Что такое испдн

  • автор:

ИСПДн (Информационная система персональных данных) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Для соотнесения типа информационной системы персональных данных (ИСПДн) к тому или иному уровню защищенности необходимо:

  • Определить категорию обрабатываемых персональных данных:
    • категория 4 — обезличенные и (или) общедоступные персональные данные;
    • категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
    • категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
    • категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
  • Определить объем персональных данных, обрабатываемых в информационной системе:
    • объем 3 — одновременно обрабатываются данные менее чем 1 000 субъектов персональных данных в пределах конкретной организации;
    • объем 2 — одновременно обрабатываются персональные данные от 1 000 до 100 000 субъектов персональных данных, работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования;
    • объем 1 — одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных в пределах РФ или субъекта РФ.
  • По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов защищенности (см. табл.):
    • класс защищенности (К-4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных;
    • класс защищенности (К-З) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
    • класс защищенности (К-2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
    • класс защищенности (К-1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.

Персональные данные (Классификация ИСПДн)

О классификации информационных систем персональных данных написано немало: целые статьи, сайты и форумы посвящены этой животрепещущей теме. Начнем с того что в соответствии с приказом ФСТЭК\ФСБ\МИТиС № 55\86\20 бывают типовые и специальные ИСПДн. К типовым относим ИСПДн, в которых необходимо обеспечить только конфиденциальность персональных данных, а к специальным — если требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (целость, аутентичность, доступность и т.д.)
Приказ предполагает классификацию ИСПДн на основе оценки возможного ущерба субъектам ПДн, чьи данные в ней обрабатываются: чем выше возможный ущерб — тем выше класс и, соответственно, тем выше должны предъявляться требования к технической защите. Пункт 14 Приказа говорит о 4 классах:
-отсутствие негативных последствий (4 класс)
-незначительные негативные последствия (3 класс)
-негативные последствия (2 класс)
-значительные негативные последствия (1 класс).
Присвоение того или иного класса ИСПДн, согласно того же пункта, осуществляется по результатам анализа исходных данных.
Про классификацию типовых ИСПДн уже рассказывали здесь , поэтому перейдем сразу к специальным.

Как же классифицировать специальную ИСПДн?

Если в Вашей ИСПДн содержатся персональные данные, касающиеся расовой, национальной принадлежности,
политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, то тут все просто:
класс вашей системы К1. И не важно, 10 это записей или 100 000. Далее Вы или защищаете систему по К1 в соответствии с требованиями приказа ФСТЭК №58, или понижаете класс, ну например, путем обезличивания таких данных.
Теперь представим себе некую ИСПДн, которую нам необходимо классифицировать. Пусть это будет большое предприятие, которое оказывает услуги своим Клиентам.
Исходные данные нашей системы:
1. Объем персональных данных — более 100 000.
2. Категория персональных данных — 2( т.е. это персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию).
3. Структура информационной системы — распределенная;
4. Наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена — есть;
5. Режим обработки персональных данных — многопользовательский;
6. Режим разграничения прав доступа пользователей информационной системы — с разграничением прав доступа;
7. Местонахождение технических средств информационной системы — в пределах Российской Федерации.
Но классифицировать такую систему по табличке из приказа № 55\86\20 мы не можем, т.к. «По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов». Не расстраиваемся, читаем приказ дальше и видим такой пункт:
16. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

Поэтому, проанализировав исходные данные, состав обрабатываемых ПДн, определив структуру ИСПДн и технологические процессы, мы можем придти к обоснованному выводу, что негативные последствия может нанести нарушение конфиденциальности сведений (например распространение сведений об ивалидности сотрудника). Реализация всех остальных угроз приведут к незначительным негативным последствиям, потому как приняты (или будут приняты в дальнейшем в ходе создания системы защиты ИСПДн) достаточные технические меры защиты для их нейтрализации. Отразив эти сведения в модели угроз, специальная ИСПДн с указанными характеристиками может быть преспокойно классифицирована нами как К2.

Что такое система индивидуального персонифицированного учета, и что она дает простым украинцам? 13.10.2015

Рrostobank.ua выяснил, что дает украинцам система индивидуального персонифицированного учета. // 13.10.2015

Персонифицированный учет состоит в сборе, обработке, систематизации и хранении сведений о физических лицах, связанных с определением их права на выплаты из Пенсионного фонда, а также их размера согласно общеобязательному государственному пенсионному страхованию.

На каждого заводится персональная учетная карточка, в которую заносятся такие сведения:

  • анкетные данные (фамилия, имя, отчество, идентификационный код, пол, дата и место рождения, гражданство, номер паспорта, адрес, телефон);
  • сумма страховых платежей и стаж;
  • пенсионные начисления и выплаты.

Сведения хранятся в документарной и электронной форме.

Основная выгода для физических лиц от индивидуального персонифицированного учета – это возможность контроля над перечислением работодателем регулярных платежей на общеобязательное государственное пенсионное страхование в Пенсионный фонд.

Физическое лицо имеет право:

  • ознакамливаться со сведениями о себе, внесенными в систему персонифицированного учета;
  • в случае несогласия со сведениями, внесенными в систему персонифицированного учета, обращаться с заявлением об их исправлении;
  • требовать от работодателя полного и своевременного предоставления уполномоченному органу сведений относительно персонифицированного учета.

Получить какую-либо информацию из системы персонифицированного учета можно обратившись с письменным заявлением в территориальное управление пенсионного фонда (отдел персонификации) по месту жительства или работы (работодатели подают информацию по месту регистрации юридического лица, но выписки должны направляться также по месту жительства работника).

Смысл всей системы в том, что человек может видеть размеры страховых платежей за период своей трудовой деятельности. В идеале система может поспособствовать упрощению процедуры начисления пенсий и уменьшить количество споров по пенсиям. Каким образом? Согласно действующему Закону Украины «О пенсионном обеспечении» размер пенсии зависит от размера среднемесячного заработка. Для расчета берутся любые 60 календарных месяцев за период трудовой деятельности, а пенсионные отчисления составляют определенный процент от заработной платы. С 1 июля 2003 года заработок пенсионера определяется по данным системы персонифицированного учета, а до этой даты – определялся на основании документов (справок), которые еще нужно было раздобыть. Поэтому теперь, в идеале, пенсионеры не будут бегать по судам, доказывая, что им насчитали пенсию на основании не тех 60 месяцев, в которые заработок был наибольшим. Все данные будут в системе, и они будут доступны.

Услуга Кол-во предложений Средняя цена, грн

Персонифицированный учет пенсионных прав граждан


ознакомиться
с инфографикой

Индивидуальный (персонифицированный) учет — организация и ведение учета сведений о каждом зарегистрированном лице для обеспечения реализации его прав в системе обязательного пенсионного страхования, предоставления государственных и муниципальных услуг и (или) исполнения государственных и муниципальных функций в соответствии с законодательством Российской Федерации, в том числе с использованием страхового номера индивидуального лицевого счета (СНИЛС) в качестве идентификатора сведений о физическом лице.

Система обязательного пенсионного страхования (ОПС) действует в России с 2002 года и базируется на страховых принципах: основой будущей пенсии гражданина являются страховые взносы, которые уплачивают за него работодатели в течение всей трудовой жизни.

Чтобы стать участником системы ОПС и формировать свои пенсионные права, нужно быть зарегистрированным в системе индивидуального (персонифицированного) учета ПФР. В этой системе в течение всей трудовой деятельности гражданина фиксируются данные, необходимые для назначения, выплаты и перерасчета пенсии: о стаже, периодах трудовой деятельности и местах работы, и в первую очередь – о страховых взносах, поступивших в фонд его будущей пенсии и количестве заработанных пенсионных коэффициентов. Где бы гражданин ни работал в разные периоды своей жизни, в том числе и по совместительству, сведения о его стаже и страховых взносах его работодателей в пенсионную систему поступают в ПФР и хранятся как его индивидуальные сведения. Эта информация конфиденциальна и хранится с соблюдением установленных правил, предъявляемых к хранению персональных данных граждан.

На территории Российской Федерации на каждого гражданина Российской Федерации, а также на каждого иностранного гражданина и каждое лицо без гражданства, постоянно или временно проживающих (пребывающих) на территории Российской Федерации, Пенсионный фонд Российской Федерации открывает индивидуальный лицевой счет, имеющий постоянный страховой номер.

СНИЛС – уникальный номер индивидуального лицевого счета, используемый для обработки сведений о физическом лице в системе индивидуального (персонифицированного) учета, а также как идентификатор сведений о физическом лице при предоставлении государственных и муниципальных услуг. С его помощью формируются регистры граждан, имеющих право на получение государственных социальных услуг и социальных льгот, а ведомства самостоятельно запрашивают друг у друга необходимые документы. Таким образом, тратится меньше времени на получение справок, документов и самих государственных услуг. СНИЛС используется для идентификации пользователя на портале государственных и муниципальных услуг www.gosuslugi.ru, где можно получить ключевые государственные услуги: бланки и информацию для получения паспорта, информацию о соцпомощи, налогах, штрафах в ГИБДД, сведения о состоянии индивидуального лицевого счета застрахованного лица и другое.

В документе, подтверждающем регистрацию, гражданина в системе индивидуального (персонифицированного) учета указаны следующие данные:

  • страховой номер индивидуального лицевого счета (СНИЛС);
  • фамилия, имя, отчество зарегистрированного лица;
  • дата и место рождения;
  • пол;
  • дата регистрации в системе индивидуального (персонифицированного) учета.

Страховой номер индивидуального лицевого счета является уникальным и принадлежит только одному человеку.

Как получить, заменить и восстановить СНИЛСКак узнать о сформированных пенсионных правах

Одним из первоочередных мероприятий, которое требуется осуществить при создании информационной системы обработки персональных данных (ИСПДн) является классификация ИСПДн.

Это необходимо для того, чтобы определить класс системы и соответствующие требования, предъявляемые ФСТЭК и ФСБ при обработке персональных данных (ПДн). В этой статья я опишу общую процедуру проведения классификации ИСПДн.

В соответствии с Приказом ФСТЭК/ФСБ/Мининформсвязи от 13.02.2008 № 55/86/20 о «Порядке проведения классификации информационной системы персональных данных», который можно скачать здесь, требуется проведение классификации включает в себя следующие этапы:

  • Сбор и анализ исходных данных по информационной системе;
  • Присвоение информационной системе соответствующего класса и его документальное оформление.

При проведении классификации информационной системы необходимо ответить на следующие вопросы:

  1. 1К какой категории принадлежат персональные данные обрабатываемые в информационной системе – Xпд?
  2. Какой объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) – Xнпд?
  3. Какие заданы характеристики безопасности персональных данных, обрабатываемых в информационной системе?
  4. Какая структура информационной системы?
  5. Имеется ли подключение информационной системы к сетям связи общего пользования и/или сети Internet?
  6. Какой режим обработки персональных данных?
  7. Какой режим разграничения прав доступа пользователей информационной системы?
  8. Местонахождение технических средств информационной системы?

Исходные данные и вспомогательная информация

Определяются следующие категории обрабатываемых в информационной системе персональных данных (Xпд):

  1. категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
  2. категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
  3. категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
  4. категория 4 — обезличенные и (или) общедоступные персональные данные.

Xнпд может принимать следующие значения:

  • 1 — в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
  • 2 — в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
  • 3 — в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

Характеристики безопасности персональных данных

Для ИСПДн определяют характеристики безопасности персональных данных, которые делятся на основные и дополнительные:

ОСНОВНЫЕ:

  • конфиденциальность
  • целостность
  • доступность

ДОПОЛНИТЕЛЬНЫЕ:

  • неотказуемость
  • учетность (подконтрольность)
  • аутентичность (достоверность)
  • адекватность

Структура информационной системы подразделяется на:

  • автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
  • комплекс автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
  • комплекс автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

Режим обработки

При организации ИСПДн определяют следующие режимы обработки:

  • однопользовательский;
  • многопользовательский.

Режим разграничения прав доступа

В ИСПДн система разграничения доступа подразумевается:

  • без разграничения прав доступа;
  • с разграничением прав доступа.

Информационные системы делятся на типовую и специальную.
К типовой информационной системе относятся системы, которые требуют только конфиденциальность ПДн.

К специальной информационной системе относятся системы, которые помимо конфиденциальности требуют:

  • Информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
  • Информационные системы, в которых на основании исключительно автоматизированной обработки персональных данных предусмотрено принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Классификация информационной системы

Согласно Приказа ФСТЭК/ФСБ/Мининформсвязи № 55/86/20, ИСПДн может принимать один из четырех классов, определенных в данном приказе:

  1. класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
  2. класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
  3. класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
  4. класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

В соответствии с данными определениями классов, для удобства классификации, построена следующая таблица:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *