Për miratimin e rregulloreve për garantimin e sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale. Për miratimin e kërkesave për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale

Dekreti i Qeverisë së Federatës Ruse Nr. 1119 i datës 1 nëntor 2012 varrosi klasa të sistemeve të informacionit të të dhënave personale që tashmë ishin bërë të njohura për të gjithë.

Në vend të klasave, sipas rezolutës së re, vendosen katër nivele të sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit dhe kërkesat për secilën prej tyre. Caktimi i sistemeve të informacionit në një nivel të caktuar sigurie bëhet në varësi të llojit të të dhënave personale që përpunon sistemi i informacionit, llojit të kërcënimeve aktuale, numrit të subjekteve të të dhënave personale të përpunuara nga sistemi i informacionit dhe të dhënave personale të të cilave përpunohet kontigjenti.

Sistemet e informacionit të të dhënave personale (PDIS), sipas paragrafit 5 të Rezolutës Nr. 1119, ndahen në 4 grupe:

ISPD speciale
nëse ISPD përpunon të dhëna personale në lidhje me racën, kombësinë, pikëpamjet politike, besimet fetare ose filozofike, gjendjen shëndetësore, jetën intime të subjekteve të të dhënave personale;
ISPD biometrike
nëse ISPD përpunon informacione që karakterizojnë karakteristikat fiziologjike dhe biologjike të një personi, në bazë të të cilave mund të përcaktohet identiteti i tij dhe që përdoret nga operatori për të përcaktuar identitetin e subjektit të të dhënave personale, dhe informacione që lidhen me kategori të veçanta të dhënat personale nuk përpunohen;
ISPD publike
nëse ISPD përpunon të dhënat personale të subjekteve të të dhënave personale të marra vetëm nga burime të disponueshme publikisht të të dhënave personale të krijuara në përputhje me nenin 8 të ligjit federal "Për të dhënat personale";
ISPDn tjera
nëse ISPD përpunon të dhënat personale të subjekteve të të dhënave personale që nuk përfaqësohen në tre grupet e mëparshme.

Bazuar në formën e marrëdhënies midis organizatës suaj dhe subjekteve, përpunimi ndahet në 2 lloje:

përpunimi i të dhënave personale të punonjësve (subjektet me të cilët organizata juaj ka marrëdhënie pune);
përpunimi i të dhënave personale të subjekteve që nuk janë punonjës të organizatës suaj.

Bazuar në numrin e subjekteve, të dhënat personale të të cilëve përpunohen, Rezoluta nr. 1119 përcakton vetëm 2 kategori:

më pak se 100,000 subjekte;
më shumë se 100,000 subjekte;

Dhe së fundi, Llojet e kërcënimeve aktuale:

Kërcënimet e tipit 1 shoqërohen me praninë e aftësive të padeklaruara (të padokumentuara) në softuerin e sistemit të përdorur në ISPD;
Kërcënimet e tipit 2 shoqërohen me praninë e aftësive të padeklaruara në softuerin e aplikacionit të përdorur në ISPD;
Kërcënimet e tipit 3 nuk shoqërohen me praninë e aftësive të padeklaruara në softuerin e përdorur në ISPD.

Nuk ka asnjë rregullore se si të përcaktohet lloji i kërcënimeve aktuale. Kërkesat e PP-1119 nuk ofrojnë asnjë metodë ose metodë për neutralizimin e tyre. Nëse më parë operatori mund të zgjidhte të klasifikonte një ISPD standarde bazuar në një tabelë ose të klasifikonte një ISPD të veçantë bazuar në rezultatet e një modeli kërcënimi, tani nuk ka zgjidhje. Niveli i sigurisë përcaktohet gjithmonë në bazë të rëndësisë së kërcënimeve. Operatori nuk ka gjasa të jetë në gjendje t'i përcaktojë ato vetë - ai do të duhet të kontaktojë një organizatë më të lartë ose një konsulent. Mënyra më e lehtë është të ndjekësh rrugën e rezistencës më të vogël, d.m.th. përcaktoni llojin e kërcënimit aktual të tipit 3, dhe harroni për aftësitë e padeklaruara (të padokumentuara) në softuerin e sistemit dhe aplikacionit, por kjo do të duhet të justifikohet. E gjithë pyetja është si?, duke u kthyer në fillim të paragrafit.
Tema e rëndësisë së kërcënimeve ndaj sistemeve të informacionit të të dhënave personale është shumë e rëndësishme, sepse kërcënimet e përshkruara saktë përcaktojnë se sa mirë do të mbrohet sistemi, si dhe sa do të kushtojë mbrojtja për operatorin e të dhënave personale.

Nëse keni vendosur për të dhënat fillestare për një ISPD specifike, duke përfshirë llojin e kërcënimeve aktuale, atëherë mund të përcaktoni nivelin e tij të sigurisë. Për të përcaktuar me lehtësi nivelin e sigurisë, përdorni tabelën e mëposhtme, e cila bazohet në PP-1119:

Lloji ISPDn	Punonjësit e operatorit	Numri i lëndëve	Lloji i kërcënimeve aktuale
			1 (NDV OS)	2 (NDV PO)	3 (Pa NDV)
ISPDn-S (i veçantë)	Nr	> 100 000	UZ-1	UZ-1	UZ-2
	Nr	< 100 000	UZ-1	UZ-2	UZ-3
	po
ISPDn-B (biometrike)			UZ-1	UZ-2	UZ-3
ISPDn-I (të tjerët)	Nr	> 100 000	UZ-1	UZ-2	UZ-3
	Nr	< 100 000	UZ-2	UZ-3	UZ-4
	po
ISPDn-O (publik)	Nr	> 100 000	UZ-2	UZ-2	UZ-4
	Nr	< 100 000	UZ-2	UZ-3	UZ-4
	po

Në varësi të nivelit të zgjedhur të sigurisë së PD-së, PP-1119 përcakton një sërë kërkesash për mbrojtjen e të dhënave personale, të cilat organizohen dhe kryhen nga operatori (personi i autorizuar) në mënyrë të pavarur dhe (ose) me përfshirjen e personave juridikë dhe individualë. sipërmarrësit në bazë kontraktuale, me licencë për të kryer veprimtari për mbrojtjen teknike të informacionit konfidencial. Monitorimi i respektimit të kërkesave duhet të kryhet të paktën një herë në 3 vjet brenda afatit kohor të përcaktuar nga operatori (personi i autorizuar).

Kërkesat	Nivelet sigurinë
Kërkesat
Organizimi i një regjimi sigurie për ambientet në të cilat ndodhet sistemi i informacionit, duke parandaluar mundësinë e hyrjes ose qëndrimit të pakontrolluar në këto ambiente nga persona që nuk kanë akses në këto ambiente.	+	+	+	+
Sigurimi i sigurisë së bartësve të të dhënave personale	+	+	+	+
Miratimi nga drejtuesi i operatorit të një dokumenti që përcakton listën e personave, qasja e të cilëve në të dhënat personale të përpunuara në sistemin e informacionit është e nevojshme për kryerjen e detyrave të tyre zyrtare (të punës).	+	+	+	+
Përdorimi i mjeteve të sigurisë së informacionit që kanë kaluar procedurën për vlerësimin e pajtueshmërisë me kërkesat e legjislacionit të Federatës Ruse në fushën e sigurisë së informacionit, në rastet kur përdorimi i mjeteve të tilla është i nevojshëm për të neutralizuar kërcënimet aktuale	+	+	+	+
Emërimi i një zyrtari përgjegjës për sigurimin e të dhënave personale në ISPD	+	+	+	-
Kufizimi i aksesit në përmbajtjen e regjistrit të mesazheve elektronike	+	+	-	-
Regjistrimi automatik në regjistrin elektronik të sigurisë së ndryshimeve në kompetencat e punonjësit të operatorit për të hyrë në të dhënat personale të përfshira në sistemin e informacionit	+	-	-	-
Krijimi i një njësie strukturore përgjegjëse për garantimin e sigurisë së të dhënave personale në sistemin e informacionit, ose caktimi i funksioneve për të garantuar një siguri të tillë njërës prej njësive strukturore.	+	-	-	-

Pasi të keni vendosur për kërkesat për mbrojtjen e të dhënave personale në përputhje me PP-1119, mund të vazhdoni me zgjedhjen e masave organizative dhe teknike për të garantuar sigurinë e të dhënave personale, bazuar në kërkesat e Urdhrit Nr. 21 të FSTEC të Rusia e datës 18 shkurt 2013. që synon neutralizimin e kërcënimeve aktuale ndaj sigurisë së të dhënave personale.

Çfarë duhet bërë me mjetet e sigurisë së informacionit, certifikatat për të cilat janë lëshuar më parë për klasa të caktuara të ISPD?

Në përputhje me mesazhin e informacionit të FSTEC të Rusisë, datë 20 nëntor 2012 N 240/24/4669 "Për veçoritë e mbrojtjes së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale dhe certifikimin e mjeteve të sigurisë së informacionit të destinuara për mbrojtjen të të dhënave personale”, certifikatat e konformitetit të lëshuara FSTEC të Rusisë, përpara hyrjes në fuqi të aktit ligjor rregullator të FSTEC të Rusisë (që do të thotë Urdhri nr. 21), që përcakton përbërjen dhe përmbajtjen e masave organizative dhe teknike për të garantuar sigurinë e të dhënat personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale, nuk i nënshtrohen riregjistrimit.
Mjetet e sigurisë së informacionit që mund të përdoren për të mbrojtur të dhënat personale të përpunuara në sistemet e informacionit të të dhënave personale të klasës 1 mund të përdoren për të garantuar sigurinë e të dhënave personale të përpunuara në sistemet e informacionit të të dhënave personale deri në nivelin 1 përfshirës;
Mjetet e sigurisë së informacionit që mund të përdoren për të mbrojtur të dhënat personale të përpunuara në sistemet e informacionit të të dhënave personale të klasës 2 mund të përdoren për të garantuar sigurinë e nivelit 4 të të dhënave personale të përpunuara në sistemet e informacionit të të dhënave personale.

QEVERIA E FEDERATES RUSE

REZOLUCION

Për miratimin e kërkesave për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale

Në përputhje me nenin 19 të Ligjit Federal "Për të Dhënat Personale", Qeveria e Federatës Ruse

vendos:

1. Miraton kërkesat bashkëlidhur për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale.

2. Të njohë si të pavlefshëm Dekretin e Qeverisë së Federatës Ruse të 17 nëntorit 2007 N 781 "Për miratimin e rregulloreve për sigurimin e sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale" (Legjislacioni i mbledhur i Federatës Ruse , 2007, N 48, Art 6001).

Kryetar i Qeverisë
Federata Ruse
D.Medvedev

Kërkesat për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale

MIRATUAR
Rezoluta e qeverisë
Federata Ruse
datë 1 nëntor 2012 N 1119

1. Ky dokument përcakton kërkesat për mbrojtjen e të dhënave personale kur përpunohen në sistemet e informacionit të të dhënave personale (në tekstin e mëtejmë si sisteme informacioni) dhe nivelet e sigurisë së të dhënave të tilla.

2. Siguria e të dhënave personale kur përpunohen në sistemin e informacionit sigurohet duke përdorur një sistem të mbrojtjes së të dhënave personale që neutralizon kërcënimet aktuale të identifikuara në përputhje me pjesën 5 të nenit 19 të ligjit federal "Për të dhënat personale".

Sistemi i mbrojtjes së të dhënave personale përfshin masa organizative dhe (ose) teknike të përcaktuara duke marrë parasysh kërcënimet aktuale për sigurinë e të dhënave personale dhe teknologjitë e informacionit të përdorura në sistemet e informacionit.

3. Siguria e të dhënave personale kur përpunohen në një sistem informacioni sigurohet nga operatori i këtij sistemi, i cili përpunon të dhënat personale (në tekstin e mëtejmë operatori), ose nga personi që përpunon të dhënat personale në emër të operatorit në bazë të të një marrëveshjeje të lidhur me këtë person (në tekstin e mëtejmë personi i autorizuar). Marrëveshja ndërmjet operatorit dhe personit të autorizuar duhet të parashikojë detyrimin e personit të autorizuar për të garantuar sigurinë e të dhënave personale kur përpunohen në sistemin e informacionit.

4. Zgjedhja e mjeteve të sigurisë së informacionit për sistemin e mbrojtjes së të dhënave personale kryhet nga operatori në përputhje me aktet ligjore rregullatore të miratuara nga Shërbimi Federal i Sigurisë i Federatës Ruse dhe Shërbimi Federal për Kontrollin Teknik dhe Eksporti në përputhje me Pjesën 4. të nenit 19 të ligjit federal "Për të dhënat personale".

Një sistem informacioni është një sistem informacioni që përpunon të dhënat personale biometrike nëse përpunon informacione që karakterizojnë karakteristikat fiziologjike dhe biologjike të një personi, në bazë të të cilit mund të përcaktohet identiteti i tij dhe që përdoret nga operatori për të përcaktuar identitetin e subjekt i të dhënave personale, dhe nuk përpunon informacione që lidhen me kategori të veçanta të të dhënave personale.

Një sistem informacioni është një sistem informacioni që përpunon të dhëna personale të disponueshme publikisht nëse përpunon të dhëna personale të subjekteve të të dhënave personale të marra vetëm nga burime të disponueshme publikisht të të dhënave personale të krijuara në përputhje me nenin 8 të Ligjit Federal "Për të dhënat personale".

Një sistem informacioni është një sistem informacioni që përpunon kategori të tjera të të dhënave personale, nëse nuk përpunon të dhënat personale të përcaktuara në paragrafët një deri në tre të këtij paragrafi.

Një sistem informacioni është një sistem informacioni që përpunon të dhënat personale të punonjësve të operatorit nëse përpunon vetëm të dhënat personale të punonjësve të specifikuar. Në raste të tjera, sistemi i informacionit të të dhënave personale është një sistem informacioni që përpunon të dhënat personale të subjekteve të të dhënave personale që nuk janë punonjës të operatorit.

6. Kërcënimet aktuale për sigurinë e të dhënave personale kuptohen si një grup kushtesh dhe faktorësh që krijojnë rrezikun aktual të aksesit të paautorizuar, përfshirë aksidental, në të dhënat personale gjatë përpunimit të tyre në një sistem informacioni, i cili mund të rezultojë në shkatërrim, modifikim, bllokimi, kopjimi, sigurimi, shpërndarja e të dhënave personale, si dhe veprime të tjera të paligjshme.

Kërcënimet e tipit 1 janë të rëndësishme për një sistem informacioni nëse kërcënimet që lidhen me praninë e aftësive të padokumentuara (të padeklaruara) në softuerin e sistemit të përdorur në sistemin e informacionit janë gjithashtu të rëndësishme për të.

Kërcënimet e llojit të dytë janë të rëndësishme për një sistem informacioni nëse kërcënimet që lidhen me praninë e aftësive të padokumentuara (të padeklaruara) në softuerin e aplikacionit të përdorur në sistemin e informacionit janë gjithashtu të rëndësishme për të.

Kërcënimet e tipit 3 janë të rëndësishme për një sistem informacioni nëse kërcënimet që nuk lidhen me praninë e aftësive të padokumentuara (të padeklaruara) në sistem dhe softuerin e aplikacionit të përdorur në sistemin e informacionit janë të rëndësishme për të.

7. Përcaktimi i llojit të kërcënimeve për sigurinë e të dhënave personale të rëndësishme për sistemin e informacionit bëhet nga operatori duke marrë parasysh vlerësimin e dëmit të mundshëm të kryer në përputhje me paragrafin 5 të pjesës 1 të nenit 18_1 të Ligjit Federal ". Për të Dhënat Personale”, dhe në përputhje me aktet rregullatore ligjore të miratuara në përputhje me Pjesën 5 të nenit 19 të Ligjit Federal "Për të Dhënat Personale".

8. Gjatë përpunimit të të dhënave personale në sistemet e informacionit, vendosen 4 nivele të sigurisë së të dhënave personale.

9. Nevoja për të garantuar nivelin e parë të sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemin e informacionit përcaktohet nëse ekziston të paktën një nga kushtet e mëposhtme:

a) kërcënimet e tipit 1 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon ose kategori të veçanta të të dhënave personale, ose të dhëna personale biometrike, ose kategori të tjera të dhënash personale;

b) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të veçanta të të dhënave personale të më shumë se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit.

10. Nevoja për të siguruar nivelin e dytë të sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemin e informacionit përcaktohet nëse ekziston të paktën një nga kushtet e mëposhtme:

a) kërcënimet e tipit 1 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale të disponueshme publikisht;

b) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të veçanta të të dhënave personale të punonjësve të operatorit ose kategori të veçanta të të dhënave personale të më pak se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit;

c) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale biometrike;

d) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale të disponueshme publikisht të më shumë se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit;

e) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të tjera të të dhënave personale të më shumë se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit;

f) kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të veçanta të të dhënave personale të më shumë se 100 000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit.

11. Nevoja për të garantuar nivelin e 3-të të sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemin e informacionit përcaktohet nëse ekziston të paktën një nga kushtet e mëposhtme:

a) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale të disponueshme publikisht të punonjësve të operatorit ose të dhënat personale të disponueshme publikisht të më pak se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit;

b) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të tjera të të dhënave personale të punonjësve të operatorit ose kategori të tjera të të dhënave personale të më pak se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit;

c) kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të veçanta të të dhënave personale të punonjësve të operatorit ose kategori të veçanta të të dhënave personale të më pak se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit;

d) kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale biometrike;

e) kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të tjera të të dhënave personale të më shumë se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit.

12. Nevoja për të garantuar nivelin e katërt të sigurisë së të dhënave personale gjatë përpunimit të tyre në një sistem informacioni përcaktohet nëse ekziston të paktën një nga kushtet e mëposhtme:

a) kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale të disponueshme publikisht;

b) kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të tjera të të dhënave personale të punonjësve të operatorit ose kategori të tjera të të dhënave personale të më pak se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit.

13. Për të garantuar nivelin e 4-të të sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit, duhet të plotësohen këto kërkesa:

a) organizimi i një regjimi sigurie për ambientet në të cilat ndodhet sistemi i informacionit, duke parandaluar mundësinë e hyrjes ose qëndrimit të pakontrolluar në këto ambiente nga persona që nuk kanë akses në këto ambiente;

b) garantimin e sigurisë së bartësve të të dhënave personale;

c) miratimin nga titullari i operatorit të një dokumenti që përcakton listën e personave, aksesi i të cilëve në të dhënat personale të përpunuara në sistemin e informacionit është i nevojshëm për kryerjen e detyrave të tyre zyrtare (të punës);

d) përdorimi i mjeteve të sigurisë së informacionit që kanë kaluar procedurën për vlerësimin e pajtueshmërisë me kërkesat e legjislacionit të Federatës Ruse në fushën e sigurisë së informacionit, në rastet kur përdorimi i mjeteve të tilla është i nevojshëm për të neutralizuar kërcënimet aktuale.

14. Për të garantuar nivelin e tretë të sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit, përveç plotësimit të kërkesave të parashikuara në pikën 13 të këtij dokumenti, është e nevojshme që të caktohet një zyrtar (punonjës) përgjegjës për sigurimin e sigurisë. të të dhënave personale në sistemin e informacionit.

15. Për të garantuar nivelin e dytë të sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit, përveç përmbushjes së kërkesave të parashikuara në pikën 14 të këtij dokumenti, është e nevojshme që qasja në përmbajtjen e regjistrit të mesazheve elektronike të jetë e mundur vetëm për zyrtarët (punonjësit) e operatorit ose një person të autorizuar, për të cilin informacioni i përfshirë në ditarin e specifikuar është i nevojshëm për kryerjen e detyrave zyrtare (të punës).

16. Për të garantuar nivelin e parë të sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit, krahas kërkesave të parashikuara në pikën 15 të këtij dokumenti, duhet të plotësohen edhe këto kërkesa:

a) regjistrimi automatik në regjistrin e sigurisë elektronike të ndryshimeve në kompetencat e punonjësit të operatorit për të hyrë në të dhënat personale të përfshira në sistemin e informacionit;

b) krijimin e një njësie strukturore përgjegjëse për garantimin e sigurisë së të dhënave personale në sistemin e informacionit, ose caktimin e funksioneve për të garantuar një siguri të tillë njërës prej njësive strukturore.

17. Monitorimi i respektimit të këtyre kërkesave organizohet dhe kryhet nga operatori (personi i autorizuar) në mënyrë të pavarur dhe (ose) me përfshirjen e personave juridikë dhe sipërmarrësve individualë në bazë kontraktuale, të licencuar për të kryer veprimtari për mbrojtjen teknike të konfidencialitetit. informacion. Kontrolli i specifikuar kryhet të paktën një herë në 3 vjet brenda afatit kohor të përcaktuar nga operatori (personi i autorizuar).

Teksti i dokumentit elektronik
përgatitur nga Kodeks Sh.A dhe verifikuar kundër.

Në përputhje me nenin 19 të Ligjit Federal "Për të dhënat personale", Qeveria e Federatës Ruse vendos:

1. Miraton kërkesat bashkëlidhur për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale.

Kryetar i Qeverisë
Federata Ruse
D.MEDVEDEV

MIRATUAR
Rezoluta e qeverisë
Federata Ruse
datë 1 nëntor 2012 N 1119

Një sistem informacioni është një sistem informacioni që përpunon të dhënat personale të disponueshme publikisht nëse përpunon të dhëna personale të subjekteve të të dhënave personale të marra vetëm nga burime të disponueshme publikisht të të dhënave personale të krijuara në përputhje me nenin 8 të Ligjit Federal "Për të dhënat personale".

7. Përcaktimi i llojit të kërcënimeve për sigurinë e të dhënave personale të rëndësishme për sistemin e informacionit bëhet nga operatori duke marrë parasysh vlerësimin e dëmit të mundshëm të kryer në përputhje me paragrafin 5 të pjesës 1 të nenit 181 të Ligjit Federal ". Për të Dhënat Personale", dhe në përputhje me aktet ligjore rregullatore të miratuara në përputhje me Pjesën 5 të nenit 19 të Ligjit Federal "Për të Dhënat Personale".

8. Gjatë përpunimit të të dhënave personale në sistemet e informacionit, vendosen 4 nivele të sigurisë së të dhënave personale.

A) kërcënimet e tipit 1 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon ose kategori të veçanta të të dhënave personale, ose të dhëna personale biometrike, ose kategori të tjera të dhënash personale;

A) Kërcënimet e tipit 1 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale të disponueshme publikisht;

C) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale biometrike;

D) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale të disponueshme publikisht të më shumë se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit;

E) Kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të veçanta të të dhënave personale të më shumë se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit.

B) kërcënimet e tipit 2 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të tjera të të dhënave personale të punonjësve të operatorit ose kategori të tjera të të dhënave personale të më pak se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit;

D) kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale biometrike;

E) Kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të tjera të të dhënave personale të më shumë se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit.

a) kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon të dhënat personale të disponueshme publikisht;

B) Kërcënimet e tipit 3 janë të rëndësishme për sistemin e informacionit dhe sistemi i informacionit përpunon kategori të tjera të të dhënave personale të punonjësve të operatorit ose kategori të tjera të të dhënave personale të më pak se 100,000 subjekteve të të dhënave personale që nuk janë punonjës të operatorit.

13. Për të garantuar nivelin e 4-të të sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit, duhet të plotësohen këto kërkesa:

A) organizimin e një regjimi sigurie për ambientet në të cilat ndodhet sistemi i informacionit, duke parandaluar mundësinë e hyrjes ose qëndrimit të pakontrolluar në këto ambiente nga persona që nuk kanë akses në këto ambiente;

b) garantimin e sigurisë së bartësve të të dhënave personale;

A) regjistrimi automatik në regjistrin elektronik të sigurisë së ndryshimeve në kompetencat e punonjësit të operatorit për të hyrë në të dhënat personale të përfshira në sistemin e informacionit;

Në përputhje me nenin 19 të Ligjit Federal "Për të Dhënat Personale", Qeveria e Federatës Ruse vendos:
1. Miraton kërkesat bashkëlidhur për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale.
2. Njohin si të pavlefshëm Dekretin e Qeverisë së Federatës Ruse të datës 17 nëntor 2007 nr. 781 "Për miratimin e rregulloreve për garantimin e sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale" (Legjislacioni i mbledhur i Rusisë Federata, 2007, Nr. 48, Art 6001).

Kryetar i Qeverisë

Federata Ruse

D. Medvedev

Kërkesat për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale (miratuar me Dekret të Qeverisë së Federatës Ruse të 1 nëntorit 2012 nr. 1119)

5. Një sistem informacioni është një sistem informacioni që përpunon kategori të veçanta të të dhënave personale nëse përpunon të dhëna personale që kanë të bëjnë me racën, kombësinë, pikëpamjet politike, besimet fetare ose filozofike, gjendjen shëndetësore, jetën intime të subjekteve të të dhënave personale.
Një sistem informacioni është një sistem informacioni që përpunon të dhënat personale biometrike nëse përpunon informacione që karakterizojnë karakteristikat fiziologjike dhe biologjike të një personi, në bazë të të cilit mund të përcaktohet identiteti i tij dhe që përdoret nga operatori për të përcaktuar identitetin e subjekt i të dhënave personale, dhe nuk përpunon informacione që lidhen me kategori të veçanta të të dhënave personale.
Një sistem informacioni është një sistem informacioni që përpunon të dhënat personale të disponueshme publikisht nëse përpunon të dhëna personale të subjekteve të të dhënave personale të marra vetëm nga burime të disponueshme publikisht të të dhënave personale të krijuara në përputhje me nenin 8 të Ligjit Federal "Për të dhënat personale".

Duart që kanë zgjatur prej kohësh drejt tastierës në lidhje me kryeveprën e re të rregullimit rregullator tashmë janë rrahur deri në kockë. Nuk mund ta frenoj më veten dhe ta duroj. Më duhet të shkruaj. Gjithashtu, sot hyn në fuqi Rezoluta nr. 1119 e datës 1 nëntor 2012 “Për miratimin e kërkesave për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale”, e cila shfuqizon Rezolutën nr.781, datë 17.11.2007. Shtatë ditë kalojnë nga data e publikimit.

Të jem i sinqertë, reagimi i kolegëve të komunitetit profesional ndaj rezolutës së re, e cila në fakt përcakton sistemin e ndërtimit të sigurisë teknike për përpunimin e të dhënave personale në sistemet e informacionit, jo vetëm që më befasoi, por më bëri në mëdyshje. Disa, dhe jo pak, e pëlqeu sepse, sipas tyre, nuk përmban asgjë thelbësisht të re, dhe nuk i shtrëngon më tej arrat, madje numri i kërkesave në krahasim me PP-781 është zvogëluar. Kolegët e tjerë e kritikojnë dokumentin, por shumë përgjithësisht, kryesisht për mungesë specifikash.

Unë kisha një mendim paksa të ndryshëm për kërkesat, e shpreha shkurtimisht në webinarin e sotëm, të mbajtur së bashku me kompaninë e Kodit të Sigurisë dhe numri i pyetjeve të marra për këtë çështje më në fund më shtyu të shkruaj këtë postim.

Për të sistemuar vizionin tim, dola me disa rafte përgjatë të cilave do të organizoj vlerësimin tim të dokumentit. Na vjen keq, do të ketë shumë letra. Shumë. I zgjodha me kujdes fjalët, kështu që kategoria e leximit mund të jetë 0+.

Rafti një. Pajtueshmëria me ligjin. Lëshimi i PP-1119 është një kërkesë e drejtpërdrejtë e paragrafëve 1 dhe 2 të pjesës 3 të nenit 19 të botimit të ri të 152-FZ "Për të dhënat personale". Kjo është ajo që më lejon të vlerësoj shumë ashpër gjendjen e punëve në këtë raft. Vendimi i Qeverisë nuk është në përputhje me ligjin. Ligji parashikonte që nivelet e sigurisë dhe kërkesat për to duhet të përcaktohen në varësi të pesë faktorëve:

· dëmtim i mundshëm për subjektin e të dhënave personale,

· vëllimi i të dhënave personale të përpunuara,

· përmbajtjen e të dhënave personale që përpunohen,

· llojin e aktivitetit gjatë të cilit përpunohen të dhënat personale,

· rëndësinë e kërcënimeve për sigurinë e të dhënave personale.

Llojet e aktiviteteve dhe, më e rëndësishmja, dëmtimi i subjektit, përgjithësisht mungojnë si tipare kualifikuese në dokumentin e miratuar. Në paragrafin 7 të Kërkesave, operatori "nuk është aspak njerëzor", nuk mund të them ndryshe, propozohet të përcaktohet në mënyrë të pavarur lloji i kërcënimeve ndaj sigurisë së të dhënave personale të rëndësishme për sistemin e informacionit, duke marrë parasysh vlerësimi i dëmit të mundshëm, i udhëhequr nga dokumentet aktualisht jo-ekzistente të FSB dhe FSTEC. Ato. drejtuesi i një kopshti ose drejtuesi i departamentit të automatizimit të një fabrike tubash (pasi thjesht nuk ka njeri tjetër që të merret me probleme të tilla në organizata të tilla) do të vlerësojë dëmin nga zbulimi i të dhënave të stafit, nxënësve, vizitorëve dhe të afërmit e tyre. Në mungesë të plotë të zhvillimeve metodologjike për këtë problem në vend. Kushdo që ka të paktën një ballafaqim me çështje të tilla, e di se problemi i përcaktimit të masës së dëmit në rast të shkeljes së të drejtave civile është një nga më të vështirat në jurisprudencë dhe procese gjyqësore. Por, me sa duket, duke kujtuar postulatin klasik për aftësitë e çdo kuzhinieri, autorët vendosën që problemi mund të zgjidhej me burime të shumta. Operatorët, sipas Roskomnadzor, janë rreth shtatë milionë. Shikoni çfarë shpikin. Një shembull klasik i zhvendosjes së një problemi nga një kokë në tjetrën, ju e dini se cilat.

Llojet e aktiviteteve janë gjithashtu të ndërlikuara. Duke marrë parasysh se versioni i ri i ligjit nuk lë hapësirë për standardet e industrisë për të punuar me të dhënat personale, të njëjtat lloje do të duhet të merren parasysh vetëm në një mënyrë - duke shpikur për ta kërcënime shtesë të sigurisë ndaj atyre të shpikura nga FSB dhe FSTEC, e cila, në fakt, është e përcaktuar në pjesët 5 dhe 6 të të njëjtit nen 19 të ligjit. Pika. Vetëm për të identifikuar kërcënime të reja dhe për të mos parashikuar asnjë relaksim të ngjashëm me ato që Ministria e Shëndetësisë ka rënë dakord dikur me FSTEC në dokumentet e saj metodologjike.

Rafti i dytë. Metodologjia. Rafti është… i varur keq. Sepse metodologjia përmban problemet më të rëndësishme, kryesore të dokumentit. Duke deklaruar se kërcënimet kryesore që çojnë në mënyrë të pashmangshme në vendosjen e niveleve më të larta të sigurisë (shih tabelën 1) janë aftësitë e padeklaruara (të padokumentuara) në softuerin e sistemit dhe aplikacionit, Kërkesat nuk ofrojnë fare asnjë metodë apo metodë për neutralizimin e tyre. Për metoda të tilla mund të kontrolloni vetëm këtë softuer për mungesën e faqerojtësve dhe zakoneve të tjera të këqija. Dhe askush nuk e kërkon këtë nga operatorët, të paktën në PP-1119.

Tabela 1

Lloji ISPDn	Punonjësit e operatorit	Numri i lëndëve	Lloji i kërcënimeve aktuale
			1	2	3
ISPDn-S	Nr	> 100 000	UZ-1	UZ-1	UZ-2
	Nr	< 100 000	UZ-1	UZ-2	UZ-3
	po
ISPDn-B			UZ-1	UZ-2	UZ-3
ISPDn-I	Nr	> 100 000	UZ-1	UZ-2	UZ-3
	Nr	< 100 000	UZ-1	UZ-3	UZ-4
	po
ISPDn-O	Nr	> 100 000	UZ-2	UZ-2	UZ-4
	Nr	< 100 000	UZ-2	UZ-3	UZ-4
	po

Ato ofrojnë trajtim për bomba logjike, dyer të pasme dhe shpirtra të tjerë të këqij duke përdorur metoda të vjetra të provuara - një klizmë me gjilpëra gramafoni dhe derdhje me suva të gjymtyrëve të pathyera. Shih tabelën 2.

tabela 2

Kërkesat	Nivelet sigurinë
Kërkesat	1	2	3	4
Regjim sigurie për ambientet ku përpunohen të dhënat personale
Siguria e bartësve të të dhënave personale
Lista e personave të autorizuar për të hyrë në të dhënat personale
Pajisjet e mbrojtjes së informacionit që kanë kaluar procedurën e vlerësimit të konformitetit			+
Regjistrimi automatik në regjistrin elektronik të sigurisë së ndryshimeve në autoritetin e punonjësit të operatorit për të hyrë në të dhënat personale				- -

Me sa duket, vetëm autorët e dinë se si përdorimi i mureve të zjarrit të certifikuar dhe emërimi i një departamenti përgjegjës (ose personi përgjegjës) mund të ndihmojë në parandalimin e ndikimit të sistemit operativ në të dhënat e përpunuara.

Rafti i tretë. Terminologjia. Dhe kjo është pjesa më misterioze e dokumentit. Nga erdhën "punonjësit e operatorit" dhe pse nuk janë punonjës, statusi ligjor i të cilëve përshkruhet qartë nga Kodi i Punës - pyetja është e thjeshtë dhe e qartë. Por çfarë është "regjistri i mesazheve elektronike" (klauzola 15) dhe si ndryshon nga "regjistri elektronik i sigurisë" (klauzola 16), nëse ndryshon fare - është një mister i madh. Unë mendoj se ne po flasim për trungje. Regjistrat e çfarë? OS? DB? Prapa? SZI? Të gjitha së bashku apo diçka veç e veç? Pyetje pa përgjigje.

Rezoluta prezanton konceptin e një sistemi informacioni që përpunon të dhënat personale të disponueshme publikisht, të cilat mungojnë në ligj, dhe i konsideron të tilla të merren vetëm nga burime të disponueshme publikisht të të dhënave personale të krijuara në përputhje me nenin 8 152-FZ.

Dhe nëse ato merren ndryshe, për shembull, nëse ky është informacion që i nënshtrohet publikimit dhe zbulimit të detyrueshëm, siç janë informacionet nga Regjistri i Bashkuar Shtetëror i Personave Juridik dhe Regjistri i Bashkuar Shtetëror i Sipërmarrësve Individualë, i cili është i disponueshëm publikisht në përputhje me Ligji Federal për Regjistrimin Shtetëror të Personave Juridik dhe Sipërmarrësve Individualë. Ose informacione për filialet e emetuesit të letrave me vlerë. Ose të dhënat personale të kandidatëve për deputetë objekt publikimi. Çfarë duhet bërë me ta? Përsëri një pyetje që nuk ka përgjigje.

Së fundi, vlerësimi i pajtueshmërisë. Termi, i cili nuk ka asnjë shpjegim në lidhje me sigurinë e informacionit në asnjë akt, përveç Rezolutës së mbyllur nr. 330, vazhdon të endet nëpër kuadrin rregullator. Por edhe nëse operatori e ka parë këtë Rezolutë, ai nuk është në gjendje të kuptojë se si vlerësohet përputhshmëria gjatë kontrollit dhe mbikëqyrjes shtetërore. Dhe vlerësoni pasojat e pritjes së mbërritjes së inspektorit dhe sjelljen e tij kur sheh fonde të pacertifikuara. Epo, të mos harrojmë se në versionin e ri të ligjit, rregulloret që kanë të bëjnë me përpunimin e të dhënave personale janë objekt publikimi zyrtar.

Rafti katër. Zbatueshmëria. Rezoluta mund të hyjë në fuqi e plotë vetëm pas miratimit të akteve përkatëse të FSB dhe FSTEC, të parashikuara në Pjesën 4 të nenit 19 të 152-FZ, si dhe nga autoritetet ekzekutive federale që ushtrojnë funksionet e shtetit në zhvillim. politika dhe rregullimi ligjor në fushën e caktuar të veprimtarisë, organet autoritetet shtetërore të entiteteve përbërëse të Federatës Ruse, Banka e Rusisë, organet e fondeve ekstra-buxhetore shtetërore, organet e tjera qeveritare në drejtim të identifikimit të kërcënimeve aktuale për sigurinë personale. të dhëna (pjesa 5 e nenit 19 152-FZ, pika 2 e Kërkesave), të cilat mungojnë dhe nuk dihet se kur do të miratohen. Në këto kushte, është pothuajse e pamundur që operatori të përmbushë kërkesat e vendosura. Kthehem te drejtuesi i kopshtit dhe shefi i departamentit të automatizimit të fabrikës së petëzimit të tubave. Kush do të jetë i pari që do të shpjegojë se cilat janë "aftësitë e padeklaruara të softuerit të sistemit" dhe me cilat kritere do ta vlerësojë ajo rëndësinë e këtij kërcënimi? Çfarë mund ta detyrojë këtë të fundit të njohë këto kërcënime si të rëndësishme për impiantin e tij dhe të marrë përsipër probleme shtesë? Si do ta vlerësojnë dëmin për të cilin u shkrua gjatë çmontimit të raftit të parë? Le të presim dokumentet nga FSB dhe FSTEC. Diçka më thotë se nuk do të jetë e mundur thjesht të refuzosh neutralizimin e aftësive të padeklaruara. Bankat dhe telekomi do ta kuptojnë këtë përfundimisht. Çfarë duhet të bëjmë ne të tjerët që nuk kemi specialistë të specializuar dhe licenca FSB/FSTEK - shkolla dhe universitete, spitale dhe klinika, zyrat e gjendjes civile dhe qendrat e punësimit, etj., etj.? Një dokument i tillë nuk mund t'u shkaktojë atyre asgjë përveç konfuzionit.

Unë nuk do të shkruaj një rezyme. Dhe kështu gjithçka është e qartë.