Đạo luật phân loại người lao động cá nhân. Dữ liệu cá nhân (phân loại dữ liệu cá nhân)

“Tổ chức ngân sách: kế toán và thuế”, 2009, N 12

Từ ngày 1 tháng 1 năm 2010, hệ thống thông tin dữ liệu cá nhân ở tất cả các tổ chức, bao gồm cả tổ chức ngân sách, phải tuân thủ các yêu cầu của Luật “Về dữ liệu cá nhân”<1>. Một số điều luật đã được thông qua cho Luật này và kết quả là hiện nay có nhiều cách giải thích khác nhau về trách nhiệm của các cơ quan nhà nước và thành phố liên quan đến hệ thống thông tin mà họ có. Bài viết phân tích các quy định của pháp luật hiện hành và nêu bật những yêu cầu bắt buộc.

<1>Luật Liên bang ngày 27 tháng 7 năm 2006 N 152-FZ.

Theo Nghệ thuật. 1 của Luật “Về dữ liệu cá nhân”, Luật Liên bang này quy định các mối quan hệ liên quan đến việc xử lý dữ liệu cá nhân được thực hiện bởi các cơ quan chính phủ liên bang, cơ quan chính phủ của các đơn vị cấu thành Liên Bang Nga, khác cơ quan chính phủ, Nội tạng chính quyền địa phương, không nằm trong hệ thống các cơ quan tự quản địa phương, cơ quan thành phố, cơ quan pháp luật và cá nhân sử dụng các công cụ tự động hóa hoặc không sử dụng các công cụ đó, nếu việc xử lý dữ liệu cá nhân mà không sử dụng các công cụ đó phù hợp với bản chất của các hành động (thao tác) được thực hiện với dữ liệu cá nhân bằng các công cụ tự động hóa.

Sự quan tâm như vậy đến các vấn đề tự động hóa xử lý dữ liệu cá nhân đòi hỏi phải tuân thủ các quy định pháp lý đặc biệt liên quan đến việc sử dụng công nghệ thông tin. Đồng thời, cần nghiên cứu kỹ khung pháp lý hiện đang được hiểu rất mơ hồ, đặc biệt là về mặt trình bày các yêu cầu đối với hệ thống thông tin.

Khái niệm “hệ thống thông tin” trong pháp luật hiện hành

Theo Luật Liên bang "Về thông tin, công nghệ thông tin và bảo vệ thông tin"<2> Hệ thống thông tin- một tập hợp thông tin chứa trong cơ sở dữ liệu, công nghệ thông tin và phương tiện kỹ thuật đảm bảo việc xử lý thông tin đó. Dựa trên định nghĩa này, chúng ta có thể kết luận rằng không có hệ thống thông tin nào mà không sử dụng Thiết bị máy tính và phần mềm liên quan.

<2>Luật Liên bang ngày 27 tháng 7 năm 2006 N 149-FZ.

Tuy nhiên, trong Nghệ thuật. Khoản 3 của Luật “Về dữ liệu cá nhân” đưa ra định nghĩa rộng hơn hệ thống thông tin: đây là tập hợp dữ liệu cá nhân có trong cơ sở dữ liệu, cũng như công nghệ thông tin và phương tiện kỹ thuật cho phép xử lý dữ liệu cá nhân đó có hoặc không sử dụng các công cụ tự động hóa.

Chúng ta hãy phân tích các thành phần của định nghĩa này, các định nghĩa của chúng có thể được tìm thấy trong Luật Liên bang “Về thông tin, công nghệ thông tin và bảo vệ thông tin”, các luật và quy định khác của Chính phủ Liên bang Nga.

Dưới cơ sở dữ liệuđược hiểu là tập hợp dữ liệu được kết nối với nhau có tổ chức trên phương tiện máy đọc được (Quy định tạm thời về kế toán nhà nước và đăng ký cơ sở dữ liệu, ngân hàng dữ liệu).<3>). Tuy nhiên, tại phần 4 Bộ luật Dân sự Liên bang Nga (khoản 2, khoản 2, điều 1260), định nghĩa chi tiết hơn được đưa ra. Cơ sở dữ liệu: đây là tập hợp các tài liệu độc lập được trình bày dưới dạng khách quan (bài báo, tính toán, quy định, quyết định của tòa án và các tài liệu tương tự khác), được hệ thống hóa theo cách mà các tài liệu này có thể được tìm thấy và xử lý bằng cách sử dụng điện tử máy tính(MÁY TÍNH).

<3>Được phê duyệt bởi Nghị định của Chính phủ Liên bang Nga ngày 28 tháng 2 năm 1996 N 226.

công nghệ thông tin- quy trình, phương pháp tìm kiếm, thu thập, lưu trữ, xử lý, cung cấp, phân phối thông tin và phương pháp thực hiện các quy trình và phương pháp đó (Luật Liên bang “Về thông tin, công nghệ thông tin và bảo vệ thông tin”).

Dưới phương tiện kỹ thuật cho phép xử lý dữ liệu cá nhân được hiểu là phương tiện công nghệ máy tính, các tổ hợp và mạng thông tin và máy tính, các phương tiện và hệ thống truyền, nhận và xử lý dữ liệu cá nhân (phương tiện và hệ thống ghi âm, khuếch đại âm thanh, tái tạo âm thanh, phòng họp và thiết bị truyền hình, phương tiện sản xuất, sao chép tài liệu và những thứ khác phương tiện kỹ thuật xử lý thông tin lời nói, đồ họa, video và chữ số), phần mềm ( hệ điều hành, hệ thống quản lý cơ sở dữ liệu và tương tự), các công cụ bảo mật thông tin được sử dụng trong hệ thống thông tin (Quy định về đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý chúng trong hệ thống thông tin dữ liệu cá nhân<4>).

<4>Được phê duyệt bởi Nghị định của Chính phủ Liên bang Nga ngày 17 tháng 11 năm 2007 N 781.

Như vậy, phương tiện kỹ thuật bao gồm cả máy photocopy và phần mềm, nhưng khái niệm then chốt trong việc xác định hệ thống thông tin dữ liệu cá nhân là khái niệm “cơ sở dữ liệu”. Từ định nghĩa này, cơ sở dữ liệu được xử lý bằng máy tính (phương tiện phải có thể đọc được bằng máy). Nếu quá trình xử lý được thực hiện mà không sử dụng máy tính và cơ sở dữ liệu (phương tiện có thể đọc được bằng máy), thì về mặt hình thức không có hệ thống thông tin. Ngoài ra, nếu không có phương tiện kỹ thuật cho phép xử lý dữ liệu cá nhân thì cơ sở dữ liệu cũng không thể được công nhận là hệ thống thông tin. Ngoài ra, hệ thống thông tin không chỉ là tập hợp các thiết bị máy tính và các chương trình nhất định xử lý thông tin từ cơ sở dữ liệu; chúng có thể sử dụng hoặc không sử dụng các công cụ tự động hóa.

Ý nghĩa của các công cụ tự động hóa là gì?

Có một quan điểm cho rằng việc sử dụng tự động hóa có nghĩa là bất kỳ xử lý máy tính hoặc xử lý bằng các thiết bị điện tử. Nếu cơ sở dữ liệu được lưu trữ trên máy tính (ví dụ: bảng tính hoặc chương trình kế toán) hoặc, ví dụ, trong sổ tay điện thoại di động, thì đây đã là quá trình xử lý dữ liệu cá nhân tự động và phải được thông báo cho Roskomnadzor. Ngoài ra, một số chuyên gia cho rằng việc xử lý không sử dụng các công cụ tự động hóa chỉ có thể được thực hiện trên giấy (trong các tạp chí điền bằng tay, trong danh sách viết tay).

Theo Phần 3 của Nghệ thuật. 4 của Luật “Về dữ liệu cá nhân”, các chi tiết cụ thể về việc xử lý dữ liệu cá nhân được thực hiện mà không sử dụng các công cụ tự động hóa có thể được thiết lập theo luật liên bang và các đạo luật pháp lý quy định khác của Liên bang Nga, có tính đến các quy định của điều này Luật liên bang.

Nghị định của Chính phủ Liên bang Nga ngày 15 tháng 9 năm 2008 N 687 đã phê duyệt Quy định về các chi tiết cụ thể của việc xử lý dữ liệu cá nhân được thực hiện mà không sử dụng các công cụ tự động hóa. Theo đoạn 1 của Quy định nói trên Việc xử lý dữ liệu cá nhân có trong hệ thống thông tin dữ liệu cá nhân hoặc được trích xuất từ hệ thống đó (sau đây gọi là dữ liệu cá nhân) được coi là được thực hiện mà không sử dụng các công cụ tự động hóa (không tự động), nếu các hành động đó với dữ liệu cá nhân Việc sử dụng, làm rõ, phân phối, tiêu hủy dữ liệu cá nhân liên quan đến từng đối tượng của dữ liệu cá nhân được thực hiện với sự tham gia trực tiếp của một người.

Hãy đảo ngược Đặc biệt chú ý thực tế là, theo khoản 2 của Quy định về chi tiết cụ thể của việc xử lý dữ liệu cá nhân được thực hiện mà không sử dụng các công cụ tự động hóa, việc xử lý dữ liệu cá nhân chỉ có thể được công nhận là được thực hiện bằng các công cụ tự động hóa trên cơ sở chúng được chứa đựng. trong hệ thống thông tin hoặc được trích xuất từ nó.

Vì vậy, có thể nói rằng từ quan điểm của các định nghĩa có sẵn trong pháp luật hiện hành, phần lớn hệ thống thông tin trong các cơ quan tiểu bang và thành phố có thể được coi là chính thức được triển khai mà không cần sử dụng các công cụ tự động hóa (bao gồm một phần quan trọng là phần mềm kế toán). Rốt cuộc, tất cả các thẻ mặt trong các hệ thống này đều được chỉnh sửa thủ công trong các cửa sổ thích hợp. Để tiêu diệt các thẻ mặt, người vận hành cũng phải chọn chúng trong danh sách và nhấn chìa khóa đặc biệtđể xóa dữ liệu. Ngay cả việc lưu trữ cũng được thực hiện chương trình đặc biệt, được đưa ra bởi một người.

Và đây các chương trình khác nhau, cho phép bạn định dạng lại dữ liệu (bao gồm cả từ định dạng chương trình kế toán trong một định dạng, ví dụ, một chương trình Quỹ hưu trí) và thực hiện chúng đầu vào tự động và chuyển tiếp mà không tham khảo từng hồ sơ nhân viên cụ thể có thể được phân loại là xử lý dữ liệu tự động. Đồng thời, việc xử lý dữ liệu cá nhân (bao gồm họ, tên, họ, số chứng nhận lương hưu, v.v.) là một phần không thể thiếu của các chương trình đó.

Đồng thời, nếu việc truyền dữ liệu sang các chương trình khác (bao gồm cả mục đích kế toán thuế) không được thực hiện hoàn toàn tự động mà với sự trợ giúp của người tham gia xử lý dữ liệu cá nhân thì việc xử lý đó cũng không thể được coi là tự động. .

Về vấn đề này, các khuyến nghị của Cơ quan Giáo dục Liên bang, được nêu trong Thư số 17-110 ngày 29 tháng 7 năm 2009 “Về việc đảm bảo bảo vệ dữ liệu cá nhân,” có ứng dụng khá hạn chế trong thực tế. Để tự động hóa việc xử lý dữ liệu cá nhân trong bảng câu hỏi, Rosobrazovanie khuyến nghị chỉ ra thêm thông tin nội bộ một số nhận dạng(mã cá nhân) của chủ đề dữ liệu cá nhân, được chỉ định cho toàn bộ thời gian học tập hoặc làm việc. Điều này cho phép bạn ẩn danh cơ sở dữ liệu nếu chúng không chứa dữ liệu cá nhân khác và giảm đáng kể chi phí bảo vệ thông tin.

Tuy nhiên, để tự động hóa các hoạt động quản lý trong một cơ quan tiểu bang hoặc thành phố, ít nhất họ, tên, tên viết tắt của nhân viên, sinh viên, v.v., cũng như một số dữ liệu cá nhân khác (ví dụ: đối với nhân viên, thông tin về họ thu nhập cho mục đích kế toán và thuế) là bắt buộc. Hấp dẫn mã cá nhân có trong các tờ rơi (bảng câu hỏi), phần còn lại của quá trình xử lý dữ liệu bằng phần mềm ít nhất sẽ có vẻ lạ, làm giảm hiệu quả của việc triển khai các công nghệ thông tin hiện đại. Hơn nữa, tùy thuộc vào hình thức của bảng câu hỏi được sử dụng, chúng có thể được coi là một phần của hệ thống thông tin (là một phần không thể thiếu của cơ sở dữ liệu), điều này sẽ làm mất hoàn toàn ý nghĩa của việc mã hóa bổ sung (việc mã hóa như vậy là bắt buộc nếu cần thiết). để cá nhân hóa dữ liệu, ví dụ, cho nghiên cứu thống kê).

Xử lý dữ liệu cá nhân mà không sử dụng các công cụ tự động hóa

Vì vậy, như đã thảo luận ở trên, mặc dù tin học hóa các hoạt động, trong hầu hết các trường hợp, việc xử lý dữ liệu cá nhân ở các cơ quan nhà nước và thành phố vẫn được thực hiện mà không sử dụng các công cụ tự động hóa (không tự động) và do đó, được quy định bởi Quy định về chi tiết cụ thể về việc xử lý dữ liệu cá nhân được thực hiện mà không sử dụng các công cụ tự động hóa<5>.

<5>Được phê duyệt bởi Nghị định của Chính phủ Liên bang Nga ngày 15 tháng 9 năm 2008 N 687.

Những người thực hiện việc xử lý đó (bao gồm nhân viên của tổ chức điều hành hoặc những người làm việc theo thỏa thuận với nhà điều hành) phải được thông báo về thực tế xử lý dữ liệu cá nhân của họ mà không sử dụng các công cụ tự động hóa, cũng như các loại dữ liệu cá nhân được xử lý. về các tính năng và quy tắc để thực hiện quá trình xử lý đó được thiết lập bởi các hành vi pháp lý quy định của cơ quan điều hành liên bang, cơ quan điều hành của các thực thể cấu thành của Liên bang Nga và các hành vi địa phương của một tổ chức giáo dục.

Dữ liệu cá nhân, khi được xử lý mà không sử dụng các công cụ tự động hóa, phải được tách biệt khỏi thông tin khác, đặc biệt, bằng cách ghi chúng trên các phương tiện hữu hình riêng biệt, trong các phần đặc biệt hoặc trong các trường biểu mẫu (biểu mẫu).

Đồng thời, không được phép ghi lại dữ liệu cá nhân trên một phương tiện vật chất nếu mục đích xử lý của chúng rõ ràng là không tương thích. Trong trường hợp này, một phương tiện hữu hình riêng biệt phải được sử dụng cho từng loại dữ liệu cá nhân.

Và do đó, việc xử lý phải được thực hiện sao cho đối với mỗi loại dữ liệu cá nhân có:

địa điểm lưu trữ đã được xác định và danh sách những người xử lý dữ liệu hoặc có quyền truy cập vào dữ liệu đó đã được thiết lập;
Việc lưu trữ dữ liệu cá nhân riêng biệt (phương tiện hữu hình) được đảm bảo, việc xử lý dữ liệu này được thực hiện cho nhiều mục đích khác nhau;
các điều kiện đã được đáp ứng để đảm bảo an toàn cho dữ liệu cá nhân và ngăn chặn việc truy cập trái phép vào dữ liệu đó.

Danh sách các biện pháp cần thiết để đảm bảo các điều kiện đó, thủ tục áp dụng chúng, cũng như danh sách những người chịu trách nhiệm thực hiện các biện pháp này, được cơ sở giáo dục thiết lập theo yêu cầu của các đạo luật quy định về bảo vệ quyền riêng tư. dữ liệu cá nhân.

Nếu mục đích xử lý dữ liệu cá nhân được ghi trên một phương tiện vật chất không tương thích, nếu điều đó không cho phép chúng được xử lý tách biệt với dữ liệu cá nhân khác được ghi trên cùng một phương tiện, thì phải thực hiện các biện pháp để đảm bảo xử lý riêng biệt, cụ thể:

nếu cần sử dụng hoặc phân phối một số dữ liệu cá nhân riêng biệt với những dữ liệu khác nằm trên cùng một phương tiện tài liệu, thì dữ liệu được phân phối hoặc sử dụng sẽ được sao chép theo cách ngăn chặn việc sao chép đồng thời dữ liệu không được phân phối và sử dụng, và một bản sao dữ liệu cá nhân được sử dụng (phân phối);
nếu cần phải hủy hoặc chặn một phần dữ liệu cá nhân, phương tiện tài liệu sẽ bị hủy hoặc bị chặn bằng cách sao chép sơ bộ thông tin không bị phá hủy hoặc chặn, theo cách ngăn chặn việc sao chép đồng thời dữ liệu cá nhân bị phá hủy hoặc chặn .

Việc hủy bỏ hoặc phi cá nhân hóa một phần dữ liệu cá nhân, nếu được phương tiện hữu hình cho phép, có thể được thực hiện theo cách ngăn cản việc xử lý thêm dữ liệu cá nhân này, trong khi vẫn duy trì khả năng xử lý dữ liệu khác được ghi trên phương tiện hữu hình (xóa, xóa) .

Việc làm rõ dữ liệu cá nhân khi xử lý chúng mà không sử dụng các công cụ tự động hóa được thực hiện bằng cách cập nhật hoặc thay đổi dữ liệu trên một phương tiện hữu hình và nếu điều này không được phép đặc tính kỹ thuật chất mang vật liệu- bằng cách ghi lại trên cùng một phương tiện thông tin về những thay đổi được thực hiện đối với chúng hoặc bằng cách tạo ra một phương tiện vật chất mới với dữ liệu cá nhân được cập nhật.

Xử lý dữ liệu cá nhân bằng các công cụ tự động hóa

Quy định về đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý trong hệ thống thông tin dữ liệu cá nhân đặt ra các yêu cầu để đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý trong hệ thống thông tin dữ liệu cá nhân, là một tập hợp dữ liệu cá nhân có trong cơ sở dữ liệu, cũng như thông tin công nghệ và phương tiện kỹ thuật.

Như sau từ đoạn 1 của Quy định này, thuật ngữ “hệ thống thông tin” chỉ đề cập đến các hệ thống thông tin cho phép xử lý dữ liệu cá nhân bằng các công cụ tự động hóa, do đó, các yêu cầu của Quy định này không áp dụng cho các hệ thống thông tin trong đó việc xử lý dữ liệu được thực hiện mà không sử dụng các công cụ tự động hóa.

Nếu một tổ chức tiểu bang hoặc thành phố thực hiện xử lý tự động dữ liệu cá nhân thì phải đáp ứng các yêu cầu sau.

Theo Quy định về đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý trong hệ thống thông tin dữ liệu cá nhân, việc bảo mật dữ liệu cá nhân đạt được:

bằng cách loại trừ quyền truy cập trái phép, bao gồm cả vô tình, vào dữ liệu cá nhân, có thể dẫn đến việc phá hủy, sửa đổi, chặn, sao chép, phân phối dữ liệu cá nhân;
bằng cách loại trừ các hành động trái phép khác.

Tính bảo mật của dữ liệu cá nhân trong quá trình xử lý chúng trong hệ thống thông tin được đảm bảo bằng cách sử dụng hệ thống bảo vệ dữ liệu cá nhân, bao gồm:

biện pháp tổ chức;
công cụ bảo mật thông tin;
công nghệ thông tin.

Các biện pháp bảo mật thông tin bao gồm:

phương tiện mã hóa (mật mã);
phương tiện ngăn chặn truy cập trái phép;
biện pháp ngăn chặn rò rỉ thông tin qua kênh kỹ thuật;
phương tiện ngăn chặn tác động của phần mềm và phần cứng đến các phương tiện kỹ thuật xử lý dữ liệu cá nhân.

Để đảm bảo tính bảo mật của dữ liệu cá nhân trong quá trình xử lý chúng trong hệ thống thông tin, việc bảo vệ được thực hiện thông tin lời nói và thông tin được xử lý bằng phương tiện kỹ thuật, cũng như thông tin được trình bày dưới dạng tín hiệu điện thông tin, trường vật lý, phương tiện trên giấy, từ tính, quang từ và các cơ sở khác.

Yêu cầu của người dùng hệ thống thông tin về việc lấy dữ liệu cá nhân, cũng như thực tế cung cấp dữ liệu về những yêu cầu này, phải được ghi lại bằng phương tiện tự động của hệ thống thông tin trong nhật ký điện tử của các yêu cầu. Đồng thời, nội dung tạp chí điện tử các yêu cầu phải được định kỳ xác nhận bởi cán bộ (nhân viên) có liên quan của người điều hành hoặc người được ủy quyền.

Nếu phát hiện hành vi vi phạm quy trình cung cấp dữ liệu cá nhân, người vận hành hoặc người được ủy quyền phải đình chỉ ngay việc cung cấp dữ liệu cá nhân cho người sử dụng hệ thống thông tin cho đến khi xác định được và loại bỏ nguyên nhân vi phạm.

Phần cứng và phần mềm phải đáp ứng các yêu cầu được thiết lập theo luật pháp Liên bang Nga để đảm bảo bảo vệ thông tin. Đồng thời, các phương pháp và phương pháp bảo vệ thông tin trong hệ thống thông tin được Cơ quan Dịch vụ Kỹ thuật và Kỹ thuật Liên bang thiết lập. kiểm soát xuất khẩu(FSTEC) và Cơ quan An ninh Liên bang (FSB) trong giới hạn quyền hạn của họ.

Tính bảo mật của dữ liệu cá nhân khi được xử lý trong hệ thống thông tin được đảm bảo bởi nhà điều hành hoặc người được nhà điều hành ủy thác xử lý dữ liệu cá nhân trên cơ sở thỏa thuận. Những người cần có quyền truy cập vào dữ liệu cá nhân được xử lý trong hệ thống thông tin để thực hiện nhiệm vụ chính thức (lao động) được phép truy cập vào dữ liệu cá nhân có liên quan trên cơ sở danh sách được nhà điều hành phê duyệt hoặc người được uỷ quyền. Một điều kiện thiết yếu của hợp đồng là nghĩa vụ của người được ủy quyền phải đảm bảo tính bảo mật và an toàn cho dữ liệu cá nhân khi xử lý trong hệ thống thông tin.

Các công cụ bảo mật thông tin được sử dụng trong hệ thống thông tin, trong theo cách thức quy định trải qua thủ tục đánh giá sự phù hợp. Việc trao đổi dữ liệu cá nhân trong quá trình xử lý trong hệ thống thông tin được thực hiện thông qua các kênh liên lạc, việc bảo vệ dữ liệu này được đảm bảo thông qua việc thực hiện các biện pháp tổ chức phù hợp và (hoặc) thông qua việc sử dụng các phương tiện kỹ thuật.

Đồng thời, hệ thống thông tin được phân loại bởi các cơ quan nhà nước, cơ quan thành phố, pháp nhân hoặc cá nhân tổ chức và (hoặc) thực hiện việc xử lý dữ liệu cá nhân, cũng như xác định mục đích và nội dung xử lý dữ liệu cá nhân, tùy thuộc vào khối lượng dữ liệu cá nhân do họ xử lý và các mối đe dọa an ninh đối với lợi ích sống còn của cá nhân, xã hội và nhà nước.

Quy trình phân loại hệ thống thông tin được thiết lập bởi Cơ quan Kiểm soát Xuất khẩu và Kỹ thuật Liên bang, Cơ quan An ninh Liên bang và Bộ Công nghệ Thông tin và Truyền thông. Thủ tục này được xác định theo Lệnh của FSTEC Nga, FSB Nga, Bộ Thông tin và Truyền thông Nga ngày 13 tháng 2 năm 2008 N 55/86/20.

Ngoài ra, các yêu cầu về cơ sở và an ninh của chúng cũng được nêu rõ. Theo khoản 8 của Quy định về đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân trong hệ thống thông tin dữ liệu cá nhân, việc bố trí hệ thống thông tin, thiết bị đặc biệt và an ninh của cơ sở thực hiện công việc với dữ liệu cá nhân, việc tổ chức an ninh chế độ tại các cơ sở này phải đảm bảo an toàn cho người vận chuyển dữ liệu cá nhân và các phương tiện bảo mật thông tin, đồng thời loại trừ khả năng ra vào hoặc lưu trú không kiểm soát trong các cơ sở này người trái phép.

Để làm được điều này, các tổ chức tiểu bang và thành phố phải lắp đặt thêm thiết bị báo động trong các cơ sở được chỉ định và ở các ô cửa - ổ khóa bổ sung hoặc cửa kim loại.

Các biện pháp đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý trong hệ thống thông tin bao gồm:

a) xác định các mối đe dọa đối với tính bảo mật của dữ liệu cá nhân trong quá trình xử lý dữ liệu, hình thành mô hình mối đe dọa dựa trên chúng;

b) phát triển, dựa trên mô hình mối đe dọa, hệ thống bảo vệ dữ liệu cá nhân nhằm đảm bảo vô hiệu hóa các mối đe dọa bị cáo buộc bằng cách sử dụng các phương pháp và phương pháp bảo vệ dữ liệu cá nhân được cung cấp cho loại hệ thống thông tin tương ứng;

c) kiểm tra mức độ sẵn sàng sử dụng của các công cụ bảo mật thông tin và đưa ra kết luận về khả năng hoạt động của chúng;

d) lắp đặt và vận hành các phương tiện an toàn thông tin phù hợp với tài liệu kỹ thuật và vận hành;

e) đào tạo người sử dụng các công cụ an toàn thông tin được sử dụng trong hệ thống thông tin về các quy tắc làm việc với chúng;

f) tính toán các phương tiện bảo vệ thông tin được sử dụng, tài liệu vận hành và kỹ thuật cho chúng, vật mang dữ liệu cá nhân;

g) kế toán của những người được ủy quyền làm việc với dữ liệu cá nhân trong hệ thống thông tin;

h) kiểm soát việc tuân thủ các điều kiện sử dụng các công cụ bảo mật thông tin được nêu trong tài liệu kỹ thuật và vận hành;

i) điều tra và đưa ra kết luận về việc không tuân thủ các điều kiện lưu trữ của người vận chuyển dữ liệu cá nhân, việc sử dụng các biện pháp bảo mật thông tin có thể dẫn đến vi phạm tính bảo mật dữ liệu cá nhân hoặc các vi phạm khác dẫn đến giảm mức độ về bảo mật dữ liệu cá nhân, phát triển và áp dụng các biện pháp nhằm ngăn chặn hậu quả nguy hiểm có thể xảy ra do những hành vi vi phạm đó;

j) mô tả hệ thống bảo vệ dữ liệu cá nhân.

Những người có quyền truy cập vào cơ sở dữ liệu thông tin với dữ liệu cá nhân, ký kết nghĩa vụ không tiết lộ thông tin bí mật (nghĩa vụ đó cũng có thể được bao gồm trong hợp đồng lao động). Chỉ sau đó, cơ sở giáo dục mới cho phép họ xử lý dữ liệu cá nhân.

Khi xử lý dữ liệu cá nhân trong hệ thống thông tin, cơ sở giáo dục phải đảm bảo:

a) thực hiện các biện pháp nhằm ngăn chặn việc truy cập trái phép vào dữ liệu cá nhân và (hoặc) chuyển dữ liệu đó cho những người không có quyền truy cập thông tin đó;

b) phát hiện kịp thời các sự thật về việc truy cập trái phép vào dữ liệu cá nhân;

c) Phòng ngừa tác động lên phương tiện kỹ thuật xử lý tự động dữ liệu cá nhân, do đó chức năng của chúng có thể bị gián đoạn;

d) khả năng khôi phục ngay lập tức dữ liệu cá nhân bị sửa đổi hoặc phá hủy do truy cập trái phép vào dữ liệu đó;

e) giám sát liên tục để đảm bảo mức độ bảo mật của dữ liệu cá nhân.

Để phát triển và thực hiện các biện pháp đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý trong hệ thống thông tin, người điều hành hoặc người được ủy quyền có thể chỉ định một đơn vị cơ cấu hoặc quan chức (nhân viên) chịu trách nhiệm đảm bảo an toàn dữ liệu cá nhân.

Bạn cũng nên đặc biệt chú ý đến thực tế là, theo khoản 17 của Quy định về đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân trong hệ thống thông tin dữ liệu cá nhân, việc thực hiện các yêu cầu đảm bảo an toàn thông tin trong các công cụ bảo mật thông tin được giao cho họ. nhà phát triển.

sự đầy đủ Các biện pháp được thực hiệnđể đảm bảo tính bảo mật của dữ liệu cá nhân trong quá trình xử lý chúng trong hệ thống thông tin được đánh giá trong quá trình kiểm soát và giám sát của nhà nước.

Phân loại hệ thống thông tin dữ liệu cá nhân

Việc phân loại hệ thống thông tin dữ liệu cá nhân cho phép xử lý dữ liệu này bằng các công cụ tự động hóa được thực hiện bởi cơ sở giáo dục - nhà điều hành theo Quy trình phân loại hệ thống thông tin dữ liệu cá nhân<6>tùy thuộc vào loại dữ liệu đang được xử lý và số lượng của nó.

<6>Được phê duyệt theo Lệnh của FSTEC Nga, FSB của Nga, Bộ Thông tin và Truyền thông Nga ngày 13 tháng 2 năm 2008 N 55/86/20.

Bốn loại dữ liệu cá nhân sau đây được thiết lập:

dữ liệu cá nhân liên quan đến chủng tộc, quốc tịch, quan điểm chính trị, niềm tin tôn giáo và triết học, sức khỏe, đời sống tình cảm;
dữ liệu cá nhân cho phép bạn xác định chủ đề của dữ liệu cá nhân và lấy thông tin bổ sung về anh ta, ngoại trừ dữ liệu cá nhân thuộc danh mục đầu tiên;
dữ liệu cá nhân cho phép xác định chủ thể của dữ liệu cá nhân;
dữ liệu cá nhân được ẩn danh và (hoặc) có sẵn công khai.

Ở bất kỳ trường đại học nào bạn có thể tìm thấy trên khán đài công cộng danh sách khác nhau sinh viên, bao gồm cả sự kết hợp của tên đầy đủ. sinh viên, khóa học, nhóm, cho phép bạn nhận dạng duy nhất sinh viên đó. Do đó, sự kết hợp dữ liệu cá nhân như vậy buộc chúng phải được phân loại là dữ liệu cá nhân thuộc loại thứ ba; Việc đặt dữ liệu này ở một nơi có thể truy cập công khai cần có sự đồng ý của học sinh.

Thẻ cá nhân của nhân viên (mẫu T-2), hồ sơ cá nhân của sinh viên thuộc loại thứ hai, vì đây là dữ liệu cá nhân không chỉ cho phép xác định chủ đề của dữ liệu cá nhân mà còn có được thông tin bổ sung về anh ta.

Hệ thống thông tin dữ liệu cá nhân được chia thành tiêu chuẩn và đặc biệt. Các hệ thống điển hình bao gồm những hệ thống chỉ yêu cầu bảo mật dữ liệu cá nhân. Tất cả các hệ thống khác được phân loại là đặc biệt.

Hệ thống thông tin đặc biệt cũng nên bao gồm:

hệ thống thông tin trong đó dữ liệu cá nhân liên quan đến tình trạng sức khỏe của chủ thể dữ liệu cá nhân được xử lý;
hệ thống thông tin cung cấp việc áp dụng, chỉ dựa trên việc xử lý tự động dữ liệu cá nhân, các quyết định làm phát sinh hậu quả pháp lý liên quan đến chủ thể dữ liệu cá nhân hoặc ảnh hưởng đến quyền và lợi ích hợp pháp của anh ta.

Dựa trên phân loại trên, có thể khẳng định rằng bất kỳ dữ liệu y tế nào, cũng như hồ sơ nhân sự có chứa cột “quốc tịch” (và đây hầu như đều là các bảng câu hỏi và câu hỏi hợp lệ). tờ giấy cá nhân hồ sơ nhân sự hiện đang được sử dụng) phải được phân loại vào loại đầu tiên.

Dựa trên kết quả phân tích dữ liệu có sẵn, một hệ thống thông tin điển hình được chỉ định một trong bốn loại được chỉ định trong Quy trình phân loại hệ thống thông tin dữ liệu cá nhân.

Loại hệ thống thông tin đặc biệt được xác định dựa trên mô hình các mối đe dọa đối với tính bảo mật của dữ liệu cá nhân dựa trên kết quả phân tích dữ liệu nguồn theo các tài liệu phương pháp của FSTEC.

FSTEC đã ban hành các tài liệu DSP sau, chỉ có thể lấy được bằng cách liên hệ với cơ quan này:

Các hoạt động chủ yếu về tổ chức và hỗ trợ kỹ thuật bảo mật dữ liệu cá nhân được xử lý trong hệ thống thông tin dữ liệu cá nhân, ngày 15 tháng 2 năm 2008;
Mô hình cơ bản về các mối đe dọa đối với tính bảo mật của dữ liệu cá nhân trong quá trình xử lý chúng trong hệ thống thông tin dữ liệu cá nhân ngày 15 tháng 2 năm 2008;
Phương pháp xác định các mối đe dọa hiện tại đối với tính bảo mật của dữ liệu cá nhân trong quá trình xử lý chúng trong hệ thống thông tin dữ liệu cá nhân ngày 15 tháng 2 năm 2008;
Khuyến nghị đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý trong hệ thống thông tin dữ liệu cá nhân ngày 15/02/2008.

Các tài liệu phương pháp luận này chứa đựng nhiều yêu cầu mà hầu hết các cơ quan nhà nước hoặc thành phố đều cực kỳ khó thực hiện vì lý do cả về bản chất tổ chức và tài chính.

Tuyên bố, chứng nhận (chứng thực) và cấp phép cho các hoạt động bảo vệ dữ liệu cá nhân

Các tài liệu phương pháp của FSTEC được liệt kê ở trên thiết lập quy trình sau để đánh giá sự tuân thủ mức độ bảo mật của hệ thống thông tin với các yêu cầu bảo mật:

đối với hệ thống thông tin loại một và loại hai, việc tuân thủ mức độ bảo mật với các yêu cầu bảo mật được thiết lập thông qua chứng nhận (chứng thực) bắt buộc;
đối với hệ thống thông tin loại thứ ba, việc tuân thủ các yêu cầu bảo mật được xác nhận bằng chứng nhận (chứng nhận) hoặc (theo lựa chọn của nhà điều hành) do nhà điều hành dữ liệu cá nhân thực hiện;
Đối với hệ thống thông tin loại thứ tư, việc đánh giá sự phù hợp không được quy định và được thực hiện theo quyết định của người điều hành dữ liệu cá nhân.

Tuyên bố về sự phù hợp- đây là sự xác nhận về việc tuân thủ các đặc điểm của hệ thống thông tin dữ liệu cá nhân với các yêu cầu được thiết lập bởi luật pháp, hướng dẫn và văn bản quy định của FSTEC và FSB.

Việc công bố hợp quy có thể được thực hiện trên cơ sở bằng chứng của chính mình hoặc bằng chứng thu được với sự tham gia của các tổ chức liên quan có giấy phép cần thiết. Danh sách các cơ quan (tổ chức) chứng nhận hệ thống chứng nhận an toàn thông tin yêu cầu an toàn thông tin có thể liên hệ cơ sở giáo dục và các cơ quan giáo dục không có chuyên môn và giấy phép cần thiết, cũng như Đăng ký tiểu bang các công cụ bảo mật thông tin được chứng nhận được đăng trên trang web của FSTEC. Chi phí của các thủ tục như vậy khá cao và lên tới hàng trăm nghìn rúp.

Trong trường hợp tuyên bố dựa trên bằng chứng của chính mình, nhà điều hành sẽ độc lập tạo ra một bộ tài liệu, chẳng hạn như: tài liệu kỹ thuật, các tài liệu khác và kết quả nghiên cứu của chính mình, làm cơ sở thúc đẩy để xác nhận sự tuân thủ của cá nhân hệ thống thông tin dữ liệu với tất cả yêu cầu cần thiết cần thiết cho lớp ba.

Kiểm tra chứng nhận (chứng nhận)được thực hiện bởi các tổ chức có giấy phép FSTEC cần thiết. Đồng thời, chứng nhận được hiểu là một tập hợp các biện pháp giúp hệ thống thông tin có thể tuân thủ các yêu cầu về bảo mật thông tin đối với lớp được khai báo, được quy định trong các tài liệu quy định và phương pháp luận của FSTEC.

Các bài kiểm tra chứng thực (chứng nhận) bao gồm phân tích hệ thống thông tin dữ liệu cá nhân đã có sẵn tại cơ sở, cũng như các quyết định mới được thông qua để đảm bảo an ninh thông tin và bao gồm việc xác minh:

các biện pháp tổ chức và quản lý để đảm bảo an ninh thông tin;
bảo mật thông tin khỏi rò rỉ thông qua các kênh kỹ thuật (PEMIN);
bảo mật thông tin khỏi sự truy cập trái phép.

Dựa trên kết quả kiểm tra chứng nhận, quyết định cấp giấy chứng nhận sự phù hợp của hệ thống thông tin với lớp yêu cầu bảo mật thông tin đã công bố. Giấy chứng nhận được cấp trong thời hạn ba năm.

Các tài liệu về phương pháp luận của FSTEC cũng thiết lập Các yêu cầu bổ sung về sự sẵn có của giấy phép để tiến hành các hoạt động bảo vệ dữ liệu cá nhân. Nếu không có giấy phép thích hợp, những sự kiện như vậy chỉ có thể thực hiện được đối với hệ thống thông tin hạng ba và hạng tư.

Để thực hiện các biện pháp đảm bảo an toàn dữ liệu cá nhân cho các hệ thống thông tin đặc biệt, hệ thống hạng nhất và hạng hai và hệ thống hạng ba được phân phối (bao gồm cả những hệ thống được kết nối với Internet), các nhà khai thác phải có được Giấy phép FSTEC cho các hoạt động trên bảo vệ kỹ thuật thông tin bí mật.

Tính hợp pháp của các yêu cầu thực hiện các thủ tục khai báo, chứng nhận (chứng thực) và cấp phép của các tổ chức nhà nước và thành phố trên cơ sở các tài liệu phương pháp luận của FSTEC đặt ra những nghi ngờ nghiêm trọng.

Quy định về thủ tục xử lý thông tin chính thức được phân phối hạn chế trong các cơ quan hành pháp liên bang<7>(khoản 1.2) phân loại là thông tin độc quyền được phân phối hạn chế, thông tin chưa được phân loại liên quan đến hoạt động của các tổ chức, những hạn chế về việc phân phối thông tin này được quy định bởi nhu cầu chính thức. Việc thiết lập trách nhiệm cấp phép cho các hoạt động của tổ chức không thể được thông tin DSP công nhận dưới bất kỳ hình thức nào.

<7>Được phê duyệt bởi Nghị định của Chính phủ Liên bang Nga ngày 3 tháng 11 năm 1994 N 1233.

Trách nhiệm cấp phép cho một số loại hoạt động nhất định, bao gồm các hoạt động bảo vệ kỹ thuật đối với thông tin bí mật, được xác định theo Luật Liên bang "Về cấp phép một số loại hoạt động"<8>. Thủ tục cấp phép cho hoạt động bảo vệ kỹ thuật thông tin bí mật được thực hiện bởi pháp nhân Và doanh nhân cá nhân, được xác định theo Nghị định của Chính phủ Liên bang Nga ngày 15 tháng 8 năm 2006 N 504.

<8>Luật Liên bang ngày 08/08/2001 N 128-FZ.

Cả Quy định về cấp phép hoạt động bảo vệ kỹ thuật thông tin bí mật cũng như Quy trình phân loại hệ thống thông tin dữ liệu cá nhân đều không đặt ra nghĩa vụ cấp phép cho hoạt động bảo vệ kỹ thuật thông tin bí mật tùy thuộc vào loại hệ thống thông tin. Các yêu cầu này được thiết lập trong tài liệu DSP - Các biện pháp cơ bản để tổ chức và hỗ trợ kỹ thuật về bảo mật của PD được xử lý trong ISPD.

Quy định về bảo đảm an toàn dữ liệu cá nhân trong quá trình xử lý trong hệ thống thông tin dữ liệu cá nhân chỉ xác định rằng:

Các công cụ bảo mật thông tin được sử dụng trong hệ thống thông tin phải trải qua quy trình đánh giá sự phù hợp theo cách thức quy định (khoản 5) - nghĩa là không phải người vận hành phải được chứng nhận mà là công cụ bảo mật thông tin và được thực hiện bởi nhà sản xuất công cụ này (bao gồm chương trình máy tính về bảo vệ thông tin);
kết quả đánh giá sự phù hợp và (hoặc) nghiên cứu điển hình về các công cụ bảo mật thông tin được thiết kế để đảm bảo tính bảo mật của dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân trong hệ thống thông tin được đánh giá trong quá trình kiểm tra do Dịch vụ Kiểm soát Kỹ thuật và Xuất khẩu Liên bang và Dịch vụ An ninh Liên bang thực hiện trong giới hạn quyền hạn của họ.

Theo Phần 3 của Nghệ thuật. Điều 15 của Hiến pháp Liên bang Nga, tất cả các luật cũng như mọi quy định ảnh hưởng đến quyền, tự do và nghĩa vụ của con người và công dân, phải được công bố chính thức để cung cấp thông tin đại chúng, nghĩa là công khai. Các văn bản quy phạm pháp luật chưa được công bố không được áp dụng và không gây hậu quả pháp lý vì chưa có hiệu lực thi hành.

Kể từ ngày 15 tháng 5 năm 1992, theo Nghị định của Chính phủ Liên bang Nga ngày 08/05/1992 N 305 "Ngày đăng ký nhà nước hành vi quy phạm cấp Bộ" đăng ký nhà nước các hành vi quy phạm của các bộ, ngành ảnh hưởng đến quyền và lợi ích của công dân và mang tính chất liên ngành đã được giới thiệu.

Các vấn đề đăng ký nhà nước và hiệu lực của các văn bản quy phạm pháp luật cấp bộ được quy định bởi Nghị định của Tổng thống Liên bang Nga N 763<9>và Nghị định của Chính phủ Liên bang Nga N 1009<10>.

<9>Nghị định của Tổng thống Liên bang Nga ngày 23 tháng 5 năm 1996 N 763 “Về thủ tục công bố và có hiệu lực các văn bản của Tổng thống Liên bang Nga, Chính phủ Liên bang Nga và các văn bản quy phạm pháp luật của các cơ quan hành pháp liên bang. ”
<10>Nghị định của Chính phủ Liên bang Nga ngày 13 tháng 8 năm 1997 N 1009 “Về việc phê duyệt các Quy tắc chuẩn bị các hành vi pháp lý điều chỉnh của các cơ quan hành pháp liên bang và đăng ký nhà nước của họ.”

Theo khoản 10 của Quy tắc chuẩn bị các hành vi pháp lý quy phạm của các cơ quan hành pháp liên bang và đăng ký nhà nước của họ, các hành vi pháp lý quy phạm ảnh hưởng đến các quyền, quyền tự do và trách nhiệm của một cá nhân và công dân, thiết lập địa vị pháp lý của các tổ chức có tính chất liên ngành , bất kể thời hạn hiệu lực của chúng, đều phải đăng ký nhà nước, bao gồm cả các hành vi chứa thông tin cấu thành bí mật nhà nước hoặc thông tin có tính chất bí mật.

Việc đăng ký nhà nước về các hành vi pháp lý quy phạm được thực hiện bởi Bộ Tư pháp, cơ quan duy trì Sổ đăng ký nhà nước về các hành vi pháp lý quy phạm của các cơ quan hành pháp liên bang.

Việc đăng ký nhà nước đối với văn bản quy phạm pháp luật bao gồm:

kiểm tra pháp lý về việc tuân thủ đạo luật này với pháp luật của Liên bang Nga, bao gồm cả việc kiểm tra sự hiện diện của các điều khoản góp phần tạo điều kiện cho tham nhũng;
đưa ra quyết định về sự cần thiết phải đăng ký nhà nước của hành động này;
cấp số đăng ký;
gia nhập Sổ đăng ký Nhà nước về các hành vi pháp lý quy phạm của các cơ quan hành pháp liên bang.

Các văn bản quy phạm pháp luật có ảnh hưởng đến quyền, tự do, trách nhiệm của con người, công dân, xác lập địa vị pháp lý của tổ chức hoặc có tính chất liên ngành đều được công bố chính thức theo cách thức quy định, trừ các văn bản hoặc quy định riêng có chứa thông tin cấu thành bí mật nhà nước hoặc thông tin có tính chất bí mật,

Một đạo luật được Bộ Tư pháp công nhận là không yêu cầu đăng ký cấp tiểu bang sẽ được công bố theo cách thức do cơ quan hành pháp liên bang đã phê duyệt đạo luật xác định. Đồng thời, thủ tục để đạo luật này có hiệu lực cũng được xác định bởi cơ quan hành pháp liên bang đã ban hành nó.

Do đó, theo ý kiến của tác giả, các tổ chức tiểu bang và thành phố thực hiện xử lý dữ liệu cá nhân tự động, trong trường hợp có yêu cầu xin giấy phép, thực hiện khai báo hoặc chứng nhận (chứng thực), có thể kháng cáo các yêu cầu đó tại tòa án (đặc biệt nếu phương tiện bảo vệ dữ liệu cá nhân được sử dụng đã được nhà sản xuất chứng nhận).

A. Bethlehemsky

giám đốc

Trung tâm Nizhny Novgorod

kinh tế giáo dục

Số đăng ký 11462

Theo đoạn 6 của Quy định về đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân trong hệ thống thông tin dữ liệu cá nhân, được phê duyệt bởi Nghị định của Chính phủ Liên bang Nga ngày 17 tháng 11 năm 2007 N 781 “Về việc phê duyệt Quy định về đảm bảo bảo mật dữ liệu cá nhân trong quá trình xử lý trong hệ thống thông tin dữ liệu cá nhân "(Luật sưu tầm của Liên bang Nga, 2007, Số 48, Phần II, Điều 6001), chúng tôi đặt hàng:

Phê duyệt Quy trình đính kèm để phân loại hệ thống thông tin dữ liệu cá nhân.

Giám đốc

Dịch vụ liên bang

về kiểm soát kỹ thuật và xuất khẩu

S. Grigorov

Giám đốc Cơ quan An ninh Liên bang

Liên Bang Nga

N. Patrushev

Bộ trưởng Bộ Công nghệ Thông tin và Truyền thông Liên bang Nga

L. Reiman

Quy trình phân loại hệ thống thông tin dữ liệu cá nhân

1. Quy trình này xác định việc phân loại hệ thống thông tin dữ liệu cá nhân, là tập hợp dữ liệu cá nhân có trong cơ sở dữ liệu, cũng như công nghệ thông tin và phương tiện kỹ thuật cho phép xử lý dữ liệu cá nhân đó bằng các công cụ tự động hóa (sau đây gọi là hệ thống thông tin )1.

2. Việc phân loại hệ thống thông tin được thực hiện bởi các cơ quan nhà nước, cơ quan thành phố, pháp nhân và cá nhân tổ chức và (hoặc) thực hiện việc xử lý dữ liệu cá nhân, cũng như xác định mục đích và nội dung xử lý dữ liệu cá nhân ( sau đây gọi là người điều hành)2.

3. Việc phân loại hệ thống thông tin được thực hiện ở giai đoạn tạo lập hoặc trong quá trình vận hành hệ thống thông tin (đối với hệ thống thông tin đã đưa vào vận hành và (hoặc) hiện đại hóa) nhằm thiết lập các phương pháp, phương tiện bảo vệ thông tin cần thiết nhằm đảm bảo an ninh. của dữ liệu cá nhân.

4. Việc thực hiện phân loại hệ thống thông tin bao gồm các bước sau:

thu thập và phân tích dữ liệu ban đầu trên hệ thống thông tin:

phân công lớp thích hợp cho hệ thống thông tin và tài liệu của nó.

5. Khi phân loại hệ thống thông tin, các số liệu ban đầu sau đây được xét đến:

khối lượng dữ liệu cá nhân được xử lý (số lượng chủ thể dữ liệu cá nhân có dữ liệu cá nhân được xử lý trong hệ thống thông tin) - X npd;

đặc điểm bảo mật của dữ liệu cá nhân được xử lý trong hệ thống thông tin do nhà điều hành chỉ định;

cấu trúc hệ thống thông tin;

Khả năng kết nối của hệ thống thông tin với mạng truyền thông sử dụng chung và (hoặc) mạng lưới quốc tế trao đổi thông tin;

chế độ xử lý dữ liệu cá nhân;

phương thức phân định quyền truy cập của người sử dụng hệ thống thông tin;

vị trí phương tiện kỹ thuật của hệ thống thông tin.

6. Các loại dữ liệu cá nhân được xử lý trong hệ thống thông tin (X pd) sau đây được xác định:

7. X npd có thể nhận các giá trị sau:

1 - hệ thống thông tin xử lý đồng thời dữ liệu cá nhân của hơn 100.000 chủ thể dữ liệu cá nhân hoặc dữ liệu cá nhân của các chủ thể dữ liệu cá nhân trong một thực thể cấu thành của Liên bang Nga hoặc toàn bộ Liên bang Nga;

2 - hệ thống thông tin xử lý đồng thời dữ liệu cá nhân từ 1.000 đến 100.000 chủ thể dữ liệu cá nhân hoặc dữ liệu cá nhân của các chủ thể dữ liệu cá nhân làm việc trong khu vực kinh tế của Liên bang Nga, trong cơ quan chính phủ, sống trong phạm vi đô thị;

3 - hệ thống thông tin xử lý đồng thời dữ liệu của dưới 1000 chủ thể dữ liệu cá nhân hoặc dữ liệu cá nhân của chủ thể dữ liệu cá nhân trong một tổ chức cụ thể.

8. Theo đặc điểm bảo mật của dữ liệu cá nhân được xử lý trong hệ thống thông tin do nhà điều hành chỉ định, hệ thống thông tin được chia thành hệ thống thông tin tiêu chuẩn và hệ thống thông tin đặc biệt.

Hệ thống thông tin điển hình là hệ thống thông tin chỉ yêu cầu đảm bảo tính bảo mật của dữ liệu cá nhân.

Hệ thống thông tin đặc biệt là hệ thống thông tin trong đó, bất kể nhu cầu đảm bảo tính bảo mật của dữ liệu cá nhân, cần phải đảm bảo ít nhất một trong các đặc điểm bảo mật của dữ liệu cá nhân ngoài tính bảo mật (bảo mật khỏi bị phá hủy, sửa đổi, chặn, v.v.) như các hành động trái phép khác).

Hệ thống thông tin đặc biệt nên bao gồm:

hệ thống thông tin trong đó dữ liệu cá nhân liên quan đến tình trạng sức khỏe của chủ thể dữ liệu cá nhân được xử lý;

hệ thống thông tin cung cấp việc áp dụng, chỉ dựa trên việc xử lý tự động dữ liệu cá nhân, các quyết định làm phát sinh hậu quả pháp lý liên quan đến chủ thể dữ liệu cá nhân hoặc ảnh hưởng đến quyền và lợi ích hợp pháp của anh ta.

9. Theo cấu trúc, hệ thống thông tin được chia thành:

thành các tổ hợp tự trị (không kết nối với các hệ thống thông tin khác) về kỹ thuật và phần mềm thiết bị dùng để xử lý dữ liệu cá nhân (máy trạm tự động);

đến các tổ hợp trạm làm việc tự động, được hợp nhất thành một hệ thống thông tin duy nhất bằng phương tiện liên lạc mà không sử dụng công nghệ Truy cập từ xa(hệ thống thông tin địa phương);

đến các tổ hợp máy trạm tự động và (hoặc) hệ thống thông tin cục bộ, được kết hợp thành một hệ thống thông tin duy nhất bằng phương tiện liên lạc sử dụng công nghệ truy cập từ xa (hệ thống thông tin phân tán).

10. Căn cứ vào sự kết nối với mạng truyền thông công cộng và (hoặc) mạng trao đổi thông tin quốc tế, hệ thống thông tin được chia thành hệ thống có kết nối và hệ thống không có kết nối.

11. Theo phương thức xử lý dữ liệu cá nhân trong hệ thống thông tin, hệ thống thông tin được chia thành một người dùng và nhiều người dùng.

12. Căn cứ vào việc phân định quyền truy cập của người sử dụng, hệ thống thông tin được chia thành hệ thống không phân định quyền truy cập và hệ thống có phân định quyền truy cập.

13. Hệ thống thông tin, tùy thuộc vào vị trí của các phương tiện kỹ thuật, được chia thành các hệ thống, tất cả các phương tiện kỹ thuật trong đó được đặt tại Liên bang Nga và các hệ thống, các phương tiện kỹ thuật được đặt một phần hoặc toàn bộ bên ngoài Liên bang Nga.

14. Căn cứ vào kết quả phân tích dữ liệu nguồn, hệ thống thông tin điển hình được phân loại một trong các loại sau:

lớp 1 (K1) - hệ thống thông tin vi phạm đặc điểm nhất định tính bảo mật của dữ liệu cá nhân được xử lý trong đó có thể dẫn đến hậu quả tiêu cực đáng kể cho chủ thể của dữ liệu cá nhân;

loại 2 (K2) - hệ thống thông tin vi phạm các đặc điểm bảo mật cụ thể của dữ liệu cá nhân được xử lý trong đó có thể dẫn đến hậu quả tiêu cực cho chủ thể của dữ liệu cá nhân;

loại 3 (K3) - hệ thống thông tin vi phạm các đặc điểm bảo mật cụ thể của dữ liệu cá nhân được xử lý trong đó có thể dẫn đến hậu quả tiêu cực nhỏ cho chủ thể của dữ liệu cá nhân;

loại 4 (K4) - hệ thống thông tin vi phạm các đặc điểm bảo mật cụ thể của dữ liệu cá nhân được xử lý trong đó không dẫn đến hậu quả tiêu cực cho chủ thể của dữ liệu cá nhân.

15. Phân loại hệ thống thông tin điển hình được xác định theo bảng.

16. Dựa trên kết quả phân tích dữ liệu nguồn, loại hệ thống thông tin đặc biệt được xác định trên cơ sở mô hình các mối đe dọa đối với an toàn dữ liệu cá nhân theo các tài liệu phương pháp được xây dựng theo khoản 2 của Nghị định của Chính phủ Liên bang Nga ngày 17 tháng 11 năm 2007 N 781 “Về việc phê duyệt Quy định đảm bảo an toàn dữ liệu cá nhân khi xử lý trong hệ thống thông tin dữ liệu cá nhân"3.

17. Nếu các hệ thống con được xác định trong một hệ thống thông tin, mỗi hệ thống con là một hệ thống thông tin thì toàn bộ hệ thống thông tin đó sẽ được gán một lớp tương ứng với hầu hết các hệ thống đó. cao cấp các hệ thống con có trong đó.

18. Kết quả phân loại hệ thống thông tin được ghi vào văn bản tương ứng của người vận hành.

19. Phân loại hệ thống thông tin có thể được sửa đổi:

theo quyết định của nhà điều hành dựa trên phân tích và đánh giá các mối đe dọa đối với tính bảo mật của dữ liệu cá nhân, có tính đến các đặc điểm và (hoặc) những thay đổi của một hệ thống thông tin cụ thể;

dựa trên kết quả của các biện pháp giám sát việc tuân thủ các yêu cầu đảm bảo an toàn cho dữ liệu cá nhân trong quá trình xử lý chúng trong hệ thống thông tin.

1Đoạn một trong đoạn 1 của Quy định về đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân trong hệ thống thông tin dữ liệu cá nhân, được phê duyệt bởi Nghị định của Chính phủ Liên bang Nga ngày 17 tháng 11 năm 2007.

N 781 (Bộ sưu tập pháp luật Liên bang Nga, 2007, N 48, phần II,

2Khoản một khoản 6 Quy chế.

3Luật sưu tầm của Liên bang Nga 2007, N 48, phần II,Nghệ thuật. 6001.

Một trong những yếu tố quan trọng ở giai đoạn cung cấp ban đầu bảo mật thông tin là quá trình phân loại hệ thống được bảo vệ theo yêu cầu an toàn thông tin. Quá trình này Nó được mô tả và quản lý khá tốt, nhưng nó có những điểm tinh tế riêng. Trong bài viết trước, chúng tôi đã xem xét khái niệm phân loại hệ thống, tiêu chí phân loại chính, thường gặp, xác định thành phần tài liệu trên cơ sở hệ thống nào được phân loại theo yêu cầu bảo mật thông tin và làm rõ vấn đề cá nhân về phân loại hệ thống thông tin và đối tượng kế toán. Trong bài viết này chúng ta sẽ xem xét trật tự chung thực hiện việc phân loại hệ thống thông tin theo yêu cầu bảo mật thông tin bằng cách sử dụng ví dụ về hệ thống thông tin trạng thái trừu tượng, cũng như một số điểm chính khi thực hiện phân loại.

Trước khi bắt đầu, bạn cần phải hiểu rõ những điểm cơ bản sau:

1. Bằng cách phân loại, chúng ta sẽ hiểu việc phân chia một tập hợp chung các đối tượng thành các tập hợp con - các lớp, được nhóm theo các đặc điểm cơ bản nhất, còn theo lớp, chúng ta sẽ hiểu một tập hợp các đối tượng có những đặc điểm chung nhất định, do đó, sẽ là một đặc điểm - một tiêu chí để phân loại.

2. Phân loại nhiều lần theo yêu cầu bảo mật thông tin là không sai sót.

3. Việc lựa chọn quy trình phân loại được thực hiện dựa trên mục tiêu tạo ra hệ thống, thành phần thông tin cần xử lý và phân tích, quy định, phương pháp luận và các tài liệu khác mà hệ thống mật phải tuân thủ.

4. Kết quả của việc phân loại là hành vi phân loại.

5. Kết quả phân loại không phải là kết quả cuối cùng và có thể được sửa đổi.

6. Việc phân loại do chủ sở hữu thông tin thực hiện.

Các câu hỏi từ 1 đến 5 đã được thảo luận chi tiết trong bài viết trước, vì vậy chúng ta sẽ bỏ qua chúng và xem xét các câu hỏi khác chi tiết hơn.

Hãy bắt đầu bằng một câu đơn giản: “Kết quả của việc phân loại là hành động phân loại”. Sự thật nàyđược thiết lập theo các yêu cầu của khoản 14.2, trong đó thiết lập các yêu cầu đối với bất kỳ hệ thống thông tin tiểu bang nào.

Một trong những sai lầm phổ biến khi soạn thảo một đạo luật liên quan đến các trường hợp thực hiện nhiều phân loại hệ thống. Trong trường hợp này, cần tiến hành phân loại một cách độc lập, không dựa vào kết quả của các phân loại trước đó (nếu điều này không mâu thuẫn với thứ tự phân loại) và kết quả phải được chính thức hóa trong các hành vi phân loại riêng biệt.

Điều đáng chú ý là không có yêu cầu nghiêm ngặt về sự hiện diện của các hành vi phân loại riêng biệt. Tất cả thông tin dựa trên kết quả của nhiều phân loại có thể được phản ánh trong một hành động duy nhất. Tuy nhiên, điều này thường dẫn đến sự nhầm lẫn và bất tiện không cần thiết cho công việc tiếp theo với tài liệu. Đó là lý do tại sao chúng tôi khuyến nghị nên soạn thảo các đạo luật phân loại thành các đạo luật riêng biệt.

Hãy chuyển sang điểm 5: "Kết quả phân loại chưa phải là kết quả cuối cùng và có thể được sửa đổi." Tuyên bố này tuân theo dựa trên logic chính thức của chính quy trình, bởi vì các điều kiện hoạt động của đối tượng phân loại, mục tiêu, mục tiêu và các khía cạnh khác của nó có thể thay đổi. Bản thân các tiêu chí phân loại có thể thay đổi hoặc biến đổi. Ngoài ra, tài liệu thiết lập quy trình phân loại thường chứa thông tin về quy trình sửa đổi kết quả phân loại. Do đó, theo khoản 14.2 của lệnh FSTEC của Nga ngày 13 tháng 2 năm 2013 số 17, cấp bảo mật của hệ thống thông tin có thể được sửa đổi khi quy mô của hệ thống thông tin hoặc tầm quan trọng của thông tin được xử lý trong đó những thay đổi. Quy trình sửa đổi kết quả phân loại thực tế không khác gì chính quá trình phân loại.

Hãy chuyển sang tuyên bố cuối cùng: “Việc phân loại được thực hiện bởi chủ sở hữu thông tin”. Đầu tiên, hãy xác định “chủ sở hữu thông tin” là ai. Theo Nghệ thuật. 2 của Luật Liên bang Liên bang Nga ngày 27 tháng 7 năm 2006 “Về thông tin, công nghệ thông tin và bảo vệ thông tin” Số 149-FZ “chủ sở hữu thông tin là người độc lập tạo ra thông tin hoặc đã nhận được, trên cơ sở một luật hoặc thỏa thuận, quyền cho phép hoặc hạn chế quyền truy cập vào thông tin được xác định vì bất kỳ lý do nào." Quyền của chủ sở hữu thông tin được xác lập tại Điều 6 của luật trên:

"1. Chủ sở hữu thông tin, trừ khi luật liên bang có quy định khác, có quyền:

cho phép hoặc hạn chế quyền truy cập thông tin, xác định thủ tục và điều kiện cho việc truy cập đó;
sử dụng thông tin, bao gồm cả việc phổ biến thông tin đó, theo quyết định riêng của bạn;
chuyển thông tin cho người khác theo hợp đồng hoặc trên cơ sở khác theo quy định của pháp luật;
bảo vệ quyền lợi của bạn bằng các biện pháp hợp pháp trong trường hợp nhận thông tin bất hợp pháp hoặc sử dụng trái phép Những người khác;
thực hiện các hành động khác với thông tin hoặc ủy quyền cho các hành động đó.

Khi thực hiện quyền của mình, chủ sở hữu thông tin có nghĩa vụ:

tôn trọng quyền và lợi ích hợp pháp của người khác;
thực hiện các biện pháp bảo vệ thông tin;
hạn chế quyền truy cập thông tin nếu nghĩa vụ đó được thiết lập bởi luật pháp liên bang.”

Dựa trên định nghĩa về chủ sở hữu thông tin và các quyền của chủ sở hữu thông tin, có thể thấy rõ chủ sở hữu thông tin là người có quyền thực hiện việc phân loại, vì phân loại là một phần không thể thiếu trong việc hình thành các yêu cầu bảo vệ thông tin có trong hệ thống thông tin. , do đó là một phần của công việc nhằm đảm bảo an ninh thông tin ở giai đoạn đầu. Thông thường, nhiều người không để ý đến sắc thái này, điều này dẫn đến sự xuất hiện của các tài liệu sai sót, trên cơ sở đó, trong số những thứ khác, công việc tiếp theo về bảo mật thông tin, vi phạm trực tiếp luật pháp của Liên bang Nga. Để làm rõ điểm này, một số cơ quan quản lý đã nêu rõ điều này trong các văn bản quy định của họ, chẳng hạn như trong đoạn 14 của lệnh FSTEC của Nga ngày 13 tháng 2 năm 2013 số 17. Ngoài ra, cần hiểu rằng chủ sở hữu thông tin có quyền ủy thác trách nhiệm của mình nếu điều này không mâu thuẫn với các yêu cầu pháp lý hoặc các yêu cầu khác. Trong trường hợp này, thực tế chuyển giao quyền này, ví dụ cơ quan trực thuộc, phải được ghi chép chính xác. Riêng biệt, cần lưu ý rằng việc phân loại hệ thống thông tin theo yêu cầu an toàn thông tin trong trường hợp không có quyền pháp địnhđơn giản là không có ý nghĩa.

Bây giờ chúng ta hãy chuyển sang quy trình ngay lập tức để thực hiện phân loại. Khi tiến hành phân loại, nên tuân thủ quy trình sau:

1. Theo lệnh của người đứng đầu (phó ủy quyền) của tổ chức là chủ sở hữu hợp pháp thông tin được xử lý trong hệ thống thông tin mật, chỉ định đoàn thực hiện việc phân loại. Thứ tự phải phản ánh:

thành phần ủy ban trong đó có họ tên, chức vụ, vai trò chức năng của từng thành viên trong ủy ban;
tên của hệ thống mật (hoặc một số hệ thống);
các tài liệu theo đó phải phân loại;
thời điểm phân loại.

2. Làm quen với tất cả các thành viên của ủy ban về mệnh lệnh.

3. Ấn định thời gian cho cuộc họp ủy ban.

4. Hoa hồng theo giao thức trong cài đặt thời gian cuộc họp để xác định:

thủ tục tiến hành phân loại theo yêu cầu của tài liệu trên cơ sở tiến hành phân loại;
xác định thành phần đặc điểm phân loại, có ý nghĩa trong quá trình phân loại;
xác định các giá trị đặc điểm phân loại cho hệ thống đang được phân loại;
thiết lập lớp hệ thống thông tin.

5. Căn cứ biên bản họp Hội đồng phân loại, ghi kết quả phân loại cuối cùng vào văn bản phân loại.

6. Trình người đứng đầu (phó ủy quyền) của tổ chức phê duyệt văn bản phân loại theo đúng trình tự đã quy định.

Chúng ta hãy xem xét chi tiết quá trình tổ chức cuộc họp của ủy ban phân loại. Chúng tôi sẽ tiến hành phân loại theo yêu cầu của các hồ sơ sau:

Nghị định của Chính phủ Liên bang Nga ngày 1 tháng 11 năm 2012 “Về việc phê duyệt các yêu cầu bảo vệ dữ liệu cá nhân trong quá trình xử lý chúng trong hệ thống thông tin dữ liệu cá nhân” Số 1119.

Quy trình phân loại trong các tài liệu này được nêu rõ ràng, cũng như các tiêu chí phân loại chính:

mức độ quan trọng của thông tin, được xác định bằng mức độ thiệt hại có thể xảy ra đối với chủ sở hữu thông tin (khách hàng) và (hoặc) người điều hành thông tin do vi phạm tính bảo mật (truy cập, sao chép, cung cấp hoặc phân phối bất hợp pháp), tính toàn vẹn (tiêu hủy hoặc phân phối bất hợp pháp). sửa đổi) hoặc tính khả dụng (chặn bất hợp pháp) thông tin. Hệ thống thông tin nhà nước có thể có một trong cấp độ tiếp theoý nghĩa:

CL 1, nếu ít nhất một trong các đặc tính bảo mật thông tin (tính bảo mật, tính toàn vẹn, tính khả dụng) được xác định là có mức độ thiệt hại cao;
PL 2, nếu có ít nhất một tài sản - mức độ thiệt hại trung bình được xác định và không có tài sản nào được xác định mức độ thiệt hại cao;
Cấp độ 3, nếu dành cho tất cả - mức độ thiệt hại thấp được xác định.

Trong trường hợp này, mức độ thiệt hại có thể xảy ra được xác định bởi chủ sở hữu thông tin và (hoặc) người điều hành một cách độc lập bằng cách sử dụng phương pháp chuyên môn hoặc các phương pháp khác và có thể là:

cao nếu do vi phạm một trong các đặc tính bảo mật thông tin (tính bảo mật, tính toàn vẹn, tính khả dụng), hậu quả tiêu cực đáng kể có thể xảy ra trong các lĩnh vực hoạt động xã hội, chính trị, quốc tế, kinh tế, tài chính hoặc các lĩnh vực hoạt động khác và (hoặc) hệ thống thông tin và (hoặc) người vận hành (người nắm giữ thông tin)) không thể thực hiện các chức năng được giao cho họ;
trung bình, nếu do vi phạm một trong các đặc tính bảo mật thông tin (bảo mật, tính toàn vẹn, tính khả dụng), có thể xảy ra hậu quả tiêu cực vừa phải trong các lĩnh vực hoạt động xã hội, chính trị, quốc tế, kinh tế, tài chính hoặc các lĩnh vực hoạt động khác và (hoặc) hệ thống thông tin và (hoặc) người vận hành (người nắm giữ thông tin)) không thể thực hiện ít nhất một trong các chức năng được giao cho họ;
Thấp nếu do vi phạm một trong các đặc tính an toàn thông tin (tính bảo mật, tính toàn vẹn, tính khả dụng), các hậu quả tiêu cực nhỏ có thể xảy ra trong các lĩnh vực hoạt động xã hội, chính trị, quốc tế, kinh tế, tài chính hoặc các lĩnh vực hoạt động khác và (hoặc) hệ thống thông tin và (hoặc) người điều hành (người nắm giữ thông tin) ) có thể thực hiện các chức năng được giao với hiệu quả không đủ hoặc việc thực hiện các chức năng chỉ có thể thực hiện được khi có sự tham gia của các lực lượng và phương tiện bổ sung.

quy mô hệ thống:

Liên bang, nếu nó hoạt động trên lãnh thổ Liên bang Nga (trong phạm vi quận liên bang) và có các bộ phận trong các đơn vị cấu thành của Liên bang Nga, các đô thị và (hoặc) tổ chức;
Khu vực, nếu nó hoạt động trên lãnh thổ của một thực thể cấu thành của Liên bang Nga và có các phân khúc ở một hoặc nhiều đô thị và (hoặc) cấp dưới và các tổ chức khác;
Dựa trên đối tượng, nếu nó hoạt động tại các cơ sở của một cơ quan chính phủ liên bang, cơ quan chính phủ của một thực thể cấu thành Liên bang Nga, một thực thể thành phố và (hoặc) tổ chức và không có bộ phận trong các cơ quan lãnh thổ, văn phòng đại diện, chi nhánh, cấp dưới và các tổ chức khác.

loại mối đe dọa hiện tại:

Các mối đe dọa loại 1 - phù hợp với hệ thống thông tin nếu các mối đe dọa liên quan đến sự hiện diện của các khả năng không được ghi chép (không được khai báo) trong hệ thống có liên quan đến hệ thống đó phần mềmđược sử dụng trong hệ thống thông tin;
Mối đe dọa loại 2 - liên quan đến hệ thống thông tin nếu các mối đe dọa liên quan đến sự hiện diện của các khả năng không được ghi chép (không được khai báo) trong phần mềm ứng dụng được sử dụng trong hệ thống thông tin có liên quan đến nó;
Các mối đe dọa loại 3 - liên quan đến hệ thống thông tin nếu các mối đe dọa không liên quan đến sự hiện diện của các khả năng không được ghi chép (không được khai báo) trong hệ thống và phần mềm ứng dụng được sử dụng trong hệ thống thông tin có liên quan đến nó.

danh mục dữ liệu cá nhân được xử lý:

các loại dữ liệu cá nhân đặc biệt;
dữ liệu cá nhân sinh trắc học;
người khác;
công cộng.

số đối tượng có dữ liệu cá nhân được xử lý:

hơn 100.000;
dưới 100.000.

liên kết của chủ thể dữ liệu cá nhân:

nhân viên điều hành;
không phải là nhân viên của nhà điều hành.

thuộc về đối tượng dữ liệu cá nhân (không phải nhân viên của nhà điều hành). Ở đây, điều quan trọng là phải hiểu rằng nếu có ít nhất một đối tượng PD có dữ liệu cá nhân được xử lý trong hệ thống và anh ta không phải là nhân viên của nhà điều hành thì chúng tôi có thể chấp nhận giá trị này theo mặc định;
số lượng chủ thể dữ liệu cá nhân: đối với hệ thống của chúng tôi, con số này sẽ không vượt quá 100.000;
danh mục dữ liệu cá nhân: ví dụ: đối với hệ thống của chúng tôi - dữ liệu cá nhân khác. Khi xác định tham số này, chỉ cần hiểu chính xác thông tin nào thuộc loại PD nào là đủ. Nếu thông tin từ danh mục khác nhau, thì hệ thống sẽ chọn giá trị của đặc tính theo chỉ số cao nhất, cụ thể là:

các loại dữ liệu cá nhân đặc biệt nếu thông tin về chủng tộc, quốc tịch, quan điểm chính trị, niềm tin tôn giáo hoặc triết học, tình trạng sức khỏe, cuộc sống thân mật của chủ thể dữ liệu cá nhân được xử lý;
Dữ liệu cá nhân sinh trắc học, trước hết, nếu thông tin liên quan đến các loại dữ liệu cá nhân đặc biệt không được xử lý và thứ hai, nếu nó xử lý thông tin đặc trưng cho các đặc điểm sinh lý và sinh học của một người, trên cơ sở đó danh tính của người đó có thể được thiết lập và được người điều hành sử dụng để thiết lập danh tính của chủ thể dữ liệu cá nhân;
dữ liệu cá nhân có sẵn công khai, nếu nó xử lý dữ liệu cá nhân của chủ thể dữ liệu cá nhân chỉ thu được từ các nguồn dữ liệu cá nhân có sẵn công khai được tạo theo Điều 8 của Luật Liên bang ngày 27 tháng 7 năm 2006 “Về dữ liệu cá nhân” số 152-FZ;
những người khác, nếu nó không xử lý dữ liệu cá nhân được chỉ định ở trên.

theo loại mối đe dọa đối với tính bảo mật của dữ liệu cá nhân. Không phải ngẫu nhiên mà chúng tôi để tham số này ở cuối cùng, vì nó phụ thuộc vào Mô hình mối đe dọa bảo mật dữ liệu cá nhân, mô hình này phải chỉ ra các mối đe dọa hiện tại. Hãy coi đây là mối đe dọa loại 3 cho hệ thống của chúng tôi.

Quá trình xác định giá trị cuối cùng Mỗi đặc điểm phân loại được xác định bằng phương tiện của chuyên gia, thường là kết quả của ý kiến chuyên gia tổng hợp, vì vậy hãy chuyển ngay sang việc xác định những đặc điểm này cho hệ thống thông tin tiểu bang trừu tượng của chúng ta ở quy mô liên bang. Vì vậy, theo lệnh của FSTEC Nga ngày 13 tháng 2 năm 2013 số 17, chúng tôi sẽ xác định thiệt hại tối đa do vi phạm một trong các đặc tính an toàn. Khi xác định nó, chỉ cần tham khảo toàn bộ các chức năng được hệ thống triển khai là đủ; việc vi phạm một thuộc tính cụ thể sẽ dẫn đến việc không thể thực hiện ít nhất một trong số chúng. Chúng tôi xem xét từng yếu tố, đánh giá hậu quả, tìm chỉ báo tối đa và so sánh nó với danh sách các giá trị KZ. Trong ví dụ của chúng tôi, mức độ thiệt hại tối đa sẽ là trung bình, khi đó KZ 2 là mức ý nghĩa thông tin mong muốn.

Sau khi xác định giá trị của các đặc điểm phân loại được chỉ định, tất cả những gì chúng ta phải làm là thiết lập lớp bảo mật cho hệ thống của mình theo logic của các tài liệu đã thảo luận ở trên và phản ánh chính xác kết quả hoạt động của ủy ban, trước tiên là trong giao thức, và sau đó là trong hành động phân loại.

Vì vậy, trong bài viết này chúng tôi đã xem xét quy trình chung để phân loại hệ thống thông tin theo yêu cầu bảo mật thông tin bằng cách sử dụng ví dụ về hệ thống thông tin trạng thái trừu tượng, được xem xét một số điểm chính và ẩn. cạm bẫy khi tiến hành phân loại. Trong bài viết tiếp theo chúng ta sẽ xem xét thủ tục đăng ký tài liệu chuẩn khi thực hiện việc phân loại (lệnh thành lập ủy ban, biên bản cuộc họp ủy ban và đạo luật phân loại), chúng tôi sẽ điền chúng vào hệ thống tóm tắt của mình và chuẩn bị các mẫu mẫu tiêu chuẩn.

Văn bản tài liệu:

Trình tự phê duyệt quy trình phân loại hệ thống thông tin dữ liệu cá nhân

Theo đoạn 6 của Quy định về đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân trong hệ thống thông tin dữ liệu cá nhân, được phê duyệt bởi Nghị định của Chính phủ Liên bang Nga ngày 17 tháng 11 năm 2007 N 781 “Về việc phê duyệt Quy định về đảm bảo bảo mật dữ liệu cá nhân trong quá trình xử lý trong hệ thống thông tin dữ liệu cá nhân "(Luật thu thập của Liên bang Nga, 2007, Số 48, Phần II, Điều 6001), chúng tôi ra lệnh:

Phê duyệt Quy trình đính kèm để phân loại hệ thống thông tin dữ liệu cá nhân.

Giám đốc

Dịch vụ liên bang

về kỹ thuật

và kiểm soát xuất khẩu

S.I.GRIGOROV

Giám đốc

Cơ quan An ninh Liên bang

Liên Bang Nga

N.P.PATRUSHEV

công nghệ thông tin và truyền thông

Liên Bang Nga

L.D.REIMAN

Tán thành

Theo đơn đặt hàng

FSTEC của Nga,

FSB của Nga,

Bộ Thông tin và Truyền thông Nga

ĐẶT HÀNG

PHÂN LOẠI HỆ THỐNG THÔNG TIN

DỮ LIỆU CÁ NHÂN

4. Việc thực hiện phân loại hệ thống thông tin bao gồm các bước sau:

thu thập, phân tích dữ liệu ban đầu về hệ thống thông tin;

phân công lớp thích hợp cho hệ thống thông tin và tài liệu của nó.

5. Khi phân loại hệ thống thông tin, các số liệu ban đầu sau đây được xét đến:

khối lượng dữ liệu cá nhân được xử lý (số lượng đối tượng

dữ liệu cá nhân, dữ liệu cá nhân được xử lý trong

hệ thống thông tin) - X;

đặc điểm bảo mật của dữ liệu cá nhân được xử lý trong hệ thống thông tin do nhà điều hành chỉ định;

cấu trúc hệ thống thông tin;

tính sẵn có của các kết nối của hệ thống thông tin với mạng truyền thông công cộng và (hoặc) mạng trao đổi thông tin quốc tế;

chế độ xử lý dữ liệu cá nhân;

phương thức phân định quyền truy cập của người sử dụng hệ thống thông tin;

vị trí phương tiện kỹ thuật của hệ thống thông tin.

6. Các loại thông tin được xử lý sau đây được xác định:

7. X có thể nhận các giá trị sau:

Hệ thống thông tin điển hình là hệ thống thông tin chỉ yêu cầu đảm bảo tính bảo mật của dữ liệu cá nhân.

Hệ thống thông tin đặc biệt nên bao gồm:

hệ thống thông tin trong đó dữ liệu cá nhân liên quan đến tình trạng sức khỏe của chủ thể dữ liệu cá nhân được xử lý;

9. Theo cấu trúc, hệ thống thông tin được chia thành:

đối với các tổ hợp phần cứng và phần mềm tự trị (không được kết nối với các hệ thống thông tin khác) được thiết kế để xử lý dữ liệu cá nhân (máy trạm tự động);

đến các tổ hợp máy trạm tự động được tích hợp vào một hệ thống thông tin duy nhất bằng phương tiện liên lạc mà không sử dụng công nghệ truy cập từ xa (hệ thống thông tin cục bộ);

11. Theo phương thức xử lý dữ liệu cá nhân trong hệ thống thông tin, hệ thống thông tin được chia thành một người dùng và nhiều người dùng.

14. Căn cứ vào kết quả phân tích dữ liệu nguồn, hệ thống thông tin điển hình được phân loại một trong các loại sau:

loại 1 (K1) - hệ thống thông tin vi phạm các đặc điểm bảo mật cụ thể của dữ liệu cá nhân được xử lý trong đó có thể dẫn đến hậu quả tiêu cực đáng kể cho chủ thể của dữ liệu cá nhân;

15. Phân loại hệ thống thông tin điển hình được xác định theo bảng.

16. Dựa trên kết quả phân tích dữ liệu nguồn, loại hệ thống thông tin đặc biệt được xác định trên cơ sở mô hình các mối đe dọa đối với an toàn dữ liệu cá nhân theo các tài liệu phương pháp được xây dựng theo khoản 2 của Nghị định của Chính phủ Liên bang Nga ngày 17 tháng 11 năm 2007 N 781 “Về việc phê duyệt Quy định về đảm bảo an toàn dữ liệu cá nhân khi xử lý trong hệ thống thông tin dữ liệu cá nhân.”

17. Nếu các hệ thống con được xác định trong một hệ thống thông tin, mỗi hệ thống con là một hệ thống thông tin thì toàn bộ hệ thống thông tin đó được gán một lớp tương ứng với lớp cao nhất trong các hệ thống con của nó.

18. Kết quả phân loại hệ thống thông tin được ghi vào văn bản tương ứng của người vận hành.

19. Phân loại hệ thống thông tin có thể được sửa đổi:

Theo quy định, đạo luật phân loại ISPD là một tài liệu bí mật và phải có tem bảo mật (“Bí mật”, “DSP”, “Bí mật thương mại”) và số tài khoản.

Để thực hiện việc phân loại, doanh nghiệp phải thành lập một ủy ban. Ủy ban phải bao gồm một người chịu trách nhiệm bảo vệ dữ liệu cá nhân. Ủy ban phải được bổ nhiệm theo lệnh của người đứng đầu và thực hiện các hoạt động của mình trên cơ sở Quy chế về ủy ban phân loại. Căn cứ vào kết quả phân loại phải xây dựng văn bản. Đạo luật phân loại ISPD phải được chủ tịch ủy ban phê duyệt và có chữ ký của tất cả các thành viên ủy ban.

Cách soạn thảo đạo luật phân loại ISPD

Một báo cáo phân loại được lập cho mỗi ISPD được xác định. Dựa trên dữ liệu nhận được từ mỗi ISPD, mức độ bảo vệ dữ liệu cá nhân cần thiết sẽ được xác định. Điều này là cần thiết để thiết lập các yêu cầu đảm bảo bảo vệ hệ thống thông tin dữ liệu cá nhân. Mức độ bảo mật dữ liệu cá nhân được xác định theo Nghị định của Chính phủ Liên bang Nga ngày 1 tháng 11 năm 2012 số 1119 “Về việc phê duyệt các yêu cầu bảo vệ dữ liệu cá nhân trong quá trình xử lý chúng trong hệ thống thông tin dữ liệu cá nhân.”

Đạo luật nêu rõ:

dữ liệu cá nhân được xử lý trong hệ thống;
khối lượng dữ liệu cá nhân được xử lý;
loại mối đe dọa hiện tại đối với ISPD;
cấu trúc hệ thống thông tin;
sự sẵn có của các kết nối với mạng truyền thông công cộng và (hoặc) mạng trao đổi thông tin quốc tế;
phương thức xử lý dữ liệu cá nhân trong hệ thống;
phân biệt quyền truy cập của người dùng;
Vị trí ISPDn;
Mức độ bảo mật PD.

Đạo luật phân loại ISPD có thể bao gồm các hệ thống lưu trữ dữ liệu sau:

các loại dữ liệu cá nhân đặc biệt - thông tin liên quan đến chủng tộc, quốc tịch, quan điểm chính trị, niềm tin tôn giáo hoặc triết học, tình trạng sức khỏe, cuộc sống thân mật của chủ thể dữ liệu cá nhân;
dữ liệu sinh trắc học cá nhân - thông tin đặc trưng cho các đặc điểm sinh lý và sinh học của một người, trên cơ sở đó có thể thiết lập danh tính của người đó và được người vận hành sử dụng để thiết lập danh tính của chủ thể dữ liệu cá nhân;
dữ liệu cá nhân có sẵn công khai – thông tin chỉ thu được từ các nguồn dữ liệu cá nhân có sẵn công khai được tạo theo Điều 8 của Luật Liên bang “Về dữ liệu cá nhân”.

Rất hiếm khi tìm thấy các hệ thống xử lý dữ liệu cá nhân loại 3. Điều này là do thực tế là đối với các nhiệm vụ thực tế, chúng tôi không chỉ cần dữ liệu xác định chủ thể (tên đầy đủ, chi tiết hộ chiếu) mà còn thông tin thêm về anh ấy (ví dụ: thông tin về lương).

Các hệ thống thông tin phổ biến nhất là những hệ thống xử lý dữ liệu cá nhân loại 2. Ví dụ, hệ thống tính lương nhân viên.

Khối lượng dữ liệu cá nhân được xử lý xác định số lượng đối tượng có dữ liệu cá nhân được xử lý trong hệ thống. Áp dụng phân cấp sau:

hơn 100.000 đối tượng dữ liệu cá nhân;
ít hơn 100.000 đối tượng dữ liệu cá nhân.

Các loại mối đe dọa đối với tính bảo mật của dữ liệu cá nhân

Loại mối đe dọa hiện tại đối với ISPD:

Các mối đe dọa loại 1 có liên quan đến hệ thống thông tin nếu, trong số những vấn đề khác, các mối đe dọa liên quan đến sự hiện diện của các khả năng không được ghi chép (không được khai báo) trong phần mềm hệ thống được sử dụng trong hệ thống thông tin có liên quan đến hệ thống đó;
Các mối đe dọa loại 2 có liên quan đến hệ thống thông tin nếu, trong số những vấn đề khác, các mối đe dọa liên quan đến sự hiện diện của các khả năng không được ghi chép (không được khai báo) trong phần mềm ứng dụng được sử dụng trong hệ thống thông tin có liên quan đến hệ thống đó;
Các mối đe dọa loại 3 có liên quan đến hệ thống thông tin nếu các mối đe dọa không liên quan đến sự hiện diện của các khả năng không được ghi chép (không được khai báo) trong hệ thống và phần mềm ứng dụng được sử dụng trong hệ thống thông tin có liên quan đến nó.

Theo loại, hệ thống thông tin dữ liệu cá nhân được mô tả trong đạo luật phân loại ISPD được chia thành tiêu chuẩn và đặc biệt. ISPD điển hình là các hệ thống thông tin trong đó chỉ yêu cầu đảm bảo tính bảo mật của PD. ISPD đặc biệt là các hệ thống thông tin trong đó, ngoài tính bảo mật, cần đảm bảo ít nhất một đặc điểm nữa về tính bảo mật của dữ liệu cá nhân (tính toàn vẹn, tính khả dụng).

Ngoài ra, các hệ thống đặc biệt bao gồm tất cả các ISPD xử lý dữ liệu về sức khỏe của đối tượng và các ISPD cung cấp việc thông qua các quyết định tạo ra hậu quả pháp lý cho đối tượng dựa trên quá trình xử lý tự động.

Hầu hết các ISPD hiện có đều đặc biệt. Điều này là do ngoài tính bảo mật, điều quan trọng là dữ liệu cá nhân luôn có sẵn để xử lý, tính toàn vẹn và độ tin cậy. Cho tất cả hệ thống đặc biệt cần phải phát triển" Mô hình riêng những mối đe dọa hiện tại."

Phân loại hệ thống thông tin dữ liệu cá nhân theo cấu trúc:

Tự chủ. Đại diện cho một tự động nơi làm việc(máy tính).
Địa phương. Máy trạm tự động (AWS), hợp nhất trong mạng cục bộ.
Đã phân phối. Máy trạm tự động hoặc mạng cục bộ, được kết nối với nhau bằng công nghệ truy cập từ xa.

Theo phương thức xử lý dữ liệu cá nhân trong hệ thống ISPD, chúng được chia thành một người dùng và nhiều người dùng. Hệ thống một người dùng rất hiếm. Theo quy định, ngay cả tại một nơi làm việc tự chủ, ít nhất phải có hai người làm việc (trong trường hợp đi nghỉ và ốm đau).

Việc phân loại ISPD nhiều người dùng được chia thành:

Không có sự phân biệt về quyền truy cập. Trong các hệ thống như vậy, tất cả người dùng đều có quyền truy cập vào tất cả thông tin.
Với sự khác biệt về quyền truy cập. Mỗi người dùng có quyền truy cập vào một phần thông tin được xác định nghiêm ngặt trong hệ thống.

Dựa trên vị trí của ISPD, chúng được chia thành: