სახლში აღდგენა

დადგენილება პერსონალური მონაცემების საინფორმაციო სისტემებში მათი დამუშავებისას პერსონალური მონაცემების დაცვის მოთხოვნების დამტკიცების შესახებ - Rossiyskaya Gazeta. პერსონალური მონაცემების დაცვის დონეები კლასების ნაცვლად მთავრობის დადგენილება 1119

რუსეთის ფედერაციის მთავრობის 2012 წლის 1 ნოემბრის No1119 განკარგულებით დაკრძალეს პერსონალური მონაცემების საინფორმაციო სისტემების კლასები, რომლებიც უკვე ყველასთვის ნაცნობი იყო.

კლასების ნაცვლად, ახალი დადგენილებით, დადგენილია პერსონალური მონაცემების უსაფრთხოების ოთხი დონე საინფორმაციო სისტემებში მათი დამუშავებისას და მოთხოვნები თითოეულ მათგანზე. ინფორმაციული სისტემების მინიჭება უსაფრთხოების გარკვეულ დონეზე ხდება პერსონალური მონაცემების ტიპზე, რომელსაც ამუშავებს საინფორმაციო სისტემა, მიმდინარე საფრთხეების ტიპზე, ინფორმაციული სისტემის მიერ დამუშავებული პერსონალური მონაცემების სუბიექტების რაოდენობაზე და რომელთა პერსონალური მონაცემები. კონტინგენტი დამუშავებულია.

პერსონალური მონაცემების საინფორმაციო სისტემები (PDIS), No1119 დადგენილების მე-5 პუნქტის მიხედვით, იყოფა 4 ჯგუფად:

სპეციალური ISPD
თუ ISPD ამუშავებს პერსონალურ მონაცემებს, რომლებიც ეხება რასას, ეროვნებას, პოლიტიკურ შეხედულებებს, რელიგიურ ან ფილოსოფიურ შეხედულებებს, ჯანმრთელობის მდგომარეობას, პერსონალური მონაცემების სუბიექტების ინტიმურ ცხოვრებას;
ბიომეტრიული ISPD
თუ ISPD ამუშავებს ინფორმაციას, რომელიც ახასიათებს პირის ფიზიოლოგიურ და ბიოლოგიურ მახასიათებლებს, რომლის საფუძველზეც შესაძლებელია მისი ვინაობის დადგენა და რომელსაც ოპერატორი იყენებს პერსონალური მონაცემების სუბიექტის იდენტურობის დასადგენად და სპეციალურ კატეგორიებთან დაკავშირებულ ინფორმაციას. პერსონალური მონაცემები არ მუშავდება;
საჯარო ISPD
თუ ISPD ამუშავებს პერსონალური მონაცემების სუბიექტების პერსონალურ მონაცემებს, რომლებიც მიღებულია მხოლოდ პერსონალური მონაცემების საჯაროდ ხელმისაწვდომი წყაროებიდან, შექმნილი ფედერალური კანონის „პერსონალური მონაცემების შესახებ“ მე-8 მუხლის შესაბამისად;
სხვა ISPDn
თუ ISPD ამუშავებს პერსონალური მონაცემების სუბიექტების პერსონალურ მონაცემებს, რომლებიც არ იყვნენ წარმოდგენილი სამ წინა ჯგუფში.

თქვენს ორგანიზაციასა და სუბიექტებს შორის ურთიერთობის ფორმის მიხედვით, დამუშავება იყოფა 2 ტიპად:

თანამშრომლების პერსონალური მონაცემების დამუშავება (სუბიექტები, რომლებთანაც თქვენს ორგანიზაციას აქვს შრომითი ურთიერთობა);
სუბიექტების პერსონალური მონაცემების დამუშავება, რომლებიც არ არიან თქვენი ორგანიზაციის თანამშრომლები.

იმ სუბიექტების რაოდენობის მიხედვით, რომელთა პერსონალური მონაცემებიც დამუშავებულია, დადგენილება No1119 განსაზღვრავს მხოლოდ 2 კატეგორიას:

100000-ზე ნაკლები სუბიექტი;
100000-ზე მეტი სუბიექტი;

Და ბოლოს, მიმდინარე საფრთხეების სახეები:

1 ტიპის საფრთხეები დაკავშირებულია არადეკლარირებული (არადოკუმენტირებული) შესაძლებლობების არსებობასთან ISPD-ში გამოყენებულ სისტემურ პროგრამულ უზრუნველყოფაში;
ტიპი 2 საფრთხეები დაკავშირებულია არადეკლარირებული შესაძლებლობების არსებობასთან ISPD-ში გამოყენებულ აპლიკაციურ პროგრამაში;
ტიპი 3 საფრთხეები არ არის დაკავშირებული ISPD-ში გამოყენებულ პროგრამულ უზრუნველყოფაში არადეკლარირებული შესაძლებლობების არსებობასთან.

არ არსებობს რეგულაცია, თუ როგორ უნდა განისაზღვროს მიმდინარე საფრთხეების ტიპი. PP-1119 მოთხოვნები არ გვთავაზობს რაიმე მეთოდს ან მეთოდს მათი განეიტრალებისთვის. თუ ადრე ოპერატორს შეეძლო აირჩია სტანდარტული ISPD კლასიფიკაცია ცხრილის საფუძველზე ან სპეციალური ISPD კლასიფიკაცია საფრთხის მოდელის შედეგების მიხედვით, ახლა არჩევანი აღარ არის. უსაფრთხოების დონე ყოველთვის განისაზღვრება საფრთხის რელევანტურობიდან გამომდინარე. ნაკლებად სავარაუდოა, რომ ოპერატორს შეუძლია დამოუკიდებლად განსაზღვროს ისინი - მას მოუწევს დაუკავშირდეს უფრო მაღალ ორგანიზაციას ან კონსულტანტს. უმარტივესი გზაა უმცირესი წინააღმდეგობის გზაზე, ე.ი. დაადგინეთ მე-3 ტიპის ამჟამინდელი საფრთხის ტიპი და დაივიწყეთ არადეკლარირებული (არადოკუმენტირებული) შესაძლებლობები სისტემურ და აპლიკაციურ პროგრამულ უზრუნველყოფაში, მაგრამ ეს უნდა იყოს დასაბუთებული. მთელი კითხვაა, როგორ?, აბზაცის დასაწყისს დავუბრუნდეთ.
პერსონალური მონაცემების საინფორმაციო სისტემებისთვის საფრთხის შესაბამისობის თემა ძალიან მნიშვნელოვანია, რადგან სწორად აღწერილი საფრთხეები განსაზღვრავს რამდენად დაცული იქნება სისტემა, ასევე რამდენად დაუჯდება დაცვა პერსონალური მონაცემების ოპერატორს.

თუ თქვენ გადაწყვიტეთ კონკრეტული ISPD-ის საწყისი მონაცემები, მათ შორის მიმდინარე საფრთხეების ტიპი, მაშინ შეგიძლიათ განსაზღვროთ მისი უსაფრთხოების დონე. უსაფრთხოების დონის მოსახერხებლად დასადგენად გამოიყენეთ შემდეგი ცხრილი, რომელიც დაფუძნებულია PP-1119-ზე:

ISPDn ტიპი	ოპერატორის თანამშრომლები	საგნების რაოდენობა	მიმდინარე საფრთხეების ტიპი
			1 (NDV OS)	2 (NDV PO)	3 (NDV-ის გარეშე)
ISPDn-S (სპეციალური)	არა	> 100 000	UZ-1	UZ-1	UZ-2
	არა	< 100 000	UZ-1	UZ-2	UZ-3
	დიახ
ISPDn-B (ბიომეტრიული)			UZ-1	UZ-2	UZ-3
ISPDn-I (სხვები)	არა	> 100 000	UZ-1	UZ-2	UZ-3
	არა	< 100 000	UZ-2	UZ-3	UZ-4
	დიახ
ISPDn-O (საჯარო)	არა	> 100 000	UZ-2	UZ-2	UZ-4
	არა	< 100 000	UZ-2	UZ-3	UZ-4
	დიახ

PD უსაფრთხოების შერჩეული დონის მიხედვით, PP-1119 განსაზღვრავს პერსონალური მონაცემების დაცვის მთელ რიგ მოთხოვნებს, რომლებიც ორგანიზებულია და ხორციელდება ოპერატორის (ავტორიზებული პირის) მიერ დამოუკიდებლად და (ან) იურიდიული და ფიზიკური პირების მონაწილეობით. მეწარმეები კონფიდენციალური ინფორმაციის ტექნიკური დაცვის ლიცენზიით. მოთხოვნებთან შესაბამისობის მონიტორინგი უნდა განხორციელდეს არანაკლებ 3 წელიწადში ერთხელ ოპერატორის (უფლებამოსილი პირის) მიერ განსაზღვრულ ვადაში.

მოთხოვნები	დონეები უსაფრთხოება
მოთხოვნები
უსაფრთხოების რეჟიმის ორგანიზება იმ შენობებისთვის, რომლებშიც განთავსებულია საინფორმაციო სისტემა, რაც ხელს უშლის ამ შენობებში უკონტროლო შესვლის ან ყოფნის შესაძლებლობას იმ პირების მიერ, რომლებსაც არ აქვთ წვდომა ამ შენობაში.	+	+	+	+
პერსონალური მონაცემების მატარებლების უსაფრთხოების უზრუნველყოფა	+	+	+	+
ოპერატორის ხელმძღვანელის მიერ იმ პირთა სიის განმსაზღვრელი დოკუმენტის დამტკიცება, რომელთა საინფორმაციო სისტემაში დამუშავებულ პერსონალურ მონაცემებზე წვდომა აუცილებელია მათი სამსახურებრივი (შრომითი) მოვალეობის შესასრულებლად.	+	+	+	+
ინფორმაციული უსაფრთხოების ინსტრუმენტების გამოყენება, რომლებმაც გაიარეს ინფორმაციული უსაფრთხოების სფეროში რუსეთის ფედერაციის კანონმდებლობის მოთხოვნებთან შესაბამისობის შეფასების პროცედურა, იმ შემთხვევებში, როდესაც ასეთი ინსტრუმენტების გამოყენება აუცილებელია მიმდინარე საფრთხეების გასანეიტრალებლად.	+	+	+	+
ISPD-ში პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფაზე პასუხისმგებელი თანამდებობის პირის დანიშვნა	+	+	+	-
ელექტრონული შეტყობინებების ჟურნალის შინაარსზე წვდომის შეზღუდვა	+	+	-	-
ოპერატორის თანამშრომლის უფლებამოსილების ცვლილებების ავტომატური რეგისტრაცია უსაფრთხოების ელექტრონულ ჟურნალში საინფორმაციო სისტემაში შემავალ პერსონალურ მონაცემებზე წვდომის შესახებ.	+	-	-	-
სტრუქტურული ერთეულის შექმნა, რომელიც პასუხისმგებელია საინფორმაციო სისტემაში პერსონალური მონაცემების უსაფრთხოების უზრუნველსაყოფად, ან ფუნქციების მინიჭება ამ უსაფრთხოების უზრუნველსაყოფად ერთ-ერთ სტრუქტურულ ერთეულზე.	+	-	-	-

მას შემდეგ რაც გადაწყვიტეთ პერსონალური მონაცემების დაცვის მოთხოვნების შესახებ PP-1119-ის შესაბამისად, შეგიძლიათ გააგრძელოთ ორგანიზაციული და ტექნიკური ზომების შერჩევა პერსონალური მონაცემების უსაფრთხოების უზრუნველსაყოფად, FSTEC-ის №21 ბრძანების მოთხოვნების საფუძველზე. რუსეთი 2013 წლის 18 თებერვლით. მიზნად ისახავს პერსონალური მონაცემების უსაფრთხოებისთვის არსებული საფრთხეების განეიტრალებას.

რა ვუყოთ ინფორმაციული უსაფრთხოების ინსტრუმენტებს, რომელთა სერთიფიკატები ადრე იყო გაცემული ISPD-ის გარკვეული კლასებისთვის?

რუსეთის FSTEC-ის 2012 წლის 20 ნოემბრის N 240/24/4669 საინფორმაციო გზავნილის შესაბამისად „პერსონალური მონაცემების დაცვის თავისებურებების შესახებ პერსონალური მონაცემების საინფორმაციო სისტემებში მათი დამუშავებისას და დაცვისთვის განკუთვნილი ინფორმაციის უსაფრთხოების ინსტრუმენტების სერტიფიცირების შესახებ. პერსონალური მონაცემების“, შესაბამისობის სერტიფიკატები გაცემული რუსეთის FSTEC-ის მარეგულირებელი სამართლებრივი აქტის ძალაში შესვლამდე (იგულისხმება ბრძანება No21), რომელიც ადგენს ორგანიზაციული და ტექნიკური ღონისძიებების შემადგენლობას და შინაარსს უსაფრთხოების უზრუნველსაყოფად. პერსონალური მონაცემები პერსონალური მონაცემების საინფორმაციო სისტემებში მათი დამუშავებისას არ ექვემდებარება ხელახალი რეგისტრაციას.
ინფორმაციული უსაფრთხოების ინსტრუმენტები, რომლებიც შეიძლება გამოყენებულ იქნას 1 კლასის პერსონალური მონაცემების საინფორმაციო სისტემებში დამუშავებული პერსონალური მონაცემების დასაცავად, შეიძლება გამოყენებულ იქნეს პერსონალური მონაცემების უსაფრთხოების უზრუნველსაყოფად დამუშავებული პერსონალური მონაცემების საინფორმაციო სისტემებში 1-ლი დონის ჩათვლით;
ინფორმაციის უსაფრთხოების ინსტრუმენტები, რომლებიც შეიძლება გამოყენებულ იქნას მე-2 კლასის პერსონალური მონაცემების საინფორმაციო სისტემებში დამუშავებული პერსონალური მონაცემების დასაცავად, შეიძლება გამოყენებულ იქნას პერსონალური მონაცემების საინფორმაციო სისტემებში დამუშავებული პერსონალური მონაცემების მე-4 დონის უსაფრთხოების უზრუნველსაყოფად.

რუსეთის ფედერაციის მთავრობა

რეზოლუცია

პერსონალური მონაცემების საინფორმაციო სისტემებში მათი დამუშავებისას პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფის შესახებ დებულების დამტკიცების შესახებ

დაკარგული ძალა 2012 წლის 15 ნოემბერს საფუძველზე
რუსეთის ფედერაციის მთავრობის დადგენილებები
2012 წლის 1 ნოემბრის N 1119
____________________________________________________________________

ფედერალური კანონის „პერსონალური მონაცემების შესახებ“ მე-19 მუხლის შესაბამისად, რუსეთის ფედერაციის მთავრობა

გადაწყვეტს:

1. დაამტკიცოს თანდართული დებულება პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფის შესახებ პერსონალურ მონაცემთა საინფორმაციო სისტემებში მათი დამუშავებისას.

2. რუსეთის ფედერაციის უსაფრთხოების ფედერალური სამსახური და ტექნიკური და ექსპორტის კონტროლის ფედერალური სამსახური თავიანთი კომპეტენციის ფარგლებში 3 თვის ვადაში ამტკიცებენ მარეგულირებელ სამართლებრივ აქტებსა და მეთოდოლოგიურ დოკუმენტებს, რომლებიც აუცილებელია რეგლამენტით გათვალისწინებული მოთხოვნების შესასრულებლად. დამტკიცებულია ამ დადგენილებით.

მთავრობის თავმჯდომარე
რუსეთის ფედერაცია

პერსონალური მონაცემების საინფორმაციო სისტემებში მათი დამუშავებისას პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფის რეგულაციები

დამტკიცებულია
მთავრობის დადგენილება
რუსეთის ფედერაცია
2007 წლის 17 ნოემბრის N 781

1. ეს რეგლამენტი ადგენს მოთხოვნებს პერსონალური მონაცემების უსაფრთხოების უზრუნველსაყოფად მათი დამუშავების დროს პერსონალური მონაცემების საინფორმაციო სისტემებში, რომლებიც წარმოადგენს მონაცემთა ბაზებში შემავალი პერსონალური მონაცემების კრებულს, აგრეთვე საინფორმაციო ტექნოლოგიებსა და ტექნიკურ საშუალებებს, რომლებიც იძლევა ასეთი პერსონალური მონაცემების დამუშავების საშუალებას. ავტომატიზაციის ხელსაწყოები (შემდგომში საინფორმაციო სისტემები). *1)

ტექნიკური საშუალებები, რომლებიც საშუალებას აძლევს პერსონალური მონაცემების დამუშავებას, ეს არის კომპიუტერული საშუალებები, საინფორმაციო და გამოთვლითი კომპლექსები და ქსელები, საშუალებები და სისტემები პერსონალური მონაცემების გადაცემის, მიღებისა და დამუშავებისთვის (ხმის ჩაწერის, ხმის გამაძლიერებელი, ხმის რეპროდუქცია, ინტერკომი და ტელევიზია). მოწყობილობები, წარმოების საშუალებები, დოკუმენტების რეპლიკაცია და მეტყველების დამუშავების სხვა ტექნიკური საშუალებები, გრაფიკული, ვიდეო და ალფანუმერული ინფორმაციის დამუშავება), პროგრამული უზრუნველყოფა (ოპერაციული სისტემები, მონაცემთა ბაზის მართვის სისტემები და ა.შ.), ინფორმაციული უსაფრთხოების ინსტრუმენტები, რომლებიც გამოიყენება საინფორმაციო სისტემებში.

2. პერსონალური მონაცემების უსაფრთხოება მიიღწევა პერსონალურ მონაცემებზე არაავტორიზებული, მათ შორის შემთხვევითი წვდომის გამორიცხვით, რამაც შეიძლება გამოიწვიოს პერსონალური მონაცემების განადგურება, მოდიფიკაცია, დაბლოკვა, კოპირება, გავრცელება, აგრეთვე სხვა არაავტორიზებული ქმედებები.

პერსონალური მონაცემების უსაფრთხოება საინფორმაციო სისტემებში მათი დამუშავებისას უზრუნველყოფილია პერსონალური მონაცემთა დაცვის სისტემის გამოყენებით, მათ შორის ორგანიზაციული ზომებისა და ინფორმაციის დაცვის საშუალებების (მათ შორის დაშიფვრის (კრიპტოგრაფიული) საშუალებების, არაავტორიზებული წვდომის აღკვეთის საშუალებების, ინფორმაციის გაჟონვის ტექნიკური არხებით, პროგრამული უზრუნველყოფის და. ტექნიკის ზემოქმედება პერსონალური მონაცემების დამუშავების ტექნიკურ საშუალებებზე), ასევე საინფორმაციო სისტემაში გამოყენებულ საინფორმაციო ტექნოლოგიებზე. აპარატურა და პროგრამული უზრუნველყოფა უნდა აკმაყოფილებდეს რუსეთის ფედერაციის კანონმდებლობის შესაბამისად დადგენილ მოთხოვნებს ინფორმაციის დაცვის უზრუნველსაყოფად.

საინფორმაციო სისტემებში მათი დამუშავებისას პერსონალური მონაცემების უსაფრთხოების უზრუნველსაყოფად, დაცულია მეტყველების ინფორმაცია და ტექნიკური საშუალებებით დამუშავებული ინფორმაცია, აგრეთვე ინფორმაცია წარმოდგენილია საინფორმაციო ელექტრული სიგნალების, ფიზიკური ველების, მედიის სახით ქაღალდზე, მაგნიტური, მაგნიტო. -ოპტიკური და სხვა ბაზები.

3. საინფორმაციო სისტემებში ინფორმაციის დაცვის მეთოდებსა და საშუალებებს ადგენენ ტექნიკური და ექსპორტის კონტროლის ფედერალური სამსახური და რუსეთის ფედერაციის უსაფრთხოების ფედერალური სამსახური თავიანთი უფლებამოსილების ფარგლებში. *3.1)

სახელმწიფო კონტროლისა და ზედამხედველობის დროს ფასდება პერსონალური მონაცემების საინფორმაციო სისტემებში დამუშავებისას მათი უსაფრთხოების უზრუნველსაყოფად მიღებული ღონისძიებების ადეკვატურობა.

4. საინფორმაციო სისტემებში მათი დამუშავებისას პერსონალური მონაცემების უსაფრთხოების უზრუნველსაყოფად მუშაობა საინფორმაციო სისტემების შექმნაზე მუშაობის განუყოფელი ნაწილია.

5. საინფორმაციო სისტემებში გამოყენებული ინფორმაციული უსაფრთხოების ინსტრუმენტები გადიან შესაბამისობის შეფასების პროცედურას დადგენილი წესით.

6. საინფორმაციო სისტემების კლასიფიცირება ხდება სახელმწიფო ორგანოების, მუნიციპალური ორგანოების, იურიდიული ან ფიზიკური პირების მიერ, რომლებიც ახორციელებენ პერსონალური მონაცემების დამუშავებას და (ან) ახორციელებენ პერსონალური მონაცემების დამუშავების მიზნებსა და შინაარსს (შემდგომში - ოპერატორი), დამოკიდებულია მათ მიერ დამუშავებული პერსონალური მონაცემების მოცულობიდან და უსაფრთხოების საფრთხეებზე, რომლებიც ემუქრება ინდივიდის, საზოგადოებისა და სახელმწიფოს სასიცოცხლო ინტერესებს.

საინფორმაციო სისტემების კლასიფიკაციის პროცედურას ერთობლივად ადგენენ ტექნიკური და ექსპორტის კონტროლის ფედერალური სამსახური, რუსეთის ფედერაციის უსაფრთხოების ფედერალური სამსახური და რუსეთის ფედერაციის საინფორმაციო ტექნოლოგიებისა და კომუნიკაციების სამინისტრო.*6.2).

7. პერსონალური მონაცემების გაცვლა საინფორმაციო სისტემებში მათი დამუშავებისას ხორციელდება საკომუნიკაციო არხებით, რომელთა დაცვა უზრუნველყოფილია შესაბამისი ორგანიზაციული ღონისძიებების განხორციელებით ან (ან) ტექნიკური საშუალებების გამოყენებით.

8. საინფორმაციო სისტემების, სპეციალური აღჭურვილობისა და შენობების დაცვა, რომლებშიც მიმდინარეობს პერსონალურ მონაცემებთან მუშაობა, ამ შენობებში უსაფრთხოების რეჟიმის ორგანიზება უნდა უზრუნველყოფდეს პერსონალური მონაცემების მატარებლებისა და ინფორმაციული უსაფრთხოების საშუალებების უსაფრთხოებას და ასევე გამორიცხავს ამ შენობაში უცხო პირების უკონტროლო შესვლის ან ყოფნის შესაძლებლობა

9. ინფორმაციის გაჟონვის შესაძლო არხებს საინფორმაციო სისტემებში პერსონალური მონაცემების დამუშავებისას განსაზღვრავს ტექნიკური და ექსპორტის კონტროლის ფედერალური სამსახური და რუსეთის ფედერაციის უსაფრთხოების ფედერალური სამსახური მათი უფლებამოსილების ფარგლებში.

10. საინფორმაციო სისტემაში დამუშავებისას პერსონალური მონაცემების უსაფრთხოებას უზრუნველყოფს ოპერატორი ან პირი, რომელსაც ხელშეკრულების საფუძველზე ოპერატორი ანდობს პერსონალური მონაცემების დამუშავებას (შემდგომში უფლებამოსილი პირი). ხელშეკრულების არსებითი პირობაა უფლებამოსილი პირის ვალდებულება, უზრუნველყოს პერსონალური მონაცემების კონფიდენციალურობა და პერსონალური მონაცემების უსაფრთხოება საინფორმაციო სისტემაში დამუშავებისას.

11. საინფორმაციო სისტემაში პერსონალური მონაცემების დამუშავებისას უზრუნველყოფილი უნდა იყოს:

ა) ღონისძიებების გატარება, რომლებიც მიზნად ისახავს პერსონალურ მონაცემებზე არასანქცირებული წვდომის აღკვეთას და (ან) მათ გადაცემას იმ პირებისთვის, რომლებსაც არ გააჩნიათ ამ ინფორმაციაზე წვდომის უფლება;

ბ) პერსონალურ მონაცემებზე არასანქცირებული წვდომის ფაქტების დროული გამოვლენა;

გ) პერსონალური მონაცემების ავტომატური დამუშავების ტექნიკურ საშუალებებზე ზემოქმედების აღკვეთა, რის შედეგადაც შეიძლება დაირღვეს მათი ფუნქციონირება;

დ) მასზე არასანქცირებული წვდომის გამო შეცვლილი ან განადგურებული პერსონალური მონაცემების დაუყოვნებელი აღდგენის შესაძლებლობა;

ე) პერსონალური მონაცემების უსაფრთხოების დონის უზრუნველყოფის მუდმივი მონიტორინგი.

12. პერსონალური მონაცემების უსაფრთხოების უზრუნველსაყოფად საინფორმაციო სისტემებში მათი დამუშავების დროს განიხილება:

ა) პერსონალური მონაცემების უსაფრთხოებისთვის საფრთხის იდენტიფიცირება მათი დამუშავებისას, მათზე დაფუძნებული საფრთხის მოდელის ფორმირება;

ბ) საფრთხის მოდელზე დაფუძნებული პერსონალური მონაცემთა დაცვის სისტემის შემუშავება, რომელიც უზრუნველყოფს სავარაუდო საფრთხეების განეიტრალებას შესაბამისი კლასის საინფორმაციო სისტემებისთვის გათვალისწინებული პერსონალური მონაცემების დაცვის მეთოდებისა და მეთოდების გამოყენებით;

გ) ინფორმაციული უსაფრთხოების ინსტრუმენტების გამოსაყენებლად მზადყოფნის შემოწმება მათი მოქმედების შესაძლებლობის შესახებ დასკვნების შედგენით;

დ) ინფორმაციული უსაფრთხოების საშუალებების მონტაჟი და ექსპლუატაციაში გაშვება ოპერატიული და ტექნიკური დოკუმენტაციის შესაბამისად;

ე) საინფორმაციო სისტემებში გამოყენებული ინფორმაციული უსაფრთხოების ინსტრუმენტების გამოყენებით პირთა მომზადება მათთან მუშაობის წესებზე;

ვ) გამოყენებული ინფორმაციის დაცვის საშუალებების, მათთვის პერსონალური მონაცემების მატარებლების ოპერატიული და ტექნიკური დოკუმენტაციის აღრიცხვა;

ზ) საინფორმაციო სისტემაში პერსონალურ მონაცემებთან მუშაობაზე უფლებამოსილი პირების აღრიცხვა;

თ) ოპერატიული და ტექნიკური დოკუმენტაციით გათვალისწინებული ინფორმაციული უსაფრთხოების ინსტრუმენტების გამოყენების პირობების დაცვაზე კონტროლი;

ი) პერსონალური მონაცემების მატარებლების შენახვის პირობებთან შეუსაბამობის ფაქტების გამოძიება და დასკვნის შედგენა, ინფორმაციული უსაფრთხოების ზომების გამოყენება, რამაც შეიძლება გამოიწვიოს პერსონალური მონაცემების კონფიდენციალურობის დარღვევა ან სხვა დარღვევები, რაც გამოიწვევს დონის შემცირებას. პერსონალური მონაცემების უსაფრთხოება, ზომების შემუშავება და მიღება ამგვარი დარღვევების შესაძლო საშიში შედეგების თავიდან ასაცილებლად;

კ) პერსონალურ მონაცემთა დაცვის სისტემის აღწერას.

13. პერსონალური მონაცემების საინფორმაციო სისტემაში დამუშავებისას უსაფრთხოების უზრუნველსაყოფად ღონისძიებების შემუშავებისა და განხორციელების მიზნით, ოპერატორს ან უფლებამოსილ პირს შეუძლია დანიშნოს სტრუქტურული ერთეული ან თანამდებობის პირი (დასაქმებული), რომელიც პასუხისმგებელია პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფაზე.

14. პირებს, რომელთა წვდომა საინფორმაციო სისტემაში დამუშავებულ პერსონალურ მონაცემებზე აუცილებელია სამსახურებრივი (შრომითი) მოვალეობების შესასრულებლად, უფლება ეძლევათ შესაბამის პერსონალურ მონაცემებზე წვდომა ოპერატორის ან უფლებამოსილი პირის მიერ დამტკიცებული სიის საფუძველზე.

15. საინფორმაციო სისტემის მომხმარებელთა მოთხოვნები პერსონალური მონაცემების მოპოვების თაობაზე, მათ შორის ამ რეგლამენტის მე-14 პუნქტში მითითებული პირების, აგრეთვე ამ მოთხოვნებთან დაკავშირებით პერსონალური მონაცემების მიწოდების ფაქტები რეგისტრირდება საინფორმაციო სისტემის ავტომატური საშუალებებით ელექტრონულ ჟურნალში. თხოვნების. მოთხოვნების ელექტრონული ჟურნალის შიგთავსს პერიოდულად ამოწმებენ ოპერატორის ან უფლებამოსილი პირის შესაბამისი თანამდებობის პირები (თანამშრომლები).

16. პერსონალური მონაცემების მიწოდების პროცედურის დარღვევის აღმოჩენის შემთხვევაში, ოპერატორი ან უფლებამოსილი პირი დაუყოვნებლივ შეაჩერებს პერსონალური მონაცემების მიწოდებას საინფორმაციო სისტემის მომხმარებლებს, სანამ არ მოხდება დარღვევების მიზეზების დადგენა და ამ მიზეზების აღმოფხვრა.

17. ინფორმაციული უსაფრთხოების ინსტრუმენტებში ინფორმაციული უსაფრთხოების უზრუნველყოფის მოთხოვნების შესრულება ეკისრება მათ შემქმნელებს.

შემუშავებულ დაშიფვრის (კრიპტოგრაფიული) ინფორმაციული უსაფრთხოების ინსტრუმენტებთან დაკავშირებით, რომლებიც შექმნილია პერსონალური მონაცემების უსაფრთხოების უზრუნველსაყოფად მათი დამუშავების დროს საინფორმაციო სისტემებში, ტარდება საქმის შესწავლა და საკონტროლო საქმის შესწავლა ინფორმაციის უსაფრთხოების მოთხოვნებთან შესაბამისობის შესამოწმებლად. ამ შემთხვევაში, შემთხვევის შესწავლა გაგებულია, როგორც ინფორმაციული უსაფრთხოების ინსტრუმენტების კრიპტოგრაფიული, საინჟინრო-კრიპტოგრაფიული და სპეციალური სამუშაოები საინფორმაციო სისტემების ტექნიკურ საშუალებებთან, ხოლო საკონტროლო შემთხვევის შესწავლა პერიოდულად ტარდება ქეისების შესწავლით.

საკონტროლო შემთხვევის კვლევის ჩატარების კონკრეტულ ვადებს განსაზღვრავს რუსეთის ფედერაციის უსაფრთხოების ფედერალური სამსახური.

18. ინფორმაციული უსაფრთხოების ინსტრუმენტების შესაბამისობის შეფასების და (ან) შემთხვევის შესწავლის შედეგები, რომლებიც შექმნილია პერსონალური მონაცემების უსაფრთხოების უზრუნველსაყოფად მათი დამუშავების დროს საინფორმაციო სისტემებში, ფასდება ტექნიკური და ექსპორტის კონტროლის ფედერალური სამსახურის და ფედერალური სამსახურის მიერ ჩატარებული ექსპერტიზის დროს. რუსეთის ფედერაციის უსაფრთხოების სამსახური მათი უფლებამოსილების ფარგლებში.

19. ინფორმაციული უსაფრთხოების ზომებს, რომლებიც მიზნად ისახავს პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფას საინფორმაციო სისტემებში მათი დამუშავებისას, თან ახლავს ამ საშუალებების გამოყენების წესები, შეთანხმებული ტექნიკური და ექსპორტის კონტროლის ფედერალურ სამსახურთან და რუსეთის ფედერაციის უსაფრთხოების ფედერალურ სამსახურთან. მათი უფლებამოსილების ფარგლებში.

ამ წესებით გათვალისწინებული ინფორმაციის დაცვის საშუალებების გამოყენების პირობების ცვლილებები შეთანხმებულია ამ ფედერალურ აღმასრულებელ ხელისუფლებასთან მათი უფლებამოსილების ფარგლებში.

20. ინფორმაციული უსაფრთხოების ზომები, რომლებიც განკუთვნილია პერსონალური მონაცემების უსაფრთხოების უზრუნველსაყოფად საინფორმაციო სისტემებში მათი დამუშავებისას, ექვემდებარება აღრიცხვას ინდექსების ან კოდის სახელებისა და სარეგისტრაციო ნომრების გამოყენებით. ინდექსების, კოდის სახელებისა და სარეგისტრაციო ნომრების ჩამონათვალს განსაზღვრავს ტექნიკური და ექსპორტის კონტროლის ფედერალური სამსახური და რუსეთის ფედერაციის უსაფრთხოების ფედერალური სამსახური მათი უფლებამოსილების ფარგლებში.

21. ინფორმაციის დაცვის დაშიფვრის (კრიპტოგრაფიული) საშუალებების შემუშავების, წარმოების, დანერგვისა და ექსპლუატაციის თავისებურებებს და ინფორმაციულ სისტემებში მათი დამუშავებისას პერსონალური მონაცემების დაშიფვრის სერვისების მიწოდებას ადგენს რუსეთის ფედერაციის უსაფრთხოების ფედერალური სამსახური.

ელექტრონული დოკუმენტის ტექსტი
მომზადებული კოდექსის მიერ და დამოწმებული წინააღმდეგ:
კანონმდებლობის კრებული
Რუსეთის ფედერაცია,
N 48, 26.11.2007 წ., მუხ.6001

რუსეთის ფედერაციის მთავრობის 2012 წლის 1 ნოემბრის N 1119 განკარგულება
„პერსონალური მონაცემების საინფორმაციო სისტემებში მათი დამუშავებისას პერსონალური მონაცემების დაცვის მოთხოვნების დამტკიცების შესახებ“

ფედერალური კანონის „პერსონალური მონაცემების შესახებ“ მე-19 მუხლის შესაბამისად, რუსეთის ფედერაციის მთავრობა იღებს გადაწყვეტილებას:

1. დაამტკიცოს პერსონალური მონაცემების საინფორმაციო სისტემებში მათი დამუშავებისას პერსონალური მონაცემების დაცვის თანდართული მოთხოვნები.

2. ბათილად ცნო რუსეთის ფედერაციის მთავრობის 2007 წლის 17 ნოემბრის N 781 ბრძანებულება „პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფის შესახებ დებულების დამტკიცების შესახებ პერსონალური მონაცემების საინფორმაციო სისტემებში მათი დამუშავებისას“ (რუსეთის ფედერაციის შეგროვებული კანონმდებლობა). , 2007, N 48, მუხ.6001) .

მოთხოვნები
პერსონალური მონაცემების დაცვას პერსონალური მონაცემების საინფორმაციო სისტემებში მათი დამუშავებისას
(დამტკიცებულია რუსეთის ფედერაციის მთავრობის 2012 წლის 1 ნოემბრის N 1119 დადგენილებით)

1. ეს დოკუმენტი ადგენს პერსონალური მონაცემების დაცვის მოთხოვნებს პერსონალური მონაცემების საინფორმაციო სისტემებში (შემდგომში საინფორმაციო სისტემები) დამუშავებისას და ასეთი მონაცემების უსაფრთხოების დონეებს.

2. პერსონალური მონაცემების უსაფრთხოება საინფორმაციო სისტემაში დამუშავებისას უზრუნველყოფილია პერსონალური მონაცემთა დაცვის სისტემის გამოყენებით, რომელიც ანეიტრალებს მე-19 მუხლის მე-5 ნაწილის შესაბამისად გამოვლენილ მიმდინარე საფრთხეებს.

პერსონალური მონაცემების დაცვის სისტემა მოიცავს ორგანიზაციულ და (ან) ტექნიკურ ზომებს, რომლებიც განისაზღვრება ინფორმაციულ სისტემებში გამოყენებული პერსონალური მონაცემებისა და საინფორმაციო ტექნოლოგიების უსაფრთხოებისთვის არსებული საფრთხეების გათვალისწინებით.

3. პერსონალური მონაცემების უსაფრთხოებას საინფორმაციო სისტემაში დამუშავებისას უზრუნველყოფს ამ სისტემის ოპერატორი, რომელიც ამუშავებს პერსონალურ მონაცემებს (შემდგომში ოპერატორი), ან პირი, რომელიც ამუშავებს პერსონალურ მონაცემებს ოპერატორის სახელით საფუძველზე. ამ პირთან დადებული ხელშეკრულების (შემდგომში უფლებამოსილი პირი). ოპერატორსა და უფლებამოსილ პირს შორის ხელშეკრულება უნდა ითვალისწინებდეს უფლებამოსილი პირის ვალდებულებას, უზრუნველყოს პერსონალური მონაცემების უსაფრთხოება საინფორმაციო სისტემაში დამუშავებისას.

4. პერსონალური მონაცემთა დაცვის სისტემის ინფორმაციული უსაფრთხოების საშუალებების არჩევას ოპერატორი ახორციელებს რუსეთის ფედერაციის უსაფრთხოების ფედერალური სამსახურის და ტექნიკური და ექსპორტის კონტროლის ფედერალური სამსახურის მიერ მე-4 ნაწილის შესაბამისად მიღებული მარეგულირებელი სამართლებრივი აქტების შესაბამისად. ფედერალური კანონის „პერსონალური მონაცემების შესახებ“ მე-19 მუხლის.

5. საინფორმაციო სისტემა არის საინფორმაციო სისტემა, რომელიც ამუშავებს პერსონალურ მონაცემებს სპეციალურ კატეგორიებს, თუ ის ამუშავებს რასას, ეროვნებას, პოლიტიკურ შეხედულებებს, რელიგიურ ან ფილოსოფიურ შეხედულებებს, ჯანმრთელობის მდგომარეობას, პერსონალური მონაცემების სუბიექტების ინტიმურ ცხოვრებას.

საინფორმაციო სისტემა არის საინფორმაციო სისტემა, რომელიც ამუშავებს ბიომეტრიულ პერსონალურ მონაცემებს, თუ ის ამუშავებს ინფორმაციას, რომელიც ახასიათებს პირის ფიზიოლოგიურ და ბიოლოგიურ მახასიათებლებს, რის საფუძველზეც შესაძლებელია მისი ვინაობის დადგენა და რომელსაც ოპერატორი იყენებს პიროვნების იდენტურობის დასადგენად. პერსონალური მონაცემების სუბიექტი და არ ამუშავებს პერსონალური მონაცემების სპეციალურ კატეგორიებთან დაკავშირებულ ინფორმაციას.

საინფორმაციო სისტემა არის საინფორმაციო სისტემა, რომელიც ამუშავებს საჯაროდ ხელმისაწვდომ პერსონალურ მონაცემებს, თუ ის ამუშავებს პერსონალური მონაცემების სუბიექტების პერსონალურ მონაცემებს, რომლებიც მოპოვებულია მხოლოდ პერსონალური მონაცემების საჯაროდ ხელმისაწვდომი წყაროებიდან, შექმნილი ფედერალური კანონის „პერსონალური მონაცემების შესახებ“ მე-8 მუხლის შესაბამისად.

საინფორმაციო სისტემა არის საინფორმაციო სისტემა, რომელიც ამუშავებს სხვა კატეგორიის პერსონალურ მონაცემებს, თუ იგი არ ამუშავებს ამ პუნქტის პირველი-მესამე პუნქტებით განსაზღვრულ პერსონალურ მონაცემებს.

საინფორმაციო სისტემა არის საინფორმაციო სისტემა, რომელიც ამუშავებს ოპერატორის თანამშრომლების პერსონალურ მონაცემებს, თუ ის ამუშავებს მხოლოდ მითითებული თანამშრომლების პერსონალურ მონაცემებს. სხვა შემთხვევაში, პერსონალური მონაცემების საინფორმაციო სისტემა არის საინფორმაციო სისტემა, რომელიც ამუშავებს პერსონალური მონაცემების სუბიექტების პერსონალურ მონაცემებს, რომლებიც არ არიან ოპერატორის თანამშრომლები.

6. პერსონალური მონაცემების უსაფრთხოების ამჟამინდელი საფრთხე გაგებულია, როგორც პირობებისა და ფაქტორების ერთობლიობა, რომელიც ქმნის პერსონალურ მონაცემებზე არაავტორიზებული, მათ შორის შემთხვევითი, წვდომის ამჟამინდელ საფრთხეს საინფორმაციო სისტემაში მათი დამუშავების დროს, რამაც შეიძლება გამოიწვიოს განადგურება, მოდიფიკაცია. პერსონალური მონაცემების დაბლოკვა, კოპირება, მიწოდება, გავრცელება, ასევე სხვა უკანონო ქმედებები.

1 ტიპის საფრთხეები რელევანტურია საინფორმაციო სისტემისთვის, თუ საინფორმაციო სისტემაში გამოყენებული სისტემურ პროგრამულ უზრუნველყოფაში არადოკუმენტირებული (არადეკლარირებული) შესაძლებლობების არსებობასთან დაკავშირებული საფრთხეები ასევე შესაბამისია.

მე-2 ტიპის საფრთხეები რელევანტურია საინფორმაციო სისტემისთვის, თუ საინფორმაციო სისტემაში გამოყენებული აპლიკაციის პროგრამულ უზრუნველყოფაში არადოკუმენტირებული (არადეკლარირებული) შესაძლებლობების არსებობასთან დაკავშირებული საფრთხეები ასევე შესაბამისია.

მე-3 ტიპის საფრთხეები რელევანტურია საინფორმაციო სისტემისთვის, თუ საფრთხეები, რომლებიც არ არის დაკავშირებული სისტემაში დაუსაბუთებელი (გამოუცხადებელი) შესაძლებლობების არსებობასთან და საინფორმაციო სისტემაში გამოყენებული აპლიკაციის პროგრამულ უზრუნველყოფასთან არის შესაბამისი.

7. საინფორმაციო სისტემის შესაბამისი პერსონალური მონაცემების უსაფრთხოების საფრთხის ტიპის განსაზღვრა ხორციელდება ოპერატორის მიერ ფედერალური კანონის 18.1 მუხლის 1-ლი ნაწილის მე-5 პუნქტის შესაბამისად განხორციელებული შესაძლო ზიანის შეფასების გათვალისწინებით. „პერსონალური მონაცემების შესახებ“ და ფედერალური კანონის „პერსონალური მონაცემების შესახებ“ მე-19 მუხლის მე-5 ნაწილის შესაბამისად მიღებული მარეგულირებელი სამართლებრივი აქტების შესაბამისად.

8. საინფორმაციო სისტემებში პერსონალური მონაცემების დამუშავებისას დგინდება პერსონალური მონაცემების უსაფრთხოების 4 დონე.

9. საინფორმაციო სისტემაში პერსონალური მონაცემების უსაფრთხოების 1-ლი დონის უზრუნველყოფის აუცილებლობა დგინდება, თუ არსებობს ქვემოთ ჩამოთვლილი პირობებიდან ერთი მაინც:

ა) 1 ტიპის საფრთხეები რელევანტურია საინფორმაციო სისტემასთან და საინფორმაციო სისტემა ამუშავებს პერსონალურ მონაცემებს ან სპეციალურ კატეგორიებს, ან ბიომეტრიულ პერსონალურ მონაცემებს, ან სხვა კატეგორიის პერსონალურ მონაცემებს;

ბ) მე-2 ტიპის საფრთხეები რელევანტურია საინფორმაციო სისტემისთვის და საინფორმაციო სისტემა ამუშავებს 100 000-ზე მეტი პერსონალური მონაცემთა სუბიექტის პერსონალურ მონაცემებს, რომლებიც არ არიან ოპერატორის თანამშრომლები.

10. პერსონალური მონაცემების საინფორმაციო სისტემაში დამუშავებისას პერსონალური მონაცემების უსაფრთხოების მე-2 დონის უზრუნველყოფის აუცილებლობა დგინდება, თუ არსებობს ქვემოთ ჩამოთვლილთაგან ერთ-ერთი მაინც:

ა) 1 ტიპის საფრთხეები რელევანტურია საინფორმაციო სისტემისთვის და საინფორმაციო სისტემა ამუშავებს საჯაროდ ხელმისაწვდომ პერსონალურ მონაცემებს;

ბ) მე-2 ტიპის საფრთხეები რელევანტურია საინფორმაციო სისტემაზე და საინფორმაციო სისტემა ამუშავებს ოპერატორის თანამშრომლების პერსონალურ მონაცემებს სპეციალურ კატეგორიებს ან 100 000-ზე ნაკლები პერსონალური მონაცემების სუბიექტის პერსონალურ მონაცემებს, რომლებიც არ არიან ოპერატორის თანამშრომლები;

გ) მე-2 ტიპის საფრთხეები ეხება საინფორმაციო სისტემას და საინფორმაციო სისტემა ამუშავებს ბიომეტრიულ პერსონალურ მონაცემებს;

დ) ტიპის 2 საფრთხეები რელევანტურია საინფორმაციო სისტემისთვის და საინფორმაციო სისტემა ამუშავებს 100 000-ზე მეტი პერსონალური მონაცემების სუბიექტის საჯაროდ ხელმისაწვდომ პერსონალურ მონაცემებს, რომლებიც არ არიან ოპერატორის თანამშრომლები;

ე) მე-2 ტიპის საფრთხეები ეხება საინფორმაციო სისტემას და საინფორმაციო სისტემა ამუშავებს 100000-ზე მეტი პერსონალური მონაცემების სუბიექტის სხვა კატეგორიის პერსონალურ მონაცემებს, რომლებიც არ არიან ოპერატორის თანამშრომლები;

ვ) მე-3 ტიპის საფრთხეები რელევანტურია საინფორმაციო სისტემისთვის და საინფორმაციო სისტემა ამუშავებს 100 000-ზე მეტი პერსონალური მონაცემთა სუბიექტის პერსონალურ მონაცემებს, რომლებიც არ არიან ოპერატორის თანამშრომლები.

11. საინფორმაციო სისტემაში პერსონალური მონაცემების უსაფრთხოების მე-3 დონის უზრუნველყოფის აუცილებლობა დგინდება, თუ არსებობს ქვემოთ ჩამოთვლილი პირობებიდან ერთი მაინც:

ა) ტიპის 2 საფრთხეები რელევანტურია საინფორმაციო სისტემასთან და საინფორმაციო სისტემა ამუშავებს ოპერატორის თანამშრომლების საჯაროდ ხელმისაწვდომ პერსონალურ მონაცემებს ან 100000-ზე ნაკლები პერსონალური მონაცემების სუბიექტის საჯაროდ ხელმისაწვდომ პერსონალურ მონაცემებს, რომლებიც არ არიან ოპერატორის თანამშრომლები;

ბ) ტიპის 2 საფრთხეები რელევანტურია საინფორმაციო სისტემასთან და საინფორმაციო სისტემა ამუშავებს ოპერატორის თანამშრომლების სხვა კატეგორიის პერსონალურ მონაცემებს ან 100000-ზე ნაკლები პერსონალური მონაცემების სუბიექტის პერსონალურ მონაცემებს, რომლებიც არ არიან ოპერატორის თანამშრომლები;

გ) მე-3 ტიპის საფრთხეები რელევანტურია საინფორმაციო სისტემისთვის და საინფორმაციო სისტემა ამუშავებს ოპერატორის თანამშრომლების პერსონალურ მონაცემებს სპეციალურ კატეგორიებს ან 100 000-ზე ნაკლები პერსონალური მონაცემების სუბიექტის პერსონალურ მონაცემებს, რომლებიც არ არიან ოპერატორის თანამშრომლები;

დ) მე-3 ტიპის საფრთხეები შეესაბამება ინფორმაციულ სისტემას და საინფორმაციო სისტემა ამუშავებს ბიომეტრიულ პერსონალურ მონაცემებს;

ე) მე-3 ტიპის საფრთხე ეხება საინფორმაციო სისტემას და საინფორმაციო სისტემა ამუშავებს 100000-ზე მეტი პერსონალური მონაცემების სუბიექტის სხვა კატეგორიის პერსონალურ მონაცემებს, რომლებიც არ არიან ოპერატორის თანამშრომლები.

12. პერსონალური მონაცემების საინფორმაციო სისტემაში დამუშავებისას პერსონალური მონაცემების უსაფრთხოების მე-4 დონის უზრუნველყოფის აუცილებლობა დგინდება, თუ არსებობს ქვემოთ ჩამოთვლილთაგან ერთ-ერთი მაინც:

ა) მე-3 ტიპის საფრთხეები რელევანტურია საინფორმაციო სისტემისთვის და საინფორმაციო სისტემა ამუშავებს საჯაროდ ხელმისაწვდომ პერსონალურ მონაცემებს;

ბ) მე-3 ტიპის საფრთხეები რელევანტურია საინფორმაციო სისტემისთვის და საინფორმაციო სისტემა ამუშავებს ოპერატორის თანამშრომლების სხვა კატეგორიის პერსონალურ მონაცემებს ან 100000-ზე ნაკლები პერსონალური მონაცემების სუბიექტის პერსონალურ მონაცემებს, რომლებიც არ არიან ოპერატორის თანამშრომლები.

13. პერსონალური მონაცემების საინფორმაციო სისტემებში დამუშავებისას უსაფრთხოების მე-4 დონის უზრუნველსაყოფად უნდა დაკმაყოფილდეს შემდეგი მოთხოვნები:

ა) იმ შენობების უსაფრთხოების რეჟიმის ორგანიზება, რომლებშიც განთავსებულია საინფორმაციო სისტემა, აღკვეთოს ამ შენობაში უკონტროლო შესვლის ან ყოფნის შესაძლებლობა იმ პირების მიერ, რომლებსაც არ აქვთ წვდომა ამ შენობაში;

ბ) პერსონალური მონაცემების მატარებლების უსაფრთხოების უზრუნველყოფა;

გ) ოპერატორის ხელმძღვანელის მიერ იმ პირთა სიის განმსაზღვრელი დოკუმენტის დამტკიცება, რომელთა საინფორმაციო სისტემაში დამუშავებულ პერსონალურ მონაცემებზე წვდომა აუცილებელია მათი სამსახურებრივი (შრომითი) მოვალეობის შესასრულებლად;

დ) ინფორმაციული უსაფრთხოების ინსტრუმენტების გამოყენება, რომლებმაც გაიარეს ინფორმაციული უსაფრთხოების სფეროში რუსეთის ფედერაციის კანონმდებლობის მოთხოვნებთან შესაბამისობის შეფასების პროცედურა, იმ შემთხვევებში, როდესაც ასეთი საშუალებების გამოყენება აუცილებელია მიმდინარე საფრთხეების გასანეიტრალებლად.

14. საინფორმაციო სისტემებში პერსონალური მონაცემების უსაფრთხოების მე-3 დონის უზრუნველსაყოფად, ამ დოკუმენტის მე-13 პუნქტით გათვალისწინებული მოთხოვნების შესრულების გარდა, აუცილებელია დაინიშნოს უსაფრთხოების უზრუნველყოფაზე პასუხისმგებელი თანამდებობის პირი (დასაქმებული). პერსონალური მონაცემები საინფორმაციო სისტემაში.

15. საინფორმაციო სისტემებში მათი დამუშავებისას პერსონალური მონაცემების უსაფრთხოების მე-2 დონის უზრუნველსაყოფად, ამ დოკუმენტის მე-14 პუნქტით გათვალისწინებული მოთხოვნების შესრულების გარდა, აუცილებელია, რომ ელექტრონული შეტყობინებების ჟურნალის შიგთავსზე წვდომა იყოს მხოლოდ შესაძლებელი. ოპერატორის თანამდებობის პირებისთვის (თანამშრომლებისთვის) ან უფლებამოსილი პირისთვის, რომლებისთვისაც სამსახურებრივი (შრომითი) მოვალეობების შესასრულებლად აუცილებელია მითითებულ ჟურნალში მოცემული ინფორმაცია.

16. პერსონალური მონაცემების საინფორმაციო სისტემებში დამუშავებისას უსაფრთხოების 1-ლი დონის უზრუნველსაყოფად, ამ დოკუმენტის მე-15 პუნქტით გათვალისწინებული მოთხოვნების გარდა, უნდა აკმაყოფილებდეს შემდეგი მოთხოვნები:

ა) ოპერატორის თანამშრომლის უფლებამოსილების ცვლილების ავტომატური რეგისტრაცია უსაფრთხოების ელექტრონულ ჟურნალში საინფორმაციო სისტემაში შემავალ პერსონალურ მონაცემებზე წვდომის შესახებ;

ბ) საინფორმაციო სისტემაში პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფაზე პასუხისმგებელი სტრუქტურული ერთეულის შექმნა ან ერთ-ერთი სტრუქტურული ერთეულისთვის ასეთი უსაფრთხოების უზრუნველყოფის ფუნქციების მინიჭება.

17. ამ მოთხოვნებთან შესაბამისობის მონიტორინგს ორგანიზებას უწევს და ახორციელებს ოპერატორი (უფლებამოსილი პირი) დამოუკიდებლად და (ან) კონფიდენციალურობის ტექნიკური დაცვის ლიცენზირებული იურიდიული და ინდივიდუალური მეწარმეების ჩართულობით ხელშეკრულების საფუძველზე. ინფორმაცია. მითითებული კონტროლი ტარდება არანაკლებ 3 წელიწადში ერთხელ ოპერატორის (უფლებამოსილი პირის) მიერ განსაზღვრულ ვადებში.

რუსეთის ფედერაციის მთავრობა

მოთხოვნების დამტკიცების შესახებ

მთავრობის თავმჯდომარე
რუსეთის ფედერაცია
დ.მედვედევი

დამტკიცებულია
მთავრობის დადგენილება
რუსეთის ფედერაცია
2012 წლის 1 ნოემბრის N 1119

მოთხოვნები
პერსონალური მონაცემების დასაცავად მათი დამუშავების დროს
პერსონალური მონაცემების საინფორმაციო სისტემებში

2. პერსონალური მონაცემების უსაფრთხოება საინფორმაციო სისტემაში დამუშავებისას უზრუნველყოფილია პერსონალური მონაცემთა დაცვის სისტემის გამოყენებით, რომელიც ანეიტრალებს „პერსონალური მონაცემების შესახებ“ ფედერალური კანონის მე-19 მუხლის მე-5 ნაწილის შესაბამისად გამოვლენილ მიმდინარე საფრთხეებს.

7. საინფორმაციო სისტემის შესაბამისი პერსონალური მონაცემების უსაფრთხოების საფრთხის ტიპის განსაზღვრა ხდება ოპერატორის მიერ ფედერალური კანონის 18.1 მუხლის 1-ლი ნაწილის მე-5 პუნქტის შესაბამისად განხორციელებული შესაძლო ზიანის შეფასების გათვალისწინებით. პერსონალური მონაცემების შესახებ“ და ფედერალური კანონის „პერსონალური მონაცემების შესახებ“ მე-19 მუხლის მე-5 ნაწილის შესაბამისად მიღებული მარეგულირებელი სამართლებრივი აქტების შესაბამისად.

ბ) პერსონალური მონაცემების მატარებლების უსაფრთხოების უზრუნველყოფა;

რუსეთის ფედერაციის მთავრობა

რეზოლუცია

პერსონალურ მონაცემთა საინფორმაციო სისტემებში მათი დამუშავებისას პერსონალური მონაცემების დაცვის მოთხოვნების დამტკიცების შესახებ

ფედერალური კანონის „პერსონალური მონაცემების შესახებ“ მე-19 მუხლის შესაბამისად, რუსეთის ფედერაციის მთავრობა

გადაწყვეტს:

მთავრობის თავმჯდომარე
რუსეთის ფედერაცია
დ.მედვედევი

პერსონალური მონაცემების დაცვის მოთხოვნები პერსონალურ მონაცემთა საინფორმაციო სისტემებში მათი დამუშავებისას

საინფორმაციო სისტემა არის საინფორმაციო სისტემა, რომელიც ამუშავებს საჯაროდ ხელმისაწვდომ პერსონალურ მონაცემებს, თუ ის ამუშავებს პერსონალური მონაცემების სუბიექტების პერსონალურ მონაცემებს, რომლებიც მოპოვებულია მხოლოდ პერსონალური მონაცემების საჯაროდ ხელმისაწვდომი წყაროებიდან, შექმნილი ფედერალური კანონის "პერსონალური მონაცემების შესახებ" მე-8 მუხლის შესაბამისად.

საინფორმაციო სისტემა არის საინფორმაციო სისტემა, რომელიც ამუშავებს სხვა კატეგორიის პერსონალურ მონაცემებს, თუ იგი არ ამუშავებს ამ პუნქტის პირველიდან მე-3 პუნქტებში მითითებულ პერსონალურ მონაცემებს.

7. საინფორმაციო სისტემის შესაბამისი პერსონალური მონაცემების უსაფრთხოებაზე საფრთხის ტიპის განსაზღვრა ხდება ოპერატორის მიერ ფედერალური კანონის 18_1 მუხლის პირველი ნაწილის მე-5 პუნქტის შესაბამისად განხორციელებული შესაძლო ზიანის შეფასების გათვალისწინებით. პერსონალური მონაცემების შესახებ“ და ფედერალური კანონის „პერსონალური მონაცემების შესახებ“ მე-19 მუხლის მე-5 ნაწილის შესაბამისად მიღებული მარეგულირებელი სამართლებრივი აქტების შესაბამისად.

ბ) პერსონალური მონაცემების მატარებლების უსაფრთხოების უზრუნველყოფა;

ელექტრონული დოკუმენტის ტექსტი
კოდექსის მიერ მომზადებული და დამოწმებული წინააღმდეგ.