adatait kezeli, ha csak meghatározott munkavállalók személyes adatait kezeli. Egyéb esetekben a személyes adatok információs rendszere olyan információs rendszer, amely azon személyes érintettek személyes adatait dolgozza fel, akik nem az üzemeltető alkalmazottai.

6. A személyes adatok biztonságát fenyegető aktuális veszélyek alatt olyan feltételek és tényezők összességét kell érteni, amelyek az információs rendszerben történő feldolgozása során a személyes adatokhoz való jogosulatlan, ideértve a véletlenszerű hozzáférés aktuális veszélyét is megteremtik, amely a személyes adatok megsemmisülését, módosítását eredményezheti, személyes adatok zárolása, másolása, rendelkezésre bocsátása, terjesztése, valamint egyéb jogellenes cselekmények.

Az 1-es típusú fenyegetések akkor relevánsak egy információs rendszerre nézve, ha az információs rendszerben használt rendszerszoftver dokumentálatlan (bejelentetlen) képességeinek jelenlétével kapcsolatos fenyegetések is relevánsak számára.

A 2. típusú fenyegetések akkor relevánsak egy információs rendszer esetében, ha az információs rendszerben használt alkalmazási szoftverben dokumentálatlan (be nem jelentett) képességek jelenlétével kapcsolatos fenyegetések is relevánsak számára.

A 3-as típusú fenyegetések akkor relevánsak egy információs rendszer számára, ha olyan fenyegetések relevánsak számára, amelyek nem a rendszerben és az információs rendszerben használt alkalmazási szoftverekben nem dokumentált (bejelentetlen) képességek jelenlétével kapcsolatosak.

7. Az információs rendszer szempontjából releváns személyes adatok biztonságát fenyegető veszélyek típusának meghatározását az üzemeltető végzi el, figyelembe véve a szövetségi törvény 18.1. cikke 1. részének 5. bekezdése alapján elvégzett lehetséges károk értékelését. „A személyes adatokról” és a „Személyes adatokról” szóló szövetségi törvény 19. cikkének 5. része alapján elfogadott szabályozási jogi aktusokkal összhangban.

8. A személyes adatok információs rendszerekben történő feldolgozásakor a személyes adatok biztonságának 4 szintje kerül megállapításra.

9. Az információs rendszerben feldolgozott személyes adatok I. szintű biztonságának biztosításának szükségessége akkor állapítható meg, ha az alábbi feltételek közül legalább egy fennáll:

a) az 1. típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer a személyes adatok speciális kategóriáit, vagy biometrikus személyes adatokat, vagy más kategóriájú személyes adatokat kezel;

b) a 2. típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer több mint 100 000 olyan személyes adatalany különleges kategóriájú személyes adatait dolgozza fel, akik nem az üzemeltető alkalmazottai.

10. Az információs rendszerben történő feldolgozás során a személyes adatok 2. szintű biztonságának biztosításának szükségessége akkor állapítható meg, ha az alábbi feltételek közül legalább egy fennáll:

a) az 1. típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer nyilvánosan elérhető személyes adatokat dolgoz fel;

b) a 2-es típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer az üzemeltető alkalmazottainak speciális személyes adatait vagy 100 000-nél kevesebb olyan személyes adatot kezel, akik nem az üzemeltető alkalmazottai;

c) a 2. típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer biometrikus személyes adatokat dolgoz fel;

d) a 2. típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer több mint 100 000 olyan személyes érintett nyilvánosan elérhető személyes adatait dolgozza fel, akik nem az üzemeltető alkalmazottai;

e) a 2-es típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer több mint 100 000 olyan személyes érintett személyes adatait dolgozza fel, akik nem az üzemeltető alkalmazottai;

f) a 3-as típusú fenyegetések az információs rendszer szempontjából relevánsak, és az információs rendszer több mint 100 000 olyan személyes adatot kezel, akik nem az üzemeltető alkalmazottai.

11. A személyes adatok információs rendszerben történő feldolgozása során a 3. szintű biztonság biztosításának szükségessége akkor állapítható meg, ha az alábbi feltételek közül legalább egy fennáll:

a) a 2-es típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer az üzemeltető alkalmazottainak nyilvánosan elérhető személyes adatait vagy 100 000-nél kevesebb olyan személyes adatot kezeli, akik nem az üzemeltető alkalmazottai;

b) a 2-es típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer az üzemeltető alkalmazottainak más kategóriájú személyes adatait vagy 100 000-nél kevesebb olyan személyes adatot kezel, akik nem az üzemeltető alkalmazottai;

c) a 3-as típusú fenyegetések relevánsak az információs rendszer szempontjából, és az információs rendszer az üzemeltető alkalmazottainak speciális kategóriáinak személyes adatait, vagy 100 000-nél kevesebb olyan személyes adatot kezel, akik nem az üzemeltető alkalmazottai;

d) a 3. típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer biometrikus személyes adatokat dolgoz fel;

e) a 3-as típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer több mint 100 000 olyan személyes érintett személyes adatait dolgozza fel, akik nem az üzemeltető alkalmazottai.

12. A személyes adatok információs rendszerben történő feldolgozása során a 4. szintű biztonság biztosításának szükségessége akkor állapítható meg, ha az alábbi feltételek közül legalább egy fennáll:

a) a 3. típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer nyilvánosan elérhető személyes adatokat dolgoz fel;

b) a 3-as típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer az üzemeltető alkalmazottainak más kategóriájú személyes adatait vagy 100 000-nél kevesebb olyan személyes adatot kezel, akik nem az üzemeltető alkalmazottai.

13. A személyes adatok információs rendszerekben történő feldolgozása során a 4. biztonsági szint biztosítása érdekében az alábbi követelményeknek kell megfelelni:

a) biztonsági rendszer megszervezése azon helyiségek számára, amelyekben az információs rendszer található, megakadályozva, hogy a helyiségbe be nem férő személyek ellenőrizetlenül beléphessenek vagy tartózkodjanak ott;

b) a személyes adathordozók biztonságának biztosítása;

c) az információs rendszerben kezelt személyes adatokhoz való hozzáférést hivatali (munkaügyi) feladataik ellátásához szükséges személyek listáját meghatározó dokumentum üzemeltetőjének jóváhagyása;

d) olyan információbiztonsági eszközök használata, amelyek átmentek az Orosz Föderáció információbiztonsági jogszabályai követelményeinek való megfelelés értékelésére szolgáló eljáráson, olyan esetekben, amikor ilyen eszközök használata szükséges a jelenlegi fenyegetések semlegesítéséhez.

14. A személyes adatok információs rendszerekben történő feldolgozása során a 3. szintű biztonság érdekében a jelen dokumentum 13. pontjában foglalt követelmények teljesítése mellett a biztonság biztosításáért felelős tisztségviselő (alkalmazott) kijelölése szükséges. az információs rendszerben tárolt személyes adatokról.

15. A személyes adatok információs rendszerekben történő feldolgozása során a 2. szintű biztonság érdekében a jelen dokumentum 14. pontjában foglalt követelmények teljesítése mellett szükséges, hogy az elektronikus üzenetnapló tartalmához csak az üzemeltető tisztségviselői (alkalmazottai) vagy meghatalmazottja számára, akik számára a meghatározott folyóiratban szereplő információk a hivatali (munkaügyi) feladatok ellátásához szükségesek.

16. A személyes adatok I. szintű biztonságának biztosítása érdekében az információs rendszerekben történő feldolgozás során a jelen dokumentum 15. pontjában foglalt követelményeken túl az alábbi követelményeknek kell megfelelni:

a) az üzemeltető alkalmazottjának az információs rendszerben található személyes adatokhoz való hozzáférési jogkörében bekövetkezett változások automatikus rögzítése az elektronikus biztonsági naplóban;

b) az információs rendszerben található személyes adatok biztonságának biztosításáért felelős strukturális egység létrehozása, vagy az ilyen biztonságot biztosító funkciók kijelölése valamelyik szerkezeti egységhez.

17. A jelen követelmények betartásának ellenőrzését az üzemeltető (jogosult személy) önállóan és (vagy) olyan jogi személyek és egyéni vállalkozók bevonásával, szerződéses alapon szervezi meg és végzi el, akik jogosultak titoktartási műszaki tevékenység végzésére. információ. A meghatározott ellenőrzést 3 évente legalább egyszer, az üzemeltető (jogosult személy) által meghatározott határidőn belül kell elvégezni.

AZ OROSZ FÖDERÁCIÓ KORMÁNYA

A KÖVETELMÉNYEK JÓVÁHAGYÁSÁRÓL

A személyes adatokról szóló szövetségi törvény 19. cikkével összhangban az Orosz Föderáció kormánya úgy határoz:

1. Jóváhagyja a mellékelt követelményeket a személyes adatok védelmére a személyes adatok információs rendszerekben történő feldolgozása során.

a kormány elnöke
Orosz Föderáció
D.MEDVEDEV

Jóváhagyott
kormányhatározat
Orosz Föderáció
2012. november 1-jén kelt N 1119

KÖVETELMÉNYEK
A SZEMÉLYES ADATOK VÉDELME FELDOLGOZÁSUK SORÁN
SZEMÉLYES ADATOK INFORMÁCIÓS RENDSZEREI

2. Az információs rendszerben feldolgozott személyes adatok biztonságát olyan személyes adatvédelmi rendszer biztosítja, amely semlegesíti a „Személyes adatokról” szóló szövetségi törvény 19. cikkének 5. részével összhangban azonosított aktuális fenyegetéseket.

Az információs rendszer olyan információs rendszer, amely más kategóriájú személyes adatokat kezel, ha nem az e bekezdés (1)–3. pontjában meghatározott személyes adatokat kezeli.

7. Az információs rendszer szempontjából releváns személyes adatok biztonságát fenyegető veszélyek típusát az üzemeltető határozza meg, figyelembe véve a szövetségi törvény 18.1. cikke 1. részének 5. bekezdése alapján elvégzett lehetséges károk értékelését. A személyes adatokról”, valamint a „Személyes adatokról” szóló szövetségi törvény 19. cikkének 5. része alapján elfogadott szabályozási jogi aktusokkal összhangban.

8. A személyes adatok információs rendszerekben történő feldolgozásakor a személyes adatok biztonságának 4 szintje kerül megállapításra.

a) az 1. típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer nyilvánosan elérhető személyes adatokat dolgoz fel;

c) a 2. típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer biometrikus személyes adatokat dolgoz fel;

d) a 3. típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer biometrikus személyes adatokat dolgoz fel;

a) a 3. típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer nyilvánosan elérhető személyes adatokat dolgoz fel;

13. A személyes adatok információs rendszerekben történő feldolgozása során a 4. biztonsági szint biztosítása érdekében az alábbi követelményeknek kell megfelelni:

b) a személyes adathordozók biztonságának biztosítása;

AZ OROSZ FÖDERÁCIÓ KORMÁNYA

FELBONTÁS

A személyes adatok védelmére vonatkozó követelmények jóváhagyásáról a személyes adatok információs rendszerekben történő feldolgozása során

A személyes adatokról szóló szövetségi törvény 19. cikkével összhangban az Orosz Föderáció kormánya

úgy dönt:

1. Jóváhagyja a mellékelt követelményeket a személyes adatok védelmére a személyes adatok információs rendszerekben történő feldolgozása során.

a kormány elnöke
Orosz Föderáció
D.Medvegyev

A személyes adatok védelmére vonatkozó követelmények a személyes adatok információs rendszerekben történő feldolgozása során

JÓVÁHAGYOTT
kormányhatározat
Orosz Föderáció
2012. november 1-jén kelt N 1119

Az információs rendszer olyan információs rendszer, amely más kategóriájú személyes adatokat kezel, ha nem az e bekezdés (1)–3. pontjában meghatározott személyes adatokat kezeli.

7. Az információs rendszer szempontjából releváns személyes adatok biztonságát fenyegető veszélyek típusának meghatározását az üzemeltető határozza meg, figyelembe véve a szövetségi törvény 18_1. cikke 1. részének 5. bekezdése alapján elvégzett lehetséges károk értékelését. A személyes adatokról”, valamint a „Személyes adatokról” szóló szövetségi törvény 19. cikkének 5. része alapján elfogadott szabályozási jogi aktusokkal összhangban.

8. A személyes adatok információs rendszerekben történő feldolgozásakor a személyes adatok biztonságának 4 szintje kerül megállapításra.

a) az 1. típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer nyilvánosan elérhető személyes adatokat dolgoz fel;

c) a 2. típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer biometrikus személyes adatokat dolgoz fel;

d) a 3. típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer biometrikus személyes adatokat dolgoz fel;

a) a 3. típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer nyilvánosan elérhető személyes adatokat dolgoz fel;

13. A személyes adatok információs rendszerekben történő feldolgozása során a 4. biztonsági szint biztosítása érdekében az alábbi követelményeknek kell megfelelni:

b) a személyes adathordozók biztonságának biztosítása;

Elektronikus dokumentum szövege
Kodeks JSC készítette és ellenőrzi.