SlideShare a Scribd company logo

ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

К
Константин Бажин

«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» 1. Утвердить прилагаемые требования к защите персональных данных при их обработке в информационных системах персональных данных. 2. Признать утратившим силу постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2007, N 48, ст. 6001). Устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных(далее -информационные системы) и уровни защищенности таких данных. Безопасность персональных данных при их обработке в информационной системеобеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона "О персональных данных".

1 of 28
Download to read offline
ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» 1. Утвердить прилагаемые требования к защите персональных данных при их обработке в информационных системах персональных данных. 2. Признать утратившим силу постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2007, N 48, ст. 6001).
Устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) и уровни защищенности таких данных. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона "О персональных данных".
Система защиты персональных данных включает в себя: • организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
Безопасность персональных данных при их обработке в информационной системе обеспечивает: • оператор этой системы, который обрабатывает персональные данные (далее - оператор), • или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.
Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".
Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, • касающиеся расовой, • национальной принадлежности, • политических взглядов, • религиозных или философских убеждений, • состояния здоровья, • интимной жизни субъектов персональных данных.
Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если • в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.
Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных
Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные выше.
УРОЗЫ ИБ
Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда. При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.
Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий: а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных; б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий: а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные; б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные; г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора; д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора; е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий: а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора; б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора; г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные; д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий: а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные; б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
ТРЕБОВАНИЯ
• Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований: • а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; • б) обеспечение сохранности носителей персональных данных; • в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; • г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 13 настоящего документа, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.
Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах дополнительно: • необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах дополнительно: а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе; б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.
Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

Recommended

методические рекомендации для гис
методические рекомендации для гисметодические рекомендации для гис
методические рекомендации для гисAKlimchuk
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данныхАлексей Кураленко
 
защита персональных данных
защита персональных данныхзащита персональных данных
защита персональных данныхСергей Сергеев
 
Защита персональных данных в информационных системах
Защита персональных данных в информационных системахЗащита персональных данных в информационных системах
Защита персональных данных в информационных системахDimOK AD
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхKsenia Shudrova
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данныхУчебный центр "Эшелон"
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
 
Сравнение ПП-781 и ПП-1119
Сравнение ПП-781 и ПП-1119Сравнение ПП-781 и ПП-1119
Сравнение ПП-781 и ПП-1119Aleksey Lukatskiy
 

Recommended

методические рекомендации для гис
методические рекомендации для гисметодические рекомендации для гис
методические рекомендации для гисAKlimchuk
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данныхАлексей Кураленко
 
защита персональных данных
защита персональных данныхзащита персональных данных
защита персональных данныхСергей Сергеев
 
Защита персональных данных в информационных системах
Защита персональных данных в информационных системахЗащита персональных данных в информационных системах
Защита персональных данных в информационных системахDimOK AD
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхKsenia Shudrova
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данныхУчебный центр "Эшелон"
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
 
Сравнение ПП-781 и ПП-1119
Сравнение ПП-781 и ПП-1119Сравнение ПП-781 и ПП-1119
Сравнение ПП-781 и ПП-1119Aleksey Lukatskiy
 
Softline: защита персональных данных
Softline: защита персональных данныхSoftline: защита персональных данных
Softline: защита персональных данныхSoftline
 
Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Александр Лысяк
 
Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...
Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...
Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...Alexey Komarov
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхCisco Russia
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012LETA IT-company
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхCisco Russia
 
Лицензирование в области ИБ
Лицензирование в области ИБЛицензирование в области ИБ
Лицензирование в области ИБАлексей Кураленко
 
Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ «ГК ГЭНДАЛЬФ»
 
LETA_Мастер-класс_ПДн_АНХ_Левцов
LETA_Мастер-класс_ПДн_АНХ_ЛевцовLETA_Мастер-класс_ПДн_АНХ_Левцов
LETA_Мастер-класс_ПДн_АНХ_Левцовgueste83e28
 
3 курс
3 курс3 курс
3 курсВладимир Шварц
 
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...UISGCON
 
Безопасность платежей 2017
Безопасность платежей 2017Безопасность платежей 2017
Безопасность платежей 2017Ksenia Shudrova
 
программно аппаратная зи 01
программно аппаратная зи 01программно аппаратная зи 01
программно аппаратная зи 01guest211bf6d
 
нпа обеспечение пдн
нпа обеспечение пдннпа обеспечение пдн
нпа обеспечение пднExpolink
 
Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Александр Лысяк
 
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.Александр Лысяк
 
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Константин Бажин
 
Концепция работы с персональными данными в медицинских центрах и организациях...
Концепция работы с персональными данными в медицинских центрах и организациях...Концепция работы с персональными данными в медицинских центрах и организациях...
Концепция работы с персональными данными в медицинских центрах и организациях...OOOPNK
 
Какие документы должны быть у оператора персональных данных
Какие документы должны быть у оператора персональных данныхКакие документы должны быть у оператора персональных данных
Какие документы должны быть у оператора персональных данныхКонстантин Бажин
 
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМКонстантин Бажин
 
Что такое SEO: полноценный план продвижения сайта.
Что такое SEO: полноценный план продвижения сайта.Что такое SEO: полноценный план продвижения сайта.
Что такое SEO: полноценный план продвижения сайта.Александр Лысяк
 
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...Константин Бажин
 

More Related Content

What's hot

Softline: защита персональных данных
Softline: защита персональных данныхSoftline: защита персональных данных
Softline: защита персональных данныхSoftline
 
Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Александр Лысяк
 
Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...
Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...
Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...Alexey Komarov
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхCisco Russia
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012LETA IT-company
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхCisco Russia
 
Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ «ГК ГЭНДАЛЬФ»
 
LETA_Мастер-класс_ПДн_АНХ_Левцов
LETA_Мастер-класс_ПДн_АНХ_ЛевцовLETA_Мастер-класс_ПДн_АНХ_Левцов
LETA_Мастер-класс_ПДн_АНХ_Левцовgueste83e28
 
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...UISGCON
 
Безопасность платежей 2017
Безопасность платежей 2017Безопасность платежей 2017
Безопасность платежей 2017Ksenia Shudrova
 
программно аппаратная зи 01
программно аппаратная зи 01программно аппаратная зи 01
программно аппаратная зи 01guest211bf6d
 
нпа обеспечение пдн
нпа обеспечение пдннпа обеспечение пдн
нпа обеспечение пднExpolink
 

What's hot (14)

Softline: защита персональных данных
Softline: защита персональных данныхSoftline: защита персональных данных
Softline: защита персональных данных
 
Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.
 
Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...
Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...
Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
 
Лицензирование в области ИБ
Лицензирование в области ИБЛицензирование в области ИБ
Лицензирование в области ИБ
 
Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ
 
LETA_Мастер-класс_ПДн_АНХ_Левцов
LETA_Мастер-класс_ПДн_АНХ_ЛевцовLETA_Мастер-класс_ПДн_АНХ_Левцов
LETA_Мастер-класс_ПДн_АНХ_Левцов
 
3 курс
3 курс3 курс
3 курс
 
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
 
Безопасность платежей 2017
Безопасность платежей 2017Безопасность платежей 2017
Безопасность платежей 2017
 
программно аппаратная зи 01
программно аппаратная зи 01программно аппаратная зи 01
программно аппаратная зи 01
 
нпа обеспечение пдн
нпа обеспечение пдннпа обеспечение пдн
нпа обеспечение пдн
 

Viewers also liked

Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Александр Лысяк
 
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.Александр Лысяк
 
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Константин Бажин
 
Концепция работы с персональными данными в медицинских центрах и организациях...
Концепция работы с персональными данными в медицинских центрах и организациях...Концепция работы с персональными данными в медицинских центрах и организациях...
Концепция работы с персональными данными в медицинских центрах и организациях...OOOPNK
 
Какие документы должны быть у оператора персональных данных
Какие документы должны быть у оператора персональных данныхКакие документы должны быть у оператора персональных данных
Какие документы должны быть у оператора персональных данныхКонстантин Бажин
 
Что такое SEO: полноценный план продвижения сайта.
Что такое SEO: полноценный план продвижения сайта.Что такое SEO: полноценный план продвижения сайта.
Что такое SEO: полноценный план продвижения сайта.Александр Лысяк
 
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...Константин Бажин
 
Как создать сайт с нуля за 1 день
Как создать сайт с нуля за 1 деньКак создать сайт с нуля за 1 день
Как создать сайт с нуля за 1 деньАлександр Лысяк
 
Ключевые изменения законодательства в области защиты ПДн
Ключевые изменения законодательства в области защиты ПДнКлючевые изменения законодательства в области защиты ПДн
Ключевые изменения законодательства в области защиты ПДнКонстантин Бажин
 
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Александр Лысяк
 
культура эксплуатации испдн
культура эксплуатации испднкультура эксплуатации испдн
культура эксплуатации испднSergey Borisov
 
Метрики информационной безопасности
Метрики информационной безопасностиМетрики информационной безопасности
Метрики информационной безопасностиАлександр Лысяк
 
Презентация мастер-класса "Как научиться управлять правами и полномочиями"
Презентация мастер-класса "Как научиться управлять правами и полномочиями"Презентация мастер-класса "Как научиться управлять правами и полномочиями"
Презентация мастер-класса "Как научиться управлять правами и полномочиями"Valerii Kosenko
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБАлександр Лысяк
 
Open Source Security Testing Methodology - Открытый фреймворк по тестированию...
Open Source Security Testing Methodology - Открытый фреймворк по тестированию...Open Source Security Testing Methodology - Открытый фреймворк по тестированию...
Open Source Security Testing Methodology - Открытый фреймворк по тестированию...SQALab
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиgrishkovtsov_ge
 
Создание сайтов: как всё устроено и первые шаги.
Создание сайтов: как всё устроено и первые шаги.Создание сайтов: как всё устроено и первые шаги.
Создание сайтов: как всё устроено и первые шаги.Александр Лысяк
 
Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?Александр Лысяк
 

Viewers also liked (20)

Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?
 
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
 
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
 
Концепция работы с персональными данными в медицинских центрах и организациях...
Концепция работы с персональными данными в медицинских центрах и организациях...Концепция работы с персональными данными в медицинских центрах и организациях...
Концепция работы с персональными данными в медицинских центрах и организациях...
 
Какие документы должны быть у оператора персональных данных
Какие документы должны быть у оператора персональных данныхКакие документы должны быть у оператора персональных данных
Какие документы должны быть у оператора персональных данных
 
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
 
Что такое SEO: полноценный план продвижения сайта.
Что такое SEO: полноценный план продвижения сайта.Что такое SEO: полноценный план продвижения сайта.
Что такое SEO: полноценный план продвижения сайта.
 
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...
 
Как создать сайт с нуля за 1 день
Как создать сайт с нуля за 1 деньКак создать сайт с нуля за 1 день
Как создать сайт с нуля за 1 день
 
Ключевые изменения законодательства в области защиты ПДн
Ключевые изменения законодательства в области защиты ПДнКлючевые изменения законодательства в области защиты ПДн
Ключевые изменения законодательства в области защиты ПДн
 
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.
 
культура эксплуатации испдн
культура эксплуатации испднкультура эксплуатации испдн
культура эксплуатации испдн
 
Метрики информационной безопасности
Метрики информационной безопасностиМетрики информационной безопасности
Метрики информационной безопасности
 
Презентация мастер-класса "Как научиться управлять правами и полномочиями"
Презентация мастер-класса "Как научиться управлять правами и полномочиями"Презентация мастер-класса "Как научиться управлять правами и полномочиями"
Презентация мастер-класса "Как научиться управлять правами и полномочиями"
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
 
Анализ и управление рисками
Анализ и управление рискамиАнализ и управление рисками
Анализ и управление рисками
 
Open Source Security Testing Methodology - Открытый фреймворк по тестированию...
Open Source Security Testing Methodology - Открытый фреймворк по тестированию...Open Source Security Testing Methodology - Открытый фреймворк по тестированию...
Open Source Security Testing Methodology - Открытый фреймворк по тестированию...
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
 
Создание сайтов: как всё устроено и первые шаги.
Создание сайтов: как всё устроено и первые шаги.Создание сайтов: как всё устроено и первые шаги.
Создание сайтов: как всё устроено и первые шаги.
 
Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?
 

Similar to ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Cisco Russia
 
Защита ИСПДН
Защита ИСПДНЗащита ИСПДН
Защита ИСПДНMNUCIB
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Cisco Russia
 
20091012_Personal data_02
20091012_Personal data_0220091012_Personal data_02
20091012_Personal data_02sbur
 
Комплексная защита персональных данных
Комплексная защита персональных данныхКомплексная защита персональных данных
Комплексная защита персональных данныхspiritussancti
 
Безопасность в Интернете
Безопасность в ИнтернетеБезопасность в Интернете
Безопасность в ИнтернетеMatevosyan Artur
 
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days
 
Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Security Code Ltd.
 
О.Б. Гранов (ГБУЗ СО «МИАЦ») - "Защита информации в РФ, требования к ЛПУ"
О.Б. Гранов (ГБУЗ СО «МИАЦ») - "Защита информации в РФ, требования к ЛПУ"О.Б. Гранов (ГБУЗ СО «МИАЦ») - "Защита информации в РФ, требования к ЛПУ"
О.Б. Гранов (ГБУЗ СО «МИАЦ») - "Защита информации в РФ, требования к ЛПУ"Expolink
 
Список мер по обеспечению безопасности персональных данных
Список мер по обеспечению безопасности персональных данныхСписок мер по обеспечению безопасности персональных данных
Список мер по обеспечению безопасности персональных данныхSiteSecure
 
доктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерациидоктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерацииАркадий Захаров
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Dinar Garipov
 
Мастер класс ПДн Левцов
Мастер класс ПДн ЛевцовМастер класс ПДн Левцов
Мастер класс ПДн Левцовguest5a2f763
 

Similar to ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ (20)

Сертификация и персональные данные
Сертификация и персональные данныеСертификация и персональные данные
Сертификация и персональные данные
 
Защита ГИС
Защита ГИСЗащита ГИС
Защита ГИС
 
О проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗО проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗ
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...
 
Защита ИСПДН
Защита ИСПДНЗащита ИСПДН
Защита ИСПДН
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...
 
20091012_Personal data_02
20091012_Personal data_0220091012_Personal data_02
20091012_Personal data_02
 
нн 2013 chugunov_v 1
нн 2013 chugunov_v 1нн 2013 chugunov_v 1
нн 2013 chugunov_v 1
 
Комплексная защита персональных данных
Комплексная защита персональных данныхКомплексная защита персональных данных
Комплексная защита персональных данных
 
GDPR and information security (ru)
GDPR and information security (ru)GDPR and information security (ru)
GDPR and information security (ru)
 
Безопасность в Интернете
Безопасность в ИнтернетеБезопасность в Интернете
Безопасность в Интернете
 
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
 
6
66
6
 
Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...
 
О.Б. Гранов (ГБУЗ СО «МИАЦ») - "Защита информации в РФ, требования к ЛПУ"
О.Б. Гранов (ГБУЗ СО «МИАЦ») - "Защита информации в РФ, требования к ЛПУ"О.Б. Гранов (ГБУЗ СО «МИАЦ») - "Защита информации в РФ, требования к ЛПУ"
О.Б. Гранов (ГБУЗ СО «МИАЦ») - "Защита информации в РФ, требования к ЛПУ"
 
Fomchenkov
FomchenkovFomchenkov
Fomchenkov
 
Список мер по обеспечению безопасности персональных данных
Список мер по обеспечению безопасности персональных данныхСписок мер по обеспечению безопасности персональных данных
Список мер по обеспечению безопасности персональных данных
 
доктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерациидоктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерации
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)
 
Мастер класс ПДн Левцов
Мастер класс ПДн ЛевцовМастер класс ПДн Левцов
Мастер класс ПДн Левцов
 

ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

  • 1. ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
  • 2. Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» 1. Утвердить прилагаемые требования к защите персональных данных при их обработке в информационных системах персональных данных. 2. Признать утратившим силу постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2007, N 48, ст. 6001).
  • 3. Устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) и уровни защищенности таких данных. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона "О персональных данных".
  • 4. Система защиты персональных данных включает в себя: • организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
  • 5. Безопасность персональных данных при их обработке в информационной системе обеспечивает: • оператор этой системы, который обрабатывает персональные данные (далее - оператор), • или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.
  • 6. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".
  • 7. Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, • касающиеся расовой, • национальной принадлежности, • политических взглядов, • религиозных или философских убеждений, • состояния здоровья, • интимной жизни субъектов персональных данных.
  • 8. Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если • в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.
  • 9. Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных
  • 10. Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные выше.
  • 12. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
  • 13. Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
  • 14. Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
  • 15. Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
  • 16. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда. При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.
  • 17. Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий: а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных; б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
  • 18. Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий: а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные; б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
  • 19. в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные; г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора; д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора; е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
  • 20. Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий: а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора; б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
  • 21. в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора; г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные; д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
  • 22. Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий: а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные; б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
  • 24. • Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований: • а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; • б) обеспечение сохранности носителей персональных данных; • в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; • г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
  • 25. Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 13 настоящего документа, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.
  • 26. Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах дополнительно: • необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
  • 27. Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах дополнительно: а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе; б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.
  • 28. Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).