1119 date personale. Rezoluție privind aprobarea cerințelor de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal - Rossiyskaya Gazeta

Mâinile care au întins de mult timp la tastatură peste noua capodopera de reglementare sunt deja bătute până în oase. Nu mai este posibil să mă abțin și să îndur. Va trebui să scriu. De asemenea, astăzi intră în vigoare Hotărârea din 01.11.2012 Nr. 1119 „Cu privire la aprobarea cerințelor de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal”, care anulează Hotărârea din 17.11.2007 Nr. 781. Șapte zile de la data publicării vor expira.

Sincer să fiu, reacția colegilor din comunitatea profesională la noua rezoluție, care definește de fapt sistemul de construire a securității tehnice pentru prelucrarea datelor cu caracter personal în sistemele informaționale, nu doar m-a surprins, ci mai degrabă m-a nedumerit. O parte, și nu una mică, i-a plăcut, deoarece, în opinia lor, nu conține nimic fundamental nou și nu strânge mai mult piulițele, iar numărul de cerințe este chiar redus în comparație cu PP-781. O altă parte a colegilor certa documentul, dar este foarte general, mai ales din lipsa de specific.

Aveam o părere puțin diferită despre cerințe, mi-am exprimat-o pe scurt la webinarul de astăzi susținut de agenția noastră împreună cu compania „Codul de securitate”, iar numărul de întrebări primite pe această temă m-a determinat în sfârșit să scriu această postare.

Pentru a-mi sistematiza viziunea, am venit cu mai multe rafturi pe care voi raspandi aprecierea documentului. Ne pare rău, vor fi multe scrisori. Foarte. Am selectat cu grijă cuvintele, astfel încât categoria de cititori să poată fi 0+.

Primul raft. Respectarea legii. Eliberarea PP-1119 este o cerință directă a clauzelor 1 și 2 din partea 3 a articolului 19 din noua ediție a 152-FZ „Cu privire la datele cu caracter personal”. Acesta este ceea ce îmi permite să evaluez foarte clar starea de lucruri pe acest raft. Hotărârea Guvernului nu este conformă cu legea. Legea prevedea să determine nivelurile de securitate și cerințele pentru acestea, în funcție de cinci factori:

· posibilă vătămare a subiectului datelor cu caracter personal,

· volumul datelor cu caracter personal prelucrate,

· conținutul datelor cu caracter personal prelucrate,

· tipul de activitate în implementarea căreia sunt prelucrate datele cu caracter personal,

· relevanța amenințărilor la adresa securității datelor cu caracter personal.

Tipurile de activități și, ceea ce este deosebit de important, daunele aduse subiectului sunt în general absente din documentul adoptat ca semne de calificare. În clauza 7 din Cerințe, operatorul „nu este deloc uman”, nu pot spune altfel, se propune să se determine în mod independent tipul de amenințări la adresa securității datelor cu caracter personal relevante pentru sistemul informațional, ținând cont de evaluarea posibil prejudiciu, ghidat de documentele FSB și FSTEC care încă nu există. Acestea. șeful grădiniței sau șeful departamentului de automatizare al fabricii de laminare a țevilor (din moment ce pur și simplu nu există nimeni altcineva care să se ocupe de astfel de probleme în astfel de organizații) va evalua prejudiciul din dezvăluirea datelor de la personal, copii, vizitatori și rudele lor. Cu absența completă a dezvoltărilor metodologice în țară pe această problemă. Oricine a întâlnit, măcar puțin, astfel de probleme știe că problema determinării cuantumului prejudiciului cu încălcarea drepturilor civile este una dintre cele mai dificile din jurisprudență și procedurile judiciare. Dar, aparent, amintind postulatul clasic despre capacitățile fiecărui bucătar, autorii au decis că crowdsourcing-ul ar putea rezolva problema. Potrivit lui Roskomnadzor, există aproximativ șapte milioane de operatori. Uite ce inventează ei. Un exemplu clasic de schimbare a unei probleme de la un cap la altul, știi care sunt.

Cu activități, de asemenea, o ambuscadă. Ținând cont de faptul că noua versiune a legii nu lasă loc standardelor din industrie pentru lucrul cu date personale, aceleași tipuri vor trebui luate în considerare într-un fel - venind cu amenințări de securitate suplimentare celor inventate de FSB și FSTEC, care, de fapt, este precizat în părțile 5 și 6 ale aceluiași articol 19 din lege. Punct. Doar să identifice noi amenințări și să nu prevadă vreo indulgență, precum cele pe care Ministerul Sănătății le-a convenit cândva cu FSTEC în documentele sale metodologice.

Al doilea raft. Metodologie. Raftul este cel mai... prost atârnat. Deoarece metodologia conține cele mai importante probleme cheie ale documentului. Declarând principalele amenințări, conducând inevitabil la stabilirea celor mai înalte niveluri de securitate (vezi Tabelul 1), capabilități nedeclarate (nedocumentate) în software-ul de sistem și aplicație, Cerințele nu propun deloc metode și modalități de neutralizare a acestora. Pentru astfel de metode poate fi doar o verificare a acestui software în sine pentru absența marcajelor și a altor obiceiuri proaste. Și asta de la operatori, cel puțin în PP-1119, nu cere nimeni.

tabelul 1

tip ISPDN	Personalul operatorului	Numărul de subiecte	Tipul actual de amenințare
1	2	3
ISPDn-S	Nu	> 100 000	UZ-1	UZ-1	UZ-2
Nu	< 100 000	UZ-1	UZ-2	UZ-3
da
ISPDn-B			UZ-1	UZ-2	UZ-3
ISPDn-I	Nu	> 100 000	UZ-1	UZ-2	UZ-3
Nu	< 100 000	UZ-2	UZ-3	UZ-4
da
ISPDn-O	Nu	> 100 000	UZ-2	UZ-2	UZ-4
Nu	< 100 000	UZ-2	UZ-3	UZ-4
da

Ele oferă tratament pentru bombele logice, ușile din spate și alte spirite rele folosind metodele vechi dovedite - un klystyr cu ace de gramofon și tencuirea membrelor neîntrerupte. Vezi tabelul 2.

masa 2

Cerințe	Niveluri Securitate
1	2	3	4
Modul de securitate al sediului în care sunt prelucrate datele cu caracter personal
Siguranța purtătorilor de date cu caracter personal
Lista persoanelor admise la datele personale
SIZ care au trecut procedura de evaluare a conformității
Oficialul responsabil cu asigurarea securității datelor cu caracter personal în ISPDN
Restricționarea accesului la conținutul jurnalului de mesaje electronice
Înregistrarea automată în jurnalul electronic de securitate a modificărilor în autoritatea angajatului operatorului de a accesa datele personale
Unitate structurală responsabilă cu asigurarea securității datelor cu caracter personal

Cum utilizarea firewall-urilor certificate și numirea unui departament responsabil (sau a unei persoane responsabile) poate ajuta la prevenirea ca sistemul de operare să afecteze datele prelucrate, se pare că numai autorii știu.

Al treilea raft. Terminologie. Și aceasta este partea cea mai misterioasă a documentului. De unde au venit „angajații operatorului” și de ce nu sunt angajați al căror statut juridic este descris clar de Codul Muncii este o întrebare simplă și evidentă. Dar ce este un „jurnal electronic de mesaje” (articolul 15) și cum diferă de „jurnalul electronic de securitate” (articolul 16), dacă diferă deloc - există un mare secret. Presupun că este vorba despre bușteni. Jurnalele de ce? OS? DB? fundul? SZI? Toate împreună sau ceva separat? Întrebări fără răspuns.

Rezoluția introduce conceptul de sistem informatic care prelucrează date cu caracter personal disponibile publicului, care este absent în lege, și consideră astfel de date obținute numai din surse de date cu caracter personal accesibile publicului create în conformitate cu articolul 8 152-FZ.

Și dacă sunt primite într-un mod diferit, de exemplu, dacă acestea sunt informații care fac obiectul publicării și dezvăluirii obligatorii, cum ar fi informații din Registrul unificat de stat al persoanelor juridice și Registrul unificat de stat al persoanelor juridice, care sunt disponibile public în conformitate cu Legea federală privind înregistrarea de stat a persoanelor juridice și a antreprenorilor individuali. Sau informații despre persoanele afiliate emitentului de valori mobiliare. Sau datele personale ale candidaților la deputați să fie publicate. Cum să te descurci cu ei? Din nou o întrebare care nu are răspuns.

În sfârșit, evaluarea conformității. Termenul, care nu are nicio explicație în legătură cu sistemul de securitate a informațiilor în niciun act, cu excepția Rezoluției închise Nr. 330, continuă să hoinărească în cadrul de reglementare. Dar chiar dacă operatorul a văzut această Rezoluție, nu i s-a dat să înțeleagă cum se realizează evaluarea conformității în cadrul controlului și supravegherii de stat. Și pentru a evalua consecințele așteptării sosirii controlorului și comportamentul acestuia la vederea fondurilor necertificate. Ei bine, să nu uităm că în noua versiune a legii, actele juridice de reglementare privind prelucrarea datelor cu caracter personal sunt supuse publicării oficiale.

Al patrulea raft. Aplicabilitate. Rezoluția poate fi pe deplin operaționalizată numai după adoptarea actelor relevante ale FSB și FSTEC, prevăzute în partea 4 a articolului 19 152-FZ, precum și de către organele executive federale care îndeplinesc funcțiile de dezvoltare a politicii de stat și reglementări legale. în domeniul stabilit de activitate, organele autorităților de stat ale entităților constitutive ale Federației Ruse, Banca Rusiei, organismele fondurilor extrabugetare de stat, alte organe de stat în ceea ce privește determinarea amenințărilor actuale la adresa securității datelor cu caracter personal (partea 5 a articolului 19 152-FZ, clauza 2 din Cerințe), care lipsesc și nu se știe când vor fi adoptate. În aceste condiții, este practic imposibil ca un operator să îndeplinească cerințele stabilite. Revin la șeful grădiniței și șeful secției de automatizări a instalației de laminare a țevilor. Cine va fi primul care va explica ce sunt „capacități software de sistem nedeclarate” și după ce criterii va evalua relevanța acestei amenințări? Ce poate face ca a doua persoană să recunoască aceste amenințări ca fiind relevante pentru fabrica sa și să-și asume probleme suplimentare? Cum vor evalua răul despre care s-a scris la analizarea primului raft? Să așteptăm documentele FSB și FSTEC. Ceva îmi spune că nu va fi posibil să refuz pur și simplu neutralizarea oportunităților nedeclarate. Băncile și telecomunicațiile își vor da seama în cele din urmă. Și ce rămâne cu restul, care nu au specialiști de specialitate și licențe ale FSB/FSTEC - școli și universități, spitale și clinici, oficii de evidență și centre de angajare etc, etc.? Nimic decât uluit, un astfel de document nu le poate provoca.

Nu voi scrie un CV. Și astfel totul este clar.

În conformitate cu articolul 19 din Legea federală „Cu privire la datele cu caracter personal”, Guvernul Federației Ruse decide:

1. Să aprobe cerințele anexate pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal.

2. Să recunoască drept nevalidă Hotărârea Guvernului Federației Ruse din 17 noiembrie 2007 N 781 „Cu privire la aprobarea Regulamentului privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu caracter personal” (Legislația colectată a Rusiei Federația, 2007, N 48, Art. 6001) ...

Președintele Guvernului Federației Ruse

D. Medvedev

Cerințe pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal

1. Prezentul document stabilește cerințele pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal (denumite în continuare sisteme informatice) și nivelurile de securitate ale acestor date.

2. Securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional este asigurată cu ajutorul sistemului de protecție a datelor cu caracter personal, care neutralizează amenințările reale identificate în conformitate cu Partea 5 a articolului 19 din Legea federală „Cu privire la datele cu caracter personal”.

Sistemul de protecție a datelor cu caracter personal include măsuri organizatorice și (sau) tehnice determinate ținând cont de amenințările actuale la adresa securității datelor cu caracter personal și a tehnologiilor informaționale utilizate în sistemele informaționale.

3. Securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemul informatic este asigurată de către operatorul acestui sistem, care prelucrează datele cu caracter personal (denumit în continuare operator), sau persoana care prelucrează datele cu caracter personal în numele operatorului pe în baza unui acord încheiat cu această persoană (denumită în continuare persoana autorizată). Acordul dintre operator și persoana împuternicită trebuie să prevadă obligația persoanei împuternicite de a asigura securitatea datelor cu caracter personal la prelucrarea acestora în sistemul informațional.

4. Alegerea mijloacelor de protecție a informațiilor pentru sistemul de protecție a datelor cu caracter personal este efectuată de operator în conformitate cu actele juridice de reglementare adoptate de Serviciul Federal de Securitate al Federației Ruse și de Serviciul Federal de Control Tehnic și de Export, în conformitate cu Partea 4 al articolului 19 din Legea federală „Cu privire la datele cu caracter personal”.

5. Un sistem informatic este un sistem informatic care prelucrează categorii speciale de date cu caracter personal dacă prelucrează date cu caracter personal privind rasa, naționalitatea, opiniile politice, convingerile religioase sau filozofice, starea de sănătate, viața intimă a subiecților datelor cu caracter personal.

Un sistem informatic este un sistem informatic care prelucrează date cu caracter personal biometrice dacă prelucrează informații care caracterizează caracteristicile fiziologice și biologice ale unei persoane, pe baza cărora este posibilă stabilirea identității acesteia și care sunt utilizate de operator pentru stabilirea identității. a subiectului datelor cu caracter personal și informații referitoare la categorii speciale de date cu caracter personal.

Un sistem informatic este un sistem informatic care prelucrează date cu caracter personal disponibile publicului dacă prelucrează date cu caracter personal ale subiecților datelor cu caracter personal obținute numai din surse publice de date cu caracter personal create în conformitate cu articolul 8 din Legea federală „Cu privire la datele cu caracter personal”.

Un sistem informatic este un sistem informatic care prelucrează alte categorii de date cu caracter personal, dacă nu prelucrează datele cu caracter personal specificate la alineatele unu-trei din prezenta clauză.

Un sistem informatic este un sistem informatic care prelucrează datele personale ale angajaților operatorului dacă prelucrează datele personale doar ale angajaților specificati. În alte cazuri, sistemul de informare cu date cu caracter personal este un sistem informatic care prelucrează date cu caracter personal ale persoanelor vizate de date cu caracter personal care nu sunt angajați ai operatorului.

6. Sub amenințările efective la adresa securității datelor cu caracter personal se înțelege un set de condiții și factori care creează un pericol real de acces neautorizat, inclusiv accidental, la datele cu caracter personal în timpul prelucrării acestora în sistemul informatic, ceea ce poate avea ca rezultat distrugerea, modificarea. , blocarea, copierea, furnizarea, distribuirea datelor cu caracter personal, precum și alte acțiuni ilegale.

Amenințările de primul tip sunt relevante pentru un sistem informațional dacă, printre altele, amenințările asociate cu prezența capacităților nedocumentate (nedeclarate) în software-ul de sistem utilizat în sistemul informațional sunt relevante pentru acesta.

Amenințările de al 2-lea tip sunt relevante pentru un sistem informațional dacă, printre altele, amenințările asociate cu prezența capacităților nedocumentate (nedeclarate) în aplicația software utilizată în sistemul informațional sunt relevante pentru acesta.

Amenințările de al treilea tip sunt relevante pentru un sistem informațional dacă amenințările care nu sunt asociate cu prezența capacităților nedocumentate (nedeclarate) în sistem și aplicația software utilizată în sistemul informațional sunt relevante pentru acesta.

7. Tipul de amenințări la adresa securității datelor cu caracter personal relevante pentru sistemul informațional este determinat de operator, ținând cont de evaluarea posibilelor prejudicii efectuată în temeiul paragrafului 5 al părții 1 a articolului 18 din Legea federală „Cu privire la personal”. Date”, și în conformitate cu actele juridice de reglementare adoptate în executare Partea 5 a articolului 19 din Legea federală „Cu privire la datele cu caracter personal”.

8. La prelucrarea datelor cu caracter personal în sistemele informaționale se stabilesc 4 niveluri de securitate a datelor cu caracter personal.

9. Necesitatea asigurării nivelului 1 de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional se stabilește dacă este prezentă cel puțin una dintre următoarele condiții:

a) amenințările de tip 1 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează fie categorii speciale de date cu caracter personal, fie date cu caracter personal biometrice, fie alte categorii de date cu caracter personal;

b) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informatic prelucrează categorii speciale de date cu caracter personal de la peste 100.000 de persoane vizate care nu sunt angajați ai operatorului.

10. Necesitatea asigurării nivelului 2 de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional se stabilește dacă este prezentă cel puțin una dintre următoarele condiții:

a) amenințările de tip 1 sunt relevante pentru sistemul informațional, iar sistemul informatic prelucrează date cu caracter personal disponibile publicului;

b) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează categorii speciale de date cu caracter personal ale angajaților operatorului sau categorii speciale de date cu caracter personal a mai puțin de 100.000 de persoane vizate care nu sunt angajați ai operatorului;

c) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal biometrice;

d) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile publicului a peste 100.000 de persoane vizate care nu sunt angajați ai operatorului;

e) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează alte categorii de date cu caracter personal de la peste 100.000 de persoane vizate care nu sunt angajați ai operatorului;

f) amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează categorii speciale de date cu caracter personal de la peste 100.000 de persoane vizate care nu sunt angajați ai operatorului.

11. Necesitatea asigurării nivelului 3 de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional se stabilește dacă este prezentă cel puțin una dintre următoarele condiții:

a) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informatic prelucrează date cu caracter personal disponibile public ale angajaților operatorului sau date cu caracter personal disponibile public ale mai puțin de 100.000 de persoane vizate care nu sunt angajați ai operatorului;

b) amenințările de tip 2 sunt relevante pentru sistemul informațional și sistemul informațional prelucrează alte categorii de date cu caracter personal ale angajaților operatorului sau alte categorii de date cu caracter personal a mai puțin de 100.000 de persoane vizate care nu sunt angajați ai operatorului;

c) amenințările de al treilea tip sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează categorii speciale de date cu caracter personal ale angajaților operatorului sau categorii speciale de date cu caracter personal a mai puțin de 100.000 de persoane vizate care nu sunt angajați ai operatorului;

d) amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal biometrice;

e) amenințările de tipul 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează alte categorii de date cu caracter personal a peste 100.000 de persoane vizate care nu sunt angajați ai operatorului.

12. Necesitatea asigurării nivelului 4 de securitate a datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional se stabilește dacă este prezentă cel puțin una dintre următoarele condiții:

a) amenințările de al treilea tip sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile publicului;

b) pentru sistemul informatic sunt relevante amenintari de tipul 3, iar sistemul informatic prelucreaza alte categorii de date cu caracter personal ale angajatilor operatorului sau alte categorii de date cu caracter personal a mai putin de 100.000 de persoane vizate care nu sunt angajati ai operatorului.

13. Pentru asigurarea celui de-al 4-lea nivel de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale, trebuie îndeplinite următoarele cerințe:

a) organizarea unui regim de asigurare a securității incintei în care se află sistemul informațional, împiedicând posibilitatea intrării sau șederii necontrolate în aceste incinte a persoanelor care nu au dreptul de acces la aceste incinte;

b) asigurarea securității purtătorilor de date cu caracter personal;

c) aprobarea de către conducătorul operatorului a unui document care definește lista persoanelor al căror acces la datele cu caracter personal prelucrate în sistemul informațional este necesar pentru îndeplinirea atribuțiilor lor oficiale (de muncă);

d) utilizarea instrumentelor de securitate a informațiilor care au trecut procedura de evaluare a conformității cu cerințele legislației Federației Ruse în domeniul securității informațiilor, în cazul în care utilizarea unor astfel de mijloace este necesară pentru neutralizarea amenințărilor actuale.

14. Pentru asigurarea nivelului 3 de protecție a datelor cu caracter personal la prelucrarea acestora în sistemele informaționale, pe lângă îndeplinirea cerințelor prevăzute la paragraful 13 din prezentul document, este necesar ca un funcționar (salariat) să fie numit responsabil cu asigurarea securității. a datelor cu caracter personal din sistemul informatic.

15. Pentru a asigura nivelul 2 de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale, pe lângă îndeplinirea cerințelor prevăzute la paragraful 14 al prezentului document, este necesar ca accesul la conținutul jurnalului de mesaje electronice să fie posibil doar pentru funcționarii (angajații) operatorului sau o persoană autorizată, cărora informațiile conținute în jurnalul specificat sunt necesare pentru îndeplinirea atribuțiilor oficiale (de muncă).

16. Pentru asigurarea nivelului I de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale, pe lângă cerințele prevăzute la paragraful 15 din prezentul document, trebuie îndeplinite următoarele cerințe:

a) înregistrarea automată în jurnalul electronic de securitate a modificărilor în autoritatea angajatului operatorului de a accesa datele cu caracter personal conținute în sistemul informațional;

b) crearea unei unități structurale responsabile cu asigurarea securității datelor cu caracter personal în sistemul informațional, sau atribuirea uneia dintre unitățile structurale a funcțiilor de asigurare a acestei securități.

17. Controlul asupra implementării acestor cerințe este organizat și desfășurat de către operator (persoană autorizată) în mod independent și (sau) cu implicarea pe bază contractuală a persoanelor juridice și a antreprenorilor individuali licențiați să desfășoare activități pentru protecția tehnică a confidențialului. informație. Controlul specificat se efectuează cel puțin 1 dată în 3 ani în termeni stabiliți de operator (persoană autorizată).

GUVERNUL FEDERATIEI RUSE

REZOLUŢIE

Cu privire la aprobarea cerințelor de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal

În conformitate cu articolul 19 din Legea federală „Cu privire la datele cu caracter personal”, Guvernul Federației Ruse

decide:

1. Să aprobe cerințele anexate pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal.

2. Să recunoască drept nevalid decretul Guvernului Federației Ruse din 17 noiembrie 2007 N 781 „Cu privire la aprobarea Regulamentului privind asigurarea securității datelor cu caracter personal atunci când le prelucrează în sistemele de informații cu caracter personal” (Legislația colectată a Rusiei Federația, 2007, N 48, articolul 6001).

prim-ministru
Federația Rusă
D. Medvedev

Cerințe pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal

APROBAT DE
decret guvernamental
Federația Rusă
din data de 1 noiembrie 2012 N 1119

2. Securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional este asigurată cu ajutorul sistemului de protecție a datelor cu caracter personal, care neutralizează amenințările reale identificate în conformitate cu partea 5 a articolului 19 din Legea federală „Cu privire la datele cu caracter personal”.

7. Tipul de amenințări la adresa securității datelor cu caracter personal relevante pentru sistemul informațional este determinat de operator, ținând cont de evaluarea posibilelor prejudicii efectuată în temeiul paragrafului 5 din partea 1 a articolului 18_1 din Legea federală „Cu privire la personal”. Date”, și în conformitate cu actele juridice de reglementare adoptate în executare Partea 5 a articolului 19 din Legea federală „Cu privire la datele cu caracter personal”.

8. La prelucrarea datelor cu caracter personal în sistemele informaționale se stabilesc 4 niveluri de securitate a datelor cu caracter personal.

a) amenințările de tip 1 sunt relevante pentru sistemul informațional, iar sistemul informatic prelucrează date cu caracter personal disponibile publicului;

c) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal biometrice;

d) amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal biometrice;

a) amenințările de al treilea tip sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile publicului;

13. Pentru asigurarea celui de-al 4-lea nivel de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale, trebuie îndeplinite următoarele cerințe:

b) asigurarea securității purtătorilor de date cu caracter personal;

Textul electronic al documentului
întocmit de CJSC „Kodeks” și verificat de.

În conformitate cu articolul 19 din Legea federală „Cu privire la datele cu caracter personal”, Guvernul Federației Ruse decide:

1. Să aprobe cerințele anexate pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal.

prim-ministru
Federația Rusă
D. MEDVEDEV

APROBAT DE
decret guvernamental
Federația Rusă
din data de 1 noiembrie 2012 N 1119

7. Tipul de amenințări la adresa securității datelor cu caracter personal relevante pentru sistemul de informații este determinat de operator, ținând cont de evaluarea posibilului prejudiciu efectuată în temeiul paragrafului 5 din partea 1 a articolului 181 din Legea federală „Cu privire la personal”. Date”, și în conformitate cu actele juridice de reglementare adoptate în executare Partea 5 a articolului 19 din Legea federală „Cu privire la datele cu caracter personal”.

8. La prelucrarea datelor cu caracter personal în sistemele informaționale se stabilesc 4 niveluri de securitate a datelor cu caracter personal.

A) amenințările de tip 1 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează fie categorii speciale de date cu caracter personal, fie date cu caracter personal biometrice, fie alte categorii de date cu caracter personal;

A) amenințările de tip 1 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile publicului;

C) amenințările de tip 2 sunt relevante pentru sistemul informațional și sistemul informațional prelucrează date cu caracter personal biometrice;

D) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile public a mai mult de 100.000 de persoane vizate care nu sunt angajați ai operatorului;

E) Amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează categorii speciale de date cu caracter personal de la peste 100.000 de persoane vizate care nu sunt angajați ai operatorului.

B) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează alte categorii de date cu caracter personal ale angajaților operatorului sau alte categorii de date cu caracter personal ale unui număr mai mic de 100.000 de persoane vizate care nu sunt angajați ai operatorului;

D) amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal biometrice;

E) amenințările de al treilea tip sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează alte categorii de date cu caracter personal de la peste 100.000 de persoane vizate care nu sunt angajați ai operatorului.

a) amenințările de al treilea tip sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile publicului;

B) pentru sistemul informatic sunt relevante amenintari de tipul 3, iar sistemul informatic prelucreaza alte categorii de date cu caracter personal ale angajatilor operatorului sau alte categorii de date cu caracter personal a mai putin de 100.000 de persoane vizate care nu sunt angajati ai operatorului.

13. Pentru asigurarea celui de-al 4-lea nivel de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale, trebuie îndeplinite următoarele cerințe:

a) organizarea unui regim de asigurare a securității incintei în care se află sistemul informatic, împiedicând posibilitatea intrării sau șederii necontrolate în aceste incinte a persoanelor care nu au dreptul de acces la aceste incinte;

b) asigurarea securității purtătorilor de date cu caracter personal;

A) înregistrarea automată în jurnalul electronic de securitate a modificărilor în autoritatea angajatului operatorului de a accesa datele cu caracter personal conținute în sistemul informațional;

GUVERNUL FEDERATIEI RUSE

PRIVIND APROBAREA CERINȚELOR

În conformitate cu articolul 19 din Legea federală „Cu privire la datele cu caracter personal”, Guvernul Federației Ruse decide:

1. Să aprobe cerințele anexate pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal.

prim-ministru
Federația Rusă
D. MEDVEDEV

Aprobat
decret guvernamental
Federația Rusă
din data de 1 noiembrie 2012 N 1119

CERINȚE
PENTRU A PROTEJA DATELE PERSONALE ÎN TIMPUL PRELUCRĂRII LOR
ÎN SISTEME INFORMAȚII ALE DATELOR PERSONALE

7. Definirea tipului de amenințări la adresa securității datelor cu caracter personal relevante pentru sistemul de informații este făcută de operator ținând cont de evaluarea posibilelor prejudicii efectuată în temeiul paragrafului 5 din partea 1 a articolului 18.1 din Legea federală. „Cu privire la datele cu caracter personal”, și în conformitate cu actele juridice de reglementare adoptate în executare Partea 5 a articolului 19 din Legea federală „Cu privire la datele cu caracter personal”.

8. La prelucrarea datelor cu caracter personal în sistemele informaționale se stabilesc 4 niveluri de securitate a datelor cu caracter personal.

a) amenințările de tip 1 sunt relevante pentru sistemul informațional, iar sistemul informatic prelucrează date cu caracter personal disponibile publicului;

c) amenințările de tip 2 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal biometrice;

d) amenințările de tip 3 sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal biometrice;

a) amenințările de al treilea tip sunt relevante pentru sistemul informațional, iar sistemul informațional prelucrează date cu caracter personal disponibile publicului;

13. Pentru asigurarea celui de-al 4-lea nivel de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale, trebuie îndeplinite următoarele cerințe:

b) asigurarea securității purtătorilor de date cu caracter personal;