Բանաձև՝ անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների պաշտպանության պահանջների հաստատման մասին - «Ռոսիյսկայա գազետա»: Անձնական տվյալների պաշտպանության մակարդակները դասերի փոխարեն Կառավարության 1119 որոշումը
Ռուսաստանի Դաշնության Կառավարության 2012 թվականի նոյեմբերի 1-ի թիվ 1119 որոշմամբ թաղվել են անհատական տվյալների տեղեկատվական համակարգերի դասերը, որոնք արդեն ծանոթ էին բոլորին:
Դասերի փոխարեն, համաձայն նոր որոշման, սահմանվում են տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների անվտանգության չորս մակարդակ և դրանցից յուրաքանչյուրին ներկայացվող պահանջներ։ Տեղեկատվական համակարգերի վերագրումը անվտանգության որոշակի մակարդակի կատարվում է կախված անձնական տվյալների տեսակից, որը մշակում է տեղեկատվական համակարգը, ընթացիկ սպառնալիքների տեսակը, տեղեկատվական համակարգի կողմից մշակված անձնական տվյալների սուբյեկտների քանակը և որոնց անձնական տվյալները: կոնտինգենտը մշակվում է.
Անձնական տվյալների տեղեկատվական համակարգերը (PDIS), համաձայն թիվ 1119 որոշման 5-րդ կետի, բաժանվում են 4 խմբի.
- Հատուկ ISPD
եթե ISPD-ն մշակում է ռասային, ազգությանը, քաղաքական հայացքներին, կրոնական կամ փիլիսոփայական համոզմունքներին, առողջական վիճակին, անձնական տվյալների սուբյեկտների ինտիմ կյանքին վերաբերող անձնական տվյալները.
- Կենսաչափական ISPD
եթե ISPD-ն մշակում է անձի ֆիզիոլոգիական և կենսաբանական բնութագրերը բնութագրող տեղեկատվություն, որի հիման վրա կարող է պարզվել նրա ինքնությունը և որն օգտագործվում է օպերատորի կողմից անձնական տվյալների սուբյեկտի ինքնությունը հաստատելու և հատուկ կատեգորիաների հետ կապված տեղեկությունները. անձնական տվյալները չեն մշակվում.
- Հանրային ISPD
եթե ISPD-ն մշակում է անձնական տվյալների սուբյեկտների անձնական տվյալները, որոնք ստացվել են միայն «Անձնական տվյալների մասին» դաշնային օրենքի 8-րդ հոդվածի համաձայն ստեղծված անձնական տվյալների հանրայնորեն մատչելի աղբյուրներից.
- Այլ ISPDn
եթե ISPD-ն մշակում է անձնական տվյալների սուբյեկտների անձնական տվյալները, որոնք ներկայացված չեն նախորդ երեք խմբերում:
Ելնելով ձեր կազմակերպության և սուբյեկտների միջև փոխհարաբերությունների ձևից՝ մշակումը բաժանվում է 2 տեսակի.
- աշխատողների անձնական տվյալների մշակում (սուբյեկտներ, որոնց հետ ձեր կազմակերպությունը աշխատանքային հարաբերություններ ունի).
- Ձեր կազմակերպության աշխատակից չհանդիսացող սուբյեկտների անձնական տվյալների մշակում:
Ելնելով այն սուբյեկտների թվից, որոնց անձնական տվյալները մշակվում են՝ թիվ 1119 որոշմամբ սահմանվում է ընդամենը 2 կատեգորիա.
- 100000-ից պակաս առարկաներ;
- ավելի քան 100000 առարկա;
Եւ, վերջապես, ընթացիկ սպառնալիքների տեսակները.
- 1-ին տիպի սպառնալիքները կապված են ISPD-ում օգտագործվող համակարգի ծրագրային ապահովման մեջ չհայտարարված (չփաստաթղթավորված) հնարավորությունների առկայության հետ.
- 2-րդ տիպի սպառնալիքները կապված են ISPD-ում օգտագործվող կիրառական ծրագրերում չհայտարարված հնարավորությունների առկայության հետ.
- 3-րդ տիպի սպառնալիքները կապված չեն ISPD-ում օգտագործվող ծրագրաշարում չհայտարարված հնարավորությունների առկայության հետ:
Չկա կանոնակարգ, թե ինչպես կարելի է որոշել ընթացիկ սպառնալիքների տեսակը: PP-1119-ի պահանջները չեն առաջարկում դրանց չեզոքացման որևէ մեթոդ կամ մեթոդ: Եթե նախկինում օպերատորը կարող էր ընտրել ստանդարտ ISPD-ի դասակարգումը աղյուսակի հիման վրա կամ դասակարգել հատուկ ISPD-ն՝ հիմնվելով սպառնալիքի մոդելի արդյունքների վրա, այժմ ընտրություն չկա: Անվտանգության մակարդակը միշտ որոշվում է՝ ելնելով սպառնալիքների համապատասխանությունից։ Օպերատորը դժվար թե կարողանա ինքնուրույն որոշել դրանք. նա ստիպված կլինի կապ հաստատել բարձրագույն կազմակերպության կամ խորհրդատուի հետ: Ամենահեշտ ճանապարհը նվազագույն դիմադրության ճանապարհով գնալն է, այսինքն. որոշեք 3-րդ տիպի ընթացիկ սպառնալիքի տեսակը և մոռացեք համակարգի և կիրառական ծրագրային ապահովման մեջ չհայտարարված (փաստագրված) հնարավորությունների մասին, բայց դա պետք է հիմնավորվի: Ամբողջ հարցն այն է, թե ինչպե՞ս, վերադառնալով պարբերության սկզբին։
Անձնական տվյալների տեղեկատվական համակարգերի համար սպառնալիքների համապատասխանության թեման շատ կարևոր է, քանի որ ճիշտ նկարագրված սպառնալիքները որոշում են, թե որքան լավ է պաշտպանվելու համակարգը, ինչպես նաև որքան կարժենա պաշտպանությունը անձնական տվյալների օպերատորի համար:
Եթե որոշել եք կոնկրետ ISPD-ի նախնական տվյալները, ներառյալ ընթացիկ սպառնալիքների տեսակը, ապա կարող եք որոշել դրա անվտանգության մակարդակը: Անվտանգության մակարդակը հարմար որոշելու համար օգտագործեք հետևյալ աղյուսակը, որը հիմնված է PP-1119-ի վրա.
ISPDn տեսակը |
Օպերատորի աշխատակիցներ |
Առարկաների թիվը |
Ընթացիկ սպառնալիքների տեսակը |
||
1
|
2
|
3
|
|||
ԻՍՊԴն-Ս |
Ոչ | > 100 000 | UZ-1 | UZ-1 | UZ-2 |
| Ոչ | < 100 000 | UZ-1 | UZ-2 | UZ-3 | |
| Այո՛ | |||||
ISPDn-B |
UZ-1 | UZ-2 | UZ-3 | ||
ISPDn-I |
Ոչ | > 100 000 | UZ-1 | UZ-2 | UZ-3 |
| Ոչ | < 100 000 | UZ-2 | UZ-3 | UZ-4 | |
| Այո՛ | |||||
ISPDn-O |
Ոչ | > 100 000 | UZ-2 | UZ-2 | UZ-4 |
| Ոչ | < 100 000 | UZ-2 | UZ-3 | UZ-4 | |
| Այո՛ | |||||
Կախված PD անվտանգության ընտրված մակարդակից, PP-1119-ը սահմանում է անձնական տվյալների պաշտպանության մի շարք պահանջներ, որոնք կազմակերպվում և իրականացվում են օպերատորի (լիազորված անձի) կողմից ինքնուրույն և (կամ) իրավաբանական և ֆիզիկական անձանց ներգրավմամբ: ձեռնարկատերերը պայմանագրային հիմունքներով, որոնք ունեն գաղտնի տեղեկատվության տեխնիկական պաշտպանության գործունեություն իրականացնելու լիցենզիա. Պահանջներին համապատասխանության մոնիտորինգը պետք է իրականացվի առնվազն 3 տարին մեկ անգամ՝ օպերատորի (լիազորված անձի) կողմից սահմանված ժամկետում:
Պահանջներ |
Մակարդակներ |
|||
| Անվտանգության ռեժիմի կազմակերպում այն տարածքների համար, որոնցում տեղակայված է տեղեկատվական համակարգը՝ կանխելով այդ տարածքներ մուտք չունեցող անձանց անվերահսկելի մուտքի կամ մնալու հնարավորությունը։ | + | + | + | + |
| Անձնական տվյալների կրիչների անվտանգության ապահովում | + | + | + | + |
| Օպերատորի ղեկավարի կողմից այն անձանց ցանկը սահմանող փաստաթղթի հաստատում, որոնց հասանելիությունը տեղեկատվական համակարգում մշակված անձնական տվյալներին անհրաժեշտ է նրանց ծառայողական (աշխատանքային) պարտականությունների կատարման համար. | + | + | + | + |
| Տեղեկատվական անվտանգության գործիքների օգտագործումը, որոնք անցել են տեղեկատվական անվտանգության ոլորտում Ռուսաստանի Դաշնության օրենսդրության պահանջներին համապատասխանությունը գնահատելու կարգը, այն դեպքերում, երբ նման գործիքների օգտագործումը անհրաժեշտ է ընթացիկ սպառնալիքները չեզոքացնելու համար. | + | + | + | + |
| ISPD-ում անձնական տվյալների անվտանգության ապահովման համար պատասխանատու պաշտոնյայի նշանակում | + | + | + | - |
| Էլեկտրոնային հաղորդագրությունների գրանցամատյանի բովանդակության մուտքի սահմանափակում | + | + | - | - |
| Օպերատորի աշխատակցի՝ տեղեկատվական համակարգում պարունակվող անձնական տվյալների մուտք գործելու լիազորությունների փոփոխությունների ավտոմատ գրանցում անվտանգության էլեկտրոնային մատյանում։ | + | - | - | - |
| Տեղեկատվական համակարգում անձնական տվյալների անվտանգության ապահովման համար պատասխանատու կառուցվածքային ստորաբաժանման ստեղծում կամ կառուցվածքային ստորաբաժանումներից մեկին նման անվտանգությունն ապահովելու գործառույթներ վերապահելու համար. | + | - | - | - |
Որոշելով PP-1119-ի համաձայն անձնական տվյալների պաշտպանության պահանջները, կարող եք անցնել անձնական տվյալների անվտանգությունն ապահովելու կազմակերպչական և տեխնիկական միջոցների ընտրությանը ՝ հիմնվելով FSTEC-ի թիվ 21 հրամանի պահանջների վրա: Ռուսաստան 2013 թվականի փետրվարի 18-ով։ ուղղված անձնական տվյալների անվտանգությանը սպառնացող ընթացիկ սպառնալիքների չեզոքացմանը:
Ի՞նչ անել տեղեկատվական անվտանգության գործիքների հետ, որոնց վկայագրերը նախկինում տրվել են ISPD-ի որոշակի դասերի համար:
Համաձայն Ռուսաստանի FSTEC-ի 2012 թվականի նոյեմբերի 20-ի N 240/24/4669 տեղեկատվական հաղորդագրության «Անձնական տվյալների պաշտպանության առանձնահատկությունների մասին անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման և պաշտպանության համար նախատեսված տեղեկատվական անվտանգության գործիքների հավաստագրման մասին. անձնական տվյալների», Ռուսաստանի FSTEC-ի համապատասխանության վկայագրերը, մինչև Ռուսաստանի FSTEC-ի կարգավորող իրավական ակտի ուժի մեջ մտնելը (նկատի ունի թիվ 21 հրամանը), որը սահմանում է կազմակերպչական և տեխնիկական միջոցառումների կազմը և բովանդակությունը՝ ապահովելու անվտանգությունը: անձնական տվյալները անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում ենթակա չեն վերագրանցման:
Տեղեկատվական անվտանգության գործիքները, որոնք կարող են օգտագործվել 1-ին դասի անձնական տվյալների տեղեկատվական համակարգերում մշակված անձնական տվյալների պաշտպանության համար, կարող են օգտագործվել՝ ապահովելու համար անհատական տվյալների տեղեկատվական համակարգերում մշակվող անձնական տվյալների անվտանգությունը մինչև 1-ին մակարդակը ներառյալ.
Տեղեկատվական անվտանգության գործիքները, որոնք կարող են օգտագործվել 2-րդ դասի անձնական տվյալների տեղեկատվական համակարգերում մշակված անձնական տվյալները պաշտպանելու համար, կարող են օգտագործվել անձնական տվյալների տեղեկատվական համակարգերում մշակված անձնական տվյալների 4-րդ մակարդակի անվտանգությունն ապահովելու համար:
ՌՈՒՍԱՍՏԱՆԻ ԴԱՇՆՈՒԹՅԱՆ ԿԱՌԱՎԱՐՈՒԹՅՈՒՆ
ԲԱՆԱՁԵՎ
Անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների անվտանգության ապահովման կանոնակարգը հաստատելու մասին
Կորցրած ուժը 2012 թվականի նոյեմբերի 15-ի հիման վրա
Ռուսաստանի Դաշնության Կառավարության որոշումները
նոյեմբերի 1-ի N 1119 2012թ
____________________________________________________________________
Համաձայն «Անձնական տվյալների մասին» դաշնային օրենքի 19-րդ հոդվածի, Ռուսաստանի Դաշնության կառավարությունը
որոշում է.
1. Հաստատել անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների անվտանգության ապահովման կանոնակարգը:
2. Ռուսաստանի Դաշնության Անվտանգության դաշնային ծառայությունը և Տեխնիկական և արտահանման վերահսկողության դաշնային ծառայությունը իրենց իրավասության սահմաններում 3 ամսվա ընթացքում հաստատում են կանոնակարգով նախատեսված պահանջները կատարելու համար անհրաժեշտ կարգավորող իրավական ակտերը և մեթոդական փաստաթղթերը: հաստատված սույն որոշմամբ։
Կառավարության նախագահ
Ռուսաստանի Դաշնություն
Անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների անվտանգության ապահովման կանոնակարգ
ՀԱՍՏԱՏՎԱԾ Է
Կառավարության որոշումը
Ռուսաստանի Դաշնություն
նոյեմբերի 17-ի N 781 2007թ
1. Սույն Կանոնակարգերը սահմանում են անձնական տվյալների անվտանգության ապահովման պահանջներ անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ժամանակ, որոնք տվյալների բազաներում պարունակվող անձնական տվյալների հավաքածու են, ինչպես նաև տեղեկատվական տեխնոլոգիաներ և տեխնիկական միջոցներ, որոնք թույլ են տալիս մշակել այդ անձնական տվյալները՝ օգտագործելով. ավտոմատացման գործիքներ (այսուհետ՝ տեղեկատվական համակարգեր): *1)
Անձնական տվյալների մշակումը թույլ տվող տեխնիկական միջոցները հասկացվում են որպես համակարգչային սարքավորումներ, տեղեկատվական և հաշվողական համալիրներ և ցանցեր, անձնական տվյալների փոխանցման, ընդունման և մշակման միջոցներ և համակարգեր (ձայնագրման, ձայնի ուժեղացման, ձայնի վերարտադրման, ինտերկոմ և հեռուստատեսային սարքեր, արտադրական միջոցներ, փաստաթղթերի կրկնօրինակում և խոսքի մշակման այլ տեխնիկական միջոցներ, գրաֆիկական, վիդեո և այբբենական տեղեկատվություն), ծրագրակազմ (օպերացիոն համակարգեր, տվյալների բազայի կառավարման համակարգեր և այլն), տեղեկատվական համակարգերում օգտագործվող տեղեկատվական անվտանգության գործիքներ:
2. Անձնական տվյալների անվտանգությունը ձեռք է բերվում անձնական տվյալների չարտոնված, այդ թվում՝ պատահական մուտքի բացառմամբ, որը կարող է հանգեցնել անձնական տվյալների ոչնչացման, փոփոխման, արգելափակման, պատճենման, տարածման, ինչպես նաև այլ չարտոնված գործողությունների:
Անձնական տվյալների անվտանգությունը տեղեկատվական համակարգերում դրանց մշակման ընթացքում ապահովվում է անձնական տվյալների պաշտպանության համակարգի միջոցով, ներառյալ տեղեկատվության պաշտպանության կազմակերպչական միջոցառումներն ու միջոցները (ներառյալ գաղտնագրման (կրիպտոգրաֆիկ) միջոցները, չարտոնված մուտքը կանխելու միջոցները, տեղեկատվության արտահոսքը տեխնիկական ուղիներով, ծրագրային ապահովում և ապարատային ազդեցությունները անձնական տվյալների մշակման տեխնիկական միջոցների վրա), ինչպես նաև տեղեկատվական համակարգում օգտագործվող տեղեկատվական տեխնոլոգիաների վրա: Սարքավորումը և ծրագրաշարը պետք է համապատասխանեն Ռուսաստանի Դաշնության օրենսդրությանը համապատասխան սահմանված պահանջներին՝ տեղեկատվության պաշտպանությունն ապահովելու համար:
Տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների անվտանգությունն ապահովելու համար ապահովվում է խոսքի և տեխնիկական միջոցներով մշակված տեղեկատվության, ինչպես նաև տեղեկատվական էլեկտրական ազդանշանների, ֆիզիկական դաշտերի, թղթի վրա մեդիա, մագնիսական, մագնիսական տեղեկատվության տեսքով ներկայացված տեղեկատվությունը: -օպտիկական և այլ հիմքեր.
3. Տեղեկատվական համակարգերում տեղեկատվության պաշտպանության մեթոդներն ու միջոցները սահմանում են Տեխնիկական և արտահանման վերահսկողության դաշնային ծառայությունը և Ռուսաստանի Դաշնության անվտանգության դաշնային ծառայությունն իրենց լիազորությունների սահմաններում: *3.1)
Տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների անվտանգության ապահովմանն ուղղված միջոցառումների համարժեքությունը գնահատվում է պետական վերահսկողության և վերահսկողության ընթացքում:
4. Տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների անվտանգության ապահովման աշխատանքները տեղեկատվական համակարգերի ստեղծման աշխատանքների անբաժանելի մասն են:
5. Տեղեկատվական համակարգերում օգտագործվող տեղեկատվական անվտանգության գործիքները սահմանված կարգով անցնում են համապատասխանության գնահատման ընթացակարգ:
6. Տեղեկատվական համակարգերը դասակարգվում են պետական, քաղաքային մարմինների, իրավաբանական կամ ֆիզիկական անձանց կողմից, որոնք կազմակերպում և (կամ) իրականացնում են անձնական տվյալների մշակումը, ինչպես նաև անձնական տվյալների մշակման նպատակներն ու բովանդակությունը որոշող (այսուհետ՝ « օպերատոր), կախված նրանց կողմից մշակված անձնական տվյալների ծավալից և անվտանգության սպառնալիքներից՝ ուղղված անհատի, հասարակության և պետության կենսական շահերին:
Տեղեկատվական համակարգերի դասակարգման կարգը սահմանվում է Տեխնիկական և արտահանման վերահսկողության դաշնային ծառայության, Ռուսաստանի Դաշնության անվտանգության դաշնային ծառայության և Ռուսաստանի Դաշնության տեղեկատվական տեխնոլոգիաների և կապի նախարարության կողմից համատեղ։*6.2).
7. Տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների փոխանակումն իրականացվում է կապի ուղիներով, որոնց պաշտպանությունն ապահովվում է համապատասխան կազմակերպչական միջոցառումների և (կամ) տեխնիկական միջոցների կիրառմամբ:
8. Տեղեկատվական համակարգերի, հատուկ սարքավորումների և տարածքների անվտանգությունը, որտեղ իրականացվում է անձնական տվյալների հետ աշխատանք, այդ տարածքներում անվտանգության ռեժիմի կազմակերպումը պետք է ապահովի անձնական տվյալների կրիչների և տեղեկատվական անվտանգության միջոցների անվտանգությունը, ինչպես նաև բացառի. անվերահսկելի մուտքի կամ անծանոթ անձանց ներկայության հնարավորությունը այդ տարածք
9. Տեղեկատվական համակարգերում անձնական տվյալների մշակման ընթացքում տեղեկատվության արտահոսքի հնարավոր ուղիները որոշում են Տեխնիկական և արտահանման վերահսկողության դաշնային ծառայությունը և Ռուսաստանի Դաշնության անվտանգության դաշնային ծառայությունը` իրենց լիազորությունների սահմաններում:
10. Տեղեկատվական համակարգում մշակվելիս անձնական տվյալների անվտանգությունն ապահովում է օպերատորը կամ այն անձը, որին պայմանագրով օպերատորը վստահում է անձնական տվյալների մշակումը (այսուհետ՝ լիազորված անձ): Պայմանագրի էական պայմանը լիազորված անձի պարտավորությունն է՝ ապահովելու անձնական տվյալների գաղտնիությունը և անձնական տվյալների անվտանգությունը տեղեկատվական համակարգում մշակվելիս:
11. Տեղեկատվական համակարգում անձնական տվյալները մշակելիս պետք է ապահովվեն.
ա) միջոցառումների իրականացում, որոնք ուղղված են կանխելու անձնական տվյալների չարտոնված մուտքը և (կամ) դրանց փոխանցումն այն անձանց, ովքեր իրավունք չունեն մուտք գործել այդպիսի տեղեկատվություն.
բ) անձնական տվյալների չարտոնված մուտքի փաստերի ժամանակին հայտնաբերում.
գ) կանխել անձնական տվյալների ավտոմատացված մշակման տեխնիկական միջոցների վրա ազդեցությունը, ինչի հետևանքով դրանց գործունեությունը կարող է խաթարվել.
դ) դրանց չթույլատրված մուտքի պատճառով փոփոխված կամ ոչնչացված անձնական տվյալների անհապաղ վերականգնման հնարավորությունը.
ե) անհատական տվյալների անվտանգության մակարդակի ապահովման մշտական մոնիտորինգ.
12. Տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների անվտանգությունն ապահովելու միջոցառումները ներառում են.
ա) դրանց մշակման ընթացքում անձնական տվյալների անվտանգությանը սպառնացող վտանգների բացահայտում, դրանց հիման վրա սպառնալիքի մոդելի ձևավորում.
բ) սպառնալիքների մոդելի հիման վրա անձնական տվյալների պաշտպանության համակարգի մշակում, որն ապահովում է ենթադրյալ սպառնալիքների չեզոքացումը՝ օգտագործելով տեղեկատվական համակարգերի համապատասխան դասի համար նախատեսված անձնական տվյալների պաշտպանության մեթոդներն ու մեթոդները.
գ) տեղեկատվական անվտանգության գործիքների օգտագործման պատրաստակամության ստուգում` դրանց գործարկման հնարավորության վերաբերյալ եզրակացությունների կազմում.
դ) տեղեկատվական անվտանգության միջոցների տեղադրում և գործարկում` գործառնական և տեխնիկական փաստաթղթերին համապատասխան.
ե) տեղեկատվական համակարգերում օգտագործվող տեղեկատվական անվտանգության գործիքներ օգտագործող անձանց ուսուցում նրանց հետ աշխատելու կանոնների վերաբերյալ.
զ) օգտագործվող տեղեկատվության պաշտպանության միջոցների, դրանց, անձնական տվյալների կրողների գործառնական և տեխնիկական փաստաթղթերի հաշվառում.
է) տեղեկատվական համակարգում անձնական տվյալների հետ աշխատելու լիազորված անձանց հաշվառումը.
ը) գործառնական և տեխնիկական փաստաթղթերով նախատեսված տեղեկատվական անվտանգության գործիքների օգտագործման պայմանների պահպանման նկատմամբ վերահսկողությունը.
թ) հետաքննել և եզրակացություններ կազմել անձնական տվյալների կրիչների պահպանման պայմաններին չհամապատասխանելու, տեղեկատվական անվտանգության միջոցների կիրառման վերաբերյալ, որոնք կարող են հանգեցնել անձնական տվյալների գաղտնիության խախտման կամ այլ խախտումների, որոնք հանգեցնում են մակարդակի նվազմանը. անձնական տվյալների անվտանգության ապահովում, միջոցառումների մշակում և ընդունում՝ կանխելու նման խախտումների հնարավոր վտանգավոր հետևանքները.
ժ) անձնական տվյալների պաշտպանության համակարգի նկարագրությունը.
13. Տեղեկատվական համակարգում դրանց մշակման ընթացքում անձնական տվյալների անվտանգությունն ապահովելու համար միջոցներ մշակելու և իրականացնելու համար օպերատորը կամ լիազորված անձը կարող է նշանակել կառուցվածքային ստորաբաժանում կամ պաշտոնյա (աշխատող), որը պատասխանատու է անձնական տվյալների անվտանգության ապահովման համար:
14. Այն անձանց, որոնց մուտքը տեղեկատվական համակարգում մշակվող անձնական տվյալներին անհրաժեշտ է ծառայողական (աշխատանքային) պարտականություններ կատարելու համար, թույլատրվում է մուտք գործել համապատասխան անձնական տվյալներ օպերատորի կամ լիազորված անձի կողմից հաստատված ցանկի հիման վրա:
15. Տեղեկատվական համակարգի օգտատերերի՝ ներառյալ սույն կանոնակարգի 14-րդ կետում նշված անձանց, անձնական տվյալներ ստանալու հարցումները, ինչպես նաև այդ հարցումների վերաբերյալ անձնական տվյալների տրամադրման փաստերը գրանցվում են տեղեկատվական համակարգի ավտոմատացված միջոցներով էլեկտրոնային մատյանում: խնդրանքների. Հարցումների էլեկտրոնային գրանցամատյանի բովանդակությունը պարբերաբար ստուգվում է օպերատորի կամ լիազորված անձի համապատասխան պաշտոնատար անձանց (աշխատակիցների) կողմից:
16. Անձնական տվյալների տրամադրման կարգի խախտումներ հայտնաբերելու դեպքում օպերատորը կամ լիազորված անձը անհապաղ կասեցնում է տեղեկատվական համակարգի օգտատերերին անձնական տվյալների տրամադրումը մինչև խախտումների պատճառների բացահայտումը և այդ պատճառների վերացումը:
17. Տեղեկատվական անվտանգության գործիքներում տեղեկատվական անվտանգության ապահովման պահանջների իրականացումը դրված է դրանց մշակողների վրա:
Մշակված գաղտնագրման (կրիպտոգրաֆիկ) տեղեկատվական անվտանգության գործիքների հետ կապված, որոնք նախատեսված են տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների անվտանգությունն ապահովելու համար, կատարվում են դեպքերի ուսումնասիրություններ և վերահսկման դեպքեր՝ ստուգելու համար տեղեկատվական անվտանգության պահանջներին համապատասխանությունը: Այս դեպքում դեպքերի ուսումնասիրությունները հասկացվում են որպես տեղեկատվական անվտանգության գործիքների ծածկագրային, ինժեներա-կրիպտոգրաֆիկ և հատուկ ուսումնասիրություններ և տեղեկատվական համակարգերի տեխնիկական միջոցների հետ հատուկ աշխատանք, իսկ վերահսկման դեպքերի ուսումնասիրությունները պարբերաբար անցկացվում են դեպքերի ուսումնասիրություններ:
Վերահսկիչ դեպքերի ուսումնասիրությունների անցկացման կոնկրետ ժամկետները սահմանվում են Ռուսաստանի Դաշնության Անվտանգության դաշնային ծառայության կողմից:
18. Տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների անվտանգությունն ապահովելու համար նախատեսված տեղեկատվական անվտանգության գործիքների համապատասխանության գնահատման և (կամ) դեպքերի ուսումնասիրությունների արդյունքները գնահատվում են Տեխնիկական և արտահանման վերահսկողության դաշնային ծառայության և Դաշնային ծառայության կողմից իրականացվող փորձաքննության ընթացքում: Ռուսաստանի Դաշնության Անվտանգության ծառայությունը իրենց լիազորությունների շրջանակներում.
19. Տեղեկատվական անվտանգության միջոցառումները, որոնք նախատեսված են տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների անվտանգությունն ապահովելու համար, ուղեկցվում են այդ միջոցների օգտագործման կանոններով, որոնք համաձայնեցված են Տեխնիկական և արտահանման վերահսկողության դաշնային ծառայության և Ռուսաստանի Դաշնության անվտանգության դաշնային ծառայության հետ: իրենց լիազորությունների սահմաններում։
Սույն կանոններով նախատեսված տեղեկատվության պաշտպանության միջոցների օգտագործման պայմանների փոփոխությունները համաձայնեցվում են այդ դաշնային գործադիր իշխանությունների հետ՝ իրենց լիազորությունների սահմաններում:
20. Տեղեկատվական անվտանգության միջոցները, որոնք նախատեսված են տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների անվտանգությունն ապահովելու համար, ենթակա են հաշվառման՝ օգտագործելով ինդեքսները կամ ծածկանունները և գրանցման համարները: Ցուցանիշների, ծածկագրերի և գրանցման համարների ցանկը սահմանում են Տեխնիկական և արտահանման վերահսկողության դաշնային ծառայությունը և Ռուսաստանի Դաշնության Անվտանգության դաշնային ծառայությունը իրենց լիազորությունների սահմաններում:
21. Տեղեկատվության պաշտպանության գաղտնագրման (կրիպտոգրաֆիկ) միջոցների մշակման, արտադրության, ներդրման և շահագործման առանձնահատկությունները և տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների կոդավորման ծառայությունների մատուցումը սահմանում է Ռուսաստանի Դաշնության Անվտանգության դաշնային ծառայությունը:
Էլեկտրոնային փաստաթղթի տեքստ
պատրաստվել է «Կոդեքս» ԲԲԸ-ի կողմից և ստուգվել է.
Օրենսդրության ժողովածու
Ռուսաստանի Դաշնություն,
N 48, 26.11.2007թ., հոդ.6001
Ռուսաստանի Դաշնության Կառավարության 2012 թվականի նոյեմբերի 1-ի N 1119 որոշումը
«Անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների պաշտպանության պահանջները հաստատելու մասին»
«Անձնական տվյալների մասին» դաշնային օրենքի 19-րդ հոդվածի համաձայն, Ռուսաստանի Դաշնության կառավարությունը որոշում է.
1. Հաստատել անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների պաշտպանությանը ներկայացվող կից պահանջները.
2. Ուժը կորցրած ճանաչել Ռուսաստանի Դաշնության Կառավարության 2007 թվականի նոյեմբերի 17-ի N 781 «Անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների անվտանգության ապահովման կանոնակարգերը հաստատելու մասին» N 781 որոշումը (Ռուսաստանի Դաշնության օրենսդրություն հավաքագրված): , 2007, N 48, հոդ.6001) ։
Պահանջներ
անձնական տվյալների պաշտպանությանը անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում
(հաստատված է Ռուսաստանի Դաշնության Կառավարության 2012 թվականի նոյեմբերի 1-ի N 1119 որոշմամբ)
1. Սույն փաստաթուղթը սահմանում է անձնական տվյալների պաշտպանության պահանջներ, երբ մշակվում են անձնական տվյալների տեղեկատվական համակարգերում (այսուհետ՝ տեղեկատվական համակարգեր) և այդ տվյալների անվտանգության մակարդակները:
2. Անձնական տվյալների անվտանգությունը տեղեկատվական համակարգում մշակվելիս ապահովվում է անձնական տվյալների պաշտպանության համակարգի միջոցով, որը չեզոքացնում է 19-րդ հոդվածի 5-րդ մասի համաձայն հայտնաբերված ընթացիկ սպառնալիքները:
Անձնական տվյալների պաշտպանության համակարգը ներառում է կազմակերպչական և (կամ) տեխնիկական միջոցներ, որոնք որոշվում են՝ հաշվի առնելով տեղեկատվական համակարգերում օգտագործվող անձնական տվյալների և տեղեկատվական տեխնոլոգիաների անվտանգության ընթացիկ սպառնալիքները:
3. Տեղեկատվական համակարգում մշակվելիս անձնական տվյալների անվտանգությունն ապահովում է սույն համակարգի օպերատորը, ով մշակում է անձնական տվյալները (այսուհետ՝ օպերատոր), կամ օպերատորի անունից անձնական տվյալները մշակող անձի կողմից։ այս անձի (այսուհետ՝ լիազորված անձ) հետ կնքված պայմանագրի մասին։ Օպերատորի և լիազորված անձի միջև կնքված համաձայնագիրը պետք է նախատեսի լիազորված անձի պարտավորությունն ապահովելու անձնական տվյալների անվտանգությունը տեղեկատվական համակարգում մշակվելիս:
4. Անձնական տվյալների պաշտպանության համակարգի համար տեղեկատվական անվտանգության միջոցների ընտրությունն իրականացվում է օպերատորի կողմից՝ Ռուսաստանի Դաշնության Անվտանգության դաշնային ծառայության և Տեխնիկական և արտահանման վերահսկողության դաշնային ծառայության կողմից ընդունված կարգավորող իրավական ակտերի համաձայն՝ 4-րդ մասի համաձայն: «Անձնական տվյալների մասին» դաշնային օրենքի 19-րդ հոդվածի:
5. Տեղեկատվական համակարգը տեղեկատվական համակարգ է, որը մշակում է անձնական տվյալների հատուկ կատեգորիաներ, եթե այն մշակում է ռասային, ազգությանը, քաղաքական հայացքներին, կրոնական կամ փիլիսոփայական համոզմունքներին, առողջական վիճակին, անձնական տվյալների սուբյեկտների ինտիմ կյանքին վերաբերող անձնական տվյալներ:
Տեղեկատվական համակարգը տեղեկատվական համակարգ է, որը մշակում է կենսաչափական անձնական տվյալները, եթե այն մշակում է տեղեկատվություն, որը բնութագրում է անձի ֆիզիոլոգիական և կենսաբանական բնութագրերը, որոնց հիման վրա կարելի է հաստատել նրա ինքնությունը և որն օգտագործվում է օպերատորի կողմից՝ պարզելու անձի ինքնությունը։ անձնական տվյալների առարկա և չի մշակում անձնական տվյալների հատուկ կատեգորիաների հետ կապված տեղեկատվություն:
Տեղեկատվական համակարգը տեղեկատվական համակարգ է, որը մշակում է հրապարակայնորեն հասանելի անձնական տվյալները, եթե այն մշակում է անձնական տվյալների սուբյեկտների անձնական տվյալները, որոնք ստացվել են միայն «Անձնական տվյալների մասին» դաշնային օրենքի 8-րդ հոդվածի համաձայն ստեղծված անձնական տվյալների հանրայնորեն մատչելի աղբյուրներից:
Տեղեկատվական համակարգը տեղեկատվական համակարգ է, որը մշակում է անձնական տվյալների այլ կատեգորիաներ, եթե այն չի մշակում սույն կետի 1-3-րդ կետերում նշված անձնական տվյալները:
Տեղեկատվական համակարգը տեղեկատվական համակարգ է, որը մշակում է օպերատորի աշխատակիցների անձնական տվյալները, եթե այն մշակում է միայն նշված աշխատակիցների անձնական տվյալները: Այլ դեպքերում, անձնական տվյալների տեղեկատվական համակարգը տեղեկատվական համակարգ է, որը մշակում է անձնական տվյալների սուբյեկտների անձնական տվյալները, որոնք օպերատորի աշխատակիցներ չեն:
6. Անձնական տվյալների անվտանգությանը սպառնացող ընթացիկ սպառնալիքները հասկացվում են որպես պայմանների և գործոնների մի շարք, որոնք ստեղծում են տեղեկատվական համակարգում դրանց մշակման ընթացքում անձնական տվյալների չարտոնված, ներառյալ պատահական մուտքի ներկայիս վտանգը, որը կարող է հանգեցնել ոչնչացման, փոփոխման, անձնական տվյալների արգելափակում, պատճենում, տրամադրում, տարածում, ինչպես նաև այլ անօրինական գործողություններ:
1-ին տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, եթե տեղեկատվական համակարգում օգտագործվող համակարգի ծրագրային ապահովման մեջ չփաստաթղթավորված (չհայտարարված) հնարավորությունների առկայության հետ կապված սպառնալիքները նույնպես տեղին են դրա համար:
2-րդ տիպի սպառնալիքները տեղին են տեղեկատվական համակարգի համար, եթե դրա համար տեղին են նաև սպառնալիքները, որոնք կապված են տեղեկատվական համակարգում օգտագործվող կիրառական ծրագրերում չփաստաթղթավորված (չհայտարարված) հնարավորությունների առկայության հետ:
3-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, եթե սպառնալիքները, որոնք կապված չեն համակարգում չփաստաթղթավորված (չհայտարարված) հնարավորությունների առկայության և տեղեկատվական համակարգում օգտագործվող ծրագրային ապահովման հետ, առնչվում են նրան:
7. Տեղեկատվական համակարգին առնչվող անձնական տվյալների անվտանգությանը սպառնացող վտանգի տեսակների որոշումն իրականացվում է օպերատորի կողմից՝ հաշվի առնելով դաշնային օրենքի 18.1-րդ հոդվածի 1-ին մասի 5-րդ կետի համաձայն կատարված հնարավոր վնասի գնահատումը: «Անձնական տվյալների մասին» և «Անձնական տվյալների մասին» դաշնային օրենքի 19-րդ հոդվածի 5-րդ մասի համաձայն ընդունված կարգավորող իրավական ակտերի համաձայն:
8. Տեղեկատվական համակարգերում անձնական տվյալները մշակելիս սահմանվում է անձնական տվյալների անվտանգության 4 մակարդակ։
9. Տեղեկատվական համակարգում դրանց մշակման ընթացքում անձնական տվյալների անվտանգության 1-ին աստիճանի ապահովման անհրաժեշտությունը սահմանվում է հետևյալ պայմաններից առնվազն մեկի առկայության դեպքում.
ա) 1-ին տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է կամ անձնական տվյալների հատուկ կատեգորիաներ, կամ կենսաչափական անձնական տվյալներ, կամ անձնական տվյալների այլ կատեգորիաներ.
բ) 2-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է ավելի քան 100,000 անձնական տվյալների սուբյեկտների անձնական տվյալների հատուկ կատեգորիաներ, որոնք օպերատորի աշխատակիցներ չեն:
10. Տեղեկատվական համակարգում դրանք մշակելիս անձնական տվյալների անվտանգության 2-րդ աստիճանի ապահովման անհրաժեշտությունը սահմանվում է հետևյալ պայմաններից առնվազն մեկի առկայության դեպքում.
ա) 1-ին տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է հանրությանը հասանելի անձնական տվյալները.
բ) 2-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է օպերատորի աշխատակիցների անձնական տվյալների հատուկ կատեգորիաներ կամ 100000-ից պակաս անձնական տվյալների սուբյեկտների անձնական տվյալների հատուկ կատեգորիաներ, որոնք օպերատորի աշխատակիցներ չեն.
գ) 2-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է կենսաչափական անձնական տվյալները.
դ) 2-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է ավելի քան 100,000 անձնական տվյալների սուբյեկտների հրապարակայնորեն հասանելի անձնական տվյալները, որոնք օպերատորի աշխատակիցներ չեն.
ե) 2-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է ավելի քան 100,000 անձնական տվյալների սուբյեկտների անձնական տվյալների այլ կատեգորիաներ, որոնք օպերատորի աշխատակիցներ չեն.
զ) 3-րդ տիպի սպառնալիքները տեղին են տեղեկատվական համակարգի համար, և տեղեկատվական համակարգը մշակում է ավելի քան 100000 անձնական տվյալների սուբյեկտների անձնական տվյալների հատուկ կատեգորիաներ, որոնք օպերատորի աշխատակիցներ չեն:
11. Տեղեկատվական համակարգում դրանց մշակման ընթացքում անձնական տվյալների անվտանգության 3-րդ աստիճանի ապահովման անհրաժեշտությունը սահմանվում է հետևյալ պայմաններից առնվազն մեկի առկայության դեպքում.
ա) 2-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է օպերատորի աշխատակիցների հրապարակայնորեն հասանելի անձնական տվյալները կամ 100,000-ից պակաս անձնական տվյալների սուբյեկտների հրապարակայնորեն հասանելի անձնական տվյալները, որոնք օպերատորի աշխատակիցներ չեն.
բ) 2-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է օպերատորի աշխատակիցների անձնական տվյալների այլ կատեգորիաներ կամ 100000-ից պակաս անձնական տվյալների սուբյեկտների անձնական տվյալների այլ կատեգորիաներ, որոնք օպերատորի աշխատակիցներ չեն.
գ) 3-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է օպերատորի աշխատակիցների անձնական տվյալների հատուկ կատեգորիաներ կամ 100,000-ից պակաս անձնական տվյալների սուբյեկտների անձնական տվյալների հատուկ կատեգորիաներ, որոնք օպերատորի աշխատակիցներ չեն.
դ) 3-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է կենսաչափական անձնական տվյալները.
ե) 3-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է ավելի քան 100000 անձնական տվյալների սուբյեկտների անձնական տվյալների այլ կատեգորիաներ, որոնք օպերատորի աշխատակիցներ չեն:
12. Անձնական տվյալների անվտանգության 4-րդ աստիճանի ապահովման անհրաժեշտությունը տեղեկատվական համակարգում մշակելիս սահմանվում է հետևյալ պայմաններից առնվազն մեկի առկայության դեպքում.
ա) 3-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է հանրությանը հասանելի անձնական տվյալները.
բ) 3-րդ տիպի սպառնալիքները տեղին են տեղեկատվական համակարգի համար, և տեղեկատվական համակարգը մշակում է օպերատորի աշխատակիցների անձնական տվյալների այլ կատեգորիաներ կամ 100,000-ից պակաս անձնական տվյալների սուբյեկտների անձնական տվյալների այլ կատեգորիաներ, որոնք օպերատորի աշխատակիցներ չեն:
13. Տեղեկատվական համակարգերում դրանք մշակելիս անձնական տվյալների անվտանգության 4-րդ մակարդակն ապահովելու համար պետք է բավարարվեն հետևյալ պահանջները.
ա) անվտանգության ռեժիմի կազմակերպում այն տարածքների համար, որոնցում գտնվում է տեղեկատվական համակարգը՝ կանխելով այդ տարածքներ մուտք չունեցող անձանց կողմից այդ տարածքներ անվերահսկելի մուտքի կամ մնալու հնարավորությունը.
բ) անձնական տվյալների կրողների անվտանգության ապահովումը.
գ) օպերատորի ղեկավարի կողմից փաստաթղթի հաստատում, որը սահմանում է այն անձանց ցանկը, որոնց հասանելիությունը տեղեկատվական համակարգում մշակված անձնական տվյալներին անհրաժեշտ է նրանց ծառայողական (աշխատանքային) պարտականությունների կատարման համար.
դ) տեղեկատվական անվտանգության գործիքների օգտագործումը, որոնք անցել են տեղեկատվական անվտանգության ոլորտում Ռուսաստանի Դաշնության օրենսդրության պահանջներին համապատասխանությունը գնահատելու կարգը, այն դեպքերում, երբ նման միջոցների օգտագործումը անհրաժեշտ է ընթացիկ սպառնալիքները չեզոքացնելու համար:
14. Տեղեկատվական համակարգերում դրանք մշակելիս անձնական տվյալների անվտանգության 3-րդ աստիճանն ապահովելու համար, բացի սույն փաստաթղթի 13-րդ կետով նախատեսված պահանջների կատարումից, անհրաժեշտ է, որ անվտանգության ապահովման համար պատասխանատու պաշտոնատար անձ (աշխատող) նշանակվի. անձնական տվյալների տեղեկատվական համակարգում:
15. Տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների անվտանգության 2-րդ մակարդակն ապահովելու համար, բացի սույն փաստաթղթի 14-րդ կետով նախատեսված պահանջների կատարումից, անհրաժեշտ է, որ էլեկտրոնային հաղորդագրությունների մատյանի բովանդակությանը հասանելիություն լինի միայն. օպերատորի պաշտոնատար անձանց (աշխատակիցների) կամ լիազորված անձի համար, որոնց համար նշված ամսագրում պարունակվող տեղեկատվությունը անհրաժեշտ է ծառայողական (աշխատանքային) պարտականություններ կատարելու համար:
16. Տեղեկատվական համակարգերում դրանք մշակելիս անձնական տվյալների անվտանգության 1-ին աստիճանն ապահովելու համար, ի լրումն սույն փաստաթղթի 15-րդ կետով նախատեսված պահանջների, պետք է բավարարվեն հետևյալ պահանջները.
ա) օպերատորի աշխատակցի՝ տեղեկատվական համակարգում պարունակվող անձնական տվյալների մուտք գործելու լիազորությունների փոփոխության ավտոմատ գրանցում անվտանգության էլեկտրոնային մատյանում.
բ) տեղեկատվական համակարգում անձնական տվյալների անվտանգության ապահովման համար պատասխանատու կառուցվածքային ստորաբաժանման ստեղծում կամ կառուցվածքային ստորաբաժանումներից մեկին նման անվտանգությունն ապահովելու գործառույթներ վերապահելը։
17. Սույն պահանջների պահպանման մոնիտորինգը կազմակերպում և իրականացնում է օպերատորը (լիազորված անձը) ինքնուրույն և (կամ) պայմանագրային հիմունքներով իրավաբանական և անհատ ձեռնարկատերերի ներգրավմամբ, որոնք լիցենզավորված են գաղտնիության տեխնիկական պաշտպանության համար գործունեություն իրականացնելու համար: տեղեկատվություն։ Նշված հսկողությունն իրականացվում է առնվազն 3 տարին մեկ անգամ՝ օպերատորի (լիազորված անձի) կողմից սահմանված ժամկետներում։
ՌՈՒՍԱՍՏԱՆԻ ԴԱՇՆՈՒԹՅԱՆ ԿԱՌԱՎԱՐՈՒԹՅՈՒՆ
ՊԱՀԱՆՋՆԵՐԻ ՀԱՍՏԱՏՄԱՆ ՄԱՍԻՆ
«Անձնական տվյալների մասին» դաշնային օրենքի 19-րդ հոդվածի համաձայն, Ռուսաստանի Դաշնության կառավարությունը որոշում է.
1. Հաստատել անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների պաշտպանությանը ներկայացվող կից պահանջները.
2. Ուժը կորցրած ճանաչել Ռուսաստանի Դաշնության Կառավարության 2007 թվականի նոյեմբերի 17-ի N 781 «Անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների անվտանգության ապահովման կանոնակարգերը հաստատելու մասին» N 781 որոշումը (Ռուսաստանի Դաշնության օրենսդրություն հավաքագրված): , 2007, N 48, հոդ.6001) ։
Կառավարության նախագահ
Ռուսաստանի Դաշնություն
Դ.ՄԵԴՎԵԴԵՎ
Հաստատված է
Կառավարության որոշումը
Ռուսաստանի Դաշնություն
նոյեմբերի 1-ի N 1119 2012թ
ՊԱՀԱՆՋՆԵՐ
ԱՆՁՆԱԿԱՆ ՏՎՅԱԼՆԵՐԻ ՊԱՇՏՊԱՆՈՒԹՅԱՆԸ ԴՐԱՆՑ ՄՇԱԿՄԱՆ ԺԱՄԱՆԱԿ
ԱՆՁՆԱԿԱՆ ՏՎՅԱԼՆԵՐԻ ՏԵՂԵԿԱՏՎԱԿԱՆ ՀԱՄԱԿԱՐԳԵՐՈՒՄ
1. Սույն փաստաթուղթը սահմանում է անձնական տվյալների պաշտպանության պահանջներ, երբ մշակվում են անձնական տվյալների տեղեկատվական համակարգերում (այսուհետ՝ տեղեկատվական համակարգեր) և այդ տվյալների անվտանգության մակարդակները:
2. Անձնական տվյալների անվտանգությունը տեղեկատվական համակարգում մշակելիս ապահովվում է անձնական տվյալների պաշտպանության համակարգի միջոցով, որը չեզոքացնում է «Անձնական տվյալների մասին» դաշնային օրենքի 19-րդ հոդվածի 5-րդ մասի համաձայն հայտնաբերված ընթացիկ սպառնալիքները:
Անձնական տվյալների պաշտպանության համակարգը ներառում է կազմակերպչական և (կամ) տեխնիկական միջոցներ, որոնք որոշվում են՝ հաշվի առնելով տեղեկատվական համակարգերում օգտագործվող անձնական տվյալների և տեղեկատվական տեխնոլոգիաների անվտանգության ընթացիկ սպառնալիքները:
3. Տեղեկատվական համակարգում մշակվելիս անձնական տվյալների անվտանգությունն ապահովում է սույն համակարգի օպերատորը, ով մշակում է անձնական տվյալները (այսուհետ՝ օպերատոր), կամ օպերատորի անունից անձնական տվյալները մշակող անձի կողմից։ այս անձի (այսուհետ՝ լիազորված անձ) հետ կնքված պայմանագրի մասին։ Օպերատորի և լիազորված անձի միջև կնքված համաձայնագիրը պետք է նախատեսի լիազորված անձի պարտավորությունն ապահովելու անձնական տվյալների անվտանգությունը տեղեկատվական համակարգում մշակվելիս:
4. Անձնական տվյալների պաշտպանության համակարգի համար տեղեկատվական անվտանգության միջոցների ընտրությունն իրականացվում է օպերատորի կողմից՝ Ռուսաստանի Դաշնության Անվտանգության դաշնային ծառայության և Տեխնիկական և արտահանման վերահսկողության դաշնային ծառայության կողմից ընդունված կարգավորող իրավական ակտերի համաձայն՝ 4-րդ մասի համաձայն: «Անձնական տվյալների մասին» դաշնային օրենքի 19-րդ հոդվածի:
5. Տեղեկատվական համակարգը տեղեկատվական համակարգ է, որը մշակում է անձնական տվյալների հատուկ կատեգորիաներ, եթե այն մշակում է ռասային, ազգությանը, քաղաքական հայացքներին, կրոնական կամ փիլիսոփայական համոզմունքներին, առողջական վիճակին, անձնական տվյալների սուբյեկտների ինտիմ կյանքին վերաբերող անձնական տվյալներ:
Տեղեկատվական համակարգը տեղեկատվական համակարգ է, որը մշակում է կենսաչափական անձնական տվյալները, եթե այն մշակում է տեղեկատվություն, որը բնութագրում է անձի ֆիզիոլոգիական և կենսաբանական բնութագրերը, որոնց հիման վրա կարելի է հաստատել նրա ինքնությունը և որն օգտագործվում է օպերատորի կողմից՝ պարզելու անձի ինքնությունը։ անձնական տվյալների առարկա և չի մշակում անձնական տվյալների հատուկ կատեգորիաների հետ կապված տեղեկատվություն:
Տեղեկատվական համակարգը տեղեկատվական համակարգ է, որը մշակում է հրապարակայնորեն հասանելի անձնական տվյալները, եթե այն մշակում է անձնական տվյալների սուբյեկտների անձնական տվյալները, որոնք ստացվել են միայն «Անձնական տվյալների մասին» դաշնային օրենքի 8-րդ հոդվածի համաձայն ստեղծված անձնական տվյալների հանրայնորեն մատչելի աղբյուրներից:
Տեղեկատվական համակարգը տեղեկատվական համակարգ է, որը մշակում է անձնական տվյալների այլ կատեգորիաներ, եթե այն չի մշակում սույն կետի 1-3-րդ կետերում նշված անձնական տվյալները:
Տեղեկատվական համակարգը տեղեկատվական համակարգ է, որը մշակում է օպերատորի աշխատակիցների անձնական տվյալները, եթե այն մշակում է միայն նշված աշխատակիցների անձնական տվյալները: Այլ դեպքերում, անձնական տվյալների տեղեկատվական համակարգը տեղեկատվական համակարգ է, որը մշակում է անձնական տվյալների սուբյեկտների անձնական տվյալները, որոնք օպերատորի աշխատակիցներ չեն:
6. Անձնական տվյալների անվտանգությանը սպառնացող ընթացիկ սպառնալիքները հասկացվում են որպես պայմանների և գործոնների մի շարք, որոնք ստեղծում են տեղեկատվական համակարգում դրանց մշակման ընթացքում անձնական տվյալների չարտոնված, ներառյալ պատահական մուտքի ներկայիս վտանգը, որը կարող է հանգեցնել ոչնչացման, փոփոխման, անձնական տվյալների արգելափակում, պատճենում, տրամադրում, տարածում, ինչպես նաև այլ անօրինական գործողություններ:
1-ին տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, եթե տեղեկատվական համակարգում օգտագործվող համակարգի ծրագրային ապահովման մեջ չփաստաթղթավորված (չհայտարարված) հնարավորությունների առկայության հետ կապված սպառնալիքները նույնպես տեղին են դրա համար:
2-րդ տիպի սպառնալիքները տեղին են տեղեկատվական համակարգի համար, եթե դրա համար տեղին են նաև սպառնալիքները, որոնք կապված են տեղեկատվական համակարգում օգտագործվող կիրառական ծրագրերում չփաստաթղթավորված (չհայտարարված) հնարավորությունների առկայության հետ:
3-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, եթե սպառնալիքները, որոնք կապված չեն համակարգում չփաստաթղթավորված (չհայտարարված) հնարավորությունների առկայության և տեղեկատվական համակարգում օգտագործվող ծրագրային ապահովման հետ, առնչվում են նրան:
7. Տեղեկատվական համակարգին առնչվող անձնական տվյալների անվտանգությանը սպառնացող վտանգների տեսակը որոշում է օպերատորը` հաշվի առնելով հնարավոր վնասի գնահատումը, որն իրականացվում է Դաշնային օրենքի 18.1-րդ հոդվածի 1-ին մասի 5-րդ կետի համաձայն: Անձնական տվյալների մասին» և «Անձնական տվյալների մասին» Դաշնային օրենքի 19-րդ հոդվածի 5-րդ մասի համաձայն ընդունված կարգավորող իրավական ակտերի համաձայն:
8. Տեղեկատվական համակարգերում անձնական տվյալները մշակելիս սահմանվում է անձնական տվյալների անվտանգության 4 մակարդակ։
9. Տեղեկատվական համակարգում դրանց մշակման ընթացքում անձնական տվյալների անվտանգության 1-ին աստիճանի ապահովման անհրաժեշտությունը սահմանվում է հետևյալ պայմաններից առնվազն մեկի առկայության դեպքում.
ա) 1-ին տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է կամ անձնական տվյալների հատուկ կատեգորիաներ, կամ կենսաչափական անձնական տվյալներ, կամ անձնական տվյալների այլ կատեգորիաներ.
բ) 2-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է ավելի քան 100,000 անձնական տվյալների սուբյեկտների անձնական տվյալների հատուկ կատեգորիաներ, որոնք օպերատորի աշխատակիցներ չեն:
10. Տեղեկատվական համակարգում դրանք մշակելիս անձնական տվյալների անվտանգության 2-րդ աստիճանի ապահովման անհրաժեշտությունը սահմանվում է հետևյալ պայմաններից առնվազն մեկի առկայության դեպքում.
ա) 1-ին տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է հանրությանը հասանելի անձնական տվյալները.
բ) 2-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է օպերատորի աշխատակիցների անձնական տվյալների հատուկ կատեգորիաներ կամ 100000-ից պակաս անձնական տվյալների սուբյեկտների անձնական տվյալների հատուկ կատեգորիաներ, որոնք օպերատորի աշխատակիցներ չեն.
գ) 2-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է կենսաչափական անձնական տվյալները.
դ) 2-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է ավելի քան 100,000 անձնական տվյալների սուբյեկտների հրապարակայնորեն հասանելի անձնական տվյալները, որոնք օպերատորի աշխատակիցներ չեն.
ե) 2-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է ավելի քան 100,000 անձնական տվյալների սուբյեկտների անձնական տվյալների այլ կատեգորիաներ, որոնք օպերատորի աշխատակիցներ չեն.
զ) 3-րդ տիպի սպառնալիքները տեղին են տեղեկատվական համակարգի համար, և տեղեկատվական համակարգը մշակում է ավելի քան 100000 անձնական տվյալների սուբյեկտների անձնական տվյալների հատուկ կատեգորիաներ, որոնք օպերատորի աշխատակիցներ չեն:
11. Տեղեկատվական համակարգում դրանց մշակման ընթացքում անձնական տվյալների անվտանգության 3-րդ աստիճանի ապահովման անհրաժեշտությունը սահմանվում է հետևյալ պայմաններից առնվազն մեկի առկայության դեպքում.
ա) 2-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է օպերատորի աշխատակիցների հրապարակայնորեն հասանելի անձնական տվյալները կամ 100,000-ից պակաս անձնական տվյալների սուբյեկտների հրապարակայնորեն հասանելի անձնական տվյալները, որոնք օպերատորի աշխատակիցներ չեն.
բ) 2-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է օպերատորի աշխատակիցների անձնական տվյալների այլ կատեգորիաներ կամ 100000-ից պակաս անձնական տվյալների սուբյեկտների անձնական տվյալների այլ կատեգորիաներ, որոնք օպերատորի աշխատակիցներ չեն.
գ) 3-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է օպերատորի աշխատակիցների անձնական տվյալների հատուկ կատեգորիաներ կամ 100,000-ից պակաս անձնական տվյալների սուբյեկտների անձնական տվյալների հատուկ կատեգորիաներ, որոնք օպերատորի աշխատակիցներ չեն.
դ) 3-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է կենսաչափական անձնական տվյալները.
ե) 3-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է ավելի քան 100000 անձնական տվյալների սուբյեկտների անձնական տվյալների այլ կատեգորիաներ, որոնք օպերատորի աշխատակիցներ չեն:
12. Անձնական տվյալների անվտանգության 4-րդ աստիճանի ապահովման անհրաժեշտությունը տեղեկատվական համակարգում մշակելիս սահմանվում է հետևյալ պայմաններից առնվազն մեկի առկայության դեպքում.
ա) 3-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է հանրությանը հասանելի անձնական տվյալները.
բ) 3-րդ տիպի սպառնալիքները տեղին են տեղեկատվական համակարգի համար, և տեղեկատվական համակարգը մշակում է օպերատորի աշխատակիցների անձնական տվյալների այլ կատեգորիաներ կամ 100,000-ից պակաս անձնական տվյալների սուբյեկտների անձնական տվյալների այլ կատեգորիաներ, որոնք օպերատորի աշխատակիցներ չեն:
13. Տեղեկատվական համակարգերում դրանք մշակելիս անձնական տվյալների անվտանգության 4-րդ մակարդակն ապահովելու համար պետք է բավարարվեն հետևյալ պահանջները.
ա) անվտանգության ռեժիմի կազմակերպում այն տարածքների համար, որոնցում գտնվում է տեղեկատվական համակարգը՝ կանխելով այդ տարածքներ մուտք չունեցող անձանց կողմից այդ տարածքներ անվերահսկելի մուտքի կամ մնալու հնարավորությունը.
բ) անձնական տվյալների կրողների անվտանգության ապահովումը.
գ) օպերատորի ղեկավարի կողմից փաստաթղթի հաստատում, որը սահմանում է այն անձանց ցանկը, որոնց հասանելիությունը տեղեկատվական համակարգում մշակված անձնական տվյալներին անհրաժեշտ է նրանց ծառայողական (աշխատանքային) պարտականությունների կատարման համար.
դ) տեղեկատվական անվտանգության գործիքների օգտագործումը, որոնք անցել են տեղեկատվական անվտանգության ոլորտում Ռուսաստանի Դաշնության օրենսդրության պահանջներին համապատասխանությունը գնահատելու կարգը, այն դեպքերում, երբ նման միջոցների օգտագործումը անհրաժեշտ է ընթացիկ սպառնալիքները չեզոքացնելու համար:
14. Տեղեկատվական համակարգերում դրանք մշակելիս անձնական տվյալների անվտանգության 3-րդ աստիճանն ապահովելու համար, բացի սույն փաստաթղթի 13-րդ կետով նախատեսված պահանջների կատարումից, անհրաժեշտ է, որ անվտանգության ապահովման համար պատասխանատու պաշտոնատար անձ (աշխատող) նշանակվի. անձնական տվյալների տեղեկատվական համակարգում:
15. Տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների անվտանգության 2-րդ մակարդակն ապահովելու համար, բացի սույն փաստաթղթի 14-րդ կետով նախատեսված պահանջների կատարումից, անհրաժեշտ է, որ էլեկտրոնային հաղորդագրությունների մատյանի բովանդակությանը հասանելիություն լինի միայն. օպերատորի պաշտոնատար անձանց (աշխատակիցների) կամ լիազորված անձի համար, որոնց համար նշված ամսագրում պարունակվող տեղեկատվությունը անհրաժեշտ է ծառայողական (աշխատանքային) պարտականություններ կատարելու համար:
16. Տեղեկատվական համակարգերում դրանք մշակելիս անձնական տվյալների անվտանգության 1-ին աստիճանն ապահովելու համար, ի լրումն սույն փաստաթղթի 15-րդ կետով նախատեսված պահանջների, պետք է բավարարվեն հետևյալ պահանջները.
ա) օպերատորի աշխատակցի՝ տեղեկատվական համակարգում պարունակվող անձնական տվյալների մուտք գործելու լիազորությունների փոփոխության ավտոմատ գրանցում անվտանգության էլեկտրոնային մատյանում.
բ) տեղեկատվական համակարգում անձնական տվյալների անվտանգության ապահովման համար պատասխանատու կառուցվածքային ստորաբաժանման ստեղծում կամ կառուցվածքային ստորաբաժանումներից մեկին նման անվտանգությունն ապահովելու գործառույթներ վերապահելը։
17. Սույն պահանջների պահպանման մոնիտորինգը կազմակերպում և իրականացնում է օպերատորը (լիազորված անձը) ինքնուրույն և (կամ) պայմանագրային հիմունքներով իրավաբանական և անհատ ձեռնարկատերերի ներգրավմամբ, որոնք լիցենզավորված են գաղտնիության տեխնիկական պաշտպանության համար գործունեություն իրականացնելու համար: տեղեկատվություն։ Նշված հսկողությունն իրականացվում է առնվազն 3 տարին մեկ անգամ՝ օպերատորի (լիազորված անձի) կողմից սահմանված ժամկետներում։
ՌՈՒՍԱՍՏԱՆԻ ԴԱՇՆՈՒԹՅԱՆ ԿԱՌԱՎԱՐՈՒԹՅՈՒՆ
ԲԱՆԱՁԵՎ
Անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների պաշտպանության պահանջների հաստատման մասին
Համաձայն «Անձնական տվյալների մասին» դաշնային օրենքի 19-րդ հոդվածի, Ռուսաստանի Դաշնության կառավարությունը
որոշում է.
1. Հաստատել անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների պաշտպանությանը ներկայացվող կից պահանջները.
2. Ուժը կորցրած ճանաչել Ռուսաստանի Դաշնության Կառավարության 2007 թվականի նոյեմբերի 17-ի N 781 «Անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների անվտանգության ապահովման կանոնակարգերը հաստատելու մասին» N 781 որոշումը (Ռուսաստանի Դաշնության օրենսդրություն հավաքագրված): , 2007, N 48, Հոդ.6001)։
Կառավարության նախագահ
Ռուսաստանի Դաշնություն
Դ.Մեդվեդև
Անձնական տվյալների պաշտպանության պահանջները անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում
ՀԱՍՏԱՏՎԱԾ Է
Կառավարության որոշումը
Ռուսաստանի Դաշնություն
նոյեմբերի 1-ի N 1119 2012թ
1. Սույն փաստաթուղթը սահմանում է անձնական տվյալների պաշտպանության պահանջներ, երբ մշակվում են անձնական տվյալների տեղեկատվական համակարգերում (այսուհետ՝ տեղեկատվական համակարգեր) և այդ տվյալների անվտանգության մակարդակները:
2. Անձնական տվյալների անվտանգությունը տեղեկատվական համակարգում մշակելիս ապահովվում է անձնական տվյալների պաշտպանության համակարգի միջոցով, որը չեզոքացնում է «Անձնական տվյալների մասին» դաշնային օրենքի 19-րդ հոդվածի 5-րդ մասի համաձայն հայտնաբերված ընթացիկ սպառնալիքները:
Անձնական տվյալների պաշտպանության համակարգը ներառում է կազմակերպչական և (կամ) տեխնիկական միջոցներ, որոնք որոշվում են՝ հաշվի առնելով տեղեկատվական համակարգերում օգտագործվող անձնական տվյալների և տեղեկատվական տեխնոլոգիաների անվտանգության ընթացիկ սպառնալիքները:
3. Տեղեկատվական համակարգում մշակվելիս անձնական տվյալների անվտանգությունն ապահովում է սույն համակարգի օպերատորը, ով մշակում է անձնական տվյալները (այսուհետ՝ օպերատոր), կամ օպերատորի անունից անձնական տվյալները մշակող անձի կողմից։ այս անձի (այսուհետ՝ լիազորված անձ) հետ կնքված պայմանագրի մասին։ Օպերատորի և լիազորված անձի միջև կնքված համաձայնագիրը պետք է նախատեսի լիազորված անձի պարտավորությունն ապահովելու անձնական տվյալների անվտանգությունը տեղեկատվական համակարգում մշակվելիս:
4. Անձնական տվյալների պաշտպանության համակարգի համար տեղեկատվական անվտանգության միջոցների ընտրությունն իրականացվում է օպերատորի կողմից՝ Ռուսաստանի Դաշնության Անվտանգության դաշնային ծառայության և Տեխնիկական և արտահանման վերահսկողության դաշնային ծառայության կողմից ընդունված կարգավորող իրավական ակտերի համաձայն՝ 4-րդ մասի համաձայն: «Անձնական տվյալների մասին» դաշնային օրենքի 19-րդ հոդվածի:
5. Տեղեկատվական համակարգը տեղեկատվական համակարգ է, որը մշակում է անձնական տվյալների հատուկ կատեգորիաներ, եթե այն մշակում է ռասային, ազգությանը, քաղաքական հայացքներին, կրոնական կամ փիլիսոփայական համոզմունքներին, առողջական վիճակին, անձնական տվյալների սուբյեկտների ինտիմ կյանքին վերաբերող անձնական տվյալներ:
Տեղեկատվական համակարգը տեղեկատվական համակարգ է, որը մշակում է կենսաչափական անձնական տվյալները, եթե այն մշակում է տեղեկատվություն, որը բնութագրում է անձի ֆիզիոլոգիական և կենսաբանական բնութագրերը, որոնց հիման վրա կարելի է հաստատել նրա ինքնությունը և որն օգտագործվում է օպերատորի կողմից՝ պարզելու անձի ինքնությունը։ անձնական տվյալների առարկա և չի մշակում անձնական տվյալների հատուկ կատեգորիաների հետ կապված տեղեկատվություն:
Տեղեկատվական համակարգը տեղեկատվական համակարգ է, որը մշակում է հրապարակայնորեն հասանելի անձնական տվյալները, եթե այն մշակում է անձնական տվյալների սուբյեկտների անձնական տվյալները, որոնք ստացվել են միայն «Անձնական տվյալների մասին» դաշնային օրենքի 8-րդ հոդվածի համաձայն ստեղծված անձնական տվյալների հանրայնորեն մատչելի աղբյուրներից:
Տեղեկատվական համակարգը տեղեկատվական համակարգ է, որը մշակում է անձնական տվյալների այլ կատեգորիաներ, եթե այն չի մշակում սույն կետի 1-3-րդ կետերում նշված անձնական տվյալները:
Տեղեկատվական համակարգը տեղեկատվական համակարգ է, որը մշակում է օպերատորի աշխատակիցների անձնական տվյալները, եթե այն մշակում է միայն նշված աշխատակիցների անձնական տվյալները: Այլ դեպքերում, անձնական տվյալների տեղեկատվական համակարգը տեղեկատվական համակարգ է, որը մշակում է անձնական տվյալների սուբյեկտների անձնական տվյալները, որոնք օպերատորի աշխատակիցներ չեն:
6. Անձնական տվյալների անվտանգությանը սպառնացող ընթացիկ սպառնալիքները հասկացվում են որպես պայմանների և գործոնների մի շարք, որոնք ստեղծում են տեղեկատվական համակարգում դրանց մշակման ընթացքում անձնական տվյալների չարտոնված, ներառյալ պատահական մուտքի ներկայիս վտանգը, որը կարող է հանգեցնել ոչնչացման, փոփոխման, անձնական տվյալների արգելափակում, պատճենում, տրամադրում, տարածում, ինչպես նաև այլ անօրինական գործողություններ:
1-ին տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, եթե տեղեկատվական համակարգում օգտագործվող համակարգի ծրագրային ապահովման մեջ չփաստաթղթավորված (չհայտարարված) հնարավորությունների առկայության հետ կապված սպառնալիքները նույնպես տեղին են դրա համար:
2-րդ տիպի սպառնալիքները տեղին են տեղեկատվական համակարգի համար, եթե դրա համար տեղին են նաև սպառնալիքները, որոնք կապված են տեղեկատվական համակարգում օգտագործվող կիրառական ծրագրերում չփաստաթղթավորված (չհայտարարված) հնարավորությունների առկայության հետ:
3-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, եթե սպառնալիքները, որոնք կապված չեն համակարգում չփաստաթղթավորված (չհայտարարված) հնարավորությունների առկայության և տեղեկատվական համակարգում օգտագործվող ծրագրային ապահովման հետ, առնչվում են նրան:
7. Տեղեկատվական համակարգին առնչվող անձնական տվյալների անվտանգությանը սպառնացող վտանգների տեսակը որոշում է օպերատորը` հաշվի առնելով հնարավոր վնասի գնահատումը` համաձայն Դաշնային օրենքի 18_1 հոդվածի 1-ին մասի 5-րդ կետի: Անձնական տվյալների մասին» և «Անձնական տվյալների մասին» դաշնային օրենքի 19-րդ հոդվածի 5-րդ մասի համաձայն ընդունված կարգավորող իրավական ակտերի համաձայն:
8. Տեղեկատվական համակարգերում անձնական տվյալները մշակելիս սահմանվում է անձնական տվյալների անվտանգության 4 մակարդակ։
9. Տեղեկատվական համակարգում դրանց մշակման ընթացքում անձնական տվյալների անվտանգության 1-ին աստիճանի ապահովման անհրաժեշտությունը սահմանվում է հետևյալ պայմաններից առնվազն մեկի առկայության դեպքում.
ա) 1-ին տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է կամ անձնական տվյալների հատուկ կատեգորիաներ, կամ կենսաչափական անձնական տվյալներ, կամ անձնական տվյալների այլ կատեգորիաներ.
բ) 2-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է ավելի քան 100,000 անձնական տվյալների սուբյեկտների անձնական տվյալների հատուկ կատեգորիաներ, որոնք օպերատորի աշխատակիցներ չեն:
10. Տեղեկատվական համակարգում դրանք մշակելիս անձնական տվյալների անվտանգության 2-րդ աստիճանի ապահովման անհրաժեշտությունը սահմանվում է հետևյալ պայմաններից առնվազն մեկի առկայության դեպքում.
ա) 1-ին տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է հանրությանը հասանելի անձնական տվյալները.
բ) 2-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է օպերատորի աշխատակիցների անձնական տվյալների հատուկ կատեգորիաներ կամ 100000-ից պակաս անձնական տվյալների սուբյեկտների անձնական տվյալների հատուկ կատեգորիաներ, որոնք օպերատորի աշխատակիցներ չեն.
գ) 2-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է կենսաչափական անձնական տվյալները.
դ) 2-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է ավելի քան 100,000 անձնական տվյալների սուբյեկտների հրապարակայնորեն հասանելի անձնական տվյալները, որոնք օպերատորի աշխատակիցներ չեն.
ե) 2-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է ավելի քան 100,000 անձնական տվյալների սուբյեկտների անձնական տվյալների այլ կատեգորիաներ, որոնք օպերատորի աշխատակիցներ չեն.
զ) 3-րդ տիպի սպառնալիքները տեղին են տեղեկատվական համակարգի համար, և տեղեկատվական համակարգը մշակում է ավելի քան 100000 անձնական տվյալների սուբյեկտների անձնական տվյալների հատուկ կատեգորիաներ, որոնք օպերատորի աշխատակիցներ չեն:
11. Տեղեկատվական համակարգում դրանց մշակման ընթացքում անձնական տվյալների անվտանգության 3-րդ աստիճանի ապահովման անհրաժեշտությունը սահմանվում է հետևյալ պայմաններից առնվազն մեկի առկայության դեպքում.
ա) 2-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է օպերատորի աշխատակիցների հրապարակայնորեն հասանելի անձնական տվյալները կամ 100,000-ից պակաս անձնական տվյալների սուբյեկտների հրապարակայնորեն հասանելի անձնական տվյալները, որոնք օպերատորի աշխատակիցներ չեն.
բ) 2-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է օպերատորի աշխատակիցների անձնական տվյալների այլ կատեգորիաներ կամ 100000-ից պակաս անձնական տվյալների սուբյեկտների անձնական տվյալների այլ կատեգորիաներ, որոնք օպերատորի աշխատակիցներ չեն.
գ) 3-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է օպերատորի աշխատակիցների անձնական տվյալների հատուկ կատեգորիաներ կամ 100,000-ից պակաս անձնական տվյալների սուբյեկտների անձնական տվյալների հատուկ կատեգորիաներ, որոնք օպերատորի աշխատակիցներ չեն.
դ) 3-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է կենսաչափական անձնական տվյալները.
ե) 3-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է ավելի քան 100000 անձնական տվյալների սուբյեկտների անձնական տվյալների այլ կատեգորիաներ, որոնք օպերատորի աշխատակիցներ չեն:
12. Անձնական տվյալների անվտանգության 4-րդ աստիճանի ապահովման անհրաժեշտությունը տեղեկատվական համակարգում մշակելիս սահմանվում է հետևյալ պայմաններից առնվազն մեկի առկայության դեպքում.
ա) 3-րդ տիպի սպառնալիքները վերաբերում են տեղեկատվական համակարգին, և տեղեկատվական համակարգը մշակում է հանրությանը հասանելի անձնական տվյալները.
բ) 3-րդ տիպի սպառնալիքները տեղին են տեղեկատվական համակարգի համար, և տեղեկատվական համակարգը մշակում է օպերատորի աշխատակիցների անձնական տվյալների այլ կատեգորիաներ կամ 100,000-ից պակաս անձնական տվյալների սուբյեկտների անձնական տվյալների այլ կատեգորիաներ, որոնք օպերատորի աշխատակիցներ չեն:
13. Տեղեկատվական համակարգերում դրանք մշակելիս անձնական տվյալների անվտանգության 4-րդ մակարդակն ապահովելու համար պետք է բավարարվեն հետևյալ պահանջները.
ա) անվտանգության ռեժիմի կազմակերպում այն տարածքների համար, որոնցում գտնվում է տեղեկատվական համակարգը՝ կանխելով այդ տարածքներ մուտք չունեցող անձանց կողմից այդ տարածքներ անվերահսկելի մուտքի կամ մնալու հնարավորությունը.
բ) անձնական տվյալների կրողների անվտանգության ապահովումը.
գ) օպերատորի ղեկավարի կողմից փաստաթղթի հաստատում, որը սահմանում է այն անձանց ցանկը, որոնց հասանելիությունը տեղեկատվական համակարգում մշակված անձնական տվյալներին անհրաժեշտ է նրանց ծառայողական (աշխատանքային) պարտականությունների կատարման համար.
դ) տեղեկատվական անվտանգության գործիքների օգտագործումը, որոնք անցել են տեղեկատվական անվտանգության ոլորտում Ռուսաստանի Դաշնության օրենսդրության պահանջներին համապատասխանությունը գնահատելու կարգը, այն դեպքերում, երբ նման միջոցների օգտագործումը անհրաժեշտ է ընթացիկ սպառնալիքները չեզոքացնելու համար:
14. Տեղեկատվական համակարգերում դրանք մշակելիս անձնական տվյալների անվտանգության 3-րդ աստիճանն ապահովելու համար, բացի սույն փաստաթղթի 13-րդ կետով նախատեսված պահանջների կատարումից, անհրաժեշտ է, որ անվտանգության ապահովման համար պատասխանատու պաշտոնատար անձ (աշխատող) նշանակվի. անձնական տվյալների տեղեկատվական համակարգում:
15. Տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների անվտանգության 2-րդ մակարդակն ապահովելու համար, բացի սույն փաստաթղթի 14-րդ կետով նախատեսված պահանջների կատարումից, անհրաժեշտ է, որ էլեկտրոնային հաղորդագրությունների մատյանի բովանդակությանը հասանելիություն լինի միայն. օպերատորի պաշտոնատար անձանց (աշխատակիցների) կամ լիազորված անձի համար, որոնց համար նշված ամսագրում պարունակվող տեղեկատվությունը անհրաժեշտ է ծառայողական (աշխատանքային) պարտականություններ կատարելու համար:
16. Տեղեկատվական համակարգերում դրանք մշակելիս անձնական տվյալների անվտանգության 1-ին աստիճանն ապահովելու համար, ի լրումն սույն փաստաթղթի 15-րդ կետով նախատեսված պահանջների, պետք է բավարարվեն հետևյալ պահանջները.
ա) օպերատորի աշխատակցի՝ տեղեկատվական համակարգում պարունակվող անձնական տվյալների մուտք գործելու լիազորությունների փոփոխության ավտոմատ գրանցում անվտանգության էլեկտրոնային մատյանում.
բ) տեղեկատվական համակարգում անձնական տվյալների անվտանգության ապահովման համար պատասխանատու կառուցվածքային ստորաբաժանման ստեղծում կամ կառուցվածքային ստորաբաժանումներից մեկին նման անվտանգությունն ապահովելու գործառույթներ վերապահելը։
17. Սույն պահանջների պահպանման մոնիտորինգը կազմակերպում և իրականացնում է օպերատորը (լիազորված անձը) ինքնուրույն և (կամ) պայմանագրային հիմունքներով իրավաբանական և անհատ ձեռնարկատերերի ներգրավմամբ, որոնք լիցենզավորված են գաղտնիության տեխնիկական պաշտպանության համար գործունեություն իրականացնելու համար: տեղեկատվություն։ Նշված հսկողությունն իրականացվում է առնվազն 3 տարին մեկ անգամ՝ օպերատորի (լիազորված անձի) կողմից սահմանված ժամկետներում։
Էլեկտրոնային փաստաթղթի տեքստ
պատրաստվել է «Կոդեքս» ԲԲԸ-ի կողմից և ստուգվել է դեմ:
