वैयक्तिक डेटाच्या संरक्षणासाठी आवश्यकता 1119. वैयक्तिक डेटा माहिती प्रणालींमध्ये प्रक्रियेदरम्यान वैयक्तिक डेटाच्या संरक्षणासाठी आवश्यकतेच्या मान्यतेचा ठराव - Rossiyskaya Gazeta

"वैयक्तिक डेटावर" फेडरल कायद्याच्या कलम 19 नुसार, सरकार रशियाचे संघराज्य ठरवते:

1. मध्ये प्रक्रियेदरम्यान वैयक्तिक डेटाच्या संरक्षणासाठी संलग्न आवश्यकता मंजूर करा माहिती प्रणालीवैयक्तिक माहिती.

2. नोव्हेंबर 17, 2007 एन 781 च्या रशियन फेडरेशनच्या सरकारचा डिक्री अवैध म्हणून ओळखा "वैयक्तिक डेटा माहिती प्रणालींमध्ये त्यांच्या प्रक्रियेदरम्यान वैयक्तिक डेटाची सुरक्षा सुनिश्चित करण्याच्या नियमांच्या मंजुरीवर" (रशियन फेडरेशनचे संकलित कायदा , 2007, एन 48, कला 6001).

रशियन फेडरेशन सरकारचे अध्यक्ष

डी. मेदवेदेव

वैयक्तिक डेटा माहिती प्रणालींमध्ये प्रक्रियेदरम्यान वैयक्तिक डेटाच्या संरक्षणासाठी आवश्यकता

1. हा दस्तऐवज वैयक्तिक डेटा माहिती प्रणालीमध्ये प्रक्रिया केल्यावर वैयक्तिक डेटाच्या संरक्षणासाठी आवश्यकता स्थापित करतो (यापुढे माहिती प्रणाली म्हणून संदर्भित) आणि अशा डेटाच्या सुरक्षिततेचे स्तर.

2. माहिती प्रणालीमध्ये प्रक्रिया केल्यावर वैयक्तिक डेटाची सुरक्षा वैयक्तिक डेटा संरक्षण प्रणाली वापरून सुनिश्चित केली जाते जी "वैयक्तिक डेटावर" फेडरल कायद्याच्या कलम 19 च्या भाग 5 नुसार ओळखल्या जाणाऱ्या वर्तमान धोक्यांना तटस्थ करते.

वैयक्तिक डेटा संरक्षण प्रणालीमध्ये संस्थात्मक आणि (किंवा) वैयक्तिक डेटाच्या सुरक्षिततेसाठी सध्याचे धोके लक्षात घेऊन निर्धारित केलेल्या तांत्रिक उपायांचा समावेश आहे आणि माहिती तंत्रज्ञान, माहिती प्रणाली मध्ये वापरले.

3. माहिती प्रणालीमध्ये प्रक्रिया केल्यावर वैयक्तिक डेटाची सुरक्षा या प्रणालीच्या ऑपरेटरद्वारे सुनिश्चित केली जाते, जो वैयक्तिक डेटावर प्रक्रिया करतो (यापुढे ऑपरेटर म्हणून संदर्भित), किंवा ऑपरेटरच्या वतीने वैयक्तिक डेटावर प्रक्रिया करणाऱ्या व्यक्तीद्वारे. या व्यक्तीसोबत झालेल्या कराराचा (यापुढे अधिकृत व्यक्ती म्हणून उल्लेख केला जाईल). ऑपरेटर आणि अधिकृत व्यक्ती यांच्यातील कराराने माहिती प्रणालीमध्ये प्रक्रिया केल्यावर वैयक्तिक डेटाची सुरक्षा सुनिश्चित करण्यासाठी अधिकृत व्यक्तीच्या दायित्वाची तरतूद करणे आवश्यक आहे.

4. वैयक्तिक डेटा संरक्षण प्रणालीसाठी माहिती सुरक्षा साधनांची निवड ऑपरेटरद्वारे स्वीकारलेल्या नियामक कायदेशीर कायद्यांनुसार केली जाते. फेडरल सेवा"वैयक्तिक डेटावर" फेडरल कायद्याच्या कलम 19 च्या भाग 4 नुसार रशियन फेडरेशनची सुरक्षा आणि तांत्रिक आणि निर्यात नियंत्रणासाठी फेडरल सेवा.

माहिती प्रणाली ही एक माहिती प्रणाली आहे जी बायोमेट्रिक वैयक्तिक डेटावर प्रक्रिया करते जर ती एखाद्या व्यक्तीच्या शारीरिक आणि जैविक वैशिष्ट्यांचे वैशिष्ट्य असलेल्या माहितीवर प्रक्रिया करते, ज्याच्या आधारावर एखादी व्यक्ती त्याची ओळख स्थापित करू शकते आणि ज्याचा वापर ऑपरेटरद्वारे ओळख प्रस्थापित करण्यासाठी केला जातो. वैयक्तिक डेटाचा विषय, आणि वैयक्तिक डेटाच्या विशेष श्रेणींशी संबंधित माहितीवर प्रक्रिया करत नाही.

माहिती प्रणाली ही एक माहिती प्रणाली आहे जी सार्वजनिकपणे उपलब्ध असलेल्या वैयक्तिक डेटावर प्रक्रिया करते जर ती वैयक्तिक डेटा विषयांच्या वैयक्तिक डेटावर प्रक्रिया करते जे केवळ सार्वजनिकरित्या उपलब्ध असलेल्या वैयक्तिक डेटाच्या स्त्रोतांकडून प्राप्त केले जाते जे फेडरल लॉ "वैयक्तिक डेटावर" च्या अनुच्छेद 8 नुसार तयार केले जाते.

माहिती प्रणाली ही एक माहिती प्रणाली आहे जी वैयक्तिक डेटाच्या इतर श्रेणींवर प्रक्रिया करते, जर ती या परिच्छेदातील एक ते तीन परिच्छेदांमध्ये निर्दिष्ट केलेल्या वैयक्तिक डेटावर प्रक्रिया करत नसेल.

माहिती प्रणाली ही एक माहिती प्रणाली आहे जी ऑपरेटरच्या कर्मचाऱ्यांच्या वैयक्तिक डेटावर प्रक्रिया करते जर ती केवळ निर्दिष्ट कर्मचाऱ्यांच्या वैयक्तिक डेटावर प्रक्रिया करते. इतर प्रकरणांमध्ये, वैयक्तिक डेटा माहिती प्रणाली ही एक माहिती प्रणाली आहे जी ऑपरेटरचे कर्मचारी नसलेल्या वैयक्तिक डेटा विषयांच्या वैयक्तिक डेटावर प्रक्रिया करते.

6. वैयक्तिक डेटाच्या सुरक्षेसाठी सध्याचे धोके हे अटी आणि घटकांचा एक संच म्हणून समजले जातात जे माहिती प्रणालीमध्ये त्यांच्या प्रक्रियेदरम्यान वैयक्तिक डेटामध्ये अपघाती, प्रवेशासह अनधिकृत होण्याचा सध्याचा धोका निर्माण करतात, ज्यामुळे विनाश, बदल, अवरोधित करणे, कॉपी करणे, तरतूद करणे, वैयक्तिक डेटाचे वितरण, तसेच इतर बेकायदेशीर क्रिया.

1ल्या प्रकारच्या धमक्या माहिती प्रणालीसाठी संबंधित आहेत, जर इतर गोष्टींबरोबरच, सिस्टममधील अदस्तांकित (अघोषित) क्षमतांच्या उपस्थितीशी संबंधित धमक्या संबंधित असतील. सॉफ्टवेअरमाहिती प्रणाली मध्ये वापरले.

माहिती प्रणालीमध्ये वापरल्या जाणाऱ्या ऍप्लिकेशन सॉफ्टवेअरमधील अदस्तांकित (अघोषित) क्षमतांच्या उपस्थितीशी संबंधित धमक्या देखील संबंधित असतील तर 2ऱ्या प्रकारच्या धमक्या माहिती प्रणालीसाठी संबंधित आहेत.

माहिती प्रणालीमध्ये वापरल्या जाणाऱ्या प्रणाली आणि ऍप्लिकेशन सॉफ्टवेअरमधील अदस्तांकित (अघोषित) क्षमतांच्या उपस्थितीशी संबंधित नसलेल्या धमक्या संबंधित असल्यास टाइप 3 धमक्या माहिती प्रणालीशी संबंधित आहेत.

7. फेडरल लॉ "च्या कलम 18 च्या भाग 1 मधील परिच्छेद 5 च्या अनुषंगाने केलेल्या संभाव्य हानीचे मूल्यांकन लक्षात घेऊन माहिती प्रणालीशी संबंधित वैयक्तिक डेटाच्या सुरक्षिततेसाठी असलेल्या धोक्यांच्या प्रकाराचे निर्धारण ऑपरेटरद्वारे केले जाते. वैयक्तिक डेटावर", आणि "वैयक्तिक डेटावर" फेडरल कायद्याच्या कलम 19 च्या भाग 5 च्या अनुषंगाने दत्तक घेतलेल्या नियामक कायदेशीर कायद्यांनुसार.

8. माहिती प्रणालीमध्ये वैयक्तिक डेटावर प्रक्रिया करताना, वैयक्तिक डेटा सुरक्षिततेचे 4 स्तर स्थापित केले जातात.

9. माहिती प्रणालीमध्ये प्रक्रिया केल्यावर वैयक्तिक डेटाच्या सुरक्षिततेच्या पहिल्या स्तराची खात्री करणे आवश्यक आहे जर खालीलपैकी किमान एक परिस्थिती असेल तर:

अ) प्रकार 1 धमक्या माहिती प्रणालीशी संबंधित आहेत आणि माहिती प्रणाली वैयक्तिक डेटाच्या विशेष श्रेणी, किंवा बायोमेट्रिक वैयक्तिक डेटा किंवा वैयक्तिक डेटाच्या इतर श्रेणींवर प्रक्रिया करते;

b) प्रकार 2 धमक्या माहिती प्रणालीशी संबंधित आहेत आणि माहिती प्रणाली ऑपरेटरचे कर्मचारी नसलेल्या 100,000 पेक्षा जास्त वैयक्तिक डेटा विषयांच्या वैयक्तिक डेटाच्या विशेष श्रेणींवर प्रक्रिया करते.

10. माहिती प्रणालीमध्ये वैयक्तिक डेटावर प्रक्रिया करताना त्याच्या सुरक्षिततेच्या द्वितीय स्तराची खात्री करणे आवश्यक आहे जर खालीलपैकी किमान एक परिस्थिती असेल तर:

अ) प्रकार 1 धमक्या माहिती प्रणालीशी संबंधित आहेत आणि माहिती प्रणाली सार्वजनिकरित्या उपलब्ध वैयक्तिक डेटावर प्रक्रिया करते;

b) प्रकार 2 धमक्या माहिती प्रणालीशी संबंधित आहेत आणि माहिती प्रणाली ऑपरेटरच्या कर्मचाऱ्यांच्या वैयक्तिक डेटाच्या विशेष श्रेणी किंवा ऑपरेटरचे कर्मचारी नसलेल्या 100,000 पेक्षा कमी वैयक्तिक डेटा विषयांच्या वैयक्तिक डेटाच्या विशेष श्रेणींवर प्रक्रिया करते;

c) प्रकार 2 धमक्या माहिती प्रणालीशी संबंधित आहेत आणि माहिती प्रणाली बायोमेट्रिक वैयक्तिक डेटावर प्रक्रिया करते;

d) प्रकार 2 धमक्या माहिती प्रणालीशी संबंधित आहेत आणि माहिती प्रणाली ऑपरेटरचे कर्मचारी नसलेल्या 100,000 पेक्षा जास्त वैयक्तिक डेटा विषयांच्या सार्वजनिकरित्या उपलब्ध वैयक्तिक डेटावर प्रक्रिया करते;

e) प्रकार 2 धमक्या माहिती प्रणालीशी संबंधित आहेत आणि माहिती प्रणाली ऑपरेटरचे कर्मचारी नसलेल्या 100,000 पेक्षा जास्त वैयक्तिक डेटा विषयांच्या वैयक्तिक डेटाच्या इतर श्रेणींवर प्रक्रिया करते;

f) प्रकार 3 धमक्या माहिती प्रणालीसाठी संबंधित आहेत आणि माहिती प्रणाली ऑपरेटरचे कर्मचारी नसलेल्या 100,000 पेक्षा जास्त वैयक्तिक डेटा विषयांच्या वैयक्तिक डेटाच्या विशेष श्रेणींवर प्रक्रिया करते.

11. खालीलपैकी किमान एक अटी उपस्थित असल्यास माहिती प्रणालीमध्ये वैयक्तिक डेटाच्या प्रक्रियेदरम्यान सुरक्षिततेच्या तिसऱ्या स्तराची खात्री करण्याची आवश्यकता स्थापित केली गेली आहे:

a) प्रकार 2 धमक्या माहिती प्रणालीशी संबंधित आहेत आणि माहिती प्रणाली ऑपरेटरच्या कर्मचाऱ्यांचा सार्वजनिकपणे उपलब्ध वैयक्तिक डेटा किंवा ऑपरेटरचे कर्मचारी नसलेल्या 100,000 पेक्षा कमी वैयक्तिक डेटा विषयांच्या सार्वजनिकरित्या उपलब्ध वैयक्तिक डेटावर प्रक्रिया करते;

b) प्रकार 2 धमक्या माहिती प्रणालीशी संबंधित आहेत आणि माहिती प्रणाली ऑपरेटरच्या कर्मचाऱ्यांच्या वैयक्तिक डेटाच्या इतर श्रेणी किंवा ऑपरेटरचे कर्मचारी नसलेल्या 100,000 पेक्षा कमी वैयक्तिक डेटा विषयांच्या वैयक्तिक डेटाच्या इतर श्रेणींवर प्रक्रिया करते;

c) प्रकार 3 धमक्या माहिती प्रणालीसाठी संबंधित आहेत आणि माहिती प्रणाली ऑपरेटरच्या कर्मचाऱ्यांच्या वैयक्तिक डेटाच्या विशेष श्रेणी किंवा ऑपरेटरचे कर्मचारी नसलेल्या 100,000 पेक्षा कमी वैयक्तिक डेटा विषयांच्या वैयक्तिक डेटाच्या विशेष श्रेणींवर प्रक्रिया करते;

ड) प्रकार 3 धमक्या माहिती प्रणालीशी संबंधित आहेत आणि माहिती प्रणाली बायोमेट्रिक वैयक्तिक डेटावर प्रक्रिया करते;

e) प्रकार 3 धमक्या माहिती प्रणालीशी संबंधित आहेत आणि माहिती प्रणाली ऑपरेटरचे कर्मचारी नसलेल्या 100,000 पेक्षा जास्त वैयक्तिक डेटा विषयांच्या वैयक्तिक डेटाच्या इतर श्रेणींवर प्रक्रिया करते.

12. माहिती प्रणालीमध्ये वैयक्तिक डेटावर प्रक्रिया करताना त्याच्या सुरक्षिततेच्या 4थ्या स्तराची खात्री करण्याची आवश्यकता स्थापित केली गेली आहे जर खालीलपैकी किमान एक परिस्थिती असेल:

अ) प्रकार 3 धमक्या माहिती प्रणालीशी संबंधित आहेत आणि माहिती प्रणाली सार्वजनिकरित्या उपलब्ध वैयक्तिक डेटावर प्रक्रिया करते;

b) प्रकार 3 धमक्या माहिती प्रणालीशी संबंधित आहेत आणि माहिती प्रणाली ऑपरेटरच्या कर्मचाऱ्यांच्या वैयक्तिक डेटाच्या इतर श्रेणी किंवा ऑपरेटरचे कर्मचारी नसलेल्या 100,000 पेक्षा कमी वैयक्तिक डेटा विषयांच्या वैयक्तिक डेटाच्या इतर श्रेणींवर प्रक्रिया करते.

13. माहिती प्रणालींमध्ये वैयक्तिक डेटावर प्रक्रिया करताना 4थ्या स्तराच्या सुरक्षिततेची खात्री करण्यासाठी, खालील आवश्यकता पूर्ण करणे आवश्यक आहे:

अ) ज्या परिसरात माहिती प्रणाली आहे त्या जागेसाठी सुरक्षा व्यवस्था आयोजित करणे, ज्यांना या परिसरात प्रवेश नाही अशा व्यक्तींच्या अनियंत्रित प्रवेशाची किंवा या आवारात राहण्याची शक्यता प्रतिबंधित करणे;

b) वैयक्तिक डेटा वाहकांची सुरक्षा सुनिश्चित करणे;

c) माहिती प्रणालीमध्ये प्रक्रिया केलेल्या वैयक्तिक डेटामध्ये प्रवेश त्यांच्या अधिकृत (कामगार) कर्तव्ये पार पाडण्यासाठी आवश्यक असलेल्या व्यक्तींची यादी परिभाषित करणाऱ्या दस्तऐवजाच्या ऑपरेटरच्या प्रमुखाची मान्यता;

ड) माहिती सुरक्षा साधनांचा वापर ज्याने माहिती सुरक्षिततेच्या क्षेत्रात रशियन फेडरेशनच्या कायद्याच्या आवश्यकतांचे पालन करण्याचे मूल्यांकन करण्याची प्रक्रिया पार केली आहे, अशा प्रकरणांमध्ये जेव्हा अशा साधनांचा वापर सध्याच्या धोक्यांना तटस्थ करण्यासाठी आवश्यक आहे.

14. माहिती प्रणालीमध्ये वैयक्तिक डेटावर प्रक्रिया करताना तिसर्या स्तराची सुरक्षितता सुनिश्चित करण्यासाठी, या दस्तऐवजाच्या परिच्छेद 13 मध्ये प्रदान केलेल्या आवश्यकता पूर्ण करण्याव्यतिरिक्त, सुरक्षा सुनिश्चित करण्यासाठी जबाबदार अधिकारी (कर्मचारी) नियुक्त करणे आवश्यक आहे. माहिती प्रणालीमधील वैयक्तिक डेटा.

15. या दस्तऐवजाच्या परिच्छेद 14 मध्ये प्रदान केलेल्या आवश्यकतांची पूर्तता करण्याव्यतिरिक्त, माहिती प्रणालींमध्ये वैयक्तिक डेटाच्या प्रक्रियेदरम्यान त्यांच्या सुरक्षिततेच्या 2ऱ्या स्तराची खात्री करण्यासाठी, केवळ इलेक्ट्रॉनिक संदेश लॉगच्या सामग्रीमध्ये प्रवेश करणे आवश्यक आहे. ऑपरेटरच्या अधिकाऱ्यांसाठी (कर्मचारी) किंवा अधिकृत व्यक्ती, ज्यांच्यासाठी अधिकृत (कामगार) कर्तव्ये पार पाडण्यासाठी निर्दिष्ट जर्नलमध्ये असलेली माहिती आवश्यक आहे.

16. या दस्तऐवजाच्या परिच्छेद 15 मध्ये प्रदान केलेल्या आवश्यकतांव्यतिरिक्त, माहिती प्रणालींमध्ये वैयक्तिक डेटावर प्रक्रिया करताना सुरक्षिततेच्या पहिल्या स्तराची खात्री करण्यासाठी, खालील आवश्यकता पूर्ण केल्या पाहिजेत:

अ) स्वयंचलित नोंदणीव्ही इलेक्ट्रॉनिक जर्नलमाहिती प्रणालीमध्ये असलेल्या वैयक्तिक डेटामध्ये प्रवेश करण्यासाठी ऑपरेटरच्या कर्मचाऱ्यांचे अधिकार बदलण्याची सुरक्षा;

b) माहिती प्रणालीमध्ये वैयक्तिक डेटाची सुरक्षितता सुनिश्चित करण्यासाठी जबाबदार एक संरचनात्मक युनिट तयार करणे किंवा संरचनात्मक युनिट्सपैकी एकाला अशी सुरक्षा सुनिश्चित करण्यासाठी कार्ये नियुक्त करणे.

17. या आवश्यकतांच्या पूर्ततेचे निरीक्षण ऑपरेटर (अधिकृत व्यक्ती) द्वारे स्वतंत्रपणे आणि (किंवा) यांच्या सहभागासह आयोजित केले जाते आणि केले जाते. कायदेशीर संस्थाआणि वैयक्तिक उद्योजकांना तांत्रिक संरक्षण क्रियाकलाप पार पाडण्यासाठी परवाना दिलेला आहे गोपनीय माहिती. निर्दिष्ट नियंत्रण ऑपरेटरने (अधिकृत व्यक्ती) निर्धारित केलेल्या वेळेच्या मर्यादेत दर 3 वर्षांनी किमान एकदा केले जाते.

नियामक नियमनाच्या नवीन उत्कृष्ट कृतीच्या संदर्भात कीबोर्डपर्यंत पोहोचणारे हात आधीच हाडांना मारले गेले आहेत. मी यापुढे स्वतःला रोखू शकत नाही आणि ते सहन करू शकत नाही. मला लिहावे लागेल. शिवाय, आज 1 नोव्हेंबर 2012 चा ठराव क्रमांक 1119 “वैयक्तिक डेटा माहिती प्रणालींमध्ये त्यांच्या प्रक्रियेदरम्यान वैयक्तिक डेटाच्या संरक्षणासाठी आवश्यकतेच्या मान्यतेवर,” जो 17 नोव्हेंबर 2007 चा ठराव क्रमांक 781 रद्द करतो, अंमलात येतो. प्रकाशनाच्या तारखेपासून सात दिवसांची मुदत संपते.

खरे सांगायचे तर, नवीन रिझोल्यूशनसाठी व्यावसायिक समुदायातील सहकाऱ्यांच्या प्रतिक्रिया, जे प्रत्यक्षात माहिती प्रणालींमध्ये वैयक्तिक डेटाच्या प्रक्रियेसाठी तांत्रिक सुरक्षा तयार करण्यासाठी सिस्टमची व्याख्या करते, मला फक्त आश्चर्यचकित केले नाही तर मला आश्चर्यचकित केले. काहींना, आणि काहींना नाही, ते आवडले कारण, त्यांच्या मते, त्यात मूलभूतपणे नवीन काहीही नाही, आणि नटांना आणखी घट्ट करत नाही आणि पीपी-781 च्या तुलनेत आवश्यकतांची संख्या अगदी कमी झाली आहे. इतर सहकारी दस्तऐवजावर टीका करतात, परंतु सामान्यतः, मुख्यतः तपशीलांच्या कमतरतेसाठी.

आवश्यकतांबद्दल माझे थोडेसे वेगळे मत आहे; मी ते आजच्या वेबिनारमध्ये थोडक्यात व्यक्त केले, जे आमच्या एजन्सीद्वारे सुरक्षा कोड कंपनीने एकत्रितपणे आयोजित केले होते आणि या प्रकरणाबद्दल प्राप्त झालेल्या प्रश्नांच्या संख्येने मला हे पोस्ट लिहिण्यास भाग पाडले.

माझी दृष्टी व्यवस्थित करण्यासाठी, मी अनेक शेल्फ् 'चे अव रुप घेऊन आलो ज्यांच्या बरोबर मी माझ्या दस्तऐवजाचे मूल्यांकन आयोजित करीन. क्षमस्व, बरीच पत्रे असतील. खूप. मी शब्द काळजीपूर्वक निवडले, त्यामुळे वाचन श्रेणी 0+ असू शकते.

शेल्फ एक. कायद्याचे पालन. PP-1119 चे प्रकाशन 152-FZ “वैयक्तिक डेटावर” च्या नवीन आवृत्तीच्या लेख 19 च्या भाग 3 मधील परिच्छेद 1 आणि 2 ची थेट आवश्यकता आहे. हेच मला या शेल्फवरील घडामोडींच्या स्थितीचे अत्यंत तीव्रतेने मूल्यांकन करण्यास अनुमती देते. शासन निर्णय कायद्याचे पालन करत नाही. कायद्याने असे नमूद केले आहे की त्यांच्यासाठी सुरक्षा पातळी आणि आवश्यकता पाच घटकांवर अवलंबून निर्धारित केल्या पाहिजेत:

· वैयक्तिक डेटाच्या विषयास संभाव्य हानी,

· प्रक्रिया केलेल्या वैयक्तिक डेटाची मात्रा,

· प्रक्रिया होत असलेल्या वैयक्तिक डेटाची सामग्री,

· क्रियाकलापाचा प्रकार ज्या दरम्यान वैयक्तिक डेटावर प्रक्रिया केली जाते,

· वैयक्तिक डेटाच्या सुरक्षिततेसाठी धमक्यांची प्रासंगिकता.

क्रियाकलापांचे प्रकार, आणि, सर्वात महत्त्वाचे म्हणजे, विषयाला हानी पोहोचवणे, दत्तक दस्तऐवजात पात्रता वैशिष्ट्ये म्हणून सामान्यतः अनुपस्थित आहेत. आवश्यकतांच्या परिच्छेद 7 मध्ये, ऑपरेटर “अजिबात मानवीय नाही”, मी अन्यथा म्हणू शकत नाही, माहिती प्रणालीशी संबंधित वैयक्तिक डेटाच्या सुरक्षेसाठी धोक्यांचा प्रकार स्वतंत्रपणे निर्धारित करण्याचा प्रस्ताव आहे. संभाव्य हानीचे मूल्यांकन, FSB आणि FSTEC च्या सध्या अस्तित्वात नसलेल्या कागदपत्रांद्वारे मार्गदर्शन केले जाते. त्या. बालवाडीचे प्रमुख किंवा पाईप-रोलिंग प्लांटच्या ऑटोमेशन विभागाचे प्रमुख (अशा संस्थांमध्ये अशा समस्यांना सामोरे जाण्यासाठी दुसरे कोणीही नसल्यामुळे) कर्मचारी, विद्यार्थी, अभ्यागत आणि अभ्यागतांचा डेटा उघड केल्याने झालेल्या नुकसानीचे मूल्यांकन करतील. त्यांचे नातेवाईक. देशात या समस्येवर पद्धतशीर विकासाच्या पूर्ण अनुपस्थितीत. ज्याला अशा समस्यांचा कमीतकमी सामना करावा लागतो त्याला हे माहित आहे की नागरी हक्कांचे उल्लंघन झाल्यास हानीचे प्रमाण निश्चित करण्याची समस्या न्यायशास्त्र आणि कायदेशीर कार्यवाहीमध्ये सर्वात कठीण आहे. परंतु, वरवर पाहता, प्रत्येक कूकच्या क्षमतेबद्दल क्लासिक पोस्ट्युलेट लक्षात ठेवून, लेखकांनी ठरवले की समस्या क्राउडसोर्सिंगद्वारे सोडविली जाऊ शकते. Roskomnadzor च्या मते ऑपरेटर सुमारे सात दशलक्ष आहेत. त्यांनी काय शोध लावला ते पहा. समस्या एका डोक्यावरून दुसऱ्या डोक्यात हलवण्याचे उत्कृष्ट उदाहरण, तुम्हाला माहित आहे की कोणती.

क्रियाकलापांचे प्रकार देखील अवघड आहेत. कायद्याची नवीन आवृत्ती वैयक्तिक डेटासह कार्य करण्यासाठी उद्योग मानकांसाठी जागा सोडत नाही हे लक्षात घेऊन, हे समान प्रकार केवळ एका मार्गाने विचारात घेतले पाहिजेत - त्यांच्यासाठी शोधून काढलेल्या अतिरिक्त सुरक्षा धोक्यांचा शोध घेऊन. FSB आणि FSTEC, जे खरे तर कायद्याच्या त्याच अनुच्छेद 19 च्या भाग 5 आणि 6 मध्ये स्पष्ट केले आहे. डॉट. केवळ नवीन धोके ओळखण्यासाठी, आणि आरोग्य मंत्रालयाने एकदा FSTEC शी त्याच्या पद्धतशीर दस्तऐवजांमध्ये सहमती दर्शविल्याप्रमाणे कोणत्याही सवलती देऊ नयेत.

दुसरा शेल्फ. कार्यपद्धती. शेल्फ…खराब टांगलेला आहे. कारण कार्यपद्धतीमध्ये दस्तऐवजाच्या सर्वात महत्त्वाच्या, प्रमुख समस्या आहेत. अपरिहार्यपणे स्थापना अग्रगण्य मुख्य धोके घोषित उच्च पातळीसुरक्षा (तक्ता 1 पहा), सिस्टीम आणि ऍप्लिकेशन सॉफ्टवेअरमधील अघोषित (अदस्तांकित) क्षमता, आवश्यकता त्यांना तटस्थ करण्यासाठी कोणत्याही पद्धती किंवा पद्धती ऑफर करत नाहीत. अशा पद्धतींसाठी बुकमार्क आणि इतर वाईट सवयींच्या अनुपस्थितीसाठी हे सॉफ्टवेअर तपासणे केवळ असू शकते. आणि कोणीही ऑपरेटरकडून याची मागणी करत नाही, किमान PP-1119 मध्ये.

तक्ता 1

ISPDn प्रकार	ऑपरेटरचे कर्मचारी	विषयांची संख्या	वर्तमान धमक्यांचे प्रकार
1	2	3
ISPDn-S	नाही	> 100 000	UZ-1	UZ-1	UZ-2
नाही	< 100 000	UZ-1	UZ-2	UZ-3
होय
ISPDn-B			UZ-1	UZ-2	UZ-3
ISPDn-I	नाही	> 100 000	UZ-1	UZ-2	UZ-3
नाही	< 100 000	UZ-2	UZ-3	UZ-4
होय
ISPDn-O	नाही	> 100 000	UZ-2	UZ-2	UZ-4
नाही	< 100 000	UZ-2	UZ-3	UZ-4
होय

ते जुन्या सिद्ध पद्धतींचा वापर करून लॉजिक बॉम्ब, बॅकडोअर आणि इतर दुष्ट आत्म्यांसाठी उपचार देतात - ग्रामोफोन सुया आणि अखंड अंगांचे प्लास्टर कास्टिंगसह एनीमा. तक्ता 2 पहा.

टेबल 2

आवश्यकता	स्तर सुरक्षा
1	2	3	4
वैयक्तिक डेटावर प्रक्रिया केलेल्या परिसरासाठी सुरक्षा व्यवस्था
वैयक्तिक डेटा वाहकांची सुरक्षा
वैयक्तिक डेटामध्ये प्रवेश करण्यासाठी अधिकृत व्यक्तींची यादी
माहिती संरक्षण उपकरणे ज्याने अनुरूप मूल्यांकन प्रक्रिया पार केली आहे
ISPD मधील वैयक्तिक डेटाची सुरक्षा सुनिश्चित करण्यासाठी जबाबदार अधिकारी
इलेक्ट्रॉनिक संदेश लॉगच्या सामग्रीवर प्रवेश प्रतिबंधित करणे
वैयक्तिक डेटामध्ये प्रवेश करण्यासाठी ऑपरेटरच्या कर्मचाऱ्याच्या अधिकारातील बदलांची इलेक्ट्रॉनिक सुरक्षा लॉगमध्ये स्वयंचलित नोंदणी
वैयक्तिक डेटाची सुरक्षा सुनिश्चित करण्यासाठी जबाबदार स्ट्रक्चरल युनिट

प्रमाणित कसे वापरावे फायरवॉलआणि जबाबदार विभाग (किंवा जबाबदार व्यक्ती) नियुक्त केल्याने एक्सपोजर टाळण्यास मदत होऊ शकते ऑपरेटिंग सिस्टमवरवर पाहता, प्रक्रिया केल्या जात असलेल्या डेटाबद्दल केवळ लेखकांनाच माहिती आहे.

तिसरा शेल्फ. शब्दावली. आणि हा दस्तऐवजाचा सर्वात रहस्यमय भाग आहे. "ऑपरेटरचे कर्मचारी" कोठून आले आणि ते कर्मचारी का नाहीत, ज्यांची कायदेशीर स्थिती कामगार संहितेद्वारे स्पष्टपणे वर्णन केलेली आहे - प्रश्न सोपा आणि स्पष्ट आहे. पण "इलेक्ट्रॉनिक मेसेज लॉग" (क्लॉज 15) म्हणजे काय आणि ते "इलेक्ट्रॉनिक सिक्युरिटी लॉग" (क्लॉज 16) पेक्षा कसे वेगळे आहे, जर ते वेगळे असेल तर - हे एक मोठे रहस्य आहे. मला वाटते की आम्ही लॉगबद्दल बोलत आहोत. काय नोंदी? ओएस? डीबी? बट? SZI? सगळे एकत्र की वेगळे काहीतरी? अनुत्तरीत प्रश्न.

डिक्रीमध्ये माहिती प्रणालीची संकल्पना आहे जी सार्वजनिकरित्या उपलब्ध वैयक्तिक डेटावर प्रक्रिया करते, जी कायद्यात अनुपस्थित आहे आणि 152-FZ च्या अनुच्छेद 8 नुसार तयार केलेल्या वैयक्तिक डेटाच्या सार्वजनिकरित्या उपलब्ध स्त्रोतांकडूनच प्राप्त केली जाईल असे मानते.

आणि जर ते वेगळ्या प्रकारे प्राप्त झाले, उदाहरणार्थ, जर ही माहिती प्रकाशन आणि अनिवार्य प्रकटीकरणाच्या अधीन असेल, जसे की कायदेशीर संस्थांच्या युनिफाइड स्टेट रजिस्टर आणि वैयक्तिक उद्योजकांच्या युनिफाइड स्टेट रजिस्टरमधील माहिती, जी सार्वजनिकपणे उपलब्ध आहे. कायदेशीर संस्था आणि वैयक्तिक उद्योजकांच्या राज्य नोंदणीवर फेडरल कायदा. किंवा सिक्युरिटीज जारी करणाऱ्याच्या सहयोगींबद्दल माहिती. किंवा डेप्युटीजसाठी उमेदवारांचा वैयक्तिक डेटा प्रकाशनाच्या अधीन आहे. त्यांचे काय करायचे? पुन्हा एक प्रश्न ज्याचे उत्तर नाही.

शेवटी, अनुपालन मूल्यांकन. बंद रेझोल्यूशन क्र. 330 व्यतिरिक्त इतर कोणत्याही कृतीमध्ये माहितीच्या सुरक्षिततेच्या संबंधात कोणतेही स्पष्टीकरण नसलेली संज्ञा, नियामक चौकटीतून भटकत राहते. परंतु ऑपरेटरने हा ठराव पाहिला असला तरीही, तो राज्य नियंत्रण आणि पर्यवेक्षण दरम्यान अनुपालनाचे मूल्यांकन कसे केले जाते हे समजण्यास सक्षम नाही. आणि इन्स्पेक्टर येण्याची वाट पाहण्याचे परिणाम आणि जेव्हा तो अप्रमाणित निधी पाहतो तेव्हा त्याच्या वर्तनाचे मूल्यांकन करा. बरं, हे विसरू नका की कायद्याच्या नवीन आवृत्तीमध्ये, वैयक्तिक डेटाच्या प्रक्रियेशी संबंधित नियम अधिकृत प्रकाशनाच्या अधीन आहेत.

शेल्फ चार. लागू. 152-FZ च्या अनुच्छेद 19 च्या भाग 4 मध्ये प्रदान केलेल्या FSB आणि FSTEC च्या संबंधित कायद्यांचा अवलंब केल्यानंतरच, तसेच विकसनशील राज्याची कार्ये पार पाडणाऱ्या फेडरल कार्यकारी अधिकार्यांकडून ठराव पूर्णतः अंमलात येऊ शकतो. क्रियाकलापांच्या स्थापित क्षेत्रातील धोरण आणि कायदेशीर नियमन, रशियन फेडरेशनच्या घटक संस्थांचे राज्य अधिकारी, बँक ऑफ रशिया, राज्य अतिरिक्त-अर्थसंकल्पीय निधीची संस्था, वैयक्तिक सुरक्षेसाठी सध्याचे धोके ओळखण्याच्या दृष्टीने इतर सरकारी संस्था. डेटा (लेख 19 152-एफझेडचा भाग 5, आवश्यकतांचा खंड 2), जे अनुपस्थित आहेत आणि ते कधी स्वीकारले जातील हे अज्ञात आहे. या परिस्थितीत, ऑपरेटरसाठी स्थापित आवश्यकता पूर्ण करणे जवळजवळ अशक्य आहे. मी बालवाडीच्या प्रमुखाकडे आणि पाईप-रोलिंग प्लांटच्या ऑटोमेशन विभागाच्या प्रमुखांकडे परतलो. "सिस्टम सॉफ्टवेअरच्या अघोषित क्षमता" काय आहेत हे स्पष्ट करणारी पहिली कोण असेल आणि ती या धोक्याच्या प्रासंगिकतेचे मूल्यांकन कोणत्या निकषांवर करेल? नंतरच्या व्यक्तीला या धमक्या त्याच्या वनस्पतीसाठी प्रासंगिक म्हणून ओळखण्यास आणि अतिरिक्त समस्यांना तोंड देण्यास काय भाग पाडू शकते? पहिल्या शेल्फची मोडतोड करताना लिहिलेल्या हानीचे ते कसे मूल्यांकन करतील? FSB आणि FSTEC कडील कागदपत्रांची प्रतीक्षा करूया. काहीतरी मला सांगते की अघोषित क्षमतांना तटस्थ करण्यास नकार देणे शक्य होणार नाही. बँका आणि दूरसंचार हे शेवटी ठरवतील. आपल्यापैकी बाकीच्यांनी काय करावे ज्याकडे विशेष तज्ञ आणि FSB/FSTEK परवाने नाहीत - शाळा आणि विद्यापीठे, रुग्णालये आणि दवाखाने, नोंदणी कार्यालये आणि रोजगार केंद्रे इ. इ. अशा दस्तऐवजामुळे त्यांना गोंधळाशिवाय काहीही होऊ शकत नाही.

मी रेझ्युमे लिहिणार नाही. आणि म्हणून सर्वकाही स्पष्ट आहे.

"वैयक्तिक डेटावर" फेडरल कायद्याच्या कलम 19 नुसार, रशियन फेडरेशनचे सरकार निर्णय घेते:
1. वैयक्तिक डेटा माहिती प्रणालींमध्ये त्यांच्या प्रक्रियेदरम्यान वैयक्तिक डेटाच्या संरक्षणासाठी संलग्न आवश्यकता मंजूर करा.
2. नोव्हेंबर 17, 2007 च्या रशियन फेडरेशनच्या सरकारच्या डिक्रीला अवैध म्हणून ओळखा. क्रमांक 781 "वैयक्तिक डेटा माहिती प्रणालींमध्ये त्यांच्या प्रक्रियेदरम्यान वैयक्तिक डेटाची सुरक्षा सुनिश्चित करण्याच्या नियमांच्या मंजुरीवर" (रशियनचे संकलित विधान फेडरेशन, 2007, क्रमांक 48, कला 6001).

सरकारचे अध्यक्ष

रशियाचे संघराज्य

डी. मेदवेदेव

वैयक्तिक डेटा माहिती प्रणालींमध्ये प्रक्रियेदरम्यान वैयक्तिक डेटाच्या संरक्षणासाठी आवश्यकता (नोव्हेंबर 1, 2012 क्रमांक 1119 च्या रशियन फेडरेशनच्या सरकारच्या डिक्रीद्वारे मंजूर)

वैयक्तिक डेटा संरक्षण प्रणालीमध्ये माहिती प्रणालींमध्ये वापरल्या जाणाऱ्या वैयक्तिक डेटा आणि माहिती तंत्रज्ञानाच्या सुरक्षिततेसाठी सध्याचे धोके लक्षात घेऊन निर्धारित केलेल्या संस्थात्मक आणि (किंवा) तांत्रिक उपायांचा समावेश आहे.

4. वैयक्तिक डेटा संरक्षण प्रणालीसाठी माहिती सुरक्षा साधनांची निवड ऑपरेटरद्वारे रशियन फेडरेशनच्या फेडरल सिक्युरिटी सर्व्हिस आणि फेडरल सर्व्हिस फॉर टेक्निकल आणि एक्सपोर्ट कंट्रोल द्वारे दत्तक केलेल्या नियामक कायदेशीर कायद्यांनुसार केली जाते भाग 4. "वैयक्तिक डेटावर" फेडरल कायद्याच्या अनुच्छेद 19 चे.

5. माहिती प्रणाली ही एक माहिती प्रणाली आहे जी वैयक्तिक डेटाच्या विशेष श्रेणींवर प्रक्रिया करते जर ती वंश, राष्ट्रीयता, राजकीय दृश्ये, धार्मिक किंवा तात्विक विश्वास, आरोग्य स्थिती, वैयक्तिक डेटाच्या विषयांच्या अंतरंग जीवनाशी संबंधित वैयक्तिक डेटावर प्रक्रिया करते.
माहिती प्रणाली ही एक माहिती प्रणाली आहे जी बायोमेट्रिक वैयक्तिक डेटावर प्रक्रिया करते जर ती एखाद्या व्यक्तीच्या शारीरिक आणि जैविक वैशिष्ट्यांचे वैशिष्ट्य असलेल्या माहितीवर प्रक्रिया करते, ज्याच्या आधारावर एखादी व्यक्ती त्याची ओळख स्थापित करू शकते आणि ज्याचा वापर ऑपरेटरद्वारे ओळख प्रस्थापित करण्यासाठी केला जातो. वैयक्तिक डेटाचा विषय, आणि वैयक्तिक डेटाच्या विशेष श्रेणींशी संबंधित माहितीवर प्रक्रिया करत नाही.
माहिती प्रणाली ही एक माहिती प्रणाली आहे जी सार्वजनिकपणे उपलब्ध असलेल्या वैयक्तिक डेटावर प्रक्रिया करते जर ती वैयक्तिक डेटा विषयांच्या वैयक्तिक डेटावर प्रक्रिया करते जे केवळ सार्वजनिकरित्या उपलब्ध असलेल्या वैयक्तिक डेटाच्या स्त्रोतांकडून प्राप्त केले जाते जे फेडरल लॉ "वैयक्तिक डेटावर" च्या अनुच्छेद 8 नुसार तयार केले जाते.

नोव्हेंबर 1, 2012 एन 1119 च्या रशियन फेडरेशनच्या सरकारचा डिक्री
"वैयक्तिक डेटा माहिती प्रणालींमध्ये त्यांच्या प्रक्रियेदरम्यान वैयक्तिक डेटाच्या संरक्षणासाठी आवश्यकतेच्या मंजुरीवर"

त्यानुसार कलम 19फेडरल कायदा "वैयक्तिक डेटावर" रशियन फेडरेशनचे सरकार निर्णय घेते:

1. संलग्न मंजूर करा आवश्यकतावैयक्तिक डेटा माहिती प्रणालींमध्ये प्रक्रिया करताना वैयक्तिक डेटाचे संरक्षण करण्यासाठी.

2. अवैध घोषित करा ठरावरशियन फेडरेशनचे सरकार दिनांक 17 नोव्हेंबर 2007 एन 781 "वैयक्तिक डेटा माहिती प्रणालींमध्ये त्यांच्या प्रक्रियेदरम्यान वैयक्तिक डेटाची सुरक्षा सुनिश्चित करण्याच्या नियमांच्या मंजुरीवर" (रशियन फेडरेशनचे संकलित कायदे, 2007, एन 48, आर्ट. 6001 ).

आवश्यकता
वैयक्तिक डेटा माहिती प्रणालींमध्ये प्रक्रिया करताना वैयक्तिक डेटाचे संरक्षण करण्यासाठी
(मंजूर ठरावरशियन फेडरेशनचे सरकार दिनांक 1 नोव्हेंबर 2012 N 1119)

2. माहिती प्रणालीमध्ये प्रक्रिया केल्यावर वैयक्तिक डेटाची सुरक्षा वैयक्तिक डेटा संरक्षण प्रणाली वापरून सुनिश्चित केली जाते जी नुसार परिभाषित वर्तमान धोक्यांना तटस्थ करते. कलम १९ चा भाग ५

4. वैयक्तिक डेटा संरक्षण प्रणालीसाठी माहिती सुरक्षा साधनांची निवड ऑपरेटरद्वारे रशियन फेडरेशनच्या फेडरल सिक्युरिटी सर्व्हिस आणि तांत्रिक आणि निर्यात नियंत्रणासाठी फेडरल सर्व्हिसद्वारे स्वीकारलेल्या नियामक कायदेशीर कायद्यांनुसार केली जाते. भाग 4 कलम 19"वैयक्तिक डेटावर" फेडरल कायदा.

माहिती प्रणाली ही एक माहिती प्रणाली आहे जी सार्वजनिकरित्या उपलब्ध वैयक्तिक डेटावर प्रक्रिया करते जर ती वैयक्तिक डेटा विषयांच्या वैयक्तिक डेटावर प्रक्रिया करते, जी केवळ सार्वजनिकरित्या उपलब्ध असलेल्या वैयक्तिक डेटाच्या स्त्रोतांकडून प्राप्त केली जाते. कलम 8"वैयक्तिक डेटावर" फेडरल कायदा.

माहिती प्रणाली ही एक माहिती प्रणाली आहे जी वैयक्तिक डेटाच्या इतर श्रेणींवर प्रक्रिया करते, जर ती मध्ये निर्दिष्ट केलेल्या वैयक्तिक डेटावर प्रक्रिया करत नसेल तर परिच्छेद एक - तीनया परिच्छेदाचा.

माहिती प्रणालीमध्ये वापरल्या जाणाऱ्या सिस्टम सॉफ्टवेअरमधील अदस्तांकित (अघोषित) क्षमतांच्या उपस्थितीशी संबंधित धमक्या देखील संबंधित असल्यास टाइप 1 धमक्या माहिती प्रणालीशी संबंधित आहेत.

7. माहिती प्रणालीशी संबंधित वैयक्तिक डेटाच्या सुरक्षेसाठी कोणत्या प्रकारच्या धोक्यांचे निर्धारण ऑपरेटरद्वारे केले जाते, त्या अनुषंगाने केलेल्या संभाव्य हानीचे मूल्यांकन लक्षात घेऊन. कलम 18.1 च्या भाग 1 मधील खंड 5फेडरल कायदा "वैयक्तिक डेटावर", आणि त्यानुसार नियामक कायदेशीर कृत्ये, अंमलबजावणी मध्ये दत्तक भाग 5 कलम 19"वैयक्तिक डेटावर" फेडरल कायदा.

b) वैयक्तिक डेटा वाहकांची सुरक्षा सुनिश्चित करणे;

c) दस्तऐवज परिभाषित करणाऱ्या ऑपरेटरच्या प्रमुखाची मान्यता स्क्रोल कराज्या व्यक्तींची माहिती प्रणालीमध्ये प्रक्रिया केलेल्या वैयक्तिक डेटावर प्रवेश करणे त्यांना त्यांची अधिकृत (कामगार) कर्तव्ये पार पाडण्यासाठी आवश्यक आहे;

14. माहिती प्रणालीमध्ये वैयक्तिक डेटाच्या प्रक्रियेदरम्यान त्यांच्या सुरक्षिततेच्या तिसऱ्या स्तराची खात्री करण्यासाठी, निर्धारित केलेल्या आवश्यकता पूर्ण करण्याव्यतिरिक्त परिच्छेद १३या दस्तऐवजात, माहिती प्रणालीमध्ये वैयक्तिक डेटाची सुरक्षा सुनिश्चित करण्यासाठी जबाबदार अधिकारी (कर्मचारी) नियुक्त करणे आवश्यक आहे.

15. माहिती प्रणालीमध्ये वैयक्तिक डेटाच्या प्रक्रियेदरम्यान त्यांच्या सुरक्षिततेच्या द्वितीय स्तराची खात्री करण्यासाठी, निर्धारित केलेल्या आवश्यकता पूर्ण करण्याव्यतिरिक्त परिच्छेद 14या दस्तऐवजात, हे आवश्यक आहे की इलेक्ट्रॉनिक संदेश लॉगच्या सामग्रीमध्ये प्रवेश केवळ ऑपरेटरच्या अधिकाऱ्यांसाठी (कर्मचारी) किंवा अधिकृत (कामगार) कर्तव्ये पार पाडण्यासाठी निर्दिष्ट लॉगमध्ये असलेल्या माहितीची आवश्यकता असलेल्या अधिकृत व्यक्तीसाठी शक्य आहे.

16. प्रदान केलेल्या आवश्यकतांव्यतिरिक्त, माहिती प्रणालींमध्ये त्यांच्या प्रक्रियेदरम्यान वैयक्तिक डेटाच्या सुरक्षिततेच्या पहिल्या स्तराची खात्री करण्यासाठी परिच्छेद १५या दस्तऐवजासाठी, खालील आवश्यकता पूर्ण केल्या पाहिजेत:

अ) माहिती प्रणालीमध्ये समाविष्ट असलेल्या वैयक्तिक डेटामध्ये प्रवेश करण्यासाठी ऑपरेटरच्या कर्मचाऱ्याच्या अधिकारांमधील बदलांची इलेक्ट्रॉनिक सुरक्षा लॉगमध्ये स्वयंचलित नोंदणी;

17. या आवश्यकतांच्या पूर्ततेचे निरीक्षण ऑपरेटर (अधिकृत व्यक्ती) द्वारे स्वतंत्रपणे आणि (किंवा) कायदेशीर संस्था आणि वैयक्तिक उद्योजकांच्या सहभागासह आयोजित केले जाते आणि गोपनीयतेच्या तांत्रिक संरक्षणासाठी क्रियाकलाप पार पाडण्यासाठी परवानाकृत. माहिती निर्दिष्ट नियंत्रण ऑपरेटरने (अधिकृत व्यक्ती) निर्धारित केलेल्या वेळेच्या मर्यादेत दर 3 वर्षांनी किमान एकदा केले जाते.