1119 shaxsiy ma'lumotlar. Shaxsiy ma'lumotlarning axborot tizimlarida qayta ishlash jarayonida shaxsiy ma'lumotlarni himoya qilish talablarini tasdiqlash to'g'risidagi qaror - Rossiyskaya gazeta

Yangi tartibga soluvchi asar ustida uzoq vaqtdan beri klaviaturaga cho'zilgan qo'llar allaqachon suyagiga qadar kaltaklangan. Endi o'zimni tiyib, chidab bo'lmaydi. Men yozishim kerak. Bundan tashqari, bugungi kunda 17.11.2007 yildagi 781-son qarorni bekor qiluvchi "Shaxsiy ma'lumotlarning axborot tizimlarida qayta ishlash jarayonida shaxsiy ma'lumotlarni himoya qilishga qo'yiladigan talablarni tasdiqlash to'g'risida"gi 01.11.2012 yildagi 1119-son qarori kuchga kiradi. E'lon qilingan kundan boshlab etti kun o'tadi.

Rostini aytsam, professional hamjamiyatdagi hamkasblarning yangi rezolyutsiyaga munosabati, aslida, axborot tizimlarida shaxsiy ma'lumotlarni qayta ishlashning texnik xavfsizligini yaratish tizimini belgilaydi, nafaqat meni hayratda qoldirdi, balki meni hayratda qoldirdi. Kichkina emas, bir qismi yoqdi, chunki ularning fikriga ko'ra, u tubdan yangi narsaga ega emas va yong'oqlarni yanada tortmaydi va PP-781 bilan solishtirganda talablar soni hatto kamayadi. Hamkasblarning yana bir qismi hujjatni qoralaydi, lekin bu juda umumiy, asosan aniqlik yo'qligi uchun.

Talablar haqida biroz boshqacha fikrda bo‘ldim, buni agentligimiz tomonidan “Security Code” kompaniyasi bilan birgalikda o‘tkazgan bugungi vebinarda qisqacha bayon qildim va bu borada kelib tushgan savollar nihoyatda meni ushbu postni yozishga undadi.

Vizyonimni tizimlashtirish uchun men bir nechta javonlarni o'ylab topdim, ularda hujjatga o'z baholarimni yoyaman. Kechirasiz, xatlar ko'p bo'ladi. Yuqori darajada. O'quvchilar toifasi 0+ bo'lishi uchun so'zlarni diqqat bilan tanladim.

Birinchi raf. Qonunga rioya qilish. PP-1119-ning chiqarilishi "Shaxsiy ma'lumotlar to'g'risida" gi 152-FZ-sonli yangi tahrirdagi 19-moddasi 3-qismining 1 va 2-bandlarining bevosita talabidir. Bu menga ushbu javondagi ishlarning holatini keskin baholashga imkon beradi. Hukumat qarori qonunga mos kelmaydi. Qonun xavfsizlik darajalarini va ularga qo'yiladigan talablarni besh omilga qarab belgilashni nazarda tutadi:

· shaxsiy ma'lumotlar sub'ektiga mumkin bo'lgan zarar,

· qayta ishlangan shaxsiy ma'lumotlar hajmi,

· qayta ishlangan shaxsiy ma'lumotlarning mazmuni,

· amalga oshirishda shaxsiy ma'lumotlar qayta ishlanadigan faoliyat turi;

· shaxsiy ma'lumotlar xavfsizligiga tahdidlarning dolzarbligi.

Faoliyat turlari va ayniqsa muhim bo'lgan sub'ektga zarar etkazish, odatda, qabul qilingan hujjatda malaka belgilari sifatida yo'q. Talablarning 7-bandida operator "umuman insonparvar" emas, boshqacha ayta olmayman, baholashni hisobga olgan holda, axborot tizimiga tegishli shaxsiy ma'lumotlar xavfsizligiga tahdidlar turini mustaqil ravishda aniqlash taklif etiladi. hali mavjud bo'lmagan FSB va FSTEC hujjatlariga asoslanib, mumkin bo'lgan zarar. Bular. bolalar bog'chasining boshlig'i yoki quvurlarni prokat zavodining avtomatlashtirish bo'limi boshlig'i (chunki bunday tashkilotlarda bunday muammolar bilan shug'ullanadigan boshqa hech kim yo'q) xodimlar, bolalar, tashrif buyuruvchilar va boshqalar ma'lumotlarini oshkor qilishdan kelib chiqadigan zararni baholaydi. ularning qarindoshlari. Mamlakatda ushbu muammo bo'yicha uslubiy ishlanmalarning to'liq yo'qligi bilan. Bunday muammolarga ozgina bo'lsa-da duch kelgan har bir kishi, fuqarolik huquqlarini buzgan holda zarar miqdorini aniqlash muammosi sud amaliyoti va sud protsessida eng qiyin masalalardan biri ekanligini biladi. Ammo, aftidan, har bir oshpazning imkoniyatlari haqidagi klassik postulatni eslab, mualliflar kraudsorsing muammoni hal qilishi mumkinligiga qaror qilishdi. Roskomnadzor ma'lumotlariga ko'ra, etti millionga yaqin operator mavjud. Ular nima ixtiro qilishayotganiga qarang. Muammoni bir boshdan ikkinchisiga o'tkazishning klassik misoli, siz qaysi birini bilasiz.

Faoliyatlari bilan ham pistirma. Qonunning yangi tahriri shaxsiy ma'lumotlar bilan ishlash uchun sanoat standartlari uchun joy qoldirmasligini hisobga olsak, ushbu turlarni faqat bitta usulda - FSB tomonidan ixtiro qilinganlarga qo'shimcha xavfsizlik tahdidlarini hisobga olish kerak. va FSTEC, bu aslida qonunning 19-moddasining 5 va 6-qismlarida ko'rsatilgan. Nuqta. Faqat yangi tahdidlarni aniqlash va hech qanday imtiyozlarni nazarda tutmaslik, masalan, Sog'liqni saqlash vazirligi o'zining uslubiy hujjatlarida FSTEC bilan kelishilgan.

Ikkinchi raf. Metodologiya. Raf eng ... yomon osilgan. Metodologiya hujjatning eng muhim, asosiy muammolarini o'z ichiga olganligi sababli. Asosiy tahdidlarni e'lon qilib, muqarrar ravishda xavfsizlikning eng yuqori darajalarini (1-jadvalga qarang), tizim va amaliy dasturiy ta'minotda e'lon qilinmagan (hujjatlanmagan) imkoniyatlarni o'rnatishga olib keladigan Talablar ularni zararsizlantirishning hech qanday usullari va usullarini taklif qilmaydi. Bunday usullar uchun faqat xatcho'plar va boshqa yomon odatlar yo'qligi uchun ushbu dasturning o'zini tekshirish mumkin. Va bu operatorlardan, hech bo'lmaganda PP-1119 da, hech kim talab qilmaydi.

1-jadval

ISPDN turi	Operator xodimlari	Mavzular soni	Joriy tahdid turi
1	2	3
ISPDn-S	Yo'q	> 100 000	UZ-1	UZ-1	UZ-2
Yo'q	< 100 000	UZ-1	UZ-2	UZ-3
Ha
ISPDn-B			UZ-1	UZ-2	UZ-3
ISPDn-I	Yo'q	> 100 000	UZ-1	UZ-2	UZ-3
Yo'q	< 100 000	UZ-2	UZ-3	UZ-4
Ha
ISPDn-O	Yo'q	> 100 000	UZ-2	UZ-2	UZ-4
Yo'q	< 100 000	UZ-2	UZ-3	UZ-4
Ha

Ular mantiqiy bombalar, orqa eshiklar va boshqa yovuz ruhlarni eski isbotlangan usullardan foydalangan holda davolashni taklif qilishadi - gramofon ignalari bilan klystyr va buzilmagan oyoq-qo'llarini gipslash. 2-jadvalga qarang.

jadval 2

Talablar	Darajalar xavfsizlik
1	2	3	4
Shaxsiy ma'lumotlar qayta ishlanadigan binolarning xavfsizlik rejimi
Shaxsiy ma'lumotlar tashuvchilarning xavfsizligi
Shaxsiy ma'lumotlarga ruxsat berilgan shaxslar ro'yxati
muvofiqlikni baholash protsedurasidan o'tgan MIZ
ISPDN da shaxsiy ma'lumotlar xavfsizligini ta'minlash uchun mas'ul mansabdor shaxs
Elektron xabarlar jurnali tarkibiga kirishni cheklash
Operator xodimining shaxsiy ma'lumotlarga kirish huquqidagi o'zgarishlarni elektron xavfsizlik jurnalida avtomatik ravishda ro'yxatdan o'tkazish
Shaxsiy ma'lumotlar xavfsizligini ta'minlash uchun mas'ul bo'lgan tarkibiy bo'linma

Sertifikatlangan xavfsizlik devorlaridan foydalanish va mas'ul bo'limni (yoki mas'ul shaxsni) tayinlash qanday qilib operatsion tizimning qayta ishlangan ma'lumotlarga ta'sir qilishini oldini olishga yordam beradi, shekilli, faqat mualliflar biladi.

Uchinchi raf. Terminologiya. Va bu hujjatning eng sirli qismi. "Operator xodimlari" qaerdan paydo bo'lgan va nima uchun ular huquqiy maqomi Mehnat kodeksida aniq tasvirlangan xodimlar emas, oddiy va aniq savol. Ammo "xabratlarning elektron jurnali" nima (15-band) va u "xavfsizlikning elektron jurnali" dan qanday farq qiladi (16-band), agar u umuman farq qilsa - bu erda katta sir bor. Menimcha, bu jurnallar haqida. Nimaning jurnallari? OS? JB? Butt? SZI? Hammasi birgami yoki alohidami? Javobsiz savollar.

Qaror qonunda mavjud bo'lmagan umumiy foydalanish mumkin bo'lgan shaxsiy ma'lumotlarni qayta ishlaydigan axborot tizimi tushunchasini kiritadi va bunday ma'lumotlar faqat 152-FZ-sonli 8-moddaga muvofiq yaratilgan shaxsiy ma'lumotlarning ochiq manbalaridan olingan deb hisoblanadi.

Va agar ular boshqacha tarzda olingan bo'lsa, masalan, agar bu e'lon qilinishi va majburiy oshkor etilishi kerak bo'lgan ma'lumotlar bo'lsa, masalan, Yuridik shaxslarning yagona davlat reestri va yuridik shaxslarning yagona davlat reestridagi ma'lumotlar, bu qonun hujjatlariga muvofiq hamma uchun ochiqdir. Yuridik shaxslar va yakka tartibdagi tadbirkorlarni davlat ro'yxatidan o'tkazish to'g'risidagi Federal qonun. Yoki qimmatli qog'ozlar emitentining affillangan shaxslari to'g'risidagi ma'lumotlar. Yoki deputatlikka nomzodlarning shaxsiy ma’lumotlari e’lon qilinadi. Ular bilan qanday kurashish kerak? Yana javobsiz savol.

Nihoyat, muvofiqlikni baholash. 330-sonli yopiq qarordan tashqari hech qanday aktda axborot xavfsizligi tizimi bilan bog'liq hech qanday izohga ega bo'lmagan atama normativ-huquqiy bazani aylanib o'tishda davom etmoqda. Ammo operator ushbu Qarorni ko'rgan bo'lsa ham, unga davlat nazorati va nazorati jarayonida muvofiqlikni baholash qanday amalga oshirilayotganini tushunishga ruxsat berilmagan. Va nazoratchining kelishini kutish oqibatlarini va sertifikatlanmagan mablag'lar ko'rinishida uning xatti-harakatlarini baholash. Shuni unutmasligimiz kerakki, qonunning yangi tahririda shaxsiy ma'lumotlarni qayta ishlashga oid normativ-huquqiy hujjatlar rasmiy e'lon qilinishi kerak.

To'rtinchi raf. Qo'llanilishi. Qaror faqat 152-FZ 19-moddasining 4-qismida nazarda tutilgan FSB va FSTECning tegishli hujjatlari, shuningdek davlat siyosati va huquqiy tartibga solishni ishlab chiqish funktsiyalarini bajaradigan federal ijroiya organlari tomonidan qabul qilinganidan keyin to'liq kuchga kirishi mumkin. Belgilangan faoliyat sohasida shaxsiy ma'lumotlar xavfsizligiga joriy tahdidlarni aniqlash nuqtai nazaridan Rossiya Federatsiyasining ta'sis sub'ektlarining davlat hokimiyati organlari, Rossiya banki, davlat byudjetdan tashqari jamg'armalari organlari, boshqa davlat organlari. (152-FZ 19-moddasining 5-qismi, Talablarning 2-bandi), ular mavjud emas va ular qachon qabul qilinishi noma'lum. Bunday sharoitda operator belgilangan talablarni bajarishi deyarli mumkin emas. Men bolalar bog'chasi mudiriga va quvurlarni prokat zavodining avtomatlashtirish bo'limi boshlig'iga qaytaman. Kim birinchi bo'lib "e'lon qilinmagan tizim dasturiy ta'minoti imkoniyatlari" nima ekanligini tushuntiradi va u ushbu tahdidning dolzarbligini qanday mezonlar bo'yicha baholaydi? Ikkinchi odamni ushbu tahdidlarni o'z zavodiga tegishli deb bilishiga va qo'shimcha muammolarni o'z zimmasiga olishga nima majbur qilishi mumkin? Birinchi javonni tahlil qilishda yozilgan zararni qanday baholaydilar? Keling, FSB va FSTEC hujjatlarini kutamiz. Biror narsa menga e'lon qilinmagan imkoniyatlarni neytrallashdan bosh tortishning iloji yo'qligini aytadi. Banklar va telekommunikatsiyalar buni oxir-oqibat aniqlaydilar. FSB / FSTEC ixtisoslashgan mutaxassislari va litsenziyalari - maktablar va universitetlar, kasalxonalar va klinikalar, ro'yxatga olish idoralari va bandlik markazlari va boshqalarga ega bo'lmagan qolganlari haqida nima deyish mumkin? Hech narsa, lekin soqov, bunday hujjat ularni olib kelishi mumkin emas.

Men rezyume yozmayman. Va shuning uchun hamma narsa aniq.

"Shaxsiy ma'lumotlar to'g'risida" Federal qonunining 19-moddasiga muvofiq, Rossiya Federatsiyasi hukumati qaror qiladi:

1. Shaxsiy ma'lumotlarning axborot tizimlarida ularni qayta ishlash jarayonida shaxsiy ma'lumotlarni himoya qilish bo'yicha ilova qilingan talablar tasdiqlansin.

2. Rossiya Federatsiyasi Hukumatining 2007 yil 17 noyabrdagi 781-sonli "Shaxsiy ma'lumotlarning shaxsiy ma'lumotlar tizimlarida ularni qayta ishlashda ularning xavfsizligini ta'minlash to'g'risidagi nizomni tasdiqlash to'g'risida"gi qarori o'z kuchini yo'qotgan deb tan olinsin (Rossiya Federatsiyasi Hukumatining to'plangan qonun hujjatlari). Federatsiya, 2007 yil, N 48, 6001-modda) ...

Rossiya Federatsiyasi hukumati raisi

D. Medvedev

Shaxsiy ma'lumotlarning axborot tizimlarida ularni qayta ishlash jarayonida shaxsiy ma'lumotlarni himoya qilishga qo'yiladigan talablar

1. Ushbu hujjat shaxsiy ma'lumotlarning axborot tizimlarida (keyingi o'rinlarda axborot tizimlari deb yuritiladi) qayta ishlash jarayonida shaxsiy ma'lumotlarni himoya qilish talablarini va bunday ma'lumotlarning xavfsizlik darajalarini belgilaydi.

2. Axborot tizimida ularni qayta ishlash jarayonida shaxsiy ma'lumotlarning xavfsizligi "Shaxsiy ma'lumotlar to'g'risida" Federal qonunining 19-moddasi 5-qismiga muvofiq aniqlangan haqiqiy tahdidlarni zararsizlantiradigan shaxsiy ma'lumotlarni himoya qilish tizimi yordamida ta'minlanadi.

Shaxsiy ma'lumotlarni himoya qilish tizimi shaxsiy ma'lumotlar va axborot tizimlarida qo'llaniladigan axborot texnologiyalari xavfsizligiga joriy tahdidlarni hisobga olgan holda belgilanadigan tashkiliy va (yoki) texnik choralarni o'z ichiga oladi.

3. Shaxsiy ma'lumotlarning axborot tizimida qayta ishlash jarayonida xavfsizligi shaxsiy ma'lumotlarni qayta ishlovchi ushbu tizim operatori (keyingi o'rinlarda operator deb yuritiladi) yoki operator nomidan shaxsiy ma'lumotlarni qayta ishlovchi shaxs tomonidan ta'minlanadi. ushbu shaxs (keyingi o'rinlarda vakolatli shaxs deb yuritiladi) bilan tuzilgan shartnoma asosida. Operator va vakolatli shaxs o'rtasidagi shartnomada vakolatli shaxsning shaxsiy ma'lumotlarni axborot tizimida qayta ishlashda xavfsizligini ta'minlash majburiyati nazarda tutilishi kerak.

4. Shaxsiy ma'lumotlarni himoya qilish tizimi uchun axborotni himoya qilish vositalarini tanlash operator tomonidan Rossiya Federatsiyasi Federal Xavfsizlik Xizmati va Texnik va eksport nazorati bo'yicha Federal xizmati tomonidan qismni bajarish uchun qabul qilingan normativ-huquqiy hujjatlarga muvofiq amalga oshiriladi. "Shaxsiy ma'lumotlar to'g'risida" Federal qonunining 19-moddasi 4.

5. Axborot tizimi - shaxsiy ma'lumotlar sub'ektlarining irqi, millati, siyosiy qarashlari, diniy yoki falsafiy e'tiqodlari, sog'lig'i holati, intim hayotiga oid shaxsiy ma'lumotlarni qayta ishlovchi shaxsiy ma'lumotlarning maxsus toifalari.

Axborot tizimi - biometrik shaxsiy ma'lumotlarni qayta ishlovchi axborot tizimi, agar u insonning fiziologik va biologik xususiyatlarini tavsiflovchi ma'lumotlarni qayta ishlasa, uning asosida uning shaxsini aniqlash mumkin bo'ladi va operator tomonidan shaxsni aniqlash uchun foydalaniladi. shaxsiy ma'lumotlar sub'ekti va shaxsiy ma'lumotlarning maxsus toifalari bilan bog'liq ma'lumotlar.

Axborot tizimi "Shaxsiy ma'lumotlar to'g'risida" gi Federal qonunning 8-moddasiga muvofiq yaratilgan shaxsiy ma'lumotlarning faqat ochiq manbalaridan olingan shaxsiy ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarini qayta ishlayotgan bo'lsa, umumiy foydalanish mumkin bo'lgan shaxsiy ma'lumotlarni qayta ishlaydigan axborot tizimidir.

Axborot tizimi - agar ushbu bandning birinchidan uchinchigacha bo'lgan bandlarida ko'rsatilgan shaxsiy ma'lumotlarni qayta ishlamasa, boshqa toifadagi shaxsiy ma'lumotlarni qayta ishlaydigan axborot tizimi.

Axborot tizimi - operator xodimlarining shaxsiy ma'lumotlarini qayta ishlaydigan axborot tizimi, agar u faqat ko'rsatilgan xodimlarning shaxsiy ma'lumotlarini qayta ishlasa. Boshqa hollarda, shaxsiy ma'lumotlarning axborot tizimi operatorning xodimlari bo'lmagan shaxsiy ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarini qayta ishlaydigan axborot tizimidir.

6. Shaxsiy ma'lumotlar xavfsizligiga haqiqiy tahdidlar deganda, axborot tizimida qayta ishlash jarayonida shaxsiy ma'lumotlarga ruxsatsiz, shu jumladan tasodifiy kirishning haqiqiy xavfini yaratuvchi shartlar va omillar majmui tushuniladi, bu esa yo'q qilinishi, o'zgartirilishi mumkin. , blokirovka qilish, nusxalash, taqdim etish, shaxsiy ma'lumotlarni tarqatish, shuningdek, boshqa noqonuniy harakatlar.

1-toifa tahdidlar, agar boshqa narsalar qatori, axborot tizimida foydalaniladigan tizim dasturiy ta'minotida hujjatlashtirilmagan (e'lon qilinmagan) imkoniyatlar mavjudligi bilan bog'liq tahdidlar tegishli bo'lsa, axborot tizimi uchun tegishli hisoblanadi.

2-toifa tahdidlar, agar boshqa narsalar qatorida, axborot tizimida foydalaniladigan amaliy dasturiy ta'minotda hujjatlashtirilmagan (e'lon qilinmagan) imkoniyatlar mavjudligi bilan bog'liq tahdidlar tegishli bo'lsa, axborot tizimi uchun tegishli hisoblanadi.

3-toifa tahdidlar, agar tizimda hujjatlashtirilmagan (e'lon qilinmagan) imkoniyatlarning mavjudligi bilan bog'liq bo'lmagan tahdidlar va axborot tizimida foydalaniladigan amaliy dasturiy ta'minot unga tegishli bo'lsa, axborot tizimi uchun tegishli hisoblanadi.

7. Axborot tizimiga tegishli shaxsiy ma'lumotlar xavfsizligiga tahdidlar turi operator tomonidan "Shaxsiy to'g'risida" Federal qonunining 18-moddasi 1-qismining 5-bandiga muvofiq amalga oshirilgan mumkin bo'lgan zararni baholashni hisobga olgan holda belgilanadi. "Ma'lumotlar" va "Shaxsiy ma'lumotlar to'g'risida" Federal qonunining 19-moddasi 5-qismini bajarishda qabul qilingan normativ-huquqiy hujjatlarga muvofiq.

8. Axborot tizimlarida shaxsiy ma'lumotlarni qayta ishlashda shaxsiy ma'lumotlar xavfsizligining 4 darajasi o'rnatiladi.

9. Shaxsiy ma'lumotlarni axborot tizimida qayta ishlash jarayonida ularni himoya qilishning 1-darajasini ta'minlash zarurati, agar quyidagi shartlardan kamida bittasi mavjud bo'lsa, belgilanadi:

a) 1-toifa tahdidlar axborot tizimiga tegishli va axborot tizimi shaxsiy ma'lumotlarning maxsus toifalari yoki biometrik shaxsiy ma'lumotlar yoki shaxsiy ma'lumotlarning boshqa toifalarini qayta ishlaydi;

b) 2-toifa tahdidlar axborot tizimiga tegishli bo'lib, axborot tizimi operator xodimlari bo'lmagan 100 000 dan ortiq shaxsiy ma'lumotlar sub'ektlaridan shaxsiy ma'lumotlarning maxsus toifalarini qayta ishlaydi.

10. Shaxsiy ma'lumotlarni axborot tizimida qayta ishlash jarayonida ularni himoya qilishning 2-darajasini ta'minlash zarurati, agar quyidagi shartlardan kamida bittasi mavjud bo'lsa, belgilanadi:

a) 1-toifa tahdidlar axborot tizimiga tegishli bo'lib, axborot tizimi hamma uchun ochiq bo'lgan shaxsiy ma'lumotlarni qayta ishlaydi;

b) 2-toifa tahdidlar axborot tizimiga taalluqlidir va axborot tizimi operator xodimlarining shaxsiy ma'lumotlarining maxsus toifalarini yoki operator xodimlari bo'lmagan 100 000 dan kam shaxsiy ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarining maxsus toifalarini qayta ishlaydi;

c) 2-toifa tahdidlar axborot tizimiga tegishli va axborot tizimi biometrik shaxsiy ma'lumotlarni qayta ishlaydi;

d) 2-toifa tahdidlar axborot tizimiga tegishli bo'lib, axborot tizimi operator xodimlari bo'lmagan 100 000 dan ortiq shaxsiy ma'lumotlar sub'ektlarining hamma uchun ochiq bo'lgan shaxsiy ma'lumotlarini qayta ishlaydi;

e) 2-toifa tahdidlar axborot tizimiga tegishli bo'lib, axborot tizimi operator xodimlari bo'lmagan 100 000 dan ortiq shaxsiy ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarining boshqa toifalarini qayta ishlaydi;

f) 3-toifa tahdidlar axborot tizimiga tegishli bo'lib, axborot tizimi operator xodimlari bo'lmagan 100 000 dan ortiq shaxsiy ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarining maxsus toifalarini qayta ishlaydi.

11. Shaxsiy ma'lumotlarni axborot tizimida qayta ishlash jarayonida ularni himoya qilishning 3-darajasini ta'minlash zarurati, agar quyidagi shartlardan kamida bittasi mavjud bo'lsa, belgilanadi:

a) 2-toifa tahdidlar axborot tizimiga taalluqlidir va axborot tizimi operator xodimlarining umumiy foydalanishi mumkin bo'lgan shaxsiy ma'lumotlarini yoki operator xodimlari bo'lmagan 100 000 dan kam shaxsiy ma'lumotlar sub'ektlarining hamma uchun ochiq bo'lgan shaxsiy ma'lumotlarini qayta ishlaydi;

b) 2-toifa tahdidlar axborot tizimiga taalluqlidir va axborot tizimi operator xodimlarining shaxsiy ma'lumotlarining boshqa toifalarini yoki operator xodimlari bo'lmagan 100 000 dan kam shaxsiy ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarining boshqa toifalarini qayta ishlaydi;

c) uchinchi turdagi tahdidlar axborot tizimi uchun dolzarb bo'lib, axborot tizimi operator xodimlarining shaxsiy ma'lumotlarining maxsus toifalari yoki operator xodimlari bo'lmagan 100 000 dan kam shaxsiy ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarining maxsus toifalarini qayta ishlaydi;

d) 3-toifa tahdidlar axborot tizimiga tegishli va axborot tizimi biometrik shaxsiy ma'lumotlarni qayta ishlaydi;

e) 3-toifa tahdidlar axborot tizimiga tegishli bo'lib, axborot tizimi operator xodimlari bo'lmagan 100 000 dan ortiq shaxsiy ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarining boshqa toifalarini qayta ishlaydi.

12. Axborot tizimida shaxsiy ma'lumotlarni qayta ishlash jarayonida ularning xavfsizligining 4-darajasini ta'minlash zarurati, agar quyidagi shartlardan kamida bittasi mavjud bo'lsa, belgilanadi:

a) 3-toifa tahdidlar axborot tizimiga tegishli bo'lib, axborot tizimi hamma uchun ochiq bo'lgan shaxsiy ma'lumotlarni qayta ishlaydi;

b) uchinchi turdagi tahdidlar axborot tizimiga tegishli bo'lib, axborot tizimi operator xodimlarining shaxsiy ma'lumotlarining boshqa toifalarini yoki operator xodimlari bo'lmagan 100 000 dan kam shaxsiy ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarining boshqa toifalarini qayta ishlaydi.

13. Axborot tizimlarida shaxsiy ma'lumotlarni qayta ishlash jarayonida ularni himoya qilishning 4-darajasini ta'minlash uchun quyidagi talablar bajarilishi kerak:

a) axborot tizimi joylashgan binolarning xavfsizligini ta'minlash, ushbu binolarga kirish huquqiga ega bo'lmagan shaxslarning ushbu binolarga nazoratsiz kirishi yoki bo'lishining oldini olish rejimini tashkil etish;

b) shaxsiy ma'lumotlar tashuvchilarning xavfsizligini ta'minlash;

v) operator rahbari tomonidan axborot tizimida qayta ishlangan shaxsiy ma'lumotlarga kirish ularning xizmat (mehnat) vazifalarini bajarishi uchun zarur bo'lgan shaxslar ro'yxatini belgilovchi hujjatni tasdiqlash;

d) Rossiya Federatsiyasining axborot xavfsizligi sohasidagi qonun hujjatlari talablariga muvofiqligini baholash tartibidan o'tgan axborot xavfsizligi vositalaridan foydalanish, agar mavjud tahdidlarni zararsizlantirish uchun bunday vositalardan foydalanish zarur bo'lsa.

14. Shaxsiy ma'lumotlarni axborot tizimlarida qayta ishlashda ularni himoya qilishning 3-bosqichini ta'minlash uchun ushbu hujjatning 13-bandida nazarda tutilgan talablarni bajarishdan tashqari, xavfsizlikni ta'minlash uchun mas'ul mansabdor shaxs (xodim) tayinlanishi zarur. axborot tizimidagi shaxsiy ma'lumotlar.

15. Shaxsiy ma'lumotlarni axborot tizimlarida qayta ishlash jarayonida ularni himoya qilishning 2-darajasini ta'minlash uchun ushbu hujjatning 14-bandida nazarda tutilgan talablarni bajarishdan tashqari, elektron xabarlar jurnali mazmuniga kirish faqat operatorning mansabdor shaxslari (xodimlari) yoki ko'rsatilgan jurnaldagi ma'lumotlar xizmat (mehnat) vazifalarini bajarish uchun zarur bo'lgan vakolatli shaxs uchun.

16. Shaxsiy ma'lumotlarni axborot tizimlarida qayta ishlash jarayonida ularni himoya qilishning 1-darajasini ta'minlash uchun ushbu hujjatning 15-bandida nazarda tutilgan talablardan tashqari quyidagi talablar bajarilishi kerak:

a) operator xodimining axborot tizimidagi shaxsiy ma'lumotlarga kirish huquqidagi o'zgarishlarni elektron xavfsizlik jurnalida avtomatik ravishda ro'yxatdan o'tkazish;

b) axborot tizimidagi shaxsiy ma'lumotlar xavfsizligini ta'minlash uchun mas'ul bo'lgan tarkibiy bo'linmani yaratish yoki tarkibiy bo'linmalardan biriga bunday xavfsizlikni ta'minlash funktsiyalarini yuklash.

17. Mazkur talablarning bajarilishini nazorat qilish operator (vakolatli shaxs) tomonidan mustaqil ravishda va (yoki) shartnoma asosida yuridik shaxslarni va maxfiy maʼlumotlarni texnik muhofaza qilish boʻyicha faoliyatni amalga oshirish litsenziyasiga ega boʻlgan yakka tartibdagi tadbirkorlarni jalb qilgan holda tashkil etiladi va amalga oshiriladi. ma `lumot. Belgilangan nazorat operator (vakolatli shaxs) tomonidan belgilangan muddatlarda 3 yilda kamida 1 marta amalga oshiriladi.

ROSSIYA FEDERASİYASI HUKUMATI

REzolyutsiya

Shaxsiy ma'lumotlarning axborot tizimlarida ularni qayta ishlash jarayonida shaxsiy ma'lumotlarni himoya qilishga qo'yiladigan talablarni tasdiqlash to'g'risida

"Shaxsiy ma'lumotlar to'g'risida" Federal qonunining 19-moddasiga muvofiq, Rossiya Federatsiyasi hukumati

qaror qiladi:

1. Shaxsiy ma'lumotlarning axborot tizimlarida ularni qayta ishlash jarayonida shaxsiy ma'lumotlarni himoya qilish bo'yicha ilova qilingan talablar tasdiqlansin.

2. Rossiya Federatsiyasi Hukumatining 2007 yil 17 noyabrdagi N 781 "Shaxsiy ma'lumotlarning shaxsiy ma'lumotlar tizimlarida ularni qayta ishlashda ularning xavfsizligini ta'minlash to'g'risidagi nizomni tasdiqlash to'g'risida"gi qarori o'z kuchini yo'qotgan deb tan olinsin (Rossiya Federatsiyasi qonunchiligining to'plami). Federatsiya, 2007 yil, N 48, 6001-modda).

Bosh Vazir
Rossiya Federatsiyasi
D. Medvedev

Shaxsiy ma'lumotlarning axborot tizimlarida ularni qayta ishlash jarayonida shaxsiy ma'lumotlarni himoya qilishga qo'yiladigan talablar

TOMONIDAN TASDIQLANGAN
hukumat qarori
Rossiya Federatsiyasi
2012 yil 1 noyabrdagi N 1119-son

Axborot tizimi - bu "Shaxsiy ma'lumotlar to'g'risida" gi Federal qonunning 8-moddasiga muvofiq yaratilgan shaxsiy ma'lumotlarning ochiq manbalaridan olingan shaxsiy ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarini qayta ishlagan taqdirda, umumiy foydalanish mumkin bo'lgan shaxsiy ma'lumotlarni qayta ishlaydigan axborot tizimi.

7. Axborot tizimiga tegishli shaxsiy ma'lumotlar xavfsizligiga tahdidlar turini aniqlash Federal qonunning 18_1-moddasi 1-qismining 5-bandiga muvofiq amalga oshirilgan mumkin bo'lgan zararni baholashni hisobga olgan holda operator tomonidan amalga oshiriladi. "Shaxsiy ma'lumotlar to'g'risida" gi va "Shaxsiy ma'lumotlar to'g'risida" Federal qonunining 19-moddasi 5-qismini bajarishda qabul qilingan normativ-huquqiy hujjatlarga muvofiq.