hjem Gjenoppretting

Vedtak om godkjenning av krav til beskyttelse av personopplysninger under deres behandling i informasjonssystemer for personopplysninger - Rossiyskaya Gazeta. Nivåer for beskyttelse av personopplysninger i stedet for klasser Regjeringsdekret 1119

Dekret fra regjeringen i den russiske føderasjonen nr. 1119 av 1. november 2012 begravde klasser av informasjonssystemer for personopplysninger som allerede var blitt kjent for alle.

I stedet for klasser, i henhold til den nye resolusjonen, er det etablert fire sikkerhetsnivåer for personopplysninger under behandlingen i informasjonssystemer og krav for hver av dem. Tilordningen av informasjonssystemer til et bestemt sikkerhetsnivå gjøres avhengig av typen personopplysninger som informasjonssystemet behandler, typen aktuelle trusler, antall personopplysninger som behandles av informasjonssystemet, og hvilke personopplysninger. kontingent behandles.

Informasjonssystemer for personopplysninger (PDIS), i henhold til paragraf 5 i resolusjon nr. 1119, er delt inn i 4 grupper:

Spesiell ISPD
hvis ISPD behandler personopplysninger knyttet til rase, nasjonalitet, politiske synspunkter, religiøse eller filosofiske overbevisninger, helsestatus, intime liv til subjektene med personopplysninger;
Biometrisk ISPD
dersom ISPD behandler informasjon som karakteriserer de fysiologiske og biologiske egenskapene til en person, på grunnlag av hvilke hans identitet kan fastslås og som brukes av operatøren for å fastslå identiteten til gjenstanden for personopplysninger, og informasjon knyttet til spesielle kategorier av personopplysninger behandles ikke;
Offentlig ISPD
hvis ISPD behandler personopplysninger om subjekter med personopplysninger innhentet kun fra offentlig tilgjengelige kilder med personopplysninger opprettet i samsvar med artikkel 8 i den føderale loven "Om personopplysninger";
Andre ISPDn
hvis ISPD behandler personopplysninger om personopplysninger som ikke er representert i de tre foregående gruppene.

Basert på formen på forholdet mellom din organisasjon og fagene, er behandlingen delt inn i 2 typer:

behandling av personopplysninger til ansatte (enheter som din organisasjon har arbeidsforhold med);
behandling av personopplysninger til personer som ikke er ansatte i din organisasjon.

Basert på antall personer hvis personopplysninger behandles, definerer resolusjon nr. 1119 kun 2 kategorier:

mindre enn 100 000 fag;
mer enn 100 000 fag;

Og endelig, typer aktuelle trusler:

Type 1-trusler er assosiert med tilstedeværelsen av uerklærte (udokumenterte) funksjoner i systemprogramvaren som brukes i ISPD;
Type 2-trusler er assosiert med tilstedeværelsen av uerklærte evner i applikasjonsprogramvaren som brukes i ISPD;
Type 3-trusler er ikke assosiert med tilstedeværelsen av uerklærte evner i programvaren som brukes i ISPD.

Det er ingen forskrift om hvordan man skal bestemme type aktuelle trusler. Kravene til PP-1119 tilbyr ingen metoder eller metoder for deres nøytralisering. Hvis operatøren tidligere kunne velge å klassifisere en standard ISPD basert på en tabell eller klassifisere en spesiell ISPD basert på resultatene av en trusselmodell, er det nå ikke noe valg. Sikkerhetsnivået bestemmes alltid ut fra relevansen til truslene. Operatøren vil neppe være i stand til å bestemme dem på egen hånd - han må kontakte en høyere organisasjon eller en konsulent. Den enkleste måten er å følge minst motstands vei, dvs. bestemme typen gjeldende trussel av type 3, og glem uerklærte (udokumenterte) evner i system- og applikasjonsprogramvare, men dette må begrunnes. Hele spørsmålet er hvordan?, tilbake til begynnelsen av avsnittet.
Temaet relevansen av trusler mot personopplysningssystemer er svært viktig, fordi korrekt beskrevne trusler avgjør hvor godt systemet vil være beskyttet, samt hvor mye beskyttelsen vil koste for personopplysningsoperatøren.

Hvis du har bestemt deg for de første dataene for en spesifikk ISPD, inkludert typen aktuelle trusler, kan du bestemme sikkerhetsnivået. For å enkelt bestemme sikkerhetsnivået, bruk følgende tabell, som er basert på PP-1119:

ISPDn-type	Operatøransatte	Antall fag	Type aktuelle trusler
			1 (NDV OS)	2 (NDV PO)	3 (Uten NDV)
ISPDn-S (spesiell)	Nei	> 100 000	UZ-1	UZ-1	UZ-2
	Nei	< 100 000	UZ-1	UZ-2	UZ-3
	Ja
ISPDn-B (biometrisk)			UZ-1	UZ-2	UZ-3
ISPDn-I (andre)	Nei	> 100 000	UZ-1	UZ-2	UZ-3
	Nei	< 100 000	UZ-2	UZ-3	UZ-4
	Ja
ISPDn-O (offentlig)	Nei	> 100 000	UZ-2	UZ-2	UZ-4
	Nei	< 100 000	UZ-2	UZ-3	UZ-4
	Ja

Avhengig av det valgte PD-sikkerhetsnivået, definerer PP-1119 en rekke krav for beskyttelse av personopplysninger, som organiseres og utføres av operatøren (autorisert person) uavhengig og (eller) med involvering av juridiske personer og enkeltpersoner gründere på kontraktsbasis, som har lisens til å utføre aktiviteter på teknisk beskyttelse av konfidensiell informasjon. Overvåking av etterlevelse av kravene skal utføres minst en gang hvert 3. år innenfor tidsrammen fastsatt av operatøren (autorisert person).

Krav	Nivåer sikkerhet
Krav
Organisering av et sikkerhetsregime for lokalene der informasjonssystemet er plassert, som hindrer muligheten for ukontrollert adgang til eller opphold i disse lokalene for personer som ikke har tilgang til disse lokalene	+	+	+	+
Sikre sikkerheten til personopplysningsbærere	+	+	+	+
Godkjenning av sjefen for operatøren av et dokument som definerer listen over personer hvis tilgang til personopplysninger behandlet i informasjonssystemet er nødvendig for å utføre deres offisielle (arbeids)oppgaver	+	+	+	+
Bruk av informasjonssikkerhetsverktøy som har bestått prosedyren for å vurdere samsvar med kravene i lovgivningen i Den russiske føderasjonen innen informasjonssikkerhet, i tilfeller der bruken av slike verktøy er nødvendig for å nøytralisere nåværende trusler	+	+	+	+
Utnevnelse av en tjenestemann som er ansvarlig for å sikre sikkerheten til personopplysninger i ISPD	+	+	+	-
Begrensning av tilgang til innholdet i den elektroniske meldingsloggen	+	+	-	-
Automatisk registrering i den elektroniske sikkerhetsloggen av endringer i makten til operatørens ansatte til å få tilgang til personopplysninger i informasjonssystemet	+	-	-	-
Opprettelse av en strukturell enhet som er ansvarlig for å ivareta sikkerheten til personopplysninger i informasjonssystemet, eller tildele funksjoner for å sikre slik sikkerhet til en av de strukturelle enhetene	+	-	-	-

Etter å ha bestemt deg for kravene til beskyttelse av personopplysninger i samsvar med PP-1119, kan du gå videre til valg av organisatoriske og tekniske tiltak for å sikre sikkerheten til personopplysninger, basert på kravene i ordre nr. 21 av FSTEC av Russland datert 18. februar 2013. rettet mot å nøytralisere aktuelle trusler mot sikkerheten til personopplysninger.

Hva skal jeg gjøre med informasjonssikkerhetsverktøy, sertifikater som tidligere ble utstedt for visse klasser av ISPD?

I samsvar med informasjonsmeldingen fra FSTEC i Russland datert 20. november 2012 N 240/24/4669 "Om funksjonene ved beskyttelse av personopplysninger under behandlingen av dem i informasjonssystemer for personopplysninger og sertifisering av informasjonssikkerhetsverktøy beregnet for beskyttelse av personopplysninger", samsvarssertifikater utstedt av FSTEC i Russland, før ikrafttredelsen av den forskriftsmessige rettsakten til FSTEC i Russland (som betyr ordre nr. 21), som fastsetter sammensetningen og innholdet av organisatoriske og tekniske tiltak for å sikre sikkerheten til personopplysninger under deres behandling i personopplysningssystemer, er ikke gjenstand for omregistrering.
Informasjonssikkerhetsverktøy som kan brukes til å beskytte personopplysninger behandlet i informasjonssystemer for personopplysninger i klasse 1 kan brukes til å sikre sikkerheten til personopplysninger behandlet i informasjonssystemer for personopplysninger opp til nivå 1 inklusive;
Informasjonssikkerhetsverktøy som kan brukes til å beskytte personopplysninger behandlet i personopplysningssystemer i klasse 2 kan brukes for å sikre nivå 4-sikkerhet for personopplysninger som behandles i personopplysningssystemer.

REGJERINGEN I DEN RUSSISKE FØDERASJON

VEDTAK

Om godkjenning av forskrift om sikring av personopplysninger under behandling i personopplysningssystemer

Mistet kraft 15. november 2012 basert på
resolusjoner fra regjeringen i den russiske føderasjonen
datert 1. november 2012 N 1119
____________________________________________________________________

I samsvar med artikkel 19 i den føderale loven "Om personopplysninger", regjeringen i den russiske føderasjonen

bestemmer seg:

1. Godkjenne vedlagte Forskrift om sikring av personopplysninger under behandlingen i personopplysningssystemer.

2. Den føderale sikkerhetstjenesten i Den russiske føderasjonen og den føderale tjenesten for teknisk og eksportkontroll skal godkjenne, innenfor deres kompetanse, innen en 3-måneders periode, de regulatoriske rettsakter og metodiske dokumenter som er nødvendige for å oppfylle kravene fastsatt i forskriften godkjent av denne resolusjonen.

Formann i regjeringen
Den russiske føderasjonen

Forskrift om sikring av personopplysninger under behandling i personopplysningssystemer

GODKJENT
Regjeringsvedtak
Den russiske føderasjonen
datert 17. november 2007 N 781

1. Denne forskriften fastsetter krav for å sikre sikkerheten til personopplysninger under behandlingen av dem i informasjonssystemer for personopplysninger, som er en samling av personopplysninger som finnes i databaser, samt informasjonsteknologier og tekniske midler som tillater behandling av slike personopplysninger vha. automatiseringsverktøy (heretter kalt informasjonssystemer). *1)

Tekniske midler som tillater behandling av personopplysninger forstås som datafasiliteter, informasjons- og datakomplekser og nettverk, midler og systemer for overføring, mottak og behandling av personopplysninger (midler og systemer for lydopptak, lydforsterkning, lydgjengivelse, intercom og TV enheter, produksjonsmidler, dokumentreplikering og andre tekniske midler for å behandle tale, grafikk, video og alfanumerisk informasjon), programvare (operativsystemer, databasestyringssystemer osv.), informasjonssikkerhetsverktøy som brukes i informasjonssystemer.

2. Sikkerhet for personopplysninger oppnås ved å utelukke uautorisert, inkludert utilsiktet, tilgang til personopplysninger, som kan resultere i ødeleggelse, modifikasjon, blokkering, kopiering, distribusjon av personopplysninger, samt andre uautoriserte handlinger.

Sikkerheten til personopplysninger under behandlingen i informasjonssystemer sikres ved hjelp av et system for beskyttelse av personopplysninger, inkludert organisatoriske tiltak og midler for å beskytte informasjon (inkludert kryptering (kryptografiske) midler, midler for å forhindre uautorisert tilgang, informasjonslekkasje gjennom tekniske kanaler, programvare og maskinvarepåvirkning på tekniske midler for behandling av personopplysninger), samt informasjonsteknologier som brukes i informasjonssystemet. Maskinvare og programvare må oppfylle kravene fastsatt i samsvar med lovgivningen til den russiske føderasjonen for å sikre beskyttelse av informasjon.

For å sikre sikkerheten til personopplysninger under behandlingen av dem i informasjonssystemer, er det gitt beskyttelse for taleinformasjon og informasjon behandlet med tekniske midler, samt informasjon presentert i form av informative elektriske signaler, fysiske felt, medier på papir, magnetisk, magneto. -optiske og andre baser.

3. Metoder og midler for å beskytte informasjon i informasjonssystemer er etablert av den føderale tjenesten for teknisk og eksportkontroll og den føderale sikkerhetstjenesten i Den russiske føderasjonen innenfor grensene av deres fullmakter. *3.1)

Tilstrekkelighet av tiltakene som er iverksatt for å sikre sikkerheten til personopplysninger under behandlingen av dem i informasjonssystemer vurderes under statlig kontroll og tilsyn.

4. Arbeidet med å ivareta sikkerheten til personopplysninger under deres behandling i informasjonssystemer er en integrert del av arbeidet med å lage informasjonssystemer.

5. Informasjonssikkerhetsverktøy som brukes i informasjonssystemer, gjennomgår en samsvarsvurderingsprosedyre i samsvar med den etablerte prosedyren.

6. Informasjonssystemer klassifiseres av statlige organer, kommunale organer, juridiske personer eller enkeltpersoner som organiserer og (eller) utfører behandling av personopplysninger, samt bestemmer formål og innhold for behandlingen av personopplysninger (heretter kalt operatør), avhengig av mengden personopplysninger som behandles av dem og sikkerhetstrusler mot de vitale interessene til individet, samfunnet og staten.

Prosedyren for klassifisering av informasjonssystemer er etablert i fellesskap av den føderale tjenesten for teknisk og eksportkontroll, den føderale sikkerhetstjenesten i Den russiske føderasjonen og departementet for informasjonsteknologi og kommunikasjon i Den russiske føderasjonen.*6.2)

7. Utveksling av personopplysninger under deres behandling i informasjonssystemer utføres gjennom kommunikasjonskanaler, hvis beskyttelse er sikret gjennom implementering av passende organisatoriske tiltak og (eller) gjennom bruk av tekniske midler.

8. Plassering av informasjonssystemer, spesialutstyr og sikkerhet i lokaler der arbeid med personopplysninger utføres, organisering av et sikkerhetsregime i disse lokalene skal sikre sikkerheten til personopplysningsbærere og informasjonssikkerhetsmidler, og også utelukke mulighet for ukontrollert inntreden eller tilstedeværelse av fremmede i disse lokalene personer

9. Mulige kanaler for informasjonslekkasje under behandling av personopplysninger i informasjonssystemer bestemmes av Federal Service for Technical and Export Control og Federal Security Service of the Russian Federation innenfor grensene av deres myndighet.

10. Sikkerheten til personopplysninger ved behandling i informasjonssystemet ivaretas av operatøren eller den som operatøren på grunnlag av avtale overlater behandlingen av personopplysninger til (heretter kalt den autoriserte personen). En vesentlig betingelse i kontrakten er den autoriserte personens forpliktelse til å sikre konfidensialiteten til personopplysninger og sikkerheten til personopplysninger når de behandles i informasjonssystemet.

11. Ved behandling av personopplysninger i informasjonssystemet skal følgende sikres:

a) gjennomføre tiltak som tar sikte på å hindre uautorisert tilgang til personopplysninger og (eller) overføring av dem til personer som ikke har rett til tilgang til slik informasjon;

b) rettidig oppdagelse av fakta om uautorisert tilgang til personopplysninger;

c) forhindre innflytelse på tekniske midler for automatisert behandling av personopplysninger, som et resultat av at deres funksjon kan bli forstyrret;

d) muligheten for umiddelbar gjenoppretting av personopplysninger endret eller ødelagt på grunn av uautorisert tilgang til dem;

e) konstant overvåking av å sikre sikkerhetsnivået for personopplysninger.

12. Tiltak for å sikre sikkerheten til personopplysninger under behandlingen av dem i informasjonssystemer inkluderer:

a) identifikasjon av trusler mot sikkerheten til personopplysninger under behandlingen, dannelse av en trusselmodell basert på dem;

b) utvikling, basert på trusselmodellen, av et system for beskyttelse av personopplysninger som sikrer nøytralisering av påståtte trusler ved bruk av metoder og metoder for å beskytte personopplysninger gitt for den tilsvarende klassen av informasjonssystemer;

c) å kontrollere at informasjonssikkerhetsverktøyene er klare for bruk med å trekke konklusjoner om muligheten for deres drift;

d) installasjon og igangkjøring av informasjonssikkerhetsmidler i samsvar med operasjonell og teknisk dokumentasjon;

e) opplæring av personer som bruker informasjonssikkerhetsverktøy som brukes i informasjonssystemer, om reglene for å jobbe med dem;

f) regnskap for informasjonsbeskyttelsesmidlene som brukes, operasjonell og teknisk dokumentasjon for dem, personopplysningsbærere;

g) regnskapsføring av personer som er autorisert til å arbeide med personopplysninger i informasjonssystemet;

h) kontroll over overholdelse av vilkårene for bruk av informasjonssikkerhetsverktøy gitt i den operasjonelle og tekniske dokumentasjonen;

i) etterforske og trekke konklusjoner om fakta om manglende overholdelse av lagringsvilkårene til personopplysningsbærere, bruk av informasjonssikkerhetstiltak som kan føre til brudd på konfidensialiteten til personopplysninger eller andre brudd som fører til en nedgang i nivået av sikkerhet for personopplysninger, utvikling og vedtak av tiltak for å forhindre mulige farlige konsekvenser av slike brudd;

j) beskrivelse av personopplysningssystemet.

13. For å utvikle og implementere tiltak for å sikre sikkerheten til personopplysninger under behandlingen av dem i informasjonssystemet, kan en operatør eller en autorisert person utpeke en strukturell enhet eller tjenestemann (ansatt) som er ansvarlig for å sikre sikkerheten til personopplysninger.

14. Personer hvis tilgang til personopplysninger behandlet i informasjonssystemet er nødvendig for å utføre offisielle (arbeids)oppgaver, får tilgang til de relevante personopplysningene på grunnlag av en liste godkjent av operatøren eller autorisert person.

15. Forespørsler fra brukere av informasjonssystemet om å innhente personopplysninger, inkludert personene spesifisert i paragraf 14 i denne forskriften, samt fakta om å gi personopplysninger på disse forespørslene, registreres ved automatiserte midler av informasjonssystemet i den elektroniske loggen av forespørsler. Innholdet i den elektroniske loggen over forespørsler kontrolleres med jevne mellomrom av relevante tjenestemenn (ansatte) til operatøren eller autorisert person.

16. Dersom det oppdages brudd på prosedyren for å gi personopplysninger, skal operatøren eller den autoriserte personen umiddelbart suspendere leveringen av personopplysninger til brukere av informasjonssystemet inntil årsakene til bruddene er identifisert og disse årsakene er eliminert.

17. Implementeringen av krav for å sikre informasjonssikkerhet i informasjonssikkerhetsverktøy ligger hos deres utviklere.

I forhold til de utviklede krypterings (kryptografiske) informasjonssikkerhetsverktøyene designet for å sikre sikkerheten til personopplysninger under behandlingen av dem i informasjonssystemer, gjennomføres casestudier og kontrollcasestudier for å verifisere samsvar med informasjonssikkerhetskrav. I dette tilfellet forstås casestudier som kryptografiske, ingeniør-kryptografiske og spesielle studier av informasjonssikkerhetsverktøy og spesialarbeid med tekniske midler til informasjonssystemer, og kontrollcasestudier gjennomføres periodisk case-studier.

Spesifikke frister for gjennomføring av kontrollcasestudier bestemmes av den føderale sikkerhetstjenesten i Den russiske føderasjonen.

18. Resultatene av samsvarsvurdering og (eller) casestudier av informasjonssikkerhetsverktøy designet for å sikre sikkerheten til personopplysninger under behandlingen i informasjonssystemer vurderes under undersøkelsen utført av Federal Service for Technical and Export Control og Federal Den russiske føderasjonens sikkerhetstjeneste innenfor deres fullmakter.

19. Informasjonssikkerhetstiltak beregnet på å sikre sikkerheten til personopplysninger under behandlingen i informasjonssystemer er ledsaget av regler for bruk av disse midlene, avtalt med Federal Service for Technical and Export Control og Federal Security Service of the Russian Federation innenfor grensene for deres makt.

Endringer i betingelsene for bruk av informasjonsbeskyttelsesmidler gitt av disse reglene avtales med disse føderale utøvende myndighetene innenfor grensene av deres fullmakter.

20. Informasjonssikkerhetstiltak utformet for å sikre sikkerheten til personopplysninger under behandlingen i informasjonssystemer er underlagt regnskapsføring ved bruk av indekser eller kodenavn og registreringsnumre. Listen over indekser, kodenavn og registreringsnumre bestemmes av Federal Service for Technical and Export Control og Federal Security Service i Den russiske føderasjonen innenfor grensene av deres fullmakter.

21. Funksjoner ved utvikling, produksjon, implementering og drift av kryptering (kryptografiske) midler for informasjonsbeskyttelse og levering av tjenester for kryptering av personopplysninger under deres behandling i informasjonssystemer er etablert av den føderale sikkerhetstjenesten i Den russiske føderasjonen.

Elektronisk dokumenttekst
utarbeidet av Kodeks JSC og verifisert mot:
Samling av lovverk
Russland,
N 48, 26.11.2007, art. 6001

Dekret fra regjeringen i Den russiske føderasjonen av 1. november 2012 N 1119
"Ved godkjenning av krav til beskyttelse av personopplysninger under deres behandling i personopplysningssystemer"

I samsvar med artikkel 19 i den føderale loven "Om personopplysninger", bestemmer regjeringen i den russiske føderasjonen:

1. Godkjenne vedlagte krav til beskyttelse av personopplysninger under behandlingen av dem i personopplysningssystemer.

2. Anerkjenne som ugyldig dekretet fra regjeringen i den russiske føderasjonen av 17. november 2007 N 781 "Om godkjenning av forskriftene om å sikre sikkerheten til personopplysninger under behandlingen av dem i informasjonssystemer for personopplysninger" (Den russiske føderasjonens innsamlede lovgivning , 2007, N 48, Art. 6001) .

Krav
til beskyttelse av personopplysninger under behandlingen av dem i informasjonssystemer for personopplysninger
(godkjent ved dekret fra regjeringen i Den russiske føderasjonen av 1. november 2012 N 1119)

1. Dette dokumentet fastsetter krav til beskyttelse av personopplysninger når de behandles i informasjonssystemer for personopplysninger (heretter kalt informasjonssystemer) og sikkerhetsnivåene til slike data.

2. Sikkerheten til personopplysninger når de behandles i informasjonssystemet er sikret ved bruk av et persondatabeskyttelsessystem som nøytraliserer aktuelle trusler identifisert i samsvar med del 5 i artikkel 19

Systemet for beskyttelse av personopplysninger inkluderer organisatoriske og (eller) tekniske tiltak fastsatt under hensyntagen til aktuelle trusler mot sikkerheten til personopplysninger og informasjonsteknologier som brukes i informasjonssystemer.

3. Sikkerheten til personopplysninger når de behandles i et informasjonssystem sikres av operatøren av dette systemet, som behandler personopplysninger (heretter kalt operatøren), eller av den som behandler personopplysninger på vegne av operatøren på grunnlag av av en avtale inngått med denne personen (heretter referert til som den autoriserte personen). Avtalen mellom operatøren og den autoriserte skal gi rom for den autorisertes plikt til å ivareta sikkerheten til personopplysninger ved behandling i informasjonssystemet.

4. Valget av informasjonssikkerhetsmidler for persondatabeskyttelsessystemet utføres av operatøren i samsvar med regulatoriske rettsakter vedtatt av den føderale sikkerhetstjenesten i Den russiske føderasjonen og den føderale tjenesten for teknisk og eksportkontroll i henhold til del 4 av artikkel 19 i den føderale loven "Om personopplysninger".

5. Et informasjonssystem er et informasjonssystem som behandler spesielle kategorier av personopplysninger dersom det behandler personopplysninger knyttet til rase, nasjonalitet, politiske synspunkter, religiøse eller filosofiske overbevisninger, helsestatus, intimliv til subjektene til personopplysninger.

Et informasjonssystem er et informasjonssystem som behandler biometriske personopplysninger dersom det behandler informasjon som kjennetegner de fysiologiske og biologiske egenskapene til en person, på grunnlag av hvilke man kan fastslå sin identitet og som brukes av operatøren til å fastslå identiteten til en person. gjenstand for personopplysninger, og behandler ikke opplysninger knyttet til spesielle kategorier av personopplysninger.

Et informasjonssystem er et informasjonssystem som behandler offentlig tilgjengelige personopplysninger dersom det behandler personopplysninger om personopplysninger innhentet kun fra offentlig tilgjengelige kilder med personopplysninger opprettet i samsvar med artikkel 8 i den føderale loven "om personopplysninger".

Et informasjonssystem er et informasjonssystem som behandler andre kategorier av personopplysninger, dersom det ikke behandler personopplysningene spesifisert i første til tredje ledd i dette avsnittet.

Et informasjonssystem er et informasjonssystem som behandler personopplysninger om operatørens ansatte dersom det kun behandler personopplysninger til spesifiserte ansatte. I andre tilfeller er personopplysningssystemet et informasjonssystem som behandler personopplysninger om personopplysninger som ikke er ansatte hos operatøren.

6. Aktuelle trusler mot sikkerheten til personopplysninger forstås som et sett av forhold og faktorer som skaper den aktuelle faren for uautorisert, inkludert utilsiktet, tilgang til personopplysninger under behandlingen av dem i et informasjonssystem, som kan resultere i ødeleggelse, modifikasjon, blokkering, kopiering, levering, distribusjon av personopplysninger, samt andre ulovlige handlinger.

Type 1-trusler er relevante for et informasjonssystem dersom trusler knyttet til tilstedeværelsen av udokumenterte (udeklarerte) evner i systemprogramvaren som brukes i informasjonssystemet, også er relevante for det.

Trusler av 2. type er relevante for et informasjonssystem dersom trusler knyttet til tilstedeværelsen av udokumenterte (ikke-erklærte) evner i applikasjonsprogramvaren som brukes i informasjonssystemet også er relevante for det.

Type 3-trusler er relevante for et informasjonssystem dersom trusler som ikke er relatert til tilstedeværelsen av udokumenterte (udeklarerte) evner i systemet og applikasjonsprogramvare som brukes i informasjonssystemet, er relevante for det.

7. Bestemmelse av typen trusler mot sikkerheten til personopplysninger som er relevante for informasjonssystemet, utføres av operatøren under hensyntagen til vurderingen av mulig skade utført i henhold til paragraf 5 i del 1 av artikkel 18.1 i den føderale loven "Om personopplysninger", og i samsvar med regulatoriske rettsakter vedtatt i henhold til del 5 av artikkel 19 i den føderale loven "om personopplysninger".

8. Ved behandling av personopplysninger i informasjonssystemer etableres det 4 nivåer for personopplysningssikkerhet.

9. Behovet for å sikre 1. sikkerhetsnivå for personopplysninger ved behandling i et informasjonssystem etableres dersom minst ett av følgende forhold er til stede:

a) type 1-trusler er relevante for informasjonssystemet og informasjonssystemet behandler enten spesielle kategorier av personopplysninger, eller biometriske personopplysninger, eller andre kategorier av personopplysninger;

b) type 2-trusler er relevante for informasjonssystemet og informasjonssystemet behandler spesielle kategorier av personopplysninger om mer enn 100 000 personopplysninger som ikke er ansatte hos operatøren.

10. Behovet for å sikre 2. sikkerhetsnivå for personopplysninger ved behandling i informasjonssystemet etableres dersom minst ett av følgende forhold er til stede:

a) type 1-trusler er relevante for informasjonssystemet og informasjonssystemet behandler offentlig tilgjengelige personopplysninger;

b) trusler av type 2 er relevante for informasjonssystemet og informasjonssystemet behandler spesielle kategorier av personopplysninger om operatørens ansatte eller spesielle kategorier av personopplysninger om mindre enn 100 000 personopplysninger som ikke er ansatte hos operatøren;

c) type 2-trusler er relevante for informasjonssystemet og informasjonssystemet behandler biometriske personopplysninger;

d) type 2-trusler er relevante for informasjonssystemet og informasjonssystemet behandler offentlig tilgjengelige personopplysninger om mer enn 100 000 personopplysninger som ikke er ansatte hos operatøren;

e) type 2-trusler er relevante for informasjonssystemet og informasjonssystemet behandler andre kategorier av personopplysninger om mer enn 100 000 personopplysninger som ikke er ansatte hos operatøren;

f) type 3-trusler er relevante for informasjonssystemet og informasjonssystemet behandler spesielle kategorier av personopplysninger om mer enn 100 000 personopplysninger som ikke er ansatte hos operatøren.

11. Behovet for å sikre 3. sikkerhetsnivå for personopplysninger under behandlingen av dem i informasjonssystemet er etablert dersom minst ett av følgende forhold er til stede:

a) type 2-trusler er relevante for informasjonssystemet og informasjonssystemet behandler offentlig tilgjengelige personopplysninger om operatørens ansatte eller offentlig tilgjengelige personopplysninger om mindre enn 100 000 personopplysninger som ikke er ansatte hos operatøren;

b) type 2-trusler er relevante for informasjonssystemet og informasjonssystemet behandler andre kategorier av personopplysninger om operatørens ansatte eller andre kategorier av personopplysninger om mindre enn 100 000 personopplysninger som ikke er ansatte hos operatøren;

c) trusler av type 3 er relevante for informasjonssystemet og informasjonssystemet behandler spesielle kategorier av personopplysninger om operatørens ansatte eller spesielle kategorier av personopplysninger om mindre enn 100 000 personopplysninger som ikke er ansatte hos operatøren;

d) type 3 trusler er relevante for informasjonssystemet og informasjonssystemet behandler biometriske personopplysninger;

e) type 3 trusler er relevante for informasjonssystemet og informasjonssystemet behandler andre kategorier av personopplysninger om mer enn 100 000 personopplysninger som ikke er ansatte hos operatøren.

12. Behovet for å sikre 4. sikkerhetsnivå for personopplysninger ved behandling i et informasjonssystem er etablert dersom minst ett av følgende forhold er til stede:

a) type 3 trusler er relevante for informasjonssystemet og informasjonssystemet behandler offentlig tilgjengelige personopplysninger;

b) type 3-trusler er relevante for informasjonssystemet og informasjonssystemet behandler andre kategorier av personopplysninger om operatørens ansatte eller andre kategorier av personopplysninger om mindre enn 100 000 personopplysninger som ikke er ansatte hos operatøren.

13. For å sikre 4. sikkerhetsnivå for personopplysninger ved behandling i informasjonssystemer, må følgende krav være oppfylt:

a) organisere et sikkerhetsregime for lokalene der informasjonssystemet er plassert, som hindrer muligheten for ukontrollert adgang til eller opphold i disse lokalene for personer som ikke har tilgang til disse lokalene;

b) å sikre sikkerheten til personopplysningsbærere;

c) godkjenning fra lederen av operatøren av et dokument som definerer listen over personer hvis tilgang til personopplysninger behandlet i informasjonssystemet er nødvendig for å utføre deres offisielle (arbeids)oppgaver;

d) bruk av informasjonssikkerhetsverktøy som har bestått prosedyren for å vurdere samsvar med kravene i lovgivningen i Den russiske føderasjonen innen informasjonssikkerhet, i tilfeller der bruken av slike midler er nødvendig for å nøytralisere gjeldende trusler.

14. For å sikre det tredje sikkerhetsnivået for personopplysninger under behandlingen i informasjonssystemer, i tillegg til å oppfylle kravene fastsatt i punkt 13 i dette dokumentet, er det nødvendig at en tjenestemann (ansatt) utnevnes ansvarlig for å sikre sikkerheten. av personopplysninger i informasjonssystemet.

15. For å sikre det andre sikkerhetsnivået for personopplysninger under deres behandling i informasjonssystemer, i tillegg til å oppfylle kravene fastsatt i punkt 14 i dette dokumentet, er det nødvendig at tilgang til innholdet i den elektroniske meldingsloggen kun er mulig. for tjenestemenn (ansatte) hos operatøren eller en autorisert person, for hvem informasjonen i den angitte journalen er nødvendig for å utføre offisielle (arbeids)oppgaver.

16. For å sikre 1. sikkerhetsnivå for personopplysninger ved behandling i informasjonssystemer, i tillegg til kravene fastsatt i punkt 15 i dette dokumentet, må følgende krav oppfylles:

a) automatisk registrering i den elektroniske sikkerhetsloggen av endringer i makten til operatørens ansatte til å få tilgang til personopplysninger i informasjonssystemet;

b) opprette en strukturell enhet som er ansvarlig for å ivareta sikkerheten til personopplysninger i informasjonssystemet, eller tildele funksjoner for å sikre slik sikkerhet til en av de strukturelle enhetene.

17. Overvåking av overholdelse av disse kravene organiseres og utføres av operatøren (autorisert person) uavhengig og (eller) med involvering av juridiske enheter og individuelle gründere på kontraktsbasis, lisensiert til å utføre aktiviteter for teknisk beskyttelse av konfidensiell informasjon. Den spesifiserte kontrollen utføres minst en gang hvert 3. år innenfor de frister som er fastsatt av operatøren (autorisert person).

REGJERINGEN I DEN RUSSISKE FØDERASJON

OM GODKJENNING AV KRAV

I samsvar med artikkel 19 i den føderale loven "Om personopplysninger", bestemmer regjeringen i den russiske føderasjonen:

1. Godkjenne vedlagte krav til beskyttelse av personopplysninger under behandlingen av dem i personopplysningssystemer.

Formann i regjeringen
Den russiske føderasjonen
D.MEDVEDEV

Godkjent
Regjeringsvedtak
Den russiske føderasjonen
datert 1. november 2012 N 1119

KRAV
TIL BESKYTTELSE AV PERSONOPPLYSNINGER UNDER DERES BEHANDLING
I INFORMASJONSSYSTEMER AV PERSONDATA

2. Sikkerheten til personopplysninger når de behandles i informasjonssystemet er sikret ved hjelp av et system for beskyttelse av personopplysninger som nøytraliserer aktuelle trusler identifisert i samsvar med del 5 av artikkel 19 i den føderale loven "Om personopplysninger".

7. Bestemmelse av typen trusler mot sikkerheten til personopplysninger som er relevante for informasjonssystemet gjøres av operatøren under hensyntagen til vurderingen av mulig skade utført i henhold til paragraf 5 i del 1 av artikkel 18.1 i den føderale loven " Om personopplysninger", og i samsvar med regulatoriske rettsakter vedtatt i henhold til del 5 av artikkel 19 i den føderale loven "Om personopplysninger".