سیستم های اطلاعاتی برای داده های شخصی قانون طبقه بندی ispdn

عمل طبقه بندی ISPD، به عنوان یک قاعده، است سند محرمانهو باید دارای مهر محرمانگی ("محرمانه"، "DSP"، "راز تجاری") و یک شماره حساب باشد.

برای انجام طبقه بندی، کمیسیون باید در شرکت ایجاد شود. این کمیسیون باید دارای فردی باشد که مسئول حفاظت از داده های شخصی است. کمیسیون باید به دستور رئیس تعیین و بر اساس آیین نامه کمیسیون طبقه بندی فعالیت خود را انجام دهد. بر اساس نتایج طبقه بندی، یک قانون باید تنظیم شود. قانون طبقه بندی ISPD باید به تایید رئیس کمیسیون و امضای همه اعضای کمیسیون برسد.

نحوه تنظیم قانون طبقه بندی ISPD

یک گزارش طبقه بندی برای هر ISPD شناسایی شده تهیه می شود. بر اساس داده های دریافتی برای هر ISPDn مشخص می شود سطح مورد نیازامنیت داده های شخصی این به منظور ایجاد الزامات برای اطمینان از حفاظت از سیستم اطلاعات داده های شخصی ضروری است. سطح امنیت داده های شخصی مطابق با فرمان دولت فدراسیون روسیه در تاریخ 1 نوامبر 2012 شماره 1119 "در مورد تایید الزامات حفاظت از داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی" تعیین می شود.

در این قانون آمده است:

• داده های شخصی پردازش شده در سیستم؛
• حجم داده های شخصی پردازش شده؛
• نوع تهدیدات فعلیبرای ISPDn؛
• ساختار سیستم اطلاعاتی؛
• در دسترس بودن اتصالات به شبکه های ارتباطی استفاده مشترکو (یا) شبکه های تبادل اطلاعات بین المللی؛
• نحوه پردازش داده های شخصی در سیستم؛
• تمایز حقوق دسترسی کاربر؛
• مکان ISPDn؛
• سطح امنیت PD

قانون طبقه بندی ISPD ممکن است شامل سیستم هایی باشد که داده های زیر را ذخیره می کنند:

• دسته های ویژه داده های شخصی - اطلاعات مربوط به نژاد، ملیت، دیدگاه های سیاسی، اعتقادات مذهبی یا فلسفی، وضعیت سلامتی، زندگی صمیمی افراد دارای داده های شخصی.
• داده های شخصی بیومتریک - اطلاعاتی که ویژگی های فیزیولوژیکی و بیولوژیکی یک فرد را مشخص می کند و بر اساس آن می توان هویت او را تعیین کرد و توسط اپراتور برای تعیین هویت موضوع داده های شخصی استفاده می شود.
• داده های شخصی در دسترس عموم - اطلاعاتی که فقط از منابع عمومی داده های شخصی ایجاد شده مطابق با ماده 8 قانون فدرال "در مورد داده های شخصی" به دست می آید.

به ندرت می توان سیستم هایی را پیدا کرد که در آنها داده های شخصی دسته 3 پردازش می شود. این به دلیل این واقعیت است که برای مشکلات واقعیما نه تنها به داده هایی برای شناسایی موضوع (نام کامل، جزئیات گذرنامه)، بلکه به اطلاعات اضافی در مورد او (به عنوان مثال، اطلاعات حقوق و دستمزد) نیاز داریم.

رایج ترین سیستم های اطلاعاتی آنهایی هستند که داده های شخصی دسته 2 در آنها پردازش می شود. به عنوان مثال، سیستم های محاسباتی دستمزدکارمندان

حجم داده های شخصی پردازش شده، تعداد افراد مورد پردازش داده های شخصی آنها را در سیستم تعیین می کند. درجه بندی زیر اعمال می شود:

• بیش از 100000 موضوع داده های شخصی؛
• کمتر از 100000 موضوع داده های شخصی

انواع تهدید برای امنیت داده های شخصی

نوع تهدیدات فعلی برای ISPD:

• تهدیدات نوع 1 برای یک سیستم اطلاعاتی مرتبط هستند، در صورتی که، از جمله موارد دیگر، تهدیدهای مرتبط با وجود قابلیت های غیرمستند (اعلام نشده) در نرم افزار سیستم مورد استفاده در سیستم اطلاعاتی مربوط به آن باشد.
• تهدیدات نوع 2 به یک سیستم اطلاعاتی مربوط می شوند، در صورتی که، از جمله موارد دیگر، تهدیدات مرتبط با وجود قابلیت های غیرمستند (اعلام نشده) در نرم افزار کاربردی مورد استفاده در سیستم اطلاعاتی مربوط به آن باشد.
• تهدیدات نوع 3 در صورتی به یک سیستم اطلاعاتی مربوط می شود که تهدیدهایی که مربوط به وجود قابلیت های غیرمستند (اعلام نشده) در سیستم و نرم افزارهای کاربردی مورد استفاده در سیستم اطلاعاتی نباشد، مربوط به آن باشد.

بر اساس نوع، سیستم های اطلاعات شخصی توصیف شده در قانون طبقه بندی ISPD به استاندارد و ویژه تقسیم می شوند. ISPD معمولی سیستم‌های اطلاعاتی هستند که در آن‌ها فقط باید از محرمانه بودن PD اطمینان حاصل شود. ISPD ویژه سیستم های اطلاعاتی هستند که در آنها علاوه بر محرمانه بودن، لازم است حداقل یک ویژگی دیگر از امنیت داده های شخصی (یکپارچگی، در دسترس بودن) اطمینان حاصل شود.

علاوه بر این، سیستم‌های ویژه شامل تمام ISPD است که داده‌های مربوط به سلامت افراد را پردازش می‌کند، و ISPD، که اتخاذ تصمیم‌هایی را فراهم می‌کند که بر اساس آن پیامدهای قانونی برای فرد ایجاد می‌کند. پردازش خودکار.

بیشتر ISPD های موجود خاص هستند. این به دلیل این واقعیت است که علاوه بر محرمانه بودن، همچنین مهم است که داده های شخصی همیشه برای پردازش، یکپارچگی و قابلیت اطمینان در دسترس باشند. برای همه سیستم های خاصتوسعه یک "مدل خصوصی تهدیدات فعلی" ضروری است.

طبقه بندی سیستم های اطلاعات شخصی بر اساس ساختار:

• خود مختار. یک خودکار را نشان می دهد محل کار(کامپیوتر).
• محلی. ایستگاه های کاری خودکار (AWS)، متحد شده در یک شبکه محلی.
• توزیع شده است. ایستگاه های کاری خودکار یا شبکه های محلیبه هم پیوسته با استفاده از تکنولوژی دسترسی از راه دور.

با توجه به نحوه پردازش داده های شخصی در سیستم ISPD، آنها به تک کاربره و چند کاربره تقسیم می شوند. سیستم های تک کاربره نادر هستند. به عنوان یک قاعده، حداقل دو نفر حتی در یک محل کار مستقل (در صورت تعطیلات و بیماری) کار می کنند.

طبقه بندی ISPD های چند کاربره به دو دسته تقسیم می شوند:

• بدون تمایز حقوق دسترسی. در چنین سیستم هایی همه کاربران به تمامی اطلاعات دسترسی دارند.
• با تمایز حقوق دسترسی. هر کاربر به بخش مشخصی از اطلاعات موجود در سیستم دسترسی دارد.

بر اساس موقعیت ISPD، آنها به موارد زیر تقسیم می شوند:

سیستم های اطلاعاتیداده های شخصی (ISPD) توسط بسیاری از شرکت ها و سازمان ها در کار خود استفاده می شود. بیایید بفهمیم که چیست و چه تفاوت هایی را باید توسط کسانی که با ISPD کار می کنند در نظر گرفت.

ISPDN چیست؟

به بیان ساده، سیستم اطلاعاتی ISPD برای ذخیره و پردازش داده های شخصی استفاده می شود. از اجزای زیر تشکیل شده است:

• در واقع، مجموعه ای از داده های شخصی ذخیره شده در سیستم، در یک پایگاه داده.
• ابزارهای فنی مورد استفاده برای کار با این داده ها.
• ابزارهایی برای خودکارسازی فرآیندهای حسابداری و پردازش اطلاعات ذخیره شده در ISPD (ممکن است در همه سیستم ها موجود نباشد).

IPDN جدی است

هنگام استفاده از سیستم های مورد نظر، مهم است که از محافظت از داده های شخصی در برابر دسترسی غیرمجاز، از دست دادن و سایر موارد اطمینان حاصل شود. موقعیت های اضطراری. این حتی در سطح قانونگذاری نیز تجویز شده است. و به منظور انجام اقدامات توصیه شده برای محدود کردن دسترسی به اطلاعات و محافظت از آن، ممیزی ISPD انجام می شود (جزئیات بیشتر را می توان به عنوان مثال از متخصصان شرکت Rentacloud پیدا کرد: http://rentacloud.su/services/ zashchita-personalnykh-dannykh /adit/). بر اساس نتایج آن، گزارشی حاوی اطلاعات زیر تهیه می شود:

• دسته ای از داده های شخصی که در سیستم بررسی شده ذخیره و پردازش می شود.
• کلاس و نوع آنها (در زیر در این مورد بیشتر توضیح می دهیم).
• پارامترها و ساختار سیستم مورد مطالعه.
• حجم های PD (تعداد رکوردها و غیره) ذخیره شده و پردازش شده در ISPD.
• اطلاعات در مورد مکان سیستم.
• اطلاعات در مورد امکان دسترسی به پایگاه داده از طریق شبکه های موجود برای استفاده عمومی (LAN، اینترنت و غیره).

ممیزی کاملاً مطابق با سند مشترک تهیه شده توسط وزارت ارتباطات، FSTEC و FSB انجام می شود. بسیار حجیم است و نیاز به مطالعه کامل دارد. در این راستا، ممیزی سیستم و تهیه توصیه هایی که حفاظت از ISPD مبتنی بر آن خواهد بود، باید به متخصصان اعتماد شود. می توانید از خدمات آنها استفاده کنید، به عنوان مثال، با تماس با شرکت "Rentacloud": (http://rentacloud.su).

انواع، کلاس های ISPD و چیزهای دیگری که باید در مورد چنین سیستم هایی بدانید

سیستم های اطلاعات شخصی (PDI) به 4 کلاس و 2 نوع تقسیم می شوند. تقسیم بندی به کلاس ها بر اساس ویژگی هایی مانند دسته داده های شخصی پردازش شده و حجم آنها انجام می شود.

کلاس ها

جدول به شما کمک می کند تا این را بفهمید:

توضیحات جدول

رده شماره 4 شامل داده های شخصی ناشناس است که توسط آنها شناسایی یک موضوع خاص غیرممکن است (به عنوان مثال - داده های آماری). رده 3 شامل PD است که بر اساس آن فقط شناسایی یک فرد امکان پذیر است (آنها کاملاً نادر هستند). دسته 2 شامل داده هایی است که بر اساس آنها می توان شخص را شناسایی کرد و اطلاعات خاصی در مورد او به دست آورد اطلاعات اضافی(به عنوان مثال: سیستم های حقوق و دستمزد در سازمان ها و شرکت ها). دسته اول شامل داده هایی است که حاوی اطلاعات ملیت، وضعیت سلامت و سایر اطلاعات اجتماعی، و اطلاعاتی با ماهیت متفاوت است (به عنوان مثال، پایگاه های داده موسسات مراقبت بهداشتی).

در مورد کلاس های ذکر شده در جدول، انتساب ISDN به آنها بر اساس آسیب احتمالی به افراد در صورت نقض شرایط امنیتی انجام می شود:

• کلاس 4. هرگونه عواقب منفی برای آزمودنی مستثنی است.
• Cl 3. پیامدهای منفی جزئی ممکن است رخ دهد.
• Cl 2. وقوع چنین پیامدهایی.
• Cl 1. عواقب منفی بسیار جدی ممکن است.

انواع ISPD

نوع اول شامل سیستم‌هایی است که عملکردهای حفاظتی ISPD فقط به دستیابی به شاخص‌های مورد نیاز محرمانه بودن آن محدود می‌شود. اگر علاوه بر محرمانه بودن، نیاز به اطمینان از حداقل یک شاخص امنیتی اضافی (اصالت، در دسترس بودن، یکپارچگی داده ها و غیره) وجود داشته باشد. ما در مورددر مورد نوع دوم

شایان ذکر است که اکثر سیستم هایی که امروزه مورد استفاده قرار می گیرند به عنوان نوع دوم طبقه بندی می شوند.

مشاهده می شود که توسعه ISPD، طبقه بندی آنها و ارائه اطلاعات قابل اعتماد، حفاظت موثر- فرآیندهای بسیار پیچیده و چند وجهی. و برای جلوگیری از اشتباه، توصیه می شود این کار را به متخصصان بسپارید. برای این کار می توانید به عنوان مثال با شرکت Rentacloud که یکی از موقعیت های پیشرو در این بازار را به خود اختصاص داده است تماس بگیرید.

"سازمان های بودجه: حسابداری و مالیات"، 1388، شماره 12

از 1 ژانویه 2010، سیستم های اطلاعات شخصی در همه سازمان ها، از جمله موسسات بودجه، باید با الزامات قانون "در مورد داده های شخصی" مطابقت داشته باشند.<1>. آيين نامه هاي متعددي براي اين قانون تصويب شد و در نتيجه در حال حاضر تفسيرهاي متفاوتي از وظايف نهادهاي دولتي و شهرداري در رابطه با سيستم هاي اطلاعاتي آنها ارائه شده است. این مقاله مفاد قانون فعلی را تجزیه و تحلیل می کند و الزامات اجباری را برجسته می کند.

<1>قانون فدرال 27 ژوئیه 2006 N 152-FZ.

با توجه به هنر. 1 قانون "در مورد داده های شخصی"، این قانون فدرال روابط مربوط به پردازش داده های شخصی انجام شده توسط نهادهای دولت فدرال، نهادهای دولتی نهادهای تشکیل دهنده را تنظیم می کند. فدراسیون روسیه، دیگر سازمان های دولتی، ارگانهای دولت محلی مشمول نظام ارگانهای حکومتی محلی، ارگانهای شهرداری، حقوقی و اشخاص حقیقیبا استفاده از ابزارهای اتوماسیون یا بدون استفاده از چنین ابزارهایی، اگر پردازش داده های شخصی بدون استفاده از چنین ابزارهایی با ماهیت اقدامات (عملیات) انجام شده با داده های شخصی با استفاده از ابزارهای اتوماسیون مطابقت دارد.

چنین توجهی به مسائل اتوماسیون پردازش داده های شخصی مستلزم رعایت هنجارهای قانونی خاص در مورد استفاده است. فناوری اطلاعات. در عین حال، مطالعه دقیق چارچوب نظارتی ضروری است که در حال حاضر می توان آن را بسیار مبهم تفسیر کرد، به ویژه از نظر ارائه الزامات برای سیستم های اطلاعاتی.

مفهوم "سیستم اطلاعات" در قوانین فعلی

مطابق با قانون فدرال "در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات"<2> سیستم اطلاعات- مجموع اطلاعات موجود در پایگاه های اطلاعاتی و فناوری های اطلاعاتی که پردازش آن را تضمین می کند و وسایل فنی. بر اساس این تعریف می توان نتیجه گرفت که هیچ سیستم اطلاعاتی بدون استفاده وجود ندارد تجهیزات کامپیوترو مربوطه نرم افزار.

<2>قانون فدرال 27 ژوئیه 2006 N 149-FZ.

با این حال، در هنر. 3 قانون "در مورد داده های شخصی" تعریف گسترده تری ارائه می دهد سیستم اطلاعات: این مجموعه ای از داده های شخصی موجود در پایگاه داده و همچنین فناوری اطلاعات و ابزارهای فنی است که امکان پردازش چنین داده های شخصی را فراهم می کند. با یا بدون استفاده از ابزارهای اتوماسیون.

اجازه دهید اجزای این تعریف را تجزیه و تحلیل کنیم، که تعاریف آن را می توان در قانون فدرال "در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات"، سایر قوانین و مقررات دولت فدراسیون روسیه یافت.

زیر پایگاه دادهبه عنوان مجموعه ای از داده های به هم پیوسته سازمان یافته بر روی رسانه های قابل خواندن توسط ماشین (مقررات موقت در مورد حسابداری دولتی و ثبت پایگاه های داده و بانک های داده) درک می شود.<3>). با این حال، در بخش چهارم قانون مدنی فدراسیون روسیه (بند 2، بند 2، ماده 1260)، تعریف دقیق تری ارائه شده است. پایگاه داده: این مجموعه ای از مواد مستقل است که به شکل عینی ارائه شده است (مقالات، محاسبات، مقررات، تصمیمات دادگاهو سایر مواد مشابه)، به گونه ای سیستماتیک شده است که این مواد را می توان با استفاده از الکترونیک یافت و پردازش کرد کامپیوتر(کامپیوتر).

<3>تصویب شده با فرمان دولت فدراسیون روسیه در 28 فوریه 1996 N 226.

فناوری اطلاعات- فرآیندها، روش‌های جستجو، جمع‌آوری، ذخیره‌سازی، پردازش، ارائه، توزیع اطلاعات و روش‌های اجرای چنین فرآیندها و روش‌هایی (قانون فدرال «در مورد اطلاعات، فناوری‌های اطلاعات و حفاظت از اطلاعات»).

زیر وسایل فنیکه امکان پردازش داده های شخصی را به عنوان وسیله ای در نظر می گیرند فناوری رایانهمجموعه‌ها و شبکه‌های اطلاعاتی و محاسباتی، ابزارها و سیستم‌های انتقال، دریافت و پردازش داده‌های شخصی (وسایل و سیستم‌های ضبط صدا، تقویت صدا، بازتولید صدا، اتاق جلسات و دستگاه های تلویزیونیابزاری برای تولید، تکثیر اسناد و سایر ابزارهای فنی برای پردازش گفتار، گرافیک، ویدئو و اطلاعات الفبایی) نرم افزار ( سیستم عامل، سیستم های مدیریت پایگاه داده و موارد مشابه)، ابزارهای امنیت اطلاعات مورد استفاده در سیستم های اطلاعاتی (مقررات تضمین امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات شخصی<4>).

<4>تصویب شده با فرمان دولت فدراسیون روسیه در 17 نوامبر 2007 N 781.

بنابراین، ابزار فنی هم شامل دستگاه‌های کپی و هم نرم‌افزار می‌شود، اما مفهوم کلیدی در تعریف سیستم اطلاعات شخصی، مفهوم «پایگاه داده» است. از این تعریف نتیجه می شود که پایگاه داده با استفاده از رایانه پردازش می شود (رسانه باید قابل خواندن ماشین باشد). اگر پردازش بدون استفاده از رایانه و پایگاه داده (رسانه های قابل خواندن توسط ماشین) انجام شود، به طور رسمی هیچ سیستم اطلاعاتی وجود ندارد. علاوه بر این، بدون ابزار فنی که امکان پردازش داده های شخصی را فراهم می کند، پایگاه داده نیز نمی تواند به عنوان یک سیستم اطلاعاتی شناسایی شود. علاوه بر این، سیستم‌های اطلاعاتی فقط مجموعه‌ای از تجهیزات رایانه‌ای و برنامه‌های خاصی نیستند که اطلاعات پایگاه‌های داده را پردازش می‌کنند، بلکه ممکن است از ابزارهای اتوماسیون استفاده کنند یا نکنند.

منظور از ابزارهای اتوماسیون چیست؟

دیدگاهی وجود دارد که طبق آن استفاده از اتوماسیون به معنای هر گونه است پردازش کامپیوترییا پردازش با لوازم برقی. اگر پایگاه داده در رایانه ذخیره شده باشد (به عنوان مثال، صفحه گستردهیا برنامه حسابداری) یا مثلاً در نوت بوک تلفن همراه، پس این در حال حاضر پردازش خودکار داده های شخصی است و منوط به اطلاع رسانی به Roskomnadzor است. علاوه بر این، برخی از کارشناسان معتقدند که پردازش بدون استفاده از ابزارهای اتوماسیون فقط بر روی کاغذ (در مجلاتی که با دست پر می شوند، در فهرست های دست نویس) قابل انجام است.

مطابق با قسمت 3 هنر. 4 قانون "در مورد داده های شخصی"، ویژگی های پردازش داده های شخصی که بدون استفاده از ابزارهای اتوماسیون انجام می شود، ممکن است توسط قوانین فدرال و سایر اقدامات قانونی نظارتی فدراسیون روسیه با در نظر گرفتن مفاد این قانون فدرال تعیین شود.

فرمان دولت فدراسیون روسیه مورخ 15 سپتامبر 2008 N 687 مقررات مربوط به ویژگی های پردازش داده های شخصی انجام شده بدون استفاده از ابزارهای اتوماسیون را تصویب کرد. بر اساس بند 1 آیین نامه مذکور، پردازش داده های شخصی موجود در سیستم اطلاعات داده های شخصی یا استخراج شده از چنین سیستمی (از این پس داده های شخصی نامیده می شود) بدون استفاده از ابزارهای اتوماسیون (غیر) انجام می شود. خودکار)، اگر چنین اقداماتی با داده های شخصی مانند استفاده، شفاف سازی، انتشار و تخریب داده های شخصی در رابطه با هر یک از موضوعات داده های شخصی با مشارکت مستقیم شخص انجام شود.

بیایید معکوس کنیم توجه ویژهبا توجه به این واقعیت که طبق بند 2 آیین نامه در مورد ویژگی های پردازش داده های شخصی که بدون استفاده از ابزارهای اتوماسیون انجام می شود، پردازش داده های شخصی را نمی توان با استفاده از ابزارهای اتوماسیون انجام داد تنها بر اساس اینکه آنها موجود هستند. در سیستم اطلاعاتی یا از آن استخراج شده اند.

بنابراین می توان بیان کرد که از نظر تعاریف موجود در قانون فعلیاکثریت قریب به اتفاق سیستم های اطلاعاتی در موسسات دولتی و شهری را می توان به طور رسمی بدون استفاده از ابزارهای اتوماسیون (از جمله بخش قابل توجهی از نرم افزار حسابداری) پیاده سازی شده در نظر گرفت. پس از همه، تمام کارت های چهره در این سیستم ها به صورت دستی در پنجره های مناسب ویرایش می شوند. برای از بین بردن فیس کارت ها نیز لازم است توسط اپراتور آنها را در لیست انتخاب کرده و فشار دهید کلید ویژهبرای حذف داده ها حتی بایگانی نیز انجام می شود برنامه ویژه، که توسط یک شخص راه اندازی می شود.

و اینجا برنامه های مختلف، به شما امکان می دهد داده ها را مجدداً قالب بندی کنید (از جمله از قالب یک برنامه حسابداری به قالب، به عنوان مثال، یک برنامه صندوق بازنشستگی) و اجرای آنها ورودی خودکارو انتقال بیشتر بدون اشاره به هر سابقه کارمند خاص ممکن است به عنوان پردازش خودکار داده طبقه بندی شود. در عین حال، پردازش داده های شخصی (شامل نام خانوادگی، نام، نام خانوادگی، شماره گواهی بازنشستگی و غیره) بخشی جدایی ناپذیر از چنین برنامه هایی است.

در عین حال، اگر انتقال داده ها به برنامه های دیگر (از جمله برای اهداف حسابداری مالیاتی) به طور کامل به طور خودکار انجام نشود، اما با کمک شخصی که در پردازش داده های شخصی شرکت دارد، در این صورت چنین پردازشی نیز نمی تواند خودکار در نظر گرفته شود. .

در این راستا، توصیه‌های آژانس فدرال آموزش، که در نامه شماره 17-110 مورخ 29 ژوئیه 2009 «در مورد تضمین حفاظت از داده‌های شخصی» آمده است، در عمل کاربرد نسبتاً محدودی دارد. به منظور خودکارسازی پردازش داده های شخصی در پرسشنامه ها، Rosobrazovanie توصیه می کند علاوه بر این موارد داخلی را نشان دهد. یک شماره شناسایی(کد شخصی) موضوع داده های شخصی، اختصاص داده شده برای کل دوره تحصیل یا کار. این به شما این امکان را می‌دهد که اگر پایگاه‌های اطلاعاتی حاوی داده‌های شخصی دیگر نیستند، ناشناس کنید و هزینه حفاظت از اطلاعات را به میزان قابل توجهی کاهش دهید.

با این حال، برای اتوماسیون فعالیت های مدیریتیدر یک مؤسسه ایالتی یا شهرداری، حداقل نام خانوادگی، نام، نام خانوادگی کارکنان، دانش آموزان و غیره و همچنین تعدادی دیگر از اطلاعات شخصی مورد نیاز است (برای کارمندان، به عنوان مثال، اطلاعات مربوط به درآمد آنها برای حسابداری و اهداف مالیاتی). درخواست تجدید نظر به کدهای شخصیموجود در جزوات (پرسشنامه)، با بقیه پردازش داده ها با استفاده از نرم افزار شبیه به حداقلبه طور عجیبی، کاهش اثربخشی اجرای فناوری های نوین اطلاعاتی. علاوه بر این، بسته به فرم پرسشنامه های مورد استفاده، می توان آنها را به عنوان بخشی از سیستم اطلاعاتی شناخت (به عنوان بخشی جدایی ناپذیرپایگاه داده)، که به طور کامل کدگذاری اضافی را بی معنی می کند (در صورت توصیه به غیر شخصی کردن داده ها، به عنوان مثال، برای تحقیقات آماری، چنین کدگذاری لازم است).

پردازش اطلاعات شخصی بدون استفاده از ابزارهای اتوماسیون

بنابراین، همانطور که در بالا مورد بحث قرار گرفت، علیرغم کامپیوتری شدن فعالیت ها، در اغلب موارد پردازش داده های شخصی در موسسات دولتی و شهرداری بدون استفاده از ابزارهای اتوماسیون (غیر خودکار) انجام می شود و بر این اساس، توسط مقررات مربوط تنظیم می شود. ویژگی های پردازش داده های شخصی که بدون استفاده از ابزارهای اتوماسیون انجام می شود<5>.

<5>تصویب شده با فرمان دولت فدراسیون روسیه در 15 سپتامبر 2008 N 687.

افرادی که چنین پردازشی را انجام می دهند (از جمله کارکنان سازمان اپراتور یا افرادی که تحت توافق نامه با اپراتور کار می کنند) باید از واقعیت پردازش داده های شخصی خود بدون استفاده از ابزارهای اتوماسیون، دسته های داده های شخصی پردازش شده و همچنین مطلع شوند. در مورد ویژگی ها و قوانین انجام چنین پردازشی که توسط قوانین قانونی نظارتی مقامات اجرایی فدرال، مقامات اجرایی نهادهای تشکیل دهنده فدراسیون روسیه و اقدامات محلی یک موسسه آموزشی تعیین شده است.

داده های شخصی، هنگامی که بدون استفاده از ابزارهای اتوماسیون پردازش می شوند، باید از سایر اطلاعات، به ویژه با ثبت آنها در رسانه های ملموس جداگانه، در بخش های خاص یا در زمینه فرم ها (فرم ها) جدا شوند.

در عین حال، ثبت اطلاعات شخصی در یک رسانه مادی در صورتی که اهداف پردازش آنها آشکارا ناسازگار باشد، مجاز نیست. در این مورد، برای هر دسته از داده های شخصی باید از یک رسانه ملموس جداگانه استفاده شود.

و بنابراین، پردازش باید به گونه ای انجام شود که برای هر دسته از داده های شخصی وجود داشته باشد:

• مکان‌های ذخیره‌سازی تعیین شده و فهرستی از افرادی که داده‌ها را پردازش می‌کنند یا به آن دسترسی دارند، ایجاد شده است.
• ذخیره سازی جداگانه داده های شخصی (رسانه های ملموس) تضمین می شود که پردازش آن برای اهداف مختلف انجام می شود.
• شرایطی برای اطمینان از ایمنی داده های شخصی و جلوگیری از دسترسی غیرمجاز به آن رعایت شده است.

فهرست اقدامات لازم برای اطمینان از چنین شرایطی، روش اتخاذ آنها، و همچنین فهرستی از افراد مسئول اجرای این اقدامات، توسط موسسه آموزشی مطابق با الزامات قوانین قانونی نظارتی در مورد حمایت از آنها تعیین می شود. اطلاعات شخصی.

اگر اهداف پردازش داده‌های شخصی ثبت‌شده در یک رسانه مادی ناسازگار باشد، اگر اجازه پردازش جدا از سایر داده‌های شخصی ثبت‌شده در همان رسانه را نمی‌دهد، باید اقداماتی برای اطمینان از پردازش جداگانه انجام شود، به ویژه:

• در صورت لزوم استفاده یا توزیع برخی از داده‌های شخصی جداگانه از سایر داده‌های مستقر در همان رسانه مادی، داده‌هایی که در معرض توزیع یا استفاده قرار می‌گیرند به نحوی کپی می‌شوند که مانع از کپی همزمان داده‌هایی شود که مشمول توزیع و استفاده نیستند. و یک کپی از داده های شخصی استفاده می شود (توزیع)؛
• در صورت لزوم از بین بردن یا مسدود کردن بخشی از داده های شخصی، رسانه مادی با کپی اولیه اطلاعاتی که در معرض تخریب یا مسدود شدن نیست، از بین می رود یا مسدود می شود، به نحوی که از کپی همزمان داده های شخصی در معرض تخریب یا مسدود شدن جلوگیری شود. .

تخریب یا غیرشخصی بخشی از داده‌های شخصی، در صورتی که توسط یک رسانه ملموس مجاز باشد، می‌تواند به گونه‌ای انجام شود که مانع از پردازش بیشتر این داده‌های شخصی شود، در حالی که امکان پردازش سایر داده‌های ثبت شده در یک رسانه محسوس (حذف، پاک کردن) حفظ می‌شود. .

شفاف سازی داده های شخصی هنگام پردازش آنها بدون استفاده از ابزارهای اتوماسیون با به روز رسانی یا تغییر داده ها در یک رسانه ملموس انجام می شود و اگر این مجاز نباشد ویژگی های فنیرسانه مادی - با ثبت اطلاعات روی همان رسانه در مورد تغییرات ایجاد شده در آنها یا با تولید یک رسانه جدید با اطلاعات شخصی به روز شده.

پردازش اطلاعات شخصی با استفاده از ابزارهای اتوماسیون

مقررات مربوط به حصول اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات شخصی، الزاماتی را برای اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات شخصی، که مجموعه ای از داده های شخصی موجود در پایگاه های داده و همچنین اطلاعات هستند، ایجاد می کند. فن آوری ها و ابزارهای فنی

به شرح زیر از بند 1 این آیین نامه، اصطلاح "سیستم های اطلاعاتی" فقط به سیستم های اطلاعاتی اطلاق می شود که امکان پردازش داده های شخصی با استفاده از ابزارهای اتوماسیون را فراهم می کند، بنابراین الزامات این آیین نامه در مورد سیستم های اطلاعاتی که در آنها پردازش داده ها بدون استفاده از ابزارهای اتوماسیون انجام می شود، اعمال نمی شود.

اگر یک مؤسسه ایالتی یا شهرداری پردازش خودکار داده های شخصی را انجام دهد، باید شرایط زیر برآورده شود.

با توجه به مقررات مربوط به اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات شخصی، امنیت داده های شخصی حاصل می شود:

• با حذف دسترسی غیرمجاز، از جمله تصادفی، به داده های شخصی، که ممکن است منجر به تخریب، تغییر، مسدود کردن، کپی کردن، توزیع داده های شخصی شود.
• با حذف سایر اقدامات غیرمجاز.

امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعاتی با استفاده از آن تضمین می شود سیستم های حفاظت از داده های شخصی، شامل:

• اقدامات سازمانی؛
• ابزارهای امنیت اطلاعات؛
• فناوری اطلاعات.

اقدامات امنیت اطلاعات عبارتند از:

• رمزگذاری (رمز نگاری) به معنی؛
• وسایل جلوگیری از دسترسی غیرمجاز؛
• ابزاری برای جلوگیری از نشت اطلاعات کانال های فنی;
• ابزاری برای جلوگیری از تأثیرات نرم افزاری و سخت افزاری بر ابزارهای فنی پردازش داده های شخصی.

برای اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعاتی، حفاظت انجام می شود اطلاعات گفتارو اطلاعات پردازش شده با ابزار فنی و همچنین اطلاعات ارائه شده در قالب اطلاعاتی سیگنال های الکتریکی، میدان های فیزیکی، رسانه های روی کاغذ، مغناطیسی، مغناطیسی نوری و سایر پایه ها.

درخواست های کاربران سیستم اطلاعاتی برای به دست آوردن اطلاعات شخصی و همچنین حقایق ارائه داده ها در مورد این درخواست ها باید ثبت شود. با وسایل خودکارسیستم اطلاعاتی در لاگ الکترونیکی درخواست ها در عین حال محتوا مجله الکترونیکیدرخواست ها باید به طور دوره ای توسط مقامات (کارمندان) مربوطه اپراتور یا شخص مجاز تأیید شود.

در صورت مشاهده تخلف از رویه ارائه داده های شخصی، اپراتور یا شخص مجاز فوراً ارائه داده های شخصی به کاربران سیستم اطلاعاتی را تا شناسایی و رفع علل تخلفات متوقف می کند.

سخت افزار و نرم افزار باید الزامات تعیین شده مطابق با قوانین فدراسیون روسیه را برای اطمینان از حفاظت از اطلاعات برآورده کنند. در عین حال، روش ها و روش هایی برای حفاظت از اطلاعات در سیستم های اطلاعاتی ایجاد می شود خدمات فدرالبرای کنترل فنی و صادرات (FSTEC) و سرویس امنیت فدرال (FSB) در محدوده اختیارات خود.

امنیت داده های شخصی هنگام پردازش در سیستم اطلاعاتی توسط اپراتور یا شخصی که اپراتور بر اساس توافق نامه پردازش داده های شخصی را به او واگذار می کند تضمین می شود. افرادی که دسترسی آنها به داده های شخصی پردازش شده در سیستم اطلاعاتی برای انجام وظایف رسمی (کار) ضروری است، مجاز به دسترسی به داده های شخصی مربوطه بر اساس لیستی که توسط اپراتور یا شخص مجاز تأیید شده است، می باشند. شرط اساسی قرارداد، تعهد شخص مجاز به اطمینان از محرمانه بودن و امنیت داده های شخصی هنگام پردازش در سیستم اطلاعاتی است.

ابزارهای امنیت اطلاعات مورد استفاده در سیستم های اطلاعاتی، در به روش مقررتحت یک روش ارزیابی انطباق تبادل اطلاعات شخصی در حین پردازش آنها در سیستم های اطلاعاتی از طریق کانال های ارتباطی انجام می شود که حفاظت از آنها با اجرای مناسب تضمین می شود. اقدامات سازمانیو (یا) از طریق استفاده از وسایل فنی.

در عین حال، سیستم های اطلاعاتی توسط ارگان های دولتی، ارگان های شهرداری، اشخاص حقوقی یا افراد سازماندهی و (یا) پردازش داده های شخصی و همچنین تعیین اهداف و محتوای پردازش داده های شخصی طبقه بندی می شوند. حجم داده های شخصی پردازش شده توسط آنها و تهدیدات امنیتی برای منافع حیاتی افراد، جامعه و دولت.

روش طبقه بندی سیستم های اطلاعاتی به طور مشترک توسط سرویس فدرال کنترل فنی و صادرات، سرویس امنیت فدرال و وزارت فناوری اطلاعات و ارتباطات ایجاد می شود. این رویه توسط دستور تعیین می شود FSTEC روسیه، FSB روسیه، وزارت اطلاعات و ارتباطات روسیه مورخ 13 فوریه 2008 N 55/86/20.

علاوه بر این، الزامات برای اماکن و امنیت آنها تشریح شده است. طبق بند 8 آیین نامه در مورد اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات شخصی، قرار دادن سیستم های اطلاعاتی، تجهیزات خاصو حفاظت از اماکنی که در آن کار با داده های شخصی انجام می شود، سازماندهی یک رژیم امنیتی در این مکان ها باید ایمنی حامل های داده های شخصی و تجهیزات امنیت اطلاعات را تضمین کند و همچنین امکان ورود یا اقامت کنترل نشده در این مکان ها را از بین ببرد. افراد غیر مجاز.

برای این منظور دولت و نهادهای شهرداریباید آلارم های اضافی را در محل مشخص شده نصب کنید، در درها - قفل های اضافی یا درهای فلزی.

اقدامات برای اطمینان از امنیت داده های شخصی در طول پردازش آنها در سیستم های اطلاعاتی عبارتند از:

الف) شناسایی تهدیدات برای امنیت داده های شخصی در طول پردازش آنها، تشکیل یک مدل تهدید بر اساس آنها.

ب) توسعه، بر اساس مدل تهدید، یک سیستم حفاظت از داده های شخصی که خنثی کردن تهدیدات ادعایی را با استفاده از روش ها و روش هایی برای محافظت از داده های شخصی ارائه شده برای کلاس مربوطه از سیستم های اطلاعاتی تضمین می کند.

ج) بررسی آمادگی ابزارهای امنیت اطلاعات برای استفاده با نتیجه گیری در مورد امکان عملیات آنها.

د) نصب و راه اندازی وسایل امنیت اطلاعات مطابق با اسناد عملیاتی و فنی.

ه) آموزش افراد با استفاده از ابزارهای امنیت اطلاعات مورد استفاده در سیستم های اطلاعاتی در مورد قوانین کار با آنها.

و) حسابداری ابزار حفاظت اطلاعات مورد استفاده، اسناد عملیاتی و فنی برای آنها، حامل های داده های شخصی.

ز) حسابداری افرادی که مجاز به کار با داده های شخصی در سیستم اطلاعاتی هستند.

ح) کنترل بر رعایت شرایط استفاده از ابزارهای امنیت اطلاعات مندرج در اسناد عملیاتی و فنی.

ط) بررسی و نتیجه گیری در مورد حقایق عدم رعایت شرایط ذخیره سازی حامل های داده های شخصی، استفاده از اقدامات امنیت اطلاعات که ممکن است منجر به نقض محرمانه بودن داده های شخصی یا سایر موارد نقض شود که منجر به کاهش سطح شود. امنیت اطلاعات شخصی، توسعه و اتخاذ تدابیری برای جلوگیری از عواقب خطرناک احتمالی چنین تخلفاتی؛

ی) شرح سیستم حفاظت از داده های شخصی.

افرادی که دسترسی دارند پایگاه های اطلاعاتیبا داده های شخصی، تعهدات مربوط به عدم افشای اطلاعات محرمانه را امضا کنید (چنین تعهدی ممکن است در قرارداد کار نیز گنجانده شود). تنها پس از این، موسسه آموزشی به آنها اجازه می دهد تا داده های شخصی را پردازش کنند.

هنگام پردازش داده های شخصی در سیستم اطلاعاتی، مؤسسه آموزشی باید اطمینان حاصل کند:

الف) انجام اقدامات با هدف جلوگیری از دسترسی غیرمجاز به داده های شخصی و (یا) انتقال آنها به افرادی که حق دسترسی به چنین اطلاعاتی را ندارند.

ب) تشخیص به موقع حقایق دسترسی غیرمجاز به داده های شخصی؛

ج) جلوگیری از تأثیرگذاری بر ابزارهای فنی پردازش خودکار داده‌های شخصی، که در نتیجه ممکن است عملکرد آنها مختل شود.

د) امکان بازیابی فوری داده های شخصی تغییر یافته یا از بین رفته به دلیل دسترسی غیرمجاز به آن؛

ه) نظارت مداوم بر تضمین سطح امنیت داده های شخصی.

برای توسعه و اجرای اقداماتی برای اطمینان از امنیت داده های شخصی در طول پردازش آنها در سیستم اطلاعاتی، یک اپراتور یا یک فرد مجاز ممکن است یک واحد ساختاری یا اجرایی(کارمند) مسئول تضمین امنیت داده های شخصی است.

همچنین باید به این نکته توجه ویژه داشته باشید که طبق بند 17 آیین نامه تضمین امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات شخصی، اجرای الزامات تضمین امنیت اطلاعات در ابزارهای امنیت اطلاعات به آنها واگذار شده است. توسعه دهندگان

کفایت اقدامات انجام شدهبرای اطمینان از امنیت داده های شخصی در طول پردازش آنها در سیستم های اطلاعاتی در طول کنترل و نظارت دولتی ارزیابی می شود.

طبقه بندی سیستم های اطلاعات شخصی

طبقه بندی سیستم های اطلاعات داده های شخصی که امکان پردازش این داده ها با استفاده از ابزارهای اتوماسیون را فراهم می کند توسط مؤسسه آموزشی - اپراتور مطابق با روش طبقه بندی سیستم های اطلاعات داده های شخصی انجام می شود.<6>بسته به دسته داده های پردازش شده و کمیت آن.

<6>تایید شده توسط FSTEC روسیه، FSB روسیه، وزارت اطلاعات و ارتباطات روسیه مورخ 13 فوریه 2008 N 55/86/20.

چهار دسته از داده های شخصی زیر ایجاد می شوند:

1. داده های شخصی مربوط به نژاد، ملیت، دیدگاه های سیاسی، اعتقادات مذهبی و فلسفی، سلامتی، زندگی صمیمی؛
2. داده های شخصی که امکان شناسایی موضوع داده های شخصی و به دست آوردن اطلاعات در مورد او را فراهم می کند اطلاعات تکمیلی، به استثنای داده های شخصی متعلق به دسته اول؛
3. داده های شخصی که امکان شناسایی موضوع داده های شخصی را فراهم می کند.
4. داده های شخصی ناشناس و (یا) در دسترس عموم.

در هر دانشگاه، در غرفه های عمومی می توانید لیست های مختلفی از دانشجویان، از جمله ترکیبی از نام کامل را پیدا کنید. دانش آموز، دوره، گروه، که به شما امکان می دهد دانش آموز را به طور منحصر به فرد شناسایی کنید. در نتیجه، چنین ترکیبی از داده های شخصی آنها را مجبور می کند که به عنوان داده های شخصی دسته سوم طبقه بندی شوند. قرار دادن این داده ها در یک مکان در دسترس عموم به طور رسمی نیاز به رضایت دانش آموز دارد.

کارت شخصی یک کارمند (فرم T-2)، پرونده شخصی دانش آموز به دسته دوم تعلق دارد، زیرا این داده های شخصی است که نه تنها امکان شناسایی موضوع داده های شخصی، بلکه به دست آوردن اطلاعات اضافی در مورد او را نیز فراهم می کند.

سیستم های اطلاعات شخصی به دو دسته استاندارد و ویژه تقسیم می شوند. سیستم‌های معمولی شامل سیستم‌هایی هستند که فقط محرمانه بودن داده‌های شخصی را می‌طلبند. تمام سیستم های دیگر به عنوان ویژه طبقه بندی می شوند.

سیستم های اطلاعاتی ویژه نیز باید شامل موارد زیر باشد:

• سیستم های اطلاعاتی که در آن داده های شخصی مربوط به وضعیت سلامت افراد داده های شخصی پردازش می شود.
• سیستم‌های اطلاعاتی که صرفاً بر اساس پردازش خودکار داده‌های شخصی، تصمیماتی را اتخاذ می‌کنند که منجر به عواقب قانونی در رابطه با موضوع داده‌های شخصی می‌شود یا به نحوی دیگر بر حقوق و منافع مشروع وی تأثیر می‌گذارد.

بر اساس طبقه بندی فوق، می توان بیان کرد که هر گونه اطلاعات پزشکی و همچنین سوابق پرسنلی حاوی ستون "ملیت" (و اینها تقریباً همه پرسشنامه های معتبر هستند و برگه های شخصیسوابق پرسنلی که در حال حاضر استفاده می شوند) باید در دسته اول طبقه بندی شوند.

بر اساس نتایج تجزیه و تحلیل داده های موجود، یک سیستم اطلاعاتی معمولی به یکی از چهار کلاس مشخص شده در روش طبقه بندی سیستم های اطلاعات داده های شخصی اختصاص داده می شود.

کلاس یک سیستم اطلاعاتی ویژه بر اساس مدلی از تهدیدات برای امنیت داده های شخصی بر اساس نتایج تجزیه و تحلیل داده های منبع مطابق با اسناد روش شناختی FSTEC تعیین می شود.

FSTEC صادر شد اسناد زیرنئوپان که فقط با تماس با این مرجع قابل دریافت است:

• فعالیت های اصلی برای سازماندهی و پشتیبانی فنیامنیت داده های شخصی پردازش شده در سیستم های اطلاعات شخصی، مورخ 15 فوریه 2008؛
• مدل اصلی تهدیدات برای امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی مورخ 15 فوریه 2008.
• روش شناسایی تهدیدات فعلی برای امنیت داده های شخصی در طول پردازش آنها در سیستم های اطلاعات داده های شخصی مورخ 15 فوریه 2008؛
• توصیه هایی برای اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی مورخ 15/02/2008.

این اسناد روش‌شناختی شامل الزامات متعددی است که برای اکثر مؤسسات دولتی یا شهرداری به دلایل سازمانی و مالی بسیار دشوار است.

اعلامیه، گواهی (تصدیق) و مجوز فعالیت برای حفاظت از داده های شخصی

اسناد روش‌شناختی FSTEC که در بالا فهرست شده‌اند، روش زیر را برای ارزیابی انطباق درجه امنیت سیستم‌های اطلاعاتی با الزامات امنیتی ایجاد می‌کنند:

• برای سیستم های اطلاعاتی کلاس اول و دوم، مطابقت درجه امنیت با الزامات امنیتی توسط صدور گواهینامه اجباری(گواهینامه)؛
• برای سیستم های اطلاعاتی طبقه سوم، انطباق با الزامات امنیتی با صدور گواهینامه (گواهینامه) یا (به انتخاب اپراتور) اعلامیه انطباق انجام شده توسط اپراتور داده های شخصی تأیید می شود.
• برای سیستم های اطلاعاتی کلاس چهارم، ارزیابی انطباق تنظیم نمی شود و به صلاحدید اپراتور داده های شخصی انجام می شود.

اعلامیه انطباق- این تأییدیه انطباق ویژگی های سیستم اطلاعات داده های شخصی با الزامات تعیین شده توسط قانون، اسناد حاکم و نظارتی FSTEC و FSB است.

اعلام انطباق می تواند بر اساس شواهد خود یا شواهد به دست آمده با مشارکت سازمان های درگیر که دارای مجوزهای لازم هستند انجام شود. لیست ارگان ها (سازمان ها) برای صدور گواهینامه سیستم صدور گواهینامه امنیت اطلاعات برای الزامات امنیت اطلاعات که می توان با آنها تماس گرفت. موسسات آموزشیو مراجع آموزشی که ندارند متخصصان لازمو مجوزها نیز ثبت نام دولتیابزارهای تایید شده امنیت اطلاعات در وب سایت FSTEC قرار داده شده است. هزینه چنین روش هایی بسیار بالا است و به صدها هزار روبل می رسد.

در مورد اعلامیه ای بر اساس شواهد خود، اپراتور به طور مستقل مجموعه ای از اسناد را تولید می کند، مانند: مستندات فنی، سایر اسناد و نتایج تحقیقات خود ما، که به عنوان مبنای انگیزشی برای تأیید انطباق سیستم اطلاعات شخصی با همه الزامات لازممورد نیاز برای کلاس سوم

آزمون های تصدیق (گواهی).توسط سازمان هایی انجام می شود که مجوزهای لازم FSTEC را دارند. در عین حال، صدور گواهینامه به عنوان مجموعه ای از اقدامات درک می شود که امکان انطباق یک سیستم اطلاعاتی را با الزامات امنیت اطلاعات برای کلاس اعلام شده، مندرج در اسناد نظارتی و روش شناختی FSTEC فراهم می کند.

تست‌های تایید (گواهی‌نامه) شامل تجزیه و تحلیل سیستم‌های اطلاعات شخصی در حال حاضر در این مرکز و همچنین دوباره موجود است. تصمیمات گرفته شدهبرای اطمینان از امنیت اطلاعات و شامل تأیید موارد زیر:

• اقدامات سازمانی و نظارتی برای تضمین امنیت اطلاعات؛
• امنیت اطلاعات از نشت از طریق کانال های فنی (PEMIN)؛
• امنیت اطلاعات از دسترسی غیرمجاز

بر اساس نتایج آزمون های صدور گواهینامه، تصمیم به صدور گواهی انطباق سیستم اطلاعاتی با کلاس اعلام شده الزامات امنیت اطلاعات گرفته می شود. این گواهی برای مدت سه سال صادر می شود.

اسناد روش شناختی FSTEC همچنین الزامات اضافی را برای در دسترس بودن مجوزها برای انجام فعالیت هایی برای محافظت از داده های شخصی ایجاد می کند. بدون مجوزهای مناسب، چنین رویدادهایی فقط برای سیستم های اطلاعاتی درجه سه و چهارم امکان پذیر است.

برای انجام اقداماتی برای اطمینان از امنیت داده های شخصی برای سیستم های اطلاعاتی خاص، سیستم های کلاس اول و دوم و سیستم های توزیع شده (از جمله آن هایی که به اینترنت متصل هستند) کلاس سوم، اپراتورها ملزم به دریافت مجوز FSTEC در شرایط مقرر هستند. نحوه عملکرد حفاظت فنی اطلاعات محرمانه.

قانونی بودن الزامات انجام اظهارنامه، گواهی (تصدیق) و مراحل صدور مجوز توسط موسسات دولتی و شهرداری بر اساس اسناد روش شناختی FSTEC تردیدهای جدی را ایجاد می کند.

مقررات مربوط به روش رسیدگی به اطلاعات رسمی توزیع محدود در مقامات اجرایی فدرال<7>(بند 1.2) اطلاعات اختصاصی توزیع محدود اطلاعات طبقه بندی نشده مربوط به فعالیت های سازمان ها را به عنوان اطلاعات اختصاصی طبقه بندی می کند که محدودیت های توزیع آن توسط نیازهای رسمی دیکته می شود. ایجاد مسئولیت برای صدور مجوز فعالیت سازمان ها به هیچ وجه توسط اطلاعات DSP قابل تشخیص نیست.

<7>تصویب شده با فرمان دولت فدراسیون روسیه در 3 نوامبر 1994 N 1233.

مسئولیت های صدور مجوز گونه های منفردفعالیت ها، از جمله فعالیت های حفاظت فنی از اطلاعات محرمانه، توسط قانون فدرال "در مورد مجوز انواع خاصی از فعالیت ها" تعریف شده است.<8>. روش صدور مجوز فعالیت برای حفاظت فنی از اطلاعات محرمانه انجام شده توسط اشخاص حقوقیو کارآفرینان فردی که با فرمان دولت فدراسیون روسیه در 15 اوت 2006 N 504 تعیین شده است.

<8>قانون فدرال 08.08.2001 N 128-FZ.

نه مقررات مربوط به مجوز فعالیت برای حفاظت فنی از اطلاعات محرمانه، و نه رویه طبقه بندی سیستم های اطلاعات اطلاعات شخصی، تعهداتی را برای فعالیت های مجوز برای حفاظت فنی از اطلاعات محرمانه بسته به کلاس سیستم اطلاعاتی ایجاد نمی کند. این الزامات در سند DSP ایجاد شده است - اقدامات اساسی برای سازماندهی و پشتیبانی فنی امنیت PD پردازش شده در ISPD.

مقررات مربوط به اطمینان از امنیت داده های شخصی در طول پردازش آنها در سیستم های اطلاعات داده های شخصی تنها موارد زیر را تعیین می کند:

• ابزارهای امنیت اطلاعات مورد استفاده در سیستم های اطلاعاتی تحت یک روش ارزیابی انطباق به روش مقرر (بند 5) قرار می گیرند - یعنی این اپراتور نیست که مشمول صدور گواهینامه می شود، بلکه ابزار امنیت اطلاعات است و توسط سازنده انجام می شود. این ابزار (از جمله برنامه کامپیوتریدر مورد حفاظت از اطلاعات)؛
• نتایج ارزیابی‌های انطباق و (یا) مطالعات موردی ابزارهای امنیت اطلاعات که برای اطمینان از امنیت داده‌های شخصی در حین پردازش آنها در سیستم‌های اطلاعاتی طراحی شده‌اند، طی بررسی انجام شده توسط سرویس فدرال کنترل فنی و صادرات و سرویس امنیت فدرال ارزیابی می‌شوند. در محدوده اختیارات خود

مطابق با قسمت 3 هنر. 15 قانون اساسی فدراسیون روسیه، کلیه قوانین، و همچنین هر گونه مقرراتی که بر حقوق، آزادی ها و وظایف انسان و شهروند تأثیر می گذارد، باید به طور رسمی برای اطلاعات عمومی منتشر شود، یعنی عمومی شود. اعمال حقوقی هنجاری منتشر نشده اعمال نمی شود و به دلیل اجرایی نشدن آنها عواقب قانونی در پی نخواهد داشت.

از 15 مه 1992، با فرمان دولت فدراسیون روسیه مورخ 05/08/1992 N 305 "در ثبت نام ایالتیقوانین هنجاری ادارات" ثبت ایالتی اقدامات هنجاری وزارتخانه ها و ادارات مربوط به حقوق و منافع شهروندان و ماهیت بین بخشی معرفی شد.

مسائل مربوط به ثبت نام ایالتی و لازم الاجرا شدن قوانین قانونی نظارتی دپارتمان با فرمان شماره 763 رئیس جمهور فدراسیون روسیه تنظیم می شود.<9>و فرمان شماره 1009 دولت فدراسیون روسیه<10>.

<9>فرمان رئیس جمهور فدراسیون روسیه در 23 مه 1996 N 763 "در مورد روش انتشار و لازم الاجرا شدن اقدامات رئیس جمهور فدراسیون روسیه ، دولت فدراسیون روسیه و اقدامات قانونی هنجاری مقامات اجرایی فدرال. ”
<10>فرمان دولت فدراسیون روسیه مورخ 13 اوت 1997 N 1009 "در مورد تصویب قوانین تنظیم مقررات قانونی نظارتی مقامات اجرایی فدرال و ثبت ایالتی آنها".

با توجه به بند 10 قوانین مربوط به تهیه اقدامات قانونی هنجاری دستگاه های اجرایی فدرال و ثبت ایالتی آنها، قوانین قانونی هنجاری مؤثر بر حقوق، آزادی ها و مسئولیت های انسان و شهروند، ایجاد وضعیت حقوقیسازمان هایی با ماهیت بین بخشی، صرف نظر از مدت اعتبار آنها، از جمله اقدامات حاوی اطلاعاتی که راز دولتی، یا اطلاعات محرمانه

ثبت ایالتی اقدامات قانونی هنجاری توسط وزارت دادگستری انجام می شود که ثبت ایالتی اقدامات قانونی هنجاری مقامات اجرایی فدرال را نگهداری می کند.

ثبت دولتی یک قانون هنجاری شامل موارد زیر است:

• بررسی حقوقی انطباق این قانون با قوانین فدراسیون روسیه، از جمله بررسی وجود مقرراتی در آن که به ایجاد شرایط برای فساد کمک می کند.
• تصمیم گیری در مورد نیاز به ثبت نام دولتی از این عمل;
• تخصیص شماره ثبت؛
• ورود به ثبت ایالتی اقدامات قانونی هنجاری مقامات اجرایی فدرال.

اقدامات قانونی نظارتی که بر حقوق، آزادی ها و مسئولیت های انسان و شهروند تأثیر می گذارد، وضعیت حقوقی سازمان ها را ایجاد می کند یا ماهیت بین بخشی دارد، به استثنای اعمال یا مقررات فردی آنها حاوی اطلاعاتی است که یک راز دولتی یا یک راز دولتی را تشکیل می دهد، به طور رسمی در معرض انتشار رسمی است. اطلاعات محرمانه،

قانونی که توسط وزارت دادگستری به رسمیت شناخته شده است که نیازی به ثبت نام ایالتی ندارد، منوط به انتشار به روشی است که توسط نهاد اجرایی فدرال که این قانون را تأیید کرده است، منتشر می شود. در عین حال، نحوه لازم الاجرا شدن این قانون نیز توسط دستگاه اجرایی فدرال صادر کننده آن تعیین می شود.

بنابراین، به نظر نگارنده، مؤسسات دولتی و شهرداری که پردازش خودکار داده های شخصی را انجام می دهند، در صورت درخواست برای دریافت مجوز، انجام اظهارنامه یا گواهی (تصدیق) می توانند از چنین الزاماتی در دادگاه تجدید نظر کنند (به ویژه اگر ابزار حفاظت از داده های شخصی مورد استفاده قبلاً سازنده آنها تأیید شده است).

A.Bethlehemsky

کارگردان

مرکز نیژنی نووگورود

اقتصاد آموزش و پرورش

یکی از فعالیت های اولویت دار که باید هنگام ایجاد یک سیستم اطلاعاتی برای پردازش داده های شخصی (ISPD) انجام شود، طبقه بندی ISPD است.

این به منظور تعیین کلاس سیستم و الزامات مربوطه تحمیل شده توسط FSTEC و FSB هنگام پردازش داده های شخصی (PD) ضروری است. در این مقاله توضیح خواهم داد روند عمومیانجام طبقه بندی ISPD.

مطابق با دستور FSTEC/FSB/وزارت ارتباطات مورخ 13 فوریه 2008 به شماره 55/86/20 در مورد "رویه طبقه بندی سیستم اطلاعات داده های شخصی" که می توانید از اینجا دانلود کنید، طبقه بندی مورد نیاز شامل موارد زیر است. مراحل زیر:

• جمع آوری و تجزیه و تحلیل داده های اولیه در سیستم اطلاعاتی.
• اختصاص کلاس مناسب به سیستم اطلاعاتی و مستندات آن.

هنگام طبقه بندی یک سیستم اطلاعاتی، پاسخ به سوالات زیر ضروری است:

1. 1 داده های شخصی پردازش شده در سیستم اطلاعاتی متعلق به کدام دسته است؟ XPD?
2. حجم داده های شخصی پردازش شده چقدر است (تعداد افراد سوژه داده های شخصی که داده های شخصی آنها در سیستم اطلاعات پردازش می شود) - Xnpd?
3. ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در سیستم اطلاعات چیست؟
4. ساختار سیستم اطلاعاتی چگونه است؟
5. آیا اتصال سیستم اطلاعاتی به شبکه های ارتباطی عمومی و/یا وجود دارد؟ شبکه های اینترنتی?
6. رژیم پردازش داده های شخصی چیست؟
7. نحوه تحدید حقوق دسترسی کاربران سیستم اطلاعاتی چگونه است؟
8. مکان یابی وسایل فنی سیستم اطلاعات؟

اطلاعات پس زمینه و پشتیبانی

دسته های زیر از داده های شخصی پردازش شده در سیستم اطلاعاتی (XPD) تعریف می شوند:

1. دسته 1- داده های شخصی مربوط به نژاد، ملیت، دیدگاه های سیاسی، اعتقادات مذهبی و فلسفی، وضعیت سلامتی، زندگی صمیمی.
2. دسته 2- داده های شخصی که به شما امکان می دهد موضوع داده های شخصی را شناسایی کنید و اطلاعات اضافی در مورد او به دست آورید، به استثنای داده های شخصی مربوط به دسته 1;
3. دسته 3- داده های شخصی که امکان شناسایی موضوع داده های شخصی را فراهم می کند.
4. دسته 4- داده های شخصی ناشناس و (یا) در دسترس عموم.

Xnpdمی تواند مقادیر زیر را بگیرد:

• 1 - سیستم اطلاعاتی به طور همزمان داده های شخصی بیش از 100000 موضوع داده های شخصی یا داده های شخصی افراد سوژه داده های شخصی را در یک نهاد تشکیل دهنده فدراسیون روسیه یا فدراسیون روسیه به عنوان یک کل پردازش می کند.
• 2 - سیستم اطلاعاتی به طور همزمان داده های شخصی از 1000 تا 100000 موضوع داده های شخصی یا داده های شخصی افراد سوژه داده های شخصی را که در بخش اقتصادی فدراسیون روسیه کار می کنند، در یک سازمان دولتی ساکن در شهرداری پردازش می کند.
• 3 - سیستم اطلاعاتی به طور همزمان داده های کمتر از 1000 موضوع داده های شخصی یا داده های شخصی افراد سوژه داده های شخصی را در یک سازمان خاص پردازش می کند.

ویژگی های امنیتی داده های شخصی

برای ISPD، ویژگی های امنیتی داده های شخصی تعیین می شود که به اساسی و اضافی تقسیم می شوند:

پایه ای:

• محرمانه بودن
• تمامیت
• دسترسی

اضافی:

• عدم انکار
• حسابداری (قابلیت کنترل)
• اصالت (قابلیت اطمینان)
• کفایت

ساختار سیستم اطلاعاتیتقسیم شده به:

• خود مختار (مرتبط به سایر سیستم های اطلاعاتی) مجتمع های فنی و نرم افزاردستگاه های در نظر گرفته شده برای پردازش داده های شخصی (ایستگاه های کاری خودکار)؛
• مجموعه ای از ایستگاه های کاری خودکار که با استفاده از ارتباطات بدون استفاده از فناوری دسترسی از راه دور (سیستم های اطلاعات محلی) در یک سیستم اطلاعاتی واحد ترکیب شده اند.
• مجموعه ای از ایستگاه های کاری خودکار و (یا) سیستم های اطلاعات محلی، که با استفاده از فناوری دسترسی از راه دور (سیستم های اطلاعات توزیع شده) در یک سیستم اطلاعاتی واحد ترکیب شده اند.

حالت پردازش

هنگام سازماندهی ISPD، حالت های پردازش زیر تعیین می شود:

• تک کاربره;
• چند کاربره.

حالت کنترل حقوق دسترسی

در ISPD، سیستم کنترل دسترسی به این معناست:

• بدون تمایز حقوق دسترسی؛
• با تمایز حقوق دسترسی

سیستم های اطلاعاتی به دو دسته تقسیم می شوند معمولو خاص.
به سوی یک سیستم اطلاعاتی استاندارداینها شامل سیستم‌هایی می‌شوند که فقط به محرمانه بودن PD نیاز دارند.

به سوی یک سیستم اطلاعاتی خاصاینها شامل سیستم هایی می شوند که علاوه بر محرمانه بودن، به موارد زیر نیاز دارند:

• سیستم‌های اطلاعاتی که در آن داده‌های شخصی مربوط به وضعیت سلامت افراد داده‌های شخصی پردازش می‌شود.
• سیستم‌های اطلاعاتی که در آنها، صرفاً بر اساس پردازش خودکار داده‌های شخصی، تصمیماتی اتخاذ می‌شود که منجر به عواقب قانونی در رابطه با موضوع داده‌های شخصی می‌شود یا به نحو دیگری بر حقوق و منافع مشروع وی تأثیر می‌گذارد.

طبقه بندی سیستم های اطلاعاتی

طبق دستور FSTEC/FSB/وزارت ارتباطات شماره 55/86/20، ISPDn می تواند یکی از چهار کلاس تعریف شده به این ترتیب را بپذیرد:

1. کلاس 1 (K1)- سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها می تواند منجر به عواقب منفی قابل توجهی برای افراد داده های شخصی شود.
2. کلاس 2 (K2)- سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها ممکن است منجر به عواقب منفی برای افراد داده های شخصی شود.
3. کلاس 3 (K3)- سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها ممکن است منجر به عواقب منفی جزئی برای موضوعات داده های شخصی شود.
4. کلاس 4 (K4)- سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها منجر به عواقب منفی برای افراد داده های شخصی نمی شود.