• hjem
  •  > 
  • Sikkerhet
  •  > 
  • Ved godkjenning av prosedyren for klassifisering av personopplysningssystemer. Prosedyren for klassifisering av personopplysningssystemer

Ved godkjenning av prosedyren for klassifisering av personopplysningssystemer. Prosedyren for klassifisering av personopplysningssystemer

Forskrift om å sikre sikkerheten til personopplysninger under behandlingen av personopplysninger i informasjonssystemer for personopplysninger, godkjent ved resolusjon fra regjeringen i Den russiske føderasjonen av 17. november 2007 N 781 “Om godkjenning av forskriften om å sikre sikkerheten til personopplysninger under behandlingen av dem i informasjonssystemer for personopplysninger” (Den russiske føderasjonens lovsamling, 2007, N 48, del II, artikkel 6001), bestiller vi:

Godkjenne vedlagte prosedyre for klassifisering av personopplysningssystemer.

Regissør
Føderal tjeneste
på teknisk
og eksportkontroll
S.I.GRIGOROV

Regissør
Federal Security Service
Den russiske føderasjonen
N.P.PATRUSHEV

Minister
informasjonsteknologi og kommunikasjon
Den russiske føderasjonen
L.D.REIMAN

GODKJENT
I rekkefølge
FSTEC i Russland,
FSB i Russland,
Informasjons- og kommunikasjonsdepartementet i Russland
datert 13. februar 2008 N 55/86/20

REKKEFØLGE
KLASSIFISERING AV INFORMASJONSSYSTEMER AV PERSONDATA

1. Denne prosedyren bestemmer klassifiseringen av informasjonssystemer for personopplysninger, som er et sett med personopplysninger som finnes i databaser, samt informasjonsteknologier og tekniske midler som tillater behandling av slike personopplysninger ved bruk av automatiseringsverktøy (heretter kalt informasjonssystemer). )<*>.

2. Klassifiseringen av informasjonssystemer utføres av statlige organer, kommunale organer, juridiske enheter og enkeltpersoner som organiserer og (eller) utfører behandling av personopplysninger, samt bestemmer formål og innhold for behandlingen av personopplysninger ( heretter kalt operatøren)<*>.

<*>Første ledd i punkt 6 i forskriften.

3. Klassifiseringen av informasjonssystemer utføres på stadiet for å opprette informasjonssystemer eller under driften av dem (for tidligere satt i drift og (eller) moderniserte informasjonssystemer) for å etablere metoder og midler for å beskytte informasjon som er nødvendig for å sikre sikkerheten av personlige data.

4. Gjennomføring av klassifiseringen av informasjonssystemer inkluderer følgende trinn:

innsamling og analyse av innledende data om informasjonssystemet;

tilordning av passende klasse til informasjonssystemet og dets dokumentasjon.

5. Ved klassifisering av et informasjonssystem tas følgende innledende data i betraktning:

volum av personopplysninger som behandles (antall personopplysninger hvis personopplysninger behandles i informasjonssystemet) - X_npd;

sikkerhetsegenskaper for personopplysninger behandlet i informasjonssystemet spesifisert av operatøren;

informasjonssystem struktur;

tilgjengelighet av tilkoblinger av informasjonssystemet til offentlige kommunikasjonsnettverk og (eller) internasjonale informasjonsutvekslingsnettverk;

behandlingsmodus for personopplysninger;

modus for å avgrense tilgangsrettigheter for brukere av informasjonssystemet;

plassering av tekniske midler til informasjonssystemet.

6. Følgende kategorier av personopplysninger som behandles i informasjonssystemet (X_PD) er definert:

7. X_npd kan ha følgende verdier:

1 - informasjonssystemet behandler samtidig personopplysninger om mer enn 100 000 personlige datasubjekter eller personopplysninger om persondatasubjekter innenfor en konstituerende enhet av Den russiske føderasjonen eller den russiske føderasjonen som helhet;

2 - informasjonssystemet behandler samtidig personopplysninger fra 1 000 til 100 000 personopplysninger eller personopplysninger om personopplysninger som jobber i den økonomiske sektoren i Den russiske føderasjonen, i et offentlig byrå som bor i en kommune;

3 - informasjonssystemet behandler samtidig data om mindre enn 1000 personopplysninger eller personopplysninger om personopplysninger innenfor en bestemt organisasjon.

8. I henhold til sikkerhetsegenskapene til personopplysninger som behandles i informasjonssystemet spesifisert av operatøren, er informasjonssystemer delt inn i standard og spesielle informasjonssystemer.

Typiske informasjonssystemer er informasjonssystemer som kun krever å sikre konfidensialiteten til personopplysninger.

Spesielle informasjonssystemer bør omfatte:

informasjonssystemer der personopplysninger knyttet til helsestatusen til individene av personopplysninger behandles;

informasjonssystemer som sørger for vedtakelse, utelukkende basert på automatisert behandling av personopplysninger, av beslutninger som gir rettslige konsekvenser i forhold til gjenstanden for personopplysninger eller på annen måte påvirker hans rettigheter og legitime interesser.

9. I henhold til deres struktur er informasjonssystemer delt inn i:

for autonome (ikke koblet til andre informasjonssystemer) komplekser av maskinvare og programvare designet for behandling av personopplysninger (automatiserte arbeidsstasjoner);

til komplekser av automatiserte arbeidsstasjoner integrert i et enkelt informasjonssystem ved hjelp av kommunikasjon uten bruk av fjerntilgangsteknologi (lokale informasjonssystemer);

til komplekser av automatiserte arbeidsstasjoner og (eller) lokale informasjonssystemer, kombinert til et enkelt informasjonssystem ved hjelp av kommunikasjon ved bruk av fjerntilgangsteknologi (distribuerte informasjonssystemer).

10. Basert på tilstedeværelsen av forbindelser til offentlige kommunikasjonsnettverk og (eller) internasjonale informasjonsutvekslingsnettverk, deles informasjonssystemer inn i systemer med koblinger og systemer uten koblinger.

11. I henhold til behandlingsmåten for personopplysninger i informasjonssystemet er informasjonssystemer delt inn i enkeltbruker og flerbruker.

12. Ut fra avgrensningen av brukerrettigheter deles informasjonssystemer inn i systemer uten avgrensning av tilgangsrettigheter og systemer med avgrensning av tilgangsrettigheter.

13. Informasjonssystemer, avhengig av plasseringen av deres tekniske midler, er delt inn i systemer, der alle tekniske midler er lokalisert i Den Russiske Føderasjon, og systemer, hvis tekniske midler er delvis eller helt plassert utenfor Den Russiske Føderasjon.

14. Basert på resultatene av analysen av kildedata tildeles et typisk informasjonssystem en av følgende klasser:

klasse 1 (K1) - informasjonssystemer der et brudd på de spesifiserte sikkerhetsegenskapene til personopplysninger som behandles i dem kan føre til betydelige negative konsekvenser for emnene for personopplysninger;

klasse 2 (K2) - informasjonssystemer der et brudd på de spesifiserte sikkerhetsegenskapene til personopplysninger som behandles i dem, kan føre til negative konsekvenser for emnene for personopplysninger;

klasse 3 (K3) - informasjonssystemer der et brudd på de spesifiserte sikkerhetsegenskapene til personopplysninger behandlet i dem kan føre til mindre negative konsekvenser for emnene for personopplysninger;

klasse 4 (K4) - informasjonssystemer der brudd på de spesifiserte sikkerhetskarakteristikkene til personopplysninger som behandles i dem, ikke fører til negative konsekvenser for emnene for personopplysninger. paragraf 2 i dekretet fra regjeringen i Den russiske føderasjonen av 17. november , 2007 N 781 "Om godkjenning av forskrift om sikring av personopplysninger under behandling i personopplysningssystemer"<*>.

<*>Samling av lovgivning fra den russiske føderasjonen, 2007, N 48, del II, art. 6001.

17. Dersom delsystemer er identifisert i et informasjonssystem, som hvert er et informasjonssystem, tildeles informasjonssystemet som helhet en klasse som tilsvarer den høyeste klassen av dets delsystemer.

18. Resultatene av klassifiseringen av informasjonssystemer er dokumentert i den tilsvarende handlingen til operatøren.

19. Informasjonssystemklassen kan revideres:

ved avgjørelse fra operatøren basert på hans analyse og vurdering av trusler mot sikkerheten til personopplysninger, tatt i betraktning egenskapene og (eller) endringene til et spesifikt informasjonssystem;

basert på resultater av tiltak for å overvåke etterlevelse av kravene for å sikre sikkerheten til personopplysninger under behandlingen av dem i informasjonssystemet.

Formålet med nettstedet BukvaPrava er å hjelpe vanlige mennesker som ikke har juridisk utdannelse til å forstå hvordan de løser hverdagslige problemer og problemer.

BukvaPrava er en nettside som gir juridisk bistand til alle innbyggere med behov for profesjonell rådgivning. Vi aksepterer spørsmål om alle områder av russisk lovgivning og gir juridisk rådgivning online.

Hva er online juridiske konsultasjoner?

Innbyggerne våre har lenge vært vant til det faktum at de må betale for enhver mottatt tjeneste, så gratis juridisk rådgivning virker for dem mindre pålitelig enn den samme informasjonen mottatt på et møte med en notarius eller advokat.

Vær oppmerksom på at juridiske konsultasjoner på nett er regulert av føderal lov nr. 324 av 21. november 2011 om yting av juridisk bistand og oppmuntres av det statlige programmet som arbeider med å støtte landets befolkning på lovområdet.

Dermed er online juridisk bistand en reell sjanse til å få førstegangs faglige råd og finne ut hvordan du kan løse problemet som har oppstått. For å gjøre dette trenger du ikke bestille time og kaste bort tid i kø.

Praksisen for "online advokat" lar deg raskt finne ut svaret på en gjeldende juridisk forespørsel. Hvis den beskrevne situasjonen gjelder et ofte diskutert emne og ikke inneholder fallgruver, vil hjelpen fra en advokat bare ta noen få minutter. Komplekse problemer vil ta lengre tid å løse. For å få juridisk rådgivning som er fullt passende for den nåværende situasjonen, må du svare på tilleggsspørsmål, gi informasjon om omstendighetene rundt, eller ganske enkelt formulere emnet klarere og mer detaljert.

Juridiske tjenester lar deg raskt ta en avgjørelse og unngå å gjøre feilgrep når du skal vurdere situasjonen som har oppstått eller løse et kontroversielt problem.

Hva tilbyr BukvaPrava-nettstedet?

Vi har erfarne advokater som jobber for deg, spesialisert på ulike lovområder og utfører daglige praktiske aktiviteter. Alle advokatkonsultasjoner er satt sammen under hensyntagen til den nåværende tilstanden til det juridiske feltet.

Hos oss kan du:

  • les artikler om aktuelle og interessante mange emner innen arbeids-, sivil- og familierett
  • få juridisk rådgivning på nettet ved å stille spørsmål via et gratistelefonnummer eller formulere et problem i form av en skriftlig forespørsel
  • lære om nye endringer i lovgivningen og klargjøre effektiviteten til tidligere eksisterende lovgivning
  • opprettholde fullstendig konfidensialitet for spørsmål og svar som stilles, da vi ikke ber om identifikasjonsdokumenter
  • se din situasjon fra gjeldende normer og rettspraksis og vurdere utsiktene for å løse problemet.

Vi tilbyr gratis juridisk bistand til alle som trenger akutte, kvalifiserte svar på sine saker.

Her finner du:

  • Artikler som forklarer ulike situasjoner fra et juridisk synspunkt
  • Trinn-for-trinn-instruksjoner om presserende problemer
  • Ordbok med juridiske termer
  • Ofte brukte dokumentmaler
  • Katalog over adresser til nødvendige tjenester og organisasjoner

Siste artikler og trinnvise instruksjoner

Vi legger til nye artikler om aktuelle emner hver dag. Hvis du ikke har vårt svar på spørsmålet ditt, skriv til oss [e-postbeskyttet], vil vi se nærmere på problemet og publisere en artikkel i nær fremtid.

Og hvis du har et spørsmål knyttet til feltet familierett, så kan du gå inn på Inemarriage-nettstedet, hvor du kan få hjelp fra en advokat på nettet om familiespørsmål: ekteskap og skilsmisse, underholdsbidrag, arv, foreldrerettigheter og ulike typer fordeler.

FEDERAL SERVICE FOR TEKNISK OG EKSPORTKONTROLL

FØDERAL SIKKERHETSTJENESTE TIL DEN RUSSISKE FØDERASJON

INFORMASJONSTEKNOLOGI OG KOMMUNIKASJONSDEPARTEMENTET
RUSSISK FØDERASJON

Ved godkjenning av prosedyre for klassifisering av personopplysningssystemer


Mistet kraft 11. mars 2014 på grunnlag
felles ordre fra FSTEC i Russland, FSB i Russland og departementet for telekom og massekommunikasjon i Russland
datert 31. desember 2013 N 151/786/461
____________________________________________________________________


I samsvar med paragraf 6 i forskriften om å sikre sikkerheten til personopplysninger under behandlingen av dem i informasjonssystemer for personopplysninger, godkjent ved resolusjon fra regjeringen i Den russiske føderasjonen av 17. november 2007 N 781 "Ved godkjenning av forskriften om å sikre sikkerhet for personopplysninger under behandlingen av dem i informasjonssystemer for personopplysninger» (Den russiske føderasjonens lovsamling, 2007, N 48, del II, art. 6001),

vi bestiller:

Godkjenne vedlagte prosedyre for klassifisering av personopplysningssystemer.

Direktør for den føderale tjenesten
på teknisk og
eksportkontroll
S. Grigorov

Direktør for Federal
sikkerhetstjenester
Den russiske føderasjonen
N. Patrushev

Minister for informasjonsteknologi
og kommunikasjon fra den russiske føderasjonen
L. Reiman


Registrert
i Justisdepartementet
Den russiske føderasjonen
3. april 2008,
registrering N 11462

Prosedyren for klassifisering av personopplysningssystemer

GODKJENT
etter ordre fra FSTEC i Russland,
FSB i Russland,
Informasjons- og kommunikasjonsdepartementet i Russland
datert 13. februar 2008 N 55/86/20

1. Denne prosedyren bestemmer klassifiseringen av informasjonssystemer for personopplysninger, som er et sett med personopplysninger som finnes i databaser, samt informasjonsteknologier og tekniske midler som tillater behandling av slike personopplysninger ved bruk av automatiseringsverktøy (heretter kalt informasjonssystemer). ).
________________
Første ledd i paragraf 1 i forskriften om å sikre sikkerheten til personopplysninger under behandlingen av dem i informasjonssystemer for personopplysninger, godkjent ved dekret fra regjeringen i Den russiske føderasjonen av 17. november 2007 N 781 (Samlet lovgivning fra Den russiske føderasjonen, 2007 , N 48, del II, art. 6001) (heretter - Forskrift).

2. Klassifiseringen av informasjonssystemer utføres av statlige organer, kommunale organer, juridiske enheter og enkeltpersoner som organiserer og (eller) utfører behandling av personopplysninger, samt bestemmer formål og innhold for behandlingen av personopplysninger ( heretter kalt operatøren).
________________
Første ledd i paragraf 6 i forskriften.

3. Klassifiseringen av informasjonssystemer utføres på stadiet for å opprette informasjonssystemer eller under driften av dem (for tidligere satt i drift og (eller) moderniserte informasjonssystemer) for å etablere metoder og midler for å beskytte informasjon som er nødvendig for å sikre sikkerheten av personlige data. *3)

4. Gjennomføring av klassifiseringen av informasjonssystemer inkluderer følgende trinn:

innsamling og analyse av innledende data om informasjonssystemet;

tilordning av passende klasse til informasjonssystemet og dets dokumentasjon.

5. Ved klassifisering av et informasjonssystem tas følgende innledende data i betraktning:

kategori av personopplysninger som behandles i informasjonssystemet - ;

volum av personopplysninger som behandles (antall personopplysninger hvis personopplysninger behandles i informasjonssystemet) - ;

sikkerhetsegenskaper for personopplysninger behandlet i informasjonssystemet spesifisert av operatøren;

informasjonssystem struktur;

tilgjengelighet av tilkoblinger av informasjonssystemet til offentlige kommunikasjonsnettverk og (eller) internasjonale informasjonsutvekslingsnettverk;

behandlingsmodus for personopplysninger;

modus for å avgrense tilgangsrettigheter for brukere av informasjonssystemet;

plassering av tekniske midler til informasjonssystemet.

6. Følgende kategorier av personopplysninger som behandles i informasjonssystemet er definert:

kategori 1 - personopplysninger knyttet til rase, nasjonalitet, politiske synspunkter, religiøse og filosofiske overbevisninger, helsestatus, intimt liv;

kategori 2 - personopplysninger som lar deg identifisere emnet for personopplysninger og få tilleggsinformasjon om ham, med unntak av personopplysninger knyttet til kategori 1;

kategori 3 - personopplysninger som tillater identifikasjon av emnet for personopplysninger;

kategori 4 - anonymiserte og (eller) offentlig tilgjengelige personopplysninger.

7. kan ta følgende verdier:

1 - informasjonssystemet behandler samtidig personopplysninger om mer enn 100 000 personlige datasubjekter eller personopplysninger om persondatasubjekter innenfor en konstituerende enhet av Den russiske føderasjonen eller den russiske føderasjonen som helhet;

2 - informasjonssystemet behandler samtidig personopplysninger fra 1 000 til 100 000 personopplysninger eller personopplysninger om personopplysninger som jobber i den økonomiske sektoren i Den russiske føderasjonen, i et offentlig byrå som bor i en kommune;

3 - informasjonssystemet behandler samtidig data om mindre enn 1000 personopplysninger eller personopplysninger om personopplysninger innenfor en bestemt organisasjon.

8. I henhold til sikkerhetsegenskapene til personopplysninger som behandles i informasjonssystemet spesifisert av operatøren, er informasjonssystemer delt inn i standard og spesielle informasjonssystemer.

Typiske informasjonssystemer er informasjonssystemer som kun krever å sikre konfidensialiteten til personopplysninger.

Spesielle informasjonssystemer er informasjonssystemer der det, uavhengig av behovet for å sikre konfidensialitet av personopplysninger, er nødvendig å sikre minst ett av sikkerhetskarakteristikkene til personopplysninger annet enn konfidensialitet (sikkerhet mot ødeleggelse, modifikasjon, blokkering, samt som andre uautoriserte handlinger).

Spesielle informasjonssystemer bør omfatte:

informasjonssystemer der personopplysninger knyttet til helsestatusen til individene av personopplysninger behandles;

informasjonssystemer som sørger for vedtakelse, utelukkende basert på automatisert behandling av personopplysninger, av beslutninger som gir rettslige konsekvenser i forhold til gjenstanden for personopplysninger eller på annen måte påvirker hans rettigheter og legitime interesser.

9. I henhold til deres struktur er informasjonssystemer delt inn i:

for autonome (ikke koblet til andre informasjonssystemer) komplekser av maskinvare og programvare designet for behandling av personopplysninger (automatiserte arbeidsstasjoner);

til komplekser av automatiserte arbeidsstasjoner integrert i et enkelt informasjonssystem ved hjelp av kommunikasjon uten bruk av fjerntilgangsteknologi (lokale informasjonssystemer);

til komplekser av automatiserte arbeidsstasjoner og (eller) lokale informasjonssystemer, kombinert til et enkelt informasjonssystem ved hjelp av kommunikasjon ved bruk av fjerntilgangsteknologi (distribuerte informasjonssystemer).

10. Basert på tilstedeværelsen av forbindelser til offentlige kommunikasjonsnettverk og (eller) internasjonale informasjonsutvekslingsnettverk, deles informasjonssystemer inn i systemer med koblinger og systemer uten koblinger.

11. I henhold til behandlingsmåten for personopplysninger i informasjonssystemet er informasjonssystemer delt inn i enkeltbruker og flerbruker.

12. Ut fra avgrensningen av brukerrettigheter deles informasjonssystemer inn i systemer uten avgrensning av tilgangsrettigheter og systemer med avgrensning av tilgangsrettigheter.

13. Informasjonssystemer, avhengig av plasseringen av deres tekniske midler, er delt inn i systemer, der alle tekniske midler er lokalisert i Den Russiske Føderasjon, og systemer, hvis tekniske midler er delvis eller helt plassert utenfor Den Russiske Føderasjon.

14. Basert på resultatene av analysen av kildedata tildeles et typisk informasjonssystem en av følgende klasser:

klasse 1 (K1) - informasjonssystemer der et brudd på de spesifiserte sikkerhetsegenskapene til personopplysninger som behandles i dem kan føre til betydelige negative konsekvenser for emnene for personopplysninger;

klasse 2 (K2) - informasjonssystemer der et brudd på de spesifiserte sikkerhetsegenskapene til personopplysninger som behandles i dem, kan føre til negative konsekvenser for emnene for personopplysninger;

klasse 3 (K3) - informasjonssystemer der et brudd på de spesifiserte sikkerhetsegenskapene til personopplysninger behandlet i dem kan føre til mindre negative konsekvenser for emnene for personopplysninger;

klasse 4 (K4) - informasjonssystemer der brudd på de spesifiserte sikkerhetsegenskapene til personopplysninger som behandles i dem, ikke fører til negative konsekvenser for emnene for personopplysninger.

15. Klassen til et typisk informasjonssystem bestemmes i samsvar med tabellen.

16. Basert på resultatene av analysen av kildedata, bestemmes klassen til et spesielt informasjonssystem på grunnlag av en modell av trusler mot sikkerheten til personopplysninger i samsvar med metodologiske dokumenter utviklet i samsvar med paragraf 2 i dekretet av den russiske føderasjonens regjering av 17. november 2007 N 781 "Om godkjenning av forskriftene om å sikre sikkerheten til personopplysninger når de behandles i informasjonssystemer for personopplysninger."
________________
Samling av lovgivning i Den russiske føderasjonen, 2007, N 48, del II, art. 6001.

17. Dersom delsystemer er identifisert i et informasjonssystem, som hvert er et informasjonssystem, tildeles informasjonssystemet som helhet en klasse som tilsvarer den høyeste klassen av dets delsystemer.

18. Resultatene av klassifiseringen av informasjonssystemer er dokumentert i den tilsvarende handlingen til operatøren.

19. Informasjonssystemklassen kan revideres:

ved avgjørelse fra operatøren basert på hans analyse og vurdering av trusler mot sikkerheten til personopplysninger, tatt i betraktning egenskapene og (eller) endringene til et spesifikt informasjonssystem;

basert på resultater av tiltak for å overvåke etterlevelse av kravene for å sikre sikkerheten til personopplysninger under behandlingen av dem i informasjonssystemet.



Elektronisk dokumenttekst
utarbeidet av Kodeks JSC og verifisert mot.

pris . Klassifisering av ISPD utføres i samsvar med ordre fra FSTEC of Russia, FSB of Russia, Ministry of Information and Communications of Russia nr. 55/86/20 datert 18. februar 2009. "Ved godkjenning av prosedyren for klassifisering av personopplysningssystemer"(opphevet 31. desember 2013).

Klassifisering av ISPD utføres på etableringsstadiet eller under drift, men alltid før konstruksjonen av SPPD. Generelt, alt Informasjonssystemer, behandling Personlig informasjon, er delt inn i 2 klasse avhengig om sikkerhetsegenskapene til de behandlede dataene:

Typiske informasjonssystemer– systemer der det kun er påkrevd å tilby konfidensialitet behandlet personopplysninger.

Spesielle informasjonssystemer– systemer der det kreves å sikre minst én av sikkerhetskarakteristikkene annet enn konfidensialitet (for eksempel integritet eller tilgjengelighet). Spesielle informasjonssystemer bør omfatte:

  1. ISPD relatert til behandling av personopplysninger om helsestatusen til personopplysninger;
  2. ISPD, tar beslutninger utelukkende basert på automatisert behandling av PD. I dette tilfellet kan avgjørelsene som tas, få juridiske konsekvenser for gjenstanden for personopplysningene eller på annen måte påvirke hans juridiske rettigheter og interesser.

I henhold til metoden som er foreslått i ordenen, klassifiseres ISPD avhengig av antall enheter hvis data behandles og typen personopplysninger som behandles.

Avhengig av volumet av XNPD-data som behandles i ISPD, skilles følgende kategorier av ISPD:

1 kategori Personlig informasjon mer enn 100 000 emner av personopplysninger eller Personlig informasjon emner av personopplysninger innenfor en konstituerende enhet i Den russiske føderasjonen eller den russiske føderasjonen som helhet;

2. kategori– behandles samtidig i informasjonssystemet Personlig informasjon fra 1000 til 100 000 emner av personopplysninger eller Personlig informasjon PD-fag som jobber i den økonomiske sektoren i Den russiske føderasjonen, i et statlig organ, som bor i kommunen;

3 kategori– behandles samtidig i informasjonssystemet Personlig informasjon mindre enn 1000 emner av personopplysninger eller Personlig informasjon emner av personopplysninger i en bestemt organisasjon.

Følgende kategorier av personopplysninger som behandles i informasjonssystemet (PDS) er definert:

Tabell 6.1. Definisjon av en informasjonssystemklasse
CNPD Kategori 3 Kategori 2 Kategori 1
HFA
kategori 4 K4 K4 K4
kategori 3 K3 K3 K2
kategori 2 K3 K2 K1
kategori 1 K1 K1 K1

La oss se på hva hver ISPD-klasse betyr separat:

  • klasse 1 (K1)– informasjonssystemer der brudd på de spesifiserte sikkerhetsegenskapene til personopplysninger som behandles i dem, kan føre til betydelige negative konsekvenser for individene av personopplysninger;
  • klasse 2 (K2)– informasjonssystemer der brudd på de spesifiserte sikkerhetsegenskapene til personopplysninger som behandles i dem kan føre til negative konsekvenser for emnene for personopplysninger;
  • klasse 3 (K3)– informasjonssystemer der et brudd på de spesifiserte sikkerhetsegenskapene til personopplysninger som behandles i dem kan føre til mindre negative konsekvenser for emnene for personopplysninger;
  • klasse 4 (K4)– informasjonssystemer der brudd på de spesifiserte sikkerhetsegenskapene til personopplysninger som behandles i dem, ikke fører til negative konsekvenser for individene av personopplysninger.

Den høyeste regnes som klasse 1. Hvis flere delsystemer skilles fra ISPD, vil ISPD-klassen som helhet tilsvare den høyeste klassen av innkommende komponenter.

Jo høyere ISPD-klassen er, jo høyere er kravene for å sikre sikkerheten til personopplysninger.

Prosedyren for å definere en klasse for spesielle systemer er noe forskjellig fra standard. Klassen til spesiell ISPD bestemmes på grunnlag av organisasjonens private trusselmodell i samsvar med metodologiske dokumenter fra FSTEC. Å klassifisere et informasjonssystem som et spesielt kan redusere kostnadene ved å bygge et databeskyttelsessystem betydelig, siden operatøren i dette tilfellet med rimelighet kan velge minimumsantallet av aktuelle trusler som personopplysningsbeskyttelse er nødvendig. For eksempel, hvis systemet inneholder informasjon om en persons inntekt (for eksempel 1C), kan et slikt system klassifiseres som et spesielt system, siden en persons legitime interesser påvirkes. Det samme gjelder informasjon om funksjonshemming, rase osv. Å klassifisere ISPD som spesiell i praksis er en ganske kontroversiell sak.

ISPD-klassen kan bli revidert.

Ordre fra den føderale tjenesten for teknisk og eksportkontroll (FSTEC i Russland) fra den føderale sikkerhetstjenesten i den russiske føderasjonen (FSB i Russland) fra departementet for informasjonsteknologi og kommunikasjon i den russiske føderasjonen (det russiske kommunikasjonsdepartementet) datert februar 13, 2008 N 55/86/20 Moskva

"Ved godkjenning av prosedyren for klassifisering av personopplysningssystemer"

I samsvar med paragraf 6 i forskriften om å sikre sikkerheten til personopplysninger under behandlingen av dem i informasjonssystemer for personopplysninger, godkjent ved resolusjon fra regjeringen i Den russiske føderasjonen av 17. november 2007 N 781 "Ved godkjenning av forskriften om å sikre sikkerhet for personopplysninger under deres behandling i informasjonssystemer for personopplysninger "(Samlet lovgivning fra Den russiske føderasjonen, 2007, nr. 48, del II, art. 6001), vi bestiller:

Godkjenne vedlagte prosedyre for klassifisering av personopplysningssystemer.

Direktør for FSTEC S. Grigorov

Direktør for FSB i den russiske føderasjonen N. Patrushev

Minister for informasjonsteknologi og kommunikasjon i den russiske føderasjonen L. Reiman

Prosedyren for klassifisering av personopplysningssystemer

1. Denne prosedyren bestemmer klassifiseringen av informasjonssystemer for personopplysninger, som er et sett med personopplysninger som finnes i databaser, samt informasjonsteknologier og tekniske midler som tillater behandling av slike personopplysninger ved bruk av automatiseringsverktøy (heretter kalt informasjonssystemer). )1.

2. Klassifiseringen av informasjonssystemer utføres av statlige organer, kommunale organer, juridiske enheter og enkeltpersoner som organiserer og (eller) utfører behandling av personopplysninger, samt bestemmer formål og innhold for behandlingen av personopplysninger ( heretter kalt operatøren)2.

3. Klassifiseringen av informasjonssystemer utføres på stadiet for å opprette informasjonssystemer eller under driften av dem (for tidligere satt i drift og (eller) moderniserte informasjonssystemer) for å etablere metoder og midler for å beskytte informasjon som er nødvendig for å sikre sikkerheten av personlige data.

4. Gjennomføring av klassifiseringen av informasjonssystemer inkluderer følgende trinn:

innsamling og analyse av innledende data om informasjonssystemet:

tilordning av passende klasse til informasjonssystemet og dets dokumentasjon.

5. Ved klassifisering av et informasjonssystem tas følgende innledende data i betraktning:

Volum av personopplysninger som behandles (antall personopplysninger hvis personopplysninger behandles i informasjonssystemet) - X npd; (klausul 7)

Egenskapene spesifisert av operatøren (dvs. sikkerhet bare "confi", eller også fra ødeleggelse, modifikasjon, blokkering, samt andre uautoriserte handlinger) av sikkerheten til personopplysninger behandlet i informasjonssystemet (se punkt 8);

Informasjonssystemets struktur (klausul 9);

Tilgjengelighet av tilkoblinger av informasjonssystemet til offentlige kommunikasjonsnettverk og (eller) internasjonale informasjonsutvekslingsnettverk (klausul 10);

Modus for behandling av personopplysninger (klausul 11);

Modus for å avgrense tilgangsrettigheter for brukere av informasjonssystemet (klausul 12);

Plassering av tekniske midler til informasjonssystemet (klausul 13).

6. Følgende kategorier av personopplysninger som behandles i informasjonssystemet (XPD) er definert:

7. X npd kan ha følgende verdier:

1 - informasjonssystemet behandler samtidig personopplysninger om mer enn 100 000 personlige datasubjekter eller personopplysninger om persondatasubjekter innenfor en konstituerende enhet av Den russiske føderasjonen eller den russiske føderasjonen som helhet;

2 - informasjonssystemet behandler samtidig personopplysninger fra 1 000 til 100 000 personopplysninger eller personopplysninger om personopplysninger som jobber i den økonomiske sektoren i Den russiske føderasjonen, i et statlig organ som bor i en kommune;

3 - informasjonssystemet behandler samtidig data om mindre enn 1000 personopplysninger eller personopplysninger om personopplysninger innenfor en bestemt organisasjon.

8. I henhold til sikkerhetsegenskapene til personopplysninger som behandles i informasjonssystemet spesifisert av operatøren, er informasjonssystemer delt inn i standard og spesielle informasjonssystemer.

Typiske informasjonssystemer er informasjonssystemer som kun krever å sikre konfidensialiteten til personopplysninger.

Spesielle informasjonssystemer er informasjonssystemer der det, uavhengig av behovet for å sikre konfidensialitet av personopplysninger, er nødvendig å sikre minst ett av sikkerhetskarakteristikkene til personopplysninger annet enn konfidensialitet (sikkerhet mot ødeleggelse, modifikasjon, blokkering, samt som andre uautoriserte handlinger).

Spesielle informasjonssystemer bør omfatte:

informasjonssystemer der personopplysninger knyttet til helsestatusen til individene av personopplysninger behandles;

informasjonssystemer som sørger for vedtakelse, utelukkende basert på automatisert behandling av personopplysninger, av beslutninger som gir rettslige konsekvenser i forhold til gjenstanden for personopplysninger eller på annen måte påvirker hans rettigheter og legitime interesser.

9. I henhold til deres struktur er informasjonssystemer delt inn i:

for autonome (ikke koblet til andre informasjonssystemer) komplekser av maskinvare og programvare designet for behandling av personopplysninger (automatiserte arbeidsstasjoner);

til komplekser av automatiserte arbeidsstasjoner integrert i et enkelt informasjonssystem ved hjelp av kommunikasjon uten bruk av fjerntilgangsteknologi (lokale informasjonssystemer);

til komplekser av automatiserte arbeidsstasjoner og (eller) lokale informasjonssystemer, kombinert til et enkelt informasjonssystem ved hjelp av kommunikasjon ved bruk av fjerntilgangsteknologi (distribuerte informasjonssystemer).

10. Basert på tilstedeværelsen av forbindelser til offentlige kommunikasjonsnettverk og (eller) internasjonale informasjonsutvekslingsnettverk, deles informasjonssystemer inn i systemer med koblinger og systemer uten koblinger.

11. I henhold til behandlingsmåten for personopplysninger i informasjonssystemet er informasjonssystemer delt inn i enkeltbruker og flerbruker.

12. Ut fra avgrensningen av brukerrettigheter deles informasjonssystemer inn i systemer uten avgrensning av tilgangsrettigheter og systemer med avgrensning av tilgangsrettigheter.

13. Informasjonssystemer, avhengig av plasseringen av deres tekniske midler, er delt inn i systemer, der alle tekniske midler er lokalisert i Den Russiske Føderasjon, og systemer, hvis tekniske midler er delvis eller helt plassert utenfor Den Russiske Føderasjon.

14. Basert på resultatene av analysen av kildedata tildeles et typisk informasjonssystem en av følgende klasser:

klasse 1 (K1) - informasjonssystemer der et brudd på de spesifiserte sikkerhetsegenskapene til personopplysninger som behandles i dem kan føre til betydelige negative konsekvenser for emnene for personopplysninger;

klasse 2 (K2) - informasjonssystemer der et brudd på de spesifiserte sikkerhetsegenskapene til personopplysninger som behandles i dem, kan føre til negative konsekvenser for emnene for personopplysninger;

klasse 3 (K3) - informasjonssystemer der et brudd på de spesifiserte sikkerhetsegenskapene til personopplysninger behandlet i dem kan føre til mindre negative konsekvenser for emnene for personopplysninger;

klasse 4 (K4) - informasjonssystemer der brudd på de spesifiserte sikkerhetsegenskapene til personopplysninger som behandles i dem, ikke fører til negative konsekvenser for emnene for personopplysninger.

15. Klassen til et typisk informasjonssystem bestemmes i samsvar med tabellen.

16. Basert på resultatene av analysen av kildedata, bestemmes klassen til et spesielt informasjonssystem på grunnlag av en modell av trusler mot sikkerheten til personopplysninger i samsvar med metodologiske dokumenter utviklet i samsvar med paragraf 2 i dekretet av den russiske føderasjonens regjering av 17. november 2007 N 781 "Om godkjenning av forskriftene om å sikre personopplysninger når de behandles i informasjonssystemer for personopplysninger"3.

17. Dersom delsystemer er identifisert i et informasjonssystem, som hvert er et informasjonssystem, tildeles informasjonssystemet som helhet en klasse som tilsvarer den høyeste klassen av dets delsystemer.

18. Resultatene av klassifiseringen av informasjonssystemer er dokumentert i den tilsvarende handlingen til operatøren.

19. Informasjonssystemklassen kan revideres:

ved avgjørelse fra operatøren basert på hans analyse og vurdering av trusler mot sikkerheten til personopplysninger, tatt i betraktning egenskapene og (eller) endringene til et spesifikt informasjonssystem;

basert på resultater av tiltak for å overvåke etterlevelse av kravene for å sikre sikkerheten til personopplysninger under behandlingen av dem i informasjonssystemet.

1Punkt 1 i paragraf 1 i forskriften om å sikre sikkerheten til personopplysninger under behandlingen av dem i informasjonssystemer for personopplysninger, godkjent av dekret fra regjeringen i Den russiske føderasjonen av 17. november 2007.

N 781 (Den russiske føderasjonens lovsamling, 2007, N 48, del II,

2 Første ledd i punkt 6 i forskriften.

3Samlet lovgivning fra den russiske føderasjonen 2007, nr. 48, del II, art. 6001.