Персональная информационная система

  • автор:

Классификация ИСПДн осуществляется непосредственно операто­ром на основании следующих руководящих и методических документов, подлежащих исполнению при проведении работ:

Классификация ИСПДн проводится на этапе создания ИСПДн или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) мо­дернизируемых ИСПДн) с целью установления методов и способов защи­ты информации, необходимых для обеспечения безопасности ПДн.

Проведение классификации ИСПДн включает в себя следующие этапы:

  • сбор и анализ исходных данных по информационной системе;
  • присвоение информационной системе соответствующего клас­са и его документальное оформление.

Для проведения классификации оператор создает комиссию по клас­сификации ИСПДн, состав комиссии утверждается руководителем опера­тора (Проект приказа).

На первом этапе комиссия проводит сбор и анализ исходных данных по каждой информационной системе, обрабатывающей сведения, указан­ные в Перечне персональных данных, подлежащих защите, а именно:

Состав и структура ПДн

Перечислить какие ПДн обрабатываются в ИСПДн

Категория ПДн, обрабатываемых в ИСПДн

Хпд: 1 / 2 / 3 / 4

Объем ПДн, обрабатываемых в ИСПДн

Хнпд: 1 / 2 / 3

Количество рабочих станций, входящих в состав ИСПДн

Структура ИСПДн

Автоматизированное рабочее место/Локальная ИСПДн / Распределенная ИСПДн

Количество пользователей, допущенных к работе в ИСПДн

Режим обработки ПДн в ИСПДн

Однопользовательская ИСПДн / многопользовательская ИСПДн с равными правами доступа/ многопользовательская ИСПДн с разными правами доступа

Подключение ИСПДн к локальным (распределенным) сетям общего пользования

Имеется / не имеется

Подключение ИСПДн к сетям международного информационного обмена

Имеется / не имеется

Тип ИСПДн

Типовая / специальная

Местонахождение технических средств ИСПДн

Все технические средства ИСПДн находятся в пределах Российской Федерации / технические средства ИСПДн частично или целиком находятся за пределами Российской Федерации

  1. ПДн обрабатываемые в ИСПДн. Должен быть определен пере­чень ПДн, обработка которых ведется в ИСПДн.
  2. Категория ПДн, обрабатываемых в ИСПДн (Хпд). Исходя из особенностей ПДн определяются следующие категории обрабатываемых в информационной системе ПДн:
  • категория 1 — ПДн, касающиеся расовой, национальной при­надлежности, политических взглядов, религиозных и философских убеж­дений, состояния здоровья, интимной жизни;
  • категория 2 — ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением ПДн, относящихся к категории 1;
  • категория 3 — ПДн, позволяющие идентифицировать субъекта

ПДн;

  • категория 4 — обезличенные и (или) общедоступные ПДн.

К ПДн позволяющим идентифицировать человека относятся такие данные, которые позволяют установить личность человека.

Например, на основании только фамилии, имени и отчества нельзя точно установить личность, т.к. существуют полные однофамильцы. Но если в ИСПДн помимо ФИО обрабатываются также данные об адресе проживания, биометрические данные (фотографическое изображение), данные о месте работы и т.д., то уже на основании их можно выделить конкретного человека.

Обезличенными данными являются данные, на основании которых нельзя идентифицировать субъекта ПДн.

  1. Объем ПДн, обрабатываемых в ИСПДн (Хнцд). Должен быть определен объем записей ПДн в ИСПДн, может принимать значение:
  • 1 — в информационной системе одновременно обрабатываются ПДн более чем 100 000 субъектов ПДн или ПДн субъектов ПДн в пределах субъекта Российской Федерации или Российской Федерации в целом;
  • 2 — в информационной системе одновременно обрабатываются ПДн от 1000 до 100 000 субъектов ПДн или ПДн субъектов ПДн, рабо­тающих в отрасли экономики Российской Федерации, в органе государст­венной власти, проживающих в пределах муниципального образования;
  • 3 — в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов ПДн или ПДн субъектов ПДн в пределах конкретной организации.
  1. Количество рабочих станций, входящих в состав ИСПДн. Должен быть определен перечень рабочих станций, задействованных в ка­ком-либо качестве в обработке ПДн в ИСПДн и (или) имеющих незащи­щенное физическое подключение к ИСПДн.
  2. Структура ИСПДн. ИСПДн является:
  • АРМ, если вся обработка ПДн производится в рамках одного рабочего места;
  • локальной информационной системой, если вся обработка ПДн производится в рамках одной ЛВС;
  • распределенной информационной системой, если обработка ПДн производится в рамках комплекса АРМ и (или) локальных информа­ционных систем, объединенных в единую информационную систему сред­ствами связи с использованием технологии удаленного доступа, т.е. эле­менты ИСПДн разнесены территориально, например, в ИСПДн включена сеть филиала, и связь между территориально удаленными элементами осуществляется по каналам сетей общего пользования и (или) междуна­родного обмена.
  1. Количество пользователей, допущенных к работе в ИСПДн. Дол­жен быть определен перечень пользователей, допущенных к ПДн в ИСПДн.
  2. Режим обработки ПДн в ИСПДн. ИСПДн является однопользо­вательской, если сотрудник обрабатывающий ПДн совмещает в себе функции администратора (осуществляет настройка и поддержку техниче­ских и программных средств) и оператора. Во всех других случаях ИСПДн является многопользовательской.

Если в ИСПДн все пользователи (администраторы, операторы, раз­работчики) обладают одинаковым набором прав доступа или осуществля­ют вход под единой учетной записью и вход под другими учетными запи­сями не осуществляется, то эта ИСПДн с равными правами доступа (пол­номочиями) ко всей информации ИСПДн разных пользователей, в против­ном случае с разными правами доступа (полномочиями) ко всей информа­ции ИСПДн разных пользователей.

  1. Подключение ИСПДн к локальным (распределенным) сетям общего пользования. Если ИСПДн или ее элементы имеет подключение к локальным (распределенным) сетям общего пользования, вне зависимости обусловлено ли это служебной необходимостью или нет, то ИСПДн имеет подключение.
  2. Подключение ИСПДн к сетям международного информацион­ного обмена. Если ИСПДн или ее элементы имеет подключение к сети Интернет или другим сетям международного информационного обмена, вне зависимости обусловлено ли это служебной необходимостью или нет, то ИСПДн имеет подключение.
  3. Тип ИСПДн. Все ИСПДн подразделяются на типовые и специ­альные. К типовым системам относятся системы, в которых требуется обеспечить только свойство конфиденциальности ПДн. Специальные ИСПДн — ИСПДн, в которых вне зависимости от необходимости обеспе­чения конфиденциальности ПДн требуется обеспечить хотя бы одну из ха­рактеристик безопасности ПДн, отличную от конфиденциальности (защи­щенность от уничтожения, изменения, блокирования, а также иных не­санкционированных действий). Характеристики безопасности задаются по решению оператора.

К специальным ИСПДн должны быть отнесены:

  • ИСПДн, в которых обрабатываются ПДн, касающиеся состоя­ния здоровья субъектов ПДн;
  • ИСПДн, в которых предусмотрено принятие на основании ис­ключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.
  1. Местонахождение технических средств ИСПДн. Все техниче­ские средства ИСПДн находятся в пределах Российской Федерации или технические средства ИСПДн частично или целиком находятся за преде­лами Российской Федерации.

На втором этапе комиссия по результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов:

  • класс 1 (К1) — информационные системы, для которых нару­шение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к значительным негативным последствиям для субъ­ектов ПДн;
  • класс 2 (К2) — информационные системы, для которых нару­шение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к негативным последствиям для субъектов ПДн;
  • класс 3 (К3) — информационные системы, для которых нару­шение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПДн;
  • класс 4 (К4) — информационные системы, для которых нару­шение заданной характеристики безопасности ПДн, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПДн.

Класс типовой ИСПДн определяется в соответствии с таблицей:

Хщ\Хнпд

категория 4

К4

К4

К4

категория 3

К3

К3

К3

категория 2

К3

К2

К1

категория 1

К1

К1

К1

По результатам исходных данных класс специальной ИСПДн определяется на основе частной модели угроз безопасности ПДн.

Как в случае с типовыми ИСПДн, для специальных систем, необхо­димо определить класс. Классификация специальных систем по аналогии с типовыми нужна для того, чтобы в дальнейшем можно было спроектиро­вать систему защиты ИСПДн, поскольку в документах ФСТЭК России за­щита для любых систем строится с учетом их класса и модели угроз.

В случае выделения в составе ИСПДн подсистем, каждая из которых является ИСПДн, ИСПДн в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.

Результаты классификации оформляются соответствующим актом оператора для каждой выявленной ИСПДн (Проект акта).

Акт классификации ИСПДн утверждается председателем комиссии по классификации и подписывается всеми членами комиссии.

Пример присвоения класса:

Класс ИСПДн может быть пересмотрен:

  • по решению оператора на основе проведенных им анализа и оцен­ки УБПДн с учетом особенностей и (или) изменений конкретной ИСПДн;
  • по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности ПДн при их обработке в ИСПДн.

В процессе классификации для снижения затрат на создание СЗПДн и оптимизации класса ИСПДн необходимо рассмотреть и по возможности ис­пользовать следующие инструменты:

  1. Сегментация. Физическая или логическая сегментация ИСПДн по классам обрабатываемой информации, выделение сегментов сети, в ко­торых происходит автоматизированная обработка ПДн. Данные работы можно провести с помощью внедрения в ЛВС оператора сертифицирован­ных по требованиям ФСТЭК России МЭ.
  2. Обезличивание. Введение в процесс обработки ПДн процедуры обезличивания существенно упростит задачи по защите ПДн. После вы­полнения обезличивания защите будет подлежать лишь справочник, по­зволяющий выполнить обратное преобразование.
  3. Разделение ПДн на части. В этом случае возможно уменьшение количества субъектов ПДн, обрабатываемых в ИСПДн. Это может быть достигнуто, например, за счет использования таблиц перекрестных ссылок в базах данных.
  4. Постановка требований поставщикам и разработчикам систем обработки ПДн. Включение требований наличия в составе закупаемых информационных систем средств, обеспечивающих защиту ПДн в соответ­ствии с действующим законодательством, позволит снизить затраты на приобретение дополнительных СЗИ.

Key words: ideal liquid, inking unit, passive activator, mixing ink.

Litunov Sergey Nikolaevich, doctor of technical science, professor, Russia, Omsk, Omsk State Technical University,

Timoshchenko Olga Alexandrovna, postgraduate, fabiah@mail. ru, Russia, Omsk, Omsk State Technical University

УДК: 004.62

ПОРЯДОК ПРОВЕДЕНИЯ КЛАССИФИКАЦИИ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ

О.В. Чечуга, В. Д. Корелина

Рассмотрена актуальная схема проведения классификации информационных систем,, приведенная в совместном приказе ФСТЭК РФ, ФСБ РФ и Мининформсвязи РФ №55/86/20 от 18.09.2009 «Об утверждении порядка проведения классификации информационных систем персональных данных».

Ключевые слова: информационная система, персональные данные, классификация информационных систем, категория, объем, класс.

Государственные и муниципальные органы, юридические и физические лица, организующие и (или) осуществляющие обработку персональных данных в информационных системах, а также определяющие цели и содержание такой обработки, обязаны классифицировать соответствующие информационные системы в зависимости от объема обрабатываемых персональных данных и угроз безопасности жизненно важных интересов личности, общества и государства.

Информационные системы персональных данных (ИСПДн) нуждаются в классификации для упрощения выбора средств защиты, создания системы безопасности подходящей каждому конкретному случаю, реализующей не превышающий (что позволяет существенно экономить владельцу данных) и достаточный (максимально возможно снижен уровень угрозы) уровень защиты.

Чтобы пояснить порядок классификации, необходимо сначала определиться с понятием ИСПДн. Она представляет собой совокупность персональных данных (ПДн) и технических средств и технологий, позволяющих обрабатывать базы данных с соответствующей информацией.

Юридически порядок проведения классификации описан и закреп-

лен в совместном приказе ФСТЭК РФ, ФСБ РФ и Мининформсвязи РФ №55/86/20 от 18.09.2009 «Об утверждении порядка проведения классификации информационных систем персональных данных» .

Чтобы определить класс защищенности, оператору необходимо провести сбор и анализ сведений об ИСПДн.

На определение класса защищенности влияют:

— уровень значимости защищаемой информации (категория);

— масштаб (объем) ИСПДн;

— возможный ущерб от реализации угрозы по трем основным свойствам защищаемой информации (конфиденциальность, целостность, доступность)^].

После сбора информации об ИСПДн идет ее анализ, обработка и непосредственно присвоение класса.

I. Определение категории обрабатываемых персональных данных.

Категории обрабатываемой информации так же описаны в приказе «Об утверждении порядка проведения классификации информационных систем персональных данных».

Вид информации и её категории представлены в табл. 1.

Таблица 1

Соответствие персональных данных и класса защищенности

Класс защищенности Категории обрабатываемых персональных данных Примеры

Категория 1 персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни — амбулаторная карта; — медицинские заключения; — кадровый учет (содержит графу национальность) и т.д.

Категория 2 персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию — ФИО и место работы; — ФИО и место рождения; — ФИО и информация о членах семьи и т.д.

Категория 3 персональные данные, позволяющие идентифицировать субъекта персональных данных — паспортные данные; — ФИО и дата рождения; — ФИО и должность — ФИО и фотография и т.д.

Категория 4 Обезличенные и общедоступные данные Определяются частным образом и с согласия (письменного) субъекта. К ней можно отнести информации. их адресных и телефонных книг, абонентский номер и иные персональные данные

Такая градация достаточно условна. Что касается категорий 1-3, то отнесение данных к той или иной должно производиться с учетом среды ее применения. Так в заранее обозначенной группе лиц гораздо легче идентифицировать нужного человека: иногда достаточного одного имени, чтобы получить доступ к дополнительным сведениям. Можно привести пример и обратной ситуации, когда есть сведения о здоровье человека, но неизвестны ФИО — такую информацию нельзя причислять к Категории 1 до появления новых сведений о субъекте.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Что касается категории 4, то субъект, которому напрямую принадлежат персональные данные сам в праве выкладывать их в общий доступ. Ярким примером могут послужить, получившие широкое распространение социальные сети, где в общем доступе лежит информация, которую можно было бы отнести к любому более высокому классу защищенности.

II. Определение объема обрабатываемых персональных данных.

Приказ выделяет 3 категории объема:

— Объем 1. Одновременно обрабатываются ПДн более чем 100 000 субъектов или ПДн в пределах субъекта РФ или РФ в целом;

— Объем 2. Одновременно обрабатываются ПДн от 1000 до 100 000 субъектов или ПДн субъектов, работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования;

— Объем 3. Одновременно обрабатываются ПДн менее чем 1000 субъектов или ПДн субъектов в пределах конкретной организации.

III. Определение класса защищенности персональных данных

По результатам анализа исходных данных определяется класс ИСПДн на основе модели угроз безопасности персональных данных, по методическим документам, разрабатываемыми в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Приказ №55/86/20 разделяет 4 класса защищенности персональных данных информационной системы: К1, К2, К3, К4. Требования по защите информации, соответствующей тому или иному классу становятся тем строже, чем ниже класс присвоен рассматриваемой ИСПДн. Иными словами, класс К1 присваивается к ИСПДн, имеющей более высокий уровень значимости, а К4 — более низкий :

— Класс 1 (К1) — значительно негативные последствия при нарушении заданной характеристики безопасности;

— Класс 2 (К2) — негативные последствия;

— Класс 3 (К3) — незначительные негативные последствия;

— Класс 4 (К4) — без негативных последствий.

Класс защищенности определяется результатами, закрепленными в

акте оператора, в качестве которого могут выступать государственные и муниципальные органы, юридические и физические лица организующие и/или осуществляющие обработку персональных данных, а также определяющие цели и содержание их обработки.

В Таблице 2 приведен порядок присвоения класса защищенности исходя из категории и объема обрабатываемых данных.

Таблица 2

Порядок проведения классификации ИСПДн

Категория\Объем Объем 1 Объем 2 Объем 3

Категория 1 К1 К1 К1

Категория 2 К1 К2 КЗ

Категория 3 К2 КЗ КЗ

Категория 4 К4 К4 К4

Стоит отметить, что классифицироваться система может не только, как единое целое, но и частями, причем каждой из составных частей (подсистем) ИСПДн может присваиваться разный класс.

Закон предусматривает перерассмотрение класса защищенности в случаях внесения изменений в ИСПДн и ее подсистем, по решению правообладателя или оператора.

Список литературы

1. Федеральный закон от 27.07.06 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

2. Приказ ФСТЭК РФ, ФСБ РФ, Мининформсвязи РФ №55/86/20 от 18.09.2009 «Об утверждении порядка проведения классификации информационных систем персональных данных».

3. Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Чечуга Ольга Владимировна, канд. техн. наук, доц., зам. зав. кафедрой, Россия, Тула, Тульский государственный университет,

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Корелина Валерия Дмитриевна, студент, Россия, Тула, Тульский государственный университет

PROCEDURE FOR THE CLASSIFICATION OF PERSONAL DATA SYSTEMS

O.V. Chechuga, V.D. Korelina

Key words: information system, personal data, classification of information systems, category, amount, class

Korelina Valeriya Dmitrievna, student, Russia, Tula, Tula State University

УДК 778.14

СОВРЕМЕННЫЕ ПОДХОДЫ К ОБЕСПЕЧЕНИЮ ГАРАНТИРОВАННОЙ БЕЗОПАСНОСТИ ВАЖНЕЙШИХ ВИДОВ ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ РЕСУРСОВ

О.В. Чечуга, Е.Е.Евсеев, П.Е. Завалишин

Приводится описание традиционных и современных подходов к созданию информационных ресурсов важнейших видов документации, рассматриваются достоинства и недостатки существующих видов носителей информации, описываются методы долгосрочного архивирования традиционных и электронных документов.

Ключевые слова: важнейшие информационные ресурсы, документированная информация, долгосрочное хранение цифровой информации, страховой фонд документации.

Увеличение роли информации, знаний и информационных технологий в жизни современного общества является одним из важнейших показателей прогрессивного развития человеческой цивилизации. Информация становится ключевым фактором в политике, культуре и экономике, выступает в качестве одной из главных основ поступательного развития государства и общества.

В ряду основных свойств информации выделяют фиксируемость, что позволяет осуществлять ее создание, прием, передачу, хранение и использование на различных материальных носителях, неустойчивость, что выражается в неразрывной связи зафиксированной информации с материальными носителями, которые со временем могут деградировать, разрушаться и изнашиваться, а также транслируемость, т.е. возможность передачи с одного носителя на другой .

Зарегистрирован в Минюсте РФ 3 апреля 2008 г.

Регистрационный N 11462

В соответствии с пунктом 6 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2007, N 48, часть II, ст. 6001), приказываем:

Утвердить прилагаемый Порядок проведения классификации информационных систем персональных данных.

Директор

Федеральной службы

по техническому и экспортному контролю

С. Григоров

Директор Федеральной службы безопасности

Российской Федерации

Н. Патрушев

Министр информационных технологий и связи Российской Федерации

Л. Рейман

Порядок проведения классификации информационных систем персональных данных

1. Настоящий Порядок определяет проведение классификации информационных систем персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее — информационные системы)1.

2. Классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее — оператор)2.

3. Классификация информационных систем проводится на этапе создания информационных систем или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.

4. Проведение классификации информационных систем включает в себя следующие этапы:

сбор и анализ исходных данных по информационной системе:

присвоение информационной системе соответствующего класса и его документальное оформление.

5. При проведении классификации информационной системы учитываются следующие исходные данные:

категория обрабатываемых в информационной системе персональных данных — Хпд;

объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) — Хнпд;

заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;

структура информационной системы;

наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;

режим обработки персональных данных;

режим разграничения прав доступа пользователей информационной системы;

местонахождение технических средств информационной системы.

6. Определяются следующие категории обрабатываемых в информационной системе персональных данных (Хпд):

категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;

категория 4 — обезличенные и (или) общедоступные персональные данные.

7. Хнпд может принимать следующие значения:

1 — в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;

2 — в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных.данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;

3 — в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

8. По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.

Типовые информационные системы — информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

Специальные информационные системы — информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

К специальным информационным системам должны быть отнесены:

информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;

информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

9. По структуре информационные системы подразделяются:

на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);

на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);

на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

10. По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на системы, имеющие подключения, и системы, не имеющие подключений.

11. По режиму обработки персональных данных в информационной системе информационные системы подразделяются на однопользовательские и многопользовательские.

12. По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.

13. Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.

14. По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:

класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

15. Класс типовой информационной системы определяется в соответствии с таблицей.

16. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»3.

17. В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.

18. Результаты классификации информационных систем оформляются соответствующим актом оператора.

19. Класс информационной системы может быть пересмотрен:

по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;

по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.

1Абзац первый пункта 1 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г.

N 781 (Собрание законодательства Российской Федерации, 2007, N 48, часть II,

ст. 6001) (далее — Положение).

2Абзац первый пункта 6 Положения.

3Собрание законодательства Российской Федерации 2007, N 48, часть II, ст. 6001.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *