Постановление правительства 1119 персональные данные

>>> Опубликовано: - 10.09.2017 - 2390 Просмотров

Данных, утвержденными постановлением Правительства. N 1119 "Об утверждении требований к защите персональных данных при их.

N 1119 "Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных" (Репин А. N 1119 "Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных" (Репин А.

Закона о персональных данных бюджетные учреждения, как и другие организации, при обработке персональных данных обязаны принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. ТК РФ под персональными данными понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

При этом трудовым законодательством не уточняется, какая конкретно информация о сотрудниках, работающих в учреждении, к ним относится. Сведения об образовании, профессии, доходах и др. Операторы иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять эти сведения без согласия субъекта персональных данных, если иное не предусмотрено Законом о персональных данных (ст. Обеспечение безопасности персональных данных достигается, в частности (ч.

Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. N 1119 утверждены Требования к защите персональных данных при их обработке в информационных системах персональных данных (далее - Требования N 1119). Указанным Постановлением признано утратившим силу Постановление Правительства РФ от 17. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (далее - Постановление N 781).

Требований N 1119 безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные, или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.

Состав и содержание необходимых для выполнения установленных Правительством РФ Требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются ФСБ и ФСТЭК в пределах их полномочий. Так, например, Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утверждены ФСБ России 21.

Выбор средств защиты информации для системы защиты персональных данных осуществляется учреждением в соответствии с указанными выше Требованиями (п. Закона о персональных данных под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.

Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Пунктом 6 Требований N 1119 установлено определение понятия "актуальные угрозы безопасности" и введены уровни таких угроз. Так, под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Постановление Правительства 1119 по полочкам

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе. Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе. Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Определение типа угроз безопасности персональных данных, актуальных для информационной системы, должно осуществляться бюджетным учреждением с учетом оценки возможного вреда, проведенной во исполнение п. Закона о персональных данных оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.

Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. Ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе Требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

При обработке персональных данных в информационных системах устанавливаются четыре уровня защищенности персональных данных.

Постановление Правительства 1119 по полочкам

Необходимо отметить, что информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных. Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.

Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со ст. Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные в абз. Информационная система является информационной системой, обрабатывающей персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников.

В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора.

Постановление Правительства РФ от 01112012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

Напомним, что Порядок проведения классификации информационных систем персональных данных утвержден совместным Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13. Б) для информационной системы актуальны угрозы 2-го типа информационная система обрабатывает специальные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора. Е) для информационной системы актуальны угрозы 3-го типа информационная система обрабатывает специальные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.

Д) для информационной системы актуальны угрозы 3-го типа информационная система обрабатывает иные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора. Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных для обеспечения 4-го уровня защищенности, необходимо, чтобы было назначено должностное лицо (работник), ответственное за обеспечение безопасности персональных данных в информационной системе.

Б) для информационной системы актуальны угрозы 3-го типа информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора. Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных п.

Требований N 1119, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей. Б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

Постановление Правительства 1119 по полочкам

Контроль за выполнением Требований N 1119 организуется и проводится учреждением (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже одного раза в три года в сроки, определяемые учреждением. Утвердить прилагаемые к защите персональных данных при их обработке в информационных системах персональных данных.

Признать утратившим силу Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2007, N 48, ст. Требования к защите персональных данных при их обработке в информационных системах персональных данных (утв. Настоящий документ устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) и уровни защищенности таких данных.

Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с Федерального закона "О персональных данных". Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных информационных технологий, используемых в информационных системах. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо).

транспортная накладная приложение 4 от 30.12.2011 1208 бланк

Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение Федерального закона "О персональных данных". Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.

Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.

код документа 1777 пояснительная записка образец

Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со Федерального закона "О персональных данных". Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные в настоящего пункта.

Информационная система является информационной системой, обрабатывающей персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников.

выраженное в государственных актах охраняемое государством и обязательное правило поведения называет

В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе. Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Постановление Правительства 1119 по полочкам

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение Федерального закона "О персональных данных", и в соответствии с, принятыми во исполнение Федерального закона "О персональных данных".

При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных. Б) для информационной системы актуальны угрозы 2-го типа информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора. Е) для информационной системы актуальны угрозы 3-го типа информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

Д) для информационной системы актуальны угрозы 3-го типа информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора. Б) для информационной системы актуальны угрозы 3-го типа информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

Г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Постановление Правительства 1119 по полочкам

Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных настоящего документа, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе. Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных настоящего документа, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

Б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности. Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом). В Закон о персональных данных вносились многочисленные изменения. В связи с этим пересмотрены требования по защите этих данных при их обработке в соответствующих информационных системах. Система защиты персональных данных призвана нейтрализовывать актуальные угрозы их безопасности.

уведомление об отказе от исполнения договора оказания услуг образец

Она включает в себя организационные и (или) технические меры. Последние зависят от установленного уровня защищенности персональных данных. Он определяется исходя из типа угроз (приведена их классификация), вида персональных данных (биометрические, общедоступные и пр. Количества их субъектов и прочих факторов. За безопасность персональных данных отвечает оператор системы, который их обрабатывает, или уполномоченное им лицо.

Постановление Правительства 1119 по полочкам

Оператор системы выбирает средства защиты информации в соответствии с нормативными актами ФСБ России и ФСТЭК России. Выполнение требований контролируется оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юрлиц и ИП. Последние должны иметь лицензию на занятие деятельностью по технической защите конфиденциальной информации. Контроль проводится не реже 1 раза в 3 года. Конкретные сроки определяются оператором (уполномоченным лицом). Прежние требования признаны утратившими силу.

Текст постановления опубликован в "Российской газете" от 7 ноября 2012 г. N 256, в Собрании законодательства Российской Федерации от 5 ноября 2012 г. ООО "НПП "ГАРАНТ-СЕРВИС", 2017. Система ГАРАНТ выпускается с 1990 года.

образец заполнения формы кнд 1165055

Компания "Гарант" и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ. Ru) зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 г.

Постановление Правительства РФ от 01112012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

Утвердить прилагаемые к защите персональных данных при их обработке в информационных системах персональных данных. Признать утратившим силу постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2007, N 48, ст.