Predpisy o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov, schválené vládou Ruskej federácie zo 17. novembra 2007 N 781 „O schválení nariadení o zaistení bezpečnosti osobných údajov pri ich spracúvaní v osobných údajoch dátové informačné systémy “(Zhromaždené právne predpisy Ruskej federácie, 2007, N 48, časť II, článok 6001), objednávame:
Schváliť priložený Postup klasifikácie informačných systémov o osobných údajoch.
Riaditeľ
Federálna služba
na technickom
a kontrolu vývozu
S. I. GRIGOROV
Riaditeľ
Federálna bezpečnostná služba
Ruská federácia
N.P. PATRUSHEV
Minister
informačné technológie a komunikácie
Ruská federácia
L. D. REYMAN
SCHVÁLENÉ
Na objednávku
FSTEC Ruska,
FSB Ruska,
Ministerstvo informácií a komunikácie Ruska
zo dňa 13. februára 2008 N 55/86/20
OBJEDNAŤ
VEDENIE KLASIFIKÁCIE INFORMAČNÝCH SYSTÉMOV OSOBNÝCH ÚDAJOV
1. Tento postup určuje klasifikáciu informačných systémov o osobných údajoch, ktoré sú zbierkou osobných údajov obsiahnutých v databázach, ako aj informačné technológie a technické prostriedky, ktoré umožňujú spracúvanie týchto osobných údajov pomocou nástrojov automatizácie (ďalej len - informačné systémy)<*>.
2. Klasifikáciu informačných systémov vykonávajú štátne orgány, obecné orgány, právnické osoby a fyzické osoby, ktoré organizujú a (alebo) vykonávajú spracovanie osobných údajov, ako aj určujú účely a obsah spracúvania osobných údajov (ďalej len „orgány“). uvádzaný ako prevádzkovateľ)<*>.
<*>Prvý odsek článku 6 Nariadení.
3. Klasifikácia informačných systémov sa vykonáva vo fáze vytvárania informačných systémov alebo počas ich prevádzky (pre predtým uvedené do prevádzky a (alebo) modernizované informačné systémy) s cieľom stanoviť metódy a metódy na ochranu informácií potrebných na zaistenie bezpečnosti. osobných údajov.
4. Klasifikácia informačných systémov zahŕňa tieto fázy:
zber a analýza počiatočných údajov o informačnom systéme;
priradenie vhodnej triedy k informačnému systému a jeho dokumentácii.
5. Pri klasifikácii informačného systému sa berú do úvahy nasledujúce počiatočné údaje:
objem spracúvaných osobných údajov (počet subjektov osobných údajov, ktorých osobné údaje sú spracúvané v informačnom systéme) - X_npd;
bezpečnostné charakteristiky osobných údajov spracúvaných v informačnom systéme nastavenom prevádzkovateľom;
štruktúra informačného systému;
dostupnosť prepojení informačného systému na verejné komunikačné siete a (alebo) siete medzinárodnej výmeny informácií;
režim spracovania osobných údajov;
spôsob diferenciácie prístupových práv pre užívateľov informačného systému;
umiestnenie technických prostriedkov informačného systému.
6. Stanovujú sa nasledujúce kategórie osobných údajov spracúvaných v informačnom systéme (X_pd):
7. X_npd môže mať nasledujúce hodnoty:
1 - informačný systém súčasne spracúva osobné údaje viac ako 100 000 dotknutých osôb alebo osobné údaje dotknutých osôb v rámci zakladajúceho subjektu Ruskej federácie alebo Ruskej federácie ako celku;
2 - informačný systém súčasne spracúva osobné údaje od 1 000 do 100 000 dotknutých osôb alebo osobné údaje dotknutých osôb pracujúcich v odvetví hospodárstva Ruskej federácie vo verejnom orgáne so sídlom v obci;
3 - informačný systém súčasne spracúva údaje o menej ako 1 000 dotknutých osobných údajoch alebo osobné údaje dotknutých osôb v rámci konkrétnej organizácie.
8. Podľa bezpečnostných charakteristík osobných údajov spracúvaných v informačnom systéme uvedenom prevádzkovateľom sa informačné systémy delia na štandardné a špeciálne informačné systémy.
Typickými informačnými systémami sú informačné systémy, v ktorých sa vyžaduje iba dôvernosť osobných údajov.
Špeciálne informačné systémy by mali zahŕňať:
informačné systémy, v ktorých sa spracúvajú osobné údaje o zdravotnom stave subjektov osobných údajov;
informačné systémy, ktoré zabezpečujú prijatie rozhodnutí, ktoré generujú právne dôsledky vo vzťahu k subjektu osobných údajov alebo inak zasahujúce do jeho práv a oprávnených záujmov, na základe výlučne automatizovaného spracúvania osobných údajov.
9. Informačné systémy sú podľa štruktúry rozdelené na:
pre autonómne (neprepojené s inými informačnými systémami) komplexy hardvéru a softvéru určené na spracovanie osobných údajov (automatizované pracovné stanice);
v prípade komplexov automatizovaných pracovných staníc spojených do jedného informačného systému prostredníctvom komunikačných prostriedkov bez použitia technológie vzdialeného prístupu (miestne informačné systémy);
o komplexoch automatizovaných pracovných staníc a (alebo) lokálnych informačných systémov, spojených do jedného informačného systému prostredníctvom komunikácie pomocou technológie vzdialeného prístupu (distribuované informačné systémy).
10. Podľa dostupnosti prepojení na verejné komunikačné siete a (alebo) siete medzinárodnej výmeny informácií sa informačné systémy delia na systémy s prepojeniami a systémy bez prepojení.
11. Podľa spôsobu spracúvania osobných údajov v informačnom systéme sa informačné systémy delia na jedného používateľa a viac používateľov.
12. Rozlišovaním prístupových práv užívateľov sú informačné systémy rozdelené na systémy bez diferenciácie prístupových práv a systémy s diferenciáciou prístupových práv.
13. Informačné systémy sú v závislosti od umiestnenia svojich technických prostriedkov rozdelené na systémy, ktorých všetky technické prostriedky sa nachádzajú v Ruskej federácii, a systémy, ktorých technické prostriedky sú čiastočne alebo úplne mimo Ruskej federácie.
14. Na základe výsledkov analýzy počiatočných údajov je typickému informačnému systému priradená jedna z nasledujúcich tried:
trieda 1 (K1) - informačné systémy, u ktorých porušenie uvedených bezpečnostných charakteristík osobných údajov, ktoré sú v nich spracúvané, môže viesť k významným negatívnym dôsledkom pre subjekty osobných údajov;
trieda 2 (K2) - informačné systémy, pre ktoré porušenie danej bezpečnostnej charakteristiky osobných údajov, ktoré sú v nich spracúvané, môže viesť k negatívnym dôsledkom pre subjekty osobných údajov;
trieda 3 (K3) - informačné systémy, pre ktoré porušenie uvedených bezpečnostných charakteristík osobných údajov, ktoré sú v nich spracúvané, môže viesť k menším negatívnym dôsledkom pre subjekty osobných údajov;
trieda 4 (K4) - informačné systémy, pre ktoré porušenie uvedených bezpečnostných charakteristík osobných údajov, ktoré sú v nich spracúvané, nevedie k negatívnym dôsledkom pre subjekty osobných údajov. Doložka 2 dekrétu vlády Ruskej federácie z novembra 17, 2007 N 781 „O schválení nariadenia o zaistení bezpečnosti osobných údajov počas ich spracúvania v informačných systémoch osobných údajov“<*>.
<*>Zhromaždené právne predpisy Ruskej federácie, 2007, N 48, časť II, čl. 6001.
17. V prípade oddelenia subsystémov v informačnom systéme, z ktorých každý je informačným systémom, je informačnému systému ako celku priradená trieda zodpovedajúca najvyššej triede v ňom zahrnutých subsystémov.
18. Výsledky klasifikácie informačných systémov sú formalizované príslušným aktom prevádzkovateľa.
19. Triedu informačného systému je možné revidovať:
na základe rozhodnutia prevádzkovateľa na základe jeho analýzy a posúdenia hrozieb pre bezpečnosť osobných údajov s prihliadnutím na vlastnosti a (alebo) zmeny v konkrétnom informačnom systéme;
na základe výsledkov opatrení na monitorovanie dodržiavania požiadaviek na zaistenie bezpečnosti osobných údajov počas ich spracúvania v informačnom systéme.
SPOLOČNÁ TECHNICKÁ A VÝVOZNÁ KONTROLNÁ SLUŽBA
FEDERÁLNA BEZPEČNOSTNÁ SLUŽBA RUSKEJ FEDERÁCIE
MINISTERSTVO KOMUNIKÁCIÍ A Hromadných komunikácií RUSKEJ FEDERÁCIE
OBJEDNAŤ
zo dňa 31. decembra 2013 N 151/786/461
Zrušujúce rozhodnutie Federálnej služby pre technickú a exportnú kontrolu, Federálnej bezpečnostnej služby Ruskej federácie a Ministerstva informačných technológií a komunikácií Ruskej federácie zo 13. februára 2008, N 55/86/20 «O schválení klasifikácie informácií systémy osobných údajov “
V súvislosti so zneplatnením výnosu vlády Ruskej federácie zo 17. novembra 2007 N 781 „O schválení nariadenia o zaistení bezpečnosti osobných údajov pri ich spracovaní v informačných systémoch osobných údajov“ (Zhromaždené právne predpisy Ruskej federácie) Federácia, 2007, N 48, článok 6001) OBJEDNÁVKA:
zrušiť platnosť objednávky Federálnej služby pre technickú a exportnú kontrolu, Federálnej bezpečnostnej služby Ruskej federácie a Ministerstva informačných technológií a komunikácií Ruskej federácie z 13. februára 2008 N 55/86/20 „O schválení postupu pre klasifikáciu informačných systémov o osobných údajoch “(zaregistrované Ministerstvom spravodlivosti Ruskej federácie 3. apríla 2008, registrácia N 11462).
Riaditeľ
Federálna služba pre technické záležitosti
a kontrolu vývozu
Riaditeľ
Federálna bezpečnostná služba
Ruská federácia
A. BORTNIKOV
komunikácie a masovej komunikácie
Ruská federácia
Registrácia N 11462
V súlade s článkom 6 nariadenia o zaistení bezpečnosti osobných údajov počas ich spracúvania v informačných systémoch osobných údajov schváleným vládou Ruskej federácie zo 17. novembra 2007 N 781 „O schválení nariadenia o zaistení bezpečnosti osobné údaje počas ich spracúvania v informačných systémoch osobných údajov “(Zhromaždené právne predpisy Ruskej federácie, 2007, N 48, časť II, článok 6001), objednávame:
Schváliť priložený Postup klasifikácie informačných systémov o osobných údajoch.
Riaditeľ
Federálna služba
pre technickú a exportnú kontrolu
S. Grigorov
Riaditeľ Federálnej bezpečnostnej služby
Ruská federácia
N. Patrušev
Minister informačných technológií a komunikácií Ruskej federácie
L. Reiman
Postup klasifikácie informačných systémov o osobných údajoch
1. Tento postup určuje klasifikáciu informačných systémov o osobných údajoch, ktoré sú zbierkou osobných údajov obsiahnutých v databázach, ako aj informačné technológie a technické prostriedky, ktoré umožňujú spracúvanie týchto osobných údajov pomocou nástrojov automatizácie (ďalej len informačné systémy) ) 1.
2. Klasifikáciu informačných systémov vykonávajú štátne orgány, obecné orgány, právnické osoby a fyzické osoby, ktoré organizujú a (alebo) vykonávajú spracovanie osobných údajov, ako aj určujú účely a obsah spracúvania osobných údajov (ďalej len „orgány“). (ďalej len „prevádzkovateľ“) 2.
3. Klasifikácia informačných systémov sa vykonáva vo fáze vytvárania informačných systémov alebo počas ich prevádzky (pre predtým uvedené do prevádzky a (alebo) modernizované informačné systémy) s cieľom stanoviť metódy a metódy na ochranu informácií potrebných na zaistenie bezpečnosti. osobných údajov.
4. Klasifikácia informačných systémov zahŕňa tieto fázy:
zber a analýza počiatočných údajov v informačnom systéme:
priradenie vhodnej triedy k informačnému systému a jeho dokumentácii.
5. Pri klasifikácii informačného systému sa berú do úvahy nasledujúce počiatočné údaje:
objem spracúvaných osobných údajov (počet subjektov osobných údajov, ktorých osobné údaje sú spracúvané v informačnom systéme) - X npd;
bezpečnostné charakteristiky osobných údajov spracúvaných v informačnom systéme nastavenom prevádzkovateľom;
štruktúra informačného systému;
dostupnosť prepojení informačného systému na verejné komunikačné siete a (alebo) siete medzinárodnej výmeny informácií;
režim spracovania osobných údajov;
spôsob diferenciácie prístupových práv pre užívateľov informačného systému;
umiestnenie technických prostriedkov informačného systému.
6. Stanovujú sa nasledujúce kategórie osobných údajov spracúvaných v informačnom systéme (X pd):
7. X npd môže mať nasledujúce hodnoty:
1 - informačný systém súčasne spracúva osobné údaje viac ako 100 000 dotknutých osôb alebo osobné údaje dotknutých osôb v rámci zakladajúceho subjektu Ruskej federácie alebo Ruskej federácie ako celku;
2 - informačný systém súčasne spracúva osobné údaje od 1 000 do 100 000 dotknutých osôb alebo osobné údaje dotknutých osôb pracujúcich v hospodárstve Ruskej federácie vo vládnom orgáne so sídlom v obci;
3 - informačný systém súčasne spracúva údaje o menej ako 1 000 dotknutých osobných údajoch alebo osobné údaje dotknutých osôb v rámci konkrétnej organizácie.
8. Podľa bezpečnostných charakteristík osobných údajov spracúvaných v informačnom systéme uvedenom prevádzkovateľom sa informačné systémy delia na štandardné a špeciálne informačné systémy.
Typickými informačnými systémami sú informačné systémy, v ktorých sa vyžaduje iba dôvernosť osobných údajov.
Špeciálne informačné systémy sú informačné systémy, v ktorých sa bez ohľadu na potrebu zaistenia dôvernosti osobných údajov požaduje zaistiť aspoň jednu z bezpečnostných charakteristík osobných údajov, okrem dôvernosti (ochrana pred zničením, zmenou, blokovaním, ako ako aj iné neoprávnené akcie).
Špeciálne informačné systémy by mali zahŕňať:
informačné systémy, v ktorých sa spracúvajú osobné údaje o zdravotnom stave subjektov osobných údajov;
informačné systémy, ktoré zabezpečujú prijatie rozhodnutí, ktoré generujú právne dôsledky vo vzťahu k subjektu osobných údajov alebo inak zasahujúce do jeho práv a oprávnených záujmov, na základe výlučne automatizovaného spracúvania osobných údajov.
9. Informačné systémy sú podľa štruktúry rozdelené na:
pre autonómne (neprepojené s inými informačnými systémami) komplexy hardvéru a softvéru určené na spracovanie osobných údajov (automatizované pracovné stanice);
v prípade komplexov automatizovaných pracovných staníc spojených do jedného informačného systému prostredníctvom komunikačných prostriedkov bez použitia technológie vzdialeného prístupu (miestne informačné systémy);
o komplexoch automatizovaných pracovných staníc a (alebo) lokálnych informačných systémov, spojených do jedného informačného systému prostredníctvom komunikácie pomocou technológie vzdialeného prístupu (distribuované informačné systémy).
10. Podľa dostupnosti prepojení na verejné komunikačné siete a (alebo) siete medzinárodnej výmeny informácií sa informačné systémy delia na systémy s prepojeniami a systémy bez prepojení.
11. Podľa spôsobu spracúvania osobných údajov v informačnom systéme sa informačné systémy delia na jedného používateľa a viac používateľov.
12. Rozlišovaním prístupových práv užívateľov sú informačné systémy rozdelené na systémy bez diferenciácie prístupových práv a systémy s diferenciáciou prístupových práv.
13. Informačné systémy sú v závislosti od umiestnenia svojich technických prostriedkov rozdelené na systémy, ktorých všetky technické prostriedky sú umiestnené v Ruskej federácii, a systémy, ktorých technické prostriedky sú čiastočne alebo úplne mimo Ruskej federácie.
14. Na základe výsledkov analýzy počiatočných údajov je typickému informačnému systému priradená jedna z nasledujúcich tried:
trieda 1 (K1) - informačné systémy, u ktorých porušenie uvedených bezpečnostných charakteristík osobných údajov, ktoré sú v nich spracúvané, môže viesť k významným negatívnym dôsledkom pre subjekty osobných údajov;
trieda 2 (K2) - informačné systémy, pre ktoré porušenie danej bezpečnostnej charakteristiky osobných údajov, ktoré sú v nich spracúvané, môže viesť k negatívnym dôsledkom pre subjekty osobných údajov;
trieda 3 (K3) - informačné systémy, pre ktoré porušenie uvedených bezpečnostných charakteristík osobných údajov, ktoré sú v nich spracúvané, môže viesť k menším negatívnym dôsledkom pre subjekty osobných údajov;
trieda 4 (K4) - informačné systémy, pre ktoré porušenie uvedených bezpečnostných charakteristík osobných údajov, ktoré sú v nich spracúvané, nevedie k negatívnym dôsledkom pre subjekty osobných údajov.
15. Trieda typického informačného systému je stanovená v súlade s tabuľkou.
16. Na základe výsledkov analýzy počiatočných údajov je trieda špeciálneho informačného systému stanovená na základe modelu ohrozenia bezpečnosti osobných údajov v súlade s metodickými dokumentmi vypracovanými v súlade s odsekom 2 písm. vyhláška vlády Ruskej federácie zo 17. novembra 2007 N 781 „O schválení nariadenia o zaistení bezpečnosti osobných údajov počas ich spracovania v informačných systémoch osobných údajov“ 3.
17. V prípade oddelenia subsystémov v informačnom systéme, z ktorých každý je informačným systémom, je informačnému systému ako celku priradená trieda zodpovedajúca najvyššej triede v ňom zahrnutých subsystémov.
18. Výsledky klasifikácie informačných systémov sú formalizované príslušným aktom prevádzkovateľa.
19. Triedu informačného systému je možné revidovať:
na základe rozhodnutia prevádzkovateľa na základe jeho analýzy a posúdenia hrozieb pre bezpečnosť osobných údajov s prihliadnutím na vlastnosti a (alebo) zmeny v konkrétnom informačnom systéme;
na základe výsledkov opatrení na monitorovanie dodržiavania požiadaviek na zaistenie bezpečnosti osobných údajov počas ich spracúvania v informačnom systéme.
1 Odsek jeden z bodu 1 nariadenia o zaistení bezpečnosti osobných údajov počas ich spracúvania v informačných systémoch osobných údajov, schválených vládou Ruskej federácie zo 17. novembra 2007 č.
Č. 781 (Zhromaždené právne predpisy Ruskej federácie, 2007, č. 48, časť II,
2 Odsek jeden z ustanovenia 6 nariadenia.
3 Zhromaždené právne predpisy Ruskej federácie 2007, N 48, časť II,Čl. 6001.
Vyhláška Federálnej služby pre technickú a exportnú kontrolu, Federálnej bezpečnostnej služby Ruskej federácie a Ministerstva informačných technológií a komunikácií Ruskej federácie
zo dňa 13. februára 2008 N 55/86/20
„O schválení postupu klasifikácie informačných systémov o osobných údajoch“
V súlade s článkom 6 nariadenia o zaistení bezpečnosti osobných údajov počas ich spracúvania v informačných systémoch osobných údajov schváleným vládou Ruskej federácie zo 17. novembra 2007 N 781 „O schválení nariadenia o zaistení bezpečnosti osobné údaje počas ich spracúvania v informačných systémoch osobných údajov “(Zhromaždené právne predpisy Ruskej federácie, 2007, č. 48, časť II, článok 6001), objednávame:
Schváliť v prílohe objednať klasifikácia informačných systémov o osobných údajoch.
Registrácia N 11462
objednať
klasifikácia informačných systémov o osobných údajoch
1. Tento postup určuje klasifikáciu informačných systémov o osobných údajoch, ktoré sú zbierkou osobných údajov obsiahnutých v databázach, ako aj informačné technológie a technické prostriedky, ktoré umožňujú spracúvanie týchto osobných údajov pomocou nástrojov automatizácie (ďalej len - informačné systémy) * .
2. Klasifikáciu informačných systémov vykonávajú štátne orgány, obecné orgány, právnické osoby a fyzické osoby, ktoré organizujú a (alebo) vykonávajú spracovanie osobných údajov, ako aj určujú účely a obsah spracúvania osobných údajov (ďalej len „orgány“). uvádzaný ako prevádzkovateľ) ** .
3. Klasifikácia informačných systémov sa vykonáva vo fáze vytvárania informačných systémov alebo počas ich prevádzky (pre predtým uvedené do prevádzky a (alebo) modernizované informačné systémy) s cieľom stanoviť metódy a metódy na ochranu informácií potrebných na zaistenie bezpečnosti. osobných údajov.
4. Klasifikácia informačných systémov zahŕňa tieto fázy:
zber a analýza počiatočných údajov v informačnom systéme:
priradenie vhodnej triedy k informačnému systému a jeho dokumentácii.
5. Pri klasifikácii informačného systému sa berú do úvahy nasledujúce počiatočné údaje:
objem spracúvaných osobných údajov (počet subjektov osobných údajov, ktorých osobné údaje sú spracúvané v informačnom systéme) -;
bezpečnostné charakteristiky osobných údajov spracúvaných v informačnom systéme nastavenom prevádzkovateľom;
štruktúra informačného systému;
dostupnosť prepojení informačného systému na verejné komunikačné siete a (alebo) siete medzinárodnej výmeny informácií;
režim spracovania osobných údajov;
spôsob diferenciácie prístupových práv pre užívateľov informačného systému;
umiestnenie technických prostriedkov informačného systému.
6. Stanovujú sa nasledujúce kategórie osobných údajov spracúvaných v informačnom systéme:
7. môže mať nasledujúce hodnoty:
1 - informačný systém súčasne spracúva osobné údaje viac ako 100 000 dotknutých osôb alebo osobné údaje dotknutých osôb v rámci zakladajúceho subjektu Ruskej federácie alebo Ruskej federácie ako celku;
2 - informačný systém súčasne spracúva osobné údaje od 1 000 do 100 000 dotknutých osôb alebo osobné údaje dotknutých osôb pracujúcich v odvetví hospodárstva Ruskej federácie vo verejnom orgáne so sídlom v obci;
3 - informačný systém súčasne spracúva údaje o menej ako 1 000 dotknutých osobných údajoch alebo osobné údaje dotknutých osôb v rámci konkrétnej organizácie.
8. Podľa bezpečnostných charakteristík osobných údajov spracúvaných v informačnom systéme uvedenom prevádzkovateľom sa informačné systémy delia na štandardné a špeciálne informačné systémy.
Typickými informačnými systémami sú informačné systémy, v ktorých sa vyžaduje iba dôvernosť osobných údajov.
Špeciálne informačné systémy sú informačné systémy, v ktorých sa bez ohľadu na potrebu zaistenia dôvernosti osobných údajov požaduje zaistiť aspoň jednu z bezpečnostných charakteristík osobných údajov, okrem dôvernosti (ochrana pred zničením, zmenou, blokovaním, ako ako aj iné neoprávnené akcie).
Špeciálne informačné systémy by mali zahŕňať:
informačné systémy, v ktorých sa spracúvajú osobné údaje o zdravotnom stave subjektov osobných údajov;
informačné systémy, ktoré zabezpečujú prijatie rozhodnutí, ktoré generujú právne dôsledky vo vzťahu k subjektu osobných údajov alebo inak zasahujúce do jeho práv a oprávnených záujmov, na základe výlučne automatizovaného spracúvania osobných údajov.
9. Informačné systémy sú podľa štruktúry rozdelené na:
pre autonómne (neprepojené s inými informačnými systémami) komplexy hardvéru a softvéru určené na spracovanie osobných údajov (automatizované pracovné stanice);
v prípade komplexov automatizovaných pracovných staníc spojených do jedného informačného systému prostredníctvom komunikačných prostriedkov bez použitia technológie vzdialeného prístupu (miestne informačné systémy);
o komplexoch automatizovaných pracovných staníc a (alebo) lokálnych informačných systémov, spojených do jedného informačného systému prostredníctvom komunikácie pomocou technológie vzdialeného prístupu (distribuované informačné systémy).
10. Podľa dostupnosti prepojení na verejné komunikačné siete a (alebo) siete medzinárodnej výmeny informácií sa informačné systémy delia na systémy s prepojeniami a systémy bez prepojení.
11. Podľa spôsobu spracúvania osobných údajov v informačnom systéme sa informačné systémy delia na jedného používateľa a viac používateľov.
12. Rozlišovaním prístupových práv užívateľov sú informačné systémy rozdelené na systémy bez diferenciácie prístupových práv a systémy s diferenciáciou prístupových práv.
13. Informačné systémy sú v závislosti od umiestnenia svojich technických prostriedkov rozdelené na systémy, ktorých všetky technické prostriedky sú umiestnené v Ruskej federácii, a systémy, ktorých technické prostriedky sú čiastočne alebo úplne mimo Ruskej federácie.
14. Na základe výsledkov analýzy počiatočných údajov je typickému informačnému systému priradená jedna z nasledujúcich tried:
trieda 1 (K1) - informačné systémy, u ktorých porušenie uvedených bezpečnostných charakteristík osobných údajov, ktoré sú v nich spracúvané, môže viesť k významným negatívnym dôsledkom pre subjekty osobných údajov;
trieda 2 (K2) - informačné systémy, pre ktoré porušenie danej bezpečnostnej charakteristiky osobných údajov, ktoré sú v nich spracúvané, môže viesť k negatívnym dôsledkom pre subjekty osobných údajov;
trieda 3 (K3) - informačné systémy, pre ktoré porušenie uvedených bezpečnostných charakteristík osobných údajov, ktoré sú v nich spracúvané, môže viesť k menším negatívnym dôsledkom pre subjekty osobných údajov;
trieda 4 (K4) - informačné systémy, pre ktoré porušenie uvedených bezpečnostných charakteristík osobných údajov, ktoré sú v nich spracúvané, nevedie k negatívnym dôsledkom pre subjekty osobných údajov.
15. Trieda typického informačného systému je stanovená v súlade s tabuľkou.
┌──────────────────────────┬──────────────┬──────────────┬──────────────┐
│ Х_нпд│ 3 │ 2 │ 1 │
│ \ │ │ │ │
│Х_пд │ │ │ │
├──────────────────────────┼──────────────┼──────────────┼──────────────┤
├──────────────────────────┼──────────────┼──────────────┼──────────────┤
├──────────────────────────┼──────────────┼──────────────┼──────────────┤
└──────────────────────────┴──────────────┴──────────────┴──────────────┘
16. Na základe výsledkov analýzy počiatočných údajov je trieda špeciálneho informačného systému stanovená na základe modelu ohrozenia bezpečnosti osobných údajov v súlade s metodickými dokumentmi vypracovanými v súlade s odsekom 2 písm. Vyhláška vlády Ruskej federácie zo 17. novembra 2007 N 781 „O schválení nariadenia o zaistení bezpečnosti osobných údajov počas ich spracúvania v informačných systémoch osobných údajov“ *** .
17. V prípade oddelenia subsystémov v informačnom systéme, z ktorých každý je informačným systémom, je informačnému systému ako celku priradená trieda zodpovedajúca najvyššej triede v ňom zahrnutých subsystémov.
18. Výsledky klasifikácie informačných systémov sú formalizované príslušným aktom prevádzkovateľa.
19. Triedu informačného systému je možné revidovať:
na základe rozhodnutia prevádzkovateľa na základe jeho analýzy a posúdenia hrozieb pre bezpečnosť osobných údajov s prihliadnutím na vlastnosti a (alebo) zmeny v konkrétnom informačnom systéme;
na základe výsledkov opatrení na monitorovanie dodržiavania požiadaviek na zaistenie bezpečnosti osobných údajov počas ich spracúvania v informačnom systéme.
______________________________
* Odsek jeden z ustanovenia 1 nariadenia o zaistení bezpečnosti osobných údajov počas ich spracúvania v informačných systémoch osobných údajov, schválené vládou Ruskej federácie zo 17. novembra 2007 N 781 (Zhromaždené právne predpisy Ruskej federácie, 2007, N 48, časť II, článok 6001) (ďalej len nariadenie).
20 86 ...
Všeobecný plán vidieckych materiálov Voronskoye na zdôvodnenie projektu časť 1 popis odôvodnení
DokumentPOZÍCIA 13 2. PRÍRODNÉ PODMIENKY 13 3. Klíma. 13 4. ... vzdelávanie 86 20 ... Všeobecné vzdelanie 86 21 ..., tisíc rubľov 2008 r... 2009 2009 / 2008 r.,% 2010 ... dedina Aleksandrovo N5520 RES 0,8, obec Konyukhovo N56 20 RES 0, ... v Ruskej federácii “ od 6 Február 2003 č. ...
Publikovanie 86 noviny noviny ... kongres. Dokument N55
Klasifikácia ISPD sa vykonáva vo fáze jeho vytvorenia alebo počas prevádzky, je však povinná pred vytvorením ISPD. Vo všeobecnosti všetky Informačné systémy spracovanie osobné údaje sú rozdelené do 2 trieda v závislosti o bezpečnostných charakteristikách spracúvaných údajov:
Typické informačné systémy- systémy, v ktorých sa vyžaduje iba poskytovanie dôvernosť spracúvané osobné údaje.
Špeciálne informačné systémy- systémy, kde sa vyžaduje, aby poskytovali aspoň jednu z bezpečnostných charakteristík iných ako dôvernosť (napríklad integritu alebo dostupnosť). Špeciálne informačné systémy by mali zahŕňať:
- ISPD súvisiace so spracovaním PD o zdravotnom stave subjektov PD;
- ISPD, rozhodovanie výlučne na základe automatizovaného spracovania PD. Prijaté rozhodnutia môžu zároveň mať pre subjekt PD právne následky alebo inak ovplyvniť jeho zákonné práva a záujmy.
Podľa metodiky navrhovanej v objednávke je ISPD klasifikovaný v závislosti od počtu subjektov, ktorých údaje sa spracúvajú, a druhu spracúvaných osobných údajov.
V závislosti od objemu údajov spracovaných v ISPD rozlišuje XNPD nasledujúce kategórie ISPD:
Kategória 1 osobné údaje viac ako 100 000 predmety PD resp osobné údaje subjekty osobných údajov v rámci zakladajúceho subjektu Ruskej federácie alebo Ruskej federácie ako celku;
Kategória 2- v informačnom systéme sú súčasne spracovávané osobné údaje od 1 000 do 100 000 predmety PD resp osobné údaje predmety osobných informácií pracujúce v odvetví hospodárstva Ruskej federácie, vo vládnom orgáne, žijúce v obci;
Kategória 3- v informačnom systéme sú súčasne spracovávané osobné údaje menej ako 1000 predmety PD resp osobné údaje Subjekty PD v rámci konkrétnej organizácie.
Definované sú nasledujúce kategórie osobných údajov spracúvaných v informačnom systéme (HFA):
| KhNPD | Kategória 3 | Kategória 2 | Kategória 1 |
|---|---|---|---|
| HFA | |||
| Kategória 4 | K4 | K4 | K4 |
| Kategória 3 | K3 | K3 | K2 |
| Kategória 2 | K3 | K2 | K1 |
| Kategória 1 | K1 | K1 | K1 |
Zoberme si, čo každá trieda ISPD znamená oddelene:
- trieda 1 (K1)- informačné systémy, u ktorých porušenie uvedených bezpečnostných charakteristík osobných údajov, ktoré sú v nich spracúvané, môže viesť k významným negatívnym dôsledkom pre subjekty PD;
- trieda 2 (K2)- informačné systémy, pre ktoré môže mať porušenie uvedených bezpečnostných charakteristík osobných údajov v nich spracovaných negatívne dôsledky pre subjekty PD;
- trieda 3 (K3)- informačné systémy, u ktorých porušenie uvedených bezpečnostných charakteristík osobných údajov v nich spracovaných môže mať menšie negatívne dôsledky pre subjekty PD;
- trieda 4 (K4)- informačné systémy, pre ktoré porušenie uvedených bezpečnostných charakteristík osobných údajov, ktoré sú v nich spracúvané, nevedie k negatívnym dôsledkom pre subjekty PD.
Za najvyššiu triedu sa považuje 1. Ak je ako súčasť ISPD rozlíšených niekoľko subsystémov, potom trieda ISPD ako celku bude zodpovedať najvyššej triede prichádzajúcich komponentov.
Čím vyššia je trieda ISPD, tým vyššie sú požiadavky na zaistenie bezpečnosti osobných údajov.
Poradie definície triedy pre špeciálne systémy sa trochu líši od typických. Trieda špeciálneho ISPD je stanovená na základe konkrétneho modelu hrozieb pre organizáciu v súlade s metodickými dokumentmi FSTEC. Priradenie informačného systému k špeciálnemu môže výrazne znížiť náklady na vybudovanie systému ochrany údajov, pretože operátor si v tomto prípade môže rozumne zvoliť minimálny počet skutočných hrozieb, od ktorých je potrebná ochrana PD. Ak napríklad systém obsahuje informácie o príjme osoby (napríklad 1C), takýto systém možno klasifikovať ako špeciálny, pretože sú ovplyvnené oprávnené záujmy osoby. To isté platí pre informácie o zdravotnom postihnutí, rase atď. Klasifikácia ISPD ako špeciálneho v praxi je dosť kontroverzný bod.
Trieda ISPD môže byť zrevidovaná.