Постанова про затвердження вимог щодо захисту персональних даних при їх обробці в інформаційних системах персональних даних – Російська газета. Рівні захищеності персональних даних замість класів Постанова уряду 1119

Постанова Уряду РФ №1119 від 01.11.2012 р. поховала звичні класи інформаційних систем персональних даних.

У місце класів, згідно з новою постановою, встановлюються чотири рівні захищеності персональних даних при їх обробці в інформаційних системах та вимоги для кожного з них. Віднесення інформаційних систем до того чи іншого рівня захищеності здійснюється залежно від типу персональних даних, який обробляє інформаційна система, типу актуальних загроз, кількості оброблюваних інформаційною системою суб'єктів персональних даних та від того, персональні дані якого контингенту обробляються.

Інформаційні системи персональних даних (ІСПДн), згідно з 5 пунктом Постанови №1119 поділяються на 4 групи:

Спеціальні ІСПДн
якщо в ІСПДн обробляються персональні дані стосовно расової, національної приналежності, політичних поглядів, релігійних чи філософських переконань, стану здоров'я, інтимного життя суб'єктів персональних даних;
Біометричні ІСПДн
якщо в ІСПДн обробляються відомості, що характеризують фізіологічні та біологічні особливості людини, на підставі яких можна встановити її особу та які використовуються оператором для встановлення особи суб'єкта персональних даних, та не обробляються відомості, що належать до спеціальних категорій персональних даних;
Загальнодоступні ІСПД
якщо в ИСПДн обробляються персональні дані суб'єктів персональних даних, отримані лише із загальнодоступних джерел персональних даних, створених відповідно до статті 8 Федерального закону "Про персональні дані";
Інші ІСПДн
якщо в ІСПДн обробляються персональні дані суб'єктів персональних даних, які не представлені у трьох попередніх групах.

За формою відносин між вашою організацією та суб'єктами, обробка поділяється на 2 види:

обробка персональних даних працівників (суб'єктів, з якими ваша організація пов'язана трудовими відносинами);
обробка персональних даних суб'єктів, які не є співробітниками вашої організації.

За кількістю суб'єктів, ПДн яких обробляються, Постановою №1119 визначено лише 2 категорії:

менше ніж 100 000 суб'єктів;
понад 100 000 суб'єктів;

І наостанок, типи актуальних загроз:

загрози 1-го типу пов'язані з наявністю недекларованих (недокументованих) можливостей у системному ПЗ, що використовується в ІСПДН;
загрози 2-го типу пов'язані з наявністю недекларованих можливостей у прикладному ПЗ, що використовується в ІСПДН;
Погрози 3-го типу не пов'язані з наявністю недекларованих можливостей у програмному забезпеченні, що використовується в ІСПД.

Як встановити тип актуальних загроз не регламентовано. Вимоги ПП-1119 не пропонують жодних методів та способів їх нейтралізації. Якщо раніше оператор міг вибрати класифікацію типової ІСПД за таблицею або класифікацію спеціальної ІСПД за результатами моделі загроз, то тепер вибору немає. Рівень безпеки завжди визначається, виходячи з актуальності загроз. Оператор навряд чи зможе визначити їх самостійно – доведеться звертатися до вищої організації або до консультанта. Найпростіше піти шляхом найменшого опору, тобто. визначити тип актуальної загрози 3 типу та забути про недекларовані (недокументовані) можливості в системному та прикладному програмному забезпеченні, але це необхідно буде обґрунтувати. Все питання як?, повертаючись до початку абзацу.
Тема актуальності загроз інформаційних систем персональних даних є дуже важливою, адже від правильно описаних загроз залежить, наскільки грамотно буде захищена система, а також скільки коштуватиме захист для оператора персональних даних.

Якщо Ви визначилися з вихідними даними для конкретної ІСПДн, у тому числі типом актуальних загроз, можете визначити її рівень захищеності. Для зручності визначення рівня захищеності скористайтесь наступною таблицею, яка зроблена на основі ПП-1119:

Тип ІСПДн	Співробітники оператора	Кількість суб'єктів	Тип актуальних загроз
			1 (ПДВ ОС)	2 (ПДВ ПЗ)	3 (Без ПДВ)
ІСПДн-С (спеціальні)	Ні	> 100 000	УЗ-1	УЗ-1	УЗ-2
	Ні	< 100 000	УЗ-1	УЗ-2	УЗ-3
	Так
ІСПДн-Б (біометричні)			УЗ-1	УЗ-2	УЗ-3
ІСПДн-І (інші)	Ні	> 100 000	УЗ-1	УЗ-2	УЗ-3
	Ні	< 100 000	УЗ-2	УЗ-3	УЗ-4
	Так
ІСПДн-О (загальнодоступні)	Ні	> 100 000	УЗ-2	УЗ-2	УЗ-4
	Ні	< 100 000	УЗ-2	УЗ-3	УЗ-4
	Так

Залежно від обраного рівня захищеності ПДн, ПП-1119 визначено низку вимог щодо захисту персональних даних, які організуються та проводяться оператором (уповноваженою особою) самостійно та (або) із залученням на договірній основі юридичних осіб та індивідуальних підприємців, які мають ліцензію на провадження діяльності з технічний захист конфіденційної інформації. Контроль за виконанням вимог повинен проводитися не рідше 1 разу на 3 роки у строки, що визначаються оператором (уповноваженою особою).

Вимоги	рівні захищеності
Вимоги
Організація режиму безпеки приміщень, в яких розміщена інформаційна система, що перешкоджає можливості неконтрольованого проникнення або перебування в цих приміщеннях осіб, які не мають права доступу до цих приміщень	+	+	+	+
Забезпечення безпеки носіїв персональних даних	+	+	+	+
Твердження керівником оператора документа, що визначає перелік осіб, доступ яких до персональних даних, що обробляються в інформаційній системі, необхідний для виконання ними службових (трудових) обов'язків	+	+	+	+
Використання засобів захисту інформації, які пройшли процедуру оцінки відповідності вимогам законодавства Російської Федерації у сфері забезпечення безпеки інформації, у разі, коли застосування таких засобів необхідне для нейтралізації актуальних загроз	+	+	+	+
Призначення посадової особи, відповідальної за безпеку персональних даних в ІСПДН	+	+	+	-
Обмеження доступу до електронного журналу повідомлень	+	+	-	-
Автоматична реєстрація в електронному журналі безпеки зміни повноважень співробітника оператора щодо доступу до персональних даних, що містяться в інформаційній системі	+	-	-	-
Створення структурного підрозділу, відповідального за забезпечення безпеки персональних даних в інформаційній системі, або покладання на один із структурних підрозділів функцій щодо забезпечення такої безпеки	+	-	-	-

Визначившись із вимогами захисту персональних даних відповідно до ПП-1119, можна переходити до вибору організаційних та технічних заходів щодо забезпечення безпеки персональних даних, виходячи з вимог Наказу ФСТЕК Росії №21 від 18.02.2013р. , спрямованих на нейтралізацію актуальних загроз безпеці персональних даних

Що робити із засобами захисту інформації, мережіфікати на які були видані раніше для певних класів ІСПДн?

Відповідно до інформаційного повідомлення ФСТЕК Росії від 20 листопада 2012 р. N 240/24/4669 "Про особливості захисту персональних даних при їх обробці в інформаційних системах персональних даних та сертифікацію засобів захисту інформації, призначених для захисту персональних даних", сертифікати відповідності, видані ФСТЭК Росії до набрання чинності нормативного правового акта ФСТЭК Росії (мається на увазі Наказ №21), що встановлює склад та зміст організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних, переоформленню не підлягають.
Засоби захисту інформації, які можуть використовуватись для захисту персональних даних, що обробляються в інформаційних системах персональних даних 1 класу, можуть застосовуватися для забезпечення захищеності персональних даних, що обробляються в інформаційних системах персональних даних, до 1 рівня включно;
Засоби захисту інформації, які можуть бути використані для захисту персональних даних, що обробляються в інформаційних системах персональних даних 2 класу, можуть застосовуватися для забезпечення 4 рівня захищеності персональних даних, що обробляються в інформаційних системах персональних даних.

УРЯД РОСІЙСЬКОЇ ФЕДЕРАЦІЇ

ПОСТАНОВЛЕННЯ

Про затвердження Положення про забезпечення безпеки персональних даних під час їх обробки в інформаційних системах персональних даних

Втратило чинність з 15 листопада 2012 року на підставі
постанови Уряду Російської Федерації
від 1 листопада 2012 року N 1119
____________________________________________________________________

Відповідно до статті 19 Федерального закону "Про персональні дані" Уряд Російської Федерації

ухвалює:

1. Затвердити Положення про забезпечення безпеки персональних даних, що додається, при їх обробці в інформаційних системах персональних даних.

2. Федеральній службі безпеки Російської Федерації та Федеральній службі з технічного та експортного контролю затвердити в межах своєї компетенції у 3-місячний строк нормативні правові акти та методичні документи, необхідні для виконання вимог, передбачених Положенням, затвердженим цією постановою.

Голова уряду
Російської Федерації

Положення про забезпечення безпеки персональних даних під час їх обробки в інформаційних системах персональних даних

ЗАТВЕРДЖЕНО
постановою Уряду
Російської Федерації
від 17 листопада 2007 року N 781

1. Це Положення встановлює вимоги щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних, що є сукупністю персональних даних, що містяться в базах даних, а також інформаційних технологій та технічних засобів, що дозволяють здійснювати обробку таких персональних даних з використанням засобів автоматизації ( далі – інформаційні системи). *1)

Під технічними засобами, що дозволяють здійснювати обробку персональних даних, розуміються засоби обчислювальної техніки, інформаційно-обчислювальні комплекси та мережі, засоби та системи передачі, прийому та обробки персональних даних (засоби та системи звукозапису, звукопідсилення, звуковідтворення, переговорні та телевізійні пристрої, засоби виготовлення, тиражування документів та інші технічні засоби обробки мовної, графічної, відео- та буквенно-цифрової інформації), програмні засоби (операційні системи, системи управління базами даних тощо), засоби захисту інформації, що застосовуються в інформаційних системах.

2. Безпека персональних даних досягається шляхом виключення несанкціонованого, зокрема випадкового, доступу до персональних даних, результатом якого може стати знищення, зміна, блокування, копіювання, розповсюдження персональних даних, а також інших несанкціонованих дій.

Безпека персональних даних при їх обробці в інформаційних системах забезпечується за допомогою системи захисту персональних даних, що включає організаційні заходи та засоби захисту інформації (у тому числі шифрувальні (криптографічні) засоби, засоби запобігання несанкціонованому доступу, витік інформації по технічних каналах, програмно-технічних впливів на технічні засоби обробки персональних даних), а також інформаційні технології, що використовуються в інформаційній системі. Технічні та програмні засоби повинні задовольняти встановлюваним відповідно до законодавства України вимогам, що забезпечують захист інформації.

Для забезпечення безпеки персональних даних при їх обробці в інформаційних системах здійснюється захист мовної інформації та інформації, що обробляється технічними засобами, а також інформації, поданої у вигляді інформативних електричних сигналів, фізичних полів, носіїв на паперовій, магнітній, магнітно-оптичній та іншій основі.

3. Методи та способи захисту інформації в інформаційних системах встановлюються Федеральною службою з технічного та експортного контролю та Федеральною службою безпеки Російської Федерації в межах їх повноважень. *3.1)

Достатність вжитих заходів щодо забезпечення безпеки персональних даних під час їх обробки в інформаційних системах оцінюється під час проведення державного контролю та нагляду.

4. Роботи щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах є невід'ємною частиною робіт із створення інформаційних систем.

5. Засоби захисту інформації, які застосовуються в інформаційних системах, в установленому порядку проходять процедуру оцінки відповідності.

6. Інформаційні системи класифікуються державними органами, муніципальними органами, юридичними або фізичними особами, що організують та (або) здійснюють обробку персональних даних, а також визначальними мети та зміст обробки персональних даних (далі - оператор), залежно від обсягу оброблюваних ними персональних даних та загроз безпеці життєво важливим інтересам особистості, суспільства та держави.

Порядок проведення класифікації інформаційних систем встановлюється спільно Федеральною службою з технічного та експортного контролю, Федеральною службою безпеки Російської Федерації та Міністерством інформаційних технологій та зв'язку Російської Федерації.*6.2)

7. Обмін персональними даними при їх обробці в інформаційних системах здійснюється каналами зв'язку, захист яких забезпечується шляхом реалізації відповідних організаційних заходів та (або) шляхом застосування технічних засобів.

8. Розміщення інформаційних систем, спеціальне обладнання та охорона приміщень, в яких ведеться робота з персональними даними, організація режиму забезпечення безпеки в цих приміщеннях повинна забезпечувати збереження носіїв персональних даних та засобів захисту інформації, а також унеможливлювати неконтрольоване проникнення або перебування в цих приміщеннях сторонніх. осіб.

9. Можливі канали витоку інформації при обробці персональних даних в інформаційних системах визначаються Федеральною службою з технічного та експортного контролю та Федеральною службою безпеки Російської Федерації в межах їх повноважень.

10. Безпека персональних даних під час їхньої обробки в інформаційній системі забезпечує оператор або особа, якій на підставі договору оператор доручає обробку персональних даних (далі - уповноважена особа). Істотною умовою договору є обов'язок уповноваженої особи забезпечити конфіденційність персональних даних та безпеку персональних даних при їх обробці в інформаційній системі.

11. При обробці персональних даних в інформаційній системі має бути забезпечено:

а) проведення заходів, спрямованих на запобігання несанкціонованому доступу до персональних даних та (або) передачі їх особам, які не мають права доступу до такої інформації;

б) своєчасне виявлення фактів несанкціонованого доступу до персональних даних;

в) недопущення на технічні засоби автоматизованої обробки персональних даних, у яких може бути порушено їх функціонування;

г) можливість негайного відновлення персональних даних, модифікованих чи знищених внаслідок несанкціонованого доступу до них;

буд) постійний контролю над забезпеченням рівня захищеності персональних даних.

12. Заходи щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах включають:

а) визначення загроз безпеці персональних даних під час їх обробки, формування на їх основі моделі загроз;

б) розробку на основі моделі загроз системи захисту персональних даних, яка забезпечує нейтралізацію передбачуваних загроз з використанням методів та способів захисту персональних даних, передбачених для відповідного класу інформаційних систем;

в) перевірку готовності засобів захисту інформації до використання із укладанням висновків про можливість їх експлуатації;

г) встановлення та введення в експлуатацію засобів захисту інформації відповідно до експлуатаційної та технічної документації;

д) навчання осіб, які використовують засоби захисту інформації, що застосовуються в інформаційних системах, правил роботи з ними;

е) облік засобів захисту інформації, експлуатаційної та технічної документації до них, носіїв персональних даних;

ж) облік осіб, які допущені до роботи з персональними даними в інформаційній системі;

з) контроль за дотриманням умов використання засобів захисту інформації, передбачених експлуатаційною та технічною документацією;

і) розгляд та складання висновків за фактами недотримання умов зберігання носіїв персональних даних, використання засобів захисту інформації, які можуть призвести до порушення конфіденційності персональних даних або інших порушень, що призводять до зниження рівня захищеності персональних даних, розроблення та вжиття заходів щодо запобігання можливим небезпечним наслідкам подібних порушень;

к) опис системи захисту персональних даних.

13. Для розроблення та здійснення заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційній системі оператором або уповноваженою особою може призначатися структурний підрозділ або посадова особа (працівник), відповідальні за безпеку персональних даних.

14. Особи, доступ яких до персональних даних, що обробляються в інформаційній системі, необхідний для виконання службових (трудових) обов'язків, допускаються до відповідних персональних даних на підставі списку, затвердженого оператором або уповноваженою особою.

15. Запити користувачів інформаційної системи на отримання персональних даних, включаючи осіб, зазначених у пункті 14 цього Положення, а також факти надання персональних даних на ці запити реєструються автоматизованими засобами інформаційної системи в електронному журналі звернень. Зміст електронного журналу звернень періодично перевіряється відповідними посадовими особами (працівниками) оператора чи уповноваженої особи.

16. У разі виявлення порушень порядку надання персональних даних оператор або уповноважена особа негайно зупиняють надання персональних даних користувачам інформаційної системи до виявлення причин порушень та усунення цих причин.

17. Реалізація вимог щодо забезпечення безпеки інформації у засобах захисту інформації покладається на їх розробників.

Щодо розроблених шифрувальних (криптографічних) засобів захисту інформації, призначених для забезпечення безпеки персональних даних при їх обробці в інформаційних системах, проводяться тематичні дослідження та контрольні тематичні дослідження з метою перевірки виконання вимог щодо безпеки інформації. При цьому під тематичними дослідженнями розуміються криптографічні, інженерно-криптографічні та спеціальні дослідження засобів захисту інформації та спеціальні роботи з технічними засобами інформаційних систем, а під контрольними тематичними дослідженнями - тематичні дослідження, що періодично проводяться.

Конкретні терміни проведення контрольних тематичних досліджень визначаються Федеральною службою безпеки Російської Федерації.

18. Результати оцінки відповідності та (або) тематичних досліджень засобів захисту інформації, призначених для забезпечення безпеки персональних даних при їх обробці в інформаційних системах, оцінюються в ході експертизи, що здійснюється Федеральною службою з технічного та експортного контролю та Федеральною службою безпеки Російської Федерації в межах їх повноважень.

19. До засобів захисту інформації, призначених для забезпечення безпеки персональних даних при їх обробці в інформаційних системах, додаються правила користування цими засобами, погоджені з Федеральною службою з технічного та експортного контролю та Федеральною службою безпеки Російської Федерації в межах їх повноважень.

Зміна умов застосування засобів захисту, передбачених зазначеними правилами, узгоджується з цими федеральними органами виконавчої у межах їх повноважень.

20. Засоби захисту інформації, призначені для забезпечення безпеки персональних даних під час їхньої обробки в інформаційних системах, підлягають обліку з використанням індексів або умовних найменувань та реєстраційних номерів. Перелік індексів, умовних найменувань та реєстраційних номерів визначається Федеральною службою з технічного та експортного контролю та Федеральною службою безпеки Російської Федерації в межах їх повноважень.

21. Особливості розробки, виробництва, реалізації та експлуатації шифрувальних (криптографічних) засобів захисту інформації та надання послуг із шифрування персональних даних при їх обробці в інформаційних системах встановлюються Федеральною службою безпеки Російської Федерації.

Електронний текст документа
підготовлений ЗАТ "Кодекс" та звірений за:
Відомості Верховної Ради
Російської Федерації,
N 48, 26.11.2007, ст.6001

Постанова Уряду РФ від 1 листопада 2012 р. N 1119
"Про затвердження вимог щодо захисту персональних даних при їх обробці в інформаційних системах персональних даних"

Відповідно до статті 19 Федерального закону "Про персональні дані" Уряд Російської Федерації постановляє:

1. Затвердити вимоги до захисту персональних даних, що додаються, при їх обробці в інформаційних системах персональних даних.

2. Визнати такою, що втратила чинність, постанову Уряду Російської Федерації від 17 листопада 2007 р. N 781 "Про затвердження Положення про забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних" (Збори законодавства Російської Федерації, 2007, N 48, ст. 6001) .

Вимоги
до захисту персональних даних під час їх обробки в інформаційних системах персональних даних
(затв. постановою Уряду РФ від 1 листопада 2012 р. N 1119)

1. Цей документ встановлює вимоги щодо захисту персональних даних при їх обробці в інформаційних системах персональних даних (далі – інформаційні системи) та рівні захищеності таких даних.

2. Безпека персональних даних при їх обробці в інформаційній системі забезпечується за допомогою системи захисту персональних даних, що нейтралізує актуальні загрози, визначені відповідно до частини 5 статті 19

Система захисту персональних даних включає організаційні та (або) технічні заходи, визначені з урахуванням актуальних загроз безпеці персональних даних та інформаційних технологій, що використовуються в інформаційних системах.

3. Безпека персональних даних при їх обробці в інформаційній системі забезпечує оператор цієї системи, який обробляє персональні дані (далі - оператор), або особа, яка здійснює обробку персональних даних за дорученням оператора на підставі договору, що укладається з цією особою (далі - уповноважена особа). Договір між оператором та уповноваженою особою повинен передбачати обов'язок уповноваженої особи забезпечити безпеку персональних даних при їх обробці в інформаційній системі.

4. Вибір засобів захисту інформації для системи захисту персональних даних здійснюється оператором відповідно до нормативних правових актів, прийнятих Федеральною службою безпеки Російської Федерації та Федеральною службою з технічного та експортного контролю на виконання частини 4 статті 19 Федерального закону "Про персональні дані".

5. Інформаційна система є інформаційною системою, що обробляє спеціальні категорії персональних даних, якщо в ній опрацьовуються персональні дані стосовно расової, національної приналежності, політичних поглядів, релігійних чи філософських переконань, стану здоров'я, інтимного життя суб'єктів персональних даних.

Інформаційна система є інформаційною системою, що обробляє біометричні персональні дані, якщо в ній обробляються відомості, що характеризують фізіологічні та біологічні особливості людини, на підставі яких можна встановити її особу та які використовуються оператором для встановлення особи суб'єкта персональних даних, та не обробляються відомості, що належать до спеціальним категоріям персональних даних.

p align="justify"> Інформаційна система є інформаційною системою, що обробляє загальнодоступні персональні дані, якщо в ній обробляються персональні дані суб'єктів персональних даних, отримані тільки з загальнодоступних джерел персональних даних, створених відповідно до статті 8 Федерального закону "Про персональні дані".

Інформаційна система є інформаційною системою, яка обробляє інші категорії персональних даних, якщо в ній не обробляються персональні дані, зазначені в абзацах першому - третьому цього пункту.

Інформаційна система є інформаційною системою, яка обробляє персональні дані співробітників оператора, якщо у ній обробляються персональні дані лише зазначених співробітників. В інших випадках інформаційна система персональних даних є інформаційною системою, що обробляє персональні дані суб'єктів персональних даних, які не є співробітниками оператора.

6. Під актуальними загрозами безпеці персональних даних розуміється сукупність умов та факторів, що створюють актуальну небезпеку несанкціонованого, у тому числі випадкового, доступу до персональних даних при їх обробці в інформаційній системі, результатом якого можуть стати знищення, зміна, блокування, копіювання, надання, розповсюдження персональних даних, і навіть інші неправомірні дії.

Загрози 1-го типу є актуальними для інформаційної системи, якщо для неї в тому числі актуальні загрози, пов'язані з наявністю недокументованих (недекларованих) можливостей у системному програмному забезпеченні, що використовується в інформаційній системі.

Загрози 2-го типу є актуальними для інформаційної системи, якщо для неї в тому числі актуальні загрози, пов'язані з наявністю недокументованих (недекларованих) можливостей у прикладному програмному забезпеченні, що використовується в інформаційній системі.

Загрози 3-го типу є актуальними для інформаційної системи, якщо для неї актуальні загрози, не пов'язані з наявністю недокументованих (недекларованих) можливостей у системному та прикладному програмному забезпеченні, що використовується в інформаційній системі.

7. Визначення типу загроз безпеки персональних даних, актуальних для інформаційної системи, здійснюється оператором з урахуванням оцінки можливої шкоди, проведеної на виконання пункту 5 частини 1 статті 18.1 Федерального закону "Про персональні дані", та відповідно до нормативних правових актів, прийнятих на виконання частини 5 статті 19 Федерального закону "Про персональні дані".

8. Під час обробки персональних даних в інформаційних системах встановлюються 4 рівні захищеності персональних даних.

9. Необхідність забезпечення 1-го рівня захищеності персональних даних при їх обробці в інформаційній системі встановлюється за наявності хоча б однієї з наступних умов:

а) для інформаційної системи актуальні загрози 1-го типу та інформаційна система опрацьовує або спеціальні категорії персональних даних, або біометричні персональні дані, або інші категорії персональних даних;

б) для інформаційної системи актуальні загрози 2-го типу та інформаційна система опрацьовує спеціальні категорії персональних даних більш ніж 100000 суб'єктів персональних даних, які не є співробітниками оператора.

10. Необхідність забезпечення 2-го рівня захищеності персональних даних при їх обробці в інформаційній системі встановлюється за наявності хоча б однієї з наступних умов:

а) для інформаційної системи актуальні загрози 1-го типу та інформаційна система опрацьовує загальнодоступні персональні дані;

б) для інформаційної системи актуальні загрози 2-го типу та інформаційна система опрацьовує спеціальні категорії персональних даних співробітників оператора або спеціальні категорії персональних даних менш ніж 100000 суб'єктів персональних даних, які не є співробітниками оператора;

в) для інформаційної системи актуальні загрози 2-го типу та інформаційна система опрацьовує біометричні персональні дані;

г) для інформаційної системи актуальні загрози 2-го типу та інформаційна система опрацьовує загальнодоступні персональні дані більш ніж 100000 суб'єктів персональних даних, які не є співробітниками оператора;

д) для інформаційної системи актуальні загрози 2-го типу та інформаційна система опрацьовує інші категорії персональних даних більш ніж 100000 суб'єктів персональних даних, які не є співробітниками оператора;

е) для інформаційної системи актуальні загрози 3-го типу та інформаційна система опрацьовує спеціальні категорії персональних даних більш ніж 100000 суб'єктів персональних даних, які не є співробітниками оператора.

11. Необхідність забезпечення 3-го рівня захищеності персональних даних при їх обробці в інформаційній системі встановлюється за наявності хоча б однієї з наступних умов:

а) для інформаційної системи актуальні загрози 2-го типу та інформаційна система опрацьовує загальнодоступні персональні дані співробітників оператора або загальнодоступні персональні дані менш ніж 100000 суб'єктів персональних даних, які не є співробітниками оператора;

б) для інформаційної системи актуальні загрози 2-го типу та інформаційна система опрацьовує інші категорії персональних даних співробітників оператора або інші категорії персональних даних менш ніж 100000 суб'єктів персональних даних, які не є співробітниками оператора;

в) для інформаційної системи актуальні загрози 3-го типу та інформаційна система опрацьовує спеціальні категорії персональних даних співробітників оператора або спеціальні категорії персональних даних менш ніж 100000 суб'єктів персональних даних, які не є співробітниками оператора;

г) для інформаційної системи актуальні загрози 3-го типу та інформаційна система опрацьовує біометричні персональні дані;

д) для інформаційної системи актуальні загрози 3-го типу та інформаційна система опрацьовує інші категорії персональних даних більш ніж 100000 суб'єктів персональних даних, які не є співробітниками оператора.

12. Необхідність забезпечення 4-го рівня захищеності персональних даних при їх обробці в інформаційній системі встановлюється за наявності хоча б однієї з наступних умов:

а) для інформаційної системи актуальні загрози 3-го типу та інформаційна система опрацьовує загальнодоступні персональні дані;

б) для інформаційної системи актуальні загрози 3-го типу та інформаційна система опрацьовує інші категорії персональних даних співробітників оператора або інші категорії персональних даних менш ніж 100000 суб'єктів персональних даних, які не є співробітниками оператора.

13. Для забезпечення 4-го рівня захищеності персональних даних при їх обробці в інформаційних системах необхідно виконати такі вимоги:

а) організація режиму безпеки приміщень, в яких розміщена інформаційна система, що перешкоджає можливості неконтрольованого проникнення або перебування в цих приміщеннях осіб, які не мають права доступу до цих приміщень;

б) забезпечення безпеки носіїв персональних даних;

в) затвердження керівником оператора документа, що визначає перелік осіб, доступ яких до персональних даних, що опрацьовуються в інформаційній системі, необхідний для виконання ними службових (трудових) обов'язків;

г) використання засобів захисту інформації, що пройшли процедуру оцінки відповідності вимогам законодавства Російської Федерації в галузі забезпечення безпеки інформації, у разі, коли застосування таких засобів необхідне нейтралізації актуальних загроз.

14. Для забезпечення 3-го рівня захищеності персональних даних при їх обробці в інформаційних системах крім виконання вимог, передбачених пунктом 13 цього документа, необхідно, щоб було призначено посадову особу (працівника), відповідальну за забезпечення безпеки персональних даних в інформаційній системі.

15. Для забезпечення 2-го рівня захищеності персональних даних при їх обробці в інформаційних системах, крім виконання вимог, передбачених пунктом 14 цього документа, необхідно, щоб доступ до змісту електронного журналу повідомлень був можливий виключно для посадових осіб (працівників) оператора або уповноваженої особи, яким відомості, які у зазначеному журналі, необхідні виконання службових (трудових) обов'язків.

16. Для забезпечення 1-го рівня захищеності персональних даних при їх обробці в інформаційних системах, крім вимог, передбачених пунктом 15 цього документа, необхідне виконання наступних вимог:

а) автоматична реєстрація в електронному журналі безпеки зміни повноважень співробітника оператора щодо доступу до персональних даних, що містяться в інформаційній системі;

б) створення структурного підрозділу, відповідального за забезпечення безпеки персональних даних в інформаційній системі, або покладання на один із структурних підрозділів функцій щодо забезпечення такої безпеки.

17. Контроль за виконанням цих вимог організується та проводиться оператором (уповноваженою особою) самостійно та (або) із залученням на договірній основі юридичних осіб та індивідуальних підприємців, які мають ліцензію на провадження діяльності з технічного захисту конфіденційної інформації. Зазначений контроль проводиться не рідше 1 разу на 3 роки у строки, що визначаються оператором (уповноваженою особою).

УРЯД РОСІЙСЬКОЇ ФЕДЕРАЦІЇ

ПРО ЗАТВЕРДЖЕННЯ ВИМОГ

Відповідно до статті 19 Федерального закону "Про персональні дані" Уряд Російської Федерації постановляє:

Голова уряду
Російської Федерації
Д.МЕДВЕДЄВ

Затверджено
постановою Уряду
Російської Федерації
від 1 листопада 2012 р. N 1119

ВИМОГИ
ДО ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ ПРИ ЇХ ОБРОБЦІ
В ІНФОРМАЦІЙНИХ СИСТЕМАХ ПЕРСОНАЛЬНИХ ДАНИХ

2. Безпека персональних даних під час їхньої обробки в інформаційній системі забезпечується за допомогою системи захисту персональних даних, що нейтралізує актуальні загрози, визначені відповідно до частини 5 статті 19 Федерального закону "Про персональні дані".

7. Визначення типу загроз безпеки персональних даних, актуальних для інформаційної системи, провадиться оператором з урахуванням оцінки можливої шкоди, проведеної на виконання пункту 5 частини 1 статті 18.1 Федерального закону "Про персональні дані", та відповідно до нормативних правових актів, прийнятих на виконання частини 5 статті 19 Федерального закону "Про персональні дані".

б) забезпечення безпеки носіїв персональних даних;

УРЯД РОСІЙСЬКОЇ ФЕДЕРАЦІЇ

ПОСТАНОВЛЕННЯ

Про затвердження вимог щодо захисту персональних даних при їх обробці в інформаційних системах персональних даних

Відповідно до статті 19 Федерального закону "Про персональні дані" Уряд Російської Федерації

ухвалює:

2. Визнати такою, що втратила чинність, постанову Уряду Російської Федерації від 17 листопада 2007 року N 781 "Про затвердження Положення про забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних" (Збори законодавства Російської Федерації, 2007, N 48, ст.6001).

Голова уряду
Російської Федерації
Д.Медведєв

Вимоги до захисту персональних даних під час їх обробки в інформаційних системах персональних даних

ЗАТВЕРДЖЕНО
постановою Уряду
Російської Федерації
від 1 листопада 2012 року N 1119

7. Визначення типу загроз безпеки персональних даних, актуальних для інформаційної системи, провадиться оператором з урахуванням оцінки можливої шкоди, проведеної на виконання пункту 5 частини 1 статті 18_1 Федерального закону "Про персональні дані", та відповідно до нормативних правових актів, прийнятих на виконання частини 5 статті 19 Федерального закону "Про персональні дані".

б) забезпечення безпеки носіїв персональних даних;

Електронний текст документа
підготовлений ЗАТ "Кодекс" і звірений.