Постановление Правительства РФ от 01.11.2012 N 1119

"Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных"

Правительством РФ установлены требования к защите персональных данных при их обработке в информационных системах, определяющие классификацию информационных систем по видам обрабатываемых данных, классификацию угроз для разных видов систем, а также необходимые уровни защищенности для каждого из видов таких систем

Определено, что безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Договор между оператором и таким лицом должен предусматривать обязанность данного лица обеспечить безопасность персональных данных при их обработке.

Выбор средств защиты информации для системы осуществляется оператором в соответствии с нормативными правовыми актами ФСБ России и ФСТЭК России.

Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия. Определение типа угроз безопасности персональных данных, актуальных для системы, производится оператором с учетом оценки возможного вреда и в соответствии с нормативными правовыми актами уполномоченных органов.

При обработке персональных данных в системах устанавливаются 4 уровня защищенности в зависимости от категории данных и количества субъектов, данные которых содержит система.