Kërkesat për mbrojtjen e të dhënave personale 1119. Dekret për miratimin e kërkesave për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale - Rossiyskaya Gazeta

Në përputhje me nenin 19 të Ligjit Federal "Për të dhënat personale", Qeveria e Federatës Ruse vendos:

1. Të miratojë kërkesat e bashkangjitura për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale.

2. Të njohë si të pavlefshme rezolutën e Qeverisë së Federatës Ruse të 17 nëntorit 2007 N 781 "Për miratimin e Rregullores për sigurimin e të dhënave personale kur i përpunon ato në sistemet e informacionit të të dhënave personale" (Legjislacioni i Mbledhur i Federatës Ruse, 2007, N 48, Art. 6001) ...

Kryetari i Qeverisë së Federatës Ruse

D. Medvedev

Kërkesat për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale

1. Ky dokument përcakton kërkesat për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale (këtu e tutje referuar si sisteme informacioni) dhe nivelet e sigurisë së të dhënave të tilla.

2. Siguria e të dhënave personale gjatë përpunimit të tyre në sistemin e informacionit sigurohet me ndihmën e sistemit të mbrojtjes së të dhënave personale që neutralizon kërcënimet aktuale të identifikuara në përputhje me Pjesën 5 të Nenit 19 të Ligjit Federal "Për të Dhënat Personale".

Sistemi i mbrojtjes së të dhënave personale përfshin masa organizative dhe (ose) teknike, të përcaktuara duke marrë parasysh kërcënimet aktuale ndaj sigurisë së të dhënave personale dhe teknologjive të informacionit të përdorura në sistemet e informacionit.

3. Siguria e të dhënave personale gjatë përpunimit të tyre në sistemin e informacionit sigurohet nga operatori i këtij sistemi, i cili përpunon të dhëna personale (këtu e tutje referuar si operator), ose personi që përpunon të dhëna personale në emër të operatorit në bazë të një marrëveshjeje të lidhur me këtë person (në tekstin e mëtejmë personi i autorizuar). Marrëveshja ndërmjet operatorit dhe personit të autorizuar duhet të parashikojë detyrën e personit të autorizuar për të garantuar sigurinë e të dhënave personale kur i përpunon ato në sistemin e informacionit.

4. Zgjedhja e mjeteve të mbrojtjes së informacionit për sistemin e mbrojtjes së të dhënave personale kryhet nga operatori në përputhje me aktet ligjore rregullatore të miratuara nga Shërbimi Federal i Sigurisë i Federatës Ruse dhe Shërbimi Federal për Kontrollin Teknik dhe të Eksportit në zbatim të Pjesës 4 të Nenit 19 të Ligjit Federal "Për të Dhënat Personale".

Një sistem informacioni është një sistem informacioni që përpunon të dhënat biometrike personale nëse përpunon informacione që karakterizojnë karakteristikat fiziologjike dhe biologjike të një personi, në bazë të të cilave është e mundur të përcaktohet identiteti i tij dhe të cilat përdoren nga operatori për të vendosur identitetin e subjektit të të dhënave personale dhe informacionin në lidhje me kategori të veçanta të të dhënave personale.

Një sistem informacioni është një sistem informacioni që përpunon të dhëna personale në dispozicion të publikut nëse përpunon të dhëna personale të subjekteve të të dhënave personale të marra vetëm nga burime të disponueshme publikisht të të dhënave personale të krijuara në përputhje me nenin 8 të Ligjit Federal "Për të dhënat personale".

Një sistem informacioni është një sistem informacioni që përpunon kategori të tjera të të dhënave personale, nëse nuk përpunon të dhëna personale të specifikuara në paragrafët një deri në tre të këtij paragrafi.

Një sistem informacioni është një sistem informacioni që përpunon të dhënat personale të punonjësve të operatorit, nëse përpunon të dhënat personale vetëm të punonjësve të specifikuar. Në raste të tjera, sistemi i informacionit për të dhënat personale është një sistem informacioni që përpunon të dhënat personale të subjekteve të të dhënave personale të cilët nuk janë punonjës të operatorit.

6. Nën kërcënimet aktuale për sigurinë e të dhënave personale kuptohet një sërë kushtesh dhe faktorësh që krijojnë një rrezik aktual të aksesit të paautorizuar, përfshirë aksidentale, në të dhënat personale gjatë përpunimit të tyre në sistemin e informacionit, i cili mund të rezultojë në shkatërrim, modifikim, bllokim, kopjim, sigurim, shpërndarje të dhëna personale, si dhe veprime të tjera të paligjshme.

Kërcënimet e llojit të parë janë të rëndësishme për një sistem informacioni nëse, ndër të tjera, kërcënimet që lidhen me praninë e aftësive të padokumentuara (të padeklaruara) në softuerin e sistemit të përdorur në sistemin e informacionit janë të rëndësishme për të.

Kërcënimet e llojit të 2-të janë të rëndësishme për një sistem informacioni nëse, ndër të tjera, kërcënimet që lidhen me praninë e aftësive të padokumentuara (të padeklaruara) në programin e aplikimit të përdorur në sistemin e informacionit janë të rëndësishme për të.

Kërcënimet e llojit të tretë janë të rëndësishme për një sistem informacioni nëse kërcënimet që nuk kanë të bëjnë me praninë e aftësive të padokumentuara (të padeklaruara) në sistem dhe programet e aplikimit të përdorura në sistemin e informacionit janë të rëndësishme për të.

7. Lloji i kërcënimeve ndaj sigurisë së të dhënave personale në lidhje me sistemin e informacionit përcaktohet nga operatori duke marrë parasysh vlerësimin e dëmit të mundshëm të kryer në zbatim të paragrafit 5 të pjesës 1 të nenit 18 të Ligjit Federal "Për të Dhënat Personale", dhe në përputhje me aktet rregullatore ligjore të miratuara në ekzekutim Pjesa 5 e nenit 19 të ligjit federal "Për të dhënat personale".

8. Kur përpunoni të dhëna personale në sistemet e informacionit, vendosen 4 nivele të sigurisë së të dhënave personale.

9. Nevoja për të siguruar nivelin e parë të mbrojtjes së të dhënave personale gjatë përpunimit të tyre në sistemin e informacionit përcaktohet nëse ekziston të paktën një nga kushtet e mëposhtme:

a) kërcënimet e tipit 1 janë të rëndësishme për sistemin e informacionit dhe proceset e sistemit të informacionit ose kategori të veçanta të të dhënave personale, ose të dhëna biometrike personale, ose kategori të tjera të të dhënave personale;

b) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të veçanta të të dhënave personale nga më shumë se 100,000 subjekte të të dhënave personale të cilët nuk janë punonjës të operatorit.

10. Nevoja për të siguruar nivelin e 2-të të mbrojtjes së të dhënave personale gjatë përpunimit të tyre në sistemin e informacionit përcaktohet nëse ekziston të paktën një nga kushtet e mëposhtme:

a) kërcënimet e tipit 1 janë të rëndësishme për sistemin e informacionit dhe proceset e sistemit të informacionit për të dhënat personale në dispozicion të publikut;

b) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të veçanta të të dhënave personale të punonjësve të operatorit ose kategori të veçanta të të dhënave personale të më pak se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit;

c) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhëna personale biometrike;

d) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhëna personale në dispozicion të publikut të më shumë se 100,000 subjekteve të të dhënave personale të cilët nuk janë punonjës të operatorit;

e) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të tjera të të dhënave personale nga më shumë se 100,000 subjekte të të dhënave personale të cilët nuk janë punonjës të operatorit;

f) kërcënimet e llojit të tretë janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të veçanta të të dhënave personale të më shumë se 100,000 subjekteve të të dhënave personale të cilët nuk janë punonjës të operatorit.

11. Nevoja për të siguruar nivelin e tretë të mbrojtjes së të dhënave personale gjatë përpunimit të tyre në sistemin e informacionit përcaktohet nëse ekziston të paktën një nga kushtet e mëposhtme:

a) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhëna personale në dispozicion të publikut të punonjësve të operatorit ose të dhëna personale në dispozicion të publikut për më pak se 100,000 subjekte të të dhënave personale që nuk janë punonjës të operatorit;

b) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të tjera të të dhënave personale të punonjësve të operatorit ose kategori të tjera të të dhënave personale të më pak se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit;

c) kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të veçanta të të dhënave personale të punonjësve të operatorit ose kategori të veçanta të të dhënave personale të më pak se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit;

d) kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale biometrike;

e) kërcënimet e llojit të tretë janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të tjera të të dhënave personale të më shumë se 100,000 subjekteve të të dhënave personale të cilët nuk janë punonjës të operatorit.

12. Nevoja për të siguruar nivelin e 4-të të mbrojtjes së të dhënave personale gjatë përpunimit të tyre në sistemin e informacionit përcaktohet nëse ekziston të paktën një nga kushtet e mëposhtme:

a) kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe procesi i sistemit të informacionit përpunon të dhëna personale në dispozicion të publikut;

b) kërcënimet e llojit të tretë janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të tjera të të dhënave personale të punonjësve të operatorit ose kategori të tjera të të dhënave personale të më pak se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit.

13. Për të siguruar nivelin e 4-të të mbrojtjes së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit, duhet të plotësohen kërkesat e mëposhtme:

a) organizimi i një regjimi për të siguruar sigurinë e lokaleve në të cilat ndodhet sistemi i informacionit, duke parandaluar mundësinë e hyrjes ose qëndrimit të pakontrolluar në këto ambiente nga persona që nuk kanë të drejtë të hyjnë në këto ambiente;

b) garantimin e sigurisë së bartësve të të dhënave personale;

c) miratimin nga titullari i operatorit të një dokumenti që përcakton listën e personave, hyrja e të cilave në të dhënat personale të përpunuara në sistemin e informacionit është e nevojshme që ata të kryejnë detyrat e tyre zyrtare (të punës);

d) përdorimi i mjeteve të mbrojtjes së informacionit që kanë kaluar procedurën për vlerësimin e pajtueshmërisë me kërkesat e legjislacionit të Federatës Ruse në fushën e sigurisë së informacionit, në rastin kur përdorimi i mjeteve të tilla është i nevojshëm për të neutralizuar kërcënimet aktuale.

14. Për të siguruar nivelin e tretë të mbrojtjes së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit, përveç plotësimit të kërkesave të parashikuara në paragrafin 13 të këtij dokumenti, është e nevojshme që një zyrtar (punonjës) të caktohet përgjegjës për sigurimin e sigurisë së të dhënave personale në sistemin e informacionit.

15. Për të siguruar nivelin e dytë të mbrojtjes së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit, përveç plotësimit të kërkesave të parashikuara në paragrafin 14 të këtij dokumenti, është e nevojshme që qasja në përmbajtjen e regjistrit elektronik të mesazheve të jetë e mundur vetëm për zyrtarët (punonjësit) e operatorit ose një personi të autorizuar, të cilit informacioni i përmbledhur në ditarin e specifikuar është i nevojshëm për kryerjen e detyrave zyrtare (të punës).

16. Për të siguruar nivelin e parë të mbrojtjes së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit, përveç kërkesave të parashikuara në paragrafin 15 të këtij dokumenti, duhet të plotësohen kërkesat e mëposhtme:

a) regjistrimi automatik në regjistrin elektronik të sigurisë së ndryshimeve në autoritetin e punonjësit të operatorit për të hyrë në të dhënat personale të përfshira në sistemin e informacionit;

b) krijimin e një njësie strukturore përgjegjëse për sigurimin e sigurisë së të dhënave personale në sistemin e informacionit, ose caktimin e njërës prej njësive strukturore funksionet e sigurimit të një sigurie të tillë.

17. Kontrolli mbi zbatimin e këtyre kërkesave organizohet dhe kryhet nga operatori (personi i autorizuar) në mënyrë të pavarur dhe (ose) me përfshirjen mbi bazë kontraktuale të personave juridikë dhe sipërmarrësve individualë të licencuar për të kryer aktivitete për mbrojtjen teknike të informacionit konfidencial. Kontrolli i specifikuar kryhet të paktën një herë në 3 vjet brenda kornizës kohore të përcaktuar nga operatori (personi i autorizuar).

Duart që prej kohësh kërkojnë tastierën mbi kryeveprën e re rregullatore tashmë janë rrahur deri në kockë. Nuk është më e mundur të përmbahem dhe të duroj. Unë do të duhet të shkruaj. Për më tepër, sot hyn në fuqi Rezoluta e datës 01.11.2012 Nr. 1119 "Për miratimin e kërkesave për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale", e cila anulon Rezolutën e datës 17.11.2007 Nr. 781. Shtatë ditë nga data e botimit skadon.

Të jem i sinqertë, reagimi i kolegëve nga komuniteti profesional ndaj rezolutës së re, e cila në të vërtetë përcakton sistemin për ndërtimin e sigurisë teknike për përpunimin e të dhënave personale në sistemet e informacionit, jo vetëm që më befasoi, por më habiti. Një pjesë, dhe jo një e vogël, e pëlqente, sepse, sipas mendimit të tyre, nuk përmban asgjë thelbësisht të re dhe nuk i shtrëngon më tej arrat, dhe numri i kërkesave madje zvogëlohet në krahasim me PP-781. Një pjesë tjetër e kolegëve qorton dokumentin, por është shumë i përgjithshëm, kryesisht për mungesë specifikash.

Unë kisha një mendim paksa të ndryshëm në lidhje me kërkesat, e shpreha shkurtimisht në webinarin e sotëm të mbajtur nga agjencia jonë së bashku me kompaninë "Security Code", dhe numri i pyetjeve të marra në lidhje me këtë çështje më shtyu përfundimisht të shkruaj këtë post.

Për të sistemuar vizionin tim, unë dola me disa rafte në të cilat do të shpërndaj vlerësimin tim të dokumentit. Na vjen keq, do të ketë shumë letra. Shumë Zgjodha me kujdes fjalët, në mënyrë që kategoria e lexuesve të jetë 0+.

Raft i parë. Pajtueshmëria me ligjin. Lirimi i PP-1119 është një kërkesë e drejtpërdrejtë e pikave 1 dhe 2 të pjesës 3 të nenit 19 të botimit të ri të 152-FZ "Për të dhënat personale". Kjo është ajo që më lejon të vlerësoj shumë ashpër gjendjen e punëve në këtë raft. Dekreti i Qeverisë nuk përputhet me ligjin. Ligji i përshkruar për të përcaktuar nivelet e sigurisë dhe kërkesat për to, në varësi të pesë faktorëve:

· dëmtimi i mundshëm i subjektit të të dhënave personale,

· vëllimi i të dhënave personale të përpunuara,

· përmbajtjen e të dhënave personale të përpunuara,

· llojin e aktivitetit në zbatimin e të cilit përpunohen të dhënat personale,

· rëndësia e kërcënimeve për sigurinë e të dhënave personale.

Llojet e aktiviteteve dhe, e cila është veçanërisht e rëndësishme, dëmtimi i subjektit zakonisht mungojnë në dokumentin e miratuar si shenja kualifikuese. Në klauzolën 7 të Kërkesave, operatori nuk është "aspak njerëzor", nuk mund të them ndryshe, është propozuar të përcaktohet në mënyrë të pavarur lloji i kërcënimeve ndaj sigurisë së të dhënave personale në lidhje me sistemin e informacionit, duke marrë parasysh vlerësimin e dëmit të mundshëm, të udhëhequr nga dokumentet e FSB dhe FSTEC që nuk ekzistojnë ende. Ata. përgjegjësi i kopshtit ose shefi i departamentit të automatizmit të impiantit të tubave (pasi nuk ka njeri tjetër që merret me probleme të tilla në organizata të tilla) do të vlerësojë dëmin nga zbulimi i të dhënave nga personeli, fëmijët, vizitorët dhe të afërmit e tyre. Me mungesën e plotë të zhvillimeve metodologjike në vend për këtë problem. Kushdo që ka hasur në çështje të tilla të paktën pak e di se problemi i përcaktimit të shumës së dëmit në shkelje të të drejtave civile është një nga më të vështirët në jurisprudencë dhe procedurat ligjore. Por, me sa duket, duke kujtuar postulatin klasik në lidhje me aftësitë e secilit kuzhinier, autorët vendosën që burimet e mëdha mund të zgjidhnin problemin. Sipas Roskomnadzor, ka rreth shtatë milion operatorë. Ju shikoni se çfarë po sajojnë. Një shembull klasik i zhvendosjes së një problemi nga një kokë në tjetrën, i dini cilat.

Me aktivitete, gjithashtu, një pritë. Duke marrë parasysh që versioni i ri i ligjit nuk lë hapësirë \u200b\u200bpër standardet e industrisë për të punuar me të dhëna personale, të njëjtat lloje do të duhet të merren parasysh vetëm në një mënyrë - duke dalë me kërcënime sigurie shtesë nga ato të shpikura nga FSB dhe FSTEC, të cilat, në fakt, janë të përshkruara në pjesët 5 dhe 6 të të njëjtit nen 19 të ligjit. Pikë Vetëm për të identifikuar kërcënime të reja, dhe jo për të siguruar ndonjë indulgjencë, të tilla si ato që Ministria e Shëndetësisë dikur ra dakord me FSTEC në dokumentet e saj metodologjike.

Raft i dytë. Metodologjia. Raft është më ... varur keq. Meqenëse metodologjia përmban problemet më të rëndësishme, kryesore të dokumentit. Deklarimi i kërcënimeve kryesore, duke çuar në mënyrë të pashmangshme në krijimin e niveleve më të larta të sigurisë (shih Tabelën 1), aftësive të padeklaruara (të padokumentuara) në sistemin dhe programin e aplikimit, Kërkesat nuk propozojnë ndonjë metodë dhe mënyrë për t'i neutralizuar ato fare. Për metoda të tilla mund të jetë vetëm një kontroll i vetë këtij programi për mungesën e faqeshënuesve dhe zakoneve të tjera të këqija. Dhe këtë nga operatorët, të paktën në PP-1119, askush nuk e kërkon.

Tabela 1

Lloji ISPDN	Stafi i operatorit	Numri i lëndëve	Lloji aktual i kërcënimit
1	2	3
ISPDn-S	Jo	> 100 000	UZ-1	UZ-1	UZ-2
Jo	< 100 000	UZ-1	UZ-2	UZ-3
po
ISPDn-B			UZ-1	UZ-2	UZ-3
ISPDn-I	Jo	> 100 000	UZ-1	UZ-2	UZ-3
Jo	< 100 000	UZ-2	UZ-3	UZ-4
po
ISPDn-O	Jo	> 100 000	UZ-2	UZ-2	UZ-4
Jo	< 100 000	UZ-2	UZ-3	UZ-4
po

Ofrohet të trajtohet nga bomba logjike, dyer të pasme dhe shpirtra të tjerë të këqij duke përdorur metodat e vjetra të provuara - klystyr me hala gramofoni dhe suvatim të gjymtyrëve të pandërprera. Shikoni tabelën 2.

tabela 2

Kërkesat	Nivelet sigurinë
1	2	3	4
Mënyra e sigurisë së lokaleve ku përpunohen të dhënat personale
Siguria e bartësve të të dhënave personale
Lista e personave të pranuar në të dhënat personale
SZI që kanë kaluar procedurën e vlerësimit të konformitetit
Zyrtari përgjegjës për sigurimin e sigurisë së të dhënave personale në ISPDN
Kufizimi i hyrjes në përmbajtjen e regjistrit elektronik të mesazheve
Regjistrimi automatik në regjistrin elektronik të sigurisë së ndryshimeve në autoritetin e punonjësit të operatorit për të hyrë në të dhënat personale
Njësia strukturore përgjegjëse për garantimin e sigurisë së të dhënave personale

Se si përdorimi i mureve të mbrojtur të çertifikuar dhe emërimi i një departamenti përgjegjës (ose personi përgjegjës) mund të ndihmojë në parandalimin e sistemit operativ që të ndikojë në të dhënat e përpunuara, me sa duket vetëm autorët e dinë.

Raft i tretë. Terminologjia. Dhe kjo është pjesa më misterioze e dokumentit. Nga kanë ardhur "punonjësit e operatorit" dhe pse ata nuk janë punonjës statusi ligjor i të cilëve përshkruhet qartë nga Kodi i Punës është një pyetje e thjeshtë dhe e qartë. Por çfarë është një "regjistër elektronik i mesazheve" (pika 15) dhe si ndryshon nga "regjistri elektronik i sigurisë" (pika 16), nëse ndryshon fare - ekziston një sekret i madh. Them se ka të bëjë me shkrimet. Regjistrat e çfarë? OS? DB? Prapanicë? SZI? Të gjithë së bashku apo diçka veç e veç? Pyetje pa përgjigje.

Rezoluta prezanton konceptin e një sistemi informacioni që përpunon të dhëna personale në dispozicion të publikut, i cili mungon në ligj dhe i konsideron të dhënat e tilla të marra vetëm nga burimet e disponueshme për publikun të të dhënave personale të krijuara në përputhje me nenin 8 152-FZ.

Dhe nëse ato janë marrë në një mënyrë tjetër, për shembull, nëse ky është informacioni që i nënshtrohet publikimit dhe zbulimit të detyrueshëm, si informacioni nga Regjistri Shtetëror i Unifikuar i Personave Ligjorë dhe Regjistri Shtetëror i Unifikuar i Personave Ligjorë, të cilat janë në dispozicion të publikut në përputhje me Ligjin Federal për Regjistrimin Shtetëror të Personave Juridikë dhe Sipërmarrësve Individë. Ose informacion në lidhje me personat e lidhur të emetuesit të letrave me vlerë. Ose të dhënat personale të kandidatëve për deputetë që do të publikohen. Si të merreni me ta? Përsëri një pyetje që nuk ka përgjigje.

Më në fund, vlerësimi i konformitetit. Termi, i cili nuk ka asnjë shpjegim në lidhje me sistemin e sigurisë së informacionit në asnjë akt, përveç Rezolutës së mbyllur Nr. 330, vazhdon të endet rreth kornizës rregullatore. Por edhe nëse operatori e shihte këtë Rezolutë, atij nuk iu dha mundësia të kuptonte se si kryhet vlerësimi i konformitetit gjatë kontrollit dhe mbikëqyrjes shtetërore. Dhe vlerësoni pasojat e pritjes për mbërritjen e kontrolluesit dhe sjelljen e tij në sytë e fondeve të paçertifikuara gjithashtu. Epo, të mos harrojmë se në botimin e ri të ligjit, aktet rregullatore ligjore në lidhje me përpunimin e të dhënave personale i nënshtrohen botimit zyrtar.

Raft i katërt. Zbatueshmëria Rezolucioni mund të fitohet plotësisht vetëm pas miratimit të akteve përkatëse të FSB dhe FSTEC, të parashikuara në pjesën 4 të nenit 19 152-FZ, si dhe nga organet ekzekutive federale që kryejnë funksionet e zhvillimit të politikës shtetërore dhe rregullimit ligjor në sferën e themeluar të veprimtarisë, organet autoritetet shtetërore të enteve përbërëse të Federatës Ruse, Banka e Rusisë, organet e fondeve shtetërore ekstra-buxhetore, organet e tjera shtetërore në drejtim të identifikimit të kërcënimeve aktuale ndaj sigurisë së të dhënave personale (pjesa 5 e nenit 19 152-FZ, paragrafi 2 i Kërkesave), të cilat mungojnë dhe nuk dihet kur do të miratohen. Në këto kushte, është praktikisht e pamundur që një operator të përmbushë kërkesat e përcaktuara. Kthehem te përgjegjësi i kopshtit dhe shefi i departamentit të automatizmit të impiantit të tubave. Kush do të shpjegojë i pari se cilat janë "aftësitë e padeklaruara të softuerit të sistemit" dhe me çfarë kriteri do të vlerësojë ajo rëndësinë e këtij kërcënimi? Çfarë mund ta bëjë personin e dytë të njohë këto kërcënime si të rëndësishme për impiantin e tyre dhe të marrë probleme shtesë? Si do ta vlerësojnë dëmin për të cilin është shkruar kur analizojnë raftin e parë? Le të presim për dokumentet e FSB dhe FSTEC. Diçka më thotë se nuk do të jetë e mundur të refuzosh thjesht të neutralizosh mundësitë e padeklaruara. Bankat dhe telekomit përfundimisht do ta zgjidhin këtë. Po në lidhje me pjesën tjetër, të cilët nuk kanë specialistë dhe licenca të specializuara të FSB / FSTEC - shkolla dhe universitete, spitale dhe klinika, zyra regjistrimi dhe qendra punësimi, etj, etj? Asgjë, por e shushatur, një dokument i tillë nuk mund t'i shkaktojë ato.

Unë nuk do të shkruaj një rezyme. Dhe kështu gjithçka është e qartë.

Në përputhje me nenin 19 të ligjit federal "Për të dhënat personale", Qeveria e Federatës Ruse vendos:
1. Të miratojë kërkesat e bashkangjitura për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale.
2. Të njohë si të pavlefshme rezolutën e Qeverisë së Federatës Ruse të datës 17 nëntor 2007, Nr. 781 "Për miratimin e Rregullores për sigurimin e të dhënave personale kur i përpunon ato në sistemet e informacionit të të dhënave personale" (Legjislacioni i Mbledhur i Federatës Ruse, 2007, Nr. 48, Art. 6001) ...

kryeministër

Federata Ruse

D. Medvedev

Kërkesat për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale (miratuar nga dekreti i Qeverisë së Federatës Ruse të 1 nëntorit 2012 nr. 1119)

2. Siguria e të dhënave personale gjatë përpunimit të tyre në sistemin e informacionit sigurohet me ndihmën e sistemit të mbrojtjes së të dhënave personale, i cili neutralizon kërcënimet aktuale të identifikuara në përputhje me pjesën 5 të nenit 19 të Ligjit Federal "Për të Dhënat Personale".

5. Një sistem informacioni është një sistem informacioni që përpunon kategori të veçanta të të dhënave personale nëse përpunon të dhëna personale në lidhje me racën, kombësinë, pikëpamjet politike, besimet fetare ose filozofike, statusin shëndetësor, jetën intime të subjekteve të të dhënave personale.
Një sistem informacioni është një sistem informacioni që përpunon të dhënat biometrike personale nëse përpunon informacione që karakterizojnë karakteristikat fiziologjike dhe biologjike të një personi, mbi bazën e të cilave është e mundur të përcaktohet identiteti i tij dhe të cilat përdoren nga operatori për të vendosur identitetin e subjektit të të dhënave personale dhe informacionin në lidhje me kategori të veçanta të të dhënave personale.
Një sistem informacioni është një sistem informacioni që përpunon të dhëna personale në dispozicion të publikut nëse përpunon të dhëna personale të subjekteve të të dhënave personale të marra vetëm nga burime publike të të dhënave personale të krijuara në përputhje me nenin 8 të Ligjit Federal "Për të dhënat personale".

Rezoluta e Qeverisë së Federatës Ruse të 1 nëntorit 2012 N 1119
"Për miratimin e kërkesave për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale"

Sipas neni 19 Ligji Federal "Për të dhënat personale" Qeveria e Federatës Ruse vendos:

1. Miratoni bashkangjitur kërkesat për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale.

2. Të deklarohet e pavlefshme dekretin Qeveria e Federatës Ruse të 17 nëntorit 2007 N 781 "Për miratimin e Rregullores për sigurimin e sigurisë së të dhënave personale kur i përpunon ato në sistemet e informacionit të të dhënave personale" (Legjislacioni i Mbledhur i Federatës Ruse, 2007, N 48, Art. 6001).

Kërkesat
për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale
(aprovuar me dekret Qeveria e Federatës Ruse e 1 nëntorit 2012 N 1119)

4. Zgjedhja e mjeteve të mbrojtjes së informacionit për sistemin e mbrojtjes së të dhënave personale kryhet nga operatori në përputhje me aktet ligjore rregullatore të miratuara nga Shërbimi Federal i Sigurisë i Federatës Ruse dhe Shërbimi Federal për Kontrollin Teknik dhe Eksport në përputhje me pjesa 4 e nenit 19 Ligji Federal "Për të dhënat personale".

Një sistem informacioni është një sistem informacioni që përpunon të dhëna personale në dispozicion të publikut, nëse përpunon të dhëna personale të subjekteve të të dhënave personale të marra vetëm nga burime të disponueshme publikisht të të dhënave personale të krijuara në përputhje me neni 8 Ligji Federal "Për të dhënat personale".

7. Lloji i kërcënimeve ndaj sigurisë së të dhënave personale në lidhje me sistemin e informacionit përcaktohet nga operatori, duke marrë parasysh vlerësimin e dëmit të mundshëm të kryer në zbatim të klauzola 5 e pjesës 1 të nenit 18.1 Ligji Federal "Për të dhënat personale", dhe në përputhje me aktet ligjore rregullatore i miratuar në zbatim pjesa 5 e nenit 19 Ligji Federal "Për të dhënat personale".

8. Kur përpunoni të dhëna personale në sistemet e informacionit, vendosen 4 nivele të sigurisë së të dhënave personale.

a) kërcënimet e tipit 1 janë të rëndësishme për sistemin e informacionit dhe proceset e sistemit të informacionit për të dhënat personale në dispozicion të publikut;

c) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhëna personale biometrike;

d) kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale biometrike;

a) kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe procesi i sistemit të informacionit përpunon të dhëna personale në dispozicion të publikut;

13. Për të siguruar nivelin e 4-të të mbrojtjes së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit, duhet të plotësohen kërkesat e mëposhtme:

b) garantimin e sigurisë së bartësve të të dhënave personale;

c) miratimin nga titullari i operatorit të dokumentit që përcakton rrotull personat, aksesi i të cilëve në të dhënat personale të përpunuara në sistemin e informacionit është i nevojshëm për kryerjen e detyrave të tyre zyrtare (të punës);

14. Të sigurojë nivelin e 3-të të sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit, përveç plotësimit të kërkesave të parashikuara paragrafi 13 të këtij dokumenti, është e nevojshme që një zyrtar (punonjës) të caktohet përgjegjës për sigurimin e sigurisë së të dhënave personale në sistemin e informacionit.

15. Të sigurojë nivelin e 2-të të sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit, përveç plotësimit të kërkesave të parashikuara paragrafi 14 i këtij dokumenti, është e nevojshme që qasja në përmbajtjen e regjistrit elektronik të mesazheve të ishte e mundur vetëm për zyrtarët (punonjësit) e operatorit ose një person të autorizuar që kanë nevojë për informacionin e përfshirë në regjistrin e përmendur për të kryer detyrat e tyre zyrtare (të punës).

16. Të sigurojë nivelin e parë të mbrojtjes së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit, përveç kërkesave të parashikuara paragrafi 15 të këtij dokumenti, duhet të plotësohen kërkesat e mëposhtme: