Загрузка не удалась. Возможно, проблемы с правами доступа?

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
документы:нмд:постановление_n_1119 [2016/11/01 09:59]
ytiruces
документы:нмд:постановление_n_1119 [2016/11/01 10:14] (текущий)
ytiruces
Строка 22: Строка 22:
 // //
  
-1. Настоящий документ устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) и уровни защищенности таких данных.+1. Настоящий документ устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных (далее - [[словарь:​информационная_система|информационные системы]]) и уровни защищенности таких данных.
  
-2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных,​ нейтрализующей актуальные угрозы,​ определенные в соответствии с частью 5 статьи 19 Федерального закона "О персональных данных"​.+2. Безопасность ​[[словарь:​персональные_данные|персональных данных]] при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных,​ нейтрализующей актуальные ​[[словарь:​угроза|угрозы]], определенные в соответствии с частью 5 статьи 19 Федерального ​[[документы:​законы:​фз_152|закона "О персональных данных"​]].
  
-Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий,​ используемых в информационных системах.+Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз ​[[словарь:​безопасность|безопасности]] персональных данных и информационных технологий,​ используемых в информационных системах.
  
 3. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы,​ который обрабатывает персональные данные (далее - оператор),​ или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе. 3. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы,​ который обрабатывает персональные данные (далее - оператор),​ или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.
Строка 32: Строка 32:
 4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами,​ принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных"​. 4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами,​ принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных"​.
  
-5. Информационная система является информационной системой,​ обрабатывающей специальные категории персональных данных,​ если в ней обрабатываются персональные данные,​ касающиеся расовой,​ национальной принадлежности,​ политических взглядов,​ религиозных или философских убеждений,​ состояния здоровья,​ интимной жизни субъектов персональных данных.+5. Информационная система является информационной системой,​ обрабатывающей ​**специальные категории персональных данных**, если в ней обрабатываются персональные данные,​ касающиеся расовой,​ национальной принадлежности,​ политических взглядов,​ религиозных или философских убеждений,​ состояния здоровья,​ интимной жизни субъектов персональных данных.
  
-Информационная система является информационной системой,​ обрабатывающей биометрические персональные данные,​ если в ней обрабатываются сведения,​ которые характеризуют физиологические и биологические особенности человека,​ на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных,​ и не обрабатываются сведения,​ относящиеся к специальным категориям персональных данных.+Информационная система является информационной системой,​ обрабатывающей ​**биометрические персональные данные**, если в ней обрабатываются сведения,​ которые характеризуют физиологические и биологические особенности человека,​ на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных,​ и не обрабатываются сведения,​ относящиеся к специальным категориям персональных данных.
  
-Информационная система является информационной системой,​ обрабатывающей общедоступные персональные данные,​ если в ней обрабатываются персональные данные субъектов персональных данных,​ полученные только из общедоступных источников персональных данных,​ созданных в соответствии со статьей 8 Федерального закона "О персональных данных"​.+Информационная система является информационной системой,​ обрабатывающей ​**общедоступные персональные данные**, если в ней обрабатываются персональные данные субъектов персональных данных,​ полученные только из общедоступных источников персональных данных,​ созданных в соответствии со статьей 8 Федерального закона "О персональных данных"​.
  
-Информационная система является информационной системой,​ обрабатывающей иные категории персональных данных,​ если в ней не обрабатываются персональные данные,​ указанные в абзацах первом - третьем настоящего пункта.+Информационная система является информационной системой,​ обрабатывающей ​**иные категории персональных данных**, если в ней не обрабатываются персональные данные,​ указанные в абзацах первом - третьем настоящего пункта.
  
-Информационная система является информационной системой,​ обрабатывающей персональные данные сотрудников оператора,​ если в ней обрабатываются персональные данные только указанных сотрудников. В остальных случаях информационная система персональных данных является информационной системой,​ обрабатывающей персональные данные субъектов персональных данных,​ не являющихся сотрудниками оператора.+Информационная система является информационной системой,​ обрабатывающей ​**персональные данные сотрудников оператора**, если в ней обрабатываются персональные данные только указанных сотрудников. В остальных случаях информационная система персональных данных является информационной системой,​ обрабатывающей персональные данные субъектов персональных данных,​ не являющихся сотрудниками оператора.
  
-6. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов,​ создающих актуальную опасность несанкционированного,​ в том числе случайного,​ доступа к персональным данным при их обработке в информационной системе,​ результатом которого могут стать уничтожение,​ изменение,​ блокирование,​ копирование,​ предоставление,​ распространение персональных данных,​ а также иные неправомерные действия.+6. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов,​ создающих актуальную опасность ​[[словарь:​несанкционированный_доступ|несанкционированного]], в том числе случайного,​ доступа к персональным данным при их обработке в информационной системе,​ результатом которого могут стать уничтожение,​ изменение,​ блокирование,​ копирование,​ предоставление,​ распространение персональных данных,​ а также иные неправомерные действия.
  
-Угрозы 1-го типа актуальны для информационной системы,​ если для нее в том числе актуальны угрозы,​ связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении,​ используемом в информационной системе.+**Угрозы 1-го типа** актуальны для информационной системы,​ если для нее в том числе актуальны угрозы,​ связанные с наличием недокументированных ([[словарь:​недекларированные_возможности|недекларированных]]) возможностей в системном программном обеспечении,​ используемом в информационной системе.
  
-Угрозы 2-го типа актуальны для информационной системы,​ если для нее в том числе актуальны угрозы,​ связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении,​ используемом в информационной системе.+**Угрозы 2-го типа** актуальны для информационной системы,​ если для нее в том числе актуальны угрозы,​ связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении,​ используемом в информационной системе.
  
-Угрозы 3-го типа актуальны для информационной системы,​ если для нее актуальны угрозы,​ не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении,​ используемом в информационной системе.+**Угрозы 3-го типа** актуальны для информационной системы,​ если для нее актуальны угрозы,​ не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении,​ используемом в информационной системе.
  
 7. Определение типа угроз безопасности персональных данных,​ актуальных для информационной системы,​ производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных",​ и в соответствии с нормативными правовыми актами,​ принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных"​. 7. Определение типа угроз безопасности персональных данных,​ актуальных для информационной системы,​ производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных",​ и в соответствии с нормативными правовыми актами,​ принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных"​.