Informacijski sustavi za osobne podatke. Klasifikacijski akt ispd

Čin klasifikacije ISPD-a u pravilu je povjerljivi dokument, te mora imati pečat povjerljivosti ("Povjerljivo", "DSP", "Poslovna tajna") i broj računa.

Za provedbu razvrstavanja u poduzeću se mora osnovati komisija. U povjerenstvu mora biti osoba odgovorna za zaštitu osobnih podataka. Povjerenstvo mora biti imenovano nalogom pročelnika i svoje poslove obavlja na temelju Pravilnika o razredbenom povjerenstvu. Prema rezultatima razvrstavanja, mora se sastaviti akt. ISPD akt o klasifikaciji mora odobriti predsjednik povjerenstva i potpisati ga svi članovi povjerenstva.

Kako sastaviti akt o klasifikaciji ISPD-a

Za svaki identificirani ISPD sastavlja se klasifikacijski akt. Na temelju primljenih podataka utvrđuje se svaki ISPDN potrebna razina sigurnost osobnih podataka. To je potrebno kako bi se uspostavili zahtjevi za osiguranje zaštite informacijskog sustava osobnih podataka. Određivanje razine zaštite osobnih podataka provodi se u skladu s Uredbom Vlade Ruske Federacije od 01.11.2012. br. 1119 „O odobravanju zahtjeva za zaštitu osobnih podataka prilikom njihove obrade u informacijskim sustavima osobnih podataka ."

Djelo ukazuje na:

• osobni podaci koji se obrađuju u sustavu;
• količina obrađenih osobnih podataka;
• tip stvarne prijetnje za ISPD;
• struktura informacijskog sustava;
• dostupnost priključaka na komunikacijske mreže uobičajena upotreba i (ili) mreže međunarodne razmjene informacija;
• način obrade osobnih podataka u sustavu;
• razlikovanje prava pristupa korisnika;
• mjesto ISPDN-a;
• PD razina sigurnosti.

ISPD akt o klasifikaciji može uključivati ​​sustave koji pohranjuju sljedeće podatke:

• posebne kategorije osobnih podataka - informacije vezane uz rasu, nacionalnost, političke stavove, vjerska ili filozofska uvjerenja, zdravstveno stanje, intimni život subjekata osobnih podataka;
• biometrijski osobni podaci - podaci koji karakteriziraju fiziološka i biološka svojstva osobe, na temelju kojih je moguće utvrditi njezin identitet i koje koristi operator za utvrđivanje identiteta subjekta osobnih podataka;
• javno dostupni osobni podaci - informacije dobivene samo iz javno dostupnih izvora osobnih podataka stvorenih u skladu s člankom 8. Federalnog zakona "O osobnim podacima".

Prilično je rijetko pronaći sustave u kojima se obrađuju osobni podaci 3. kategorije. To je zbog činjenice da za stvarni zadaci ne trebaju vam samo podaci koji identificiraju subjekta (ime, podaci iz putovnice), već i dodatne informacije o njemu (na primjer, podaci o plaći).

Najčešći informacijski sustavi u kojima se obrađuju osobni podaci 2. kategorije. Na primjer, sustavi naselja plaće zaposlenika.

Obim obrađenih osobnih podataka određuje broj subjekata čiji se osobni podaci obrađuju u sustavu. Primjenjuje se sljedeća gradacija:

• više od 100.000 ispitanika osobnih podataka;
• manje od 100.000 ispitanika osobnih podataka.

Vrste prijetnji sigurnosti osobnih podataka

Vrsta stvarnih prijetnji za ISPDN:

• Prijetnje tipa 1 relevantne su za informacijski sustav ako su, između ostalog, za njega relevantne prijetnje povezane s prisutnošću nedokumentiranih (nedeklariranih) sposobnosti u softveru sustava koji se koristi u informacijskom sustavu;
• Prijetnje tipa 2 relevantne su za informacijski sustav ako su, između ostalog, za njega relevantne prijetnje povezane s prisutnošću nedokumentiranih (nedeklariranih) sposobnosti u aplikacijskom softveru koji se koristi u informacijskom sustavu;
• Prijetnje 3. tipa relevantne su za informacijski sustav ako su za njega relevantne prijetnje koje nisu povezane s prisutnošću nedokumentiranih (nedeklariranih) sposobnosti u sustavu i aplikacijskom softveru koji se koristi u informacijskom sustavu.

Prema vrsti informacijski sustavi osobnih podataka opisani u ISPD klasifikacijskom zakonu dijele se na standardne i posebne. Tipični ISPD su informacijski sustavi u kojima se zahtijeva samo povjerljivost PD-a. Posebni ISPDN su informacijski sustavi u kojima je, osim povjerljivosti, potrebno osigurati barem još jednu sigurnosnu karakteristiku osobnih podataka (integritet, dostupnost).

Osim toga, posebni sustavi obuhvaćaju sve ISPD-ove koji obrađuju podatke o zdravstvenom stanju ispitanika, te ISPD-ove koji predviđaju donošenje odluka koje za subjekta proizlaze iz pravnih posljedica na temelju automatizirana obrada.

Većina postojećih ISPDN-a je posebna. To je zbog činjenice da je, osim povjerljivosti, važno i da su PD uvijek dostupni za obradu, potpuni i pouzdani. Za sve posebnim sustavima potrebno je razviti “Posebni model stvarnih prijetnji”.

Klasifikacija informacijskih sustava osobnih podataka prema strukturi:

• Autonomna. Predstavlja jednu automatiziranu radno mjesto(Računalo).
• Lokalni. Automatizirane radne stanice (AWS), ujedinjene u lokalnu mrežu.
• Distribuirano. Automatizirana radna mjesta odn lokalne mreže međusobno povezani tehnologijom daljinski pristup.

Prema načinu obrade osobnih podataka u ISPD sustavu dijele se na jednokorisničke i višekorisničke. Jednokorisnički sustavi su rijetki. U pravilu čak i za jedno autonomno radno mjesto (u slučaju godišnjih odmora i bolesti) rade najmanje dvije osobe.

Klasifikacija višekorisničkih ISPD-ova podijeljena je na:

• Nema diferencijacije prava pristupa. U takvim sustavima svi korisnici imaju pristup svim informacijama.
• Uz diferencijaciju prava pristupa. Svaki korisnik ima pristup strogo definiranoj informaciji u sustavu.

Prema lokaciji, ISPD se dijeli na.

Informacijski sustavi osobne podatke (ISPDN) u svom radu koriste mnoga poduzeća i organizacije. Shvatimo što je to i koje nijanse moraju uzeti u obzir oni koji rade s ISPD-om.

Što je ISPDN?

Jednostavno rečeno, informacijski sustav ISPDN služi za pohranu i obradu osobnih podataka. Sastoji se od sljedećih komponenti:

• Zapravo, ukupnost osobnih podataka pohranjenih u sustavu, u bazi podataka.
• Tehnička sredstva koja se koriste za rad s ovim podacima.
• Alati za automatizaciju za računovodstvo i obradu informacija pohranjenih u ISPD-u (možda nisu dostupni u svim sustavima).

ISPDN je ozbiljan

Prilikom korištenja razmatranih sustava važno je osigurati zaštitu osobnih podataka od neovlaštenog pristupa, gubitka i drugih hitne situacije... To je navedeno čak i na zakonodavnoj razini. A kako bi se poduzele savjetodavne mjere za ograničavanje pristupa informacijama i njihovu zaštitu, ISPD se revidira (za više pojedinosti kontaktirajte stručnjake Rentacloud: http://rentacloud.su/services/zashchita-personalnykh-dannykh / audit /) . Na temelju njegovih rezultata sastavlja se akt koji sadrži sljedeće podatke:

• Kategorija osobnih podataka koji se pohranjuju i obrađuju u anketiranom sustavu.
• Njihova klasa i vrsta (više o tome u nastavku).
• Parametri i struktura istraživanog sustava.
• PD volumeni (broj zapisa itd.) pohranjeni i obrađeni u ISPD-u.
• Informacije o lokaciji sustava.
• Informacija o mogućnosti pristupa bazi podataka putem mreža dostupnih za javnu upotrebu (LAN, Internet, itd.).

Revizija se provodi strogo u skladu sa zajedničkim dokumentom koji su pripremili Ministarstvo komunikacija, FSTEC i FSB. Prilično je obimna i zahtijeva temeljitu studiju. S tim u vezi, reviziju sustava i pripremu preporuka na kojima će se temeljiti zaštita ISPD-a trebaju vjerovati stručnjaci. Njihove usluge se mogu koristiti, na primjer, kontaktiranjem Rentaclouda: (http://rentacloud.su).

Vrste, klase ISPDN-a i što još trebate znati o takvim sustavima

Informacijski sustavi osobnih podataka (PD) podijeljeni su u 4 razreda i 2 vrste. Podjela na klase provodi se na temelju karakteristika kao što su kategorija obrađenih PD i njihov volumen.

Nastava

Tablica će vam pomoći da se nosite s ovim:

Objašnjenja za tablicu.

Kategorija 4 uključuje anonimizirane osobne podatke za koje je nemoguće identificirati određeni subjekt (na primjer, statistički podaci). U 3. kategoriju spadaju PD, na temelju kojih je moguća samo identifikacija osobe (prilično su rijetke). U kategoriju 2 spadaju podaci na temelju kojih je moguće identificirati osobu i dobiti neke dodatne informacije(primjer – sustavi obračuna plaća u organizacijama i poduzećima). U prvu kategoriju spadaju podaci koji sadrže podatke o nacionalnosti, zdravstvenom stanju i druge socijalne podatke te podatke drugačije prirode (npr. baze podataka zdravstvenih ustanova).

Što se tiče klasa navedenih u tablici, ISPDN im se dodjeljuje na temelju moguće štete na subjektima u slučaju kršenja sigurnosnih uvjeta:

• Cl 4. Sve negativne posljedice za subjekta su isključene.
• Cl 3. Mogu se pojaviti manje negativne posljedice.
• Cl 2. Nastanak takvih posljedica.
• Cl 1. Moguće su vrlo ozbiljne negativne posljedice.

ISPDN vrste

Prvi tip uključuje sustave u kojima se funkcije zaštite ISPD-a svode samo na postizanje potrebnih pokazatelja njegove povjerljivosti. Ako je, osim povjerljivosti, potrebno osigurati barem jedan dodatni sigurnosni pokazatelj (autentičnost, dostupnost, integritet podataka itd.), dolazi o drugoj vrsti.

Vrijedi napomenuti da je većina sustava koji se danas koriste klasificirana kao druga vrsta.

Može se vidjeti da je razvoj ISPD-a, njihova klasifikacija i pružanje pouzdanih, učinkovita zaštita- vrlo složeni i višestruki procesi. A kako biste izbjegli pogreške, preporučljivo je to povjeriti stručnjacima. Za to možete kontaktirati, na primjer, tvrtku Rentacloud, koja zauzima jednu od vodećih pozicija na ovom tržištu.

"Proračunske organizacije: računovodstvo i oporezivanje", 2009., br. 12

Od 1. siječnja 2010. informacijski sustavi osobnih podataka u svim organizacijama, uključujući proračunske institucije, moraju biti usklađeni sa zahtjevima Zakona „O osobnim podacima“<1>... Uz ovaj zakon donesen je niz podzakonskih akata, te se zbog toga sada različito tumače dužnosti državnih i općinskih institucija u odnosu na informacijske sustave koje sadrže. Ovaj članak analizira odredbe važećeg zakonodavstva i ističe zahtjeve koji moraju biti ispunjeni.

<1>Savezni zakon od 27.07.2006 N 152-FZ.

Prema čl. 1. Zakona o osobnim podacima, ovim Saveznim zakonom uređuju se odnosi u vezi s obradom osobnih podataka koju provode savezna tijela državne vlasti, tijela državne vlasti subjekata. Ruska Federacija, drugo tijela državne uprave, tijela lokalne samouprave koja nisu dio sustava tijela lokalne samouprave, općinska tijela, pravna i pojedinci uz korištenje alata za automatizaciju ili bez uporabe takvih alata, ako obrada osobnih podataka bez uporabe takvih alata odgovara prirodi radnji (operacija) koje se obavljaju s osobnim podacima pomoću alata za automatizaciju.

Takva pozornost na pitanja automatizacije obrade osobnih podataka podrazumijeva potrebu poštivanja posebnih zakonskih normi u vezi s korištenjem informacijske tehnologije... Istodobno, potrebno je pažljivo proučiti regulatorno-pravni okvir, koji se u ovom trenutku može vrlo dvosmisleno tumačiti, posebno u pogledu prikaza zahtjeva za informacijske sustave.

Pojam "informacijski sustav" u važećem zakonodavstvu

U skladu sa Saveznim zakonom "O informacijama, informacijskim tehnologijama i zaštiti informacija"<2> Informacijski sistem- skup informacija sadržanih u bazama podataka i informacijskim tehnologijama koje osiguravaju njihovu obradu, i tehnička sredstva... Na temelju ove definicije može se zaključiti da nema informacijskih sustava bez korištenja računalna tehnologija i odgovarajući softver.

<2>Savezni zakon od 27.07.2006 N 149-FZ.

Međutim, u čl. 3. Zakona "O osobnim podacima" daje širu definiciju informacijski sistem: ovo je zbirka osobnih podataka sadržanih u bazi podataka, kao i informacijskih tehnologija i tehničkih sredstava koja omogućuju obradu takvih osobnih podataka sa ili bez alata za automatizaciju.

Proučimo komponente ove definicije, čije se definicije mogu naći u Federalnom zakonu "O informacijama, informacijskim tehnologijama i zaštiti informacija", drugim zakonima i propisima Vlade Ruske Federacije.

Pod, ispod baza podataka znači skup organiziranih međusobno povezanih podataka na strojno čitljivim medijima (Privremena uredba o državnom računovodstvu i registraciji baza podataka i banaka podataka<3>). Međutim, u četvrtom dijelu Građanskog zakonika Ruske Federacije (stav 2. stavka 2. članka 1260.) dana je detaljnija definicija Baza podataka: ovo je skup neovisnih materijala predstavljenih u objektivnom obliku (članci, izračuni, propisi, presude i drugi slični materijali), sistematizirani na način da se ti materijali mogu pronaći i obraditi elektroničkim putem računalni stroj(RAČUNALO).

<3>Odobreno Uredbom Vlade Ruske Federacije od 28. veljače 1996. N 226.

Informacijska tehnologija- procesi, metode pretraživanja, prikupljanja, pohrane, obrade, davanja, širenja informacija i načini provođenja tih procesa i metoda (Savezni zakon "O informacijama, informacijskim tehnologijama i zaštiti informacija").

Pod, ispod tehnička sredstva dopuštajući obradu osobnih podataka, sredstva računalna tehnologija, informacijski i računalni sustavi i mreže, sredstva i sustavi za prijenos, primanje i obradu osobnih podataka (sredstva i sustavi za snimanje zvuka, zvučno pojačanje, reprodukciju zvuka, sobe za sastanke i televizijskih uređaja, sredstva za proizvodnju, umnožavanje dokumenata i druga tehnička sredstva za obradu govornih, grafičkih, video i alfanumeričkih informacija), softver ( OS, sustavi upravljanja bazama podataka i dr.), alati za informacijsku sigurnost koji se koriste u informacijskim sustavima (Uredba o osiguranju sigurnosti osobnih podataka pri njihovoj obradi u informacijskim sustavima osobnih podataka<4>).

<4>Odobreno Uredbom Vlade Ruske Federacije od 17. studenog 2007. N 781.

Dakle, tehnička sredstva uključuju i kopirke i softver, no ključ u definiranju informacijskog sustava osobnih podataka je koncept „baze podataka“. Iz ove definicije proizlazi da obradu baze podataka provodi računalo (medij mora biti strojno čitljiv). Ako se obrada provodi bez korištenja računala i baze podataka (strojno čitljivih medija), tada formalno ne postoji informacijski sustav. Osim toga, bez tehničkih sredstava koja omogućuju obradu osobnih podataka bazu podataka također ne može prepoznati informacijski sustav. Osim toga, informacijski sustavi nisu samo skup računalne tehnologije i nekih programa koji obrađuju informacije iz baza podataka, mogu koristiti alate za automatizaciju, a možda ih i ne koristiti.

Što se podrazumijeva pod alatima za automatizaciju?

Postoji stajalište prema kojem korištenje automatizacije znači bilo koje računalna obrada ili obrada sa elektronički uređaji... Ako je baza podataka pohranjena na računalu (na primjer, u proračunska tablica ili računovodstveni softver) ili, na primjer, u bilježnica mobitel, onda je to već automatizirana obrada osobnih podataka i podliježe obavijesti od strane Roskomnadzora. Osim toga, neki stručnjaci smatraju da se obrada bez uporabe alata za automatizaciju može izvesti samo na papiru (u ručno popunjenim časopisima, u rukom pisanim popisima).

U skladu s dijelom 3. čl. 4. Zakona "O osobnim podacima", specifičnosti obrade osobnih podataka koja se provodi bez upotrebe alata za automatizaciju mogu se utvrditi saveznim zakonima i drugim regulatornim pravnim aktima Ruske Federacije, uzimajući u obzir odredbe ovog Federalnog zakona.

Uredbom Vlade Ruske Federacije od 15. rujna 2008. N 687 odobrena je Uredba o specifičnostima obrade osobnih podataka koja se provodi bez upotrebe alata za automatizaciju. Prema stavku 1. navedene Uredbe, obrada osobnih podataka sadržanih u informacijskom sustavu osobnih podataka ili izvučenih iz takvog sustava (u daljnjem tekstu: osobni podaci) smatra se obavljenom bez uporabe alata za automatizaciju (neautomatiziranih ), ako se takve radnje s osobnim podacima kao što su korištenje, pojašnjenje, distribucija, uništavanje osobnih podataka u odnosu na svakog od subjekata osobnih podataka provode uz izravno sudjelovanje osobe.

Okrenimo se Posebna pažnja na činjenicu da se, sukladno točki 2. Uredbe o posebnostima obrade osobnih podataka koja se provodi bez uporabe alata za automatizaciju, obrada osobnih podataka ne može priznati kao izvršena pomoću alata za automatizaciju samo na temelju toga što su sadržane u informacijskom sustavu ili su iz njega izvučene.

Stoga se može ustvrditi da sa stajališta dostupnih definicija u važeće zakonodavstvo, velika većina informacijskih sustava u državnim i općinskim institucijama formalno se može smatrati implementiranom bez uporabe alata za automatizaciju (uključujući značajan dio računovodstvenog softvera). Uostalom, sve kartice lica u ovim sustavima uređuju se ručno u odgovarajućim prozorima. Da biste uništili kartice lica, također ih trebate odabrati na popisu od strane operatera i pritisnuti poseban ključ za brisanje podataka. Čak se vrši i arhiviranje poseban program koju pokreće čovjek.

Ali razni programi koji vam omogućuju preformatiranje podataka (uključujući iz formata računovodstvenog programa u format, na primjer, program Mirovinski fond) i njihovo izvođenje automatski unos a daljnji prijenos bez upućivanja na svaku pojedinu evidenciju zaposlenika može se pripisati automatiziranoj obradi podataka. Istodobno, obrada osobnih podataka (uključujući prezime, ime, patronime, broj mirovinske potvrde i sl.) sastavni je dio takvih programa.

Istodobno, ako se prijenos podataka u druge programe (uključujući i za potrebe poreznog računovodstva) ne provodi potpuno automatski, već uz pomoć osobe koja sudjeluje u obradi osobnih podataka, tada se takva obrada ne može smatrati automatiziranom. .

S tim u vezi, preporuke Federalne agencije za obrazovanje iz dopisa od 29. srpnja 2009. N 17-110 "O osiguravanju zaštite osobnih podataka" imaju prilično ograničenu primjenu u praksi. Kako bi Rosobrazovanie automatizirala obradu osobnih podataka u upitnicima, preporuča se dodatno navesti interne identifikacijski broj(osobna šifra) subjekta osobnih podataka, dodijeljena za cijelo vrijeme studiranja ili rada. To vam omogućuje anonimiziranje baza podataka, ako ne sadrže druge osobne podatke, te značajno smanjenje troškova zaštite informacija.

Međutim, za automatizaciju aktivnosti upravljanja u državnoj ili općinskoj ustanovi najmanje prezimena, imena, patronime zaposlenika, studenata, studenata i sl., kao i niz drugih osobnih podataka (za zaposlenike, na primjer, podaci o njihovim prihodima za računovodstvo i porezne svrhe) su obavezni. Okrenuti se k osobni kodovi sadržane u letcima (upitnicima), za ostatak obrade podataka pomoću softvera će izgledati kao baremčudno, smanjujući učinkovitost uvođenja suvremenih informacijskih tehnologija. Štoviše, ovisno o obliku korištenih upitnika, oni se mogu prepoznati kao dio informacijskog sustava (kao dio baza podataka), što će u potpunosti lišiti značenje dodatnog kodiranja (takvo je kodiranje potrebno ako je preporučljivo depersonalizirati podatke, na primjer, za statističke studije).

Obrada osobnih podataka bez korištenja alata za automatizaciju

Dakle, kao što je gore navedeno, unatoč informatizaciji aktivnosti, u većini slučajeva obrada osobnih podataka u državnim i općinskim institucijama provodi se bez uporabe alata za automatizaciju (neautomatizirana) i, sukladno tome, regulirana je Uredbom o specifičnosti obrade osobnih podataka koja se provodi bez uporabe alata za automatizaciju<5>.

<5>Odobreno Uredbom Vlade Ruske Federacije od 15. rujna 2008. N 687.

Osobe koje provode takvu obradu (uključujući zaposlenike operaterske organizacije ili osobe koje rade po ugovoru s operaterom) moraju biti obaviještene o tome da obrađuju osobne podatke bez uporabe alata za automatizaciju, o kategorijama osobnih podataka koji se obrađuju, kao io značajke i pravila za provedbu takve obrade utvrđena regulatornim pravnim aktima saveznih izvršnih tijela, izvršnih tijela konstitutivnih entiteta Ruske Federacije i lokalnim aktima obrazovne ustanove.

Osobni podaci tijekom njihove obrade, koja se provodi bez uporabe alata za automatizaciju, moraju se odvojiti od ostalih informacija, posebice fiksiranjem na zasebnim materijalnim nosačima, u posebnim odjeljcima ili u poljima obrazaca (obrasci).

Istodobno, nije dopušteno fiksirati osobne podatke na jednom materijalnom mediju ako su svrhe njihove obrade namjerno nespojive. U tom slučaju za svaku kategoriju osobnih podataka treba koristiti poseban materijalni medij.

Stoga se obrada mora provoditi na način da u odnosu na svaku kategoriju osobnih podataka postoje:

• identificirana su mjesta pohrane i utvrđen popis osoba koje obrađuju podatke ili imaju pristup njima;
• osigurava se odvojena pohrana osobnih podataka (materijalni nositelji) čija se obrada provodi u različite svrhe;
• ispunjeni uvjeti koji osiguravaju sigurnost osobnih podataka i isključuju im neovlašteni pristup.

Popis mjera potrebnih za osiguranje takvih uvjeta, postupak za njihovo donošenje, kao i popis osoba odgovornih za provedbu ovih mjera, utvrđuje obrazovna ustanova u skladu sa zahtjevima podzakonskih akata o zaštiti osobni podaci.

Ako su svrhe obrade osobnih podataka snimljenih na jednom materijalnom mediju nespojive, ako ne dopušta njihovu obradu odvojeno od ostalih osobnih podataka snimljenih na istom mediju, potrebno je poduzeti mjere za osiguranje odvojene obrade, a posebno:

• ako je potrebno koristiti ili širiti određene osobne podatke odvojeno od drugih koji se nalaze na istom materijalnom mediju, podaci koji će se širiti ili koristiti kopiraju se na način koji isključuje istovremeno kopiranje podataka koji nisu podložni širenju i korištenju, te kopija osobnih podataka se koristi (distribuira);
• ako je potrebno uništiti ili blokirati dio osobnih podataka, materijalni medij se uništava ili blokira uz prethodno kopiranje podataka koji nisu podložni uništavanju ili blokiranju, na način koji isključuje istovremeno kopiranje osobnih podataka koji se uništavaju ili blokiran.

Uništavanje ili depersonalizacija dijela osobnih podataka, ako je dopušteno materijalnim medijem, može se izvršiti na način koji isključuje daljnju obradu tih osobnih podataka, uz očuvanje mogućnosti obrade drugih podataka zabilježenih na materijalnom mediju (brisanje, brisanje). ).

Pojašnjenje osobnih podataka prilikom njihove obrade bez uporabe alata za automatizaciju provodi se ažuriranjem ili promjenom podataka na materijalnom mediju, a ako to nije dopušteno tehničke karakteristike materijalni nositelj - fiksiranjem na istom nositelju informacija o učinjenim promjenama ili izradom novog materijalnog nosača s ažuriranim osobnim podacima.

Obrada osobnih podataka pomoću alata za automatizaciju

Uredbom o osiguravanju sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka utvrđuju se zahtjevi za osiguranje sigurnosti osobnih podataka prilikom njihove obrade u informacijskim sustavima osobnih podataka, koji su skup osobnih podataka sadržanih u bazama podataka, kao i informacija tehnologije i tehnička sredstva.

Kao što slijedi iz tačke 1 ove Uredbe, pod pojmom "informacijski sustavi" podrazumijevaju se samo informacijski sustavi koji omogućuju obradu osobnih podataka pomoću alata za automatizaciju, stoga se zahtjevi ove Uredbe ne odnose na informacijske sustave u kojima se obrada podataka provodi bez uporabe alata za automatizaciju.

Ako se automatizirana obrada osobnih podataka provodi u državnoj ili općinskoj instituciji, tada moraju biti ispunjeni sljedeći uvjeti.

Prema Uredbi o osiguranju sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka, sigurnost osobnih podataka postiže se:

• isključivanjem neovlaštenog, uključujući slučajan, pristup osobnim podacima, čiji rezultat može biti uništavanje, izmjena, blokiranje, kopiranje, distribucija osobnih podataka;
• isključivanjem drugih nedopuštenih radnji.

Sigurnost osobnih podataka tijekom njihove obrade u informacijskim sustavima osigurava se uz pomoć sustavi zaštite osobnih podataka uključujući:

• organizacijske mjere;
• sredstva informacijske sigurnosti;
• Informacijska tehnologija.

Alati za informacijsku sigurnost uključuju:

• enkripcijska (kriptografska) sredstva;
• sredstva za sprječavanje neovlaštenog pristupa;
• sredstva za sprječavanje curenja informacija tehnički kanali;
• sredstva za sprječavanje softverskih i hardverskih utjecaja na tehnička sredstva obrade osobnih podataka.

Kako bi se osigurala sigurnost osobnih podataka tijekom njihove obrade u informacijskim sustavima, provodi se zaštita govorne informacije i informacije obrađene tehničkim sredstvima, kao i informacije prezentirane u informativnom obliku električni signali, fizikalna polja, mediji na papiru, magnetske, magneto-optičke i druge baze.

Zahtjeve korisnika informacijskog sustava za dobivanje osobnih podataka, kao i činjenice davanja podataka o tim zahtjevima, potrebno je registrirati automatizirana sredstva informacijski sustav u elektroničkom dnevniku zahtjeva. Štoviše, sadržaj elektronički časopis pozive trebaju povremeno provjeravati odgovarajuće službene osobe (zaposlenici) operatera ili ovlaštene osobe.

Ako se uoče povrede postupka davanja osobnih podataka, operater ili ovlaštena osoba odmah obustavlja davanje osobnih podataka korisnicima informacijskog sustava do utvrđivanja i otklanjanja uzroka kršenja.

Hardver i softver moraju ispunjavati zahtjeve utvrđene u skladu sa zakonodavstvom Ruske Federacije kako bi se osigurala zaštita informacija. Istodobno se utvrđuju metode i metode zaštite informacija u informacijskim sustavima Federalna služba za tehničku i izvoznu kontrolu (FSTEC) i Federalnu sigurnosnu službu (FSB) u okviru svojih ovlasti.

Sigurnost osobnih podataka tijekom njihove obrade u informacijskom sustavu osigurava operator ili osoba kojoj na temelju ugovora operater povjerava obradu osobnih podataka. Osobe čiji je pristup osobnim podacima koji se obrađuju u informacijskom sustavu nužan za obavljanje službene (radne) dužnosti primaju se na relevantne osobne podatke na temelju popisa odobrenog od strane operatera ili ovlaštene osobe. Bitan uvjet ugovora je obveza ovlaštene osobe da osigura povjerljivost i sigurnost osobnih podataka prilikom njihove obrade u informacijskom sustavu.

Alati za informacijsku sigurnost koji se koriste u informacijskim sustavima, u uspostavljeni red podvrgnuti postupku ocjenjivanja sukladnosti. Razmjena osobnih podataka tijekom njihove obrade u informacijskim sustavima provodi se komunikacijskim kanalima čija je zaštita osigurana provedbom odgovarajućih organizacijske mjere i (ili) korištenjem tehničkih sredstava.

Istovremeno, informacijske sustave klasificiraju državna tijela, općinska tijela, pravne ili fizičke osobe koje organiziraju i (ili) provode obradu osobnih podataka, kao i određuju svrhu i sadržaj obrade osobnih podataka, ovisno o količina osobnih podataka koje oni obrađuju i sigurnosne prijetnje vitalnim interesima pojedinca, društva i države.

Postupak razvrstavanja informacijskih sustava zajednički utvrđuju Federalna služba za tehničku i izvoznu kontrolu, Federalna služba sigurnosti i Ministarstvo informatičke tehnologije i komunikacija. Ovaj je postupak određen Naredbom FSTEC Rusije, FSB Rusije, Ministarstvo informacijskih tehnologija i komunikacija Rusije od 13.02.2008 N 55/86/20.

Osim toga, navedeni su zahtjevi za prostore i njihovu zaštitu. Prema članku 8. Uredbe o osiguranju sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka, smještaju informacijskih sustava, posebna oprema te zaštite prostora u kojima se obavlja rad s osobnim podacima, uređenje sigurnosnog režima u tim prostorima treba osigurati sigurnost nositelja osobnih podataka i sredstava za zaštitu informacija, te isključiti mogućnost nekontroliranog ulaska ili boravka. u ovim prostorijama autsajderi.

Za to navedite i općinske institucije treba postaviti dodatne alarme u naznačenim prostorijama, u vratima - dodatne brave ili metalna vrata.

Mjere za osiguranje sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima uključuju:

a) utvrđivanje prijetnji sigurnosti osobnih podataka tijekom njihove obrade, formiranje modela prijetnje na temelju njih;

b) razvoj, na temelju modela prijetnji, sustava zaštite osobnih podataka koji neutralizira uočene prijetnje korištenjem metoda i metoda zaštite osobnih podataka predviđenih za odgovarajuću klasu informacijskih sustava;

c) provjera spremnosti alata za informacijsku sigurnost za korištenje uz donošenje zaključaka o mogućnosti njihova rada;

d) ugradnja i puštanje u rad alata za informacijsku sigurnost u skladu s operativnom i tehničkom dokumentacijom;

e) osposobljavanje osoba za korištenje alata informacijske sigurnosti koji se koriste u informacijskim sustavima, pravila za rad s njima;

f) računovodstvo primijenjenih sredstava zaštite informacija, operativne i tehničke dokumentacije za njih, nositelje osobnih podataka;

g) registraciju osoba primljenih za rad s osobnim podacima u informacijskom sustavu;

h) nadzor nad poštivanjem uvjeta za korištenje alata informacijske sigurnosti predviđenih operativnom i tehničkom dokumentacijom;

i) istraživanje i donošenje zaključaka o činjenicama nepoštivanja uvjeta pohrane nositelja osobnih podataka, korištenja sredstava zaštite informacija koja mogu dovesti do povrede povjerljivosti osobnih podataka ili drugih povreda koje dovode do smanjenja razina zaštite osobnih podataka, razvoj i donošenje mjera za sprječavanje mogućih opasnih posljedica takvih povreda;

j) opis sustava zaštite osobnih podataka.

Osobe koje imaju pristup informacijske baze s osobnim podacima potpisati obvezu neotkrivanja podataka (takva obveza može biti sadržana i u ugovoru o radu). Tek nakon toga im obrazovna ustanova dopušta obradu osobnih podataka.

Prilikom obrade osobnih podataka u informacijskom sustavu obrazovna ustanova mora osigurati:

a) poduzimanje mjera usmjerenih na sprječavanje neovlaštenog pristupa osobnim podacima i (ili) njihovo prenošenje osobama koje nemaju pravo pristupa takvim podacima;

b) pravodobno otkrivanje činjenica neovlaštenog pristupa osobnim podacima;

c) sprječavanje utjecaja na tehnička sredstva automatizirane obrade osobnih podataka, uslijed čega može biti poremećeno njihovo funkcioniranje;

d) mogućnost trenutnog povrata osobnih podataka, izmijenjenih ili uništenih zbog neovlaštenog pristupa njima;

e) stalnu kontrolu nad osiguranjem razine zaštite osobnih podataka.

Za izradu i provedbu mjera za osiguranje sigurnosti osobnih podataka tijekom njihove obrade u informacijskom sustavu, operater ili ovlaštena osoba može imenovati strukturnu jedinicu ili izvršni(zaposlenik) odgovoran za osiguranje sigurnosti osobnih podataka.

Također treba obratiti posebnu pozornost na činjenicu da se, u skladu s člankom 17. Uredbe o osiguranju sigurnosti osobnih podataka pri njihovoj obradi u informacijskim sustavima osobnih podataka, provedba zahtjeva za osiguranje sigurnosti informacija u alatima za informacijsku sigurnost povjerena je njihovim programerima.

Adekvatnost poduzete mjere radi osiguranja sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima ocjenjuje se tijekom državne kontrole i nadzora.

Klasifikacija informacijskih sustava osobnih podataka

Razvrstavanje informacijskih sustava osobnih podataka koji omogućuju obradu ovih podataka alatima za automatizaciju provodi obrazovna ustanova - operater u skladu s Postupkom za razvrstavanje informacijskih sustava osobnih podataka.<6>ovisno o kategoriji obrađenih podataka i njihovoj količini.

<6>Odobreno Naredbom FSTEC Rusije, FSB Rusije, Ministarstva informacija i komunikacija Ruske Federacije od 13.02.2008 N 55/86/20.

Utvrđene su sljedeće četiri kategorije osobnih podataka:

1. osobni podaci o rasi, nacionalnosti, političkim stavovima, vjerskim i filozofskim uvjerenjima, zdravstvenom stanju, intimnom životu;
2. osobni podaci koji vam omogućuju identificiranje subjekta osobnih podataka i upoznavanje s njim Dodatne informacije, osim osobnih podataka koji pripadaju prvoj kategoriji;
3. osobni podaci koji vam omogućuju identificiranje subjekta osobnih podataka;
4. anonimizirane i (ili) javno dostupne osobne podatke.

Na svakom sveučilištu, na javnim štandovima, možete pronaći razne popise studenata, uključujući kombinaciju punih imena. student, tečaj, grupa koji vam omogućuju jedinstvenu identifikaciju učenika. Kao rezultat toga, takva kombinacija osobnih podataka prisiljava ih na klasificiranje osobnih podataka treće kategorije; za postavljanje ovih podataka na javnom mjestu formalno je potreban pristanak učenika.

Osobna iskaznica zaposlenika (obrazac T-2), osobni dosje učenika (studenta) spada u drugu kategoriju, budući da se radi o osobnim podacima koji omogućuju ne samo identifikaciju subjekta osobnih podataka, već i dobivanje dodatnih podataka o njemu.

Informacijski sustavi osobnih podataka dijele se na standardne i posebne. Tipični sustavi uključuju sustave u kojima se zahtijeva samo povjerljivost osobnih podataka. Svi ostali sustavi klasificirani su kao posebni.

Posebni informacijski sustavi također bi trebali uključivati:

• informacijski sustavi u kojima se obrađuju osobni podaci o zdravstvenom stanju subjekata osobnih podataka;
• informacijski sustavi, koji omogućuju donošenje na temelju isključivo automatizirane obrade osobnih podataka odluka koje stvaraju pravne posljedice u odnosu na subjekta osobnih podataka ili na drugi način utječu na njegova prava i legitimne interese.

Na temelju navedene klasifikacije može se konstatirati da su svi medicinski podaci, kao i kadrovska evidencija, koja sadrži stupac "nacionalnost" (a takvi su gotovo svi valjani upitnici i osobni listovi trenutno u upotrebi) moraju se odnositi na prvu kategoriju.

Na temelju rezultata analize dostupnih podataka, tipičnom informacijskom sustavu dodjeljuje se jedan od četiri razreda navedenih u Postupku za razvrstavanje informacijskih sustava osobnih podataka.

Klasa posebnog informacijskog sustava utvrđuje se na temelju modela prijetnji sigurnosti osobnih podataka na temelju rezultata analize početnih podataka u skladu s metodološkim dokumentima FSTEC-a.

FSTEC objavio sljedeće dokumente Iverice koje se mogu nabaviti samo kontaktiranjem ovog tijela:

• Glavne aktivnosti za organizaciju i tehnička podrška sigurnost osobnih podataka koji se obrađuju u informacijskim sustavima osobnih podataka, od 15.02.2008.;
• Osnovni model prijetnji sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka od 15.02.2008.;
• Metodologija utvrđivanja aktualnih prijetnji sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka od 15.02.2008.;
• Preporuke za osiguranje sigurnosti osobnih podataka prilikom njihove obrade u informacijskim sustavima osobnih podataka od 15.02.2008.

Ovi metodološki dokumenti sadrže brojne zahtjeve, koji su za većinu državnih ili općinskih institucija iznimno teški zbog organizacijskih i financijskih razloga.

Izjava, certificiranje (atestiranje) i licenciranje djelatnosti zaštite osobnih podataka

Gore navedeni metodološki dokumenti FSTEC-a utvrđuju sljedeći postupak za ocjenu usklađenosti stupnja sigurnosti informacijskih sustava sa sigurnosnim zahtjevima:

• za informacijske sustave prvog i drugog razreda sukladnost stupnja zaštite sa sigurnosnim zahtjevima utvrđuje se obavezna certifikacija(certifikacija);
• za informacijske sustave trećeg razreda usklađenost sa sigurnosnim zahtjevima potvrđuje se certificiranjem (atestiranjem) ili (po izboru operatera) izjavom o sukladnosti koju provodi operator osobnih podataka;
• za informacijske sustave četvrte klase ocjenjivanje sukladnosti nije regulirano i provodi se odlukom operatora osobnih podataka.

Izjava o sukladnosti- ovo je potvrda usklađenosti karakteristika informacijskog sustava osobnih podataka sa zahtjevima utvrđenim zakonodavstvom, smjernicama i regulatornim i metodološkim dokumentima FSTEC-a i FSB-a.

Izjava o sukladnosti može se provesti na temelju vlastitih dokaza ili dokaza dobivenih uz sudjelovanje uključenih organizacija koje imaju potrebne licence. Popis tijela (organizacija) za atestiranje sustava certificiranja sredstava zaštite informacija prema zahtjevima informacijske sigurnosti, na koje se možete obratiti obrazovne ustanove i prosvjetne vlasti koje nemaju potrebni stručnjaci i licence, također Državni registar certificirani alati za informacijsku sigurnost objavljeni su na web stranici FSTEC-a. Trošak takvih postupaka je prilično visok i mjeri se stotinama tisuća rubalja.

U slučaju deklariranja na temelju vlastitih dokaza, operater samostalno generira skup dokumenata, kao što su: tehnička dokumentacija, druge dokumente i rezultate vlastitog istraživanja koji su poslužili kao motivirana osnova za potvrdu usklađenosti informacijskog sustava osobnih podataka sa svim potrebne zahtjeve potrebno za treći razred.

Atestacijski (certifikacijski) testovi provode organizacije koje imaju potrebne FSTEC licence. Istodobno, atestiranje se shvaća kao skup mjera koje omogućuju usklađivanje informacijskog sustava sa zahtjevima informacijske sigurnosti u deklariranu klasu propisanu FSTEC regulatornim i metodološkim dokumentima.

Atestacijski (certifikacijski) testovi sadrže analizu informacijskih sustava osobnih podataka koji su već dostupni u objektu, kao i ponovno donesene odluke kako bi se osigurala sigurnost informacija i uključila provjera:

• organizacijske i režimske mjere za osiguranje zaštite informacija;
• sigurnost informacija od curenja kroz tehničke kanale (PEMIN);
• sigurnost informacija od neovlaštenog pristupa.

Na temelju rezultata certifikacijskih ispitivanja donosi se odluka o izdavanju potvrde o sukladnosti informacijskog sustava s deklariranom klasom prema zahtjevima informacijske sigurnosti. Potvrda se izdaje na razdoblje od tri godine.

FSTEC metodološki dokumenti također postavljaju dodatne zahtjeve za dostupnost licenci za zaštitu osobnih podataka. Bez prisutnosti odgovarajućih licenci, takvi događaji mogući su samo za informacijske sustave treće i četvrte klase.

Za provođenje mjera za osiguranje sigurnosti osobnih podataka za posebne informacijske sustave, sustave prvog i drugog razreda i distribuirane (uključujući one povezane s internetom) treće klase, operatori moraju, u skladu s utvrđenom procedurom, pribaviti FSTEC licencu za aktivnosti u tehnička zaštita povjerljive informacije.

Ozbiljne sumnje izaziva zakonitost zahtjeva za postupke deklaracije, certificiranja (certificiranja) i licenciranja od strane državnih i općinskih institucija na temelju FSTEC metodoloških dokumenata.

Pravilnik o postupku postupanja sa službenim informacijama ograničene distribucije u tijelima savezne izvršne vlasti<7>(točka 1.2) odnosi se na službene informacije ograničene distribucije kao neklasificirane informacije o djelatnostima organizacija čija su ograničenja u distribuciji uvjetovana službenom nuždom. Uspostavljanje odgovornosti za licenciranje aktivnosti organizacija ni na koji način se ne može prepoznati kao informacija EAF-a.

<7>Odobreno Uredbom Vlade Ruske Federacije od 03.11.1994 N 1233.

Obveze licenciranja određene vrste djelatnosti, uključujući djelatnosti tehničke zaštite povjerljivih informacija, određene su Saveznim zakonom "O licenciranju određenih vrsta djelatnosti"<8>... Proveden postupak licenciranja djelatnosti tehničke zaštite povjerljivih podataka pravna lica i individualni poduzetnici, utvrđeni Uredbom Vlade Ruske Federacije od 15.08.2006 N 504.

<8>Savezni zakon od 08.08.2001 N 128-FZ.

Ni Uredbom o licenciranju djelatnosti tehničke zaštite povjerljivih podataka, niti Postupkom za razvrstavanje informacijskih sustava osobnih podataka ne utvrđuju se obveze za obavljanje poslova licenciranja za tehničku zaštitu povjerljivih podataka, ovisno o klasi informacijskog sustava. Ovi zahtjevi utvrđeni su u dokumentu DSP - Osnovne mjere za organizaciju i tehničku sigurnost PD obrađenog u ISPD-u.

Uredbom o osiguravanju sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka utvrđuje se samo da:

• Alati za informacijsku sigurnost koji se koriste u informacijskim sustavima prolaze postupak ocjenjivanja sukladnosti na propisani način (točka 5.) - odnosno certifikaciji podliježe ne operater, već alat za informacijsku sigurnost, a provodi ga proizvođač ovog alata. (uključujući kompjuterski program za zaštitu informacija);
• rezultati ocjenjivanja sukladnosti i (ili) studija slučaja alata za zaštitu informacija dizajniranih da osiguraju sigurnost osobnih podataka prilikom njihove obrade u informacijskim sustavima ocjenjuju se tijekom ispitivanja koje provode Federalna služba za tehničku i izvoznu kontrolu i Federalna sigurnost Služba u okviru svojih ovlasti.

U skladu s dijelom 3. čl. 15. Ustava Ruske Federacije, svi zakoni, kao i svi normativni akti koji utječu na prava, slobode i dužnosti osobe i građanina, moraju biti službeno objavljeni za opću informaciju, odnosno javno. Neobjavljeni normativni pravni akti se ne primjenjuju, ne povlače pravne posljedice jer nisu stupili na snagu.

Od 15. svibnja 1992. Uredbom Vlade Ruske Federacije od 05.08.1992. N 305 "O državna registracija resorni normativni akti „uvedena je državna registracija normativnih akata ministarstava i odjela koji zadiru u prava i interese građana i imaju međuresorni karakter.

Pitanja državne registracije i stupanja na snagu resornih normativnih pravnih akata regulirana su Uredbom predsjednika Ruske Federacije N 763<9>i Rezolucija Vlade Ruske Federacije N 1009<10>.

<9>Uredba predsjednika Ruske Federacije od 23.05.1996. N 763 "O postupku objavljivanja i stupanja na snagu akata predsjednika Ruske Federacije, Vlade Ruske Federacije i normativnih pravnih akata saveznih izvršnih tijela" .
<10>Uredba Vlade Ruske Federacije od 13.08.1997. N 1009 "O odobravanju Pravila za pripremu normativno-pravnih akata federalnih izvršnih tijela i njihovu državnu registraciju."

Prema klauzuli 10. Pravila za pripremu normativno-pravnih akata saveznih tijela izvršne vlasti i njihovu državnu registraciju, državnoj registraciji podliježu normativni pravni akti koji utječu na prava, slobode i obveze osobe i građanina, uspostavljajući pravni status organizacije međuresorne prirode, bez obzira na njihov rok važenja, uključujući akte koji sadrže podatke koji čine državna tajna, ili informacije povjerljive prirode.

Državnu registraciju normativno-pravnih akata provodi Ministarstvo pravosuđa koje vodi Državni registar normativno-pravnih akata saveznih tijela izvršne vlasti.

Državna registracija regulatornog pravnog akta uključuje:

• pravno ispitivanje usklađenosti ovog zakona sa zakonodavstvom Ruske Federacije, uključujući provjeru prisutnosti odredbi u njemu koje doprinose stvaranju uvjeta za očitovanje korupcije;
• donošenje odluke o potrebi državne registracije ovog čina;
• dodjelu matičnog broja;
• upis u Državni registar normativnih pravnih akata saveznih tijela izvršne vlasti.

Normativni pravni akti koji utječu na prava, slobode i dužnosti osobe i građanina, utvrđuju pravni status organizacija ili imaju međuresorni karakter, podliježu službenoj objavi na propisani način, osim akata ili njihovih pojedinačnih odredbi koje sadrže podatke koji čine državu. tajne ili informacije povjerljive prirode,

Akt za koji Ministarstvo pravosuđa priznaje da ne zahtijeva državnu registraciju podliježe objavi na način koji odredi savezno tijelo izvršne vlasti koje je dalo akt. Istovremeno, postupak stupanja na snagu ovog zakona utvrđuje i savezno tijelo izvršne vlasti koje ga je donijelo.

Stoga, prema autoru, državne i općinske institucije koje provode automatiziranu obradu osobnih podataka, u slučaju predočenja zahtjeva za dobivanje licenci, deklariranja ili certificiranja (certifikacije), mogu uložiti žalbu na takve zahtjeve sudu (posebno ako su sredstva zaštite osobnih podataka koji se koriste već su certificirani od strane njihovog proizvođača).

A. Betlehem

direktor

Centar Nižnjeg Novgoroda

ekonomija obrazovanja

Jedna od prioritetnih mjera koje se moraju poduzeti pri izradi informacijskog sustava za obradu osobnih podataka (ISPD) je klasifikacija ISPD-a.

To je potrebno kako bi se odredila klasa sustava i odgovarajući zahtjevi za FSTEC i FSB u obradi osobnih podataka (PD). U ovom članku ću opisati opći postupak klasifikacija ISPD-a.

U skladu s Naredbom FSTEC / FSB / Ministarstva informiranja i komunikacija od 13.02.2008. br. 55/86/20 o "Postupku za klasifikaciju informacijskog sustava osobnih podataka", koji se može preuzeti ovdje, klasifikacija potrebno je uključiti sljedeće faze:

• Prikupljanje i analiza početnih podataka o informacijskom sustavu;
• Dodjeljivanje odgovarajuće klase informacijskom sustavu i njegovo dokumentiranje.

Prilikom klasifikacije informacijskog sustava potrebno je odgovoriti na sljedeća pitanja:

1. 1 Kojoj kategoriji pripadaju osobni podaci koji se obrađuju u informacijskom sustavu - XPd?
2. Koliki je volumen obrađenih osobnih podataka (broj ispitanika čiji se osobni podaci obrađuju u informacijskom sustavu) - Xnpd?
3. Koje su sigurnosne karakteristike osobnih podataka koji se obrađuju u informacijskom sustavu?
4. Kakva je struktura informacijskog sustava?
5. Postoji li povezanost informacijskog sustava s javnim komunikacijskim mrežama i/ili Internetske mreže?
6. Koji je način obrade osobnih podataka?
7. Koji je način diferenciranja prava pristupa za korisnike informacijskog sustava?
8. Gdje su tehnička sredstva informacijskog sustava?

Početni podaci i prateće informacije

Određene su sljedeće kategorije osobnih podataka koji se obrađuju u informacijskom sustavu (Xpd):

1. 1. kategorija- osobni podaci koji se tiču ​​rase, nacionalnosti, političkih stavova, vjerskih i filozofskih uvjerenja, zdravstvenog stanja, intimnog života;
2. Kategorija 2- osobni podaci koji vam omogućuju identificiranje subjekta osobnih podataka i dobivanje dodatnih informacija o njemu, osim osobnih podataka koji se odnose na 1. kategorija;
3. Kategorija 3- osobni podaci koji vam omogućuju identificiranje subjekta osobnih podataka;
4. Kategorija 4- anonimizirane i (ili) javno dostupne osobne podatke.

Xnpd može poprimiti sljedeće vrijednosti:

• 1 - informacijski sustav istodobno obrađuje osobne podatke više od 100.000 ispitanika osobnih podataka ili osobne podatke ispitanika unutar sastavnice Ruske Federacije ili Ruske Federacije u cjelini;
• 2 - informacijski sustav istovremeno obrađuje osobne podatke od 1000 do 100 000 subjekata osobnih podataka ili osobne podatke subjekata osobnih podataka koji rade u industriji Ruske Federacije, u javnom tijelu sa sjedištem u općini;
• 3 - informacijski sustav istovremeno obrađuje podatke manje od 1000 ispitanika osobnih podataka ili osobne podatke ispitanika unutar određene organizacije.

Sigurnosne karakteristike osobnih podataka

Za ISPD se određuju sigurnosne karakteristike osobnih podataka koje se dijele na osnovne i dodatne:

OSNOVNI, TEMELJNI:

• povjerljivost
• integritet
• dostupnost

DODATNO:

• neporicanje
• računovodstvo (odgovornost)
• autentičnost (pouzdanost)
• adekvatnost

Struktura informacijskog sustava podijeljeno na:

• autonomni (koji nisu povezani s drugim informacijskim sustavima) kompleksi tehničkih i softverski alati namijenjen za obradu osobnih podataka (radne stanice);
• skup automatiziranih radnih stanica, ujedinjenih u jedinstven informacijski sustav komunikacijskim sredstvima bez uporabe tehnologije daljinskog pristupa (lokalni informacijski sustavi);
• kompleks automatiziranih radnih stanica i (ili) lokalnih informacijskih sustava, ujedinjenih u jedinstveni informacijski sustav putem komunikacije pomoću tehnologije daljinskog pristupa (distribuirani informacijski sustavi).

Način obrade

Prilikom organiziranja ISPD-a određuju se sljedeći načini obrade:

• jednog korisnika;
• multiplayer.

Način diferenciranja prava pristupa

U ISPD-u sustav kontrole pristupa znači:

• bez diferencijacije prava pristupa;
• uz diferencijaciju prava pristupa.

Informacijski sustavi se dijele na tipično i poseban.
Na tipičan informacijski sustav uključuju sustave koji zahtijevaju samo povjerljivost PD-a.

Na poseban informacijski sustav uključuje sustave koji, osim povjerljivosti, zahtijevaju:

• Informacijski sustavi u kojima se obrađuju osobni podaci o zdravstvenom stanju subjekata osobnih podataka;
• Informacijski sustavi u kojima se na temelju isključivo automatizirane obrade osobnih podataka donose odluke koje proizlaze iz pravnih posljedica u odnosu na subjekta osobnih podataka ili na drugi način utječu na njegova prava i legitimne interese.

Klasifikacija informacijskog sustava

Prema Naredbi FSTEC / FSB / Ministarstva informacijskih tehnologija i komunikacija br. 55/86/20, ISPDn može polagati jednu od četiri klase definirane ovim redoslijedom:

1. razred 1 (K1)- informacijski sustavi za koje kršenje zadane sigurnosne karakteristike osobnih podataka koji se u njima obrađuju može dovesti do značajnih negativnih posljedica za subjekte osobnih podataka;
2. razred 2 (K2)- informacijski sustavi za koje povreda navedenih sigurnosnih karakteristika osobnih podataka koji se u njima obrađuju može dovesti do negativnih posljedica za subjekte osobnih podataka;
3. razred 3 (K3)- informacijski sustavi za koje povreda navedenih sigurnosnih karakteristika osobnih podataka koji se u njima obrađuju može dovesti do manjih negativnih posljedica za subjekte osobnih podataka;
4. razred 4 (K4)- informacijski sustavi za koje kršenje navedenih sigurnosnih karakteristika osobnih podataka koji se u njima obrađuju ne dovodi do negativnih posljedica za subjekte osobnih podataka.