เกี่ยวกับการอนุมัติกฎระเบียบในการสร้างความมั่นใจในความปลอดภัยของข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลส่วนบุคคล เกี่ยวกับการอนุมัติข้อกำหนดในการปกป้องข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลส่วนบุคคล
คำสั่งของรัฐบาลสหพันธรัฐรัสเซียหมายเลข 1119 ลงวันที่ 1 พฤศจิกายน 2555 ฝังระบบข้อมูลส่วนบุคคลที่ทุกคนคุ้นเคยอยู่แล้ว
ตามมติใหม่ ได้มีการกำหนดระดับความปลอดภัยของข้อมูลส่วนบุคคลสี่ระดับในระหว่างการประมวลผลในระบบข้อมูลและข้อกำหนดสำหรับแต่ละระดับ การกำหนดระบบสารสนเทศในระดับการรักษาความปลอดภัยเฉพาะนั้นขึ้นอยู่กับประเภทของข้อมูลส่วนบุคคลที่ระบบสารสนเทศประมวลผล ประเภทของภัยคุกคามในปัจจุบัน จำนวนเจ้าของข้อมูลส่วนบุคคลที่ประมวลผลโดยระบบสารสนเทศ และข้อมูลส่วนบุคคลที่ การประมวลผลที่อาจเกิดขึ้น
ระบบข้อมูลข้อมูลส่วนบุคคล (PDIS) ตามวรรค 5 ของมติที่ 1119 แบ่งออกเป็น 4 กลุ่ม:
- ISPD พิเศษ
หาก ISPD ประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเชื้อชาติ สัญชาติ มุมมองทางการเมือง ความเชื่อทางศาสนาหรือปรัชญา สถานะสุขภาพ ชีวิตส่วนตัวของข้อมูลส่วนบุคคล
- ISPD ไบโอเมตริกซ์
หาก ISPD ประมวลผลข้อมูลที่มีลักษณะเฉพาะทางสรีรวิทยาและชีวภาพของบุคคล บนพื้นฐานของการระบุตัวตนของเขาที่สามารถสร้างได้ และผู้ปฏิบัติงานใช้เพื่อสร้างตัวตนของเรื่องของข้อมูลส่วนบุคคล และข้อมูลที่เกี่ยวข้องกับหมวดหมู่พิเศษ ของข้อมูลส่วนบุคคลไม่ได้รับการประมวลผล
- ISPD สาธารณะ
หาก ISPD ประมวลผลข้อมูลส่วนบุคคลของเรื่องของข้อมูลส่วนบุคคลที่ได้รับจากแหล่งข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะเท่านั้นที่สร้างขึ้นตามมาตรา 8 ของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล";
- ISPD อื่นๆ
หาก ISPD ประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่ไม่อยู่ในสามกลุ่มก่อนหน้านี้
ขึ้นอยู่กับรูปแบบของความสัมพันธ์ระหว่างองค์กรของคุณกับวิชา การประมวลผลแบ่งออกเป็น 2 ประเภท:
- การประมวลผลข้อมูลส่วนบุคคลของพนักงาน (หน่วยงานที่องค์กรของคุณมีแรงงานสัมพันธ์)
- การประมวลผลข้อมูลส่วนบุคคลของอาสาสมัครที่ไม่ใช่พนักงานขององค์กรของคุณ
จากจำนวนวิชาที่มีการประมวลผลข้อมูลส่วนบุคคล มติหมายเลข 1119 กำหนดเพียง 2 หมวดหมู่:
- น้อยกว่า 100,000 วิชา;
- มากกว่า 100,000 วิชา;
และในที่สุดก็, ประเภทของภัยคุกคามในปัจจุบัน:
- ภัยคุกคามประเภท 1 เกี่ยวข้องกับการมีอยู่ของความสามารถที่ไม่ได้ประกาศ (ไม่มีเอกสาร) ในซอฟต์แวร์ระบบที่ใช้ใน ISPD
- ภัยคุกคามประเภท 2 เกี่ยวข้องกับการมีความสามารถที่ไม่ได้ประกาศในแอพพลิเคชั่นซอฟต์แวร์ที่ใช้ใน ISPD
- ภัยคุกคามประเภท 3 ไม่เกี่ยวข้องกับการมีความสามารถที่ไม่ได้ประกาศในซอฟต์แวร์ที่ใช้ใน ISPD
ไม่มีข้อบังคับเกี่ยวกับวิธีการระบุประเภทของภัยคุกคามในปัจจุบัน ข้อกำหนดของ PP-1119 ไม่มีวิธีการหรือวิธีการใด ๆ ในการวางตัวเป็นกลาง หากก่อนหน้านี้ผู้ปฏิบัติงานสามารถเลือกจัดประเภท ISPD มาตรฐานตามตาราง หรือจัดประเภท ISPD พิเศษตามผลลัพธ์ของแบบจำลองภัยคุกคาม ตอนนี้ไม่มีทางเลือกแล้ว ระดับความปลอดภัยจะถูกกำหนดตามความเกี่ยวข้องของภัยคุกคามเสมอ ผู้ปฏิบัติงานไม่น่าจะสามารถระบุได้ด้วยตนเอง - เขาจะต้องติดต่อองค์กรที่สูงกว่าหรือที่ปรึกษา วิธีที่ง่ายที่สุดคือการเดินตามเส้นทางที่มีการต่อต้านน้อยที่สุด เช่น กำหนดประเภทของภัยคุกคามประเภท 3 ในปัจจุบัน และลืมเกี่ยวกับความสามารถที่ไม่ได้ประกาศ (ไม่มีเอกสาร) ในระบบและซอฟต์แวร์แอปพลิเคชัน แต่จะต้องได้รับการพิสูจน์ คำถามทั้งหมดคือ อย่างไร? กลับไปที่จุดเริ่มต้นของย่อหน้า
หัวข้อความเกี่ยวข้องของภัยคุกคามต่อระบบข้อมูลส่วนบุคคลมีความสำคัญมาก เนื่องจากภัยคุกคามที่อธิบายอย่างถูกต้องจะกำหนดว่าระบบจะได้รับการป้องกันได้ดีเพียงใด รวมถึงค่าใช้จ่ายในการป้องกันสำหรับผู้ดำเนินการข้อมูลส่วนบุคคลด้วย
หากคุณได้ตัดสินใจเกี่ยวกับข้อมูลเริ่มต้นสำหรับ ISPD เฉพาะ รวมถึงประเภทของภัยคุกคามในปัจจุบัน คุณสามารถกำหนดระดับความปลอดภัยของมันได้ เพื่อกำหนดระดับความปลอดภัยได้อย่างสะดวก ให้ใช้ตารางต่อไปนี้ซึ่งอิงตาม PP-1119:
ประเภท ISPDn |
พนักงานของผู้ประกอบการ |
จำนวนวิชา |
ประเภทของภัยคุกคามในปัจจุบัน |
||
1
|
2
|
3
|
|||
ISPDn-S |
เลขที่ | > 100 000 | ยูแซด-1 | ยูแซด-1 | ยูแซด-2 |
| เลขที่ | < 100 000 | ยูแซด-1 | ยูแซด-2 | ยูแซด-3 | |
| ใช่ | |||||
ISPDn-B |
ยูแซด-1 | ยูแซด-2 | ยูแซด-3 | ||
ISPDn-I |
เลขที่ | > 100 000 | ยูแซด-1 | ยูแซด-2 | ยูแซด-3 |
| เลขที่ | < 100 000 | ยูแซด-2 | ยูแซด-3 | ยูแซด-4 | |
| ใช่ | |||||
ISPDn-O |
เลขที่ | > 100 000 | ยูแซด-2 | ยูแซด-2 | ยูแซด-4 |
| เลขที่ | < 100 000 | ยูแซด-2 | ยูแซด-3 | ยูแซด-4 | |
| ใช่ | |||||
ขึ้นอยู่กับระดับความปลอดภัยของ PD ที่เลือก PP-1119 กำหนดข้อกำหนดจำนวนหนึ่งสำหรับการปกป้องข้อมูลส่วนบุคคลซึ่งจัดระเบียบและดำเนินการโดยผู้ดำเนินการ (ผู้มีอำนาจ) โดยอิสระและ (หรือ) โดยมีส่วนร่วมของนิติบุคคลและบุคคล ผู้ประกอบการตามสัญญาโดยได้รับใบอนุญาตให้ดำเนินกิจกรรมเกี่ยวกับการคุ้มครองทางเทคนิคของข้อมูลที่เป็นความลับ การตรวจสอบการปฏิบัติตามข้อกำหนดจะต้องดำเนินการอย่างน้อยหนึ่งครั้งทุกๆ 3 ปีภายในกรอบเวลาที่กำหนดโดยผู้ปฏิบัติงาน (ผู้มีอำนาจ)
ความต้องการ |
ระดับ |
|||
| การจัดระบบการรักษาความปลอดภัยสำหรับสถานที่ที่ระบบข้อมูลตั้งอยู่ การป้องกันความเป็นไปได้ของการเข้ามาโดยไม่มีการควบคุมหรืออยู่ในสถานที่เหล่านี้โดยบุคคลที่ไม่ได้รับอนุญาตให้เข้าถึงสถานที่เหล่านี้ | + | + | + | + |
| สร้างความมั่นใจในความปลอดภัยของผู้ให้บริการข้อมูลส่วนบุคคล | + | + | + | + |
| การอนุมัติโดยหัวหน้าผู้ดำเนินการเอกสารที่กำหนดรายชื่อบุคคลที่สามารถเข้าถึงข้อมูลส่วนบุคคลที่ประมวลผลในระบบข้อมูลเป็นสิ่งจำเป็นสำหรับการปฏิบัติหน้าที่ราชการ (แรงงาน) | + | + | + | + |
| การใช้เครื่องมือรักษาความปลอดภัยข้อมูลที่ผ่านขั้นตอนการประเมินการปฏิบัติตามข้อกำหนดของกฎหมายของสหพันธรัฐรัสเซียในด้านความปลอดภัยของข้อมูล ในกรณีที่จำเป็นต้องใช้เครื่องมือดังกล่าวเพื่อต่อต้านภัยคุกคามในปัจจุบัน | + | + | + | + |
| การแต่งตั้งเจ้าหน้าที่ที่รับผิดชอบในการรับรองความปลอดภัยของข้อมูลส่วนบุคคลใน ISPD | + | + | + | - |
| การจำกัดการเข้าถึงเนื้อหาของบันทึกข้อความอิเล็กทรอนิกส์ | + | + | - | - |
| การลงทะเบียนอัตโนมัติในบันทึกความปลอดภัยทางอิเล็กทรอนิกส์ของการเปลี่ยนแปลงอำนาจของพนักงานของผู้ประกอบการในการเข้าถึงข้อมูลส่วนบุคคลที่มีอยู่ในระบบข้อมูล | + | - | - | - |
| การสร้างหน่วยโครงสร้างที่รับผิดชอบในการรับรองความปลอดภัยของข้อมูลส่วนบุคคลในระบบข้อมูลหรือมอบหมายหน้าที่เพื่อให้มั่นใจในความปลอดภัยดังกล่าวให้กับหนึ่งในหน่วยโครงสร้าง | + | - | - | - |
เมื่อตัดสินใจเกี่ยวกับข้อกำหนดสำหรับการปกป้องข้อมูลส่วนบุคคลตาม PP-1119 แล้ว คุณสามารถดำเนินการเลือกมาตรการขององค์กรและทางเทคนิคเพื่อให้มั่นใจในความปลอดภัยของข้อมูลส่วนบุคคล ตามข้อกำหนดของคำสั่งซื้อหมายเลข 21 ของ FSTEC รัสเซียลงวันที่ 18 กุมภาพันธ์ 2556 มุ่งเป้าไปที่การต่อต้านภัยคุกคามในปัจจุบันต่อความปลอดภัยของข้อมูลส่วนบุคคล
จะทำอย่างไรกับเครื่องมือรักษาความปลอดภัยข้อมูลใบรับรองที่ออกก่อนหน้านี้สำหรับ ISPD บางประเภท?
ตามข้อความข้อมูลของ FSTEC แห่งรัสเซียลงวันที่ 20 พฤศจิกายน 2555 N 240/24/4669 “ เกี่ยวกับคุณสมบัติของการปกป้องข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลส่วนบุคคลและการรับรองเครื่องมือรักษาความปลอดภัยข้อมูลที่มีไว้สำหรับการป้องกัน ของข้อมูลส่วนบุคคล” ใบรับรองความสอดคล้องที่ออก FSTEC ของรัสเซียก่อนที่จะมีผลใช้บังคับของการดำเนินการตามกฎหมายของ FSTEC ของรัสเซีย (หมายถึงคำสั่งหมายเลข 21) ซึ่งสร้างองค์ประกอบและเนื้อหาของมาตรการองค์กรและทางเทคนิคเพื่อความปลอดภัยของ ข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลส่วนบุคคลจะไม่อยู่ภายใต้การลงทะเบียนซ้ำ
เครื่องมือรักษาความปลอดภัยข้อมูลที่สามารถใช้เพื่อปกป้องข้อมูลส่วนบุคคลที่ประมวลผลในระบบข้อมูลส่วนบุคคลคลาส 1 สามารถใช้เพื่อรับรองความปลอดภัยของข้อมูลส่วนบุคคลที่ประมวลผลในระบบข้อมูลส่วนบุคคลจนถึงระดับ 1 โดยรวม
เครื่องมือรักษาความปลอดภัยข้อมูลที่สามารถใช้เพื่อปกป้องข้อมูลส่วนบุคคลที่ประมวลผลในระบบข้อมูลส่วนบุคคลคลาส 2 สามารถใช้เพื่อรับรองความปลอดภัยระดับ 4 ของข้อมูลส่วนบุคคลที่ประมวลผลในระบบข้อมูลส่วนบุคคล
รัฐบาลสหพันธรัฐรัสเซีย
ปณิธาน
เกี่ยวกับการอนุมัติข้อกำหนดในการปกป้องข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลส่วนบุคคล
ตามมาตรา 19 ของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล" รัฐบาลแห่งสหพันธรัฐรัสเซีย
ตัดสินใจ:
1. อนุมัติข้อกำหนดที่แนบมาสำหรับการปกป้องข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลส่วนบุคคล
2. ยอมรับว่าพระราชกฤษฎีกาของรัฐบาลสหพันธรัฐรัสเซียเมื่อวันที่ 17 พฤศจิกายน 2550 N 781“ ในการอนุมัติกฎระเบียบว่าด้วยการรับรองความปลอดภัยของข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลส่วนบุคคล” (กฎหมายที่รวบรวมไว้ของสหพันธรัฐรัสเซีย) , 2550, N 48, ข้อ 6001)
ประธานรัฐบาล
สหพันธรัฐรัสเซีย
ดี.เมดเวเดฟ
ข้อกำหนดสำหรับการปกป้องข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลข้อมูลส่วนบุคคล
ที่ได้รับการอนุมัติ
มติของรัฐบาล
สหพันธรัฐรัสเซีย
ลงวันที่ 1 พฤศจิกายน 2555 N 1119
1. เอกสารนี้กำหนดข้อกำหนดสำหรับการปกป้องข้อมูลส่วนบุคคลเมื่อประมวลผลในระบบข้อมูลข้อมูลส่วนบุคคล (ต่อไปนี้จะเรียกว่าระบบข้อมูล) และระดับความปลอดภัยของข้อมูลดังกล่าว
2. ความปลอดภัยของข้อมูลส่วนบุคคลเมื่อประมวลผลในระบบข้อมูลนั้นมั่นใจได้โดยใช้ระบบป้องกันข้อมูลส่วนบุคคลที่ต่อต้านภัยคุกคามในปัจจุบันที่ระบุตามส่วนที่ 5 ของมาตรา 19 ของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล"
ระบบปกป้องข้อมูลส่วนบุคคลประกอบด้วยมาตรการขององค์กรและ (หรือ) ทางเทคนิคที่กำหนดโดยคำนึงถึงภัยคุกคามในปัจจุบันต่อความปลอดภัยของข้อมูลส่วนบุคคลและเทคโนโลยีสารสนเทศที่ใช้ในระบบสารสนเทศ
3. ความปลอดภัยของข้อมูลส่วนบุคคลเมื่อประมวลผลในระบบข้อมูลนั้นได้รับการรับรองโดยผู้ดำเนินการระบบนี้ซึ่งประมวลผลข้อมูลส่วนบุคคล (ต่อไปนี้จะเรียกว่าผู้ดำเนินการ) หรือโดยบุคคลที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ดำเนินการบนพื้นฐาน ของข้อตกลงที่ทำกับบุคคลนี้ (ต่อไปนี้จะเรียกว่าผู้มีอำนาจ) ข้อตกลงระหว่างผู้ประกอบการและผู้มีอำนาจจะต้องจัดให้มีภาระหน้าที่ของผู้มีอำนาจในการรับรองความปลอดภัยของข้อมูลส่วนบุคคลเมื่อประมวลผลในระบบข้อมูล
4. การเลือกวิธีการรักษาความปลอดภัยข้อมูลสำหรับระบบป้องกันข้อมูลส่วนบุคคลนั้นดำเนินการโดยผู้ดำเนินการตามการดำเนินการทางกฎหมายด้านกฎระเบียบที่นำมาใช้โดย Federal Security Service ของสหพันธรัฐรัสเซียและ Federal Service สำหรับการควบคุมด้านเทคนิคและการส่งออกตามส่วนที่ 4 ของมาตรา 19 ของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล"
5. ระบบข้อมูลคือระบบข้อมูลที่ประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษ หากประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเชื้อชาติ สัญชาติ มุมมองทางการเมือง ความเชื่อทางศาสนาหรือปรัชญา สถานะสุขภาพ ชีวิตที่ใกล้ชิดของข้อมูลส่วนบุคคล
ระบบสารสนเทศคือระบบข้อมูลที่ประมวลผลข้อมูลส่วนบุคคลแบบชีวมิติ หากประมวลผลข้อมูลที่มีลักษณะเฉพาะทางสรีรวิทยาและชีวภาพของบุคคล บนพื้นฐานของการที่บุคคลหนึ่งสามารถสร้างอัตลักษณ์ของเขาได้ และผู้ปฏิบัติงานใช้เพื่อสร้างอัตลักษณ์ของบุคคล เรื่องของข้อมูลส่วนบุคคล และไม่ประมวลผลข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลประเภทพิเศษ
ระบบข้อมูลคือระบบข้อมูลที่ประมวลผลข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะหากประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่ได้รับจากแหล่งข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะเท่านั้นที่สร้างขึ้นตามมาตรา 8 ของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล"
ระบบสารสนเทศคือระบบข้อมูลที่ประมวลผลข้อมูลส่วนบุคคลประเภทอื่น หากไม่ได้ประมวลผลข้อมูลส่วนบุคคลที่ระบุไว้ในวรรคหนึ่งถึงสามของย่อหน้านี้
ระบบสารสนเทศคือระบบข้อมูลที่ประมวลผลข้อมูลส่วนบุคคลของพนักงานของผู้ปฏิบัติงานหากประมวลผลเฉพาะข้อมูลส่วนบุคคลของพนักงานที่ระบุเท่านั้น ในกรณีอื่น ๆ ระบบสารสนเทศส่วนบุคคลคือระบบข้อมูลที่ประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่ไม่ใช่พนักงานของผู้ปฏิบัติงาน
6. ภัยคุกคามต่อความปลอดภัยของข้อมูลส่วนบุคคลในปัจจุบันถือเป็นชุดของเงื่อนไขและปัจจัยที่ก่อให้เกิดอันตรายในปัจจุบันจากการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต รวมถึงอุบัติเหตุในการเข้าถึงข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูล ซึ่งอาจส่งผลให้เกิดการทำลาย การดัดแปลง การบล็อก คัดลอก จัดเตรียม แจกจ่ายข้อมูลส่วนบุคคล ตลอดจนการกระทำที่ผิดกฎหมายอื่น ๆ
ภัยคุกคามประเภท 1 มีความเกี่ยวข้องกับระบบข้อมูล หากภัยคุกคามที่เกี่ยวข้องกับความสามารถที่ไม่มีเอกสาร (ไม่ได้ประกาศ) ในซอฟต์แวร์ระบบที่ใช้ในระบบสารสนเทศก็มีความเกี่ยวข้องเช่นกัน
ภัยคุกคามประเภทที่ 2 มีความเกี่ยวข้องกับระบบสารสนเทศ หากภัยคุกคามที่เกี่ยวข้องกับการมีความสามารถที่ไม่มีเอกสาร (ไม่ได้ประกาศ) ในแอพพลิเคชั่นซอฟต์แวร์ที่ใช้ในระบบสารสนเทศก็มีความเกี่ยวข้องเช่นกัน
ภัยคุกคามประเภท 3 มีความเกี่ยวข้องกับระบบข้อมูล หากภัยคุกคามที่ไม่เกี่ยวข้องกับการมีความสามารถที่ไม่มีเอกสาร (ไม่ได้ประกาศ) ในระบบและซอฟต์แวร์แอพพลิเคชั่นที่ใช้ในระบบสารสนเทศมีความเกี่ยวข้อง
7. การกำหนดประเภทของภัยคุกคามต่อความปลอดภัยของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับระบบข้อมูลนั้นจัดทำโดยผู้ดำเนินการโดยคำนึงถึงการประเมินอันตรายที่อาจเกิดขึ้นซึ่งดำเนินการตามวรรค 5 ของส่วนที่ 1 ของมาตรา 18_1 ของกฎหมายของรัฐบาลกลาง “ เกี่ยวกับข้อมูลส่วนบุคคล” และตามการดำเนินการทางกฎหมายด้านกฎระเบียบที่นำมาใช้ตามส่วนที่ 5 ของข้อ 19 ของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล"
8. เมื่อประมวลผลข้อมูลส่วนบุคคลในระบบข้อมูล จะมีการสร้างความปลอดภัยของข้อมูลส่วนบุคคล 4 ระดับ
9. ความจำเป็นในการรับรองความปลอดภัยของข้อมูลส่วนบุคคลระดับที่ 1 เมื่อประมวลผลในระบบข้อมูลนั้นถูกสร้างขึ้นหากมีเงื่อนไขอย่างน้อยหนึ่งข้อต่อไปนี้:
ก) ภัยคุกคามประเภท 1 เกี่ยวข้องกับระบบข้อมูล และระบบสารสนเทศจะประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษ หรือข้อมูลส่วนบุคคลไบโอเมตริกซ์ หรือข้อมูลส่วนบุคคลประเภทอื่น ๆ
b) ภัยคุกคามประเภท 2 เกี่ยวข้องกับระบบข้อมูลและระบบข้อมูลจะประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษของข้อมูลส่วนบุคคลมากกว่า 100,000 รายที่ไม่ใช่พนักงานของผู้ปฏิบัติงาน
10. ความจำเป็นในการรับรองความปลอดภัยของข้อมูลส่วนบุคคลระดับที่ 2 เมื่อประมวลผลข้อมูลในระบบข้อมูลนั้นได้รับการจัดตั้งขึ้นหากมีเงื่อนไขอย่างน้อยหนึ่งข้อต่อไปนี้:
ก) ภัยคุกคามประเภท 1 เกี่ยวข้องกับระบบข้อมูล และระบบสารสนเทศจะประมวลผลข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะ
b) ภัยคุกคามประเภทที่ 2 เกี่ยวข้องกับระบบข้อมูลและระบบสารสนเทศจะประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษของพนักงานของผู้ปฏิบัติงานหรือข้อมูลส่วนบุคคลประเภทพิเศษที่มีข้อมูลส่วนบุคคลน้อยกว่า 100,000 รายซึ่งไม่ใช่พนักงานของผู้ปฏิบัติงาน
c) ภัยคุกคามประเภท 2 เกี่ยวข้องกับระบบข้อมูล และระบบสารสนเทศจะประมวลผลข้อมูลส่วนบุคคลแบบไบโอเมตริก
d) ภัยคุกคามประเภท 2 เกี่ยวข้องกับระบบข้อมูลและระบบสารสนเทศจะประมวลผลข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะของเจ้าของข้อมูลส่วนบุคคลมากกว่า 100,000 รายที่ไม่ใช่พนักงานของผู้ปฏิบัติงาน
e) ภัยคุกคามประเภท 2 เกี่ยวข้องกับระบบข้อมูลและระบบข้อมูลจะประมวลผลข้อมูลส่วนบุคคลประเภทอื่น ๆ ของเจ้าของข้อมูลส่วนบุคคลมากกว่า 100,000 รายที่ไม่ใช่พนักงานของผู้ปฏิบัติงาน
f) ภัยคุกคามประเภท 3 เกี่ยวข้องกับระบบข้อมูลและระบบข้อมูลจะประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษของเจ้าของข้อมูลส่วนบุคคลมากกว่า 100,000 รายที่ไม่ใช่พนักงานของผู้ปฏิบัติงาน
11. ความจำเป็นในการรับรองความปลอดภัยของข้อมูลส่วนบุคคลระดับที่ 3 ในระหว่างการประมวลผลในระบบข้อมูลนั้นได้รับการจัดตั้งขึ้นหากมีเงื่อนไขอย่างน้อยหนึ่งข้อต่อไปนี้:
ก) ภัยคุกคามประเภท 2 เกี่ยวข้องกับระบบข้อมูล และระบบสารสนเทศจะประมวลผลข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะของพนักงานของผู้ปฏิบัติงาน หรือข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะที่มีข้อมูลส่วนบุคคลน้อยกว่า 100,000 ราย ซึ่งไม่ใช่พนักงานของผู้ปฏิบัติงาน
b) ภัยคุกคามประเภทที่ 2 เกี่ยวข้องกับระบบข้อมูลและระบบสารสนเทศจะประมวลผลข้อมูลส่วนบุคคลประเภทอื่น ๆ ของพนักงานของผู้ปฏิบัติงานหรือข้อมูลส่วนบุคคลประเภทอื่น ๆ ที่มีข้อมูลส่วนบุคคลน้อยกว่า 100,000 รายซึ่งไม่ใช่พนักงานของผู้ปฏิบัติงาน
c) ภัยคุกคามประเภท 3 เกี่ยวข้องกับระบบข้อมูลและระบบสารสนเทศจะประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษของพนักงานของผู้ปฏิบัติงานหรือข้อมูลส่วนบุคคลประเภทพิเศษที่มีข้อมูลส่วนบุคคลน้อยกว่า 100,000 รายซึ่งไม่ใช่พนักงานของผู้ปฏิบัติงาน
d) ภัยคุกคามประเภท 3 เกี่ยวข้องกับระบบข้อมูลและระบบข้อมูลจะประมวลผลข้อมูลส่วนบุคคลแบบไบโอเมตริก
e) ภัยคุกคามประเภท 3 เกี่ยวข้องกับระบบข้อมูลและระบบข้อมูลจะประมวลผลข้อมูลส่วนบุคคลประเภทอื่น ๆ ของเจ้าของข้อมูลส่วนบุคคลมากกว่า 100,000 รายที่ไม่ใช่พนักงานของผู้ปฏิบัติงาน
12. ความจำเป็นในการรับรองความปลอดภัยของข้อมูลส่วนบุคคลระดับที่ 4 เมื่อประมวลผลในระบบข้อมูลนั้นได้รับการจัดตั้งขึ้นหากมีเงื่อนไขอย่างน้อยหนึ่งข้อต่อไปนี้:
ก) ภัยคุกคามประเภท 3 เกี่ยวข้องกับระบบข้อมูล และระบบสารสนเทศจะประมวลผลข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะ
b) ภัยคุกคามประเภท 3 เกี่ยวข้องกับระบบข้อมูล และระบบสารสนเทศจะประมวลผลข้อมูลส่วนบุคคลประเภทอื่น ๆ ของพนักงานของผู้ปฏิบัติงาน หรือข้อมูลส่วนบุคคลประเภทอื่น ๆ ที่มีข้อมูลส่วนบุคคลน้อยกว่า 100,000 ราย ซึ่งไม่ใช่พนักงานของผู้ปฏิบัติงาน
13. เพื่อให้มั่นใจในความปลอดภัยของข้อมูลส่วนบุคคลระดับที่ 4 เมื่อประมวลผลในระบบข้อมูล จะต้องปฏิบัติตามข้อกำหนดต่อไปนี้:
ก) จัดระบบการรักษาความปลอดภัยสำหรับสถานที่ที่ระบบข้อมูลตั้งอยู่ ป้องกันความเป็นไปได้ของการเข้ามาโดยไม่มีการควบคุมหรืออยู่ในสถานที่เหล่านี้โดยบุคคลที่ไม่สามารถเข้าถึงสถานที่เหล่านี้
b) สร้างความมั่นใจในความปลอดภัยของผู้ให้บริการข้อมูลส่วนบุคคล
c) การอนุมัติโดยหัวหน้าผู้ปฏิบัติงานของเอกสารที่กำหนดรายชื่อบุคคลที่จำเป็นต้องเข้าถึงข้อมูลส่วนบุคคลที่ประมวลผลในระบบข้อมูลเพื่อการปฏิบัติหน้าที่อย่างเป็นทางการ (แรงงาน)
d) การใช้เครื่องมือรักษาความปลอดภัยข้อมูลที่ผ่านขั้นตอนการประเมินการปฏิบัติตามข้อกำหนดของกฎหมายของสหพันธรัฐรัสเซียในด้านความปลอดภัยของข้อมูล ในกรณีที่จำเป็นต้องใช้วิธีการดังกล่าวเพื่อต่อต้านภัยคุกคามในปัจจุบัน
14. เพื่อให้มั่นใจถึงความปลอดภัยของข้อมูลส่วนบุคคลระดับที่ 3 เมื่อประมวลผลในระบบข้อมูล นอกเหนือจากการปฏิบัติตามข้อกำหนดที่ระบุไว้ในวรรค 13 ของเอกสารนี้แล้ว จำเป็นต้องแต่งตั้งเจ้าหน้าที่ (พนักงาน) ที่รับผิดชอบในการรับรองความปลอดภัย ของข้อมูลส่วนบุคคลในระบบสารสนเทศ
15. เพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลมีความปลอดภัยระดับที่ 2 ในระหว่างการประมวลผลในระบบข้อมูล นอกเหนือจากการปฏิบัติตามข้อกำหนดที่ระบุไว้ในวรรค 14 ของเอกสารนี้แล้ว จำเป็นต้องเข้าถึงเนื้อหาของบันทึกข้อความอิเล็กทรอนิกส์เท่านั้น สำหรับเจ้าหน้าที่ (พนักงาน) ของผู้ปฏิบัติงานหรือผู้มีอำนาจซึ่งจำเป็นต้องมีข้อมูลที่มีอยู่ในวารสารที่ระบุเพื่อปฏิบัติหน้าที่ราชการ (แรงงาน)
16. เพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลมีความปลอดภัยระดับที่ 1 เมื่อประมวลผลในระบบข้อมูล นอกเหนือจากข้อกำหนดที่ระบุไว้ในวรรค 15 ของเอกสารนี้ ต้องปฏิบัติตามข้อกำหนดต่อไปนี้:
ก) การลงทะเบียนอัตโนมัติในบันทึกความปลอดภัยทางอิเล็กทรอนิกส์ของการเปลี่ยนแปลงอำนาจของพนักงานของผู้ปฏิบัติงานในการเข้าถึงข้อมูลส่วนบุคคลที่มีอยู่ในระบบข้อมูล
b) การสร้างหน่วยโครงสร้างที่รับผิดชอบในการรับรองความปลอดภัยของข้อมูลส่วนบุคคลในระบบข้อมูลหรือมอบหมายหน้าที่เพื่อให้มั่นใจในความปลอดภัยดังกล่าวให้กับหนึ่งในหน่วยโครงสร้าง
17. การตรวจสอบการปฏิบัติตามข้อกำหนดเหล่านี้จัดทำและดำเนินการโดยผู้ปฏิบัติงาน (ผู้มีอำนาจ) โดยอิสระและ (หรือ) โดยการมีส่วนร่วมของนิติบุคคลและผู้ประกอบการแต่ละรายตามสัญญาซึ่งได้รับอนุญาตให้ดำเนินกิจกรรมเพื่อการคุ้มครองทางเทคนิคของข้อมูลที่เป็นความลับ ข้อมูล. การควบคุมที่ระบุจะดำเนินการอย่างน้อยหนึ่งครั้งทุกๆ 3 ปีภายในระยะเวลาที่กำหนดโดยผู้ปฏิบัติงาน (ผู้มีอำนาจ)
ข้อความเอกสารอิเล็กทรอนิกส์
จัดทำโดย Kodeks JSC และตรวจสอบเทียบกับ
ตามมาตรา 19 ของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล" รัฐบาลสหพันธรัฐรัสเซียตัดสินใจ:
1. อนุมัติข้อกำหนดที่แนบมาสำหรับการปกป้องข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลส่วนบุคคล
2. ยอมรับว่าพระราชกฤษฎีกาของรัฐบาลสหพันธรัฐรัสเซียเมื่อวันที่ 17 พฤศจิกายน 2550 N 781“ ในการอนุมัติกฎระเบียบว่าด้วยการรับรองความปลอดภัยของข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลส่วนบุคคล” (กฎหมายที่รวบรวมไว้ของสหพันธรัฐรัสเซีย) , 2550, N 48, ข้อ 6001)
ประธานรัฐบาล
สหพันธรัฐรัสเซีย
ดี.เมดเวเดฟ
ที่ได้รับการอนุมัติ
มติของรัฐบาล
สหพันธรัฐรัสเซีย
ลงวันที่ 1 พฤศจิกายน 2555 N 1119
1. เอกสารนี้กำหนดข้อกำหนดสำหรับการปกป้องข้อมูลส่วนบุคคลเมื่อประมวลผลในระบบข้อมูลข้อมูลส่วนบุคคล (ต่อไปนี้จะเรียกว่าระบบข้อมูล) และระดับความปลอดภัยของข้อมูลดังกล่าว
2. มั่นใจในความปลอดภัยของข้อมูลส่วนบุคคลเมื่อประมวลผลในระบบข้อมูลโดยใช้ระบบป้องกันข้อมูลส่วนบุคคลที่ต่อต้านภัยคุกคามปัจจุบันที่ระบุตามส่วนที่ 5
ระบบปกป้องข้อมูลส่วนบุคคลประกอบด้วยมาตรการขององค์กรและ (หรือ) ทางเทคนิคที่กำหนดโดยคำนึงถึงภัยคุกคามในปัจจุบันต่อความปลอดภัยของข้อมูลส่วนบุคคลและเทคโนโลยีสารสนเทศที่ใช้ในระบบสารสนเทศ
3. ความปลอดภัยของข้อมูลส่วนบุคคลเมื่อประมวลผลในระบบข้อมูลนั้นได้รับการรับรองโดยผู้ดำเนินการระบบนี้ซึ่งประมวลผลข้อมูลส่วนบุคคล (ต่อไปนี้จะเรียกว่าผู้ดำเนินการ) หรือโดยบุคคลที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ดำเนินการบนพื้นฐาน ของข้อตกลงที่ทำกับบุคคลนี้ (ต่อไปนี้จะเรียกว่าผู้มีอำนาจ) ข้อตกลงระหว่างผู้ประกอบการและผู้มีอำนาจจะต้องจัดให้มีภาระหน้าที่ของผู้มีอำนาจในการรับรองความปลอดภัยของข้อมูลส่วนบุคคลเมื่อประมวลผลในระบบข้อมูล
4. การเลือกวิธีการรักษาความปลอดภัยข้อมูลสำหรับระบบป้องกันข้อมูลส่วนบุคคลนั้นดำเนินการโดยผู้ดำเนินการตามการดำเนินการทางกฎหมายด้านกฎระเบียบที่นำมาใช้โดย Federal Security Service ของสหพันธรัฐรัสเซียและ Federal Service สำหรับการควบคุมด้านเทคนิคและการส่งออกตามส่วนที่ 4 ของมาตรา 19 ของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล"
5. ระบบข้อมูลคือระบบข้อมูลที่ประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษ หากประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเชื้อชาติ สัญชาติ มุมมองทางการเมือง ความเชื่อทางศาสนาหรือปรัชญา สถานะสุขภาพ ชีวิตที่ใกล้ชิดของข้อมูลส่วนบุคคล
ระบบสารสนเทศคือระบบข้อมูลที่ประมวลผลข้อมูลส่วนบุคคลแบบชีวมิติ หากประมวลผลข้อมูลที่มีลักษณะเฉพาะทางสรีรวิทยาและชีวภาพของบุคคล บนพื้นฐานของการที่บุคคลหนึ่งสามารถสร้างอัตลักษณ์ของเขาได้ และผู้ปฏิบัติงานใช้เพื่อสร้างอัตลักษณ์ของบุคคล เรื่องของข้อมูลส่วนบุคคล และไม่ประมวลผลข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลประเภทพิเศษ
ระบบข้อมูลคือระบบข้อมูลที่ประมวลผลข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะหากประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่ได้รับจากแหล่งข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะเท่านั้นที่สร้างขึ้นตามมาตรา 8 ของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล"
ระบบสารสนเทศคือระบบข้อมูลที่ประมวลผลข้อมูลส่วนบุคคลประเภทอื่น ๆ หากไม่ได้ประมวลผลข้อมูลส่วนบุคคลที่ระบุไว้ในวรรคหนึ่งถึงสามของย่อหน้านี้
ระบบสารสนเทศคือระบบข้อมูลที่ประมวลผลข้อมูลส่วนบุคคลของพนักงานของผู้ปฏิบัติงานหากประมวลผลเฉพาะข้อมูลส่วนบุคคลของพนักงานที่ระบุเท่านั้น ในกรณีอื่น ๆ ระบบสารสนเทศส่วนบุคคลคือระบบข้อมูลที่ประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่ไม่ใช่พนักงานของผู้ปฏิบัติงาน
6. ภัยคุกคามต่อความปลอดภัยของข้อมูลส่วนบุคคลในปัจจุบันถือเป็นชุดของเงื่อนไขและปัจจัยที่ก่อให้เกิดอันตรายในปัจจุบันจากการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต รวมถึงอุบัติเหตุในการเข้าถึงข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูล ซึ่งอาจส่งผลให้เกิดการทำลาย การดัดแปลง การบล็อก คัดลอก จัดเตรียม แจกจ่ายข้อมูลส่วนบุคคล ตลอดจนการกระทำที่ผิดกฎหมายอื่น ๆ
ภัยคุกคามประเภท 1 มีความเกี่ยวข้องกับระบบข้อมูล หากภัยคุกคามที่เกี่ยวข้องกับความสามารถที่ไม่มีเอกสาร (ไม่ได้ประกาศ) ในซอฟต์แวร์ระบบที่ใช้ในระบบสารสนเทศก็มีความเกี่ยวข้องเช่นกัน
ภัยคุกคามประเภทที่ 2 มีความเกี่ยวข้องกับระบบสารสนเทศ หากภัยคุกคามที่เกี่ยวข้องกับการมีความสามารถที่ไม่มีเอกสาร (ไม่ได้ประกาศ) ในแอพพลิเคชั่นซอฟต์แวร์ที่ใช้ในระบบสารสนเทศก็มีความเกี่ยวข้องเช่นกัน
ภัยคุกคามประเภท 3 มีความเกี่ยวข้องกับระบบข้อมูล หากภัยคุกคามที่ไม่เกี่ยวข้องกับการมีความสามารถที่ไม่มีเอกสาร (ไม่ได้ประกาศ) ในระบบและซอฟต์แวร์แอพพลิเคชั่นที่ใช้ในระบบสารสนเทศมีความเกี่ยวข้อง
7. การกำหนดประเภทของภัยคุกคามต่อความปลอดภัยของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับระบบข้อมูลนั้นจัดทำโดยผู้ดำเนินการโดยคำนึงถึงการประเมินอันตรายที่อาจเกิดขึ้นซึ่งดำเนินการตามวรรค 5 ของส่วนที่ 1 ของมาตรา 181 ของกฎหมายของรัฐบาลกลาง " เกี่ยวกับข้อมูลส่วนบุคคล" และตามการดำเนินการทางกฎหมายด้านกฎระเบียบที่นำมาใช้ตามส่วนที่ 5 ของข้อ 19 ของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล"
8. เมื่อประมวลผลข้อมูลส่วนบุคคลในระบบข้อมูล จะมีการสร้างความปลอดภัยของข้อมูลส่วนบุคคล 4 ระดับ
9. ความจำเป็นในการรับรองความปลอดภัยของข้อมูลส่วนบุคคลระดับที่ 1 เมื่อประมวลผลในระบบข้อมูลนั้นถูกสร้างขึ้นหากมีเงื่อนไขอย่างน้อยหนึ่งข้อต่อไปนี้:
A) ภัยคุกคามประเภท 1 เกี่ยวข้องกับระบบข้อมูล และระบบสารสนเทศจะประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษ หรือข้อมูลส่วนบุคคลไบโอเมตริกซ์ หรือข้อมูลส่วนบุคคลประเภทอื่น ๆ
b) ภัยคุกคามประเภท 2 เกี่ยวข้องกับระบบข้อมูลและระบบข้อมูลจะประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษของข้อมูลส่วนบุคคลมากกว่า 100,000 รายที่ไม่ใช่พนักงานของผู้ปฏิบัติงาน
10. ความจำเป็นในการรับรองความปลอดภัยของข้อมูลส่วนบุคคลระดับที่ 2 เมื่อประมวลผลข้อมูลในระบบข้อมูลนั้นได้รับการจัดตั้งขึ้นหากมีเงื่อนไขอย่างน้อยหนึ่งข้อต่อไปนี้:
A) ภัยคุกคามประเภท 1 เกี่ยวข้องกับระบบข้อมูล และระบบสารสนเทศจะประมวลผลข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะ
b) ภัยคุกคามประเภทที่ 2 เกี่ยวข้องกับระบบข้อมูลและระบบสารสนเทศจะประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษของพนักงานของผู้ปฏิบัติงานหรือข้อมูลส่วนบุคคลประเภทพิเศษที่มีข้อมูลส่วนบุคคลน้อยกว่า 100,000 รายซึ่งไม่ใช่พนักงานของผู้ปฏิบัติงาน
C) ภัยคุกคามประเภท 2 เกี่ยวข้องกับระบบข้อมูล และระบบสารสนเทศจะประมวลผลข้อมูลส่วนบุคคลแบบไบโอเมตริก
D) ภัยคุกคามประเภท 2 เกี่ยวข้องกับระบบข้อมูลและระบบข้อมูลจะประมวลผลข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะของเจ้าของข้อมูลส่วนบุคคลมากกว่า 100,000 รายที่ไม่ใช่พนักงานของผู้ปฏิบัติงาน
e) ภัยคุกคามประเภท 2 เกี่ยวข้องกับระบบข้อมูลและระบบข้อมูลจะประมวลผลข้อมูลส่วนบุคคลประเภทอื่น ๆ ของเจ้าของข้อมูลส่วนบุคคลมากกว่า 100,000 รายที่ไม่ใช่พนักงานของผู้ปฏิบัติงาน
E) ภัยคุกคามประเภท 3 เกี่ยวข้องกับระบบข้อมูล และระบบสารสนเทศจะประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษของเจ้าของข้อมูลส่วนบุคคลมากกว่า 100,000 รายที่ไม่ใช่พนักงานของผู้ปฏิบัติงาน
11. ความจำเป็นในการรับรองความปลอดภัยของข้อมูลส่วนบุคคลระดับที่ 3 ในระหว่างการประมวลผลในระบบข้อมูลนั้นได้รับการจัดตั้งขึ้นหากมีเงื่อนไขอย่างน้อยหนึ่งข้อต่อไปนี้:
ก) ภัยคุกคามประเภท 2 เกี่ยวข้องกับระบบข้อมูล และระบบสารสนเทศจะประมวลผลข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะของพนักงานของผู้ปฏิบัติงาน หรือข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะที่มีข้อมูลส่วนบุคคลน้อยกว่า 100,000 ราย ซึ่งไม่ใช่พนักงานของผู้ปฏิบัติงาน
B) ภัยคุกคามประเภทที่ 2 เกี่ยวข้องกับระบบข้อมูลและระบบสารสนเทศจะประมวลผลข้อมูลส่วนบุคคลประเภทอื่น ๆ ของพนักงานของผู้ปฏิบัติงานหรือข้อมูลส่วนบุคคลประเภทอื่น ๆ ที่มีข้อมูลส่วนบุคคลน้อยกว่า 100,000 รายซึ่งไม่ใช่พนักงานของผู้ปฏิบัติงาน
c) ภัยคุกคามประเภท 3 เกี่ยวข้องกับระบบข้อมูลและระบบสารสนเทศจะประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษของพนักงานของผู้ปฏิบัติงานหรือข้อมูลส่วนบุคคลประเภทพิเศษที่มีข้อมูลส่วนบุคคลน้อยกว่า 100,000 รายซึ่งไม่ใช่พนักงานของผู้ปฏิบัติงาน
D) ภัยคุกคามประเภท 3 เกี่ยวข้องกับระบบข้อมูล และระบบสารสนเทศจะประมวลผลข้อมูลส่วนบุคคลแบบไบโอเมตริก
E) ภัยคุกคามประเภท 3 เกี่ยวข้องกับระบบข้อมูล และระบบสารสนเทศจะประมวลผลข้อมูลส่วนบุคคลประเภทอื่น ๆ ของเจ้าของข้อมูลส่วนบุคคลมากกว่า 100,000 รายที่ไม่ใช่พนักงานของผู้ปฏิบัติงาน
12. ความจำเป็นในการรับรองความปลอดภัยของข้อมูลส่วนบุคคลระดับที่ 4 เมื่อประมวลผลในระบบข้อมูลนั้นได้รับการจัดตั้งขึ้นหากมีเงื่อนไขอย่างน้อยหนึ่งข้อต่อไปนี้:
ก) ภัยคุกคามประเภท 3 เกี่ยวข้องกับระบบข้อมูล และระบบสารสนเทศจะประมวลผลข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะ
B) ภัยคุกคามประเภทที่ 3 เกี่ยวข้องกับระบบข้อมูล และระบบสารสนเทศจะประมวลผลข้อมูลส่วนบุคคลประเภทอื่น ๆ ของพนักงานของผู้ปฏิบัติงาน หรือข้อมูลส่วนบุคคลประเภทอื่น ๆ ที่มีข้อมูลส่วนบุคคลน้อยกว่า 100,000 ราย ซึ่งไม่ใช่พนักงานของผู้ปฏิบัติงาน
13. เพื่อให้มั่นใจในความปลอดภัยของข้อมูลส่วนบุคคลระดับที่ 4 เมื่อประมวลผลในระบบข้อมูล จะต้องปฏิบัติตามข้อกำหนดต่อไปนี้:
A) จัดทำระบบการรักษาความปลอดภัยสำหรับสถานที่ที่ระบบข้อมูลตั้งอยู่ ป้องกันความเป็นไปได้ของการเข้ามาโดยไม่มีการควบคุมหรืออยู่ในสถานที่เหล่านี้โดยบุคคลที่ไม่สามารถเข้าถึงสถานที่เหล่านี้
b) สร้างความมั่นใจในความปลอดภัยของผู้ให้บริการข้อมูลส่วนบุคคล
c) การอนุมัติโดยหัวหน้าผู้ปฏิบัติงานของเอกสารที่กำหนดรายชื่อบุคคลที่จำเป็นต้องเข้าถึงข้อมูลส่วนบุคคลที่ประมวลผลในระบบข้อมูลเพื่อการปฏิบัติหน้าที่อย่างเป็นทางการ (แรงงาน)
d) การใช้เครื่องมือรักษาความปลอดภัยข้อมูลที่ผ่านขั้นตอนการประเมินการปฏิบัติตามข้อกำหนดของกฎหมายของสหพันธรัฐรัสเซียในด้านความปลอดภัยของข้อมูล ในกรณีที่จำเป็นต้องใช้วิธีการดังกล่าวเพื่อต่อต้านภัยคุกคามในปัจจุบัน
14. เพื่อให้มั่นใจถึงความปลอดภัยของข้อมูลส่วนบุคคลระดับที่ 3 เมื่อประมวลผลในระบบข้อมูล นอกเหนือจากการปฏิบัติตามข้อกำหนดที่ระบุไว้ในวรรค 13 ของเอกสารนี้แล้ว จำเป็นต้องแต่งตั้งเจ้าหน้าที่ (พนักงาน) ที่รับผิดชอบในการรับรองความปลอดภัย ของข้อมูลส่วนบุคคลในระบบสารสนเทศ
15. เพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลมีความปลอดภัยระดับที่ 2 ในระหว่างการประมวลผลในระบบข้อมูล นอกเหนือจากการปฏิบัติตามข้อกำหนดที่ระบุไว้ในวรรค 14 ของเอกสารนี้แล้ว จำเป็นต้องเข้าถึงเนื้อหาของบันทึกข้อความอิเล็กทรอนิกส์เท่านั้น สำหรับเจ้าหน้าที่ (พนักงาน) ของผู้ปฏิบัติงานหรือผู้มีอำนาจซึ่งจำเป็นต้องมีข้อมูลที่มีอยู่ในวารสารที่ระบุเพื่อปฏิบัติหน้าที่ราชการ (แรงงาน)
16. เพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลมีความปลอดภัยระดับที่ 1 เมื่อประมวลผลในระบบข้อมูล นอกเหนือจากข้อกำหนดที่ระบุไว้ในวรรค 15 ของเอกสารนี้ ต้องปฏิบัติตามข้อกำหนดต่อไปนี้:
A) การลงทะเบียนอัตโนมัติในบันทึกความปลอดภัยทางอิเล็กทรอนิกส์ของการเปลี่ยนแปลงอำนาจของพนักงานของผู้ปฏิบัติงานในการเข้าถึงข้อมูลส่วนบุคคลที่มีอยู่ในระบบข้อมูล
b) การสร้างหน่วยโครงสร้างที่รับผิดชอบในการรับรองความปลอดภัยของข้อมูลส่วนบุคคลในระบบข้อมูลหรือมอบหมายหน้าที่เพื่อให้มั่นใจในความปลอดภัยดังกล่าวให้กับหนึ่งในหน่วยโครงสร้าง
17. การตรวจสอบการปฏิบัติตามข้อกำหนดเหล่านี้จัดทำและดำเนินการโดยผู้ปฏิบัติงาน (ผู้มีอำนาจ) โดยอิสระและ (หรือ) โดยการมีส่วนร่วมของนิติบุคคลและผู้ประกอบการแต่ละรายตามสัญญาซึ่งได้รับอนุญาตให้ดำเนินกิจกรรมเพื่อการคุ้มครองทางเทคนิคของข้อมูลที่เป็นความลับ ข้อมูล. การควบคุมที่ระบุจะดำเนินการอย่างน้อยหนึ่งครั้งทุกๆ 3 ปีภายในระยะเวลาที่กำหนดโดยผู้ปฏิบัติงาน (ผู้มีอำนาจ)
ตามมาตรา 19 ของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล" รัฐบาลสหพันธรัฐรัสเซียตัดสินใจ:
1. อนุมัติข้อกำหนดที่แนบมาสำหรับการปกป้องข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลส่วนบุคคล
2. ยอมรับว่าพระราชกฤษฎีกาของรัฐบาลสหพันธรัฐรัสเซียเมื่อวันที่ 17 พฤศจิกายน 2550 ฉบับที่ 781“ ในการอนุมัติกฎระเบียบว่าด้วยการรับรองความปลอดภัยของข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลส่วนบุคคล” (กฎหมายที่รวบรวมของรัสเซีย สหพันธ์, 2550, ฉบับที่ 48, ข้อ 6001)
ประธานรัฐบาล
สหพันธรัฐรัสเซีย
ด. เมดเวเดฟ
ข้อกำหนดสำหรับการปกป้องข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลข้อมูลส่วนบุคคล (อนุมัติโดยพระราชกฤษฎีกาของรัฐบาลสหพันธรัฐรัสเซียลงวันที่ 1 พฤศจิกายน 2555 ฉบับที่ 1119)
1. เอกสารนี้กำหนดข้อกำหนดสำหรับการปกป้องข้อมูลส่วนบุคคลเมื่อประมวลผลในระบบข้อมูลข้อมูลส่วนบุคคล (ต่อไปนี้จะเรียกว่าระบบข้อมูล) และระดับความปลอดภัยของข้อมูลดังกล่าว
2. ความปลอดภัยของข้อมูลส่วนบุคคลเมื่อประมวลผลในระบบข้อมูลนั้นมั่นใจได้โดยใช้ระบบป้องกันข้อมูลส่วนบุคคลที่ต่อต้านภัยคุกคามในปัจจุบันที่ระบุตามส่วนที่ 5 ของมาตรา 19 ของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล"
ระบบปกป้องข้อมูลส่วนบุคคลประกอบด้วยมาตรการขององค์กรและ (หรือ) ทางเทคนิคที่กำหนดโดยคำนึงถึงภัยคุกคามในปัจจุบันต่อความปลอดภัยของข้อมูลส่วนบุคคลและเทคโนโลยีสารสนเทศที่ใช้ในระบบสารสนเทศ
3. ความปลอดภัยของข้อมูลส่วนบุคคลเมื่อประมวลผลในระบบข้อมูลนั้นได้รับการรับรองโดยผู้ดำเนินการระบบนี้ซึ่งประมวลผลข้อมูลส่วนบุคคล (ต่อไปนี้จะเรียกว่าผู้ดำเนินการ) หรือโดยบุคคลที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ดำเนินการบนพื้นฐาน ของข้อตกลงที่ทำกับบุคคลนี้ (ต่อไปนี้จะเรียกว่าผู้มีอำนาจ) ข้อตกลงระหว่างผู้ประกอบการและผู้มีอำนาจจะต้องจัดให้มีภาระหน้าที่ของผู้มีอำนาจในการรับรองความปลอดภัยของข้อมูลส่วนบุคคลเมื่อประมวลผลในระบบข้อมูล
4. การเลือกวิธีการรักษาความปลอดภัยข้อมูลสำหรับระบบป้องกันข้อมูลส่วนบุคคลนั้นดำเนินการโดยผู้ดำเนินการตามการดำเนินการทางกฎหมายด้านกฎระเบียบที่นำมาใช้โดย Federal Security Service ของสหพันธรัฐรัสเซียและ Federal Service สำหรับการควบคุมด้านเทคนิคและการส่งออกตามส่วนที่ 4 ของมาตรา 19 ของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล"
5. ระบบข้อมูลคือระบบข้อมูลที่ประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษ หากประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเชื้อชาติ สัญชาติ มุมมองทางการเมือง ความเชื่อทางศาสนาหรือปรัชญา สถานะสุขภาพ ชีวิตที่ใกล้ชิดของข้อมูลส่วนบุคคล
ระบบสารสนเทศคือระบบข้อมูลที่ประมวลผลข้อมูลส่วนบุคคลแบบชีวมิติ หากประมวลผลข้อมูลที่มีลักษณะเฉพาะทางสรีรวิทยาและชีวภาพของบุคคล บนพื้นฐานของการที่บุคคลหนึ่งสามารถสร้างอัตลักษณ์ของเขาได้ และผู้ปฏิบัติงานใช้เพื่อสร้างอัตลักษณ์ของบุคคล เรื่องของข้อมูลส่วนบุคคล และไม่ประมวลผลข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลประเภทพิเศษ
ระบบข้อมูลคือระบบข้อมูลที่ประมวลผลข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะหากประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่ได้รับจากแหล่งข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะเท่านั้นที่สร้างขึ้นตามมาตรา 8 ของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล"
มือที่เอื้อมมือคว้าคีย์บอร์ดมาเป็นเวลานานซึ่งเกี่ยวข้องกับผลงานชิ้นเอกใหม่ของกฎระเบียบได้ถูกทำลายลงแล้ว ฉันไม่สามารถควบคุมตัวเองและอดทนได้อีกต่อไป ฉันจะต้องเขียน ยิ่งไปกว่านั้น มติหมายเลข 1119 เมื่อวันที่ 1 พฤศจิกายน 2555 “เกี่ยวกับการอนุมัติข้อกำหนดสำหรับการปกป้องข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลส่วนบุคคล” ซึ่งยกเลิกมติหมายเลข 781 เมื่อวันที่ 17 พฤศจิกายน 2550 มีผลบังคับใช้ เจ็ดวันหมดอายุนับจากวันที่ประกาศ
พูดตามตรง ปฏิกิริยาของเพื่อนร่วมงานจากชุมชนวิชาชีพต่อมติใหม่ซึ่งจริงๆ แล้วกำหนดระบบสำหรับการสร้างความปลอดภัยทางเทคนิคสำหรับการประมวลผลข้อมูลส่วนบุคคลในระบบข้อมูล ไม่เพียงทำให้ฉันประหลาดใจเท่านั้น แต่ยังทำให้ฉันงงอีกด้วย บางคนชอบเพราะในความเห็นของพวกเขาไม่มีอะไรใหม่โดยพื้นฐานและไม่ได้ขันน็อตให้แน่นอีกต่อไปและจำนวนข้อกำหนดเมื่อเทียบกับ PP-781 ก็ลดลงด้วยซ้ำ เพื่อนร่วมงานคนอื่นๆ วิพากษ์วิจารณ์เอกสาร แต่โดยทั่วไปแล้ว ส่วนใหญ่เป็นเพราะขาดข้อมูลเฉพาะเจาะจง
ฉันมีความคิดเห็นที่แตกต่างออกไปเล็กน้อยเกี่ยวกับข้อกำหนด โดยฉันได้แสดงไว้สั้นๆ ในการสัมมนาผ่านเว็บวันนี้ ซึ่งจัดขึ้นร่วมกับบริษัท Security Code และจำนวนคำถามที่ได้รับในเรื่องนี้ทำให้ฉันต้องเขียนโพสต์นี้ในที่สุด
เพื่อจัดระบบวิสัยทัศน์ของฉัน ฉันจึงเตรียมชั้นวางไว้หลายชั้นเพื่อจัดระเบียบการประเมินเอกสาร ขออภัย จะมีจดหมายจำนวนมาก มาก. ฉันเลือกคำอย่างระมัดระวัง ดังนั้นหมวดหมู่การอ่านอาจเป็น 0+
ชั้นวางที่หนึ่ง. การปฏิบัติตามกฎหมาย การเปิดตัว PP-1119 เป็นข้อกำหนดโดยตรงของวรรค 1 และ 2 ของส่วนที่ 3 ของบทความ 19 ของ 152-FZ ฉบับใหม่ "เกี่ยวกับข้อมูลส่วนบุคคล" นี่คือสิ่งที่ช่วยให้ฉันประเมินสถานการณ์บนชั้นวางนี้ได้อย่างฉับไว มติของรัฐบาลไม่ปฏิบัติตามกฎหมาย กฎหมายกำหนดว่าควรกำหนดระดับความปลอดภัยและข้อกำหนดสำหรับพวกเขาโดยขึ้นอยู่กับปัจจัยห้าประการ:
· อันตรายที่อาจเกิดขึ้นกับเรื่องของข้อมูลส่วนบุคคล
· ปริมาณข้อมูลส่วนบุคคลที่ประมวลผล
· เนื้อหาของข้อมูลส่วนบุคคลที่กำลังประมวลผล
· ประเภทของกิจกรรมในระหว่างที่ข้อมูลส่วนบุคคลถูกประมวลผล
· ความเกี่ยวข้องของภัยคุกคามต่อความปลอดภัยของข้อมูลส่วนบุคคล
ประเภทของกิจกรรม และที่สำคัญที่สุดคือเป็นอันตรายต่อหัวข้อ โดยทั่วไปจะขาดคุณสมบัติตามคุณสมบัติในเอกสารที่นำมาใช้ ในข้อกำหนดวรรค 7 ผู้ปฏิบัติงาน "ไม่มีมนุษยธรรมเลย" ฉันไม่สามารถพูดเป็นอย่างอื่นได้ ขอเสนอให้กำหนดประเภทของภัยคุกคามต่อความปลอดภัยของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับระบบข้อมูลโดยอิสระโดยคำนึงถึง การประเมินอันตรายที่อาจเกิดขึ้น ตามคำแนะนำของเอกสาร FSB และ FSTEC ที่ไม่มีอยู่ในปัจจุบัน เหล่านั้น. หัวหน้าโรงเรียนอนุบาลหรือหัวหน้าแผนกระบบอัตโนมัติของโรงงานรีดท่อ (เนื่องจากไม่มีใครจัดการกับปัญหาดังกล่าวในองค์กรดังกล่าว) จะประเมินอันตรายจากการเปิดเผยข้อมูลของเจ้าหน้าที่ นักเรียน ผู้เยี่ยมชม และ ญาติของพวกเขา ในกรณีที่ไม่มีการพัฒนาระเบียบวิธีการเกี่ยวกับปัญหานี้ในประเทศอย่างสมบูรณ์ ใครก็ตามที่ต้องเผชิญกับปัญหาดังกล่าวอย่างน้อยก็รู้ดีว่าปัญหาในการกำหนดปริมาณความเสียหายในกรณีการละเมิดสิทธิพลเมืองถือเป็นหนึ่งในปัญหาที่ยากที่สุดในนิติศาสตร์และการดำเนินคดีทางกฎหมาย แต่เห็นได้ชัดว่าเมื่อนึกถึงหลักปฏิบัติแบบคลาสสิกเกี่ยวกับความสามารถของพ่อครัวทุกคน ผู้เขียนจึงตัดสินใจว่าปัญหาสามารถแก้ไขได้ด้วยการระดมทุนจากมวลชน ผู้ดำเนินการตาม Roskomnadzor มีประมาณเจ็ดล้านคน ดูสิว่าพวกเขาประดิษฐ์อะไร ตัวอย่างคลาสสิกของการเปลี่ยนปัญหาจากหัวหนึ่งไปอีกหัวหนึ่ง คุณรู้ไหมว่าหัวไหน
ประเภทของกิจกรรมก็ยุ่งยากเช่นกัน โดยคำนึงถึงว่ากฎหมายฉบับใหม่ไม่ได้ปล่อยให้มีที่ว่างสำหรับมาตรฐานอุตสาหกรรมในการทำงานกับข้อมูลส่วนบุคคล จะต้องคำนึงถึงประเภทเดียวกันนี้ด้วยวิธีเดียวเท่านั้น - โดยการประดิษฐ์ภัยคุกคามความปลอดภัยเพิ่มเติมให้กับผู้ที่คิดค้นโดย FSB และ FSTEC ซึ่งในความเป็นจริงสะกดไว้ในส่วนที่ 5 และ 6 ของมาตรา 19 เดียวกันของกฎหมาย จุด เพื่อระบุภัยคุกคามใหม่ๆ เท่านั้น และไม่ได้จัดให้มีการผ่อนคลายใดๆ ที่คล้ายคลึงกับที่กระทรวงสาธารณสุขเคยตกลงกับ FSTEC ในเอกสารระเบียบวิธี
ชั้นวางที่สอง ระเบียบวิธี ชั้นวาง…แขวนไม่เรียบร้อย เนื่องจากระเบียบวิธีมีปัญหาที่สำคัญที่สุดและสำคัญที่สุดของเอกสาร การประกาศภัยคุกคามหลักที่นำไปสู่การสร้างระดับความปลอดภัยที่สูงขึ้นอย่างหลีกเลี่ยงไม่ได้ (ดูตารางที่ 1) คือความสามารถที่ไม่ได้ประกาศ (ไม่มีเอกสาร) ในระบบและแอพพลิเคชั่นซอฟต์แวร์ ข้อกำหนดไม่ได้เสนอวิธีการหรือวิธีการใดๆ ในการกำจัดภัยคุกคามเหล่านั้นเลย สำหรับวิธีการดังกล่าวสามารถทำได้เพียงตรวจสอบซอฟต์แวร์นี้ว่าไม่มีบุ๊กมาร์กและนิสัยที่ไม่ดีอื่น ๆ และไม่มีใครเรียกร้องสิ่งนี้จากผู้ปฏิบัติงาน อย่างน้อยก็ใน PP-1119
ตารางที่ 1
ประเภท ISPDn |
พนักงานของผู้ประกอบการ |
จำนวนวิชา |
ประเภทของภัยคุกคามในปัจจุบัน |
||
1 |
2 |
3 |
|||
ISPDn-S |
เลขที่ |
> 100 000 |
ยูแซด-1 |
ยูแซด-1 |
ยูแซด-2 |
เลขที่ |
< 100 000 |
ยูแซด-1 |
ยูแซด-2 |
ยูแซด-3 |
|
ใช่ |
|||||
ISPDn-B |
ยูแซด-1 |
ยูแซด-2 |
ยูแซด-3 |
||
ISPDn-I |
เลขที่ |
> 100 000 |
ยูแซด-1 |
ยูแซด-2 |
ยูแซด-3 |
เลขที่ |
< 100 000 |
ยูแซด-1 |
ยูแซด-3 |
ยูแซด-4 |
|
ใช่ |
|||||
ISPDn-O |
เลขที่ |
> 100 000 |
ยูแซด-2 |
ยูแซด-2 |
ยูแซด-4 |
เลขที่ |
< 100 000 |
ยูแซด-2 |
ยูแซด-3 |
ยูแซด-4 |
|
ใช่ |
|||||
พวกเขาเสนอการรักษาระเบิดลอจิก แบ็คดอร์ และวิญญาณชั่วร้ายอื่น ๆ โดยใช้วิธีการที่ได้รับการพิสูจน์แล้ว - สวนทวารด้วยเข็มแผ่นเสียงและการหล่อปูนปลาสเตอร์ของแขนขาที่ไม่หัก ดูตารางที่ 2
ตารางที่ 2
ความต้องการ |
ระดับ ความปลอดภัย |
|||||
1 |
2 |
3 |
4 |
|||
ระบบการรักษาความปลอดภัยสำหรับสถานที่ซึ่งมีการประมวลผลข้อมูลส่วนบุคคล |
||||||
ความปลอดภัยของผู้ให้บริการข้อมูลส่วนบุคคล |
||||||
รายชื่อบุคคลที่ได้รับอนุญาตให้เข้าถึงข้อมูลส่วนบุคคล |
||||||
อุปกรณ์ป้องกันข้อมูลที่ผ่านขั้นตอนการประเมินความสอดคล้อง |
+ | |||||
การลงทะเบียนอัตโนมัติในบันทึกความปลอดภัยทางอิเล็กทรอนิกส์ของการเปลี่ยนแปลงอำนาจของพนักงานผู้ปฏิบัติงานในการเข้าถึงข้อมูลส่วนบุคคล |
- - |
|||||
เห็นได้ชัดว่ามีเพียงผู้เขียนเท่านั้นที่รู้ว่าการใช้ไฟร์วอลล์ที่ผ่านการรับรองและการแต่งตั้งแผนกที่รับผิดชอบ (หรือผู้รับผิดชอบ) สามารถช่วยป้องกันผลกระทบของระบบปฏิบัติการต่อข้อมูลที่ประมวลผลได้อย่างไร
ชั้นวางที่สาม คำศัพท์เฉพาะทาง และนี่คือส่วนที่ลึกลับที่สุดของเอกสาร “ลูกจ้างของผู้ปฏิบัติงาน” มาจากไหน และเหตุใดจึงไม่ใช่ลูกจ้าง ซึ่งมีสถานะทางกฎหมายระบุไว้อย่างชัดเจนในประมวลกฎหมายแรงงาน คำถามนี้เรียบง่ายและชัดเจน แต่ “บันทึกข้อความอิเล็กทรอนิกส์” คืออะไร (ข้อ 15) และอะไรคือความแตกต่างจาก “บันทึกการรักษาความปลอดภัยทางอิเล็กทรอนิกส์” (ข้อ 16) อย่างไร หากมีความแตกต่างกันโดยสิ้นเชิง ถือเป็นปริศนาที่ยิ่งใหญ่ ฉันเดาว่าเรากำลังพูดถึงบันทึก บันทึกของอะไร? ระบบปฏิบัติการ? ดีบี? ก้น? สซี่? ทั้งหมดรวมกันหรืออะไรแยกจากกัน? คำถามที่ยังไม่มีคำตอบ
มติดังกล่าวนำเสนอแนวคิดของระบบข้อมูลที่ประมวลผลข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะ ซึ่งไม่มีอยู่ในกฎหมาย และพิจารณาว่าข้อมูลดังกล่าวจะได้มาจากแหล่งที่มาของข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะซึ่งสร้างขึ้นตามมาตรา 8 152-FZ เท่านั้น
และหากได้รับแตกต่างกัน เช่น หากเป็นข้อมูลที่ต้องเผยแพร่และบังคับให้เปิดเผย เช่น ข้อมูลจาก Unified State Register of Legal Entities และ Unified State Register of Individual Entrepreneurs ซึ่งเปิดเผยต่อสาธารณะตาม กฎหมายของรัฐบาลกลางว่าด้วยการจดทะเบียนนิติบุคคลและผู้ประกอบการรายบุคคล หรือข้อมูลเกี่ยวกับบริษัทในเครือของผู้ออกหลักทรัพย์ หรือข้อมูลส่วนบุคคลของผู้สมัครรับตำแหน่งผู้แทนที่ได้รับการตีพิมพ์ จะทำอย่างไรกับพวกเขา? อีกครั้งกับคำถามที่ไม่มีคำตอบ
สุดท้ายคือการประเมินการปฏิบัติตามข้อกำหนด คำนี้ไม่มีคำอธิบายเกี่ยวกับการรักษาความปลอดภัยข้อมูลในการดำเนินการใดๆ นอกเหนือจากมติที่ 330 ที่ปิดไปแล้ว ยังคงหลงเหลืออยู่ในกรอบการกำกับดูแล แต่แม้ว่าผู้ปฏิบัติงานจะได้เห็นข้อมตินี้แล้ว เขาก็ไม่สามารถเข้าใจได้ว่ามีการประเมินการปฏิบัติตามข้อกำหนดอย่างไรในระหว่างการควบคุมและการกำกับดูแลของรัฐ และประเมินผลที่ตามมาของการรอให้สารวัตรมาถึงและพฤติกรรมของเขาเมื่อเห็นเงินทุนที่ไม่ได้รับการรับรองด้วย อย่าลืมว่าในกฎหมายฉบับใหม่ กฎระเบียบที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลอยู่ภายใต้การเผยแพร่อย่างเป็นทางการ
ชั้นวางสี่. การบังคับใช้ ความละเอียดดังกล่าวจะมีผลใช้บังคับได้อย่างสมบูรณ์หลังจากที่มีการนำการกระทำที่เกี่ยวข้องของ FSB และ FSTEC มาใช้ ซึ่งระบุไว้ในส่วนที่ 4 ของมาตรา 19 ของ 152-FZ เท่านั้น เช่นเดียวกับโดยหน่วยงานบริหารของรัฐบาลกลางที่ปฏิบัติหน้าที่ของรัฐกำลังพัฒนา นโยบายและกฎระเบียบทางกฎหมายในสาขากิจกรรมที่จัดตั้งขึ้น หน่วยงานของรัฐของหน่วยงานที่เป็นส่วนประกอบของสหพันธรัฐรัสเซีย ธนาคารแห่งรัสเซีย หน่วยงานของกองทุนพิเศษงบประมาณของรัฐ หน่วยงานของรัฐอื่น ๆ ในแง่ของการระบุภัยคุกคามในปัจจุบันต่อความปลอดภัยของส่วนบุคคล ข้อมูล (ส่วนที่ 5 ของบทความ 19 152-FZ ข้อ 2 ของข้อกำหนด) ซึ่งขาดหายไปและไม่ทราบว่าจะถูกนำมาใช้เมื่อใด ภายใต้เงื่อนไขเหล่านี้ แทบจะเป็นไปไม่ได้เลยที่ผู้ปฏิบัติงานจะปฏิบัติตามข้อกำหนดที่กำหนดไว้ ฉันกลับไปที่หัวหน้าโรงเรียนอนุบาลและหัวหน้าแผนกระบบอัตโนมัติของโรงงานรีดท่อ ใครจะเป็นคนแรกที่อธิบายว่า “ความสามารถที่ไม่ได้ประกาศของซอฟต์แวร์ระบบ” คืออะไร และเธอจะประเมินความเกี่ยวข้องของภัยคุกคามนี้ด้วยเกณฑ์ใด อะไรสามารถบังคับให้ฝ่ายหลังรับรู้ว่าภัยคุกคามเหล่านี้เกี่ยวข้องกับโรงงานของเขาและจัดการกับปัญหาเพิ่มเติม พวกเขาจะประเมินความเสียหายที่เขียนเกี่ยวกับการรื้อชั้นวางแรกอย่างไร รอเอกสารจาก FSB และ FSTEC ต่อไป มีบางอย่างบอกฉันว่าเป็นไปไม่ได้เลยที่จะปฏิเสธที่จะต่อต้านความสามารถที่ไม่ได้ประกาศไว้ ธนาคารและโทรคมนาคมจะเข้าใจเรื่องนี้ในที่สุด พวกเราที่เหลือควรทำอย่างไรหากไม่มีผู้เชี่ยวชาญเฉพาะทางและใบอนุญาต FSB/FSTEK - โรงเรียนและมหาวิทยาลัย โรงพยาบาลและคลินิก สำนักงานทะเบียนและศูนย์จัดหางาน ฯลฯ ฯลฯ เอกสารดังกล่าวไม่สามารถทำให้เกิดความสับสนได้
ฉันจะไม่เขียนเรซูเม่ และทุกอย่างชัดเจน
