Acasă Recuperare

Rezoluție privind aprobarea cerințelor de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal - Rossiyskaya Gazeta. Niveluri de protecție a datelor cu caracter personal în locul claselor Decretul Guvernului 1119

Decretul Guvernului Federației Ruse nr. 1119 din 1 noiembrie 2012 a îngropat clase de sisteme de informații cu date personale care deveniseră deja familiare tuturor.

În locul claselor, conform noii rezoluții, se stabilesc patru niveluri de securitate a datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale și cerințe pentru fiecare dintre acestea. Atribuirea sistemelor informaționale la un anumit nivel de securitate se face în funcție de tipul de date cu caracter personal pe care sistemul informațional le prelucrează, de tipul de amenințări curente, de numărul persoanelor vizate de date cu caracter personal prelucrate de sistemul informațional și de ale căror date personale contingentul este procesat.

Sistemele de informare cu date cu caracter personal (PDIS), conform paragrafului 5 din Rezoluția nr. 1119, sunt împărțite în 4 grupe:

ISPD special
dacă ISPD prelucrează date cu caracter personal referitoare la rasă, naționalitate, opinii politice, convingeri religioase sau filozofice, starea de sănătate, viața intimă a subiecților datelor cu caracter personal;
ISPD biometric
dacă ISPD prelucrează informații care caracterizează caracteristicile fiziologice și biologice ale unei persoane, pe baza cărora se poate stabili identitatea acesteia și care este utilizată de operator pentru stabilirea identității subiectului datelor cu caracter personal, precum și informații referitoare la categorii speciale a datelor cu caracter personal nu este prelucrată;
ISPD public
dacă ISPD prelucrează date cu caracter personal ale subiecților datelor cu caracter personal obținute numai din surse disponibile public de date cu caracter personal create în conformitate cu articolul 8 din Legea federală „Cu privire la datele cu caracter personal”;
Alte ISPDn
dacă ISPD prelucrează date cu caracter personal ale persoanelor vizate care nu sunt reprezentate în cele trei grupuri anterioare.

Pe baza formei relației dintre organizația dumneavoastră și subiecți, procesarea este împărțită în 2 tipuri:

prelucrarea datelor cu caracter personal ale angajaților (entități cu care organizația dumneavoastră are relații de muncă);
prelucrarea datelor cu caracter personal ale subiecților care nu sunt angajați ai organizației dumneavoastră.

Pe baza numărului de subiecți ale căror date cu caracter personal sunt prelucrate, Rezoluția nr. 1119 definește doar 2 categorii:

mai puțin de 100.000 de subiecți;
peste 100.000 de subiecți;

Și, în sfârșit, tipuri de amenințări curente:

Amenințările de tip 1 sunt asociate cu prezența capacităților nedeclarate (nedocumentate) în software-ul de sistem utilizat în ISPD;
Amenințările de tip 2 sunt asociate cu prezența capacităților nedeclarate în aplicația software utilizată în ISPD;
Amenințările de tip 3 nu sunt asociate cu prezența capacităților nedeclarate în software-ul utilizat în ISPD.

Nu există o reglementare privind modul de determinare a tipului de amenințări curente. Cerințele PP-1119 nu oferă nicio metodă sau metodă pentru neutralizarea lor. Dacă anterior operatorul putea alege să clasifice un ISPD standard pe baza unui tabel sau să clasifice un ISPD special pe baza rezultatelor unui model de amenințare, acum nu mai are de ales. Nivelul de securitate este întotdeauna determinat în funcție de relevanța amenințărilor. Este puțin probabil ca operatorul să le poată determina singur - va trebui să contacteze o organizație superioară sau un consultant. Cea mai ușoară cale este să urmezi calea celei mai puține rezistențe, adică. determinați tipul de amenințare curentă de tip 3 și uitați de capabilitățile nedeclarate (nedocumentate) în software-ul de sistem și aplicație, dar acest lucru va trebui justificat. Întrebarea este cum?, revenind la începutul paragrafului.
Tema relevanței amenințărilor la adresa sistemelor de informații cu date personale este foarte importantă, deoarece amenințările descrise corect determină cât de bine va fi protejat sistemul, precum și cât de mult va costa protecția pentru operatorul de date cu caracter personal.

Dacă v-ați decis asupra datelor inițiale pentru un anumit ISPD, inclusiv tipul de amenințări curente, atunci puteți determina nivelul de securitate al acestuia. Pentru a determina în mod convenabil nivelul de securitate, utilizați următorul tabel, care se bazează pe PP-1119:

tip ISPDn	Angajații operatorului	Numărul de subiecte	Tipul de amenințări curente
			1 (NDV OS)	2 (NDV PO)	3 (Fără NDV)
ISPDn-S (special)	Nu	> 100 000	UZ-1	UZ-1	UZ-2
	Nu	< 100 000	UZ-1	UZ-2	UZ-3
	da
ISPDn-B (biometric)			UZ-1	UZ-2	UZ-3
ISPDn-I (alții)	Nu	> 100 000	UZ-1	UZ-2	UZ-3
	Nu	< 100 000	UZ-2	UZ-3	UZ-4
	da
ISPDn-O (public)	Nu	> 100 000	UZ-2	UZ-2	UZ-4
	Nu	< 100 000	UZ-2	UZ-3	UZ-4
	da

În funcție de nivelul de securitate PD selectat, PP-1119 definește o serie de cerințe pentru protecția datelor cu caracter personal, care sunt organizate și realizate de către operator (persoană autorizată) în mod independent și (sau) cu implicarea persoanelor juridice și a persoanelor fizice. antreprenori pe bază de contract, având licență de desfășurare a activităților de protecție tehnică a informațiilor confidențiale. Monitorizarea conformității cu cerințele trebuie efectuată cel puțin o dată la 3 ani în intervalul de timp stabilit de operator (persoană autorizată).

Cerințe	Niveluri Securitate
Cerințe
Organizarea unui regim de securitate a incintei in care se afla sistemul informatic, impiedicand posibilitatea intrarii sau sederii necontrolate in aceste incinte a persoanelor care nu au acces in aceste incinte.	+	+	+	+
Asigurarea securității purtătorilor de date cu caracter personal	+	+	+	+
Aprobarea de către conducătorul operatorului a unui document care definește lista persoanelor al căror acces la datele cu caracter personal prelucrate în sistemul informațional este necesar pentru îndeplinirea atribuțiilor lor oficiale (de muncă)	+	+	+	+
Utilizarea instrumentelor de securitate a informațiilor care au trecut procedura de evaluare a conformității cu cerințele legislației Federației Ruse în domeniul securității informațiilor, în cazurile în care utilizarea unor astfel de instrumente este necesară pentru a neutraliza amenințările actuale	+	+	+	+
Numirea unui funcționar responsabil cu asigurarea securității datelor cu caracter personal în ISPD	+	+	+	-
Restricționarea accesului la conținutul jurnalului de mesaje electronice	+	+	-	-
Înregistrarea automată în jurnalul electronic de securitate a modificărilor în atribuțiile angajatului operatorului de a accesa datele personale conținute în sistemul informațional	+	-	-	-
Crearea unei unități structurale responsabilă cu asigurarea securității datelor cu caracter personal în sistemul informațional sau atribuirea unor funcții de asigurare a securității uneia dintre unitățile structurale	+	-	-	-

După ce ați decis cu privire la cerințele de protecție a datelor cu caracter personal în conformitate cu PP-1119, puteți trece la selectarea măsurilor organizatorice și tehnice pentru a asigura securitatea datelor cu caracter personal, în baza cerințelor Ordinului nr. 21 al FSTEC din Rusia din 18 februarie 2013. menite să neutralizeze amenințările actuale la adresa securității datelor cu caracter personal.

Ce să faci cu instrumentele de securitate a informațiilor, certificate pentru care au fost eliberate anterior pentru anumite clase de ISPD?

În conformitate cu mesajul informativ al FSTEC al Rusiei din 20 noiembrie 2012 N 240/24/4669 „Cu privire la caracteristicile protecției datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu caracter personal și certificarea instrumentelor de securitate a informațiilor destinate protecției de date cu caracter personal”, certificate de conformitate eliberate FSTEC din Rusia, înainte de intrarea în vigoare a actului juridic de reglementare al FSTEC din Rusia (adică Ordinul nr. 21), care stabilesc componența și conținutul măsurilor organizatorice și tehnice pentru asigurarea securității datele cu caracter personal în timpul prelucrării lor în sistemele informatice de date cu caracter personal, nu fac obiectul reînregistrării.
Instrumentele de securitate a informațiilor care pot fi utilizate pentru a proteja datele cu caracter personal prelucrate în sistemele de informații cu date cu caracter personal de clasa 1 pot fi utilizate pentru a asigura securitatea datelor cu caracter personal prelucrate în sistemele de informații cu date cu caracter personal până la nivelul 1 inclusiv;
Instrumentele de securitate a informațiilor care pot fi utilizate pentru a proteja datele cu caracter personal prelucrate în sistemele de informații cu date cu caracter personal de clasa 2 pot fi utilizate pentru a asigura securitatea de nivelul 4 a datelor cu caracter personal prelucrate în sistemele de informații cu date cu caracter personal.

GUVERNUL FEDERATIEI RUSE

REZOLUŢIE

Cu privire la aprobarea Regulamentului privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal

Forța pierdută pe 15 noiembrie 2012 pe baza
rezoluții ale Guvernului Federației Ruse
din data de 1 noiembrie 2012 N 1119
____________________________________________________________________

În conformitate cu articolul 19 din Legea federală „Cu privire la datele cu caracter personal”, Guvernul Federației Ruse

decide:

1. Aproba Regulamentele atasate privind asigurarea securitatii datelor cu caracter personal in timpul prelucrarii acestora in sistemele informatice de date cu caracter personal.

2. Serviciul Federal de Securitate al Federației Ruse și Serviciul Federal de Control Tehnic și Export aprobă, în competența lor, în termen de 3 luni, actele juridice de reglementare și documentele metodologice necesare pentru îndeplinirea cerințelor prevăzute de Regulamente. aprobat prin prezenta hotarare.

Președintele Guvernului
Federația Rusă

Reglementări privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal

APROBAT
Rezoluție guvernamentală
Federația Rusă
din 17 noiembrie 2007 N 781

1. Prezentele Regulamente stabilesc cerințe pentru asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal, care sunt o colecție de date cu caracter personal conținute în baze de date, precum și tehnologiile informației și mijloacele tehnice care permit prelucrarea acestor date cu caracter personal folosind instrumente de automatizare (denumite în continuare sisteme informatice). *1)

Mijloacele tehnice care permit prelucrarea datelor cu caracter personal sunt înțelese ca facilități informatice, complexe și rețele informatice și de calcul, mijloace și sisteme de transmitere, primire și prelucrare a datelor cu caracter personal (mijloace și sisteme de înregistrare a sunetului, amplificare a sunetului, reproducere a sunetului, interfon și televiziune). dispozitive, mijloace de fabricație, replicare a documentelor și alte mijloace tehnice de procesare a informațiilor vocale, grafice, video și alfanumerice), software (sisteme de operare, sisteme de gestionare a bazelor de date etc.), instrumente de securitate a informațiilor utilizate în sistemele informaționale.

2. Securitatea datelor cu caracter personal se realizează prin excluderea accesului neautorizat, inclusiv accidental, la datele cu caracter personal, care poate avea ca rezultat distrugerea, modificarea, blocarea, copierea, distribuirea datelor cu caracter personal, precum și alte acțiuni neautorizate.

Securitatea datelor cu caracter personal în timpul prelucrării lor în sistemele informaționale este asigurată prin intermediul unui sistem de protecție a datelor cu caracter personal, inclusiv măsuri organizatorice și mijloace de protecție a informațiilor (inclusiv mijloace de criptare (criptografice), mijloace de prevenire a accesului neautorizat, scurgeri de informații prin canale tehnice, software și impactul hardware asupra mijloacelor tehnice de prelucrare a datelor cu caracter personal), precum și asupra tehnologiilor informaționale utilizate în sistemul informațional. Hardware-ul și software-ul trebuie să îndeplinească cerințele stabilite în conformitate cu legislația Federației Ruse pentru a asigura protecția informațiilor.

Pentru asigurarea securității datelor cu caracter personal pe parcursul prelucrării acestora în sistemele informaționale, se asigură protecție pentru informațiile de vorbire și informațiile prelucrate prin mijloace tehnice, precum și informațiile prezentate sub formă de semnale electrice informative, câmpuri fizice, suporturi pe hârtie, magnetice, magneto. -baze optice si alte baze.

3. Metodele și mijloacele de protecție a informațiilor din sistemele informatice sunt stabilite de către Serviciul Federal de Control Tehnic și Export și Serviciul Federal de Securitate al Federației Ruse în limitele competențelor lor. *3.1)

Adecvarea măsurilor luate pentru asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale se evaluează în cadrul controlului și supravegherii de stat.

4. Lucrările de asigurare a securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice este o parte integrantă a activității de creare a sistemelor informatice.

5. Instrumentele de securitate a informațiilor utilizate în sistemele informaționale sunt supuse unei proceduri de evaluare a conformității în conformitate cu procedura stabilită.

6. Sistemele informatice sunt clasificate de organe de stat, organe municipale, persoane juridice sau persoane fizice care organizeaza si (sau) desfasoara prelucrarea datelor cu caracter personal, precum si determinarea scopurilor si continutului prelucrarii datelor cu caracter personal (denumite in continuare operator), în funcție de volumul de date cu caracter personal prelucrate de aceștia și de amenințările la adresa securității intereselor vitale ale individului, societății și statului.

Procedura de clasificare a sistemelor informatice este stabilită în comun de către Serviciul Federal de Control Tehnic și Export, Serviciul Federal de Securitate al Federației Ruse și Ministerul Tehnologiilor Informaționale și Comunicațiilor al Federației Ruse.*6.2)

7. Schimbul de date cu caracter personal în timpul prelucrării acestora în sistemele informaționale se realizează prin canale de comunicare, a căror protecție este asigurată prin implementarea unor măsuri organizatorice adecvate și (sau) prin utilizarea mijloacelor tehnice.

8. Amplasarea sistemelor informatice, a echipamentelor speciale și a securității spațiilor în care se efectuează lucrări cu date cu caracter personal, organizarea unui regim de securitate în aceste spații trebuie să asigure siguranța purtătorilor de date cu caracter personal și a mijloacelor de securitate a informațiilor, precum și excluderea posibilitatea intrării necontrolate sau prezenței persoanelor străine în aceste incinte

9. Posibilele canale de scurgere de informații în timpul prelucrării datelor cu caracter personal în sistemele informaționale sunt determinate de Serviciul Federal pentru Control Tehnic și Export și de Serviciul Federal de Securitate al Federației Ruse în limitele competențelor lor.

10. Securitatea datelor cu caracter personal atunci când sunt prelucrate în sistemul informatic este asigurată de operator sau de persoana căreia, în baza unui acord, operatorul îi încredințează prelucrarea datelor cu caracter personal (denumită în continuare persoana împuternicită). O condiție esențială a contractului este obligația persoanei autorizate de a asigura confidențialitatea datelor cu caracter personal și securitatea datelor cu caracter personal atunci când sunt prelucrate în sistemul informațional.

11. La prelucrarea datelor cu caracter personal în sistemul informatic trebuie să se asigure următoarele:

a) realizarea de măsuri menite să prevină accesul neautorizat la datele cu caracter personal și (sau) transferul acestora către persoane care nu au dreptul de acces la astfel de informații;

b) detectarea la timp a faptelor de acces neautorizat la datele cu caracter personal;

c) prevenirea influenței asupra mijloacelor tehnice de prelucrare automată a datelor cu caracter personal, în urma cărora funcționarea acestora poate fi perturbată;

d) posibilitatea restabilirii imediate a datelor cu caracter personal modificate sau distruse din cauza accesului neautorizat la acestea;

e) monitorizarea constantă a asigurării nivelului de securitate a datelor cu caracter personal.

12. Măsurile pentru asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice includ:

a) identificarea amenințărilor la adresa securității datelor cu caracter personal în timpul prelucrării acestora, formarea unui model de amenințare pe baza acestora;

b) dezvoltarea, pe baza modelului de amenințare, a unui sistem de protecție a datelor cu caracter personal care să asigure neutralizarea presupuselor amenințări folosind metode și metode de protecție a datelor cu caracter personal prevăzute pentru clasa corespunzătoare de sisteme informatice;

c) verificarea gradului de pregătire a instrumentelor de securitate a informațiilor pentru utilizare cu întocmirea concluziilor privind posibilitatea de funcționare a acestora;

d) instalarea și punerea în funcțiune a mijloacelor de securitate a informațiilor în conformitate cu documentația operațională și tehnică;

e) instruirea persoanelor care utilizează instrumentele de securitate a informațiilor utilizate în sistemele informaționale cu privire la regulile de lucru cu acestea;

f) contabilizarea mijloacelor de protecție a informațiilor utilizate, documentația operațională și tehnică pentru aceștia, purtătorii de date cu caracter personal;

g) contabilitatea persoanelor autorizate să lucreze cu date personale în sistemul informaţional;

h) controlul asupra respectării condițiilor de utilizare a instrumentelor de securitate a informațiilor prevăzute în documentația operațională și tehnică;

i) investigarea și întocmirea concluziilor privind faptele de nerespectare a condițiilor de stocare a purtătorilor de date cu caracter personal, utilizarea măsurilor de securitate a informațiilor care pot duce la încălcarea confidențialității datelor cu caracter personal sau alte încălcări care conduc la scăderea nivelului; de securitate a datelor cu caracter personal, elaborarea și adoptarea de măsuri pentru prevenirea posibilelor consecințe periculoase ale unor astfel de încălcări;

j) descrierea sistemului de protecție a datelor cu caracter personal.

13. Pentru elaborarea și implementarea măsurilor de asigurare a securității datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional, un operator sau o persoană autorizată poate desemna o unitate structurală sau un funcționar (angajat) responsabil cu asigurarea securității datelor cu caracter personal.

14. Persoanele al căror acces la datele cu caracter personal prelucrate în sistemul informațional este necesar pentru îndeplinirea atribuțiilor oficiale (de muncă) au acces la datele cu caracter personal relevante pe baza unei liste aprobate de operator sau de persoana autorizată.

15. Solicitările de la utilizatorii sistemului informatic de obținere a datelor cu caracter personal, inclusiv a persoanelor specificate la paragraful 14 din prezentul Regulament, precum și faptele de furnizare a datelor cu caracter personal privind aceste solicitări se înregistrează prin mijloace automate ale sistemului informatic în jurnalul electronic. a cererilor. Conținutul jurnalului electronic al cererilor este verificat periodic de către funcționarii (angajații) relevanți ai operatorului sau persoanei autorizate.

16. În cazul în care se constată încălcări ale procedurii de furnizare a datelor cu caracter personal, operatorul sau persoana împuternicită suspendă de îndată furnizarea datelor cu caracter personal către utilizatorii sistemului informatic până la identificarea cauzelor încălcărilor și înlăturarea acestor cauze.

17. Implementarea cerințelor pentru asigurarea securității informațiilor în instrumentele de securitate a informațiilor revine dezvoltatorilor acestora.

În legătură cu instrumentele de securitate a informațiilor dezvoltate de criptare (criptografie) menite să asigure securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale, sunt efectuate studii de caz și studii de caz de control pentru a verifica respectarea cerințelor de securitate a informațiilor. În acest caz, studiile de caz sunt înțelese ca studii criptografice, inginerie-criptografice și studii speciale ale instrumentelor de securitate a informațiilor și lucrări speciale cu mijloace tehnice ale sistemelor informaționale, iar studiile de caz de control sunt efectuate periodic studii de caz.

Termenele limită specifice pentru realizarea studiilor de caz de control sunt stabilite de Serviciul Federal de Securitate al Federației Ruse.

18. Rezultatele evaluării conformității și (sau) studiilor de caz ale instrumentelor de securitate a informațiilor concepute pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale sunt evaluate în timpul examinării efectuate de către Serviciul Federal de Control Tehnic și al Exporturilor și Federal Serviciul de Securitate al Federației Ruse în competențele lor.

19. Măsurile de securitate a informațiilor destinate să asigure securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale sunt însoțite de reguli de utilizare a acestor mijloace, convenite cu Serviciul Federal de Control Tehnic și Export și Serviciul Federal de Securitate al Federației Ruse. în limitele puterilor lor.

Modificările condițiilor de utilizare a mijloacelor de protecție a informațiilor prevăzute de aceste reguli sunt convenite cu aceste autorități executive federale în limitele competențelor lor.

20. Măsurile de securitate a informațiilor destinate să asigure securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale sunt supuse contabilității folosind indici sau nume de cod și numere de înregistrare. Lista indicilor, numelor de cod și numerelor de înregistrare este stabilită de Serviciul Federal de Control Tehnic și Export și de Serviciul Federal de Securitate al Federației Ruse în limitele competențelor acestora.

21. Caracteristicile dezvoltării, producerii, implementării și funcționării mijloacelor de criptare (criptografice) de protecție a informațiilor și furnizarea de servicii de criptare a datelor cu caracter personal în timpul prelucrării lor în sistemele informatice sunt stabilite de Serviciul Federal de Securitate al Federației Ruse.

Textul documentului electronic
pregătit de Kodeks JSC și verificat cu:
Culegere de legislație
Federația Rusă,
N 48, 26.11.2007, art. 6001

Decretul Guvernului Federației Ruse din 1 noiembrie 2012 N 1119
„Cu privire la aprobarea cerințelor de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele de informare a datelor cu caracter personal”

În conformitate cu articolul 19 din Legea federală „Cu privire la datele cu caracter personal”, Guvernul Federației Ruse decide:

1. Aproba cerințele anexate pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal.

2. Recunoașteți ca invalid Decretul Guvernului Federației Ruse din 17 noiembrie 2007 N 781 „Cu privire la aprobarea Regulamentului privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal” (Legislația colectată a Federației Ruse , 2007, N 48, Art. 6001) .

Cerințe
la protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal
(aprobat prin Decretul Guvernului Federației Ruse din 1 noiembrie 2012 N 1119)

1. Prezentul document stabilește cerințe pentru protecția datelor cu caracter personal atunci când sunt prelucrate în sistemele de informații cu date cu caracter personal (denumite în continuare sisteme informatice) și nivelurile de securitate ale acestor date.

2. Securitatea datelor cu caracter personal atunci când sunt prelucrate în sistemul informațional este asigurată prin intermediul unui sistem de protecție a datelor cu caracter personal care neutralizează amenințările curente identificate în conformitate cu articolul 19 partea 5.

Sistemul de protecție a datelor cu caracter personal include măsuri organizatorice și (sau) tehnice determinate ținând cont de amenințările actuale la adresa securității datelor cu caracter personal și a tehnologiilor informaționale utilizate în sistemele informaționale.

3. Securitatea datelor cu caracter personal atunci când sunt prelucrate într-un sistem informatic este asigurată de operatorul acestui sistem, care prelucrează datele cu caracter personal (denumit în continuare operator), sau de persoana care prelucrează datele cu caracter personal în numele operatorului pe baza a unui acord încheiat cu această persoană (denumită în continuare persoana împuternicită). Acordul dintre operator și persoana autorizată trebuie să prevadă obligația persoanei autorizate de a asigura securitatea datelor cu caracter personal atunci când sunt prelucrate în sistemul informațional.

4. Alegerea mijloacelor de securitate a informațiilor pentru sistemul de protecție a datelor cu caracter personal este efectuată de operator în conformitate cu actele juridice de reglementare adoptate de Serviciul Federal de Securitate al Federației Ruse și de Serviciul Federal de Control Tehnic și de Export, în conformitate cu Partea 4 al articolului 19 din Legea federală „Cu privire la datele cu caracter personal”.

5. Un sistem informatic este un sistem informatic care prelucrează categorii speciale de date cu caracter personal dacă prelucrează date cu caracter personal referitoare la rasă, naționalitate, opinii politice, convingeri religioase sau filozofice, starea de sănătate, viața intimă a subiecților datelor cu caracter personal.

Un sistem informatic este un sistem informatic care prelucrează date cu caracter personal biometrice dacă prelucrează informații care caracterizează caracteristicile fiziologice și biologice ale unei persoane, pe baza cărora se poate stabili identitatea acesteia și care este utilizată de operator pentru stabilirea identității persoanei. subiect al datelor cu caracter personal și nu prelucrează informații referitoare la categorii speciale de date cu caracter personal.

Un sistem de informații este un sistem de informații care prelucrează date cu caracter personal disponibile publicului dacă prelucrează date cu caracter personal ale persoanelor vizate de date cu caracter personal, obținute numai din surse de date cu caracter personal disponibile public, create în conformitate cu articolul 8 din Legea federală „Cu privire la datele cu caracter personal”.

Un sistem informatic este un sistem informatic care prelucrează alte categorii de date cu caracter personal, dacă nu prelucrează datele cu caracter personal specificate la alineatele unu-trei din prezentul alineat.

Un sistem informatic este un sistem informatic care prelucrează datele cu caracter personal ale angajaților operatorului dacă prelucrează numai datele personale ale angajaților specificati. În alte cazuri, sistemul de informare cu date cu caracter personal este un sistem de informare care prelucrează date cu caracter personal ale persoanelor vizate de date cu caracter personal care nu sunt angajați ai operatorului.

6. Amenințările actuale la adresa securității datelor cu caracter personal sunt înțelese ca un set de condiții și factori care creează pericolul actual al accesului neautorizat, inclusiv accidental, la datele cu caracter personal în timpul prelucrării acestora într-un sistem informatic, care poate avea ca rezultat distrugerea, modificarea, blocarea, copierea, furnizarea, distribuirea datelor cu caracter personal, precum și alte acțiuni ilegale.

Amenințările de tip 1 sunt relevante pentru un sistem informațional dacă amenințările asociate cu prezența capacităților nedocumentate (nedeclarate) în software-ul de sistem utilizat în sistemul informațional sunt, de asemenea, relevante pentru acesta.

Amenințările de al doilea tip sunt relevante pentru un sistem informațional dacă amenințările asociate cu prezența capacităților nedocumentate (nedeclarate) în aplicația software utilizată în sistemul informațional sunt de asemenea relevante pentru acesta.

Amenințările de tip 3 sunt relevante pentru un sistem informațional dacă amenințările care nu sunt legate de prezența capacităților nedocumentate (nedeclarate) în sistem și software-ul aplicației utilizate în sistemul informatic sunt relevante pentru acesta.

7. Determinarea tipului de amenințări la adresa securității datelor cu caracter personal relevante pentru sistemul de informații este efectuată de operator, ținând cont de evaluarea posibilelor prejudicii efectuată în temeiul paragrafului 5 din partea 1 a articolului 18.1 din Legea federală. „Cu privire la datele cu caracter personal” și în conformitate cu actele juridice de reglementare adoptate în temeiul articolului 19 din partea 5 a Legii federale „Cu privire la datele cu caracter personal”.

8. La prelucrarea datelor cu caracter personal în sistemele informaționale se stabilesc 4 niveluri de securitate a datelor cu caracter personal.

9. Necesitatea asigurării nivelului I de securitate a datelor cu caracter personal atunci când sunt prelucrate într-un sistem informatic se stabilește dacă este prezentă cel puțin una dintre următoarele condiții:

a) amenințările de tip 1 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează fie categorii speciale de date cu caracter personal, fie date cu caracter personal biometrice, fie alte categorii de date cu caracter personal;

b) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează categorii speciale de date cu caracter personal a peste 100.000 de persoane vizate care nu sunt angajați ai operatorului.

10. Necesitatea asigurării nivelului 2 de securitate a datelor cu caracter personal la prelucrarea acestora în sistemul informațional se stabilește dacă este prezentă cel puțin una dintre următoarele condiții:

a) amenințările de tip 1 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile publicului;

b) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează categorii speciale de date cu caracter personal ale angajaților operatorului sau categorii speciale de date cu caracter personal a mai puțin de 100.000 de persoane vizate care nu sunt angajați ai operatorului;

c) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal biometrice;

d) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile publicului a peste 100.000 de persoane vizate care nu sunt angajați ai operatorului;

e) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează alte categorii de date cu caracter personal a peste 100.000 de persoane vizate care nu sunt angajați ai operatorului;

f) amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează categorii speciale de date cu caracter personal a peste 100.000 de persoane vizate care nu sunt angajați ai operatorului.

11. Necesitatea asigurării nivelului 3 de securitate a datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional se stabilește dacă este prezentă cel puțin una dintre următoarele condiții:

a) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informatic prelucrează date cu caracter personal disponibile public ale angajaților operatorului sau date cu caracter personal disponibile public ale mai puțin de 100.000 de persoane vizate care nu sunt angajați ai operatorului;

b) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează alte categorii de date cu caracter personal ale angajaților operatorului sau alte categorii de date cu caracter personal a mai puțin de 100.000 de persoane vizate care nu sunt angajați ai operatorului;

c) amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informatic prelucrează categorii speciale de date cu caracter personal ale angajaților operatorului sau categorii speciale de date cu caracter personal a mai puțin de 100.000 de persoane vizate care nu sunt angajați ai operatorului;

d) amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informatic prelucrează date cu caracter personal biometrice;

e) amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează alte categorii de date cu caracter personal a mai mult de 100.000 de persoane vizate care nu sunt angajați ai operatorului.

12. Necesitatea asigurării celui de-al 4-lea nivel de securitate a datelor cu caracter personal la prelucrarea acestora într-un sistem informatic se stabilește dacă este prezentă cel puțin una dintre următoarele condiții:

a) amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile publicului;

b) amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează alte categorii de date cu caracter personal ale angajaților operatorului sau alte categorii de date cu caracter personal ale unui număr mai mic de 100.000 de persoane vizate care nu sunt angajați ai operatorului.

13. Pentru asigurarea celui de-al 4-lea nivel de securitate a datelor cu caracter personal la prelucrarea lor în sisteme informatice, trebuie îndeplinite următoarele cerințe:

a) organizarea unui regim de securitate pentru incinta in care se afla sistemul informatic, impiedicand posibilitatea intrarii sau sederii necontrolate in aceste incinte a persoanelor care nu au acces in aceste incinte;

b) asigurarea securității purtătorilor de date cu caracter personal;

c) aprobarea de către conducătorul operatorului a unui document care definește lista persoanelor al căror acces la datele cu caracter personal prelucrate în sistemul informațional este necesar pentru îndeplinirea atribuțiilor lor oficiale (de muncă);

d) utilizarea instrumentelor de securitate a informațiilor care au trecut procedura de evaluare a conformității cu cerințele legislației Federației Ruse în domeniul securității informațiilor, în cazurile în care utilizarea unor astfel de mijloace este necesară pentru neutralizarea amenințărilor actuale.

14. Pentru asigurarea nivelului 3 de securitate a datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale, pe lângă îndeplinirea cerințelor prevăzute la paragraful 13 din prezentul document, este necesar ca un funcționar (angajat) să fie numit responsabil cu asigurarea securității. a datelor cu caracter personal din sistemul informatic.

15. Pentru asigurarea nivelului 2 de securitate a datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale, pe lângă îndeplinirea cerințelor prevăzute la paragraful 14 al prezentului document, este necesar ca accesul la conținutul jurnalului de mesaje electronice să fie posibil doar pentru funcționarii (angajații) operatorului sau o persoană autorizată, pentru care informațiile conținute în jurnalul specificat sunt necesare pentru îndeplinirea atribuțiilor oficiale (de muncă).

16. Pentru asigurarea nivelului 1 de securitate a datelor cu caracter personal la prelucrarea acestora în sisteme informatice, pe lângă cerințele prevăzute la paragraful 15 din prezentul document, trebuie îndeplinite următoarele cerințe:

a) înregistrarea automată în jurnalul electronic de securitate a modificărilor în atribuțiile angajatului operatorului de a accesa datele cu caracter personal conținute în sistemul informațional;

b) crearea unei unități structurale responsabilă cu asigurarea securității datelor cu caracter personal în sistemul informațional sau atribuirea unor funcții de asigurare a securității uneia dintre unitățile structurale.

17. Monitorizarea respectării acestor cerințe este organizată și efectuată de către operator (persoană autorizată) în mod independent și (sau) cu implicarea persoanelor juridice și a antreprenorilor individuali pe bază contractuală, licențiați să desfășoare activități de protecție tehnică a confidențialului. informație. Controlul specificat se efectueaza cel putin o data la 3 ani in termenele stabilite de operator (persoana autorizata).

GUVERNUL FEDERATIEI RUSE

DESPRE APROBAREA CERINȚELOR

În conformitate cu articolul 19 din Legea federală „Cu privire la datele cu caracter personal”, Guvernul Federației Ruse decide:

1. Aproba cerințele anexate pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal.

Președintele Guvernului
Federația Rusă
D.MEDVEDEV

Aprobat
Rezoluție guvernamentală
Federația Rusă
din data de 1 noiembrie 2012 N 1119

CERINȚE
PENTRU PROTECȚIA DATELOR PERSONALE ÎN TIMPUL PRELUCRĂRII LOR
ÎN SISTEME INFORMAȚII ALE DATELOR PERSONALE

7. Determinarea tipului de amenințări la adresa securității datelor cu caracter personal relevante pentru sistemul de informații se face de către operator ținând cont de evaluarea posibilelor prejudicii efectuată în temeiul paragrafului 5 al părții 1 a articolului 18.1 din Legea federală " Cu privire la datele cu caracter personal”, și în conformitate cu actele juridice de reglementare adoptate în temeiul părții 5 a articolului 19 din Legea federală „Cu privire la datele cu caracter personal”.

8. La prelucrarea datelor cu caracter personal în sistemele informaționale se stabilesc 4 niveluri de securitate a datelor cu caracter personal.

a) amenințările de tip 1 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile publicului;

c) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal biometrice;

d) amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informatic prelucrează date cu caracter personal biometrice;

a) amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile publicului;

13. Pentru asigurarea celui de-al 4-lea nivel de securitate a datelor cu caracter personal la prelucrarea lor în sisteme informatice, trebuie îndeplinite următoarele cerințe:

b) asigurarea securității purtătorilor de date cu caracter personal;

GUVERNUL FEDERATIEI RUSE

REZOLUŢIE

Cu privire la aprobarea cerințelor de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele de informare a datelor cu caracter personal

În conformitate cu articolul 19 din Legea federală „Cu privire la datele cu caracter personal”, Guvernul Federației Ruse

decide:

1. Aproba cerințele anexate pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal.

Președintele Guvernului
Federația Rusă
D.Medvedev

Cerințe pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal

APROBAT
Rezoluție guvernamentală
Federația Rusă
din data de 1 noiembrie 2012 N 1119

Un sistem informatic este un sistem informatic care prelucrează date cu caracter personal disponibile publicului dacă prelucrează date cu caracter personal ale persoanelor vizate de date cu caracter personal, obținute numai din surse de date cu caracter personal disponibile public, create în conformitate cu articolul 8 din Legea federală „Cu privire la datele cu caracter personal”.

7. Determinarea tipului de amenințări la adresa securității datelor cu caracter personal relevante pentru sistemul de informații se face de către operator ținând cont de evaluarea posibilelor prejudicii efectuată în temeiul paragrafului 5 din partea 1 a articolului 18_1 din Legea federală „ Cu privire la datele cu caracter personal”, și în conformitate cu actele juridice de reglementare adoptate în conformitate cu articolul 19 din partea 5 a Legii federale „Cu privire la datele cu caracter personal”.

8. La prelucrarea datelor cu caracter personal în sistemele informaționale se stabilesc 4 niveluri de securitate a datelor cu caracter personal.

a) amenințările de tip 1 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile publicului;

c) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal biometrice;

d) amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informatic prelucrează date cu caracter personal biometrice;

a) amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile publicului;

13. Pentru asigurarea celui de-al 4-lea nivel de securitate a datelor cu caracter personal la prelucrarea lor în sisteme informatice, trebuie îndeplinite următoarele cerințe:

b) asigurarea securității purtătorilor de date cu caracter personal;

Textul documentului electronic
pregătit de Kodeks JSC și verificat împotriva.