uy Qayta tiklash

Shaxsiy ma'lumotlarning axborot tizimlarida qayta ishlash jarayonida shaxsiy ma'lumotlarni himoya qilish talablarini tasdiqlash to'g'risidagi qaror - Rossiyskaya gazeta. Hukumatning 1119-sonli qarori o'rniga shaxsiy ma'lumotlarni himoya qilish darajalari

Rossiya Federatsiyasi Hukumatining 2012 yil 1 noyabrdagi 1119-son qarori bilan allaqachon hamma uchun tanish bo'lgan shaxsiy ma'lumotlarning axborot tizimlari sinflari ko'milgan.

Sinflar o'rniga, yangi qarorga ko'ra, axborot tizimlarida shaxsiy ma'lumotlarni qayta ishlash jarayonida ularning har biriga qo'yiladigan talablar xavfsizligining to'rtta darajasi belgilandi. Axborot tizimlarini ma'lum bir xavfsizlik darajasiga belgilash axborot tizimi tomonidan qayta ishlanadigan shaxsiy ma'lumotlar turiga, joriy tahdidlarning turiga, axborot tizimi tomonidan qayta ishlangan shaxsiy ma'lumotlar sub'ektlarining soniga va shaxsiy ma'lumotlariga qarab amalga oshiriladi. kontingent qayta ishlanadi.

1119-son qarorining 5-bandiga binoan shaxsiy ma'lumotlarning axborot tizimlari (PDIS) 4 guruhga bo'lingan:

Maxsus ISPD
agar ISPD irqi, millati, siyosiy qarashlari, diniy yoki falsafiy e'tiqodlari, sog'lig'i, shaxsiy ma'lumotlar sub'ektlarining intim hayoti bilan bog'liq shaxsiy ma'lumotlarni qayta ishlasa;
Biometrik ISPD
agar ISPD shaxsning fiziologik va biologik xususiyatlarini tavsiflovchi ma'lumotlarni qayta ishlasa, uning asosida uning shaxsini aniqlash mumkin bo'lgan va operator tomonidan shaxsiy ma'lumotlar sub'ektining shaxsini aniqlash uchun foydalaniladigan va maxsus toifalarga tegishli ma'lumotlar. shaxsiy ma'lumotlar qayta ishlanmaydi;
Ommaviy ISPD
agar ISPD "Shaxsiy ma'lumotlar to'g'risida" Federal qonunining 8-moddasiga muvofiq yaratilgan shaxsiy ma'lumotlarning faqat ochiq manbalaridan olingan shaxsiy ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarini qayta ishlasa;
Boshqa ISPDn
agar ISPD oldingi uchta guruhda ko'rsatilmagan shaxsiy ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarini qayta ishlasa.

Tashkilotingiz va sub'ektlar o'rtasidagi munosabatlar shakliga ko'ra, qayta ishlash 2 turga bo'linadi:

xodimlarning shaxsiy ma'lumotlarini qayta ishlash (tashkilotingiz mehnat munosabatlariga ega bo'lgan shaxslar);
tashkilotingiz xodimlari bo'lmagan sub'ektlarning shaxsiy ma'lumotlarini qayta ishlash.

Shaxsiy ma'lumotlarga ishlov beriladigan sub'ektlar sonidan kelib chiqqan holda, 1119-sonli qaror faqat 2 toifani belgilaydi:

100 000 dan kam sub'ektlar;
100 000 dan ortiq sub'ektlar;

Va nihoyat, joriy tahdidlar turlari:

1-toifa tahdidlar ISPDda qo'llaniladigan tizim dasturiy ta'minotida e'lon qilinmagan (hujjatlanmagan) imkoniyatlar mavjudligi bilan bog'liq;
2-toifa tahdidlar ISPDda qo'llaniladigan amaliy dasturiy ta'minotda e'lon qilinmagan imkoniyatlar mavjudligi bilan bog'liq;
3-toifa tahdidlar ISPD da qo'llaniladigan dasturiy ta'minotda e'lon qilinmagan imkoniyatlar mavjudligi bilan bog'liq emas.

Joriy tahdidlar turini aniqlash bo'yicha hech qanday tartibga solish yo'q. PP-1119 talablari ularni zararsizlantirish uchun hech qanday usul yoki usullarni taklif qilmaydi. Agar ilgari operator standart ISPDni jadval asosida tasniflashni tanlashi yoki tahdid modeli natijalariga ko'ra maxsus ISPDni tasniflashni tanlashi mumkin bo'lsa, endi tanlov yo'q. Xavfsizlik darajasi har doim tahdidlarning dolzarbligiga qarab belgilanadi. Operator ularni mustaqil ravishda aniqlay olmaydi - u yuqori tashkilot yoki maslahatchi bilan bog'lanishi kerak. Eng oson yo'li eng kam qarshilik yo'lidan borishdir, ya'ni. 3-turdagi joriy tahdid turini aniqlang va tizim va amaliy dasturiy ta'minotda e'lon qilinmagan (hujjatsiz) imkoniyatlarni unuting, ammo buni oqlash kerak bo'ladi. Hamma savol qanday qilib?, paragrafning boshiga qaytish.
Shaxsiy ma'lumotlarning axborot tizimlariga tahdidlarning dolzarbligi mavzusi juda muhim, chunki to'g'ri tavsiflangan tahdidlar tizimning qanchalik yaxshi himoyalanishini, shuningdek, shaxsiy ma'lumotlar operatori uchun himoya qancha turishini aniqlaydi.

Agar siz ma'lum bir ISPD uchun dastlabki ma'lumotlarga, shu jumladan joriy tahdidlar turiga qaror qilgan bo'lsangiz, uning xavfsizlik darajasini aniqlashingiz mumkin. Xavfsizlik darajasini qulay aniqlash uchun PP-1119 ga asoslangan quyidagi jadvaldan foydalaning:

ISPDn turi	Operator xodimlari	Mavzular soni	Joriy tahdidlar turi
			1 (NDV OS)	2 (NDV PO)	3 (NDVsiz)
ISPDn-S (maxsus)	Yo'q	> 100 000	UZ-1	UZ-1	UZ-2
	Yo'q	< 100 000	UZ-1	UZ-2	UZ-3
	Ha
ISPDn-B (biometrik)			UZ-1	UZ-2	UZ-3
ISPDn-I (boshqalar)	Yo'q	> 100 000	UZ-1	UZ-2	UZ-3
	Yo'q	< 100 000	UZ-2	UZ-3	UZ-4
	Ha
ISPDn-O (ommaviy)	Yo'q	> 100 000	UZ-2	UZ-2	UZ-4
	Yo'q	< 100 000	UZ-2	UZ-3	UZ-4
	Ha

Tanlangan PD xavfsizligi darajasiga qarab, PP-1119 shaxsiy ma'lumotlarni himoya qilish bo'yicha bir qator talablarni belgilaydi, ular operator (vakolatli shaxs) tomonidan mustaqil ravishda va (yoki) yuridik va jismoniy shaxslarni jalb qilgan holda tashkil etiladi va amalga oshiriladi. maxfiy axborotni texnik muhofaza qilish bo'yicha faoliyatni amalga oshirish uchun litsenziyaga ega bo'lgan tadbirkorlar shartnoma asosida. Talablarga rioya etilishini nazorat qilish operator (vakolatli shaxs) tomonidan belgilangan muddatda kamida 3 yilda bir marta amalga oshirilishi kerak.

Talablar	Darajalar xavfsizlik
Talablar
Axborot tizimi joylashgan binolarni qo'riqlash rejimini tashkil etish, ushbu binolarga kirish imkoni bo'lmagan shaxslarning ushbu binolarga nazoratsiz kirishi yoki qolishining oldini olish.	+	+	+	+
Shaxsiy ma'lumotlar tashuvchilarning xavfsizligini ta'minlash	+	+	+	+
Axborot tizimida qayta ishlangan shaxsiy ma'lumotlarga kirish o'z xizmat (mehnat) vazifalarini bajarish uchun zarur bo'lgan shaxslar ro'yxatini belgilovchi hujjatni operator rahbari tomonidan tasdiqlash.	+	+	+	+
Rossiya Federatsiyasining axborot xavfsizligi sohasidagi qonun hujjatlari talablariga muvofiqligini baholash tartibidan o'tgan axborot xavfsizligi vositalaridan foydalanish, agar mavjud tahdidlarni zararsizlantirish uchun bunday vositalardan foydalanish zarur bo'lsa.	+	+	+	+
ISPDda shaxsiy ma'lumotlar xavfsizligini ta'minlash uchun mas'ul mansabdor shaxsni tayinlash	+	+	+	-
Elektron xabarlar jurnali tarkibiga kirishni cheklash	+	+	-	-
Operator xodimining axborot tizimidagi shaxsiy ma'lumotlarga kirish huquqidagi o'zgarishlarni elektron xavfsizlik jurnalida avtomatik tarzda ro'yxatdan o'tkazish.	+	-	-	-
Axborot tizimida shaxsiy ma'lumotlar xavfsizligini ta'minlash uchun mas'ul bo'lgan tarkibiy bo'linmani yaratish yoki ushbu xavfsizlikni ta'minlash bo'yicha funktsiyalarni tarkibiy bo'linmalardan biriga yuklash	+	-	-	-

PP-1119 ga muvofiq shaxsiy ma'lumotlarni himoya qilish talablari to'g'risida qaror qabul qilib, siz FSTEC ning 21-son buyrug'i talablariga asoslanib, shaxsiy ma'lumotlar xavfsizligini ta'minlash bo'yicha tashkiliy-texnik chora-tadbirlarni tanlashga o'tishingiz mumkin. Rossiya 2013 yil 18 fevral. shaxsiy ma'lumotlar xavfsizligiga joriy tahdidlarni zararsizlantirishga qaratilgan.

Ilgari ISPD ning ma'lum sinflari uchun sertifikatlar berilgan axborot xavfsizligi vositalari bilan nima qilish kerak?

Rossiya FSTECning 2012 yil 20 noyabrdagi 240/24/4669-sonli "Shaxsiy ma'lumotlarning axborot tizimlarida qayta ishlash jarayonida shaxsiy ma'lumotlarni himoya qilish xususiyatlari va himoya qilish uchun mo'ljallangan axborot xavfsizligi vositalarini sertifikatlash to'g'risida" axborot xabariga muvofiq. shaxsiy ma'lumotlarning xavfsizligini ta'minlash bo'yicha tashkiliy-texnik chora-tadbirlar tarkibi va mazmunini belgilovchi Rossiya FSTEC normativ-huquqiy hujjati (21-sonli buyruqni nazarda tutadi) kuchga kirgunga qadar Rossiya FSTEC tomonidan berilgan muvofiqlik sertifikatlari. shaxsiy ma'lumotlar axborot tizimlarida qayta ishlash jarayonida qayta ro'yxatdan o'tkazilmaydi.
1-sinf shaxsiy ma'lumotlar axborot tizimlarida qayta ishlangan shaxsiy ma'lumotlarni himoya qilish uchun ishlatilishi mumkin bo'lgan axborot xavfsizligi vositalari shaxsiy ma'lumotlarning 1-darajagacha, shu jumladan shaxsiy ma'lumotlar tizimlarida qayta ishlangan shaxsiy ma'lumotlarning xavfsizligini ta'minlash uchun ishlatilishi mumkin;
2-sinf shaxsiy ma'lumotlar tizimida qayta ishlangan shaxsiy ma'lumotlarni himoya qilish uchun ishlatilishi mumkin bo'lgan axborot xavfsizligi vositalari shaxsiy ma'lumotlarning axborot tizimlarida qayta ishlangan shaxsiy ma'lumotlarning 4-darajali xavfsizligini ta'minlash uchun ishlatilishi mumkin.

ROSSIYA FEDERASİYASI HUKUMATI

REzolyutsiya

Shaxsiy ma'lumotlarning axborot tizimlarida qayta ishlash jarayonida shaxsiy ma'lumotlar xavfsizligini ta'minlash to'g'risidagi nizomni tasdiqlash to'g'risida

2012-yil 15-noyabrda yo'qolgan kuch
rossiya Federatsiyasi hukumatining qarorlari
2012 yil 1 noyabrdagi N 1119-son
____________________________________________________________________

"Shaxsiy ma'lumotlar to'g'risida" Federal qonunining 19-moddasiga muvofiq, Rossiya Federatsiyasi hukumati

qaror qiladi:

1. Ilova qilingan shaxsiy ma'lumotlarning shaxsiy ma'lumotlar tizimlarida ularni qayta ishlash jarayonida xavfsizligini ta'minlash to'g'risidagi nizom tasdiqlansin.

2. Rossiya Federatsiyasi Federal xavfsizlik xizmati va Texnik va eksport nazorati federal xizmati o'z vakolatlari doirasida 3 oy muddatda Nizomda nazarda tutilgan talablarni bajarish uchun zarur bo'lgan normativ-huquqiy hujjatlar va uslubiy hujjatlarni tasdiqlaydi. ushbu qaror bilan tasdiqlangan.

Hukumat raisi
Rossiya Federatsiyasi

Shaxsiy ma'lumotlarning axborot tizimlarida qayta ishlash jarayonida shaxsiy ma'lumotlarning xavfsizligini ta'minlash to'g'risidagi nizom

TASDIQLANGAN
Hukumat qarori
Rossiya Federatsiyasi
2007 yil 17 noyabrdagi N 781-son

1. Ushbu Nizom ma'lumotlar bazalarida mavjud bo'lgan shaxsiy ma'lumotlar to'plami bo'lgan shaxsiy ma'lumotlarning axborot tizimlarida, shuningdek, bunday shaxsiy ma'lumotlarni qayta ishlashga imkon beruvchi axborot texnologiyalari va texnik vositalarda ularni qayta ishlash jarayonida xavfsizligini ta'minlashga qo'yiladigan talablarni belgilaydi. avtomatlashtirish vositalari (bundan buyon matnda axborot tizimlari deb yuritiladi). *1)

Shaxsiy ma'lumotlarni qayta ishlashga imkon beruvchi texnik vositalar deganda kompyuter vositalari, axborot-hisoblash komplekslari va tarmoqlari, shaxsiy ma'lumotlarni uzatish, qabul qilish va qayta ishlash vositalari va tizimlari (ovoz yozish, ovozni kuchaytirish, ovozni qayta tiklash, interkom va televidenie vositalari va tizimlari) tushuniladi. qurilmalar, ishlab chiqarish vositalari, hujjatlarni takrorlash va nutq, grafik, video va harf-raqamli ma'lumotlarni qayta ishlashning boshqa texnik vositalari), dasturiy ta'minot (operatsion tizimlar, ma'lumotlar bazasini boshqarish tizimlari va boshqalar), axborot tizimlarida qo'llaniladigan axborotni himoya qilish vositalari.

2. Shaxsiy ma'lumotlarning xavfsizligiga shaxsiy ma'lumotlarning yo'q qilinishi, o'zgartirilishi, bloklanishi, nusxalanishi, tarqatilishiga olib kelishi mumkin bo'lgan ruxsatsiz, shu jumladan tasodifiy kirishni, shuningdek boshqa ruxsat etilmagan harakatlarni istisno qilish orqali erishiladi.

Axborot tizimlarida qayta ishlash jarayonida shaxsiy ma'lumotlarning xavfsizligi shaxsiy ma'lumotlarni himoya qilish tizimi, shu jumladan tashkiliy choralar va ma'lumotlarni himoya qilish vositalari (shu jumladan shifrlash (kriptografik) vositalar, ruxsatsiz kirishning oldini olish, texnik kanallar orqali ma'lumotlarning chiqib ketishining oldini olish vositalari, dasturiy ta'minot va boshqalar) yordamida ta'minlanadi. shaxsiy ma'lumotlarni qayta ishlashning texnik vositalariga, shuningdek, axborot tizimida qo'llaniladigan axborot texnologiyalariga apparat ta'siri. Uskuna va dasturiy ta'minot Rossiya Federatsiyasi qonunchiligiga muvofiq axborotni himoya qilishni ta'minlash uchun belgilangan talablarga javob berishi kerak.

Axborot tizimlarida qayta ishlash jarayonida shaxsiy ma'lumotlarning xavfsizligini ta'minlash uchun nutq ma'lumotlari va texnik vositalar bilan ishlov beriladigan ma'lumotlar, shuningdek, informatsion elektr signallari, fizik maydonlar, qog'oz, magnit, magnitlangan vositalar shaklida taqdim etilgan ma'lumotlarning himoyasi ta'minlanadi. -optik va boshqa asoslar.

3. Axborot tizimlarida axborotni himoya qilish usullari va vositalari o'z vakolatlari doirasida Texnik va eksport nazorati federal xizmati va Rossiya Federatsiyasi Federal xavfsizlik xizmati tomonidan belgilanadi. *3.1)

Axborot tizimlarida shaxsiy ma’lumotlarni qayta ishlash jarayonida ularning xavfsizligini ta’minlash bo‘yicha ko‘rilayotgan chora-tadbirlarning muvofiqligi davlat nazorati va nazorati jarayonida baholanadi.

4. Shaxsiy ma'lumotlarning axborot tizimlarida qayta ishlash jarayonida xavfsizligini ta'minlash bo'yicha ishlar axborot tizimlarini yaratish bo'yicha ishlarning ajralmas qismi hisoblanadi.

5. Axborot tizimlarida foydalaniladigan axborot xavfsizligi vositalari belgilangan tartibda muvofiqlikni baholash tartib-taomilidan o‘tkaziladi.

6. Axborot tizimlari shaxsiy ma'lumotlarni qayta ishlashni tashkil etuvchi va (yoki) amalga oshiruvchi, shuningdek shaxsiy ma'lumotlarni qayta ishlashning maqsadlari va mazmunini belgilovchi davlat organlari, munitsipal organlar, yuridik yoki jismoniy shaxslar tomonidan tasniflanadi (keyingi o'rinlarda). operator), ular tomonidan qayta ishlangan shaxsiy ma'lumotlarning hajmiga va shaxs, jamiyat va davlatning hayotiy manfaatlariga tahdidlarga bog'liq.

Axborot tizimlarini tasniflash tartibi Texnik va eksport nazorati federal xizmati, Rossiya Federatsiyasi Federal xavfsizlik xizmati va Rossiya Federatsiyasi Axborot texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi tomonidan birgalikda belgilanadi.*6.2)

7. Axborot tizimlarida ularni qayta ishlash jarayonida shaxsiy ma'lumotlar almashinuvi aloqa kanallari orqali amalga oshiriladi, ularning muhofazasi tegishli tashkiliy chora-tadbirlarni amalga oshirish va (yoki) texnik vositalardan foydalanish orqali ta'minlanadi.

8. Axborot tizimlarini, maxsus jihozlarni joylashtirish va shaxsiy ma'lumotlar bilan ishlash amalga oshiriladigan binolarni qo'riqlash, ushbu binolarda qo'riqlash rejimini tashkil etish shaxsiy ma'lumotlarni tashuvchilar va axborotni himoya qilish vositalarining xavfsizligini ta'minlashi, shuningdek, shaxsiy ma'lumotlarning xavfsizligini ta'minlashi kerak. ushbu binolarga begona shaxslarning nazoratsiz kirishi yoki bo'lishi ehtimoli

9. Axborot tizimlarida shaxsiy ma'lumotlarni qayta ishlash jarayonida ma'lumotlarning tarqalishining mumkin bo'lgan kanallari Texnik va eksport nazorati federal xizmati va Rossiya Federatsiyasi Federal xavfsizlik xizmati tomonidan o'z vakolatlari doirasida belgilanadi.

10. Axborot tizimida ishlov berilganda shaxsiy ma’lumotlar xavfsizligi operator yoki shartnoma asosida operator shaxsiy ma’lumotlarni qayta ishlashni topshirgan shaxs (keyingi o‘rinlarda vakolatli shaxs) tomonidan ta’minlanadi. Shartnomaning muhim sharti - vakolatli shaxsning shaxsiy ma'lumotlarning maxfiyligini va axborot tizimida qayta ishlanganida shaxsiy ma'lumotlarning xavfsizligini ta'minlash majburiyati.

11. Axborot tizimida shaxsiy ma’lumotlarni qayta ishlashda quyidagilar ta’minlanishi kerak:

a) shaxsiy ma'lumotlarga ruxsatsiz kirishni va (yoki) ularni bunday ma'lumotlarga kirish huquqiga ega bo'lmagan shaxslarga o'tkazishni oldini olishga qaratilgan chora-tadbirlarni amalga oshirish;

b) shaxsiy ma'lumotlarga ruxsatsiz kirish faktlarini o'z vaqtida aniqlash;

c) shaxsiy ma'lumotlarni avtomatlashtirilgan qayta ishlashning texnik vositalariga ta'sir qilishning oldini olish, buning natijasida ularning ishlashi buzilishi mumkin;

d) ruxsatsiz kirish tufayli o'zgartirilgan yoki yo'q qilingan shaxsiy ma'lumotlarni darhol tiklash imkoniyati;

e) shaxsiy ma'lumotlar xavfsizligi darajasini ta'minlash bo'yicha doimiy monitoring.

12. Axborot tizimlarida shaxsiy ma'lumotlarni qayta ishlash jarayonida ularning xavfsizligini ta'minlash bo'yicha chora-tadbirlar quyidagilardan iborat:

a) shaxsiy ma'lumotlarni qayta ishlash jarayonida ularning xavfsizligiga tahdidlarni aniqlash, ular asosida tahdid modelini shakllantirish;

b) tahdid modeli asosida shaxsiy ma'lumotlarni himoya qilish tizimini ishlab chiqish, bu axborot tizimlarining tegishli klassi uchun taqdim etilgan shaxsiy ma'lumotlarni himoya qilish usullari va usullaridan foydalangan holda taxmin qilingan tahdidlarni zararsizlantirishni ta'minlaydi;

v) axborot xavfsizligi vositalarining foydalanishga tayyorligini tekshirish, ulardan foydalanish imkoniyati to'g'risida xulosalar chiqarish;

d) operativ-texnik hujjatlarga muvofiq axborotni muhofaza qilish vositalarini o'rnatish va ishga tushirish;

e) axborot tizimlarida qo'llaniladigan axborot xavfsizligi vositalaridan foydalanuvchi shaxslarni ular bilan ishlash qoidalariga o'rgatish;

f) foydalaniladigan axborotni himoya qilish vositalarini, ular uchun operatsion va texnik hujjatlarni, shaxsiy ma'lumotlarni tashuvchilarni hisobga olish;

g) axborot tizimida shaxsiy ma'lumotlar bilan ishlashga ruxsat berilgan shaxslarni hisobga olish;

z) operativ-texnik hujjatlarda nazarda tutilgan axborot xavfsizligi vositalaridan foydalanish shartlariga rioya etilishini nazorat qilish;

i) shaxsiy ma'lumotlar tashuvchilarni saqlash shartlariga rioya qilmaslik, shaxsiy ma'lumotlarning maxfiyligi buzilishiga olib kelishi mumkin bo'lgan axborot xavfsizligi choralarini qo'llash yoki darajaning pasayishiga olib keladigan boshqa buzilishlar faktlarini tekshirish va xulosalar chiqarish. shaxsiy ma'lumotlarning xavfsizligini ta'minlash, bunday buzilishlarning mumkin bo'lgan xavfli oqibatlarini oldini olish choralarini ishlab chiqish va ko'rish;

j) shaxsiy ma'lumotlarni himoya qilish tizimining tavsifi.

13. Shaxsiy ma'lumotlarning axborot tizimida qayta ishlash jarayonida xavfsizligini ta'minlash bo'yicha chora-tadbirlarni ishlab chiqish va amalga oshirish uchun operator yoki vakolatli shaxs shaxsiy ma'lumotlar xavfsizligini ta'minlash uchun mas'ul bo'lgan tarkibiy bo'linmani yoki mansabdor shaxsni (xodimni) tayinlashi mumkin.

14. Axborot tizimida qayta ishlangan shaxsiy ma’lumotlarga kirish huquqi xizmat (mehnat) vazifalarini bajarish uchun zarur bo‘lgan shaxslarga tegishli shaxsiy ma’lumotlardan foydalanishga operator yoki vakolatli shaxs tomonidan tasdiqlangan ro‘yxat asosida ruxsat etiladi.

15. Axborot tizimidan foydalanuvchilarning shaxsiy ma’lumotlarni, shu jumladan ushbu Nizomning 14-bandida ko‘rsatilgan shaxslarni olishga doir so‘rovlari, shuningdek ushbu so‘rovlar bo‘yicha shaxsiy ma’lumotlarni taqdim etish faktlari axborot tizimining avtomatlashtirilgan vositalari orqali elektron jurnalda qayd etiladi. so'rovlar. Elektron murojaatlar jurnalining mazmuni operatorning tegishli mansabdor shaxslari (xodimlari) yoki vakolatli shaxs tomonidan vaqti-vaqti bilan tekshiriladi.

16. Shaxsiy ma’lumotlarni taqdim etish tartibining buzilishi aniqlangan taqdirda, operator yoki vakolatli shaxs axborot tizimi foydalanuvchilariga shaxsiy ma’lumotlarni taqdim etishni huquqbuzarliklarning sabablari aniqlanguniga va ushbu sabablar bartaraf etilgunga qadar darhol to‘xtatib turadi.

17. Axborot xavfsizligini ta’minlash vositalarida axborot xavfsizligini ta’minlashga doir talablarni amalga oshirish ularni ishlab chiquvchilar zimmasiga yuklanadi.

Axborot tizimlarida shaxsiy ma'lumotlarni qayta ishlash jarayonida ularning xavfsizligini ta'minlash uchun ishlab chiqilgan shifrlash (kriptografik) axborot xavfsizligi vositalariga nisbatan, axborot xavfsizligi talablariga muvofiqligini tekshirish uchun amaliy tadqiqotlar va nazorat misollari o'tkaziladi. Bunda amaliy tadqiqotlar deganda axborotni himoya qilish vositalarining kriptografik, muhandislik-kriptografik va maxsus tadqiqotlari va axborot tizimlarining texnik vositalari bilan maxsus ishlash tushuniladi, nazorat misolida esa vaqti-vaqti bilan o‘tkaziladigan amaliy ishlar tushuniladi.

Nazorat misollarini o'tkazishning aniq muddatlari Rossiya Federatsiyasi Federal xavfsizlik xizmati tomonidan belgilanadi.

18. Axborot tizimlarida qayta ishlash jarayonida shaxsiy ma'lumotlar xavfsizligini ta'minlash uchun mo'ljallangan axborot xavfsizligi vositalarining muvofiqligini baholash va (yoki) amaliy tadqiqotlar natijalari Texnik va eksport nazorati bo'yicha Federal xizmat va Federal qonun hujjatlarida belgilangan ekspertiza o'tkazish jarayonida baholanadi. Rossiya Federatsiyasi xavfsizlik xizmati o'z vakolatlari doirasida.

19. Axborot tizimlarida shaxsiy ma'lumotlarni qayta ishlash jarayonida ularning xavfsizligini ta'minlashga qaratilgan axborot xavfsizligi choralari Texnik va eksport nazorati federal xizmati va Rossiya Federatsiyasi Federal xavfsizlik xizmati bilan kelishilgan ushbu vositalardan foydalanish qoidalari bilan birga keladi. vakolatlari doirasida.

Ushbu qoidalarda nazarda tutilgan axborotni himoya qilish vositalaridan foydalanish shartlariga o'zgartirishlar ushbu federal ijroiya organlari bilan o'z vakolatlari doirasida kelishilgan holda amalga oshiriladi.

20. Axborot tizimlarida shaxsiy ma'lumotlarni qayta ishlash jarayonida ularning xavfsizligini ta'minlash uchun mo'ljallangan axborot xavfsizligini ta'minlash choralari indekslar yoki kod nomlari va ro'yxatga olish raqamlaridan foydalangan holda hisobga olinadi. Indekslar, kod nomlari va ro'yxatga olish raqamlari ro'yxati Texnik va eksport nazorati federal xizmati va Rossiya Federatsiyasi Federal xavfsizlik xizmati tomonidan o'z vakolatlari doirasida belgilanadi.

21. Axborotni himoya qilishning shifrlash (kriptografik) vositalarini ishlab chiqish, ishlab chiqarish, joriy etish va ulardan foydalanish va axborot tizimlarida ularni qayta ishlash jarayonida shaxsiy ma'lumotlarni shifrlash xizmatlarini ko'rsatish xususiyatlari Rossiya Federatsiyasi Federal xavfsizlik xizmati tomonidan belgilanadi.

Elektron hujjat matni
Kodeks OAJ tomonidan tayyorlangan va quyidagilarga nisbatan tasdiqlangan:
Qonun hujjatlari to'plami
Rossiya Federatsiyasi,
N 48, 26.11.2007 y., 6001-modda

Rossiya Federatsiyasi Hukumatining 2012 yil 1 noyabrdagi 1119-son qarori.
"Shaxsiy ma'lumotlarning axborot tizimlarida qayta ishlash jarayonida shaxsiy ma'lumotlarni himoya qilish talablarini tasdiqlash to'g'risida"

"Shaxsiy ma'lumotlar to'g'risida" Federal qonunining 19-moddasiga muvofiq Rossiya Federatsiyasi hukumati qaror qiladi:

1. Shaxsiy ma'lumotlarning axborot tizimlarida ularni qayta ishlash jarayonida shaxsiy ma'lumotlarni himoya qilish bo'yicha ilova qilingan talablar tasdiqlansin.

2. Rossiya Federatsiyasi Hukumatining 2007 yil 17 noyabrdagi 781-sonli "Shaxsiy ma'lumotlarning axborot tizimlarida qayta ishlash jarayonida shaxsiy ma'lumotlar xavfsizligini ta'minlash to'g'risidagi nizomni tasdiqlash to'g'risida"gi qarori o'z kuchini yo'qotgan deb topilsin (Rossiya Federatsiyasi qonunchiligi to'plami). , 2007 yil, N 48, 6001-modda).

Talablar
shaxsiy ma'lumotlarning axborot tizimlarida qayta ishlash jarayonida shaxsiy ma'lumotlarni himoya qilish
(Rossiya Federatsiyasi Hukumatining 2012 yil 1 noyabrdagi 1119-son qarori bilan tasdiqlangan)

1. Ushbu hujjat shaxsiy ma'lumotlarning axborot tizimlarida (keyingi o'rinlarda axborot tizimlari deb yuritiladi) qayta ishlashda shaxsiy ma'lumotlarni himoya qilish talablarini va bunday ma'lumotlarning xavfsizlik darajalarini belgilaydi.

2. Axborot tizimida qayta ishlangan shaxsiy ma’lumotlar xavfsizligi 19-moddaning 5-qismiga muvofiq aniqlangan joriy tahdidlarni zararsizlantiradigan shaxsiy ma’lumotlarni himoya qilish tizimi yordamida ta’minlanadi.

Shaxsiy ma'lumotlarni himoya qilish tizimi shaxsiy ma'lumotlar va axborot tizimlarida qo'llaniladigan axborot texnologiyalari xavfsizligiga joriy tahdidlarni hisobga olgan holda belgilanadigan tashkiliy va (yoki) texnik choralarni o'z ichiga oladi.

3. Axborot tizimida ishlov berilganda shaxsiy ma’lumotlar xavfsizligi shaxsiy ma’lumotlarni qayta ishlovchi ushbu tizim operatori (keyingi o‘rinlarda operator deb yuritiladi) yoki operator nomidan shaxsiy ma’lumotlarni qayta ishlovchi shaxs tomonidan ta’minlanadi. ushbu shaxs bilan tuzilgan shartnoma (keyingi o'rinlarda vakolatli shaxs deb yuritiladi). Operator va vakolatli shaxs o'rtasidagi kelishuvda vakolatli shaxsning axborot tizimida qayta ishlanayotganda shaxsiy ma'lumotlar xavfsizligini ta'minlash majburiyati nazarda tutilishi kerak.

4. Shaxsiy ma'lumotlarni himoya qilish tizimi uchun axborot xavfsizligi vositalarini tanlash operator tomonidan Rossiya Federatsiyasi Federal xavfsizlik xizmati va Texnik va eksport nazorati federal xizmati tomonidan 4-qismga muvofiq qabul qilingan normativ-huquqiy hujjatlarga muvofiq amalga oshiriladi. "Shaxsiy ma'lumotlar to'g'risida" Federal qonunining 19-moddasi.

5. Axborot tizimi - shaxsiy ma'lumotlar sub'ektlarining irqi, millati, siyosiy qarashlari, diniy yoki falsafiy e'tiqodlari, sog'lig'i holati, intim hayoti bilan bog'liq shaxsiy ma'lumotlarni qayta ishlovchi shaxsiy ma'lumotlarning maxsus toifalari.

Axborot tizimi - bu biometrik shaxsiy ma'lumotlarni qayta ishlaydigan, agar u insonning fiziologik va biologik xususiyatlarini tavsiflovchi ma'lumotlarni qayta ishlayotgan bo'lsa, uning asosida uning shaxsini aniqlash mumkin bo'lgan va operator tomonidan shaxsning shaxsini aniqlash uchun foydalaniladigan axborot tizimidir. shaxsiy ma'lumotlar sub'ekti va shaxsiy ma'lumotlarning maxsus toifalari bilan bog'liq ma'lumotlarni qayta ishlamaydi.

Axborot tizimi - bu "Shaxsiy ma'lumotlar to'g'risida" gi Federal qonunning 8-moddasiga muvofiq yaratilgan shaxsiy ma'lumotlarning ochiq manbalaridan olingan shaxsiy ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarini qayta ishlaydigan, agar u shaxsiy ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarini qayta ishlayotgan bo'lsa, ommaviy axborot tizimi.

Axborot tizimi - agar ushbu bandning birinchidan uchinchigacha bo'lgan bandlarida ko'rsatilgan shaxsiy ma'lumotlarni qayta ishlamasa, boshqa toifadagi shaxsiy ma'lumotlarni qayta ishlaydigan axborot tizimi.

Axborot tizimi - bu operator xodimlarining shaxsiy ma'lumotlarini qayta ishlaydigan axborot tizimi, agar u faqat ko'rsatilgan xodimlarning shaxsiy ma'lumotlarini qayta ishlasa. Boshqa hollarda, shaxsiy ma'lumotlarning axborot tizimi operatorning xodimlari bo'lmagan shaxsiy ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarini qayta ishlaydigan axborot tizimidir.

6. Shaxsiy ma'lumotlar xavfsizligiga joriy tahdidlar deganda, axborot tizimida qayta ishlash jarayonida shaxsiy ma'lumotlarga ruxsatsiz, shu jumladan tasodifiy kirishning mavjud xavfini yaratuvchi shartlar va omillar majmui tushuniladi, bu esa yo'q qilinishi, o'zgartirilishi, o'zgartirilishi va boshqa ma'lumotlarning buzilishiga olib kelishi mumkin. shaxsiy ma'lumotlarni bloklash, nusxalash, taqdim etish, tarqatish, shuningdek, boshqa noqonuniy harakatlar.

1-toifa tahdidlar, agar axborot tizimida foydalaniladigan tizim dasturiy ta'minotida hujjatsiz (e'lon qilinmagan) imkoniyatlar mavjudligi bilan bog'liq tahdidlar ham unga tegishli bo'lsa, axborot tizimiga tegishlidir.

2-toifa tahdidlar, agar axborot tizimida foydalaniladigan amaliy dasturiy ta'minotda hujjatsiz (e'lon qilinmagan) imkoniyatlar mavjudligi bilan bog'liq tahdidlar ham axborot tizimi uchun tegishli bo'lsa.

3-toifa tahdidlar, agar tizimda hujjatlashtirilmagan (e'lon qilinmagan) imkoniyatlar mavjudligi bilan bog'liq bo'lmagan tahdidlar va axborot tizimida foydalaniladigan amaliy dasturiy ta'minot unga tegishli bo'lsa, axborot tizimiga tegishlidir.

7. Axborot tizimiga tegishli shaxsiy ma'lumotlar xavfsizligiga tahdidlar turini aniqlash operator tomonidan Federal qonunning 18.1-moddasi 1-qismining 5-bandiga muvofiq amalga oshirilgan mumkin bo'lgan zararni baholashni hisobga olgan holda amalga oshiriladi. "Shaxsiy ma'lumotlar to'g'risida" va "Shaxsiy ma'lumotlar to'g'risida" Federal qonunining 19-moddasi 5-qismiga muvofiq qabul qilingan normativ-huquqiy hujjatlarga muvofiq.

8. Axborot tizimlarida shaxsiy ma'lumotlarni qayta ishlashda shaxsiy ma'lumotlar xavfsizligining 4 darajasi o'rnatiladi.

9. Axborot tizimida shaxsiy ma'lumotlarni qayta ishlash jarayonida ularning xavfsizligining 1-darajasini ta'minlash zarurati, agar quyidagi shartlardan kamida bittasi mavjud bo'lsa, belgilanadi:

a) 1-toifa tahdidlar axborot tizimiga tegishli bo'lib, axborot tizimi shaxsiy ma'lumotlarning maxsus toifalari yoki biometrik shaxsiy ma'lumotlar yoki shaxsiy ma'lumotlarning boshqa toifalarini qayta ishlaydi;

b) 2-toifa tahdidlar axborot tizimiga tegishli bo'lib, axborot tizimi operator xodimlari bo'lmagan 100 000 dan ortiq shaxsiy ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarining maxsus toifalarini qayta ishlaydi.

10. Shaxsiy ma'lumotlarni axborot tizimida qayta ishlashda 2-darajali xavfsizligini ta'minlash zarurati, agar quyidagi shartlardan kamida bittasi mavjud bo'lsa, belgilanadi:

a) 1-toifa tahdidlar axborot tizimiga tegishli bo'lib, axborot tizimi hamma uchun ochiq bo'lgan shaxsiy ma'lumotlarni qayta ishlaydi;

b) 2-toifa tahdidlar axborot tizimiga tegishli va axborot tizimi operator xodimlarining shaxsiy ma'lumotlarining maxsus toifalarini yoki operator xodimlari bo'lmagan 100 000 dan kam shaxsiy ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarining maxsus toifalarini qayta ishlaydi;

c) 2-toifa tahdidlar axborot tizimiga tegishli va axborot tizimi biometrik shaxsiy ma'lumotlarni qayta ishlaydi;

d) 2-toifa tahdidlar axborot tizimiga tegishli bo'lib, axborot tizimi operator xodimlari bo'lmagan 100 000 dan ortiq shaxsiy ma'lumotlar sub'ektlarining hamma uchun ochiq bo'lgan shaxsiy ma'lumotlarini qayta ishlaydi;

e) 2-toifa tahdidlar axborot tizimiga tegishli bo'lib, axborot tizimi operator xodimlari bo'lmagan 100 000 dan ortiq shaxsiy ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarining boshqa toifalarini qayta ishlaydi;

f) 3-toifa tahdidlar axborot tizimi uchun dolzarbdir va axborot tizimi operator xodimlari bo'lmagan 100 000 dan ortiq shaxsiy ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarining maxsus toifalarini qayta ishlaydi.

11. Axborot tizimida shaxsiy ma'lumotlarni qayta ishlash jarayonida ularning xavfsizligining 3-darajasini ta'minlash zarurati, agar quyidagi shartlardan kamida bittasi mavjud bo'lsa, belgilanadi:

a) 2-toifa tahdidlar axborot tizimiga taalluqlidir va axborot tizimi operator xodimlarining umumiy foydalanishi mumkin bo'lgan shaxsiy ma'lumotlarini yoki operator xodimlari bo'lmagan 100 000 dan kam shaxsiy ma'lumotlar sub'ektlarining hamma uchun ochiq bo'lgan shaxsiy ma'lumotlarini qayta ishlaydi;

b) 2-toifa tahdidlar axborot tizimiga tegishli bo'lib, axborot tizimi operator xodimlarining shaxsiy ma'lumotlarining boshqa toifalarini yoki operator xodimlari bo'lmagan 100 000 dan kam shaxsiy ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarining boshqa toifalarini qayta ishlaydi;

c) 3-toifa tahdidlar axborot tizimi uchun dolzarbdir va axborot tizimi operator xodimlarining shaxsiy ma'lumotlarining maxsus toifalarini yoki operator xodimlari bo'lmagan 100 000 dan kam shaxsiy ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarining maxsus toifalarini qayta ishlaydi;

d) 3-toifa tahdidlar axborot tizimiga tegishli va axborot tizimi biometrik shaxsiy ma'lumotlarni qayta ishlaydi;

e) 3-toifa tahdidlar axborot tizimiga tegishli bo'lib, axborot tizimi operator xodimlari bo'lmagan 100 000 dan ortiq shaxsiy ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarining boshqa toifalarini qayta ishlaydi.

12. Shaxsiy ma'lumotlarni axborot tizimida qayta ishlashda 4-darajali xavfsizligini ta'minlash zarurati, agar quyidagi shartlardan kamida bittasi mavjud bo'lsa, belgilanadi:

a) 3-toifa tahdidlar axborot tizimiga tegishli va axborot tizimi hamma uchun ochiq bo'lgan shaxsiy ma'lumotlarni qayta ishlaydi;

b) 3-toifa tahdidlar axborot tizimiga tegishli bo'lib, axborot tizimi operator xodimlarining shaxsiy ma'lumotlarining boshqa toifalarini yoki operator xodimlari bo'lmagan 100 000 dan kam shaxsiy ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarining boshqa toifalarini qayta ishlaydi.

13. Axborot tizimlarida shaxsiy ma’lumotlarni qayta ishlashda ularning xavfsizligining 4-darajasini ta’minlash uchun quyidagi talablar bajarilishi kerak:

a) axborot tizimi joylashgan binolar uchun xavfsizlik rejimini tashkil etish, ushbu binolarga kirish imkoni bo'lmagan shaxslarning ushbu binolarga nazoratsiz kirishi yoki qolishining oldini olish;

b) shaxsiy ma'lumotlar tashuvchilarning xavfsizligini ta'minlash;

v) operator rahbari tomonidan axborot tizimida qayta ishlangan shaxsiy ma'lumotlarga kirishi o'z xizmat (mehnat) vazifalarini bajarish uchun zarur bo'lgan shaxslar ro'yxatini belgilovchi hujjatni tasdiqlash;

d) Rossiya Federatsiyasining axborot xavfsizligi sohasidagi qonun hujjatlari talablariga muvofiqligini baholash tartibidan o'tgan axborot xavfsizligi vositalaridan foydalanish, agar mavjud tahdidlarni zararsizlantirish uchun bunday vositalardan foydalanish zarur bo'lsa.

14. Shaxsiy ma'lumotlarning axborot tizimlarida qayta ishlashda xavfsizligining 3-darajasini ta'minlash uchun ushbu hujjatning 13-bandida nazarda tutilgan talablarni bajarishdan tashqari, xavfsizlikni ta'minlash uchun mas'ul mansabdor shaxs (xodim) tayinlanishi zarur. axborot tizimidagi shaxsiy ma'lumotlar.

15. Shaxsiy ma'lumotlarning axborot tizimlarida qayta ishlash jarayonida xavfsizligining 2-darajasini ta'minlash uchun ushbu hujjatning 14-bandida nazarda tutilgan talablarni bajarishdan tashqari, elektron xabarlar jurnali mazmuniga kirish faqat operatorning mansabdor shaxslari (xodimlari) yoki ko'rsatilgan jurnaldagi ma'lumotlar xizmat (mehnat) vazifalarini bajarish uchun zarur bo'lgan vakolatli shaxs uchun.

16. Shaxsiy ma'lumotlarning axborot tizimlarida qayta ishlashda xavfsizligining 1-darajasini ta'minlash uchun ushbu hujjatning 15-bandida nazarda tutilgan talablardan tashqari quyidagi talablar bajarilishi kerak:

a) operator xodimining axborot tizimidagi shaxsiy ma'lumotlarga kirish vakolatlaridagi o'zgarishlarni elektron xavfsizlik jurnalida avtomatik ravishda ro'yxatdan o'tkazish;

b) axborot tizimida shaxsiy ma'lumotlar xavfsizligini ta'minlash uchun mas'ul bo'lgan tarkibiy bo'linmani yaratish yoki bunday xavfsizlikni ta'minlash bo'yicha funktsiyalarni tarkibiy bo'linmalardan biriga yuklash.

17. Mazkur talablarga rioya etilishi monitoringi operator (vakolatli shaxs) tomonidan mustaqil ravishda va (yoki) shartnoma asosida yuridik shaxslarni va maxfiy maʼlumotlarni texnik muhofaza qilish boʻyicha faoliyatni amalga oshirish uchun litsenziyaga ega boʻlgan yakka tartibdagi tadbirkorlarni jalb qilgan holda tashkil etiladi va amalga oshiriladi. ma `lumot. Belgilangan nazorat operator (vakolatli shaxs) tomonidan belgilangan muddatlarda kamida 3 yilda bir marta amalga oshiriladi.

ROSSIYA FEDERASİYASI HUKUMATI

TALABLARNI TASDIQLASH HAQIDA

"Shaxsiy ma'lumotlar to'g'risida" Federal qonunining 19-moddasiga muvofiq Rossiya Federatsiyasi hukumati qaror qiladi:

1. Shaxsiy ma'lumotlarning axborot tizimlarida ularni qayta ishlash jarayonida shaxsiy ma'lumotlarni himoya qilish bo'yicha ilova qilingan talablar tasdiqlansin.

Hukumat raisi
Rossiya Federatsiyasi
D.MEDVEDEV

Tasdiqlangan
Hukumat qarori
Rossiya Federatsiyasi
2012 yil 1 noyabrdagi N 1119-son

TALABLAR
SHAXSIY MA'LUMOTLARNI QAYTA QILISHDA HIMOYA QILIShGA
SHAXSIY MA'LUMOTLAR AXBOROT TIZIMLARIDA

2. Axborot tizimida qayta ishlangan shaxsiy ma'lumotlarning xavfsizligi "Shaxsiy ma'lumotlar to'g'risida" Federal qonunining 19-moddasi 5-qismiga muvofiq aniqlangan joriy tahdidlarni zararsizlantiradigan shaxsiy ma'lumotlarni himoya qilish tizimi yordamida ta'minlanadi.

7. Axborot tizimiga tegishli shaxsiy ma'lumotlar xavfsizligiga tahdidlar turini aniqlash operator tomonidan Federal qonunning 18.1-moddasi 1-qismining 5-bandiga muvofiq amalga oshirilgan mumkin bo'lgan zararni baholashni hisobga olgan holda amalga oshiriladi ". Shaxsiy ma'lumotlar to'g'risida" va "Shaxsiy ma'lumotlar to'g'risida" Federal qonunining 19-moddasi 5-qismiga muvofiq qabul qilingan normativ-huquqiy hujjatlarga muvofiq.