КЫРГЫЗ РЕСПУБЛИКАСЫНЫН ӨКМӨТҮ
ТОКТОМ
2017-жылдын 21-ноябры № 760
Жеке маалыматтарды маалымат тутумдарында иштетүү учурунда аткарылышы жеке маалыматтардын корголушун белгиленген деңгээлде камсыз кылуучу, жеке маалыматтардын коопсуздугун камсыз кылууга жана коргоого талаптарды бекитүү жөнүндө
"Жеке мүнөздөгү маалымат жөнүндө" Кыргыз РеспубликасынынМыйзамынын21-статьясына, "Кыргыз Республикасынын Өкмөтү жөнүндө" Кыргыз Республикасынын конституциялыкМыйзамынын10жана17-беренелерине ылайык Кыргыз Республикасынын Өкмөтү
ТОКТОМ КЫЛАТ:
1. Жеке маалыматтарды маалымат тутумдарында иштетүү учурунда аткарылышы жеке маалыматтардын корголушун белгиленген деңгээлде камсыз кылуучу, жеке маалыматтардын коопсуздугун камсыз кылууга жана коргооготалаптар(мындан ары - Талаптар) тиркемеге ылайык бекитилсин.
2. Кыргыз Республикасынын Маалыматтык технологиялар жана байланыш мамлекеттик комитети Кыргыз Республикасынын Улуттук коопсуздук мамлекеттик комитети менен макулдашуу боюнча бир жумалык мөөнөттө төмөнкүлөрдү иштеп чыксын жана бекитсин:
- Болжолдонгон коркунучтардын бардык түрлөрүн жана типтерин камтуучу маалымат тутумдарында жеке маалыматтарды иштетүү учурунда жеке маалыматтардын коопсуздугуна коркунучтардын типтүү тизмеси;
- жеке маалыматтардын маалымат тутумдарында коопсуздук коркунучтарын аныктоонун методикасы;
- коркунучтардын түрлөрүнүн тизмесинин формасы.
3. Министрликтер, мамлекеттик комитеттер, административдик ведомстволор, башка мамлекеттик органдар, жергиликтүү өз алдынча башкаруу органдары (макулдашуу боюнча) бир айлык мөөнөттө:
- иштин тиешелүү түрлөрүн ишке ашырууда пайдаланылуучу маалымат тутумдарында, жеке маалыматтардын мазмунун, аларды иштетүүнүн мүнөзүн жана ыкмаларын эске алуу менен маалымат тутумдарында жеке маалыматтарды иштетүү учурунда жеке маалыматтардын коопсуздугуна келтирилген коркунучтардын тармактык тизмесин иштеп чыгышсын жана бекитишсин;
- ушул токтомдун аткарылышын камсыз кылуу боюнча толук чараларды көрүшсүн.
4. Ушул токтомдун аткарылышын контролдоо Кыргыз Республикасынын Өкмөтүнүн Аппаратынын курулуш, транспорт жана коммуникациялар бөлүмүнө, коргоо, укуктук тартип жана өзгөчө кырдаалдар бөлүмүнө жүктөлсүн.
5. Ушул токтом расмий жарыяланган күндөн тартып күчүнө кирет.
Премьер-министри | С. Исаков |
Тиркеме
Жеке маалыматтарды маалымат тутумдарында иштетүү учурунда аткарылышы жеке маалыматтардын корголушун белгиленген деңгээлде камсыз кылуучу, жеке маалыматтардын коопсуздугун камсыз кылууга жана коргоого
ТАЛАПТАР
1. Жалпы жоболор
1. Ушул Талаптар жеке маалыматтарды маалымат тутумдарында иштетүү учурунда алардын корголуучулук деңгээлин, коркунучтардын тизмесине кирген жеке маалыматтардын коопсуздугуна келтирилген коркунучтардын критерийлерин, ошондой эле "Жеке мүнөздөгү маалымат жөнүндө" Кыргыз РеспубликасынынМыйзамынын21-беренесинеылайык жеке маалыматтарды маалымат тутумдарында иштетүү учурунда аткарылышы жеке маалыматтардын корголушун белгиленген деңгээлде камсыз кылуучу, жеке маалыматтардын коопсуздугун камсыз кылууга жана коргоого талаптарды белгилейт.
2. Ушул Талаптарда пайдаланылуучу түшүнүктөр "Жеке мүнөздөгү маалымат жөнүндө" жана "Электрондук башкаруу жөнүндө" Кыргыз Республикасынын мыйзамдарында аныкталган маанилерде колдонулат.
3. Ушул Талаптардын жоболору мамлекеттик органдардын, жергиликтүү өз алдынча башкаруу органдарынын, мамлекет жана/же муниципалдык түзүлүштөрдүн катышуусу менен юридикалык жактардын, мамлекеттик/муниципалдык маалыматтык тутумдардын ээлери жана/же операторлору болуп саналган, республикалык жана жергиликтүү бюджеттерден каржылануучу уюмдардын, жеке маалыматтар иштетилүүчү электрондук башкаруунун мамлекеттик инфратүзүмүнүн курамына кирүүчү башка элементтердин, ошондой эле жеке маалыматтардын массивдеринин бардык кармоочуларынын (ээлеринин) колдонуулары үчүн милдеттүү.
2. Жеке маалыматтарды маалымат тутумдарында иштетүү учурунда алардын корголуучулук деңгээлдери
4. Жеке маалыматтарды иштетүү учурунда маалымат тутумдарында корголуучулуктун төмөнкүдөй деңгээлдери белгиленет:
1) көк;
2) жашыл;
3) сары;
4) кызыл.
5. Конкреттүү маалыматтык тутумдарда жеке маалыматтарды иштетүүдө алардын корголушун камсыздоо үчүн зарыл болгон жеке маалыматтардын коопсуздук деңгээлин жеке маалыматтар массивинин кармоочусу (ээси) төмөнкүдөй тартипте ишке тандайт:
1) жеке маалыматтар боюнча ыйгарым укуктуу мамлекеттик орган жеке маалыматтарды маалыматтык тутумда иштетүүдө коопсуздуктун коркунучтарынын типтүү тизмесин (мындан ары - Типтүү тизме) иштеп чыгат жана бекитет, анда ыктымалдуу коркунучтардын баардык түрлөрү жана типтери, ошондой эле жеке маалыматтардын маалымат тутумдарындагы коопсуздукка коркунучтарды аныктоонун методикасы (мындан ары - Коркунучтарды аныктоонун методикасы) камтылат;
2) министрликтер, мамлекеттик комитеттер, администрациялык ведомстволор, ошондой эле башка мамлекеттик органдар, жергиликтүү өз алдынча башкаруу органдары Типтүү тизменин, Коркунучтарды аныктоонун методикасынын негизинде жеке маалыматтардын массивинин ведомстволук кармоочуларынын аткарышы үчүн милдеттүү болгон, иштин тийиштүү түрлөрүн аткарууда эксплуатациялануучу маалымат тутумдарында жеке маалыматтарды иштетүүдө болуучу коркунучтардын тизмесин аныктоо жөнүндө ведомстволук актыларды жеке маалыматтардын мазмунун, аларды иштетүүнүн мүнөзүн жана ыкмаларын эске алуу менен иштеп чыгып жана бекитишет;
3) жеке маалыматтардын массивинин кармоочусу (ээси) жеке маалыматтар менен иштөөнүн конкреттүү шартына, корголуучу маалыматтын баалуулугуна жана аны коргоо боюнча чаралардын наркына жараша, ошондой эле техникалык өнүгүүнүн деңгээлин эске алуу менен жеке маалыматтардын коопсуздугуна коркунучтардын өздүк тизмесин (мындан ары - коркунучтардын тизмеси) жеке маалыматтар боюнча ыйгарым укуктуу мамлекеттик орган бекиткен формага ылайык бекитет.
Жеке маалыматтардын массивинин кармоочусу (ээси) коркунучтардын тизмесине ушул пункттун 1 жана 2-пунктчаларында көрсөтүлгөн, актыларда аныкталган коркунучтарды, ошондой эле жеке маалыматтардын массивинин кармоочусунун (ээсинин) чечими боюнча башка коркунучтарды дагы милдеттүү түрдө киргизет.
Коркунучтардын тизмесин жеке маалыматтардын массивинин кармоочусу (ээси) иштетилүүчү жеке маалыматтардын курамы, иштетүүнүн шарты менен түрлөрүнүн өзгөргөнүнө жараша кайрадан карап турууга тийиш;
4) жеке маалыматтардын массивинин кармоочуларынын (ээлеринин ассоциациялары, союздары жана башка бирикмелери) ушул пункттун 2-пунктчасында көрсөтүлгөн ведомстволук актыларда аныкталган коркунучтар менен катар эле, иштин тийиштүү түрлөрүн аткарууда ушундай ассоциациялардын, союздардын жана башка бирикмелердин мүчөлөрү тарабынан эксплуатациялануучу жеке маалыматтарды маалымат тутумдарында иштетүүдө болуучу кошумча коркунучтарды өздөрүнүн чечимдери менен, жеке маалыматтардын мазмунун, аларды иштетүүнүн мүнөзүн жана ыкмаларын эске алуу менен аныктоого укуктуу.
3. Коопсуздукка коркунучтун критерийлери, коркунучтардын рейтинги
6. Жеке маалыматтардын массивинин кармоочусу (ээси) иштеп чыккан жеке маалыматтарга коркунучтардын тизмесине кирген ар бир коркунучка ушул Талаптардын 5-пунктунун 1-пунктчасында көрсөтүлгөн Коркунучтарды аныктоо методикасына жараша коркунучтун төмөнкүдөй критерийлерине жараша рейтинг ыйгарылат:
№ | Критерий | Баллдын диапазону | Баа (балл) |
1 | Жеке маалыматтардын коопсуздугуна коркунучтун актуалдуулугу | 0-1 балл | 0 - актуалдуу эмес; 1 - актуалдуу |
2 | Коркунуч ишке ашкан учурда жеке маалыматтардын субъектисине келтирилиши мүмкүн болгон зыян | 0-3 балл | 0 - зыян келтирилбейт (жеке маалыматтардын субъектисине чыгымдарды жана моралдык зыян алып келбейт); 1 - кармоочу оңой компенсациялай ала турган болор-болбос зыян (чыгым көп эмес - келтирилген чыгымды жана моралдык зыянды жоюуга/компенсациялоого 1000 эсептик көрсөткүчтөн аз); 2 - оператор компенсациялай ала турган олуттуу зыян (келтирилген чыгымды жана моралдык зыянды жоюуга/компенсациялоого 1000 эсептик көрсөткүчтөн көп); 3 - компенсацияланбай турган оор зыян (компенсацияланбай турган чыгым жана моралдык зыян) |
3 | Бул коркунучка туш болгон иштетилүүчү жеке маалыматтардын көлөмү | 1-3 балл | 1 - болор-болбос көлөм (жеке маалыматтын 10000 субъектисинен ашпаган көлөмдө жеке маалыматтарды иштетүүчү маалыматтык тутум); 2 - олуттуу көлөм (жеке маалыматтын 10000 субъектисинен ашык, 100000 субъектисине чейинки көлөмдө жеке маалыматтарды иштетүүчү маалыматтык тутум); 3 - оор көлөм (маалыматтык тутум 100000ден ашык жеке маалыматтардын субъектилеринин жеке маалыматтарын ашык иштетет) |
4 | Бул коркунучка туш болгон иштетилүүчү жеке маалыматтардын мазмуну | 1-2 балл | 1 - атайын категорияга кирбеген жеке маалыматтар; 2 - жеке маалыматтардын атайын категориялары ("Жеке мүнөздөгү маалымат жөнүндө" Кыргыз РеспубликасынынМыйзамынын8-статьясынынбиринчи бөлүгүнө ылайык), ошондой эле биометрикалык маалыматтар ("Кыргыз Республикасынын жарандарын биометрикалык каттоо жөнүндө" Кыргыз Республикасынын Мыйзамынын5-беренесинин3-бөлүгүнө ылайык) |
5 | Коркунучка кабылган иштин узактыгы | 0-1 балл | 0 - кыска мөөнөттүү (маалыматтарды иштетүү 2 (эки) жумадан ашпаган мөөнөттүн ичинде); 1 - узак мөөнөттүү |
7. Жеке маалыматтардын коопсуздук коркунучунун рейтинги ар бир критерий боюнча балл менен аныкталат.
8. Жеке маалыматтардын коопсуздук деңгээли ар бир маалымат тутумунда же маалымат тутумдарынын топтору үчүн бул маалыматтардын коопсуздугуна болгон коркунучка жараша, төмөнкүдөй аныкталат:
1) "көк" - 1 баллдан ашпаган рейтингдеги коркунуч;
2) "жашыл" - 2 балл (бирок андан ашпаган) рейтингиндеги коркунуч;
3) "сары" - 3-6 баллга чейинки (бирок андан ашпаган) рейтингдеги коркунуч;
4) "кызыл" - 6 баллдан жогору рейтингдеги коркунуч.
4. Корголуу деңгээлдери боюнча жеке маалыматтарды коргоо
9. Ушул Талаптын 8-пунктунда белгиленген жеке маалыматтардын маалыматтык тутумунда иштетүүдө жеке маалыматтардын корголуу деңгээлдери төмөнкү талаптардын аткарылышы менен камсыздалат:
1) "көк" корголуу деңгээли үчүн:
- жеке маалыматтарды иштетүү боюнча жеке маалыматтар массивинин кармоочусунун (ээсинин) саясатына аныктоочу документти кабыл алуу жана бул документтин мазмунун жеке маалыматтар массивинин кармоочусунун (ээсинин) кызматкерлери жана контрагенттерине чейин жеткирүү;
- жеке маалыматтарды маалыматтык тутумдарында иштетүүдө алардын коопсуздугун камсыз кылууга жооптуу жактарды (жакты) дайындоо жана "Жеке мүнөздөгү маалымат жөнүндө" Кыргыз РеспубликасынынМыйзамынынжана ушул Талаптар боюнча аларга инструктаж өткөрүү;
- жеке маалыматтарды "Жеке мүнөздөгү маалымат жөнүндө" Кыргыз РеспубликасынынМыйзамынын, ушул Талаптар, жеке маалыматтарды иштетүү маселелери боюнча кабыл алынган башка документтердин талаптарына шайкеш иштетүүнү ички контролдоо;
- жеке маалыматтар массивин кармоочусунун (ээсинин) кызматкерлерин эмгек келишимдерине жана кызматтык нускамаларына жеке маалыматтарды иштетүү, "Жеке мүнөздөгү маалымат жөнүндө" Кыргыз РеспубликасынынМыйзамынынталаптарын катуу сактоо жөнүндөгү жоболору, ушул Талаптардын жана жеке маалыматтарды иштетүү маселелери боюнча кабыл алынган башка документтер боюнча милдеттерин киргизүү;
- жеке маалыматтарды пайдалануу кызматтык милдеттерине кирген адамдардын жеке маалыматтарын жана тизмесин сактап жүргөн машиналарды эсепке алуу журналын жүргүзүү (кагаз түрүндө же электрондук форматта);
- маалыматтарды иштетүү тутумуна жеке маалыматтарды киргизүүнүн ар бир учурунда, ошондой эле мындай маалыматтарды өзгөртүүдө же жок кылууда - бул маалыматтарды киргизген (өзгөрткөн, жок кылган) адамды, операция аткарылган датаны жана убактысын көрсөтүү;
- суткасына бир жолудан кем эмес, жеке маалыматтардын маалыматтык тутумунда иштетилген актуалдуу жеке маалыматтардын резервдик көчүрмөсүн түзүү;
2) "жашыл" корголуу деңгээли үчүн - "көк" корголуу деңгээли үчүн белгиленген талаптардын жана төмөнкүдөй кошумча талаптардын:
- жеке маалыматтарды иштетүү мүнөзүн жана аларды коргоо зарылчылыгын эске алуу менен маалыматтык тутумду жана аны өнүктүрүү боюнча чараларды долбоорлоо;
- жеке маалыматтар боюнча ыйгарым укуктуу мамлекеттик орган жана/же жеке маалыматтардын коопсуздук талаптарын камсыздоо жаатында шайкештикти баалоо боюнча аккредитацияланган орган тарабынан жүргүзүлүүчү маалыматтык тутумду ишке киргизүүгө чейин жана маалыматтык тутумду олуттуу түрдө жаңыртуунун (кеңейтүүнүн) алдында жеке маалыматтардын коопсуздугун камсыз кылуу боюнча көрүлгөн чаралардын натыйжалуулугун баалоо;
- жеке маалыматтардын уруксатсыз колдонулушун, аларды кокустан же атайылап өзгөртүү же жок кылбоо максатында мындай каражаттарга карата техникалык талаптарга ылайык маалыматты коргоонун шифрлөөчү (криптографиялык) каражаттарын колдонуу;
3) "сары" корголуу деңгээли үчүн - "жашыл" корголуу деңгээли үчүн белгиленген талаптардын жана төмөнкүдөй кошумча талаптардын:
- жеке маалыматтарды коргоо тутумун борборлоштурулган башкаруу, анын ичинде ушул Талаптардын аткарылышына жооптуу түзүмдүк бөлүмдү түзүү жолу менен;
- тиешелүү ыйгарым укуктар берилген жактар гана маалымат тутумунун техникалык каражаттарын колдонууга чектөө киргизе ала турган, маалымат тутуму орнотулган кызматтык жайларга контролдоо тутумун орнотуу;
- жеке маалыматтар менен болгон бардык операцияларды белгилеген автоматтык электрондук журнал жүргүзүү, бул журналга өтүп кеткен дата менен өзгөртүүлөрдү киргизбөө мүмкүнчүлүгүн камсыз кылуу;
- жеке маалыматтарды учур чакта сактоонун жана иштетүүнүн маалыматтык тутумун жана ушул пунктчанын төртүнчү абзацында каралган автоматтык электрондук журналды резервациялоону жана эркин пайдаланууну камсыздоо;
- жеке маалыматтарды уруксатсыз колдонууну, ошондой эле аларды кокустан жок кылуу же өзгөртүп алууну аныктоонун жана ага бөгөт коюунун автоматтык тутумунун болуусу;
4) "кызыл" корголуу деңгээли үчүн - "сары" корголуу деңгээли үчүн белгиленген талаптардын жана төмөнкүдөй кошумча талаптардын:
- жеке маалыматтарды өткөрүп берүүдө жана (же) аларды колдонууда корголгон байланыш каналдарын гана пайдалануу;
- жеке маалыматтардын техникалык каналдар аркылуу чыгып кетишинен коргоо;
- жеке маалыматтар боюнча ыйгарым укуктуу мамлекеттик органында жана/же жеке маалыматтардын коопсуздук талаптарын камсыз кылуу жаатында шайкештигин баалоо органында белгиленген тартипте шайкештигин баалоо жол-жобосунан өткөн маалыматты жана/же маалыматтык тутумдарын коргоо каражаттарын колдонуу;
- жеке маалыматтар боюнча ыйгарым укуктуу мамлекеттик органы жана/же жеке маалыматтардын коопсуздук талаптарын камсыз кылуу жаатында шайкештигин баалоо органы тарабынан жеке маалыматтар менен жүргүзүлгөн бардык операцияларды каттоочу автоматтык электрондук журналдын (логдун) жеке маалыматтар массивинин кармоочусунун (ээсинин) маалыматтык системаларына туруктуу аудит жүргүзүү (жылына 1 жолудан кем эмес).