• hjem
  •  > 
  • Sikkerhed
  •  > 
  • Ved godkendelse af proceduren for klassificering af persondatainformationssystemer. Proceduren for klassificering af persondatainformationssystemer

Ved godkendelse af proceduren for klassificering af persondatainformationssystemer. Proceduren for klassificering af persondatainformationssystemer

Forordninger om sikring af sikkerheden af ​​personoplysninger under deres behandling i persondatainformationssystemer, godkendt ved dekret fra regeringen for Den Russiske Føderation af 17. november 2007 N 781 “Om godkendelse af forordningerne om sikring af sikkerheden af ​​personoplysninger under deres behandling i informationssystemer for personoplysninger" (Den Russiske Føderations lovgivningssamling, 2007, N 48, del II, artikel 6001), bestiller vi:

Godkend vedlagte procedure for klassificering af persondatainformationssystemer.

Direktør
Føderal tjeneste
på teknisk
og eksportkontrol
S.I.GRIGOROV

Direktør
Federal Security Service
Den Russiske Føderation
N.P.PATRUSHEV

Minister
informationsteknologi og kommunikation
Den Russiske Føderation
L.D.REIMAN

GODKENDT
Efter ordre
FSTEC i Rusland,
FSB i Rusland,
Ministeriet for information og kommunikation i Rusland
dateret 13. februar 2008 N 55/86/20

BESTILLE
KLASSIFIKATION AF INFORMATIONSSYSTEMER AF PERSONDATA

1. Denne procedure bestemmer klassificeringen af ​​persondatainformationssystemer, som er et sæt af persondata indeholdt i databaser, samt informationsteknologier og tekniske midler, der muliggør behandling af sådanne personoplysninger ved hjælp af automatiseringsværktøjer (i det følgende benævnt informationssystemer) )<*>.

2. Klassificeringen af ​​informationssystemer udføres af statslige organer, kommunale organer, juridiske enheder og enkeltpersoner, der organiserer og (eller) udfører behandlingen af ​​personoplysninger, samt fastlægger formålet med og indholdet af behandlingen af ​​personoplysninger ( i det følgende benævnt operatøren)<*>.

<*>Stk. 1 i paragraf 6 i reglementet.

3. Klassificeringen af ​​informationssystemer udføres på tidspunktet for oprettelse af informationssystemer eller under deres drift (til tidligere ibrugtagning og (eller) moderniserede informationssystemer) for at etablere metoder og midler til at beskytte information, der er nødvendig for at sikre sikkerheden af personlige data.

4. Udførelse af klassificering af informationssystemer omfatter følgende trin:

indsamling og analyse af indledende data om informationssystemet;

tildeling af den relevante klasse til informationssystemet og dets dokumentation.

5. Ved klassificering af et informationssystem tages der hensyn til følgende indledende data:

mængden af ​​behandlede personoplysninger (antal persondatasubjekter, hvis personoplysninger behandles i informationssystemet) - X_npd;

sikkerhedskarakteristika for personoplysninger, der behandles i det informationssystem, der er specificeret af operatøren;

informationssystem struktur;

tilgængelighed af forbindelser af informationssystemet til offentlige kommunikationsnetværk og (eller) internationale informationsudvekslingsnetværk;

tilstand for behandling af personlige data;

måde at afgrænse adgangsrettigheder for brugere af informationssystemet;

placering af informationssystemets tekniske midler.

6. Følgende kategorier af personoplysninger behandlet i informationssystemet (X_PD) er defineret:

7. X_npd kan tage følgende værdier:

1 - informationssystemet behandler samtidig personoplysninger om mere end 100.000 personlige datasubjekter eller personlige data om personlige datasubjekter inden for en konstituerende enhed i Den Russiske Føderation eller Den Russiske Føderation som helhed;

2 - informationssystemet behandler samtidig personoplysninger fra 1.000 til 100.000 personlige datasubjekter eller personoplysninger om persondatasubjekter, der arbejder i den økonomiske sektor i Den Russiske Føderation, i et regeringsorgan, der bor i en kommune;

3 - informationssystemet behandler samtidig data om mindre end 1000 persondatasubjekter eller persondata om persondatasubjekter inden for en bestemt organisation.

8. I henhold til sikkerhedskarakteristikaene for personoplysninger, der behandles i informationssystemet specificeret af operatøren, er informationssystemer opdelt i standard- og særlige informationssystemer.

Typiske informationssystemer er informationssystemer, der kun kræver at sikre fortroligheden af ​​personoplysninger.

Særlige informationssystemer bør omfatte:

informationssystemer, hvori der behandles personoplysninger vedrørende helbredstilstanden for personer med personoplysninger;

informationssystemer, der giver mulighed for vedtagelse, udelukkende baseret på automatiseret behandling af personoplysninger, af beslutninger, der giver anledning til juridiske konsekvenser i forhold til emnet for personoplysninger eller på anden måde påvirker dennes rettigheder og legitime interesser.

9. I henhold til deres struktur er informationssystemer opdelt i:

til autonome (ikke forbundet med andre informationssystemer) komplekser af hardware og software designet til behandling af personoplysninger (automatiserede arbejdsstationer);

til komplekser af automatiserede arbejdsstationer integreret i et enkelt informationssystem ved hjælp af kommunikation uden brug af fjernadgangsteknologi (lokale informationssystemer);

til komplekser af automatiserede arbejdsstationer og (eller) lokale informationssystemer, kombineret til et enkelt informationssystem ved hjælp af kommunikation ved hjælp af fjernadgangsteknologi (distribuerede informationssystemer).

10. Baseret på tilstedeværelsen af ​​forbindelser til offentlige kommunikationsnetværk og (eller) internationale informationsudvekslingsnetværk opdeles informationssystemer i systemer med forbindelser og systemer uden forbindelser.

11. I henhold til måden at behandle personoplysninger på i informationssystemet opdeles informationssystemer i enkeltbruger og multibruger.

12. Ud fra afgrænsningen af ​​brugeradgangsrettigheder opdeles informationssystemer i systemer uden afgrænsning af adgangsrettigheder og systemer med afgrænsning af adgangsrettigheder.

13. Informationssystemer, afhængigt af placeringen af ​​deres tekniske midler, er opdelt i systemer, hvis alle tekniske midler er placeret inden for Den Russiske Føderation, og systemer, hvis tekniske midler er delvist eller helt placeret uden for Den Russiske Føderation.

14. På baggrund af resultaterne af analysen af ​​kildedata tildeles et typisk informationssystem en af ​​følgende klasser:

klasse 1 (K1) - informationssystemer, for hvilke en krænkelse af de specificerede sikkerhedskarakteristika for personoplysninger, der behandles i dem, kan føre til betydelige negative konsekvenser for emnerne for personoplysninger;

klasse 2 (K2) - informationssystemer, for hvilke en krænkelse af de specificerede sikkerhedsegenskaber for personoplysninger, der behandles i dem, kan føre til negative konsekvenser for emnerne for personoplysninger;

klasse 3 (K3) - informationssystemer, for hvilke en krænkelse af de specificerede sikkerhedskarakteristika for personoplysninger, der behandles i dem, kan føre til mindre negative konsekvenser for emnerne for personoplysninger;

klasse 4 (K4) - informationssystemer, for hvilke krænkelse af de angivne sikkerhedskarakteristika for personoplysninger, der behandles i dem, ikke fører til negative konsekvenser for emnerne for personoplysninger, punkt 2 i dekretet fra Den Russiske Føderations regering af 17. november , 2007 N 781 "Om godkendelse af reglerne om sikring af personoplysningernes sikkerhed under deres behandling i persondatainformationssystemer"<*>.

<*>Samling af Den Russiske Føderations lovgivning, 2007, N 48, del II, art. 6001.

17. Hvis der identificeres delsystemer i et informationssystem, som hver især er et informationssystem, tildeles informationssystemet som helhed en klasse svarende til den højeste klasse af dets delsystemer.

18. Resultaterne af klassificeringen af ​​informationssystemer er dokumenteret i operatørens tilsvarende handling.

19. Informationssystemklassen kan revideres:

efter beslutning fra operatøren baseret på hans analyse og vurdering af trusler mod sikkerheden af ​​personlige data, under hensyntagen til karakteristika og (eller) ændringer af et specifikt informationssystem;

baseret på resultaterne af foranstaltninger til overvågning af overholdelsen af ​​kravene til sikring af personoplysningernes sikkerhed under behandlingen af ​​dem i informationssystemet.

Formålet med BukvaPravas hjemmeside er at hjælpe almindelige mennesker, der ikke har en juridisk uddannelse, til at forstå, hvordan man løser hverdagens problemer og problemer.

BukvaPrava er en hjemmeside, der yder juridisk bistand til alle borgere med behov for professionel rådgivning. Vi accepterer spørgsmål om alle områder af russisk lovgivning og yder juridisk rådgivning online.

Hvad er online juridisk rådgivning?

Vores borgere har længe været vant til, at de skal betale for enhver modtaget service, så gratis juridisk rådgivning forekommer dem mindre pålidelige end de samme oplysninger modtaget ved et møde med en notar eller advokat.

Bemærk, at online juridisk rådgivning er reguleret af føderal lov nr. 324 af 21. november 2011 om levering af juridisk bistand og opmuntres af det statslige program, der arbejder med at støtte landets befolkning inden for lovområdet.

Online juridisk bistand er således en reel chance for at få indledende professionel rådgivning og finde ud af, hvordan man løser det opståede problem. For at gøre dette behøver du ikke at lave en aftale og spilde tid i køer.

"Online advokat"-praksis giver dig mulighed for hurtigst muligt at finde ud af svaret på en aktuel juridisk anmodning. Hvis den beskrevne situation vedrører et ofte diskuteret emne og ikke indeholder faldgruber, vil hjælp fra en advokat kun tage et par minutter. Komplekse problemer vil tage længere tid at løse. For at få juridisk rådgivning, der er fuldt ud passende til den aktuelle situation, skal du besvare yderligere spørgsmål, give oplysninger om de omkringliggende omstændigheder eller blot formulere emnet mere klart og detaljeret.

Juridiske tjenester giver dig mulighed for hurtigt at træffe en beslutning og undgå at foretage fejltrin, når du skal vurdere den opståede situation eller løse et kontroversielt problem.

Hvad tilbyder BukvaPravas hjemmeside?

Vi har erfarne advokater, der arbejder for dig, med speciale i forskellige lovgivningsområder og udfører daglige praktiske aktiviteter. Alle advokatkonsultationer er sammensat under hensyntagen til den aktuelle status på det juridiske område.

Hos os kan du:

  • læse artikler om aktuelle og interessante mange emner inden for arbejds-, civil- og familieret
  • få juridisk rådgivning online ved at stille spørgsmål via et gratis telefonnummer eller formulere et problem i form af en skriftlig anmodning
  • lære om nye ændringer i lovgivningen og afklare effektiviteten af ​​tidligere eksisterende lovgivning
  • opretholde fuldstændig fortrolighed af stillede spørgsmål og svar, da vi ikke beder om identifikationsdokumenter
  • se din situation ud fra gældende normer og retspraksis og vurdere mulighederne for at løse problemet.

Vi tilbyder gratis juridisk bistand til alle, der har brug for akutte, kvalificerede svar på deres sager.

Her finder du:

  • Artikler, der forklarer forskellige situationer fra et juridisk synspunkt
  • Trin-for-trin instruktioner om presserende problemer
  • Ordbog over juridiske termer
  • Ofte brugte dokumentskabeloner
  • Fortegnelse over adresser på nødvendige tjenester og organisationer

Seneste artikler og trin-for-trin instruktioner

Vi tilføjer nye artikler om aktuelle emner hver dag. Hvis du ikke har vores svar på dit spørgsmål, så skriv til os [e-mail beskyttet], vil vi se nærmere på problemet og offentliggøre en artikel i den nærmeste fremtid.

Og har du et spørgsmål relateret til det familieretlige område, så kan du gå ind på Inemarriage-hjemmesiden, hvor du kan få hjælp af en advokat online om familiespørgsmål: ægteskab og skilsmisse, underholdsbidrag, arv, forældrerettigheder og forskellige former for fordele.

FEDERAL SERVICE TIL TEKNISK OG EKSPORTKONTROL

DEN RUSSISKE FEDERATIONS FØDERAL SIKKERHEDSTJENESTE

MINISTERIET FOR INFORMATIONSTEKNOLOGI OG KOMMUNIKATION
DEN RUSSISKE FØDERATION

Ved godkendelse af proceduren for klassificering af persondatainformationssystemer


Tabt kraft den 11. marts 2014 på grundlag
fælles ordre fra FSTEC i Rusland, FSB i Rusland og ministeriet for telekommunikation og massekommunikation i Rusland
dateret 31. december 2013 N 151/786/461
____________________________________________________________________


I overensstemmelse med punkt 6 i forordningerne om sikring af sikkerheden af ​​personoplysninger under deres behandling i persondatainformationssystemer, godkendt ved dekret fra Den Russiske Føderations regering af 17. november 2007 N 781 “Om godkendelse af forordningerne om sikring af sikkerhed af personoplysninger under deres behandling i persondatainformationssystemer” (Den Russiske Føderations lovsamling, 2007, N 48, del II, art. 6001),

vi bestiller:

Godkend vedlagte procedure for klassificering af persondatainformationssystemer.

Direktør for Forbundstjenesten
på teknisk og
eksportkontrol
S. Grigorov

Forbundsdirektør
sikkerhedstjenester
Den Russiske Føderation
N. Patrushev

Minister for informationsteknologi
og kommunikation fra Den Russiske Føderation
L. Reiman


Registreret
hos Justitsministeriet
Den Russiske Føderation
3. april 2008,
registrering N 11462

Proceduren for klassificering af persondatainformationssystemer

GODKENDT
efter ordre fra FSTEC i Rusland,
FSB i Rusland,
Ministeriet for information og kommunikation i Rusland
dateret 13. februar 2008 N 55/86/20

1. Denne procedure bestemmer klassificeringen af ​​persondatainformationssystemer, som er et sæt af persondata indeholdt i databaser, samt informationsteknologier og tekniske midler, der muliggør behandling af sådanne personoplysninger ved hjælp af automatiseringsværktøjer (i det følgende benævnt informationssystemer) ).
________________
Stk. 1 i afsnit 1 i forordningerne om sikring af sikkerheden af ​​personoplysninger under deres behandling i persondatainformationssystemer, godkendt ved dekret fra Den Russiske Føderations regering af 17. november 2007 N 781 (Samlet lovgivning i Den Russiske Føderation, 2007 , N 48, del II, art. 6001) (i det følgende - vedtægter).

2. Klassificeringen af ​​informationssystemer udføres af statslige organer, kommunale organer, juridiske enheder og enkeltpersoner, der organiserer og (eller) udfører behandlingen af ​​personoplysninger, samt fastlægger formålet med og indholdet af behandlingen af ​​personoplysninger ( i det følgende benævnt operatøren).
________________
Stk. 1 i stk. 6 i vedtægterne.

3. Klassificeringen af ​​informationssystemer udføres på tidspunktet for oprettelse af informationssystemer eller under deres drift (til tidligere ibrugtagning og (eller) moderniserede informationssystemer) for at etablere metoder og midler til at beskytte information, der er nødvendig for at sikre sikkerheden af personlige data. *3)

4. Udførelse af klassificering af informationssystemer omfatter følgende trin:

indsamling og analyse af indledende data om informationssystemet;

tildeling af den relevante klasse til informationssystemet og dets dokumentation.

5. Ved klassificering af et informationssystem tages der hensyn til følgende indledende data:

kategori af personoplysninger, der behandles i informationssystemet - ;

mængden af ​​behandlede personoplysninger (antal persondatasubjekter, hvis personoplysninger behandles i informationssystemet) - ;

sikkerhedskarakteristika for personoplysninger, der behandles i det informationssystem, der er specificeret af operatøren;

informationssystem struktur;

tilgængelighed af forbindelser af informationssystemet til offentlige kommunikationsnetværk og (eller) internationale informationsudvekslingsnetværk;

tilstand for behandling af personlige data;

måde at afgrænse adgangsrettigheder for brugere af informationssystemet;

placering af informationssystemets tekniske midler.

6. Følgende kategorier af personoplysninger, der behandles i informationssystemet, er defineret:

kategori 1 - personoplysninger vedrørende race, nationalitet, politiske holdninger, religiøse og filosofiske overbevisninger, sundhedstilstand, intimt liv;

kategori 2 - personoplysninger, der giver dig mulighed for at identificere emnet for personoplysninger og få yderligere oplysninger om ham, med undtagelse af personoplysninger relateret til kategori 1;

kategori 3 - personoplysninger, der muliggør identifikation af emnet for personoplysninger;

kategori 4 - anonymiserede og (eller) offentligt tilgængelige persondata.

7. kan tage følgende værdier:

1 - informationssystemet behandler samtidig personoplysninger om mere end 100.000 personlige datasubjekter eller personlige data om personlige datasubjekter inden for en konstituerende enhed i Den Russiske Føderation eller Den Russiske Føderation som helhed;

2 - informationssystemet behandler samtidig personoplysninger fra 1.000 til 100.000 personlige datasubjekter eller personoplysninger om persondatasubjekter, der arbejder i den økonomiske sektor i Den Russiske Føderation, i et regeringsorgan, der bor i en kommune;

3 - informationssystemet behandler samtidig data om mindre end 1000 persondatasubjekter eller persondata om persondatasubjekter inden for en bestemt organisation.

8. I henhold til sikkerhedskarakteristikaene for personoplysninger, der behandles i informationssystemet specificeret af operatøren, er informationssystemer opdelt i standard- og særlige informationssystemer.

Typiske informationssystemer er informationssystemer, der kun kræver at sikre fortroligheden af ​​personoplysninger.

Særlige informationssystemer er informationssystemer, hvori det, uanset behovet for at sikre fortroligheden af ​​personoplysninger, er nødvendigt at sikre mindst et af sikkerhedskarakteristikaene ved personoplysninger, bortset fra fortrolighed (sikkerhed mod ødelæggelse, ændring, blokering, samt som andre uautoriserede handlinger).

Særlige informationssystemer bør omfatte:

informationssystemer, hvori der behandles personoplysninger vedrørende helbredstilstanden for personer med personoplysninger;

informationssystemer, der giver mulighed for vedtagelse, udelukkende baseret på automatiseret behandling af personoplysninger, af beslutninger, der giver anledning til juridiske konsekvenser i forhold til emnet for personoplysninger eller på anden måde påvirker dennes rettigheder og legitime interesser.

9. I henhold til deres struktur er informationssystemer opdelt i:

til autonome (ikke forbundet med andre informationssystemer) komplekser af hardware og software designet til behandling af personoplysninger (automatiserede arbejdsstationer);

til komplekser af automatiserede arbejdsstationer integreret i et enkelt informationssystem ved hjælp af kommunikation uden brug af fjernadgangsteknologi (lokale informationssystemer);

til komplekser af automatiserede arbejdsstationer og (eller) lokale informationssystemer, kombineret til et enkelt informationssystem ved hjælp af kommunikation ved hjælp af fjernadgangsteknologi (distribuerede informationssystemer).

10. Baseret på tilstedeværelsen af ​​forbindelser til offentlige kommunikationsnetværk og (eller) internationale informationsudvekslingsnetværk opdeles informationssystemer i systemer med forbindelser og systemer uden forbindelser.

11. I henhold til måden at behandle personoplysninger på i informationssystemet opdeles informationssystemer i enkeltbruger og multibruger.

12. Ud fra afgrænsningen af ​​brugeradgangsrettigheder opdeles informationssystemer i systemer uden afgrænsning af adgangsrettigheder og systemer med afgrænsning af adgangsrettigheder.

13. Informationssystemer, afhængigt af placeringen af ​​deres tekniske midler, er opdelt i systemer, hvis alle tekniske midler er placeret inden for Den Russiske Føderation, og systemer, hvis tekniske midler er delvist eller helt placeret uden for Den Russiske Føderation.

14. På baggrund af resultaterne af analysen af ​​kildedata tildeles et typisk informationssystem en af ​​følgende klasser:

klasse 1 (K1) - informationssystemer, for hvilke en krænkelse af de specificerede sikkerhedskarakteristika for personoplysninger, der behandles i dem, kan føre til betydelige negative konsekvenser for emnerne for personoplysninger;

klasse 2 (K2) - informationssystemer, for hvilke en krænkelse af de specificerede sikkerhedsegenskaber for personoplysninger, der behandles i dem, kan føre til negative konsekvenser for emnerne for personoplysninger;

klasse 3 (K3) - informationssystemer, for hvilke en krænkelse af de specificerede sikkerhedskarakteristika for personoplysninger, der behandles i dem, kan føre til mindre negative konsekvenser for emnerne for personoplysninger;

klasse 4 (K4) - informationssystemer, for hvilke krænkelse af de specificerede sikkerhedskarakteristika for personoplysninger, der behandles i dem, ikke fører til negative konsekvenser for emnerne for personoplysninger.

15. Klassen for et typisk informationssystem bestemmes i overensstemmelse med tabellen.

16. Baseret på resultaterne af analysen af ​​kildedata bestemmes klassen af ​​et særligt informationssystem på grundlag af en model for trusler mod sikkerheden af ​​personoplysninger i overensstemmelse med metodologiske dokumenter udviklet i overensstemmelse med paragraf 2 i dekretet af Den Russiske Føderations regering af 17. november 2007 N 781 "Om godkendelse af forordningerne om sikring af sikkerheden af ​​personlige data, når de behandles i persondatainformationssystemer."
________________
Samling af Den Russiske Føderations lovgivning, 2007, N 48, del II, art. 6001.

17. Hvis der identificeres delsystemer i et informationssystem, som hver især er et informationssystem, tildeles informationssystemet som helhed en klasse svarende til den højeste klasse af dets delsystemer.

18. Resultaterne af klassificeringen af ​​informationssystemer er dokumenteret i operatørens tilsvarende handling.

19. Informationssystemklassen kan revideres:

efter beslutning fra operatøren baseret på hans analyse og vurdering af trusler mod sikkerheden af ​​personlige data, under hensyntagen til karakteristika og (eller) ændringer af et specifikt informationssystem;

baseret på resultaterne af foranstaltninger til overvågning af overholdelsen af ​​kravene til sikring af personoplysningernes sikkerhed under behandlingen af ​​dem i informationssystemet.



Elektronisk dokumenttekst
udarbejdet af Kodeks JSC og verificeret imod.

pris. Klassificering af ISPD udføres i overensstemmelse med bekendtgørelse fra FSTEC i Rusland, Ruslands FSB, Ruslands ministerium for information og kommunikation nr. 55/86/20 af 18. februar 2009. "Ved godkendelse af proceduren for klassificering af persondatainformationssystemer"(ophævet 31. december 2013).

Klassificering af ISPD udføres på tidspunktet for dets oprettelse eller under drift, men altid før konstruktionen af ​​SPPD. Generelt alt Informationssystemer, forarbejdning Personlig information, er opdelt i 2 klasse afhængig om sikkerhedskarakteristika for de behandlede data:

Typiske informationssystemer– systemer, hvor det kun er påkrævet at levere fortrolighed behandlede personoplysninger.

Særlige informationssystemer– systemer, hvor det er påkrævet at sikre mindst én af sikkerhedskarakteristikaene bortset fra fortrolighed (f.eks. integritet eller tilgængelighed). Særlige informationssystemer bør omfatte:

  1. ISPD relateret til behandling af personoplysninger om persondatasubjekters helbredsstatus;
  2. ISPD, der udelukkende træffer beslutninger baseret på automatiseret behandling af PD. I dette tilfælde kan de trufne beslutninger få juridiske konsekvenser for emnet for personoplysningerne eller på anden måde påvirke hans juridiske rettigheder og interesser.

Ifølge den i bekendtgørelsen foreslåede metode klassificeres ISPD afhængigt af antallet af enheder, hvis data behandles, og typen af ​​personoplysninger, der behandles.

Afhængigt af mængden af ​​XNPD-data, der behandles i ISPD, skelnes der mellem følgende kategorier af ISPD:

1 kategori Personlig information mere end 100.000 emner af personoplysninger eller Personlig information emner af personoplysninger inden for en konstituerende enhed i Den Russiske Føderation eller Den Russiske Føderation som helhed;

2. kategori– behandles samtidigt i informationssystemet Personlig information fra 1000 til 100.000 emner af personoplysninger eller Personlig information PD-fag, der arbejder i den økonomiske sektor i Den Russiske Føderation, i et regeringsorgan, der bor i kommunen;

3 kategori– behandles samtidigt i informationssystemet Personlig information mindre end 1000 emner af personoplysninger eller Personlig information emner af personoplysninger inden for en bestemt organisation.

Følgende kategorier af personoplysninger, der behandles i informationssystemet (PDS), er defineret:

Tabel 6.1. Definition af en informationssystemklasse
CNPD Kategori 3 Kategori 2 Kategori 1
HFA
kategori 4 K4 K4 K4
kategori 3 K3 K3 K2
kategori 2 K3 K2 K1
kategori 1 K1 K1 K1

Lad os se på, hvad hver ISPD-klasse betyder separat:

  • klasse 1 (K1)– informationssystemer, for hvilke krænkelse af de specificerede sikkerhedskarakteristika for personoplysninger, der behandles i dem, kan føre til betydelige negative konsekvenser for emnerne for personoplysninger;
  • klasse 2 (K2)– informationssystemer, for hvilke krænkelse af de specificerede sikkerhedskarakteristika for personoplysninger, der behandles i dem, kan føre til negative konsekvenser for emnerne for personoplysninger;
  • klasse 3 (K3)– informationssystemer, for hvilke en krænkelse af de specificerede sikkerhedskarakteristika for personoplysninger, der behandles i dem, kan føre til mindre negative konsekvenser for emnerne for personoplysninger;
  • klasse 4 (K4)– informationssystemer, for hvilke krænkelse af de specificerede sikkerhedskarakteristika for personoplysninger, der behandles i dem, ikke fører til negative konsekvenser for emnerne for personoplysninger.

Den højeste anses for at være klasse 1. Hvis der skelnes mellem flere delsystemer inden for ISPD, vil ISPD-klassen som helhed svare til den højeste klasse af indgående komponenter.

Jo højere ISPD-klassen er, desto højere er kravene til at sikre persondatasikkerheden.

Proceduren for at definere en klasse for specielle systemer er noget anderledes end standardsystemer. Klassen for særligt ISPD bestemmes på grundlag af organisationens private trusselmodel i overensstemmelse med FSTEC's metodologiske dokumenter. Klassificering af et informationssystem som et særligt kan reducere omkostningerne ved at opbygge et databeskyttelsessystem betydeligt, da operatøren i dette tilfælde med rimelighed kan vælge det mindste antal aktuelle trusler, hvorfra persondatabeskyttelse er nødvendig. For eksempel, hvis systemet indeholder oplysninger om en persons indkomst (f.eks. 1C), kan et sådant system klassificeres som et særligt system, da en persons legitime interesser er berørt. Det samme gælder oplysninger om handicap, race osv. At klassificere ISPD som speciel i praksis er et ret kontroversielt spørgsmål.

ISPD-klassen kan blive revideret.

Bekendtgørelse fra Federal Service for Technical and Export Control (FSTEC of Russia) fra Federal Security Service of the Russian Federation (FSB of Russia) fra Ministeriet for informationsteknologi og kommunikation i Den Russiske Føderation (Ruslands kommunikationsministerium) dateret februar 13, 2008 N 55/86/20 Moskva

"Ved godkendelse af proceduren for klassificering af persondatainformationssystemer"

I overensstemmelse med punkt 6 i forordningerne om sikring af sikkerheden af ​​personoplysninger under deres behandling i persondatainformationssystemer, godkendt ved dekret fra Den Russiske Føderations regering af 17. november 2007 N 781 “Om godkendelse af forordningerne om sikring af sikkerhed af personoplysninger under deres behandling i persondatainformationssystemer "(Samlet lovgivning fra Den Russiske Føderation, 2007, nr. 48, del II, art. 6001), vi bestiller:

Godkend vedlagte procedure for klassificering af persondatainformationssystemer.

Direktør for FSTEC S. Grigorov

Direktør for FSB i Den Russiske Føderation N. Patrushev

Minister for informationsteknologi og kommunikation i Den Russiske Føderation L. Reiman

Proceduren for klassificering af persondatainformationssystemer

1. Denne procedure bestemmer klassificeringen af ​​persondatainformationssystemer, som er et sæt af persondata indeholdt i databaser, samt informationsteknologier og tekniske midler, der muliggør behandling af sådanne personoplysninger ved hjælp af automatiseringsværktøjer (i det følgende benævnt informationssystemer) )1.

2. Klassificeringen af ​​informationssystemer udføres af statslige organer, kommunale organer, juridiske enheder og enkeltpersoner, der organiserer og (eller) udfører behandlingen af ​​personoplysninger, samt fastlægger formålet med og indholdet af behandlingen af ​​personoplysninger ( i det følgende benævnt operatøren)2.

3. Klassificeringen af ​​informationssystemer udføres på tidspunktet for oprettelse af informationssystemer eller under deres drift (til tidligere ibrugtagning og (eller) moderniserede informationssystemer) for at etablere metoder og midler til at beskytte information, der er nødvendig for at sikre sikkerheden af personlige data.

4. Udførelse af klassificering af informationssystemer omfatter følgende trin:

indsamling og analyse af indledende data om informationssystemet:

tildeling af den relevante klasse til informationssystemet og dets dokumentation.

5. Ved klassificering af et informationssystem tages der hensyn til følgende indledende data:

Mængde af behandlede personoplysninger (antal persondatasubjekter, hvis personoplysninger behandles i informationssystemet) - X npd; (klausul 7)

De karakteristika, der er specificeret af operatøren (dvs. kun sikkerhed "confi", eller også fra ødelæggelse, ændring, blokering, samt andre uautoriserede handlinger) af sikkerheden af ​​personoplysninger, der behandles i informationssystemet (se paragraf 8);

Informationssystemets struktur (klausul 9);

Tilgængelighed af forbindelser af informationssystemet til offentlige kommunikationsnetværk og (eller) internationale informationsudvekslingsnetværk (klausul 10);

Behandlingstilstand for personoplysninger (klausul 11);

Mode til afgrænsning af adgangsrettigheder for brugere af informationssystemet (klausul 12);

Placering af informationssystemets tekniske midler (klausul 13).

6. Følgende kategorier af personoplysninger, der behandles i informationssystemet (XPD), er defineret:

7. X npd kan have følgende værdier:

1 - informationssystemet behandler samtidig personoplysninger om mere end 100.000 personlige datasubjekter eller personlige data om personlige datasubjekter inden for en konstituerende enhed i Den Russiske Føderation eller Den Russiske Føderation som helhed;

2 - informationssystemet behandler samtidig personoplysninger fra 1.000 til 100.000 personlige datasubjekter eller personoplysninger om persondatasubjekter, der arbejder i den økonomiske sektor i Den Russiske Føderation, i et regeringsorgan, der bor i en kommune;

3 - informationssystemet behandler samtidig data om mindre end 1000 persondatasubjekter eller persondata om persondatasubjekter inden for en bestemt organisation.

8. I henhold til sikkerhedskarakteristikaene for personoplysninger, der behandles i informationssystemet specificeret af operatøren, er informationssystemer opdelt i standard- og særlige informationssystemer.

Typiske informationssystemer er informationssystemer, der kun kræver at sikre fortroligheden af ​​personoplysninger.

Særlige informationssystemer er informationssystemer, hvori det, uanset behovet for at sikre fortroligheden af ​​personoplysninger, er nødvendigt at sikre mindst et af sikkerhedskarakteristikaene ved personoplysninger, bortset fra fortrolighed (sikkerhed mod ødelæggelse, ændring, blokering, samt som andre uautoriserede handlinger).

Særlige informationssystemer bør omfatte:

informationssystemer, hvori der behandles personoplysninger vedrørende helbredstilstanden for personer med personoplysninger;

informationssystemer, der giver mulighed for vedtagelse, udelukkende baseret på automatiseret behandling af personoplysninger, af beslutninger, der giver anledning til juridiske konsekvenser i forhold til emnet for personoplysninger eller på anden måde påvirker dennes rettigheder og legitime interesser.

9. I henhold til deres struktur er informationssystemer opdelt i:

til autonome (ikke forbundet med andre informationssystemer) komplekser af hardware og software designet til behandling af personoplysninger (automatiserede arbejdsstationer);

til komplekser af automatiserede arbejdsstationer integreret i et enkelt informationssystem ved hjælp af kommunikation uden brug af fjernadgangsteknologi (lokale informationssystemer);

til komplekser af automatiserede arbejdsstationer og (eller) lokale informationssystemer, kombineret til et enkelt informationssystem ved hjælp af kommunikation ved hjælp af fjernadgangsteknologi (distribuerede informationssystemer).

10. Baseret på tilstedeværelsen af ​​forbindelser til offentlige kommunikationsnetværk og (eller) internationale informationsudvekslingsnetværk opdeles informationssystemer i systemer med forbindelser og systemer uden forbindelser.

11. I henhold til måden at behandle personoplysninger på i informationssystemet opdeles informationssystemer i enkeltbruger og multibruger.

12. Ud fra afgrænsningen af ​​brugeradgangsrettigheder opdeles informationssystemer i systemer uden afgrænsning af adgangsrettigheder og systemer med afgrænsning af adgangsrettigheder.

13. Informationssystemer, afhængigt af placeringen af ​​deres tekniske midler, er opdelt i systemer, hvis alle tekniske midler er placeret inden for Den Russiske Føderation, og systemer, hvis tekniske midler er delvist eller helt placeret uden for Den Russiske Føderation.

14. På baggrund af resultaterne af analysen af ​​kildedata tildeles et typisk informationssystem en af ​​følgende klasser:

klasse 1 (K1) - informationssystemer, for hvilke en krænkelse af de specificerede sikkerhedskarakteristika for personoplysninger, der behandles i dem, kan føre til betydelige negative konsekvenser for emnerne for personoplysninger;

klasse 2 (K2) - informationssystemer, for hvilke en krænkelse af de specificerede sikkerhedsegenskaber for personoplysninger, der behandles i dem, kan føre til negative konsekvenser for emnerne for personoplysninger;

klasse 3 (K3) - informationssystemer, for hvilke en krænkelse af de specificerede sikkerhedskarakteristika for personoplysninger, der behandles i dem, kan føre til mindre negative konsekvenser for emnerne for personoplysninger;

klasse 4 (K4) - informationssystemer, for hvilke krænkelse af de specificerede sikkerhedskarakteristika for personoplysninger, der behandles i dem, ikke fører til negative konsekvenser for emnerne for personoplysninger.

15. Klassen for et typisk informationssystem bestemmes i overensstemmelse med tabellen.

16. Baseret på resultaterne af analysen af ​​kildedata bestemmes klassen af ​​et særligt informationssystem på grundlag af en model for trusler mod sikkerheden af ​​personoplysninger i overensstemmelse med metodologiske dokumenter udviklet i overensstemmelse med paragraf 2 i dekretet af Den Russiske Føderations regering af 17. november 2007 N 781 "Om godkendelse af forordningerne om sikring af sikkerheden af ​​personlige data, når de behandles i persondatainformationssystemer"3.

17. Hvis der identificeres delsystemer i et informationssystem, som hver især er et informationssystem, tildeles informationssystemet som helhed en klasse svarende til den højeste klasse af dets delsystemer.

18. Resultaterne af klassificeringen af ​​informationssystemer er dokumenteret i operatørens tilsvarende handling.

19. Informationssystemklassen kan revideres:

efter beslutning fra operatøren baseret på hans analyse og vurdering af trusler mod sikkerheden af ​​personlige data, under hensyntagen til karakteristika og (eller) ændringer af et specifikt informationssystem;

baseret på resultaterne af foranstaltninger til overvågning af overholdelsen af ​​kravene til sikring af personoplysningernes sikkerhed under behandlingen af ​​dem i informationssystemet.

1Punkt 1 i afsnit 1 i forordningerne om sikring af sikkerheden af ​​personoplysninger under deres behandling i persondatainformationssystemer, godkendt ved dekret fra Den Russiske Føderations regering af 17. november 2007.

N 781 (Den Russiske Føderations lovgivningssamling, 2007, N 48, del II,

2Punkt 1 i paragraf 6 i reglementet.

3Samlet lovgivning i Den Russiske Føderation 2007, nr. 48, del II, art. 6001.