Informačné systémy osobných údajov (ISPD) využívajú pri svojej práci mnohé podniky a organizácie. Pozrime sa, čo to je a aké nuansy musia vziať do úvahy tí, ktorí pracujú s ISPD.

Čo je ISDN?

Jednoducho povedané, informácie systém ISPD slúži na uchovávanie a spracovanie osobných údajov. Zahŕňa nasledujúce komponenty:

• V skutočnosti sú to všetky osobné údaje uložené v systéme, v databáze.
• Technické prostriedky používané na prácu s týmito údajmi.
• Prostriedky na automatizáciu procesov účtovania a spracovania informácií uložených v ISPD (nemusia byť dostupné vo všetkých systémoch).

ISDN je vážny

Pri používaní predmetných systémov je dôležité zabezpečiť ochranu osobných údajov pred neoprávneným prístupom, stratou a inými mimoriadnymi situáciami. Toto je dokonca vysvetlené na legislatívnej úrovni. A za účelom prijatia odporúčaných opatrení na obmedzenie prístupu k informáciám a na ich ochranu sa vykonáva audit ISPD (pre viac podrobností kontaktujte napríklad špecialistov Rentacloud: http://rentacloud.su/services/zashchita-personalnykh-dannykh /audit/). V dôsledku toho sa vypracuje akt, ktorý obsahuje tieto informácie:

• Kategória osobných údajov, ktoré sa ukladajú a spracúvajú v skúmanom systéme.
• Ich trieda a typ (viac o tom nižšie).
• Parametre a štruktúra skúmaného systému.
• Objemy PD (počet záznamov atď.) uložené a spracované v ISPD.
• Informácie o umiestnení systému.
• Informácie o možnosti prístupu k databáze prostredníctvom sietí dostupných pre verejné použitie (LAN, Internet a pod.).

Audit sa vykonáva v prísnom súlade s spoločný dokument pripravilo ministerstvo komunikácií, FSTEC a FSB. Je veľmi objemný a vyžaduje si dôkladné štúdium. V tomto smere je potrebné zveriť odborníkom audit systému a prípravu odporúčaní, na ktorých bude ochrana ISPD založená. Ich služby možno využiť napríklad kontaktovaním Rentacloud: (http://rentacloud.su).

Typy, triedy ISPD a čo ešte potrebujete vedieť o takýchto systémoch

Informačné systémy osobných údajov (PD) sú rozdelené do 4 tried a 2 typov. Rozdelenie do tried sa uskutočňuje na základe takých znakov, ako je kategória spracovaných PD a ich objemy.

triedy

Táto tabuľka vám pomôže zistiť:

Vysvetlivky k tabuľke.

Do kategórie číslo 4 patria depersonalizované PD, podľa ktorých nie je možné identifikovať konkrétny subjekt (príkladom sú štatistické údaje). Cat 3 obsahuje osobné údaje, na základe ktorých je možná iba identifikácia osoby (sú pomerne zriedkavé). Do kategórie 2 patria údaje, na základe ktorých je možné identifikovať osobu a získať o nej nejaké informácie. Ďalšie informácie(príklad - mzdové systémy v organizáciách a podnikoch). Do prvej kategórie patria údaje obsahujúce informácie o národnosti, zdravotnom stave a iné sociálne informácie a informácie rôzneho charakteru (napríklad databázy zdravotníckych zariadení).

Pokiaľ ide o triedy uvedené v tabuľke, pridelenie ISDN k nim sa vykonáva na základe možného poškodenia subjektov v prípade porušenia bezpečnostných podmienok:

• Cl 4. Akékoľvek negatívne dôsledky pre subjekt sú vylúčené.
• Cl 3. Môžu sa vyskytnúť menšie nepriaznivé účinky.
• Cl 2. Výskyt takýchto následkov.
• Cl 1. Možné sú veľmi vážne negatívne dôsledky.

Typy ISPD

Prvý typ zahŕňa systémy, kde funkcie ochrana ISPD zredukovať na dosiahnutie správne ukazovatele jej súkromie. Ak je okrem dôvernosti potrebné zabezpečiť aspoň jeden dodatočný bezpečnostný ukazovateľ (pravosť, dostupnosť, integrita údajov atď.), rozprávame sa o druhom type.

Stojí za zmienku, že väčšina dnes používaných systémov je priradená k druhému typu.

Je vidieť, že vývoj ISPD, ich klasifikácia a poskytovanie spoľahlivých, účinnú ochranu sú veľmi zložité a mnohostranné procesy. A aby sa predišlo chybám, odporúča sa to zveriť odborníkom. Ak to chcete urobiť, môžete sa obrátiť napríklad na spoločnosť "Rentacloud", ktorá na tomto trhu zaujíma jednu z popredných pozícií.

Kňaz 9. novembra 2010 o 12:31 hod

Osobné údaje (klasifikácia ISPD)

• Drevenica *

O klasifikácii informačné systémy Bolo napísaných veľa osobných údajov: celé články, webové stránky a fóra sú venované tejto pálčivej téme. Začnime tým, že v súlade s príkazom FSTEC \ FSB \ MITiS č. 55 \ 86 \ 20 existujú typický A špeciálne ISPDn. Odvolávame sa na typické ISPD, v ktorých je potrebné zabezpečiť len dôvernosť osobných údajov a na špeciálne, ak je potrebné zabezpečiť aspoň jednu z iných bezpečnostných charakteristík osobných údajov ako dôvernosť (celistvosť, pravosť, dostupnosť , atď.)
Objednávka zahŕňa klasifikáciu ISPD na základe posúdenia možného poškodenia subjektov PD, ktorých údaje sa v ňom spracúvajú: čím vyššia je možná škoda, tým vyššia je trieda, a teda aj vyššie požiadavky na technická ochrana. Odsek 14 vyhlášky hovorí o 4 triedach:
- žiadne negatívne dôsledky (stupeň 4)
- menšie negatívne dôsledky (3. stupeň)
- negatívne dôsledky (2. stupeň)
-výrazné negatívne dôsledky (1. stupeň).
Priradenie jednej alebo druhej triedy ISPD podľa toho istého odseku sa vykonáva na základe výsledkov analýzy počiatočných údajov.
O klasifikácii typických ISPD sme tu už hovorili, poďme teda rovno k tým špeciálnym.

Ako klasifikovať špeciálny ISPD?

Ak váš ISPD obsahuje osobné údaje týkajúce sa rasy, národnosti,
politické názory, náboženské a filozofické presvedčenie, zdravotný stav, intímny život, potom je všetko jednoduché:
trieda vášho systému je K1. A je jedno, či ide o 10 záznamov alebo 100 000. Potom buď ochránite systém podľa K1 v súlade s požiadavkami nariadenia FSTEC č.58, alebo znížite triedu napríklad depersonalizáciou takýchto údajov.
Teraz si predstavte určitú ISPD, ktorú musíme klasifikovať. Nech je to veľký podnik, ktorý poskytuje služby svojim zákazníkom.
Počiatočné údaje nášho systému:
1. Rozsah osobných údajov- viac ako 100 000.
2. Kategória osobných údajov- 2 (t.j. ide o osobné údaje, ktoré umožňujú identifikovať subjekt osobných údajov a získať o ňom informácie Ďalšie informácie).
3. Štruktúra informačného systému- distribuované;
4. Dostupnosť spojov informačného systému do verejných komunikačných sietí a (alebo) sietí medzinárodných výmena informácií- jesť;
5. Spôsob spracovania osobných údajov- viacužívateľský;
6. Režim diferenciácie prístupových práv používatelia informačného systému - s diferenciáciou prístupových práv;
7. Umiestnenie technických prostriedkov informačný systém – v rámci Ruská federácia.

Ale takýto systém nemôžeme zaradiť podľa dosky z obj.č.55 \ 86 \ 20, pretože. „Podľa výsledkov analýzy prvotných údajov typický informačnému systému je priradená jedna z nasledujúcich tried. Nie sme naštvaní, čítame objednávku ďalej a vidíme nasledujúci odsek:
16. Na základe výsledkov rozboru prvotných údajov sa určí trieda špeciálneho informačného systému na základe modelu ohrozenia bezpečnosti osobných údajov v súlade s ust. metodických dokumentov, vypracované v súlade s odsekom 2 nariadenia vlády Ruskej federácie zo 17. novembra 2007 N 781 „O schválení Nariadení o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov“
Preto po rozbore prvotných údajov, zloženie spracovanej PD, stanovenie štruktúry ISPD a technologických procesov, môžeme dôvodne konštatovať, že Negatívne dôsledky môže spôsobiť porušenie dôvernosti informácií (napríklad šírenie informácií o zdravotnom postihnutí zamestnanca). Implementácia všetkých ostatných hrozieb povedie k menší negatív dôsledkov, pretože boli prijaté (alebo budú prijaté v budúcnosti pri vytváraní ochranného systému ISPD) dostatočné technické ochranné opatrenia na ich neutralizáciu. Odrážajúc tieto informácie v modeli hrozby, špeciálna ISPD s špecifikované vlastnosti môže byť nami bezpečne klasifikovaný ako K2.

Tagy: osobné údaje, ispdn

"Verejné organizácie: účtovníctvo a dane", 2009, N 12

Od 1. januára 2010 musia byť informačné systémy osobných údajov vo všetkých organizáciách, vrátane rozpočtových inštitúcií, uvedené do súladu s požiadavkami zákona „o osobných údajoch“<1>. K tomuto zákonu bolo prijatých viacero podzákonných noriem, v dôsledku čoho sú v súčasnosti rôzne interpretácie povinností štátnych a obecných inštitúcií vo vzťahu k informačným systémom, ktoré majú. Tento článok analyzuje ustanovenia súčasnej legislatívy a zdôrazňuje požiadavky, ktoré musia byť splnené.

<1> federálny zákon zo dňa 27.07.2006 N 152-FZ.

Podľa čl. 1 zákona „O osobných údajoch“ upravuje tento federálny zákon vzťahy súvisiace so spracúvaním osobných údajov vykonávaným federálnymi štátnymi orgánmi, štátnymi orgánmi zakladajúcich subjektov Ruskej federácie, inými vládne orgány, orgány územnej samosprávy, nezaradené do sústavy orgánov územnej samosprávy, orgány obce, právne a jednotlivcov s použitím nástrojov automatizácie alebo bez použitia takýchto nástrojov, ak spracúvanie osobných údajov bez použitia takýchto nástrojov zodpovedá povahe úkonov (operácií) vykonávaných s osobnými údajmi pomocou nástrojov automatizácie.

Takáto pozornosť venovaná problematike automatizácie spracúvania osobných údajov so sebou nesie aj potrebu dodržiavať osobitné právne predpisy týkajúce sa používania informačných technológií. Zároveň je potrebné dôkladne preštudovať regulačný rámec, ktorý je v súčasnosti možné interpretovať veľmi nejednoznačne, najmä z hľadiska predkladania požiadaviek na informačné systémy.

Pojem „informačný systém“ v súčasnej právnej úprave

V súlade s federálnym zákonom „o informáciách, informačných technológiách a ochrane informácií“<2> Informačný systém- súbor informácií obsiahnutých v databázach a informačných technológiách a technických prostriedkoch, ktoré zabezpečujú jeho spracovanie. Na základe tejto definície môžeme konštatovať, že neexistujú informačné systémy bez použitia výpočtovej techniky a tomu zodpovedajúcej softvér.

<2>Federálny zákon č. 149-FZ z 27. júla 2006.

Avšak v čl. 3 zákona „o osobných údajoch“ uvádza širšiu definíciu informačný systém: ide o súbor osobných údajov obsiahnutých v databáze, ako aj informačné technológie a technické prostriedky umožňujúce spracúvanie týchto osobných údajov s použitím automatizačných nástrojov alebo bez použitia takýchto nástrojov.

Analyzujme zložky tejto definície, ktorých definície možno nájsť vo federálnom zákone „o informáciách, informačných technológiách a ochrane informácií“, iných zákonoch a nariadeniach vlády Ruskej federácie.

Pod databázy sa chápe ako súbor usporiadaných vzájomne prepojených údajov na strojovo čitateľných médiách (Dočasná úprava účtovníctva štátu a evidencie databáz a databáz<3>). V štvrtej časti Občianskeho zákonníka Ruskej federácie (odsek 2, odsek 2, článok 1260) je však uvedená podrobnejšia definícia Databáza: ide o súbor nezávislých materiálov prezentovaných objektívnou formou (články, výpočty, nariadenia, súdne rozhodnutia a iné podobné materiály), systematizované tak, aby bolo možné tieto materiály vyhľadať a spracovať pomocou elektronickej počítač(POČÍTAČ).

<3>Schválené nariadením vlády Ruskej federácie z 28. februára 1996 N 226.

Informačné technológie- procesy, metódy na vyhľadávanie, zhromažďovanie, uchovávanie, spracovanie, poskytovanie, šírenie informácií a metódy na implementáciu takýchto procesov a metód (federálny zákon „o informáciách, informačných technológiách a ochrane informácií“).

Pod technické prostriedky ktoré umožňujú spracúvanie osobných údajov sa chápu ako prostriedky počítačová veda, informačné a výpočtové komplexy a siete, prostriedky a systémy na prenos, príjem a spracovanie osobných údajov (prostriedky a systémy na záznam zvuku, zosilnenie zvuku, reprodukciu zvuku, vyjednávanie a televízne zariadenia, výrobné prostriedky, replikácie dokumentov a iné technické prostriedky spracovanie reči, grafiky, videa a alfanumerických informácií), softvér ( Operačné systémy, systémy na správu databáz a pod.), nástroje informačnej bezpečnosti používané v informačných systémoch (predpisy o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov<4>).

<4>Schválené nariadením vlády Ruskej federácie zo 17. novembra 2007 N 781.

Skladba technických prostriedkov teda zahŕňa kopírky aj softvér, avšak pri určovaní informačného systému osobných údajov je kľúčový pojem „databáza“. Z tejto definície vyplýva, že spracovanie databázy sa uskutočňuje pomocou počítača (médium musí byť strojovo čitateľné). Ak sa spracúvanie vykonáva bez použitia počítača a databázy (strojovo čitateľné médium), potom formálne neexistuje informačný systém. Navyše, bez technických prostriedkov, ktoré umožňujú spracúvanie osobných údajov, nie je možné databázu tiež rozpoznať ako informačný systém. Informačné systémy navyše nie sú len kombináciou počítačového vybavenia a niektorých programov, ktoré spracúvajú informácie z databáz, môžu využívať automatizačné nástroje, prípadne ich nepoužívať.

Čo znamenajú automatizačné nástroje?

Existuje názor, podľa ktorého použitie automatizácie znamená akékoľvek počítačové spracovanie alebo použitie spracovania elektronické zariadenia. Ak je databáza uložená v počítači (napr tabuľkový procesor alebo účtovný program) alebo napríklad v notebook mobilný telefón, potom už ide o automatizované spracúvanie osobných údajov a podlieha notifikácii zo strany Roskomnadzor. Niektorí odborníci sa navyše domnievajú, že spracovanie bez použitia automatizačných nástrojov je možné vykonať iba na papieri (v časopisoch vyplnených ručne, v ručne písaných zoznamoch).

V súlade s časťou 3 čl. 4 zákona „o osobných údajoch“ vlastnosti spracovania osobných údajov vykonávané bez použitia nástrojov automatizácie môžu byť stanovené federálnymi zákonmi a inými regulačnými právnymi aktmi Ruskej federácie v súlade s ustanoveniami tohto federálneho zákona. .

Nariadenie vlády Ruskej federácie z 15. septembra 2008 N 687 schválilo nariadenie o vlastnostiach spracovania osobných údajov vykonávaného bez použitia nástrojov automatizácie. Podľa bodu 1 uvedeného nariadenia sa spracúvanie osobných údajov obsiahnutých v informačnom systéme osobných údajov alebo extrahovaných z takéhoto systému (ďalej len osobné údaje) považuje za vykonávané bez použitia nástrojov automatizácie (neautomatizované ), ak sa také úkony s osobnými údajmi, ako je použitie, objasnenie, distribúcia, likvidácia osobných údajov vo vzťahu ku každému zo subjektov osobných údajov, vykonávajú za priamej účasti osoby.

Venujme osobitnú pozornosť skutočnosti, že v súlade s odsekom 2 Nariadení o vlastnostiach spracúvania osobných údajov vykonávaného bez použitia nástrojov automatizácie nie je možné uznať spracúvanie osobných údajov vykonávané pomocou nástrojov automatizácie len na základe toho, že sú obsiahnuté v informačnom systéme alebo boli z nej vyňaté.

Možno teda konštatovať, že z pohľadu definícií dostupných v súčasnej právnej úprave možno veľkú väčšinu informačných systémov v štátnych a obecných inštitúciách formálne považovať za implementované bez použitia nástrojov automatizácie (vrátane významnej časti tzv. účtovný softvér). Koniec koncov, všetky tvárové karty v týchto systémoch sa upravujú manuálne v príslušných oknách. Na zničenie tvárových kariet je tiež potrebné, aby ich obsluha vybrala v zozname a stlačila špeciálne tlačidlo na vymazanie údajov. Robí sa dokonca aj archivácia špeciálny program, ktorý spúšťa osoba.

A tu rôzne programy, ktorá vám umožňuje preformátovať údaje (vrátane údajov vo formáte účtovný program napríklad programy dôchodkových fondov) a ich implementáciu automatický vstup a ďalší prenos bez odkazu na každý konkrétny záznam zamestnanca možno pripísať automatizovanému spracovaniu údajov. Neoddeliteľnou súčasťou takýchto programov je zároveň aj spracovanie osobných údajov (vrátane priezviska, krstného mena, priezviska, čísla dôchodkového listu atď.).

Zároveň, ak sa prenos údajov do iných programov (aj na účely daňového účtovníctva) neuskutočňuje úplne automaticky, ale s pomocou osoby, ktorá sa podieľa na spracúvaní osobných údajov, potom takéto spracúvanie nemožno považovať ani za automatizované. .

V tomto smere majú odporúčania Federálnej agentúry pre vzdelávanie uvedené v liste z 29. júla 2009 N 17-110 „O zabezpečení ochrany osobných údajov“ v praxi dosť obmedzené uplatnenie. Za účelom automatizácie spracovania osobných údajov v dotazníkoch sa odporúča Rosobrazovanie dodatočne uviesť interné identifikačné číslo(osobný kód) subjektu osobných údajov, pridelený na celú dobu štúdia alebo práce. To umožňuje odosobniť databázy, ak neobsahujú iné osobné údaje, a výrazne znížiť náklady na ochranu informácií.

Pre automatizáciu riadiacich činností v štátnej alebo obecnej inštitúcii však treba uviesť aspoň priezviská, mená, priezviská zamestnancov, študentov, študentov a pod., ako aj množstvo ďalších osobných údajov (u zamestnancov napr. údaje o ich príjmoch na účtovné a daňové účely) . Odvolanie na osobné kódy obsiahnutých v letákoch (dotazníkoch), zvyšok spracovania údajov pomocou softvéru bude vyzerať prinajmenšom zvláštne, čím sa zníži efektívnosť zavádzania moderných informačných technológií. Zároveň ich možno v závislosti od formy použitých dotazníkov rozpoznať ako súčasť informačného systému (ako napr. neoddeliteľnou súčasťou databázy), čím sa úplne zbaví zmyslu dodatočného kódovania (takéto kódovanie je potrebné, ak je účelné depersonalizovať údaje napr. pre štatistický výskum).

Spracúvanie osobných údajov bez použitia nástrojov automatizácie

Takže, ako je uvedené vyššie, napriek elektronizácii činností sa vo väčšine prípadov spracúvanie osobných údajov v štátnych a obecných inštitúciách vykonáva bez použitia nástrojov automatizácie (neautomatizované) a v súlade s tým je upravené nariadením o vlastnosti spracovania osobných údajov vykonávané bez použitia nástrojov automatizácie.<5>.

<5>Schválené nariadením vlády Ruskej federácie z 15. septembra 2008 N 687.

Osoby vykonávajúce takéto spracúvanie (vrátane zamestnancov organizácie prevádzkovateľa alebo osôb pracujúcich na dohodu s prevádzkovateľom) musia byť informované o tom, že spracúvajú osobné údaje bez použitia nástrojov automatizácie, kategórie spracúvaných osobných údajov, ako napr. ako aj vlastnosti a pravidlá vykonávania takéhoto spracovania stanovené regulačnými právnymi aktmi federálnych výkonných orgánov, výkonných orgánov zakladajúcich subjektov Ruskej federácie a miestnymi aktmi vzdelávacej inštitúcie.

Osobné údaje pri ich spracúvaní vykonávanom bez použitia nástrojov automatizácie by mali byť oddelené od ostatných informácií, a to najmä ich umiestnením na samostatné hmotné nosiče, do osobitných sekcií alebo do polí formulárov (formulárov).

Zároveň nie je dovolené fixovať osobné údaje na jeden hmotný nosič, ak sú účely ich spracovania zjavne nezlučiteľné. V tomto prípade musí byť pre každú kategóriu osobných údajov použitý samostatný materiálový nosič.

Spracúvanie sa preto musí vykonávať tak, aby v súvislosti s každou kategóriou osobných údajov existovali:

• určia sa miesta uloženia a zostaví sa zoznam osôb, ktoré údaje spracúvajú alebo k nim majú prístup;
• zabezpečuje sa samostatné uchovávanie osobných údajov (hmotné nosiče), ktorých spracúvanie sa vykonáva na rôzne účely;
• sú splnené podmienky na zaistenie bezpečnosti osobných údajov a vylúčenie neoprávneného prístupu k nim.

Zoznam opatrení potrebných na zabezpečenie takýchto podmienok, postup pri ich prijímaní, ako aj zoznam osôb zodpovedných za vykonávanie týchto opatrení ustanoví vzdelávacia inštitúcia v súlade s požiadavkami regulačných právnych aktov o ochrane osobné údaje.

V prípade nezlučiteľnosti účelov spracúvania osobných údajov zaznamenaných na jednom hmotnom nosiči, ak to neumožňuje ich spracúvanie oddelene od iných osobných údajov zaznamenaných na tom istom nosiči, je potrebné prijať opatrenia na zabezpečenie oddeleného spracúvania, najmä:

• ak je potrebné použiť alebo distribuovať určité osobné údaje oddelene od iných umiestnených na tom istom hmotnom nosiči, údaje určené na šírenie alebo použitie sa skopírujú spôsobom, ktorý vylučuje súčasné kopírovanie údajov, ktoré nie sú predmetom distribúcie a používania, a používa sa (distribuovaná) kópia osobných údajov;
• ak je potrebné zlikvidovať alebo zablokovať časť osobných údajov, hmotný nosič sa zničí alebo zablokuje s predbežným skopírovaním informácií, ktoré nepodliehajú zničeniu alebo zablokovaniu, a to spôsobom vylučujúcim súčasné skopírovanie osobných údajov, ktoré sú predmetom zničenie alebo zablokovanie.

Zničenie alebo depersonalizáciu časti osobných údajov, ak to umožňuje hmotný nosič, možno vykonať spôsobom, ktorý vylučuje ďalšie spracúvanie týchto osobných údajov, pričom je zachovaná možnosť spracúvania iných údajov zaznamenaných na hmotnom nosiči (vymazanie , výpadok prúdu).

Objasňovanie osobných údajov pri ich spracúvaní bez použitia nástrojov automatizácie sa vykonáva aktualizáciou alebo zmenou údajov na hmotnom nosiči, a ak to nie je dovolené technické vlastnosti hmotný nosič - fixáciou na ten istý nosič informácií o zmenách na nich vykonaných alebo výrobou nového hmotného nosiča s aktualizovanými osobnými údajmi.

Spracovanie osobných údajov pomocou nástrojov automatizácie

Nariadenie o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov ustanovuje požiadavky na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov, ktorým je zhromažďovanie osobných údajov obsiahnutých v databázach, ako aj informácií technológie a technické prostriedky.

Ako vyplýva z odseku 1 tohto nariadenia, pojem „informačné systémy“ sa vzťahuje len na informačné systémy, ktoré umožňujú spracúvanie osobných údajov pomocou nástrojov automatizácie, preto sa požiadavky tohto nariadenia nevzťahujú na informačné systémy, v ktorých sa spracúvanie údajov vykonáva bez použitia nástrojov automatizácie.

Ak je automatizované spracúvanie osobných údajov vykonávané v štátnej alebo obecnej inštitúcii, potom musia byť splnené nasledujúce požiadavky.

Podľa Nariadenia o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov sa bezpečnosť osobných údajov dosahuje:

• vylúčením neoprávneného, ​​vrátane náhodného, ​​prístupu k osobným údajom, ktorý môže mať za následok zničenie, úpravu, blokovanie, kopírovanie, šírenie osobných údajov;
• vylúčením iných neoprávnených úkonov.

Bezpečnosť osobných údajov pri ich spracúvaní v informačných systémoch je zabezpečená o systémy ochrany osobných údajov počítajúc do toho:

• organizačné opatrenia;
• prostriedky ochrany informácií;
• Informačné technológie.

Nástroje informačnej bezpečnosti zahŕňajú:

• šifrovacie (kryptografické) prostriedky;
• prostriedky na zabránenie neoprávnenému prístupu;
• nástroje na predchádzanie úniku informácií technické kanály;
• prostriedky na predchádzanie softvérovým a hardvérovým vplyvom na technické prostriedky spracúvania osobných údajov.

Na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch, ochrany rečových informácií a informácií spracúvaných technickými prostriedkami, ako aj informácií prezentovaných vo forme informatívnych elektrické signály fyzikálne polia, médiá na papierovej, magnetickej, magneto-optickej a inej báze.

Žiadosti používateľov informačného systému o získanie osobných údajov, ako aj skutočnosti o poskytnutí údajov o týchto žiadostiach musia byť evidované automatizovanými prostriedkami informačný systém v elektronickom denníku výziev. Zároveň aj obsah elektronický žurnálžiadosti by mali pravidelne kontrolovať príslušní úradníci (zamestnanci) prevádzkovateľa alebo poverená osoba.

V prípade zistenia porušení postupu pri poskytovaní osobných údajov prevádzkovateľ alebo oprávnená osoba bezodkladne pozastaví poskytovanie osobných údajov používateľom informačného systému až do zistenia a odstránenia príčin porušení.

Hardvér a softvér musia spĺňať požiadavky stanovené v súlade s právnymi predpismi Ruskej federácie, ktoré zabezpečujú ochranu informácií. Zároveň metódy a prostriedky ochrany informácií v informačných systémoch stanovuje Federálna služba pre technickú a exportnú kontrolu (FSTEC) a Federálna bezpečnostná služba (FSB) v rámci svojich právomocí.

Bezpečnosť osobných údajov pri ich spracúvaní v informačnom systéme zaisťuje prevádzkovateľ alebo ten, koho na základe zmluvy spracúvaním osobných údajov prevádzkovateľ poverí. Osobám, ktorých prístup k osobným údajom spracúvaným v informačnom systéme je nevyhnutný na plnenie služobných (pracovných) povinností, je umožnený prístup k príslušným osobným údajom na základe zoznamu schváleného prevádzkovateľom alebo oprávnenou osobou. Nevyhnutnou podmienkou zmluvy je povinnosť oprávnenej osoby zabezpečiť dôvernosť a bezpečnosť osobných údajov pri ich spracúvaní v informačnom systéme.

Nástroje informačnej bezpečnosti používané v informačných systémoch, v v pravý čas prejsť procesom posudzovania zhody. Výmena osobných údajov pri ich spracúvaní v informačných systémoch sa uskutočňuje prostredníctvom komunikačných kanálov, ktorých ochrana je zabezpečená vykonaním vhodných organizačných opatrení a (alebo) využitím technických prostriedkov.

Informačné systémy zároveň klasifikujú štátne orgány, orgány obce, právnické osoby alebo fyzické osoby organizujúce a (alebo) spracúvajúce osobné údaje, ako aj určovanie účelov a obsahu spracúvania osobných údajov v závislosti od množstva spracúvaných osobných údajov. nimi a bezpečnostným ohrozením životných záujmov jednotlivca, spoločnosti a štátu.

Postup klasifikácie informačných systémov spoločne stanovujú Federálna služba pre technickú a exportnú kontrolu, Federálna bezpečnostná služba a Ministerstvo informačných technológií a komunikácií. Toto poradie je definované Na príkaz FSTEC Ruska, FSB Ruska, Ministerstvo informácií a komunikácií Ruska zo dňa 13. februára 2008 N 55/86/20.

Okrem toho sú uvedené požiadavky na priestory a ich ochranu. Podľa bodu 8 Nariadenia o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov, umiestňovaní informačných systémov, špeciálne vybavenie a ochranu priestorov, kde sa osobné údaje spracúvajú, organizácia bezpečnostného režimu v týchto priestoroch by mala zabezpečiť bezpečnosť nosičov osobných údajov a nástrojov informačnej bezpečnosti, ako aj vylúčiť možnosť nekontrolovaného vstupu alebo pobytu v týchto priestoroch outsiderov.

Za to vláda a mestské inštitúcie musí v uvedených priestoroch, vo dverách inštalovať dodatočné alarmy - dodatočné zámky alebo kovové dvere.

Opatrenia na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch zahŕňajú:

a) identifikácia ohrozenia bezpečnosti osobných údajov pri ich spracúvaní, vytvorenie modelu ohrozenia na ich základe;

b) vývoj systému ochrany osobných údajov na základe modelu hrozieb, ktorý zabezpečuje neutralizáciu údajných hrozieb pomocou metód a prostriedkov ochrany osobných údajov poskytovaných pre príslušnú triedu informačných systémov;

c) kontrola pripravenosti nástrojov informačnej bezpečnosti na použitie s vypracovaním záverov o možnosti ich fungovania;

d) inštalácia a uvedenie do prevádzky nástrojov informačnej bezpečnosti v súlade s prevádzkovo-technickou dokumentáciou;

e) školenie osôb pri používaní nástrojov informačnej bezpečnosti používaných v informačných systémoch, pravidlá práce s nimi;

f) s prihliadnutím na použité prostriedky ochrany informácií, prevádzkovú a technickú dokumentáciu k nim, nosičov osobných údajov;

g) evidencia osôb prijatých na prácu s osobnými údajmi v informačnom systéme;

h) kontrola dodržiavania podmienok používania nástrojov informačnej bezpečnosti stanovených prevádzkovo-technickou dokumentáciou;

i) šetrenie a vypracúvanie záverov o skutočnostiach nedodržiavania podmienok uchovávania nosičov osobných údajov, používania nástrojov informačnej bezpečnosti, ktoré môžu viesť k porušeniu dôvernosti osobných údajov alebo k iným porušeniam, ktoré vedú k zníženiu úroveň ochrany osobných údajov, vypracovanie a prijatie opatrení na predchádzanie možným nebezpečným následkom takéhoto porušenia;

j) popis systému ochrany osobných údajov.

Osoby, ktoré majú prístup k informačné základne s osobnými údajmi podpíšte povinnosti mlčanlivosti dôverné informácie(Takúto povinnosť môže obsahovať aj pracovná zmluva). Až potom im vzdelávacia inštitúcia umožní spracúvať osobné údaje.

Pri spracúvaní osobných údajov v informačnom systéme je vzdelávacia inštitúcia povinná zabezpečiť:

a) prijímanie opatrení zameraných na zamedzenie neoprávneného prístupu k osobným údajom a (alebo) ich prenosu osobám, ktoré nemajú právo na prístup k týmto informáciám;

b) včasné zistenie skutočností neoprávneného prístupu k osobným údajom;

c) predchádzanie vplyvu na technické prostriedky automatizované spracovanie osobné údaje, v dôsledku čoho môže byť narušené ich fungovanie;

d) možnosť okamžitej obnovy osobných údajov upravených alebo zničených v dôsledku neoprávneného prístupu k nim;

e) neustála kontrola na zabezpečenie úrovne ochrany osobných údajov.

Na vypracovanie a realizáciu opatrení na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačnom systéme môže prevádzkovateľ alebo oprávnená osoba poveriť štrukturálne členenie alebo úradník (zamestnanec) zodpovedný za zaistenie bezpečnosti osobných údajov.

Osobitnú pozornosť je potrebné venovať aj tomu, že v súlade s bodom 17 nariadenia o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov je implementácia požiadaviek na zaistenie bezpečnosti informácií v nástrojoch informačnej bezpečnosti. pridelené ich vývojárom.

Primeranosť prijaté opatrenia o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch sa posudzuje pri štátnej kontrole a dozore.

Klasifikácia informačných systémov osobných údajov

Klasifikácia informačných systémov osobných údajov, ktoré umožňujú spracúvanie týchto údajov pomocou nástrojov automatizácie, vykonáva vzdelávacia inštitúcia - prevádzkovateľ v súlade s Postupom klasifikácie informačných systémov osobných údajov<6>v závislosti od kategórie spracúvaných údajov a ich množstva.

<6>Schválené objednávkou FSTEC Ruska, FSB Ruska, Ministerstvo informácií a komunikácií Ruska zo dňa 13. februára 2008 N 55/86/20.

Boli stanovené tieto štyri kategórie osobných údajov:

1. osobné údaje týkajúce sa rasy, národnosti, politických názorov, náboženského a filozofického presvedčenia, zdravotného stavu, intímneho života;
2. osobné údaje, ktoré umožňujú identifikovať subjekt osobných údajov a získať o ňom ďalšie informácie, s výnimkou osobných údajov patriacich do prvej kategórie;
3. osobné údaje umožňujúce identifikovať subjekt osobných údajov;
4. depersonalizované a (alebo) verejne dostupné osobné údaje.

Na ktorejkoľvek univerzite na verejných stánkoch nájdete rôzne zoznamy študentov vrátane kombinácie celého mena. študent, kurz, skupina, ktoré umožňujú jednoznačne identifikovať študenta. V dôsledku toho takáto kombinácia osobných údajov núti ich klasifikovať ako osobné údaje tretej kategórie; zverejnenie týchto údajov na verejnom mieste si formálne vyžaduje súhlas študenta.

Osobná karta zamestnanca (formulár T-2), osobný spis študenta (študenta) patria do druhej kategórie, keďže ide o osobné údaje, ktoré umožňujú nielen identifikovať subjekt osobných údajov, ale aj získať ďalšie informácie o ňom.

Informačné systémy osobných údajov sa delia na štandardné a špeciálne. Typické systémy zahŕňajú systémy, v ktorých sa vyžaduje iba dôvernosť osobných údajov. Všetky ostatné systémy sú špeciálne.

Špeciálne informačné systémy by mali zahŕňať aj:

• informačné systémy, v ktorých sa spracúvajú osobné údaje týkajúce sa zdravotného stavu dotknutých osôb;
• informačné systémy, ktoré umožňujú na základe výlučne automatizovaného spracúvania osobných údajov prijímať rozhodnutia, ktoré vyvolávajú právne následky vo vzťahu k subjektu osobných údajov alebo sa inak dotýkajú jeho práv a oprávnených záujmov.

Na základe vyššie uvedenej klasifikácie možno konštatovať, že akékoľvek zdravotné údaje, ako aj personálne záznamy obsahujúce kolónku „národnosť“ (a to sú takmer všetky aktuálne dotazníky resp. osobné listy v súčasnosti používané) by mali byť zaradené do prvej kategórie.

Na základe výsledkov analýzy dostupných údajov je typickému informačnému systému priradená jedna zo štyroch tried uvedených v Postupe klasifikácie informačných systémov osobných údajov.

Trieda špeciálneho informačného systému je určená na základe modelu ohrozenia bezpečnosti osobných údajov na základe výsledkov analýzy prvotných údajov v súlade s metodickými dokumentmi FSTEC.

FSTEC vydal nasledujúce dokumenty DSP, ktoré možno získať iba kontaktovaním tohto orgánu:

• Hlavné činnosti pre organizáciu a technická podpora zabezpečenie osobných údajov spracúvaných v informačných systémoch osobných údajov zo dňa 15.02.2008;
• Základný model ohrozenia bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov zo dňa 15.02.2008;
• Metodika zisťovania skutočných ohrození bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov zo dňa 15.02.2008;
• Odporúčania na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov zo dňa 15.02.2008.

Tieto metodické dokumenty obsahujú množstvo požiadaviek, ktoré je pre väčšinu štátnych či obecných inštitúcií mimoriadne náročné splniť z organizačných aj finančných dôvodov.

Prehlásenie, certifikácia (atestácia) a udeľovanie licencií na činnosti na ochranu osobných údajov

Vyššie uvedené metodické dokumenty FSTEC stanovujú nasledovný postup posudzovania súladu stupňa bezpečnosti informačných systémov s požiadavkami na bezpečnosť:

• pre informačné systémy prvej a druhej triedy sa súlad stupňa bezpečnosti s bezpečnostnými požiadavkami zisťuje povinnou certifikáciou (atestáciou);
• pri informačných systémoch tretej triedy je splnenie bezpečnostných požiadaviek potvrdené certifikáciou (atestáciou) alebo (podľa voľby prevádzkovateľa) vyhlásením o zhode vykonaným prevádzkovateľom osobných údajov;
• pre informačné systémy štvrtej triedy posudzovanie zhody nie je upravené a vykonáva sa podľa uváženia prevádzkovateľa osobných údajov.

Vyhlásenie o zhode- ide o potvrdenie o súlade charakteristík informačného systému osobných údajov s požiadavkami naň ustanovenými, ustanovenými zákonom, usmerneniami a regulačnými a metodickými dokumentmi FSTEC a FSB.

Vyhlásenie o zhode možno vykonať na základe vlastných dôkazov alebo dôkazov získaných za účasti zainteresovaných organizácií, ktoré majú potrebné licencie. Zoznam orgánov (organizácií) pre atestáciu systému certifikácie nástrojov informačnej bezpečnosti pre požiadavky informačnej bezpečnosti, na ktoré sa možno obrátiť vzdelávacie inštitúcie a vzdelávacie orgány, ktoré nemajú potrebných špecialistov a licencie, ako aj Štátny register certifikované fondy ochrany informácií sú zverejnené na webovej stránke FSTEC. Náklady na takéto postupy sú pomerne vysoké a merajú sa v stovkách tisíc rubľov.

V prípade vyhlásenia na základe vlastných dôkazov prevádzkovateľ samostatne vytvorí súbor dokumentov, ako sú: technická dokumentácia, ďalšie dokumenty a výsledky vlastného výskumu, ktoré slúžili ako motivovaný podklad pre potvrdenie súladu informačného systému osobných údajov so všetkými nevyhnutné požiadavky pre tretiu triedu.

Atestačné (certifikačné) skúšky vykonávajú organizácie, ktoré majú potrebné licencie FSTEC. Atestáciou sa zároveň rozumie súbor opatrení, ktoré umožňujú uviesť informačný systém do súladu s požiadavkami informačnej bezpečnosti pre deklarovanú triedu, stanovenými v regulačných a metodických dokumentoch FSTEC.

Atestačné (certifikačné) testy obsahujú analýzu informačných systémov osobných údajov, ktoré sú už v zariadení k dispozícii, ako aj novoprijaté rozhodnutia na zaistenie informačnej bezpečnosti a zahŕňajú overenie:

• organizačné a režimové opatrenia na zabezpečenie ochrany informácií;
• ochrana informácií pred únikom cez technické kanály (PEMIN);
• ochrana informácií pred neoprávneným prístupom.

Na základe výsledkov atestačných skúšok sa rozhoduje o vydaní certifikátu zhody informačného systému s deklarovanou triedou podľa požiadaviek informačnej bezpečnosti. Osvedčenie sa vydáva na dobu troch rokov.

Ustanovujú aj metodické dokumenty FSTEC Ďalšie požiadavky o dostupnosti licencií na vykonávanie činností na ochranu osobných údajov. Bez príslušných licencií je organizovanie takýchto podujatí možné len pre informačné systémy tretej a štvrtej triedy.

Za účelom prijatia opatrení na zaistenie bezpečnosti osobných údajov pre osobitné informačné systémy, systémy prvej a druhej triedy a distribuované (vrátane pripojených na internet) systémy tretej triedy sú prevádzkovatelia povinní získať predpísaným spôsobom licencia FSTEC na činnosti technickej ochrany dôverné informácie.

Zákonnosť požiadaviek na vykonávanie postupov ohlasovania, osvedčovania (atestácie) a udeľovania licencií štátnymi a obecnými inštitúciami na základe metodických dokumenty FSTEC je veľmi pochybné.

Predpisy o postupe pri nakladaní s úradnými informáciami o obmedzenej distribúcii vo federálnych výkonných orgánoch<7>(odsek 1.2) klasifikuje ako utajované skutočnosti obmedzeného šírenia neutajované informácie týkajúce sa činnosti organizácií, ktorých distribúcia je obmedzená úradnou nevyhnutnosťou. Stanovenie povinností pri udeľovaní licencií na činnosť organizácií nemožno v žiadnom prípade uznať za informácie z DSP.

<7>Schválené nariadením vlády Ruskej federácie z 3. novembra 1994 N 1233.

Licenčné zodpovednosti určité typyčinnosti, vrátane činností na technickú ochranu dôverných informácií, sú definované federálnym zákonom „o udeľovaní licencií na určité druhy činností“<8>. Vykonávaný postup pri udeľovaní licencií na technickú ochranu dôverných informácií právnických osôb A individuálnych podnikateľov, je definovaný nariadením vlády Ruskej federácie z 15. augusta 2006 N 504.

<8>Federálny zákon z 08.08.2001 N 128-FZ.

Predpisy o povoľovacej činnosti na technickú ochranu dôverných informácií ani Postup pri zaraďovaní informačných systémov osobných údajov neustanovujú povinnosti pre povoľovaciu činnosť na technickú ochranu dôverných informácií v závislosti od triedy informačného systému. Tieto požiadavky sú ustanovené v dokumente DSP - Základné opatrenia na organizáciu a technické zabezpečenie PD spracovanom v ISPD.

Nariadenie o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov určuje len to, že:

• nástroje informačnej bezpečnosti používané v informačných systémoch predpísaným spôsobom prechádzajú postupom posudzovania zhody (bod 5) - to znamená, že certifikácii nepodlieha prevádzkovateľ, ale nástroj informačnej bezpečnosti a vykonáva ju výrobcu tohto nástroja (vrátane počítačový program o ochrane informácií);
• výsledky posudzovania zhody a (alebo) prípadové štúdie nástrojov informačnej bezpečnosti určených na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch sa vyhodnocujú v rámci skúmania, ktoré vykonáva Federálna služba pre technickú a exportnú kontrolu a Federálna bezpečnostná služba v rámci svojich právomocí.

V súlade s časťou 3 čl. 15 Ústavy Ruskej federácie musia byť všetky zákony, ako aj akékoľvek normatívne akty ovplyvňujúce práva, slobody a povinnosti osoby a občana oficiálne zverejnené pre všeobecnú informáciu, teda zverejnené. Neuverejnené normatívne právne akty sa neuplatňujú, nemajú právne následky, pretože nenadobudli platnosť.

Od 15. mája 1992 nariadením vlády Ruskej federácie z 5. 8. 1992 N 305 „O štátna registrácia rezortných normatívnych aktov“ bola zavedená štátna registrácia normatívnych aktov ministerstiev a rezortov dotýkajúcich sa práv a záujmov občanov a medzirezortného charakteru.

Otázky štátnej registrácie a nadobudnutia účinnosti rezortných regulačných právnych aktov upravuje vyhláška prezidenta Ruskej federácie N 763<9>a vyhláška vlády Ruskej federácie N 1009<10>.

<9>Vyhláška prezidenta Ruskej federácie z 23.05.1996 N 763 „O postupe pri zverejňovaní a nadobudnutí účinnosti aktov prezidenta Ruskej federácie, vlády Ruskej federácie a regulačných právnych aktov federálnych výkonných orgánov. "
<10>Vyhláška vlády Ruskej federácie z 13. augusta 1997 N 1009 „O schválení pravidiel prípravy regulačných právnych aktov federálnych výkonných orgánov a ich štátnej registrácie“.

Podľa odseku 10 Pravidiel na prípravu regulačných právnych aktov federálnych výkonných orgánov a ich štátnej registrácie podlieha štátna registrácia regulačným právnym aktom ovplyvňujúcim práva, slobody a povinnosti osoby a občana, ktoré ustanovujú právny stav organizácie medzirezortného charakteru bez ohľadu na dobu ich platnosti, vrátane aktov obsahujúcich informácie tvoriace štátne tajomstvo alebo dôverné informácie.

Štátnu registráciu normatívnych právnych aktov vykonáva ministerstvo spravodlivosti, ktoré vedie Štátny register normatívnych právnych aktov federálnych výkonných orgánov.

Štátna registrácia normatívneho právneho aktu zahŕňa:

• právne preskúmanie súladu tohto zákona s právnymi predpismi Ruskej federácie vrátane kontroly prítomnosti ustanovení v ňom, ktoré prispievajú k vytvoreniu podmienok na prejavy korupcie;
• rozhodovanie o potrebe štátnej registrácie tento akt;
• pridelenie registračného čísla;
• zápis do štátneho registra normatívnych právnych aktov federálnych výkonných orgánov.

Normatívne právne akty, ktoré sa dotýkajú práv, slobôd a povinností osoby a občana, zakladajú právne postavenie organizácií alebo majú medzirezortný charakter, podliehajú úradnému zverejneniu predpísaným spôsobom, s výnimkou aktov alebo ich jednotlivých ustanovení obsahujúcich informácie tvoriace štátne tajomstvo alebo informácie dôverného charakteru,

Zákon uznaný ministerstvom spravodlivosti ako zákon, ktorý si nevyžaduje štátnu registráciu, podlieha zverejneniu spôsobom určeným federálnym výkonným orgánom, ktorý zákon schválil. Zároveň postup nadobudnutia účinnosti tohto zákona určuje aj federálny výkonný orgán, ktorý ho vydal.

Štátne a mestské inštitúcie, ktoré vykonávajú automatizované spracúvanie osobných údajov, sa preto podľa autora môžu v prípade predloženia požiadaviek na získanie licencií, vyhlásenia alebo osvedčenia (atestácie) proti takýmto požiadavkám odvolať na súde (najmä ak sú prostriedky na ochranu používaných osobných údajov už boli certifikované ich výrobcom).

A. Betlehem

riaditeľ

Stred Nižného Novgorodu

ekonomika školstva

Registrácia N 11462

V súlade s odsekom 6 Nariadení o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov, schválených nariadením vlády Ruskej federácie zo dňa 17. novembra 2007 N 781 „O schválení Nariadení o zabezpečení zabezpečenie osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov „(Zbierka právnych predpisov Ruskej federácie, 2007, N 48, časť II, čl. 6001), objednávame:

Schváliť priložený postup klasifikácie informačných systémov osobných údajov.

riaditeľ

Federálna služba

pre technickú a exportnú kontrolu

S. Grigorov

Riaditeľ Federálnej bezpečnostnej služby

Ruská federácia

N. Patrushev

Minister informačných technológií a komunikácií Ruskej federácie

L. Reiman

Postup pri klasifikácii informačných systémov osobných údajov

1. Tento postup určuje klasifikáciu informačných systémov osobných údajov, ktoré sú súborom osobných údajov obsiahnutých v databázach, ako aj informačných technológií a technických prostriedkov, ktoré umožňujú spracúvanie týchto osobných údajov pomocou nástrojov automatizácie (ďalej len informačné systémy )1.

2. Klasifikáciu informačných systémov vykonávajú štátne orgány, orgány obcí, právnické a fyzické osoby organizujúce a (alebo) vykonávajúce spracúvanie osobných údajov, ako aj určovanie účelov a obsahu spracúvania osobných údajov (ďalej len ďalej ako prevádzkovateľ)2.

3. Klasifikácia informačných systémov sa vykonáva v štádiu vytvárania informačných systémov alebo počas ich prevádzky (pre predtým uvedené do prevádzky a (alebo) modernizované informačné systémy) s cieľom stanoviť metódy a prostriedky ochrany informácií potrebných na zaistenie bezpečnosti osobných údajov.

4. Klasifikácia informačných systémov zahŕňa tieto kroky:

zber a analýza počiatočných údajov o informačnom systéme:

priradenie príslušnej triedy k informačnému systému a jeho dokumentácia.

5. Pri klasifikácii informačného systému sa berú do úvahy tieto východiskové údaje:

objem spracúvaných osobných údajov (počet dotknutých osôb, ktorých osobné údaje sa spracúvajú v informačnom systéme) - X npd;

bezpečnostné charakteristiky osobných údajov spracúvaných v informačnom systéme špecifikované prevádzkovateľom;

štruktúra informačného systému;

dostupnosť pripojení informačného systému k verejným komunikačným sieťam a (alebo) medzinárodným sieťam na výmenu informácií;

spôsob spracovania osobných údajov;

spôsob diferenciácie prístupových práv používateľov informačného systému;

umiestnenie technických prostriedkov informačného systému.

6. Vymedzujú sa tieto kategórie osobných údajov spracúvaných v informačnom systéme (X pd):

7. Х npd môže nadobúdať nasledujúce hodnoty:

1 - informačný systém súčasne spracúva osobné údaje viac ako 100 000 dotknutých osôb alebo osobné údaje dotknutých osôb v rámci zakladajúceho subjektu Ruskej federácie alebo Ruskej federácie ako celku;

2 - informačný systém súčasne spracúva osobné údaje od 1 000 do 100 000 subjektov osobných údajov alebo osobné údaje subjektov osobných údajov pôsobiacich v sektore hospodárstva Ruskej federácie v orgáne verejnej moci so sídlom v obci;

3 - informačný systém súčasne spracúva údaje menej ako 1000 dotknutých osôb alebo osobné údaje dotknutých osôb v rámci konkrétnej organizácie.

8. Podľa daný operátor charakteristika bezpečnosti osobných údajov spracúvaných v informačnom systéme sa informačné systémy delia na štandardné a špeciálne informačné systémy.

Typické informačné systémy sú informačné systémy, ktoré vyžadujú len dôvernosť osobných údajov.

Osobitné informačné systémy sú informačné systémy, v ktorých je bez ohľadu na potrebu zabezpečiť dôvernosť osobných údajov povinné zabezpečiť aspoň jednu z iných bezpečnostných charakteristík osobných údajov ako dôvernosť (ochrana pred zničením, úpravou, zablokovaním, ako aj ako iné neoprávnené úkony).

Špeciálne informačné systémy by mali zahŕňať:

informačné systémy, v ktorých sa spracúvajú osobné údaje týkajúce sa zdravotného stavu dotknutých osôb;

informačné systémy, ktoré umožňujú na základe výlučne automatizovaného spracúvania osobných údajov prijímať rozhodnutia, ktoré vyvolávajú právne následky vo vzťahu k subjektu osobných údajov alebo sa inak dotýkajú jeho práv a oprávnených záujmov.

9. Podľa štruktúry sa informačné systémy delia na:

na autonómne (neprepojené s inými informačnými systémami) komplexy technických a softvérové ​​nástroje, určené na spracúvanie osobných údajov (automatizované pracovné stanice);

o komplexoch automatizovaných pracovísk, združených do jedného informačného systému komunikačnými prostriedkami bez použitia techniky vzdialený prístup(miestne informačné systémy);

o komplexoch automatizovaných pracovísk a (alebo) lokálnych informačných systémoch, spojených do jedného informačného systému pomocou komunikačných prostriedkov s využitím technológie vzdialeného prístupu (distribuované informačné systémy).

10. Podľa dostupnosti pripojenia k verejným komunikačným sieťam a (alebo) medzinárodným sieťam výmeny informácií sa informačné systémy delia na systémy s pripojeniami a systémy bez pripojenia.

11. Podľa spôsobu spracúvania osobných údajov v informačnom systéme sa informačné systémy delia na jednoužívateľské a viacužívateľské.

12. Podľa vymedzenia prístupových práv používateľov sa informačné systémy členia na systémy bez vymedzenia prístupových práv a systémy s vymedzením prístupových práv.

13. Informačné systémy sa v závislosti od umiestnenia ich technických prostriedkov delia na systémy, ktorých všetky technické prostriedky sa nachádzajú na území Ruskej federácie, a systémy, ktorých technické prostriedky sa čiastočne alebo úplne nachádzajú mimo územia Ruskej federácie.

14. Na základe výsledkov analýzy počiatočných údajov je typickému informačnému systému priradená jedna z nasledujúcich tried:

trieda 1 (K1) - informačné systémy, pri ktorých porušenie danej bezpečnostnej charakteristiky osobných údajov v nich spracúvaných môže viesť k významným negatívnym dôsledkom pre dotknuté osoby;

trieda 2 (K2) - informačné systémy, pri ktorých porušenie danej bezpečnostnej charakteristiky osobných údajov v nich spracúvaných môže viesť k negatívnym dôsledkom pre dotknuté osoby;

trieda 3 (K3) - informačné systémy, pri ktorých porušenie danej bezpečnostnej charakteristiky osobných údajov v nich spracúvaných môže viesť k menším negatívnym dôsledkom pre dotknuté osoby;

trieda 4 (K4) - informačné systémy, pri ktorých porušenie stanovených bezpečnostných charakteristík osobných údajov v nich spracúvaných nevedie k negatívnym dôsledkom pre dotknuté osoby.

15. Trieda typického informačného systému je určená podľa tabuľky.

16. Na základe výsledkov analýzy východiskových údajov sa na základe modelu ohrozenia bezpečnosti osobných údajov v súlade s metodickými dokumentmi vypracovanými podľa odseku 2 vyhlášky č. Vláda Ruskej federácie zo 17. novembra 2007 N 781 „O schválení Nariadení o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov“3.

17. V prípade prideľovania podsystémov v rámci informačného systému, z ktorých každý je informačným systémom, je informačnému systému ako celku priradená trieda zodpovedajúca najvyššej triede jeho podsystémov.

18. Výsledky klasifikácie informačných systémov sa dokumentujú príslušným aktom prevádzkovateľa.

19. Trieda informačného systému môže byť revidovaná:

rozhodnutím prevádzkovateľa na základe jeho analýzy a posúdenia ohrozenia bezpečnosti osobných údajov s prihliadnutím na vlastnosti a (alebo) zmeny v konkrétnom informačnom systéme;

na základe výsledkov opatrení na kontrolu dodržiavania požiadaviek na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačnom systéme.

1 ods. 1 bodu 1 Nariadenia o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov schváleného nariadením vlády Ruskej federácie zo 17. novembra 2007

N 781 (Sobraniye zakonodatelstva Rossiyskoy Federatsii, 2007, N 48, časť II,

2 Prvý odsek odseku 6 pravidiel.

3Sobranie zakonodatelstva Rossiyskoy Federatsii 2007, N 48, časť II,čl. 6001.