Actul de clasificare a lucrătorilor individuali. Date personale (clasificarea datelor cu caracter personal)

„Organizațiile bugetare: contabilitate și fiscalitate”, 2009, N 12

De la 1 ianuarie 2010, sistemele de informații cu date cu caracter personal din toate organizațiile, inclusiv instituţiile bugetare, trebuie aduse în conformitate cu cerințele Legii „Cu privire la datele cu caracter personal”<1>. La această Lege au fost adoptate o serie de reglementări și, ca urmare, acum există interpretări diferite ale responsabilităților instituțiilor de stat și municipale în raport cu sistemele informaționale pe care le au. Acest articol analizează prevederile legislației actuale și evidențiază cerințele obligatorii.

<1>Legea federală din 27 iulie 2006 N 152-FZ.

Potrivit art. 1 din Legea „Cu privire la datele cu caracter personal”, această lege federală reglementează relațiile legate de prelucrarea datelor cu caracter personal efectuate de organele guvernamentale federale, organele guvernamentale ale entităților constitutive Federația Rusă, alte agentii guvernamentale, organe administrația locală, neincluse în sistemul organelor autonome locale, organelor municipale, juridice și indivizii folosind instrumente de automatizare sau fără utilizarea unor astfel de instrumente, în cazul în care prelucrarea datelor cu caracter personal fără utilizarea unor astfel de instrumente corespunde naturii acțiunilor (operațiunilor) efectuate cu date personale folosind instrumente de automatizare.

O astfel de atenție acordată problemelor de automatizare a prelucrării datelor cu caracter personal atrage după sine necesitatea respectării unor norme legislative speciale privind utilizarea tehnologiilor informaționale. În același timp, este necesar să se studieze cu atenție cadrul de reglementare, care în prezent poate fi interpretat foarte ambiguu, mai ales în ceea ce privește prezentarea cerințelor pentru sistemele informaționale.

Conceptul de „sistem informaţional” în legislaţia actuală

În conformitate cu Legea federală „Cu privire la informații, tehnologii informaționale și protecția informațiilor”<2> Sistem informatic- un set de informatii continute in baze de date si tehnologii informatice si mijloace tehnice care asigura prelucrarea acestuia. Pe baza acestei definiții, putem concluziona că nu există sisteme informaționale fără utilizare echipamente informaticeși software aferent.

<2>Legea federală din 27 iulie 2006 N 149-FZ.

Cu toate acestea, în art. 3 din Legea „Cu privire la datele cu caracter personal” oferă o definiție mai largă Sistem informatic: aceasta este o colecție de date cu caracter personal conținute în baza de date, precum și tehnologii informaționale și mijloace tehnice care permit prelucrarea acestor date cu caracter personal cu sau fără utilizarea instrumentelor de automatizare.

Să analizăm componentele acestei definiții, ale cărei definiții pot fi găsite în Legea federală „Cu privire la informații, tehnologii informaționale și protecția informațiilor”, alte legi și reglementări ale Guvernului Federației Ruse.

Sub Bază de date este înțeles ca un set de date organizate interconectate pe suporturi care pot fi citite de mașină (Reglementări temporare privind contabilitatea de stat și înregistrarea bazelor de date și a băncilor de date).<3>). Cu toate acestea, în partea a patra a Codului civil al Federației Ruse (paragraful 2, alineatul 2, articolul 1260), este dată o definiție mai detaliată. Bază de date: acesta este un set de materiale independente prezentate într-o formă obiectivă (articole, calcule, reglementări, hotărâri judecătorești și alte materiale similare), sistematizate astfel încât aceste materiale să poată fi găsite și prelucrate prin mijloace electronice. calculator(CALCULATOR).

<3>Aprobat prin Decretul Guvernului Federației Ruse din 28 februarie 1996 N 226.

Tehnologia de informație- procese, metode de căutare, colectare, stocare, prelucrare, furnizare, distribuire a informațiilor și metode de implementare a unor astfel de procese și metode (Legea Federală „Cu privire la Informații, Tehnologii Informaționale și Protecția Informației”).

Sub mijloace tehnice care permit prelucrarea datelor cu caracter personal sunt înțelese ca mijloace tehnologia calculatoarelor, complexe și rețele informatice și de calcul, mijloace și sisteme pentru transmiterea, primirea și prelucrarea datelor cu caracter personal (mijloace și sisteme pentru înregistrarea sunetului, amplificarea sunetului, reproducerea sunetului, săli de ședințe și aparate de televiziune, mijloace de producție, reproducere documente și altele mijloace tehnice procesarea informațiilor vorbite, grafice, video și alfanumerice), software ( OS, sisteme de gestionare a bazelor de date și altele asemenea), instrumente de securitate a informațiilor utilizate în sistemele informaționale (Regulamente privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal<4>).

<4>Aprobat prin Decretul Guvernului Federației Ruse din 17 noiembrie 2007 N 781.

Astfel, mijloacele tehnice includ atât copiatoare, cât și software, dar conceptul cheie în definirea unui sistem de informații cu date personale este conceptul de „bază de date”. Din această definiție rezultă că baza de date este procesată folosind un computer (suportul media trebuie să poată fi citit de mașină). Dacă prelucrarea se efectuează fără utilizarea unui computer și a unei baze de date (suport care poate fi citit de mașină), atunci în mod oficial nu există un sistem de informare. În plus, fără mijloace tehnice care să permită prelucrarea datelor cu caracter personal, nici baza de date nu poate fi recunoscută ca sistem informațional. În plus, sistemele informaționale nu sunt doar o colecție de echipamente informatice și anumite programe care prelucrează informații din baze de date; ele pot utiliza sau nu instrumente de automatizare.

Ce se înțelege prin instrumente de automatizare?

Există un punct de vedere conform căruia utilizarea automatizării înseamnă orice prelucrare computerizată sau prelucrare cu dispozitive electronice. Dacă baza de date este stocată pe un computer (de exemplu, foaie de calcul sau program de contabilitate) sau, de exemplu, în caiet telefon mobil, atunci aceasta este deja o prelucrare automată a datelor cu caracter personal și este supusă notificării către Roskomnadzor. În plus, unii experți consideră că prelucrarea fără utilizarea instrumentelor de automatizare poate fi efectuată doar pe hârtie (în jurnale completate manual, în liste scrise de mână).

În conformitate cu partea 3 a art. 4 din Legea „Cu privire la datele cu caracter personal”, particularitățile prelucrării datelor cu caracter personal efectuate fără utilizarea instrumentelor de automatizare pot fi stabilite prin legile federale și alte acte juridice de reglementare ale Federației Ruse, ținând cont de prevederile prezentului articol. Lege federala.

Decretul Guvernului Federației Ruse din 15 septembrie 2008 N 687 a aprobat Regulamentul privind specificul prelucrării datelor cu caracter personal efectuată fără utilizarea instrumentelor de automatizare. Conform paragrafului 1 din regulamentele menționate Prelucrarea datelor cu caracter personal conținute în sistemul de informare a datelor cu caracter personal sau extrase dintr-un astfel de sistem (denumite în continuare date cu caracter personal) se consideră a fi efectuată fără utilizarea instrumentelor de automatizare (neautomatizate), dacă astfel de acțiuni cu date personale întrucât utilizarea, clarificarea, distribuirea, distrugerea datelor cu caracter personal în legătură cu fiecare dintre subiectele datelor cu caracter personal, se realizează cu participarea directă a unei persoane.

Să facem invers Atentie speciala la faptul că, potrivit clauzei 2 din Reglementările privind specificul prelucrării datelor cu caracter personal efectuate fără utilizarea instrumentelor de automatizare, prelucrarea datelor cu caracter personal nu poate fi recunoscută ca fiind efectuată cu ajutorul instrumentelor de automatizare doar pe baza faptului că acestea sunt cuprinse în sistemul informaţional sau au fost extrase din acesta.

Astfel, se poate afirma că din punctul de vedere al definițiilor disponibile în legislatia actuala, marea majoritate a sistemelor informatice din instituțiile de stat și municipale pot fi considerate în mod oficial ca implementate fără utilizarea instrumentelor de automatizare (inclusiv o parte semnificativă a software-ului de contabilitate). La urma urmei, toate cărțile de față din aceste sisteme sunt editate manual în ferestrele corespunzătoare. Pentru a distruge cărțile de față, este, de asemenea, necesar să le selectați în listă de către operator și să apăsați cheie specială pentru a șterge datele. Se realizează chiar și arhivarea program special, care este lansat de o persoană.

Si aici diverse programe, permițându-vă să reformatați datele (inclusiv din formatul program de contabilitateîntr-un format, de exemplu, un program Fond de pensie) și implementarea acestora intrare automată iar transferul ulterioar fără referire la fiecare evidență specifică a angajatului poate fi clasificat ca procesare automată a datelor. În același timp, prelucrarea datelor cu caracter personal (inclusiv nume, prenume, patronim, numărul certificatului de pensie etc.) este parte integrantă a unor astfel de programe.

În același timp, dacă transferul de date către alte programe (inclusiv în scopuri de contabilitate fiscală) nu se realizează complet automat, ci cu ajutorul unei persoane implicate în prelucrarea datelor cu caracter personal, atunci o astfel de prelucrare de asemenea nu poate fi considerată automatizată. .

În acest sens, recomandările Agenției Federale pentru Educație, prezentate în Scrisoarea nr. 17-110 din 29 iulie 2009 „Cu privire la asigurarea protecției datelor cu caracter personal”, au o aplicare destul de limitată în practică. Pentru a automatiza prelucrarea datelor cu caracter personal în chestionare, Rosobrazovanie recomandă indicarea suplimentară a un număr de identificare(codul personal) al subiectului datelor cu caracter personal, atribuit pe întreaga perioadă de studiu sau de muncă. Acest lucru vă permite să anonimizați bazele de date dacă acestea nu conțin alte date personale și să reduceți semnificativ costul protejării informațiilor.

Cu toate acestea, pentru a automatiza activitățile de management într-o instituție de stat sau municipală, cel puțin numele de familie, prenumele, patronimele angajaților, studenților etc., precum și o serie de alte date personale (pentru angajați, de exemplu, informații despre venituri în scopuri contabile și fiscale) sunt necesare. . Apel la coduri personale cuprinse în pliante (chestionare), restul procesării datelor cu ajutorul software-ului va arăta cel puțin ciudat, reducând eficiența implementării tehnologiilor informaționale moderne. Mai mult decât atât, în funcție de forma chestionarelor utilizate, acestea pot fi recunoscute ca parte a sistemului informațional (ca fiind parte integrantă a bazei de date), ceea ce va lipsi complet de semnificația unei codări suplimentare (o astfel de codificare este necesară dacă este recomandabil). pentru a depersonaliza datele, de exemplu, pentru cercetări statistice).

Prelucrarea datelor cu caracter personal fără utilizarea instrumentelor de automatizare

Deci, după cum sa discutat mai sus, în ciuda informatizării activităților, în majoritatea cazurilor prelucrarea datelor cu caracter personal în instituțiile de stat și municipale se realizează fără utilizarea instrumentelor de automatizare (neautomatizate) și, în consecință, este reglementată de Regulamentul privind specificul prelucrării datelor cu caracter personal efectuate fără utilizarea instrumentelor de automatizare<5>.

<5>Aprobat prin Decretul Guvernului Federației Ruse din 15 septembrie 2008 N 687.

Persoanele care efectuează o astfel de prelucrare (inclusiv angajații organizației operatorului sau persoanele care lucrează în baza unui acord cu operatorul) trebuie să fie informate cu privire la faptul prelucrării lor de date cu caracter personal fără utilizarea instrumentelor de automatizare, categoriile de date cu caracter personal prelucrate, precum și în ceea ce privește caracteristicile și regulile pentru efectuarea unei astfel de prelucrări stabilite prin actele juridice de reglementare ale autorităților executive federale, autorităților executive ale entităților constitutive ale Federației Ruse și actele locale ale unei instituții de învățământ.

Datele cu caracter personal, atunci când sunt prelucrate fără utilizarea instrumentelor de automatizare, trebuie separate de alte informații, în special, prin înregistrarea lor pe medii tangibile separate, în secțiuni speciale sau în câmpurile de formulare (formulare).

În același timp, nu este permisă înregistrarea datelor cu caracter personal pe un singur suport material dacă scopurile prelucrării acestora sunt în mod evident incompatibile. În acest caz, trebuie utilizat un mediu tangibil separat pentru fiecare categorie de date cu caracter personal.

Și, prin urmare, prelucrarea trebuie efectuată în așa fel încât pentru fiecare categorie de date cu caracter personal să existe:

• au fost stabilite locațiile de stocare și a fost stabilită o listă a persoanelor care prelucrează datele sau care au acces la acestea;
• Se asigură stocarea separată a datelor cu caracter personal (suporturi tangibile), a căror prelucrare se realizează în diverse scopuri;
• au fost îndeplinite condițiile pentru a asigura siguranța datelor cu caracter personal și pentru a preveni accesul neautorizat la acestea.

Lista măsurilor necesare pentru asigurarea unor astfel de condiții, procedura de adoptare a acestora, precum și lista persoanelor responsabile cu implementarea acestor măsuri, se stabilesc de către instituția de învățământ în conformitate cu cerințele actelor juridice de reglementare privind protecția date personale.

În cazul în care scopurile prelucrării datelor cu caracter personal înregistrate pe un suport material sunt incompatibile, dacă nu permite ca acestea să fie prelucrate separat de alte date cu caracter personal înregistrate pe același suport, trebuie luate măsuri pentru a asigura o prelucrare separată, în special:

• dacă este necesar să se utilizeze sau să se distribuie anumite date cu caracter personal separat de altele aflate pe același suport material, datele care fac obiectul distribuției sau utilizării sunt copiate într-un mod care să împiedice copierea simultană a datelor care nu fac obiectul distribuției și utilizării, și o copie a datelor cu caracter personal este utilizată (distribuită);
• dacă este necesară distrugerea sau blocarea unei părți a datelor cu caracter personal, suportul material este distrus sau blocat cu copierea prealabilă a informațiilor care nu sunt supuse distrugerii sau blocării, într-un mod care să împiedice copierea simultană a datelor cu caracter personal supuse distrugerii sau blocării. .

Distrugerea sau depersonalizarea unei părți a datelor cu caracter personal, dacă este permisă de un mediu tangibil, poate fi efectuată într-un mod care să împiedice prelucrarea ulterioară a acestor date cu caracter personal, menținând în același timp posibilitatea de prelucrare a altor date înregistrate pe un mediu tangibil (ștergere, ștergere) .

Clarificarea datelor cu caracter personal la prelucrarea lor fără utilizarea instrumentelor de automatizare se realizează prin actualizarea sau modificarea datelor pe un mediu tangibil, iar dacă acest lucru nu este permis caracteristici tehnice purtător de material- prin înregistrarea pe același suport a informațiilor despre modificările aduse acestora sau prin producerea unui nou suport material cu date personale actualizate.

Prelucrarea datelor cu caracter personal folosind instrumente de automatizare

Reglementările privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale de date cu caracter personal stabilește cerințe pentru asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal, care sunt un set de date cu caracter personal conținute în baze de date, precum și informații. tehnologii si mijloace tehnice.

După cum rezultă din paragraful 1 din prezentul Regulament, termenul „sisteme informaționale” se referă doar la sistemele informaționale care permit prelucrarea datelor cu caracter personal folosind instrumente de automatizare, prin urmare, cerințele prezentului Regulament nu se aplică sistemelor informaționale în care prelucrarea datelor se realizează fără utilizarea instrumentelor de automatizare.

Dacă o instituție de stat sau municipală efectuează prelucrarea automată a datelor cu caracter personal, atunci trebuie îndeplinite următoarele cerințe.

Conform Reglementărilor privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal, securitatea datelor cu caracter personal se realizează:

• prin excluderea accesului neautorizat, inclusiv accidental, la datele cu caracter personal, care poate avea ca rezultat distrugerea, modificarea, blocarea, copierea, distribuirea datelor cu caracter personal;
• prin excluderea altor acțiuni neautorizate.

Securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice este asigurată utilizând sistemele de protecție a datelor cu caracter personal, inclusiv:

• măsuri organizatorice;
• instrumente de securitate a informațiilor;
• tehnologia de informație.

Măsurile de securitate a informațiilor includ:

• mijloace de criptare (criptografice);
• mijloace de prevenire a accesului neautorizat;
• mijloace de prevenire a scurgerii de informații prin canale tehnice;
• mijloace de prevenire a impactului software și hardware asupra mijloacelor tehnice de prelucrare a datelor cu caracter personal.

Pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale, se realizează protecție informații despre vorbireși informațiile prelucrate prin mijloace tehnice, precum și informațiile prezentate sub formă de semnale electrice informative, câmpuri fizice, suporturi pe hârtie, magnetice, magneto-optice și alte baze.

Solicitările utilizatorilor sistemului informatic de obținere a datelor cu caracter personal, precum și faptele de furnizare a datelor cu privire la aceste solicitări, trebuie înregistrate prin mijloace automate ale sistemului informatic în jurnalul electronic de cereri. În același timp, conținutul jurnal electronic cererile trebuie verificate periodic de către funcționarii (angajații) relevanți ai operatorului sau ai persoanei autorizate.

În cazul în care sunt detectate încălcări ale procedurii de furnizare a datelor cu caracter personal, operatorul sau persoana autorizată va suspenda de îndată furnizarea datelor cu caracter personal către utilizatorii sistemului informatic până la identificarea și eliminarea cauzelor încălcărilor.

Hardware-ul și software-ul trebuie să îndeplinească cerințele stabilite în conformitate cu legislația Federației Ruse pentru a asigura protecția informațiilor. În același timp, metodele și metodele de protecție a informațiilor din sistemele informaționale sunt stabilite de către Serviciul Federal pentru Tehnici și controale la export(FSTEC) și Serviciul Federal de Securitate (FSB) în limitele competențelor lor.

Securitatea datelor cu caracter personal atunci când sunt prelucrate în sistemul informatic este asigurată de operator sau de persoana căreia, în baza unui acord, operatorul îi încredințează prelucrarea datelor cu caracter personal. Persoanele al căror acces la datele cu caracter personal prelucrate în sistemul informațional este necesar pentru îndeplinirea sarcinilor oficiale (de muncă) au acces la datele personale relevante pe baza unei liste aprobate de operator sau persoană autorizată. O condiție esențială a contractului este obligația persoanei autorizate de a asigura confidențialitatea și securitatea datelor cu caracter personal atunci când sunt prelucrate în sistemul informațional.

Instrumente de securitate a informațiilor utilizate în sistemele informaționale, în în modul prescris sunt supuse unei proceduri de evaluare a conformității. Schimbul de date cu caracter personal în timpul prelucrării acestora în sistemele informaționale se realizează prin canale de comunicare, a căror protecție este asigurată prin implementarea unor măsuri organizatorice adecvate și (sau) prin utilizarea mijloacelor tehnice.

Totodată, sistemele informatice sunt clasificate de către organe de stat, organe municipale, persoane juridice sau persoane fizice care organizează și (sau) desfășoară prelucrarea datelor cu caracter personal, precum și determină scopurile și conținutul prelucrării datelor cu caracter personal, în funcție de volumul datelor cu caracter personal prelucrate de aceștia și amenințările de securitate la adresa intereselor vitale ale indivizilor, societății și statului.

Procedura de clasificare a sistemelor informatice este stabilită în comun de către Serviciul Federal de Control Tehnic și Export, Serviciul Federal de Securitate și Ministerul Tehnologiilor Informaționale și Comunicațiilor. Această procedură este stabilită prin Ordinul FSTEC al Rusiei, al FSB al Rusiei, al Ministerului Informațiilor și Comunicațiilor din Rusia din 13 februarie 2008 N 55/86/20.

În plus, sunt subliniate cerințele pentru spații și securitatea acestora. Conform clauzei 8 din Regulamentul privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal, amplasarea sistemelor informatice, echipamente speciale și securitatea spațiilor în care se desfășoară lucrări cu date cu caracter personal, organizarea unui sistem de securitate. regimul din aceste spații trebuie să asigure siguranța purtătorilor de date cu caracter personal și a mijloacelor de securitate a informațiilor și, de asemenea, să excludă posibilitatea intrării sau șederii necontrolate în aceste spații. persoane neautorizate.

Pentru a face acest lucru, instituțiile de stat și municipale trebuie să instaleze alarme suplimentare în incintele specificate și în uși - încuietori suplimentare sau uși metalice.

Măsurile de asigurare a securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale includ:

a) identificarea amenințărilor la adresa securității datelor cu caracter personal în timpul prelucrării acestora, formarea unui model de amenințare pe baza acestora;

b) dezvoltarea, pe baza modelului de amenințare, a unui sistem de protecție a datelor cu caracter personal care să asigure neutralizarea presupuselor amenințări folosind metode și metode de protecție a datelor cu caracter personal prevăzute pentru clasa corespunzătoare de sisteme informatice;

c) verificarea gradului de pregătire a instrumentelor de securitate a informațiilor pentru utilizare cu întocmirea concluziilor privind posibilitatea de funcționare a acestora;

d) instalarea și punerea în funcțiune a mijloacelor de securitate a informațiilor în conformitate cu documentația operațională și tehnică;

e) instruirea persoanelor care utilizează instrumentele de securitate a informațiilor utilizate în sistemele informaționale cu privire la regulile de lucru cu acestea;

f) contabilizarea mijloacelor de protecție a informațiilor utilizate, documentația operațională și tehnică pentru aceștia, purtătorii de date cu caracter personal;

g) contabilitatea persoanelor autorizate să lucreze cu date personale în sistemul informaţional;

h) controlul asupra respectării condițiilor de utilizare a instrumentelor de securitate a informațiilor prevăzute în documentația operațională și tehnică;

i) investigarea și întocmirea concluziilor privind faptele de nerespectare a condițiilor de stocare a purtătorilor de date cu caracter personal, utilizarea măsurilor de securitate a informațiilor care pot duce la încălcarea confidențialității datelor cu caracter personal sau alte încălcări care conduc la scăderea nivelului; de securitate a datelor cu caracter personal, dezvoltarea și adoptarea de măsuri pentru prevenirea posibilelor consecințe periculoase ale unor astfel de încălcări;

j) descrierea sistemului de protecție a datelor cu caracter personal.

Persoanele care au acces la baze de date cu informații cu date personale, semnează obligații privind nedivulgarea informațiilor confidențiale (o astfel de obligație poate fi inclusă și în contractul de muncă). Abia după aceasta instituția de învățământ le permite să prelucreze date cu caracter personal.

La prelucrarea datelor cu caracter personal în sistemul informațional, instituția de învățământ trebuie să asigure:

a) realizarea de măsuri menite să prevină accesul neautorizat la datele cu caracter personal și (sau) transferul acestora către persoane care nu au dreptul de acces la astfel de informații;

b) detectarea la timp a faptelor de acces neautorizat la datele cu caracter personal;

c) prevenirea impactului asupra mijloacelor tehnice prelucrare automată datele cu caracter personal, în urma cărora funcționarea acestora poate fi perturbată;

d) posibilitatea restabilirii imediate a datelor cu caracter personal modificate sau distruse din cauza accesului neautorizat la acestea;

e) monitorizarea constantă a asigurării nivelului de securitate a datelor cu caracter personal.

Pentru a dezvolta și implementa măsuri de asigurare a securității datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional, un operator sau persoană autorizată poate desemna o unitate structurală sau funcționar (angajat) responsabil cu asigurarea securității datelor cu caracter personal.

De asemenea, ar trebui să acordați o atenție deosebită faptului că, conform clauzei 17 din Reglementările privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu caracter personal, implementarea cerințelor pentru asigurarea securității informațiilor în instrumentele de securitate a informațiilor este atribuită acestora. dezvoltatori.

Adecvarea măsurile luate pentru asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale se evaluează în timpul controlului și supravegherii de stat.

Clasificarea sistemelor informatice de date cu caracter personal

Clasificarea sistemelor informatice de date cu caracter personal care permit prelucrarea acestor date cu ajutorul instrumentelor de automatizare se realizeaza de catre institutia de invatamant - operator in conformitate cu Procedura de clasificare a sistemelor informatice de date cu caracter personal<6>în funcţie de categoria de date care se prelucrează şi cantitatea acestora.

<6>Aprobat prin Ordinul FSTEC al Rusiei, al FSB al Rusiei, al Ministerului Informațiilor și Comunicațiilor din Rusia din 13 februarie 2008 N 55/86/20.

Sunt stabilite următoarele patru categorii de date cu caracter personal:

1. date personale referitoare la rasă, naționalitate, opinii politice, convingeri religioase și filozofice, sănătate, viață intimă;
2. date cu caracter personal care vă permit să identificați subiectul datelor cu caracter personal și să obțineți informații suplimentare despre acesta, cu excepția datelor cu caracter personal aparținând primei categorii;
3. date personale care permit identificarea subiectului datelor cu caracter personal;
4. date cu caracter personal anonimizate și (sau) disponibile public.

În orice universitate poți găsi pe standuri publice diverse liste studenți, inclusiv o combinație de nume complet. student, curs, grup, care vă permit să identificați în mod unic studentul. Ca urmare, o astfel de combinație de date cu caracter personal le obligă să fie clasificate ca date cu caracter personal din a treia categorie; Plasarea acestor date într-un loc accesibil publicului necesită în mod oficial acordul studentului.

Cardul personal al unui angajat (formular T-2), dosarul personal al unui student aparține a doua categorie, deoarece acestea sunt date personale care permit nu numai identificarea subiectului datelor cu caracter personal, ci și obținerea de informații suplimentare despre el.

Sistemele de informații cu date cu caracter personal sunt împărțite în standard și speciale. Sistemele tipice includ cele care necesită doar confidențialitatea datelor cu caracter personal. Toate celelalte sisteme sunt clasificate ca speciale.

Sistemele informatice speciale ar trebui să includă, de asemenea:

• sisteme informatice în care sunt prelucrate date cu caracter personal referitoare la starea de sănătate a subiecților datelor cu caracter personal;
• sisteme informatice care prevăd adoptarea, bazată exclusiv pe prelucrarea automată a datelor cu caracter personal, a unor decizii care dau naștere la consecințe juridice în legătură cu subiectul datelor cu caracter personal sau îi afectează în alt mod drepturile și interesele legitime.

Pe baza clasificării de mai sus, se poate afirma că orice date medicale, precum și fișele de personal care conțin coloana „naționalitate” (și acestea sunt aproape toate chestionare și foi personale evidenţele de personal utilizate în prezent) trebuie încadrate în prima categorie.

Pe baza rezultatelor analizei datelor disponibile, unui sistem informațional tipic i se atribuie una dintre cele patru clase specificate în Procedura de clasificare a sistemelor de informații cu date cu caracter personal.

Clasa unui sistem informatic special se determină pe baza unui model de amenințări la adresa securității datelor cu caracter personal pe baza rezultatelor analizei datelor sursă în conformitate cu documentele metodologice ale FSTEC.

FSTEC a emis următoarele documente DSP, care pot fi obținute doar contactând acest organism:

• Activități principale de organizare și suport tehnic securitatea datelor cu caracter personal prelucrate în sistemele informatice de date cu caracter personal, din 15 februarie 2008;
• Model de bază de amenințări la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal din 15 februarie 2008;
• Metodologia de identificare a amenințărilor actuale la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal din 15 februarie 2008;
• Recomandări pentru asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal din data de 15.02.2008.

Aceste documente metodologice conțin numeroase cerințe, care sunt extrem de greu de îndeplinit de majoritatea instituțiilor de stat sau municipale din motive atât de natură organizatorică, cât și financiară.

Declarație, certificare (atestare) și licențiere a activităților pentru protecția datelor cu caracter personal

Documentele metodologice FSTEC enumerate mai sus stabilesc următoarea procedură de evaluare a conformității gradului de securitate a sistemelor informatice cu cerințele de securitate:

• pentru sistemele informatice de clasa I și a II-a, conformitatea gradului de securitate cu cerințele de securitate se stabilește prin certificare (atestare) obligatorie;
• pentru sistemele informatice de clasa a treia, conformitatea cu cerințele de securitate este confirmată prin certificare (certificare) sau (la alegerea operatorului) declarație de conformitate efectuată de operatorul de date cu caracter personal;
• Pentru sistemele informatice din clasa a patra, evaluarea conformității nu este reglementată și se realizează la discreția operatorului de date cu caracter personal.

Declaratie de conformitate- aceasta este o confirmare a conformității caracteristicilor sistemului informatic de date cu caracter personal cu cerințele stabilite de lege, documentele de guvernare și de reglementare ale FSTEC și FSB.

Declarația de conformitate poate fi efectuată pe baza probelor proprii sau a probelor obținute cu participarea organizațiilor implicate care dețin licențele necesare. Lista organismelor (organizațiilor) de certificare a sistemului de certificare a securității informațiilor pentru cerințele de securitate a informațiilor care pot fi contactate institutii de invatamantși autoritățile educaționale care nu dețin specialiștii și licențele necesare, precum și Registrul de stat instrumentele de securitate a informațiilor certificate sunt postate pe site-ul web FSTEC. Costul unor astfel de proceduri este destul de mare și se ridică la sute de mii de ruble.

În cazul unei declarații bazate pe probe proprii, operatorul generează în mod independent un set de documente, cum ar fi: documentație tehnică, alte documente și rezultatele propriilor cercetări, care au servit drept bază motivată pentru confirmarea conformității personalului. sistem informatic de date cu toate cerințele necesare necesar pentru clasa a treia.

Teste de atestare (certificare). sunt realizate de organizații care dețin licențele FSTEC necesare. Totodată, certificarea este înțeleasă ca un ansamblu de măsuri care fac posibilă aducerea unui sistem informațional în conformitate cu cerințele de securitate a informațiilor pentru clasa declarată, prevăzute în documentele normative și metodologice ale FSTEC.

Testele de atestare (certificare) conțin o analiză a sistemelor de informații cu date cu caracter personal deja disponibile în unitate, precum și decizii nou adoptate pentru a asigura securitatea informațiilor și includ verificarea:

• măsuri organizatorice și de reglementare pentru asigurarea securității informațiilor;
• securitatea informațiilor de la scurgeri prin canale tehnice (PEMIN);
• securitatea informațiilor împotriva accesului neautorizat.

Pe baza rezultatelor testelor de certificare se ia decizia de a elibera un certificat de conformitate a sistemului informatic cu clasa declarată de cerințe de securitate a informațiilor. Certificatul se eliberează pentru o perioadă de trei ani.

Documentele metodologice ale FSTEC stabilesc de asemenea Cerințe suplimentare privind disponibilitatea licențelor pentru desfășurarea activităților de protecție a datelor cu caracter personal. Fără licențele corespunzătoare, astfel de evenimente sunt posibile numai pentru sistemele informatice de clasa a treia și a patra.

Pentru realizarea măsurilor de asigurare a securității datelor cu caracter personal pentru sistemele informatice speciale, sistemele de clasa I și a II-a și sistemele distribuite (inclusiv cele conectate la Internet) de clasa a treia, operatorii sunt obligați să obțină Licență FSTEC pentru activitati pe protectie tehnica informații confidențiale.

Legalitatea cerințelor de desfășurare a procedurilor de declarare, certificare (atestare) și autorizare de către instituțiile de stat și municipale pe baza documentelor metodologice FSTEC ridică îndoieli serioase.

Reglementări privind procedura de gestionare a informațiilor oficiale cu distribuție limitată în autoritățile executive federale<7>(clauza 1.2) clasifică drept proprietatea informațiilor cu distribuție limitată informațiile neclasificate referitoare la activitățile organizațiilor, restricțiile privind distribuirea cărora sunt dictate de nevoile oficiale. Stabilirea responsabilităților pentru licențierea activităților organizațiilor nu poate fi în niciun fel recunoscută de informațiile DSP.

<7>Aprobat prin Decretul Guvernului Federației Ruse din 3 noiembrie 1994 N 1233.

Responsabilitățile pentru acordarea de licențe a anumitor tipuri de activități, inclusiv activitățile de protecție tehnică a informațiilor confidențiale, sunt determinate de Legea federală „Cu privire la licențierea anumitor tipuri de activități”<8>. Procedura de autorizare a activităților de protecție tehnică a informațiilor confidențiale desfășurată de entitati legaleȘi antreprenori individuali, stabilit prin Decretul Guvernului Federației Ruse din 15 august 2006 N 504.

<8>Legea federală din 08.08.2001 N 128-FZ.

Nici Reglementările privind activitățile de licențiere pentru protecția tehnică a informațiilor confidențiale, nici Procedura de clasificare a sistemelor informatice de date cu caracter personal nu stabilesc obligații pentru licențierea activităților pentru protecția tehnică a informațiilor confidențiale în funcție de clasa sistemului informatic. Aceste cerințe sunt stabilite în documentul DSP - Măsuri de bază pentru organizarea și suportul tehnic al securității PD procesate în ISPD.

Regulamentul privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal stabilește doar că:

• instrumentele de securitate a informațiilor utilizate în sistemele informatice sunt supuse unei proceduri de evaluare a conformității în modul prescris (clauza 5) - adică nu operatorul este supus certificării, ci instrumentul de securitate a informațiilor și este realizat de producătorul de acest instrument (inclusiv program de calculator privind protecția informațiilor);
• rezultatele evaluărilor de conformitate și (sau) studiile de caz ale instrumentelor de securitate a informațiilor concepute pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale sunt evaluate în timpul unei examinări efectuate de către Serviciul Federal pentru Controlul Tehnic și al Exporturilor și Serviciul Federal de Securitate în limitele puterilor lor.

În conformitate cu partea 3 a art. 15 din Constituția Federației Ruse, toate legile, precum și orice reglementări care afectează drepturile, libertățile și îndatoririle omului și ale cetățeanului, trebuie să fie publicate oficial pentru informare publică, adică făcute publice. Actele juridice normative nepublicate nu se aplică și nu aduc consecințe juridice întrucât nu au intrat în vigoare.

Din 15 mai 1992, prin Decretul Guvernului Federației Ruse din 05/08/1992 N 305 „Cu privire la înregistrare de stat acte normative departamentale” a fost introdusă înregistrarea de stat a actelor normative ale ministerelor și direcțiilor care afectează drepturile și interesele cetățenilor și cu caracter interdepartamental.

Problemele privind înregistrarea de stat și intrarea în vigoare a actelor juridice de reglementare departamentale sunt reglementate de Decretul președintelui Federației Ruse N 763<9>și Decretul Guvernului Federației Ruse N 1009<10>.

<9>Decretul Președintelui Federației Ruse din 23 mai 1996 N 763 „Cu privire la procedura de publicare și intrare în vigoare a actelor Președintelui Federației Ruse, Guvernului Federației Ruse și actelor normative ale autorităților executive federale. ”
<10>Decretul Guvernului Federației Ruse din 13 august 1997 N 1009 „Cu privire la aprobarea Regulilor pentru pregătirea actelor juridice de reglementare ale autorităților executive federale și înregistrarea lor de stat”.

Potrivit clauzei 10 din Regulile pentru pregătirea actelor juridice normative ale autorităților executive federale și înregistrarea lor de stat, acte normative care afectează drepturile, libertățile și responsabilitățile unei persoane fizice și ale unui cetățean, care stabilesc statutul juridic al organizațiilor cu caracter interdepartamental. , indiferent de perioada de valabilitate a acestora, sunt supuse înregistrării de stat.inclusiv actele care conțin informații care constituie secret de stat sau informații cu caracter confidențial.

Înregistrarea de stat a actelor juridice normative este efectuată de Ministerul Justiției, care ține Registrul de stat al actelor juridice normative ale autorităților executive federale.

Înregistrarea de stat a unui act juridic normativ include:

• examinarea juridică a conformității acestui act cu legislația Federației Ruse, inclusiv verificarea prezenței prevederilor în acesta care contribuie la crearea condițiilor pentru corupție;
• luarea unei decizii cu privire la necesitatea înregistrării de stat a acestui act;
• atribuirea numărului de înregistrare;
• înscrierea în Registrul de stat al actelor juridice normative ale autorităților executive federale.

Actele juridice de reglementare care afectează drepturile, libertățile și responsabilitățile omului și cetățeanului, care stabilesc statutul juridic al organizațiilor sau care au caracter interdepartamental sunt supuse publicării oficiale în modul prescris, cu excepția actelor sau a dispozițiilor individuale ale acestora care conțin informații care constituie secret de stat sau informații cu caracter confidențial,

Un act recunoscut de Ministerul Justiției ca nu necesită înregistrarea de stat este supus publicării în modul stabilit de organul executiv federal care a aprobat actul. Totodată, procedura de intrare în vigoare a acestui act este determinată și de organul executiv federal care l-a emis.

Prin urmare, în opinia autorului, instituțiile de stat și municipale care efectuează prelucrarea automată a datelor cu caracter personal, în cazul solicitărilor de obținere a licențelor, efectuarea de declarații sau certificare (atestare), pot contesta în instanță aceste cerințe (mai ales dacă mijloacele de protejarea datelor cu caracter personal utilizate au fost deja certificate producătorul lor).

A.Bethlehemsky

director

Centrul Nijni Novgorod

economia educaţiei

Nr. de înregistrare 11462

În conformitate cu paragraful 6 din Regulamentul privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu caracter personal, aprobat prin Decretul Guvernului Federației Ruse din 17 noiembrie 2007 N 781 „Cu privire la aprobarea Regulamentului privind asigurarea securitatea datelor cu caracter personal în timpul prelucrării lor în sistemele de informații cu date cu caracter personal „(Legislația colectată a Federației Ruse, 2007, nr. 48, partea a II-a, art. 6001), comandăm:

Aprobați Procedura atașată de clasificare a sistemelor informatice de date cu caracter personal.

Director

Serviciul federal

privind controlul tehnic și la export

S. Grigorov

Director al Serviciului Federal de Securitate

Federația Rusă

N. Patrushev

Ministrul Tehnologiilor Informaționale și Comunicațiilor al Federației Ruse

L. Reiman

Procedura de clasificare a sistemelor informatice de date cu caracter personal

1. Prezenta Procedură determină clasificarea sistemelor informatice de date cu caracter personal, care sunt un set de date cu caracter personal conținute în baze de date, precum și tehnologiile informaționale și mijloacele tehnice care permit prelucrarea acestor date cu caracter personal folosind instrumente de automatizare (denumite în continuare sisteme informatice). )1.

2. Clasificarea sistemelor informatice se realizeaza de catre organele de stat, organele municipale, persoanele juridice si persoanele fizice care organizeaza si (sau) desfasoara prelucrarea datelor cu caracter personal, precum si determinarea scopurilor si continutului prelucrarii datelor cu caracter personal ( denumit în continuare operator)2.

3. Clasificarea sistemelor informatice se realizeaza in stadiul realizarii sistemelor informatice sau in timpul functionarii acestora (pentru sisteme informatice puse in functiune anterior si (sau) modernizate) in vederea stabilirii metodelor si mijloacelor de protectie a informatiilor necesare asigurarii securitatii. a datelor personale.

4. Efectuarea clasificării sistemelor informaționale include următoarele etape:

colectarea și analiza datelor inițiale privind sistemul informațional:

atribuirea clasei corespunzătoare sistemului informaţional şi documentaţiei acestuia.

5. La clasificarea unui sistem informatic se iau în considerare următoarele date inițiale:

volumul datelor cu caracter personal prelucrate (numărul persoanelor vizate ale căror date cu caracter personal sunt prelucrate în sistemul informațional) - X npd;

caracteristicile de securitate ale datelor cu caracter personal prelucrate în sistemul informatic specificat de operator;

structura sistemului informatic;

Disponibilitatea conexiunilor sistemului informatic la rețelele de comunicații uz comunși (sau) rețele internaționale schimb de informatii;

modul de prelucrare a datelor cu caracter personal;

modul de delimitare a drepturilor de acces ale utilizatorilor sistemului informatic;

amplasarea mijloacelor tehnice ale sistemului informatic.

6. Sunt definite următoarele categorii de date cu caracter personal prelucrate în sistemul informatic (XPD):

7. X npd poate lua următoarele valori:

1 - sistemul informatic prelucrează simultan date cu caracter personal ale a peste 100.000 de persoane vizate de date cu caracter personal sau date cu caracter personal ale persoanelor vizate de date cu caracter personal din cadrul unei entități constitutive a Federației Ruse sau a Federației Ruse în ansamblu;

2 - sistemul informațional prelucrează simultan date cu caracter personal de la 1.000 la 100.000 de persoane vizate de date cu caracter personal sau date cu caracter personal ale persoanelor vizate de date cu caracter personal care lucrează în sectorul economic al Federației Ruse, într-un organism guvernamental, care locuiește într-o municipalitate;

3 - sistemul informatic prelucrează simultan date a mai puțin de 1000 de persoane vizate de date cu caracter personal sau date cu caracter personal ale persoanelor vizate de date cu caracter personal din cadrul unei anumite organizații.

8. Conform caracteristicilor de securitate ale datelor cu caracter personal prelucrate în sistemul informatic specificat de operator, sistemele informatice sunt împărțite în sisteme informatice standard și speciale.

Sistemele informaționale tipice sunt sistemele informaționale care necesită doar asigurarea confidențialității datelor cu caracter personal.

Sistemele informatice speciale sunt sisteme informatice în care, indiferent de necesitatea asigurării confidențialității datelor cu caracter personal, este necesar să se asigure cel puțin una dintre caracteristicile de securitate ale datelor cu caracter personal, altele decât confidențialitatea (securitate față de distrugere, modificare, blocare, precum și ca și alte acțiuni neautorizate).

Sistemele informatice speciale ar trebui să includă:

sisteme informatice în care sunt prelucrate date cu caracter personal referitoare la starea de sănătate a subiecților datelor cu caracter personal;

sisteme informatice care prevăd adoptarea, bazată exclusiv pe prelucrarea automată a datelor cu caracter personal, a unor decizii care dau naștere la consecințe juridice în legătură cu subiectul datelor cu caracter personal sau îi afectează în alt mod drepturile și interesele legitime.

9. După structura lor, sistemele informaționale se împart în:

în complexe autonome (neconectate la alte sisteme informaţionale) de tehnică şi software dispozitive destinate prelucrării datelor cu caracter personal (stații de lucru automate);

la complexe de stații de lucru automatizate, unite într-un singur sistem informațional prin mijloace de comunicare fără utilizarea tehnologiei acces de la distanță(sisteme informaționale locale);

la complexe de stații de lucru automate și (sau) sisteme informaționale locale, combinate într-un singur sistem informațional prin intermediul comunicațiilor folosind tehnologia de acces la distanță (sisteme de informații distribuite).

10. Pe baza prezenței conexiunilor la rețelele publice de comunicații și (sau) la rețelele internaționale de schimb de informații, sistemele informaționale se împart în sisteme cu conexiuni și sisteme fără conexiuni.

11. După modul de prelucrare a datelor cu caracter personal în sistemul informațional, sistemele informaționale se împart în utilizator unic și multiutilizator.

12. Pe baza delimitării drepturilor de acces ale utilizatorilor, sistemele informaționale se împart în sisteme fără delimitare a drepturilor de acces și sisteme cu delimitare a drepturilor de acces.

13. Sistemele informaționale, în funcție de locația mijloacelor lor tehnice, sunt împărțite în sisteme, toate mijloacele tehnice fiind situate în Federația Rusă și sisteme ale căror mijloace tehnice sunt parțial sau în întregime situate în afara Federației Ruse.

14. Pe baza rezultatelor analizei datelor sursă, unui sistem informațional tipic i se atribuie una dintre următoarele clase:

clasa 1 (K1) - sisteme informatice pentru care încălcare caracteristici date securitatea datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative semnificative pentru subiecții datelor cu caracter personal;

clasa 2 (K2) - sisteme informatice pentru care o încălcare a caracteristicilor de securitate specificate a datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative pentru subiecții datelor cu caracter personal;

clasa 3 (K3) - sisteme informatice pentru care o încălcare a caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative minore pentru subiecții datelor cu caracter personal;

clasa 4 (K4) - sisteme informatice pentru care încălcarea caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea nu duce la consecințe negative pentru subiecții datelor cu caracter personal.

15. Clasa unui sistem informatic tipic este determinată în conformitate cu tabelul.

16. Pe baza rezultatelor analizei datelor sursă, clasa unui sistem informatic special se determină pe baza unui model de amenințări la adresa securității datelor cu caracter personal în conformitate cu documentele metodologice elaborate în conformitate cu alin.2 din Decret. al Guvernului Federației Ruse din 17 noiembrie 2007 N 781 „Cu privire la aprobarea Regulamentului privind asigurarea securității datelor cu caracter personal atunci când sunt prelucrate în sistemele de informații cu date cu caracter personal”3.

17. Dacă în cadrul unui sistem informațional sunt identificate subsisteme, fiecare dintre acestea fiind un sistem informațional, sistemului informațional în ansamblu i se atribuie o clasă care corespunde cel mai mult de inalta clasa subsisteme incluse în acesta.

18. Rezultatele clasificării sistemelor informatice sunt documentate în actul corespunzător al operatorului.

19. Clasa sistemului informatic poate fi revizuită:

prin decizie a operatorului pe baza analizei și evaluării sale a amenințărilor la adresa securității datelor cu caracter personal, luând în considerare caracteristicile și (sau) modificările unui sistem informatic specific;

pe baza rezultatelor măsurilor de monitorizare a respectării cerințelor de asigurare a securității datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional.

1 Alineatul unu al paragrafului 1 din Regulamentul privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal, aprobat prin Decretul Guvernului Federației Ruse din 17 noiembrie 2007.

N 781 (Colecția de legislație a Federației Ruse, 2007, N 48, partea II,

2Alineatul unu al clauzei 6 din Regulament.

3Legislația colectată a Federației Ruse 2007, N 48, partea II,Artă. 6001.

Unul dintre elementele cheie în stadiul inițial de furnizare securitatea informatiei este procesul de clasificare a sistemului protejat în funcție de cerințele de securitate a informațiilor. Acest proces Este destul de bine descris și reglementat, dar are propriile sale subtilități. În articolul precedent, am examinat conceptul de clasificare a sistemelor, principalele criterii de clasificare frecvent întâlnite, am determinat componența documentelor pe baza cărora sistemele sunt clasificate în funcție de cerințele de securitate a informațiilor și am clarificat probleme individuale privind clasificarea sistemelor informaţionale şi a obiectelor contabile. În acest articol ne vom uita ordine generală efectuarea clasificării sistemelor informaționale în funcție de cerințele de securitate a informațiilor folosind exemplul unui sistem informatic de stat abstract, precum și o serie de puncte principale la realizarea clasificării.

Înainte de a începe, trebuie să fiți foarte clar cu privire la următoarele puncte de bază:

1. Prin clasificare vom înțelege împărțirea unui set general de obiecte în submulțimi - clase, grupate după cele mai esențiale caracteristici, în timp ce prin clasă vom înțelege un set de obiecte care au anumite caracteristici de comunalitate, care, la rândul lor, va fi o caracteristică – un criteriu de clasificare.

2. Clasificarea multiplă conform cerințelor de securitate a informațiilor nu este eronată.

3. Alegerea procedurii de clasificare se realizează pe baza obiectivelor creării sistemului, compoziției informațiilor de prelucrat și analizat, documentației normative, metodologice și de altă natură la care trebuie să se conformeze sistemul clasificat.

4. Rezultatul clasificării este actul clasificării.

5. Rezultatele clasificării nu sunt finale și pot fi supuse revizuirii.

6. Clasificarea este efectuată de proprietarul informațiilor.

Întrebările de la 1 la 5 au fost discutate în detaliu în articolul precedent, așa că le vom omite și le vom privi pe celelalte mai detaliat.

Să începem cu unul simplu: „Rezultatul clasificării este actul clasificării”. Acest lucru stabilite prin cerințele clauzei 14.2, care stabilește cerințele pentru orice sistem informațional de stat.

Una dintre greșelile frecvente la întocmirea unui act se referă la cazurile în care sunt efectuate clasificări multiple ale sistemelor. În acest caz, este necesar să se efectueze clasificarea în mod independent, fără a se baza pe rezultatele clasificărilor anterioare (dacă aceasta nu contrazice ordinea de clasificare), iar rezultatul ar trebui să fie formalizat în acte separate de clasificare.

Este de remarcat faptul că nu există o cerință strictă pentru prezența actelor de clasificare separate. Toate informațiile bazate pe rezultatele clasificării multiple pot fi reflectate într-un singur act. Cu toate acestea, acest lucru duce adesea la confuzii și neplăceri inutile pentru continuarea lucrărilor cu documentul. De aceea recomandăm ca actele de încadrare să fie întocmite în acte separate.

Să trecem la punctul 5: „Rezultatele clasificării nu sunt definitive și pot fi revizuite”. Această afirmație urmează pe baza logicii formale a procesului în sine, deoarece condițiile de funcționare ale obiectului de clasificare, scopurile, obiectivele și alte aspecte ale acestuia se pot schimba. Criteriile de clasificare în sine se pot schimba sau transforma. În plus, documentul de stabilire a procedurii de clasificare conține adesea informații despre procedura de revizuire a rezultatelor clasificării. Astfel, conform clauzei 14.2 din ordinul FSTEC al Rusiei din 13 februarie 2013 nr. 17, clasa de securitate a unui sistem informatic este supusă revizuirii atunci când amploarea sistemului informatic sau semnificația informațiilor procesate în acesta schimbări. Procedura de revizuire a rezultatelor clasificării nu este practic diferită de procesul de clasificare în sine.

Să trecem la ultima afirmație: „Clasificarea este efectuată de proprietarul informațiilor”. În primul rând, să stabilim cine este „proprietarul informațiilor”. Potrivit art. 2 din Legea federală a Federației Ruse din 27 iulie 2006 „Cu privire la informații, tehnologiile informației și protecția informațiilor” nr. 149-FZ „proprietarul de informații este o persoană care a creat în mod independent informații sau a primit, pe baza unei legea sau acordul, dreptul de a permite sau restricționa accesul la informații determinat din orice motiv.” Drepturile deținătorului informațiilor sunt stabilite la articolul 6 din legea de mai sus:

„1. Proprietarul informațiilor, cu excepția cazului în care legile federale prevede altfel, are dreptul:

• permite sau restricționa accesul la informații, stabilește procedura și condițiile pentru un astfel de acces;
• utilizați informațiile, inclusiv difuzarea acestora, la propria discreție;
• transferul de informații către alte persoane în temeiul unui contract sau din alte motive stabilite de lege;
• protejați-vă drepturile prin mijloace legale în cazul primirii ilegale a informațiilor sau a acestora utilizare ilegală alte persoane;
• efectuează alte acțiuni cu informații sau autorizează astfel de acțiuni.

În exercitarea drepturilor sale, proprietarul informațiilor este obligat să:

• să respecte drepturile și interesele legitime ale altor persoane;
• ia măsuri pentru protejarea informațiilor;
• restricționează accesul la informații dacă o astfel de obligație este stabilită de legile federale.”

Pe baza definiției proprietarului informațiilor și a drepturilor acestuia, devine evident că acesta este cel care are dreptul de a efectua clasificarea, întrucât clasificarea este parte integrantă a formării cerințelor de protecție a informațiilor conținute în sistemul informațional. , care, la rândul său, face parte din activitatea de asigurare a securității informațiilor în stadiul inițial. Adesea, mulți oameni pierd din vedere această nuanță, ceea ce duce la apariția unor documente eronate, pe baza cărora există, printre altele, munca in continuare privind securitatea informațiilor, care este o încălcare directă a legislației Federației Ruse. O serie de organisme de reglementare, pentru a clarifica acest punct, indică clar acest lucru în documentele lor de reglementare, de exemplu, în paragraful 14 al ordinului FSTEC al Rusiei din 13 februarie 2013 nr. 17. În plus, trebuie să se înțeleagă că proprietarul informațiilor are dreptul de a-și delega responsabilitățile dacă acest lucru nu contravine cerințelor legale sau de altă natură. În acest caz, chiar faptul de transfer acest drept, de exemplu, o instituție subordonată, trebuie înregistrată corespunzător. Separat, trebuie remarcat faptul că în absență clasificarea unui sistem informațional în funcție de cerințele de securitate a informațiilor drept legal pur și simplu nu are sens.

Acum să trecem la procedura imediată pentru efectuarea clasificării. La efectuarea clasificării, se recomandă să urmați următoarea procedură:

1. Prin ordin al conducătorului (adjunctul autorizat) al organizației care este proprietarul legal al informațiilor prelucrate în sistemul de informații clasificate, desemnează o comisie care să realizeze clasificarea. Ordinul ar trebui să reflecte:

• componența comisiei cu indicarea numelui complet, funcția și rolul funcțional al fiecărui membru al comisiei;
• denumirea sistemului clasificat (sau mai multor sisteme);
• documente în conformitate cu care trebuie făcută clasificarea;
• momentul de clasificare.

2. Familiarizați toți membrii comisiei cu ordinul.

3. Stabiliți ora pentru ședința comisiei.

4. Comisioane conform protocolului din potriveste oraîntâlniri pentru a stabili:

• procedura de realizare a clasificării în conformitate cu cerințele documentului pe baza căruia se efectuează clasificarea;
• determina compozitia caracteristici de clasificare, semnificativ în timpul clasificării;
• determinați valorile caracteristicilor de clasificare pentru sistemul de clasificat;
• setați clasa sistemului informațional.

5. În baza procesului-verbal al ședinței comisiei de clasificare, consemnați rezultatul final al clasamentului în actul de clasificare.

6. În conformitate cu procedura stabilită, transmiteți spre aprobare actul de clasificare șefului (adjunctul autorizat) al organizației.

Să luăm în considerare în detaliu procesul de organizare a unei reuniuni a comisiei de clasificare. Vom efectua clasificarea în conformitate cu cerințele următoarelor documente:

• Decretul Guvernului Federației Ruse din 1 noiembrie 2012 „Cu privire la aprobarea cerințelor pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal” nr. 1119.

Procedura de clasificare în aceste documente este clar menționată, la fel ca și principalele criterii de clasificare:

• nivelul de semnificație al informațiilor, care este determinat de gradul de posibilă prejudiciu adus proprietarului informațiilor (clientului) și (sau) operatorului din încălcarea confidențialității (acces ilegal, copiere, furnizare sau distribuire), a integrității (distrugerea ilegală sau modificare) sau disponibilitatea (blocarea ilegală) a informațiilor. Sistemul informatic de stat poate avea unul dintre nivelurile următoare semnificaţie:
• CL 1, dacă pentru cel puțin una dintre proprietățile de securitate a informațiilor (confidențialitate, integritate, disponibilitate) se determină un grad ridicat de deteriorare;
• PL 2, dacă pentru cel puțin una - se determină gradul mediu de pagubă și nu există un singur bun pentru care să se determine un grad mare de pagubă;
• Nivelul 3, dacă pentru toate - sunt determinate grade scăzute de daune.

În acest caz, gradul de deteriorare posibilă este determinat de proprietarul informațiilor și (sau) de operator în mod independent, folosind metode experte sau alte metode și poate fi:

• mare dacă, ca urmare a încălcării uneia dintre proprietățile de securitate a informațiilor (confidențialitate, integritate, disponibilitate), sunt posibile consecințe negative semnificative în domeniile sociale, politice, internaționale, economice, financiare sau în alte domenii de activitate și (sau) în sistemul informațional. și (sau) operatorul (deținătorul de informații) ) nu poate îndeplini funcțiile care le sunt atribuite;
• mediu, dacă ca urmare a încălcării uneia dintre proprietățile de securitate a informațiilor (confidențialitate, integritate, disponibilitate), sunt posibile consecințe negative moderate în domeniile sociale, politice, internaționale, economice, financiare sau în alte domenii de activitate și (sau) în sistemul informațional. și (sau) operatorul (deținătorul de informații) ) nu poate îndeplini cel puțin una dintre funcțiile care le sunt atribuite;
• scăzut dacă, ca urmare a încălcării uneia dintre proprietățile de securitate a informațiilor (confidențialitate, integritate, disponibilitate), sunt posibile consecințe negative minore în domeniile sociale, politice, internaționale, economice, financiare sau în alte domenii de activitate și (sau) în sistemul informațional. și (sau) operatorul (deținătorul de informații) ) poate îndeplini funcțiile care le sunt atribuite cu o eficiență insuficientă sau îndeplinirea funcțiilor este posibilă numai cu implicarea unor forțe și mijloace suplimentare.
• scara sistemului:
• Federal, dacă operează pe teritoriul Federației Ruse (în limita District federal) și are segmente în entitățile constitutive ale Federației Ruse, municipalități și (sau) organizații;
• Regional, dacă operează pe teritoriul unei entități constitutive a Federației Ruse și are segmente în una sau mai multe municipalități și (sau) organizații subordonate și alte organizații;
• Pe bază de obiecte, dacă funcționează la facilitățile unui organism guvernamental federal, a unui organism guvernamental al unei entități constitutive a Federației Ruse, a unei entități municipale și (sau) organizații și nu are segmente în organele teritoriale, reprezentanțe, sucursale, subordonate și alte organizații.
• tip de amenințări curente:
• Amenințări de tip 1 - relevante pentru un sistem informațional dacă amenințările asociate cu prezența capacităților nedocumentate (nedeclarate) în sistem sunt relevante pentru acesta software utilizate în sistemul informațional;
• Amenințări de tip 2 - relevante pentru un sistem informațional dacă amenințările asociate cu prezența capacităților nedocumentate (nedeclarate) în aplicația software utilizată în sistemul informațional sunt relevante pentru acesta;
• Amenințări de tip 3 - relevante pentru un sistem informațional dacă amenințările care nu sunt legate de prezența capacităților nedocumentate (nedeclarate) în sistem și aplicația software utilizată în sistemul informațional sunt relevante pentru acesta.
• categorie de date cu caracter personal prelucrate:
• categorii speciale de date cu caracter personal;
• date personale biometrice;
• alții;
• public.
• numărul de subiecți ale căror date cu caracter personal sunt prelucrate:
• peste 100.000;
• mai putin de 100.000.
• afilierea persoanelor vizate de date cu caracter personal:
• angajații operatorului;
• nu angajaţii operatorului.
• aparținând subiecților datelor cu caracter personal (nu angajaților operatorului). Aici este important de inteles ca daca exista cel putin un subiect PD ale carui date personale sunt prelucrate in sistem si nu este angajat al operatorului, atunci putem accepta aceasta valoare implicit;
• numărul persoanelor vizate de date cu caracter personal: pentru sistemul nostru acest număr nu va depăși 100.000;
• categorie de date cu caracter personal: de exemplu, pentru sistemul nostru - alte date personale. La determinarea acestui parametru, este suficient să înțelegem exact ce informații aparțin cărei categorii de PD. Dacă informații de la diferite categorii, atunci sistemul ar trebui să selecteze valoarea caracteristicii în funcție de cel mai înalt indicator, și anume:
• categorii speciale de date cu caracter personal dacă sunt prelucrate informații despre rasă, naționalitate, opinii politice, convingeri religioase sau filozofice, starea de sănătate, viața intimă a subiecților datelor cu caracter personal;
• date cu caracter personal biometrice, dacă, în primul rând, nu sunt prelucrate informații referitoare la categorii speciale de date cu caracter personal și, în al doilea rând, dacă prelucrează informații care caracterizează caracteristicile fiziologice și biologice ale unei persoane, pe baza cărora se poate stabili identitatea acesteia și care este utilizat de operator pentru a stabili identitatea subiectului datelor cu caracter personal;
• date cu caracter personal disponibile public, în cazul în care prelucrează date cu caracter personal ale subiecților datelor cu caracter personal obținute numai din surse publice de date cu caracter personal create în conformitate cu articolul 8 din Legea federală din 27 iulie 2006 „Cu privire la datele cu caracter personal” nr. 152-FZ;
• altele, dacă nu prelucrează datele personale specificate mai sus.
• după tipul de amenințări la adresa securității datelor cu caracter personal. Nu întâmplător am lăsat acest parametru pentru final, deoarece depinde de Modelul de amenințare la securitatea datelor cu caracter personal, care trebuie să indice amenințările actuale. Să fie acestea amenințări de tip 3 pentru sistemul nostru.

Proces de definire valorile finale fiecare dintre caracteristicile de clasificare este determinată prin mijloace de expertiză, de obicei ca urmare a unei opinii consolidate a unui expert, așa că să trecem imediat la definirea acestor caracteristici pentru sistemul nostru abstract de informații de stat la scară federală. Astfel, în conformitate cu ordinul FSTEC al Rusiei din 13 februarie 2013 nr. 17, vom determina prejudiciul maxim de la încălcarea uneia dintre proprietățile de siguranță. La determinarea acesteia, este suficient să se facă referire la setul complet de funcții implementate de sistem; încălcarea unei proprietăți specifice va duce la imposibilitatea de a efectua cel puțin una dintre ele. Luăm în considerare fiecare, evaluăm consecințele, găsim indicatorul maxim și îl comparăm cu lista de valori KZ. În exemplul nostru, gradul de deteriorare maximă va fi mediu, atunci KZ 2 este nivelul dorit de semnificație a informațiilor.

După determinarea valorilor caracteristicilor de clasificare specificate, tot ce trebuie să facem este să stabilim clasa de securitate a sistemului nostru în conformitate cu logica documentelor discutate mai sus și să reflectăm corect rezultatul activităților comisiei, mai întâi în protocol, iar apoi în actul de clasificare.

Astfel, în acest articol am examinat procedura generală de clasificare a sistemelor informaționale în funcție de cerințele de securitate a informațiilor folosind exemplul unui sistem informatic de stat abstract, considerat o serie de puncte principale și ascunse. capcanele la efectuarea clasificării. În articolul următor ne vom uita la procedura de înregistrare documente standard la efectuarea clasificării (ordinul de creare a unei comisii, procesul-verbal al ședinței comisiei și actul de clasificare), le vom completa pentru sistemul nostru de abstract și vom pregăti formulare tip șablon.

Textul documentului:

Ordin Cu privire la aprobarea procedurii de clasificare a sistemelor informatice de date cu caracter personal

În conformitate cu paragraful 6 din Regulamentul privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu caracter personal, aprobat prin Decretul Guvernului Federației Ruse din 17 noiembrie 2007 N 781 „Cu privire la aprobarea Regulamentului privind asigurarea securitatea datelor cu caracter personal în timpul prelucrării lor în sistemele de informații cu date cu caracter personal „(Legislația colectată a Federației Ruse, 2007, nr. 48, partea a II-a, art. 6001), comandăm:

Aprobați Procedura atașată de clasificare a sistemelor informatice de date cu caracter personal.

Director

Serviciul federal

pe tehnic

și controale la export

S.I.GRIGOROV

Director

Serviciul Federal de Securitate

Federația Rusă

N.P.PATRUSHEV

tehnologia informaţiei şi comunicaţiilor

Federația Rusă

L.D.REIMAN

Aprobat

In ordine

FSTEC din Rusia,

FSB al Rusiei,

Ministerul Informațiilor și Comunicațiilor al Rusiei

ORDIN

CLASIFICAREA SISTEMELOR DE INFORMAȚII

DATE PERSONALE

1. Prezenta Procedură determină clasificarea sistemelor informatice de date cu caracter personal, care sunt un set de date cu caracter personal conținute în baze de date, precum și tehnologiile informaționale și mijloacele tehnice care permit prelucrarea acestor date cu caracter personal folosind instrumente de automatizare (denumite în continuare sisteme informatice). )

2. Clasificarea sistemelor informatice se realizeaza de catre organele de stat, organele municipale, persoanele juridice si persoanele fizice care organizeaza si (sau) desfasoara prelucrarea datelor cu caracter personal, precum si determinarea scopurilor si continutului prelucrarii datelor cu caracter personal ( denumit în continuare operator).

3. Clasificarea sistemelor informatice se realizeaza in stadiul realizarii sistemelor informatice sau in timpul functionarii acestora (pentru sisteme informatice puse in functiune anterior si (sau) modernizate) in vederea stabilirii metodelor si mijloacelor de protectie a informatiilor necesare asigurarii securitatii. a datelor personale.

4. Efectuarea clasificării sistemelor informaționale include următoarele etape:

colectarea și analiza datelor inițiale privind sistemul informațional;

atribuirea clasei corespunzătoare sistemului informaţional şi documentaţiei acestuia.

5. La clasificarea unui sistem informatic se iau în considerare următoarele date inițiale:

volumul datelor cu caracter personal prelucrate (număr de subiecți

date cu caracter personal, ale căror date cu caracter personal sunt prelucrate în

sistem informatic) - X;

caracteristicile de securitate ale datelor cu caracter personal prelucrate în sistemul informatic specificat de operator;

structura sistemului informatic;

disponibilitatea conexiunilor sistemului informatic la rețelele publice de comunicații și (sau) rețelele internaționale de schimb de informații;

modul de prelucrare a datelor cu caracter personal;

modul de delimitare a drepturilor de acces ale utilizatorilor sistemului informatic;

amplasarea mijloacelor tehnice ale sistemului informatic.

6. Sunt definite următoarele categorii de informații prelucrate:

7. X poate lua următoarele valori:

1 - sistemul informatic prelucrează simultan date cu caracter personal ale a peste 100.000 de persoane vizate de date cu caracter personal sau date cu caracter personal ale persoanelor vizate de date cu caracter personal din cadrul unei entități constitutive a Federației Ruse sau a Federației Ruse în ansamblu;

2 - sistemul informațional prelucrează simultan date cu caracter personal de la 1.000 la 100.000 de persoane vizate de date cu caracter personal sau date cu caracter personal ale persoanelor vizate de date cu caracter personal care lucrează în sectorul economic al Federației Ruse, într-o agenție guvernamentală, care locuiește într-o municipalitate;

3 - sistemul informatic prelucrează simultan date a mai puțin de 1000 de persoane vizate de date cu caracter personal sau date cu caracter personal ale persoanelor vizate de date cu caracter personal din cadrul unei anumite organizații.

8. Conform caracteristicilor de securitate ale datelor cu caracter personal prelucrate în sistemul informatic specificat de operator, sistemele informatice sunt împărțite în sisteme informatice standard și speciale.

Sistemele informaționale tipice sunt sistemele informaționale care necesită doar asigurarea confidențialității datelor cu caracter personal.

Sistemele informatice speciale sunt sisteme informatice în care, indiferent de necesitatea asigurării confidențialității datelor cu caracter personal, este necesar să se asigure cel puțin una dintre caracteristicile de securitate ale datelor cu caracter personal, altele decât confidențialitatea (securitate față de distrugere, modificare, blocare, precum și ca și alte acțiuni neautorizate).

Sistemele informatice speciale ar trebui să includă:

sisteme informatice în care sunt prelucrate date cu caracter personal referitoare la starea de sănătate a subiecților datelor cu caracter personal;

sisteme informatice care prevăd adoptarea, bazată exclusiv pe prelucrarea automată a datelor cu caracter personal, a unor decizii care dau naștere la consecințe juridice în legătură cu subiectul datelor cu caracter personal sau îi afectează în alt mod drepturile și interesele legitime.

9. După structura lor, sistemele informaționale se împart în:

pentru complexe autonome (neconectate la alte sisteme informatice) de hardware si software destinate prelucrarii datelor cu caracter personal (statii de lucru automate);

la complexe de stații de lucru automatizate integrate într-un singur sistem informațional prin intermediul mijloacelor de comunicare fără utilizarea tehnologiei de acces la distanță (sisteme informaționale locale);

la complexe de stații de lucru automate și (sau) sisteme informaționale locale, combinate într-un singur sistem informațional prin intermediul comunicațiilor folosind tehnologia de acces la distanță (sisteme de informații distribuite).

10. Pe baza prezenței conexiunilor la rețelele publice de comunicații și (sau) la rețelele internaționale de schimb de informații, sistemele informaționale se împart în sisteme cu conexiuni și sisteme fără conexiuni.

11. După modul de prelucrare a datelor cu caracter personal în sistemul informațional, sistemele informaționale se împart în utilizator unic și multiutilizator.

12. Pe baza delimitării drepturilor de acces ale utilizatorilor, sistemele informaționale se împart în sisteme fără delimitare a drepturilor de acces și sisteme cu delimitare a drepturilor de acces.

13. Sistemele informaționale, în funcție de locația mijloacelor lor tehnice, sunt împărțite în sisteme, toate mijloacele tehnice fiind situate în Federația Rusă și sisteme ale căror mijloace tehnice sunt parțial sau în întregime situate în afara Federației Ruse.

14. Pe baza rezultatelor analizei datelor sursă, unui sistem informațional tipic i se atribuie una dintre următoarele clase:

clasa 1 (K1) - sisteme informatice pentru care o încălcare a caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative semnificative pentru subiecții datelor cu caracter personal;

clasa 2 (K2) - sisteme informatice pentru care o încălcare a caracteristicilor de securitate specificate a datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative pentru subiecții datelor cu caracter personal;

clasa 3 (K3) - sisteme informatice pentru care o încălcare a caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative minore pentru subiecții datelor cu caracter personal;

clasa 4 (K4) - sisteme informatice pentru care încălcarea caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea nu duce la consecințe negative pentru subiecții datelor cu caracter personal.

15. Clasa unui sistem informatic tipic este determinată în conformitate cu tabelul.

16. Pe baza rezultatelor analizei datelor sursă, clasa unui sistem informatic special se determină pe baza unui model de amenințări la adresa securității datelor cu caracter personal în conformitate cu documentele metodologice elaborate în conformitate cu alin.2 din Decret. al Guvernului Federației Ruse din 17 noiembrie 2007 N 781 „Cu privire la aprobarea Regulamentului privind asigurarea securității datelor cu caracter personal atunci când sunt prelucrate în sistemele de informații cu date cu caracter personal”.

17. Dacă în cadrul unui sistem informațional sunt identificate subsisteme, fiecare dintre acestea fiind un sistem informațional, sistemului informațional în ansamblu i se atribuie o clasă corespunzătoare celei mai înalte clase a subsistemelor sale.

18. Rezultatele clasificării sistemelor informatice sunt documentate în actul corespunzător al operatorului.

19. Clasa sistemului informatic poate fi revizuită:

prin decizie a operatorului pe baza analizei și evaluării sale a amenințărilor la adresa securității datelor cu caracter personal, luând în considerare caracteristicile și (sau) modificările unui sistem informatic specific;

pe baza rezultatelor măsurilor de monitorizare a respectării cerințelor de asigurare a securității datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional.

Un act de clasificare ISPD, de regulă, este un document confidențial și trebuie să aibă o ștampilă de confidențialitate („Confidențial”, „DSP”, „Secret comercial”) și un număr de cont.

Pentru a efectua clasificarea, trebuie creată o comisie la întreprindere. Comisia trebuie să includă o persoană responsabilă cu protecția datelor cu caracter personal. Comisia trebuie să fie numită prin ordin al șefului și să își desfășoare activitățile în baza Regulamentului privind comisia de clasificare. Pe baza rezultatelor clasificării trebuie întocmit un act. Actul de clasificare ISPD trebuie aprobat de președintele comisiei și semnat de toți membrii comisiei.

Cum se întocmește un act de clasificare ISPD

Se întocmește un raport de clasificare pentru fiecare ISPD identificat. Pe baza datelor primite de la fiecare ISPD se determină nivelul necesar de protecție a datelor cu caracter personal. Acest lucru este necesar pentru stabilirea cerințelor care să asigure protecția sistemului informatic al datelor cu caracter personal. Nivelul de securitate al datelor cu caracter personal este determinat în conformitate cu Decretul Guvernului Federației Ruse din 1 noiembrie 2012 nr. 1119 „Cu privire la aprobarea cerințelor pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal”.

Actul prevede:

• datele personale prelucrate în sistem;
• volumul datelor cu caracter personal prelucrate;
• tipul de amenințări curente la adresa ISPD;
• structura sistemului informatic;
• disponibilitatea conexiunilor la rețele publice de comunicații și (sau) rețele internaționale de schimb de informații;
• modul de prelucrare a datelor cu caracter personal în sistem;
• diferențierea drepturilor de acces ale utilizatorilor;
• locația ISPDn;
• Nivel de securitate PD.

Actul de clasificare ISPD poate include sisteme care stochează următoarele date:

• categorii speciale de date cu caracter personal - informații referitoare la rasă, naționalitate, opinii politice, convingeri religioase sau filozofice, starea de sănătate, viața intimă a subiecților datelor cu caracter personal;
• date personale biometrice – informații care caracterizează caracteristicile fiziologice și biologice ale unei persoane, pe baza cărora se poate stabili identitatea acesteia și care este utilizată de operator pentru stabilirea identității subiectului datelor cu caracter personal;
• date cu caracter personal disponibile publicului – informații obținute numai din surse publice de date cu caracter personal create în conformitate cu articolul 8 din Legea federală „Cu privire la datele cu caracter personal”.

Este destul de rar să găsiți sisteme în care sunt prelucrate date cu caracter personal de categoria 3. Acest lucru se datorează faptului că pentru sarcini reale avem nevoie nu numai de date care identifică subiectul (numele complet, detaliile pașaportului), ci și Informații suplimentare despre el (de exemplu, informații despre salariu).

Cele mai comune sisteme informatice sunt cele in care sunt prelucrate date cu caracter personal de categoria 2. De exemplu, sistemele de salarizare a angajaților.

Volumul datelor cu caracter personal prelucrate determină numărul de subiecți ale căror date cu caracter personal sunt prelucrate în sistem. Se aplică următoarea gradare:

• peste 100.000 de persoane vizate de date cu caracter personal;
• mai puțin de 100.000 de persoane vizate de date cu caracter personal.

Tipuri de amenințări la adresa securității datelor cu caracter personal

Tipul de amenințări curente pentru ISPD:

• Amenințările de tip 1 sunt relevante pentru un sistem informațional dacă, printre altele, amenințările asociate cu prezența capacităților nedocumentate (nedeclarate) în software-ul de sistem utilizat în sistemul informațional sunt relevante pentru acesta;
• Amenințările de tip 2 sunt relevante pentru un sistem informațional dacă, printre altele, amenințările asociate cu prezența capacităților nedocumentate (nedeclarate) în aplicația software utilizată în sistemul informațional sunt relevante pentru acesta;
• Amenințările de tip 3 sunt relevante pentru un sistem informațional dacă amenințările care nu sunt legate de prezența capacităților nedocumentate (nedeclarate) în sistem și software-ul aplicației utilizate în sistemul informatic sunt relevante pentru acesta.

După tip, sistemele de informare a datelor cu caracter personal descrise în actul de clasificare ISPD sunt împărțite în standard și speciale. ISPD tipice sunt sistemele informaționale în care este necesar să se asigure numai confidențialitatea PD. ISPD speciale sunt sisteme informatice în care, pe lângă confidențialitate, este necesar să se asigure cel puțin încă o caracteristică a securității datelor cu caracter personal (integritate, disponibilitate).

În plus, sistemele speciale includ toate ISPD-urile care prelucrează date privind sănătatea subiecților și ISPD-urile care prevăd adoptarea de decizii care generează consecințe juridice pentru subiect pe baza prelucrării automate.

Majoritatea ISPD-urilor existente sunt speciale. Acest lucru se datorează faptului că, pe lângă confidențialitate, este, de asemenea, important ca datele cu caracter personal să fie întotdeauna disponibile pentru prelucrare, integritate și fiabilitate. Pentru toți sisteme speciale este necesar să se dezvolte" Model privat amenințările actuale”.

Clasificarea sistemelor informatice de date cu caracter personal pe structura:

• Autonom. Reprezintă unul automatizat la locul de muncă(calculator).
• Local. Stații de lucru automate (AWS), unite într-o rețea locală.
• Distribuit. Stații de lucru automate sau rețele locale, interconectate folosind tehnologii de acces la distanță.

După modul de prelucrare a datelor cu caracter personal în sistemul ISPD, acestea sunt împărțite în utilizator unic și multiutilizator. Sistemele cu un singur utilizator sunt o raritate. De regulă, cel puțin două persoane lucrează chiar și la un loc de muncă autonom (în caz de vacanțe și boli).

Clasificarea ISPD-urilor multi-utilizator este împărțită în:

• Fără diferențierea drepturilor de acces. În astfel de sisteme, toți utilizatorii au acces la toate informațiile.
• Cu diferențierea drepturilor de acces. Fiecare utilizator are acces la o parte strict definită a informațiilor din sistem.

În funcție de locația ISPD, acestea sunt împărțite în: