Новые информационные технологии и программное обеспечение
  RSS    

20231229 200x300 0d249f2d3676e05c1a28a375dff09c2a



Постановление об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных (проект)

 

 

 

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ

ПОСТАНОВЛЕНИЕ
от ___ __________ 201_ г. №___________
г. Москва
Об установлении уровней защищенности персональных
данных при их обработке в информационных системах
персональных данных в зависимости от угроз
безопасности этих данных (проект)


В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет:
1. Установить следующие уровни защищенности персональных данных при их обработке в информационных системах персональных данных:
1-й уровень;
2-й уровень;
3-й уровень;
4-й уровень.
2. Установить, что в целях настоящего постановления:
а) информационная система обрабатывает специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;
б) информационная система обрабатывает биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных;
в) информационная система обрабатывает общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных»;
г) информационная система обрабатывает иные категории персональных данных, если в ней обрабатываются персональные данные, не указанные в подпунктах «а» «в» настоящего пункта;
д) информационная система обрабатывает персональные данные субъектов персональных данных оператора (юридического лица), если в ней обрабатываются персональные данные только сотрудников оператора. В остальных случаях информационная система персональных данных обрабатывает персональные данные субъектов персональных данных, не
являющихся сотрудниками оператора;
е) под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение
персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;
ж) угрозы 1-го типа актуальны для информационной системы персональных данных, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в составе информационной системы персональных данных;
з) угрозы 2-го типа актуальны для информационной системы персональных данных, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в составе информационной системы персональных данных;
и) угрозы 3-го типа актуальны для информационной системы персональных данных, если для нее не актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в составе информационной системы персональных данных.
3. Определение типа угроз безопасности персональных данных, актуальных для информационной системы персональных данных, производится оператором с учетом совокупности условий и факторов, указанных в подпункте «е» пункта 2, а также оценки вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», и нормативных правовых актов, принятых во исполнение части 5 статьи 19 Федерального закона «О персональных данных».
4. 1-й уровень защищенности персональных данных при их обработке в информационной системе персональных данных устанавливается, если выполняется одно из следующих условий:

  • для информационной системы персональных данных актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;
  • для информационной системы персональных данных актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.

5. 2-й уровень защищенности персональных данных при их обработке в информационной системе персональных данных устанавливается, если выполняется одно из следующих условий:

  • для информационной системы персональных данных актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;
  • для информационной системы персональных данных актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных оператора (юридического лица) или специальные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;
  • для информационной системы персональных данных актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;
  • для информационной системы персональных данных актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;
  • для информационной системы персональных данных актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;
  • для информационной системы персональных данных актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.

6. 3-й уровень защищенности персональных данных при их обработке в информационной системе персональных данных устанавливается, если выполняется одно из следующих условий:

  • для информационной системы персональных данных актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные оператора (юридического лица) или общедоступные персональные данные менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;
  • для информационной системы персональных данных актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных оператора (юридического лица) или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;
  • для информационной системы персональных данных актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных оператора (юридического лица) или специальные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;
  • для информационной системы персональных данных актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;
  • для информационной системы персональных данных актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.

7. 4-й уровень защищенности персональных данных при их обработке в информационной системе персональных данных устанавливается, если выполняется одно из следующих условий:

  • для информационной системы персональных данных актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;
  • для информационной системы персональных данных актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных оператора (юридического лица) или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.

 

Председатель Правительства
Российской Федерации                                                                                                                                                Д. Медведев

 

 

 

 

 

 

 

Оставьте свой комментарий!

Добавить комментарий


 

Самое читаемое:

Быстрый поиск

Инструкции к программам

Инструкции к программам

Сайт "Новые Информационные Технологии" содержит лишь справочные данные из открытых источников. Мы НЕ Рекламируем и НЕ Рекомендуем покупать или использовать ВСЕ упомянутые на сайте программы, оборудование и технологии