Come configurare smartphone e PC. Portale informativo
  • casa
  • Windows 7, XP
  • Un esempio di compilazione di una classificazione del sistema informativo dei dati personali. La procedura per la classificazione dei sistemi informativi sui dati personali

Un esempio di compilazione di una classificazione del sistema informativo dei dati personali. La procedura per la classificazione dei sistemi informativi sui dati personali

02.04.2019 Windows 7, XP
coscritto 9 novembre 2010 alle 12:31

Dati personali (classificazione ISPD)

  • Ripostiglio *

Molto è stato scritto sulla classificazione dei sistemi informativi dei dati personali: interi articoli, siti Web e forum sono dedicati a questo argomento scottante. Cominciamo con il fatto che secondo l'ordine di FSTEC \ FSB \ MITiS n. 55 \ 86 \ 20 ci sono tipico e speciale ISPDn. Ci riferiamo agli ISPD tipici, in cui è necessario garantire solo la riservatezza dei dati personali, e a quelli speciali, se è necessario garantire almeno una delle caratteristiche di sicurezza dei dati personali diverse dalla riservatezza (integrità, autenticità, disponibilità , eccetera.)
L'ordinanza prevede la classificazione dell'ISPD sulla base di una valutazione di possibile danno ai soggetti PD i cui dati in essa vengono trattati: maggiore è il danno possibile, maggiore è la classe e, di conseguenza, maggiori sono i requisiti per protezione tecnica. Il paragrafo 14 dell'Ordine parla di 4 classi:
-nessuna conseguenza negativa (grado 4)
-conseguenze negative minori (Grado 3)
-conseguenze negative (grado 2)
-conseguenze negative significative (grado 1).
L'assegnazione dell'una o dell'altra classe di ISPD, secondo lo stesso paragrafo, viene effettuata sulla base dei risultati dell'analisi dei dati iniziali.
Abbiamo già parlato della classificazione degli ISPD tipici qui, quindi andiamo direttamente a quelli speciali.

Come classificare un ISPD speciale?
Se il tuo ISPD contiene dati personali relativi a razza, nazionalità,
opinioni politiche, credenze religiose e filosofiche, stato di salute, vita intima, poi tutto è semplice:
la classe del tuo sistema è K1. E non importa se si tratta di 10 record o 100.000. Quindi proteggi il sistema secondo K1 in conformità con i requisiti dell'ordine FSTEC n. 58 o riduci la classe, ad esempio, depersonalizzando tali dati.
Ora immagina un certo ISPD, che dobbiamo classificare. Lascia che sia una grande impresa che fornisce servizi ai propri clienti.
Dati iniziali del nostro sistema:
1. Ambito dei dati personali- più di 100.000.
2. Categoria di dati personali- 2 (vale a dire, si tratta di dati personali che consentono di identificare l'interessato e ottenere ulteriori informazioni su di lui).
3. Struttura sistema informativo - distribuito;
4. Disponibilità di collegamenti sistema informativo alle reti di comunicazione uso comune e (o) reti internazionali scambio di informazioni- mangiare;
5. Modalità di trattamento dei dati personali- multiutenza;
6. Modalità di differenziazione dei diritti di accesso utenti del sistema informativo - con differenziazione dei diritti di accesso;
7. Localizzazione dei mezzi tecnici sistema informativo - all'interno Federazione Russa.

Ma non possiamo classificare un tale sistema secondo la targa dell'ordine n. 55 \ 86 \ 20, perché. “Secondo i risultati dell'analisi dei dati iniziali tipico sistema informativo è assegnata una delle seguenti classi. Non siamo sconvolti, leggiamo ulteriormente l'ordine e vediamo il seguente paragrafo:
16. Sulla base dei risultati dell'analisi dei dati iniziali, la classe di un sistema informativo speciale è determinata sulla base di un modello di minaccia per la sicurezza dei dati personali secondo i documenti metodologici elaborati ai sensi del comma 2 del decreto del Governo della Federazione Russa del 17 novembre 2007 N 781 "Sull'approvazione del Regolamento sulla garanzia della sicurezza dei dati personali durante il loro trattamento nei sistemi informatici dei dati personali"
Pertanto, dopo aver analizzato i dati iniziali, la composizione del PD elaborato, determinando la struttura dell'ISPD e processi tecnologici, possiamo ragionevolmente concludere che Conseguenze negative può causare una violazione della riservatezza delle informazioni (ad esempio, la diffusione di informazioni sulla disabilità di un dipendente). L'attuazione di tutte le altre minacce porterà a negativo minore conseguenze, perché sufficiente misure tecniche protezione per neutralizzarli. Avendo riflettuto queste informazioni nel modello di minaccia, uno speciale ISPD con le caratteristiche indicate può essere classificato in sicurezza da noi come K2.

Tag: dati personali, ispdn

Iscrizione N 11462

Conformemente al paragrafo 6 del Regolamento sulla garanzia della sicurezza dei dati personali durante il loro trattamento nei sistemi informatici dei dati personali, approvato con Decreto del Governo della Federazione Russa del 17 novembre 2007 N 781 "Sull'approvazione del Regolamento sulla garanzia del sicurezza dei dati personali durante il loro trattamento nei sistemi informativi dei dati personali "(Legislazione raccolta della Federazione Russa, 2007, N 48, Parte II, Art. 6001), noi ordiniamo:

Approva la procedura allegata per la classificazione dei sistemi informativi sui dati personali.

Direttore

Servizio federale

per il controllo tecnico e delle esportazioni

S. Grigorov

Direttore del Servizio di sicurezza federale

Federazione Russa

N. Patrushev

Ministro Tecnologie informatiche e comunicazioni della Federazione Russa

L. Reiman

La procedura per la classificazione dei sistemi informativi sui dati personali

1. La presente Procedura determina la classificazione dei sistemi informatici per i dati personali, che sono un insieme di dati personali contenuti in banche dati, nonché delle tecnologie informatiche e dei mezzi tecnici che consentono il trattamento di tali dati personali mediante strumenti di automazione (di seguito denominati sistemi informatici )1.

2. Viene effettuata la classificazione dei sistemi informativi organi di governo, autorità comunali, legali e individui organizzare e (o) effettuare il trattamento dei dati personali, nonché determinare le finalità e il contenuto del trattamento dei dati personali (di seguito denominato operatore)2.

3. La classificazione dei sistemi informativi è effettuata nella fase di realizzazione dei sistemi informativi o durante il loro funzionamento (per i sistemi informativi precedentemente messi in funzione e (o) ammodernati) al fine di stabilire modalità e mezzi di protezione delle informazioni necessarie a garantirne la sicurezza dei dati personali.

4. La classificazione dei sistemi informativi prevede le seguenti fasi:

raccolta e analisi dei dati iniziali sul sistema informativo:

assegnazione della classe appropriata al sistema informativo e alla sua documentazione.

5. Nella classificazione di un sistema informativo si tiene conto dei seguenti dati iniziali:

volume dei dati personali trattati (numero di interessati i cui dati personali sono trattati nel sistema informativo) - X npd;

le caratteristiche di sicurezza dei dati personali trattati nel sistema informatico indicato dal gestore;

struttura del sistema informativo;

disponibilità di connessioni di sistemi d'informazione a reti di comunicazione pubbliche e (o) reti di scambio di informazioni internazionali;

modalità di trattamento dei dati personali;

la modalità di differenziazione dei diritti di accesso degli utenti del sistema informativo;

localizzazione dei mezzi tecnici del sistema informativo.

6. Sono definite le seguenti categorie di dati personali trattati nel sistema informativo (X pd):

7. Х npd può assumere i seguenti valori:

1 - il sistema informatico elabora contemporaneamente i dati personali di oltre 100.000 interessati o i dati personali degli interessati all'interno di un'entità costitutiva della Federazione Russa o della Federazione Russa nel suo insieme;

2 - il sistema informatico elabora contemporaneamente dati personali da 1.000 a 100.000 interessati o dati personali di interessati che operano nel settore dell'economia della Federazione Russa, presso un'autorità pubblica residente all'interno di un comune;

3 - il sistema informatico elabora contemporaneamente dati di meno di 1000 interessati o dati personali di interessati all'interno di una determinata organizzazione.

8. In base alle caratteristiche di sicurezza dei dati personali trattati nel sistema informativo indicato dal gestore, i sistemi informativi si suddividono in sistemi informativi standard e sistemi informativi speciali.

Tipici sistemi informativi sono sistemi informativi che richiedono solo la riservatezza dei dati personali.

I sistemi informatici speciali sono sistemi informativi nei quali, indipendentemente dalla necessità di garantire la riservatezza dei dati personali, è richiesto di garantire almeno una delle caratteristiche di sicurezza dei dati personali diverse dalla riservatezza (protezione dalla distruzione, dalla modifica, dal blocco, nonché come altre azioni non autorizzate).

I sistemi informativi speciali dovrebbero includere:

sistemi informativi in ​​cui sono trattati dati personali relativi allo stato di salute degli interessati;

sistemi informativi, che ne prevedono l'adozione in base esclusivamente a elaborazione automatizzata decisioni in materia di dati personali che diano luogo a conseguenze legali in relazione all'interessato o in altro modo ledano i suoi diritti e interessi legittimi.

9. Secondo la struttura, i sistemi informativi sono suddivisi in:

ad autonomi (non collegati ad altri sistemi informativi) complessi di tecnica e strumenti software, destinati al trattamento dei dati personali (postazioni automatizzate);

su complessi di luoghi di lavoro automatizzati, combinati in un unico sistema informativo attraverso la comunicazione senza l'uso della tecnologia accesso remoto(sistemi informativi locali);

su complessi di luoghi di lavoro automatizzati e (o) sistemi informativi locali, combinati in un unico sistema informativo mediante comunicazione che utilizza la tecnologia di accesso remoto (sistemi informativi distribuiti).

10. A seconda della disponibilità di collegamenti alle reti pubbliche di comunicazione e (o) alle reti internazionali di scambio di informazioni, i sistemi informativi sono suddivisi in sistemi con connessioni e sistemi senza connessioni.

11. In base alle modalità di trattamento dei dati personali nel sistema informativo, i sistemi informativi si distinguono in monoutente e multiutente.

12. Secondo la delimitazione dei diritti di accesso degli utenti, i sistemi informativi sono suddivisi in sistemi senza delimitazione dei diritti di accesso e sistemi con delimitazione dei diritti di accesso.

13. I sistemi informativi, a seconda dell'ubicazione dei loro mezzi tecnici, sono suddivisi in sistemi, tutti mezzi tecnici che si trovano all'interno della Federazione Russa e sistemi i cui mezzi tecnici sono parzialmente o totalmente ubicati al di fuori della Federazione Russa.

14. Sulla base dei risultati dell'analisi dei dati iniziali, ad un tipico sistema informativo è assegnata una delle seguenti classi:

classe 1 (K1) - sistemi informatici per i quali la violazione di una determinata caratteristica di sicurezza dei dati personali in essi trattati può comportare conseguenze negative significative per gli interessati;

classe 2 (K2) - sistemi informatici per i quali la violazione di una determinata caratteristica di sicurezza dei dati personali in essi trattati può comportare conseguenze negative per gli interessati;

classe 3 (K3) - sistemi informatici per i quali la violazione di una determinata caratteristica di sicurezza dei dati personali in essi trattati può comportare lievi conseguenze negative per gli interessati;

classe 4 (K4) - sistemi informatici per i quali la violazione delle specifiche caratteristiche di sicurezza dei dati personali in essi trattati non comporta conseguenze negative per gli interessati.

15. La classe di un tipico sistema informativo è determinata secondo la tabella.

16. Sulla base dei risultati dell'analisi dei dati iniziali, la classe di un sistema informativo speciale è determinata sulla base di un modello di minaccia per la sicurezza dei dati personali secondo i documenti metodologici elaborati ai sensi del comma 2 del decreto del Governo della Federazione Russa del 17 novembre 2007 N 781 "Sull'approvazione dei regolamenti sulla garanzia della sicurezza dei dati personali durante il loro trattamento nei sistemi di informazione dei dati personali"3.

17. Nel caso di allocazione di sottosistemi all'interno del sistema informativo, ciascuno dei quali è un sistema informativo, al sistema informativo nel suo insieme è assegnata una classe corrispondente alla più alta classe suoi sottosistemi.

18. I risultati della classificazione dei sistemi informativi sono documentati dal relativo atto del gestore.

19. La classe del sistema informativo può essere rivista:

per decisione dell'operatore sulla base della sua analisi e valutazione delle minacce alla sicurezza dei dati personali, tenendo conto delle caratteristiche e (o) dei cambiamenti in un particolare sistema informativo;

sulla base dei risultati delle misure volte a monitorare il rispetto dei requisiti per garantire la sicurezza dei dati personali durante il loro trattamento nel sistema informativo.

1 Paragrafo 1 della clausola 1 del Regolamento sulla garanzia della sicurezza dei dati personali durante il loro trattamento nei sistemi informatici dei dati personali, approvato con Decreto del Governo della Federazione Russa del 17 novembre 2007

N 781 (Sobraniye zakonodatelstva Rossiyskoy Federatsii, 2007, N 48, parte II,

2Comma primo del comma 6 del Regolamento.

3Sobranie zakonodatelstva Rossiyskoy Federatsii 2007, N 48, parte II,Arte. 6001.

I sistemi di informazione sui dati personali (ISPD) sono utilizzati da molte aziende e organizzazioni nel loro lavoro. Vediamo di cosa si tratta e quali sfumature devono essere prese in considerazione da chi lavora con ISPD.

Cos'è l'ISDN?

In poche parole, il sistema informativo ISPD viene utilizzato per archiviare ed elaborare i dati personali. Include i seguenti componenti:

  • In realtà, la totalità dei dati personali memorizzati nel sistema, nel database.
  • Mezzi tecnici utilizzati per lavorare con questi dati.
  • Mezzi per automatizzare i processi di contabilità e di elaborazione delle informazioni archiviate in ISPD (potrebbero non essere disponibili in tutti i sistemi).

ISDN è serio

Quando si utilizzano i sistemi in questione, è importante garantire la protezione dei dati personali da accessi non autorizzati, perdita e altro situazioni di emergenza. Questo è esplicitato anche a livello legislativo. E al fine di adottare misure di consulenza per limitare l'accesso alle informazioni e per proteggerle, viene effettuato un audit ISPD (per maggiori dettagli, ad esempio, contattare gli specialisti di Rentacloud: http://rentacloud.su/services/zashchita-personalnykh-dannykh /revisione/). Di conseguenza, viene redatto un atto contenente le seguenti informazioni:

  • La categoria di dati personali che viene archiviata ed elaborata nel sistema esaminato.
  • La loro classe e tipo (più su quello sotto).
  • Parametri e struttura del sistema in studio.
  • Volumi di PD (numero di record, ecc.) archiviati ed elaborati in ISPD.
  • Informazioni sulla posizione del sistema.
  • Informazioni sulla possibilità di accedere al database attraverso reti disponibili per uso pubblico (LAN, Internet, ecc.).

L'audit è svolto in stretta conformità con il documento congiunto redatto dal Ministero delle Comunicazioni, FSTEC e FSB. È molto voluminoso e richiede uno studio approfondito. A questo proposito, l'audit del sistema e la preparazione delle raccomandazioni su cui si baserà la protezione dell'ISPD devono essere affidati a specialisti. I loro servizi possono essere utilizzati, ad esempio, contattando Rentacloud: (http://rentacloud.su).

Tipi, classi di ISPD e cos'altro devi sapere su tali sistemi

I sistemi di informazione sui dati personali (PD) sono suddivisi in 4 classi e 2 tipi. La suddivisione in classi viene effettuata sulla base di caratteristiche quali la categoria delle PD trattate ei loro volumi.

Classi

Questa tabella ti aiuterà a capirlo:

Spiegazioni per la tabella.

La categoria numero 4 include PD spersonalizzate, per cui è impossibile identificare un soggetto specifico (un esempio sono i dati statistici). La Cat 3 include dati personali, in base ai quali è possibile solo l'identificazione di una persona (sono piuttosto rari). La categoria 2 comprende i dati in base ai quali è possibile identificare una persona e ottenere alcune informazioni su di essa. Informazioni aggiuntive(esempio - sistemi di competenza salari organizzazioni e imprese). La prima categoria comprende dati contenenti informazioni su nazionalità, stato di salute e altre informazioni sociali e informazioni di natura diversa (ad esempio banche dati di istituzioni sanitarie).

Per quanto riguarda le classi indicate in tabella, l'assegnazione alle stesse di ISDN viene effettuata sulla base di eventuali danni subiti dai soggetti in caso di violazione delle condizioni di sicurezza:

  • Cl 4. Sono escluse eventuali conseguenze negative per il soggetto.
  • Cl 3. Possono verificarsi effetti avversi minori.
  • Cl 2. Il verificarsi di tali conseguenze.
  • Cl 1. Sono possibili conseguenze negative molto gravi.

Tipi di ISPD

La prima tipologia comprende sistemi in cui le funzioni di protezione dell'ISPD si riducono solo al raggiungimento degli indicatori richiesti della sua riservatezza. Qualora, oltre alla riservatezza, vi sia la necessità di garantire almeno un ulteriore indicatore di sicurezza (autenticità, disponibilità, integrità dei dati, ecc.), noi stiamo parlando circa il secondo tipo.

Vale la pena notare che la maggior parte dei sistemi utilizzati oggi sono assegnati al secondo tipo.

Si può vedere che lo sviluppo dell'ISPD, la loro classificazione e fornitura di dati affidabili, protezione efficace sono processi molto complessi e sfaccettati. E per evitare errori, è consigliabile affidarlo a specialisti. Per fare ciò, puoi contattare, ad esempio, l'azienda "Rentacloud", che occupa una delle posizioni di leadership in questo mercato.

L'atto di classificazione ISPD, di regola, lo è documento riservato, e deve avere un timbro di riservatezza ("Riservato", "DSP", "Segreto commerciale") e un numero di conto.

Per effettuare la classificazione presso l'impresa, è necessario creare una commissione. La commissione deve includere un responsabile della protezione dei dati personali. La commissione deve essere nominata per ordine del capo e svolgere le proprie attività sulla base del Regolamento della commissione di classificazione. In base ai risultati della classificazione, deve essere redatto un atto. L'atto di classificazione ISPD deve essere approvato dal presidente della commissione e firmato da tutti i membri della commissione.

Come redigere un atto di classificazione dell'ISPD

L'atto di classificazione è redatto per ciascun ISPD individuato. Sulla base dei dati ricevuti, viene determinato ciascun ISPD livello richiesto sicurezza dei dati personali. Ciò è necessario per stabilire i requisiti per garantire la protezione del sistema informativo dei dati personali. La determinazione del livello di protezione dei dati personali viene effettuata in conformità con il decreto del governo della Federazione Russa dell'11.01.2012 n. 1119 "Sull'approvazione dei requisiti per la protezione dei dati personali durante il loro trattamento nelle informazioni sui dati personali sistemi".

L'atto afferma:

  • dati personali trattati nel sistema;
  • la quantità di dati personali oggetto di trattamento;
  • genere minacce reali per ISPD;
  • struttura del sistema informativo;
  • disponibilità di connessioni a reti pubbliche di comunicazione e (o) reti di scambio di informazioni internazionali;
  • modalità di trattamento dei dati personali nel sistema;
  • differenziazione dei diritti di accesso degli utenti;
  • ubicazione dell'ISPD;
  • Livello di sicurezza del PD.

L'atto di classificazione ISPD può includere sistemi in cui tali dati sono archiviati:

  • categorie speciali di dati personali - informazioni relative a razza, nazionalità, opinioni politiche, convinzioni religiose o filosofiche, stato di salute, vita intima degli interessati;
  • dati personali biometrici - informazioni che caratterizzano le caratteristiche fisiologiche e biologiche di una persona, sulla base delle quali è possibile stabilirne l'identità e che vengono utilizzate dall'operatore per identificare l'interessato;
  • dati personali disponibili al pubblico - informazioni ottenute solo da fonti di dati personali pubblicamente disponibili create ai sensi dell'articolo 8 della legge federale "sui dati personali".

Abbastanza raramente esistono sistemi in cui vengono trattati dati personali di 3a categoria. Ciò è dovuto al fatto che per compiti reali abbiamo bisogno non solo dei dati che identificano il soggetto (nome completo, dati del passaporto), ma anche Informazioni aggiuntive su di lui (ad esempio, informazioni sullo stipendio).

I più comuni sistemi informatici in cui vengono trattati dati personali di 2a categoria. Ad esempio, i sistemi di buste paga per i dipendenti.

Il volume delle PD trattate determina il numero di soggetti i cui dati personali sono trattati nel sistema. Si applica la seguente gradazione:

  • più di 100.000 soggetti con PD;
  • meno di 100.000 soggetti con PD.

Tipi di minacce alla sicurezza dei dati personali

Tipo di minacce attuali all'ISPD:

  • Le minacce di tipo 1 sono rilevanti per un sistema informativo se è interessato anche da minacce associate alla presenza di capacità non documentate (non dichiarate) nel sistema Software utilizzato nel sistema informativo;
  • le minacce di tipo 2 sono rilevanti per un sistema informativo se è interessato anche da minacce legate alla presenza di capacità non documentate (non dichiarate) nel software applicativo utilizzato nel sistema informativo;
  • Le minacce di tipo 3 sono rilevanti per un sistema informativo se è soggetto a minacce non correlate alla presenza di capacità non documentate (non dichiarate) nel sistema e nel software applicativo utilizzato nel sistema informativo.

Per tipologia, i sistemi di informazione sui dati personali descritti nell'atto di classificazione ISPD sono suddivisi in standard e speciali. Standard ISPD - sistemi informativi in ​​cui è richiesto di garantire solo la riservatezza del PD. Gli ISPD speciali sono sistemi informativi in ​​cui, oltre alla riservatezza, è necessario garantire almeno una caratteristica in più della sicurezza dei dati personali (integrità, disponibilità).

Inoltre, sono sistemi speciali tutti gli ISPD che trattano dati sulla salute dei soggetti, e gli ISPD, che prevedono l'adozione di decisioni che generano conseguenze legali per il soggetto sulla base di un trattamento automatizzato.

La maggior parte degli ISPD esistenti sono speciali. Ciò è dovuto al fatto che oltre alla riservatezza, è importante che PD sia sempre disponibile al trattamento, completo e affidabile. Per tutti sistemi specialiè necessario sviluppare un “Modello privato di minacce reali”.

Classificazione dei sistemi informativi dei dati personali per struttura:

  • Autonomo. È uno automatizzato posto di lavoro(un computer).
  • Locale. Postazioni di lavoro automatizzate (AWP), unite in una rete locale.
  • distribuito. Postazioni di lavoro automatizzate o reti locali collegati tra loro tramite tecnologie di accesso remoto.

In base alle modalità di trattamento dei dati personali nel sistema ISPD, sono suddivisi in utente singolo e multiutente. I sistemi per utente singolo sono una rarità. Di norma, almeno due persone lavorano anche in un posto di lavoro autonomo (in caso di ferie e malattie).

La classificazione degli ISPD multiutente è suddivisa in:

  • Senza differenziazione dei diritti di accesso. In tali sistemi, tutti gli utenti hanno accesso a tutte le informazioni.
  • Con delimitazione dei diritti di accesso. Ogni utente ha accesso a un'informazione rigorosamente definita nel sistema.

Per posizione, gli ISPD sono suddivisi in.

Articoli correlati in alto

Storia e descrizione del concetto di caso in azienda, istruzioni per la scrittura e la risoluzione
Storia e descrizione del concetto di caso in azienda, istruzioni per la scrittura e la risoluzione
Accelera l'avvio del computer
Accelera l'avvio del computer
Ripristino configurazione di sistema di Windows Avvia il ripristino quando puoi accedere
Ripristino configurazione di sistema di Windows Avvia il ripristino quando puoi accedere
Categorie:
© 2022 bumotors.ru. Come configurare smartphone e PC. Portale informativo.