në shtëpi Rimëkëmbja

Rezoluta për miratimin e kërkesave për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale - Rossiyskaya Gazeta. Nivelet e mbrojtjes së të dhënave personale në vend të klasave Dekreti i Qeverisë 1119

Dekreti i Qeverisë së Federatës Ruse Nr. 1119 i datës 1 nëntor 2012 varrosi klasa të sistemeve të informacionit të të dhënave personale që tashmë ishin bërë të njohura për të gjithë.

Në vend të klasave, sipas rezolutës së re, vendosen katër nivele të sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit dhe kërkesat për secilën prej tyre. Caktimi i sistemeve të informacionit në një nivel të caktuar sigurie bëhet në varësi të llojit të të dhënave personale që përpunon sistemi i informacionit, llojit të kërcënimeve aktuale, numrit të subjekteve të të dhënave personale të përpunuara nga sistemi i informacionit dhe të dhënave personale të të cilave përpunohet kontigjenti.

Sistemet e informacionit të të dhënave personale (PDIS), sipas paragrafit 5 të Rezolutës Nr. 1119, ndahen në 4 grupe:

ISPD speciale
nëse ISPD përpunon të dhëna personale në lidhje me racën, kombësinë, pikëpamjet politike, besimet fetare ose filozofike, gjendjen shëndetësore, jetën intime të subjekteve të të dhënave personale;
ISPD biometrike
nëse ISPD përpunon informacione që karakterizojnë karakteristikat fiziologjike dhe biologjike të një personi, në bazë të të cilave mund të përcaktohet identiteti i tij dhe që përdoret nga operatori për të përcaktuar identitetin e subjektit të të dhënave personale, dhe informacione që lidhen me kategori të veçanta të dhënat personale nuk përpunohen;
ISPD publike
nëse ISPD përpunon të dhënat personale të subjekteve të të dhënave personale të marra vetëm nga burime të disponueshme publikisht të të dhënave personale të krijuara në përputhje me nenin 8 të ligjit federal "Për të dhënat personale";
ISPDn tjera
nëse ISPD përpunon të dhënat personale të subjekteve të të dhënave personale që nuk përfaqësohen në tre grupet e mëparshme.

Bazuar në formën e marrëdhënies midis organizatës suaj dhe subjekteve, përpunimi ndahet në 2 lloje:

përpunimi i të dhënave personale të punonjësve (subjektet me të cilët organizata juaj ka marrëdhënie pune);
përpunimi i të dhënave personale të subjekteve që nuk janë punonjës të organizatës suaj.

Bazuar në numrin e subjekteve, të dhënat personale të të cilëve përpunohen, Rezoluta nr. 1119 përcakton vetëm 2 kategori:

më pak se 100,000 subjekte;
më shumë se 100,000 subjekte;

Dhe së fundi, Llojet e kërcënimeve aktuale:

Kërcënimet e tipit 1 shoqërohen me praninë e aftësive të padeklaruara (të padokumentuara) në softuerin e sistemit të përdorur në ISPD;
Kërcënimet e tipit 2 shoqërohen me praninë e aftësive të padeklaruara në softuerin e aplikacionit të përdorur në ISPD;
Kërcënimet e tipit 3 nuk shoqërohen me praninë e aftësive të padeklaruara në softuerin e përdorur në ISPD.

Nuk ka asnjë rregullore se si të përcaktohet lloji i kërcënimeve aktuale. Kërkesat e PP-1119 nuk ofrojnë asnjë metodë ose metodë për neutralizimin e tyre. Nëse më parë operatori mund të zgjidhte të klasifikonte një ISPD standarde bazuar në një tabelë ose të klasifikonte një ISPD të veçantë bazuar në rezultatet e një modeli kërcënimi, tani nuk ka zgjidhje. Niveli i sigurisë përcaktohet gjithmonë në bazë të rëndësisë së kërcënimeve. Operatori nuk ka gjasa të jetë në gjendje t'i përcaktojë ato vetë - ai do të duhet të kontaktojë një organizatë më të lartë ose një konsulent. Mënyra më e lehtë është të ndjekësh rrugën e rezistencës më të vogël, d.m.th. përcaktoni llojin e kërcënimit aktual të tipit 3, dhe harroni për aftësitë e padeklaruara (të padokumentuara) në softuerin e sistemit dhe aplikacionit, por kjo do të duhet të justifikohet. E gjithë pyetja është si?, duke u kthyer në fillim të paragrafit.
Tema e rëndësisë së kërcënimeve ndaj sistemeve të informacionit të të dhënave personale është shumë e rëndësishme, sepse kërcënimet e përshkruara saktë përcaktojnë se sa mirë do të mbrohet sistemi, si dhe sa do të kushtojë mbrojtja për operatorin e të dhënave personale.

Nëse keni vendosur për të dhënat fillestare për një ISPD specifike, duke përfshirë llojin e kërcënimeve aktuale, atëherë mund të përcaktoni nivelin e tij të sigurisë. Për të përcaktuar me lehtësi nivelin e sigurisë, përdorni tabelën e mëposhtme, e cila bazohet në PP-1119:

Lloji ISPDn	Punonjësit e operatorit	Numri i lëndëve	Lloji i kërcënimeve aktuale
			1 (NDV OS)	2 (NDV PO)	3 (Pa NDV)
ISPDn-S (i veçantë)	Nr	> 100 000	UZ-1	UZ-1	UZ-2
	Nr	< 100 000	UZ-1	UZ-2	UZ-3
	po
ISPDn-B (biometrike)			UZ-1	UZ-2	UZ-3
ISPDn-I (të tjerët)	Nr	> 100 000	UZ-1	UZ-2	UZ-3
	Nr	< 100 000	UZ-2	UZ-3	UZ-4
	po
ISPDn-O (publik)	Nr	> 100 000	UZ-2	UZ-2	UZ-4
	Nr	< 100 000	UZ-2	UZ-3	UZ-4
	po

Në varësi të nivelit të zgjedhur të sigurisë së PD-së, PP-1119 përcakton një sërë kërkesash për mbrojtjen e të dhënave personale, të cilat organizohen dhe kryhen nga operatori (personi i autorizuar) në mënyrë të pavarur dhe (ose) me përfshirjen e personave juridikë dhe individualë. sipërmarrësit në bazë kontraktuale, me licencë për të kryer veprimtari për mbrojtjen teknike të informacionit konfidencial. Monitorimi i respektimit të kërkesave duhet të kryhet të paktën një herë në 3 vjet brenda afatit kohor të përcaktuar nga operatori (personi i autorizuar).

Kërkesat	Nivelet sigurinë
Kërkesat
Organizimi i një regjimi sigurie për ambientet në të cilat ndodhet sistemi i informacionit, duke parandaluar mundësinë e hyrjes ose qëndrimit të pakontrolluar në këto ambiente nga persona që nuk kanë akses në këto ambiente.	+	+	+	+
Sigurimi i sigurisë së bartësve të të dhënave personale	+	+	+	+
Miratimi nga drejtuesi i operatorit të një dokumenti që përcakton listën e personave, qasja e të cilëve në të dhënat personale të përpunuara në sistemin e informacionit është e nevojshme për kryerjen e detyrave të tyre zyrtare (të punës).	+	+	+	+
Përdorimi i mjeteve të sigurisë së informacionit që kanë kaluar procedurën për vlerësimin e pajtueshmërisë me kërkesat e legjislacionit të Federatës Ruse në fushën e sigurisë së informacionit, në rastet kur përdorimi i mjeteve të tilla është i nevojshëm për të neutralizuar kërcënimet aktuale	+	+	+	+
Emërimi i një zyrtari përgjegjës për sigurimin e të dhënave personale në ISPD	+	+	+	-
Kufizimi i aksesit në përmbajtjen e regjistrit të mesazheve elektronike	+	+	-	-
Regjistrimi automatik në regjistrin elektronik të sigurisë së ndryshimeve në kompetencat e punonjësit të operatorit për të hyrë në të dhënat personale të përfshira në sistemin e informacionit	+	-	-	-
Krijimi i një njësie strukturore përgjegjëse për garantimin e sigurisë së të dhënave personale në sistemin e informacionit, ose caktimi i funksioneve për të garantuar një siguri të tillë njërës prej njësive strukturore.	+	-	-	-

Pasi të keni vendosur për kërkesat për mbrojtjen e të dhënave personale në përputhje me PP-1119, mund të vazhdoni me zgjedhjen e masave organizative dhe teknike për të garantuar sigurinë e të dhënave personale, bazuar në kërkesat e Urdhrit Nr. 21 të FSTEC të Rusia e datës 18 shkurt 2013. që synon neutralizimin e kërcënimeve aktuale ndaj sigurisë së të dhënave personale.

Çfarë duhet bërë me mjetet e sigurisë së informacionit, certifikatat për të cilat janë lëshuar më parë për klasa të caktuara të ISPD?

Në përputhje me mesazhin e informacionit të FSTEC të Rusisë, datë 20 nëntor 2012 N 240/24/4669 "Për veçoritë e mbrojtjes së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale dhe certifikimin e mjeteve të sigurisë së informacionit të destinuara për mbrojtjen të të dhënave personale”, certifikatat e konformitetit të lëshuara FSTEC të Rusisë, përpara hyrjes në fuqi të aktit ligjor rregullator të FSTEC të Rusisë (që do të thotë Urdhri nr. 21), që përcakton përbërjen dhe përmbajtjen e masave organizative dhe teknike për të garantuar sigurinë e të dhënat personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale, nuk i nënshtrohen riregjistrimit.
Mjetet e sigurisë së informacionit që mund të përdoren për të mbrojtur të dhënat personale të përpunuara në sistemet e informacionit të të dhënave personale të klasës 1 mund të përdoren për të garantuar sigurinë e të dhënave personale të përpunuara në sistemet e informacionit të të dhënave personale deri në nivelin 1 përfshirës;
Mjetet e sigurisë së informacionit që mund të përdoren për të mbrojtur të dhënat personale të përpunuara në sistemet e informacionit të të dhënave personale të klasës 2 mund të përdoren për të garantuar sigurinë e nivelit 4 të të dhënave personale të përpunuara në sistemet e informacionit të të dhënave personale.

QEVERIA E FEDERATES RUSE

REZOLUCION

Për miratimin e Rregullores për garantimin e sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale

Forca e humbur më 15 nëntor 2012 në bazë të
vendimet e Qeverisë së Federatës Ruse
datë 1 nëntor 2012 N 1119
____________________________________________________________________

Në përputhje me nenin 19 të Ligjit Federal "Për të Dhënat Personale", Qeveria e Federatës Ruse

vendos:

1. Miraton rregulloret e bashkëlidhura për garantimin e sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale.

2. Shërbimi Federal i Sigurisë i Federatës Ruse dhe Shërbimi Federal për Kontrollin Teknik dhe të Eksportit miratojnë, brenda kompetencës së tyre, brenda një periudhe 3-mujore, aktet ligjore rregullatore dhe dokumentet metodologjike të nevojshme për të përmbushur kërkesat e parashikuara nga rregulloret. miratuar me këtë rezolutë.

Kryetar i Qeverisë
Federata Ruse

Rregullore për garantimin e sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale

MIRATUAR
Rezoluta e qeverisë
Federata Ruse
datë 17.11.2007 N 781

1. Këto rregullore përcaktojnë kërkesat për garantimin e sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale, të cilat janë një grup të dhënash personale të përfshira në bazat e të dhënave, si dhe teknologjitë e informacionit dhe mjetet teknike që lejojnë përpunimin e këtyre të dhënave personale duke përdorur mjetet e automatizimit (në tekstin e mëtejmë të referuara si sisteme informacioni). *1)

Mjetet teknike që lejojnë përpunimin e të dhënave personale kuptohen si objekte kompjuterike, informacione dhe komplekse dhe rrjete informatike, mjete dhe sisteme për transmetimin, marrjen dhe përpunimin e të dhënave personale (mjete dhe sisteme për regjistrimin e zërit, përforcimin e zërit, riprodhimin e zërit, intercom dhe televizion pajisjet, mjetet e prodhimit, replikimin e dokumenteve dhe mjete të tjera teknike për përpunimin e të folurit, informacionin grafik, video dhe alfanumerik), softuerët (sistemet operative, sistemet e menaxhimit të bazës së të dhënave, etj.), mjetet e sigurisë së informacionit që përdoren në sistemet e informacionit.

2. Siguria e të dhënave personale arrihet duke përjashtuar aksesin e paautorizuar, duke përfshirë aksidentalisht, në të dhënat personale, që mund të rezultojë në shkatërrim, modifikim, bllokim, kopjim, shpërndarje të të dhënave personale, si dhe veprime të tjera të paautorizuara.

Siguria e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit sigurohet duke përdorur një sistem të mbrojtjes së të dhënave personale, duke përfshirë masat organizative dhe mjetet e mbrojtjes së informacionit (përfshirë mjetet e enkriptimit (kriptografik), mjetet për parandalimin e aksesit të paautorizuar, rrjedhjen e informacionit përmes kanaleve teknike, softuerit dhe ndikimet harduerike në mjetet teknike për përpunimin e të dhënave personale), si dhe teknologjitë e informacionit të përdorura në sistemin e informacionit. Hardueri dhe softueri duhet të plotësojnë kërkesat e përcaktuara në përputhje me legjislacionin e Federatës Ruse për të siguruar mbrojtjen e informacionit.

Për të garantuar sigurinë e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit, sigurohet mbrojtje për informacionin e të folurit dhe informacionin e përpunuar me mjete teknike, si dhe informacionin e paraqitur në formën e sinjaleve elektrike informative, fushave fizike, mediave në letër, magnetike, magneto. -baza optike dhe të tjera.

3. Metodat dhe mjetet e mbrojtjes së informacionit në sistemet e informacionit përcaktohen nga Shërbimi Federal për Kontrollin Teknik dhe Eksporti dhe Shërbimi Federal i Sigurisë i Federatës Ruse brenda kufijve të kompetencave të tyre. *3.1)

Përshtatshmëria e masave të marra për të garantuar sigurinë e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit vlerësohet gjatë kontrollit dhe mbikëqyrjes shtetërore.

4. Puna për të garantuar sigurinë e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit është pjesë përbërëse e punës për krijimin e sistemeve të informacionit.

5. Mjetet e sigurisë së informacionit të përdorura në sistemet e informacionit i nënshtrohen një procedure vlerësimi të konformitetit në përputhje me procedurën e vendosur.

6. Sistemet e informacionit klasifikohen nga organet shtetërore, organet komunale, persona juridikë ose individë që organizojnë dhe (ose) kryejnë përpunimin e të dhënave personale, si dhe përcaktojnë qëllimet dhe përmbajtjen e përpunimit të të dhënave personale (në tekstin e mëtejmë: operator), në varësi të vëllimit të të dhënave personale të përpunuara prej tyre dhe kërcënimeve të sigurisë ndaj interesave jetike të individit, shoqërisë dhe shtetit.

Procedura për klasifikimin e sistemeve të informacionit vendoset bashkërisht nga Shërbimi Federal për Kontrollin Teknik dhe Eksporti, Shërbimi Federal i Sigurisë i Federatës Ruse dhe Ministria e Teknologjive të Informacionit dhe Komunikimeve të Federatës Ruse.*6.2)

7. Shkëmbimi i të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit kryhet nëpërmjet kanaleve të komunikimit, mbrojtja e të cilave sigurohet nëpërmjet zbatimit të masave të duhura organizative dhe (ose) nëpërmjet përdorimit të mjeteve teknike.

8. Vendosja e sistemeve të informacionit, pajisjeve speciale dhe siguria e ambienteve në të cilat kryhet puna me të dhënat personale, organizimi i një regjimi sigurie në këto ambiente duhet të garantojë sigurinë e bartësve të të dhënave personale dhe mjeteve të sigurisë së informacionit, si dhe të përjashtojë mundësia e hyrjes së pakontrolluar apo pranisë së personave të panjohur në këto ambiente

9. Kanalet e mundshme të rrjedhjes së informacionit gjatë përpunimit të të dhënave personale në sistemet e informacionit përcaktohen nga Shërbimi Federal për Kontrollin Teknik dhe Eksporti dhe Shërbimi Federal i Sigurisë i Federatës Ruse brenda kufijve të kompetencave të tyre.

10. Siguria e të dhënave personale kur përpunohen në sistemin e informacionit sigurohet nga operatori ose personi të cilit, në bazë të një marrëveshjeje, operatori i beson përpunimin e të dhënave personale (në tekstin e mëtejmë personi i autorizuar). Kusht thelbësor i kontratës është detyrimi i personit të autorizuar për të garantuar konfidencialitetin e të dhënave personale dhe sigurinë e të dhënave personale kur përpunohen në sistemin e informacionit.

11. Gjatë përpunimit të të dhënave personale në sistemin e informacionit, duhet të sigurohen sa vijon:

a) kryerja e masave që synojnë parandalimin e aksesit të paautorizuar në të dhënat personale dhe (ose) transferimin e tyre tek personat që nuk kanë të drejtë të aksesojnë një informacion të tillë;

b) zbulimin në kohë të fakteve të aksesit të paautorizuar në të dhënat personale;

c) parandalimin e ndikimit në mjetet teknike të përpunimit të automatizuar të të dhënave personale, si rezultat i të cilave mund të ndërpritet funksionimi i tyre;

d) mundësinë e rivendosjes së menjëhershme të të dhënave personale të modifikuara ose të shkatërruara për shkak të aksesit të paautorizuar në to;

e) monitorim i vazhdueshëm i garantimit të nivelit të sigurisë së të dhënave personale.

12. Masat për të garantuar sigurinë e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit përfshijnë:

a) identifikimi i kërcënimeve për sigurinë e të dhënave personale gjatë përpunimit të tyre, formimi i një modeli kërcënimi bazuar në to;

b) zhvillimi, bazuar në modelin e kërcënimit, i një sistemi të mbrojtjes së të dhënave personale që siguron neutralizimin e kërcënimeve të supozuara duke përdorur metoda dhe metoda për mbrojtjen e të dhënave personale të ofruara për klasën përkatëse të sistemeve të informacionit;

c) kontrollin e gatishmërisë së mjeteve të sigurisë së informacionit për përdorim me nxjerrjen e konkluzioneve mbi mundësinë e funksionimit të tyre;

d) instalimin dhe vënien në punë të mjeteve të sigurisë së informacionit në përputhje me dokumentacionin operativ dhe teknik;

e) trajnimin e personave që përdorin mjetet e sigurisë së informacionit të përdorura në sistemet e informacionit mbi rregullat e punës me ta;

f) llogaritjen e mjeteve të përdorura për mbrojtjen e informacionit, dokumentacionin operativ dhe teknik për to, bartësit e të dhënave personale;

g) llogaritjen e personave të autorizuar për të punuar me të dhënat personale në sistemin e informacionit;

h) kontrollin mbi respektimin e kushteve për përdorimin e mjeteve të sigurisë së informacionit të parashikuara në dokumentacionin operativ dhe teknik;

i) hetimin dhe nxjerrjen e konkluzioneve mbi faktet e mosrespektimit të kushteve të ruajtjes së transportuesve të të dhënave personale, përdorimin e masave të sigurisë së informacionit që mund të çojnë në shkelje të konfidencialitetit të të dhënave personale ose shkelje të tjera që çojnë në uljen e nivelit sigurinë e të dhënave personale, zhvillimin dhe miratimin e masave për të parandaluar pasojat e mundshme të rrezikshme të shkeljeve të tilla;

j) përshkrimin e sistemit të mbrojtjes së të dhënave personale.

13. Për të zhvilluar dhe zbatuar masa për të garantuar sigurinë e të dhënave personale gjatë përpunimit të tyre në sistemin e informacionit, një operator ose një person i autorizuar mund të caktojë një njësi strukturore ose zyrtar (punonjës) përgjegjës për garantimin e sigurisë së të dhënave personale.

14. Personave qasja e të cilëve në të dhënat personale të përpunuara në sistemin e informacionit është e nevojshme për kryerjen e detyrave zyrtare (të punës) u lejohet qasja në të dhënat personale përkatëse në bazë të një liste të miratuar nga operatori ose personi i autorizuar.

15. Kërkesat e përdoruesve të sistemit të informacionit për marrjen e të dhënave personale, përfshirë personat e përcaktuar në pikën 14 të kësaj rregulloreje, si dhe faktet e dhënies së të dhënave personale për këto kërkesa regjistrohen me mjete të automatizuara të sistemit të informacionit në regjistrin elektronik. të kërkesave. Përmbajtja e regjistrit elektronik të kërkesave kontrollohet periodikisht nga zyrtarët (punonjësit) përkatës të operatorit ose personi i autorizuar.

16. Nëse konstatohen shkelje të procedurës së dhënies së të dhënave personale, operatori ose personi i autorizuar do të pezullojë menjëherë dhënien e të dhënave personale përdoruesve të sistemit të informacionit deri në identifikimin e shkaqeve të shkeljeve dhe eliminimin e këtyre shkaqeve.

17. Zbatimi i kërkesave për sigurimin e sigurisë së informacionit në mjetet e sigurisë së informacionit i takon zhvilluesve të tyre.

Në lidhje me mjetet e zhvilluara të sigurisë së informacionit të kriptimit (kriptografik) të krijuara për të garantuar sigurinë e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit, studimet e rasteve dhe studimet e rasteve të kontrollit kryhen për të verifikuar përputhjen me kërkesat e sigurisë së informacionit. Në këtë rast, studimet e rastit kuptohen si studime kriptografike, inxhinierike-kriptografike dhe speciale të mjeteve të sigurisë së informacionit dhe punë speciale me mjete teknike të sistemeve të informacionit, dhe studimet e rasteve të kontrollit kryhen periodikisht studime rasti.

Afatet specifike për kryerjen e studimeve të rasteve të kontrollit përcaktohen nga Shërbimi Federal i Sigurisë i Federatës Ruse.

18. Rezultatet e vlerësimit të konformitetit dhe (ose) studimet e rasteve të mjeteve të sigurisë së informacionit të krijuara për të garantuar sigurinë e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit vlerësohen gjatë ekzaminimit të kryer nga Shërbimi Federal për Kontrollin Teknik dhe Eksport dhe Federale Shërbimi i Sigurisë i Federatës Ruse brenda kompetencave të tyre.

19. Masat e sigurisë së informacionit që synojnë të garantojnë sigurinë e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit shoqërohen me rregulla për përdorimin e këtyre mjeteve, të dakorduara me Shërbimin Federal të Kontrollit Teknik dhe Eksportit dhe Shërbimin Federal të Sigurisë të Federatës Ruse. brenda kufijve të kompetencave të tyre.

Ndryshimet në kushtet e përdorimit të mjeteve të mbrojtjes së informacionit të parashikuara nga këto rregulla bien dakord me këto autoritete ekzekutive federale brenda kufijve të kompetencave të tyre.

20. Masat e sigurisë së informacionit të krijuara për të garantuar sigurinë e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit i nënshtrohen kontabilitetit duke përdorur indekset ose emrat e koduar dhe numrat e regjistrimit. Lista e indekseve, emrave të koduar dhe numrave të regjistrimit përcaktohet nga Shërbimi Federal për Kontrollin Teknik dhe Eksport dhe Shërbimi Federal i Sigurisë i Federatës Ruse brenda kufijve të kompetencave të tyre.

21. Karakteristikat e zhvillimit, prodhimit, zbatimit dhe funksionimit të mjeteve të enkriptimit (kriptografik) të mbrojtjes së informacionit dhe ofrimit të shërbimeve për kriptimin e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit përcaktohen nga Shërbimi Federal i Sigurisë i Federatës Ruse.

Teksti i dokumentit elektronik
përgatitur nga Kodeks Sh.A dhe verifikuar kundër:
Mbledhja e legjislacionit
Federata Ruse,
N 48, 26.11.2007, neni 6001

Dekret i Qeverisë së Federatës Ruse të 1 nëntorit 2012 N 1119
"Për miratimin e kërkesave për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale"

Në përputhje me nenin 19 të Ligjit Federal "Për të dhënat personale", Qeveria e Federatës Ruse vendos:

1. Miraton kërkesat bashkëlidhur për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale.

2. Të njohë si të pavlefshëm Dekretin e Qeverisë së Federatës Ruse të 17 nëntorit 2007 N 781 "Për miratimin e rregulloreve për sigurimin e sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale" (Legjislacioni i mbledhur i Federatës Ruse , 2007, N 48, Art 6001) .

Kërkesat
për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale
(miratuar me Dekret të Qeverisë së Federatës Ruse të 1 nëntorit 2012 N 1119)

1. Ky dokument përcakton kërkesat për mbrojtjen e të dhënave personale kur përpunohen në sistemet e informacionit të të dhënave personale (në tekstin e mëtejmë si sisteme informacioni) dhe nivelet e sigurisë së të dhënave të tilla.

2. Siguria e të dhënave personale kur përpunohen në sistemin e informacionit sigurohet duke përdorur një sistem të mbrojtjes së të dhënave personale që neutralizon kërcënimet aktuale të identifikuara në përputhje me pjesën 5 të nenit 19.

Sistemi i mbrojtjes së të dhënave personale përfshin masa organizative dhe (ose) teknike të përcaktuara duke marrë parasysh kërcënimet aktuale për sigurinë e të dhënave personale dhe teknologjitë e informacionit të përdorura në sistemet e informacionit.

3. Siguria e të dhënave personale kur përpunohen në një sistem informacioni sigurohet nga operatori i këtij sistemi, i cili përpunon të dhënat personale (në tekstin e mëtejmë operatori), ose nga personi që përpunon të dhënat personale në emër të operatorit në bazë të të një marrëveshjeje të lidhur me këtë person (në tekstin e mëtejmë personi i autorizuar). Marrëveshja ndërmjet operatorit dhe personit të autorizuar duhet të parashikojë detyrimin e personit të autorizuar për të garantuar sigurinë e të dhënave personale kur përpunohen në sistemin e informacionit.

4. Zgjedhja e mjeteve të sigurisë së informacionit për sistemin e mbrojtjes së të dhënave personale kryhet nga operatori në përputhje me aktet ligjore rregullatore të miratuara nga Shërbimi Federal i Sigurisë i Federatës Ruse dhe Shërbimi Federal për Kontrollin Teknik dhe Eksporti në përputhje me Pjesën 4. të nenit 19 të ligjit federal "Për të dhënat personale".

5. Një sistem informacioni është një sistem informacioni që përpunon kategori të veçanta të të dhënave personale nëse përpunon të dhëna personale që kanë të bëjnë me racën, kombësinë, pikëpamjet politike, besimet fetare ose filozofike, gjendjen shëndetësore, jetën intime të subjekteve të të dhënave personale.

Një sistem informacioni është një sistem informacioni që përpunon të dhënat personale biometrike nëse përpunon informacione që karakterizojnë karakteristikat fiziologjike dhe biologjike të një personi, në bazë të të cilit mund të përcaktohet identiteti i tij dhe që përdoret nga operatori për të përcaktuar identitetin e subjekt i të dhënave personale, dhe nuk përpunon informacione që lidhen me kategori të veçanta të të dhënave personale.

Një sistem informacioni është një sistem informacioni që përpunon të dhënat personale të disponueshme publikisht nëse përpunon të dhëna personale të subjekteve të të dhënave personale të marra vetëm nga burime të disponueshme publikisht të të dhënave personale të krijuara në përputhje me nenin 8 të Ligjit Federal "Për të dhënat personale".

Një sistem informacioni është një sistem informacioni që përpunon kategori të tjera të të dhënave personale, nëse nuk përpunon të dhënat personale të përcaktuara në paragrafët një deri në tre të këtij paragrafi.

Një sistem informacioni është një sistem informacioni që përpunon të dhënat personale të punonjësve të operatorit nëse përpunon vetëm të dhënat personale të punonjësve të specifikuar. Në raste të tjera, sistemi i informacionit të të dhënave personale është një sistem informacioni që përpunon të dhënat personale të subjekteve të të dhënave personale që nuk janë punonjës të operatorit.

6. Kërcënimet aktuale për sigurinë e të dhënave personale kuptohen si një grup kushtesh dhe faktorësh që krijojnë rrezikun aktual të aksesit të paautorizuar, përfshirë aksidental, në të dhënat personale gjatë përpunimit të tyre në një sistem informacioni, i cili mund të rezultojë në shkatërrim, modifikim, bllokimi, kopjimi, sigurimi, shpërndarja e të dhënave personale, si dhe veprime të tjera të paligjshme.

Kërcënimet e tipit 1 janë të rëndësishme për një sistem informacioni nëse kërcënimet që lidhen me praninë e aftësive të padokumentuara (të padeklaruara) në softuerin e sistemit të përdorur në sistemin e informacionit janë gjithashtu të rëndësishme për të.

Kërcënimet e llojit të dytë janë të rëndësishme për një sistem informacioni nëse kërcënimet që lidhen me praninë e aftësive të padokumentuara (të padeklaruara) në softuerin e aplikacionit të përdorur në sistemin e informacionit janë gjithashtu të rëndësishme për të.

Kërcënimet e tipit 3 janë të rëndësishme për një sistem informacioni nëse kërcënimet që nuk lidhen me praninë e aftësive të padokumentuara (të padeklaruara) në sistem dhe softuerin e aplikacionit të përdorur në sistemin e informacionit janë të rëndësishme për të.

7. Përcaktimi i llojit të kërcënimeve për sigurinë e të dhënave personale të rëndësishme për sistemin e informacionit kryhet nga operatori duke marrë parasysh vlerësimin e dëmit të mundshëm të kryer në përputhje me paragrafin 5 të pjesës 1 të nenit 18.1 të Ligjit Federal. "Për të dhënat personale", dhe në përputhje me aktet ligjore rregullatore të miratuara në zbatim të pjesës 5 të nenit 19 të ligjit federal "Për të dhënat personale".

8. Gjatë përpunimit të të dhënave personale në sistemet e informacionit, vendosen 4 nivele të sigurisë së të dhënave personale.

9. Nevoja për të garantuar nivelin e parë të sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemin e informacionit përcaktohet nëse ekziston të paktën një nga kushtet e mëposhtme:

a) kërcënimet e tipit 1 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon ose kategori të veçanta të të dhënave personale, ose të dhëna personale biometrike, ose kategori të tjera të dhënash personale;

b) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të veçanta të të dhënave personale të më shumë se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit.

10. Nevoja për të siguruar nivelin e dytë të sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemin e informacionit përcaktohet nëse ekziston të paktën një nga kushtet e mëposhtme:

a) kërcënimet e tipit 1 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale të disponueshme publikisht;

b) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të veçanta të të dhënave personale të punonjësve të operatorit ose kategori të veçanta të të dhënave personale të më pak se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit;

c) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale biometrike;

d) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale të disponueshme publikisht të më shumë se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit;

e) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të tjera të të dhënave personale të më shumë se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit;

f) kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të veçanta të të dhënave personale të më shumë se 100 000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit.

11. Nevoja për të garantuar nivelin e 3-të të sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemin e informacionit përcaktohet nëse ekziston të paktën një nga kushtet e mëposhtme:

a) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale të disponueshme publikisht të punonjësve të operatorit ose të dhënat personale të disponueshme publikisht të më pak se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit;

b) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të tjera të të dhënave personale të punonjësve të operatorit ose kategori të tjera të të dhënave personale të më pak se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit;

c) kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të veçanta të të dhënave personale të punonjësve të operatorit ose kategori të veçanta të të dhënave personale të më pak se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit;

d) kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale biometrike;

e) kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të tjera të të dhënave personale të më shumë se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit.

12. Nevoja për të garantuar nivelin e katërt të sigurisë së të dhënave personale gjatë përpunimit të tyre në një sistem informacioni përcaktohet nëse ekziston të paktën një nga kushtet e mëposhtme:

a) kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale të disponueshme publikisht;

b) kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të tjera të të dhënave personale të punonjësve të operatorit ose kategori të tjera të të dhënave personale të më pak se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit.

13. Për të garantuar nivelin e katërt të sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit, duhet të plotësohen këto kërkesa:

a) organizimi i një regjimi sigurie për ambientet në të cilat ndodhet sistemi i informacionit, duke parandaluar mundësinë e hyrjes ose qëndrimit të pakontrolluar në këto ambiente nga persona që nuk kanë akses në këto ambiente;

b) garantimin e sigurisë së bartësve të të dhënave personale;

c) miratimin nga titullari i operatorit të një dokumenti që përcakton listën e personave, aksesi i të cilëve në të dhënat personale të përpunuara në sistemin e informacionit është i nevojshëm për kryerjen e detyrave të tyre zyrtare (të punës);

d) përdorimi i mjeteve të sigurisë së informacionit që kanë kaluar procedurën për vlerësimin e pajtueshmërisë me kërkesat e legjislacionit të Federatës Ruse në fushën e sigurisë së informacionit, në rastet kur përdorimi i mjeteve të tilla është i nevojshëm për të neutralizuar kërcënimet aktuale.

14. Për të garantuar nivelin e tretë të sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit, përveç plotësimit të kërkesave të parashikuara në pikën 13 të këtij dokumenti, është e nevojshme që të caktohet një zyrtar (punonjës) përgjegjës për garantimin e sigurisë. të të dhënave personale në sistemin e informacionit.

15. Për të garantuar nivelin e dytë të sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit, përveç përmbushjes së kërkesave të parashikuara në pikën 14 të këtij dokumenti, është e nevojshme që qasja në përmbajtjen e regjistrit të mesazheve elektronike të jetë e mundur vetëm për zyrtarët (punonjësit) e operatorit ose një person të autorizuar, për të cilin informacioni i përfshirë në ditarin e specifikuar është i nevojshëm për kryerjen e detyrave zyrtare (të punës).

16. Për të garantuar nivelin e parë të sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit, krahas kërkesave të parashikuara në pikën 15 të këtij dokumenti, duhet të plotësohen edhe këto kërkesa:

a) regjistrimi automatik në regjistrin e sigurisë elektronike të ndryshimeve në kompetencat e punonjësit të operatorit për të hyrë në të dhënat personale të përfshira në sistemin e informacionit;

b) krijimin e një njësie strukturore përgjegjëse për garantimin e sigurisë së të dhënave personale në sistemin e informacionit, ose caktimin e funksioneve për të garantuar një siguri të tillë njërës prej njësive strukturore.

17. Monitorimi i respektimit të këtyre kërkesave organizohet dhe kryhet nga operatori (personi i autorizuar) në mënyrë të pavarur dhe (ose) me përfshirjen e personave juridikë dhe sipërmarrësve individualë në bazë kontraktuale, të licencuar për të kryer veprimtari për mbrojtjen teknike të konfidencialitetit. informacion. Kontrolli i specifikuar kryhet të paktën një herë në 3 vjet brenda afateve kohore të përcaktuara nga operatori (personi i autorizuar).

QEVERIA E FEDERATES RUSE

RRETH MIRATIVE TË KËRKESAVE

Në përputhje me nenin 19 të Ligjit Federal "Për të dhënat personale", Qeveria e Federatës Ruse vendos:

1. Miraton kërkesat bashkëlidhur për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale.

Kryetar i Qeverisë
Federata Ruse
D.MEDVEDEV

Miratuar
Rezoluta e qeverisë
Federata Ruse
datë 1 nëntor 2012 N 1119

KËRKESAT
PËR MBROJTJEN E TË DHËNAVE PERSONALE GJATË PËRPUNIMIT TË TYRE
NË SISTEME INFORMATIVE TË TË DHËNAVE PERSONALE

7. Përcaktimi i llojit të kërcënimeve për sigurinë e të dhënave personale të rëndësishme për sistemin e informacionit bëhet nga operatori duke marrë parasysh vlerësimin e dëmit të mundshëm të kryer në përputhje me paragrafin 5 të pjesës 1 të nenit 18.1 të Ligjit Federal ". Për të Dhënat Personale", dhe në përputhje me aktet rregullatore ligjore të miratuara në zbatim të pjesës 5 të nenit 19 të ligjit federal "Për të dhënat personale".

8. Gjatë përpunimit të të dhënave personale në sistemet e informacionit, vendosen 4 nivele të sigurisë së të dhënave personale.

a) kërcënimet e tipit 1 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale të disponueshme publikisht;

c) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale biometrike;

d) kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale biometrike;

a) kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale të disponueshme publikisht;

13. Për të garantuar nivelin e katërt të sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit, duhet të plotësohen këto kërkesa:

b) garantimin e sigurisë së bartësve të të dhënave personale;

QEVERIA E FEDERATES RUSE

REZOLUCION

Për miratimin e kërkesave për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale

Në përputhje me nenin 19 të Ligjit Federal "Për të Dhënat Personale", Qeveria e Federatës Ruse

vendos:

1. Miraton kërkesat bashkëlidhur për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale.

Kryetar i Qeverisë
Federata Ruse
D.Medvedev

Kërkesat për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale

MIRATUAR
Rezoluta e qeverisë
Federata Ruse
datë 1 nëntor 2012 N 1119

Një sistem informacioni është një sistem informacioni që përpunon të dhënat personale të disponueshme publikisht nëse përpunon të dhënat personale të subjekteve të të dhënave personale të marra vetëm nga burime të disponueshme publikisht të të dhënave personale të krijuara në përputhje me nenin 8 të Ligjit Federal "Për të dhënat personale".

7. Përcaktimi i llojit të kërcënimeve për sigurinë e të dhënave personale të rëndësishme për sistemin e informacionit bëhet nga operatori duke marrë parasysh vlerësimin e dëmit të mundshëm të kryer në përputhje me paragrafin 5 të pjesës 1 të nenit 18_1 të Ligjit Federal ". Për të Dhënat Personale”, dhe në përputhje me aktet rregullatore ligjore të miratuara në përputhje me Pjesën 5 të nenit 19 të Ligjit Federal "Për të Dhënat Personale".

8. Gjatë përpunimit të të dhënave personale në sistemet e informacionit, vendosen 4 nivele të sigurisë së të dhënave personale.

a) kërcënimet e tipit 1 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale të disponueshme publikisht;

c) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale biometrike;

d) kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale biometrike;

a) kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale të disponueshme publikisht;

13. Për të garantuar nivelin e katërt të sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit, duhet të plotësohen këto kërkesa:

b) garantimin e sigurisë së bartësve të të dhënave personale;

Teksti i dokumentit elektronik
përgatitur nga Kodeks sh.a dhe verifikuar kundër.