Thực đơn
trang chủKỹ thuật

Khi thực hiện phân loại IPDN, dữ liệu ban đầu sẽ được tính đến. Hệ thống thông tin dữ liệu cá nhân

Hệ thông thông tin Dữ liệu cá nhân (ISPD) được nhiều doanh nghiệp, tổ chức sử dụng trong công việc. Hãy cùng tìm hiểu xem nó là gì và những sắc thái nào cần được những người làm việc với ISPD tính đến.

ISPDN là gì?

Nói một cách đơn giản, hệ thống thông tin ISPD được sử dụng để lưu trữ và xử lý dữ liệu cá nhân. Nó bao gồm các thành phần sau:

  • Thực chất là một tập hợp dữ liệu cá nhân được lưu trữ trong hệ thống, trong cơ sở dữ liệu.
  • Phương tiện kỹ thuật được sử dụng để làm việc với dữ liệu này.
  • Công cụ tự động hóa quy trình kế toán và xử lý thông tin được lưu trữ trong ISPD (có thể không có sẵn ở tất cả các hệ thống).

IPDN nghiêm trọng

Khi sử dụng các hệ thống được đề cập, điều quan trọng là phải đảm bảo bảo vệ dữ liệu cá nhân khỏi bị truy cập trái phép, mất mát và các tình huống khẩn cấp khác. Điều này thậm chí còn được quy định ở cấp độ lập pháp. Và để thực hiện các biện pháp được khuyến nghị nhằm hạn chế quyền truy cập vào thông tin và bảo vệ thông tin đó, một cuộc kiểm tra ISPD sẽ được thực hiện (ví dụ: có thể tìm thấy thêm thông tin chi tiết từ các chuyên gia của công ty Rentacloud: http://rentacloud.su/services/ zashchita-personalnykh-dannykh /kiểm toán/). Dựa trên kết quả của nó, một báo cáo được lập có chứa các thông tin sau:

  • Danh mục dữ liệu cá nhân được lưu trữ và xử lý trong hệ thống được khảo sát.
  • Lớp và loại của họ (xem thêm về điều này bên dưới).
  • Các thông số và cấu trúc của hệ thống đang nghiên cứu.
  • Khối lượng PD (số lượng bản ghi, v.v.) được lưu trữ và xử lý trong ISPD.
  • Thông tin về vị trí của hệ thống.
  • Thông tin về khả năng truy cập cơ sở dữ liệu thông qua các mạng có thể truy cập được sử dụng chung(LAN, Internet, v.v.).

Việc kiểm toán được thực hiện theo đúng quy định tài liệu chung, do Bộ Truyền thông, FSTEC và FSB chuẩn bị. Nó rất đồ sộ và đòi hỏi phải nghiên cứu kỹ lưỡng. Về vấn đề này, việc kiểm toán hệ thống và chuẩn bị các khuyến nghị làm cơ sở cho việc bảo vệ ISPD phải được các chuyên gia tin cậy. Ví dụ: bạn có thể sử dụng dịch vụ của họ bằng cách liên hệ với công ty “Rentacloud”: (http://rentacloud.su).

Các loại, lớp ISPD và những điều khác bạn cần biết về các hệ thống đó

Hệ thống thông tin dữ liệu cá nhân (PDI) được chia thành 4 loại và 2 loại. Việc phân chia thành các lớp được thực hiện trên cơ sở các đặc điểm như loại dữ liệu cá nhân được xử lý và khối lượng của chúng.

Các lớp học

Bảng này sẽ giúp bạn tìm ra điều này:

Giải thích cho bảng.

Danh mục số 4 bao gồm dữ liệu cá nhân ẩn danh, không thể xác định được một chủ đề cụ thể (ví dụ - dữ liệu thống kê). Loại 3 bao gồm PD trên cơ sở chỉ có thể nhận dạng một người (chúng khá hiếm). Loại 2 bao gồm dữ liệu trên cơ sở đó có thể xác định được một người và thu được một số thông tin nhất định về người đó thông tin thêm(ví dụ: hệ thống tiền lương trong tổ chức, doanh nghiệp). Danh mục đầu tiên bao gồm dữ liệu chứa thông tin về quốc tịch, tình trạng sức khỏe và thông tin xã hội khác cũng như thông tin có tính chất khác (ví dụ: cơ sở dữ liệu của các tổ chức chăm sóc sức khỏe).

Đối với các lớp được nêu trong bảng, việc gán ISDN cho chúng được thực hiện trên cơ sở thiệt hại có thể xảy ra đối với các đối tượng trong trường hợp vi phạm các điều kiện bảo mật:

  • Loại 4. Mọi hậu quả tiêu cực đối với đối tượng đều bị loại trừ.
  • Cl 3. Hậu quả tiêu cực nhỏ có thể xảy ra.
  • Điều 2. Xảy ra hậu quả đó.
  • Cl 1. Có thể gây hậu quả tiêu cực rất nghiêm trọng.

Các loại ISPD

Loại đầu tiên bao gồm các hệ thống trong đó các chức năng bảo vệ ISPD chỉ được giảm thiểu để đạt được các chỉ số cần thiết sự riêng tư của cô ấy. Nếu, ngoài tính bảo mật, cần phải đảm bảo ít nhất một chỉ số bảo mật bổ sung (tính xác thực, tính khả dụng, tính toàn vẹn dữ liệu, v.v.), Chúng ta đang nói về về loại thứ hai.

Điều đáng chú ý là hầu hết các hệ thống được sử dụng ngày nay đều được phân loại là loại thứ hai.

Có thể thấy rằng sự phát triển của ISPD, sự phân loại và cung cấp các dịch vụ đáng tin cậy, bảo vệ hiệu quả- Quá trình rất phức tạp và nhiều mặt. Và để tránh sai sót, nên giao việc này cho các chuyên gia. Để làm điều này, bạn có thể liên hệ, chẳng hạn như công ty Rentacloud, công ty chiếm một trong những vị trí dẫn đầu trên thị trường này.

Thầy tu Ngày 9 tháng 11 năm 2010 lúc 12:31 chiều

Dữ liệu cá nhân (Phân loại ISPD)

  • Phòng gỗ *

Rất nhiều bài viết đã được viết về việc phân loại hệ thống thông tin dữ liệu cá nhân: toàn bộ bài viết, trang web và diễn đàn đều dành cho chủ đề nóng bỏng này. Hãy bắt đầu với thực tế là theo thứ tự của FSTEC\FSB\MITiS số 55\86\20 có đặc trưngđặc biệt ISPDn. Các ISPD điển hình bao gồm những ISPD chỉ cần đảm bảo tính bảo mật của dữ liệu cá nhân và các ISPD đặc biệt - nếu cần đảm bảo ít nhất một trong các đặc điểm bảo mật của dữ liệu cá nhân ngoài tính bảo mật (tính toàn vẹn, tính xác thực, khả năng truy cập, v.v.). )
Lệnh liên quan đến việc phân loại ISPD dựa trên đánh giá về thiệt hại có thể xảy ra đối với các đối tượng PD có dữ liệu được xử lý trong đó: thiệt hại có thể xảy ra càng cao thì cấp càng cao và theo đó, yêu cầu đối với càng cao. bảo vệ kỹ thuật. Đoạn 14 của Lệnh nói về 4 hạng:
-không có hậu quả tiêu cực (cấp 4)
-hậu quả tiêu cực nhỏ (cấp 3)
-hậu quả tiêu cực (cấp 2)
- hậu quả tiêu cực đáng kể (cấp 1).
Việc chỉ định một hoặc một lớp ISPD khác, theo cùng một đoạn, được thực hiện dựa trên kết quả phân tích dữ liệu nguồn.
Việc phân loại các ISPD tiêu chuẩn đã được thảo luận ở đây, vì vậy hãy chuyển thẳng sang các ISPD tiêu chuẩn.

Làm thế nào để phân loại một ISPD đặc biệt?
Nếu ISPD của bạn chứa dữ liệu cá nhân liên quan đến chủng tộc, quốc tịch,
quan điểm chính trị, niềm tin tôn giáo và triết học, tình trạng sức khỏe, cuộc sống thân mật, thì mọi thứ đều đơn giản:
lớp hệ thống của bạn là K1. Và không quan trọng là có 10 bản ghi hay 100.000. Tiếp theo, bạn có thể bảo vệ hệ thống theo K1 theo các yêu cầu của Lệnh số 58 của FSTEC hoặc hạ cấp lớp, chẳng hạn như bằng cách phi cá nhân hóa dữ liệu đó.
Bây giờ hãy tưởng tượng một ISPD nhất định mà chúng ta cần phân loại. Hãy để nó là một doanh nghiệp lớn cung cấp dịch vụ cho Khách hàng của mình.
Dữ liệu ban đầu của hệ thống của chúng tôi:
1. Phạm vi dữ liệu cá nhân- hơn 100.000.
2. Danh mục dữ liệu cá nhân- 2 (tức là đây là dữ liệu cá nhân cho phép bạn xác định chủ đề của dữ liệu cá nhân và lấy thông tin về anh ta Thông tin thêm).
3. Cấu trúc hệ thống thông tin- phân phối;
4. Sự sẵn có của các kết nối hệ thống thông tin tới mạng truyền thông công cộng và (hoặc) mạng quốc tế trao đổi thông tin- Có;
5. Chế độ xử lý dữ liệu cá nhân- nhiều người dùng;
6. Chế độ kiểm soát quyền truy cập người sử dụng hệ thống thông tin - phân biệt quyền truy cập;
7. Vị trí thiết bị kỹ thuật hệ thống thông tin - bên trong Liên Bang Nga.

Nhưng chúng ta không thể phân loại hệ thống như vậy theo tấm theo thứ tự số 55\86\20, bởi vì “Theo kết quả phân tích dữ liệu ban đầu đặc trưng hệ thống thông tin được xếp vào một trong các lớp sau.” Đừng buồn, chúng tôi đọc thêm đơn đặt hàng và thấy điểm sau:
16. Dựa trên kết quả phân tích dữ liệu nguồn, phân loại hệ thống thông tin đặc biệt được xác định trên cơ sở mô hình các mối đe dọa đối với an toàn dữ liệu cá nhân theo các tài liệu phương pháp được xây dựng theo khoản 2 của Nghị định của Chính phủ Liên bang Nga ngày 17 tháng 11 năm 2007 N 781 “Về việc phê duyệt Quy định đảm bảo an toàn dữ liệu cá nhân khi xử lý trong hệ thống thông tin dữ liệu cá nhân”
Do đó, sau khi phân tích dữ liệu nguồn, thành phần của PD được xử lý, xác định cấu trúc của ISPD và quy trình công nghệ, chúng ta có thể đến kết luận hợp lý, Cái gì Những hậu quả tiêu cực có thể vi phạm tính bảo mật thông tin (ví dụ: phổ biến thông tin về tình trạng khuyết tật của nhân viên). Việc thực hiện tất cả các mối đe dọa khác sẽ dẫn đến tiêu cực nhỏ hậu quả, bởi vì các biện pháp bảo vệ kỹ thuật đầy đủ đã được thực hiện (hoặc sẽ được thực hiện trong tương lai trong quá trình thiết lập hệ thống bảo vệ ISPD) để vô hiệu hóa chúng. Sau khi phản ánh thông tin này trong mô hình mối đe dọa, một ISPD đặc biệt với các đặc điểm được chỉ định có thể được chúng tôi dễ dàng phân loại là K2.

Tags: dữ liệu cá nhân, ispdn

“Tổ chức ngân sách: kế toán và thuế”, 2009, N 12

Từ ngày 1 tháng 1 năm 2010, hệ thống thông tin dữ liệu cá nhân ở tất cả các tổ chức, bao gồm cả tổ chức ngân sách, phải tuân thủ các yêu cầu của Luật “Về dữ liệu cá nhân”<1>. Một số điều luật đã được thông qua cho Luật này và kết quả là hiện nay có nhiều cách giải thích khác nhau về trách nhiệm của các cơ quan nhà nước và thành phố liên quan đến hệ thống thông tin mà họ có. Bài viết phân tích các quy định của pháp luật hiện hành và nêu bật những yêu cầu bắt buộc.

<1> luật liên bang ngày 27 tháng 7 năm 2006 N 152-FZ.

Theo Nghệ thuật. 1 của Luật “Về dữ liệu cá nhân”, Luật Liên bang này quy định các mối quan hệ liên quan đến việc xử lý dữ liệu cá nhân được thực hiện bởi các cơ quan chính phủ liên bang, cơ quan chính phủ của các thực thể cấu thành của Liên bang Nga và các cơ quan khác cơ quan chính phủ, Nội tạng chính quyền địa phương, không nằm trong hệ thống các cơ quan tự quản địa phương, cơ quan thành phố, cơ quan pháp luật và cá nhân sử dụng các công cụ tự động hóa hoặc không sử dụng các công cụ đó, nếu việc xử lý dữ liệu cá nhân mà không sử dụng các công cụ đó tương ứng với bản chất của các hành động (thao tác) được thực hiện với dữ liệu cá nhân bằng các công cụ tự động hóa.

Sự chú ý như vậy đến các vấn đề tự động hóa xử lý dữ liệu cá nhân đòi hỏi phải tuân thủ các quy định pháp lý đặc biệt liên quan đến việc sử dụng công nghệ thông tin. Đồng thời, cần nghiên cứu kỹ khung pháp lý hiện đang được hiểu rất mơ hồ, đặc biệt là về mặt trình bày các yêu cầu đối với hệ thống thông tin.

Khái niệm “hệ thống thông tin” trong pháp luật hiện hành

Theo Luật Liên bang "Về thông tin, công nghệ thông tin và bảo vệ thông tin"<2> Hệ thống thông tin- một tập hợp thông tin chứa trong cơ sở dữ liệu, công nghệ thông tin và phương tiện kỹ thuật đảm bảo việc xử lý thông tin đó. Dựa trên định nghĩa này, chúng ta có thể kết luận rằng không có hệ thống thông tin nào mà không sử dụng Thiết bị máy tính và tương ứng phần mềm.

<2>Luật Liên bang ngày 27 tháng 7 năm 2006 N 149-FZ.

Tuy nhiên, trong Nghệ thuật. Khoản 3 của Luật “Về dữ liệu cá nhân” đưa ra định nghĩa rộng hơn hệ thống thông tin: đây là tập hợp dữ liệu cá nhân có trong cơ sở dữ liệu, cũng như công nghệ thông tin và phương tiện kỹ thuật cho phép xử lý dữ liệu cá nhân đó có hoặc không sử dụng các công cụ tự động hóa.

Chúng ta hãy phân tích các thành phần của định nghĩa này, các định nghĩa của chúng có thể được tìm thấy trong Luật Liên bang “Về thông tin, công nghệ thông tin và bảo vệ thông tin”, các luật và quy định khác của Chính phủ Liên bang Nga.

Dưới cơ sở dữ liệuđược hiểu là tập hợp dữ liệu được kết nối với nhau có tổ chức trên phương tiện máy đọc được (Quy định tạm thời về kế toán nhà nước và đăng ký cơ sở dữ liệu, ngân hàng dữ liệu).<3>). Tuy nhiên, tại phần 4 Bộ luật Dân sự Liên bang Nga (khoản 2, khoản 2, điều 1260), định nghĩa chi tiết hơn được đưa ra. Cơ sở dữ liệu: đây là tập hợp các tài liệu độc lập được trình bày dưới dạng khách quan (bài báo, tính toán, quy định, quyết định của tòa án và các tài liệu tương tự khác), được hệ thống hóa sao cho các tài liệu này có thể được tìm thấy và xử lý bằng phương pháp điện tử máy tính(MÁY TÍNH).

<3>Được phê duyệt bởi Nghị định của Chính phủ Liên bang Nga ngày 28 tháng 2 năm 1996 N 226.

công nghệ thông tin- quy trình, phương pháp tìm kiếm, thu thập, lưu trữ, xử lý, cung cấp, phân phối thông tin và phương pháp thực hiện các quy trình và phương pháp đó (Luật Liên bang “Về thông tin, công nghệ thông tin và bảo vệ thông tin”).

Dưới phương tiện kỹ thuật cho phép xử lý dữ liệu cá nhân được hiểu là phương tiện công nghệ máy tính, các tổ hợp và mạng thông tin và máy tính, các phương tiện và hệ thống truyền, nhận và xử lý dữ liệu cá nhân (phương tiện và hệ thống ghi âm, khuếch đại âm thanh, tái tạo âm thanh, phòng họp và thiết bị truyền hình, phương tiện sản xuất, sao chép tài liệu và những thứ khác phương tiện kỹ thuật xử lý thông tin lời nói, đồ họa, video và chữ số), phần mềm ( hệ điều hành, hệ thống quản lý cơ sở dữ liệu và tương tự), các công cụ bảo mật thông tin được sử dụng trong hệ thống thông tin (Quy định về đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý chúng trong hệ thống thông tin dữ liệu cá nhân<4>).

<4>Được phê duyệt bởi Nghị định của Chính phủ Liên bang Nga ngày 17 tháng 11 năm 2007 N 781.

Như vậy, phương tiện kỹ thuật bao gồm cả máy photocopy và phần mềm, nhưng khái niệm then chốt trong việc xác định hệ thống thông tin dữ liệu cá nhân là khái niệm “cơ sở dữ liệu”. Từ định nghĩa này, cơ sở dữ liệu được xử lý bằng máy tính (phương tiện phải có thể đọc được bằng máy). Nếu quá trình xử lý được thực hiện mà không sử dụng máy tính và cơ sở dữ liệu (phương tiện có thể đọc được bằng máy), thì về mặt hình thức không có hệ thống thông tin. Ngoài ra, nếu không có phương tiện kỹ thuật cho phép xử lý dữ liệu cá nhân thì cơ sở dữ liệu cũng không thể được công nhận là hệ thống thông tin. Ngoài ra, hệ thống thông tin không chỉ là tập hợp các thiết bị máy tính và các chương trình nhất định xử lý thông tin từ cơ sở dữ liệu; chúng có thể hoặc không thể sử dụng các công cụ tự động hóa.

Ý nghĩa của các công cụ tự động hóa là gì?

Có một quan điểm cho rằng việc sử dụng tự động hóa có nghĩa là bất kỳ xử lý máy tính hoặc xử lý bằng các thiết bị điện tử. Nếu cơ sở dữ liệu được lưu trữ trên máy tính (ví dụ: bảng tính hoặc chương trình kế toán) hoặc, ví dụ, trong sổ tay điện thoại di động, thì đây đã là quá trình xử lý dữ liệu cá nhân tự động và phải được thông báo cho Roskomnadzor. Ngoài ra, một số chuyên gia cho rằng việc xử lý không sử dụng các công cụ tự động hóa chỉ có thể được thực hiện trên giấy (trong các tạp chí điền bằng tay, trong danh sách viết tay).

Theo Phần 3 của Nghệ thuật. 4 của Luật “Về dữ liệu cá nhân”, các chi tiết cụ thể về việc xử lý dữ liệu cá nhân được thực hiện mà không sử dụng các công cụ tự động hóa có thể được thiết lập theo luật liên bang và các hành vi pháp lý quy định khác của Liên bang Nga, có tính đến các quy định của Luật Liên bang này.

Nghị định của Chính phủ Liên bang Nga ngày 15 tháng 9 năm 2008 N 687 đã phê duyệt Quy định về các chi tiết cụ thể của việc xử lý dữ liệu cá nhân được thực hiện mà không sử dụng các công cụ tự động hóa. Theo đoạn 1 của Quy định nói trên Việc xử lý dữ liệu cá nhân có trong hệ thống thông tin dữ liệu cá nhân hoặc được trích xuất từ ​​hệ thống đó (sau đây gọi là dữ liệu cá nhân) được coi là được thực hiện mà không sử dụng các công cụ tự động hóa (không tự động), nếu các hành động đó với dữ liệu cá nhân Việc sử dụng, làm rõ, phân phối, tiêu hủy dữ liệu cá nhân liên quan đến từng đối tượng của dữ liệu cá nhân được thực hiện với sự tham gia trực tiếp của một người.

Hãy đảo ngược Đặc biệt chú ý thực tế là, theo khoản 2 của Quy định về chi tiết cụ thể của việc xử lý dữ liệu cá nhân được thực hiện mà không sử dụng các công cụ tự động hóa, việc xử lý dữ liệu cá nhân chỉ có thể được công nhận là được thực hiện bằng các công cụ tự động hóa trên cơ sở chúng được chứa đựng. trong hệ thống thông tin hoặc được trích xuất từ ​​nó.

Vì vậy, có thể nói rằng từ quan điểm của các định nghĩa có sẵn trong pháp luật hiện hành, phần lớn hệ thống thông tin trong các cơ quan tiểu bang và thành phố có thể được coi là chính thức được triển khai mà không cần sử dụng các công cụ tự động hóa (bao gồm một phần quan trọng là phần mềm kế toán). Rốt cuộc, tất cả các thẻ mặt trong các hệ thống này đều được chỉnh sửa thủ công trong các cửa sổ thích hợp. Để tiêu diệt các thẻ mặt, người vận hành cũng phải chọn chúng trong danh sách và nhấn chìa khóa đặc biệtđể xóa dữ liệu. Ngay cả việc lưu trữ cũng được thực hiện chương trình đặc biệt, được đưa ra bởi một người.

Và đây các chương trình khác nhau, cho phép bạn định dạng lại dữ liệu (bao gồm cả từ định dạng chương trình kế toán trong một định dạng, ví dụ, một chương trình Quỹ hưu trí) và thực hiện chúng đầu vào tự động và chuyển tiếp mà không tham khảo từng hồ sơ nhân viên cụ thể có thể được phân loại là xử lý dữ liệu tự động. Đồng thời, việc xử lý dữ liệu cá nhân (bao gồm họ, tên, họ, số chứng nhận lương hưu, v.v.) là một phần không thể thiếu của các chương trình đó.

Đồng thời, nếu việc truyền dữ liệu sang các chương trình khác (bao gồm cả mục đích kế toán thuế) không được thực hiện hoàn toàn tự động mà với sự trợ giúp của người tham gia xử lý dữ liệu cá nhân thì việc xử lý đó cũng không thể được coi là tự động. .

Về vấn đề này, các khuyến nghị của Cơ quan Giáo dục Liên bang, được nêu trong Thư số 17-110 ngày 29 tháng 7 năm 2009 “Về việc đảm bảo bảo vệ dữ liệu cá nhân,” có ứng dụng khá hạn chế trong thực tế. Để tự động hóa việc xử lý dữ liệu cá nhân trong bảng câu hỏi, Rosobrazovanie khuyến nghị chỉ ra thêm thông tin nội bộ một số nhận dạng(mã cá nhân) của chủ đề dữ liệu cá nhân, được chỉ định cho toàn bộ thời gian học tập hoặc làm việc. Điều này cho phép bạn ẩn danh cơ sở dữ liệu nếu chúng không chứa dữ liệu cá nhân khác và giảm đáng kể chi phí bảo vệ thông tin.

Tuy nhiên, để tự động hóa các hoạt động quản lý trong một cơ quan tiểu bang hoặc thành phố, ít nhất họ, tên, tên viết tắt của nhân viên, sinh viên, v.v., cũng như một số dữ liệu cá nhân khác (ví dụ: đối với nhân viên, thông tin về họ thu nhập cho mục đích kế toán và thuế) là bắt buộc. . Hấp dẫn mã cá nhân có trong các tờ rơi (bảng câu hỏi), phần còn lại của quá trình xử lý dữ liệu bằng phần mềm ít nhất sẽ có vẻ lạ, làm giảm hiệu quả của việc triển khai các công nghệ thông tin hiện đại. Hơn nữa, tùy thuộc vào hình thức bảng câu hỏi được sử dụng, chúng có thể được coi là một phần của hệ thống thông tin (như một phần không thể thiếu cơ sở dữ liệu), điều này sẽ hoàn toàn làm cho việc mã hóa bổ sung trở nên vô nghĩa (việc mã hóa như vậy là bắt buộc nếu cần phi cá nhân hóa dữ liệu, chẳng hạn như cho nghiên cứu thống kê).

Xử lý dữ liệu cá nhân mà không sử dụng các công cụ tự động hóa

Vì vậy, như đã thảo luận ở trên, mặc dù tin học hóa các hoạt động, trong hầu hết các trường hợp, việc xử lý dữ liệu cá nhân ở các cơ quan nhà nước và thành phố vẫn được thực hiện mà không sử dụng các công cụ tự động hóa (không tự động) và do đó, được điều chỉnh bởi Quy định về chi tiết cụ thể về việc xử lý dữ liệu cá nhân được thực hiện mà không sử dụng các công cụ tự động hóa<5>.

<5>Được phê duyệt theo Nghị định của Chính phủ Liên bang Nga ngày 15 tháng 9 năm 2008 N 687.

Những người thực hiện việc xử lý đó (bao gồm nhân viên của tổ chức điều hành hoặc những người làm việc theo thỏa thuận với nhà điều hành) phải được thông báo về thực tế xử lý dữ liệu cá nhân của họ mà không sử dụng các công cụ tự động hóa, cũng như các loại dữ liệu cá nhân được xử lý. về các tính năng và quy tắc để thực hiện quá trình xử lý đó được thiết lập bởi các hành vi pháp lý quy định của cơ quan điều hành liên bang, cơ quan điều hành của các thực thể cấu thành của Liên bang Nga và các đạo luật địa phương của một tổ chức giáo dục.

Dữ liệu cá nhân, khi được xử lý mà không sử dụng các công cụ tự động hóa, phải được tách biệt khỏi thông tin khác, đặc biệt, bằng cách ghi chúng trên các phương tiện hữu hình riêng biệt, trong các phần đặc biệt hoặc trong các trường biểu mẫu (biểu mẫu).

Đồng thời, không được phép ghi lại dữ liệu cá nhân trên một phương tiện vật chất nếu mục đích xử lý của chúng rõ ràng là không tương thích. Trong trường hợp này, một phương tiện hữu hình riêng biệt phải được sử dụng cho từng loại dữ liệu cá nhân.

Và do đó, việc xử lý phải được thực hiện sao cho đối với mỗi loại dữ liệu cá nhân có:

  • địa điểm lưu trữ đã được xác định và danh sách những người xử lý dữ liệu hoặc có quyền truy cập vào dữ liệu đó đã được thiết lập;
  • Việc lưu trữ dữ liệu cá nhân riêng biệt (phương tiện hữu hình) được đảm bảo, việc xử lý dữ liệu đó được thực hiện cho nhiều mục đích khác nhau;
  • các điều kiện đã được đáp ứng để đảm bảo an toàn cho dữ liệu cá nhân và ngăn chặn việc truy cập trái phép vào dữ liệu đó.

Danh sách các biện pháp cần thiết để đảm bảo các điều kiện đó, thủ tục áp dụng chúng, cũng như danh sách những người chịu trách nhiệm thực hiện các biện pháp này, được cơ sở giáo dục thiết lập theo yêu cầu của các đạo luật quy định về bảo vệ quyền riêng tư. dữ liệu cá nhân.

Nếu mục đích xử lý dữ liệu cá nhân được ghi trên một phương tiện vật chất không tương thích, nếu điều đó không cho phép chúng được xử lý tách biệt với dữ liệu cá nhân khác được ghi trên cùng một phương tiện, thì phải thực hiện các biện pháp để đảm bảo xử lý riêng biệt, cụ thể:

  • nếu cần sử dụng hoặc phân phối một số dữ liệu cá nhân riêng biệt với những dữ liệu khác nằm trên cùng một phương tiện tài liệu, thì dữ liệu được phân phối hoặc sử dụng sẽ được sao chép theo cách ngăn chặn việc sao chép đồng thời dữ liệu không được phân phối và sử dụng, và một bản sao dữ liệu cá nhân được sử dụng (phân phối);
  • nếu cần phải hủy hoặc chặn một phần dữ liệu cá nhân, phương tiện tài liệu sẽ bị hủy hoặc bị chặn bằng cách sao chép sơ bộ thông tin không bị phá hủy hoặc chặn, theo cách ngăn chặn việc sao chép đồng thời dữ liệu cá nhân bị phá hủy hoặc chặn .

Việc hủy bỏ hoặc phi cá nhân hóa một phần dữ liệu cá nhân, nếu được phương tiện hữu hình cho phép, có thể được thực hiện theo cách ngăn chặn việc xử lý thêm dữ liệu cá nhân này, trong khi vẫn duy trì khả năng xử lý dữ liệu khác được ghi trên phương tiện hữu hình (xóa, xóa) .

Việc làm rõ dữ liệu cá nhân khi xử lý chúng mà không sử dụng các công cụ tự động hóa được thực hiện bằng cách cập nhật hoặc thay đổi dữ liệu trên một phương tiện hữu hình và nếu điều này không được phép đặc tính kỹ thuật chất mang vật chất- bằng cách ghi lại trên cùng một phương tiện thông tin về những thay đổi được thực hiện đối với chúng hoặc bằng cách tạo ra một phương tiện vật chất mới với dữ liệu cá nhân được cập nhật.

Xử lý dữ liệu cá nhân bằng các công cụ tự động hóa

Quy định về đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý trong hệ thống thông tin dữ liệu cá nhân đặt ra các yêu cầu để đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý trong hệ thống thông tin dữ liệu cá nhân, là một tập hợp dữ liệu cá nhân có trong cơ sở dữ liệu, cũng như thông tin công nghệ và phương tiện kỹ thuật.

Như sau từ đoạn 1 của Quy định này, thuật ngữ “hệ thống thông tin” chỉ đề cập đến các hệ thống thông tin cho phép xử lý dữ liệu cá nhân bằng các công cụ tự động hóa, do đó, các yêu cầu của Quy định này không áp dụng cho các hệ thống thông tin trong đó việc xử lý dữ liệu được thực hiện mà không sử dụng các công cụ tự động hóa.

Nếu một tổ chức tiểu bang hoặc thành phố thực hiện xử lý tự động dữ liệu cá nhân thì phải đáp ứng các yêu cầu sau.

Theo Quy định về đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý trong hệ thống thông tin dữ liệu cá nhân, việc bảo mật dữ liệu cá nhân đạt được:

  • bằng cách loại trừ quyền truy cập trái phép, bao gồm cả vô tình, vào dữ liệu cá nhân, có thể dẫn đến việc phá hủy, sửa đổi, chặn, sao chép, phân phối dữ liệu cá nhân;
  • bằng cách loại trừ các hành động trái phép khác.

Tính bảo mật của dữ liệu cá nhân trong quá trình xử lý chúng trong hệ thống thông tin được đảm bảo bằng cách sử dụng hệ thống bảo vệ dữ liệu cá nhân, bao gồm:

  • biện pháp tổ chức;
  • công cụ bảo mật thông tin;
  • công nghệ thông tin.

Các biện pháp bảo mật thông tin bao gồm:

  • phương tiện mã hóa (mật mã);
  • phương tiện ngăn chặn truy cập trái phép;
  • biện pháp ngăn chặn rò rỉ thông tin qua kênh kỹ thuật;
  • phương tiện ngăn chặn tác động của phần mềm và phần cứng đến các phương tiện kỹ thuật xử lý dữ liệu cá nhân.

Để đảm bảo tính bảo mật của dữ liệu cá nhân trong quá trình xử lý chúng trong hệ thống thông tin, việc bảo vệ được thực hiện thông tin lời nói và thông tin được xử lý bằng phương tiện kỹ thuật, cũng như thông tin được trình bày dưới dạng tín hiệu điện thông tin, trường vật lý, phương tiện trên giấy, từ tính, quang từ và các cơ sở khác.

Yêu cầu của người dùng hệ thống thông tin về việc lấy dữ liệu cá nhân, cũng như thực tế cung cấp dữ liệu về những yêu cầu này, phải được ghi lại bằng phương tiện tự động của hệ thống thông tin trong nhật ký điện tử của các yêu cầu. Đồng thời, nội dung tạp chí điện tử các yêu cầu phải được định kỳ xác nhận bởi cán bộ (nhân viên) có liên quan của người điều hành hoặc người được ủy quyền.

Nếu phát hiện hành vi vi phạm quy trình cung cấp dữ liệu cá nhân, người vận hành hoặc người được ủy quyền phải đình chỉ ngay việc cung cấp dữ liệu cá nhân cho người sử dụng hệ thống thông tin cho đến khi xác định được và loại bỏ nguyên nhân vi phạm.

Phần cứng và phần mềm phải đáp ứng các yêu cầu được thiết lập theo luật pháp Liên bang Nga để đảm bảo bảo vệ thông tin. Đồng thời, các phương pháp và phương pháp bảo vệ thông tin trong hệ thống thông tin được Cơ quan Dịch vụ Kỹ thuật và Kỹ thuật Liên bang thiết lập. kiểm soát xuất khẩu(FSTEC) và Cơ quan An ninh Liên bang (FSB) trong giới hạn quyền hạn của họ.

Tính bảo mật của dữ liệu cá nhân khi được xử lý trong hệ thống thông tin được đảm bảo bởi nhà điều hành hoặc người được nhà điều hành ủy thác xử lý dữ liệu cá nhân trên cơ sở thỏa thuận. Những người cần có quyền truy cập vào dữ liệu cá nhân được xử lý trong hệ thống thông tin để thực hiện nhiệm vụ chính thức (lao động) được phép truy cập vào dữ liệu cá nhân có liên quan trên cơ sở danh sách được nhà điều hành phê duyệt hoặc người được uỷ quyền. Một điều kiện thiết yếu của hợp đồng là nghĩa vụ của người được ủy quyền phải đảm bảo tính bảo mật và an toàn cho dữ liệu cá nhân khi xử lý trong hệ thống thông tin.

Các công cụ bảo mật thông tin được sử dụng trong hệ thống thông tin, trong theo cách quy định trải qua thủ tục đánh giá sự phù hợp. Việc trao đổi dữ liệu cá nhân trong quá trình xử lý trong hệ thống thông tin được thực hiện thông qua các kênh liên lạc, việc bảo vệ dữ liệu này được đảm bảo thông qua việc thực hiện các biện pháp tổ chức phù hợp và (hoặc) thông qua việc sử dụng các phương tiện kỹ thuật.

Đồng thời, hệ thống thông tin được phân loại bởi các cơ quan nhà nước, cơ quan thành phố, pháp nhân hoặc cá nhân tổ chức và (hoặc) thực hiện việc xử lý dữ liệu cá nhân, cũng như xác định mục đích và nội dung xử lý dữ liệu cá nhân, tùy thuộc vào khối lượng dữ liệu cá nhân do họ xử lý và các mối đe dọa an ninh đối với lợi ích sống còn của cá nhân, xã hội và nhà nước.

Quy trình phân loại hệ thống thông tin được thiết lập bởi Cơ quan Kiểm soát Xuất khẩu và Kỹ thuật Liên bang, Cơ quan An ninh Liên bang và Bộ Công nghệ Thông tin và Truyền thông. Thủ tục này được xác định bởi Lệnh FSTEC của Nga, FSB của Nga, Bộ Thông tin và Truyền thông Nga ngày 13 tháng 2 năm 2008 N 55/86/20.

Ngoài ra, các yêu cầu về cơ sở và an ninh của chúng cũng được nêu rõ. Theo khoản 8 của Quy định về đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân trong hệ thống thông tin dữ liệu cá nhân, việc bố trí hệ thống thông tin, thiết bị đặc biệt và an ninh của cơ sở thực hiện công việc với dữ liệu cá nhân, việc tổ chức an ninh chế độ tại các cơ sở này phải đảm bảo an toàn cho người vận chuyển dữ liệu cá nhân và các phương tiện bảo mật thông tin, đồng thời loại trừ khả năng ra vào hoặc lưu trú không kiểm soát trong các cơ sở này người không được phép.

Để làm được điều này, các tổ chức tiểu bang và thành phố phải lắp đặt thêm thiết bị báo động trong các cơ sở được chỉ định và ở các ô cửa - ổ khóa bổ sung hoặc cửa kim loại.

Các biện pháp đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý trong hệ thống thông tin bao gồm:

a) xác định các mối đe dọa đối với tính bảo mật của dữ liệu cá nhân trong quá trình xử lý dữ liệu, hình thành mô hình mối đe dọa dựa trên chúng;

b) phát triển, dựa trên mô hình mối đe dọa, hệ thống bảo vệ dữ liệu cá nhân nhằm đảm bảo vô hiệu hóa các mối đe dọa bị cáo buộc bằng cách sử dụng các phương pháp và phương pháp bảo vệ dữ liệu cá nhân được cung cấp cho loại hệ thống thông tin tương ứng;

c) kiểm tra mức độ sẵn sàng sử dụng của các công cụ bảo mật thông tin và đưa ra kết luận về khả năng hoạt động của chúng;

d) lắp đặt và vận hành các phương tiện an toàn thông tin phù hợp với tài liệu kỹ thuật và vận hành;

e) đào tạo người sử dụng các công cụ an toàn thông tin được sử dụng trong hệ thống thông tin về các quy tắc làm việc với chúng;

f) tính toán các phương tiện bảo vệ thông tin được sử dụng, tài liệu vận hành và kỹ thuật cho chúng, vật mang dữ liệu cá nhân;

g) kế toán của những người được ủy quyền làm việc với dữ liệu cá nhân trong hệ thống thông tin;

h) kiểm soát việc tuân thủ các điều kiện sử dụng các công cụ bảo mật thông tin được nêu trong tài liệu kỹ thuật và vận hành;

i) điều tra và đưa ra kết luận về các tình tiết không tuân thủ điều kiện lưu trữ của người vận chuyển dữ liệu cá nhân, việc sử dụng các biện pháp bảo mật thông tin có thể dẫn đến vi phạm tính bảo mật dữ liệu cá nhân hoặc các vi phạm khác dẫn đến giảm mức độ về bảo mật dữ liệu cá nhân, phát triển và áp dụng các biện pháp nhằm ngăn chặn hậu quả nguy hiểm có thể xảy ra do những hành vi vi phạm đó;

j) mô tả hệ thống bảo vệ dữ liệu cá nhân.

Những người có quyền truy cập vào cơ sở dữ liệu thông tin với dữ liệu cá nhân, ký kết nghĩa vụ không tiết lộ thông tin bí mật (nghĩa vụ đó cũng có thể được bao gồm trong hợp đồng lao động). Chỉ sau đó, cơ sở giáo dục mới cho phép họ xử lý dữ liệu cá nhân.

Khi xử lý dữ liệu cá nhân trong hệ thống thông tin, cơ sở giáo dục phải đảm bảo:

a) thực hiện các biện pháp nhằm ngăn chặn việc truy cập trái phép vào dữ liệu cá nhân và (hoặc) chuyển dữ liệu đó cho những người không có quyền truy cập thông tin đó;

b) phát hiện kịp thời các sự thật về việc truy cập trái phép vào dữ liệu cá nhân;

c) Phòng ngừa tác động lên phương tiện kỹ thuật xử lý tự động dữ liệu cá nhân, do đó chức năng của chúng có thể bị gián đoạn;

d) khả năng khôi phục ngay lập tức dữ liệu cá nhân bị sửa đổi hoặc phá hủy do truy cập trái phép vào dữ liệu đó;

e) giám sát liên tục để đảm bảo mức độ bảo mật của dữ liệu cá nhân.

Để phát triển và thực hiện các biện pháp nhằm đảm bảo an toàn cho dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân trong hệ thống thông tin, người điều hành hoặc người được ủy quyền có thể chỉ định một đơn vị cơ cấu hoặc quan chức (nhân viên) chịu trách nhiệm đảm bảo an toàn cho dữ liệu cá nhân.

Bạn cũng nên đặc biệt chú ý đến thực tế là, theo khoản 17 của Quy định về đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân trong hệ thống thông tin dữ liệu cá nhân, việc thực hiện các yêu cầu đảm bảo an toàn thông tin trong các công cụ bảo mật thông tin được giao cho họ. nhà phát triển.

sự đầy đủ Các biện pháp được thực hiệnđể đảm bảo tính bảo mật của dữ liệu cá nhân trong quá trình xử lý chúng trong hệ thống thông tin được đánh giá trong quá trình kiểm soát và giám sát của nhà nước.

Phân loại hệ thống thông tin dữ liệu cá nhân

Việc phân loại hệ thống thông tin dữ liệu cá nhân cho phép xử lý dữ liệu này bằng các công cụ tự động hóa được thực hiện bởi cơ sở giáo dục - nhà điều hành theo Quy trình phân loại hệ thống thông tin dữ liệu cá nhân<6>tùy thuộc vào loại dữ liệu đang được xử lý và số lượng của nó.

<6>Được phê duyệt theo Lệnh của FSTEC Nga, FSB của Nga, Bộ Thông tin và Truyền thông Nga ngày 13 tháng 2 năm 2008 N 55/86/20.

Bốn loại dữ liệu cá nhân sau đây được thiết lập:

  1. dữ liệu cá nhân liên quan đến chủng tộc, quốc tịch, quan điểm chính trị, niềm tin tôn giáo và triết học, sức khỏe, đời sống tình cảm;
  2. dữ liệu cá nhân cho phép bạn xác định chủ đề của dữ liệu cá nhân và lấy thông tin bổ sung về anh ta, ngoại trừ dữ liệu cá nhân thuộc danh mục đầu tiên;
  3. dữ liệu cá nhân cho phép xác định chủ thể của dữ liệu cá nhân;
  4. dữ liệu cá nhân được ẩn danh và (hoặc) có sẵn công khai.

Ở bất kỳ trường đại học nào bạn có thể tìm thấy trên khán đài công cộng danh sách khác nhau sinh viên, bao gồm cả sự kết hợp của tên đầy đủ. sinh viên, khóa học, nhóm, cho phép bạn nhận dạng duy nhất sinh viên đó. Do đó, sự kết hợp dữ liệu cá nhân như vậy buộc chúng phải được phân loại là dữ liệu cá nhân thuộc loại thứ ba; Việc đặt dữ liệu này ở một nơi có thể truy cập công khai cần có sự đồng ý của học sinh.

Thẻ cá nhân của nhân viên (mẫu T-2), hồ sơ cá nhân của sinh viên thuộc loại thứ hai, vì đây là dữ liệu cá nhân không chỉ cho phép xác định chủ đề của dữ liệu cá nhân mà còn có được thông tin bổ sung về anh ta.

Hệ thống thông tin dữ liệu cá nhân được chia thành tiêu chuẩn và đặc biệt. Các hệ thống điển hình bao gồm những hệ thống chỉ yêu cầu bảo mật dữ liệu cá nhân. Tất cả các hệ thống khác được phân loại là đặc biệt.

Hệ thống thông tin đặc biệt cũng nên bao gồm:

  • hệ thống thông tin trong đó dữ liệu cá nhân liên quan đến tình trạng sức khỏe của chủ thể dữ liệu cá nhân được xử lý;
  • hệ thống thông tin cung cấp việc áp dụng, chỉ dựa trên việc xử lý tự động dữ liệu cá nhân, các quyết định làm phát sinh hậu quả pháp lý liên quan đến chủ thể dữ liệu cá nhân hoặc ảnh hưởng đến quyền và lợi ích hợp pháp của anh ta.

Dựa trên phân loại trên, có thể khẳng định rằng bất kỳ dữ liệu y tế nào, cũng như hồ sơ nhân sự có chứa cột “quốc tịch” (và đây hầu như đều là các bảng câu hỏi và câu hỏi hợp lệ). tờ giấy cá nhân hồ sơ nhân sự hiện đang được sử dụng) phải được phân loại vào loại đầu tiên.

Dựa trên kết quả phân tích dữ liệu có sẵn, một hệ thống thông tin điển hình được chỉ định một trong bốn loại được chỉ định trong Quy trình phân loại hệ thống thông tin dữ liệu cá nhân.

Loại hệ thống thông tin đặc biệt được xác định dựa trên mô hình các mối đe dọa đối với tính bảo mật của dữ liệu cá nhân dựa trên kết quả phân tích dữ liệu nguồn theo các tài liệu phương pháp của FSTEC.

FSTEC đã ban hành các tài liệu DSP sau, chỉ có thể lấy được bằng cách liên hệ với cơ quan này:

  • Các hoạt động chính về tổ chức và hỗ trợ kỹ thuật bảo mật dữ liệu cá nhân được xử lý trong hệ thống thông tin dữ liệu cá nhân, ngày 15 tháng 2 năm 2008;
  • Mô hình cơ bản về các mối đe dọa đối với tính bảo mật của dữ liệu cá nhân trong quá trình xử lý chúng trong hệ thống thông tin dữ liệu cá nhân ngày 15 tháng 2 năm 2008;
  • Phương pháp xác định các mối đe dọa hiện tại đối với tính bảo mật của dữ liệu cá nhân trong quá trình xử lý chúng trong hệ thống thông tin dữ liệu cá nhân ngày 15 tháng 2 năm 2008;
  • Khuyến nghị đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý trong hệ thống thông tin dữ liệu cá nhân ngày 15/02/2008.

Các tài liệu phương pháp luận này chứa đựng nhiều yêu cầu mà hầu hết các cơ quan nhà nước hoặc thành phố đều cực kỳ khó thực hiện vì lý do cả về bản chất tổ chức và tài chính.

Tuyên bố, chứng nhận (chứng thực) và cấp phép cho các hoạt động bảo vệ dữ liệu cá nhân

Các tài liệu phương pháp luận của FSTEC được liệt kê ở trên thiết lập quy trình sau để đánh giá sự tuân thủ mức độ bảo mật của hệ thống thông tin với các yêu cầu bảo mật:

  • đối với hệ thống thông tin loại một và loại hai, việc tuân thủ mức độ bảo mật với các yêu cầu bảo mật được thiết lập thông qua chứng nhận (chứng thực) bắt buộc;
  • đối với hệ thống thông tin loại thứ ba, việc tuân thủ các yêu cầu bảo mật được xác nhận bằng chứng nhận (chứng nhận) hoặc (theo lựa chọn của nhà điều hành) do nhà điều hành dữ liệu cá nhân thực hiện;
  • Đối với hệ thống thông tin loại thứ tư, việc đánh giá sự phù hợp không được quy định và được thực hiện theo quyết định của người điều hành dữ liệu cá nhân.

Tuyên bố về sự phù hợp- đây là sự xác nhận về việc tuân thủ các đặc điểm của hệ thống thông tin dữ liệu cá nhân với các yêu cầu được thiết lập bởi luật pháp, các tài liệu quản lý và quy định của FSTEC và FSB.

Việc công bố hợp quy có thể được thực hiện trên cơ sở bằng chứng của chính mình hoặc bằng chứng thu được với sự tham gia của các tổ chức liên quan có giấy phép cần thiết. Danh sách các cơ quan (tổ chức) chứng nhận hệ thống chứng nhận an toàn thông tin về yêu cầu an toàn thông tin có thể liên hệ cơ sở giáo dục và các cơ quan giáo dục không có chuyên môn và giấy phép cần thiết, cũng như Đăng ký tiểu bang các công cụ bảo mật thông tin được chứng nhận được đăng trên trang web của FSTEC. Chi phí của các thủ tục như vậy khá cao và lên tới hàng trăm nghìn rúp.

Trong trường hợp khai báo dựa trên bằng chứng của chính mình, người điều hành sẽ độc lập tạo ra một bộ tài liệu, chẳng hạn như: tài liệu kỹ thuật, các tài liệu và kết quả nghiên cứu khác của chúng tôi, làm cơ sở thúc đẩy để xác nhận sự tuân thủ của hệ thống thông tin dữ liệu cá nhân với tất cả yêu cầu cần thiết cần thiết cho lớp ba.

Kiểm tra chứng nhận (chứng nhận)được thực hiện bởi các tổ chức có giấy phép FSTEC cần thiết. Đồng thời, chứng nhận được hiểu là một tập hợp các biện pháp giúp hệ thống thông tin có thể tuân thủ các yêu cầu về bảo mật thông tin đối với lớp được khai báo, được quy định trong các tài liệu quy định và phương pháp của FSTEC.

Các bài kiểm tra chứng thực (chứng nhận) bao gồm phân tích hệ thống thông tin dữ liệu cá nhân đã có sẵn tại cơ sở, cũng như một lần nữa quyết định được đưa rađể đảm bảo an ninh thông tin và bao gồm việc xác minh:

  • các biện pháp tổ chức và quản lý để đảm bảo an ninh thông tin;
  • bảo mật thông tin khỏi rò rỉ thông qua các kênh kỹ thuật (PEMIN);
  • bảo mật thông tin khỏi sự truy cập trái phép.

Dựa trên kết quả kiểm tra chứng nhận, quyết định cấp giấy chứng nhận sự phù hợp của hệ thống thông tin với lớp yêu cầu bảo mật thông tin đã công bố. Giấy chứng nhận được cấp trong thời hạn ba năm.

Các tài liệu về phương pháp luận của FSTEC cũng thiết lập Các yêu cầu bổ sung về sự sẵn có của giấy phép để tiến hành các hoạt động bảo vệ dữ liệu cá nhân. Nếu không có giấy phép thích hợp, những sự kiện như vậy chỉ có thể thực hiện được đối với hệ thống thông tin hạng ba và hạng tư.

Để thực hiện các biện pháp đảm bảo an toàn dữ liệu cá nhân cho các hệ thống thông tin đặc biệt, hệ thống hạng nhất và hạng hai và hệ thống hạng ba được phân phối (bao gồm cả những hệ thống được kết nối với Internet), các nhà khai thác phải có được Giấy phép FSTECđối với hoạt động bảo vệ kỹ thuật thông tin bí mật.

Tính hợp pháp của các yêu cầu thực hiện các thủ tục khai báo, chứng nhận (chứng thực) và cấp phép của các tổ chức nhà nước và thành phố trên cơ sở các tài liệu phương pháp luận của FSTEC đặt ra những nghi ngờ nghiêm trọng.

Quy định về thủ tục xử lý thông tin chính thức được phân phối hạn chế trong các cơ quan hành pháp liên bang<7>(khoản 1.2) phân loại là thông tin độc quyền được phân phối hạn chế, thông tin chưa được phân loại liên quan đến hoạt động của các tổ chức, những hạn chế về việc phân phối chúng được quy định bởi nhu cầu chính thức. Việc thiết lập trách nhiệm cấp phép cho các hoạt động của tổ chức không thể được thông tin DSP công nhận dưới bất kỳ hình thức nào.

<7>Được phê duyệt bởi Nghị định của Chính phủ Liên bang Nga ngày 3 tháng 11 năm 1994 N 1233.

Trách nhiệm cấp phép cho một số loại hoạt động nhất định, bao gồm các hoạt động bảo vệ kỹ thuật đối với thông tin bí mật, được xác định theo Luật Liên bang "Về cấp phép một số loại hoạt động"<8>. Thủ tục cấp phép cho hoạt động bảo vệ kỹ thuật thông tin bí mật được thực hiện bởi pháp nhândoanh nhân cá nhân, được xác định theo Nghị định của Chính phủ Liên bang Nga ngày 15 tháng 8 năm 2006 N 504.

<8>Luật Liên bang ngày 08/08/2001 N 128-FZ.

Cả Quy định về cấp phép hoạt động bảo vệ kỹ thuật thông tin bí mật cũng như Quy trình phân loại hệ thống thông tin dữ liệu cá nhân đều không đặt ra nghĩa vụ cấp phép cho hoạt động bảo vệ kỹ thuật thông tin bí mật tùy thuộc vào loại hệ thống thông tin. Các yêu cầu này được thiết lập trong tài liệu DSP - Các biện pháp cơ bản để tổ chức và hỗ trợ kỹ thuật về bảo mật PD được xử lý trong ISPD.

Quy định về đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý trong hệ thống thông tin dữ liệu cá nhân chỉ xác định rằng:

  • Các công cụ bảo mật thông tin được sử dụng trong hệ thống thông tin phải trải qua quy trình đánh giá sự phù hợp theo cách thức quy định (khoản 5) - nghĩa là không phải người vận hành phải được chứng nhận mà là công cụ bảo mật thông tin và được thực hiện bởi nhà sản xuất công cụ này (bao gồm chương trình máy tính về bảo vệ thông tin);
  • kết quả đánh giá sự phù hợp và (hoặc) nghiên cứu điển hình về các công cụ bảo mật thông tin được thiết kế để đảm bảo tính bảo mật của dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân trong hệ thống thông tin được đánh giá trong quá trình kiểm tra do Dịch vụ Kiểm soát Kỹ thuật và Xuất khẩu Liên bang và Dịch vụ An ninh Liên bang thực hiện trong giới hạn quyền hạn của họ.

Theo Phần 3 của Nghệ thuật. Điều 15 của Hiến pháp Liên bang Nga, tất cả các luật cũng như mọi quy định ảnh hưởng đến quyền, tự do và nghĩa vụ của con người và công dân, phải được công bố chính thức để cung cấp thông tin đại chúng, nghĩa là công khai. Các văn bản quy phạm pháp luật chưa được công bố không được áp dụng và không gây hậu quả pháp lý vì chưa có hiệu lực thi hành.

Kể từ ngày 15 tháng 5 năm 1992, theo Nghị định của Chính phủ Liên bang Nga ngày 08/05/1992 N 305 "Ngày đăng ký nhà nước hành vi quy phạm cấp Bộ" đăng ký nhà nước các hành vi quy phạm của các bộ, ngành ảnh hưởng đến quyền và lợi ích của công dân và mang tính chất liên ngành đã được giới thiệu.

Các vấn đề đăng ký nhà nước và hiệu lực của các văn bản quy phạm pháp luật cấp bộ được quy định bởi Nghị định của Tổng thống Liên bang Nga N 763<9>và Nghị định của Chính phủ Liên bang Nga N 1009<10>.

<9>Nghị định của Tổng thống Liên bang Nga ngày 23 tháng 5 năm 1996 N 763 “Về thủ tục công bố và có hiệu lực các văn bản của Tổng thống Liên bang Nga, Chính phủ Liên bang Nga và các văn bản quy phạm pháp luật của các cơ quan hành pháp liên bang. ”
<10>Nghị định của Chính phủ Liên bang Nga ngày 13 tháng 8 năm 1997 N 1009 “Về việc phê duyệt các Quy tắc chuẩn bị các hành vi pháp lý điều chỉnh của các cơ quan hành pháp liên bang và đăng ký nhà nước của họ.”

Theo khoản 10 của Quy tắc chuẩn bị các hành vi pháp lý quy phạm của các cơ quan hành pháp liên bang và đăng ký nhà nước của họ, các hành vi pháp lý quy phạm ảnh hưởng đến các quyền, quyền tự do và trách nhiệm của một cá nhân và công dân, thiết lập địa vị pháp lý của các tổ chức có tính chất liên ngành , bất kể thời hạn hiệu lực của chúng, đều phải đăng ký nhà nước, bao gồm các hành vi chứa thông tin cấu thành bí mật nhà nước hoặc thông tin có tính chất bí mật.

Việc đăng ký nhà nước về các hành vi pháp lý quy phạm được thực hiện bởi Bộ Tư pháp, cơ quan duy trì Sổ đăng ký nhà nước về các hành vi pháp lý quy phạm của các cơ quan hành pháp liên bang.

Việc đăng ký nhà nước đối với văn bản quy phạm pháp luật bao gồm:

  • kiểm tra pháp lý về việc tuân thủ đạo luật này với pháp luật của Liên bang Nga, bao gồm cả việc kiểm tra sự hiện diện của các điều khoản góp phần tạo điều kiện cho tham nhũng;
  • đưa ra quyết định về sự cần thiết phải đăng ký nhà nước của hành động này;
  • cấp số đăng ký;
  • gia nhập Sổ đăng ký Nhà nước về các hành vi pháp lý quy phạm của các cơ quan hành pháp liên bang.

Các văn bản quy phạm pháp luật có ảnh hưởng đến quyền, tự do, trách nhiệm của con người, công dân, xác lập địa vị pháp lý của tổ chức hoặc có tính chất liên ngành đều được công bố chính thức theo cách thức quy định, trừ các văn bản hoặc quy định riêng có chứa thông tin cấu thành bí mật nhà nước hoặc thông tin có tính chất bí mật,

Một đạo luật được Bộ Tư pháp công nhận là không yêu cầu đăng ký cấp tiểu bang sẽ được công bố theo cách thức do cơ quan hành pháp liên bang đã phê duyệt đạo luật xác định. Đồng thời, thủ tục để đạo luật này có hiệu lực cũng được xác định bởi cơ quan hành pháp liên bang đã ban hành nó.

Do đó, theo ý kiến ​​​​của tác giả, các tổ chức tiểu bang và thành phố thực hiện xử lý dữ liệu cá nhân tự động, trong trường hợp có yêu cầu xin giấy phép, thực hiện khai báo hoặc chứng nhận (chứng thực), có thể kháng cáo các yêu cầu đó tại tòa án (đặc biệt nếu phương tiện bảo vệ dữ liệu cá nhân được sử dụng đã được nhà sản xuất chứng nhận).

A. Bethlehemsky

giám đốc

Trung tâm Nizhny Novgorod

kinh tế giáo dục

Một trong những hoạt động ưu tiên cần thực hiện khi tạo hệ thống thông tin xử lý dữ liệu cá nhân (ISPD) là phân loại ISPD.

Điều này là cần thiết để xác định loại hệ thống và các yêu cầu tương ứng do FSTEC và FSB đặt ra khi xử lý dữ liệu cá nhân (PD). Trong bài viết này tôi sẽ mô tả quy trình chung để phân loại ISPD.

Theo Lệnh của FSTEC/FSB/Bộ Truyền thông ngày 13 tháng 2 năm 2008 số 55/86/20 về “Quy trình phân loại hệ thống thông tin dữ liệu cá nhân” có thể tải xuống tại đây, việc phân loại bắt buộc bao gồm các bước sau:

  • Thu thập và phân tích dữ liệu ban đầu trên hệ thống thông tin;
  • Chỉ định lớp thích hợp cho hệ thống thông tin và tài liệu của nó.

Khi phân loại một hệ thống thông tin cần trả lời các câu hỏi sau:

  1. 1Dữ liệu cá nhân được xử lý trong hệ thống thông tin thuộc loại nào? XPD?
  2. Khối lượng dữ liệu cá nhân được xử lý là bao nhiêu (số chủ thể dữ liệu cá nhân có dữ liệu cá nhân được xử lý trong hệ thống thông tin) – Xnpd?
  3. Các đặc điểm bảo mật được chỉ định của dữ liệu cá nhân được xử lý trong hệ thống thông tin là gì?
  4. Cấu trúc của hệ thống thông tin là gì?
  5. Có sự kết nối của hệ thống thông tin với mạng truyền thông công cộng và/hoặc Mạng Internet?
  6. Chế độ xử lý dữ liệu cá nhân là gì?
  7. Chế độ phân định quyền truy cập của người sử dụng hệ thống thông tin là gì?
  8. Vị trí phương tiện kỹ thuật của hệ thống thông tin?

Thông tin cơ bản và hỗ trợ

Các loại dữ liệu cá nhân sau đây được xử lý trong hệ thống thông tin (XPD) được xác định:

  1. Loại 1- dữ liệu cá nhân liên quan đến chủng tộc, quốc tịch, quan điểm chính trị, niềm tin tôn giáo và triết học, tình trạng sức khỏe, cuộc sống thân mật;
  2. loại 2- dữ liệu cá nhân cho phép bạn xác định chủ đề của dữ liệu cá nhân và lấy thông tin bổ sung về anh ta, ngoại trừ dữ liệu cá nhân liên quan đến Loại 1;
  3. loại 3- dữ liệu cá nhân cho phép xác định chủ thể của dữ liệu cá nhân;
  4. loại 4- dữ liệu cá nhân được ẩn danh và (hoặc) công khai.

Xnpd có thể nhận các giá trị sau:

  • 1 - hệ thống thông tin xử lý đồng thời dữ liệu cá nhân của hơn 100.000 chủ thể dữ liệu cá nhân hoặc dữ liệu cá nhân của các chủ thể dữ liệu cá nhân trong một thực thể cấu thành của Liên bang Nga hoặc toàn bộ Liên bang Nga;
  • 2 - hệ thống thông tin xử lý đồng thời dữ liệu cá nhân từ 1.000 đến 100.000 đối tượng dữ liệu cá nhân hoặc dữ liệu cá nhân của các đối tượng dữ liệu cá nhân làm việc trong khu vực kinh tế của Liên bang Nga, trong cơ quan chính phủ, cư trú trong đô thị;
  • 3 - hệ thống thông tin xử lý đồng thời dữ liệu của dưới 1000 chủ thể dữ liệu cá nhân hoặc dữ liệu cá nhân của chủ thể dữ liệu cá nhân trong một tổ chức cụ thể.

Đặc điểm bảo mật dữ liệu cá nhân

Đối với ISPD, các đặc điểm bảo mật của dữ liệu cá nhân được xác định, được chia thành cơ bản và bổ sung:

NỀN TẢNG:

  • bảo mật
  • chính trực
  • khả dụng

THÊM VÀO:

  • không bác bỏ
  • kế toán (khả năng kiểm soát)
  • tính xác thực (độ tin cậy)
  • sự đầy đủ

Cấu trúc hệ thống thông tin chia thành:

  • các tổ hợp kỹ thuật và tự chủ (không kết nối với các hệ thống thông tin khác) phần mềm thiết bị dùng để xử lý dữ liệu cá nhân (máy trạm tự động);
  • một tổ hợp các trạm làm việc tự động được kết hợp thành một hệ thống thông tin duy nhất bằng phương tiện liên lạc mà không sử dụng công nghệ Truy cập từ xa(hệ thống thông tin địa phương);
  • một tổ hợp các máy trạm tự động và (hoặc) hệ thống thông tin cục bộ, được kết hợp thành một hệ thống thông tin duy nhất bằng phương tiện liên lạc sử dụng công nghệ truy cập từ xa (hệ thống thông tin phân tán).

Chế độ xử lý

Khi tổ chức ISPD xác định các phương thức xử lý sau:

  • một người dùng;
  • nhiều người dùng.

Chế độ kiểm soát quyền truy cập

Trong ISPD, hệ thống kiểm soát truy cập ngụ ý:

  • không có sự phân biệt về quyền truy cập;
  • với sự khác biệt về quyền truy cập.

Hệ thống thông tin được chia thành đặc trưngđặc biệt.
Hướng tới hệ thống thông tin chuẩn mực Chúng bao gồm các hệ thống chỉ yêu cầu bảo mật PD.

Hướng tới một hệ thống thông tin đặc biệt Chúng bao gồm các hệ thống, ngoài tính bảo mật, còn yêu cầu:

  • Hệ thống thông tin xử lý dữ liệu cá nhân liên quan đến tình trạng sức khỏe của chủ thể dữ liệu cá nhân;
  • Hệ thống thông tin trong đó, chỉ dựa trên việc xử lý dữ liệu cá nhân tự động, các quyết định được đưa ra làm phát sinh hậu quả pháp lý liên quan đến chủ thể dữ liệu cá nhân hoặc ảnh hưởng đến quyền và lợi ích hợp pháp của chủ thể đó.

Phân loại hệ thống thông tin

Theo Lệnh số 55/86/20 của FSTEC/FSB/Bộ Truyền thông, ISPDn có thể có một trong bốn lớp được xác định theo thứ tự này:

  1. lớp 1 (K1)— hệ thống thông tin bị vi phạm đặc điểm nhất định tính bảo mật của dữ liệu cá nhân được xử lý trong đó có thể dẫn đến hậu quả tiêu cực đáng kể cho chủ thể của dữ liệu cá nhân;
  2. lớp 2 (K2)- hệ thống thông tin vi phạm các đặc điểm bảo mật cụ thể của dữ liệu cá nhân được xử lý trong đó có thể dẫn đến hậu quả tiêu cực cho chủ thể của dữ liệu cá nhân;
  3. lớp 3 (K3)— các hệ thống thông tin mà việc vi phạm các đặc điểm bảo mật cụ thể của dữ liệu cá nhân được xử lý trong đó có thể dẫn đến những hậu quả tiêu cực nhỏ đối với chủ thể của dữ liệu cá nhân;
  4. lớp 4 (K4)— các hệ thống thông tin vi phạm các đặc điểm bảo mật cụ thể của dữ liệu cá nhân được xử lý trong đó không dẫn đến hậu quả tiêu cực cho chủ thể của dữ liệu cá nhân.

Số đăng ký 11462

Theo đoạn 6 của Quy định về đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân trong hệ thống thông tin dữ liệu cá nhân, được phê duyệt bởi Nghị định của Chính phủ Liên bang Nga ngày 17 tháng 11 năm 2007 N 781 “Về việc phê duyệt Quy định về đảm bảo bảo mật dữ liệu cá nhân trong quá trình xử lý trong hệ thống thông tin dữ liệu cá nhân "(Luật sưu tầm của Liên bang Nga, 2007, Số 48, Phần II, Điều 6001), chúng tôi đặt hàng:

Phê duyệt Quy trình đính kèm để phân loại hệ thống thông tin dữ liệu cá nhân.

Giám đốc

Dịch vụ liên bang

về kiểm soát kỹ thuật và xuất khẩu

S. Grigorov

Giám đốc Cơ quan An ninh Liên bang

Liên Bang Nga

N. Patrushev

Bộ trưởng Bộ Công nghệ Thông tin và Truyền thông Liên bang Nga

L. Reiman

Quy trình phân loại hệ thống thông tin dữ liệu cá nhân

1. Quy trình này xác định việc phân loại hệ thống thông tin dữ liệu cá nhân, là tập hợp dữ liệu cá nhân có trong cơ sở dữ liệu, cũng như công nghệ thông tin và phương tiện kỹ thuật cho phép xử lý dữ liệu cá nhân đó bằng các công cụ tự động hóa (sau đây gọi là hệ thống thông tin )1.

2. Việc phân loại hệ thống thông tin được thực hiện bởi các cơ quan nhà nước, cơ quan thành phố, pháp nhân và cá nhân tổ chức và (hoặc) thực hiện việc xử lý dữ liệu cá nhân, cũng như xác định mục đích và nội dung xử lý dữ liệu cá nhân ( sau đây gọi là người điều hành)2.

3. Việc phân loại hệ thống thông tin được thực hiện ở giai đoạn tạo lập hoặc trong quá trình vận hành hệ thống thông tin (đối với hệ thống thông tin đã đưa vào vận hành và (hoặc) hiện đại hóa) nhằm thiết lập các phương pháp, phương tiện bảo vệ thông tin cần thiết nhằm đảm bảo an ninh. của dữ liệu cá nhân.

4. Việc thực hiện phân loại hệ thống thông tin bao gồm các bước sau:

thu thập và phân tích dữ liệu ban đầu trên hệ thống thông tin:

phân công lớp thích hợp cho hệ thống thông tin và tài liệu của nó.

5. Khi phân loại hệ thống thông tin, các số liệu ban đầu sau đây được xét đến:

khối lượng dữ liệu cá nhân được xử lý (số lượng chủ thể dữ liệu cá nhân có dữ liệu cá nhân được xử lý trong hệ thống thông tin) - X npd;

đặc điểm bảo mật của dữ liệu cá nhân được xử lý trong hệ thống thông tin do nhà điều hành chỉ định;

cấu trúc hệ thống thông tin;

tính sẵn có của các kết nối của hệ thống thông tin với mạng truyền thông công cộng và (hoặc) mạng trao đổi thông tin quốc tế;

chế độ xử lý dữ liệu cá nhân;

phương thức phân định quyền truy cập của người sử dụng hệ thống thông tin;

vị trí phương tiện kỹ thuật của hệ thống thông tin.

6. Các loại dữ liệu cá nhân được xử lý trong hệ thống thông tin (XPD) sau đây được xác định:

7. X npd có thể nhận các giá trị sau:

1 - hệ thống thông tin xử lý đồng thời dữ liệu cá nhân của hơn 100.000 chủ thể dữ liệu cá nhân hoặc dữ liệu cá nhân của các chủ thể dữ liệu cá nhân trong một thực thể cấu thành của Liên bang Nga hoặc toàn bộ Liên bang Nga;

2 - hệ thống thông tin xử lý đồng thời dữ liệu cá nhân từ 1.000 đến 100.000 chủ thể dữ liệu cá nhân hoặc dữ liệu cá nhân của các chủ thể dữ liệu cá nhân làm việc trong khu vực kinh tế của Liên bang Nga, trong cơ quan chính phủ, sống trong phạm vi đô thị;

3 - hệ thống thông tin xử lý đồng thời dữ liệu của dưới 1000 chủ thể dữ liệu cá nhân hoặc dữ liệu cá nhân của chủ thể dữ liệu cá nhân trong một tổ chức cụ thể.

8. Theo đặc điểm bảo mật của dữ liệu cá nhân được xử lý trong hệ thống thông tin do nhà điều hành chỉ định, hệ thống thông tin được chia thành hệ thống thông tin tiêu chuẩn và hệ thống thông tin đặc biệt.

Hệ thống thông tin điển hình là hệ thống thông tin chỉ yêu cầu đảm bảo tính bảo mật của dữ liệu cá nhân.

Hệ thống thông tin đặc biệt là hệ thống thông tin trong đó, bất kể nhu cầu đảm bảo tính bảo mật của dữ liệu cá nhân, cần phải đảm bảo ít nhất một trong các đặc điểm bảo mật của dữ liệu cá nhân ngoài tính bảo mật (bảo mật khỏi bị phá hủy, sửa đổi, chặn, v.v. như các hành động trái phép khác).

Hệ thống thông tin đặc biệt nên bao gồm:

hệ thống thông tin trong đó dữ liệu cá nhân liên quan đến tình trạng sức khỏe của chủ thể dữ liệu cá nhân được xử lý;

hệ thống thông tin cung cấp việc áp dụng, chỉ dựa trên việc xử lý tự động dữ liệu cá nhân, các quyết định làm phát sinh hậu quả pháp lý liên quan đến chủ thể dữ liệu cá nhân hoặc ảnh hưởng đến quyền và lợi ích hợp pháp của anh ta.

9. Theo cấu trúc, hệ thống thông tin được chia thành:

đối với các tổ hợp phần cứng và phần mềm tự trị (không được kết nối với các hệ thống thông tin khác) được thiết kế để xử lý dữ liệu cá nhân (máy trạm tự động);

đến các tổ hợp máy trạm tự động được tích hợp vào một hệ thống thông tin duy nhất bằng phương tiện liên lạc mà không sử dụng công nghệ truy cập từ xa (hệ thống thông tin cục bộ);

đến các tổ hợp máy trạm tự động và (hoặc) hệ thống thông tin cục bộ, được kết hợp thành một hệ thống thông tin duy nhất bằng phương tiện liên lạc sử dụng công nghệ truy cập từ xa (hệ thống thông tin phân tán).

10. Căn cứ vào sự kết nối với mạng truyền thông công cộng và (hoặc) mạng trao đổi thông tin quốc tế, hệ thống thông tin được chia thành hệ thống có kết nối và hệ thống không có kết nối.

11. Theo phương thức xử lý dữ liệu cá nhân trong hệ thống thông tin, hệ thống thông tin được chia thành một người dùng và nhiều người dùng.

12. Căn cứ vào việc phân định quyền truy cập của người sử dụng, hệ thống thông tin được chia thành hệ thống không phân định quyền truy cập và hệ thống có phân định quyền truy cập.

13. Hệ thống thông tin, tùy thuộc vào vị trí của các phương tiện kỹ thuật, được chia thành các hệ thống, tất cả các phương tiện kỹ thuật trong đó được đặt tại Liên bang Nga và các hệ thống, các phương tiện kỹ thuật được đặt một phần hoặc toàn bộ bên ngoài Liên bang Nga.

14. Căn cứ vào kết quả phân tích dữ liệu nguồn, một hệ thống thông tin điển hình được phân loại một trong các loại sau:

loại 1 (K1) - hệ thống thông tin vi phạm các đặc điểm bảo mật cụ thể của dữ liệu cá nhân được xử lý trong đó có thể dẫn đến hậu quả tiêu cực đáng kể cho chủ thể của dữ liệu cá nhân;

loại 2 (K2) - hệ thống thông tin vi phạm các đặc điểm bảo mật cụ thể của dữ liệu cá nhân được xử lý trong đó có thể dẫn đến hậu quả tiêu cực cho chủ thể của dữ liệu cá nhân;

loại 3 (K3) - hệ thống thông tin vi phạm các đặc điểm bảo mật cụ thể của dữ liệu cá nhân được xử lý trong đó có thể dẫn đến hậu quả tiêu cực nhỏ cho chủ thể của dữ liệu cá nhân;

loại 4 (K4) - hệ thống thông tin vi phạm các đặc điểm bảo mật cụ thể của dữ liệu cá nhân được xử lý trong đó không dẫn đến hậu quả tiêu cực cho chủ thể của dữ liệu cá nhân.

15. Phân loại hệ thống thông tin điển hình được xác định theo bảng.

16. Dựa trên kết quả phân tích dữ liệu nguồn, phân loại hệ thống thông tin đặc biệt được xác định trên cơ sở mô hình các mối đe dọa đối với an toàn dữ liệu cá nhân theo các tài liệu phương pháp được xây dựng theo khoản 2 của Nghị định của Chính phủ Liên bang Nga ngày 17 tháng 11 năm 2007 N 781 “Về việc phê duyệt Quy định đảm bảo an toàn dữ liệu cá nhân khi xử lý trong hệ thống thông tin dữ liệu cá nhân"3.

17. Nếu các hệ thống con được xác định trong một hệ thống thông tin, mỗi hệ thống con là một hệ thống thông tin thì toàn bộ hệ thống thông tin đó sẽ được gán một lớp tương ứng nhất. cao cấp các hệ thống con có trong đó.

18. Kết quả phân loại hệ thống thông tin được ghi vào văn bản tương ứng của người vận hành.

19. Phân loại hệ thống thông tin có thể được sửa đổi:

theo quyết định của nhà điều hành dựa trên phân tích và đánh giá các mối đe dọa đối với tính bảo mật của dữ liệu cá nhân, có tính đến các đặc điểm và (hoặc) những thay đổi của một hệ thống thông tin cụ thể;

dựa trên kết quả của các biện pháp giám sát việc tuân thủ các yêu cầu đảm bảo an toàn cho dữ liệu cá nhân trong quá trình xử lý chúng trong hệ thống thông tin.

1Đoạn một trong đoạn 1 của Quy định về đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân trong hệ thống thông tin dữ liệu cá nhân, được phê duyệt bởi Nghị định của Chính phủ Liên bang Nga ngày 17 tháng 11 năm 2007.

N 781 (Bộ sưu tập pháp luật Liên bang Nga, 2007, N 48, phần II,

2Khoản một khoản 6 Quy chế.

3Luật sưu tầm của Liên bang Nga 2007, N 48, phần II,Nghệ thuật. 6001.