Kişiler

Kişisel veri işleme sistemlerinin sınıflandırılması. Kişisel veri bilgi sistemleri. ispdn sınıflandırma eylemi nasıl hazırlanır

  • 22.04.2019

Kayıt N 11462

Kişisel verilerin işlenmesi sırasında güvenliğinin sağlanmasına ilişkin Yönetmelik'in 6. maddesi uyarınca; bilgi sistemi ah Hükümet tarafından onaylanan kişisel veriler Rusya Federasyonu 17 Kasım 2007 N 781 "Kişisel veri bilgi sistemlerinde işlenirken kişisel verilerin güvenliğinin sağlanmasına ilişkin Yönetmeliğin onaylanması üzerine" (Rusya Federasyonu Toplu Mevzuatı, 2007, N 48, Bölüm II, 6001), sipariş ediyoruz:

Kişisel veri bilgi sistemlerinin sınıflandırılması için ekteki Prosedürü onaylamak.

Müdür

Federal Hizmet

teknik ve ihracat kontrolü için

S. Grigorov

Federal Güvenlik Servisi Direktörü

Rusya Federasyonu

N. Patruşev

Rusya Federasyonu Bilgi Teknolojileri ve İletişim Bakanı

L.Reiman

Kişisel veri bilgi sistemlerinin sınıflandırılması prosedürü

1. Bu Prosedür, veri tabanlarında yer alan kişisel verilerin bir koleksiyonu olan kişisel veri bilgi sistemleri ile bilgi teknolojileri ve bilgi teknolojilerinin sınıflandırılmasını belirler. teknik araçlar Bu tür kişisel verilerin otomasyon araçları kullanılarak işlenmesine izin verilmesi (bundan böyle bilgi sistemleri olarak anılacaktır) 1.

2. Bilgi sistemlerinin sınıflandırılması gerçekleştirilir devlet organları, belediye yetkilileri, yasal ve bireyler Kişisel verilerin işlenmesini organize etmek ve (veya) yürütmek ve ayrıca kişisel verilerin işlenmesinin amaçlarını ve içeriğini belirlemek (bundan sonra operatör olarak anılacaktır) 2.

3. Bilgi sistemlerinin sınıflandırılması, bilgi sistemlerinin oluşturulması aşamasında veya işletimleri sırasında (önceden işletmeye alınmış ve (veya) modernize edilmiş bilgi sistemleri için) güvenliği sağlamak için gerekli bilgilerin korunmasına yönelik yöntem ve yöntemlerin oluşturulması amacıyla gerçekleştirilir. kişisel veriler.

4. Bilgi sistemlerinin sınıflandırılmasının yapılması aşağıdaki aşamaları içerir:

bilgi sistemindeki ilk verilerin toplanması ve analizi:

bilgi sistemine uygun bir sınıfın atanması ve dokümantasyonu.

5. Bilgi sisteminin sınıflandırılması yapılırken aşağıdaki ilk veriler dikkate alınır:

işlenen kişisel verilerin hacmi (kişisel verileri bilgi sisteminde işlenen kişisel veri konularının sayısı) - X npd;

işletmeci tarafından belirlenen bilgi sisteminde işlenen kişisel verilerin güvenlik özellikleri;

bilgi sistemi yapısı;

bilgi sisteminin kamu iletişim ağlarına ve (veya) uluslararası ağlara bağlantılarının mevcudiyeti bilgi değişimi;

kişisel veri işleme modu;

bilgi sistemi kullanıcıları için erişim haklarının farklılaşma modu;

bilgi sisteminin teknik araçlarının yeri.

6. Bilgi sisteminde (X pd) işlenen aşağıdaki kişisel veri kategorileri belirlenir:

7. X npd aşağıdaki değerleri alabilir:

1 - bilgi sistemi, Rusya Federasyonu'nun veya bir bütün olarak Rusya Federasyonu'nun kurucu kuruluşu içindeki 100.000'den fazla kişisel veri konusunun kişisel verilerini veya kişisel veri konularının kişisel verilerini aynı anda işler;

2 - bilgi sistemi, Rusya Federasyonu ekonomisinde çalışan, içinde ikamet eden bir kamu kurumunda, 1000 ila 100.000 kişisel veri konusunun kişisel verilerini veya kişisel veri konularının kişisel verilerini aynı anda işler. belediye;

3 - bilgi sistemi, belirli bir kuruluştaki 1000'den az kişisel veri konusunun verilerini veya kişisel veri konularının kişisel verilerini aynı anda işler.

8. Tarafından verilen operatör bilgi sisteminde işlenen kişisel verilerin güvenlik özellikleri, bilgi sistemleri standart ve özel bilgi sistemleri olmak üzere ikiye ayrılmaktadır.

Tipik bilgi sistemleri, yalnızca kişisel verilerin gizliliğinin gerekli olduğu bilgi sistemleridir.

Özel bilgi sistemleri, kişisel verilerin gizliliğini sağlama ihtiyacından bağımsız olarak, kişisel verilerin gizlilik dışındaki güvenlik özelliklerinden en az birinin (tahribattan korunma, değiştirilme, bloke edilme vb.) yanı sıra diğer yetkisiz eylemler).

Özel bilgi sistemleri şunları içermelidir:

kişisel verilerin konularının sağlık durumuna ilişkin kişisel verilerin işlendiği bilgi sistemleri;

yalnızca temele dayalı olarak benimsenmesini sağlayan bilgi sistemleri otomatik işleme kişisel verilerin konusuyla ilgili olarak yasal sonuçlara yol açan veya haklarını ve meşru menfaatlerini başka şekilde etkileyen kişisel veri kararları.

9. Yapıya göre, bilgi sistemleri alt bölümlere ayrılır:

özerk (diğer bilgi sistemlerine bağlı olmayan) teknik ve karmaşık kompleksler için yazılım araçları kişisel verilerin işlenmesine yönelik (otomatik iş istasyonları);

teknoloji kullanılmadan iletişim yoluyla tek bir bilgi sisteminde birleştirilen otomatik iş istasyonları kompleksleri için uzaktan erişim(yerel bilgi sistemleri);

uzaktan erişim teknolojisi (dağıtılmış bilgi sistemleri) kullanılarak iletişim yoluyla tek bir bilgi sisteminde birleştirilen otomatik iş istasyonları ve (veya) yerel bilgi sistemleri kompleksleri hakkında.

10. Kamusal iletişim ağlarına ve (veya) uluslararası bilgi alışverişi ağlarına bağlantıların varlığına göre, bilgi sistemleri bağlantılı sistemlere ve bağlantısız sistemlere ayrılır.

11. Bilgi sisteminde kişisel verilerin işlenme şekline göre bilgi sistemleri tek kullanıcılı ve çok kullanıcılı olmak üzere ikiye ayrılır.

12. Kullanıcı erişim hakları farklılaştırılarak bilgi sistemleri, erişim hakları farklılaştırılmayan sistemler ve erişim hakları farklılaştırılan sistemler olarak ikiye ayrılır.

13. Bilgi sistemleri, teknik araçlarının konumuna bağlı olarak, tüm teknik araçları Rusya Federasyonu içinde bulunan sistemlere ve teknik araçları kısmen veya tamamen Rusya Federasyonu dışında olan sistemlere bölünmüştür.

14. İlk verilerin analizinin sonuçlarına dayanarak, tipik bir bilgi sistemine aşağıdaki sınıflardan biri atanır:

sınıf 1 (K1) - içlerinde işlenen kişisel verilerin belirli bir güvenlik özelliğinin ihlal edilmesinin kişisel verilerin özneleri için önemli olumsuz sonuçlara yol açabileceği bilgi sistemleri;

sınıf 2 (K2) - işlenen kişisel verilerin belirtilen güvenlik özelliklerinin ihlal edilmesinin kişisel verilerin konuları için olumsuz sonuçlara yol açabileceği bilgi sistemleri;

sınıf 3 (K3) - içlerinde işlenen kişisel verilerin belirtilen güvenlik özelliklerinin ihlal edilmesinin kişisel verilerin özneleri için küçük olumsuz sonuçlara yol açabileceği bilgi sistemleri;

sınıf 4 (K4) - İçlerinde işlenen kişisel verilerin belirtilen güvenlik özelliklerinin ihlal edilmesinin kişisel verilerin konuları için olumsuz sonuçlara yol açmadığı bilgi sistemleri.

15. Tipik bir bilgi sisteminin sınıfı tabloya göre belirlenir.

16. İlk verilerin analizinin sonuçlarına dayanarak, özel bilgi sisteminin sınıfı, kişisel verilerin güvenliğine yönelik tehdit modeline göre belirlenir. metodolojik belgeler, 17 Kasım 2007 tarihli Rusya Federasyonu Hükümeti Kararnamesi'nin 2. paragrafı uyarınca geliştirilen N 781 "Kişisel verilerin kişisel veri bilgi sistemlerinde işlenirken güvenliğinin sağlanmasına ilişkin Yönetmeliğin onaylanması üzerine" 3.

17. Her biri bir bilgi sistemi olan bilgi sistemindeki alt sistemlerin ayrılması durumunda, bilgi sistemine bir bütün olarak, içinde yer alan en yüksek alt sistem sınıfına karşılık gelen bir sınıf atanır.

18. Bilgi sistemlerinin sınıflandırılmasının sonuçları, operatörün uygun eylemi ile resmileştirilir.

19. Bilgi sisteminin sınıfı revize edilebilir:

belirli bir bilgi sistemindeki özellikleri ve (veya) değişiklikleri dikkate alarak, kişisel verilerin güvenliğine yönelik tehditlerin analizi ve değerlendirmesi temelinde operatörün kararında;

bilgi sisteminde işlenmesi sırasında kişisel verilerin güvenliğini sağlamak için gerekliliklere uygunluğu izlemek için alınan önlemlerin sonuçlarına dayanarak.

1 Rusya Federasyonu Hükümeti'nin 17 Kasım 2007 No.

781 (Rusya Federasyonu Toplu Mevzuatı, 2007, No. 48, Bölüm II,

2 Yönetmeliğin 6. maddesinin birinci fıkrası.

3 Rusya Federasyonu Toplu Mevzuatı 2007, N 48, Bölüm II,Sanat. 6001.

rahip 9 Kasım 2010, 12:31

Kişisel veriler (Sınıflandırma ISPDN)

  • Kereste odası *

Kişisel veri bilgi sistemlerinin sınıflandırılması hakkında çok şey yazıldı: tüm makaleler, web siteleri ve forumlar bu yanan konuya ayrılmıştır. FSTEK \ FSB \ MITiS No. 55 \ 86 \ 20'nin sırasına göre olduğu gerçeğiyle başlayalım. tipik ve özel ISPDn. Yalnızca kişisel verilerin gizliliğinin sağlanmasının gerekli olduğu tipik olarak ISPD'leri ve kişisel verilerin gizlilik dışındaki güvenlik özelliklerinden en az birinin (bütünlük, özgünlük, kullanılabilirlik vb.)
Sipariş, verileri içinde işlenen PD deneklerine olası zararın değerlendirilmesine dayalı olarak ISPD'nin sınıflandırılmasını gerektirir: olası hasar ne kadar yüksekse, sınıf o kadar yüksek ve buna bağlı olarak, gereksinimler o kadar yüksek olur. teknik koruma... Siparişin 14. Maddesi 4 sınıftan bahseder:
- olumsuz sonuçların olmaması (4. derece)
- önemsiz olumsuz sonuçlar (3. derece)
-olumsuz sonuçlar (2. derece)
- önemli olumsuz sonuçlar (1. derece).
Aynı paragrafa göre bir veya başka bir ISPDn sınıfının atanması, ilk verilerin analizinin sonuçlarına göre gerçekleştirilir.
Burada tipik ISPD'lerin sınıflandırılmasından zaten bahsetmiştik, o yüzden doğrudan özel olanlara geçelim.

Özel bir ISPD nasıl sınıflandırılır?
ISPD'niz ırk, milliyet,
siyasi görüşler, dini ve felsefi inançlar, sağlık durumu, samimi yaşam, o zaman her şey basit:
sistem sınıfınız K1'dir. Ve bunların 10 kayıt veya 100.000 olması önemli değil, o zaman sistemi ya FSTEC sipariş No. 58'in gerekliliklerine göre K1'e göre korursunuz ya da örneğin bu tür verileri kişiselleştirerek sınıfı düşürürsünüz.
Şimdi sınıflandırmamız gereken belirli bir ISPD düşünelim. Müşterilerine hizmet veren büyük bir şirket olsun.
Sistemimizin ilk verileri:
1. Kişisel veri miktarı- 100.000'den fazla.
2. Kişisel veri kategorisi- 2 (yani, kişisel verilerin konusunu tanımlamayı ve onun hakkında ek bilgi almayı mümkün kılan kişisel verilerdir).
3. Bilgi sistemi yapısı- dağıtılmış;
4. Bağlantıların kullanılabilirliği kamu iletişim ağlarına ve (veya) uluslararası bilgi alışverişi ağlarına bilgi sistemi - şudur;
5. Kişisel veri işleme modu- çok oyunculu;
6. Erişim hakları farklılaştırma modu bilgi sisteminin kullanıcıları - erişim haklarının farklılaşmasıyla;
7. Teknik araçların yeri bilgi sistemi - Rusya Federasyonu içinde.

Ancak böyle bir sistemi Sipariş No. 55 \ 86 \ 20'den gelen plakaya göre sınıflandıramayız, çünkü "İlk verilerin analizinin sonuçlarına dayanarak tipik bilgi sistemine aşağıdaki sınıflardan biri atanır. " Üzülmüyoruz, siparişi daha da okuyoruz ve şu noktayı görüyoruz:
16. İlk verilerin analizinin sonuçlarına dayanarak, özel bilgi sisteminin sınıfı, Madde 2'ye uygun olarak geliştirilen metodolojik belgelere uygun olarak kişisel verilerin güvenliğine yönelik tehdit modeli temelinde belirlenir. 17 Kasım 2007 tarihli Rusya Federasyonu Hükümeti Kararnamesi N 781 "Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğinin sağlanmasına ilişkin Yönetmeliğin onaylanması üzerine"
Bu nedenle, ilk verileri analiz ettikten sonra, işlenen PD'nin bileşimi, PDIS'in yapısının belirlenmesi ve teknolojik süreçler olduğuna dair makul bir sonuca varabiliriz. Olumsuz sonuçlar bilgilerin gizliliğini ihlal edebilir (örneğin, çalışanın engelliliği ile ilgili bilgilerin yayılması). Diğer tüm tehditlerin uygulanması, küçük negatif sonuçları, çünkü kabul edildikleri (veya gelecekte sistemin oluşturulması sırasında benimsenecekleri) ISPD koruması) yeterli teknik önlemler onları etkisiz hale getirmek için koruma. Bu bilgiyi tehdit modelinde yansıtan özel bir ISPDN belirtilen özellikler bizim tarafımızdan sakince K2 olarak sınıflandırılabilir.

Etiketler: kişisel veriler, ispdn

ISPD sınıflandırma yasası, kural olarak, gizli bir belgedir ve bir gizlilik damgasına ("Gizli", "DSP", "Ticari sır") ve bir hesap numarasına sahip olmalıdır.

Sınıflandırmayı gerçekleştirmek için işletmede bir komisyon oluşturulmalıdır. Komisyonun oluşumu, kişisel verilerin korunmasından sorumlu bir kişiyi içermelidir. Komisyon, başkanının emriyle atanmalı ve faaliyetlerini sınıflandırma komisyonu Yönetmeliğine göre yürütmelidir. Sınıflandırmanın sonuçlarına göre, bir kanun hazırlanmalıdır. ISPD sınıflandırma yasası komisyon başkanı tarafından onaylanmalı ve komisyonun tüm üyeleri tarafından imzalanmalıdır.

ISPD sınıflandırma eylemi nasıl hazırlanır

Tanımlanan her ISPD için sınıflandırma yasası düzenlenir. Alınan verilere dayanarak, her bir ISPDN belirlenir gereken seviye kişisel verilerin güvenliği. Bu, kişisel veri bilgi sisteminin korunmasını sağlamak için gereksinimleri oluşturmak için gereklidir. Kişisel verilerin korunma seviyesinin belirlenmesi, 01.11.2012 tarih ve 1119 sayılı Rusya Federasyonu Hükümeti Kararnamesi uyarınca gerçekleştirilir. "

Kanun şunları gösterir:

  • sistemde işlenen kişisel veriler;
  • işlenen kişisel verilerin hacmi;
  • ISPD'ye yönelik gerçek tehditlerin türü;
  • bilgi sistemi yapısı;
  • kamu iletişim ağlarına ve (veya) uluslararası bilgi alışverişi ağlarına bağlantıların mevcudiyeti;
  • sistemdeki kişisel verilerin işlenme şekli;
  • kullanıcı erişim haklarının farklılaştırılması;
  • ISPDN'nin konumu;
  • PD güvenlik seviyesi.

ISPD sınıflandırma yasası, aşağıdaki verileri depolayan sistemleri içerebilir:

  • özel kişisel veri kategorileri - ırk, milliyet, siyasi görüş, dini veya felsefi inançlar, sağlık durumu, kişisel verilerin konularının mahrem yaşamı ile ilgili bilgiler;
  • biyometrik kişisel veriler - bir kişinin fizyolojik ve biyolojik özelliklerini karakterize eden, kimliğini belirlemenin mümkün olduğu ve operatör tarafından kişisel verilerin konusunun kimliğini belirlemek için kullanılan bilgiler;
  • kamuya açık kişisel veriler - yalnızca Madde 8 uyarınca oluşturulan kamuya açık kişisel veri kaynaklarından elde edilen bilgiler Federal yasa"Kişisel veriler hakkında".

3. kategorideki kişisel verilerin işlendiği sistemlere oldukça nadir rastlanmaktadır. Bunun nedeni, gerçek görevler için yalnızca konuyu tanımlayan verilere (isim, pasaport verileri) değil, aynı zamanda ek bilgi onun hakkında (örneğin, maaş bilgileri).

2. kategorideki kişisel verilerin işlendiği en yaygın bilgi sistemleridir. Örneğin, çalışan bordro sistemleri.

İşlenen kişisel verilerin hacmi, sistemde kişisel verileri işlenen kişi sayısını belirlemektedir. Aşağıdaki derecelendirme uygulanır:

  • 100.000'den fazla kişisel veri sahibi;
  • 100.000'den az kişisel veri konusu.

Kişisel verilerin güvenliğine yönelik tehdit türleri

ISPDN için gerçek tehditlerin türü:

  • Tip 1 tehditler, diğer şeylerin yanı sıra sistemde belgelenmemiş (bildirilmemiş) yeteneklerin varlığıyla ilişkili tehditler ise bir bilgi sistemi için geçerlidir. yazılım bilgi sisteminde kullanılan;
  • Tip 2 tehditler, diğer şeylerin yanı sıra, bilgi sisteminde kullanılan uygulama yazılımındaki belgelenmemiş (bildirilmemiş) yeteneklerin varlığıyla ilişkili tehditler, bilgi sistemi için ilgiliyse, bilgi sistemi için uygundur;
  • 3. tür tehditler, sistemdeki belgelenmemiş (bildirilmemiş) yeteneklerin varlığı ve bilgi sisteminde kullanılan uygulama yazılımı ile ilgili olmayan tehditler bilgi sistemi için uygundur.

Türüne göre, ISPD sınıflandırma kanununda açıklanan kişisel veri bilgi sistemleri standart ve özel olarak ayrılmıştır. Tipik ISPD'ler, yalnızca PD'nin gizliliğinin gerekli olduğu bilgi sistemleridir. Özel ISPDN, gizliliğe ek olarak, kişisel verilerin en az bir güvenlik özelliğinin (bütünlük, kullanılabilirlik) sağlanmasının gerekli olduğu bilgi sistemleridir.

Ek olarak, özel sistemler, kişilerin sağlığına ilişkin verileri işleyen tüm ISPD'leri ve otomatik işleme temelinde konu için yasal sonuçlara yol açan kararların alınmasını sağlayan ISPD'leri içerir.

Mevcut ISPDN'lerin çoğu özeldir. Bunun nedeni, gizliliğe ek olarak, PD'nin her zaman işlemeye hazır, eksiksiz ve güvenilir olması da önemlidir. Hepsi için özel sistemler“Gerçek Tehditlerin Özel Modeli”nin geliştirilmesi gerekmektedir.

Kişisel veri bilgi sistemlerinin yapıya göre sınıflandırılması:

  • Özerk. Bir otomatik temsil eder iş yeri(bir bilgisayar).
  • Yerel. Yerel bir ağda birleştirilmiş otomatik iş istasyonları (AWS).
  • Dağıtılmış. Otomatik işyerleri veya yerel bölge ağları uzaktan erişim teknolojileri kullanılarak birbirine bağlanır.

Kişisel verilerin işlenme şekline göre ISPD sistemi tek kullanıcılı ve çok kullanıcılı olarak ikiye ayrılır. Tek kullanıcılı sistemler nadirdir. Kural olarak, bir özerk işyeri için bile en az iki kişi çalışır (tatil ve hastalık durumunda).

Çok kullanıcılı ISPD'lerin sınıflandırılması şu şekildedir:

  • Erişim haklarında farklılaşma yok. Bu tür sistemlerde tüm kullanıcıların tüm bilgilere erişimi vardır.
  • Erişim haklarının farklılaşması ile. Her kullanıcının sistemde kesin olarak tanımlanmış bir bilgi parçasına erişimi vardır.

Konuma göre ISPD ikiye ayrılır.

Kişisel veri bilgi sistemlerinin sınıflandırılması hakkında çok şey yazıldı: tüm makaleler, web siteleri ve forumlar bu yanan konuya ayrılmıştır. FSTEK \ FSB \ MITiS No. 55 \ 86 \ 20'nin sırasına göre olduğu gerçeğiyle başlayalım. tipik ve özel ISPDn. Yalnızca kişisel verilerin gizliliğinin sağlanmasının gerekli olduğu tipik olarak ISPD'leri ve kişisel verilerin gizlilik dışındaki güvenlik özelliklerinden en az birinin (bütünlük, özgünlük, kullanılabilirlik vb.)
Emir, ISPD'nin, verileri içinde işlenen PD konularına yönelik olası hasarın bir değerlendirmesine dayalı olarak sınıflandırılmasını gerektirir: olası hasar ne kadar yüksekse, sınıf o kadar yüksek ve buna bağlı olarak teknik koruma gereksinimleri de o kadar yüksek olur. Siparişin 14. Maddesi 4 sınıftan bahseder:
- olumsuz sonuçların olmaması (4. derece)
- önemsiz olumsuz sonuçlar (3. derece)
-olumsuz sonuçlar (2. derece)
- önemli olumsuz sonuçlar (1. derece).
Aynı paragrafa göre bir veya başka bir ISPDn sınıfının atanması, ilk verilerin analizinin sonuçlarına göre gerçekleştirilir.
Burada tipik ISPD'lerin sınıflandırılmasından zaten bahsetmiştik, o yüzden doğrudan özel olanlara geçelim.

Özel bir ISPD nasıl sınıflandırılır?
ISPD'niz ırk, milliyet,
siyasi görüşler, dini ve felsefi inançlar, sağlık durumu, samimi yaşam, o zaman her şey basit:
sistem sınıfınız K1'dir. Ve bunların 10 kayıt veya 100.000 olması önemli değil, o zaman sistemi ya FSTEC sipariş No. 58'in gerekliliklerine göre K1'e göre korursunuz ya da örneğin bu tür verileri kişiselleştirerek sınıfı düşürürsünüz.
Şimdi sınıflandırmamız gereken belirli bir ISPD düşünelim. Müşterilerine hizmet veren büyük bir şirket olsun.
Sistemimizin ilk verileri:
1. Kişisel veri miktarı- 100.000'den fazla.
2. Kişisel veri kategorisi- 2 (yani, kişisel verilerin konusunu tanımlamayı ve onun hakkında ek bilgi almayı mümkün kılan kişisel verilerdir).
3. Bilgi sistemi yapısı- dağıtılmış;
4. Bağlantıların kullanılabilirliği kamu iletişim ağlarına ve (veya) uluslararası bilgi alışverişi ağlarına bilgi sistemi - şudur;
5. Kişisel veri işleme modu- çok oyunculu;
6. Erişim hakları farklılaştırma modu bilgi sisteminin kullanıcıları - erişim haklarının farklılaşmasıyla;
7. Teknik araçların yeri bilgi sistemi - Rusya Federasyonu içinde.

Ancak böyle bir sistemi Sipariş No. 55 \ 86 \ 20'den gelen plakaya göre sınıflandıramayız, çünkü "İlk verilerin analizinin sonuçlarına dayanarak tipik bilgi sistemine aşağıdaki sınıflardan biri atanır. " Üzülmüyoruz, siparişi daha da okuyoruz ve şu noktayı görüyoruz:
16. İlk verilerin analizinin sonuçlarına dayanarak, özel bilgi sisteminin sınıfı, Madde 2'ye uygun olarak geliştirilen metodolojik belgelere uygun olarak kişisel verilerin güvenliğine yönelik tehdit modeli temelinde belirlenir. 17 Kasım 2007 tarihli Rusya Federasyonu Hükümeti Kararnamesi N 781 "Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğinin sağlanmasına ilişkin Yönetmeliğin onaylanması üzerine"
Bu nedenle, ilk verileri, işlenen PD'nin bileşimini, PDIS'in yapısını ve teknolojik süreçleri belirledikten sonra, makul bir sonuca varabiliriz. Olumsuz sonuçlar bilgilerin gizliliğini ihlal edebilir (örneğin, çalışanın engelliliği ile ilgili bilgilerin yayılması). Diğer tüm tehditlerin uygulanması, küçük negatifçünkü onları etkisiz hale getirmek için yeterli teknik koruma önlemleri alınmıştır (veya gelecekte ISPD'yi korumak için bir sistem oluşturma sürecinde alınacaktır). Bu bilgileri tehdit modeline yansıttıktan sonra, belirtilen özelliklere sahip özel bir ISPD tarafımızca K2 olarak güvenle sınıflandırılabilir.

Etiketler: kişisel veriler, ispdn

Biri anahtar unsurlarüzerinde İlk aşama güvenceye almak bilgi Güvenliği korunan sistemin bilgi güvenliği gereksinimlerine göre sınıflandırılması işlemidir. Bu süreç iyi tanımlanmış ve düzenlenmiştir, ancak kendi incelikleri vardır. Bir önceki makalede, sistemlerin sınıflandırılması kavramını, ana, ortak sınıflandırma özelliklerini inceledik, sistemlerin bilgi güvenliği gereksinimlerine göre sınıflandırıldığı belgelerin bileşimini belirledik ve bilgilerin sınıflandırılmasıyla ilgili belirli konulara açıklık getirdik. sistemler ve muhasebe nesneleri. Bu yazıda bakacağız genel düzen soyut bir durum bilgi sistemi örneğini ve ayrıca sınıflandırmadaki bir dizi kilit noktayı kullanarak bilgi sistemlerinin bilgi güvenliği gereksinimlerine göre sınıflandırılması.

Başlamadan önce, aşağıdaki ana noktalar hakkında çok net olmanız gerekir:

1. Sınıflandırma ile genel nesne kümesinin alt kümelere bölünmesini kastediyoruz - en temel özelliklere göre gruplandırılmış sınıflar, bir sınıf altında ise bazı ortak özelliklere sahip olan ve sırayla bir nesne olacak olan bir nesneler kümesini kastediyoruz. karakteristik - bir sınıflandırma kriteri.

2. Bilgi güvenliği gereksinimlerine göre çoklu sınıflandırma hatalı değildir.

3. Sınıflandırma prosedürünün seçimi, sistem oluşturma hedefleri, sınıflandırılan sistemin uyması gereken düzenleyici, metodolojik ve diğer belgelerin işlenmesi ve analizine tabi bilgilerin bileşimi temelinde gerçekleştirilir.

4. Sınıflandırmanın sonucu bir sınıflandırma eylemidir.

5. Sınıflandırma sonuçları nihai değildir ve revize edilebilir.

6. Sınıflandırma, bilginin sahibi tarafından yapılır.

1'den 5'e kadar olan sorular önceki makalede yeterince ayrıntılı olarak tartışıldı, bu yüzden onları atlayacağız ve diğerlerini daha ayrıntılı olarak ele alacağız.

Basit bir tane ile başlayalım: "Sınıflandırmanın sonucu, sınıflandırma eylemidir." Bu gerçek herhangi bir durum bilgi sistemi için gereksinimleri belirleyen madde 14.2'nin gereksinimleri tarafından belirlenir.

Bir kanun hazırlamadaki yaygın hatalardan biri, sistemlerin çoklu sınıflandırmasının yapıldığı durumlarla ilgilidir. Bu durumda, önceki sınıflandırmaların sonuçlarına dayanmadan (eğer bu sınıflandırma prosedürüyle çelişmiyorsa) sınıflandırmayı bağımsız olarak yürütmek gerekir ve sonuç ayrı sınıflandırma eylemleriyle resmileştirilmelidir.

Ayrı sınıflandırma eylemlerinin varlığı için kesin bir gereklilik bulunmadığına dikkat edilmelidir. Çoklu sınıflandırma sonuçlarına dayanan tüm bilgiler tek bir eylemde yansıtılabilir. Ancak, bu genellikle belgeyle daha fazla çalışma için gereksiz karışıklığa ve uygunsuzluğa yol açar. Bu nedenle, sınıflandırma eylemlerinin ayrı eylemler olarak hazırlanmasını öneririz.

5. noktaya geçelim: "Sınıflandırma sonuçları kesin değildir ve revize edilebilir." Bu ifade, sürecin kendisinin biçimsel mantığına dayanmaktadır, çünkü sınıflandırma nesnesinin işleyişi için koşullar, amaçları, amaçları ve diğer yönleri değişebilir. Sınıflandırma işaretlerinin kendileri değişebilir veya dönüştürülebilir. Ek olarak, sınıflandırma prosedürünü oluşturan belge genellikle sınıflandırma sonuçlarının revize edilmesi prosedürü hakkında bilgi içerir. Bu nedenle, 13 Şubat 2013 tarih ve 17 sayılı Rusya FSTEC emrinin 14.2 maddesi uyarınca, bilgi sisteminin güvenlik sınıfı, bilgi sisteminin ölçeği veya işlenen bilgilerin önemi olduğunda revizyona tabidir. değişir. Sınıflandırma sonuçlarını revize etme prosedürü, pratik olarak sınıflandırma sürecinin kendisiyle aynıdır.

Son açıklamaya geçelim: "Sınıflandırma, bilginin sahibi tarafından gerçekleştirilir." İlk olarak, “bilginin sahibi”nin kim olduğunu tanımlayacağız. Sanata göre. 27 Temmuz 2006 tarihli Rusya Federasyonu Federal Yasası'nın 2'si "Bilgi, Bilgi Teknolojileri ve Bilgi Koruması Üzerine" No. 149-FZ "bilgi sahibi, bağımsız olarak bilgi oluşturan veya bir yasaya veya yasaya dayanarak bilgi sahibi olan kişidir. anlaşma, herhangi bir gerekçeyle belirlenen bilgilere erişime izin verme veya kısıtlama hakkını aldı”. Bilgi sahibinin hakları, yukarıdaki yasanın 6. maddesi ile belirlenir:

"1. Federal yasalar tarafından aksi belirtilmedikçe, bilgilerin sahibi şu haklara sahiptir:

  • bilgiye erişime izin vermek veya erişimi kısıtlamak, bu erişim için prosedür ve koşulları belirlemek;
  • dağıtmak da dahil olmak üzere bilgileri kendi takdirinize bağlı olarak kullanmak;
  • bilgileri bir anlaşma veya kanunla belirlenen diğer herhangi bir temelde diğer kişilere aktarmak;
  • korumak kanunla kurulmuş durumda hakları nasıl yasadışı elde etme bilgi veya diğer kişiler tarafından yasa dışı kullanımı;
  • bilgilerle başka eylemlerde bulunmak veya bu tür eylemlerin uygulanmasına izin vermek.

Bilgi sahibi, haklarını kullanırken:

  • diğer kişilerin haklarını ve meşru çıkarlarını gözetmek;
  • bilgileri korumak için önlemler almak;
  • federal yasalar tarafından böyle bir görev belirlenmişse, bilgiye erişimi kısıtlamak. "

Bilgi sahibinin tanımına ve haklarına dayanarak, sınıflandırma, içinde yer alan bilgilerin korunması için gereksinimlerin oluşumunun ayrılmaz bir parçası olduğu için, sınıflandırmayı gerçekleştirme hakkına sahip olduğu açıktır. ilk aşamada bilgi güvenliğini sağlama çalışmalarının bir parçası olan bilgi sistemi. Çoğu zaman, birçok insan, diğer şeylerin yanı sıra, Rusya Federasyonu mevzuatının doğrudan ihlali olan bilgi güvenliği üzerinde daha fazla çalışmanın yapıldığı, hatalı belgelerin ortaya çıkmasına neden olan bu nüansı gözden kaçırır. Açıklığa kavuşturmak için bir dizi düzenleyici kurum bu anın, bunu açıkça düzenleyici belgelerinde, örneğin, 13.02.2013 tarih ve 17 sayılı Rusya FSTEC emrinin 14. maddesinde belirtir. Ayrıca, yasal veya diğer gerekliliklerle çelişmiyorsa, bilgi sahibinin sorumluluklarını devretme hakkına sahip olduğu anlaşılmalıdır. Bu durumda, transfer gerçeği hak verildi, örneğin, bir alt kurum, uygun şekilde kaydedilmelidir. Ayrı olarak, yasal bir hakkın yokluğunda bir bilgi sisteminin bilgi güvenliği gereksinimlerine göre sınıflandırılmasının basitçe anlamsız olduğu belirtilmelidir.

Şimdi sınıflandırmayı gerçekleştirmenin hemen sırasına geçelim. Sınıflandırmayı gerçekleştirirken aşağıdaki prosedüre uyulması önerilir:

1. Yürürlükteki kuruluş başkanının (yetkili vekili) emriyle yasal gerekçeler sınıflandırılmış bilgi sisteminde işlenen bilgilerin sahibi, sınıflandırma için bir komisyon atar. yansıtmak için:

  • komisyon üyelerinin her birinin adını, konumunu ve işlevsel rolünü gösteren komisyonun bileşimi;
  • sınıflandırılmış sistemin (veya birkaç sistemin) adı;
  • sınıflandırmanın yapılması gereken belgeler;
  • sınıflandırmanın zamanlaması.

2. Komisyonun tüm üyelerini emirle tanıştırmak.

3. Komisyonun toplantı saatini belirleyin.

4. Protokol kapsamındaki komisyonlar ayarlanan zaman belirlemek için toplantılar:

  • sınıflandırmanın yapıldığı belgenin gerekliliklerine uygun olarak sınıflandırmayı gerçekleştirme prosedürü;
  • kompozisyonu belirlemek sınıflandırma işaretleri sınıflandırmada önemli;
  • sınıflandırılmış sistem için sınıflandırma özelliklerinin değerlerini belirlemek;
  • bilgi sisteminin sınıfını ayarlayın.

5. Sınıflandırma komisyonunun toplantı tutanaklarına dayanarak, sınıflandırma yasasındaki sınıflandırmanın nihai sonucunu düzeltin.

6.İçinde yerleşik düzen sınıflandırma yasasını onay için kuruluşun başkanına (yetkili vekili) sunar.

Sınıflandırma komisyonunun bir toplantısını düzenleme sürecini ayrıntılı olarak ele alalım. Sınıflandırmayı aşağıdaki belgelerin gerekliliklerine uygun olarak gerçekleştireceğiz:

  • Rusya Federasyonu Hükümeti'nin 01.11.2012 tarihli Kararı "Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin korunmasına ilişkin gerekliliklerin onaylanması üzerine" 1119 sayılı.

Bu belgelerdeki sınıflandırmayı gerçekleştirme prosedürü, ana sınıflandırma işaretleri gibi açık bir şekilde belirtilmiştir:

  • Bilginin sahibine (müşteri) ve (veya) operatöre gizliliğin ihlali (yasadışı erişim, kopyalama, sağlama veya dağıtım), bütünlük (yasa dışı imha veya bilgilerin değiştirilmesi) veya erişilebilirliği (yasa dışı engelleme). Devlet bilgi sistemi, aşağıdaki önem düzeylerinden birine sahip olabilir:
    • UZ 1, bilgi güvenliği özelliklerinden (gizlilik, bütünlük, kullanılabilirlik) en az biri için yüksek derecede hasar tespit edilmişse;
    • KM 2, en az bir tane ise - ortalama hasar derecesi belirlenir ve yüksek derecede hasar tespit edilen tek bir mülk yoktur;
    • UZ 3, eğer hepsi için - düşük derecelerde hasar belirlenirse.

      • Bu durumda, olası zararın derecesi, bilgi sahibi ve (veya) operatör tarafından bağımsız olarak uzman veya diğer yöntemlerle belirlenir ve şunlar olabilir:

    • yüksek, bilgi güvenliğinin özelliklerinden birinin (gizlilik, bütünlük, erişilebilirlik) ihlalinin bir sonucu olarak, sosyal, politik, uluslararası, ekonomik, finansal veya diğer faaliyet alanlarında önemli olumsuz sonuçların ortaya çıkması ve (veya) bilgi sistemi ve (veya) operatör (bilgi sahibi) kendilerine atanan işlevleri yerine getiremez;
    • ortalama, bilgi güvenliğinin özelliklerinden birinin (gizlilik, bütünlük, erişilebilirlik) ihlalinin bir sonucu olarak, sosyal, politik, uluslararası, ekonomik, finansal veya diğer faaliyet alanlarında orta derecede olumsuz sonuçların ortaya çıkması ve (veya) bilgi sistemi ve (veya) operatör (bilgi sahibi) ) kendilerine atanan işlevlerden en az birini gerçekleştiremez;
    • düşük, bilgi güvenliğinin özelliklerinden birinin (gizlilik, bütünlük, kullanılabilirlik) ihlali sonucunda sosyal, politik, uluslararası, ekonomik, finansal veya diğer faaliyet alanlarında küçük olumsuz sonuçlar ve (veya) bilgi sistemi ve (veya) operatör (bilgi sahibi) kendilerine atanan işlevleri yetersiz verimlilikle yerine getirebilir veya işlevlerin yerine getirilmesi ancak ek güçlerin ve araçların katılımıyla mümkündür.
  • sistem ölçeği:
    • Federal, Rusya Federasyonu topraklarında faaliyet gösteriyorsa (içinde Federal Bölge) ve Rusya Federasyonu, belediyeler ve (veya) kuruluşların kurucu kuruluşlarında bölümlere sahiptir;
    • Bölgesel, Rusya Federasyonu'nun kurucu bir kuruluşunun topraklarında faaliyet gösteriyorsa ve bir veya birkaç belediyede ve (veya) alt ve diğer kuruluşlarda bölümleri varsa;
    • Yerinde, bir federal hükümet organının, Rusya Federasyonu'nun kurucu bir kuruluşunun devlet organının, belediye oluşumu ve (veya) kuruluşunun tesislerinde faaliyet gösteriyorsa ve bölgesel organlarda, temsilciliklerde, şubelerde, alt ve alt birimlerde bölümlere sahip değilse, diğer kuruluşlar.
  • mevcut tehditlerin türü:
    • Tip 1 tehditler, bilgi sisteminde kullanılan sistem yazılımında belgelenmemiş (bildirilmemiş) yeteneklerin varlığı ile ilişkili tehditler ile ilgiliyse, bilgi sistemi için uygundur;
    • Tip 2 tehditler, bilgi sisteminde kullanılan uygulama yazılımında belgelenmemiş (bildirilmemiş) yeteneklerin varlığı ile ilişkili tehditler ile ilgiliyse, bilgi sistemi için uygundur;
    • Sistemde belgelenmemiş (bildirilmemiş) yeteneklerin varlığı ve bilgi sisteminde kullanılan uygulama yazılımı ile ilişkili olmayan tehditler bilgi sistemi ile ilgiliyse, 3. tür tehditler bilgi sistemi ile ilgilidir.
  • işlenen kişisel veri kategorisi:
    • özel kişisel veri kategorileri;
    • biyometrik kişisel veriler;
    • diğerleri;
    • halka açık.
  • kişisel verileri işlenen kişi sayısı:
    • 100.000'den fazla;
    • 100.000'den az.
  • kişisel veri konularının bağlantısı:
    • operatörün çalışanları;
    • operatörün personeli değil.
  • kişisel verilerin konularının mülkiyeti (operatörün çalışanları değil). Burada şunu anlamak önemlidir ki, sistemde kişisel verileri işlenen en az bir PD konusu varsa ve bu kişi operatörün bir çalışanı değilse, bu varsayılan değeri kabul edebiliriz;
  • kişisel veri konularının sayısı: sistemimiz için bu sayı 100.000'i geçmeyecektir;
  • kişisel veri kategorisi: örneğin, sistemimiz için - diğer kişisel veriler. Bu parametre belirlenirken ne tür bilgilerin hangi PD kategorisine ait olduğunu anlamak yeterlidir. Eğer bilgi farklı kategoriler, daha sonra sistem, özniteliğin değerini en yüksek göstergeye göre seçmelidir, yani:
    • kişisel veri sahiplerinin ırk, milliyet, siyasi görüş, dini veya felsefi inanç, sağlık durumu, mahrem hayatı hakkında bilgi işleniyorsa özel nitelikli kişisel veriler;
    • biyometrik kişisel veriler, ilk olarak, özel kişisel veri kategorilerine ilişkin bilgiler işlenmiyorsa ve ikinci olarak, bir kişinin fizyolojik ve biyolojik özelliklerini karakterize eden ve temelinde kimliğinin belirlenmesinin mümkün olduğu bilgileri işliyorsa, ve operatör tarafından kişisel verilerin konusunun kimliğini belirlemek için kullanılanlar;
    • kamuya açık kişisel veriler, yalnızca 27 Temmuz 2006 tarihli 152-FZ sayılı "Kişisel Veriler Üzerine" Federal Kanunun 8. Maddesi uyarınca oluşturulan kamuya açık kişisel veri kaynaklarından elde edilen kişisel veri konularının kişisel verilerini işliyorsa;
    • diğerleri, yukarıda belirtilen kişisel verileri işlemediği takdirde.
  • kişisel verilerin güvenliğine yönelik tehditlerin türüne göre. Bu parametre Gerçek tehditleri göstermesi gereken Kişisel Veri Güvenliği Tehdit Modeline bağlı olduğu için tesadüfen değil en sona bıraktık. Bunlar sistemimiz için 3. tür tehditler olsun.

Sınıflandırma özelliklerinin her birinin nihai değerlerini belirleme süreci, genellikle konsolide bir uzman görüşü sonucunda bir uzman tarafından belirlenir, bu nedenle, soyut durum bilgi sistemimiz için doğrudan bu özelliklerin belirlenmesine geçeceğiz. federal bir ölçek. Bu nedenle, 13 Şubat 2013 tarihli ve 17 sayılı Rusya FSTEC'in emrine göre, güvenlik özelliklerinden birinin ihlalinden kaynaklanan maksimum hasarı belirleyeceğiz. Tanımlarken, sistem tarafından uygulanan tüm işlevlere atıfta bulunmak yeterlidir; belirli bir özelliğin ihlali, bunlardan en az birinin gerçekleştirilmesinin imkansız olmasına yol açacaktır. Her birini ele alıyoruz, sonuçları değerlendiriyoruz, maksimum göstergeyi buluyoruz ve ABD değerleri listesiyle karşılaştırıyoruz. Örneğimizde, maksimum hasar derecesi ortalama olacaktır, o zaman UZ 2 gerekli bilgi önem düzeyidir.

Bu sınıflandırma özelliklerinin değerlerini belirledikten sonra, sadece sistemimizin güvenlik sınıfını yukarıda tartışılan belgelerin mantığına uygun olarak oluşturmamız ve komisyonun faaliyetlerinin sonucunu önce protokolde daha sonra da doğru bir şekilde yansıtmamız gerekiyor. sınıflandırma kanunu

Bu nedenle, bu makalede, soyut bir durum bilgi sistemi örneğini kullanarak bilgi sistemlerini bilgi güvenliği gereksinimlerine göre sınıflandırmak için genel prosedürü inceledik, bir dizi kilit noktayı göz önünde bulundurduk ve gizli kaldı. tuzaklar sınıflandırma yapılırken Bir sonraki makalede, sınıflandırma yaparken standart belgeler hazırlama prosedürünü ele alacağız (komisyon oluşturma emri, komisyon toplantısı protokolü ve sınıflandırma yasası), bunları soyut sistemimiz için doldurup hazırlayacağız. standart şablon formları.




İlgili Makaleler

En son makaleler
Popüler Makaleler
Editörün Seçimi
rzdoro.ru