Контакты

Классификация систем обработки персональных данных. Информационные системы персональных данных. Как составить акт классификации испдн

  • 22.04.2019

Регистрационный N 11462

В соответствии с пунктом 6 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2007, N 48, часть II, ст. 6001), приказываем:

Утвердить прилагаемый Порядок проведения классификации информационных систем персональных данных.

Директор

Федеральной службы

по техническому и экспортному контролю

С. Григоров

Директор Федеральной службы безопасности

Российской Федерации

Н. Патрушев

Министр информационных технологий и связи Российской Федерации

Л. Рейман

Порядок проведения классификации информационных систем персональных данных

1. Настоящий Порядок определяет проведение классификации информационных систем персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы)1.

2. Классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор)2.

3. Классификация информационных систем проводится на этапе создания информационных систем или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.

4. Проведение классификации информационных систем включает в себя следующие этапы:

сбор и анализ исходных данных по информационной системе:

присвоение информационной системе соответствующего класса и его документальное оформление.

5. При проведении классификации информационной системы учитываются следующие исходные данные:

объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) - Х нпд;

заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;

структура информационной системы;

наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;

режим обработки персональных данных;

режим разграничения прав доступа пользователей информационной системы;

местонахождение технических средств информационной системы.

6. Определяются следующие категории обрабатываемых в информационной системе персональных данных (Х пд):

7. Х нпд может принимать следующие значения:

1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;

2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных.данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;

3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

8. По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.

Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

К специальным информационным системам должны быть отнесены:

информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;

информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

9. По структуре информационные системы подразделяются:

на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);

на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);

на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

10. По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на системы, имеющие подключения, и системы, не имеющие подключений.

11. По режиму обработки персональных данных в информационной системе информационные системы подразделяются на однопользовательские и многопользовательские.

12. По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.

13. Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.

14. По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:

класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

15. Класс типовой информационной системы определяется в соответствии с таблицей.

16. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"3.

17. В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.

18. Результаты классификации информационных систем оформляются соответствующим актом оператора.

19. Класс информационной системы может быть пересмотрен:

по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;

по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.

1Абзац первый пункта 1 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г.

N 781 (Собрание законодательства Российской Федерации, 2007, N 48, часть II,

2Абзац первый пункта 6 Положения.

3Собрание законодательства Российской Федерации 2007, N 48, часть II, ст. 6001.

Жрец 9 ноября 2010 в 12:31

Персональные данные (Классификация ИСПДн)

  • Чулан *

О классификации информационных систем персональных данных написано немало: целые статьи, сайты и форумы посвящены этой животрепещущей теме. Начнем с того что в соответствии с приказом ФСТЭК\ФСБ\МИТиС № 55\86\20 бывают типовые и специальные ИСПДн. К типовым относим ИСПДн, в которых необходимо обеспечить только конфиденциальность персональных данных, а к специальным - если требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (целость, аутентичность, доступность и т.д.)
Приказ предполагает классификацию ИСПДн на основе оценки возможного ущерба субъектам ПДн, чьи данные в ней обрабатываются: чем выше возможный ущерб - тем выше класс и, соответственно, тем выше должны предъявляться требования к технической защите. Пункт 14 Приказа говорит о 4 классах:
-отсутствие негативных последствий (4 класс)
-незначительные негативные последствия (3 класс)
-негативные последствия (2 класс)
-значительные негативные последствия (1 класс).
Присвоение того или иного класса ИСПДн, согласно того же пункта, осуществляется по результатам анализа исходных данных.
Про классификацию типовых ИСПДн уже рассказывали здесь, поэтому перейдем сразу к специальным.

Как же классифицировать специальную ИСПДн?
Если в Вашей ИСПДн содержатся персональные данные, касающиеся расовой, национальной принадлежности,
политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, то тут все просто:
класс вашей системы К1. И не важно, 10 это записей или 100 000. Далее Вы или защищаете систему по К1 в соответствии с требованиями приказа ФСТЭК №58, или понижаете класс, ну например, путем обезличивания таких данных.
Теперь представим себе некую ИСПДн, которую нам необходимо классифицировать. Пусть это будет большое предприятие, которое оказывает услуги своим Клиентам.
Исходные данные нашей системы:
1. Объем персональных данных - более 100 000.
2. Категория персональных данных - 2(т.е. это персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию).
3. Структура информационной системы - распределенная;
4. Наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена - есть;
5. Режим обработки персональных данных - многопользовательский;
6. Режим разграничения прав доступа пользователей информационной системы - с разграничением прав доступа;
7. Местонахождение технических средств информационной системы - в пределах Российской Федерации.

Но классифицировать такую систему по табличке из приказа № 55\86\20 мы не можем, т.к. «По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов». Не расстраиваемся, читаем приказ дальше и видим такой пункт:
16. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
Поэтому, проанализировав исходные данные, состав обрабатываемых ПДн, определив структуру ИСПДн и технологические процессы, мы можем придти к обоснованному выводу, что негативные последствия может нанести нарушение конфиденциальности сведений (например распространение сведений об ивалидности сотрудника). Реализация всех остальных угроз приведут к незначительным негативным последствиям, потому как приняты (или будут приняты в дальнейшем в ходе создания системы защиты ИСПДн) достаточные технические меры защиты для их нейтрализации. Отразив эти сведения в модели угроз, специальная ИСПДн с указанными характеристиками может быть преспокойно классифицирована нами как К2.

Теги: персональные данные, испдн

Акт классификации ИСПДн, как правило, является конфиденциальным документом, и должен иметь гриф конфиденциальности («Конфиденциально», «ДСП», «Коммерческая тайна») и учетный номер.

Для проведения классификации на предприятии должна быть создана комиссия. В состав комиссии обязательно должен входить ответственный за защиту персональных данных. Комиссия должна быть назначена приказом руководителя и осуществлять свою деятельность на основании Положения о комиссии по классификации. По результатам классификации должен быть оформлен акт. Акт классификации ИСПДн должен утверждаться председателем комиссии и подписываться всеми членами комиссии.

Как составить акт классификации ИСПДн

Акт классификации составляется для каждой выявленной ИСПДн. На основании полученных данных каждой ИСПДн определяется необходимый уровень защищенности персональных данных. Это нужно для того, чтобы установить требования для обеспечения защиты информационной системы персональных данных. Определение уровня защищенности персональных данных проводится в соответствии с Постановлением Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

В акте указывается:

  • обрабатываемые в системе персональные данные;
  • объем обрабатываемых персональных данных;
  • тип актуальных угроз для ИСПДн;
  • структура информационной системы;
  • наличие подключений к сетям связи общего пользования и (или) сетям международного информационного обмена;
  • режим обработки персональных данных в системе;
  • разграничение прав доступа пользователей;
  • местонахождение ИСПДн;
  • уровень защищенности ПДн.

В акт классификации ИСПДн могут входить системы, в которых хранятся такие данные:

  • специальные категории персональных данных – сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;
  • биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
  • общедоступные персональные данные – сведения, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных».

Довольно редко встречаются системы, в которых обрабатываются персональные данные 3 категории. Это связано с тем, что для реальных задач нужны не только данные идентифицирующие субъекта (ФИО, паспортные данные), но и дополнительная информация о нем (например, сведения о зарплате).

Наиболее часто встречаются информационные системы, в которых обрабатываются персональные данные 2 категории. Например, системы расчета заработной платы сотрудников.

Объем обрабатываемых ПДн определяет количество субъектов, персональные данные которых обрабатываются в системе. Применяется следующая градация:

  • более чем 100 000 субъектов ПДн;
  • менее чем 100 000 субъектов ПДн.

Виды угроз безопасности персональных данных

Тип актуальных угроз для ИСПДн:

  • угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;
  • угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;
  • угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

По типу информационные системы персональных данных, описываемые в акте классификации ИСПДн, делятся на типовые и специальные. Типовые ИСПДн – информационные системы, в которых требуется обеспечить только конфиденциальность ПДн. Специальные ИСПДн – информационные системы, в которых, кроме конфиденциальности, необходимо обеспечить еще хотя бы одну характеристику безопасности персональных данных (целостность, доступность).

Кроме того, к специальным системам относятся все ИСПДн, обрабатывающие данные о здоровье субъектов, и ИСПДн, в которых предусмотрено принятие решений порождающих для субъекта юридические последствия на основании автоматизированной обработки.

Большинство существующих ИСПДн – специальные. Это связано с тем, что кроме конфиденциальности также важно, чтобы ПДн были всегда доступны для обработки, целостны и достоверны. Для всех специальных систем необходимо разработать «Частную модель актуальных угроз».

Классификация информационных системы персональных данных по структуре:

  • Автономные. Представляет собой одно автоматизированное рабочее место (компьютер).
  • Локальные. Автоматизированные рабочие места (АРМ), объединенные в локальную сетью.
  • Распределенные. Автоматизированные рабочие места или локальные сети, связанные между собой при помощи технологий удаленного доступа.

По режиму обработки персональных данных в системе ИСПДн делятся на однопользовательские и многопользовательские. Однопользовательские системы – большая редкость. Как правило, даже за одним автономным рабочим местом работают минимум два человека (на случай отпусков и болезней).

Классификация многопользовательских ИСПДн делятся на:

  • Без разграничения прав доступа. В таких системах все пользователи имеют доступ ко всей информации.
  • С разграничением прав доступа. Каждый пользователь имеет доступ к строго определенной части информации в системе.

По месту нахождения ИСПДн делятся на.

О классификации информационных систем персональных данных написано немало: целые статьи, сайты и форумы посвящены этой животрепещущей теме. Начнем с того что в соответствии с приказом ФСТЭК\ФСБ\МИТиС № 55\86\20 бывают типовые и специальные ИСПДн. К типовым относим ИСПДн, в которых необходимо обеспечить только конфиденциальность персональных данных, а к специальным - если требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (целость, аутентичность, доступность и т.д.)
Приказ предполагает классификацию ИСПДн на основе оценки возможного ущерба субъектам ПДн, чьи данные в ней обрабатываются: чем выше возможный ущерб - тем выше класс и, соответственно, тем выше должны предъявляться требования к технической защите. Пункт 14 Приказа говорит о 4 классах:
-отсутствие негативных последствий (4 класс)
-незначительные негативные последствия (3 класс)
-негативные последствия (2 класс)
-значительные негативные последствия (1 класс).
Присвоение того или иного класса ИСПДн, согласно того же пункта, осуществляется по результатам анализа исходных данных.
Про классификацию типовых ИСПДн уже рассказывали здесь, поэтому перейдем сразу к специальным.

Как же классифицировать специальную ИСПДн?
Если в Вашей ИСПДн содержатся персональные данные, касающиеся расовой, национальной принадлежности,
политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, то тут все просто:
класс вашей системы К1. И не важно, 10 это записей или 100 000. Далее Вы или защищаете систему по К1 в соответствии с требованиями приказа ФСТЭК №58, или понижаете класс, ну например, путем обезличивания таких данных.
Теперь представим себе некую ИСПДн, которую нам необходимо классифицировать. Пусть это будет большое предприятие, которое оказывает услуги своим Клиентам.
Исходные данные нашей системы:
1. Объем персональных данных - более 100 000.
2. Категория персональных данных - 2(т.е. это персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию).
3. Структура информационной системы - распределенная;
4. Наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена - есть;
5. Режим обработки персональных данных - многопользовательский;
6. Режим разграничения прав доступа пользователей информационной системы - с разграничением прав доступа;
7. Местонахождение технических средств информационной системы - в пределах Российской Федерации.

Но классифицировать такую систему по табличке из приказа № 55\86\20 мы не можем, т.к. «По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов». Не расстраиваемся, читаем приказ дальше и видим такой пункт:
16. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
Поэтому, проанализировав исходные данные, состав обрабатываемых ПДн, определив структуру ИСПДн и технологические процессы, мы можем придти к обоснованному выводу, что негативные последствия может нанести нарушение конфиденциальности сведений (например распространение сведений об ивалидности сотрудника). Реализация всех остальных угроз приведут к незначительным негативным последствиям, потому как приняты (или будут приняты в дальнейшем в ходе создания системы защиты ИСПДн) достаточные технические меры защиты для их нейтрализации. Отразив эти сведения в модели угроз, специальная ИСПДн с указанными характеристиками может быть преспокойно классифицирована нами как К2.

Теги: персональные данные, испдн

Одним из ключевых элементов на начальном этапе обеспечения информационной безопасности является процесс проведения классификации защищаемой системы по требованиям безопасности информации. Данный процесс достаточно хорошо описан и регламентирован, однако он имеет свои тонкости. В предыдущей статье мы рассмотрели понятие классификации систем, основные, часто встречающиеся классификационные признаки, определили состав документов, на основании которых происходит классификация систем по требованиям безопасности информации, и прояснили отдельные вопросы по классификации информационных систем и объектов учета. В данной статье мы рассмотрим общий порядок проведения классификации информационных систем по требованиям безопасности информации на примере абстрактной государственной информационной системы, а также ряд основных моментов при проведении классификации.

Прежде чем приступить, необходимо очень четко понимать следующие основные моменты:

1. Под классификацией мы будем понимать разбиение общего множества объектов на подмножества - классы, сгруппированные по наиболее существенным признакам, при этом под классом мы будем понимать совокупность объектов, обладающих некоторыми признаками общности, которые, в свою очередь, будут являться признаком – критерием классификации.

2. Множественная классификация по требованиям безопасности информации не является ошибочной.

3. Выбор порядка классификации осуществляется исходя из целей создания системы, состава информации, подлежащей обработке и анализу нормативно-правовой, методической и иной документации, которой классифицируемая система должна соответствовать.

4. Результатом проведения классификации является акт классификации.

5. Результаты классификации не являются окончательными и могут быть пересмотрены.

6. Классификация осуществляется обладателем информации.

Вопросы с 1-го по 5-й были достаточно подробно рассмотрены в предыдущей статье , поэтому мы их опустим и более подробно рассмотрим другие.

Начнем с простого: «Результатом проведения классификации является акт классификации». Данный факт установлен требованиями п.14.2 , который устанавливает требования для любой государственной информационной системы.

Одна из распространенных ошибок при составлении акта относится к случаям, когда осуществляется множественная классификация систем. В этом случае, необходимо проводить классификацию независимо, не опираясь на результаты предыдущих классификаций (если это не противоречит порядку классификации), а результат оформлять отдельными актами классификации.

Стоит отметить, что не существует жесткого требования по наличию отдельных актов классификации. Вся информация по результатам множественной классификации может быть отражена в единственном акте. Однако зачастую это приводит к излишней путанице и неудобству для дальнейшей работы с документом. Именно поэтому мы рекомендуем оформлять акты классификации отдельными актами.

Перейдем к пункту 5: «Результаты классификации не являются окончательными и могут быть пересмотрены». Указанное утверждение следует исходя из формальной логики самого процесса, ведь могут измениться условия функционирования объекта классификации, его цели, задачи и другие аспекты. Могут измениться или преобразоваться сами классификационные признаки. Кроме того, в документе, устанавливающем порядок классификации, зачастую содержится информация о порядке пересмотра результатов классификации. Так, согласно п.14.2 приказа ФСТЭК России от 13.02.2013 г. №17 класс защищенности информационной системы подлежит пересмотру при изменении масштаба информационной системы или значимости обрабатываемой в ней информации. Порядок пересмотра результатов классификации практически ничем не отличается от самого процесса классификации.

Перейдем к последнему утверждению: «Классификация осуществляется обладателем информации». Вначале определим кто является «обладателем информации». Согласно ст. 2 Федерального закона Российской Федерации от 27.07.2006 г. «Об информации, информационных технологиях и защиты информации» №149-ФЗ «обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам». Права обладателя информации установлены статьей 6 вышеуказанного закона :

«1. Обладатель информации, если иное не предусмотрено федеральными законами, вправе:

  • разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
  • использовать информацию, в том числе распространять ее, по своему усмотрению;
  • передавать информацию другим лицам по договору или на ином установленном законом основании;
  • защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;
  • осуществлять иные действия с информацией или разрешать осуществление таких действий.

Обладатель информации при осуществлении своих прав обязан:

  • соблюдать права и законные интересы иных лиц;
  • принимать меры по защите информации;
  • ограничивать доступ к информации, если такая обязанность установлена федеральными законами».

Исходя из определения обладателя информации и его прав становится очевидным, что именно он вправе проводить классификацию, так как классификация является составляющей частью формирования требований к защите информации, содержащейся в информационной системе, что в свою очередь входит в состав работ по обеспечению информационной безопасности на её начальном этапе. Зачастую многие этот нюанс упускают из вида, что приводит к появлению ошибочных документов, на основании которых происходят, в том числе, дальнейшие работы по информационной безопасности, что является прямым нарушением законодательства Российской Федерации. Ряд регулирующих органов, для прояснения данного момента, однозначно указывает на это в своих нормативных документах, например, в п. 14 приказа ФСТЭК России от 13.02.2013 г. №17 . Кроме того, следует понимать, что обладатель информации вправе делегировать свои обязанности, если это не противоречит законодательным или иным требованиям. В таком случае сам факт передачи данного права, например, подведомственному учреждению, должен быть зафиксирован надлежащим образом. Отдельно следует отметить, что проведение классификации информационной системы по требованиям безопасности информации в отсутствие законного права попросту лишено смысла.

Теперь перейдем к непосредственному порядку выполнения классификации. При проведении классификации рекомендуется придерживаться следующего порядка действий:

1. Приказом руководителя (уполномоченного заместителя) организации, являющейся на законных основаниях обладателем информации, обрабатываемой в классифицируемой информационной системе, назначить комиссию по проведению классификации. В приказе отразить:

  • состав комиссии с указанием ФИО, должности и функциональной роли для каждого из членов комиссии;
  • наименование классифицируемой системы (или нескольких систем);
  • документы, в соответствии с которыми должна производиться классификация;
  • сроки проведения классификации.

2. Ознакомить с приказом всех участников комиссии.

3. Установить время заседания комиссии.

4. Комиссии под протокол в установленное время заседания определить:

  • порядок проведения классификации в соответствии с требованиями документа, на основании которого проводится классификации;
  • определить состав классификационных признаков, значимых при проведении классификации;
  • определить значения классификационных признаков для классифицируемой системы;
  • установить класс информационной системы.

5. На основании протокола заседания классификационной комиссии зафиксировать итоговый результат классификации в акте классификации.

6. В установленном порядке передать акт классификации на утверждение руководителю (уполномоченному заместителю) организации.

Рассмотрим детально процесс проведения заседания комиссии по классификации. Классификацию мы будем проводить в соответствии с требованиями следующих документов:

  • постановлением Правительства Российской Федерации от 01.11.2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» № 1119 .

Порядок проведения классификации в данных документах прописан однозначно, как и основные классификационные признаки:

  • уровень значимости информации, который определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации. Государственная информационная система может иметь один из следующих уровней значимости:
    • УЗ 1, если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена высокая степень ущерба;
    • УЗ 2, если хотя бы для одного - определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба;
    • УЗ 3, если для всех - определены низкие степени ущерба.

      • При этом степень возможного ущерба определяется обладателем информации и (или) оператором самостоятельно экспертным или иными методами и может быть:

    • высокой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции;
    • средней, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять хотя бы одну из возложенных на них функций;
    • низкой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.
  • масштаб системы:
    • Федеральный, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях;
    • Региональный, если она функционирует на территории субъекта Российской Федерации и обладает сегментами в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях;
    • Объектовый, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.
  • тип актуальных угроз:
    • угрозы 1-го типа - актуальны для информационной системы, если для нее актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;
    • угрозы 2-го типа - актуальны для информационной системы, если для нее актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;
    • угрозы 3-го типа - актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
  • категория обрабатываемых персональных данных:
    • специальные категории персональных данных;
    • биометрические персональные данные;
    • иные;
    • общедоступные.
  • количество субъектов, персональные данные которых обрабатываются:
    • более 100 000;
    • менее 100 000.
  • принадлежность субъектов персональных данных:
    • сотрудники оператора;
    • не сотрудники оператора.
  • принадлежность субъектов персональных данных (не сотрудников оператора). Тут важно понимать, что если есть хоть один субъект ПДн, чьи персональные данные обрабатываются в системе и он не является сотрудником оператора, то можем принимать это значение по умолчанию;
  • количество субъектов ПДн: для нашей системы это число не будет превышать 100 000;
  • категория персональных данных: например, для нашей системы - иные персональные данных. При определении данного параметра достаточно понимать какая именно информация к какой категории ПДн относится. В случае если одновременно обрабатывается информация из разных категорий, то системе следует выбрать значение признака по наивысшему показателю, а именно:
    • специальные категории персональных данных, если обрабатывается информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни субъектов персональных данных;
    • биометрические персональные данные, если, во-первых, не обрабатываются сведения, относящиеся к специальным категориям персональных данных, во-вторых, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
    • общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона от 27.07.2006 г. «О персональных данных» №152-ФЗ;
    • иные, если в ней не обрабатываются персональные данные, указанные выше.
  • по типу угроз безопасности персональных данных. Данный параметр мы оставили напоследок не случайно, ведь он зависит от Модели угроз безопасности персональных данных, в которой должны быть указаны актуальные угрозы. Пусть для нашей системы это будут угрозы 3-го типа.

Процесс определения конечных значений каждого из классификационных признаков определяется экспертным путем, обычно в результате консолидированного экспертного мнения, поэтому перейдем сразу к определению данных признаков для нашей абстрактной государственной информационной системы федерального масштаба. Так, в соответствии с приказом ФСТЭК России от 13.02.2013 г. №17 определим максимальный ущерб от нарушения одного из свойств безопасности. При его определении достаточно обратится к полному составу функций, реализуемых системой, нарушение конкретного свойства приведет к невозможности выполнения как минимум одной из них. Рассматриваем каждую, оцениваем последствия, находим максимальный показатель и сравниваем его с перечнем значений УЗ. В нашем примере степень максимального ущерба будет средней, тогда УЗ 2 – искомый уровень значимости информации.

После определения значений указанных классификационных признаков, нам остается только установить класс защищенности нашей системы в соответствии с логикой рассмотренных выше документов и правильно отразить результат деятельности комиссии сначала в протоколе, а потом в акте классификации.

Таким образом, в данной статье мы рассмотрели общий порядок проведения классификации информационных систем по требованиям безопасности информации на примере абстрактной государственной информационной системы, рассмотрели ряд основных моментов и скрытых подводных камней при проведении классификации. В следующей статье мы рассмотрим порядок оформления типовых документов при проведении классификации (приказа о создании комиссии, протокола заседания комиссии и акта классификации), заполним их для нашей абстрактной системы и подготовим типовые шаблонные формы.




Статьи по теме

Последние статьи
Популярные статьи
Выбор редакции
rzdoro.ru