1119 személyes adat. Határozat a személyes adatok védelmére vonatkozó követelmények jóváhagyásáról a személyes adatok információs rendszerekben történő feldolgozása során - Rossiyskaya Gazeta

A kezek, amelyek régóta a billentyűzet után nyúltak az új szabályozási remekmű felett, már csontig vannak verve. Már nem lehet visszafogni magam és elviselni. muszáj lesz írnom. Ezen túlmenően a mai napon hatályba lép a 2012.11.01. 1119. sz., „A személyes adatok személyes adatok információs rendszerekben történő kezelése során történő védelmére vonatkozó követelmények jóváhagyásáról” szóló határozat, amely hatályon kívül helyezi a 2007.11.17-i 781. számú határozatot. A közzétételtől számított hét nap lejár.

Őszintén megvallva, a szakmai közösség kollégáinak reakciója az új határozatra, amely tulajdonképpen meghatározza az információs rendszerekben a személyes adatok feldolgozásának műszaki biztonságának kiépítésének rendszerét, nem csak meglepett, hanem inkább megdöbbentett. A résznek, és nem is kicsinek tetszett, mert véleményük szerint semmi alapvetően újat nem tartalmaz, és nem húzza tovább az anyákat, sőt a követelmények száma is csökkent a PP-781-hez képest. A kollégák egy része szidja a dokumentumot, de az nagyon általános, főleg a konkrétumok hiánya miatt.

Kicsit más véleményem volt a követelményekről, ezt röviden kifejtettem a mai webináriumon, amelyet ügynökségünk a "Biztonsági kódex" céggel közösen tartott, és az ezzel kapcsolatos kérdések száma végül késztetett ennek a bejegyzésnek a megírására.

Jövőképem rendszerezése érdekében több polcot is kidolgoztam, amelyekre kiteregetem a dokumentumról alkotott értékelésemet. Elnézést, sok levél lesz. Magasan. Gondosan válogattam össze a szavakat, hogy az olvasók kategóriája 0+ legyen.

Az első polc. A törvénynek való megfelelés. A PP-1119 kiadása a „Személyes adatokról” szóló 152-FZ új kiadása 19. cikke 3. része 1. és 2. pontjának közvetlen követelménye. Ez az, ami lehetővé teszi, hogy nagyon élesen értékeljem ezen a polcon a dolgok állását. A kormányrendelet nem felel meg a törvénynek. A törvény öt tényezőtől függően írta elő a biztonsági szinteket és az azokra vonatkozó követelményeket:

· a személyes adatok alanyának esetleges sérelme,

· a kezelt személyes adatok mennyisége,

· a kezelt személyes adatok tartalmát,

· az a tevékenység, amelynek végrehajtása során a személyes adatokat kezelik,

· a személyes adatok biztonságát fenyegető veszélyek relevanciája.

A tevékenységek típusai, és ami különösen fontos, az alany sérelme általában hiányzik az elfogadott dokumentumból minősítő jelként. A Követelmények 7. pontjában az üzemeltető "egyáltalán nem humánus", nem mondhatok mást, javasolt az információs rendszer szempontjából releváns személyes adatok biztonságát fenyegető veszélyek fajtáinak önálló meghatározása, figyelembe véve az információs rendszert. lehetséges károkat, az FSB és az FSTEC még nem létező dokumentumai alapján. Azok. az óvoda vezetője vagy a csőhengermű automatizálási osztályának vezetője (mivel az ilyen szervezetekben egyszerűen nincs más, aki ilyen problémákkal foglalkozzon) felméri, hogy a személyzettől, gyerekektől, látogatóktól és a rokonai. Az országban ennek a problémának a módszertani fejlesztéseinek teljes hiányával. Aki legalább egy kicsit is találkozott már ilyen kérdésekkel, az tudja, hogy az állampolgári jogokat sértő kárösszeg megállapításának problémája az egyik legnehezebb az ítélkezési gyakorlatban és a bírósági eljárásokban. De úgy tűnik, felidézve a klasszikus posztulátumot az egyes szakácsok képességeiről, a szerzők úgy döntöttek, hogy a közösségi beszerzés megoldhatja a problémát. A Roszkomnadzor szerint körülbelül hétmillió szolgáltató működik. Nézze meg, mit találnak ki. Klasszikus példa a probléma egyik fejből a másikba való áthelyezésére, tudod melyik.

Tevékenységekkel is, lesből. Tekintettel arra, hogy a törvény új változata nem hagy teret a személyes adatokkal való munkavégzésre vonatkozó iparági szabványoknak, ezeket a típusokat egyféleképpen figyelembe kell venni - az FSZB által kitalálton felüli biztonsági fenyegetésekkel, ill. FSTEC, amely valójában a törvény 19. cikkének 5. és 6. részében van megfogalmazva. Pont. Csak az új fenyegetések azonosítása érdekében, és nem gondoskodni semmiféle engedékenységről, mint amilyenben az Egészségügyi Minisztérium egykor módszertani dokumentumaiban megállapodott az FSTEC-vel.

Második polc. Módszertan. A polc a leginkább ... rosszul lógott. Mivel a módszertan tartalmazza a dokumentum legfontosabb, legfontosabb problémáit. A Követelmények a legfőbb veszélyek kinyilvánításával, amelyek elkerülhetetlenül a legmagasabb szintű biztonsági szint kialakításához vezetnek (lásd 1. táblázat), a rendszer- és alkalmazásszoftverek nem deklarált (nem dokumentált) képességeit, a Követelmények egyáltalán nem javasolnak semmilyen módszert és módot ezek semlegesítésére. Az ilyen módszerek esetében csak magát a szoftvert ellenőrizheti a könyvjelzők és más rossz szokások hiánya miatt. És ezt az üzemeltetőktől, legalábbis a PP-1119-ben, senki sem követeli meg.

Asztal 1

ISPDN típus	Üzemeltető személyzet	Tantárgyak száma	Jelenlegi fenyegetés típusa
1	2	3
ISPDn-S	Nem	> 100 000	UZ-1	UZ-1	UZ-2
Nem	< 100 000	UZ-1	UZ-2	UZ-3
Igen
ISPDn-B			UZ-1	UZ-2	UZ-3
ISPDn-I	Nem	> 100 000	UZ-1	UZ-2	UZ-3
Nem	< 100 000	UZ-2	UZ-3	UZ-4
Igen
ISPDn-O	Nem	> 100 000	UZ-2	UZ-2	UZ-4
Nem	< 100 000	UZ-2	UZ-3	UZ-4
Igen

Logikai bombák, hátsó ajtók és egyéb gonosz szellemek kezelését a régi, bevált módszerekkel kínálják - gramofontűkkel és töretlen végtagok vakolatával. Lásd a 2. táblázatot.

2. táblázat

Követelmények	Szintek Biztonság
1	2	3	4
Azon helyiségek biztonsági módja, ahol személyes adatokat dolgoznak fel
A személyes adathordozók biztonsága
A személyes adatok birtokába jutott személyek listája
SIZ-ek, amelyek megfeleltek a megfelelőségértékelési eljáráson
A személyes adatok biztonságának biztosításáért felelős tisztviselő az ISPDN-ben
Az elektronikus üzenetnapló tartalmához való hozzáférés korlátozása
Az üzemeltető alkalmazottjának személyes adatokhoz való hozzáférési jogosultságában bekövetkezett változások automatikus regisztrálása az elektronikus biztonsági naplóban
A személyes adatok biztonságának biztosításáért felelős strukturális egység

Azt, hogy a tanúsított tűzfalak használata és a felelős részleg (illetve felelős személy) kijelölése hogyan segítheti elő, hogy az operációs rendszer ne befolyásolja a feldolgozott adatokat, azt nyilván csak a szerzők tudják.

A harmadik polc. Terminológia. És ez a dokumentum legtitokzatosabb része. Hogy honnan jöttek az „üzemeltető alkalmazottai”, és miért nem azok a munkavállalók, akiknek a jogállását a Munka Törvénykönyve egyértelműen leírja, az egyszerű és kézenfekvő kérdés. De mi az "elektronikus üzenetnapló" (15. tétel), és miben különbözik az "elektronikus biztonsági naplótól" (16. tétel), ha különbözik egyáltalán - van egy nagy titok. Gondolom, a rönkökről van szó. Milyen naplók? OS? DB? Csikk? SZI? Mind együtt vagy valami külön? Megválaszolatlan kérdések.

Az állásfoglalás bevezeti a nyilvánosan elérhető személyes adatokat feldolgozó információs rendszer fogalmát, amely hiányzik a törvényből, és az ilyen adatokat csak a 152-FZ 8. cikkének megfelelően létrehozott személyes adatok nyilvánosan elérhető forrásaiból származónak tekinti.

És ha más módon kapják meg, például ha ez olyan információ, amely közzétételre és kötelező nyilvánosságra hozatalra szorul, például a jogi személyek egységes állami nyilvántartásából és a jogi személyek egységes állami nyilvántartásából származó információkról, amelyek nyilvánosan elérhetők a a jogi személyek és egyéni vállalkozók állami nyilvántartásáról szóló szövetségi törvény. Vagy információ az értékpapír-kibocsátó kapcsolt személyeiről. Vagy a képviselőjelöltek személyes adatait közzé kell tenni. Hogyan bánjunk velük? Ismét egy kérdés, amire nincs válasz.

Végül a megfelelőségértékelés. Az információbiztonsági rendszerrel kapcsolatban a lezárt 330. számú határozatot leszámítva egyetlen törvényben sem található magyarázat, továbbra is körbejárja a szabályozási kereteket. De még ha az üzemeltető látta is ezt a határozatot, akkor sem értette meg, hogyan történik a megfelelőségértékelés az állami ellenőrzés és felügyelet során. És felmérni, milyen következményekkel jár a kontroller érkezésére való várakozás és viselkedése a nem igazolt pénzeszközök láttán is. Nos, ne felejtsük el, hogy a törvény új változatában a személyes adatok kezelésére vonatkozó szabályozó jogszabályok hivatalos közzététel tárgyát képezik.

A negyedik polc. Alkalmazhatóság. A határozatot csak az FSB és az FSTEC vonatkozó jogszabályainak, valamint a 19 152-FZ cikk 4. részében előírtak, valamint az állami politika és jogi szabályozás kialakításának feladatait ellátó szövetségi végrehajtó szervek elfogadása után lehet teljes mértékben végrehajtani. a megállapított tevékenységi területen az Orosz Föderációt alkotó jogalanyok állami hatóságai, az Orosz Bank, az állami költségvetésen kívüli alapok szervei, egyéb állami szervek a személyes adatok biztonságát fenyegető aktuális veszélyek meghatározása céljából (a 19 152-FZ. cikk 5. része, a Követelmények 2. szakasza), amelyek hiányoznak, és nem ismert, hogy mikor fogadják el őket. Ilyen feltételek mellett gyakorlatilag lehetetlen, hogy az üzemeltető teljesítse a megállapított követelményeket. Visszatérek az óvoda vezetőjéhez és a csőhengermű automatizálási osztályvezetőjéhez. Ki fogja először elmagyarázni, mik a „be nem jelentett rendszerszoftver-képességek”, és milyen kritériumok alapján fogja értékelni ennek a fenyegetésnek a relevanciáját? Mi késztetheti a második személyt arra, hogy felismerje ezeket a fenyegetéseket az üzeme szempontjából relevánsnak, és hogy vállaljon további problémákat? Hogyan fogják értékelni azt a kárt, amelyről az első polc elemzésekor írtak? Várjuk meg az FSB és az FSTEC dokumentumait. Valami azt súgja nekem, hogy nem lehet egyszerűen megtagadni a be nem jelentett lehetőségek semlegesítését. A bankok és a távközlés végül kitalálják. És mi van a többiekkel, akik nem rendelkeznek az FSB / FSTEC szakosodott szakembereivel és engedélyeivel - iskolák és egyetemek, kórházak és klinikák, anyakönyvi hivatalok és munkaügyi központok stb., stb.? Semmi, de megdöbbent, egy ilyen dokumentum nem okozhatja őket.

önéletrajzot nem írok. És így minden világos.

A személyes adatokról szóló szövetségi törvény 19. cikkével összhangban az Orosz Föderáció kormánya úgy dönt:

1. Jóváhagyni a csatolt követelményeket a személyes adatok védelmére a személyes adatok információs rendszerekben történő feldolgozása során.

2. Érvénytelennek kell ismerni az Orosz Föderáció kormányának 2007. november 17-i N 781 „A személyes adatok biztonságának biztosításáról szóló rendelet jóváhagyásáról a személyes adatok információs rendszerekben történő feldolgozása során” határozatát (az Orosz Föderáció összegyűjtött jogszabályai). Federation, 2007, N 48, Art. 6001) ...

Az Orosz Föderáció kormányának elnöke

D. Medvegyev

A személyes adatok védelmére vonatkozó követelmények a személyes adatok információs rendszerekben történő feldolgozása során

1. Jelen dokumentum meghatározza a személyes adatok védelmére vonatkozó követelményeket a személyes adatok információs rendszerekben (a továbbiakban: információs rendszerekben) történő feldolgozásuk során, valamint az ilyen adatok biztonsági szintjeit.

2. A személyes adatok biztonságát az információs rendszerben történő feldolgozásuk során a személyes adatok védelmi rendszere biztosítja, amely semlegesíti a „Személyes adatokról” szóló szövetségi törvény 19. cikkének 5. részével összhangban azonosított tényleges fenyegetéseket.

A személyes adatok védelmi rendszere a személyes adatok biztonságát fenyegető aktuális veszélyek és az információs rendszerekben használt információs technológiák figyelembevételével meghatározott szervezési és (vagy) technikai intézkedéseket tartalmaz.

3. A személyes adatok információs rendszerben történő kezelése során a személyes adatok biztonságát e rendszer üzemeltetője, aki személyes adatot kezel (a továbbiakban: üzemeltető), illetve az, aki az üzemeltető nevében a személyes adatokat kezeli. az e személlyel (a továbbiakban: meghatalmazott) kötött megállapodás alapján. Az üzemeltető és a meghatalmazott közötti megállapodásnak rendelkeznie kell arról, hogy a meghatalmazott köteles gondoskodni a személyes adatok biztonságáról azok információs rendszerben történő kezelése során.

4. A személyes adatok védelmére szolgáló rendszer információvédelmi eszközeinek megválasztását az üzemeltető végzi az Orosz Föderáció Szövetségi Biztonsági Szolgálata és a Szövetségi Műszaki és Exportellenőrzési Szolgálat által elfogadott szabályozási jogi aktusokkal összhangban. A személyes adatokról szóló szövetségi törvény 19. cikkének 4. cikke.

5. Az információs rendszer olyan információs rendszer, amely a személyes adatok speciális kategóriáit kezeli, ha az érintettek faji, nemzetiségi, politikai nézetei, vallási vagy filozófiai meggyőződésére, egészségi állapotára, intim életére vonatkozó személyes adatokat kezel.

Az információs rendszer olyan információs rendszer, amely biometrikus személyes adatokat dolgoz fel, ha olyan információkat dolgoz fel, amelyek a személy fiziológiai és biológiai tulajdonságait jellemzik, amelyek alapján megállapítható a személyazonossága, és amelyeket az üzemeltető a személyazonosság megállapítására használ fel. a személyes adatok alanyáról, valamint a személyes adatok különleges kategóriáihoz kapcsolódó információkról.

Az információs rendszer olyan információs rendszer, amely nyilvánosan elérhető személyes adatokat dolgoz fel, ha a személyes adatok alanyainak személyes adatait csak a személyes adatokról szóló szövetségi törvény 8. cikkével összhangban létrehozott, nyilvánosan elérhető személyes adatok forrásaiból dolgozzák fel.

Az információs rendszer olyan információs rendszer, amely más kategóriájú személyes adatokat kezel, ha nem a jelen pont (1)–3. bekezdésében meghatározott személyes adatokat kezeli.

Az információs rendszer olyan információs rendszer, amely az üzemeltető alkalmazottainak személyes adatait kezeli, ha csak a meghatározott munkavállalók személyes adatait kezeli. Egyéb esetekben a személyes adatok információs rendszere olyan információs rendszer, amely olyan személyes érintettek személyes adatait dolgozza fel, akik nem az üzemeltető alkalmazottai.

6. A személyes adatok biztonságát fenyegető tényleges fenyegetések alatt olyan feltételek és tényezők együttesét kell érteni, amelyek az információs rendszerben történő feldolgozás során a személyes adatokhoz való jogosulatlan, ideértve a véletlenszerű hozzáférés tényleges veszélyét is megteremtik, amely megsemmisítést, módosítást eredményezhet. , személyes adatok blokkolása, másolása, rendelkezésre bocsátása, terjesztése, valamint egyéb jogellenes cselekmények.

Az 1. típusú fenyegetések akkor relevánsak egy információs rendszer számára, ha többek között az információs rendszerben használt rendszerszoftverben dokumentálatlan (be nem jelentett) képességek jelenlétével kapcsolatos fenyegetések relevánsak számára.

A 2. típusú fenyegetések akkor relevánsak egy információs rendszer számára, ha többek között az információs rendszerben használt alkalmazási szoftverben dokumentálatlan (bejelentetlen) képességek jelenlétével kapcsolatos fenyegetések relevánsak számára.

A 3. típusú fenyegetések akkor relevánsak egy információs rendszer esetében, ha olyan fenyegetések relevánsak számára, amelyek nem a rendszerben és az információs rendszerben használt alkalmazási szoftverekben nem dokumentált (bejelentetlen) képességek jelenlétével kapcsolatosak.

7. Az információs rendszer szempontjából releváns személyes adatok biztonságát fenyegető veszélyek típusának meghatározását az üzemeltető határozza meg, figyelembe véve a szövetségi törvény 18. cikke 1. részének 5. bekezdése alapján elvégzett lehetséges károk értékelését. „A személyes adatokról”, és a „Személyes adatokról” szóló szövetségi törvény 19. cikkének 5. részének végrehajtása során elfogadott szabályozási jogi aktusokkal összhangban.

8. A személyes adatok információs rendszerekben történő kezelése során a személyes adatok biztonságának 4 szintje kerül megállapításra.

9. A személyes adatok információs rendszerben történő feldolgozása során az I. szintű védelem biztosításának szükségessége akkor állapítható meg, ha az alábbi feltételek közül legalább egy fennáll:

a) az 1. típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer a személyes adatok speciális kategóriáit, vagy biometrikus személyes adatokat, vagy más kategóriájú személyes adatokat kezel;

b) a 2-es típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer több mint 100 000 olyan személyes adatot kezel, akik nem az üzemeltető alkalmazottai.

10. A személyes adatok információs rendszerben történő feldolgozása során a 2. szintű védelem biztosításának szükségessége akkor állapítható meg, ha az alábbi feltételek közül legalább egy fennáll:

a) az 1. típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer nyilvánosan elérhető személyes adatokat dolgoz fel;

b) a 2. típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer az üzemeltető alkalmazottainak speciális kategóriáinak személyes adatait vagy 100 000-nél kevesebb olyan személyes adatot kezel, akik nem az üzemeltető alkalmazottai;

c) a 2. típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer biometrikus személyes adatokat dolgoz fel;

d) a 2. típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer több mint 100 000 olyan személyes érintett nyilvánosan elérhető személyes adatait dolgozza fel, akik nem az üzemeltető alkalmazottai;

e) a 2. típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer több mint 100 000 olyan személyes érintett személy adatait dolgozza fel, akik nem az üzemeltető alkalmazottai;

f) a 3-as típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer több mint 100 000 olyan személyes adatot kezel, akik nem az üzemeltető alkalmazottai.

11. A személyes adatok információs rendszerben történő feldolgozása során a 3. szintű védelem biztosításának szükségessége akkor áll fenn, ha az alábbi feltételek közül legalább egy fennáll:

a) a 2. típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer az üzemeltető alkalmazottainak nyilvánosan elérhető személyes adatait vagy 100 000-nél kevesebb olyan személyes adatot kezeli, akik nem az üzemeltető alkalmazottai;

b) a 2. típusú fenyegetések az információs rendszer szempontjából relevánsak, és az információs rendszer az üzemeltető alkalmazottainak más kategóriájú személyes adatait vagy 100 000-nél kevesebb olyan személyes adatot kezel, akik nem az üzemeltető alkalmazottai;

c) a harmadik típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer az üzemeltető alkalmazottainak különleges kategóriáinak személyes adatait, vagy 100 000-nél kevesebb olyan személyes adatot kezel, akik nem az üzemeltető alkalmazottai;

d) a 3. típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer biometrikus személyes adatokat dolgoz fel;

e) a 3. típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer több mint 100 000 olyan személyes adatot kezel, akik nem az üzemeltető alkalmazottai.

12. A személyes adatok információs rendszerben történő feldolgozása során a 4. szintű biztonság biztosításának szükségessége akkor állapítható meg, ha az alábbi feltételek közül legalább egy fennáll:

a) a 3. típusú fenyegetések az információs rendszerre vonatkoznak, és az információs rendszer a nyilvánosan elérhető személyes adatokat dolgozza fel;

b) az információs rendszer szempontjából a 3. típusú fenyegetések relevánsak, és az információs rendszer az üzemeltető alkalmazottainak más kategóriájú személyes adatait vagy 100 000-nél kevesebb olyan személyes adatot kezel, akik nem az üzemeltető alkalmazottai.

13. A személyes adatok információs rendszerekben történő feldolgozása során a 4. szintű védelem biztosításához az alábbi követelményeknek kell megfelelni:

a) olyan rendszer megszervezése, amely biztosítja azon helyiségek biztonságát, amelyekben az információs rendszer található, megakadályozva azon személyek ellenőrizetlen belépését vagy tartózkodását ezekbe a helyiségekbe, akik nem rendelkeznek hozzáférési joggal;

b) a személyes adathordozók biztonságának biztosítása;

c) az üzemeltető vezetőjének jóváhagyása azon személyek névsorát meghatározó dokumentumhoz, akiknek az információs rendszerben kezelt személyes adataihoz hivatali (munkaügyi) feladataik ellátásához hozzáférése szükséges;

d) olyan információbiztonsági eszközök használata, amelyek átmentek az Orosz Föderáció információbiztonsági jogszabályai követelményeinek való megfelelés értékelésére szolgáló eljáráson, abban az esetben, ha ilyen eszközök használata szükséges a jelenlegi fenyegetések semlegesítéséhez.

14. Az információs rendszerekben történő feldolgozás során a személyes adatok védelmének 3. szintjének biztosításához a jelen dokumentum 13. pontjában foglalt követelmények teljesítése mellett a biztonság biztosításáért felelős tisztviselő (alkalmazott) kijelölése szükséges. az információs rendszerben tárolt személyes adatokról.

15. Az információs rendszerekben történő feldolgozásuk során a személyes adatok 2. szintű védelmének biztosítása érdekében a jelen dokumentum 14. pontjában foglalt követelmények teljesítése mellett szükséges, hogy az elektronikus üzenetnapló tartalmához csak az üzemeltető azon tisztségviselői (alkalmazottai) vagy meghatalmazottja számára, akiknek a meghatározott folyóiratban szereplő információk a hivatali (munkaügyi) feladatok ellátásához szükségesek.

16. Az információs rendszerekben történő feldolgozásuk során a személyes adatok I. szintű védelmének biztosításához a jelen dokumentum 15. pontjában foglalt követelményeken túl az alábbi követelményeknek kell teljesülniük:

a) az üzemeltető alkalmazottjának az információs rendszerben tárolt személyes adatokhoz való hozzáférési jogosultságában bekövetkezett változások automatikus nyilvántartása az elektronikus biztonsági naplóban;

b) az információs rendszerben található személyes adatok biztonságának biztosításáért felelős strukturális egység létrehozása, vagy az e biztonság biztosítási funkcióinak valamelyik strukturális egységhez rendelése.

17. A jelen követelmények teljesítésének ellenőrzését az üzemeltető (jogosult személy) önállóan és (vagy) a bizalmas adatok műszaki védelmét szolgáló tevékenység végzésére engedéllyel rendelkező jogi személyek és egyéni vállalkozók szerződéses bevonásával szervezi és végzi. információ. A meghatározott ellenőrzés 3 év alatt legalább 1 alkalommal, az üzemeltető (jogosult személy) által meghatározott határidőn belül történik.

AZ OROSZ FÖDERÁCIÓ KORMÁNYA

FELBONTÁS

A személyes adatok személyes adatok információs rendszerekben történő kezelése során történő védelmére vonatkozó követelmények jóváhagyásáról

A személyes adatokról szóló szövetségi törvény 19. cikkével összhangban az Orosz Föderáció kormánya

úgy dönt:

1. Jóváhagyni a csatolt követelményeket a személyes adatok védelmére a személyes adatok információs rendszerekben történő feldolgozása során.

2. Érvénytelennek ismerje el az Orosz Föderáció kormányának 2007. november 17-i N 781 „A személyes adatok biztonságának biztosításáról szóló rendelet jóváhagyásáról a személyes adatok információs rendszerekben történő feldolgozása során” rendeletet (az Orosz Föderáció összegyűjtött jogszabályai). Föderáció, 2007, N 48, 6001. cikk).

miniszterelnök
Orosz Föderáció
D. Medvegyev

A személyes adatok védelmére vonatkozó követelmények a személyes adatok információs rendszerekben történő feldolgozása során

ÁLTAL JÓVÁHAGYOTT
kormányrendelet
Orosz Föderáció
2012. november 1-jei N 1119

Az információs rendszer olyan információs rendszer, amely más kategóriájú személyes adatokat kezel, ha nem a jelen pont (1)–3. bekezdésében meghatározott személyes adatokat kezeli.

7. Az információs rendszer szempontjából releváns személyes adatok biztonságát fenyegető veszélyek típusát az üzemeltető határozza meg, figyelembe véve a személyes adatokról szóló 18_1. szövetségi törvény 18_1. cikke 1. részének 5. bekezdése alapján elvégzett lehetséges károk értékelését. Adatok”, valamint a „Személyes adatokról” szóló szövetségi törvény 19. cikkének 5. részének végrehajtása során elfogadott szabályozási jogi aktusokkal összhangban.