1119 kişisel veri. Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin korunmasına ilişkin gereksinimlerin onaylanmasına ilişkin karar - Rossiyskaya Gazeta

Yeni düzenleyici şaheser üzerinden uzun süredir klavyeye uzanan eller, şimdiden kemiğe kadar dövüldü. Kendimi dizginlemek ve tahammül etmek artık mümkün değil. yazmam gerekecek. Ayrıca bugün, 17.11.2007 Sayılı 781 sayılı Kararı iptal eden 01.11.2012 Sayılı 1119 Sayılı "Kişisel Verilerin Kişisel Veri Bilgi Sistemlerinde İşlenmesi Sırasında Korunmasına İlişkin Gereksinimlerin Onaylanması Hakkında" Karar yürürlüğe giriyor. Yayın tarihinden itibaren yedi gün sona erecektir.

Dürüst olmak gerekirse, profesyonel topluluktan meslektaşların, bilgi sistemlerinde kişisel verilerin işlenmesi için teknik güvenlik oluşturma sistemini tanımlayan yeni karara tepkisi sadece beni şaşırtmadı, aksine şaşırttı. Parça küçük değil, hoşuna gitti, çünkü onların görüşüne göre, temelde yeni bir şey içermiyor ve somunları daha fazla sıkmıyor ve PP-781 ile karşılaştırıldığında gereksinimlerin sayısı bile azaldı. Meslektaşların başka bir kısmı belgeyi azarlıyor, ancak esas olarak ayrıntıların olmaması nedeniyle çok genel.

Gereksinimler hakkında biraz farklı bir fikrim vardı, bugün ajansımız tarafından "Güvenlik Kodu" şirketi ile birlikte düzenlenen webinarda kısaca dile getirdim ve bu konuda gelen soru sayısı sonunda beni bu yazıyı yazmaya yöneltti.

Vizyonumu sistematik hale getirmek için, belgeye ilişkin değerlendirmemi yayacağım birkaç raf buldum. Üzgünüm, bir sürü mektup olacak. Büyük ölçüde. Okur kategorisi 0+ olsun diye kelimeleri özenle seçtim.

İlk raf. Kanunlara uyma. PP-1119'un yayınlanması, 152-FZ "Kişisel veriler hakkında" yeni baskısının 19. maddesinin 3. bölümünün 1. ve 2. maddelerinin doğrudan bir gereğidir. Bu raftaki durumu çok keskin bir şekilde değerlendirmeme izin veren şey budur. Hükümet kararnamesi yasaya uygun değil. Beş faktöre bağlı olarak güvenlik seviyelerini ve bunlar için gereklilikleri belirlemek için öngörülen yasa:

· kişisel verilerin konusuna olası zarar,

· İşlenen kişisel verilerin hacmi,

· İşlenen kişisel verilerin içeriği,

· uygulanmasında kişisel verilerin işlendiği faaliyetin türü,

· tehditlerin kişisel verilerin güvenliğine uygunluğu.

Faaliyet türleri ve özellikle önemli olan konuya verilen zarar, genellikle kabul edilen belgede niteleyici işaretler olarak yer almamaktadır. Gereksinimlerin 7. maddesinde, operatör "hiç insani değil", aksini söyleyemem, değerlendirme dikkate alınarak bilgi sistemi ile ilgili kişisel verilerin güvenliğine yönelik tehdit türlerinin bağımsız olarak belirlenmesi önerilmektedir. henüz mevcut olmayan FSB ve FSTEC belgelerinin rehberliğinde olası zarar. Onlar. anaokulu başkanı veya boru haddeleme tesisinin otomasyon departmanı başkanı (çünkü bu tür organizasyonlarda bu tür sorunlarla uğraşacak başka kimse olmadığı için) personel, çocuklar, ziyaretçiler ve onların yakınları. Ülkede bu sorunla ilgili metodolojik gelişmelerin tamamen yokluğu ile. Bu tür sorunlarla en azından biraz karşılaşan herkes, medeni hakların ihlali durumunda zararın miktarını belirleme sorununun içtihat ve yasal işlemlerde en zor olanlardan biri olduğunu bilir. Ancak, görünüşe göre, her aşçının yetenekleri hakkındaki klasik varsayımı hatırlatan yazarlar, kitle kaynak kullanımının sorunu çözebileceğine karar verdiler. Roskomnadzor'a göre, yaklaşık yedi milyon operatör var. Ne icat ettiklerine bak. Bir sorunu bir kafadan diğerine kaydırmanın klasik bir örneği, hangisi olduğunu bilirsiniz.

Aktivitelerle de bir pusu. Yasanın yeni versiyonunun kişisel verilerle çalışmak için endüstri standartlarına yer bırakmadığı dikkate alındığında, bu türlerin yalnızca bir şekilde dikkate alınması gerekecektir - FSB tarafından icat edilenlere ek güvenlik tehditleri ile ortaya çıkmak. ve aslında yasanın aynı 19. maddesinin 5. ve 6. bölümlerinde belirtilen FSTEC. Puan. Yalnızca yeni tehditleri belirlemek ve Sağlık Bakanlığı'nın bir zamanlar FSTEC ile metodolojik belgelerinde kabul ettiği gibi herhangi bir hoşgörü sağlamamak için.

İkinci raf. Metodoloji. Raf en ... kötü asılı. Metodoloji, belgenin en önemli, kilit problemlerini içerdiğinden. Sistem ve uygulama yazılımında kaçınılmaz olarak en yüksek güvenlik seviyelerinin (bkz. Tablo 1), bildirilmemiş (belgelenmemiş) yeteneklerin oluşturulmasına yol açan ana tehditleri beyan eden Gereksinimler, bunları etkisiz hale getirmek için herhangi bir yöntem ve yöntem önermemektedir. Bu tür yöntemler için, yer imlerinin ve diğer kötü alışkanlıkların olmaması için bu yazılımın yalnızca bir kontrolü olabilir. Ve bunu operatörlerden, en azından PP-1119'da kimse talep etmiyor.

tablo 1

ISPDN türü	operatör personeli	Konu sayısı	Mevcut tehdit türü
1	2	3
ISPDn-S	Numara	> 100 000	UZ-1	UZ-1	UZ-2
Numara	< 100 000	UZ-1	UZ-2	UZ-3
Evet
ISPDn-B			UZ-1	UZ-2	UZ-3
ISPDn-I	Numara	> 100 000	UZ-1	UZ-2	UZ-3
Numara	< 100 000	UZ-2	UZ-3	UZ-4
Evet
ISPDn-O	Numara	> 100 000	UZ-2	UZ-2	UZ-4
Numara	< 100 000	UZ-2	UZ-3	UZ-4
Evet

Mantık bombaları, arka kapılar ve diğer kötü ruhlar için eski kanıtlanmış yöntemleri kullanarak tedavi sunuyorlar - gramofon iğneli bir klystyr ve kırılmamış uzuvların sıvanması. Tablo 2'ye bakın.

Tablo 2

Gereksinimler	Seviyeler güvenlik
1	2	3	4
Kişisel verilerin işlendiği mekanların güvenlik modu
Kişisel veri taşıyıcılarının güvenliği
Kişisel verilere kabul edilen kişilerin listesi
Uygunluk değerlendirme prosedürünü geçen SIZ
ISPDN'de kişisel verilerin güvenliğini sağlamaktan sorumlu yetkili
Elektronik İleti Günlüğü İçeriğine Erişimi Kısıtlama
Operatörün çalışanının kişisel verilere erişim yetkisindeki değişikliklerin elektronik güvenlik günlüğüne otomatik olarak kaydedilmesi
Kişisel verilerin güvenliğini sağlamaktan sorumlu yapısal birim

Sertifikalı güvenlik duvarlarının kullanılması ve sorumlu bir departmanın (veya sorumlu bir kişinin) atanması, işletim sisteminin işlenmiş verileri etkilemesini önlemeye nasıl yardımcı olabilir, görünüşe göre yalnızca yazarlar biliyor.

Üçüncü raf. terminoloji. Ve bu belgenin en gizemli kısmı. "İşletmecinin çalışanları" nereden geldi ve neden yasal statüleri İş Kanunu'nda açıkça belirtilen çalışanlar değiller, basit ve açık bir soru. Ancak "elektronik mesaj günlüğü" (madde 15) nedir ve "elektronik güvenlik günlüğünden" (madde 16) nasıl farklıdır, eğer farklıysa - büyük bir sır var. Sanırım günlüklerle ilgili. Neyin günlükleri? İŞLETİM SİSTEMİ? DB? Popo? SZI? Hep birlikte mi yoksa ayrı bir şey mi? Cevapsız sorular.

Karar, kanunda yer almayan kamuya açık kişisel verileri işleyen ve bu tür verileri yalnızca 152-FZ Madde 8 uyarınca oluşturulan kamuya açık kişisel veri kaynaklarından elde edilen verileri dikkate alan bir bilgi sistemi kavramını getirmektedir.

Ve farklı bir şekilde alınmışlarsa, örneğin, bu, Birleşik Devlet Tüzel Kişiler Kaydı ve Birleşik Devlet Tüzel Kişiler Kaydı'ndan alınan bilgiler gibi yayına ve zorunlu ifşaya tabi bilgilerse, Tüzel Kişilerin ve Bireysel Girişimcilerin Devlet Tesciline İlişkin Federal Yasa. Veya menkul kıymet ihraççısının bağlı kişileri hakkında bilgi. Ya da milletvekili adaylarının kişisel verileri yayınlanacak. Onlarla nasıl başa çıkılır? Yine cevabı olmayan bir soru.

Son olarak, uygunluk değerlendirmesi. Kapatılan 330 Sayılı Karar dışında hiçbir kanunda bilgi güvenliği sistemi ile ilgili bir açıklaması olmayan terim, düzenleyici çerçevede dolaşmaya devam ediyor. Ancak işletmeci bu Kararı görse bile, devlet kontrol ve denetimi sırasında uygunluk değerlendirmesinin nasıl yapıldığını anlaması sağlanmamıştır. Ve kontrolörün gelmesini beklemenin sonuçlarını ve onaylanmamış fonların gözündeki davranışını da değerlendirmek. Peki, yasanın yeni halinde kişisel verilerin işlenmesine ilişkin düzenleyici yasal düzenlemelerin resmi yayına tabi olduğunu unutmayalım.

Dördüncü raf. Uygulanabilirlik. Karar, ancak 19 152-FZ'nin 4. bölümünde belirtilen FSB ve FSTEC'in ilgili yasalarının ve ayrıca devlet politikasını ve yasal düzenlemeyi geliştirme işlevlerini yerine getiren federal yürütme organlarının kabul edilmesinden sonra tamamen işlevsel hale getirilebilir. yerleşik faaliyet alanı, organlar Rusya Federasyonu'nun kurucu kuruluşlarının devlet yetkilileri, Rusya Bankası, devlet bütçe dışı fon organları, kişisel verilerin güvenliğine yönelik mevcut tehditlerin belirlenmesi açısından diğer devlet organları ( Madde 19 152-FZ'nin 5. Kısmı, Gereksinimler'in 2. Maddesi) mevcut değildir ve ne zaman kabul edilecekleri bilinmemektedir. Bu koşullar altında, bir operatörün belirlenmiş gereklilikleri yerine getirmesi pratik olarak imkansızdır. Anaokulunun başkanına ve boru haddeleme tesisinin otomasyon bölümünün başkanına dönüyorum. “Bildirilmemiş sistem yazılımı yeteneklerinin” ne olduğunu ilk kim açıklayacak ve bu tehdidin uygunluğunu hangi kriterlere göre değerlendirecek? İkinci kişinin bu tehditleri tesisiyle ilgili olduğunu fark etmesini ve ek sorunlar yaşamasını ne sağlayabilir? İlk rafı ayrıştırırken yazılan zararı nasıl değerlendirecekler? FSB ve FSTEC belgelerini bekleyelim. İçimden bir ses, bildirilmemiş fırsatları etkisiz hale getirmeyi reddetmenin mümkün olmayacağını söylüyor. Bankalar ve telekomlar eninde sonunda çözecek. Peki ya FSB / FSTEC - okullar ve üniversiteler, hastaneler ve klinikler, kayıt ofisleri ve istihdam merkezleri vb. - uzman uzmanlarına ve lisanslarına sahip olmayan diğerleri? Şaşkınlıktan başka bir şey değil, böyle bir belge onlara neden olamaz.

Özgeçmiş yazmayacağım. Ve böylece her şey açık.

"Kişisel Veriler Hakkında" Federal Kanunun 19. Maddesi uyarınca, Rusya Federasyonu Hükümeti karar verir:

1. Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin korunmasına ilişkin ekteki gereklilikleri onaylamak.

2. Rusya Federasyonu Hükümeti'nin 17 Kasım 2007 N 781 tarihli kararının geçersiz olarak kabul edilmesi "Kişisel verilerin bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğinin sağlanmasına ilişkin Yönetmeliğin onaylanması üzerine" (Rus Mevzuatının Toplanması Federasyon, 2007, N 48, Madde 6001) ...

Rusya Federasyonu Hükümeti Başkanı

D. Medvedev

Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin korunmasına ilişkin gereklilikler

1. Bu belge, kişisel veri bilgi sistemlerinde (bundan sonra bilgi sistemleri olarak anılacaktır) işlenmesi sırasında kişisel verilerin korunması için gereklilikleri ve bu tür verilerin güvenlik seviyelerini belirler.

2. Kişisel verilerin bilgi sisteminde işlenmesi sırasında güvenliği, "Kişisel Veriler Hakkında" Federal Kanunun 19. Maddesinin 5. Bölümü uyarınca tanımlanan fiili tehditleri etkisiz hale getiren kişisel veri koruma sistemi yardımıyla sağlanır.

Kişisel veri koruma sistemi, bilgi sistemlerinde kullanılan kişisel verilerin ve bilgi teknolojilerinin güvenliğine yönelik mevcut tehditler dikkate alınarak belirlenen organizasyonel ve (veya) teknik önlemleri içerir.

3. Kişisel verilerin bilgi sisteminde işlenmesi sırasında güvenliği, kişisel verileri işleyen bu sistemin işleticisi (bundan böyle işletmeci olarak anılacaktır) veya işletmeci adına kişisel verileri işleten kişi tarafından sağlanır. bu kişiyle (bundan sonra yetkili kişi olarak anılacaktır) yapılan bir anlaşmanın temeli. Operatör ve yetkili kişi arasındaki anlaşma, yetkili kişinin kişisel verilerin bilgi sisteminde işlerken güvenliğini sağlama görevini sağlamalıdır.

4. Kişisel veri koruma sistemi için bilgi koruma araçlarının seçimi, operatör tarafından Rusya Federasyonu Federal Güvenlik Servisi ve Bölüm uyarınca Teknik ve İhracat Kontrolü Federal Servisi tarafından kabul edilen düzenleyici yasal düzenlemelere uygun olarak gerçekleştirilir. "Kişisel Veriler Hakkında" Federal Kanunun 19. Maddesinin 4.

5. Bilgi sistemi, kişisel verilerin konularının ırk, milliyet, siyasi görüş, dini veya felsefi inançlar, sağlık durumu, mahrem hayatı ile ilgili kişisel verileri işlemesi halinde özel nitelikli kişisel verileri işleyen bir bilgi sistemidir.

Bir bilgi sistemi, bir kişinin fizyolojik ve biyolojik özelliklerini karakterize eden, temelinde kimliğinin belirlenmesinin mümkün olduğu ve operatör tarafından kimliğin belirlenmesi için kullanılan bilgileri işlemesi durumunda biyometrik kişisel verileri işleyen bir bilgi sistemidir. kişisel verilerin konusu ve özel kişisel veri kategorilerine ilişkin bilgiler.

Bir bilgi sistemi, "Kişisel Veriler Hakkında" Federal Kanunun 8. Maddesi uyarınca oluşturulan yalnızca halka açık kişisel veri kaynaklarından elde edilen kişisel veri konularının kişisel verilerini işlerse, kamuya açık kişisel verileri işleyen bir bilgi sistemidir.

Bilgi sistemi, bu maddenin bir ila üçüncü paragraflarında belirtilen kişisel verileri işlemediği takdirde, diğer kişisel veri kategorilerini işleyen bir bilgi sistemidir.

Bilgi sistemi, yalnızca belirtilen çalışanların kişisel verilerini işlemesi durumunda, işletmecinin çalışanlarının kişisel verilerini işleyen bir bilgi sistemidir. Diğer durumlarda, kişisel veri bilgi sistemi, işletmecinin çalışanı olmayan kişisel veri konularının kişisel verilerini işleyen bir bilgi sistemidir.

6. Kişisel verilerin güvenliğine yönelik fiili tehditler altında, bilgi sisteminde işlenmesi sırasında kişisel verilere yanlışlıkla erişim de dahil olmak üzere gerçek bir yetkisiz erişim tehlikesi yaratan ve imha, değiştirme ile sonuçlanabilecek bir dizi koşul ve faktör anlaşılmaktadır. , kişisel verilerin engellenmesi, kopyalanması, sağlanması, dağıtılması ve diğer yasa dışı eylemler.

1. tür tehditler, diğer şeylerin yanı sıra, bilgi sisteminde kullanılan sistem yazılımında belgelenmemiş (bildirilmemiş) yeteneklerin varlığıyla ilişkili tehditler ilgiliyse, bir bilgi sistemi için uygundur.

2. tür tehditler, diğer şeylerin yanı sıra, bilgi sisteminde kullanılan uygulama yazılımında belgelenmemiş (bildirilmemiş) yeteneklerin varlığıyla ilişkili tehditler ilgiliyse, bir bilgi sistemi için uygundur.

3. tür tehditler, sistemdeki belgelenmemiş (bildirilmemiş) yeteneklerin varlığı ve bilgi sisteminde kullanılan uygulama yazılımı ile ilişkili olmayan tehditler bilgi sistemi ile ilgiliyse, bir bilgi sistemi için geçerlidir.

7. Bilgi sistemiyle ilgili kişisel verilerin güvenliğine yönelik tehdit türlerinin belirlenmesi, Federal Yasanın 18. maddesinin 1. bölümünün 5. paragrafı uyarınca gerçekleştirilen olası zararların değerlendirilmesi dikkate alınarak operatör tarafından yapılır. "Kişisel Veriler Üzerine" ve "Kişisel Veriler Hakkında" Federal Kanunun 19. Maddesinin 5. Kısmının yürütülmesinde kabul edilen düzenleyici yasal düzenlemelere uygun olarak.

8. Kişisel veriler bilgi sistemlerinde işlenirken 4 seviyeli kişisel veri güvenliği kurulur.

9. Aşağıdaki koşullardan en az birinin mevcut olması durumunda, kişisel verilerin bilgi sisteminde işlenmesi sırasında 1. seviye korunmasının sağlanması ihtiyacı oluşturulur:

a) tip 1 tehditler bilgi sistemiyle ilgilidir ve bilgi sistemi ya özel kategorilerdeki kişisel verileri ya da biyometrik kişisel verileri ya da diğer kişisel veri kategorilerini işler;

b) 2. tip tehditler bilgi sistemiyle ilgilidir ve bilgi sistemi, operatörün çalışanı olmayan 100.000'den fazla kişisel veri öznesinden özel kategorilerdeki kişisel verileri işler.

10. Aşağıdaki koşullardan en az birinin mevcut olması durumunda, kişisel verilerin bilgi sisteminde işlenmesi sırasında 2. seviye korunmasının sağlanması ihtiyacı oluşturulur:

a) tip 1 tehditler bilgi sistemiyle ilgilidir ve bilgi sistemi kamuya açık kişisel verileri işler;

b) 2. tip tehditler bilgi sistemiyle ilgilidir ve bilgi sistemi, işleticinin çalışanlarının özel kategorilerdeki kişisel verilerini veya işleticinin çalışanı olmayan 100.000'den az kişisel veri öznesinin özel kategorilerdeki kişisel verilerini işler;

c) 2. tip tehditler bilgi sistemiyle ilgilidir ve bilgi sistemi biyometrik kişisel verileri işler;

d) 2. tip tehditler bilgi sistemiyle ilgilidir ve bilgi sistemi, operatörün çalışanı olmayan 100.000'den fazla kişisel veri sahibinin kamuya açık kişisel verilerini işler;

e) 2. tip tehditler bilgi sistemiyle ilgilidir ve bilgi sistemi, operatörün çalışanı olmayan 100.000'den fazla kişisel veri öznesinden gelen diğer kişisel veri kategorilerini işler;

f) 3. tip tehditler bilgi sistemi ile ilgilidir ve bilgi sistemi, operatörün çalışanı olmayan 100.000'den fazla kişisel veri sahibinden özel kategorilerdeki kişisel verileri işler.

11. Aşağıdaki koşullardan en az birinin mevcut olması halinde, kişisel verilerin bilgi sisteminde işlenmesi sırasında 3. seviyede korunmasının sağlanması ihtiyacı tesis edilir:

a) 2. tip tehditler bilgi sistemiyle ilgilidir ve bilgi sistemi, işleticinin çalışanlarının kamuya açık kişisel verilerini veya işleticinin çalışanı olmayan 100.000'den az kişisel veri konusunun kamuya açık kişisel verilerini işler;

b) 2. tip tehditler bilgi sistemiyle ilgilidir ve bilgi sistemi, işleticinin çalışanlarının diğer kişisel veri kategorilerini veya işleticinin çalışanı olmayan 100.000'den az kişisel veri konusunun diğer kişisel veri kategorilerini işler;

c) üçüncü tür tehditler bilgi sistemi ile ilgilidir ve bilgi sistemi, işleticinin çalışanlarının özel kategorilerdeki kişisel verilerini veya işleticinin çalışanı olmayan 100.000'den az kişisel veri konusunun özel kategorilerdeki kişisel verilerini işler;

d) tip 3 tehditler bilgi sistemiyle ilgilidir ve bilgi sistemi biyometrik kişisel verileri işler;

e) 3. tür tehditler bilgi sistemi ile ilgilidir ve bilgi sistemi, operatörün çalışanı olmayan 100.000'den fazla kişisel veri sahibinin diğer kişisel veri kategorilerini işler.

12. Kişisel verilerin bilgi sisteminde işlenmesi sırasında 4. seviye güvenliğinin sağlanması ihtiyacı, aşağıdaki koşullardan en az birinin mevcut olması halinde tesis edilir:

a) 3. tür tehditler bilgi sistemiyle ilgilidir ve bilgi sistemi kamuya açık kişisel verileri işler;

b) bilgi sistemi için, 3. tür tehditler önemlidir ve bilgi sistemi, işleticinin çalışanlarının diğer kişisel veri kategorilerini veya işleticinin çalışanı olmayan 100.000'den az kişisel veri öznesinin diğer kişisel veri kategorilerini işler.

13. Kişisel verilerin bilgi sistemlerinde işlenmesi sırasında 4. seviyede korunmasını sağlamak için aşağıdaki gereksinimlerin karşılanması gerekir:

a) bilgi sisteminin bulunduğu binaların güvenliğini sağlamak, bu tesislere giriş hakkı olmayan kişilerin kontrolsüz giriş veya bu tesislerde kalma olasılığını önlemek için bir rejimin düzenlenmesi;

b) kişisel veri taşıyıcılarının güvenliğini sağlamak;

c) resmi (iş) görevlerini yerine getirmeleri için bilgi sisteminde işlenen kişisel verilere erişimi gerekli olan kişilerin listesini tanımlayan belgenin operatör başkanı tarafından onaylanması;

d) mevcut tehditleri etkisiz hale getirmek için bu tür araçların kullanılmasının gerekli olması durumunda, bilgi güvenliği alanındaki Rusya Federasyonu mevzuatının gerekliliklerine uygunluğu değerlendirme prosedürünü geçen bilgi güvenliği araçlarının kullanımı.

14. Kişisel verilerin bilgi sistemlerinde işlenirken 3. seviyede korunmasını sağlamak için, bu belgenin 13. paragrafında belirtilen gerekliliklerin yerine getirilmesine ek olarak, güvenliği sağlamaktan sorumlu bir yetkilinin (çalışan) atanması gerekir. bilgi sistemindeki kişisel verilerin

15. Kişisel verilerin bilgi sistemlerinde işlenmesi sırasında 2. seviye korunmasını sağlamak için, bu belgenin 14. paragrafında belirtilen gerekliliklerin yerine getirilmesine ek olarak, elektronik mesaj günlüğünün içeriğine erişimin yalnızca mümkün olması gerekir. belirtilen dergide yer alan bilgilerin resmi (işçi) görevlerinin yerine getirilmesi için gerekli olduğu operatörün veya yetkili bir kişinin yetkilileri (çalışanlar) için.

16. Kişisel verilerin bilgi sistemlerinde işlenmesi sırasında 1. seviye korunmasını sağlamak için, bu belgenin 15. paragrafında belirtilen gerekliliklere ek olarak, aşağıdaki gerekliliklerin karşılanması gerekir:

a) operatör çalışanının bilgi sisteminde yer alan kişisel verilere erişim yetkisindeki değişikliklerin elektronik güvenlik günlüğüne otomatik olarak kaydedilmesi;

b) Bilgi sistemindeki kişisel verilerin güvenliğini sağlamakla sorumlu bir yapısal birimin oluşturulması veya bu güvenliğin sağlanmasına ilişkin işlevlerin yapısal birimlerden birine atanması.

17. Bu gerekliliklerin uygulanmasına ilişkin kontrol, operatör (yetkili kişi) tarafından bağımsız olarak ve (veya) tüzel kişilerin ve gizli bilgilerin teknik korunması için faaliyetler yürütmek üzere lisanslı bireysel girişimcilerin sözleşmeye dayalı olarak katılımıyla organize edilir ve gerçekleştirilir. bilgi. Belirtilen kontrol, operatör (yetkili kişi) tarafından belirlenen sürelerde 3 yılda en az 1 kez yapılır.

RUSYA FEDERASYONU HÜKÜMETİ

ÇÖZÜM

Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin korunmasına ilişkin gerekliliklerin onaylanması hakkında

"Kişisel Veriler Hakkında" Federal Kanunun 19. Maddesi uyarınca, Rusya Federasyonu Hükümeti

karar verir:

1. Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin korunmasına ilişkin ekteki gereklilikleri onaylamak.

2. Rusya Federasyonu Hükümeti'nin 17 Kasım 2007 N 781 tarihli kararnamesinin geçersiz olarak kabul edilmesi "Kişisel verilerin kişisel veri bilgi sistemlerinde işlenirken güvenliğinin sağlanmasına ilişkin Yönetmeliğin onaylanması üzerine" (Rus Mevzuatı Toplu Federasyon, 2007, N 48, Madde 6001).

Başbakan
Rusya Federasyonu
D. Medvedev

Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin korunmasına ilişkin gereklilikler

TARAFINDAN ONAYLANDI
hükümet kararnamesi
Rusya Federasyonu
1 Kasım 2012 tarihli N 1119

Bilgi sistemi, bu maddenin bir ila üçüncü paragraflarında belirtilen kişisel verileri işlemediği takdirde, diğer kişisel veri kategorilerini işleyen bir bilgi sistemidir.

7. Bilgi sistemiyle ilgili kişisel verilerin güvenliğine yönelik tehdit türlerinin tanımı, Federal Yasanın 18_1. maddesinin 1. bölümünün 5. paragrafı uyarınca gerçekleştirilen olası zararların değerlendirilmesi dikkate alınarak operatör tarafından yapılır. "Kişisel Veriler Üzerine" ve "Kişisel Veriler Hakkında" Federal Kanunun 19. Maddesinin 5. Kısmının yürütülmesinde kabul edilen düzenleyici yasal düzenlemelere uygun olarak.