Изискванията за защита на личните данни при обработката им в информационните системи на личен

информационните системи на личните данни

1. Този документ определя изискванията за защита на личните данни при обработката им в информационните системи на лични данни (по-нататък - Информационна система), както и нивата на защита на данните.

2. Гаранцията на личните данни при обработката им в системата на информация, предоставена от системата за защита на личните данни, неутрализиране на заплахата с изтекъл срок, определен в съответствие с част 5 на член 19 от Федералния закон "За личните данни".

лична система за защита на данните включва организационни и (или) технически мерки, определени в съответствие с реалните заплахи за сигурността на данните и информационните технологии лични използвани в информационните системи.

3. Гаранцията за личните данни при обработването им в рамките на системата за информация, предоставена от оператора на системата, който обработва лични данни (по-нататък - оператор), или лице, което извършва обработката на лични данни от името на оператора въз основа на сключения договор с този човек (по-нататък - на упълномощеното лице). В договора между оператора и упълномощеното лице трябва да предостави на упълномощеното лице от задължението да се гарантира сигурността на личните данни при обработката им в информационната система.

4. Избор на средства за защита на информацията за система за защита на личните данни от страна на оператора в съответствие с нормативните актове, приети от Федералния сигурност на България и Федералната служба за технически и експортен контрол, в съответствие с параграф 4 от член 19 от Федералния закон "За личните данни" на.

Информационната система е информационна система, която обработва общественото личните данни, ако тя се обработва личните данни на субектите на личните данни, получени само от публично достъпни източници на лични данни, създадени в съответствие с член 8 от Федералния закон "За личните данни".

Информационната система е информационна система за обработка на личните данни на служителите на оператора, когато обработва лични данни само за определени служители. В други случаи, информационната система на лични данни е информационна система, която обработва личните данни на субектите на лични данни, които не са служители на оператора.

Заплахи от тип 1 са от значение за информационната система, ако има, включително и съответните заплахи, свързани с наличието на лица без документи (недеклариран) разполага в системния софтуер, използван в информационната система.

Заплахи от тип 2 са от значение за информационната система, ако има, включително и съответните заплахи, свързани с присъствието на лица без документи (недекларирани) възможности в приложния софтуер, използван в информационната система.

Заплахи третия тип са подходящи за информационната система, ако има съответните заплахи, които не са свързани с присъствието на лица без документи (недеклариран) капацитет в системния софтуер и прилагане, използвани в информационната система.

7. Определете вида на заплахи за сигурността на личните данни, свързани с информационната система, създадени от оператора въз основа на оценка на евентуалните вреди, извършена в съответствие с параграф 5 от част 1 на член 18.1 от Федералния закон "За личните данни", както и в съответствие с нормативните актове, приети в съответствие с част 5 на член 19 от Федералния закон "за личните данни".

8. Ако при обработването на лични данни в информационните системи настроен 4 нива на защита на личните данни.

9. Необходимостта от първа степен на сигурност на личните данни при обработката им в рамките на информационна система, създадена в присъствието на най-малко едно от следните условия:

10. Необходимостта от осигуряване на 2-ро ниво на сигурност на личните данни при обработката им в рамките на информационна система, създадена в присъствието на най-малко едно от следните условия:

а) за информационната система съответната заплаха тип 1 и информационна система обработва обществеността на личните данни;

в) за информационна система, съответната заплаха тип 2 и биометрична информация Системата обработва личните данни;

ж) за съответния тип заплаха 2 информационна система и информационна система дръжки публичните лични данни на повече от 100,000 поданици на лични данни, не са служители на оператора;

11. Необходимостта от трето ниво на сигурност на личните данни при обработката им в рамките на информационна система, създадена в присъствието на най-малко едно от следните условия:

а) за информационна система, съответната заплаха тип 2 и информационната система дръжки обществени личните данни на служителите на оператора или публични личните данни на по-малко от 100,000 поданици на личните данни, не са служители на оператора;

ж) за информационната система на трети тип съответната заплаха и информационна система обработва биометрични лични данни;

12. Необходимостта от 4-ти ниво на сигурност на личните данни при обработката им в рамките на информационна система, създадена в присъствието на най-малко едно от следните условия:

а) за информационната система съответната трета тип заплаха и информационна система обработва обществеността на личните данни;

13. За четвърти ниво на сигурност на личните данни при обработването им в рамките на информационните системи, необходими за да отговарят на следните изисквания:

а) организация на режима, за да се гарантира сигурността на помещенията, в която се помещава на информационната система, която предотвратява възможността от неконтролирано проникване или да останат в тези помещения на лица, които нямат право на достъп до тези съоръжения;

б) запазване на носители на лични данни;

в) одобрение на ръководителя на оператора на документа, който определя списъка на лицата, чиито достъп до личните данни, обработвани в информационната система, необходима за изпълнение на официалния (заетост) задължения;

г) използването на средства за защита на информацията, покрай съответствие с процедурата по български оценка на законодателството в областта на информационната сигурност, в случай, когато е необходимо използването на такива средства за неутрализиране на реалните заплахи.

14. За третото ниво на сигурност на личните данни при обработването им в рамките на информационните системи в допълнение към изискванията, предвидени в параграф 13 от този документ, е необходимо, че е назначен служител (служител) е отговорна за гарантиране на сигурността на личните данни в информационната система.

15. За да се осигури 2-ро ниво на сигурност на личните данни при обработването им в рамките на информационните системи в допълнение към изискванията, предвидени в параграф 14 от този документ, е необходимо за достъп до съдържанието на дърводобива електронното съобщение е възможно само за длъжностни лица (служители) на оператора или упълномощеното лице, че информацията, съдържаща се в това списание са необходими за изпълнение на служебните (заетост) задължения.

16. Да се ​​осигури първо ниво на сигурност на личните данни при обработването им в рамките на информационните системи, в допълнение към изискванията на параграф 15 от този документ, трябва да отговаря на следните изисквания:

а) автоматична регистрация в списанието променя безопасност оператор служител в офис за достъп до лични данни, съдържащи се в информационната система;

б) създаването на структурно звено, отговорно за осигуряване на сигурността на личните данни в информационна система, или за определяне на един от структурните звена за предоставяне на такива функции за сигурност.

17. Мониторинг на изпълнението на тези изисквания се организира и провежда от оператора (упълномощено лице) притежават и (или) с помощта на договорна основа на юридически лица и индивидуални предприемачи, като лицензията за осъществяване на дейност на техническа защита на поверителна информация. Този мониторинг се извършва най-малко един път на 3 години в условията, определени от оператора (упълномощено лице).