bahay Pagbawi

Resolusyon sa pag-apruba ng mga kinakailangan para sa proteksyon ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ng personal na data - Rossiyskaya Gazeta. Mga antas ng proteksyon ng personal na data sa halip na mga klase Dekreto ng Pamahalaan 1119

Ang Dekreto ng Pamahalaan ng Russian Federation No. 1119 ng Nobyembre 1, 2012 ay nagbaon ng mga klase ng mga sistema ng impormasyon ng personal na data na naging pamilyar na sa lahat.

Sa lugar ng mga klase, ayon sa bagong resolusyon, apat na antas ng seguridad ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon at mga kinakailangan para sa bawat isa sa kanila ay itinatag. Ang pagtatalaga ng mga sistema ng impormasyon sa isang partikular na antas ng seguridad ay ginawa depende sa uri ng personal na data na pinoproseso ng system ng impormasyon, ang uri ng kasalukuyang mga banta, ang bilang ng mga paksa ng personal na data na naproseso ng sistema ng impormasyon, at ang personal na data kung saan contingent ay naproseso.

Ang mga sistema ng impormasyon ng personal na data (PDIS), ayon sa talata 5 ng Resolution No. 1119, ay nahahati sa 4 na grupo:

Espesyal na ISPD
kung ang ISPD ay nagpoproseso ng personal na data na may kaugnayan sa lahi, nasyonalidad, pananaw sa politika, relihiyon o pilosopikal na paniniwala, katayuan sa kalusugan, matalik na buhay ng mga paksa ng personal na data;
Biometric ISPD
kung ang ISPD ay nagpoproseso ng impormasyon na nagpapakilala sa physiological at biological na mga katangian ng isang tao, batay sa kung saan ang kanyang pagkakakilanlan ay maaaring maitatag at kung saan ay ginagamit ng operator upang maitaguyod ang pagkakakilanlan ng paksa ng personal na data, at impormasyon na nauugnay sa mga espesyal na kategorya ng personal na data ay hindi naproseso;
Pampublikong ISPD
kung ang ISPD ay nagpoproseso ng personal na data ng mga paksa ng personal na data na nakuha lamang mula sa magagamit na publiko na mga mapagkukunan ng personal na data na nilikha alinsunod sa Artikulo 8 ng Pederal na Batas "Sa Personal na Data";
Iba pang ISPDn
kung ang ISPD ay nagpoproseso ng personal na data ng mga personal na paksa ng data na hindi kinakatawan sa tatlong nakaraang grupo.

Batay sa anyo ng ugnayan sa pagitan ng iyong organisasyon at ng mga paksa, ang pagproseso ay nahahati sa 2 uri:

pagproseso ng personal na data ng mga empleyado (mga entidad kung saan ang iyong organisasyon ay may mga relasyon sa paggawa);
pagproseso ng personal na data ng mga paksang hindi empleyado ng iyong organisasyon.

Batay sa bilang ng mga paksa na pinoproseso ang personal na data, ang Resolution No. 1119 ay tumutukoy lamang sa 2 kategorya:

mas mababa sa 100,000 mga paksa;
higit sa 100,000 mga paksa;

At sa wakas, mga uri ng kasalukuyang banta:

Ang mga banta ng Type 1 ay nauugnay sa pagkakaroon ng mga hindi idineklara (hindi dokumentado) na mga kakayahan sa software ng system na ginamit sa ISPD;
Ang mga banta ng Type 2 ay nauugnay sa pagkakaroon ng mga hindi idineklara na kakayahan sa application software na ginamit sa ISPD;
Ang mga banta ng Type 3 ay hindi nauugnay sa pagkakaroon ng mga hindi idineklara na kakayahan sa software na ginamit sa ISPD.

Walang regulasyon kung paano matukoy ang uri ng kasalukuyang mga banta. Ang mga kinakailangan ng PP-1119 ay hindi nag-aalok ng anumang mga pamamaraan o pamamaraan para sa kanilang neutralisasyon. Kung dati ay maaaring piliin ng operator na uriin ang isang karaniwang ISPD batay sa isang talahanayan o uriin ang isang espesyal na ISPD batay sa mga resulta ng isang modelo ng pagbabanta, ngayon ay wala nang pagpipilian. Ang antas ng seguridad ay palaging tinutukoy batay sa kaugnayan ng mga banta. Ang operator ay malamang na hindi matukoy ang mga ito sa kanyang sarili - kailangan niyang makipag-ugnay sa isang mas mataas na organisasyon o isang consultant. Ang pinakamadaling paraan ay ang sundin ang landas ng hindi bababa sa pagtutol, i.e. tukuyin ang uri ng kasalukuyang banta ng uri 3, at kalimutan ang tungkol sa hindi idineklara (hindi dokumentado) na mga kakayahan sa system at application software, ngunit ito ay kailangang bigyang-katwiran. Ang buong tanong ay paano?, bumabalik sa simula ng talata.
Ang paksa ng kaugnayan ng mga banta sa mga sistema ng impormasyon ng personal na data ay napakahalaga, dahil ang wastong inilarawan na mga banta ay tumutukoy kung gaano kahusay ang system ay mapoprotektahan, gayundin kung magkano ang halaga ng proteksyon para sa personal na data operator.

Kung nagpasya ka sa paunang data para sa isang partikular na ISPD, kasama ang uri ng kasalukuyang mga banta, maaari mong matukoy ang antas ng seguridad nito. Upang maginhawang matukoy ang antas ng seguridad, gamitin ang sumusunod na talahanayan, na batay sa PP-1119:

Uri ng ISPDn	Mga empleyado ng operator	Bilang ng mga paksa	Uri ng kasalukuyang pagbabanta
			1 (NDV OS)	2 (NDV PO)	3 (Walang NDV)
ISPDn-S (espesyal)	Hindi	> 100 000	UZ-1	UZ-1	UZ-2
	Hindi	< 100 000	UZ-1	UZ-2	UZ-3
	Oo
ISPDn-B (biometric)			UZ-1	UZ-2	UZ-3
ISPDn-I (iba)	Hindi	> 100 000	UZ-1	UZ-2	UZ-3
	Hindi	< 100 000	UZ-2	UZ-3	UZ-4
	Oo
ISPDn-O (pampubliko)	Hindi	> 100 000	UZ-2	UZ-2	UZ-4
	Hindi	< 100 000	UZ-2	UZ-3	UZ-4
	Oo

Depende sa napiling antas ng seguridad ng PD, tinukoy ng PP-1119 ang isang bilang ng mga kinakailangan para sa proteksyon ng personal na data, na inayos at isinasagawa ng operator (awtorisadong tao) nang nakapag-iisa at (o) kasama ng mga legal na entity at indibidwal. mga negosyante sa isang kontraktwal na batayan, pagkakaroon ng lisensya upang magsagawa ng mga aktibidad sa teknikal na proteksyon ng kumpidensyal na impormasyon. Ang pagsubaybay sa pagsunod sa mga kinakailangan ay dapat isagawa nang hindi bababa sa isang beses bawat 3 taon sa loob ng takdang panahon na tinutukoy ng operator (awtorisadong tao).

Mga kinakailangan	Mga antas seguridad
Mga kinakailangan
Organisasyon ng isang rehimeng pangseguridad para sa mga lugar kung saan matatagpuan ang sistema ng impormasyon, na pumipigil sa posibilidad ng hindi makontrol na pagpasok o pananatili sa mga lugar na ito ng mga taong walang access sa mga lugar na ito	+	+	+	+
Tinitiyak ang kaligtasan ng mga carrier ng personal na data	+	+	+	+
Ang pag-apruba ng pinuno ng operator ng isang dokumento na tumutukoy sa listahan ng mga tao na ang pag-access sa personal na data na naproseso sa sistema ng impormasyon ay kinakailangan para sa pagganap ng kanilang opisyal (paggawa) na mga tungkulin	+	+	+	+
Ang paggamit ng mga tool sa seguridad ng impormasyon na pumasa sa pamamaraan para sa pagtatasa ng pagsunod sa mga kinakailangan ng batas ng Russian Federation sa larangan ng seguridad ng impormasyon, sa mga kaso kung saan ang paggamit ng mga naturang tool ay kinakailangan upang neutralisahin ang mga kasalukuyang banta	+	+	+	+
Paghirang ng isang opisyal na responsable para sa pagtiyak ng seguridad ng personal na data sa ISPD	+	+	+	-
Paghihigpit sa pag-access sa mga nilalaman ng log ng elektronikong mensahe	+	+	-	-
Awtomatikong pagpaparehistro sa electronic security log ng mga pagbabago sa mga kapangyarihan ng empleyado ng operator upang ma-access ang personal na data na nilalaman sa sistema ng impormasyon	+	-	-	-
Paglikha ng isang istrukturang yunit na responsable para sa pagtiyak ng seguridad ng personal na data sa sistema ng impormasyon, o pagtatalaga ng mga function upang matiyak ang naturang seguridad sa isa sa mga istrukturang yunit	+	-	-	-

Ang pagkakaroon ng pagpapasya sa mga kinakailangan para sa proteksyon ng personal na data alinsunod sa PP-1119, maaari kang magpatuloy sa pagpili ng mga organisasyonal at teknikal na mga hakbang upang matiyak ang seguridad ng personal na data, batay sa mga kinakailangan ng Order No. 21 ng FSTEC ng Russia na may petsang Pebrero 18, 2013. naglalayong neutralisahin ang mga kasalukuyang banta sa seguridad ng personal na data.

Ano ang gagawin sa mga tool sa seguridad ng impormasyon, mga sertipiko na dati nang inisyu para sa ilang mga klase ng ISPD?

Alinsunod sa mensahe ng impormasyon ng FSTEC ng Russia na may petsang Nobyembre 20, 2012 N 240/24/4669 "Sa mga tampok ng proteksyon ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ng personal na data at sertipikasyon ng mga tool sa seguridad ng impormasyon na nilayon para sa proteksyon. ng personal na data", mga sertipiko ng pagsang-ayon na inisyu ng FSTEC ng Russia, bago ang pagpasok sa puwersa ng regulasyong ligal na aksyon ng FSTEC ng Russia (ibig sabihin ang Order No. 21), na nagtatatag ng komposisyon at nilalaman ng mga pang-organisasyon at teknikal na mga hakbang upang matiyak ang seguridad ng ang personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ng personal na data, ay hindi napapailalim sa muling pagpaparehistro.
Ang mga tool sa seguridad ng impormasyon na maaaring magamit upang protektahan ang personal na data na naproseso sa mga sistema ng impormasyon ng personal na data ng klase 1 ay maaaring gamitin upang matiyak ang seguridad ng personal na data na naproseso sa mga sistema ng impormasyon ng personal na data hanggang sa antas 1 kasama;
Ang mga tool sa seguridad ng impormasyon na maaaring magamit upang protektahan ang personal na data na naproseso sa klase 2 mga sistema ng impormasyon ng personal na data ay maaaring gamitin upang matiyak ang antas 4 na seguridad ng personal na data na naproseso sa mga sistema ng impormasyon ng personal na data.

GOBYERNO NG RUSSIAN FEDERATION

RESOLUSYON

Sa pag-apruba ng Mga Regulasyon sa pagtiyak ng seguridad ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ng personal na data

Nawala ang puwersa noong Nobyembre 15, 2012 batay sa
mga resolusyon ng Pamahalaan ng Russian Federation
napetsahan noong Nobyembre 1, 2012 N 1119
____________________________________________________________________

Alinsunod sa Artikulo 19 ng Pederal na Batas "Sa Personal na Data", ang Pamahalaan ng Russian Federation

nagpasya:

1. Aprubahan ang mga nakalakip na Regulasyon sa pagtiyak ng seguridad ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ng personal na data.

2. Ang Federal Security Service ng Russian Federation at ang Federal Service for Technical and Export Control ay dapat mag-apruba, sa loob ng kanilang kakayahan, sa loob ng 3-buwang panahon, ang mga regulasyong ligal na aksyon at mga metodolohikal na dokumento na kinakailangan upang matupad ang mga iniaatas na ibinigay ng Mga Regulasyon inaprubahan ng resolusyong ito.

Tagapangulo ng Pamahalaan
Pederasyon ng Russia

Mga regulasyon sa pagtiyak ng seguridad ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ng personal na data

APPROVED
Resolusyon ng gobyerno
Pederasyon ng Russia
napetsahan noong Nobyembre 17, 2007 N 781

1. Ang Mga Regulasyon na ito ay nagtatatag ng mga kinakailangan para sa pagtiyak ng seguridad ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ng personal na data, na isang koleksyon ng personal na data na nilalaman sa mga database, pati na rin ang mga teknolohiya ng impormasyon at teknikal na paraan na nagpapahintulot sa pagproseso ng naturang personal na data gamit ang mga tool sa automation (mula dito ay tinutukoy bilang mga sistema ng impormasyon). *1)

Ang mga teknikal na paraan na nagpapahintulot sa pagproseso ng personal na data ay nauunawaan bilang mga pasilidad ng computer, impormasyon at computing complex at network, paraan at sistema para sa pagpapadala, pagtanggap at pagproseso ng personal na data (paraan at mga sistema para sa sound recording, sound amplification, sound reproduction, intercom at telebisyon mga aparato, paraan ng pagmamanupaktura, pagkopya ng dokumento at iba pang teknikal na paraan ng pagproseso ng pagsasalita, graphic, video at alphanumeric na impormasyon), software (mga operating system, database management system, atbp.), mga tool sa seguridad ng impormasyon na ginagamit sa mga sistema ng impormasyon.

2. Ang seguridad ng personal na data ay nakakamit sa pamamagitan ng pagbubukod ng hindi awtorisado, kabilang ang hindi sinasadya, pag-access sa personal na data, na maaaring magresulta sa pagkasira, pagbabago, pagharang, pagkopya, pamamahagi ng personal na data, pati na rin ang iba pang hindi awtorisadong pagkilos.

Ang seguridad ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ay sinisiguro gamit ang isang sistema ng proteksyon ng personal na data, kabilang ang mga hakbang sa organisasyon at paraan ng pagprotekta ng impormasyon (kabilang ang mga paraan ng pag-encrypt (cryptographic), paraan ng pagpigil sa hindi awtorisadong pag-access, pagtagas ng impormasyon sa pamamagitan ng mga teknikal na channel, software at epekto ng hardware sa mga teknikal na paraan para sa pagproseso ng personal na data), pati na rin ang mga teknolohiya ng impormasyon na ginagamit sa sistema ng impormasyon. Dapat matugunan ng hardware at software ang mga kinakailangan na itinatag alinsunod sa batas ng Russian Federation upang matiyak ang proteksyon ng impormasyon.

Upang matiyak ang seguridad ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon, ang proteksyon ay ibinibigay para sa impormasyon sa pagsasalita at impormasyon na naproseso ng mga teknikal na paraan, pati na rin ang impormasyong ipinakita sa anyo ng mga nagbibigay-kaalaman na mga signal ng kuryente, pisikal na mga patlang, media sa papel, magnetic, magneto -optical at iba pang mga base.

3. Ang mga pamamaraan at paraan ng pagprotekta ng impormasyon sa mga sistema ng impormasyon ay itinatag ng Federal Service for Technical and Export Control at ng Federal Security Service ng Russian Federation sa loob ng mga limitasyon ng kanilang mga kapangyarihan. *3.1)

Ang kasapatan ng mga hakbang na ginawa upang matiyak ang seguridad ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ay tinasa sa panahon ng kontrol at pangangasiwa ng estado.

4. Ang trabaho upang matiyak ang seguridad ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ay isang mahalagang bahagi ng gawain sa paglikha ng mga sistema ng impormasyon.

5. Ang mga tool sa seguridad ng impormasyon na ginagamit sa mga sistema ng impormasyon ay sumasailalim sa isang pamamaraan ng pagtatasa ng pagsunod alinsunod sa itinatag na pamamaraan.

6. Ang mga sistema ng impormasyon ay inuri ayon sa mga katawan ng estado, mga munisipal na katawan, mga legal na entidad o mga indibidwal na nag-oorganisa at (o) nagsasagawa ng pagproseso ng personal na data, pati na rin ang pagtukoy sa mga layunin at nilalaman ng pagproseso ng personal na data (mula rito ay tinutukoy bilang ang operator), depende sa dami ng personal na data na pinoproseso nila at mga banta sa seguridad sa mahahalagang interes ng indibidwal, lipunan at estado.

Ang pamamaraan para sa pag-uuri ng mga sistema ng impormasyon ay magkasamang itinatag ng Federal Service for Technical and Export Control, ng Federal Security Service ng Russian Federation at ng Ministry of Information Technologies and Communications ng Russian Federation.*6.2)

7. Ang pagpapalitan ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ay isinasagawa sa pamamagitan ng mga channel ng komunikasyon, ang proteksyon nito ay sinisiguro sa pamamagitan ng pagpapatupad ng naaangkop na mga hakbang sa organisasyon at (o) sa pamamagitan ng paggamit ng mga teknikal na paraan.

8. Ang paglalagay ng mga sistema ng impormasyon, mga espesyal na kagamitan at seguridad ng mga lugar kung saan ang pagtatrabaho sa personal na data ay isinasagawa, ang organisasyon ng isang rehimeng pangseguridad sa mga lugar na ito ay dapat tiyakin ang kaligtasan ng mga tagapagdala ng personal na data at mga paraan ng seguridad ng impormasyon, at hindi rin kasama ang posibilidad ng hindi makontrol na pagpasok o pagkakaroon ng mga estranghero sa mga lugar na ito ng mga tao

9. Ang mga posibleng channel ng pagtagas ng impormasyon sa panahon ng pagproseso ng personal na data sa mga sistema ng impormasyon ay tinutukoy ng Federal Service for Technical and Export Control at ng Federal Security Service ng Russian Federation sa loob ng mga limitasyon ng kanilang mga kapangyarihan.

10. Ang seguridad ng personal na data kapag naproseso sa sistema ng impormasyon ay sinisiguro ng operator o ng tao kung kanino, sa batayan ng isang kasunduan, ipinagkatiwala ng operator ang pagproseso ng personal na data (mula rito ay tinutukoy bilang awtorisadong tao). Ang isang mahalagang kondisyon ng kontrata ay ang obligasyon ng awtorisadong tao na tiyakin ang pagiging kumpidensyal ng personal na data at ang seguridad ng personal na data kapag naproseso sa sistema ng impormasyon.

11. Kapag nagpoproseso ng personal na data sa sistema ng impormasyon, dapat tiyakin ang mga sumusunod:

a) pagsasagawa ng mga hakbang na naglalayong pigilan ang hindi awtorisadong pag-access sa personal na data at (o) ang kanilang paglipat sa mga taong walang karapatang ma-access ang naturang impormasyon;

b) napapanahong pagtuklas ng mga katotohanan ng hindi awtorisadong pag-access sa personal na data;

c) pagpigil sa impluwensya sa mga teknikal na paraan ng awtomatikong pagproseso ng personal na data, bilang isang resulta kung saan ang kanilang paggana ay maaaring maputol;

d) ang posibilidad ng agarang pagpapanumbalik ng personal na data na binago o nawasak dahil sa hindi awtorisadong pag-access dito;

e) patuloy na pagsubaybay sa pagtiyak ng antas ng seguridad ng personal na data.

12. Ang mga hakbang upang matiyak ang seguridad ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ay kinabibilangan ng:

a) pagkilala sa mga banta sa seguridad ng personal na data sa panahon ng kanilang pagproseso, pagbuo ng isang modelo ng pagbabanta batay sa kanila;

b) pagbuo, batay sa modelo ng pagbabanta, ng isang sistema ng proteksyon ng personal na data na nagsisiguro sa neutralisasyon ng mga pinaghihinalaang pagbabanta gamit ang mga pamamaraan at pamamaraan para sa pagprotekta ng personal na data na ibinigay para sa kaukulang klase ng mga sistema ng impormasyon;

c) pagsuri sa kahandaan ng mga tool sa seguridad ng impormasyon para magamit sa pagguhit ng mga konklusyon sa posibilidad ng kanilang operasyon;

d) pag-install at pag-commissioning ng mga paraan ng seguridad ng impormasyon alinsunod sa pagpapatakbo at teknikal na dokumentasyon;

e) pagsasanay ng mga taong gumagamit ng mga tool sa seguridad ng impormasyon na ginagamit sa mga sistema ng impormasyon sa mga patakaran ng pakikipagtulungan sa kanila;

f) accounting ng mga paraan ng proteksyon ng impormasyon na ginamit, pagpapatakbo at teknikal na dokumentasyon para sa kanila, mga personal na data carrier;

g) accounting ng mga taong awtorisadong magtrabaho kasama ang personal na data sa sistema ng impormasyon;

h) kontrol sa pagsunod sa mga kondisyon para sa paggamit ng mga tool sa seguridad ng impormasyon na ibinigay para sa pagpapatakbo at teknikal na dokumentasyon;

i) pagsisiyasat at pagbubuo ng mga konklusyon sa mga katotohanan ng hindi pagsunod sa mga kondisyon ng imbakan ng mga personal na data carrier, ang paggamit ng mga hakbang sa seguridad ng impormasyon na maaaring humantong sa isang paglabag sa pagiging kompidensyal ng personal na data o iba pang mga paglabag na humahantong sa pagbaba sa antas ng seguridad ng personal na data, pag-unlad at pagpapatibay ng mga hakbang upang maiwasan ang mga posibleng mapanganib na kahihinatnan ng naturang mga paglabag;

j) paglalarawan ng sistema ng proteksyon ng personal na data.

13. Upang bumuo at magpatupad ng mga hakbang upang matiyak ang seguridad ng personal na data sa panahon ng kanilang pagproseso sa sistema ng impormasyon, ang isang operator o isang awtorisadong tao ay maaaring humirang ng isang istrukturang yunit o opisyal (empleyado) na responsable para sa pagtiyak ng seguridad ng personal na data.

14. Ang mga tao na ang pag-access sa personal na data na naproseso sa sistema ng impormasyon ay kinakailangan upang maisagawa ang mga opisyal (paggawa) na mga tungkulin ay pinapayagang ma-access ang may-katuturang personal na data sa batayan ng isang listahan na inaprubahan ng operator o awtorisadong tao.

15. Ang mga kahilingan mula sa mga gumagamit ng sistema ng impormasyon upang makakuha ng personal na data, kabilang ang mga taong tinukoy sa talata 14 ng Mga Regulasyon na ito, pati na rin ang mga katotohanan ng pagbibigay ng personal na data sa mga kahilingang ito ay nakarehistro sa pamamagitan ng awtomatikong paraan ng sistema ng impormasyon sa electronic log ng mga kahilingan. Ang mga nilalaman ng electronic log ng mga kahilingan ay pana-panahong sinusuri ng mga may-katuturang opisyal (mga empleyado) ng operator o awtorisadong tao.

16. Kung ang mga paglabag sa pamamaraan para sa pagbibigay ng personal na data ay nakita, ang operator o awtorisadong tao ay dapat na agad na suspindihin ang pagbibigay ng personal na data sa mga gumagamit ng sistema ng impormasyon hanggang sa matukoy ang mga sanhi ng mga paglabag at ang mga dahilan na ito ay maalis.

17. Ang pagpapatupad ng mga kinakailangan para sa pagtiyak ng seguridad ng impormasyon sa mga tool sa seguridad ng impormasyon ay nakasalalay sa kanilang mga developer.

Kaugnay ng binuong encryption (cryptographic) na mga tool sa seguridad ng impormasyon na idinisenyo upang matiyak ang seguridad ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon, ang mga case study at control case study ay isinasagawa upang ma-verify ang pagsunod sa mga kinakailangan sa seguridad ng impormasyon. Sa kasong ito, ang mga pag-aaral ng kaso ay nauunawaan bilang cryptographic, engineering-cryptographic at mga espesyal na pag-aaral ng mga tool sa seguridad ng impormasyon at espesyal na trabaho sa mga teknikal na paraan ng mga sistema ng impormasyon, at ang mga control case study ay pana-panahong isinasagawa ang mga case study.

Ang mga partikular na deadline para sa pagsasagawa ng mga control case study ay tinutukoy ng Federal Security Service ng Russian Federation.

18. Ang mga resulta ng pagtatasa ng conformity at (o) mga pag-aaral ng kaso ng mga tool sa seguridad ng impormasyon na idinisenyo upang matiyak ang seguridad ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ay tinasa sa panahon ng pagsusuri na isinasagawa ng Federal Service for Technical and Export Control at ng Federal Security Service ng Russian Federation sa loob ng kanilang mga kapangyarihan.

19. Ang mga hakbang sa seguridad ng impormasyon na nilayon upang matiyak ang seguridad ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ay sinamahan ng mga patakaran para sa paggamit ng mga paraan na ito, na napagkasunduan sa Federal Service for Technical and Export Control at ng Federal Security Service ng Russian Federation sa loob ng limitasyon ng kanilang kapangyarihan.

Ang mga pagbabago sa mga kondisyon para sa paggamit ng mga paraan ng proteksyon ng impormasyon na itinakda ng mga patakarang ito ay napagkasunduan sa mga pederal na ehekutibong awtoridad na ito sa loob ng mga limitasyon ng kanilang mga kapangyarihan.

20. Ang mga hakbang sa seguridad ng impormasyon na idinisenyo upang matiyak ang seguridad ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ay napapailalim sa accounting gamit ang mga index o pangalan ng code at mga numero ng pagpaparehistro. Ang listahan ng mga indeks, pangalan ng code at numero ng pagpaparehistro ay tinutukoy ng Federal Service for Technical and Export Control at ng Federal Security Service ng Russian Federation sa loob ng mga limitasyon ng kanilang mga kapangyarihan.

21. Ang mga tampok ng pag-unlad, paggawa, pagpapatupad at pagpapatakbo ng encryption (cryptographic) na paraan ng proteksyon ng impormasyon at ang pagkakaloob ng mga serbisyo para sa pag-encrypt ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ay itinatag ng Federal Security Service ng Russian Federation.

Teksto ng elektronikong dokumento
inihanda ng Kodeks JSC at na-verify laban sa:
Koleksyon ng batas
Pederasyon ng Russia,
N 48, 26.11.2007, art. 6001

Dekreto ng Pamahalaan ng Russian Federation noong Nobyembre 1, 2012 N 1119
"Sa pag-apruba ng mga kinakailangan para sa proteksyon ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ng personal na data"

Alinsunod sa Artikulo 19 ng Pederal na Batas "Sa Personal na Data", ang Pamahalaan ng Russian Federation ay nagpasya:

1. Aprubahan ang mga kalakip na kinakailangan para sa proteksyon ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ng personal na data.

2. Kilalanin bilang hindi wasto ang Dekreto ng Pamahalaan ng Russian Federation noong Nobyembre 17, 2007 N 781 "Sa pag-apruba ng Mga Regulasyon sa pagtiyak ng seguridad ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ng personal na data" (Collected Legislation of the Russian Federation , 2007, N 48, Art. 6001) .

Mga kinakailangan
sa proteksyon ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ng personal na data
(inaprubahan ng Decree of the Government of the Russian Federation ng Nobyembre 1, 2012 N 1119)

1. Ang dokumentong ito ay nagtatatag ng mga kinakailangan para sa proteksyon ng personal na data kapag naproseso sa mga sistema ng impormasyon ng personal na data (mula rito ay tinutukoy bilang mga sistema ng impormasyon) at ang mga antas ng seguridad ng naturang data.

2. Ang seguridad ng personal na data kapag naproseso sa sistema ng impormasyon ay sinisiguro gamit ang isang sistema ng proteksyon ng personal na data na neutralisahin ang mga kasalukuyang banta na natukoy alinsunod sa Bahagi 5 ng Artikulo 19

Kasama sa sistema ng proteksyon ng personal na data ang pang-organisasyon at (o) mga teknikal na hakbang na tinutukoy na isinasaalang-alang ang mga kasalukuyang banta sa seguridad ng personal na data at mga teknolohiya ng impormasyon na ginagamit sa mga sistema ng impormasyon.

3. Ang seguridad ng personal na data kapag naproseso sa isang sistema ng impormasyon ay sinisiguro ng operator ng system na ito, na nagpoproseso ng personal na data (mula rito ay tinutukoy bilang operator), o ng taong nagpoproseso ng personal na data sa ngalan ng operator batay sa ng isang kasunduan na natapos sa taong ito (mula rito ay tinutukoy bilang ang awtorisadong tao). Ang kasunduan sa pagitan ng operator at ng awtorisadong tao ay dapat magbigay para sa obligasyon ng awtorisadong tao na tiyakin ang seguridad ng personal na data kapag naproseso sa sistema ng impormasyon.

4. Ang pagpili ng paraan ng seguridad ng impormasyon para sa sistema ng proteksyon ng personal na data ay isinasagawa ng operator alinsunod sa mga regulasyong legal na kilos na pinagtibay ng Federal Security Service ng Russian Federation at ng Federal Service for Technical and Export Control alinsunod sa Bahagi 4 ng Artikulo 19 ng Pederal na Batas "Sa Personal na Data".

5. Ang sistema ng impormasyon ay isang sistema ng impormasyon na nagpoproseso ng mga espesyal na kategorya ng personal na data kung nagpoproseso ito ng personal na data na may kaugnayan sa lahi, nasyonalidad, pananaw sa politika, relihiyon o pilosopikal na paniniwala, katayuan sa kalusugan, matalik na buhay ng mga paksa ng personal na data.

Ang isang sistema ng impormasyon ay isang sistema ng impormasyon na nagpoproseso ng biometric na personal na data kung nagpoproseso ito ng impormasyon na nagpapakilala sa mga katangian ng pisyolohikal at biyolohikal ng isang tao, batay sa kung saan maaaring maitatag ng isang tao ang kanyang pagkakakilanlan at ginagamit ng operator upang maitatag ang pagkakakilanlan ng paksa ng personal na data, at hindi nagpoproseso ng impormasyong nauugnay sa mga espesyal na kategorya ng personal na data.

Ang isang sistema ng impormasyon ay isang sistema ng impormasyon na nagpoproseso ng personal na data na magagamit sa publiko kung nagpoproseso ito ng personal na data ng mga paksa ng personal na data na nakuha lamang mula sa mga mapagkukunan ng personal na data na magagamit sa publiko na nilikha alinsunod sa Artikulo 8 ng Pederal na Batas "Sa Personal na Data".

Ang sistema ng impormasyon ay isang sistema ng impormasyon na nagpoproseso ng iba pang mga kategorya ng personal na data, kung hindi nito pinoproseso ang personal na data na tinukoy sa mga talata isa hanggang tatlo ng talatang ito.

Ang sistema ng impormasyon ay isang sistema ng impormasyon na nagpoproseso ng personal na data ng mga empleyado ng operator kung pinoproseso lamang nito ang personal na data ng mga tinukoy na empleyado. Sa ibang mga kaso, ang sistema ng impormasyon ng personal na data ay isang sistema ng impormasyon na nagpoproseso ng personal na data ng mga paksa ng personal na data na hindi mga empleyado ng operator.

6. Ang mga kasalukuyang banta sa seguridad ng personal na data ay nauunawaan bilang isang hanay ng mga kundisyon at salik na lumilikha ng kasalukuyang panganib ng hindi awtorisado, kabilang ang hindi sinasadya, pag-access sa personal na data sa panahon ng kanilang pagproseso sa isang sistema ng impormasyon, na maaaring magresulta sa pagkasira, pagbabago, pagharang, pagkopya, pagbibigay, pamamahagi ng personal na data, pati na rin ang iba pang mga ilegal na aksyon.

Ang mga banta ng Type 1 ay may kaugnayan sa isang sistema ng impormasyon kung ang mga banta na nauugnay sa pagkakaroon ng mga hindi dokumentado (hindi idineklara) na mga kakayahan sa software ng system na ginamit sa sistema ng impormasyon ay may kaugnayan din dito.

Ang mga banta ng ika-2 uri ay may kaugnayan para sa isang sistema ng impormasyon kung ang mga banta na nauugnay sa pagkakaroon ng hindi dokumentado (hindi idineklara) na mga kakayahan sa software ng application na ginamit sa sistema ng impormasyon ay may kaugnayan din para dito.

Ang mga uri ng 3 na pagbabanta ay may kaugnayan sa isang sistema ng impormasyon kung ang mga banta na hindi nauugnay sa pagkakaroon ng mga hindi dokumentado (hindi idineklara) na mga kakayahan sa system at software ng application na ginamit sa sistema ng impormasyon ay may kaugnayan dito.

7. Ang pagpapasiya ng uri ng mga banta sa seguridad ng personal na data na may kaugnayan sa sistema ng impormasyon ay isinasagawa ng operator na isinasaalang-alang ang pagtatasa ng posibleng pinsala na isinagawa alinsunod sa talata 5 ng bahagi 1 ng Artikulo 18.1 ng Pederal na Batas "Sa Personal na Data", at alinsunod sa mga regulasyong ligal na kilos na pinagtibay alinsunod sa Bahagi 5 ng Artikulo 19 ng Pederal na Batas "Sa Personal na Data".

8. Kapag nagpoproseso ng personal na data sa mga sistema ng impormasyon, 4 na antas ng seguridad ng personal na data ang itinatag.

9. Ang pangangailangang tiyakin ang unang antas ng seguridad ng personal na data kapag naproseso sa isang sistema ng impormasyon ay itinatag kung mayroon man lamang isa sa mga sumusunod na kundisyon:

a) uri 1 na mga banta ay may kaugnayan sa sistema ng impormasyon at ang sistema ng impormasyon ay nagpoproseso ng alinman sa mga espesyal na kategorya ng personal na data, o biometric na personal na data, o iba pang mga kategorya ng personal na data;

b) ang uri 2 na banta ay may kaugnayan sa sistema ng impormasyon at ang sistema ng impormasyon ay nagpoproseso ng mga espesyal na kategorya ng personal na data ng higit sa 100,000 personal na mga paksa ng data na hindi empleyado ng operator.

10. Ang pangangailangan upang matiyak ang ika-2 antas ng seguridad ng personal na data kapag pinoproseso ito sa sistema ng impormasyon ay itinatag kung ang hindi bababa sa isa sa mga sumusunod na kondisyon ay naroroon:

a) ang mga uri 1 na banta ay may kaugnayan sa sistema ng impormasyon at ang sistema ng impormasyon ay nagpoproseso ng personal na data na magagamit sa publiko;

b) ang mga uri ng 2 na banta ay may kaugnayan sa sistema ng impormasyon at ang sistema ng impormasyon ay nagpoproseso ng mga espesyal na kategorya ng personal na data ng mga empleyado ng operator o mga espesyal na kategorya ng personal na data na mas mababa sa 100,000 mga paksa ng personal na data na hindi mga empleyado ng operator;

c) uri 2 banta ay may kaugnayan sa sistema ng impormasyon at ang sistema ng impormasyon ay nagpoproseso ng biometric na personal na data;

d) ang mga uri ng 2 na banta ay may kaugnayan sa sistema ng impormasyon at ang sistema ng impormasyon ay nagpoproseso ng personal na data na magagamit sa publiko ng higit sa 100,000 mga paksa ng personal na data na hindi mga empleyado ng operator;

e) ang mga uri ng 2 na banta ay may kaugnayan sa sistema ng impormasyon at ang sistema ng impormasyon ay nagpoproseso ng iba pang mga kategorya ng personal na data ng higit sa 100,000 mga paksa ng personal na data na hindi mga empleyado ng operator;

f) ang mga uri ng 3 na banta ay may kaugnayan para sa sistema ng impormasyon at ang sistema ng impormasyon ay nagpoproseso ng mga espesyal na kategorya ng personal na data ng higit sa 100,000 mga paksa ng personal na data na hindi mga empleyado ng operator.

11. Ang pangangailangan upang matiyak ang ika-3 antas ng seguridad ng personal na data sa panahon ng kanilang pagpoproseso sa sistema ng impormasyon ay itinatag kung ang hindi bababa sa isa sa mga sumusunod na kondisyon ay naroroon:

a) ang mga uri ng 2 na banta ay may kaugnayan sa sistema ng impormasyon at ang sistema ng impormasyon ay nagpoproseso ng personal na data ng mga empleyado ng operator o available sa publiko na personal na data na mas mababa sa 100,000 personal na data subject na hindi empleyado ng operator;

b) ang mga uri ng 2 na banta ay may kaugnayan sa sistema ng impormasyon at ang sistema ng impormasyon ay nagpoproseso ng iba pang mga kategorya ng personal na data ng mga empleyado ng operator o iba pang mga kategorya ng personal na data na mas mababa sa 100,000 mga paksa ng personal na data na hindi mga empleyado ng operator;

c) ang uri 3 na banta ay may kaugnayan para sa sistema ng impormasyon at ang sistema ng impormasyon ay nagpoproseso ng mga espesyal na kategorya ng personal na data ng mga empleyado ng operator o mga espesyal na kategorya ng personal na data na mas mababa sa 100,000 personal na mga paksa ng data na hindi mga empleyado ng operator;

d) uri 3 banta ay may kaugnayan sa sistema ng impormasyon at ang sistema ng impormasyon ay nagpoproseso ng biometric na personal na data;

e) ang mga uri 3 na banta ay may kaugnayan sa sistema ng impormasyon at ang sistema ng impormasyon ay nagpoproseso ng iba pang mga kategorya ng personal na data ng higit sa 100,000 personal na mga paksa ng data na hindi mga empleyado ng operator.

12. Ang pangangailangang tiyakin ang ika-4 na antas ng seguridad ng personal na data kapag pinoproseso ito sa isang sistema ng impormasyon ay naitatag kung ang hindi bababa sa isa sa mga sumusunod na kondisyon ay naroroon:

a) uri 3 banta ay may kaugnayan sa sistema ng impormasyon at ang sistema ng impormasyon ay nagpoproseso ng personal na data na magagamit sa publiko;

b) ang uri 3 na mga banta ay may kaugnayan para sa sistema ng impormasyon at ang sistema ng impormasyon ay nagpoproseso ng iba pang mga kategorya ng personal na data ng mga empleyado ng operator o iba pang mga kategorya ng personal na data na mas mababa sa 100,000 mga paksa ng personal na data na hindi mga empleyado ng operator.

13. Upang matiyak ang ika-4 na antas ng seguridad ng personal na data kapag pinoproseso ito sa mga sistema ng impormasyon, ang mga sumusunod na kinakailangan ay dapat matugunan:

a) pag-aayos ng isang rehimeng pangseguridad para sa mga lugar kung saan matatagpuan ang sistema ng impormasyon, na pumipigil sa posibilidad ng hindi makontrol na pagpasok o pananatili sa mga lugar na ito ng mga taong walang access sa mga lugar na ito;

b) tinitiyak ang kaligtasan ng mga personal na carrier ng data;

c) pag-apruba ng pinuno ng operator ng isang dokumento na tumutukoy sa listahan ng mga tao na ang pag-access sa personal na data na naproseso sa sistema ng impormasyon ay kinakailangan para sa pagganap ng kanilang mga opisyal na tungkulin (paggawa);

d) ang paggamit ng mga tool sa seguridad ng impormasyon na pumasa sa pamamaraan para sa pagtatasa ng pagsunod sa mga kinakailangan ng batas ng Russian Federation sa larangan ng seguridad ng impormasyon, sa mga kaso kung saan ang paggamit ng naturang paraan ay kinakailangan upang neutralisahin ang mga kasalukuyang banta.

14. Upang matiyak ang ika-3 antas ng seguridad ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon, bilang karagdagan sa pagtupad sa mga kinakailangan na ibinigay para sa talata 13 ng dokumentong ito, kinakailangan na ang isang opisyal (empleyado) ay mahirang na responsable para sa pagtiyak ng seguridad ng personal na data sa sistema ng impormasyon.

15. Upang matiyak ang ika-2 antas ng seguridad ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon, bilang karagdagan sa pagtupad sa mga kinakailangan na ibinigay para sa talata 14 ng dokumentong ito, kinakailangan na ang pag-access sa mga nilalaman ng log ng elektronikong mensahe ay posible lamang para sa mga opisyal (empleyado) ng operator o isang awtorisadong tao, kung kanino ang impormasyong nakapaloob sa tinukoy na journal ay kinakailangan upang maisagawa ang mga opisyal (labor) na tungkulin.

16. Upang matiyak ang unang antas ng seguridad ng personal na data kapag pinoproseso ito sa mga sistema ng impormasyon, bilang karagdagan sa mga kinakailangan na ibinigay para sa talata 15 ng dokumentong ito, ang mga sumusunod na kinakailangan ay dapat matugunan:

a) awtomatikong pagpaparehistro sa electronic security log ng mga pagbabago sa mga kapangyarihan ng empleyado ng operator na ma-access ang personal na data na nilalaman sa sistema ng impormasyon;

b) paglikha ng isang istrukturang yunit na responsable para sa pagtiyak ng seguridad ng personal na data sa sistema ng impormasyon, o pagtatalaga ng mga function upang matiyak ang naturang seguridad sa isa sa mga istrukturang yunit.

17. Ang pagsubaybay sa pagsunod sa mga iniaatas na ito ay inayos at isinasagawa ng operator (awtorisadong tao) nang nakapag-iisa at (o) kasama ng mga legal na entity at indibidwal na negosyante sa isang kontraktwal na batayan, lisensyado upang magsagawa ng mga aktibidad para sa teknikal na proteksyon ng kumpidensyal impormasyon. Ang tinukoy na kontrol ay isinasagawa nang hindi bababa sa isang beses bawat 3 taon sa loob ng mga limitasyon ng oras na tinutukoy ng operator (awtorisadong tao).

GOBYERNO NG RUSSIAN FEDERATION

TUNGKOL SA PAGPAPATIBAY NG MGA KINAKAILANGAN

Alinsunod sa Artikulo 19 ng Pederal na Batas "Sa Personal na Data", ang Pamahalaan ng Russian Federation ay nagpasya:

1. Aprubahan ang mga kalakip na kinakailangan para sa proteksyon ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ng personal na data.

Tagapangulo ng Pamahalaan
Pederasyon ng Russia
D.MEDVEDEV

Naaprubahan
Resolusyon ng gobyerno
Pederasyon ng Russia
napetsahan noong Nobyembre 1, 2012 N 1119

MGA KINAKAILANGAN
SA PROTEKSYON NG PERSONAL NA DATA SA PANAHON NG KANILANG PAGPROSESO
SA MGA SISTEMA NG IMPORMASYON NG PERSONAL NA DATA

7. Ang pagpapasiya ng uri ng mga banta sa seguridad ng personal na data na nauugnay sa sistema ng impormasyon ay ginawa ng operator na isinasaalang-alang ang pagtatasa ng posibleng pinsala na isinagawa alinsunod sa talata 5 ng bahagi 1 ng Artikulo 18.1 ng Pederal na Batas " Sa Personal na Data", at alinsunod sa mga regulasyong legal na aksyon na pinagtibay alinsunod sa Bahagi 5 ng Artikulo 19 ng Pederal na Batas "Sa Personal na Data".