• dom
  •  > 
  • Bezpieczeństwo
  •  > 
  • Po zatwierdzeniu procedury klasyfikacji systemów informatycznych danych osobowych. Procedura klasyfikacji systemów informatycznych danych osobowych

Po zatwierdzeniu procedury klasyfikacji systemów informatycznych danych osobowych. Procedura klasyfikacji systemów informatycznych danych osobowych

Przepisy dotyczące zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych, zatwierdzone dekretem rządu Federacji Rosyjskiej z dnia 17 listopada 2007 r. N 781 „W sprawie zatwierdzenia Regulaminu zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych” (Zbiór Ustawodawstwa Federacji Rosyjskiej, 2007, N 48, część II, art. 6001), zamawiamy:

Zatwierdź załączoną Procedurę klasyfikacji systemów informatycznych danych osobowych.

Dyrektor
Służba federalna
na technicznym
i kontroli eksportu
S.I.GRIGOROV

Dyrektor
Federalna Służba Bezpieczeństwa
Federacja Rosyjska
N.P.PATRUSZEW

Minister
informatyka i komunikacja
Federacja Rosyjska
L.D.REIMAN

ZATWIERDZONY
Na zamówienie
FSTEC Rosji,
FSB Rosji,
Ministerstwo Informacji i Komunikacji Rosji
z dnia 13 lutego 2008 r. N 55/86/20

ZAMÓWIENIE
KLASYFIKACJA SYSTEMÓW INFORMATYCZNYCH DANYCH OSOBOWYCH

1. Niniejsza Procedura określa klasyfikację systemów informatycznych danych osobowych, stanowiących zbiór danych osobowych zawartych w bazach danych, a także technologie informacyjne i środki techniczne umożliwiające przetwarzanie tych danych osobowych za pomocą narzędzi automatyzacji (zwane dalej systemami informatycznymi). )<*>.

2. Klasyfikacji systemów informatycznych dokonują organy państwowe, samorządowe, osoby prawne i osoby fizyczne, które organizują i (lub) przeprowadzają przetwarzanie danych osobowych, a także ustalają cele i treść przetwarzania danych osobowych ( zwany dalej operatorem)<*>.

<*>Paragraf pierwszy punktu 6 Regulaminu.

3. Klasyfikacji systemów informatycznych dokonuje się na etapie tworzenia systemów informatycznych lub w trakcie ich eksploatacji (w przypadku wcześniej oddanych do użytku i (lub) modernizowanych systemów informatycznych) w celu ustalenia metod i środków ochrony informacji niezbędnych do zapewnienia bezpieczeństwa danych osobowych.

4. Przeprowadzenie klasyfikacji systemów informatycznych obejmuje następujące etapy:

gromadzenie i analiza danych wstępnych w systemie informatycznym;

przypisanie odpowiedniej klasy systemowi informatycznemu i jego dokumentacji.

5. Przy klasyfikacji systemu informatycznego uwzględnia się następujące dane wyjściowe:

ilość przetwarzanych danych osobowych (liczba podmiotów danych osobowych, których dane osobowe są przetwarzane w systemie informatycznym) - X_npd;

określone przez operatora cechy bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym;

struktura systemu informacyjnego;

dostępność połączeń systemu informacyjnego z publicznymi sieciami komunikacyjnymi i (lub) międzynarodowymi sieciami wymiany informacji;

tryb przetwarzania danych osobowych;

tryb wyznaczania praw dostępu użytkowników systemu informatycznego;

lokalizacja środków technicznych systemu informatycznego.

6. Określa się następujące kategorie danych osobowych przetwarzanych w systemie informatycznym (X_PD):

7. X_npd może przyjmować następujące wartości:

1 - system informacyjny przetwarza jednocześnie dane osobowe ponad 100 000 podmiotów danych osobowych lub dane osobowe podmiotów danych osobowych w ramach podmiotu wchodzącego w skład Federacji Rosyjskiej lub Federacji Rosyjskiej jako całości;

2 - system informacyjny przetwarza jednocześnie dane osobowe od 1 000 do 100 000 osób, których dane dotyczą, lub dane osobowe osób, których dane dotyczą, pracujących w sektorze gospodarczym Federacji Rosyjskiej, w agencji rządowej, zamieszkujących na terenie gminy;

3 – system informatyczny przetwarza jednocześnie dane mniej niż 1000 podmiotów danych osobowych lub dane osobowe podmiotów danych osobowych w ramach określonej organizacji.

8. Ze względu na określone przez operatora cechy bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym, systemy informatyczne dzielą się na standardowe i specjalne systemy informacyjne.

Typowe systemy informacyjne to systemy informacyjne, które wymagają jedynie zapewnienia poufności danych osobowych.

Specjalne systemy informacyjne powinny obejmować:

systemy informacyjne, w których przetwarzane są dane osobowe dotyczące stanu zdrowia osób, których dane dotyczą;

systemy informatyczne umożliwiające podejmowanie, bazujące wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, decyzji wywołujących skutki prawne w stosunku do podmiotu danych osobowych lub w inny sposób naruszającego jego prawa i uzasadnione interesy.

9. Ze względu na swoją strukturę systemy informacyjne dzielą się na:

dla autonomicznych (niepołączonych z innymi systemami informatycznymi) kompleksów sprzętu i oprogramowania przeznaczonych do przetwarzania danych osobowych (zautomatyzowane stacje robocze);

do zespołów zautomatyzowanych stanowisk pracy zintegrowanych w jeden system informatyczny za pomocą środków komunikacji bez wykorzystania technologii zdalnego dostępu (lokalne systemy informacyjne);

do kompleksów zautomatyzowanych stacji roboczych i (lub) lokalnych systemów informatycznych, połączonych w jeden system informatyczny za pomocą komunikacji wykorzystującej technologię zdalnego dostępu (rozproszone systemy informacyjne).

10. Ze względu na obecność połączeń z publicznymi sieciami komunikacyjnymi i (lub) międzynarodowymi sieciami wymiany informacji systemy informacyjne dzieli się na systemy z połączeniami i systemy bez połączeń.

11. Ze względu na sposób przetwarzania danych osobowych w systemie informatycznym systemy informatyczne dzielą się na jednoużytkownikowe i wieloużytkownikowe.

12. Ze względu na rozgraniczenie praw dostępu użytkowników systemy informatyczne dzieli się na systemy bez rozgraniczenia praw dostępu i systemy z rozgraniczeniem praw dostępu.

13. Systemy informacyjne, w zależności od lokalizacji ich środków technicznych, dzielą się na systemy, których wszystkie środki techniczne znajdują się na terytorium Federacji Rosyjskiej, oraz systemy, których środki techniczne są częściowo lub w całości zlokalizowane poza Federacją Rosyjską.

14. Na podstawie wyników analizy danych źródłowych typowemu systemowi informacyjnemu przypisuje się jedną z następujących klas:

klasa 1 (K1) – systemy informatyczne, w przypadku których naruszenie określonych zabezpieczeń danych osobowych przetwarzanych w nich może prowadzić do istotnych negatywnych konsekwencji dla podmiotów danych osobowych;

klasa 2 (K2) – systemy informatyczne, w przypadku których naruszenie określonych cech bezpieczeństwa przetwarzanych w nich danych osobowych może skutkować negatywnymi konsekwencjami dla podmiotów danych osobowych;

klasa 3 (K3) – systemy informatyczne, w przypadku których naruszenie określonych zabezpieczeń danych osobowych przetwarzanych w nich może wywołać niewielkie negatywne skutki dla podmiotów danych osobowych;

klasa 4 (K4) – systemy informacyjne, dla których naruszenie określonych cech bezpieczeństwa przetwarzanych w nich danych osobowych nie powoduje negatywnych konsekwencji dla podmiotów danych osobowych, paragraf 2 Dekretu Rządu Federacji Rosyjskiej z dnia 17 listopada , 2007 N 781 „W sprawie zatwierdzenia Regulaminu zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych”<*>.

<*>Zbiór Ustawodawstwa Federacji Rosyjskiej, 2007, N 48, cz. II, art. 6001.

17. Jeżeli w systemie informacyjnym wyodrębnione są podsystemy, z których każdy jest systemem informacyjnym, systemowi informacyjnemu jako całości przypisuje się klasę odpowiadającą najwyższej klasie jego podsystemów.

18. Wyniki klasyfikacji systemów informatycznych dokumentuje się w odpowiednim akcie operatora.

19. Klasę systemu informacyjnego można zmienić:

decyzją operatora na podstawie jego analizy i oceny zagrożeń dla bezpieczeństwa danych osobowych, z uwzględnieniem charakterystyki i (lub) zmian konkretnego systemu informatycznego;

w oparciu o wyniki działań monitorujących spełnianie wymagań zapewniających bezpieczeństwo danych osobowych podczas ich przetwarzania w systemie informatycznym.

Celem serwisu BukvaPrava jest pomoc zwykłym ludziom, którzy nie mają wykształcenia prawniczego, zrozumieć, jak rozwiązywać codzienne problemy i problemy.

BukvaPrava to portal oferujący pomoc prawną wszystkim obywatelom potrzebującym fachowej porady. Przyjmujemy pytania dotyczące wszystkich obszarów rosyjskiego ustawodawstwa i udzielamy porad prawnych online.

Czym są konsultacje prawne online?

Nasi obywatele od dawna są przyzwyczajeni do tego, że za każdą otrzymaną usługę muszą zapłacić, dlatego bezpłatna porada prawna wydaje im się mniej wiarygodna niż ta sama informacja, którą otrzymują na spotkaniu z notariuszem czy prawnikiem.

Proszę to zanotować konsultacje prawne on-line są regulowane przez ustawę federalną nr 324 z dnia 21 listopada 2011 r. w sprawie świadczenia pomocy prawnej i są wspierane przez państwowy program działający w dziedzinie wspierania ludności kraju w dziedzinie prawa.

Pomoc prawna online jest zatem realną szansą na uzyskanie wstępnej profesjonalnej porady i dowiedzenie się, jak rozwiązać powstały problem. Aby to zrobić, nie musisz umawiać się na wizytę i tracić czasu w kolejkach.

Praktyka „prawnika online” pozwala na pilne uzyskanie odpowiedzi na aktualny wniosek prawny. Jeśli opisana sytuacja dotyczy często poruszanego tematu i nie zawiera pułapek, wówczas pomoc prawnika zajmie tylko kilka minut. Rozwiązanie skomplikowanych problemów zajmie więcej czasu. Aby uzyskać poradę prawną w pełni adekwatną do aktualnej sytuacji, będziesz musiał odpowiedzieć na dodatkowe pytania, przekazać informacje na temat okoliczności towarzyszących lub po prostu jaśniej i szczegółowo sformułować temat.

Usługi prawne pozwalają szybko podjąć decyzję i uniknąć błędnych kroków przy ocenie zaistniałej sytuacji czy rozwiązywaniu kontrowersyjnego problemu.

Co oferuje strona internetowa BukvaPrava?

Pracują dla Państwa doświadczeni prawnicy, specjalizujący się w różnych obszarach legislacji i prowadzący codzienne czynności praktyczne. Wszystkie konsultacje prawnicze są opracowywane z uwzględnieniem aktualnego stanu dziedziny prawa.

Z nami możesz:

  • przeczytaj artykuły na aktualne i ciekawe tematy z zakresu prawa pracy, cywilnego i rodzinnego
  • uzyskaj poradę prawną online, zadając pytania pod bezpłatnym numerem telefonu lub formułując problem w formie pisemnego wniosku
  • poznać nowe zmiany w ustawodawstwie i wyjaśnić skuteczność wcześniej istniejącego prawodawstwa
  • zachowujemy pełną poufność zadawanych pytań i odpowiedzi, gdyż nie prosimy o okazanie dokumentów tożsamości
  • spójrz na swoją sytuację z punktu widzenia obowiązujących norm i praktyki sądowej oraz oceń perspektywy rozwiązania problemu.

Oferujemy bezpłatną pomoc prawną każdemu, kto potrzebuje pilnych, kompetentnych odpowiedzi na swoje sprawy.

Tutaj znajdziesz:

  • Artykuły wyjaśniające różne sytuacje z prawnego punktu widzenia
  • Instrukcje krok po kroku dotyczące palących problemów
  • Słownik terminów prawniczych
  • Często używane szablony dokumentów
  • Katalog adresów niezbędnych służb i organizacji

Najnowsze artykuły i instrukcje krok po kroku

Codziennie dodajemy nowe artykuły na aktualne tematy. Jeśli nie masz naszej odpowiedzi na swoje pytanie, napisz do nas [e-mail chroniony], przyjrzymy się tej kwestii i w najbliższej przyszłości opublikujemy artykuł.

A jeśli masz pytanie związane z dziedziną prawa rodzinnego, to możesz udać się do serwisu Inemarriage, gdzie online możesz uzyskać pomoc prawnika w sprawach rodzinnych: małżeństwo i rozwód, alimenty, dziedziczenie, prawa rodzicielskie i różnego rodzaju sprawy rodzinne korzyści.

FEDERALNA SŁUŻBA KONTROLI TECHNICZNEJ I EKSPORTU

FEDERALNA SŁUŻBA BEZPIECZEŃSTWA FEDERACJI ROSYJSKIEJ

MINISTERSTWO TECHNOLOGII INFORMATYCZNYCH I KOMUNIKACJI
FEDERACJA ROSYJSKA

Po zatwierdzeniu Procedury klasyfikacji systemów informatycznych danych osobowych


Stracił życie w dniu 11 marca 2014 r. na podstawie
wspólne zamówienie FSTEC Rosji, FSB Rosji i Ministerstwa Telekomunikacji i Komunikacji Masowej Rosji
z dnia 31 grudnia 2013 r. N 151/786/461
____________________________________________________________________


Zgodnie z paragrafem 6 Regulaminu w sprawie zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych, zatwierdzonego dekretem Rządu Federacji Rosyjskiej z dnia 17 listopada 2007 r. N 781 „W sprawie zatwierdzenia Regulaminu zapewnienia bezpieczeństwo danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych” (Zbiór Ustawodawstwa Federacji Rosyjskiej, 2007, N 48, część II, art. 6001),

zamawiamy:

Zatwierdź załączoną Procedurę klasyfikacji systemów informatycznych danych osobowych.

Dyrektor Służby Federalnej
na temat technicznym i
kontroli eksportu
S. Grigorow

Dyrektor Federalny
służby Bezpieczeństwa
Federacja Rosyjska
N.Patrushev

Minister Informatyki
i komunikacji Federacji Rosyjskiej
L. Reimana


Zarejestrowany
w Ministerstwie Sprawiedliwości
Federacja Rosyjska
3 kwietnia 2008,
rejestracja nr 11462

Procedura klasyfikacji systemów informatycznych danych osobowych

ZATWIERDZONY
na zlecenie FSTEC Rosji,
FSB Rosji,
Ministerstwo Informacji i Komunikacji Rosji
z dnia 13 lutego 2008 r. N 55/86/20

1. Niniejsza Procedura określa klasyfikację systemów informatycznych danych osobowych, stanowiących zbiór danych osobowych zawartych w bazach danych, a także technologie informacyjne i środki techniczne umożliwiające przetwarzanie tych danych osobowych za pomocą narzędzi automatyzacji (zwane dalej systemami informatycznymi). ).
________________
Ustęp pierwszy ust. 1 Regulaminu w sprawie zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych, zatwierdzonego dekretem rządu Federacji Rosyjskiej z dnia 17 listopada 2007 r. N 781 (ustawodawstwo zebrane Federacji Rosyjskiej, 2007 r. , N 48, część II, art. 6001) (dalej – Regulamin).

2. Klasyfikacji systemów informatycznych dokonują organy państwowe, samorządowe, osoby prawne i osoby fizyczne, które organizują i (lub) przeprowadzają przetwarzanie danych osobowych, a także ustalają cele i treść przetwarzania danych osobowych ( zwany dalej Operatorem).
________________
Ustęp pierwszy paragrafu 6 Regulaminu.

3. Klasyfikacji systemów informatycznych dokonuje się na etapie tworzenia systemów informatycznych lub w trakcie ich eksploatacji (w przypadku wcześniej oddanych do użytku i (lub) modernizowanych systemów informatycznych) w celu ustalenia metod i środków ochrony informacji niezbędnych do zapewnienia bezpieczeństwa danych osobowych. *3)

4. Przeprowadzenie klasyfikacji systemów informatycznych obejmuje następujące etapy:

gromadzenie i analiza danych wstępnych w systemie informatycznym;

przypisanie odpowiedniej klasy systemowi informatycznemu i jego dokumentacji.

5. Przy klasyfikacji systemu informatycznego uwzględnia się następujące dane wyjściowe:

kategoria danych osobowych przetwarzanych w systemie informatycznym -;

ilość przetwarzanych danych osobowych (liczba podmiotów danych osobowych, których dane osobowe są przetwarzane w systemie informatycznym) - ;

określone przez operatora cechy bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym;

struktura systemu informacyjnego;

dostępność połączeń systemu informacyjnego z publicznymi sieciami komunikacyjnymi i (lub) międzynarodowymi sieciami wymiany informacji;

tryb przetwarzania danych osobowych;

tryb wyznaczania praw dostępu użytkowników systemu informatycznego;

lokalizacja środków technicznych systemu informatycznego.

6. Określa się następujące kategorie danych osobowych przetwarzanych w systemie informatycznym:

kategoria 1 – dane osobowe dotyczące rasy, narodowości, poglądów politycznych, przekonań religijnych i filozoficznych, stanu zdrowia, życia intymnego;

kategoria 2 – dane osobowe, które pozwalają zidentyfikować podmiot danych osobowych i uzyskać o nim dodatkowe informacje, z wyjątkiem danych osobowych związanych z kategorią 1;

kategoria 3 – dane osobowe umożliwiające identyfikację podmiotu danych osobowych;

kategoria 4 – dane osobowe zanonimizowane i (lub) publicznie dostępne.

7. może przyjmować następujące wartości:

1 - system informacyjny przetwarza jednocześnie dane osobowe ponad 100 000 podmiotów danych osobowych lub dane osobowe podmiotów danych osobowych w ramach podmiotu wchodzącego w skład Federacji Rosyjskiej lub Federacji Rosyjskiej jako całości;

2 - system informacyjny przetwarza jednocześnie dane osobowe od 1 000 do 100 000 osób, których dane dotyczą, lub dane osobowe osób, których dane dotyczą, pracujących w sektorze gospodarczym Federacji Rosyjskiej, w agencji rządowej, zamieszkujących na terenie gminy;

3 – system informatyczny przetwarza jednocześnie dane mniej niż 1000 podmiotów danych osobowych lub dane osobowe podmiotów danych osobowych w ramach określonej organizacji.

8. Ze względu na określone przez operatora cechy bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym, systemy informatyczne dzielą się na standardowe i specjalne systemy informacyjne.

Typowe systemy informacyjne to systemy informacyjne, które wymagają jedynie zapewnienia poufności danych osobowych.

Specjalne systemy informacyjne to systemy informacyjne, w których niezależnie od konieczności zapewnienia poufności danych osobowych, konieczne jest zapewnienie co najmniej jednej z cech bezpieczeństwa danych osobowych innych niż poufność (zabezpieczenie przed zniszczeniem, modyfikacją, zablokowaniem, a także jak inne nieuprawnione działania).

Specjalne systemy informacyjne powinny obejmować:

systemy informacyjne, w których przetwarzane są dane osobowe dotyczące stanu zdrowia osób, których dane dotyczą;

systemy informatyczne umożliwiające podejmowanie, bazujące wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, decyzji wywołujących skutki prawne w stosunku do podmiotu danych osobowych lub w inny sposób naruszającego jego prawa i uzasadnione interesy.

9. Ze względu na swoją strukturę systemy informacyjne dzielą się na:

dla autonomicznych (niepołączonych z innymi systemami informatycznymi) kompleksów sprzętu i oprogramowania przeznaczonych do przetwarzania danych osobowych (zautomatyzowane stacje robocze);

do zespołów zautomatyzowanych stanowisk pracy zintegrowanych w jeden system informatyczny za pomocą środków komunikacji bez wykorzystania technologii zdalnego dostępu (lokalne systemy informacyjne);

do kompleksów zautomatyzowanych stacji roboczych i (lub) lokalnych systemów informatycznych, połączonych w jeden system informatyczny za pomocą komunikacji wykorzystującej technologię zdalnego dostępu (rozproszone systemy informacyjne).

10. Ze względu na obecność połączeń z publicznymi sieciami komunikacyjnymi i (lub) międzynarodowymi sieciami wymiany informacji systemy informacyjne dzieli się na systemy z połączeniami i systemy bez połączeń.

11. Ze względu na sposób przetwarzania danych osobowych w systemie informatycznym systemy informatyczne dzielą się na jednoużytkownikowe i wieloużytkownikowe.

12. Ze względu na rozgraniczenie praw dostępu użytkowników systemy informatyczne dzieli się na systemy bez rozgraniczenia praw dostępu i systemy z rozgraniczeniem praw dostępu.

13. Systemy informacyjne, w zależności od lokalizacji ich środków technicznych, dzielą się na systemy, których wszystkie środki techniczne znajdują się na terytorium Federacji Rosyjskiej, oraz systemy, których środki techniczne są częściowo lub w całości zlokalizowane poza Federacją Rosyjską.

14. Na podstawie wyników analizy danych źródłowych typowemu systemowi informacyjnemu przypisuje się jedną z następujących klas:

klasa 1 (K1) – systemy informatyczne, w przypadku których naruszenie określonych zabezpieczeń danych osobowych przetwarzanych w nich może prowadzić do istotnych negatywnych konsekwencji dla podmiotów danych osobowych;

klasa 2 (K2) – systemy informatyczne, w przypadku których naruszenie określonych cech bezpieczeństwa przetwarzanych w nich danych osobowych może skutkować negatywnymi konsekwencjami dla podmiotów danych osobowych;

klasa 3 (K3) – systemy informatyczne, w przypadku których naruszenie określonych zabezpieczeń danych osobowych przetwarzanych w nich może wywołać niewielkie negatywne skutki dla podmiotów danych osobowych;

klasa 4 (K4) – systemy informatyczne, dla których naruszenie określonych cech bezpieczeństwa przetwarzanych w nich danych osobowych nie powoduje negatywnych konsekwencji dla podmiotów danych osobowych.

15. Klasę typowego systemu informacyjnego określa się zgodnie z tabelą.

16. Na podstawie wyników analizy danych źródłowych klasę specjalnego systemu informacyjnego ustala się na podstawie modelu zagrożeń bezpieczeństwa danych osobowych zgodnie z dokumentami metodologicznymi opracowanymi zgodnie z ust. 2 Rozporządzenia Rządu Federacji Rosyjskiej z dnia 17 listopada 2007 r. N 781 „W sprawie zatwierdzenia Regulaminu zapewnienia bezpieczeństwa danych osobowych przetwarzanych w systemach informatycznych danych osobowych”.
________________
Zbiór Ustawodawstwa Federacji Rosyjskiej, 2007, N 48, część II, art. 6001.

17. Jeżeli w systemie informacyjnym wyodrębnione są podsystemy, z których każdy jest systemem informacyjnym, systemowi informacyjnemu jako całości przypisuje się klasę odpowiadającą najwyższej klasie jego podsystemów.

18. Wyniki klasyfikacji systemów informatycznych dokumentuje się w odpowiednim akcie operatora.

19. Klasę systemu informacyjnego można zmienić:

decyzją operatora na podstawie jego analizy i oceny zagrożeń dla bezpieczeństwa danych osobowych, z uwzględnieniem charakterystyki i (lub) zmian konkretnego systemu informatycznego;

w oparciu o wyniki działań monitorujących spełnianie wymagań zapewniających bezpieczeństwo danych osobowych podczas ich przetwarzania w systemie informatycznym.



Tekst dokumentu elektronicznego
przygotowane przez Kodeks JSC i zweryfikowane.

cena . Klasyfikacja ISPD prowadzona jest zgodnie z rozporządzeniem FSTEC Rosji, FSB Rosji, Ministerstwa Informacji i Komunikacji Rosji nr 55/86/20 z dnia 18 lutego 2009 r. „Po zatwierdzeniu procedury klasyfikacji systemów informatycznych danych osobowych”(uchylony 31 grudnia 2013 r.).

Klasyfikację ISPD przeprowadza się na etapie jego tworzenia lub w trakcie eksploatacji, ale zawsze przed budową SPPD. Ogólnie rzecz biorąc, wszystko Systemy Informacyjne, przetwarzanie Informacje osobiste, dzielą się na 2 w zależności od klasy o cechach bezpieczeństwa przetwarzanych danych:

Typowe systemy informacyjne– systemy, w których wymagane jest jedynie zapewnienie poufność przetwarzane dane osobowe.

Specjalne systemy informacyjne– systemy, w których wymagane jest zapewnienie co najmniej jednej z cech bezpieczeństwa innej niż poufność (na przykład integralność lub dostępność). Specjalne systemy informacyjne powinny obejmować:

  1. ISPD związane z przetwarzaniem danych osobowych o stanie zdrowia osób, których dane dotyczą;
  2. ISPD, podejmując decyzje wyłącznie w oparciu o zautomatyzowane przetwarzanie PD. W takim przypadku podjęte decyzje mogą pociągać za sobą skutki prawne dla podmiotu danych osobowych lub w inny sposób wpływać na jego prawa i interesy.

Zgodnie z metodologią zaproponowaną w Rozporządzeniu, ISPD klasyfikuje się w zależności od liczby podmiotów, których dane są przetwarzane oraz rodzaju przetwarzanych danych osobowych.

W zależności od ilości danych XNPD przetwarzanych w ISPD wyróżnia się następujące kategorie ISPD:

1 kategoria Informacje osobiste ponad 100 tys podmioty danych osobowych lub Informacje osobiste podmioty danych osobowych w ramach podmiotu wchodzącego w skład Federacji Rosyjskiej lub Federacji Rosyjskiej jako całości;

2. kategoria– są jednocześnie przetwarzane w systemie informatycznym Informacje osobiste od 1000 do 100 000 podmioty danych osobowych lub Informacje osobiste Podmioty PD pracujące w sektorze gospodarczym Federacji Rosyjskiej, w organie rządowym, zamieszkujące na terenie gminy;

3 kategoria– są jednocześnie przetwarzane w systemie informatycznym Informacje osobiste mniej niż 1000 podmioty danych osobowych lub Informacje osobiste podmiotów danych osobowych w ramach określonej organizacji.

Określa się następujące kategorie danych osobowych przetwarzanych w systemie informatycznym (ADD):

Tabela 6.1. Definicja klasy systemu informacyjnego
CNPD Kategoria 3 Kategoria 2 Kategoria 1
HFA
kategoria 4 K4 K4 K4
kategoria 3 K3 K3 K2
kategoria 2 K3 K2 K1
kategoria 1 K1 K1 K1

Przyjrzyjmy się, co każda klasa ISPD oznacza osobno:

  • klasa 1 (K1)– systemy informatyczne, w przypadku których naruszenie określonych cech bezpieczeństwa przetwarzanych w nich danych osobowych może skutkować istotnymi negatywnymi konsekwencjami dla podmiotów danych osobowych;
  • klasa 2 (K2)– systemy informatyczne, w przypadku których naruszenie określonych cech bezpieczeństwa przetwarzanych w nich danych osobowych może skutkować negatywnymi konsekwencjami dla podmiotów danych osobowych;
  • klasa 3 (K3)– systemy informatyczne, w przypadku których naruszenie określonych cech bezpieczeństwa przetwarzanych w nich danych osobowych może wywołać niewielkie negatywne skutki dla podmiotów danych osobowych;
  • klasa 4 (K4)– systemy informatyczne, dla których naruszenie określonych cech bezpieczeństwa przetwarzanych w nich danych osobowych nie powoduje negatywnych konsekwencji dla podmiotów danych osobowych.

Za najwyższą uważa się klasę 1. Jeśli w ramach ISPD zostanie wyróżnionych kilka podsystemów, wówczas klasa ISPD jako całość będzie odpowiadać najwyższej klasie przychodzących komponentów.

Zatem im wyższa klasa ISPD, tym wyższe wymagania dotyczące zapewnienia bezpieczeństwa danych osobowych.

Procedura definiowania klasy dla systemów specjalnych różni się nieco od standardowych. Klasę specjalnego ISPD określa się na podstawie modelu zagrożenia prywatnego organizacji, zgodnie z dokumentami metodologicznymi FSTEC. Zakwalifikowanie systemu informacyjnego do szczególnego może znacznie obniżyć koszty budowy systemu ochrony danych, gdyż operator w tym przypadku może rozsądnie wybrać minimalną liczbę aktualnych zagrożeń, przed którymi konieczna jest ochrona danych osobowych. Na przykład, jeśli system zawiera informacje o dochodach danej osoby (na przykład 1C), taki system można sklasyfikować jako system specjalny, ponieważ ma to wpływ na uzasadnione interesy danej osoby. To samo tyczy się informacji o niepełnosprawności, rasie itp. Zakwalifikowanie ISPD jako szczególnego w praktyce jest kwestią dość kontrowersyjną.

Klasa ISPD może zostać zmieniona.

Zarządzenie Federalnej Służby Kontroli Technicznej i Eksportu (FSTEC Rosji) Federalnej Służby Bezpieczeństwa Federacji Rosyjskiej (FSB Rosji) Ministerstwa Technologii Informacyjnych i Łączności Federacji Rosyjskiej (Ministerstwa Łączności Rosji) z lutego 13, 2008 N 55/86/20 Moskwa

„Po zatwierdzeniu Procedury klasyfikacji systemów informatycznych danych osobowych”

Zgodnie z paragrafem 6 Regulaminu w sprawie zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych, zatwierdzonego dekretem Rządu Federacji Rosyjskiej z dnia 17 listopada 2007 r. N 781 „W sprawie zatwierdzenia Regulaminu zapewnienia bezpieczeństwo danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych ”(ustawodawstwo zbiorowe Federacji Rosyjskiej, 2007, nr 48, część II, art. 6001), zamawiamy:

Zatwierdź załączoną Procedurę klasyfikacji systemów informatycznych danych osobowych.

Dyrektor FSTEC S. Grigorov

Dyrektor FSB Federacji Rosyjskiej N. Patrushev

Minister Technologii Informacyjnych i Komunikacji Federacji Rosyjskiej L. Reiman

Procedura klasyfikacji systemów informatycznych danych osobowych

1. Niniejsza Procedura określa klasyfikację systemów informatycznych danych osobowych, stanowiących zbiór danych osobowych zawartych w bazach danych, a także technologie informacyjne i środki techniczne umożliwiające przetwarzanie tych danych osobowych za pomocą narzędzi automatyzacji (zwane dalej systemami informatycznymi). )1.

2. Klasyfikacji systemów informatycznych dokonują organy państwowe, samorządowe, osoby prawne i osoby fizyczne, które organizują i (lub) przeprowadzają przetwarzanie danych osobowych, a także ustalają cele i treść przetwarzania danych osobowych ( zwany dalej operatorem)2.

3. Klasyfikacji systemów informatycznych dokonuje się na etapie tworzenia systemów informatycznych lub w trakcie ich eksploatacji (w przypadku wcześniej oddanych do użytku i (lub) modernizowanych systemów informatycznych) w celu ustalenia metod i środków ochrony informacji niezbędnych do zapewnienia bezpieczeństwa danych osobowych.

4. Przeprowadzenie klasyfikacji systemów informatycznych obejmuje następujące etapy:

zbieranie i analiza danych wstępnych w systemie informatycznym:

przypisanie odpowiedniej klasy systemowi informatycznemu i jego dokumentacji.

5. Przy klasyfikacji systemu informatycznego uwzględnia się następujące dane wyjściowe:

Ilość przetwarzanych danych osobowych (liczba podmiotów danych osobowych, których dane osobowe są przetwarzane w systemie informatycznym) – X npd; (klauzula 7)

Określone przez operatora cechy (tj. bezpieczeństwo tylko „confi”, a także przed zniszczeniem, modyfikacją, zablokowaniem i innymi nieuprawnionymi działaniami) bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym (patrz pkt. 8);

Struktura systemu informacyjnego (pkt 9);

Dostępność połączeń systemu informacyjnego z publicznymi sieciami komunikacyjnymi i (lub) międzynarodowymi sieciami wymiany informacji (klauzula 10);

Tryb przetwarzania danych osobowych (klauzula 11);

Tryb wyznaczania praw dostępu użytkowników systemu informatycznego (ust. 12);

Lokalizacja środków technicznych systemu informatycznego (pkt 13).

6. Określa się następujące kategorie danych osobowych przetwarzanych w systemie informatycznym (XPD):

7. X npd może przyjmować następujące wartości:

1 - system informacyjny przetwarza jednocześnie dane osobowe ponad 100 000 podmiotów danych osobowych lub dane osobowe podmiotów danych osobowych w ramach podmiotu wchodzącego w skład Federacji Rosyjskiej lub Federacji Rosyjskiej jako całości;

2 - system informacyjny przetwarza jednocześnie dane osobowe od 1 000 do 100 000 osób, których dane dotyczą, lub dane osobowe osób, których dane dotyczą, pracujących w sektorze gospodarczym Federacji Rosyjskiej, w organie rządowym, zamieszkałych na terenie gminy;

3 – system informatyczny przetwarza jednocześnie dane mniej niż 1000 podmiotów danych osobowych lub dane osobowe podmiotów danych osobowych w ramach określonej organizacji.

8. Ze względu na określone przez operatora cechy bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym, systemy informatyczne dzielą się na standardowe i specjalne systemy informacyjne.

Typowe systemy informacyjne to systemy informacyjne, które wymagają jedynie zapewnienia poufności danych osobowych.

Specjalne systemy informacyjne to systemy informacyjne, w których niezależnie od konieczności zapewnienia poufności danych osobowych, konieczne jest zapewnienie co najmniej jednej z cech bezpieczeństwa danych osobowych innych niż poufność (zabezpieczenie przed zniszczeniem, modyfikacją, zablokowaniem, a także jak inne nieuprawnione działania).

Specjalne systemy informacyjne powinny obejmować:

systemy informacyjne, w których przetwarzane są dane osobowe dotyczące stanu zdrowia osób, których dane dotyczą;

systemy informatyczne umożliwiające podejmowanie, bazujące wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, decyzji wywołujących skutki prawne w stosunku do podmiotu danych osobowych lub w inny sposób naruszającego jego prawa i uzasadnione interesy.

9. Ze względu na swoją strukturę systemy informacyjne dzielą się na:

dla autonomicznych (niepołączonych z innymi systemami informatycznymi) kompleksów sprzętu i oprogramowania przeznaczonych do przetwarzania danych osobowych (zautomatyzowane stacje robocze);

do zespołów zautomatyzowanych stanowisk pracy zintegrowanych w jeden system informatyczny za pomocą środków komunikacji bez wykorzystania technologii zdalnego dostępu (lokalne systemy informacyjne);

do kompleksów zautomatyzowanych stacji roboczych i (lub) lokalnych systemów informatycznych, połączonych w jeden system informatyczny za pomocą komunikacji wykorzystującej technologię zdalnego dostępu (rozproszone systemy informacyjne).

10. Ze względu na obecność połączeń z publicznymi sieciami komunikacyjnymi i (lub) międzynarodowymi sieciami wymiany informacji systemy informacyjne dzieli się na systemy z połączeniami i systemy bez połączeń.

11. Ze względu na sposób przetwarzania danych osobowych w systemie informatycznym systemy informatyczne dzielą się na jednoużytkownikowe i wieloużytkownikowe.

12. Ze względu na rozgraniczenie praw dostępu użytkowników systemy informatyczne dzieli się na systemy bez rozgraniczenia praw dostępu i systemy z rozgraniczeniem praw dostępu.

13. Systemy informacyjne, w zależności od lokalizacji ich środków technicznych, dzielą się na systemy, których wszystkie środki techniczne znajdują się na terytorium Federacji Rosyjskiej, oraz systemy, których środki techniczne są częściowo lub w całości zlokalizowane poza Federacją Rosyjską.

14. Na podstawie wyników analizy danych źródłowych typowemu systemowi informacyjnemu przypisuje się jedną z następujących klas:

klasa 1 (K1) – systemy informatyczne, w przypadku których naruszenie określonych zabezpieczeń danych osobowych przetwarzanych w nich może prowadzić do istotnych negatywnych konsekwencji dla podmiotów danych osobowych;

klasa 2 (K2) – systemy informatyczne, w przypadku których naruszenie określonych cech bezpieczeństwa przetwarzanych w nich danych osobowych może skutkować negatywnymi konsekwencjami dla podmiotów danych osobowych;

klasa 3 (K3) – systemy informatyczne, w przypadku których naruszenie określonych zabezpieczeń danych osobowych przetwarzanych w nich może wywołać niewielkie negatywne skutki dla podmiotów danych osobowych;

klasa 4 (K4) – systemy informatyczne, dla których naruszenie określonych cech bezpieczeństwa przetwarzanych w nich danych osobowych nie powoduje negatywnych konsekwencji dla podmiotów danych osobowych.

15. Klasę typowego systemu informacyjnego określa się zgodnie z tabelą.

16. Na podstawie wyników analizy danych źródłowych klasę specjalnego systemu informacyjnego ustala się na podstawie modelu zagrożeń bezpieczeństwa danych osobowych zgodnie z dokumentami metodologicznymi opracowanymi zgodnie z ust. 2 Rozporządzenia Rządu Federacji Rosyjskiej z dnia 17 listopada 2007 r. N 781 „W sprawie zatwierdzenia Regulaminu zapewnienia bezpieczeństwa danych osobowych przetwarzanych w systemach informatycznych danych osobowych”3.

17. Jeżeli w systemie informacyjnym wyodrębnione są podsystemy, z których każdy jest systemem informacyjnym, systemowi informacyjnemu jako całości przypisuje się klasę odpowiadającą najwyższej klasie jego podsystemów.

18. Wyniki klasyfikacji systemów informatycznych dokumentuje się w odpowiednim akcie operatora.

19. Klasę systemu informacyjnego można zmienić:

decyzją operatora na podstawie jego analizy i oceny zagrożeń dla bezpieczeństwa danych osobowych, z uwzględnieniem charakterystyki i (lub) zmian konkretnego systemu informatycznego;

w oparciu o wyniki działań monitorujących spełnianie wymagań zapewniających bezpieczeństwo danych osobowych podczas ich przetwarzania w systemie informatycznym.

1 Ustęp pierwszy ust. 1 Regulaminu w sprawie zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych, zatwierdzonego dekretem Rządu Federacji Rosyjskiej z dnia 17 listopada 2007 r.

N 781 (Zbiór ustawodawstwa Federacji Rosyjskiej, 2007, N 48, część II,

2Ustęp pierwszy punktu 6 Regulaminu.

3 Ustawodawstwo zebrane Federacji Rosyjskiej 2007, nr 48, cz. II, art. 6001.