Domov zotavenie

Uznesenie o schválení požiadaviek na ochranu osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov – Rossijskaja Gazeta. Úrovne ochrany osobných údajov namiesto tried Nariadenie vlády 1119

Nariadenie vlády Ruskej federácie č. 1119 z 1. novembra 2012 pochovalo triedy informačných systémov osobných údajov, ktoré už všetci poznali.

Namiesto tried sú podľa nového uznesenia ustanovené štyri stupne zabezpečenia osobných údajov pri ich spracúvaní v informačných systémoch a požiadavky na každú z nich. Priradenie informačných systémov k určitému stupňu zabezpečenia sa uskutočňuje v závislosti od druhu osobných údajov, ktoré informačný systém spracúva, od druhu aktuálnych hrozieb, od počtu dotknutých osôb spracúvaných informačným systémom a od ktorých osobných údajov kontingent je spracovaný.

Informačné systémy osobných údajov (PDIS) sa podľa odseku 5 uznesenia č. 1119 delia do 4 skupín:

Špeciálna ISPD
ak ISPD spracúva osobné údaje týkajúce sa rasy, národnosti, politických názorov, náboženského alebo filozofického presvedčenia, zdravotného stavu, intímneho života subjektov osobných údajov;
Biometrické ISPD
ak ISPD spracúva informácie, ktoré charakterizujú fyziologické a biologické vlastnosti osoby, na základe ktorých možno zistiť jej totožnosť a ktoré slúžia prevádzkovateľovi na zistenie totožnosti subjektu osobných údajov, a informácie týkajúce sa osobitných kategórií osobné údaje sa nespracúvajú;
Verejná ISPD
ak ISPD spracúva osobné údaje subjektov osobných údajov získané iba z verejne dostupných zdrojov osobných údajov vytvorených v súlade s článkom 8 federálneho zákona „o osobných údajoch“;
Iné ISPDn
ak ISPD spracúva osobné údaje dotknutých osôb, ktoré nie sú zastúpené v troch predchádzajúcich skupinách.

Na základe formy vzťahu medzi vašou organizáciou a subjektmi sa spracovanie delí na 2 typy:

spracúvanie osobných údajov zamestnancov (subjektov, s ktorými je vaša organizácia v pracovnoprávnych vzťahoch);
spracúvanie osobných údajov subjektov, ktoré nie sú zamestnancami vašej organizácie.

Na základe počtu subjektov, ktorých osobné údaje sa spracúvajú, uznesenie č. 1119 definuje iba 2 kategórie:

menej ako 100 000 subjektov;
viac ako 100 000 subjektov;

A nakoniec, typy súčasných hrozieb:

Hrozby typu 1 sú spojené s prítomnosťou nedeklarovaných (nezdokumentovaných) schopností v systémovom softvéri používanom v ISPD;
Hrozby typu 2 sú spojené s prítomnosťou nedeklarovaných schopností v aplikačnom softvéri používanom v ISPD;
Hrozby typu 3 nie sú spojené s prítomnosťou nedeklarovaných schopností v softvéri používanom v ISPD.

Neexistuje žiadny predpis o tom, ako určiť typ súčasných hrozieb. Požiadavky PP-1119 neponúkajú žiadne metódy alebo metódy na ich neutralizáciu. Ak si predtým operátor mohol vybrať klasifikáciu štandardného ISPD na základe tabuľky alebo klasifikáciu špeciálneho ISPD na základe výsledkov modelu hrozby, teraz nemá na výber. Úroveň zabezpečenia sa vždy určuje na základe relevantnosti hrozieb. Je nepravdepodobné, že by ich prevádzkovateľ mohol určiť sám - bude musieť kontaktovať vyššiu organizáciu alebo konzultanta. Najjednoduchšie je ísť cestou najmenšieho odporu, t.j. určiť typ aktuálnej hrozby typu 3 a zabudnúť na nedeklarované (nedokumentované) schopnosti v systémovom a aplikačnom softvéri, ale to bude potrebné zdôvodniť. Celá otázka je ako?, vraciam sa na začiatok odseku.
Téma relevantnosti hrozieb pre informačné systémy osobných údajov je veľmi dôležitá, pretože správne popísané hrozby rozhodujú o tom, ako dobre bude systém chránený, ako aj o tom, koľko bude ochrana prevádzkovateľa osobných údajov stáť.

Ak ste sa rozhodli pre počiatočné údaje pre konkrétny ISPD vrátane typu aktuálnych hrozieb, potom môžete určiť úroveň jeho zabezpečenia. Na pohodlné určenie úrovne zabezpečenia použite nasledujúcu tabuľku, ktorá je založená na PP-1119:

Typ ISPDn	Zamestnanci operátora	Počet predmetov	Typ súčasných hrozieb
			1 (NDV OS)	2 (NDV PO)	3 (Bez NDV)
ISPDn-S (špeciálne)	Nie	> 100 000	UZ-1	UZ-1	UZ-2
	Nie	< 100 000	UZ-1	UZ-2	UZ-3
	Áno
ISPDn-B (biometrické)			UZ-1	UZ-2	UZ-3
ISPDn-I (ostatní)	Nie	> 100 000	UZ-1	UZ-2	UZ-3
	Nie	< 100 000	UZ-2	UZ-3	UZ-4
	Áno
ISPDn-O (verejné)	Nie	> 100 000	UZ-2	UZ-2	UZ-4
	Nie	< 100 000	UZ-2	UZ-3	UZ-4
	Áno

V závislosti od zvolenej úrovne zabezpečenia PD definuje PP-1119 množstvo požiadaviek na ochranu osobných údajov, ktoré organizuje a vykonáva prevádzkovateľ (oprávnená osoba) samostatne a (alebo) so zapojením právnických osôb a fyzických osôb. podnikateľov na zmluvnom základe, ktorí majú licenciu na vykonávanie činností technickej ochrany dôverných informácií. Sledovanie dodržiavania požiadaviek sa musí vykonávať najmenej raz za 3 roky v časovom rámci určenom prevádzkovateľom (oprávnenou osobou).

Požiadavky	Úrovne bezpečnosť
Požiadavky
Zabezpečenie bezpečnostného režimu pre priestory, v ktorých sa informačný systém nachádza, zamedzenie možnosti nekontrolovaného vstupu alebo pobytu v týchto priestoroch osobami, ktoré nemajú do týchto priestorov prístup	+	+	+	+
Zaistenie bezpečnosti nosičov osobných údajov	+	+	+	+
Schválenie dokumentu vedúceho prevádzkovateľa, ktorým sa definuje zoznam osôb, ktorých prístup k osobným údajom spracúvaným v informačnom systéme je nevyhnutný na plnenie služobných (pracovných) povinností	+	+	+	+
Používanie nástrojov informačnej bezpečnosti, ktoré prešli postupom na posúdenie súladu s požiadavkami legislatívy Ruskej federácie v oblasti informačnej bezpečnosti, v prípadoch, keď je použitie takýchto nástrojov nevyhnutné na neutralizáciu aktuálnych hrozieb	+	+	+	+
Vymenovanie úradníka zodpovedného za zabezpečenie bezpečnosti osobných údajov v ISPD	+	+	+	-
Obmedzenie prístupu k obsahu denníka elektronických správ	+	+	-	-
Automatická evidencia zmien v oprávneniach zamestnanca prevádzkovateľa na prístup k osobným údajom obsiahnutým v informačnom systéme do elektronického bezpečnostného denníka	+	-	-	-
Vytvorenie štrukturálnej jednotky zodpovednej za zabezpečenie bezpečnosti osobných údajov v informačnom systéme alebo pridelenie funkcií na zabezpečenie takejto bezpečnosti jednej zo štrukturálnych jednotiek	+	-	-	-

Po rozhodnutí o požiadavkách na ochranu osobných údajov v súlade s PP-1119 môžete pristúpiť k výberu organizačných a technických opatrení na zaistenie bezpečnosti osobných údajov na základe požiadaviek Príkazu č. 21 FSTEC z r. Rusko z 18. februára 2013. zamerané na neutralizáciu aktuálnych hrozieb pre bezpečnosť osobných údajov.

Čo robiť s nástrojmi informačnej bezpečnosti, pre ktoré boli predtým vydané certifikáty pre určité triedy ISPD?

V súlade s informačnou správou FSTEC Ruska zo dňa 20. novembra 2012 N 240/24/4669 „O vlastnostiach ochrany osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov a certifikácii nástrojov informačnej bezpečnosti určených na ochranu osobných údajov“, osvedčenia o zhode vydané FSTEC Ruska, pred nadobudnutím účinnosti regulačného právneho aktu FSTEC Ruska (rozumej nariadenie č. 21), ktorým sa ustanovuje zloženie a obsah organizačných a technických opatrení na zaistenie bezpečnosti osobné údaje pri ich spracúvaní v informačných systémoch osobných údajov, nepodliehajú opätovnej registrácii.
Na zabezpečenie bezpečnosti osobných údajov spracúvaných v informačných systémoch osobných údajov do úrovne 1 vrátane možno použiť nástroje informačnej bezpečnosti, ktoré možno použiť na ochranu osobných údajov spracúvaných v informačných systémoch osobných údajov 1. triedy;
Na zabezpečenie úrovne 4 bezpečnosti osobných údajov spracúvaných v informačných systémoch osobných údajov možno využiť nástroje informačnej bezpečnosti, ktoré je možné použiť na ochranu osobných údajov spracúvaných v informačných systémoch osobných údajov 2. triedy.

VLÁDA RUSKEJ FEDERÁCIE

ROZHODNUTIE

O schválení Nariadení o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov

Stratená platnosť 15. novembra 2012 na základe
uznesenia vlády Ruskej federácie
zo dňa 1. novembra 2012 N 1119
____________________________________________________________________

V súlade s článkom 19 federálneho zákona „o osobných údajoch“ vláda Ruskej federácie

rozhoduje:

1. Schváliť priložené Nariadenia o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov.

2. Federálna bezpečnostná služba Ruskej federácie a Federálna služba pre technickú a exportnú kontrolu schvaľujú v rámci svojej pôsobnosti v lehote 3 mesiacov regulačné právne akty a metodické dokumenty potrebné na splnenie požiadaviek stanovených Nariadeniami. schválený týmto uznesením.

predseda vlády
Ruská federácia

Nariadenia o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov

SCHVÁLENÉ
uznesenie vlády
Ruská federácia
zo dňa 17. novembra 2007 N 781

1. Tieto Nariadenia ustanovujú požiadavky na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov, ktorými sú zhromažďovanie osobných údajov obsiahnutých v databázach, ako aj informačných technológií a technických prostriedkov, ktoré umožňujú spracúvanie takýchto osobných údajov s využitím automatizačné nástroje (ďalej len informačné systémy). *1)

Technickými prostriedkami, ktoré umožňujú spracúvanie osobných údajov, sa rozumejú počítačové zariadenia, informačné a výpočtové komplexy a siete, prostriedky a systémy na prenos, príjem a spracovanie osobných údajov (prostriedky a systémy na záznam zvuku, zosilnenie zvuku, reprodukciu zvuku, interkom a televízia zariadenia, výrobné prostriedky, replikácie dokumentov a iné technické prostriedky na spracovanie rečových, grafických, video a alfanumerických informácií), softvér (operačné systémy, systémy riadenia databáz a pod.), nástroje informačnej bezpečnosti používané v informačných systémoch.

2. Bezpečnosť osobných údajov sa dosahuje vylúčením neoprávneného, vrátane náhodného, prístupu k osobným údajom, ktorý môže mať za následok zničenie, úpravu, blokovanie, kopírovanie, šírenie osobných údajov, ako aj iné neoprávnené úkony.

Bezpečnosť osobných údajov pri ich spracúvaní v informačných systémoch je zabezpečená pomocou systému ochrany osobných údajov vrátane organizačných opatrení a prostriedkov na ochranu informácií (vrátane šifrovacích (kryptografických) prostriedkov, prostriedkov na zamedzenie neoprávneného prístupu, úniku informácií technickými kanálmi, softvérových a hardvérové vplyvy na technické prostriedky spracúvania osobných údajov), ako aj informačné technológie používané v informačnom systéme. Hardvér a softvér musia spĺňať požiadavky stanovené v súlade s právnymi predpismi Ruskej federácie na zabezpečenie ochrany informácií.

Na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch je zabezpečená ochrana rečových informácií a informácií spracúvaných technickými prostriedkami, ako aj informácií prezentovaných vo forme informačných elektrických signálov, fyzikálnych polí, médií na papieri, magnetu, magnetu. -optické a iné základne.

3. Spôsoby a prostriedky ochrany informácií v informačných systémoch stanovuje Federálna služba pre technickú a exportnú kontrolu a Federálna bezpečnostná služba Ruskej federácie v medziach svojich právomocí. *3.1)

Primeranosť prijatých opatrení na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch sa posudzuje pri štátnej kontrole a dozore.

4. Neoddeliteľnou súčasťou prác na tvorbe informačných systémov sú práce na zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch.

5. Nástroje informačnej bezpečnosti používané v informačných systémoch prechádzajú postupom posudzovania zhody v súlade so stanoveným postupom.

6. Informačné systémy klasifikujú štátne orgány, orgány obce, právnické osoby alebo fyzické osoby, ktoré organizujú a (alebo) vykonávajú spracúvanie osobných údajov, ako aj určujú účely a obsah spracúvania osobných údajov (ďalej len prevádzkovateľ), v závislosti od objemu nimi spracúvaných osobných údajov a bezpečnostných ohrození životne dôležitých záujmov jednotlivca, spoločnosti a štátu.

Postup klasifikácie informačných systémov spoločne stanovujú Federálna služba pre technickú a exportnú kontrolu, Federálna bezpečnostná služba Ruskej federácie a Ministerstvo informačných technológií a komunikácií Ruskej federácie.*6.2)

7. Výmena osobných údajov pri ich spracúvaní v informačných systémoch sa uskutočňuje prostredníctvom komunikačných kanálov, ktorých ochrana je zabezpečená zavedením vhodných organizačných opatrení a (alebo) využitím technických prostriedkov.

8. Umiestnenie informačných systémov, špeciálneho vybavenia a zabezpečenie priestorov, v ktorých sa vykonáva práca s osobnými údajmi, organizácia bezpečnostného režimu v týchto priestoroch musí zabezpečiť bezpečnosť nosičov osobných údajov a prostriedkov informačnej bezpečnosti a vylúčiť možnosť nekontrolovaného vstupu alebo prítomnosti cudzích osôb v týchto priestoroch osôb

9. Možné kanály úniku informácií pri spracúvaní osobných údajov v informačných systémoch určuje Federálna služba pre technickú a exportnú kontrolu a Federálna bezpečnostná služba Ruskej federácie v medziach svojich právomocí.

10. Bezpečnosť osobných údajov pri spracúvaní v informačnom systéme zabezpečuje prevádzkovateľ alebo osoba, ktorú na základe zmluvy prevádzkovateľ spracúvaním osobných údajov poverí (ďalej len oprávnená osoba). Nevyhnutnou podmienkou zmluvy je povinnosť oprávnenej osoby zabezpečiť dôvernosť osobných údajov a bezpečnosť osobných údajov pri spracúvaní v informačnom systéme.

11. Pri spracúvaní osobných údajov v informačnom systéme je potrebné zabezpečiť:

a) vykonávanie opatrení zameraných na zamedzenie neoprávneného prístupu k osobným údajom a (alebo) ich prenos osobám, ktoré nemajú právo na prístup k týmto informáciám;

b) včasné zistenie skutočností neoprávneného prístupu k osobným údajom;

c) zamedzenie ovplyvňovania technických prostriedkov automatizovaného spracúvania osobných údajov, v dôsledku čoho môže byť narušená ich funkčnosť;

d) možnosť okamžitej obnovy osobných údajov upravených alebo zničených v dôsledku neoprávneného prístupu k nim;

e) neustále sledovanie zabezpečenia úrovne bezpečnosti osobných údajov.

12. Opatrenia na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch zahŕňajú:

a) identifikácia ohrozenia bezpečnosti osobných údajov pri ich spracúvaní, vytvorenie modelu ohrozenia na ich základe;

b) vývoj, na základe modelu hrozieb, systému ochrany osobných údajov, ktorý zabezpečuje neutralizáciu údajných hrozieb pomocou metód a metód ochrany osobných údajov poskytovaných pre príslušnú triedu informačných systémov;

c) kontrola pripravenosti nástrojov informačnej bezpečnosti na použitie s vypracovaním záverov o možnosti ich fungovania;

d) inštalácia a uvedenie prostriedkov informačnej bezpečnosti do prevádzky v súlade s prevádzkovo-technickou dokumentáciou;

e) školenie osôb používajúcich nástroje informačnej bezpečnosti používané v informačných systémoch o pravidlách práce s nimi;

f) účtovníctvo použitých prostriedkov ochrany informácií, prevádzková a technická dokumentácia k nim, nosiče osobných údajov;

g) účtovníctvo osôb oprávnených pracovať s osobnými údajmi v informačnom systéme;

h) kontrola dodržiavania podmienok používania nástrojov informačnej bezpečnosti ustanovených v prevádzkovej a technickej dokumentácii;

i) šetrenie a vypracúvanie záverov o skutočnostiach nedodržania podmienok uchovávania nosičov osobných údajov, o použití opatrení informačnej bezpečnosti, ktoré môžu viesť k porušeniu dôvernosti osobných údajov alebo k iným porušeniam vedúcim k zníženiu úrovne bezpečnosti osobných údajov, vypracovanie a prijatie opatrení na predchádzanie možným nebezpečným následkom takéhoto porušenia;

j) popis systému ochrany osobných údajov.

13. Na vypracovanie a implementáciu opatrení na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačnom systéme môže prevádzkovateľ alebo oprávnená osoba určiť štrukturálny útvar alebo úradníka (zamestnanec) zodpovedný za zaistenie bezpečnosti osobných údajov.

14. Osobám, ktorých prístup k osobným údajom spracúvaným v informačnom systéme je nevyhnutný na plnenie služobných (pracovných) povinností, je umožnený prístup k príslušným osobným údajom na základe zoznamu schváleného prevádzkovateľom alebo oprávnenou osobou.

15. Žiadosti používateľov informačného systému o získanie osobných údajov vrátane osôb uvedených v bode 14. týchto Nariadení, ako aj skutočnosti poskytnutia osobných údajov o týchto žiadostiach sú evidované automatizovanými prostriedkami informačného systému v elektronickom denníku žiadostí. Obsah elektronického denníka žiadostí je pravidelne kontrolovaný príslušnými úradníkmi (zamestnancami) prevádzkovateľa alebo poverenou osobou.

16. V prípade zistenia porušení postupu pri poskytovaní osobných údajov prevádzkovateľ alebo oprávnená osoba bezodkladne pozastaví poskytovanie osobných údajov používateľom informačného systému až do zistenia príčin porušení a odstránenia týchto príčin.

17. Implementácia požiadaviek na zaistenie informačnej bezpečnosti do nástrojov informačnej bezpečnosti je na ich vývojároch.

V nadväznosti na vyvinuté šifrovacie (kryptografické) nástroje informačnej bezpečnosti určené na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch sú realizované prípadové štúdie a kontrolné prípadové štúdie za účelom overenia plnenia požiadaviek informačnej bezpečnosti. Prípadovými štúdiami sa v tomto prípade rozumejú kryptografické, inžiniersko-kryptografické a špeciálne štúdie nástrojov informačnej bezpečnosti a špeciálna práca s technickými prostriedkami informačných systémov a kontrolnými prípadovými štúdiami sú periodicky realizované prípadové štúdie.

Konkrétne termíny na vykonanie kontrolných prípadových štúdií určuje Federálna bezpečnostná služba Ruskej federácie.

18. Výsledky posudzovania zhody a (alebo) prípadové štúdie nástrojov informačnej bezpečnosti určených na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch sa posudzujú počas skúmania, ktoré vykonáva Federálna služba pre technickú a exportnú kontrolu a Federálna služba Bezpečnostná služba Ruskej federácie v rámci svojich právomocí.

19. Opatrenia informačnej bezpečnosti určené na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch sú sprevádzané pravidlami používania týchto prostriedkov, dohodnutými s Federálnou službou pre technickú a exportnú kontrolu a Federálnou bezpečnostnou službou Ruskej federácie. v medziach svojich právomocí.

Zmeny v podmienkach používania prostriedkov ochrany informácií ustanovených týmito pravidlami sú dohodnuté s týmito federálnymi výkonnými orgánmi v medziach ich právomocí.

20. Opatrenia informačnej bezpečnosti určené na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch podliehajú účtovaniu pomocou indexov alebo kódových mien a evidenčných čísel. Zoznam indexov, kódových mien a evidenčných čísel určuje Federálna služba pre technickú a exportnú kontrolu a Federálna bezpečnostná služba Ruskej federácie v rámci svojich právomocí.

21. Charakteristiky vývoja, výroby, implementácie a prevádzky šifrovacích (kryptografických) prostriedkov ochrany informácií a poskytovania služieb na šifrovanie osobných údajov počas ich spracovania v informačných systémoch stanovuje Federálna bezpečnostná služba Ruskej federácie.

Text elektronického dokumentu
pripravené spoločnosťou Kodeks JSC a overené podľa:
Zbierka zákonov
Ruská federácia,
N 48, 26.11.2007, čl.6001

Nariadenie vlády Ruskej federácie z 1. novembra 2012 N 1119
„O schválení požiadaviek na ochranu osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov“

V súlade s článkom 19 federálneho zákona „o osobných údajoch“ vláda Ruskej federácie rozhoduje:

1. Schváliť priložené požiadavky na ochranu osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov.

2. Uznať za neplatné Nariadenie vlády Ruskej federácie zo 17. novembra 2007 N 781 „O schválení Nariadení o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov“ (Zbierky právnych predpisov Ruskej federácie , 2007, N 48, čl. 6001).

Požiadavky
k ochrane osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov
(schválené uznesením vlády Ruskej federácie z 1. novembra 2012 N 1119)

1. Tento dokument ustanovuje požiadavky na ochranu osobných údajov pri spracúvaní v informačných systémoch osobných údajov (ďalej len informačné systémy) a úrovne zabezpečenia týchto údajov.

2. Bezpečnosť osobných údajov pri spracúvaní v informačnom systéme je zabezpečená pomocou systému ochrany osobných údajov, ktorý neutralizuje aktuálne hrozby identifikované podľa časti 5 čl.

Systém ochrany osobných údajov zahŕňa organizačné a (alebo) technické opatrenia určené s prihliadnutím na aktuálne ohrozenia bezpečnosti osobných údajov a informačné technológie používané v informačných systémoch.

3. Bezpečnosť osobných údajov pri spracúvaní v informačnom systéme zabezpečuje prevádzkovateľ tohto systému, ktorý osobné údaje spracúva (ďalej len prevádzkovateľ), alebo osoba spracúvajúca osobné údaje v mene prevádzkovateľa na základe zmluvy uzatvorenej s touto osobou (ďalej len oprávnená osoba). Dohoda medzi prevádzkovateľom a oprávnenou osobou musí ustanoviť povinnosť oprávnenej osoby zabezpečiť bezpečnosť osobných údajov pri spracúvaní v informačnom systéme.

4. Výber prostriedkov informačnej bezpečnosti pre systém ochrany osobných údajov vykonáva prevádzkovateľ v súlade s regulačnými právnymi aktmi prijatými Federálnou bezpečnostnou službou Ruskej federácie a Federálnou službou pre technickú a exportnú kontrolu podľa 4. článku 19 federálneho zákona „o osobných údajoch“.

5. Informačný systém je informačný systém, ktorý spracúva osobitné kategórie osobných údajov, ak spracúva osobné údaje týkajúce sa rasy, národnosti, politických názorov, náboženského alebo filozofického presvedčenia, zdravotného stavu, intímneho života subjektov osobných údajov.

Informačný systém je informačný systém, ktorý spracúva biometrické osobné údaje, ak spracúva informácie, ktoré charakterizujú fyziologické a biologické vlastnosti osoby, na základe ktorých možno zistiť jej totožnosť a ktoré slúžia prevádzkovateľovi na zistenie totožnosti osoby. subjektom osobných údajov a nespracúva informácie týkajúce sa osobitných kategórií osobných údajov.

Informačný systém je informačný systém, ktorý spracúva verejne dostupné osobné údaje, ak spracúva osobné údaje dotknutých osôb získané len z verejne dostupných zdrojov osobných údajov vytvorených v súlade s § 8 spolkového zákona „o osobných údajoch“.

Informačný systém je informačný systém, ktorý spracúva iné kategórie osobných údajov, ak nespracúva osobné údaje uvedené v prvom až treťom odseku tohto odseku.

Informačný systém je informačný systém, ktorý spracúva osobné údaje zamestnancov prevádzkovateľa, ak spracúva len osobné údaje určených zamestnancov. V ostatných prípadoch je informačný systém osobných údajov informačný systém, ktorý spracúva osobné údaje dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa.

6. Aktuálnymi ohrozeniami bezpečnosti osobných údajov sa rozumie súhrn podmienok a faktorov, ktoré vytvárajú aktuálne nebezpečenstvo neoprávneného, vrátane náhodného, prístupu k osobným údajom pri ich spracúvaní v informačnom systéme, ktorý môže mať za následok zničenie, pozmenenie, sprístupnenie osobných údajov, ich likvidáciu, pozmenenie, sprístupnenie osobných údajov. blokovanie, kopírovanie, poskytovanie, šírenie osobných údajov, ako aj iné protiprávne konania.

Hrozby 1. typu sú relevantné pre informačný systém, ak sú preň relevantné aj hrozby spojené s prítomnosťou nezdokumentovaných (nedeklarovaných) schopností v systémovom softvéri používanom v informačnom systéme.

Hrozby 2. typu sú pre informačný systém relevantné, ak sú preň relevantné aj hrozby spojené s prítomnosťou nezdokumentovaných (nedeklarovaných) schopností v aplikačnom softvéri používanom v informačnom systéme.

Hrozby 3. typu sú relevantné pre informačný systém, ak sú preň relevantné hrozby, ktoré nesúvisia s prítomnosťou nezdokumentovaných (nedeklarovaných) schopností v systéme a aplikačnom softvéri používanom v informačnom systéme.

7. Určenie druhu ohrozenia bezpečnosti osobných údajov relevantných pre informačný systém vykonáva prevádzkovateľ s prihliadnutím na posúdenie možnej ujmy vykonané podľa odseku 5 časti 1 článku 18.1 spolkového zákona. „O osobných údajoch“ av súlade s regulačnými právnymi aktmi prijatými podľa časti 5 článku 19 federálneho zákona „O osobných údajoch“.

8. Pri spracúvaní osobných údajov v informačných systémoch sú stanovené 4 stupne zabezpečenia osobných údajov.

9. Potreba zabezpečiť 1. stupeň bezpečnosti osobných údajov pri ich spracúvaní v informačnom systéme je daná, ak je splnená aspoň jedna z týchto podmienok:

a) ohrozenia 1. typu sú relevantné pre informačný systém a informačný systém spracúva buď osobitné kategórie osobných údajov, alebo biometrické osobné údaje, prípadne iné kategórie osobných údajov;

b) ohrozenia 2. typu sú relevantné pre informačný systém a informačný systém spracúva osobitné kategórie osobných údajov viac ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa.

10. Potreba zabezpečiť 2. stupeň bezpečnosti osobných údajov pri ich spracúvaní v informačnom systéme je daná, ak je splnená aspoň jedna z týchto podmienok:

a) ohrozenia 1. typu sú relevantné pre informačný systém a informačný systém spracúva verejne dostupné osobné údaje;

b) ohrozenia 2. typu sú relevantné pre informačný systém a informačný systém spracúva osobitné kategórie osobných údajov zamestnancov prevádzkovateľa alebo osobitné kategórie osobných údajov menej ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa;

c) ohrozenia 2. typu sú relevantné pre informačný systém a informačný systém spracúva biometrické osobné údaje;

d) ohrozenia 2. typu sú relevantné pre informačný systém a informačný systém spracúva verejne dostupné osobné údaje viac ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa;

e) ohrozenia 2. typu sú relevantné pre informačný systém a informačný systém spracúva iné kategórie osobných údajov viac ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa;

f) pre informačný systém sú relevantné hrozby 3. typu a informačný systém spracúva osobitné kategórie osobných údajov viac ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa.

11. Potreba zabezpečiť 3. stupeň bezpečnosti osobných údajov pri ich spracúvaní v informačnom systéme je daná, ak je splnená aspoň jedna z týchto podmienok:

a) ohrozenia 2. typu sú relevantné pre informačný systém a informačný systém spracúva verejne dostupné osobné údaje zamestnancov prevádzkovateľa alebo verejne dostupné osobné údaje menej ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa;

b) pre informačný systém sú relevantné hrozby 2. typu a informačný systém spracúva iné kategórie osobných údajov zamestnancov prevádzkovateľa alebo iné kategórie osobných údajov menej ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa;

c) pre informačný systém sú relevantné hrozby 3. typu a informačný systém spracúva osobitné kategórie osobných údajov zamestnancov prevádzkovateľa alebo osobitné kategórie osobných údajov menej ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa;

d) ohrozenia 3. typu sú relevantné pre informačný systém a informačný systém spracúva biometrické osobné údaje;

e) ohrozenia 3. typu sú relevantné pre informačný systém a informačný systém spracúva ďalšie kategórie osobných údajov viac ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa.

12. Potreba zabezpečiť 4. stupeň bezpečnosti osobných údajov pri ich spracúvaní v informačnom systéme je daná, ak je splnená aspoň jedna z týchto podmienok:

a) ohrozenia 3. typu sú relevantné pre informačný systém a informačný systém spracúva verejne dostupné osobné údaje;

b) pre informačný systém sú relevantné hrozby 3. typu a informačný systém spracúva iné kategórie osobných údajov zamestnancov prevádzkovateľa alebo iné kategórie osobných údajov menej ako 100 000 dotknutých osôb, ktoré nie sú zamestnancami prevádzkovateľa.

13. Na zabezpečenie 4. stupňa bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch musia byť splnené tieto požiadavky:

a) zabezpečenie bezpečnostného režimu v priestoroch, v ktorých sa informačný systém nachádza, zamedzenie možnosti nekontrolovaného vstupu alebo pobytu v týchto priestoroch osobám, ktoré do týchto priestorov nemajú prístup;

b) zaistenie bezpečnosti nosičov osobných údajov;

c) schválenie dokumentu vedúceho prevádzkovateľa, ktorým sa definuje zoznam osôb, ktorých prístup k osobným údajom spracúvaným v informačnom systéme je nevyhnutný na plnenie služobných (pracovných) povinností;

d) používanie nástrojov informačnej bezpečnosti, ktoré prešli postupom na posúdenie súladu s požiadavkami legislatívy Ruskej federácie v oblasti informačnej bezpečnosti, v prípadoch, keď je použitie takýchto prostriedkov nevyhnutné na neutralizáciu aktuálnych hrozieb.

14. Na zabezpečenie 3. stupňa bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch je okrem splnenia požiadaviek podľa odseku 13 tohto dokumentu potrebné, aby bol ustanovený úradník (zamestnanec) zodpovedný za zabezpečenie bezpečnosti osobných údajov v informačnom systéme.

15. Na zabezpečenie 2. stupňa bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch je okrem splnenia požiadaviek podľa odseku 14 tohto dokumentu nevyhnutné, aby prístup k obsahu protokolu elektronických správ bol možný len pre funkcionárov (zamestnancov) prevádzkovateľa alebo oprávnenej osoby, pre ktorých sú informácie uvedené v určenom vestníku potrebné na plnenie služobných (pracovných) povinností.

16. Na zabezpečenie 1. stupňa bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch musia byť okrem požiadaviek podľa odseku 15 tohto dokumentu splnené aj tieto požiadavky:

a) automatická evidencia zmien v oprávneniach zamestnanca prevádzkovateľa na prístup k osobným údajom obsiahnutým v informačnom systéme do elektronického bezpečnostného denníka;

b) vytvorenie štrukturálnej jednotky zodpovednej za zabezpečenie bezpečnosti osobných údajov v informačnom systéme alebo pridelenie funkcií na zabezpečenie tejto bezpečnosti jednej zo štrukturálnych jednotiek.

17. Kontrolu dodržiavania týchto požiadaviek organizuje a vykonáva prevádzkovateľ (oprávnená osoba) samostatne a (alebo) so zapojením právnických osôb a fyzických osôb podnikateľov na zmluvnom základe, oprávnení vykonávať činnosti na technickú ochranu dôverných informácií. informácie. Určená kontrola sa vykonáva najmenej raz za 3 roky v lehotách určených prevádzkovateľom (oprávnenou osobou).

VLÁDA RUSKEJ FEDERÁCIE

O SCHVAĽOVANÍ POŽIADAVIEK

V súlade s článkom 19 federálneho zákona „o osobných údajoch“ vláda Ruskej federácie rozhoduje:

1. Schváliť priložené požiadavky na ochranu osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov.

predseda vlády
Ruská federácia
D.MEDVEDEV

Schválené
uznesenie vlády
Ruská federácia
zo dňa 1. novembra 2012 N 1119

POŽIADAVKY
NA OCHRANU OSOBNÝCH ÚDAJOV PRI ICH SPRACOVANÍ
V INFORMAČNÝCH SYSTÉMOCH OSOBNÝCH ÚDAJOV

2. Bezpečnosť osobných údajov pri spracúvaní v informačnom systéme je zabezpečená systémom ochrany osobných údajov, ktorý neutralizuje aktuálne hrozby identifikované v súlade s 5. časťou § 19 spolkového zákona „O osobných údajoch“.

Informačný systém je informačný systém, ktorý spracúva iné kategórie osobných údajov, ak nespracúva osobné údaje uvedené v prvom až treťom odseku tohto odseku.

7. Určenie druhu ohrozenia bezpečnosti osobných údajov relevantných pre informačný systém vykonáva prevádzkovateľ s prihliadnutím na posúdenie možnej ujmy vykonané podľa odseku 5 časti 1 článku 18.1 spolkového zákona " o osobných údajoch“ av súlade s regulačnými právnymi aktmi prijatými podľa časti 5 článku 19 federálneho zákona „o osobných údajoch“.