dom Powrót do zdrowia

Uchwała w sprawie zatwierdzenia wymagań dotyczących ochrony danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych - Rossijskaja Gazeta. Poziomy ochrony danych osobowych zamiast klas Dekret rządowy 1119

Dekret Rządu Federacji Rosyjskiej nr 1119 z dnia 1 listopada 2012 r. Pochował klasy systemów informatycznych danych osobowych, które były już znane wszystkim.

W miejsce zajęć, zgodnie z nową uchwałą, ustala się cztery poziomy bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych oraz wymagania dla każdego z nich. Przydział systemów informatycznych do określonego poziomu bezpieczeństwa dokonywany jest w zależności od rodzaju danych osobowych, które system informatyczny przetwarza, rodzaju aktualnych zagrożeń, liczby podmiotów danych osobowych przetwarzanych przez system informatyczny oraz których dane osobowe warunkowe jest przetwarzane.

Systemy informacji o danych osobowych (PDIS), zgodnie z paragrafem 5 uchwały nr 1119, dzielą się na 4 grupy:

Specjalny ISPD
jeżeli ISPD przetwarza dane osobowe dotyczące rasy, narodowości, poglądów politycznych, przekonań religijnych lub filozoficznych, stanu zdrowia, życia intymnego osób, których dane dotyczą;
Biometryczny ISPD
jeżeli ISPD przetwarza informacje charakteryzujące cechy fizjologiczne i biologiczne osoby, na podstawie których można ustalić jej tożsamość i które służą operatorowi do ustalenia tożsamości podmiotu danych osobowych, oraz informacje dotyczące kategorii specjalnych danych osobowych nie jest przetwarzane;
Publiczne ISPD
jeżeli ISPD przetwarza dane osobowe podmiotów danych osobowych uzyskane wyłącznie z publicznie dostępnych źródeł danych osobowych utworzonych zgodnie z art. 8 ustawy federalnej „O danych osobowych”;
Inne ISPDn
jeżeli ISPD przetwarza dane osobowe podmiotów danych osobowych, które nie są reprezentowane w trzech poprzednich grupach.

W zależności od formy relacji między Twoją organizacją a podmiotami przetwarzanie dzieli się na 2 typy:

przetwarzanie danych osobowych pracowników (podmiotów, z którymi Twoja organizacja utrzymuje stosunki pracy);
przetwarzanie danych osobowych podmiotów niebędących pracownikami Twojej organizacji.

Ze względu na liczbę podmiotów, których dane osobowe są przetwarzane, uchwała nr 1119 definiuje jedynie 2 kategorie:

mniej niż 100 000 pacjentów;
ponad 100 000 pacjentów;

I w końcu, rodzaje aktualnych zagrożeń:

Zagrożenia typu 1 są związane z obecnością niezadeklarowanych (nieudokumentowanych) możliwości w oprogramowaniu systemowym stosowanym w ISPD;
Zagrożenia typu 2 są związane z obecnością niezadeklarowanych możliwości w oprogramowaniu użytkowym stosowanym w ISPD;
Zagrożenia typu 3 nie są związane z obecnością niezadeklarowanych możliwości w oprogramowaniu stosowanym w ISPD.

Brak jest przepisów określających rodzaj istniejących zagrożeń. Wymagania PP-1119 nie oferują żadnych metod ani metod ich neutralizacji. Jeśli wcześniej operator mógł zdecydować się na klasyfikację standardowego ISPD na podstawie tabeli lub na sklasyfikowanie specjalnego ISPD na podstawie wyników modelu zagrożenia, teraz nie ma wyboru. Poziom bezpieczeństwa jest zawsze ustalany na podstawie istotności zagrożeń. Operator raczej nie będzie w stanie samodzielnie ich ustalić - będzie musiał skontaktować się z wyższą organizacją lub konsultantem. Najprościej jest pójść po najmniejszej linii oporu, czyli tzw. określ rodzaj aktualnego zagrożenia typu 3 i zapomnij o niezadeklarowanych (nieudokumentowanych) możliwościach oprogramowania systemowego i aplikacyjnego, ale trzeba będzie to uzasadnić. Całe pytanie brzmi: jak?, wracając do początku akapitu.
Temat znaczenia zagrożeń dla systemów informatycznych danych osobowych jest bardzo ważny, ponieważ prawidłowo opisane zagrożenia decydują o tym, jak dobrze system będzie chroniony, a także ile ochrona będzie kosztować operatora danych osobowych.

Jeśli zdecydowałeś się na dane wyjściowe dla konkretnego ISPD, w tym na temat rodzaju aktualnych zagrożeń, możesz określić jego poziom bezpieczeństwa. Aby wygodnie określić poziom bezpieczeństwa, skorzystaj z poniższej tabeli, która opiera się na PP-1119:

typu ISPDn	Pracownicy Operatora	Liczba przedmiotów	Rodzaj aktualnych zagrożeń
			1 (system operacyjny NDV)	2 (NDV PO)	3 (Bez NDV)
ISPDn-S (specjalny)	NIE	> 100 000	UZ-1	UZ-1	UZ-2
	NIE	< 100 000	UZ-1	UZ-2	UZ-3
	Tak
ISPDn-B (biometryczny)			UZ-1	UZ-2	UZ-3
ISPDn-I (inni)	NIE	> 100 000	UZ-1	UZ-2	UZ-3
	NIE	< 100 000	UZ-2	UZ-3	UZ-4
	Tak
ISPDn-O (publiczny)	NIE	> 100 000	UZ-2	UZ-2	UZ-4
	NIE	< 100 000	UZ-2	UZ-3	UZ-4
	Tak

W zależności od wybranego poziomu bezpieczeństwa PD, PP-1119 określa szereg wymagań w zakresie ochrony danych osobowych, które operator (osoba upoważniona) organizuje i realizuje samodzielnie i (lub) przy udziale osób prawnych i indywidualnych przedsiębiorcy na podstawie umowy, posiadający zezwolenie na prowadzenie działalności w zakresie technicznej ochrony informacji poufnych. Monitoring spełnienia wymagań należy przeprowadzać nie rzadziej niż raz na 3 lata w terminie określonym przez operatora (osobę upoważnioną).

Wymagania	Poziomy bezpieczeństwo
Wymagania
Organizacja reżimu bezpieczeństwa obiektu, w którym zlokalizowany jest system informatyczny, zapobiegającego możliwości niekontrolowanego wejścia lub przebywania na terenie tego obiektu przez osoby niemające dostępu do tego lokalu	+	+	+	+
Zapewnienie bezpieczeństwa nośników danych osobowych	+	+	+	+
Zatwierdzenie przez kierownika operatora dokumentu określającego wykaz osób, których dostęp do danych osobowych przetwarzanych w systemie informatycznym jest niezbędny do wykonywania przez nich obowiązków służbowych (pracowniczych)	+	+	+	+
Stosowanie narzędzi bezpieczeństwa informacji, które przeszły procedurę oceny zgodności z wymogami ustawodawstwa Federacji Rosyjskiej w zakresie bezpieczeństwa informacji, w przypadkach, gdy użycie takich narzędzi jest niezbędne do zneutralizowania bieżących zagrożeń	+	+	+	+
Powołanie urzędnika odpowiedzialnego za zapewnienie bezpieczeństwa danych osobowych w ISPD	+	+	+	-
Ograniczenie dostępu do zawartości elektronicznego dziennika wiadomości	+	+	-	-
Automatyczna rejestracja w elektronicznym dzienniku bezpieczeństwa zmian w uprawnieniach pracownika operatora w zakresie dostępu do danych osobowych zawartych w systemie informatycznym	+	-	-	-
Utworzenie jednostki strukturalnej odpowiedzialnej za zapewnienie bezpieczeństwa danych osobowych w systemie informatycznym lub przypisanie funkcji zapewniających takie bezpieczeństwo jednej z jednostek strukturalnych	+	-	-	-

Decydując się na wymagania dotyczące ochrony danych osobowych zgodnie z PP-1119, możesz przystąpić do wyboru środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych osobowych, w oparciu o wymagania zarządzenia nr 21 FSTEC z Rosja z dnia 18 lutego 2013 r. mające na celu neutralizację aktualnych zagrożeń dla bezpieczeństwa danych osobowych.

Co zrobić z narzędziami bezpieczeństwa informacji, dla których certyfikaty zostały wcześniej wydane dla niektórych klas ISPD?

Zgodnie z komunikatem informacyjnym FSTEC Rosji z dnia 20 listopada 2012 r. N 240/24/4669 „W sprawie cech ochrony danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych oraz certyfikacji narzędzi bezpieczeństwa informacji przeznaczonych do ochrony danych osobowych”, certyfikaty zgodności wydane przez FSTEC Rosji, przed wejściem w życie regulacyjnego aktu prawnego FSTEC Rosji (tj. Zarządzenie nr 21), ustalające skład i treść środków organizacyjnych i technicznych zapewniających bezpieczeństwo dane osobowe w trakcie ich przetwarzania w systemach informatycznych danych osobowych, nie podlegają ponownej rejestracji.
Narzędzia bezpieczeństwa informacji, które można zastosować do ochrony danych osobowych przetwarzanych w systemach informatycznych danych osobowych klasy 1, można zastosować w celu zapewnienia bezpieczeństwa danych osobowych przetwarzanych w systemach informatycznych danych osobowych do poziomu 1 włącznie;
Narzędzia bezpieczeństwa informacji, które można zastosować do ochrony danych osobowych przetwarzanych w systemach informatycznych danych osobowych klasy 2, można zastosować w celu zapewnienia bezpieczeństwa poziomu 4 danych osobowych przetwarzanych w systemach informatycznych danych osobowych.

RZĄD FEDERACJI ROSYJSKIEJ

REZOLUCJA

Po zatwierdzeniu Regulaminu zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych

Stracił życie 15 listopada 2012 r. na podstawie
uchwały Rządu Federacji Rosyjskiej
z dnia 1 listopada 2012 r. N 1119
____________________________________________________________________

Zgodnie z art. 19 ustawy federalnej „O danych osobowych” Rząd Federacji Rosyjskiej

decyduje:

1. Zatwierdzić załączony Regulamin zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych.

2. Federalna Służba Bezpieczeństwa Federacji Rosyjskiej oraz Federalna Służba Kontroli Technicznej i Eksportu zatwierdzają, w zakresie swoich kompetencji, w terminie 3 miesięcy regulacyjne akty prawne i dokumenty metodyczne niezbędne do spełnienia wymagań przewidzianych w Regulaminie zatwierdzone tą uchwałą.

Przewodniczący Rządu
Federacja Rosyjska

Przepisy dotyczące zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych

ZATWIERDZONY
Uchwała rządowa
Federacja Rosyjska
z dnia 17 listopada 2007 r. N 781

1. Niniejszy Regulamin określa wymagania dotyczące zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych będących zbiorem danych osobowych zawartych w bazach danych, a także w technologiach informatycznych i środkach technicznych umożliwiających przetwarzanie tych danych osobowych za pomocą narzędzia automatyzacji (zwane dalej systemami informatycznymi). *1)

Przez środki techniczne umożliwiające przetwarzanie danych osobowych rozumie się urządzenia komputerowe, kompleksy i sieci informacyjne i obliczeniowe, środki i systemy przesyłania, odbierania i przetwarzania danych osobowych (środki i systemy rejestracji dźwięku, wzmacniania dźwięku, odtwarzania dźwięku, domofonu i telewizji) urządzenia, środki produkcyjne, replikacja dokumentów i inne techniczne środki przetwarzania mowy, grafiki, obrazu i informacji alfanumerycznej), oprogramowanie (systemy operacyjne, systemy zarządzania bazami danych itp.), narzędzia bezpieczeństwa informacji stosowane w systemach informatycznych.

2. Bezpieczeństwo danych osobowych osiąga się poprzez wykluczenie nieuprawnionego, w tym przypadkowego, dostępu do danych osobowych, który może skutkować zniszczeniem, modyfikacją, zablokowaniem, kopiowaniem, rozpowszechnianiem danych osobowych, a także innymi niedozwolonymi działaniami.

Bezpieczeństwo danych osobowych podczas ich przetwarzania w systemach informatycznych zapewnia się, stosując system ochrony danych osobowych, obejmujący środki organizacyjne i środki ochrony informacji (w tym środki szyfrowania (kryptograficzne), środki zapobiegające dostępowi osób nieuprawnionych, wyciekowi informacji kanałami technicznymi, oprogramowaniem i wpływ sprzętu na środki techniczne przetwarzania danych osobowych), a także technologie informatyczne stosowane w systemie informatycznym. Sprzęt i oprogramowanie muszą spełniać wymagania ustanowione zgodnie z ustawodawstwem Federacji Rosyjskiej w celu zapewnienia ochrony informacji.

Aby zapewnić bezpieczeństwo danych osobowych podczas ich przetwarzania w systemach informatycznych, ochronie podlegają informacje słowne oraz informacje przetwarzane środkami technicznymi, a także informacje prezentowane w postaci informacyjnych sygnałów elektrycznych, pól fizycznych, nośników papierowych, magnetycznych, magneto -podstawy optyczne i inne.

3. Metody i środki ochrony informacji w systemach informatycznych ustalają Federalna Służba Kontroli Technicznej i Eksportu oraz Federalna Służba Bezpieczeństwa Federacji Rosyjskiej w granicach swoich uprawnień. *3.1)

Adekwatność środków podjętych w celu zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych oceniana jest w ramach kontroli i nadzoru państwowego.

4. Praca nad zapewnieniem bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych jest integralną częścią prac nad tworzeniem systemów informatycznych.

5. Narzędzia bezpieczeństwa informacji stosowane w systemach informatycznych poddawane są procedurze oceny zgodności zgodnie z ustaloną procedurą.

6. Systemy informacyjne klasyfikują organy państwowe, samorządowe, osoby prawne lub osoby fizyczne organizujące i (lub) dokonujące przetwarzania danych osobowych, a także ustalające cele i treść przetwarzania danych osobowych (zwane dalej: operatora), w zależności od ilości przetwarzanych przez niego danych osobowych oraz zagrożeń bezpieczeństwa żywotnych interesów jednostki, społeczeństwa i państwa.

Procedurę klasyfikacji systemów informatycznych ustalają wspólnie Federalna Służba Kontroli Technicznej i Eksportu, Federalna Służba Bezpieczeństwa Federacji Rosyjskiej oraz Ministerstwo Technologii Informacyjnych i Łączności Federacji Rosyjskiej.*6.2)

7. Wymiana danych osobowych podczas ich przetwarzania w systemach informatycznych odbywa się za pośrednictwem kanałów komunikacji, których ochrona jest zapewniona poprzez wdrożenie odpowiednich środków organizacyjnych i (lub) poprzez zastosowanie środków technicznych.

8. Rozmieszczenie systemów informatycznych, specjalne wyposażenie i bezpieczeństwo pomieszczeń, w których wykonywana jest praca z danymi osobowymi, organizacja reżimu bezpieczeństwa w tych pomieszczeniach musi zapewniać bezpieczeństwo nośników danych osobowych i środków bezpieczeństwa informacji, a także wykluczać możliwość niekontrolowanego wejścia lub obecności osób obcych na terenie tych pomieszczeń

9. Możliwe kanały wycieku informacji podczas przetwarzania danych osobowych w systemach informatycznych określa Federalna Służba Kontroli Technicznej i Eksportu oraz Federalna Służba Bezpieczeństwa Federacji Rosyjskiej w granicach swoich uprawnień.

10. Bezpieczeństwo danych osobowych przetwarzanych w systemie informatycznym zapewnia operator lub osoba, której na podstawie umowy operator powierza przetwarzanie danych osobowych (zwana dalej osobą upoważnioną). Istotnym warunkiem umowy jest obowiązek osoby upoważnionej zapewnienia poufności danych osobowych oraz bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym.

11. Podczas przetwarzania danych osobowych w systemie informatycznym należy zadbać o:

a) podejmowanie działań mających na celu zapobieganie nieuprawnionemu dostępowi do danych osobowych i (lub) ich przekazywaniu osobom, które nie mają prawa dostępu do takich informacji;

b) terminowe wykrywanie faktów nieuprawnionego dostępu do danych osobowych;

c) zapobiegania wpływowi na techniczne środki zautomatyzowanego przetwarzania danych osobowych, w wyniku którego może nastąpić zakłócenie ich funkcjonowania;

d) możliwość natychmiastowego przywrócenia danych osobowych zmodyfikowanych lub zniszczonych na skutek nieuprawnionego dostępu do nich;

e) stałe monitorowanie zapewnienia poziomu bezpieczeństwa danych osobowych.

12. Do środków zapewniających bezpieczeństwo danych osobowych podczas ich przetwarzania w systemach informatycznych zalicza się:

a) identyfikacja zagrożeń bezpieczeństwa danych osobowych podczas ich przetwarzania, tworzenie na ich podstawie modelu zagrożeń;

b) opracowanie w oparciu o model zagrożeń systemu ochrony danych osobowych zapewniającego neutralizację rzekomych zagrożeń z wykorzystaniem metod i metod ochrony danych osobowych przewidzianych dla odpowiedniej klasy systemów informatycznych;

c) sprawdzenie gotowości narzędzi bezpieczeństwa informacji do użycia wraz z wyciągnięciem wniosków co do możliwości ich funkcjonowania;

d) instalacja i uruchomienie środków bezpieczeństwa informacji zgodnie z dokumentacją operacyjno-techniczną;

e) szkolenie osób korzystających z narzędzi bezpieczeństwa informacji stosowanych w systemach informatycznych w zakresie zasad pracy z nimi;

f) rozliczanie stosowanych środków ochrony informacji, dokumentacji eksploatacyjnej i technicznej do nich, nośników danych osobowych;

g) rozliczanie osób upoważnionych do pracy z danymi osobowymi w systemie informatycznym;

h) kontrola przestrzegania warunków stosowania narzędzi bezpieczeństwa informacji przewidzianych w dokumentacji eksploatacyjnej i technicznej;

i) badanie i wyciąganie wniosków w zakresie faktów dotyczących nieprzestrzegania warunków przechowywania nośników danych osobowych, stosowania środków bezpieczeństwa informacji, które mogą prowadzić do naruszenia poufności danych osobowych lub innych naruszeń prowadzących do obniżenia poziomu bezpieczeństwa danych osobowych, opracowanie i przyjęcie środków zapobiegających możliwym niebezpiecznym skutkom takich naruszeń;

j) opis systemu ochrony danych osobowych.

13. W celu opracowania i wdrożenia środków zapewniających bezpieczeństwo danych osobowych podczas ich przetwarzania w systemie informatycznym operator lub osoba upoważniona może wyznaczyć komórkę strukturalną lub urzędnika (pracownika) odpowiedzialnego za zapewnienie bezpieczeństwa danych osobowych.

14. Osoby, których dostęp do danych osobowych przetwarzanych w systemie informatycznym jest niezbędny do wykonywania obowiązków służbowych (pracowych), mają dostęp do odpowiednich danych osobowych na podstawie wykazu zatwierdzonego przez operatora lub osobę upoważnioną.

15. Żądania użytkowników systemu informatycznego o uzyskanie danych osobowych, w tym osób wskazanych w ust. 14 niniejszego Regulaminu, a także fakt podania danych osobowych w związku z tymi żądaniami rejestrowane są za pomocą zautomatyzowanego systemu informatycznego w dzienniku elektronicznym żądań. Zawartość elektronicznego rejestru wniosków jest okresowo sprawdzana przez odpowiednich urzędników (pracowników) operatora lub osobę upoważnioną.

16. W przypadku stwierdzenia naruszeń procedury udostępniania danych osobowych, operator lub osoba upoważniona niezwłocznie wstrzymuje udostępnianie danych osobowych użytkownikom systemu informatycznego do czasu ustalenia przyczyn naruszeń i usunięcia tych przyczyn.

17. Wdrożenie wymagań zapewniających bezpieczeństwo informacji w narzędziach bezpieczeństwa informacji spoczywa na ich twórcach.

W związku z opracowanymi narzędziami szyfrowania (kryptograficznego) bezpieczeństwa informacji, których zadaniem jest zapewnienie bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych, prowadzone są studia przypadków oraz studia przypadków kontrolnych, mające na celu weryfikację spełnienia wymogów bezpieczeństwa informacji. W tym przypadku przez studia przypadków rozumie się badania kryptograficzne, inżynieryjno-kryptograficzne i specjalne narzędzi bezpieczeństwa informacji oraz specjalną pracę ze środkami technicznymi systemów informatycznych, a studia przypadków kontrolnych to studia przypadków prowadzone okresowo.

Konkretne terminy przeprowadzenia studiów przypadków kontrolnych ustala Federalna Służba Bezpieczeństwa Federacji Rosyjskiej.

18. Wyniki oceny zgodności i (lub) studiów przypadków narzędzi bezpieczeństwa informacji zaprojektowanych w celu zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych są oceniane podczas badania przeprowadzanego przez Federalną Służbę Kontroli Technicznej i Eksportu oraz Federalną Służbę Służba Bezpieczeństwa Federacji Rosyjskiej w ramach swoich uprawnień.

19. Środkom bezpieczeństwa informacji, mającym na celu zapewnienie bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych, towarzyszą zasady korzystania z tych środków, uzgodnione z Federalną Służbą Kontroli Technicznej i Eksportu oraz Federalną Służbą Bezpieczeństwa Federacji Rosyjskiej w granicach swoich uprawnień.

Zmiany warunków stosowania środków ochrony informacji przewidzianych w niniejszym regulaminie są uzgadniane z tymi federalnymi organami wykonawczymi w granicach ich uprawnień.

20. Środki bezpieczeństwa informacji, mające na celu zapewnienie bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych, podlegają rozliczaniu przy użyciu indeksów lub kryptonimów i numerów ewidencyjnych. Wykaz indeksów, nazw kodowych i numerów rejestracyjnych ustala Federalna Służba Kontroli Technicznej i Eksportu oraz Federalna Służba Bezpieczeństwa Federacji Rosyjskiej w granicach swoich uprawnień.

21. Cechy opracowywania, produkcji, wdrażania i działania szyfrujących (kryptograficznych) środków ochrony informacji oraz świadczenia usług szyfrowania danych osobowych podczas ich przetwarzania w systemach informatycznych ustala Federalna Służba Bezpieczeństwa Federacji Rosyjskiej.

Tekst dokumentu elektronicznego
przygotowane przez Kodeks JSC i zweryfikowane względem:
Zbiór ustawodawstwa
Federacja Rosyjska,
N 48 z 26.11.2007, art.6001

Dekret Rządu Federacji Rosyjskiej z dnia 1 listopada 2012 r. N 1119
„W sprawie zatwierdzenia wymagań dotyczących ochrony danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych”

Zgodnie z art. 19 ustawy federalnej „O danych osobowych” Rząd Federacji Rosyjskiej postanawia:

1. Zatwierdza dołączone wymagania dotyczące ochrony danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych.

2. Uznać za nieważne dekret Rządu Federacji Rosyjskiej z dnia 17 listopada 2007 r. N 781 „W sprawie zatwierdzenia Regulaminu zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informacyjnych danych osobowych” (ustawodawstwo zebrane Federacji Rosyjskiej , 2007, N 48, Art. 6001).

Wymagania
do ochrony danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych
(zatwierdzony dekretem rządu Federacji Rosyjskiej z dnia 1 listopada 2012 r. N 1119)

1. Niniejszy dokument określa wymagania dotyczące ochrony danych osobowych przetwarzanych w systemach informatycznych danych osobowych (zwanych dalej systemami informatycznymi) oraz poziomy bezpieczeństwa tych danych.

2. Bezpieczeństwo danych osobowych przetwarzanych w systemie informatycznym zapewnia system ochrony danych osobowych, który neutralizuje aktualne zagrożenia zidentyfikowane zgodnie z art. 19 ust. 5

System ochrony danych osobowych obejmuje środki organizacyjne i (lub) techniczne, ustalane z uwzględnieniem aktualnych zagrożeń dla bezpieczeństwa danych osobowych i technologii informatycznych stosowanych w systemach informatycznych.

3. Bezpieczeństwo danych osobowych przetwarzanych w systemie informatycznym zapewnia operator tego systemu, który przetwarza dane osobowe (zwany dalej operatorem) lub osoba przetwarzająca dane osobowe w imieniu operatora na podstawie umowy zawartej z tą osobą (zwaną dalej osobą upoważnioną). Umowa pomiędzy operatorem a osobą upoważnioną musi przewidywać obowiązek osoby upoważnionej zapewnienia bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym.

4. Wyboru środków bezpieczeństwa informacji dla systemu ochrony danych osobowych dokonuje operator zgodnie z regulacyjnymi aktami prawnymi przyjętymi przez Federalną Służbę Bezpieczeństwa Federacji Rosyjskiej i Federalną Służbę Kontroli Technicznej i Eksportu zgodnie z częścią 4 art. 19 ustawy federalnej „O danych osobowych”.

5. System informacyjny to system informacyjny przetwarzający szczególne kategorie danych osobowych, jeżeli przetwarza dane osobowe dotyczące rasy, narodowości, poglądów politycznych, przekonań religijnych lub filozoficznych, stanu zdrowia, życia intymnego osób, których dane osobowe dotyczą.

System informacyjny to system informacyjny przetwarzający biometryczne dane osobowe, jeżeli przetwarza informacje charakteryzujące cechy fizjologiczne i biologiczne osoby, na podstawie których można ustalić jej tożsamość i które służą operatorowi do ustalenia tożsamości osoby podmiot danych osobowych i nie przetwarza informacji związanych ze szczególnymi kategoriami danych osobowych.

System informacyjny to system informacyjny, który przetwarza publicznie dostępne dane osobowe, jeżeli przetwarza dane osobowe osób, których dane dotyczą, uzyskane wyłącznie z publicznie dostępnych źródeł danych osobowych utworzonych zgodnie z art. 8 ustawy federalnej „O danych osobowych”.

System informacyjny to system informatyczny przetwarzający inne kategorie danych osobowych, jeżeli nie przetwarza danych osobowych, o których mowa w ust. 1-3 niniejszego paragrafu.

System informacyjny to system informatyczny przetwarzający dane osobowe pracowników operatora, jeżeli przetwarza wyłącznie dane osobowe określonych pracowników. W pozostałych przypadkach system informacji o danych osobowych to system informatyczny przetwarzający dane osobowe osób, których dane dotyczą, niebędących pracownikami operatora.

6. Przez aktualne zagrożenia bezpieczeństwa danych osobowych rozumie się zespół warunków i czynników stwarzających aktualne niebezpieczeństwo nieuprawnionego, w tym przypadkowego, dostępu do danych osobowych podczas ich przetwarzania w systemie informatycznym, co może skutkować zniszczeniem, modyfikacją, blokowanie, kopiowanie, udostępnianie, rozpowszechnianie danych osobowych, a także inne działania niezgodne z prawem.

Zagrożenia typu 1 są istotne dla systemu informatycznego, jeśli istotne są dla niego także zagrożenia związane z obecnością nieudokumentowanych (niezadeklarowanych) możliwości w oprogramowaniu systemowym stosowanym w systemie informatycznym.

Zagrożenia drugiego typu są istotne dla systemu informacyjnego, jeśli istotne są dla niego także zagrożenia związane z obecnością nieudokumentowanych (niezadeklarowanych) możliwości w oprogramowaniu użytkowym stosowanym w systemie informatycznym.

Zagrożenia typu 3 są istotne dla systemu informacyjnego, jeżeli dotyczą go zagrożenia niezwiązane z obecnością nieudokumentowanych (niezadeklarowanych) możliwości w systemie i oprogramowaniu użytkowym używanym w systemie informatycznym.

7. Określenia rodzaju zagrożeń dla bezpieczeństwa danych osobowych istotnych dla systemu informatycznego dokonuje operator, biorąc pod uwagę ocenę możliwej szkody przeprowadzoną zgodnie z art. 18 ust. 1 ust. 1 części 1 ustawy federalnej „O danych osobowych” oraz zgodnie z regulacyjnymi aktami prawnymi przyjętymi na podstawie części 5 artykułu 19 ustawy federalnej „O danych osobowych”.

8. Przy przetwarzaniu danych osobowych w systemach informatycznych ustala się 4 poziomy bezpieczeństwa danych osobowych.

9. Konieczność zapewnienia I stopnia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemie informatycznym zachodzi, jeżeli zachodzi co najmniej jedna z poniższych przesłanek:

a) zagrożenia typu 1 dotyczą systemu informatycznego i system informacyjny przetwarza albo szczególne kategorie danych osobowych, albo biometryczne dane osobowe, albo inne kategorie danych osobowych;

b) dla systemu informatycznego istotne są zagrożenia typu 2 i system informacyjny przetwarza szczególne kategorie danych osobowych ponad 100 000 osób, których dane dotyczą, niebędących pracownikami operatora.

10. Konieczność zapewnienia II stopnia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemie informatycznym zachodzi, jeżeli zachodzi co najmniej jedna z poniższych przesłanek:

a) zagrożenia typu 1 dotyczą systemu informatycznego, a system informacyjny przetwarza publicznie dostępne dane osobowe;

b) dla systemu informatycznego istotne są zagrożenia typu 2 i system informacyjny przetwarza szczególne kategorie danych osobowych pracowników operatora lub szczególne kategorie danych osobowych mniej niż 100 000 osób, których dane dotyczą, niebędących pracownikami operatora;

c) zagrożenia typu 2 dotyczą systemu informatycznego, a system informacyjny przetwarza biometryczne dane osobowe;

d) dla systemu informatycznego istotne są zagrożenia typu 2, a system informacyjny przetwarza publicznie dostępne dane osobowe ponad 100 000 osób, których dane dotyczą, niebędących pracownikami operatora;

e) dla systemu informatycznego istotne są zagrożenia typu 2, a system informacyjny przetwarza inne kategorie danych osobowych ponad 100 000 podmiotów danych osobowych niebędących pracownikami operatora;

f) dla systemu informatycznego istotne są zagrożenia typu 3 i system informacyjny przetwarza szczególne kategorie danych osobowych ponad 100 000 osób, których dane dotyczą, niebędących pracownikami operatora.

11. Konieczność zapewnienia III stopnia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemie informatycznym zachodzi, jeżeli zachodzi co najmniej jedna z poniższych przesłanek:

a) dla systemu informatycznego istotne są zagrożenia typu 2, a system informacyjny przetwarza publicznie dostępne dane osobowe pracowników operatora lub publicznie dostępne dane osobowe mniej niż 100 000 osób, których dane dotyczą, niebędących pracownikami operatora;

b) dla systemu informatycznego istotne są zagrożenia typu 2, a system informacyjny przetwarza inne kategorie danych osobowych pracowników operatora lub inne kategorie danych osobowych mniej niż 100 000 osób, których dane dotyczą, niebędących pracownikami operatora;

c) dla systemu informatycznego istotne są zagrożenia typu 3 i system informacyjny przetwarza szczególne kategorie danych osobowych pracowników operatora lub szczególne kategorie danych osobowych mniej niż 100 000 osób, których dane dotyczą, niebędących pracownikami operatora;

d) zagrożenia typu 3 dotyczą systemu informatycznego, a system informacyjny przetwarza biometryczne dane osobowe;

e) dla systemu informatycznego istotne są zagrożenia typu 3, a system informacyjny przetwarza inne kategorie danych osobowych ponad 100 000 osób, których dane dotyczą, niebędących pracownikami operatora.

12. Konieczność zapewnienia IV stopnia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemie informatycznym zachodzi, jeżeli zachodzi co najmniej jedna z poniższych przesłanek:

a) zagrożenia typu 3 są istotne dla systemu informatycznego, a system informacyjny przetwarza publicznie dostępne dane osobowe;

b) dla systemu informatycznego istotne są zagrożenia typu 3, a system informacyjny przetwarza inne kategorie danych osobowych pracowników operatora lub inne kategorie danych osobowych mniej niż 100 000 osób, których dane dotyczą, niebędących pracownikami operatora.

13. Aby zapewnić IV stopień bezpieczeństwa danych osobowych przetwarzanych w systemach informatycznych muszą zostać spełnione następujące wymagania:

a) zorganizowanie reżimu bezpieczeństwa pomieszczeń, w których zlokalizowany jest system informatyczny, zapobiegającego możliwości niekontrolowanego wejścia lub przebywania na terenie tych pomieszczeń przez osoby niemające dostępu do tych pomieszczeń;

b) zapewnienie bezpieczeństwa nośników danych osobowych;

c) zatwierdzenie przez kierownika operatora dokumentu określającego wykaz osób, których dostęp do danych osobowych przetwarzanych w systemie informatycznym jest niezbędny do wykonywania przez nich obowiązków służbowych (pracowych);

d) stosowanie narzędzi bezpieczeństwa informacji, które przeszły procedurę oceny zgodności z wymogami ustawodawstwa Federacji Rosyjskiej w zakresie bezpieczeństwa informacji, w przypadkach, gdy użycie takich środków jest konieczne w celu zneutralizowania bieżących zagrożeń.

14. Aby zapewnić III stopień bezpieczeństwa danych osobowych przetwarzanych w systemach informatycznych, oprócz spełnienia wymagań przewidzianych w ust. 13 niniejszego dokumentu, konieczne jest wyznaczenie urzędnika (pracownika) odpowiedzialnego za zapewnienie bezpieczeństwa danych osobowych w systemie informatycznym.

15. Aby zapewnić II stopień bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych, oprócz spełnienia wymagań przewidzianych w ust. 14 niniejszego dokumentu, konieczne jest, aby dostęp do zawartości elektronicznego rejestru komunikatów był możliwy wyłącznie dla urzędników (pracowników) operatora lub osoby upoważnionej, dla których informacje zawarte w określonym dzienniku są niezbędne do wykonywania obowiązków służbowych (pracy).

16. Aby zapewnić I stopień bezpieczeństwa danych osobowych przetwarzanych w systemach informatycznych, oprócz wymagań przewidzianych w ust. 15 niniejszego dokumentu, muszą zostać spełnione następujące wymagania:

a) automatyczna rejestracja w elektronicznym dzienniku bezpieczeństwa zmian w uprawnieniach pracownika operatora w zakresie dostępu do danych osobowych zawartych w systemie informatycznym;

b) utworzenie komórki strukturalnej odpowiedzialnej za zapewnienie bezpieczeństwa danych osobowych w systemie informatycznym lub przypisanie funkcji zapewniających takie bezpieczeństwo jednej z jednostek strukturalnych.

17. Monitoring spełniania tych wymagań jest organizowany i prowadzony przez operatora (osobę upoważnioną) samodzielnie i (lub) przy udziale osób prawnych i indywidualnych przedsiębiorców na podstawie umowy, posiadających uprawnienia do prowadzenia działalności w zakresie technicznej ochrony poufności Informacja. Określona kontrola przeprowadzana jest nie rzadziej niż raz na 3 lata w terminach określonych przez operatora (osobę upoważnioną).

RZĄD FEDERACJI ROSYJSKIEJ

O ZATWIERDZENIU WYMAGAŃ

Zgodnie z art. 19 ustawy federalnej „O danych osobowych” Rząd Federacji Rosyjskiej postanawia:

1. Zatwierdza dołączone wymagania dotyczące ochrony danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych.

Przewodniczący Rządu
Federacja Rosyjska
D.MIEDWIEDEW

Zatwierdzony
Uchwała rządowa
Federacja Rosyjska
z dnia 1 listopada 2012 r. N 1119

WYMAGANIA
DO OCHRONY DANYCH OSOBOWYCH PODCZAS ICH PRZETWARZANIA
W SYSTEMACH INFORMATYCZNYCH DANYCH OSOBOWYCH

System informacyjny to system informatyczny przetwarzający inne kategorie danych osobowych, jeżeli nie przetwarza danych osobowych, o których mowa w ust. 1-3 niniejszego paragrafu.

7. Określenia rodzaju zagrożeń dla bezpieczeństwa danych osobowych istotnych dla systemu informacyjnego dokonuje operator, biorąc pod uwagę ocenę możliwej szkody przeprowadzoną zgodnie z ust. 5 części 1 art. 18 ust. 1 ustawy federalnej „ O danych osobowych” oraz zgodnie z regulacyjnymi aktami prawnymi przyjętymi zgodnie z częścią 5 artykułu 19 ustawy federalnej „O danych osobowych”.