Meniul
AcasăInstrucțiuni

Procedura de clasificare a sistemelor informatice de date cu caracter personal. Act de clasificare a ispdn

Unul dintre elementele cheie în stadiul inițial de furnizare securitatea informatiei este procesul de clasificare a sistemului protejat în funcție de cerințele de securitate a informațiilor. Acest proces Este destul de bine descris și reglementat, dar are propriile sale subtilități. În articolul precedent, am examinat conceptul de clasificare a sistemelor, principalele criterii de clasificare frecvent întâlnite, am determinat componența documentelor pe baza cărora sistemele sunt clasificate în funcție de cerințele de securitate a informațiilor și am clarificat probleme individuale prin clasificare sisteme de informareşi obiecte contabile. În acest articol ne vom uita la ordine generală efectuarea clasificării sistemelor informaționale în funcție de cerințele de securitate a informațiilor folosind exemplul unui sistem informatic de stat abstract, precum și o serie de puncte principale la realizarea clasificării.

Înainte de a începe, trebuie să înțelegeți foarte clar următoarele puncte de bază:

1. Prin clasificare vom înțelege împărțirea unui set general de obiecte în submulțimi - clase, grupate după cele mai esențiale caracteristici, în timp ce prin clasă vom înțelege un set de obiecte care au anumite caracteristici de comunalitate, care, la rândul lor, va fi o caracteristică – un criteriu de clasificare.

2. Clasificarea multiplă în funcție de cerințele de securitate a informațiilor nu este eronată.

3. Alegerea procedurii de clasificare se realizează pe baza obiectivelor creării sistemului, compoziției informațiilor de prelucrat și analizat, documentației normative, metodologice și de altă natură la care trebuie să se conformeze sistemul clasificat.

4. Rezultatul clasificării este actul clasificării.

5. Rezultatele clasificării nu sunt finale și pot fi supuse revizuirii.

6. Clasificarea este efectuată de proprietarul informațiilor.

Întrebările de la 1 la 5 au fost discutate în detaliu în articolul precedent, așa că le vom omite și le vom privi pe celelalte mai detaliat.

Să începem cu unul simplu: „Rezultatul clasificării este actul clasificării”. Acest lucru stabilite prin cerințele clauzei 14.2, care stabilește cerințele pentru orice sistem informațional de stat.

Una dintre greșelile frecvente la întocmirea unui act se referă la cazurile în care sunt efectuate clasificări multiple ale sistemelor. În acest caz, este necesar să se efectueze clasificarea în mod independent, fără a se baza pe rezultatele clasificărilor anterioare (dacă aceasta nu contrazice ordinea de clasificare), iar rezultatul ar trebui să fie formalizat în acte separate de clasificare.

Este de remarcat faptul că nu există o cerință strictă pentru prezența actelor de clasificare separate. Toate informațiile bazate pe rezultatele clasificării multiple pot fi reflectate într-un singur act. Cu toate acestea, acest lucru duce adesea la confuzii și neplăceri inutile pentru continuarea lucrărilor cu documentul. De aceea recomandăm ca actele de încadrare să fie întocmite în acte separate.

Să trecem la punctul 5: „Rezultatele clasificării nu sunt definitive și pot fi revizuite”. Această afirmație urmează pe baza logicii formale a procesului în sine, deoarece condițiile de funcționare ale obiectului de clasificare, scopurile, obiectivele și alte aspecte ale acestuia se pot schimba. Criteriile de clasificare în sine se pot schimba sau transforma. În plus, documentul de stabilire a procedurii de clasificare conține adesea informații despre procedura de revizuire a rezultatelor clasificării. Astfel, conform clauzei 14.2 din ordinul FSTEC al Rusiei din 13 februarie 2013 nr. 17, clasa de securitate a unui sistem informatic este supusă revizuirii atunci când amploarea sistemului informatic sau semnificația informațiilor procesate în acesta schimbări. Procedura de revizuire a rezultatelor clasificării nu este practic diferită de procesul de clasificare în sine.

Să trecem la ultima afirmație: „Clasificarea este efectuată de proprietarul informațiilor”. În primul rând, să stabilim cine este „proprietarul informațiilor”. Potrivit art. 2 din Legea federală a Federației Ruse din 27 iulie 2006 „Cu privire la informații, tehnologiile informației și protecția informațiilor” nr. 149-FZ „proprietarul de informații este o persoană care a creat în mod independent informații sau a primit, pe baza unei lege sau acord, dreptul de a permite sau restricționa accesul la informații determinat din orice motiv.” Drepturile deținătorului informațiilor sunt stabilite la articolul 6 din legea de mai sus:

„1. Proprietarul informațiilor, cu excepția cazului în care legile federale prevede altfel, are dreptul:

  • permite sau restricționa accesul la informații, stabilește procedura și condițiile pentru un astfel de acces;
  • utilizați informațiile, inclusiv difuzarea acestora, la propria discreție;
  • transferul de informații către alte persoane în temeiul unui contract sau din alte motive stabilite de lege;
  • protejați-vă drepturile prin mijloace legale în cazul primirii ilegale a informațiilor sau a acestora utilizare ilegală alte persoane;
  • efectuează alte acțiuni cu informații sau autorizează astfel de acțiuni.

În exercitarea drepturilor sale, proprietarul informațiilor este obligat să:

  • să respecte drepturile și interesele legitime ale altor persoane;
  • ia măsuri pentru protejarea informațiilor;
  • restricționează accesul la informații dacă o astfel de obligație este stabilită de legile federale.”

Pe baza definiției proprietarului informațiilor și a drepturilor acestuia, devine evident că acesta este cel care are dreptul de a efectua clasificarea, întrucât clasificarea este parte integrantă a formării cerințelor de protecție a informațiilor conținute în informații. sistem, care, la rândul său, face parte din activitatea de asigurare a securității informațiilor în stadiul inițial. Adesea, mulți oameni pierd din vedere această nuanță, ceea ce duce la apariția unor documente eronate, pe baza cărora, printre altele, au loc lucrări ulterioare privind securitatea informațiilor, ceea ce reprezintă o încălcare directă a legii. Federația Rusă. O serie de autorități de reglementare, pentru clarificare în acest moment, indică clar acest lucru în documentele sale de reglementare, de exemplu, în paragraful 14 al ordinului FSTEC al Rusiei din 13 februarie 2013 nr. 17. În plus, trebuie să se înțeleagă că proprietarul informațiilor are dreptul de a-și delega responsabilitățile dacă acest lucru nu contravine cerințelor legale sau de altă natură. În acest caz, chiar faptul de transfer acest drept, de exemplu, o instituție subordonată, trebuie înregistrată corespunzător. Separat, trebuie remarcat faptul că în absență clasificarea unui sistem informațional în funcție de cerințele de securitate a informațiilor drept legal pur și simplu nu are sens.

Acum să trecem la procedura imediată pentru efectuarea clasificării. La efectuarea clasificării, se recomandă să urmați următoarea procedură:

1. Prin ordin al conducătorului (adjunctul autorizat) al organizației care este proprietarul legal al informațiilor prelucrate în sistemul de informații clasificate, desemnează o comisie care să realizeze clasificarea. Ordinul ar trebui să reflecte:

  • componența comisiei cu indicarea numelui complet, funcția și rolul funcțional al fiecărui membru al comisiei;
  • denumirea sistemului clasificat (sau mai multor sisteme);
  • documente în conformitate cu care trebuie făcută clasificarea;
  • momentul de clasificare.

2. Familiarizați toți membrii comisiei cu ordinul.

3. Stabiliți ora pentru ședința comisiei.

4. Comisia, pe baza procesului-verbal la ora stabilită de ședință, stabilește:

  • procedura de realizare a clasificării în conformitate cu cerințele documentului pe baza căruia se efectuează clasificarea;
  • determina compozitia caracteristici de clasificare, semnificativ în timpul clasificării;
  • determinați valorile caracteristicilor de clasificare pentru sistemul de clasificat;
  • setați clasa sistemului informațional.

5. În baza procesului-verbal al ședinței comisiei de clasificare, consemnați rezultatul final al clasamentului în actul de clasificare.

6. B în modul prescris depune actul de clasificare spre aprobare șefului (adjunctul autorizat) al organizației.

Să luăm în considerare în detaliu procesul de organizare a unei reuniuni a comisiei de clasificare. Vom efectua clasificarea în conformitate cu cerințele următoarelor documente:

  • Decretul Guvernului Federației Ruse din 1 noiembrie 2012 „Cu privire la aprobarea cerințelor pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal” nr. 1119.

Procedura de clasificare în aceste documente este clar menționată, la fel ca și principalele criterii de clasificare:

  • nivelul de semnificație al informațiilor, care este determinat de gradul de posibilă prejudiciu adus proprietarului informațiilor (clientului) și (sau) operatorului din încălcarea confidențialității (acces ilegal, copiere, furnizare sau distribuire), a integrității (distrugerea ilegală sau modificarea) sau disponibilitatea (blocarea ilegală) a informațiilor. Sistemul informatic de stat poate avea unul dintre nivelurile următoare semnificaţie:
    • CL 1, dacă pentru cel puțin una dintre proprietățile de securitate a informațiilor (confidențialitate, integritate, disponibilitate) se determină un grad ridicat de deteriorare;
    • PL 2, dacă pentru cel puțin una - se determină gradul mediu de pagubă și nu există un singur bun pentru care să se determine un grad mare de pagubă;
    • Nivelul 3, dacă pentru toate - sunt determinate grade scăzute de daune.

      • În acest caz, gradul de deteriorare posibilă este determinat de proprietarul informațiilor și (sau) de operator în mod independent, folosind metode experte sau alte metode și poate fi:

    • mare dacă, ca urmare a încălcării uneia dintre proprietățile de securitate a informațiilor (confidențialitate, integritate, disponibilitate), sunt posibile consecințe negative semnificative în domeniile sociale, politice, internaționale, economice, financiare sau în alte domenii de activitate și (sau) în sistemul informațional. și (sau) operatorul (deținătorul de informații) ) nu poate îndeplini funcțiile care le sunt atribuite;
    • mediu, dacă ca urmare a încălcării uneia dintre proprietățile de securitate a informațiilor (confidențialitate, integritate, disponibilitate), sunt posibile consecințe negative moderate în domeniile sociale, politice, internaționale, economice, financiare sau în alte domenii de activitate și (sau) în sistemul informațional. și (sau) operatorul (deținătorul de informații) ) nu poate îndeplini cel puțin una dintre funcțiile care le sunt atribuite;
    • scăzut dacă, ca urmare a încălcării uneia dintre proprietățile de securitate a informațiilor (confidențialitate, integritate, disponibilitate), sunt posibile consecințe negative minore în domeniile sociale, politice, internaționale, economice, financiare sau în alte domenii de activitate și (sau) în sistemul informațional. și (sau) operatorul (deținătorul de informații) ) poate îndeplini funcțiile care le sunt atribuite cu o eficiență insuficientă sau îndeplinirea funcțiilor este posibilă numai cu implicarea unor forțe și mijloace suplimentare.
  • scara sistemului:
    • Federal, dacă operează pe teritoriul Federației Ruse (în limita District federal) și are segmente în entitățile constitutive ale Federației Ruse, municipalități și (sau) organizații;
    • Regional, dacă operează pe teritoriul unei entități constitutive a Federației Ruse și are segmente în una sau mai multe municipalități și (sau) organizații subordonate și alte organizații;
    • La fața locului, dacă funcționează la facilitățile unui organism guvernamental federal, un organism guvernamental al unei entități constitutive a Federației Ruse, municipalitateși (sau) organizații și nu are segmente în organele teritoriale, reprezentanțe, sucursale, organizații subordonate și alte organizații.
  • tip de amenințări curente:
    • Amenințări de tip 1 - relevante pentru un sistem informațional dacă amenințările asociate cu prezența capacităților nedocumentate (nedeclarate) în software-ul de sistem utilizat în sistemul informațional sunt relevante pentru acesta;
    • Amenințări de tip 2 - relevante pentru un sistem informațional dacă amenințările asociate cu prezența capacităților nedocumentate (nedeclarate) în aplicația software utilizată în sistemul informațional sunt relevante pentru acesta;
    • Amenințări de tip 3 - relevante pentru un sistem informațional dacă amenințările care nu sunt legate de prezența capacităților nedocumentate (nedeclarate) în sistem și aplicația software utilizată în sistemul informațional sunt relevante pentru acesta.
  • categorie de date cu caracter personal prelucrate:
    • categorii speciale de date cu caracter personal;
    • date personale biometrice;
    • alții;
    • public.
  • numărul de subiecți ale căror date cu caracter personal sunt prelucrate:
    • peste 100.000;
    • mai putin de 100.000.
  • afilierea persoanelor vizate de date cu caracter personal:
    • angajații operatorului;
    • nu angajaţii operatorului.
  • aparținând subiecților datelor cu caracter personal (nu angajaților operatorului). Aici este important de inteles ca daca exista cel putin un subiect PD ale carui date personale sunt procesate in sistem si nu este angajat al operatorului, atunci putem accepta aceasta valoare implicit;
  • numărul persoanelor vizate de date cu caracter personal: pentru sistemul nostru acest număr nu va depăși 100.000;
  • categorie de date cu caracter personal: de exemplu, pentru sistemul nostru - alte date personale. La determinarea acestui parametru, este suficient să înțelegem exact ce informații aparțin cărei categorii de PD. Dacă informații de la diferite categorii, atunci sistemul ar trebui să selecteze valoarea caracteristicii în funcție de cel mai înalt indicator, și anume:
    • categorii speciale de date cu caracter personal dacă sunt prelucrate informații despre rasă, naționalitate, opinii politice, convingeri religioase sau filozofice, starea de sănătate, viața intimă a subiecților datelor cu caracter personal;
    • date personale biometrice, în cazul în care, în primul rând, nu sunt prelucrate informații referitoare la categorii speciale de date cu caracter personal, și în al doilea rând, dacă prelucrează informații care caracterizează caracteristicile fiziologice și biologice ale unei persoane, pe baza cărora se poate stabili identitatea acesteia și care este utilizat de operator pentru a stabili identitatea subiectului datelor cu caracter personal;
    • date cu caracter personal disponibile public, în cazul în care prelucrează date cu caracter personal ale subiecților datelor cu caracter personal obținute numai din surse publice de date cu caracter personal create în conformitate cu articolul 8 din Legea federală din 27 iulie 2006 „Cu privire la datele cu caracter personal” nr. 152-FZ;
    • altele, dacă nu prelucrează datele personale specificate mai sus.
  • după tipul de amenințări la adresa securității datelor cu caracter personal. Acest parametru L-am lăsat pentru sfârșit dintr-un motiv, deoarece depinde de Modelul de amenințare la securitatea datelor cu caracter personal, care trebuie să indice amenințările actuale. Să fie acestea amenințări de tip 3 pentru sistemul nostru.

Proces de definire valorile finale Fiecare dintre caracteristicile de clasificare este determinată de experți, de obicei ca rezultat al unei opinii consolidate de expert, așa că să trecem la definirea acestor caracteristici pentru sistemul nostru abstract de informații de stat la scară federală. Astfel, în conformitate cu ordinul FSTEC al Rusiei din 13 februarie 2013 nr. 17, vom determina daunele maxime din încălcarea uneia dintre proprietățile de siguranță. La determinarea acesteia, este suficient să se facă referire la setul complet de funcții implementate de sistem, încălcarea unei proprietăți specifice va duce la imposibilitatea realizării a cel puțin una dintre ele. Luăm în considerare fiecare, evaluăm consecințele, găsim indicatorul maxim și îl comparăm cu lista de valori KZ. În exemplul nostru, gradul de deteriorare maximă va fi mediu, atunci KZ 2 este nivelul dorit de semnificație a informațiilor.

După determinarea valorilor caracteristicilor de clasificare specificate, tot ce trebuie să facem este să stabilim clasa de securitate a sistemului nostru în conformitate cu logica documentelor discutate mai sus și să reflectăm corect rezultatul activităților comisiei, mai întâi în protocol, iar apoi în actul de clasificare.

Astfel, în acest articol am examinat procedura generală de clasificare a sistemelor informaționale în funcție de cerințele de securitate a informațiilor folosind exemplul unui sistem informațional de stat abstract, considerat o serie de puncte principale și ascunse. capcanele la efectuarea clasificării. În următorul articol ne vom uita la procedura de înregistrare documente standard la efectuarea clasificării (ordinul de creare a unei comisii, procesul-verbal al ședinței comisiei și actul de clasificare), le vom completa pentru sistemul nostru de abstract și vom pregăti formulare tip șablon.

Textul documentului:

Ordin Cu privire la aprobarea procedurii de clasificare a sistemelor informatice de date cu caracter personal

În conformitate cu paragraful 6 din Regulamentul privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu caracter personal, aprobat prin Decretul Guvernului Federației Ruse din 17 noiembrie 2007 N 781 „Cu privire la aprobarea Regulamentului privind asigurarea securitatea datelor cu caracter personal în timpul prelucrării lor în sistemele de informații cu date cu caracter personal „(Legislația colectată a Federației Ruse, 2007, nr. 48, partea a II-a, art. 6001), comandăm:

Aprobați Procedura atașată de clasificare a sistemelor informatice de date cu caracter personal.

Director

Serviciul federal

pe tehnic

Și controale la export

S.I.GRIGOROV

Director

Serviciul Federal de Securitate

Federația Rusă

N.P.PATRUSHEV

tehnologia informaţiei şi comunicaţiilor

Federația Rusă

L.D.REIMAN

Aprobat

In ordine

FSTEC din Rusia,

FSB al Rusiei,

Ministerul Informațiilor și Comunicațiilor al Rusiei

ORDIN

CLASIFICAREA SISTEMELOR DE INFORMAȚII

DATE PERSONALE

1. Prezenta Procedură determină clasificarea sistemelor informatice de date cu caracter personal, care sunt un set de date cu caracter personal conținute în baze de date, precum și tehnologiile informaționale și mijloacele tehnice care permit prelucrarea acestor date cu caracter personal folosind instrumente de automatizare (denumite în continuare sisteme informatice). )

2. Se realizează clasificarea sistemelor informaţionale agentii guvernamentale, autorităţile municipale, juridice şi indivizii, organizarea și (sau) efectuarea prelucrării datelor cu caracter personal, precum și determinarea scopurilor și conținutului prelucrării datelor cu caracter personal (denumit în continuare operator).

3. Clasificarea sistemelor informatice se realizeaza in stadiul realizarii sistemelor informatice sau in timpul functionarii acestora (pentru sisteme informatice puse in functiune anterior si (sau) modernizate) in vederea stabilirii metodelor si mijloacelor de protectie a informatiilor necesare asigurarii securitatii. a datelor personale.

4. Efectuarea clasificării sistemelor informaționale include următoarele etape:

colectarea și analiza datelor inițiale privind sistemul informațional;

atribuirea clasei corespunzătoare sistemului informaţional şi documentaţiei acestuia.

5. La clasificarea unui sistem informatic se iau în considerare următoarele date inițiale:

volumul datelor cu caracter personal prelucrate (număr de subiecți

date cu caracter personal ale căror date cu caracter personal sunt prelucrate în

sistem informatic) - X;

caracteristicile de securitate ale datelor cu caracter personal prelucrate în sistemul informatic specificat de operator;

structura sistemului informatic;

Disponibilitatea conexiunilor sistemului informatic la rețelele de comunicații uz comunși (sau) rețele internaționale schimb de informatii;

modul de prelucrare a datelor cu caracter personal;

modul de delimitare a drepturilor de acces ale utilizatorilor sistemului informatic;

amplasarea mijloacelor tehnice ale sistemului informatic.

6. Sunt definite următoarele categorii de informații prelucrate:

7. X poate lua următoarele valori:

1 - sistemul informatic prelucrează simultan date cu caracter personal ale a peste 100.000 de persoane vizate de date cu caracter personal sau date cu caracter personal ale persoanelor vizate de date cu caracter personal din cadrul unei entități constitutive a Federației Ruse sau a Federației Ruse în ansamblu;

2 - sistemul informațional prelucrează simultan date cu caracter personal de la 1.000 la 100.000 de persoane vizate de date cu caracter personal sau date cu caracter personal ale persoanelor vizate de date cu caracter personal care lucrează în sectorul economic al Federației Ruse, într-o agenție guvernamentală, care locuiește într-o municipalitate;

3 - sistemul informatic prelucrează simultan date a mai puțin de 1000 de persoane vizate de date cu caracter personal sau date cu caracter personal ale persoanelor vizate de date cu caracter personal din cadrul unei anumite organizații.

8. Conform caracteristicilor de securitate ale datelor cu caracter personal prelucrate în sistemul informatic specificat de operator, sistemele informatice sunt împărțite în sisteme informatice standard și speciale.

Sistemele informaționale tipice sunt sistemele informaționale care necesită doar asigurarea confidențialității datelor cu caracter personal.

Sistemele informatice speciale sunt sisteme informatice în care, indiferent de necesitatea asigurării confidențialității datelor cu caracter personal, este necesar să se asigure cel puțin una dintre caracteristicile de securitate ale datelor cu caracter personal, altele decât confidențialitatea (securitate față de distrugere, modificare, blocare, precum și ca și alte acțiuni neautorizate).

Sistemele informatice speciale ar trebui să includă:

sisteme informatice în care sunt prelucrate date cu caracter personal referitoare la starea de sănătate a subiecților datelor cu caracter personal;

sisteme informatice care prevăd adoptarea, bazată exclusiv pe prelucrarea automată a datelor cu caracter personal, a unor decizii care dau naștere la consecințe juridice în legătură cu subiectul datelor cu caracter personal sau îi afectează în alt mod drepturile și interesele legitime.

9. După structura lor, sistemele informaționale se împart în:

pentru complexe autonome (neconectate la alte sisteme informatice) de hardware si software destinate prelucrarii datelor cu caracter personal (statii de lucru automate);

la complexe de stații de lucru automatizate, unite într-un singur sistem informațional prin mijloace de comunicare fără utilizarea tehnologiei acces de la distanță(sisteme informaționale locale);

la complexe de stații de lucru automate și (sau) sisteme informaționale locale, combinate într-un singur sistem informațional prin intermediul comunicațiilor folosind tehnologia de acces la distanță (sisteme de informații distribuite).

10. Pe baza prezenței conexiunilor la rețelele publice de comunicații și (sau) la rețelele internaționale de schimb de informații, sistemele informaționale se împart în sisteme cu conexiuni și sisteme fără conexiuni.

11. După modul de prelucrare a datelor cu caracter personal în sistemul informațional, sistemele informaționale se împart în utilizator unic și multiutilizator.

12. Pe baza delimitării drepturilor de acces ale utilizatorilor, sistemele informaționale se împart în sisteme fără delimitare a drepturilor de acces și sisteme cu delimitare a drepturilor de acces.

13. Sistemele informatice, în funcție de amplasarea mijloacelor lor tehnice, sunt împărțite în sisteme, toate mijloace tehnice care sunt situate în Federația Rusă și sisteme ale căror mijloace tehnice sunt parțial sau în întregime situate în afara Federației Ruse.

14. Pe baza rezultatelor analizei datelor sursă, unui sistem informațional tipic i se atribuie una dintre următoarele clase:

clasa 1 (K1) - sisteme informatice pentru care încălcare caracteristici date securitatea datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative semnificative pentru subiecții datelor cu caracter personal;

clasa 2 (K2) - sisteme informatice pentru care o încălcare a caracteristicilor de securitate specificate a datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative pentru subiecții datelor cu caracter personal;

clasa 3 (K3) - sisteme informatice pentru care o încălcare a caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative minore pentru subiecții datelor cu caracter personal;

clasa 4 (K4) - sisteme informatice pentru care încălcarea caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea nu duce la consecințe negative pentru subiecții datelor cu caracter personal.

15. Clasa unui sistem informatic tipic este determinată în conformitate cu tabelul.

16. Pe baza rezultatelor analizei datelor sursă, clasa unui sistem informatic special se determină pe baza unui model de amenințări la adresa securității datelor cu caracter personal în conformitate cu documentele metodologice elaborate în conformitate cu alin.2 din Decret. al Guvernului Federației Ruse din 17 noiembrie 2007 N 781 „Cu privire la aprobarea Regulamentului privind asigurarea securității datelor cu caracter personal atunci când sunt prelucrate în sistemele de informații cu date cu caracter personal”.

17. Dacă în cadrul unui sistem informațional sunt identificate subsisteme, fiecare dintre acestea fiind un sistem informațional, sistemului informațional în ansamblu i se atribuie o clasă care corespunde cel mai mult de inalta clasa subsisteme incluse în acesta.

18. Rezultatele clasificării sistemelor informatice sunt documentate în actul corespunzător al operatorului.

19. Clasa sistemului informatic poate fi revizuită:

prin decizie a operatorului pe baza analizei și evaluării sale a amenințărilor la adresa securității datelor cu caracter personal, luând în considerare caracteristicile și (sau) modificările unui sistem informatic specific;

pe baza rezultatelor măsurilor de monitorizare a respectării cerințelor de asigurare a securității datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional.

Un act de clasificare ISPD, de regulă, este un document confidențial și trebuie să aibă o ștampilă de confidențialitate („Confidențial”, „DSP”, „Secret comercial”) și un număr de cont.

Pentru a efectua clasificarea, trebuie creată o comisie la întreprindere. Comisia trebuie să includă o persoană responsabilă cu protecția datelor cu caracter personal. Comisia trebuie să fie numită prin ordin al șefului și să își desfășoare activitățile în baza Regulamentului privind comisia de clasificare. Pe baza rezultatelor clasificării trebuie întocmit un act. Actul de clasificare ISPD trebuie aprobat de președintele comisiei și semnat de toți membrii comisiei.

Cum se întocmește un act de clasificare ISPD

Se întocmește un raport de clasificare pentru fiecare ISPD identificat. Pe baza datelor primite de la fiecare ISPD se determină nivelul necesar de protecție a datelor cu caracter personal. Acest lucru este necesar pentru stabilirea cerințelor care să asigure protecția sistemului informatic al datelor cu caracter personal. Nivelul de securitate al datelor cu caracter personal este determinat în conformitate cu Decretul Guvernului Federației Ruse din 1 noiembrie 2012 nr. 1119 „Cu privire la aprobarea cerințelor pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal”.

Actul prevede:

  • datele personale prelucrate în sistem;
  • volumul datelor cu caracter personal prelucrate;
  • tipul de amenințări curente la adresa ISPD;
  • structura sistemului informatic;
  • disponibilitatea conexiunilor la rețele publice de comunicații și (sau) rețele internaționale de schimb de informații;
  • modul de prelucrare a datelor cu caracter personal în sistem;
  • diferențierea drepturilor de acces ale utilizatorilor;
  • locația ISPDn;
  • Nivel de securitate PD.

Actul de clasificare ISPD poate include sisteme care stochează următoarele date:

  • categorii speciale de date cu caracter personal - informații referitoare la rasă, naționalitate, opinii politice, convingeri religioase sau filozofice, starea de sănătate, viața intimă a subiecților datelor cu caracter personal;
  • date cu caracter personal biometrice – informații care caracterizează caracteristicile fiziologice și biologice ale unei persoane, pe baza cărora i se poate stabili identitatea și care este utilizată de operator pentru stabilirea identității subiectului datelor cu caracter personal;
  • date cu caracter personal disponibile publicului – informații obținute numai din surse publice de date cu caracter personal create în conformitate cu articolul 8 din Legea federală „Cu privire la datele cu caracter personal”.

Este destul de rar să găsiți sisteme în care sunt prelucrate date cu caracter personal de categoria 3. Acest lucru se datorează faptului că, pentru sarcini reale, sunt necesare nu numai date de identificare a subiectului (numele complet, datele pașaportului), ci și informații suplimentare despre el (de exemplu, informații despre salariu).

Cele mai comune sisteme informatice sunt cele in care sunt prelucrate date cu caracter personal de categoria 2. De exemplu, sistemele de salarizare a angajaților.

Volumul datelor cu caracter personal prelucrate determină numărul de subiecți ale căror date cu caracter personal sunt prelucrate în sistem. Se aplică următoarea gradare:

  • peste 100.000 de persoane vizate de date cu caracter personal;
  • mai puțin de 100.000 de persoane vizate de date cu caracter personal.

Tipuri de amenințări la adresa securității datelor cu caracter personal

Tip de amenințări curente pentru ISPD:

  • Amenințările de tip 1 sunt relevante pentru un sistem informațional dacă, printre altele, amenințările asociate cu prezența capacităților nedocumentate (nedeclarate) în software-ul de sistem utilizat în sistemul informațional sunt relevante pentru acesta;
  • Amenințările de tip 2 sunt relevante pentru un sistem informațional dacă amenințările asociate cu prezența capacităților nedocumentate (nedeclarate) în aplicația software utilizată în sistemul informațional sunt, de asemenea, relevante pentru acesta;
  • Amenințările de tip 3 sunt relevante pentru un sistem informațional dacă amenințările care nu sunt legate de prezența capacităților nedocumentate (nedeclarate) în sistem și software-ul de aplicație utilizat în sistemul informațional sunt relevante pentru acesta.

După tip, sistemele de informare a datelor cu caracter personal descrise în actul de clasificare ISPD sunt împărțite în standard și speciale. ISPD tipice sunt sistemele informaționale în care este necesar să se asigure numai confidențialitatea PD. ISPD speciale sunt sisteme informatice în care, pe lângă confidențialitate, este necesar să se asigure cel puțin încă o caracteristică a securității datelor cu caracter personal (integritate, disponibilitate).

În plus, sistemele speciale includ toate ISPD-urile care prelucrează date privind sănătatea subiecților și ISPD-urile care prevăd adoptarea de decizii care generează consecințe juridice pentru subiect pe baza prelucrării automate.

Majoritatea ISPD-urilor existente sunt speciale. Acest lucru se datorează faptului că, pe lângă confidențialitate, este, de asemenea, important ca datele cu caracter personal să fie întotdeauna disponibile pentru prelucrare, integritate și fiabilitate. Pentru toți sisteme speciale este necesar să se dezvolte" Model privat amenințările actuale”.

Clasificarea sistemelor informatice de date cu caracter personal pe structura:

  • Autonom. Reprezintă unul automatizat la locul de muncă(calculator).
  • Local. Stații de lucru automate (AWS), unite într-o rețea locală.
  • Distribuit. Stații de lucru automate sau rețele locale interconectate folosind tehnologii de acces la distanță.

După modul de prelucrare a datelor cu caracter personal în sistemul ISPD, acestea sunt împărțite în utilizator unic și multiutilizator. Sistemele cu un singur utilizator sunt o raritate. De regulă, cel puțin două persoane lucrează chiar și la un loc de muncă autonom (în caz de vacanță și îmbolnăvire).

Clasificarea ISPD-urilor multi-utilizator este împărțită în:

  • Fără diferențiere a drepturilor de acces. În astfel de sisteme, toți utilizatorii au acces la toate informațiile.
  • Cu diferențierea drepturilor de acces. Fiecare utilizator are acces la o parte strict definită a informațiilor din sistem.

În funcție de locația ISPD, acestea sunt împărțite în:

S-au scris multe despre clasificarea sistemelor de informații cu date cu caracter personal: articole întregi, site-uri web și forumuri sunt dedicate acestui subiect arzător. Să începem cu faptul că în conformitate cu ordinul FSTEC\FSB\MITiS nr. 55\86\20 există tipicȘi special ISPDn. ISPD-urile tipice le includ pe cele în care este necesar să se asigure doar confidențialitatea datelor cu caracter personal, și cele speciale – dacă este necesar să se asigure cel puțin una dintre caracteristicile de securitate ale datelor cu caracter personal, altele decât confidențialitatea (integritate, autenticitate, accesibilitate etc. )
Ordinul presupune clasificarea ISPD pe baza unei evaluări a posibilelor prejudicii aduse subiecților PD ale căror date sunt prelucrate în el: cu cât este mai mare prejudiciul posibil, cu atât clasa este mai mare și, în consecință, cu atât sunt mai mari cerințele pentru protectie tehnica. Alineatul 14 al Ordinului vorbește despre 4 clase:
-absența consecințelor negative (clasa 4)
-consecințe negative minore (clasa 3)
-consecințe negative (gradul 2)
- consecinţe negative semnificative (gradul 1).
Atribuirea uneia sau alteia clase ISPD, conform aceluiași paragraf, se realizează pe baza rezultatelor analizei datelor sursă.
Clasificarea ISPD-urilor standard a fost deja discutată aici, așa că să trecem direct la cele speciale.

Cum se clasifică un ISPD special?
Dacă ISPD-ul dumneavoastră conține date personale legate de rasă, naționalitate,
opinii politice, credințe religioase și filozofice, starea de sănătate, viața intimă, atunci totul este simplu:
clasa dvs. de sistem este K1. Și nu contează dacă există 10 înregistrări sau 100.000. În continuare, fie protejați sistemul conform K1 în conformitate cu cerințele Ordinului FSTEC nr. 58, fie retrogradați clasa, de exemplu, prin depersonalizarea acestor date.
Acum să ne imaginăm un anumit ISPD pe care trebuie să-l clasificăm. Să fie o întreprindere mare care oferă servicii clienților săi.
Datele inițiale ale sistemului nostru:
1. Domeniul de aplicare al datelor cu caracter personal- peste 100.000.
2. Categoria datelor personale- 2 (adică acestea sunt date personale care vă permit să identificați subiectul datelor cu caracter personal și să obțineți informații suplimentare despre acesta).
3. Structura sistemului informatic- distribuit;
4. Disponibilitatea conexiunilor sistem informațional către rețelele publice de comunicații și (sau) rețelele internaționale de schimb de informații - da;
5. Modul de prelucrare a datelor cu caracter personal- multi utilizator;
6. Modul de control al drepturilor de acces utilizatorii sistemului informatic - cu diferențierea drepturilor de acces;
7. Amplasarea echipamentelor tehnice sistem informațional - în cadrul Federației Ruse.

Dar nu putem clasifica un astfel de sistem conform plăcuţei din ordinul nr. 55\86\20, deoarece „Conform rezultatelor analizei datelor inițiale tipic sistemului informatic i se atribuie una dintre următoarele clase.” Nu vă supărați, citim în continuare comanda și vedem următorul punct:
16. Pe baza rezultatelor analizei datelor sursă, clasa unui sistem informatic special se determină pe baza unui model de amenințări la adresa securității datelor cu caracter personal în conformitate cu documentele metodologice elaborate în conformitate cu alin.2 din Decret. al Guvernului Federației Ruse din 17 noiembrie 2007 N 781 „Cu privire la aprobarea Regulamentului privind asigurarea securității datelor cu caracter personal atunci când sunt prelucrate în sistemele de informații cu date cu caracter personal”
Prin urmare, analizând datele sursă, compoziția PD prelucrată, determinând structura ISPD și procese tehnologice, putem veni la concluzie rezonabilă, Ce Consecințe negative poate încălca confidențialitatea informațiilor (de exemplu, diseminarea de informații despre handicapul unui angajat). Implementarea tuturor celorlalte amenințări va duce la negativ minor consecințe, deoarece au fost luate suficiente măsuri tehnice de protecție (sau vor fi luate în viitor în timpul creării sistemului de protecție ISPD) pentru a le neutraliza. După ce au reflectat aceste informații în modelul de amenințare, un ISPD special cu caracteristicile specificate poate fi ușor clasificat de noi ca K2.

Tags: date personale, ispdn

„Organizațiile bugetare: contabilitate și fiscalitate”, 2009, N 12

De la 1 ianuarie 2010, sistemele de informare cu date cu caracter personal din toate organizațiile, inclusiv din instituțiile bugetare, trebuie aduse în conformitate cu cerințele Legii „Cu privire la datele cu caracter personal”.<1>. La această Lege au fost adoptate o serie de reglementări și, ca urmare, există acum interpretări diferite ale responsabilităților instituțiilor de stat și municipale în raport cu sistemele informaționale pe care le au. Acest articol analizează prevederile legislației actuale și evidențiază cerințele obligatorii.

<1> legea federală din 27 iulie 2006 N 152-FZ.

Potrivit art. 1 din Legea „Cu privire la datele cu caracter personal”, această lege federală reglementează relațiile legate de prelucrarea datelor cu caracter personal efectuate de organismele guvernamentale federale, organismele guvernamentale ale entităților constitutive ale Federației Ruse, alte organisme guvernamentale, organisme guvernamentale locale care nu sunt incluse în sistem al organelor administrației publice locale de către organele municipale, persoane juridice și persoane fizice care utilizează instrumente de automatizare sau fără utilizarea unor astfel de instrumente, dacă prelucrarea datelor cu caracter personal fără utilizarea unor astfel de instrumente corespunde naturii acțiunilor (operațiunilor) efectuate cu date cu caracter personal folosind instrumente de automatizare.

O astfel de atenție acordată problemelor de automatizare a prelucrării datelor cu caracter personal implică necesitatea respectării unor norme legislative speciale referitoare la utilizarea tehnologiilor informaționale. În același timp, este necesar să se studieze cu atenție cadrul de reglementare, care în prezent poate fi interpretat foarte ambiguu, mai ales în ceea ce privește prezentarea cerințelor pentru sistemele informaționale.

Conceptul de „sistem informaţional” în legislaţia actuală

În conformitate cu Legea federală „Cu privire la informații, tehnologii informaționale și protecția informațiilor”<2> Sistem informatic- un set de informatii continute in baze de date si tehnologii informatice si mijloace tehnice care asigura prelucrarea acestuia. Pe baza acestei definiții, putem concluziona că nu există sisteme informaționale fără utilizare echipamente informatice si corespunzatoare software.

<2>Legea federală din 27 iulie 2006 N 149-FZ.

Cu toate acestea, în art. 3 din Legea „Cu privire la datele cu caracter personal” oferă o definiție mai largă Sistem informatic: aceasta este o colecție de date cu caracter personal conținute în baza de date, precum și tehnologii informaționale și mijloace tehnice care permit prelucrarea acestor date cu caracter personal cu sau fără utilizarea instrumentelor de automatizare.

Să analizăm componentele acestei definiții, ale cărei definiții pot fi găsite în Legea federală „Cu privire la informații, tehnologii informaționale și protecția informațiilor”, alte legi și reglementări ale Guvernului Federației Ruse.

Sub Bază de date este înțeles ca un set de date organizate interconectate pe suporturi care pot fi citite de mașină (Reglementări temporare privind contabilitatea de stat și înregistrarea bazelor de date și a băncilor de date).<3>). Cu toate acestea, în partea a patra a Codului civil al Federației Ruse (paragraful 2, alineatul 2, articolul 1260), este dată o definiție mai detaliată. Bază de date: acesta este un set de materiale independente prezentate într-o formă obiectivă (articole, calcule, reglementări, hotărâri judecătorești și alte materiale similare), sistematizate astfel încât aceste materiale să poată fi găsite și prelucrate prin mijloace electronice. calculator(CALCULATOR).

<3>Aprobat prin Decretul Guvernului Federației Ruse din 28 februarie 1996 N 226.

Tehnologia de informație- procese, metode de căutare, colectare, stocare, prelucrare, furnizare, distribuire a informațiilor și metode de implementare a unor astfel de procese și metode (Legea Federală „Cu privire la Informații, Tehnologii Informaționale și Protecția Informației”).

Sub mijloace tehnice care permit prelucrarea datelor cu caracter personal sunt înțelese ca mijloace tehnologia calculatoarelor, complexe și rețele informatice și de calcul, mijloace și sisteme pentru transmiterea, primirea și prelucrarea datelor cu caracter personal (mijloace și sisteme pentru înregistrarea sunetului, amplificarea sunetului, reproducerea sunetului, săli de ședințe și aparate de televiziune, mijloace de producție, replicare a documentelor și alte mijloace tehnice de prelucrare a informațiilor vocale, grafice, video și alfanumerice), software (OS, sisteme de gestionare a bazelor de date și altele asemenea), instrumente de securitate a informațiilor utilizate în sistemele informaționale (Regulamente privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal<4>).

<4>Aprobat prin Decretul Guvernului Federației Ruse din 17 noiembrie 2007 N 781.

Astfel, mijloacele tehnice includ atât copiatoare, cât și software, dar conceptul cheie în definirea unui sistem de informații cu date personale este conceptul de „bază de date”. Din această definiție rezultă că baza de date este procesată folosind un computer (suportul media trebuie să poată fi citit de mașină). Dacă prelucrarea se efectuează fără utilizarea unui computer și a unei baze de date (suport care poate fi citit de mașină), atunci în mod oficial nu există un sistem de informare. În plus, fără mijloace tehnice care să permită prelucrarea datelor cu caracter personal, nici baza de date nu poate fi recunoscută ca sistem informațional. În plus, sistemele informaționale nu sunt doar o colecție de echipamente informatice și anumite programe care prelucrează informații din baze de date pot utiliza sau nu instrumente de automatizare;

Ce se înțelege prin instrumente de automatizare?

Există un punct de vedere conform căruia utilizarea automatizării înseamnă orice prelucrare sau prelucrare computerizată dispozitive electronice. Dacă baza de date este stocată pe un computer (de exemplu, foaie de calcul sau program de contabilitate) sau, de exemplu, în caiet telefon mobil, atunci aceasta este deja o prelucrare automată a datelor cu caracter personal și este supusă notificării către Roskomnadzor. În plus, unii experți consideră că prelucrarea fără utilizarea instrumentelor de automatizare poate fi efectuată doar pe hârtie (în jurnale completate manual, în liste scrise de mână).

În conformitate cu partea 3 a art. 4 din Legea „Cu privire la datele cu caracter personal”, particularitățile prelucrării datelor cu caracter personal efectuate fără utilizarea instrumentelor de automatizare pot fi stabilite prin legile federale și alte acte juridice de reglementare ale Federației Ruse, ținând cont de prevederile prezentei legi federale.

Decretul Guvernului Federației Ruse din 15 septembrie 2008 N 687 a aprobat Regulamentul privind specificul prelucrării datelor cu caracter personal efectuată fără utilizarea instrumentelor de automatizare. Conform paragrafului 1 din regulamentele menționate Prelucrarea datelor cu caracter personal conținute în sistemul de informare a datelor cu caracter personal sau extrase dintr-un astfel de sistem (denumite în continuare date cu caracter personal) se consideră a fi efectuată fără utilizarea instrumentelor de automatizare (neautomatizate), dacă astfel de acțiuni cu date personale întrucât utilizarea, clarificarea, distribuirea, distrugerea datelor cu caracter personal în legătură cu fiecare dintre subiectele datelor cu caracter personal, se realizează cu participarea directă a unei persoane.

Să facem invers Atentie speciala la faptul că, potrivit clauzei 2 din Reglementările privind specificul prelucrării datelor cu caracter personal efectuate fără utilizarea instrumentelor de automatizare, prelucrarea datelor cu caracter personal nu poate fi recunoscută ca fiind efectuată cu ajutorul instrumentelor de automatizare doar pe baza faptului că acestea sunt cuprinse în sistemul informaţional sau au fost extrase din acesta.

Astfel, se poate afirma că din punctul de vedere al definițiilor disponibile în legislatia actuala, marea majoritate a sistemelor informatice din instituțiile de stat și municipale pot fi considerate în mod oficial ca implementate fără utilizarea instrumentelor de automatizare (inclusiv o parte semnificativă a software-ului de contabilitate). La urma urmei, toate cărțile de față din aceste sisteme sunt editate manual în ferestrele corespunzătoare. Pentru a distruge cărțile de față, este, de asemenea, necesar să le selectați în listă de către operator și să apăsați cheie specială pentru a șterge datele. Se realizează chiar și arhivarea program special, care este lansat de o persoană.

Si aici diverse programe, permițându-vă să reformatați datele (inclusiv din formatul program de contabilitateîntr-un format, de exemplu, un program Fond de pensie) și implementarea acestora intrare automată iar transferul ulterioar fără referire la fiecare evidență specifică a angajatului poate fi clasificat ca procesare automată a datelor. În același timp, prelucrarea datelor cu caracter personal (inclusiv nume, prenume, patronim, numărul certificatului de pensie etc.) este parte integrantă a unor astfel de programe.

În același timp, dacă transferul de date către alte programe (inclusiv în scopuri de contabilitate fiscală) nu se realizează în totalitate automat, ci cu ajutorul unei persoane implicate în prelucrarea datelor cu caracter personal, atunci o astfel de prelucrare de asemenea nu poate fi considerată automatizată. .

În acest sens, recomandările Agenției Federale pentru Educație, prezentate în Scrisoarea nr. 17-110 din 29 iulie 2009 „Cu privire la asigurarea protecției datelor cu caracter personal”, au o aplicare destul de limitată în practică. Pentru a automatiza prelucrarea datelor cu caracter personal în chestionare, Rosobrazovanie recomandă indicarea suplimentară a un număr de identificare(codul personal) al subiectului datelor cu caracter personal, atribuit pe întreaga perioadă de studiu sau de muncă. Acest lucru vă permite să anonimizați bazele de date dacă acestea nu conțin alte date personale și să reduceți semnificativ costul protejării informațiilor.

Cu toate acestea, pentru a automatiza activitățile de management într-o instituție de stat sau municipală, cel puțin numele de familie, prenumele, patronimele angajaților, studenților etc., precum și o serie de alte date personale (pentru angajați, de exemplu, informații despre venituri în scopuri contabile și fiscale). Apel la coduri personale cuprinse în pliante (chestionare), restul procesării datelor cu ajutorul software-ului va arăta cel puțin ciudat, reducând eficiența implementării tehnologiilor informaționale moderne. Mai mult, în funcție de forma chestionarelor utilizate, acestea pot fi recunoscute ca parte a sistemului informațional (cum parte integrantă baza de date), ceea ce va face complet codarea suplimentară lipsită de sens (o astfel de codificare este necesară dacă este recomandabil să anonimizați datele, de exemplu, pentru cercetarea statistică).

Prelucrarea datelor cu caracter personal fără utilizarea instrumentelor de automatizare

Deci, după cum sa discutat mai sus, în ciuda informatizării activităților, în majoritatea cazurilor prelucrarea datelor cu caracter personal în instituțiile de stat și municipale se realizează fără utilizarea instrumentelor de automatizare (neautomatizate) și, în consecință, este reglementată de Regulamentul privind specificul prelucrării datelor cu caracter personal efectuate fără utilizarea instrumentelor de automatizare<5>.

<5>Aprobat prin Decretul Guvernului Federației Ruse din 15 septembrie 2008 N 687.

Persoanele care efectuează o astfel de prelucrare (inclusiv angajații organizației operatorului sau persoanele care lucrează în baza unui acord cu operatorul) trebuie să fie informate cu privire la faptul prelucrării lor de date cu caracter personal fără utilizarea instrumentelor de automatizare, categoriile de date cu caracter personal prelucrate, precum și în ceea ce privește caracteristicile și regulile pentru efectuarea unei astfel de prelucrări stabilite prin actele juridice de reglementare ale autorităților executive federale, autorităților executive ale entităților constitutive ale Federației Ruse și actele locale ale unei instituții de învățământ.

Datele cu caracter personal, atunci când sunt prelucrate fără utilizarea instrumentelor de automatizare, trebuie separate de alte informații, în special, prin înregistrarea lor pe medii tangibile separate, în secțiuni speciale sau în câmpurile de formulare (formulare).

În același timp, nu este permisă înregistrarea datelor cu caracter personal pe un singur suport material dacă scopurile prelucrării acestora sunt în mod evident incompatibile. În acest caz, trebuie utilizat un mediu tangibil separat pentru fiecare categorie de date cu caracter personal.

Și, prin urmare, prelucrarea trebuie efectuată în așa fel încât pentru fiecare categorie de date cu caracter personal să existe:

  • au fost stabilite locațiile de stocare și a fost stabilită o listă a persoanelor care prelucrează datele sau care au acces la acestea;
  • Se asigură stocarea separată a datelor cu caracter personal (suporturi tangibile), a căror prelucrare se realizează în diverse scopuri;
  • au fost îndeplinite condițiile pentru a asigura siguranța datelor cu caracter personal și pentru a preveni accesul neautorizat la acestea.

Lista măsurilor necesare pentru asigurarea unor astfel de condiții, procedura de adoptare a acestora, precum și lista persoanelor responsabile cu implementarea acestor măsuri, se stabilesc de către instituția de învățământ în conformitate cu cerințele actelor juridice de reglementare privind protecția date personale.

În cazul în care scopurile prelucrării datelor cu caracter personal înregistrate pe un suport material sunt incompatibile, dacă nu permite ca acestea să fie prelucrate separat de alte date cu caracter personal înregistrate pe același suport, trebuie luate măsuri pentru a asigura o prelucrare separată, în special:

  • dacă este necesar să se utilizeze sau să se distribuie anumite date cu caracter personal separat de altele aflate pe același suport material, datele care fac obiectul distribuirii sau utilizării sunt copiate într-un mod care să împiedice copierea simultană a datelor care nu fac obiectul distribuției și utilizării, și o copie a datelor cu caracter personal este utilizată (distribuită);
  • dacă este necesară distrugerea sau blocarea unei părți a datelor cu caracter personal, suportul material este distrus sau blocat cu copierea prealabilă a informațiilor care nu sunt supuse distrugerii sau blocării, într-un mod care să împiedice copierea simultană a datelor cu caracter personal care sunt supuse distrugerii. sau blocare.

Distrugerea sau depersonalizarea unei părți a datelor cu caracter personal, dacă este permisă de un mediu tangibil, poate fi efectuată într-un mod care să excludă prelucrarea ulterioară a acestor date cu caracter personal, menținând în același timp posibilitatea de prelucrare a altor date înregistrate pe un mediu tangibil (ștergere, ștergere) .

Clarificarea datelor cu caracter personal la prelucrarea lor fără utilizarea instrumentelor de automatizare se realizează prin actualizarea sau modificarea datelor pe un mediu tangibil, iar dacă acest lucru nu este permis caracteristici tehnice purtător de material- prin înregistrarea pe același suport a informațiilor despre modificările aduse acestora sau prin producerea unui nou suport material cu date personale actualizate.

Prelucrarea datelor cu caracter personal folosind instrumente de automatizare

Reglementările privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal stabilește cerințe pentru asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal, care reprezintă o colecție de date cu caracter personal conținute în bazele de date, precum și informații. tehnologii si mijloace tehnice.

După cum rezultă din paragraful 1 din prezentul Regulament, termenul „sisteme informaționale” se referă doar la sistemele informaționale care permit prelucrarea datelor cu caracter personal folosind instrumente de automatizare, prin urmare, cerințele prezentului Regulament nu se aplică sistemelor informaționale în care prelucrarea datelor se realizează fără utilizarea instrumentelor de automatizare.

Dacă o instituție de stat sau municipală efectuează prelucrarea automată a datelor cu caracter personal, atunci trebuie îndeplinite următoarele cerințe.

Conform Reglementărilor privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal, securitatea datelor cu caracter personal se realizează:

  • prin excluderea accesului neautorizat, inclusiv accidental, la datele cu caracter personal, care poate avea ca rezultat distrugerea, modificarea, blocarea, copierea, distribuirea datelor cu caracter personal;
  • prin excluderea altor acțiuni neautorizate.

Securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice este asigurată utilizând sistemele de protecție a datelor cu caracter personal, inclusiv:

  • măsuri organizatorice;
  • instrumente de securitate a informațiilor;
  • tehnologia de informație.

Măsurile de securitate a informațiilor includ:

  • mijloace de criptare (criptografice);
  • mijloace de prevenire a accesului neautorizat;
  • mijloace de prevenire a scurgerii de informații prin canale tehnice;
  • mijloace de prevenire a impactului software și hardware asupra mijloacelor tehnice de prelucrare a datelor cu caracter personal.

Pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale, se realizează protecție informații despre vorbireși informațiile prelucrate prin mijloace tehnice, precum și informațiile prezentate sub formă de semnale electrice informative, câmpuri fizice, suporturi pe hârtie, magnetice, magneto-optice și alte baze.

Solicitările utilizatorilor sistemului informatic de obținere a datelor cu caracter personal, precum și faptele de furnizare a datelor cu privire la aceste solicitări, trebuie înregistrate prin mijloace automate ale sistemului informatic în jurnalul electronic de cereri. În același timp, conținutul jurnal electronic cererile trebuie verificate periodic de către funcționarii (angajații) relevanți ai operatorului sau ai persoanei autorizate.

În cazul în care sunt detectate încălcări ale procedurii de furnizare a datelor cu caracter personal, operatorul sau persoana autorizată va suspenda de îndată furnizarea datelor cu caracter personal către utilizatorii sistemului informatic până la identificarea și eliminarea cauzelor încălcărilor.

Hardware-ul și software-ul trebuie să îndeplinească cerințele stabilite în conformitate cu legislația Federației Ruse pentru a asigura protecția informațiilor. Totodată, se stabilesc metode și metode de protecție a informațiilor din sistemele informaționale Serviciul federal pentru Controlul Tehnic și al Exporturilor (FSTEC) și Serviciul Federal de Securitate (FSB) în limitele competențelor acestora.

Securitatea datelor cu caracter personal atunci când sunt prelucrate în sistemul informatic este asigurată de operator sau de persoana căreia, în baza unui acord, operatorul îi încredințează prelucrarea datelor cu caracter personal. Persoanele al căror acces la datele cu caracter personal prelucrate în sistemul informațional este necesar pentru îndeplinirea sarcinilor oficiale (de muncă) au acces la datele personale relevante pe baza unei liste aprobate de operator sau persoană autorizată. O condiție esențială a contractului este obligația persoanei autorizate de a asigura confidențialitatea și securitatea datelor cu caracter personal atunci când sunt prelucrate în sistemul informațional.

Instrumentele de securitate a informațiilor utilizate în sistemele informaționale sunt supuse unei proceduri de evaluare a conformității în conformitate cu procedura stabilită. Schimbul de date cu caracter personal în timpul prelucrării acestora în sistemele informaționale se realizează prin canale de comunicare, a căror protecție este asigurată prin implementarea unor măsuri organizatorice adecvate și (sau) prin utilizarea mijloacelor tehnice.

Totodată, sistemele informatice sunt clasificate de către organe de stat, organe municipale, persoane juridice sau persoane fizice care organizează și (sau) desfășoară prelucrări de date cu caracter personal, precum și determină scopurile și conținutul prelucrării datelor cu caracter personal, în funcție de volumul datelor cu caracter personal prelucrate de aceștia și amenințările de securitate la adresa intereselor vitale ale indivizilor, societății și statului.

Procedura de clasificare a sistemelor informatice este stabilită în comun de către Serviciul Federal de Control Tehnic și Export, Serviciul Federal de Securitate și Ministerul Tehnologiilor Informaționale și Comunicațiilor. Această procedură este stabilită prin Ordinul FSTEC al Rusiei, al FSB al Rusiei, al Ministerului Informațiilor și Comunicațiilor din Rusia din 13 februarie 2008 N 55/86/20.

În plus, sunt subliniate cerințele pentru spații și securitatea acestora. Conform clauzei 8 din Regulamentul privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal, amplasarea sistemelor informatice, echipamente speciale și securitatea spațiilor în care se desfășoară lucrări cu date cu caracter personal, organizarea unui sistem de securitate. regimul din aceste spații trebuie să asigure siguranța purtătorilor de date cu caracter personal și a mijloacelor de securitate a informațiilor și, de asemenea, să excludă posibilitatea intrării sau șederii necontrolate în aceste spații. persoane neautorizate.

Pentru a face acest lucru, instituțiile de stat și municipale trebuie să instaleze alarme suplimentare în incinta specificată și în uși - încuietori suplimentare sau uși metalice.

Măsurile de asigurare a securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale includ:

a) identificarea amenințărilor la adresa securității datelor cu caracter personal în timpul prelucrării acestora, formarea unui model de amenințare pe baza acestora;

b) dezvoltarea, pe baza modelului de amenințare, a unui sistem de protecție a datelor cu caracter personal care să asigure neutralizarea presupuselor amenințări folosind metode și metode de protecție a datelor cu caracter personal prevăzute pentru clasa corespunzătoare de sisteme informatice;

c) verificarea gradului de pregătire a instrumentelor de securitate a informațiilor pentru utilizare cu întocmirea concluziilor privind posibilitatea de funcționare a acestora;

d) instalarea și punerea în funcțiune a mijloacelor de securitate a informațiilor în conformitate cu documentația operațională și tehnică;

e) instruirea persoanelor care utilizează instrumentele de securitate a informațiilor utilizate în sistemele informaționale cu privire la regulile de lucru cu acestea;

f) contabilizarea mijloacelor de protecție a informațiilor utilizate, documentația operațională și tehnică pentru aceștia, purtătorii de date cu caracter personal;

g) contabilitatea persoanelor autorizate să lucreze cu date personale în sistemul informaţional;

h) controlul asupra respectării condițiilor de utilizare a instrumentelor de securitate a informațiilor prevăzute în documentația operațională și tehnică;

i) investigarea și întocmirea concluziilor privind faptele de nerespectare a condițiilor de stocare a purtătorilor de date cu caracter personal, utilizarea măsurilor de securitate a informațiilor care pot duce la încălcarea confidențialității datelor cu caracter personal sau alte încălcări care conduc la scăderea nivelului; de securitate a datelor cu caracter personal, dezvoltarea și adoptarea de măsuri pentru prevenirea posibilelor consecințe periculoase ale unor astfel de încălcări;

j) descrierea sistemului de protecție a datelor cu caracter personal.

Persoanele care au acces la baze de date cu informații cu date personale, semnează obligații privind nedivulgarea informațiilor confidențiale (o astfel de obligație poate fi inclusă și în contractul de muncă). Abia după aceasta instituția de învățământ le permite să prelucreze date cu caracter personal.

La prelucrarea datelor cu caracter personal în sistemul informațional, instituția de învățământ trebuie să asigure:

a) realizarea de măsuri menite să prevină accesul neautorizat la datele cu caracter personal și (sau) transferul acestora către persoane care nu au dreptul de acces la astfel de informații;

b) detectarea la timp a faptelor de acces neautorizat la datele cu caracter personal;

c) prevenirea influenței asupra mijloacelor tehnice de prelucrare automată a datelor cu caracter personal, în urma cărora funcționarea acestora poate fi perturbată;

d) posibilitatea restabilirii imediate a datelor cu caracter personal modificate sau distruse din cauza accesului neautorizat la acestea;

e) monitorizarea constantă a asigurării nivelului de securitate a datelor cu caracter personal.

Pentru a dezvolta și implementa măsuri de asigurare a securității datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional, un operator sau persoană autorizată poate desemna o unitate structurală sau funcționar (angajat) responsabil cu asigurarea securității datelor cu caracter personal.

De asemenea, ar trebui să acordați o atenție deosebită faptului că, conform clauzei 17 din Reglementările privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu caracter personal, implementarea cerințelor pentru asigurarea securității informațiilor în instrumentele de securitate a informațiilor este atribuită acestora. dezvoltatori.

Adecvarea măsurile luate pentru asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale se evaluează în timpul controlului și supravegherii de stat.

Clasificarea sistemelor informatice de date cu caracter personal

Clasificarea sistemelor informatice de date cu caracter personal care permit prelucrarea acestor date cu ajutorul instrumentelor de automatizare se realizeaza de catre institutia de invatamant - operator in conformitate cu Procedura de clasificare a sistemelor informatice de date cu caracter personal<6>în funcţie de categoria de date care se prelucrează şi cantitatea acestora.

<6>Aprobat prin Ordinul FSTEC al Rusiei, al FSB al Rusiei, al Ministerului Informațiilor și Comunicațiilor din Rusia din 13 februarie 2008 N 55/86/20.

Sunt stabilite următoarele patru categorii de date cu caracter personal:

  1. date personale referitoare la rasă, naționalitate, opinii politice, convingeri religioase și filozofice, sănătate, viață intimă;
  2. date cu caracter personal care vă permit să identificați subiectul datelor cu caracter personal și să obțineți informații suplimentare despre acesta, cu excepția datelor cu caracter personal aparținând primei categorii;
  3. date personale care permit identificarea subiectului datelor cu caracter personal;
  4. date cu caracter personal anonimizate și (sau) disponibile public.

În orice universitate poți găsi pe standuri publice diverse liste studenți, inclusiv o combinație de nume complet. student, curs, grup, care vă permit să identificați în mod unic studentul. Ca urmare, o astfel de combinație de date cu caracter personal le obligă să fie clasificate ca date cu caracter personal din a treia categorie; Plasarea acestor date într-un loc accesibil publicului necesită în mod oficial acordul studentului.

Cardul personal al unui angajat (formular T-2), dosarul personal al unui student aparține a doua categorie, deoarece acestea sunt date personale care permit nu numai identificarea subiectului datelor cu caracter personal, ci și obținerea de informații suplimentare despre el.

Sistemele de informații cu date cu caracter personal sunt împărțite în standard și speciale. Sistemele tipice includ cele care necesită doar confidențialitatea datelor cu caracter personal. Toate celelalte sisteme sunt clasificate ca speciale.

Sistemele informatice speciale ar trebui să includă, de asemenea:

  • sisteme informatice în care sunt prelucrate date cu caracter personal referitoare la starea de sănătate a subiecților datelor cu caracter personal;
  • sisteme informatice care prevăd adoptarea, bazată exclusiv pe prelucrarea automată a datelor cu caracter personal, a unor decizii care dau naștere la consecințe juridice în legătură cu subiectul datelor cu caracter personal sau îi afectează în alt mod drepturile și interesele legitime.

Pe baza clasificării de mai sus, se poate afirma că orice date medicale, precum și fișele de personal care conțin coloana „naționalitate” (și acestea sunt aproape toate chestionare și foi personale evidenţele de personal utilizate în prezent) trebuie încadrate în prima categorie.

Pe baza rezultatelor analizei datelor disponibile, unui sistem informațional tipic i se atribuie una dintre cele patru clase specificate în Procedura de clasificare a sistemelor de informații cu date cu caracter personal.

Clasa unui sistem informatic special se determină pe baza unui model de amenințări la adresa securității datelor cu caracter personal pe baza rezultatelor analizei datelor sursă în conformitate cu documentele metodologice ale FSTEC.

FSTEC a emis următoarele documente DSP, care pot fi obținute doar contactând acest organism:

  • Activități principale de organizare și suport tehnic securitatea datelor cu caracter personal prelucrate în sistemele informatice de date cu caracter personal, din 15 februarie 2008;
  • Model de bază de amenințări la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal din 15 februarie 2008;
  • Metodologia de identificare a amenințărilor actuale la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal din 15 februarie 2008;
  • Recomandări pentru asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal din data de 15.02.2008.

Aceste documente metodologice conțin numeroase cerințe, care sunt extrem de greu de îndeplinit de majoritatea instituțiilor de stat sau municipale din motive atât de natură organizatorică, cât și financiară.

Declarație, certificare (atestare) și licențiere a activităților pentru protecția datelor cu caracter personal

Documentele metodologice FSTEC enumerate mai sus stabilesc următoarea procedură de evaluare a conformității gradului de securitate a sistemelor informatice cu cerințele de securitate:

  • pentru sistemele informatice de clasa I și a II-a, conformitatea gradului de securitate cu cerințele de securitate se stabilește prin certificare (atestare) obligatorie;
  • pentru sistemele informatice de clasa a treia, conformitatea cu cerințele de securitate este confirmată prin certificare (certificare) sau (la alegerea operatorului) declarație de conformitate efectuată de operatorul de date cu caracter personal;
  • Pentru sistemele informatice din clasa a patra, evaluarea conformității nu este reglementată și se realizează la discreția operatorului de date cu caracter personal.

Declaratie de conformitate- aceasta este confirmarea conformității caracteristicilor sistemului informatic de date cu caracter personal cu cerințele stabilite de lege, liniile directoare și documentele de reglementare ale FSTEC și FSB.

Declarația de conformitate poate fi efectuată pe baza probelor proprii sau a probelor obținute cu participarea organizațiilor implicate care dețin licențele necesare. Lista organismelor (organizațiilor) de certificare a sistemului de certificare a securității informațiilor pentru cerințele de securitate a informațiilor care pot fi contactate institutii de invatamantși autoritățile educaționale care nu dețin specialiștii și licențele necesare, precum și Registrul de stat instrumentele de securitate a informațiilor certificate sunt postate pe site-ul web FSTEC. Costul unor astfel de proceduri este destul de mare și se ridică la sute de mii de ruble.

În cazul unei declarații bazate pe propriile sale dovezi, operatorul generează în mod independent un set de documente, cum ar fi: documentatie tehnica, alte documente și rezultate ale cercetării proprii, care au servit drept bază motivată pentru confirmarea conformității sistemului de informare a datelor cu caracter personal cu toate cerințele necesare necesar pentru clasa a treia.

Teste de atestare (certificare). sunt realizate de organizații care dețin licențele FSTEC necesare. Totodată, certificarea este înțeleasă ca un ansamblu de măsuri care fac posibilă aducerea unui sistem informațional în conformitate cu cerințele de securitate a informațiilor pentru clasa declarată, prevăzute în documentele normative și metodologice ale FSTEC.

Testele de atestare (certificare) conțin o analiză a sistemelor de informații cu date cu caracter personal deja disponibile în unitate, precum și din nou deciziile luate să asigure securitatea informațiilor și să includă verificarea:

  • măsuri organizatorice și de reglementare pentru asigurarea securității informațiilor;
  • securitatea informațiilor de la scurgeri prin canale tehnice (PEMIN);
  • securitatea informațiilor împotriva accesului neautorizat.

Pe baza rezultatelor testelor de certificare se ia decizia de a elibera un certificat de conformitate a sistemului informatic cu clasa declarată de cerințe de securitate a informațiilor. Certificatul se eliberează pentru o perioadă de trei ani.

Documentele metodologice ale FSTEC stabilesc de asemenea Cerințe suplimentare privind disponibilitatea licențelor pentru desfășurarea activităților de protecție a datelor cu caracter personal. Fără licențele corespunzătoare, astfel de evenimente sunt posibile numai pentru sistemele informatice de clasa a treia și a patra.

Pentru realizarea măsurilor de asigurare a securității datelor cu caracter personal pentru sistemele informatice speciale, sistemele de clasa I și a II-a și sistemele distribuite (inclusiv cele conectate la Internet) de clasa a treia, operatorii sunt obligați să obțină Licență FSTEC pentru activitati de protectie tehnica informații confidențiale.

Legalitatea cerințelor de desfășurare a procedurilor de declarare, certificare (atestare) și autorizare de către instituțiile de stat și municipale pe baza documentelor metodologice FSTEC ridică îndoieli serioase.

Reglementări privind procedura de gestionare a informațiilor oficiale cu distribuție limitată în autoritățile executive federale<7>(clauza 1.2) clasifică informațiile neclasificate referitoare la activitățile organizațiilor, a căror restricții de distribuție sunt dictate de nevoile oficiale, ca informații clasificate cu distribuție limitată. Stabilirea responsabilităților pentru licențierea activităților organizațiilor nu poate fi în niciun fel recunoscută de informațiile DSP.

<7>Aprobat prin Decretul Guvernului Federației Ruse din 3 noiembrie 1994 N 1233.

Responsabilitățile pentru acordarea de licențe a anumitor tipuri de activități, inclusiv activitățile de protecție tehnică a informațiilor confidențiale, sunt determinate de Legea federală „Cu privire la licențierea anumitor tipuri de activități”<8>. Procedura de autorizare a activităților de protecție tehnică a informațiilor confidențiale desfășurată de entitati legaleȘi antreprenori individuali, stabilit prin Decretul Guvernului Federației Ruse din 15 august 2006 N 504.

<8>Legea federală din 08.08.2001 N 128-FZ.

Nici Reglementările privind activitățile de licențiere pentru protecția tehnică a informațiilor confidențiale, nici Procedura de clasificare a sistemelor informatice de date cu caracter personal nu stabilesc obligații pentru licențierea activităților pentru protecția tehnică a informațiilor confidențiale în funcție de clasa sistemului informatic. Aceste cerințe sunt stabilite în documentul DSP - Măsuri de bază pentru organizarea și suportul tehnic al securității PD procesate în ISPD.

Regulamentul privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal stabilește doar că:

  • instrumentele de securitate a informațiilor utilizate în sistemele informatice sunt supuse unei proceduri de evaluare a conformității în modul prescris (clauza 5) - adică nu operatorul este supus certificării, ci instrumentul de securitate a informațiilor și este realizat de producătorul de acest instrument (inclusiv program de calculator privind protecția informațiilor);
  • rezultatele evaluărilor de conformitate și (sau) studiile de caz ale instrumentelor de securitate a informațiilor concepute pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale sunt evaluate în timpul unei examinări efectuate de către Serviciul Federal pentru Controlul Tehnic și al Exporturilor și Serviciul Federal de Securitate în limitele puterilor lor.

În conformitate cu partea 3 a art. 15 din Constituția Federației Ruse, toate legile, precum și orice reglementări care afectează drepturile, libertățile și îndatoririle omului și ale cetățeanului, trebuie să fie publicate oficial pentru informare publică, adică făcute publice. Actele juridice normative nepublicate nu se aplică și nu aduc consecințe juridice întrucât nu au intrat în vigoare.

Din 15 mai 1992, prin Decretul Guvernului Federației Ruse din 05/08/1992 N 305 „Cu privire la înregistrare de stat acte normative departamentale” a fost introdusă înregistrarea de stat a actelor normative ale ministerelor și direcțiilor care afectează drepturile și interesele cetățenilor și cu caracter interdepartamental.

Problemele privind înregistrarea de stat și intrarea în vigoare a actelor juridice de reglementare departamentale sunt reglementate de Decretul președintelui Federației Ruse N 763<9>și Decretul Guvernului Federației Ruse N 1009<10>.

<9>Decretul Președintelui Federației Ruse din 23 mai 1996 N 763 „Cu privire la procedura de publicare și intrare în vigoare a actelor Președintelui Federației Ruse, Guvernului Federației Ruse și actelor normative ale autorităților executive federale. ”
<10>Decretul Guvernului Federației Ruse din 13 august 1997 N 1009 „Cu privire la aprobarea Regulilor pentru pregătirea actelor juridice de reglementare ale autorităților executive federale și înregistrarea lor de stat”.

Conform clauzei 10 din Regulile pentru întocmirea actelor juridice normative ale autorităților executive federale și înregistrarea lor de stat, acte normative care afectează drepturile, libertățile și responsabilitățile unei persoane și ale cetățeanului, care stabilesc statutul juridic al organizațiilor cu caracter interdepartamental. , indiferent de perioada de valabilitate a acestora, sunt supuse înregistrării de stat inclusiv actele care conțin informații care constituie secret de stat sau informații cu caracter confidențial.

Înregistrarea de stat a actelor juridice normative este efectuată de Ministerul Justiției, care ține Registrul de stat al actelor juridice normative ale autorităților executive federale.

Înregistrarea de stat a unui act juridic normativ include:

  • examinarea juridică a conformității acestui act cu legislația Federației Ruse, inclusiv verificarea prezenței prevederilor în el care contribuie la crearea condițiilor pentru corupție;
  • luarea unei decizii cu privire la necesitatea înregistrării de stat a acestui act;
  • atribuirea numărului de înregistrare;
  • înscrierea în Registrul de stat al actelor juridice normative ale autorităților executive federale.

Actele juridice de reglementare care afectează drepturile, libertățile și responsabilitățile omului și cetățeanului, care stabilesc statutul juridic al organizațiilor sau care au caracter interdepartamental sunt supuse publicării oficiale în modul prescris, cu excepția actelor sau a dispozițiilor individuale ale acestora care conțin informații care constituie secret de stat sau informații cu caracter confidențial,

Un act recunoscut de Ministerul Justiției ca nu necesită înregistrarea de stat este supus publicării în modul stabilit de organul executiv federal care a aprobat actul. Totodată, procedura de intrare în vigoare a acestui act este determinată și de organul executiv federal care l-a emis.

Prin urmare, potrivit autorului, instituțiile de stat și municipale care efectuează prelucrare automată datele cu caracter personal, în cazul cererilor pentru obținerea de licențe, declarare sau certificare (atestare), aceștia pot contesta în instanță aceste cerințe (mai ales dacă mijloacele de protecție a datelor cu caracter personal utilizate au fost deja certificate de producătorul lor).

A.Bethlehemsky

director

Centrul Nijni Novgorod

economia educaţiei