Thực đơn
trang chủLỗi

Loại hệ thống thông tin dữ liệu cá nhân. Hệ thống thông tin dữ liệu cá nhân

Hệ thông thông tin Dữ liệu cá nhân (ISPD) được nhiều doanh nghiệp, tổ chức sử dụng trong công việc. Hãy cùng tìm hiểu xem nó là gì và những sắc thái nào cần được những người làm việc với ISPD tính đến.

ISPDN là gì?

Nói một cách đơn giản, hệ thống thông tin ISPD được sử dụng để lưu trữ và xử lý dữ liệu cá nhân. Nó bao gồm các thành phần sau:

  • Thực chất là một tập hợp dữ liệu cá nhân được lưu trữ trong hệ thống, trong cơ sở dữ liệu.
  • Phương tiện kỹ thuật được sử dụng để làm việc với dữ liệu này.
  • Công cụ tự động hóa quy trình kế toán và xử lý thông tin được lưu trữ trong ISPD (có thể không có sẵn ở tất cả các hệ thống).

IPDN nghiêm trọng

Khi sử dụng các hệ thống được đề cập, điều quan trọng là phải đảm bảo bảo vệ dữ liệu cá nhân khỏi bị truy cập trái phép, mất mát và các tình huống khẩn cấp khác. Điều này thậm chí còn được quy định ở cấp lập pháp. Và để thực hiện các biện pháp được khuyến nghị nhằm hạn chế quyền truy cập vào thông tin và bảo vệ thông tin đó, một cuộc kiểm tra ISPD sẽ được thực hiện (ví dụ: có thể tìm thấy thêm thông tin chi tiết từ các chuyên gia của công ty Rentacloud: http://rentacloud.su/services/ zashchita-personalnykh-dannykh /kiểm toán/). Dựa trên kết quả của nó, một báo cáo được lập có chứa các thông tin sau:

  • Danh mục dữ liệu cá nhân được lưu trữ và xử lý trong hệ thống được khảo sát.
  • Lớp và loại của họ (xem thêm về điều này bên dưới).
  • Các thông số và cấu trúc của hệ thống đang nghiên cứu.
  • Khối lượng PD (số lượng bản ghi, v.v.) được lưu trữ và xử lý trong ISPD.
  • Thông tin về vị trí của hệ thống.
  • Thông tin về khả năng truy cập cơ sở dữ liệu thông qua các mạng có thể truy cập được sử dụng chung(LAN, Internet, v.v.).

Việc kiểm toán được thực hiện theo đúng quy định tài liệu chung, do Bộ Truyền thông, FSTEC và FSB chuẩn bị. Nó rất đồ sộ và đòi hỏi phải nghiên cứu kỹ lưỡng. Về vấn đề này, việc kiểm toán hệ thống và chuẩn bị các khuyến nghị làm cơ sở cho việc bảo vệ ISPD phải được các chuyên gia tin cậy. Ví dụ: bạn có thể sử dụng dịch vụ của họ bằng cách liên hệ với công ty “Rentacloud”: (http://rentacloud.su).

Các loại, lớp ISPD và những điều khác bạn cần biết về các hệ thống đó

Hệ thống thông tin dữ liệu cá nhân (PDI) được chia thành 4 loại và 2 loại. Việc phân chia thành các lớp được thực hiện trên cơ sở các đặc điểm như loại dữ liệu cá nhân được xử lý và khối lượng của chúng.

Các lớp học

Bảng này sẽ giúp bạn tìm ra điều này:

Giải thích cho bảng.

Danh mục số 4 bao gồm dữ liệu cá nhân ẩn danh, không thể xác định được một chủ đề cụ thể (ví dụ - dữ liệu thống kê). Loại 3 bao gồm PD trên cơ sở chỉ có thể nhận dạng một người (chúng khá hiếm). Loại 2 bao gồm dữ liệu trên cơ sở đó có thể xác định được một người và thu được một số thông tin nhất định về người đó thông tin thêm(ví dụ: hệ thống tiền lương trong tổ chức, doanh nghiệp). Danh mục đầu tiên bao gồm dữ liệu chứa thông tin về quốc tịch, tình trạng sức khỏe và thông tin xã hội khác cũng như thông tin có tính chất khác (ví dụ: cơ sở dữ liệu của các tổ chức chăm sóc sức khỏe).

Đối với các lớp được nêu trong bảng, việc gán ISDN cho chúng được thực hiện trên cơ sở thiệt hại có thể xảy ra đối với các đối tượng trong trường hợp vi phạm các điều kiện bảo mật:

  • Loại 4. Mọi hậu quả tiêu cực đối với đối tượng đều bị loại trừ.
  • Cl 3. Hậu quả tiêu cực nhỏ có thể xảy ra.
  • Điều 2. Xảy ra hậu quả đó.
  • Cl 1. Có thể gây hậu quả tiêu cực rất nghiêm trọng.

Các loại ISPD

Loại thứ nhất bao gồm các hệ thống trong đó các chức năng bảo vệ ISPD chỉ được giảm thiểu để đạt được các chỉ số cần thiết sự riêng tư của cô ấy. Nếu, ngoài tính bảo mật, cần phải đảm bảo ít nhất một chỉ số bảo mật bổ sung (tính xác thực, tính khả dụng, tính toàn vẹn dữ liệu, v.v.), Chúng ta đang nói về về loại thứ hai.

Điều đáng chú ý là hầu hết các hệ thống được sử dụng ngày nay đều được phân loại là loại thứ hai.

Có thể thấy rằng sự phát triển của ISPD, sự phân loại và cung cấp các dịch vụ đáng tin cậy, bảo vệ hiệu quả- Quá trình rất phức tạp và nhiều mặt. Và để tránh sai sót, nên giao việc này cho các chuyên gia. Để làm điều này, chẳng hạn, bạn có thể liên hệ với công ty Rentacloud, công ty chiếm một trong những vị trí dẫn đầu trên thị trường này.

Một trong những hoạt động ưu tiên cần thực hiện khi tạo hệ thống thông tin xử lý dữ liệu cá nhân (ISPD) là phân loại ISPD.

Điều này là cần thiết để xác định loại hệ thống và các yêu cầu tương ứng do FSTEC và FSB đặt ra khi xử lý dữ liệu cá nhân (PD). Trong bài viết này tôi sẽ mô tả quy trình chung để phân loại ISPD.

Theo Lệnh của FSTEC/FSB/Bộ Truyền thông ngày 13/02/2008 số 55/86/20 về “Quy trình phân loại hệ thống thông tin dữ liệu cá nhân”, có thể tải xuống tại đây, việc phân loại bắt buộc bao gồm các bước sau:

  • Thu thập và phân tích dữ liệu ban đầu trên hệ thống thông tin;
  • Chỉ định lớp thích hợp cho hệ thống thông tin và tài liệu của nó.

Khi phân loại một hệ thống thông tin cần trả lời các câu hỏi sau:

  1. 1Dữ liệu cá nhân được xử lý trong hệ thống thông tin thuộc loại nào? XPD?
  2. Khối lượng dữ liệu cá nhân được xử lý là bao nhiêu (số chủ thể dữ liệu cá nhân có dữ liệu cá nhân được xử lý trong hệ thống thông tin) – Xnpd?
  3. Các đặc điểm bảo mật được chỉ định của dữ liệu cá nhân được xử lý trong hệ thống thông tin là gì?
  4. Cấu trúc của hệ thống thông tin là gì?
  5. Có sự kết nối của hệ thống thông tin với mạng truyền thông công cộng và/hoặc Mạng Internet?
  6. Chế độ xử lý dữ liệu cá nhân là gì?
  7. Chế độ phân định quyền truy cập của người sử dụng hệ thống thông tin là gì?
  8. Vị trí phương tiện kỹ thuật của hệ thống thông tin?

Thông tin cơ bản và hỗ trợ

Các loại dữ liệu cá nhân sau đây được xử lý trong hệ thống thông tin (XPD) được xác định:

  1. Loại 1- dữ liệu cá nhân liên quan đến chủng tộc, quốc tịch, quan điểm chính trị, niềm tin tôn giáo và triết học, tình trạng sức khỏe, cuộc sống thân mật;
  2. loại 2- dữ liệu cá nhân cho phép bạn xác định chủ đề của dữ liệu cá nhân và lấy thông tin về anh ta Thông tin thêm, ngoại trừ dữ liệu cá nhân liên quan đến Loại 1;
  3. loại 3- dữ liệu cá nhân cho phép xác định chủ thể của dữ liệu cá nhân;
  4. loại 4- dữ liệu cá nhân được ẩn danh và (hoặc) công khai.

Xnpd có thể nhận các giá trị sau:

  • 1 - hệ thống thông tin xử lý đồng thời dữ liệu cá nhân của hơn 100.000 chủ thể dữ liệu cá nhân hoặc dữ liệu cá nhân của các chủ thể dữ liệu cá nhân trong chủ thể Liên Bang Nga hoặc toàn bộ Liên bang Nga;
  • 2 - hệ thống thông tin xử lý đồng thời dữ liệu cá nhân từ 1.000 đến 100.000 chủ thể dữ liệu cá nhân hoặc dữ liệu cá nhân của các chủ thể dữ liệu cá nhân làm việc trong khu vực kinh tế của Liên bang Nga, trong cơ quan chính phủ, sống trên địa bàn đô thị;
  • 3 - hệ thống thông tin xử lý đồng thời dữ liệu của dưới 1000 chủ thể dữ liệu cá nhân hoặc dữ liệu cá nhân của chủ thể dữ liệu cá nhân trong một tổ chức cụ thể.

Đặc điểm bảo mật dữ liệu cá nhân

Đối với ISPD, các đặc điểm bảo mật của dữ liệu cá nhân được xác định, được chia thành cơ bản và bổ sung:

NỀN TẢNG:

  • bảo mật
  • chính trực
  • khả dụng

THÊM VÀO:

  • không bác bỏ
  • kế toán (khả năng kiểm soát)
  • tính xác thực (độ tin cậy)
  • sự đầy đủ

Cấu trúc hệ thống thông tin chia thành:

  • các tổ hợp kỹ thuật và tự trị (không kết nối với các hệ thống thông tin khác) phần mềm thiết bị dùng để xử lý dữ liệu cá nhân (máy trạm tự động);
  • một tổ hợp các trạm làm việc tự động được kết hợp thành một hệ thống thông tin duy nhất bằng phương tiện liên lạc mà không sử dụng công nghệ Truy cập từ xa(hệ thống thông tin địa phương);
  • một tổ hợp các máy trạm tự động và (hoặc) hệ thống thông tin cục bộ, được kết hợp thành một hệ thống thông tin duy nhất bằng phương tiện liên lạc sử dụng công nghệ truy cập từ xa (hệ thống thông tin phân tán).

Chế độ xử lý

Khi tổ chức ISPD xác định các phương thức xử lý sau:

  • một người dùng;
  • nhiều người dùng.

Chế độ kiểm soát quyền truy cập

Trong ISPD, hệ thống kiểm soát truy cập ngụ ý:

  • không có sự phân biệt về quyền truy cập;
  • với sự khác biệt về quyền truy cập.

Hệ thống thông tin được chia thành đặc trưngđặc biệt.
Hướng tới hệ thống thông tin chuẩn mực Chúng bao gồm các hệ thống chỉ yêu cầu bảo mật PD.

Hướng tới một hệ thống thông tin đặc biệt Chúng bao gồm các hệ thống, ngoài tính bảo mật, còn yêu cầu:

  • Hệ thống thông tin xử lý dữ liệu cá nhân liên quan đến tình trạng sức khỏe của chủ thể dữ liệu cá nhân;
  • Các hệ thống thông tin trong đó chỉ dựa trên xử lý tự động dữ liệu cá nhân quy định việc áp dụng các quyết định làm phát sinh hậu quả pháp lý liên quan đến chủ thể dữ liệu cá nhân hoặc ảnh hưởng đến quyền và lợi ích hợp pháp của anh ta.

Phân loại hệ thống thông tin

Theo Lệnh số 55/86/20 của FSTEC/FSB/Bộ Truyền thông, ISPDn có thể có một trong bốn lớp được xác định theo thứ tự này:

  1. lớp 1 (K1)— hệ thống thông tin bị vi phạm đặc điểm nhất định tính bảo mật của dữ liệu cá nhân được xử lý trong đó có thể dẫn đến hậu quả tiêu cực đáng kể cho chủ thể của dữ liệu cá nhân;
  2. lớp 2 (K2)- hệ thống thông tin vi phạm các đặc điểm bảo mật cụ thể của dữ liệu cá nhân được xử lý trong đó có thể dẫn đến hậu quả tiêu cực cho chủ thể của dữ liệu cá nhân;
  3. lớp 3 (K3)— các hệ thống thông tin mà việc vi phạm các đặc điểm bảo mật cụ thể của dữ liệu cá nhân được xử lý trong đó có thể dẫn đến những hậu quả tiêu cực nhỏ đối với chủ thể của dữ liệu cá nhân;
  4. lớp 4 (K4)— các hệ thống thông tin vi phạm các đặc điểm bảo mật cụ thể của dữ liệu cá nhân được xử lý trong đó không dẫn đến hậu quả tiêu cực cho chủ thể của dữ liệu cá nhân.
Thầy tu Ngày 9 tháng 11 năm 2010 lúc 12:31 chiều

Dữ liệu cá nhân (Phân loại ISPD)

  • Phòng gỗ *

Rất nhiều bài viết đã được viết về việc phân loại hệ thống thông tin dữ liệu cá nhân: toàn bộ bài viết, trang web và diễn đàn đều dành cho chủ đề nóng bỏng này. Hãy bắt đầu với thực tế là theo thứ tự của FSTEC\FSB\MITiS số 55\86\20 có đặc trưngđặc biệt ISPDn. Các ISPD điển hình bao gồm những ISPD chỉ cần đảm bảo tính bảo mật của dữ liệu cá nhân và các ISPD đặc biệt - nếu cần đảm bảo ít nhất một trong các đặc điểm bảo mật của dữ liệu cá nhân ngoài tính bảo mật (tính toàn vẹn, tính xác thực, khả năng truy cập, v.v.). )
Lệnh liên quan đến việc phân loại ISPD dựa trên đánh giá về thiệt hại có thể xảy ra đối với các đối tượng PD có dữ liệu được xử lý trong đó: thiệt hại có thể xảy ra càng cao thì cấp càng cao và theo đó, yêu cầu đối với càng cao. bảo vệ kỹ thuật. Đoạn 14 của Lệnh nói về 4 hạng:
-không có hậu quả tiêu cực (cấp 4)
-hậu quả tiêu cực nhỏ (cấp 3)
-hậu quả tiêu cực (cấp 2)
- hậu quả tiêu cực đáng kể (cấp 1).
Việc chỉ định một hoặc một lớp ISPD khác, theo cùng một đoạn, được thực hiện dựa trên kết quả phân tích dữ liệu nguồn.
Việc phân loại các ISPD tiêu chuẩn đã được thảo luận ở đây, vì vậy hãy chuyển thẳng sang các ISPD tiêu chuẩn.

Làm thế nào để phân loại một ISPD đặc biệt?
Nếu ISPD của bạn chứa dữ liệu cá nhân liên quan đến chủng tộc, quốc tịch,
quan điểm chính trị, niềm tin tôn giáo và triết học, tình trạng sức khỏe, cuộc sống thân mật, thì mọi thứ đều đơn giản:
lớp hệ thống của bạn là K1. Và không quan trọng là có 10 bản ghi hay 100.000. Tiếp theo, bạn có thể bảo vệ hệ thống theo K1 theo các yêu cầu của Lệnh số 58 của FSTEC hoặc hạ cấp lớp, chẳng hạn như bằng cách phi cá nhân hóa dữ liệu đó.
Bây giờ hãy tưởng tượng một ISPD nhất định mà chúng ta cần phân loại. Hãy để nó là một doanh nghiệp lớn cung cấp dịch vụ cho Khách hàng của mình.
Dữ liệu ban đầu của hệ thống của chúng tôi:
1. Phạm vi dữ liệu cá nhân- hơn 100.000.
2. Danh mục dữ liệu cá nhân- 2 (tức là đây là dữ liệu cá nhân cho phép bạn xác định chủ đề của dữ liệu cá nhân và lấy thông tin bổ sung về anh ta).
3. Cấu trúc hệ thống thông tin- phân phối;
4. Sự sẵn có của các kết nối hệ thống thông tin tới mạng truyền thông công cộng và (hoặc) mạng quốc tế trao đổi thông tin- Có;
5. Chế độ xử lý dữ liệu cá nhân- nhiều người dùng;
6. Chế độ kiểm soát quyền truy cập người sử dụng hệ thống thông tin - phân biệt quyền truy cập;
7. Vị trí thiết bị kỹ thuật hệ thống thông tin - trong Liên bang Nga.

Nhưng chúng ta không thể phân loại hệ thống như vậy theo tấm theo thứ tự số 55\86\20, bởi vì “Theo kết quả phân tích dữ liệu ban đầu đặc trưng hệ thống thông tin được xếp vào một trong các lớp sau.” Đừng buồn, chúng tôi đọc thêm đơn đặt hàng và thấy điểm sau:
16. Dựa trên kết quả phân tích dữ liệu nguồn, loại hệ thống thông tin đặc biệt được xác định trên cơ sở mô hình các mối đe dọa đối với an toàn dữ liệu cá nhân theo các tài liệu phương pháp được xây dựng theo khoản 2 của Nghị định của Chính phủ Liên bang Nga ngày 17 tháng 11 năm 2007 N 781 “Về việc phê duyệt Quy định đảm bảo an toàn dữ liệu cá nhân khi xử lý trong hệ thống thông tin dữ liệu cá nhân”
Do đó, sau khi phân tích dữ liệu nguồn, thành phần của PD được xử lý, xác định cấu trúc của ISPD và quy trình công nghệ, chúng ta có thể đến kết luận hợp lý, Cái gì Những hậu quả tiêu cực có thể vi phạm tính bảo mật thông tin (ví dụ: phổ biến thông tin về tình trạng khuyết tật của nhân viên). Việc thực hiện tất cả các mối đe dọa khác sẽ dẫn đến tiêu cực nhỏ hậu quả, bởi vì các biện pháp bảo vệ kỹ thuật đầy đủ đã được thực hiện (hoặc sẽ được thực hiện trong tương lai trong quá trình thiết lập hệ thống bảo vệ ISPD) để vô hiệu hóa chúng. Sau khi phản ánh thông tin này trong mô hình mối đe dọa, chúng tôi có thể dễ dàng phân loại một ISPD đặc biệt với các đặc điểm được chỉ định là K2.

Tags: dữ liệu cá nhân, ispdn

Số đăng ký 11462

Theo đoạn 6 của Quy định về đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân trong hệ thống thông tin dữ liệu cá nhân, được phê duyệt bởi Nghị định của Chính phủ Liên bang Nga ngày 17 tháng 11 năm 2007 N 781 “Về việc phê duyệt Quy định về đảm bảo bảo mật dữ liệu cá nhân trong quá trình xử lý trong hệ thống thông tin dữ liệu cá nhân "(Luật sưu tầm của Liên bang Nga, 2007, Số 48, Phần II, Điều 6001), chúng tôi đặt hàng:

Phê duyệt Quy trình đính kèm để phân loại hệ thống thông tin dữ liệu cá nhân.

Giám đốc

Dịch vụ liên bang

về kiểm soát kỹ thuật và xuất khẩu

S. Grigorov

Giám đốc Cơ quan An ninh Liên bang

Liên Bang Nga

N. Patrushev

bộ trưởng, mục sư công nghệ thông tin và thông tin liên lạc của Liên bang Nga

L. Reiman

Quy trình phân loại hệ thống thông tin dữ liệu cá nhân

1. Quy trình này xác định việc phân loại hệ thống thông tin dữ liệu cá nhân, là tập hợp dữ liệu cá nhân có trong cơ sở dữ liệu, cũng như công nghệ thông tin và phương tiện kỹ thuật cho phép xử lý dữ liệu cá nhân đó bằng các công cụ tự động hóa (sau đây gọi là hệ thống thông tin )1.

2. Việc phân loại hệ thống thông tin được thực hiện cơ quan chính phủ, chính quyền thành phố, hợp pháp và cá nhân, tổ chức và (hoặc) thực hiện việc xử lý dữ liệu cá nhân, cũng như xác định mục đích và nội dung xử lý dữ liệu cá nhân (sau đây gọi là nhà điều hành)2.

3. Việc phân loại hệ thống thông tin được thực hiện ở giai đoạn tạo lập hoặc trong quá trình vận hành hệ thống thông tin (đối với hệ thống thông tin đã đưa vào vận hành và (hoặc) hiện đại hóa) nhằm thiết lập các phương pháp, phương tiện bảo vệ thông tin cần thiết nhằm đảm bảo an ninh. của dữ liệu cá nhân.

4. Việc thực hiện phân loại hệ thống thông tin bao gồm các bước sau:

thu thập và phân tích dữ liệu ban đầu trên hệ thống thông tin:

phân công lớp thích hợp cho hệ thống thông tin và tài liệu của nó.

5. Khi phân loại hệ thống thông tin, các số liệu ban đầu sau đây được xét đến:

khối lượng dữ liệu cá nhân được xử lý (số lượng chủ thể dữ liệu cá nhân có dữ liệu cá nhân được xử lý trong hệ thống thông tin) - X npd;

đặc điểm bảo mật của dữ liệu cá nhân được xử lý trong hệ thống thông tin do nhà điều hành chỉ định;

cấu trúc hệ thống thông tin;

tính sẵn có của các kết nối của hệ thống thông tin với mạng truyền thông công cộng và (hoặc) mạng trao đổi thông tin quốc tế;

chế độ xử lý dữ liệu cá nhân;

phương thức phân định quyền truy cập của người sử dụng hệ thống thông tin;

vị trí phương tiện kỹ thuật của hệ thống thông tin.

6. Các loại dữ liệu cá nhân được xử lý trong hệ thống thông tin (XPD) sau đây được xác định:

7. X npd có thể nhận các giá trị sau:

1 - hệ thống thông tin xử lý đồng thời dữ liệu cá nhân của hơn 100.000 chủ thể dữ liệu cá nhân hoặc dữ liệu cá nhân của các chủ thể dữ liệu cá nhân trong một thực thể cấu thành của Liên bang Nga hoặc toàn bộ Liên bang Nga;

2 - hệ thống thông tin xử lý đồng thời dữ liệu cá nhân từ 1.000 đến 100.000 chủ thể dữ liệu cá nhân hoặc dữ liệu cá nhân của các chủ thể dữ liệu cá nhân làm việc trong khu vực kinh tế của Liên bang Nga, trong cơ quan chính phủ, sống trong phạm vi đô thị;

3 - hệ thống thông tin xử lý đồng thời dữ liệu của dưới 1000 chủ thể dữ liệu cá nhân hoặc dữ liệu cá nhân của chủ thể dữ liệu cá nhân trong một tổ chức cụ thể.

8. Theo đặc điểm bảo mật của dữ liệu cá nhân được xử lý trong hệ thống thông tin do nhà điều hành chỉ định, hệ thống thông tin được chia thành hệ thống thông tin tiêu chuẩn và hệ thống thông tin đặc biệt.

Hệ thống thông tin điển hình là hệ thống thông tin chỉ yêu cầu đảm bảo tính bảo mật của dữ liệu cá nhân.

Hệ thống thông tin đặc biệt là hệ thống thông tin trong đó, bất kể nhu cầu đảm bảo tính bảo mật của dữ liệu cá nhân, cần phải đảm bảo ít nhất một trong các đặc điểm bảo mật của dữ liệu cá nhân ngoài tính bảo mật (bảo mật khỏi bị phá hủy, sửa đổi, chặn, v.v.) như các hành động trái phép khác).

Hệ thống thông tin đặc biệt nên bao gồm:

hệ thống thông tin trong đó dữ liệu cá nhân liên quan đến tình trạng sức khỏe của chủ thể dữ liệu cá nhân được xử lý;

hệ thống thông tin cung cấp việc áp dụng, chỉ dựa trên việc xử lý tự động dữ liệu cá nhân, các quyết định làm phát sinh hậu quả pháp lý liên quan đến chủ thể dữ liệu cá nhân hoặc ảnh hưởng đến quyền và lợi ích hợp pháp của anh ta.

9. Theo cấu trúc, hệ thống thông tin được chia thành:

đối với các tổ hợp phần cứng và phần mềm tự trị (không được kết nối với các hệ thống thông tin khác) được thiết kế để xử lý dữ liệu cá nhân (máy trạm tự động);

đến các tổ hợp máy trạm tự động được tích hợp vào một hệ thống thông tin duy nhất bằng phương tiện liên lạc mà không sử dụng công nghệ truy cập từ xa (hệ thống thông tin cục bộ);

đến các tổ hợp máy trạm tự động và (hoặc) hệ thống thông tin cục bộ, được kết hợp thành một hệ thống thông tin duy nhất bằng phương tiện liên lạc sử dụng công nghệ truy cập từ xa (hệ thống thông tin phân tán).

10. Căn cứ vào sự hiện diện của kết nối với mạng truyền thông công cộng và (hoặc) mạng trao đổi thông tin quốc tế, hệ thống thông tin được chia thành hệ thống có kết nối và hệ thống không có kết nối.

11. Theo phương thức xử lý dữ liệu cá nhân trong hệ thống thông tin, hệ thống thông tin được chia thành một người dùng và nhiều người dùng.

12. Căn cứ vào việc phân định quyền truy cập của người sử dụng, hệ thống thông tin được chia thành hệ thống không phân định quyền truy cập và hệ thống có phân định quyền truy cập.

13. Hệ thống thông tin tùy theo vị trí của phương tiện kỹ thuật được chia thành các hệ thống, tất cả đều phương tiện kỹ thuậtđược đặt tại Liên bang Nga và các hệ thống có phương tiện kỹ thuật nằm một phần hoặc toàn bộ bên ngoài Liên bang Nga.

14. Căn cứ vào kết quả phân tích dữ liệu nguồn, hệ thống thông tin điển hình được phân loại một trong các loại sau:

loại 1 (K1) - hệ thống thông tin vi phạm các đặc điểm bảo mật cụ thể của dữ liệu cá nhân được xử lý trong đó có thể dẫn đến hậu quả tiêu cực đáng kể cho chủ thể của dữ liệu cá nhân;

loại 2 (K2) - hệ thống thông tin vi phạm các đặc điểm bảo mật cụ thể của dữ liệu cá nhân được xử lý trong đó có thể dẫn đến hậu quả tiêu cực cho chủ thể của dữ liệu cá nhân;

loại 3 (K3) - hệ thống thông tin vi phạm các đặc điểm bảo mật cụ thể của dữ liệu cá nhân được xử lý trong đó có thể dẫn đến hậu quả tiêu cực nhỏ cho chủ thể của dữ liệu cá nhân;

loại 4 (K4) - hệ thống thông tin vi phạm các đặc điểm bảo mật cụ thể của dữ liệu cá nhân được xử lý trong đó không dẫn đến hậu quả tiêu cực cho chủ thể của dữ liệu cá nhân.

15. Phân loại hệ thống thông tin điển hình được xác định theo bảng.

16. Dựa trên kết quả phân tích dữ liệu nguồn, loại hệ thống thông tin đặc biệt được xác định trên cơ sở mô hình các mối đe dọa đối với an toàn dữ liệu cá nhân theo các tài liệu phương pháp được xây dựng theo khoản 2 của Nghị định của Chính phủ Liên bang Nga ngày 17 tháng 11 năm 2007 N 781 “Về việc phê duyệt Quy định đảm bảo an toàn dữ liệu cá nhân khi xử lý trong hệ thống thông tin dữ liệu cá nhân"3.

17. Nếu các hệ thống con được xác định trong một hệ thống thông tin, mỗi hệ thống con là một hệ thống thông tin thì toàn bộ hệ thống thông tin đó sẽ được gán một lớp tương ứng nhất. cao cấp các hệ thống con có trong đó.

18. Kết quả phân loại hệ thống thông tin được ghi vào văn bản tương ứng của người vận hành.

19. Phân loại hệ thống thông tin có thể được sửa đổi:

theo quyết định của nhà điều hành dựa trên phân tích và đánh giá các mối đe dọa đối với tính bảo mật của dữ liệu cá nhân, có tính đến các đặc điểm và (hoặc) những thay đổi của một hệ thống thông tin cụ thể;

dựa trên kết quả của các biện pháp giám sát việc tuân thủ các yêu cầu đảm bảo an toàn cho dữ liệu cá nhân trong quá trình xử lý chúng trong hệ thống thông tin.

1Đoạn một trong đoạn 1 của Quy định về đảm bảo an toàn dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân trong hệ thống thông tin dữ liệu cá nhân, được phê duyệt bởi Nghị định của Chính phủ Liên bang Nga ngày 17 tháng 11 năm 2007.

N 781 (Bộ sưu tập pháp luật Liên bang Nga, 2007, N 48, phần II,

2Khoản một khoản 6 Quy chế.

3Luật sưu tầm của Liên bang Nga 2007, N 48, phần II,Nghệ thuật. 6001.