Nghị quyết 1119 của Liên bang Nga. Về việc phê duyệt các quy định về đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý chúng trong hệ thống thông tin dữ liệu cá nhân. Quy định về đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý trên hệ thống thông tin

Những bàn tay từ lâu đã chạm tới bàn phím liên quan đến kiệt tác mới của quy định quản lý đã bị đánh đến tận xương. Tôi không còn có thể kiềm chế bản thân và chịu đựng nó nữa. Tôi sẽ phải viết. Hơn nữa, hôm nay Nghị quyết số 1119 ngày 1 tháng 11 năm 2012 “Về việc phê duyệt các yêu cầu bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân trong hệ thống thông tin dữ liệu cá nhân,” bãi bỏ Nghị quyết số 781 ngày 17 tháng 11 năm 2007, có hiệu lực. Bảy ngày hết hạn kể từ ngày công bố.

Thành thật mà nói, phản ứng của các đồng nghiệp trong cộng đồng chuyên môn đối với nghị quyết mới, trong đó thực sự xác định hệ thống xây dựng bảo mật kỹ thuật để xử lý dữ liệu cá nhân trong hệ thống thông tin, không chỉ làm tôi ngạc nhiên mà còn khiến tôi bối rối. Một số, chứ không phải một số ít, thích nó bởi vì, theo ý kiến của họ, nó không chứa bất cứ điều gì mới về cơ bản và không thắt chặt các đai ốc hơn nữa, và số lượng yêu cầu so với PP-781 thậm chí còn giảm đi. Các đồng nghiệp khác chỉ trích tài liệu này, nhưng rất chung chung, chủ yếu là thiếu chi tiết cụ thể.

Tôi có quan điểm hơi khác về các yêu cầu; tôi đã trình bày ngắn gọn quan điểm đó tại hội thảo trực tuyến ngày hôm nay, được tổ chức cùng với công ty Security Code, và số lượng câu hỏi nhận được về vấn đề này cuối cùng đã thúc đẩy tôi viết bài này.

Để hệ thống hóa tầm nhìn của mình, tôi đã nghĩ ra một số kệ để tôi sắp xếp việc đánh giá tài liệu của mình. Xin lỗi, sẽ có rất nhiều chữ cái. Rất. Tôi đã lựa chọn cẩn thận các từ nên hạng mục đọc có thể là 0+.

Kệ một. Sự tuân thủ pháp luật. Việc phát hành PP-1119 là yêu cầu trực tiếp của đoạn 1 và 2 phần 3 điều 19 của ấn bản mới 152-FZ “Về dữ liệu cá nhân”. Đây là điều cho phép tôi đánh giá rất rõ ràng tình hình công việc trên kệ này. Nghị quyết của Chính phủ không phù hợp với pháp luật. Luật quy định mức độ và yêu cầu bảo mật đối với chúng phải được xác định tùy thuộc vào năm yếu tố:

· có thể gây tổn hại cho chủ thể của dữ liệu cá nhân,

· khối lượng dữ liệu cá nhân được xử lý,

· nội dung của dữ liệu cá nhân đang được xử lý,

· loại hoạt động trong đó dữ liệu cá nhân được xử lý,

· mức độ liên quan của các mối đe dọa đối với tính bảo mật của dữ liệu cá nhân.

Các loại hoạt động và quan trọng nhất là gây hại cho đối tượng thường không có đặc điểm định tính trong tài liệu được thông qua. Trong đoạn 7 của Yêu cầu, người điều hành “hoàn toàn không nhân đạo”, tôi không thể nói khác, đề xuất xác định độc lập loại mối đe dọa đối với tính bảo mật của dữ liệu cá nhân liên quan đến hệ thống thông tin, có tính đến đánh giá tác hại có thể xảy ra, được hướng dẫn bởi các tài liệu hiện chưa tồn tại của FSB và FSTEC. Những thứ kia. người đứng đầu trường mẫu giáo hoặc người đứng đầu bộ phận tự động hóa của nhà máy cán ống (vì đơn giản là không có ai khác giải quyết những vấn đề như vậy trong các tổ chức đó) sẽ đánh giá tác hại từ việc tiết lộ dữ liệu của nhân viên, học sinh, du khách và người thân của họ. Trong trường hợp hoàn toàn không có sự phát triển về phương pháp luận về vấn đề này trong nước. Ai từng gặp ít nhất một chút vấn đề như vậy đều biết rằng vấn đề xác định mức độ thiệt hại trong trường hợp vi phạm quyền dân sự là một trong những vấn đề khó khăn nhất trong pháp luật và tố tụng. Tuy nhiên, rõ ràng, khi nhớ lại định đề cổ điển về khả năng của mọi đầu bếp, các tác giả đã quyết định rằng vấn đề có thể được giải quyết bằng cách sử dụng nguồn lực từ cộng đồng. Các nhà khai thác, theo Roskomnadzor, có khoảng bảy triệu. Hãy nhìn những gì họ phát minh ra. Một ví dụ kinh điển về việc chuyển một vấn đề từ đầu này sang đầu khác, bạn biết cái nào rồi đấy.

Các loại hoạt động cũng phức tạp. Lưu ý rằng phiên bản mới của luật không dành chỗ cho các tiêu chuẩn ngành để xử lý dữ liệu cá nhân, những loại tương tự này sẽ phải được tính đến chỉ theo một cách - bằng cách tạo ra cho chúng các mối đe dọa bảo mật bổ sung đối với những mối đe dọa do chính phủ phát minh ra. FSB và FSTEC, trên thực tế, được nêu trong phần 5 và 6 của cùng điều 19 của luật. Chấm. Chỉ để xác định các mối đe dọa mới và không đưa ra bất kỳ sự nới lỏng nào tương tự như những điều mà Bộ Y tế đã từng đồng ý với FSTEC trong các tài liệu phương pháp của mình.

Kệ thứ hai. Phương pháp luận. Cái kệ…được treo không tốt. Bởi vì phương pháp luận chứa đựng những vấn đề then chốt, quan trọng nhất của tài liệu. Tuyên bố các mối đe dọa chính chắc chắn dẫn đến việc thiết lập các mức độ bảo mật cao hơn (xem Bảng 1) là các khả năng không được khai báo (không có giấy tờ) trong hệ thống và phần mềm ứng dụng, Yêu cầu hoàn toàn không đưa ra bất kỳ phương pháp hoặc phương pháp nào để vô hiệu hóa chúng. Đối với những phương pháp như vậy chỉ có thể là kiểm tra chính phần mềm này để phát hiện sự vắng mặt của dấu trang và các thói quen xấu khác. Và không ai yêu cầu điều này từ người vận hành, ít nhất là trong PP-1119.

Bảng 1

loại ISPDn	Nhân viên vận hành	Số môn học	Loại mối đe dọa hiện tại
			1	2	3
ISPDn-S	KHÔNG	> 100 000	UZ-1	UZ-1	UZ-2
	KHÔNG	< 100 000	UZ-1	UZ-2	UZ-3
	Đúng
ISPDn-B			UZ-1	UZ-2	UZ-3
ISPDn-I	KHÔNG	> 100 000	UZ-1	UZ-2	UZ-3
	KHÔNG	< 100 000	UZ-1	UZ-3	UZ-4
	Đúng
ISPDn-O	KHÔNG	> 100 000	UZ-2	UZ-2	UZ-4
	KHÔNG	< 100 000	UZ-2	UZ-3	UZ-4
	Đúng

Họ cung cấp phương pháp điều trị cho bom logic, cửa sau và các linh hồn ma quỷ khác bằng các phương pháp cũ đã được chứng minh - thuốc xổ bằng kim máy hát và đúc thạch cao cho các chi không bị gãy. Xem Bảng 2.

ban 2

Yêu cầu	Cấp độ bảo vệ
Yêu cầu	1	2	3	4
Chế độ bảo mật cho cơ sở xử lý dữ liệu cá nhân
Bảo mật của người vận chuyển dữ liệu cá nhân
Danh sách những người được phép truy cập dữ liệu cá nhân
Thiết bị bảo vệ thông tin đã vượt qua quy trình đánh giá sự phù hợp			+
Đăng ký tự động vào nhật ký bảo mật điện tử về những thay đổi trong quyền truy cập dữ liệu cá nhân của nhân viên điều hành				- -

Rõ ràng, chỉ có các tác giả mới biết việc sử dụng tường lửa được chứng nhận và việc bổ nhiệm một bộ phận chịu trách nhiệm (hoặc người chịu trách nhiệm) có thể giúp ngăn chặn tác động của hệ điều hành lên dữ liệu đã xử lý.

Kệ thứ ba. Thuật ngữ. Và đây là phần bí ẩn nhất của tài liệu. “Nhân viên của nhà điều hành” đến từ đâu và tại sao họ không phải là nhân viên, những người có địa vị pháp lý được Bộ luật Lao động quy định rõ ràng – câu hỏi rất đơn giản và hiển nhiên. Nhưng “nhật ký tin nhắn điện tử” (khoản 15) là gì và nó khác với “nhật ký bảo mật điện tử” (khoản 16) như thế nào, nếu có gì khác biệt thì đó là một bí ẩn lớn. Tôi đoán rằng chúng ta đang nói về nhật ký. Nhật ký của cái gì? Hệ điều hành? ĐB? Mông? SZI? Tất cả cùng nhau hoặc một cái gì đó riêng biệt? Những câu hỏi chưa được trả lời.

Nghị quyết đưa ra khái niệm về một hệ thống thông tin xử lý dữ liệu cá nhân có sẵn công khai, vốn không có trong luật và coi đó chỉ được lấy từ các nguồn dữ liệu cá nhân có sẵn công khai được tạo theo Điều 8 152-FZ.

Và nếu chúng được tiếp nhận theo cách khác, chẳng hạn như nếu đây là thông tin phải công bố và bắt buộc phải tiết lộ, chẳng hạn như thông tin từ Cơ quan đăng ký quốc gia thống nhất về các thực thể pháp lý và Cơ quan đăng ký quốc gia thống nhất về doanh nhân cá nhân, được công bố công khai theo Luật Liên bang về Đăng ký Nhà nước đối với các pháp nhân và doanh nhân cá nhân. Hoặc thông tin về các đơn vị liên kết của tổ chức phát hành chứng khoán. Hoặc dữ liệu cá nhân của người ứng cử vào chức vụ đại biểu được công bố. Làm gì với chúng đây? Lại là một câu hỏi không có câu trả lời.

Cuối cùng là đánh giá sự tuân thủ. Thuật ngữ không có lời giải thích liên quan đến bảo mật thông tin trong bất kỳ đạo luật nào ngoài Nghị quyết số 330 đã đóng, tiếp tục đi lang thang trong khuôn khổ pháp lý. Nhưng ngay cả khi người vận hành đã xem Nghị quyết này, anh ta cũng không thể hiểu được cách đánh giá việc tuân thủ trong quá trình kiểm tra, giám sát của nhà nước. Và đánh giá hậu quả của việc chờ thanh tra đến cũng như hành vi của anh ta khi nhìn thấy những khoản tiền không chắc chắn. Chà, đừng quên rằng trong phiên bản luật mới, các quy định liên quan đến việc xử lý dữ liệu cá nhân phải được công bố chính thức.

Kệ bốn. Khả năng áp dụng. Nghị quyết chỉ có thể có hiệu lực đầy đủ sau khi thông qua các đạo luật liên quan của FSB và FSTEC, được quy định tại Phần 4 Điều 19 của 152-FZ, cũng như bởi các cơ quan hành pháp liên bang thực hiện các chức năng của nhà nước đang phát triển. chính sách và quy định pháp lý trong lĩnh vực hoạt động đã được thiết lập, các cơ quan chính quyền nhà nước của các đơn vị cấu thành Liên bang Nga, Ngân hàng Nga, các cơ quan của quỹ ngoài ngân sách nhà nước, các cơ quan chính phủ khác trong việc xác định các mối đe dọa hiện tại đối với an ninh cá nhân dữ liệu (phần 5 của điều 19 152-FZ, khoản 2 của Yêu cầu), không có và không biết khi nào chúng sẽ được thông qua. Trong những điều kiện này, người vận hành gần như không thể đáp ứng được các yêu cầu đã đặt ra. Tôi quay lại với trưởng trường mẫu giáo và trưởng bộ phận tự động hóa của nhà máy cán ống. Ai sẽ là người đầu tiên giải thích “khả năng chưa được công bố của phần mềm hệ thống” là gì và cô ấy sẽ đánh giá mức độ liên quan của mối đe dọa này theo tiêu chí nào? Điều gì có thể buộc người sau nhận ra những mối đe dọa này có liên quan đến nhà máy của mình và giải quyết thêm các vấn đề? Họ sẽ đánh giá thế nào về tác hại đã được viết khi tháo dỡ chiếc kệ đầu tiên? Hãy chờ tài liệu từ FSB và FSTEC. Có điều gì đó mách bảo tôi rằng sẽ không thể đơn giản từ chối vô hiệu hóa những khả năng không được công bố. Các ngân hàng và viễn thông cuối cùng sẽ tìm ra điều này. Những người còn lại trong chúng ta nên làm gì nếu không có chuyên gia chuyên môn và giấy phép FSB/FSTEK - trường học và đại học, bệnh viện và phòng khám, văn phòng đăng ký và trung tâm việc làm, v.v.? Một tài liệu như vậy có thể gây ra cho họ không có gì ngoài sự nhầm lẫn.

Tôi sẽ không viết sơ yếu lý lịch. Và thế là mọi chuyện đã rõ ràng.

Nghị định của Chính phủ Liên bang Nga số 1119 ngày 1 tháng 11 năm 2012 đã chôn vùi các lớp hệ thống thông tin dữ liệu cá nhân đã trở nên quen thuộc với mọi người.

Thay cho các lớp học, theo nghị quyết mới, bốn cấp độ bảo mật dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân trong hệ thống thông tin và các yêu cầu đối với từng cấp độ đó được thiết lập. Việc ấn định hệ thống thông tin cho một mức độ bảo mật cụ thể được thực hiện tùy thuộc vào loại dữ liệu cá nhân mà hệ thống thông tin xử lý, loại mối đe dọa hiện tại, số lượng đối tượng dữ liệu cá nhân được hệ thống thông tin xử lý và dữ liệu cá nhân trong đó đội ngũ được xử lý.

Hệ thống thông tin dữ liệu cá nhân (PDIS), theo đoạn 5 Nghị quyết số 1119, được chia thành 4 nhóm:

ISPD đặc biệt
nếu ISPD xử lý dữ liệu cá nhân liên quan đến chủng tộc, quốc tịch, quan điểm chính trị, niềm tin tôn giáo hoặc triết học, tình trạng sức khỏe, đời sống riêng tư của chủ thể dữ liệu cá nhân;
ISPD sinh trắc học
nếu ISPD xử lý thông tin đặc trưng cho các đặc điểm sinh lý và sinh học của một người, trên cơ sở đó danh tính của người đó có thể được thiết lập và được nhà điều hành sử dụng để xác định danh tính của chủ thể dữ liệu cá nhân và thông tin liên quan đến các danh mục đặc biệt dữ liệu cá nhân không được xử lý;
ISPD công cộng
nếu ISPD xử lý dữ liệu cá nhân của các đối tượng dữ liệu cá nhân chỉ thu được từ các nguồn dữ liệu cá nhân có sẵn công khai được tạo theo Điều 8 của Luật Liên bang “Về dữ liệu cá nhân”;
ISPD khác
nếu ISPD xử lý dữ liệu cá nhân của các chủ thể dữ liệu cá nhân không có trong ba nhóm trước đó.

Căn cứ vào hình thức quan hệ giữa tổ chức của bạn và các chủ thể, việc xử lý được chia làm 2 loại:

xử lý dữ liệu cá nhân của nhân viên (các đơn vị mà tổ chức của bạn có quan hệ lao động);
xử lý dữ liệu cá nhân của các đối tượng không phải là nhân viên của tổ chức bạn.

Căn cứ vào số lượng đối tượng được xử lý dữ liệu cá nhân, Nghị quyết số 1119 chỉ xác định 2 loại:

dưới 100.000 đối tượng;
hơn 100.000 môn học;

Và cuối cùng, các loại mối đe dọa hiện tại:

Các mối đe dọa Loại 1 có liên quan đến sự hiện diện của các khả năng không được khai báo (không có giấy tờ) trong phần mềm hệ thống được sử dụng trong ISPD;
Các mối đe dọa Loại 2 có liên quan đến sự hiện diện của các khả năng không được khai báo trong phần mềm ứng dụng được sử dụng trong ISPD;
Các mối đe dọa Loại 3 không liên quan đến sự hiện diện của các khả năng không được khai báo trong phần mềm được sử dụng trong ISPD.

Không có quy định về cách xác định loại mối đe dọa hiện tại. Các yêu cầu của PP-1119 không đưa ra bất kỳ phương pháp hoặc phương pháp nào để trung hòa chúng. Nếu trước đây nhà điều hành có thể chọn phân loại ISPD tiêu chuẩn dựa trên bảng hoặc phân loại ISPD đặc biệt dựa trên kết quả của mô hình mối đe dọa thì bây giờ không còn lựa chọn nào khác. Mức độ bảo mật luôn được xác định dựa trên mức độ liên quan của các mối đe dọa. Người điều hành khó có thể tự mình xác định chúng - anh ta sẽ phải liên hệ với tổ chức cấp cao hơn hoặc nhà tư vấn. Cách dễ nhất là đi theo con đường ít trở ngại nhất, tức là. xác định loại mối đe dọa hiện tại thuộc loại 3 và quên đi các khả năng không được khai báo (không có giấy tờ) trong hệ thống và phần mềm ứng dụng, nhưng điều này sẽ cần phải được chứng minh. Toàn bộ câu hỏi là làm thế nào?, quay trở lại phần đầu của đoạn văn.
Chủ đề về mức độ liên quan của các mối đe dọa đối với hệ thống thông tin dữ liệu cá nhân là rất quan trọng, bởi vì các mối đe dọa được mô tả chính xác sẽ xác định mức độ hệ thống sẽ được bảo vệ cũng như chi phí bảo vệ cho nhà điều hành dữ liệu cá nhân là bao nhiêu.

Nếu bạn đã quyết định dữ liệu ban đầu cho một ISPD cụ thể, bao gồm cả loại mối đe dọa hiện tại, thì bạn có thể xác định mức độ bảo mật của nó. Để thuận tiện xác định mức độ bảo mật, hãy sử dụng bảng sau, dựa trên PP-1119:

loại ISPDn	Nhân viên vận hành	Số môn học	Loại mối đe dọa hiện tại
			1 (Hệ điều hành NDV)	2 (NDV PO)	3 (Không có NDV)
ISPDn-S (đặc biệt)	KHÔNG	> 100 000	UZ-1	UZ-1	UZ-2
	KHÔNG	< 100 000	UZ-1	UZ-2	UZ-3
	Đúng
ISPDn-B (sinh trắc học)			UZ-1	UZ-2	UZ-3
ISPDn-I (người khác)	KHÔNG	> 100 000	UZ-1	UZ-2	UZ-3
	KHÔNG	< 100 000	UZ-2	UZ-3	UZ-4
	Đúng
ISPDn-O (công cộng)	KHÔNG	> 100 000	UZ-2	UZ-2	UZ-4
	KHÔNG	< 100 000	UZ-2	UZ-3	UZ-4
	Đúng

Tùy thuộc vào mức độ bảo mật PD đã chọn, PP-1119 xác định một số yêu cầu để bảo vệ dữ liệu cá nhân, được tổ chức và thực hiện bởi nhà điều hành (người được ủy quyền) một cách độc lập và (hoặc) với sự tham gia của các pháp nhân và cá nhân. doanh nhân trên cơ sở hợp đồng, có giấy phép thực hiện các hoạt động bảo vệ kỹ thuật thông tin bí mật. Việc giám sát việc tuân thủ các yêu cầu phải được thực hiện ít nhất 3 năm một lần trong khung thời gian do người vận hành (người được ủy quyền) xác định.

Yêu cầu	Cấp độ bảo vệ
Yêu cầu
Tổ chức chế độ an ninh cho các cơ sở đặt hệ thống thông tin, ngăn chặn khả năng những người không có quyền truy cập vào các cơ sở này xâm nhập hoặc ở trong các cơ sở này một cách không kiểm soát	+	+	+	+
Đảm bảo an toàn cho người vận chuyển dữ liệu cá nhân	+	+	+	+
Sự phê duyệt của người đứng đầu nhà điều hành đối với tài liệu xác định danh sách những người có quyền truy cập vào dữ liệu cá nhân được xử lý trong hệ thống thông tin là cần thiết để thực hiện nhiệm vụ chính thức (lao động) của họ	+	+	+	+
Việc sử dụng các công cụ bảo mật thông tin đã vượt qua quy trình đánh giá việc tuân thủ các yêu cầu của pháp luật Liên bang Nga trong lĩnh vực bảo mật thông tin, trong trường hợp việc sử dụng các công cụ đó là cần thiết để vô hiệu hóa các mối đe dọa hiện tại	+	+	+	+
Bổ nhiệm một quan chức chịu trách nhiệm đảm bảo an toàn dữ liệu cá nhân trong ISPD	+	+	+	-
Hạn chế quyền truy cập vào nội dung của nhật ký tin nhắn điện tử	+	+	-	-
Đăng ký tự động vào nhật ký bảo mật điện tử về những thay đổi về quyền truy cập dữ liệu cá nhân có trong hệ thống thông tin của nhân viên điều hành	+	-	-	-
Thành lập một đơn vị cấu trúc chịu trách nhiệm đảm bảo an toàn dữ liệu cá nhân trong hệ thống thông tin hoặc phân công các chức năng đảm bảo an ninh đó cho một trong các đơn vị cấu trúc	+	-	-	-

Sau khi quyết định các yêu cầu bảo vệ dữ liệu cá nhân theo PP-1119, bạn có thể tiến hành lựa chọn các biện pháp tổ chức và kỹ thuật để đảm bảo an toàn cho dữ liệu cá nhân, dựa trên các yêu cầu của Lệnh số 21 của FSTEC của Nga ngày 18 tháng 2 năm 2013. nhằm mục đích vô hiệu hóa các mối đe dọa hiện tại đối với tính bảo mật của dữ liệu cá nhân.

Phải làm gì với các công cụ bảo mật thông tin, chứng chỉ đã được cấp trước đây cho một số loại ISPD nhất định?

Theo thông báo thông tin của FSTEC của Nga ngày 20 tháng 11 năm 2012 N 240/24/4669 “Về các tính năng bảo vệ dữ liệu cá nhân trong quá trình xử lý chúng trong hệ thống thông tin dữ liệu cá nhân và chứng nhận các công cụ bảo mật thông tin nhằm mục đích bảo vệ dữ liệu cá nhân”, giấy chứng nhận sự phù hợp do FSTEC của Nga cấp, trước khi đạo luật pháp lý điều chỉnh của FSTEC của Nga có hiệu lực (nghĩa là Lệnh số 21), thiết lập thành phần và nội dung của các biện pháp tổ chức và kỹ thuật để đảm bảo an ninh cho dữ liệu cá nhân trong quá trình xử lý trong hệ thống thông tin dữ liệu cá nhân không phải đăng ký lại.
Các công cụ bảo mật thông tin có thể được sử dụng để bảo vệ dữ liệu cá nhân được xử lý trong hệ thống thông tin dữ liệu cá nhân loại 1 có thể được sử dụng để đảm bảo an toàn cho dữ liệu cá nhân được xử lý trong hệ thống thông tin dữ liệu cá nhân lên đến cấp 1;
Các công cụ bảo mật thông tin có thể được sử dụng để bảo vệ dữ liệu cá nhân được xử lý trong hệ thống thông tin dữ liệu cá nhân loại 2 có thể được sử dụng để đảm bảo bảo mật cấp độ 4 đối với dữ liệu cá nhân được xử lý trong hệ thống thông tin dữ liệu cá nhân.

Andrey Prozorov

Chúng tôi đã chờ đợi, tài liệu Nghị quyết của Chính phủ Liên bang Nga ngày 1 tháng 11 năm 2012 số 1119 “Về việc phê duyệt các yêu cầu bảo vệ dữ liệu cá nhân trong quá trình xử lý chúng trong hệ thống thông tin dữ liệu cá nhân” đã được ban hành. Tôi cố tình không viết gì về phiên bản đầu tiên của tài liệu (chính xác hơn là 2 tài liệu), tôi muốn xem phiên bản cuối cùng sẽ có những thay đổi gì.

Tài liệu một lần nữa “xúc xích” các hệ thống và quy trình bảo vệ dữ liệu cá nhân. Nó thiết lập các yêu cầu để bảo vệ dữ liệu cá nhân trong quá trình xử lý chúng tại ISPD và mức độ bảo mật của dữ liệu đó.
Chúng ta hãy xem tài liệu cẩn thận hơn và cố gắng hiểu những gì người vận hành PD nên thay đổi/sửa đổi trong SPPD của họ.

Dưới đây là những điểm chính:

Văn bản làm mất hiệu lực Nghị quyết số 781. Theo đó, chúng tôi không thể đáp ứng được yêu cầu của anh ấy nữa. Điều này có nghĩa là tình trạng lệnh 55/86/20, lệnh FSTEC số 58 của Nga và các tài liệu về mật mã trong ISPDn từ FSB của Nga hiện đang “trong tình trạng lấp lửng”...
Điểm nhấn chính của tài liệu là các yêu cầu vô hiệu hóa các mối đe dọa HIỆN TẠI đối với dữ liệu cá nhân. Tài liệu đưa ra một định nghĩa khá mâu thuẫn (“Các mối đe dọa hiện tại đối với tính bảo mật của dữ liệu cá nhân được hiểu là một tập hợp các điều kiện và yếu tố tạo ra mối nguy hiểm hiện tại về việc truy cập trái phép, bao gồm cả tình cờ, vào dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân của họ trong ISPD, kết quả là trong số đó có thể là…”), những tuyên bố chống lại điều này là do sự hiện diện của một liên kết truy cập ngẫu nhiên.
Nhìn chung, đang xuất hiện một tình huống trong đó các “trò chơi” với mô hình mối đe dọa sẽ mang lại kết quả dưới hình thức giảm danh sách các yêu cầu đối với ISPD. Hóa ra là nếu bạn nhìn từ quan điểm thông thường, thì AU1 và AU2 (các mối đe dọa hiện tại liên quan đến sự hiện diện của các khả năng không có giấy tờ (không được khai báo) trong phần mềm hệ thống và ứng dụng, tương ứng) sẽ có mặt trong hầu hết tất cả ISDN (của tất nhiên, nếu bạn không đánh giá TẤT CẢ phần mềm hệ thống và ứng dụng). Đồng thời, người vận hành đưa ra đánh giá có tính đến tác hại có thể xảy ra đối với đối tượng, nghĩa là anh ta có thể đưa ra kết luận không chính xác nhưng phù hợp theo tiêu chuẩn của PP1119 rằng thiết bị thuộc loại 3, bởi vì tác hại/thiệt hại là tối thiểu.
Bảo mật PD được đảm bảo bởi Người vận hành hoặc người được ủy quyền(có thẩm quyền xử lý dữ liệu cá nhân thay mặt). Quyết định thuê ngoài các chức năng bảo vệ dữ liệu cá nhân có thể là hợp lý đối với nhiều Nhà khai thác, tuy nhiên, họ hành động trong lĩnh vực pháp lý liên quan đến yêu cầu xử lý của nhà khai thác, với tất cả các yêu cầu tiếp theo...
Lựa chọn hệ thống bảo mật thông tin cho SZPDn phù hợp với các quy định pháp lý của FSB của Nga và FSTEC của Nga. Tuy nhiên, điều này được mong đợi, xin lưu ý rằng trong phiên bản tài liệu này, các dịch vụ đặc biệt này chỉ được viết một lần và FSB của Nga được viết đầu tiên, trong khi ở PP781 chúng được đề cập thường xuyên hơn, nhưng nhấn mạnh vào FSTEC của Nga. Kéo chăn? Nhân tiện, chúng tôi đang chờ đợi tài liệu mới...
Có một số loại ISPD dựa trên loại PD và loại đối tượng PD. Nói chung, làm việc với họ rất rõ ràng và thuận tiện. Việc phân loại thứ nhất bao gồm việc lựa chọn:

ISPDn, trong đó xử lý các loại PDn đặc biệt(thông tin liên quan đến chủng tộc, quốc tịch, quan điểm chính trị, niềm tin tôn giáo hoặc triết học, tình trạng sức khỏe, đời sống thân mật của chủ thể dữ liệu cá nhân). Xin lưu ý rằng mặc dù danh sách này trùng khớp với 152-FZ, điều khoản tương ứng của luật (Điều 10 152-FZ) có đề cập đến thông tin về hồ sơ tội phạm và các yêu cầu đối với hồ sơ đó, và PP 1119 không nói gì về điều này.
ISPD trong đó PD sinh trắc học được xử lý. Bây giờ hãy chú ý đến hai điểm:

..."nếu nó xử lý thông tin đặc trưng cho các đặc điểm sinh lý và sinh học của một người, trên trên cơ sở đó danh tính của anh ta có thể được xác định Và được người vận hành sử dụng để thiết lập danh tính của chủ thể PD". Một lập luận khác ủng hộ thực tế là các bức ảnh trong hệ thống kiểm soát truy cập không phải là sinh trắc học.
"...và thông tin liên quan đến các loại dữ liệu cá nhân đặc biệt sẽ không được xử lý." Câu hỏi không phải là quan trọng nhất, nhưng vẫn còn. Giờ đây, quan điểm của các cơ quan quản lý có thể thấy rõ rằng các loại dữ liệu cá nhân đặc biệt quan trọng hơn dữ liệu cá nhân sinh trắc học.

ISPDn, trong đó ISPDn có sẵn công khai được xử lý. Hơn nữa, cơ sở cho tính sẵn có của công chúng là nhận được từ các nguồn có sẵn công khai được tạo ra theo 152-FZ.
ISPDn, trong đó các loại PD khác được xử lý
Loại phân loại thứ hai liên quan đến việc phân biệt:
ISPD, trong đó dữ liệu cá nhân của chỉ những nhân viên được chỉ định mới được xử lý. Một câu hỏi hợp lý là “được chỉ định ở đâu”? Trong đơn đặt hàng công việc? Trong sổ tay nhân viên? Cơ sở dữ liệu 1C? Một vấn đề tế nhị khác có thể là hợp đồng/GPC. Sau khi xem nhanh Bộ luật Lao động của Liên bang Nga, tôi vẫn chưa giải quyết được vấn đề này cho chính mình.
ISPD, trong đó dữ liệu cá nhân của các đối tượng không phải là nhân viên của nhà điều hành được xử lý.

Mức độ bảo mật ISPD bị ảnh hưởng bởi loại mối đe dọa, danh sách PD và số lượng đối tượng PD. Tôi đã suy nghĩ rất lâu về cách tốt nhất để trình bày sơ đồ phân loại dưới dạng hình ảnh và đã nghĩ ra điều này:
.

	AC loại 1	AC loại 2	AC loại 3


PD sinh trắc học


PD công cộng hơn 100.000 đối tượng dữ liệu cá nhân không phải là nhân viên của nhà điều hành
PD công cộng nhân viên của nhà điều hành hoặc dữ liệu cá nhân được cung cấp công khai của ít hơn 100.000 đối tượng dữ liệu cá nhân không phải là nhân viên của nhà điều hành

Danh sách các yêu cầu về mức độ bảo mật cũng có thể được trình bày trong bảng. Anh ấy rất kỳ lạ và tôi không hiểu tại sao lại cần đến anh ấy như vậy. Có những yêu cầu đơn giản và hợp lý về an ninh vật chất và việc bổ nhiệm những người chịu trách nhiệm, cũng như những yêu cầu gây tranh cãi về tạp chí điện tử. Có vẻ như một số trang yêu cầu đã bị mất. Và nếu chúng ta nhớ pp781 và p58, chúng ta sẽ nhận thấy rằng chúng có nhiều yêu cầu hơn
.

Yêu cầu
Giám sát thường xuyên việc tuân thủ các yêu cầu Việc kiểm soát việc thực hiện các yêu cầu này được tổ chức và thực hiện bởi nhà điều hành (người được ủy quyền) một cách độc lập và (hoặc) với sự tham gia của các pháp nhân và cá nhân doanh nhân trên cơ sở hợp đồng, được cấp phép thực hiện các hoạt động bảo vệ kỹ thuật thông tin bí mật . Việc kiểm soát theo quy định được thực hiện ít nhất 3 năm một lần trong thời hạn do người vận hành (người được ủy quyền) xác định.
Kiểm soát truy cập và bảo mật vật lý Tổ chức chế độ an ninh cho các cơ sở nơi ISPD tọa lạc, ngăn chặn khả năng những người không có quyền vào hoặc ở trong các cơ sở này không được kiểm soát
Bảo mật phương tiện Đảm bảo an toàn cho người vận chuyển dữ liệu cá nhân
Danh sách người được thừa nhận Sự phê duyệt của người đứng đầu nhà điều hành đối với tài liệu xác định danh sách những người có quyền truy cập vào dữ liệu cá nhân được xử lý trong hệ thống thông tin là cần thiết để thực hiện nhiệm vụ chính thức (lao động) của họ
Hệ thống bảo mật thông tin được chứng nhận Việc sử dụng các hệ thống bảo mật thông tin đã vượt qua quy trình đánh giá việc tuân thủ các yêu cầu của pháp luật Liên bang Nga trong lĩnh vực bảo mật thông tin, trong trường hợp việc sử dụng các công cụ đó là cần thiết để vô hiệu hóa các mối đe dọa hiện tại
Bổ nhiệm người chịu trách nhiệm bảo mật dữ liệu cá nhân Bổ nhiệm một quan chức (nhân viên) chịu trách nhiệm đảm bảo an toàn dữ liệu cá nhân trong ISPD
Kiểm soát truy cập vào nhật ký truy cập điện tử. Cung cấp quyền truy cập vào nội dung của nhật ký tin nhắn điện tử dành riêng cho cán bộ (nhân viên) của nhà điều hành hoặc người được ủy quyền cần thông tin trong nhật ký cụ thể để thực hiện nhiệm vụ chính thức (lao động)
Tạo đơn vị cấu trúc Tạo ra một đơn vị cấu trúc chịu trách nhiệm đảm bảo tính bảo mật của dữ liệu cá nhân trong ISPD hoặc phân công các chức năng đảm bảo tính bảo mật đó cho một trong các đơn vị cấu trúc

Từ điểm hữu ích, tôi muốn lưu ý rằng các yêu cầu có chứa các từ về kiểm soát thường xuyên (vội vàng, với tần suất cụ thể) với sự tham gia của những người được cấp phép FSTEC của Nga. Quan điểm rất đúng đắn và hữu ích. NHƯNG, bây giờ họ sẽ kiểm tra cái gì? Có lệnh chỉ định người phụ trách, hoặc có danh sách những người được phép, hoặc cửa vào phòng máy chủ trên hệ thống kiểm soát truy cập có bị khóa không? Rave.

Tổng cộng, chúng tôi đã chờ đợi rất lâu, nhưng thứ chúng tôi nhận được là “sự kết hợp giữa rắn và nhím” - “dây thép gai” khiến các chuyên gia bối rối và bắt kịp. Sẽ là chuyện khác nếu họ chấp nhận cả bộ hồ sơ nhưng hóa ra lại tiến 1 bước, lùi 3 bước. Ngu ngốc và buồn bã.

Phát triển/Triển khai nếu chưa thực hiện:

Xác định danh sách các nhà cung cấp dữ liệu cá nhân và các yêu cầu đối với việc lưu trữ, sử dụng, vận chuyển và tiêu hủy chúng.
Đảm bảo an ninh vật lý của các nhà cung cấp dịch vụ PD và kiểm soát quyền truy cập vào cơ sở xử lý PD. Đó là một cách thực hành tốt để có một danh sách được phê duyệt về những người được phép vào phòng máy chủ. Đôi khi cơ quan quản lý cũng hỏi về danh sách những người được phép vào tất cả các cơ sở xử lý PD, nhưng theo tôi, điều này là không cần thiết.
Chỉ định một quan chức (nhân viên) chịu trách nhiệm đảm bảo tính bảo mật của dữ liệu cá nhân trong ISPD. Xin lưu ý rằng, như tôi đã viết trước đó, cần phân biệt giữa người chịu trách nhiệm xử lý và người chịu trách nhiệm đảm bảo tính bảo mật của dữ liệu cá nhân.
Sửa đổi các quy định về cơ cấu đơn vị chịu trách nhiệm đảm bảo an toàn dữ liệu cá nhân.
Xây dựng và phê duyệt danh sách những người được phép xử lý dữ liệu cá nhân.
Đối với SZPDn, hãy sử dụng SZI, đã thông qua thủ tục đánh giá sự phù hợp.
Xác định quy trình kiểm tra thường xuyên việc tuân thủ các yêu cầu đối với CPPD (quy trình kiểm soát nội bộ).

Sửa đổi/Sửa đổi có tính đến dữ liệu mới (làm điều đó nếu bạn chưa làm):

Có thể sửa đổi giao thức thiệt hại đáng kể cho chủ thể dữ liệu cá nhân.
Xem xét và cập nhật Đạo luật phân loại ISPD có tính đến mức độ bảo mật.

Sẵn sàng xem xét và cải thiện

Hãy chuẩn bị sửa đổi mô hình mối đe dọa ISPD.
Hãy chuẩn bị xem xét toàn bộ SZPD và mua SZD mới.
Hãy bắt đầu nghĩ về một tạp chí điện tử (nó là gì và sử dụng công nghệ gì) và đảm bảo tính bảo mật của nó :)))

CHÍNH PHỦ LIÊN BANG NGA

VỀ PHÊ DUYỆT YÊU CẦU

Theo Điều 19 của Luật Liên bang "Về dữ liệu cá nhân", Chính phủ Liên bang Nga quyết định:

1. Phê duyệt các yêu cầu kèm theo về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân trong hệ thống thông tin dữ liệu cá nhân.

2. Công nhận Nghị định của Chính phủ Liên bang Nga ngày 17 tháng 11 năm 2007 N 781 “Về việc phê duyệt Quy định về đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý chúng trong hệ thống thông tin dữ liệu cá nhân là không hợp lệ” (Pháp luật được thu thập của Liên bang Nga , 2007, N 48, Điều 6001) .

Chủ tịch Chính phủ
Liên Bang Nga
D.MEDVEDEV

Tán thành
Nghị quyết của Chính phủ
Liên Bang Nga
ngày 1 tháng 11 năm 2012 N 1119

YÊU CẦU
ĐỂ BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG KHI XỬ LÝ DỮ LIỆU CÁ NHÂN
TRONG HỆ THỐNG THÔNG TIN DỮ LIỆU CÁ NHÂN

1. Tài liệu này thiết lập các yêu cầu về bảo vệ dữ liệu cá nhân khi được xử lý trong hệ thống thông tin dữ liệu cá nhân (sau đây gọi là hệ thống thông tin) và mức độ bảo mật của dữ liệu đó.

2. Tính bảo mật của dữ liệu cá nhân khi xử lý trong hệ thống thông tin được đảm bảo bằng hệ thống bảo vệ dữ liệu cá nhân nhằm vô hiệu hóa các mối đe dọa hiện tại được xác định theo Phần 5 Điều 19 của Luật Liên bang “Về dữ liệu cá nhân”.

Hệ thống bảo vệ dữ liệu cá nhân bao gồm các biện pháp tổ chức và (hoặc) kỹ thuật được xác định có tính đến các mối đe dọa hiện tại đối với tính bảo mật của dữ liệu cá nhân và công nghệ thông tin được sử dụng trong hệ thống thông tin.

3. Việc bảo mật dữ liệu cá nhân khi xử lý trong hệ thống thông tin được đảm bảo bởi nhà điều hành hệ thống này, người xử lý dữ liệu cá nhân (sau đây gọi là nhà điều hành) hoặc bởi người xử lý dữ liệu cá nhân thay mặt cho nhà điều hành trên cơ sở theo thỏa thuận với người này (sau đây gọi là người được ủy quyền). Thỏa thuận giữa người điều hành và người được ủy quyền phải quy định nghĩa vụ của người được ủy quyền trong việc đảm bảo an toàn dữ liệu cá nhân khi xử lý trong hệ thống thông tin.

4. Việc lựa chọn phương tiện bảo mật thông tin cho hệ thống bảo vệ dữ liệu cá nhân được nhà điều hành thực hiện theo các văn bản quy phạm pháp luật được Cơ quan An ninh Liên bang Liên bang Nga và Cơ quan Kiểm soát Xuất khẩu và Kỹ thuật Liên bang thông qua theo Phần 4 Điều 19 của Luật Liên bang "Về dữ liệu cá nhân".

5. Hệ thống thông tin là hệ thống thông tin xử lý các loại dữ liệu cá nhân đặc biệt nếu xử lý dữ liệu cá nhân liên quan đến chủng tộc, quốc tịch, quan điểm chính trị, tín ngưỡng tôn giáo hoặc triết học, tình trạng sức khỏe, đời sống riêng tư của chủ thể dữ liệu cá nhân.

Hệ thống thông tin là hệ thống thông tin xử lý dữ liệu cá nhân sinh trắc học nếu nó xử lý thông tin đặc trưng cho các đặc điểm sinh lý và sinh học của một người, trên cơ sở đó người ta có thể thiết lập danh tính của mình và được người vận hành sử dụng để thiết lập danh tính của người đó. chủ đề dữ liệu cá nhân và không xử lý thông tin liên quan đến các loại dữ liệu cá nhân đặc biệt.

Hệ thống thông tin là hệ thống thông tin xử lý dữ liệu cá nhân có sẵn công khai nếu nó xử lý dữ liệu cá nhân của các chủ thể dữ liệu cá nhân chỉ thu được từ các nguồn dữ liệu cá nhân có sẵn công khai được tạo theo Điều 8 của Luật Liên bang “Về dữ liệu cá nhân”.

Hệ thống thông tin là hệ thống thông tin xử lý các loại dữ liệu cá nhân khác, nếu nó không xử lý dữ liệu cá nhân được chỉ định trong các đoạn từ một đến ba của đoạn này.

Hệ thống thông tin là hệ thống thông tin xử lý dữ liệu cá nhân của nhân viên của nhà điều hành nếu nó chỉ xử lý dữ liệu cá nhân của những nhân viên được chỉ định. Trong các trường hợp khác, hệ thống thông tin dữ liệu cá nhân là hệ thống thông tin xử lý dữ liệu cá nhân của chủ thể dữ liệu cá nhân không phải là nhân viên của nhà điều hành.

6. Các mối đe dọa hiện tại đối với tính bảo mật của dữ liệu cá nhân được hiểu là một tập hợp các điều kiện và yếu tố tạo ra mối nguy hiểm hiện tại về việc truy cập trái phép, bao gồm cả sự vô tình, vào dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân trong hệ thống thông tin, có thể dẫn đến phá hủy, sửa đổi, chặn, sao chép, cung cấp, phân phối dữ liệu cá nhân cũng như các hành động trái pháp luật khác.

Các mối đe dọa loại 1 có liên quan đến hệ thống thông tin nếu các mối đe dọa liên quan đến sự hiện diện của các khả năng không được ghi lại (không được khai báo) trong phần mềm hệ thống được sử dụng trong hệ thống thông tin cũng liên quan đến nó.

Các mối đe dọa loại 2 có liên quan đến hệ thống thông tin nếu các mối đe dọa liên quan đến sự hiện diện của các khả năng không được ghi lại (không được khai báo) trong phần mềm ứng dụng được sử dụng trong hệ thống thông tin cũng có liên quan đến nó.

Các mối đe dọa loại 3 có liên quan đến hệ thống thông tin nếu các mối đe dọa không liên quan đến sự hiện diện của các khả năng không được ghi chép (không được khai báo) trong hệ thống và phần mềm ứng dụng được sử dụng trong hệ thống thông tin có liên quan đến nó.

7. Việc xác định loại mối đe dọa đối với sự an toàn của dữ liệu cá nhân liên quan đến hệ thống thông tin được thực hiện bởi nhà điều hành có tính đến việc đánh giá tác hại có thể xảy ra theo khoản 5 phần 1 Điều 18.1 của Luật Liên bang " Về Dữ liệu Cá nhân" và phù hợp với các hành vi pháp lý quy định được thông qua theo Phần 5 Điều 19 của Luật Liên bang "Về Dữ liệu Cá nhân".

8. Khi xử lý dữ liệu cá nhân trong hệ thống thông tin, 4 cấp độ bảo mật dữ liệu cá nhân được thiết lập.

9. Nhu cầu đảm bảo mức độ bảo mật dữ liệu cá nhân thứ nhất khi được xử lý trong hệ thống thông tin được thiết lập nếu có ít nhất một trong các điều kiện sau:

a) các mối đe dọa loại 1 có liên quan đến hệ thống thông tin và hệ thống thông tin xử lý các danh mục dữ liệu cá nhân đặc biệt hoặc dữ liệu sinh trắc học cá nhân hoặc các danh mục dữ liệu cá nhân khác;

b) mối đe dọa loại 2 liên quan đến hệ thống thông tin và hệ thống thông tin xử lý các danh mục dữ liệu cá nhân đặc biệt của hơn 100.000 chủ thể dữ liệu cá nhân không phải là nhân viên của nhà điều hành.

10. Nhu cầu đảm bảo bảo mật dữ liệu cá nhân ở cấp độ thứ 2 khi xử lý dữ liệu đó trong hệ thống thông tin được thiết lập nếu có ít nhất một trong các điều kiện sau:

a) các mối đe dọa loại 1 có liên quan đến hệ thống thông tin và hệ thống thông tin xử lý dữ liệu cá nhân có sẵn công khai;

b) mối đe dọa loại 2 liên quan đến hệ thống thông tin và hệ thống thông tin xử lý các danh mục dữ liệu cá nhân đặc biệt của nhân viên của nhà điều hành hoặc các danh mục dữ liệu cá nhân đặc biệt có dưới 100.000 chủ thể dữ liệu cá nhân không phải là nhân viên của nhà điều hành;

c) các mối đe dọa loại 2 liên quan đến hệ thống thông tin và hệ thống thông tin xử lý dữ liệu sinh trắc học cá nhân;

d) mối đe dọa loại 2 liên quan đến hệ thống thông tin và hệ thống thông tin xử lý dữ liệu cá nhân được cung cấp công khai của hơn 100.000 chủ thể dữ liệu cá nhân không phải là nhân viên của nhà điều hành;

e) mối đe dọa loại 2 liên quan đến hệ thống thông tin và hệ thống thông tin xử lý các loại dữ liệu cá nhân khác của hơn 100.000 chủ thể dữ liệu cá nhân không phải là nhân viên của nhà điều hành;

f) các mối đe dọa loại 3 có liên quan đến hệ thống thông tin và hệ thống thông tin xử lý các danh mục dữ liệu cá nhân đặc biệt của hơn 100.000 chủ thể dữ liệu cá nhân không phải là nhân viên của nhà điều hành.

11. Nhu cầu đảm bảo bảo mật dữ liệu cá nhân ở cấp độ thứ 3 trong quá trình xử lý dữ liệu cá nhân trong hệ thống thông tin được thiết lập nếu có ít nhất một trong các điều kiện sau:

a) mối đe dọa loại 2 liên quan đến hệ thống thông tin và hệ thống thông tin xử lý dữ liệu cá nhân được công khai của nhân viên của nhà điều hành hoặc dữ liệu cá nhân được công khai của dưới 100.000 chủ thể dữ liệu cá nhân không phải là nhân viên của nhà điều hành;

b) mối đe dọa loại 2 liên quan đến hệ thống thông tin và hệ thống thông tin xử lý các loại dữ liệu cá nhân khác của nhân viên của nhà điều hành hoặc các loại dữ liệu cá nhân khác có dưới 100.000 đối tượng dữ liệu cá nhân không phải là nhân viên của nhà điều hành;

c) các mối đe dọa loại 3 liên quan đến hệ thống thông tin và hệ thống thông tin xử lý các danh mục dữ liệu cá nhân đặc biệt của nhân viên của nhà điều hành hoặc các danh mục dữ liệu cá nhân đặc biệt có dưới 100.000 chủ thể dữ liệu cá nhân không phải là nhân viên của nhà điều hành;

d) các mối đe dọa loại 3 liên quan đến hệ thống thông tin và hệ thống thông tin xử lý dữ liệu sinh trắc học cá nhân;

e) Mối đe dọa loại 3 liên quan đến hệ thống thông tin và hệ thống thông tin xử lý các loại dữ liệu cá nhân khác của hơn 100.000 chủ thể dữ liệu cá nhân không phải là nhân viên của nhà điều hành.

12. Nhu cầu đảm bảo mức độ bảo mật dữ liệu cá nhân thứ 4 khi xử lý dữ liệu đó trong hệ thống thông tin được thiết lập nếu có ít nhất một trong các điều kiện sau:

a) các mối đe dọa loại 3 có liên quan đến hệ thống thông tin và hệ thống thông tin xử lý dữ liệu cá nhân có sẵn công khai;

b) mối đe dọa loại 3 liên quan đến hệ thống thông tin và hệ thống thông tin xử lý các loại dữ liệu cá nhân khác của nhân viên của nhà điều hành hoặc các loại dữ liệu cá nhân khác của dưới 100.000 đối tượng dữ liệu cá nhân không phải là nhân viên của nhà điều hành.

13. Để đảm bảo mức độ bảo mật dữ liệu cá nhân cấp độ 4 khi xử lý dữ liệu cá nhân trong hệ thống thông tin, phải đáp ứng các yêu cầu sau:

a) tổ chức chế độ an ninh cho các cơ sở đặt hệ thống thông tin, ngăn chặn khả năng những người không có quyền truy cập vào các cơ sở này có thể xâm nhập hoặc ở lại các cơ sở này một cách không kiểm soát;

b) đảm bảo an toàn cho người vận chuyển dữ liệu cá nhân;

c) sự phê duyệt của người đứng đầu nhà điều hành đối với tài liệu xác định danh sách những người cần có quyền truy cập vào dữ liệu cá nhân được xử lý trong hệ thống thông tin để thực hiện nhiệm vụ chính thức (lao động) của họ;

d) việc sử dụng các công cụ bảo mật thông tin đã vượt qua quy trình đánh giá việc tuân thủ các yêu cầu của pháp luật Liên bang Nga trong lĩnh vực bảo mật thông tin, trong trường hợp việc sử dụng các công cụ đó là cần thiết để vô hiệu hóa các mối đe dọa hiện tại.

14. Để đảm bảo mức độ bảo mật dữ liệu cá nhân ở cấp độ thứ 3 khi xử lý dữ liệu đó trong hệ thống thông tin, ngoài việc đáp ứng các yêu cầu nêu tại khoản 13 của tài liệu này, cần phải chỉ định một quan chức (nhân viên) chịu trách nhiệm đảm bảo an ninh dữ liệu cá nhân trong hệ thống thông tin.

15. Để đảm bảo mức độ bảo mật thứ 2 của dữ liệu cá nhân trong quá trình xử lý dữ liệu trong hệ thống thông tin, ngoài việc đáp ứng các yêu cầu nêu tại đoạn 14 của tài liệu này, điều cần thiết là chỉ có thể truy cập vào nội dung của nhật ký tin nhắn điện tử đối với các quan chức (nhân viên) của người điều hành hoặc người được ủy quyền, những người mà thông tin trong nhật ký quy định là cần thiết để thực hiện nhiệm vụ chính thức (lao động).

16. Để đảm bảo mức độ bảo mật dữ liệu cá nhân cấp 1 khi xử lý dữ liệu đó trong hệ thống thông tin, ngoài các yêu cầu quy định tại đoạn 15 của tài liệu này, phải đáp ứng các yêu cầu sau:

a) đăng ký tự động vào nhật ký bảo mật điện tử những thay đổi về quyền truy cập dữ liệu cá nhân có trong hệ thống thông tin của nhân viên điều hành;

b) tạo ra một đơn vị cấu trúc chịu trách nhiệm đảm bảo an toàn dữ liệu cá nhân trong hệ thống thông tin hoặc phân công các chức năng đảm bảo an ninh đó cho một trong các đơn vị cấu trúc.

17. Việc giám sát việc tuân thủ các yêu cầu này được tổ chức và thực hiện bởi nhà điều hành (người được ủy quyền) một cách độc lập và (hoặc) với sự tham gia của các pháp nhân và cá nhân doanh nhân trên cơ sở hợp đồng, được cấp phép thực hiện các hoạt động bảo vệ kỹ thuật bí mật. thông tin. Việc kiểm soát theo quy định được thực hiện ít nhất 3 năm một lần trong thời hạn do người vận hành (người được ủy quyền) xác định.

Theo Điều 19 của Luật Liên bang "Về dữ liệu cá nhân", Chính phủ Liên bang Nga quyết định:

1. Phê duyệt các yêu cầu kèm theo về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân trong hệ thống thông tin dữ liệu cá nhân.

Chủ tịch Chính phủ
Liên Bang Nga
D.MEDVEDEV

TÁN THÀNH
Nghị quyết của Chính phủ
Liên Bang Nga
ngày 1 tháng 11 năm 2012 N 1119

2. Tính bảo mật của dữ liệu cá nhân khi được xử lý trong hệ thống thông tin được đảm bảo bằng hệ thống bảo vệ dữ liệu cá nhân giúp vô hiệu hóa các mối đe dọa hiện tại được xác định theo Phần 5

7. Việc xác định loại mối đe dọa đối với sự an toàn của dữ liệu cá nhân liên quan đến hệ thống thông tin được thực hiện bởi nhà điều hành có tính đến việc đánh giá tác hại có thể xảy ra theo khoản 5 phần 1 Điều 181 của Luật Liên bang " Về Dữ liệu Cá nhân" và phù hợp với các hành vi pháp lý quy định được thông qua theo Phần 5 của Điều 19 của Luật Liên bang "Về Dữ liệu Cá nhân".

8. Khi xử lý dữ liệu cá nhân trong hệ thống thông tin, 4 cấp độ bảo mật dữ liệu cá nhân được thiết lập.

A) các mối đe dọa loại 1 có liên quan đến hệ thống thông tin và hệ thống thông tin xử lý các danh mục dữ liệu cá nhân đặc biệt hoặc dữ liệu sinh trắc học cá nhân hoặc các danh mục dữ liệu cá nhân khác;

A) Mối đe dọa loại 1 liên quan đến hệ thống thông tin và hệ thống thông tin xử lý dữ liệu cá nhân được công bố rộng rãi;

C) các mối đe dọa loại 2 liên quan đến hệ thống thông tin và hệ thống thông tin xử lý dữ liệu sinh trắc học cá nhân;

D) mối đe dọa loại 2 liên quan đến hệ thống thông tin và hệ thống thông tin xử lý dữ liệu cá nhân được cung cấp công khai của hơn 100.000 chủ thể dữ liệu cá nhân không phải là nhân viên của nhà điều hành;

E) Mối đe dọa loại 3 liên quan đến hệ thống thông tin và hệ thống thông tin xử lý các danh mục dữ liệu cá nhân đặc biệt của hơn 100.000 chủ thể dữ liệu cá nhân không phải là nhân viên của nhà điều hành.

B) mối đe dọa loại 2 liên quan đến hệ thống thông tin và hệ thống thông tin xử lý các loại dữ liệu cá nhân khác của nhân viên của nhà điều hành hoặc các loại dữ liệu cá nhân khác của dưới 100.000 chủ thể dữ liệu cá nhân không phải là nhân viên của nhà điều hành;

D) các mối đe dọa loại 3 có liên quan đến hệ thống thông tin và hệ thống thông tin xử lý dữ liệu sinh trắc học cá nhân;

E) Mối đe dọa loại 3 liên quan đến hệ thống thông tin và hệ thống thông tin xử lý các loại dữ liệu cá nhân khác của hơn 100.000 chủ thể dữ liệu cá nhân không phải là nhân viên của nhà điều hành.

a) các mối đe dọa loại 3 có liên quan đến hệ thống thông tin và hệ thống thông tin xử lý dữ liệu cá nhân có sẵn công khai;

B) Mối đe dọa loại 3 liên quan đến hệ thống thông tin và hệ thống thông tin xử lý các loại dữ liệu cá nhân khác của nhân viên của nhà điều hành hoặc các loại dữ liệu cá nhân khác có dưới 100.000 đối tượng dữ liệu cá nhân không phải là nhân viên của nhà điều hành.

13. Để đảm bảo mức độ bảo mật dữ liệu cá nhân cấp độ 4 khi xử lý dữ liệu cá nhân trong hệ thống thông tin, phải đáp ứng các yêu cầu sau:

A) tổ chức chế độ an ninh cho các cơ sở đặt hệ thống thông tin, ngăn chặn khả năng những người không có quyền truy cập vào các cơ sở này có thể xâm nhập hoặc ở lại các cơ sở này một cách không kiểm soát;

b) đảm bảo an toàn cho người vận chuyển dữ liệu cá nhân;

A) đăng ký tự động vào nhật ký bảo mật điện tử về những thay đổi về quyền hạn của nhân viên điều hành để truy cập dữ liệu cá nhân có trong hệ thống thông tin;