Informacioni sistemi za lične podatke. Klasifikacioni akt ispdn

ISPD akt o klasifikaciji, po pravilu, jeste povjerljivi dokument, i mora imati pečat povjerljivosti (“Povjerljivo”, “DSP”, “Poslovna tajna”) i broj računa.

Da bi se izvršila klasifikacija u preduzeću, mora se formirati komisija. Komisija mora imati lice odgovorno za zaštitu ličnih podataka. Komisija mora biti imenovana nalogom starješine i obavlja svoje poslove na osnovu Pravilnika o klasifikacionoj komisiji. Prema rezultatima klasifikacije, mora se sastaviti akt. ISPD akt o klasifikaciji mora odobriti predsjednik komisije i potpisati ga svi članovi komisije.

Kako sastaviti akt o klasifikaciji ISPD-a

Za svaki identifikovani ISPD sastavlja se klasifikacijski akt. Na osnovu primljenih podataka utvrđuje se svaki ISPD potreban nivo sigurnost ličnih podataka. Ovo je neophodno kako bi se uspostavili zahtjevi za osiguranje zaštite informacionog sistema ličnih podataka. Utvrđivanje nivoa zaštite ličnih podataka vrši se u skladu sa Uredbom Vlade Ruske Federacije od 1. novembra 2012. godine br. 1119 „O odobravanju zahtjeva za zaštitu ličnih podataka tokom njihove obrade u informacionim sistemima o ličnim podacima ”.

U aktu se navodi:

• lični podaci koji se obrađuju u sistemu;
• količinu ličnih podataka koji se obrađuju;
• tip stvarne prijetnje za ISPD;
• struktura informacionog sistema;
• dostupnost priključaka na komunikacione mreže zajednička upotreba i (ili) mreže međunarodne razmjene informacija;
• način obrade ličnih podataka u sistemu;
• razlikovanje prava pristupa korisnika;
• lokacija ISPD-a;
• PD nivo sigurnosti.

ISPD akt o klasifikaciji može uključivati ​​sisteme u kojima se takvi podaci pohranjuju:

• posebne kategorije ličnih podataka - informacije koje se odnose na rasu, nacionalnost, političke stavove, vjerska ili filozofska uvjerenja, zdravstveno stanje, intimni život subjekata ličnih podataka;
• biometrijski lični podaci - informacije koje karakterišu fiziološke i biološke karakteristike osobe, na osnovu kojih je moguće utvrditi njegov identitet i koje koristi operater za identifikaciju subjekta ličnih podataka;
• javno dostupni lični podaci - informacije dobijene samo iz javno dostupnih izvora ličnih podataka stvorenih u skladu sa članom 8. Federalnog zakona "O ličnim podacima".

Vrlo rijetko postoje sistemi u kojima se obrađuju lični podaci 3. kategorije. To je zbog činjenice da za stvarni zadaci potrebni su ne samo podaci koji identifikuju subjekta (puno ime, podaci iz pasoša), već i dodatne informacije o njemu (na primjer, podaci o plati).

Najčešći informacioni sistemi u kojima se obrađuju lični podaci 2. kategorije. Na primjer, računski sistemi plate zaposlenih.

Obim obrađenih PD određuje broj subjekata čiji se lični podaci obrađuju u sistemu. Primjenjuje se sljedeća gradacija:

• više od 100.000 subjekata PD;
• manje od 100.000 PD subjekata.

Vrste sigurnosnih prijetnji ličnih podataka

Vrsta trenutnih prijetnji ISPD-u:

• pretnje tipa 1 su relevantne za informacioni sistem ako su na njega takođe pogođene pretnje koje se odnose na prisustvo nedokumentovanih (nedeklarisanih) sposobnosti u sistemskom softveru koji se koristi u informacionom sistemu;
• pretnje tipa 2 su relevantne za informacioni sistem ako su na njega takođe pogođene pretnje koje se odnose na prisustvo nedokumentovanih (nedeklarisanih) sposobnosti u aplikativnom softveru koji se koristi u informacionom sistemu;
• Prijetnje tipa 3 su relevantne za informacioni sistem ako je podložan prijetnjama koje nisu povezane sa prisustvom nedokumentiranih (nedeklariranih) sposobnosti u sistemu i aplikativnom softveru koji se koristi u informacionom sistemu.

Po vrsti informacioni sistemi ličnih podataka opisani u ISPD aktu o klasifikaciji dijele se na standardne i posebne. Standardni ISPD – informacioni sistemi u kojima se traži samo povjerljivost PD. Posebni ISPD-ovi su informacioni sistemi u kojima je, pored povjerljivosti, potrebno osigurati barem još jednu karakteristiku sigurnosti ličnih podataka (integritet, dostupnost).

Osim toga, posebni sistemi obuhvataju sve ISPD-ove koji obrađuju podatke o zdravstvenom stanju ispitanika, te ISPD-ove koji omogućavaju donošenje odluka koje stvaraju pravne posljedice za subjekta na osnovu automatizovana obrada.

Većina postojećih ISPD-ova je posebna. To je zbog činjenice da je osim povjerljivosti, važno i da PD uvijek bude dostupan za obradu, potpun i pouzdan. Za sve specijalni sistemi potrebno je razviti “privatni model stvarnih prijetnji”.

Klasifikacija informacionih sistema ličnih podataka po strukturi:

• Autonomno. To je jedan automatizovan radno mjesto(kompjuter).
• Lokalno. Automatizovane radne stanice (AWP), ujedinjene u lokalnu mrežu.
• distribuiran. Automatizovane radne stanice ili lokalne mreže povezani jedni s drugima kroz tehnologiju daljinski pristup.

Prema načinu obrade ličnih podataka u ISPD sistemu dijele se na jednokorisničke i višekorisničke. Jednokorisnički sistemi su rijetkost. Po pravilu, čak i na jednom autonomnom radnom mestu (u slučaju godišnjih odmora i bolesti) rade najmanje dve osobe.

Klasifikacija višekorisničkih ISPD-ova podijeljena je na:

• Bez diferencijacije prava pristupa. U takvim sistemima svi korisnici imaju pristup svim informacijama.
• Sa razgraničenjem prava pristupa. Svaki korisnik ima pristup strogo definisanoj informaciji u sistemu.

Prema lokaciji, ISPD-ovi se dijele na.

informacioni sistemi lične podatke (ISPD) koriste mnoga preduzeća i organizacije u svom radu. Pogledajmo šta je to i koje nijanse moraju uzeti u obzir oni koji rade s ISPD-om.

Šta je ISDN?

Jednostavno rečeno, ISPD informacioni sistem se koristi za čuvanje i obradu ličnih podataka. Uključuje sljedeće komponente:

• Zapravo, ukupnost ličnih podataka pohranjenih u sistemu, u bazi podataka.
• Tehnička sredstva koja se koriste za rad sa ovim podacima.
• Sredstva za automatizaciju procesa računovodstva i obrade informacija pohranjenih u ISPD (možda nije dostupno u svim sistemima).

ISDN je ozbiljan

Prilikom korištenja predmetnih sistema važno je osigurati zaštitu ličnih podataka od neovlaštenog pristupa, gubitka i drugih vanredne situacije. To je naglašeno čak i na zakonodavnom nivou. A kako bi se poduzele savjetodavne mjere za ograničavanje pristupa informacijama i njihova zaštita, provodi se ISPD revizija (za više detalja, na primjer, kontaktirajte stručnjake Rentacloud: http://rentacloud.su/services/zashchita-personalnykh-dannykh /revizija/). Kao rezultat toga, sastavlja se akt koji sadrži sljedeće podatke:

• Kategorija ličnih podataka koji se pohranjuju i obrađuju u anketiranom sistemu.
• Njihova klasa i tip (više o tome u nastavku).
• Parametri i struktura sistema koji se proučava.
• Volume PD (broj zapisa itd.) pohranjene i obrađene u ISPD-u.
• Informacije o lokaciji sistema.
• Informacije o mogućnosti pristupa bazi podataka preko mreža dostupnih za javnu upotrebu (LAN, Internet, itd.).

Revizija se vrši u strogom skladu sa zajedničkim dokumentom koji su pripremili Ministarstvo komunikacija, FSTEC i FSB. Veoma je obimna i zahteva detaljnu studiju. S tim u vezi, revizija sistema i priprema preporuka na kojima će se zasnivati ​​zaštita ISPD-a moraju se povjeriti stručnjacima. Njihove usluge se mogu koristiti, na primjer, kontaktiranjem Rentacloud: (http://rentacloud.su).

Vrste, klase ISPD-a i šta još trebate znati o takvim sistemima

Informacijski sistemi ličnih podataka (PD) podijeljeni su u 4 klase i 2 tipa. Podjela na klase se vrši na osnovu karakteristika kao što su kategorija obrađenih PD i njihov volumen.

Casovi

Ova tabela će vam pomoći da to shvatite:

Objašnjenja za tabelu.

U kategoriju broj 4 spadaju depersonalizovani PD, po kojima je nemoguće identifikovati konkretan subjekt (primer su statistički podaci). Kategorija 3 uključuje lične podatke na osnovu kojih je moguća samo identifikacija osobe (prilično su rijetki). U kategoriju 2 spadaju podaci na osnovu kojih je moguće identifikovati osobu i dobiti neke podatke o njoj. Dodatne informacije(primjer – platni sistemi u organizacijama i preduzećima). U prvu kategoriju spadaju podaci koji sadrže podatke o nacionalnosti, zdravstvenom stanju i druge socijalne informacije, te informacije drugačije prirode (npr. baze podataka zdravstvenih ustanova).

Što se tiče klasa navedenih u tabeli, dodjela ISDN-a njima se vrši na osnovu moguće štete na subjektima u slučaju kršenja sigurnosnih uvjeta:

• Cl 4. Bilo kakve negativne posljedice po subjekt su isključene.
• Cl 3. Mogu se javiti manji štetni efekti.
• Cl 2. Nastanak takvih posljedica.
• Cl 1. Moguće su vrlo ozbiljne negativne posljedice.

Vrste ISPD-a

Prvi tip uključuje sisteme u kojima se ISPD zaštitne funkcije svode samo na postizanje potrebnih pokazatelja njegove povjerljivosti. Ako, pored povjerljivosti, postoji potreba da se osigura barem jedan dodatni sigurnosni indikator (autentičnost, dostupnost, integritet podataka, itd.), mi pričamo o drugoj vrsti.

Vrijedi napomenuti da je većina sistema koji se danas koriste pripada drugoj vrsti.

Može se vidjeti da je razvoj ISPD-a, njihova klasifikacija i obezbjeđivanje pouzdanih, efikasnu zaštitu su veoma složeni i višestruki procesi. A kako biste izbjegli greške, preporučljivo je to povjeriti stručnjacima. Da biste to učinili, možete kontaktirati, na primjer, kompaniju "Rentacloud", koja zauzima jednu od vodećih pozicija na ovom tržištu.

"Javne organizacije: računovodstvo i oporezivanje", 2009, N 12

Od 1. januara 2010. godine informacioni sistemi ličnih podataka u svim organizacijama, uključujući i budžetske institucije, moraju biti usklađeni sa zahtjevima Zakona „O ličnim podacima“<1>. Uz ovaj zakon donesen je niz podzakonskih akata, zbog čega postoje različita tumačenja dužnosti državnih i opštinskih institucija u odnosu na informacione sisteme kojima raspolažu. Ovaj članak analizira odredbe važećeg zakonodavstva i ističe zahtjeve koji moraju biti ispunjeni.

<1>Savezni zakon br. 152-FZ od 27. jula 2006.

Prema čl. 1. Zakona "o ličnim podacima", ovim saveznim zakonom uređuju se odnosi u vezi sa obradom ličnih podataka koju sprovode savezni državni organi, državni organi subjekata. Ruska Federacija, drugi državnim organima, organi lokalne samouprave, koji nisu uključeni u sistem organa lokalne samouprave, opštinski organi, pravni i pojedinci uz korištenje alata za automatizaciju ili bez upotrebe takvih alata, ako obrada osobnih podataka bez upotrebe takvih alata odgovara prirodi radnji (operacija) koje se obavljaju s osobnim podacima pomoću alata za automatizaciju.

Takva pažnja na pitanja automatizacije obrade ličnih podataka povlači za sobom potrebu poštovanja posebnog zakonodavstva u pogledu korištenja informacione tehnologije. Istovremeno, potrebno je pažljivo proučiti regulatorni okvir, koji se u ovom trenutku može vrlo dvosmisleno tumačiti, posebno u smislu predstavljanja zahtjeva za informacione sisteme.

Koncept "informacionog sistema" u važećem zakonodavstvu

U skladu sa Federalnim zakonom "O informacijama, informacionim tehnologijama i zaštiti informacija"<2> Informacioni sistem- skup informacija sadržanih u bazama podataka i informacionim tehnologijama koje obezbeđuju njihovu obradu i tehnička sredstva. Na osnovu ove definicije možemo zaključiti da nema informacionih sistema bez upotrebe kompjuterska tehnologija i odgovarajući softvera.

<2>Savezni zakon br. 149-FZ od 27. jula 2006.

Međutim, u čl. 3 Zakona „O ličnim podacima“ daje širu definiciju informacioni sistem: ovo je skup ličnih podataka sadržanih u bazi podataka, kao i informacionih tehnologija i tehničkih sredstava koja omogućavaju obradu takvih ličnih podataka uz korištenje alata za automatizaciju ili bez upotrebe takvih alata.

Hajde da analiziramo komponente ove definicije, čije se definicije mogu naći u Federalnom zakonu "O informacijama, informacionim tehnologijama i zaštiti informacija", drugim zakonima i propisima Vlade Ruske Federacije.

Ispod baza podataka se shvata kao skup organizovanih međusobno povezanih podataka na mašinski čitljivim medijima (Privremeni propis o državnom računovodstvu i registraciji baza podataka i banaka podataka<3>). Međutim, u četvrtom dijelu Građanskog zakonika Ruske Federacije (stav 2, klauzula 2, član 1260), data je detaljnija definicija Baza podataka: ovo je skup nezavisnih materijala predstavljenih u objektivnom obliku (članci, proračuni, propisi, presude i drugi slični materijali) sistematizovani na način da se ovi materijali mogu pronaći i obraditi elektronskim putem kompjuter(KOMPJUTER).

<3>Odobreno Uredbom Vlade Ruske Federacije od 28. februara 1996. N 226.

informacione tehnologije- procesi, metode pretraživanja, prikupljanja, skladištenja, obrade, davanja, širenja informacija i metode za implementaciju tih procesa i metoda (Savezni zakon „O informacijama, informacionim tehnologijama i zaštiti informacija“).

Ispod tehnička sredstva koji omogućavaju obradu ličnih podataka shvataju se kao sredstva računarska nauka, informacioni i računarski kompleksi i mreže, sredstva i sistemi za prenos, prijem i obradu ličnih podataka (sredstva i sistemi za snimanje zvuka, pojačanje zvuka, reprodukciju zvuka, pregovaranje i televizijskih uređaja, sredstva za proizvodnju, umnožavanje dokumenata i druga tehnička sredstva za obradu govornih, grafičkih, video i alfanumeričkih informacija), softverski alati ( OS, sistemi za upravljanje bazama podataka i dr.), alati za sigurnost informacija koji se koriste u informacionim sistemima (Pravilnik o obezbjeđivanju sigurnosti ličnih podataka prilikom njihove obrade u informacionim sistemima podataka o ličnosti<4>).

<4>Odobreno Uredbom Vlade Ruske Federacije od 17. novembra 2007. N 781.

Dakle, sastav tehničkih sredstava uključuje i kopir aparate i softver, međutim, koncept „baze podataka“ je ključan u određivanju informacionog sistema ličnih podataka. Iz ove definicije proizilazi da se obrada baze podataka vrši uz pomoć računara (medij mora biti mašinski čitljiv). Ako se obrada vrši bez upotrebe računara i baze podataka (mašinski čitljivih medija), onda formalno ne postoji informacioni sistem. Osim toga, bez tehničkih sredstava koja omogućavaju obradu ličnih podataka, baza podataka se takođe ne može prepoznati kao informacioni sistem. Osim toga, informacioni sistemi nisu samo kombinacija računarske opreme i nekih programa koji obrađuju informacije iz baza podataka, oni mogu koristiti alate za automatizaciju, a možda ih i ne koristiti.

Šta se podrazumijeva pod alatima za automatizaciju?

Postoji stajalište prema kojem korištenje automatizacije znači bilo koje kompjuterska obrada ili obrada sa elektronskih uređaja. Ako je baza podataka pohranjena na računaru (na primjer, u tabela ili računovodstveni program) ili, na primjer, u notebook mobitel, onda je to već automatizirana obrada ličnih podataka i podliježe obavijesti Roskomnadzora. Osim toga, neki stručnjaci smatraju da se obrada bez upotrebe alata za automatizaciju može izvesti samo na papiru (u časopisima koji se popunjavaju rukom, u ručno pisanim listama).

U skladu sa dijelom 3 čl. 4. Zakona o ličnim podacima, karakteristike obrade ličnih podataka koje se obavljaju bez upotrebe alata za automatizaciju mogu se utvrditi saveznim zakonima i drugim regulatornim pravnim aktima Ruske Federacije, u skladu sa odredbama ovog Federalnog zakona .

Uredbom Vlade Ruske Federacije od 15. septembra 2008. N 687 odobrena je Uredba o karakteristikama obrade ličnih podataka koja se obavlja bez upotrebe alata za automatizaciju. Prema tački 1. navedene Uredbe, obrada ličnih podataka sadržanih u informacionom sistemu ličnih podataka ili izvučenih iz takvog sistema (u daljem tekstu: lični podaci) smatra se obavljenom bez upotrebe alata za automatizaciju (neautomatizovanih ), ako se radnje sa ličnim podacima kao što su korišćenje, pojašnjenje, distribucija, uništavanje ličnih podataka u vezi sa svakim od subjekata ličnih podataka provode uz neposredno učešće osobe.

Reverzibilno Posebna pažnja na činjenicu da se, u skladu sa stavom 2. Pravilnika o karakteristikama obrade ličnih podataka koja se vrši bez upotrebe alata za automatizaciju, obrada ličnih podataka ne može priznati kao izvršena pomoću alata za automatizaciju samo iz razloga što sadržani su u informacionom sistemu ili su iz njega izvučeni.

Dakle, može se reći da, u smislu definicija dostupnih u aktuelno zakonodavstvo, velika većina informacionih sistema u državnim i opštinskim institucijama se formalno može smatrati implementiranim bez upotrebe alata za automatizaciju (uključujući značajan deo računovodstvenog softvera). Uostalom, sve kartice lica u ovim sistemima se uređuju ručno u odgovarajućim prozorima. Da biste uništili kartice lica, potrebno ih je također odabrati na listi od strane operatera i pritisnuti specijalni ključ za brisanje podataka. Čak se vrši i arhiviranje poseban program, koji je pokrenula osoba.

Ali razni programi, što vam omogućava da preformatirate podatke (uključujući iz formata računovodstvenog programa u format, na primjer, program penzioni fond) i njihovo sprovođenje automatski unos i daljnji prijenos bez upućivanja na evidenciju svakog konkretnog zaposlenika može se pripisati automatiziranoj obradi podataka. Istovremeno, obrada ličnih podataka (uključujući prezime, ime, patronime, broj penzionog potvrda, itd.) je sastavni dio takvih programa.

Istovremeno, ako se podaci prenose u druge programe (uključujući i za potrebe poreznog računovodstva) ne potpuno automatski, već uz pomoć osobe uključene u obradu osobnih podataka, tada se ni takva obrada ne može smatrati automatiziranom.

S tim u vezi, preporuke Federalne agencije za školstvo, iznesene u dopisu od 29. jula 2009. godine broj 17-110 „O obezbjeđivanju zaštite ličnih podataka“, imaju prilično ograničenu primjenu u praksi. Kako bi se automatizirala obrada ličnih podataka u upitnicima, Rosobrazovanie se preporučuje da dodatno naznači interne identifikacioni broj(lična šifra) subjekta ličnih podataka, raspoređenih za čitav period studiranja ili rada. To omogućava depersonalizaciju baza podataka ako ne sadrže druge lične podatke i značajno smanjuje troškove zaštite informacija.

Međutim, za automatizaciju aktivnosti upravljanja u državnoj ili opštinskoj instituciji najmanje prezimena, imena, patronimike zaposlenih, studenata, studenata i tako dalje, kao i niz drugih ličnih podataka (za zaposlene, na primer, podatke o njihovim prihodima za računovodstvo i poreske svrhe). Apel na lične šifre sadržane u letcima (upitnicima), tokom ostatka obrade podataka pomoću softvera, izgledat će kao najmanječudno, smanjenje efikasnosti uvođenja savremenih informacionih tehnologija. Istovremeno, u zavisnosti od oblika korišćenih upitnika, oni se mogu prepoznati kao deo informacionog sistema (kao sastavni dio baze podataka), što će u potpunosti lišiti smisla dodatnog kodiranja (takvo je kodiranje potrebno ako je svrsishodno depersonalizirati podatke, na primjer, za statistička istraživanja).

Obrada ličnih podataka bez upotrebe alata za automatizaciju

Dakle, kao što je gore rečeno, uprkos kompjuterizaciji aktivnosti, u većini slučajeva, obrada ličnih podataka u državnim i opštinskim institucijama vrši se bez upotrebe alata za automatizaciju (neautomatizovana) i, shodno tome, regulisana je Pravilnikom o karakteristike obrade ličnih podataka koja se vrši bez upotrebe alata za automatizaciju.<5>.

<5>Odobreno Uredbom Vlade Ruske Federacije od 15. septembra 2008. N 687.

Osobe koje vrše takvu obradu (uključujući zaposlene u organizaciji operatera ili osobe koje rade po ugovoru sa operaterom) moraju biti obaviještene o činjenici da obrađuju lične podatke bez upotrebe alata za automatizaciju, kategorije ličnih podataka koji se obrađuju, kao npr. kao i karakteristike i pravila za provođenje takve obrade utvrđena regulatornim pravnim aktima federalnih izvršnih organa, izvršnih organa konstitutivnih entiteta Ruske Federacije i lokalnim aktima obrazovne ustanove.

Lične podatke tokom njihove obrade koja se vrši bez upotrebe alata za automatizaciju treba odvojiti od ostalih informacija, posebno fiksiranjem na posebnim materijalnim medijima, u posebnim odjeljcima ili na poljima obrazaca (obrasci).

Istovremeno, nije dozvoljeno fiksirati osobne podatke na jednom materijalnom nosaču ako su svrhe njihove obrade očigledno nespojive. U tom slučaju se za svaku kategoriju ličnih podataka mora koristiti poseban materijalni nosač.

Stoga se obrada mora provoditi na način da u odnosu na svaku kategoriju ličnih podataka postoje:

• utvrđuju se lokacije skladištenja i utvrđuje lista lica koja obrađuju podatke ili imaju pristup njima;
• obezbeđeno je zasebno skladištenje ličnih podataka (materijalni medij), čija se obrada vrši u različite svrhe;
• ispunjeni su uslovi kako bi se osigurala sigurnost ličnih podataka i isključio neovlašteni pristup njima.

Spisak mera neophodnih za obezbeđivanje takvih uslova, postupak za njihovo donošenje, kao i spisak lica odgovornih za sprovođenje ovih mera, utvrđuje obrazovna ustanova u skladu sa zahtevima podzakonskih akata o zaštiti lične podatke.

U slučaju neusklađenosti svrha obrade ličnih podataka snimljenih na jednom materijalnom mediju, ako to ne dozvoljava njihovu obradu odvojeno od drugih ličnih podataka snimljenih na istom mediju, moraju se preduzeti mjere za osiguranje odvojene obrade, a posebno:

• ako je potrebno koristiti ili distribuirati određene osobne podatke odvojeno od drugih koji se nalaze na istom materijalnom mediju, podaci koji se distribuiraju ili koriste kopiraju se na način koji isključuje istovremeno kopiranje podataka koji nisu predmet distribucije i korištenja, te kopija ličnih podataka se koristi (distribuira);
• ako je potrebno uništiti ili blokirati dio ličnih podataka, materijalni nosilac se uništava ili blokira uz prethodno kopiranje informacija koje ne podliježu uništavanju ili blokiranju, na način koji isključuje istovremeno kopiranje ličnih podataka koji su predmet uništavanje ili blokiranje.

Uništavanje ili depersonalizacija dijela osobnih podataka, ako je to dopušteno materijalnim medijem, može se izvršiti na način koji isključuje daljnju obradu ovih osobnih podataka, uz zadržavanje mogućnosti obrade drugih podataka snimljenih na materijalnom mediju (brisanje , zamračenje).

Pojašnjenje ličnih podataka prilikom njihove obrade bez upotrebe alata za automatizaciju vrši se ažuriranjem ili promjenom podataka na materijalnom mediju, a ako to nije dozvoljeno tehničke karakteristike materijalni nosač - fiksiranjem na istom nosaču informacija o učinjenim promjenama ili proizvodnjom novog materijalnog nosača sa ažuriranim ličnim podacima.

Obrada ličnih podataka pomoću alata za automatizaciju

Uredbom o obezbjeđivanju sigurnosti podataka o ličnosti prilikom njihove obrade u informacionim sistemima podataka o ličnosti utvrđuju se uslovi za obezbeđenje sigurnosti podataka o ličnosti prilikom njihove obrade u informacionim sistemima o ličnosti, koji predstavljaju zbir ličnih podataka sadržanih u bazama podataka, kao i informacije. tehnologije i tehnička sredstva.

Kako slijedi iz stava 1 ove Uredbe, pojam „informacioni sistemi“ odnosi se samo na informacione sisteme koji omogućavaju obradu ličnih podataka pomoću alata za automatizaciju, stoga se zahtjevi ove Uredbe ne odnose na informacione sisteme u kojima se obrada podataka vrši bez upotrebe alata za automatizaciju.

Ako se automatska obrada ličnih podataka vrši u državnoj ili opštinskoj instituciji, tada moraju biti ispunjeni sledeći uslovi.

Prema Uredbi o obezbjeđivanju sigurnosti podataka o ličnosti prilikom njihove obrade u informacionim sistemima ličnih podataka, sigurnost podataka o ličnosti ostvaruje se:

• isključivanjem neovlaštenog, uključujući slučajan, pristup ličnim podacima, koji može rezultirati uništenjem, modifikacijom, blokiranjem, kopiranjem, distribucijom ličnih podataka;
• isključujući druge nedozvoljene radnje.

Sigurnost ličnih podataka prilikom njihove obrade u informacionim sistemima obezbjeđuje se sistemi zaštite ličnih podataka uključujući:

• organizacione mjere;
• sredstva zaštite informacija;
• informacione tehnologije.

Alati za sigurnost informacija uključuju:

• enkripcijska (kriptografska) sredstva;
• sredstva za sprečavanje neovlašćenog pristupa;
• alati za sprečavanje curenja informacija tehnički kanali;
• sredstva za sprečavanje softverskih i hardverskih uticaja na tehnička sredstva obrade ličnih podataka.

Kako bi se osigurala sigurnost ličnih podataka prilikom njihove obrade u informacionim sistemima, sprovodi se zaštita govorne informacije i informacije obrađene tehničkim sredstvima, kao i informacije predstavljene u informativnom obliku električni signali, fizička polja, mediji na papiru, magnetne, magneto-optičke i druge osnove.

Zahtjevi korisnika informacionog sistema za dobijanje ličnih podataka, kao i činjenice davanja podataka o tim zahtjevima, moraju biti evidentirani automatizovanim sredstvima informacioni sistem u elektronskom dnevniku poziva. Istovremeno, sadržaj elektronski časopis zahtjeve treba periodično provjeravati od strane relevantnih službenika (zaposlenih) operatera ili ovlaštene osobe.

Ukoliko se utvrde povrede procedure za davanje ličnih podataka, operater ili ovlašćeno lice će odmah obustaviti davanje ličnih podataka korisnicima informacionog sistema do utvrđivanja i otklanjanja uzroka kršenja.

Hardver i softver moraju ispunjavati zahtjeve utvrđene u skladu sa zakonodavstvom Ruske Federacije, osiguravajući zaštitu informacija. Istovremeno se uspostavljaju metode i sredstva zaštite informacija u informacionim sistemima Federalna služba za tehničku i izvoznu kontrolu (FSTEC) i Federalnu službu bezbjednosti (FSB) u okviru svojih ovlaštenja.

Sigurnost ličnih podataka prilikom njihove obrade u informacionom sistemu obezbjeđuje operater ili lice kome na osnovu ugovora operater povjerava obradu ličnih podataka. Licima čiji je pristup ličnim podacima koji se obrađuju u informacionom sistemu neophodan za obavljanje službene (radne) dužnosti, omogućen je pristup relevantnim ličnim podacima na osnovu liste koju odobrava operater ili ovlašćeno lice. Bitan uslov ugovora je obaveza ovlašćenog lica da obezbedi poverljivost i sigurnost ličnih podataka prilikom njihove obrade u informacionom sistemu.

Alati za sigurnost informacija koji se koriste u informacionim sistemima, u u dogledno vrijeme podvrgnuti procesu ocjenjivanja usklađenosti. Razmjena ličnih podataka prilikom njihove obrade u informacionim sistemima odvija se putem komunikacionih kanala čija je zaštita obezbeđena primenom odgovarajućih organizacione mjere i (ili) upotrebom tehničkih sredstava.

Istovremeno, informacioni sistemi se razvrstavaju po državnim organima, opštinskim organima, pravnim ili fizičkim licima koji organizuju i (ili) obrađuju lične podatke, kao i određuju svrhu i sadržaj obrade ličnih podataka, u zavisnosti od količine obrađenih podataka o ličnosti. od njih i bezbjednosne prijetnje vitalnim interesima pojedinca, društva i države.

Proceduru za klasifikaciju informacionih sistema zajednički utvrđuju Federalna služba za tehničku i izvoznu kontrolu, Federalna služba bezbednosti i Ministarstvo informacionih tehnologija i komunikacija. Ova procedura je određena Naredbom FSTEC Rusije, FSB Rusije, Ministarstvo informacija i komunikacija Rusije od 13. februara 2008. N 55/86/20.

Pored toga, navedeni su zahtjevi za prostorije i njihovu zaštitu. Prema tački 8. Uredbe o obezbjeđenju sigurnosti ličnih podataka prilikom njihove obrade u informacionim sistemima ličnih podataka, smještaju informacionih sistema, specijalne opreme i zaštite prostorija u kojima se obrađuju lični podaci, organizacija režima bezbednosti u tim prostorijama treba da obezbedi sigurnost nosilaca ličnih podataka i alata za bezbednost informacija, kao i da isključi mogućnost nekontrolisanog ulaska ili boravka u ovim prostorijama. autsajderi.

Za ovo, vlada i opštinske institucije moraju postaviti dodatne alarme u naznačenim prostorijama, u vratima - dodatne brave ili metalna vrata.

Mjere za osiguranje sigurnosti ličnih podataka tokom njihove obrade u informacionim sistemima uključuju:

a) identifikovanje pretnji po bezbednost ličnih podataka tokom njihove obrade, formiranje modela pretnji na osnovu njih;

b) razvoj, na osnovu modela pretnji, sistema zaštite podataka o ličnosti koji obezbeđuje neutralizaciju navodnih pretnji korišćenjem metoda i sredstava zaštite podataka o ličnosti predviđenih za odgovarajuću klasu informacionih sistema;

c) provjera spremnosti alata za sigurnost informacija za upotrebu uz donošenje zaključaka o mogućnosti njihovog rada;

d) instaliranje i puštanje u rad alata za sigurnost informacija u skladu sa operativnom i tehničkom dokumentacijom;

e) osposobljavanje lica za korišćenje alata za bezbednost informacija koji se koriste u informacionim sistemima, pravila za rad sa njima;

f) vodeći računa o korištenim sredstvima zaštite informacija, operativnoj i tehničkoj dokumentaciji za njih, nosioce ličnih podataka;

g) registraciju lica primljenih za rad sa ličnim podacima u informacioni sistem;

h) kontrolu poštovanja uslova za korišćenje sredstava informacione bezbednosti predviđenih operativnom i tehničkom dokumentacijom;

i) istragu i donošenje zaključaka o činjenicama nepoštovanja uslova za čuvanje nosilaca ličnih podataka, upotrebe alata za sigurnost informacija koji mogu dovesti do narušavanja povjerljivosti ličnih podataka ili drugih povreda koje dovode do smanjenja stepen zaštite ličnih podataka, razvoj i donošenje mjera za sprječavanje mogućih opasnih posljedica takvih povreda;

j) opis sistema zaštite ličnih podataka.

Osobe koje imaju pristup informacione baze sa ličnim podacima potpisati obavezu neotkrivanja podataka (takva obaveza može biti uključena i u ugovor o radu). Tek nakon toga im obrazovna ustanova dozvoljava obradu ličnih podataka.

Prilikom obrade ličnih podataka u informacionom sistemu, obrazovna ustanova mora osigurati:

a) preduzimanje mera u cilju sprečavanja neovlašćenog pristupa ličnim podacima i (ili) njihovog prenošenja licima koja nemaju pravo pristupa takvim informacijama;

b) blagovremeno otkrivanje činjenica neovlašćenog pristupa ličnim podacima;

c) sprečavanje uticaja na tehnička sredstva automatizovane obrade ličnih podataka, usled čega može biti poremećeno njihovo funkcionisanje;

d) mogućnost trenutnog povrata ličnih podataka izmijenjenih ili uništenih zbog neovlaštenog pristupa njima;

e) stalno praćenje obezbjeđenja nivoa zaštite ličnih podataka.

Za izradu i sprovođenje mjera za osiguranje sigurnosti ličnih podataka prilikom njihove obrade u informacionom sistemu, operater ili ovlašteno lice može imenovati strukturnu jedinicu ili izvršni(zaposlenik) odgovoran za osiguranje sigurnosti ličnih podataka.

Posebnu pažnju treba obratiti i na činjenicu da je, u skladu sa tačkom 17. Uredbe o obezbjeđivanju sigurnosti ličnih podataka prilikom njihove obrade u informacionim sistemima ličnih podataka, implementacija zahtjeva za osiguranje informacione sigurnosti u alatima za sigurnost informacija dodijeljene njihovim programerima.

Adekvatnost preduzete mere o obezbjeđivanju sigurnosti ličnih podataka prilikom njihove obrade u informacionim sistemima ocjenjuje se tokom državne kontrole i nadzora.

Klasifikacija informacionih sistema ličnih podataka

Klasifikaciju informacionih sistema podataka o ličnosti koji omogućavaju obradu ovih podataka pomoću alata za automatizaciju vrši obrazovna ustanova - operater u skladu sa Postupkom za razvrstavanje informacionih sistema podataka o ličnosti.<6>u zavisnosti od kategorije obrađenih podataka i njihove količine.

<6>Odobreno Naredbom FSTEC Rusije, FSB Rusije, Ministarstva informacija i komunikacija Rusije od 13. februara 2008. N 55/86/20.

Uspostavljene su sljedeće četiri kategorije ličnih podataka:

1. lični podaci koji se odnose na rasu, nacionalnost, političke stavove, vjerska i filozofska uvjerenja, zdravstveno stanje, intimni život;
2. lične podatke koji vam omogućavaju da identifikujete subjekta ličnih podataka i dobijete o njemu Dodatne informacije, sa izuzetkom ličnih podataka koji pripadaju prvoj kategoriji;
3. lični podaci koji omogućavaju identifikaciju subjekta ličnih podataka;
4. depersonalizovane i (ili) javno dostupne lične podatke.

Na svakom univerzitetu, na javnim štandovima, možete pronaći razne liste studenata, uključujući kombinaciju punog imena. student, kurs, grupa, koji vam omogućavaju da jedinstveno identifikujete studenta. Kao rezultat, takva kombinacija ličnih podataka primorava ih da se klasifikuju kao lični podaci treće kategorije; Za postavljanje ovih podataka na javnom mjestu formalno je potrebna saglasnost učenika.

Lična karta zaposlenog (obrazac T-2), lični dosije studenta (studenta) spadaju u drugu kategoriju, jer su to lični podaci koji omogućavaju ne samo identifikaciju subjekta ličnih podataka, već i dobijanje dodatnih informacije o njemu.

Informacioni sistemi ličnih podataka dijele se na standardne i posebne. Tipični sistemi uključuju sisteme u kojima se traži samo povjerljivost ličnih podataka. Svi ostali sistemi su posebni.

Posebni informacioni sistemi takođe treba da uključuju:

• informacioni sistemi u kojima se obrađuju lični podaci koji se odnose na zdravstveno stanje subjekata ličnih podataka;
• informacioni sistemi koji omogućavaju donošenje, na osnovu isključivo automatizovane obrade ličnih podataka, odluka koje izazivaju pravne posledice u odnosu na subjekta ličnih podataka ili na drugi način utiču na njegova prava i legitimne interese.

Na osnovu navedene klasifikacije može se konstatovati da su svi medicinski podaci, kao i kadrovska evidencija koja sadrži rubriku „nacionalnost“ (a to su skoro svi aktuelni upitnici i lični listovi trenutno u upotrebi) treba dodijeliti prvoj kategoriji.

Na osnovu rezultata analize dostupnih podataka, tipičnom informacionom sistemu se dodjeljuje jedna od četiri klase navedene u Proceduri za razvrstavanje informacionih sistema podataka o ličnosti.

Klasa posebnog informacionog sistema utvrđuje se na osnovu modela pretnji bezbednosti ličnih podataka na osnovu rezultata analize početnih podataka u skladu sa metodološkim dokumentima FSTEC-a.

FSTEC izdao sljedeća dokumenta Iverica, koja se može dobiti samo kontaktiranjem ovog tijela:

• Glavne aktivnosti za organizaciju i tehnička podrška sigurnost ličnih podataka koji se obrađuju u informacionim sistemima ličnih podataka, od 15.02.2008.
• Osnovni model ugrožavanja sigurnosti ličnih podataka prilikom njihove obrade u informacionim sistemima ličnih podataka od 15.02.2008.
• Metodologija utvrđivanja stvarnih pretnji po bezbednost ličnih podataka prilikom njihove obrade u informacionim sistemima ličnih podataka od 15.02.2008.
• Preporuke za osiguranje sigurnosti ličnih podataka prilikom njihove obrade u informacionim sistemima podataka o ličnosti od 15.02.2008.

Ovi metodološki dokumenti sadrže brojne zahtjeve, koje je većini državnih ili općinskih institucija izuzetno teško ispuniti iz razloga organizacione i finansijske prirode.

Deklaracija, sertifikacija (atestiranje) i licenciranje delatnosti zaštite ličnih podataka

Gore navedenim metodološkim dokumentima FSTEC-a ustanovljen je sljedeći postupak za procjenu usklađenosti stepena sigurnosti informacionih sistema sa sigurnosnim zahtjevima:

• za informacione sisteme prve i druge klase usaglašenost stepena zaštite sa bezbednosnim zahtevima utvrđuje se obavezna certifikacija(atest);
• za informacione sisteme treće klase, usklađenost sa bezbednosnim zahtevima potvrđuje se sertifikacijom (atestiranjem) ili (po izboru operatera) izjavom o usklađenosti koju sprovodi operater ličnih podataka;
• za informacione sisteme četvrte klase, ocenjivanje usaglašenosti nije regulisano i vrši se po diskrecionom pravu operatera ličnih podataka.

Izjava o usklađenosti- ovo je potvrda usklađenosti karakteristika informacionog sistema ličnih podataka sa zahtjevima utvrđenim za njega, utvrđenim zakonom, smjernicama i regulatornim i metodološkim dokumentima FSTEC-a i FSB-a.

Deklaracija o usklađenosti može se izvršiti na osnovu vlastitih dokaza ili dokaza pribavljenih uz učešće uključenih organizacija koje imaju potrebne licence. Spisak tela (organizacija) za atestiranje sistema sertifikacije alata za informacionu bezbednost za zahteve informacione bezbednosti, kojima se možete obratiti obrazovne institucije i obrazovne vlasti koje nemaju neophodne specijaliste i licence, i Državni registar certificirani alati za sigurnost informacija objavljeni su na web stranici FSTEC-a. Trošak takvih postupaka je prilično visok i mjeri se stotinama hiljada rubalja.

U slučaju deklarisanja na osnovu sopstvenih dokaza, operater samostalno formira set dokumenata, kao što su: tehnička dokumentacija, druge dokumente i rezultate vlastitog istraživanja, koji su poslužili kao motivirana osnova za potvrdu usklađenosti informacionog sistema ličnih podataka sa svim neophodne zahtjeve za treci razred.

Atestacijski (certifikacijski) testovi sprovode organizacije koje imaju potrebne FSTEC licence. Istovremeno, atestiranje se podrazumijeva kao skup mjera koje omogućavaju usklađivanje informacionog sistema sa zahtjevima sigurnosti informacija za deklarisanu klasu, utvrđenim u regulatornim i metodološkim dokumentima FSTEC-a.

Atestacijski (certifikacijski) testovi sadrže analizu informacionih sistema ličnih podataka koji su već dostupni u objektu, kao i novi donete odluke kako bi se osigurala sigurnost informacija i uključila provjera:

• organizacione i režimske mjere za osiguranje zaštite informacija;
• zaštita informacija od curenja tehničkim kanalima (PEMIN);
• zaštita informacija od neovlašćenog pristupa.

Na osnovu rezultata atestnih ispitivanja, donosi se odluka o izdavanju sertifikata o usklađenosti informacionog sistema sa deklarisanom klasom prema zahtevima bezbednosti informacija. Sertifikat se izdaje na period od tri godine.

Metodološkim dokumentima FSTEC-a utvrđuju se i dodatni zahtjevi za dostupnost dozvola za obavljanje djelatnosti zaštite ličnih podataka. Bez odgovarajućih dozvola održavanje ovakvih događaja moguće je samo za informacione sisteme trećeg i četvrtog razreda.

U cilju preduzimanja mera za obezbeđenje bezbednosti ličnih podataka za posebne informacione sisteme, sisteme prve i druge klase i distribuirane (uključujući i one povezane na internet) treće klase, operateri su dužni da pribave FSTEC licencu za obavljanje delatnosti. u skladu sa utvrđenom procedurom. tehnička zaštita povjerljiva informacija.

Ozbiljnu sumnju izaziva legitimnost uslova za sprovođenje postupaka deklarisanja, sertifikacije (atestiranja) i licenciranja od strane državnih i opštinskih institucija na osnovu FSTEC metodoloških dokumenata.

Pravilnik o postupku postupanja sa službenim informacijama o ograničenoj distribuciji u federalnim organima izvršne vlasti<7>(klauzula 1.2) klasifikuje kao poverljive podatke ograničene distribucije neklasifikovane podatke koji se odnose na delatnost organizacija, čija su ograničenja distribucije uslovljena službenom nuždom. Utvrđivanje obaveza za licenciranje aktivnosti organizacija ni na koji način se ne može prepoznati kao informacija iz DSP-a.

<7>Odobreno Uredbom Vlade Ruske Federacije od 3. novembra 1994. N 1233.

Licenciranje odgovornosti određene vrste djelatnosti, uključujući poslove tehničke zaštite povjerljivih informacija, definisane su Saveznim zakonom "O licenciranju određenih vrsta djelatnosti"<8>. Sprovedena procedura za licenciranje aktivnosti tehničke zaštite povjerljivih informacija pravna lica i individualnih preduzetnika, definisano je Uredbom Vlade Ruske Federacije od 15. avgusta 2006. N 504.

<8>Savezni zakon od 08.08.2001 N 128-FZ.

Ni Pravilnikom o licenciranju djelatnosti tehničke zaštite povjerljivih informacija, niti Postupkom za klasifikaciju informacionih sistema podataka o ličnosti nisu utvrđene obaveze za licenciranje djelatnosti tehničke zaštite povjerljivih informacija, u zavisnosti od klase informacionog sistema. Ovi zahtjevi su utvrđeni u DSP dokumentu - Osnovne mjere za organizaciju i tehničku sigurnost PD obrađenih u ISPD.

Uredbom o obezbjeđivanju sigurnosti podataka o ličnosti prilikom njihove obrade u informacionim sistemima podataka o ličnosti utvrđeno je samo da:

• Alati za sigurnost informacija koji se koriste u informacionim sistemima, na propisan način prolaze proceduru ocjenjivanja usaglašenosti (tačka 5) - odnosno ne podliježe sertifikaciji operater, već alat za informatičku sigurnost, a sprovodi ga proizvođača ovog alata (uključujući kompjuterski program o zaštiti informacija);
• rezultati ocjenjivanja usklađenosti i (ili) studija slučaja alata za informatičku sigurnost dizajniranih da osiguraju sigurnost ličnih podataka tokom njihove obrade u informacionim sistemima ocjenjuju se tokom ispitivanja koje sprovodi Federalna služba za tehničku i izvoznu kontrolu i Federalna služba bezbednosti u okviru svojih ovlašćenja.

U skladu sa dijelom 3 čl. 15. Ustava Ruske Federacije, svi zakoni, kao i svi normativni akti koji utiču na prava, slobode i dužnosti osobe i građanina, moraju biti službeno objavljeni radi opšteg informisanja, odnosno objavljeni. Neobjavljeni normativni pravni akti se ne primenjuju, ne povlače pravne posledice da nisu stupili na snagu.

Od 15. maja 1992. godine, Uredbom Vlade Ruske Federacije od 05.08.1992. N 305 „O državna registracija resorni normativni akti“ uvedena je državna registracija normativnih akata ministarstava i resora koji utiču na prava i interese građana i međuresorne prirode.

Pitanja državne registracije i stupanja na snagu resornih regulatornih pravnih akata uređena su Uredbom predsjednika Ruske Federacije N 763<9>i Uredba Vlade Ruske Federacije N 1009<10>.

<9>Ukaz predsjednika Ruske Federacije od 23.05.1996. N 763 „O postupku objavljivanja i stupanja na snagu akata predsjednika Ruske Federacije, Vlade Ruske Federacije i regulatornih pravnih akata federalnih organa izvršne vlasti. "
<10>Uredba Vlade Ruske Federacije od 13. avgusta 1997. N 1009 "O odobravanju Pravila za pripremu regulatornih pravnih akata federalnih organa izvršne vlasti i njihovu državnu registraciju."

Prema stavu 10. Pravila za pripremu podzakonskih akata saveznih organa izvršne vlasti i njihovu državnu registraciju, državnoj registraciji podliježu regulativni pravni akti koji utiču na prava, slobode i dužnosti osobe i građanina, utvrđujući legalni status organizacije međuresorne prirode, bez obzira na period njihovog važenja, uključujući akte koji sadrže informacije koje čine državna tajna ili povjerljive informacije.

Državnu registraciju normativno-pravnih akata vrši Ministarstvo pravde, koje vodi Državni registar normativno-pravnih akata saveznih organa izvršne vlasti.

Državna registracija normativnog pravnog akta uključuje:

• pravno ispitivanje usklađenosti ovog akta sa zakonodavstvom Ruske Federacije, uključujući provjeru prisustva odredbi u njemu koje doprinose stvaranju uslova za ispoljavanje korupcije;
• donošenje odluke o potrebi državne registracije ovaj čin;
• dodjela registarskog broja;
• upis u Državni registar normativno-pravnih akata federalnih izvršnih organa.

Normativni pravni akti koji utiču na prava, slobode i dužnosti osobe i građanina, kojima se utvrđuje pravni status organizacija ili su međuresorne prirode, podliježu službenom objavljivanju na propisan način, osim akata ili njihovih pojedinačnih odredbi koje sadrže podatke koji čine državnu tajnu ili podatke povjerljive prirode,

Akt za koji Ministarstvo pravde priznaje da ne zahtijeva državnu registraciju podliježe objavljivanju na način koji odredi savezni organ izvršne vlasti koji je dao akt. Istovremeno, postupak stupanja na snagu ovog zakona utvrđuje i savezni organ izvršne vlasti koji ga je donio.

Stoga, prema mišljenju autora, državne i opštinske institucije koje vrše automatizovanu obradu ličnih podataka, u slučaju ispoljavanja uslova za dobijanje licenci, izjašnjavanja ili sertifikacije (atestiranja), mogu uložiti žalbu na takve uslove sudu (naročito ako su sredstva zaštite ličnih podataka koji se koriste već su certificirani njihov proizvođač).

A. Betlehem

direktor

Centar Nižnjeg Novgoroda

ekonomija obrazovanja

Jedna od prioritetnih aktivnosti koju je potrebno sprovesti prilikom kreiranja informacionog sistema za obradu ličnih podataka (ISPD) je klasifikacija ISPD-a.

Ovo je neophodno kako bi se odredila klasa sistema i odgovarajući zahtevi za FSTEC i FSB prilikom obrade ličnih podataka (PD). U ovom članku ću opisati opšta procedura klasifikacija ISPD-a.

U skladu sa Naredbom FSTEC/FSB/Ministarstva informisanja i komunikacija br. 55/86/20 od 13. februara 2008. godine o „Proceduri za klasifikaciju informacionog sistema podataka o ličnosti“, koju možete preuzeti ovde, potrebna klasifikacija uključuje slijedeći koraci:

• Prikupljanje i analiza početnih podataka o informacionom sistemu;
• Dodjela odgovarajuće klase informacionom sistemu i njegovoj dokumentaciji.

Prilikom klasifikacije informacionog sistema potrebno je odgovoriti na sljedeća pitanja:

1. 1Kojoj kategoriji pripadaju lični podaci koji se obrađuju u informacionom sistemu - XPd?
2. Koliki je obim ličnih podataka koji se obrađuju (broj subjekata ličnih podataka čiji se lični podaci obrađuju u informacionom sistemu) - Xnpd?
3. Koje su sigurnosne karakteristike ličnih podataka koji se obrađuju u informacionom sistemu?
4. Kakva je struktura informacionog sistema?
5. Da li postoji povezanost informacionog sistema sa javnim komunikacionim mrežama i/ili Internet mreže?
6. Koji je način obrade ličnih podataka?
7. Koji je način diferencijacije prava pristupa korisnika informacionog sistema?
8. Lokacija tehničkih sredstava informacionog sistema?

Početni podaci i prateće informacije

Definirane su sljedeće kategorije ličnih podataka koji se obrađuju u informacionom sistemu (Xpd):

1. kategorija 1- lične podatke koji se odnose na rasu, nacionalnost, političke stavove, vjerska i filozofska uvjerenja, zdravstveno stanje, intimni život;
2. kategorija 2- lični podaci koji vam omogućavaju da identifikujete subjekta ličnih podataka i dobijete dodatne informacije o njemu, osim ličnih podataka koji se odnose na kategorija 1;
3. kategorija 3- lični podaci koji omogućavaju identifikaciju subjekta ličnih podataka;
4. kategorija 4- obezličeni i (ili) javno dostupni lični podaci.

Xnpd može poprimiti sljedeće vrijednosti:

• 1 - informacioni sistem istovremeno obrađuje lične podatke više od 100.000 subjekata ličnih podataka ili lične podatke subjekata ličnih podataka u okviru jednog entiteta Ruske Federacije ili Ruske Federacije u cjelini;
• 2 - informacioni sistem istovremeno obrađuje lične podatke od 1.000 do 100.000 subjekata ličnih podataka ili lične podatke subjekata ličnih podataka koji rade u sektoru privrede Ruske Federacije, u organu javne vlasti sa sedištem u opštini;
• 3 - informacioni sistem istovremeno obrađuje podatke manje od 1000 subjekata ličnih podataka ili lične podatke subjekata ličnih podataka unutar određene organizacije.

Sigurnosne funkcije ličnih podataka

Za ISPD se utvrđuju karakteristike sigurnosti ličnih podataka koje se dijele na osnovne i dodatne:

OSNOVNI:

• povjerljivost
• integritet
• dostupnost

IZBORNO:

• neporicanje
• računovodstvo (kontrola)
• autentičnost (vjerodostojnost)
• adekvatnost

Struktura informacionog sistema podijeljeno na:

• autonomni (koji nisu povezani sa drugim informacionim sistemima) kompleksi tehničkih i softverski alati, namijenjen za obradu ličnih podataka (automatizirane radne stanice);
• kompleks automatizovanih radnih stanica ujedinjenih u jedinstven informacioni sistem putem komunikacije bez upotrebe tehnologije daljinskog pristupa (lokalni informacioni sistemi);
• kompleks automatizovanih radnih stanica i (ili) lokalnih informacionih sistema kombinovanih u jedinstven informacioni sistem putem komunikacije koristeći tehnologiju udaljenog pristupa (distribuisani informacioni sistemi).

Način obrade

Prilikom organiziranja ISPD-a određuju se sljedeći načini obrade:

• single user;
• multiplayer.

Način diferencijacije prava pristupa

U ISPD-u sistem kontrole pristupa znači:

• bez diferencijacije prava pristupa;
• sa ograničenim pravima pristupa.

Informacioni sistemi se dele na tipično i poseban.
Za tipičan informacioni sistem uključuju sisteme koji zahtijevaju samo povjerljivost PD.

U poseban informacioni sistem uključuju sisteme koji, osim povjerljivosti, zahtijevaju:

• Informacijski sustavi u kojima se obrađuju osobni podaci koji se odnose na zdravstveno stanje subjekata osobnih podataka;
• Informacioni sistemi u kojima se, na osnovu isključivo automatizovane obrade ličnih podataka, donose odluke koje izazivaju pravne posledice u odnosu na subjekta ličnih podataka ili na drugi način utiču na njegova prava i legitimne interese.

Klasifikacija informacionog sistema

Prema Naredbi FSTEC / FSB / Ministarstva informacija i komunikacija br. 55/86/20, ISPD može polagati jednu od četiri klase definisane ovom naredbom:

1. klasa 1 (K1)- informacioni sistemi za koje kršenje navedenih bezbednosnih karakteristika ličnih podataka koji se u njima obrađuju može dovesti do značajnih negativnih posledica po subjekte ličnih podataka;
2. klasa 2 (K2)- informacioni sistemi za koje kršenje navedenih bezbednosnih karakteristika ličnih podataka koji se u njima obrađuju može dovesti do negativnih posledica po subjekte ličnih podataka;
3. klasa 3 (K3)- informacioni sistemi za koje kršenje navedenih sigurnosnih karakteristika ličnih podataka koji se u njima obrađuju može dovesti do manjih negativnih posljedica za subjekte ličnih podataka;
4. klasa 4 (K4)- informacioni sistemi za koje kršenje navedenih sigurnosnih karakteristika ličnih podataka koji se u njima obrađuju ne dovodi do negativnih posljedica za subjekte ličnih podataka.