Pojem informačné systémy osobných údajov. Klasifikačný zákon ispdn

"Verejné organizácie: účtovníctvo a dane", 2009, N 12

Od 1. januára 2010 informačné systémy osobných údajov vo všetkých organizáciách vrátane rozpočtové inštitúcie, musia byť uvedené do súladu s požiadavkami zákona „o osobných údajoch“<1>. K tomuto zákonu bolo prijatých niekoľko podzákonných noriem, v dôsledku čoho v súčasnosti existujú rôzne výklady povinností štátnych a obecných inštitúcií vo vzťahu k informačné systémy. Tento článok analyzuje ustanovenia súčasnej legislatívy a zdôrazňuje požiadavky, ktoré musia byť splnené.

<1>Federálny zákon č. 152-FZ z 27. júla 2006.

Podľa čl. 1 zákona „o osobných údajoch“ upravuje tento spolkový zákon vzťahy súvisiace so spracúvaním osobných údajov vykonávaným federálnymi štátnymi orgánmi, štátnymi orgánmi subjektov Ruská federácia, iní vládne orgány, orgány územnej samosprávy, nezaradené do sústavy orgánov územnej samosprávy, orgány obce, právne a jednotlivcov s použitím nástrojov automatizácie alebo bez použitia takýchto nástrojov, ak spracúvanie osobných údajov bez použitia takýchto nástrojov zodpovedá povahe úkonov (operácií) vykonávaných s osobnými údajmi pomocou nástrojov automatizácie.

Takáto pozornosť problematike automatizácie spracúvania osobných údajov so sebou nesie aj potrebu dodržiavať osobitné právne predpisy týkajúce sa používania informačných technológií. Zároveň je potrebné dôsledne študovať regulačný rámec, ktorý je v súčasnosti možné interpretovať veľmi nejednoznačne, najmä z hľadiska predkladania požiadaviek na informačné systémy.

Pojem „informačný systém“ v súčasnej právnej úprave

V súlade s federálnym zákonom „o informáciách, informačných technológiách a ochrane informácií“<2> Informačný systém- súbor informácií obsiahnutých v databázach a informačných technológiách a technických prostriedkoch, ktoré zabezpečujú jeho spracovanie. Na základe tejto definície môžeme konštatovať, že neexistujú informačné systémy bez použitia počítačová technológia a súvisiaci softvér.

<2>Federálny zákon č. 149-FZ z 27. júla 2006.

Avšak v čl. 3 zákona „o osobných údajoch“ uvádza širšiu definíciu informačný systém: ide o súbor osobných údajov obsiahnutých v databáze, ako aj informačné technológie a technické prostriedky, ktoré umožňujú spracúvanie týchto osobných údajov s použitím automatizačných nástrojov alebo bez použitia takýchto nástrojov.

Poďme analyzovať zložky tejto definície, ktorých definície možno nájsť vo federálnom zákone „o informáciách, informačných technológiách a ochrane informácií“, iných zákonoch a nariadeniach vlády Ruskej federácie.

Pod databázy sa chápe ako súbor usporiadaných vzájomne prepojených údajov na strojovo čitateľných médiách (Dočasná úprava účtovníctva štátu a evidencie databáz a databáz<3>). V štvrtej časti Občianskeho zákonníka Ruskej federácie (odsek 2, odsek 2, článok 1260) je však uvedená podrobnejšia definícia Databáza: ide o súbor nezávislých materiálov prezentovaných objektívnou formou (články, výpočty, nariadenia, súdne rozhodnutia a iné podobné materiály), systematizované tak, aby bolo možné tieto materiály vyhľadať a spracovať pomocou elektronických počítač(POČÍTAČ).

<3>Schválené nariadením vlády Ruskej federácie z 28. februára 1996 N 226.

Informačné technológie- procesy, metódy vyhľadávania, zhromažďovania, uchovávania, spracovania, poskytovania, šírenia informácií a metódy na implementáciu takýchto procesov a metód (federálny zákon „o informáciách, informačných technológiách a ochrane informácií“).

Pod technické prostriedky ktoré umožňujú spracúvanie osobných údajov sa chápu ako prostriedky počítačová veda, informačné a výpočtové komplexy a siete, prostriedky a systémy na prenos, príjem a spracovanie osobných údajov (prostriedky a systémy na záznam zvuku, zosilnenie zvuku, reprodukciu zvuku, vyjednávanie a televízne zariadenia, výrobné prostriedky, replikácie dokumentov a iné technické prostriedky spracovanie reči, grafiky, videa a alfanumerických informácií), softvér ( Operačné systémy, systémy na správu databáz a pod.), nástroje informačnej bezpečnosti používané v informačných systémoch (predpisy o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov<4>).

<4>Schválené nariadením vlády Ruskej federácie zo 17. novembra 2007 N 781.

Skladba technických prostriedkov teda zahŕňa kopírky aj softvér, avšak pri určovaní informačného systému osobných údajov je kľúčový pojem „databáza“. Z tejto definície vyplýva, že spracovanie databázy sa uskutočňuje pomocou počítača (médium musí byť strojovo čitateľné). Ak sa spracúvanie vykonáva bez použitia počítača a databázy (strojovo čitateľné médium), potom formálne neexistuje žiadny informačný systém. Navyše, bez technických prostriedkov, ktoré umožňujú spracúvanie osobných údajov, nie je možné databázu tiež rozpoznať ako informačný systém. Informačné systémy navyše nie sú len kombináciou počítačového vybavenia a niektorých programov, ktoré spracúvajú informácie z databáz, môžu využívať automatizačné nástroje, prípadne ich nepoužívať.

Čo znamenajú automatizačné nástroje?

Existuje názor, podľa ktorého použitie automatizácie znamená akékoľvek počítačové spracovanie alebo použitie spracovania elektronické zariadenia. Ak je databáza uložená v počítači (napr tabuľkový procesor alebo účtovný program) alebo napríklad v notebook mobilný telefón, potom už ide o automatizované spracúvanie osobných údajov a podlieha oznámeniu zo strany Roskomnadzor. Niektorí odborníci sa navyše domnievajú, že spracovanie bez použitia nástrojov automatizácie sa môže vykonávať iba na papieri (v časopisoch vyplnených ručne, v zoznamoch písaných rukou).

V súlade s časťou 3 čl. 4 zákona „o osobných údajoch“ môžu byť vlastnosti spracovania osobných údajov vykonávané bez použitia nástrojov automatizácie stanovené federálnymi zákonmi a inými regulačnými právnymi aktmi Ruskej federácie s výhradou ustanovení tohto federálny zákon.

Nariadenie vlády Ruskej federácie z 15. septembra 2008 N 687 schválilo Nariadenia o vlastnostiach spracovania osobných údajov vykonávaného bez použitia nástrojov automatizácie. Podľa bodu 1 uvedeného nariadenia sa spracúvanie osobných údajov obsiahnutých v informačnom systéme osobných údajov alebo extrahovaných z takéhoto systému (ďalej len osobné údaje) považuje za vykonávané bez použitia nástrojov automatizácie (neautomatizované) , ak sa také úkony s osobnými údajmi, ako je použitie, objasnenie, distribúcia, likvidácia osobných údajov vo vzťahu ku každému zo subjektov osobných údajov, vykonávajú za priamej účasti osoby.

Reverzibilné Osobitná pozornosť na skutočnosť, že v súlade s odsekom 2 Nariadení o vlastnostiach spracúvania osobných údajov vykonávaného bez použitia nástrojov automatizácie nemožno spracúvanie osobných údajov uznať za spracúvané pomocou nástrojov automatizácie len z toho dôvodu, že sú obsiahnuté v informačnom systéme alebo boli z neho extrahované.

Možno teda konštatovať, že z pohľadu definícií dostupných v súčasnej právnej úprave možno prevažnú väčšinu informačných systémov v štátnych a obecných inštitúciách formálne považovať za implementované bez použitia nástrojov automatizácie (vrátane významnej časti tzv. účtovný softvér). Koniec koncov, všetky tvárové karty v týchto systémoch sa upravujú manuálne v príslušných oknách. Na zničenie tvárových kariet je tiež potrebné, aby ich obsluha vybrala v zozname a stlačením špeciálneho tlačidla vymazali údaje. Robí sa dokonca aj archivácia špeciálny program, ktorý spúšťa osoba.

ale rôzne programy, čo vám umožní preformátovať údaje (vrátane formátu účtovný program napríklad programy dôchodkových fondov) a ich implementáciu automatický vstup a ďalší prenos bez odkazu na každý konkrétny záznam zamestnanca možno pripísať automatizovanému spracovaniu údajov. Spracúvanie osobných údajov (vrátane priezviska, krstného mena, priezviska, čísla dôchodkového listu atď.) je zároveň neoddeliteľnou súčasťou takýchto programov.

Zároveň, ak sú údaje prenášané do iných programov (aj na účely daňového účtovníctva) nie úplne automaticky, ale s pomocou osoby, ktorá sa podieľa na spracúvaní osobných údajov, potom takéto spracúvanie nemožno považovať ani za automatizované.

V tejto súvislosti majú odporúčania Federálnej agentúry pre vzdelávanie uvedené v liste z 29. júla 2009 N 17-110 „O zabezpečení ochrany osobných údajov“ v praxi pomerne obmedzené uplatnenie. Za účelom automatizácie spracovania osobných údajov v dotazníkoch sa odporúča Rosobrazovanie dodatočne uviesť interné identifikačné číslo(osobný kód) subjektu osobných údajov, pridelený na celú dobu štúdia alebo práce. To umožňuje odosobniť databázy, ak neobsahujú iné osobné údaje, a výrazne znížiť náklady na ochranu informácií.

Pre automatizáciu riadiacich činností v štátnej alebo obecnej inštitúcii však treba uviesť aspoň priezviská, mená, priezviská zamestnancov, študentov, študentov a pod., ako aj množstvo ďalších osobných údajov (u zamestnancov napr. údaje o ich príjmoch na účtovné a daňové účely) . Odvolanie na osobné kódy obsiahnutých v letákoch (dotazníkoch), zvyšok spracovania údajov pomocou softvéru bude vyzerať prinajmenšom zvláštne, čím sa zníži efektívnosť zavádzania moderných informačných technológií. Zároveň ich možno v závislosti od formy použitých dotazníkov rozpoznať ako súčasť informačného systému (ako napr. neoddeliteľnou súčasťou databázy), čím sa úplne zbaví významu dodatočného kódovania (takéto kódovanie je potrebné, ak je účelné depersonalizovať údaje napr. pre štatistický výskum).

Spracúvanie osobných údajov bez použitia nástrojov automatizácie

Takže, ako je uvedené vyššie, napriek elektronizácii činností sa vo väčšine prípadov spracúvanie osobných údajov v štátnych a obecných inštitúciách vykonáva bez použitia nástrojov automatizácie (neautomatizované) a podľa toho je upravené nariadením o vlastnosti spracovania osobných údajov vykonávané bez použitia nástrojov automatizácie.<5>.

<5>Schválené nariadením vlády Ruskej federácie z 15. septembra 2008 N 687.

Osoby vykonávajúce takéto spracúvanie (vrátane zamestnancov organizácie prevádzkovateľa alebo osôb pracujúcich na dohodu s prevádzkovateľom) musia byť informované o tom, že spracúvajú osobné údaje bez použitia nástrojov automatizácie, o kategóriách spracúvaných osobných údajov, ako aj vlastnosti a pravidlá na vykonávanie takéhoto spracovania ustanovené regulačnými právnymi aktmi federálnych výkonných orgánov, výkonných orgánov zakladajúcich subjektov Ruskej federácie a miestnymi aktmi vzdelávacej inštitúcie.

Osobné údaje počas ich spracúvania vykonávaného bez použitia nástrojov automatizácie by mali byť oddelené od ostatných informácií, najmä ich umiestnením na samostatné hmotné nosiče, do osobitných sekcií alebo do polí formulárov (formulárov).

Zároveň nie je dovolené fixovať osobné údaje na jeden hmotný nosič, ak sú účely ich spracovania zjavne nezlučiteľné. V tomto prípade musí byť pre každú kategóriu osobných údajov použitý samostatný materiálový nosič.

Spracúvanie sa preto musí vykonávať tak, aby v súvislosti s každou kategóriou osobných údajov existovali:

• určia sa miesta uloženia a zostaví sa zoznam osôb, ktoré údaje spracúvajú alebo k nim majú prístup;
• poskytuje sa samostatné uchovávanie osobných údajov (hmotné nosiče), ktorých spracovanie sa vykonáva na rôzne účely;
• sú splnené podmienky na zaistenie bezpečnosti osobných údajov a vylúčenie neoprávneného prístupu k nim.

Zoznam opatrení potrebných na zabezpečenie takýchto podmienok, postup pri ich prijímaní, ako aj zoznam osôb zodpovedných za vykonávanie týchto opatrení ustanoví vzdelávacia inštitúcia v súlade s požiadavkami regulačných právnych aktov o ochrane osobné údaje.

V prípade nezlučiteľnosti účelov spracúvania osobných údajov zaznamenaných na jednom hmotnom nosiči, ak to neumožňuje ich spracúvanie oddelene od iných osobných údajov zaznamenaných na tom istom nosiči, je potrebné prijať opatrenia na zabezpečenie oddeleného spracúvania, najmä:

• ak je potrebné použiť alebo distribuovať určité osobné údaje oddelene od iných umiestnených na tom istom hmotnom nosiči, údaje určené na šírenie alebo použitie sa skopírujú spôsobom, ktorý vylučuje súčasné kopírovanie údajov, ktoré nie sú predmetom distribúcie a používania, a používa sa (distribuuje sa) kópia osobných údajov;
• ak je potrebné zlikvidovať alebo zablokovať časť osobných údajov, hmotný nosič sa zničí alebo zablokuje s predbežným skopírovaním informácií, ktoré nepodliehajú zničeniu alebo zablokovaniu, a to spôsobom vylučujúcim súčasné skopírovanie osobných údajov, ktoré sú predmetom zničenie alebo zablokovanie.

Likvidáciu alebo depersonalizáciu časti osobných údajov, ak to umožňuje hmotný nosič, možno vykonať spôsobom, ktorý vylučuje ďalšie spracúvanie týchto osobných údajov pri zachovaní možnosti spracúvania iných údajov zaznamenaných na hmotnom nosiči (vymazanie , výpadok prúdu).

Objasňovanie osobných údajov pri ich spracúvaní bez použitia nástrojov automatizácie sa vykonáva aktualizáciou alebo zmenou údajov na hmotnom nosiči, a ak to nie je dovolené technické vlastnosti hmotný nosič - fixáciou na ten istý nosič informácií o zmenách na nich vykonaných alebo výrobou nového hmotného nosiča s aktualizovanými osobnými údajmi.

Spracovanie osobných údajov pomocou nástrojov automatizácie

Nariadenie o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov ustanovuje požiadavky na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov, ktorým je zhromažďovanie osobných údajov obsiahnutých v databázach, ako aj informačných systémov. technológie a technické prostriedky.

Ako vyplýva z odseku 1 tohto nariadenia, pojem „informačné systémy“ sa vzťahuje len na informačné systémy, ktoré umožňujú spracúvanie osobných údajov pomocou nástrojov automatizácie, preto sa požiadavky tohto nariadenia nevzťahujú na informačné systémy, v ktorých sa spracúvanie údajov vykonáva bez použitia nástrojov automatizácie.

Ak sa automatizované spracúvanie osobných údajov vykonáva v štátnej alebo obecnej inštitúcii, potom musia byť splnené nasledujúce požiadavky.

Podľa Nariadenia o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov sa bezpečnosť osobných údajov dosahuje:

• vylúčením neoprávneného, ​​vrátane náhodného, ​​prístupu k osobným údajom, ktorý môže mať za následok zničenie, úpravu, blokovanie, kopírovanie, šírenie osobných údajov;
• vylúčením iných neoprávnených úkonov.

Bezpečnosť osobných údajov pri ich spracúvaní v informačných systémoch je zabezpečená o systémy ochrany osobných údajov počítajúc do toho:

• organizačné opatrenia;
• prostriedky ochrany informácií;
• Informačné technológie.

Nástroje informačnej bezpečnosti zahŕňajú:

• šifrovacie (kryptografické) prostriedky;
• prostriedky na zabránenie neoprávnenému prístupu;
• nástroje na predchádzanie úniku informácií technické kanály;
• prostriedky na predchádzanie softvérovým a hardvérovým vplyvom na technické prostriedky spracúvania osobných údajov.

Na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch, ochrany rečových informácií a informácií spracúvaných technickými prostriedkami, ako aj informácií prezentovaných vo forme informatívnych elektrické signály fyzikálne polia, médiá na papierovej, magnetickej, magneto-optickej a inej báze.

Žiadosti používateľov informačného systému o získanie osobných údajov, ako aj skutočnosti o poskytnutí údajov o týchto žiadostiach musia byť evidované automatizovanými prostriedkami informačný systém v elektronickom denníku výziev. Zároveň aj obsah elektronický žurnálžiadosti by mali pravidelne kontrolovať príslušní úradníci (zamestnanci) prevádzkovateľa alebo poverená osoba.

V prípade zistenia porušení postupu pri poskytovaní osobných údajov prevádzkovateľ alebo oprávnená osoba bezodkladne pozastaví poskytovanie osobných údajov používateľom informačného systému až do zistenia a odstránenia príčin porušení.

Hardvér a softvér musia spĺňať požiadavky stanovené v súlade s právnymi predpismi Ruskej federácie, ktoré zabezpečujú ochranu informácií. Spôsoby a prostriedky ochrany informácií v informačných systémoch zároveň stanovuje Federálna služba pre technickú a exportnú kontrolu (FSTEC) a Federálna bezpečnostná služba (FSB) v rámci svojich právomocí.

Bezpečnosť osobných údajov pri ich spracúvaní v informačnom systéme zaisťuje prevádzkovateľ alebo ten, koho na základe zmluvy spracúvaním osobných údajov prevádzkovateľ poverí. Osobám, ktorých prístup k osobným údajom spracúvaným v informačnom systéme je nevyhnutný na plnenie služobných (pracovných) povinností, je umožnený prístup k príslušným osobným údajom na základe zoznamu schváleného prevádzkovateľom alebo oprávnenou osobou. Nevyhnutnou podmienkou zmluvy je povinnosť oprávnenej osoby zabezpečiť dôvernosť a bezpečnosť osobných údajov pri ich spracúvaní v informačnom systéme.

Nástroje informačnej bezpečnosti používané v informačných systémoch, v v pravý čas prejsť procesom posudzovania zhody. Výmena osobných údajov pri ich spracúvaní v informačných systémoch sa uskutočňuje prostredníctvom komunikačných kanálov, ktorých ochrana je zabezpečená zavedením vhodných organizačné opatrenia a (alebo) pomocou technických prostriedkov.

Informačné systémy zároveň klasifikujú štátne orgány, orgány obcí, právnické osoby alebo fyzické osoby organizujúce a (alebo) spracúvajúce osobné údaje, ako aj určovanie účelov a obsahu spracúvania osobných údajov v závislosti od množstva spracúvaných osobných údajov. ohrozenia životných záujmov jednotlivca, spoločnosti a štátu.

Postup klasifikácie informačných systémov spoločne stanovujú Federálna služba pre technickú a exportnú kontrolu, Federálna bezpečnostná služba a Ministerstvo informačných technológií a komunikácií. Tento postup určuje Objednávka FSTEC Ruska, FSB Ruska, Ministerstvo informácií a komunikácií Ruska zo dňa 13. februára 2008 N 55/86/20.

Okrem toho sú uvedené požiadavky na priestory a ich ochranu. Podľa odseku 8 Nariadenia o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov, umiestňovaní informačných systémov, špeciálne vybavenie a ochranu priestorov, kde sa osobné údaje spracúvajú, organizácia bezpečnostného režimu v týchto priestoroch by mala zabezpečiť bezpečnosť nosičov osobných údajov a nástrojov informačnej bezpečnosti, ako aj vylúčiť možnosť nekontrolovaného vstupu alebo pobytu v týchto priestoroch outsiderov.

Na tento účel musia štátne a mestské inštitúcie nainštalovať ďalšie alarmy v týchto priestoroch, vo dverách - dodatočné zámky alebo kovové dvere.

Opatrenia na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch zahŕňajú:

a) identifikácia ohrozenia bezpečnosti osobných údajov pri ich spracúvaní, vytvorenie modelu ohrozenia na ich základe;

b) vývoj systému ochrany osobných údajov na základe modelu hrozieb, ktorý zabezpečuje neutralizáciu údajných hrozieb pomocou metód a prostriedkov ochrany osobných údajov poskytovaných pre príslušnú triedu informačných systémov;

c) kontrola pripravenosti nástrojov informačnej bezpečnosti na použitie s vypracovaním záverov o možnosti ich fungovania;

d) inštalácia a uvedenie do prevádzky nástrojov informačnej bezpečnosti v súlade s prevádzkovo-technickou dokumentáciou;

e) školenie osôb pri používaní nástrojov informačnej bezpečnosti používaných v informačných systémoch, pravidlá práce s nimi;

f) s prihliadnutím na použité prostriedky ochrany informácií, prevádzkovú a technickú dokumentáciu k nim, nosičov osobných údajov;

g) evidencia osôb prijatých na prácu s osobnými údajmi v informačnom systéme;

h) kontrola dodržiavania podmienok používania nástrojov informačnej bezpečnosti stanovených prevádzkovo-technickou dokumentáciou;

i) šetrenie a vypracúvanie záverov o skutočnostiach nedodržiavania podmienok uchovávania nosičov osobných údajov, používania nástrojov informačnej bezpečnosti, ktoré môžu viesť k porušeniu dôvernosti osobných údajov alebo k iným porušeniam vedúcim k zníženiu úroveň ochrany osobných údajov, vypracovanie a prijatie opatrení na predchádzanie možným nebezpečným následkom takéhoto porušenia;

j) popis systému ochrany osobných údajov.

Osoby, ktoré majú prístup k informačné základne s osobnými údajmi podpíšte povinnosti mlčanlivosti dôverné informácie(Takúto povinnosť môže obsahovať aj pracovná zmluva). Až potom im vzdelávacia inštitúcia umožní spracúvať osobné údaje.

Vzdelávacia inštitúcia musí pri spracúvaní osobných údajov v informačnom systéme zabezpečiť:

a) prijímanie opatrení zameraných na zamedzenie neoprávneného prístupu k osobným údajom a (alebo) ich prenos osobám, ktoré nemajú právo na prístup k týmto informáciám;

b) včasné zistenie skutočností neoprávneného prístupu k osobným údajom;

c) predchádzanie vplyvu na technické prostriedky automatizované spracovanie osobné údaje, v dôsledku čoho môže byť narušené ich fungovanie;

d) možnosť okamžitej obnovy osobných údajov upravených alebo zničených v dôsledku neoprávneného prístupu k nim;

e) neustála kontrola na zabezpečenie úrovne ochrany osobných údajov.

Na vypracovanie a realizáciu opatrení na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačnom systéme môže prevádzkovateľ alebo oprávnená osoba poveriť štrukturálne členenie alebo úradník (zamestnanec) zodpovedný za zaistenie bezpečnosti osobných údajov.

Osobitnú pozornosť treba venovať aj tomu, že v súlade s bodom 17 Nariadenia o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov je implementácia požiadaviek na zaistenie bezpečnosti informácií v nástrojoch informačnej bezpečnosti pridelené ich vývojárom.

Primeranosť prijaté opatrenia o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch sa posudzuje pri štátnej kontrole a dozore.

Klasifikácia informačných systémov osobných údajov

Klasifikácia informačných systémov osobných údajov, ktoré umožňujú spracúvanie týchto údajov pomocou nástrojov automatizácie, vykonáva vzdelávacia inštitúcia - prevádzkovateľ v súlade s Postupom klasifikácie informačných systémov osobných údajov<6>v závislosti od kategórie spracúvaných údajov a ich množstva.

<6>Schválené nariadením FSTEC Ruska, FSB Ruska, Ministerstva informácií a komunikácií Ruska zo dňa 13. februára 2008 N 55/86/20.

Boli stanovené tieto štyri kategórie osobných údajov:

1. osobné údaje týkajúce sa rasy, národnosti, politických názorov, náboženského a filozofického presvedčenia, zdravotného stavu, intímneho života;
2. osobné údaje, ktoré umožňujú identifikovať subjekt osobných údajov a získať o ňom Ďalšie informácie, s výnimkou osobných údajov patriacich do prvej kategórie;
3. osobné údaje umožňujúce identifikovať subjekt osobných údajov;
4. depersonalizované a (alebo) verejne dostupné osobné údaje.

Na ktorejkoľvek univerzite na verejných stánkoch nájdete rôzne zoznamy študentov vrátane kombinácie celého mena. študent, kurz, skupina, ktoré umožňujú jednoznačne identifikovať študenta. V dôsledku toho takáto kombinácia osobných údajov núti ich klasifikovať ako osobné údaje tretej kategórie; zverejnenie týchto údajov na verejnom mieste si formálne vyžaduje súhlas študenta.

Osobná karta zamestnanca (formulár T-2), osobný spis študenta (študenta) patria do druhej kategórie, keďže ide o osobné údaje, ktoré umožňujú nielen identifikovať subjekt osobných údajov, ale aj získať ďalšie informácie o ňom.

Informačné systémy osobných údajov sa delia na štandardné a špeciálne. Typické systémy zahŕňajú systémy, v ktorých sa vyžaduje iba dôvernosť osobných údajov. Všetky ostatné systémy sú špeciálne.

Špeciálne informačné systémy by mali zahŕňať aj:

• informačné systémy, v ktorých sa spracúvajú osobné údaje týkajúce sa zdravotného stavu dotknutých osôb;
• informačné systémy, ktoré umožňujú prijímať na základe výlučne automatizovaného spracúvania osobných údajov rozhodnutia, ktoré vyvolávajú právne následky vo vzťahu k dotknutej osobe alebo sa inak dotýkajú jej práv a oprávnených záujmov.

Na základe uvedenej klasifikácie možno konštatovať, že akékoľvek zdravotné údaje, ako aj personálne záznamy obsahujúce kolónku „národnosť“ (a to sú takmer všetky aktuálne dotazníky resp. osobné listy v súčasnosti používané) by sa mali zaradiť do prvej kategórie.

Typickému informačnému systému je na základe výsledkov analýzy dostupných údajov priradená jedna zo štyroch tried uvedených v Postupe klasifikácie informačných systémov osobných údajov.

Trieda špeciálneho informačného systému je určená na základe modelu ohrozenia bezpečnosti osobných údajov na základe výsledkov analýzy počiatočných údajov v súlade s metodických dokumentov FSTEC.

FSTEC vydal nasledujúce dokumenty DSP, ktoré možno získať iba kontaktovaním tohto orgánu:

• Hlavné činnosti pre organizáciu a technická podpora zabezpečenie osobných údajov spracúvaných v informačných systémoch osobných údajov zo dňa 15.02.2008;
• Základný model ohrozenia bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov zo dňa 15.02.2008;
• Spôsob stanovenia skutočné hrozby zabezpečenie osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov zo dňa 15.02.2008;
• Odporúčania na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov zo dňa 15.02.2008.

Tieto metodické dokumenty obsahujú množstvo požiadaviek, ktoré je pre väčšinu štátnych či obecných inštitúcií mimoriadne náročné splniť z organizačných aj finančných dôvodov.

Prehlásenie, certifikácia (atestácia) a licencovanie činností na ochranu osobných údajov

Vyššie uvedené metodické dokumenty FSTEC stanovujú nasledovný postup posudzovania súladu stupňa bezpečnosti informačných systémov s požiadavkami na bezpečnosť:

• pre informačné systémy prvej a druhej triedy sa súlad stupňa bezpečnosti s bezpečnostnými požiadavkami zisťuje povinnou certifikáciou (atestáciou);
• pri informačných systémoch tretej triedy je splnenie bezpečnostných požiadaviek potvrdené certifikáciou (atestáciou) alebo (podľa výberu prevádzkovateľa) vyhlásením o zhode vykonaným prevádzkovateľom osobných údajov;
• pre informačné systémy štvrtej triedy posudzovanie zhody nie je upravené a vykonáva sa podľa uváženia prevádzkovateľa osobných údajov.

Vyhlásenie o zhode- ide o potvrdenie o súlade charakteristík informačného systému osobných údajov s požiadavkami naň stanovenými, ustanovenými zákonom, usmerneniami a regulačnými a metodickými dokumentmi FSTEC a FSB.

Vyhlásenie o zhode možno vykonať na základe vlastných dôkazov alebo dôkazov získaných za účasti zainteresovaných organizácií, ktoré majú potrebné licencie. Zoznam orgánov (organizácií) pre atestáciu systému certifikácie nástrojov informačnej bezpečnosti pre požiadavky informačnej bezpečnosti, na ktoré sa možno obrátiť vzdelávacie inštitúcie a vzdelávacie orgány, ktoré nemajú potrebných špecialistov a licencie, ako aj Štátny register certifikované fondy ochrany informácií sú zverejnené na webovej stránke FSTEC. Náklady na takéto postupy sú pomerne vysoké a merajú sa v stovkách tisíc rubľov.

V prípade vyhlásenia na základe vlastných dôkazov prevádzkovateľ samostatne vytvorí súbor dokumentov, ako sú: technická dokumentácia, ďalšie dokumenty a výsledky vlastného výskumu, ktoré slúžili ako motivovaný podklad pre potvrdenie súladu informačného systému osobných údajov so všetkými nevyhnutné požiadavky pre tretiu triedu.

Atestačné (certifikačné) skúšky vykonávajú organizácie, ktoré majú potrebné licencie FSTEC. Atestáciou sa zároveň rozumie súbor opatrení, ktoré umožňujú uviesť informačný systém do súladu s požiadavkami informačnej bezpečnosti pre deklarovanú triedu, stanovenými v regulačných a metodických dokumentoch FSTEC.

Atestačné (certifikačné) testy obsahujú analýzu informačných systémov osobných údajov, ktoré sú už v zariadení k dispozícii, ako aj novoprijaté rozhodnutia na zabezpečenie informačnej bezpečnosti a zahŕňajú overenie:

• organizačné a režimové opatrenia na zabezpečenie ochrany informácií;
• ochrana informácií pred únikom cez technické kanály (PEMIN);
• ochrana informácií pred neoprávneným prístupom.

Na základe výsledkov atestačných skúšok sa rozhoduje o vydaní certifikátu zhody informačného systému s deklarovanou triedou podľa požiadaviek informačnej bezpečnosti. Osvedčenie sa vydáva na dobu troch rokov.

Ustanovujú aj metodické dokumenty FSTEC Ďalšie požiadavky o dostupnosti licencií na vykonávanie činností na ochranu osobných údajov. Bez príslušných licencií je organizovanie takýchto podujatí možné len pre informačné systémy tretej a štvrtej triedy.

Za účelom prijatia opatrení na zaistenie bezpečnosti osobných údajov pre osobitné informačné systémy, systémy prvej a druhej triedy a distribuované (vrátane pripojených na internet) systémy tretej triedy sú prevádzkovatelia povinní získať predpísaným spôsobom licencia FSTEC pre aktivity na technická ochrana dôverné informácie.

Zákonnosť požiadaviek na vykonávanie postupov ohlasovania, osvedčovania (atestácie) a udeľovania licencií štátnymi a obecnými inštitúciami na základe metodických dokumenty FSTEC je veľmi pochybné.

Predpisy o postupe pri nakladaní s úradnými informáciami o obmedzenej distribúcii vo federálnych výkonných orgánoch<7>(odsek 1.2) klasifikuje ako utajované skutočnosti obmedzeného šírenia neutajované informácie týkajúce sa činnosti organizácií, ktorých distribúcia je obmedzená úradnou nevyhnutnosťou. Stanovenie povinností pri udeľovaní licencií na činnosť organizácií nemožno v žiadnom prípade uznať za informácie z DSP.

<7>Schválené nariadením vlády Ruskej federácie z 3. novembra 1994 N 1233.

Licenčné zodpovednosti určité typyčinnosti, vrátane činností na technickú ochranu dôverných informácií, sú definované federálnym zákonom „o udeľovaní licencií na určité druhy činností“<8>. Vykonávaný postup pri udeľovaní licencií na technickú ochranu dôverných informácií právnických osôb a individuálnych podnikateľov, je definovaný nariadením vlády Ruskej federácie z 15. augusta 2006 N 504.

<8>Federálny zákon z 08.08.2001 N 128-FZ.

Predpisy o licenčnej činnosti na technickú ochranu dôverných informácií ani Postup pri zaraďovaní informačných systémov osobných údajov neustanovujú povinnosti pre licenčnú činnosť na technickú ochranu dôverných informácií v závislosti od triedy informačného systému. Tieto požiadavky sú ustanovené v dokumente DSP - Základné opatrenia na organizáciu a technické zabezpečenie PD spracovanom v ISPD.

Nariadenie o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov určuje len to, že:

• nástroje informačnej bezpečnosti používané v informačných systémoch predpísaným spôsobom prechádzajú postupom posudzovania zhody (bod 5) - to znamená, že certifikácii nepodlieha prevádzkovateľ, ale nástroj informačnej bezpečnosti a vykonáva ju výrobca tohto nástroja (vrátane počítačový program o ochrane informácií);
• výsledky posudzovania zhody a (alebo) prípadové štúdie nástrojov informačnej bezpečnosti určených na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch sa vyhodnocujú v rámci skúmania, ktoré vykonáva Federálna služba pre technickú a exportnú kontrolu a Federálna bezpečnostná služba v rámci svojich právomocí.

V súlade s časťou 3 čl. 15 Ústavy Ruskej federácie musia byť všetky zákony, ako aj všetky normatívne akty ovplyvňujúce práva, slobody a povinnosti osoby a občana oficiálne zverejnené pre všeobecnú informáciu, teda zverejnené. Neuverejnené normatívne právne akty sa neuplatňujú, nemajú právne následky, pretože nenadobudli platnosť.

Od 15. mája 1992 nariadením vlády Ruskej federácie z 5. 8. 1992 N 305 „O štátna registrácia rezortných normatívnych aktov“ bola zavedená štátna registrácia normatívnych aktov ministerstiev a rezortov dotýkajúcich sa práv a záujmov občanov a medzirezortného charakteru.

Otázky štátnej registrácie a nadobudnutia účinnosti rezortných regulačných právnych aktov upravuje vyhláška prezidenta Ruskej federácie N 763<9>a vyhláška vlády Ruskej federácie N 1009<10>.

<9>Vyhláška prezidenta Ruskej federácie z 23.05.1996 N 763 „O postupe pri zverejňovaní a nadobudnutí účinnosti aktov prezidenta Ruskej federácie, vlády Ruskej federácie a regulačných právnych aktov federálnych výkonných orgánov. "
<10>Vyhláška vlády Ruskej federácie z 13. augusta 1997 N 1009 „O schválení pravidiel prípravy regulačných právnych aktov federálnych výkonných orgánov a ich štátnej registrácie“.

Podľa bodu 10 Pravidiel na prípravu regulačných právnych aktov federálnych výkonných orgánov a ich štátnej registrácie podlieha štátna registrácia regulačným právnym aktom ovplyvňujúcim práva, slobody a povinnosti osoby a občana, ktoré ustanovujú právny stav organizácie medzirezortného charakteru bez ohľadu na dobu ich platnosti, vrátane aktov obsahujúcich informácie tvoriace štátne tajomstvo alebo dôverné informácie.

Štátnu registráciu normatívnych právnych aktov vykonáva ministerstvo spravodlivosti, ktoré vedie Štátny register normatívnych právnych aktov federálnych výkonných orgánov.

Štátna registrácia normatívneho právneho aktu zahŕňa:

• právne preskúmanie súladu tohto zákona s právnymi predpismi Ruskej federácie vrátane kontroly prítomnosti ustanovení v ňom, ktoré prispievajú k vytvoreniu podmienok na prejavy korupcie;
• rozhodovanie o potrebe štátnej registrácie tento akt;
• pridelenie registračného čísla;
• zápis do štátneho registra normatívnych právnych aktov federálnych výkonných orgánov.

Normatívne právne akty, ktoré sa dotýkajú práv, slobôd a povinností osoby a občana, zakladajú právne postavenie organizácií alebo majú medzirezortný charakter, podliehajú úradnému zverejneniu predpísaným spôsobom, s výnimkou aktov alebo ich jednotlivých ustanovení obsahujúcich informácie tvoriace štátne tajomstvo alebo informácie dôverného charakteru,

Zákon, ktorý ministerstvo spravodlivosti uzná za nevyžadujúci štátnu registráciu, podlieha zverejneniu spôsobom určeným federálnym výkonným orgánom, ktorý zákon schválil. Zároveň postup nadobudnutia účinnosti tohto zákona určuje aj federálny výkonný orgán, ktorý ho vydal.

Štátne a mestské inštitúcie, ktoré vykonávajú automatizované spracúvanie osobných údajov, sa preto podľa autora môžu v prípade predloženia požiadaviek na získanie licencií, vyhlásenia alebo osvedčenia (atestácie) proti takýmto požiadavkám odvolať na súde (najmä ak sú prostriedky na ochranu osobných údajov už boli certifikované ich výrobcom).

A. Betlehem

riaditeľ

Stred Nižného Novgorodu

ekonomika školstva

Akt o klasifikácii ISPD je spravidla dôverným dokumentom a musí mať pečiatku dôvernosti („Dôverné“, „DSP“, „Obchodné tajomstvo“) a číslo účtu.

Na vykonanie klasifikácie v podniku musí byť vytvorená komisia. V komisii musí byť osoba zodpovedná za ochranu osobných údajov. Komisia musí byť menovaná príkazom prednostu a svoju činnosť vykonáva na základe Poriadku o klasifikačnej komisii. Podľa výsledkov klasifikácie je potrebné vypracovať zákon. Klasifikačný akt ISPD musí schváliť predseda komisie a podpísať všetci členovia komisie.

Ako vypracovať akt o klasifikácii ISPD

Klasifikačný akt sa vypracuje pre každý identifikovaný ISPD. Na základe prijatých údajov sa určí každý ISPD požadovaná úroveň bezpečnosť osobných údajov. Je to potrebné na stanovenie požiadaviek na zabezpečenie ochrany informačného systému osobných údajov. Stanovenie úrovne ochrany osobných údajov sa vykonáva v súlade s nariadením vlády Ruskej federácie zo dňa 01.11.2012 č.1119 „O schválení požiadaviek na ochranu osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov“. “.

Zákon uvádza:

• osobné údaje spracúvané v systéme;
• množstvo osobných údajov, ktoré sa spracúvajú;
• typ skutočných hrozieb pre ISPD;
• štruktúra informačného systému;
• dostupnosť pripojení k verejným komunikačným sieťam a (alebo) medzinárodným sieťam výmena informácií;
• spôsob spracovania osobných údajov v systéme;
• diferenciácia prístupových práv používateľov;
• umiestnenie ISPD;
• Úroveň zabezpečenia PD.

Zákon o klasifikácii ISPD môže zahŕňať systémy, v ktorých sú takéto údaje uložené:

• osobitné kategórie osobných údajov - informácie týkajúce sa rasy, národnosti, politických názorov, náboženského alebo filozofického presvedčenia, zdravotného stavu, intímneho života dotknutých osôb;
• biometrické osobné údaje - informácie, ktoré charakterizujú fyziologické a biologické vlastnosti osoby, na základe ktorých je možné zistiť jej totožnosť a ktoré slúžia prevádzkovateľovi na identifikáciu subjektu osobných údajov;
• verejne dostupné osobné údaje - informácie získané iba z verejne dostupných zdrojov osobných údajov vytvorených v súlade s článkom 8 federálneho zákona „o osobných údajoch“.

Pomerne zriedkavo existujú systémy, v ktorých sa spracúvajú osobné údaje 3. kategórie. Dôvodom je skutočnosť, že skutočné úlohy vyžadujú nielen údaje identifikujúce subjekt (celé meno, údaje z pasu), ale aj ďalšie informácie o ňom (napríklad informácie o plate).

Najčastejšie informačné systémy, v ktorých sa spracúvajú osobné údaje 2. kategórie. Napríklad mzdové systémy pre zamestnancov.

Objem spracúvaných OÚ určuje počet subjektov, ktorých osobné údaje sú v systéme spracúvané. Platí nasledujúca gradácia:

• viac ako 100 000 subjektov s PD;
• menej ako 100 000 subjektov s PD.

Typy ohrození bezpečnosti osobných údajov

Typ súčasných hrozieb pre ISPD:

• ohrozenia 1. typu sú relevantné pre informačný systém, ak je ovplyvnený aj hrozbami spojenými s prítomnosťou nezdokumentovaných (nedeklarovaných) schopností v systémovom softvéri používanom v informačnom systéme;
• Hrozby 2. typu sú relevantné pre informačný systém, ak je ovplyvnený aj hrozbami súvisiacimi s prítomnosťou nezdokumentovaných (nedeklarovaných) schopností v aplikačnom softvéri používanom v informačnom systéme;
• Hrozby 3. typu sú relevantné pre informačný systém, ak je vystavený hrozbám, ktoré nesúvisia s prítomnosťou nezdokumentovaných (nedeklarovaných) schopností v systéme a aplikačného softvéru používaného v informačnom systéme.

Podľa typu sa informačné systémy osobných údajov popísané v zákone o klasifikácii ISPD delia na štandardné a špeciálne. Štandardné ISPD - informačné systémy, v ktorých sa vyžaduje iba zabezpečenie dôvernosti PD. Špeciálne ISPD sú informačné systémy, v ktorých je potrebné okrem dôvernosti zabezpečiť ešte aspoň jednu charakteristiku bezpečnosti osobných údajov (celistvosť, dostupnosť).

Okrem toho medzi špeciálne systémy patria všetky ISPD, ktoré spracúvajú údaje o zdravotnom stave subjektov, a ISPD, ktoré zabezpečujú prijímanie rozhodnutí generujúcich právne následky pre subjekt na základe automatizovaného spracovania.

Väčšina existujúcich ISPD je špeciálna. Dôvodom je skutočnosť, že okrem dôvernosti je tiež dôležité, aby bol PD vždy k dispozícii na spracovanie, úplný a spoľahlivý. Pre všetkých špeciálne systémy je potrebné vyvinúť „Súkromný model skutočných hrozieb“.

Klasifikácia informačných systémov osobných údajov podľa štruktúry:

• Autonómny. Je to jeden automatizovaný pracovisko(počítač).
• Miestne. Automatizované pracovné stanice (AWP), spojené v lokálnej sieti.
• distribuovaný. Automatizované pracoviská resp lokálnych sietí navzájom prepojené prostredníctvom technológie vzdialený prístup.

Podľa spôsobu spracúvania osobných údajov v systéme ISPD sa delia na jednoužívateľské a viacužívateľské. Systémy pre jedného používateľa sú vzácnosťou. Aj na jednom autonómnom pracovisku pracujú spravidla minimálne dvaja ľudia (v prípade dovoleniek a chorôb).

Klasifikácia ISPD pre viacerých používateľov sa delí na:

• Bez rozlišovania prístupových práv. V takýchto systémoch majú všetci používatelia prístup ku všetkým informáciám.
• S vymedzením prístupových práv. Každý užívateľ má prístup k presne definovaným informáciám v systéme.

Podľa miesta sa ISPD delia na.

Jednou z prioritných činností, ktoré je potrebné realizovať pri vytváraní informačného systému na spracovanie osobných údajov (ISPD) je klasifikácia ISPD.

Je to potrebné na určenie triedy systému a zodpovedajúcich požiadaviek na FSTEC a FSB pri spracúvaní osobných údajov (PD). V tomto článku popíšem všeobecný postup klasifikácie ISPD.

V súlade s nariadením FSTEC/FSB/Ministerstva informácií a komunikácií č. 55/86/20 zo dňa 13.02.2008 o „Postupe pri klasifikácii informačného systému osobných údajov“, ktoré si môžete stiahnuť tu, je klasifikácia potrebné zahrnúť nasledujúce kroky:

• Zber a analýza počiatočných údajov o informačnom systéme;
• Priradenie príslušnej triedy k informačnému systému a jeho dokumentácii.

Pri klasifikácii informačného systému je potrebné zodpovedať nasledujúce otázky:

1. 1Do akej kategórie patria osobné údaje spracúvané v informačnom systéme - Xpd?
2. Aký je objem spracúvaných osobných údajov (počet dotknutých osôb, ktorých osobné údaje sa spracúvajú v informačnom systéme) - Xnpd?
3. Aké sú bezpečnostné charakteristiky osobných údajov spracúvaných v informačnom systéme?
4. Aká je štruktúra informačného systému?
5. Existuje napojenie informačného systému na verejné komunikačné siete a/alebo Internetové siete?
6. Aký je spôsob spracovania osobných údajov?
7. Aký je režim diferenciácie prístupových práv používateľov informačného systému?
8. Umiestnenie technických prostriedkov informačného systému?

Počiatočné údaje a podporné informácie

Vymedzujú sa tieto kategórie osobných údajov spracúvaných v informačnom systéme (Xpd):

1. kategória 1- osobné údaje týkajúce sa rasy, národnosti, politických názorov, náboženského a filozofického presvedčenia, zdravotného stavu, intímneho života;
2. kategória 2- osobné údaje, ktoré umožňujú identifikovať subjekt osobných údajov a získať o ňom ďalšie informácie, s výnimkou osobných údajov súvisiacich s kategória 1;
3. kategória 3- osobné údaje umožňujúce identifikovať subjekt osobných údajov;
4. kategória 4- depersonalizované a (alebo) verejne dostupné osobné údaje.

Xnpd môže nadobudnúť nasledujúce hodnoty:

• 1 - informačný systém súčasne spracúva osobné údaje viac ako 100 000 subjektov osobných údajov alebo osobné údaje subjektov osobných údajov v rámci jedného subjektu Ruskej federácie alebo Ruskej federácie ako celku;
• 2 - informačný systém súčasne spracúva osobné údaje od 1 000 do 100 000 subjektov osobných údajov alebo osobné údaje dotknutých osôb pracujúcich v sektore hospodárstva Ruskej federácie v orgáne verejnej moci so sídlom v obci;
• 3 - informačný systém súčasne spracúva údaje menej ako 1000 dotknutých osôb alebo osobné údaje dotknutých osôb v rámci konkrétnej organizácie.

Funkcie zabezpečenia osobných údajov

Pre ISPD sa určujú charakteristiky bezpečnosti osobných údajov, ktoré sa delia na základné a doplnkové:

ZÁKLADNÉ:

• dôvernosti
• bezúhonnosť
• dostupnosť

VOLITEĽNÉ:

• neodmietnutie
• účtovníctvo (kontrola)
• autentickosť (dôveryhodnosť)
• primeranosť

Štruktúra informačného systému rozdelené na:

• autonómne (neprepojené s inými informačnými systémami) komplexy technických a softvérové ​​nástroje, určené na spracúvanie osobných údajov (automatizované pracovné stanice);
• komplex automatizovaných pracovných staníc združených do jedného informačného systému pomocou komunikácie bez použitia technológie vzdialeného prístupu (lokálne informačné systémy);
• komplex automatizovaných pracovných staníc a (alebo) lokálnych informačných systémov združených do jedného informačného systému prostredníctvom komunikácie pomocou technológie vzdialeného prístupu (distribuované informačné systémy).

Režim spracovania

Pri organizovaní ISPD sa určujú nasledujúce režimy spracovania:

• jediný používateľ;
• multiplayer.

Režim diferenciácie prístupových práv

V ISPD systém kontroly prístupu znamená:

• bez rozlišovania prístupových práv;
• s obmedzenými prístupovými právami.

Informačné systémy sa delia na typický a špeciálne.
Do klasického informačného systému zahŕňajú systémy, ktoré vyžadujú iba dôvernosť PD.

Do špeciálneho informačného systému zahŕňajú systémy, ktoré okrem dôvernosti vyžadujú:

• Informačné systémy, v ktorých sa spracúvajú osobné údaje týkajúce sa zdravotného stavu dotknutých osôb;
• Informačné systémy, v ktorých sa na základe výlučne automatizovaného spracúvania osobných údajov prijímajú rozhodnutia, ktoré vyvolávajú právne následky vo vzťahu k subjektu osobných údajov alebo sa inak dotýkajú jeho práv a oprávnených záujmov.

Klasifikácia informačného systému

Podľa nariadenia FSTEC/FSB/Ministerstva informácií a komunikácií č. 55/86/20 môže mať ISPD jednu zo štyroch tried definovaných v tomto poradí:

1. trieda 1 (K1)- informačné systémy, pri ktorých porušenie stanovených bezpečnostných charakteristík osobných údajov v nich spracúvaných môže viesť k významným negatívnym dôsledkom pre dotknuté osoby;
2. trieda 2 (K2)- informačné systémy, pri ktorých porušenie stanovených bezpečnostných charakteristík osobných údajov v nich spracúvaných môže viesť k negatívnym dôsledkom pre dotknuté osoby;
3. trieda 3 (K3)- informačné systémy, pri ktorých porušenie stanovených bezpečnostných charakteristík osobných údajov v nich spracúvaných môže viesť k menším negatívnym dôsledkom pre dotknuté osoby;
4. trieda 4 (K4)- informačné systémy, u ktorých porušenie stanovených bezpečnostných charakteristík osobných údajov v nich spracúvaných nevedie k negatívnym dôsledkom pre dotknuté osoby.

Informačné systémy osobných údajov (ISPD) využívajú pri svojej práci mnohé podniky a organizácie. Pozrime sa, čo to je a aké nuansy musia brať do úvahy tí, ktorí pracujú s ISPD.

Čo je ISDN?

Jednoducho povedané, informácie systém ISPD slúži na uchovávanie a spracovanie osobných údajov. Zahŕňa nasledujúce komponenty:

• V skutočnosti sú to všetky osobné údaje uložené v systéme, v databáze.
• Technické prostriedky používané na prácu s týmito údajmi.
• Prostriedky na automatizáciu procesov účtovania a spracovania informácií uložených v ISPD (nemusia byť dostupné vo všetkých systémoch).

ISDN je vážny

Pri používaní predmetných systémov je dôležité zabezpečiť ochranu osobných údajov pred neoprávneným prístupom, stratou a inými mimoriadnymi situáciami. Toto je dokonca uvedené na legislatívnej úrovni. A za účelom prijatia poradenských opatrení na obmedzenie prístupu k informáciám a na ich ochranu sa vykonáva audit ISPD (pre viac podrobností kontaktujte napríklad špecialistov Rentacloud: http://rentacloud.su/services/zashchita-personalnykh-dannykh /audit/). V dôsledku toho sa vypracuje akt, ktorý obsahuje tieto informácie:

• Kategória osobných údajov, ktoré sa ukladajú a spracúvajú v skúmanom systéme.
• Ich trieda a typ (viac o tom nižšie).
• Parametre a štruktúra skúmaného systému.
• Objemy PD (počet záznamov atď.) uložené a spracované v ISPD.
• Informácie o umiestnení systému.
• Informácie o možnosti prístupu k databáze prostredníctvom sietí dostupných pre verejné použitie (LAN, Internet a pod.).

Audit sa vykonáva v prísnom súlade s spoločný dokument pripravilo ministerstvo komunikácií, FSTEC a FSB. Je veľmi objemný a vyžaduje si dôkladné štúdium. V tomto smere je potrebné zveriť odborníkom audit systému a prípravu odporúčaní, na ktorých bude ochrana ISPD založená. Ich služby možno využiť napríklad kontaktovaním Rentacloud: (http://rentacloud.su).

Typy, triedy ISPD a čo ešte potrebujete vedieť o takýchto systémoch

Informačné systémy osobných údajov (PD) sú rozdelené do 4 tried a 2 typov. Rozdelenie do tried sa uskutočňuje na základe takých znakov, ako je kategória spracovaných PD a ich objemy.

triedy

Táto tabuľka vám pomôže zistiť:

Vysvetlivky k tabuľke.

Do kategórie číslo 4 patria depersonalizované PD, podľa ktorých nie je možné identifikovať konkrétny subjekt (príkladom sú štatistické údaje). Cat 3 obsahuje osobné údaje, na základe ktorých je možná iba identifikácia osoby (sú pomerne zriedkavé). Do kategórie 2 patria údaje, na základe ktorých je možné identifikovať osobu a získať o nej nejaké informácie. Ďalšie informácie(príklad - mzdové systémy v organizáciách a podnikoch). Do prvej kategórie patria údaje obsahujúce informácie o národnosti, zdravotnom stave a iné sociálne informácie a informácie rôzneho charakteru (napríklad databázy zdravotníckych zariadení).

Pokiaľ ide o triedy uvedené v tabuľke, pridelenie ISDN k nim sa vykonáva na základe možného poškodenia subjektov v prípade porušenia bezpečnostných podmienok:

• Cl 4. Akékoľvek negatívne dôsledky pre subjekt sú vylúčené.
• Cl 3. Môžu sa vyskytnúť menšie nepriaznivé účinky.
• Cl 2. Výskyt takýchto následkov.
• Cl 1. Možné sú veľmi vážne negatívne dôsledky.

Typy ISPD

Prvý typ zahŕňa systémy, kde funkcie ochrana ISPD zredukovať na dosiahnutie správne ukazovatele jej súkromie. Ak je okrem dôvernosti potrebné zabezpečiť aspoň jeden dodatočný bezpečnostný ukazovateľ (pravosť, dostupnosť, integrita údajov atď.), rozprávame sa o druhom type.

Stojí za zmienku, že väčšina dnes používaných systémov je priradená k druhému typu.

Je vidieť, že vývoj ISPD, ich klasifikácia a poskytovanie spoľahlivých, účinnú ochranu sú veľmi zložité a mnohostranné procesy. A aby sa predišlo chybám, odporúča sa to zveriť odborníkom. Ak to chcete urobiť, môžete sa obrátiť napríklad na spoločnosť "Rentacloud", ktorá na tomto trhu zaujíma jednu z vedúcich pozícií.

Registrácia N 11462

V súlade s odsekom 6 Nariadení o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov, schválených nariadením vlády Ruskej federácie zo dňa 17. novembra 2007 N 781 „O schválení Nariadení o zabezpečení zabezpečenie osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov „(Zbierka právnych predpisov Ruskej federácie, 2007, N 48, časť II, čl. 6001), objednávame:

Schváliť priložený postup klasifikácie informačných systémov osobných údajov.

riaditeľ

Federálna služba

pre technickú a exportnú kontrolu

S. Grigorov

Riaditeľ Federálnej bezpečnostnej služby

Ruská federácia

N. Patrushev

Minister informačných technológií a komunikácií Ruskej federácie

L. Reiman

Postup pri klasifikácii informačných systémov osobných údajov

1. Tento postup určuje klasifikáciu informačných systémov osobných údajov, ktoré sú súborom osobných údajov obsiahnutých v databázach, ako aj informačných technológií a technických prostriedkov, ktoré umožňujú spracúvanie týchto osobných údajov pomocou nástrojov automatizácie (ďalej len informačné systémy )1.

2. Klasifikáciu informačných systémov vykonávajú štátne orgány, orgány obcí, právnické a fyzické osoby organizujúce a (alebo) vykonávajúce spracúvanie osobných údajov, ako aj určovanie účelov a obsahu spracúvania osobných údajov (ďalej len ďalej ako prevádzkovateľ)2.

3. Klasifikácia informačných systémov sa vykonáva v štádiu vytvárania informačných systémov alebo počas ich prevádzky (pre predtým uvedené do prevádzky a (alebo) modernizované informačné systémy) za účelom stanovenia metód a prostriedkov ochrany informácií potrebných na zaistenie bezpečnosti osobných údajov.

4. Klasifikácia informačných systémov zahŕňa tieto kroky:

zber a analýza počiatočných údajov o informačnom systéme:

priradenie príslušnej triedy k informačnému systému a jeho dokumentácia.

5. Pri klasifikácii informačného systému sa berú do úvahy tieto východiskové údaje:

objem spracúvaných osobných údajov (počet dotknutých osôb, ktorých osobné údaje sa spracúvajú v informačnom systéme) - X npd;

bezpečnostné charakteristiky osobných údajov spracúvaných v informačnom systéme špecifikované prevádzkovateľom;

štruktúra informačného systému;

dostupnosť pripojení informačného systému k verejným komunikačným sieťam a (alebo) medzinárodným sieťam na výmenu informácií;

spôsob spracovania osobných údajov;

spôsob diferenciácie prístupových práv používateľov informačného systému;

umiestnenie technických prostriedkov informačného systému.

6. Vymedzujú sa tieto kategórie osobných údajov spracúvaných v informačnom systéme (X pd):

7. Х npd môže nadobúdať nasledujúce hodnoty:

1 - informačný systém súčasne spracúva osobné údaje viac ako 100 000 dotknutých osôb alebo osobné údaje dotknutých osôb v rámci zakladajúceho subjektu Ruskej federácie alebo Ruskej federácie ako celku;

2 - informačný systém súčasne spracúva osobné údaje od 1 000 do 100 000 subjektov osobných údajov alebo osobné údaje subjektov osobných údajov pôsobiacich v sektore hospodárstva Ruskej federácie v orgáne verejnej moci so sídlom v obci;

3 - v informačnom systéme sa súčasne spracúvajú údaje menej ako 1000 dotknutých osôb alebo osobné údaje dotknutých osôb v rámci konkrétnej organizácie.

8. Podľa daný operátor charakteristiky bezpečnosti osobných údajov spracúvaných v informačnom systéme sa informačné systémy delia na štandardné a špeciálne informačné systémy.

Typické informačné systémy sú informačné systémy, ktoré vyžadujú len dôvernosť osobných údajov.

Osobitné informačné systémy sú informačné systémy, v ktorých sa bez ohľadu na potrebu zabezpečiť dôvernosť osobných údajov vyžaduje zabezpečiť aspoň jednu z iných bezpečnostných charakteristík osobných údajov ako dôvernosť (ochrana pred zničením, zmenou, zablokovaním, ako aj ako iné neoprávnené úkony).

Špeciálne informačné systémy by mali zahŕňať:

informačné systémy, v ktorých sa spracúvajú osobné údaje týkajúce sa zdravotného stavu dotknutých osôb;

informačné systémy, ktoré umožňujú prijímať na základe výlučne automatizovaného spracúvania osobných údajov rozhodnutia, ktoré vyvolávajú právne následky vo vzťahu k dotknutej osobe alebo sa inak dotýkajú jej práv a oprávnených záujmov.

9. Podľa štruktúry sa informačné systémy delia na:

na autonómne (neprepojené s inými informačnými systémami) komplexy hardvéru a softvéru určeného na spracovanie osobných údajov (automatizované pracovné stanice);

do komplexov automatizovaných pracovísk, združených do jedného informačného systému prostredníctvom komunikácie bez použitia technológie vzdialeného prístupu (lokálne informačné systémy);

o komplexoch automatizovaných pracovísk a (alebo) lokálnych informačných systémoch, spojených do jedného informačného systému pomocou komunikačných prostriedkov s využitím technológie vzdialeného prístupu (distribuované informačné systémy).

10. Podľa dostupnosti pripojení k verejným komunikačným sieťam a (alebo) medzinárodným sieťam výmeny informácií sa informačné systémy delia na systémy, ktoré majú pripojenia a systémy, ktoré pripojenia nemajú.

11. Podľa spôsobu spracúvania osobných údajov v informačnom systéme sa informačné systémy delia na jednoužívateľské a viacužívateľské.

12. Podľa vymedzenia prístupových práv používateľov sa informačné systémy členia na systémy bez vymedzenia prístupových práv a systémy s vymedzením prístupových práv.

13. Informačné systémy sa v závislosti od umiestnenia ich technických prostriedkov delia na systémy, ktorých všetky technické prostriedky sa nachádzajú na území Ruskej federácie, a systémy, ktorých technické prostriedky sa čiastočne alebo úplne nachádzajú mimo územia Ruskej federácie.

14. Na základe výsledkov analýzy počiatočných údajov je typickému informačnému systému priradená jedna z nasledujúcich tried:

trieda 1 (K1) - informačné systémy, pri ktorých porušenie danej bezpečnostnej charakteristiky osobných údajov v nich spracúvaných môže viesť k významným negatívnym dôsledkom pre dotknuté osoby;

trieda 2 (K2) - informačné systémy, pri ktorých porušenie danej bezpečnostnej charakteristiky osobných údajov v nich spracúvaných môže viesť k negatívnym dôsledkom pre dotknuté osoby;

trieda 3 (K3) - informačné systémy, pri ktorých porušenie danej bezpečnostnej charakteristiky osobných údajov v nich spracúvaných môže viesť k menším negatívnym dôsledkom pre dotknuté osoby;

trieda 4 (K4) - informačné systémy, pri ktorých porušenie danej bezpečnostnej charakteristiky osobných údajov v nich spracúvaných nevedie k negatívnym dôsledkom pre dotknuté osoby.

15. Trieda typického informačného systému je určená podľa tabuľky.

16. Na základe výsledkov analýzy východiskových údajov sa na základe modelu ohrozenia bezpečnosti osobných údajov v súlade s metodickými dokumentmi vypracovanými podľa odseku 2 vyhlášky č. Vláda Ruskej federácie zo 17. novembra 2007 N 781 „O schválení Nariadení o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov“3.

17. V prípade prideľovania podsystémov v rámci informačného systému, z ktorých každý je informačným systémom, je informačnému systému ako celku priradená trieda zodpovedajúca najvyššej triede jeho podsystémov.

18. Výsledky klasifikácie informačných systémov sa dokumentujú príslušným aktom prevádzkovateľa.

19. Trieda informačného systému môže byť revidovaná:

rozhodnutím prevádzkovateľa na základe jeho analýzy a posúdenia ohrozenia bezpečnosti osobných údajov s prihliadnutím na vlastnosti a (alebo) zmeny v konkrétnom informačnom systéme;

na základe výsledkov opatrení na kontrolu dodržiavania požiadaviek na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačnom systéme.

1 Prvý odsek bodu 1 Nariadenia o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov, schváleného nariadením vlády Ruskej federácie zo 17. novembra 2007

N 781 (Sobraniye zakonodatelstva Rossiyskoy Federatsii, 2007, N 48, časť II,

2 Prvý odsek odseku 6 pravidiel.

3Sobranie zakonodatelstva Rossiyskoy Federatsii 2007, N 48, časť II,čl. 6001.