Sisteme informatice pentru date personale. Act de clasificare ispd

Actul de clasificare a ISPD, de regulă, este document confidențial, și trebuie să aibă o ștampilă de confidențialitate („Confidențial”, „DSP”, „Secret comercial”) și un număr de cont.

Pentru a efectua clasificarea, trebuie creată o comisie la întreprindere. Comisia trebuie să includă o persoană responsabilă cu protecția datelor cu caracter personal. Comisia trebuie să fie numită prin ordin al șefului și să își desfășoare activitățile în baza Regulamentului privind comisia de clasificare. Conform rezultatelor încadrării, trebuie întocmit un act. Actul de clasificare ISPD trebuie aprobat de președintele comisiei și semnat de toți membrii comisiei.

Cum se întocmește un act de clasificare a ISPD

Actul de clasificare se intocmeste pentru fiecare ISPD identificat. Pe baza datelor primite, se determină fiecare ISPDN nivelul cerut securitatea datelor cu caracter personal. Acest lucru este necesar pentru stabilirea cerințelor pentru asigurarea protecției sistemului informatic al datelor cu caracter personal. Determinarea nivelului de protecție a datelor cu caracter personal se realizează în conformitate cu Decretul Guvernului Federației Ruse din 01.11.2012 nr. 1119 „Cu privire la aprobarea cerințelor pentru protecția datelor cu caracter personal atunci când le prelucrează în sistemele de informații cu caracter personal. ."

Actul indică:

• datele personale prelucrate în sistem;
• volumul datelor cu caracter personal prelucrate;
• un fel amenințări reale pentru ISPD;
• structura sistemului informatic;
• disponibilitatea conexiunilor la rețelele de comunicații uz comunși (sau) rețele de schimb internațional de informații;
• modul de prelucrare a datelor cu caracter personal în sistem;
• diferențierea drepturilor de acces ale utilizatorilor;
• locația ISPDN;
• Nivel de securitate PD.

Actul de clasificare ISPD poate include sisteme care stochează următoarele date:

• categorii speciale de date cu caracter personal - informații legate de rasă, naționalitate, opinii politice, convingeri religioase sau filozofice, starea de sănătate, viața intimă a subiecților datelor cu caracter personal;
• date cu caracter personal biometrice - informații care caracterizează caracteristicile fiziologice și biologice ale unei persoane, pe baza cărora se poate stabili identitatea acesteia și care este utilizată de operator pentru stabilirea identității subiectului datelor cu caracter personal;
• date cu caracter personal disponibile publicului - informații obținute numai din surse publice de date cu caracter personal create în conformitate cu articolul 8 din Legea federală „Cu privire la datele cu caracter personal”.

Este destul de rar să găsești sisteme în care sunt prelucrate date cu caracter personal din categoria a 3-a. Acest lucru se datorează faptului că pt sarcini reale aveți nevoie nu numai de datele de identificare a subiectului (nume, date pașaport), ci și de informații suplimentare despre el (de exemplu, informații despre salariu).

Cele mai comune sisteme informatice în care sunt prelucrate date cu caracter personal din categoria a 2-a. De exemplu, sistemele de decontare salariile angajati.

Volumul datelor cu caracter personal prelucrate determină numărul de subiecți ale căror date cu caracter personal sunt prelucrate în sistem. Se aplică următoarea gradație:

• peste 100.000 de persoane vizate de date cu caracter personal;
• mai puțin de 100.000 de persoane vizate de date cu caracter personal.

Tipuri de amenințări la adresa securității datelor cu caracter personal

Tip de amenințări reale pentru ISPDN:

• Amenințările de tip 1 sunt relevante pentru un sistem informațional dacă, printre altele, amenințările asociate cu prezența capacităților nedocumentate (nedeclarate) în software-ul de sistem utilizat în sistemul informațional sunt relevante pentru acesta;
• Amenințările de tip 2 sunt relevante pentru un sistem informațional dacă, printre altele, amenințările asociate cu prezența capabilităților nedocumentate (nedeclarate) în aplicația software utilizată în sistemul informațional sunt relevante pentru acesta;
• Amenințările de al treilea tip sunt relevante pentru un sistem informațional dacă amenințările care nu sunt asociate cu prezența capacităților nedocumentate (nedeclarate) în sistem și aplicația software utilizată în sistemul informațional sunt relevante pentru acesta.

După tip, sistemele de informare a datelor cu caracter personal descrise în actul de clasificare ISPD sunt împărțite în standard și speciale. ISPD tipice sunt sistemele informaționale în care este necesară doar confidențialitatea PD. ISPDN speciale sunt sisteme informatice în care, pe lângă confidențialitate, este necesar să se asigure cel puțin încă o caracteristică de securitate a datelor cu caracter personal (integritate, disponibilitate).

În plus, sistemele speciale includ toate ISPD-urile care prelucrează date despre sănătatea subiecților și ISPD-urile, care prevăd adoptarea de decizii care dau naștere la consecințe juridice pentru subiect pe baza prelucrare automată.

Majoritatea ISPDN-urilor existente sunt speciale. Acest lucru se datorează faptului că, pe lângă confidențialitate, este important și ca PD să fie întotdeauna disponibil pentru prelucrare, complet și fiabil. Pentru toți sisteme speciale este necesar să se elaboreze un „Model particular de amenințări reale”.

Clasificarea sistemelor informatice de date cu caracter personal dupa structura:

• Autonom. Reprezintă unul automatizat la locul de muncă(calculator).
• Local. Stații de lucru automate (AWS), unite într-o rețea locală.
• Distribuit. Locuri de muncă automatizate sau rețelele locale interconectate prin tehnologie acces de la distanță.

După modul de prelucrare a datelor cu caracter personal în sistemul ISPD, acestea sunt împărțite în utilizator unic și multiutilizator. Sistemele cu un singur utilizator sunt rare. De regulă, cel puțin două persoane lucrează chiar și pentru un loc de muncă autonom (în caz de vacanță și îmbolnăvire).

Clasificarea ISPD-urilor multi-utilizator este împărțită în:

• Fără diferențiere a drepturilor de acces. În astfel de sisteme, toți utilizatorii au acces la toate informațiile.
• Cu diferențierea drepturilor de acces. Fiecare utilizator are acces la o informație strict definită în sistem.

În funcție de locație, ISPD este împărțit în.

Sisteme de informare datele personale (ISPDN) sunt utilizate în activitatea lor de multe întreprinderi și organizații. Să ne dăm seama ce este și ce nuanțe trebuie să țină cont de cei care lucrează cu ISPD.

Ce este ISPDN?

Mai simplu spus, sistemul de informații ISPDN este utilizat pentru stocarea și prelucrarea datelor cu caracter personal. Se compune din următoarele componente:

• De fapt, totalitatea datelor personale stocate în sistem, în baza de date.
• Mijloacele tehnice folosite pentru a lucra cu aceste date.
• Instrumente de automatizare pentru contabilitate și prelucrare a informațiilor stocate în ISPD (s-ar putea să nu fie disponibile în toate sistemele).

ISPDN este serios

Atunci când utilizați sistemele luate în considerare, este important să se asigure protecția datelor cu caracter personal împotriva accesului neautorizat, pierderii și a altor Situații de urgență... Acest lucru este precizat chiar și la nivel legislativ. Și pentru a lua măsuri de consiliere pentru a restricționa accesul la informații și pentru a le proteja, un ISPD este auditat (pentru mai multe detalii, vă rugăm să contactați specialiștii Rentacloud: http://rentacloud.su/services/zashchita-personalnykh-dannykh / audit /) . Pe baza rezultatelor sale se întocmește un act care conține următoarele informații:

• Categoria de date cu caracter personal care este stocată și prelucrată în sistemul sondat.
• Clasa și tipul lor (mai multe despre asta mai jos).
• Parametrii și structura sistemului investigat.
• Volume PD (număr de înregistrări etc.) stocate și procesate în ISPD.
• Informații despre locația sistemului.
• Informații despre posibilitatea accesării bazei de date prin rețelele disponibile pentru uz public (LAN, Internet etc.).

Auditul este efectuat în strictă conformitate cu un document comun întocmit de Ministerul Comunicațiilor, FSTEC și FSB. Este destul de voluminos și necesită un studiu amănunțit. În acest sens, auditul sistemului și pregătirea recomandărilor pe care se va baza protecția ISPD ar trebui să aibă încredere de către specialiști. Serviciile acestora pot fi folosite, de exemplu, contactând Rentacloud: (http://rentacloud.su).

Tipuri, clase de ISPDN și ce altceva trebuie să știți despre astfel de sisteme

Sistemele de informații cu date cu caracter personal (PD) sunt împărțite în 4 clase și 2 tipuri. Împărțirea în clase se realizează pe baza unor caracteristici precum categoria de PD prelucrate și volumele acestora.

Clase

Tabelul vă va ajuta să rezolvați acest lucru:

Explicații pentru tabel.

Categoria 4 include date personale anonimizate, pentru care este imposibil să se identifice un anumit subiect (de exemplu, date statistice). Cat 3 include PD, pe baza cărora este posibilă doar identificarea unei persoane (sunt destul de rare). Categoria 2 include date pe baza cărora este posibilă identificarea unei persoane și obținerea unora Informații suplimentare(exemplu - sisteme de salarizare în organizații și întreprinderi). Prima categorie include date care conțin informații despre naționalitate, starea de sănătate și alte informații sociale, precum și informații de altă natură (de exemplu, baze de date ale instituțiilor de îngrijire a sănătății).

În ceea ce privește clasele indicate în tabel, ISPDN-ul le este atribuit pe baza posibilelor daune aduse subiecților în cazul încălcării condițiilor de siguranță:

• Cl 4. Sunt excluse orice consecințe negative pentru subiect.
• Cl 3. Pot apărea consecinţe negative minore.
• Cl 2. Apariţia unor asemenea consecinţe.
• Cl 1. Sunt posibile consecinţe negative foarte grave.

Tipuri ISPDN

Primul tip include sisteme în care funcțiile de protecție a ISPD se reduc doar la atingerea indicatorilor necesari ai confidențialității acestuia. Dacă, pe lângă confidențialitate, este necesar să se asigure cel puțin un indicator suplimentar de securitate (autenticitate, disponibilitate, integritatea datelor etc.), este vorba despre al doilea tip.

Este de remarcat faptul că majoritatea sistemelor utilizate astăzi sunt clasificate ca al doilea tip.

Se poate observa că dezvoltarea ISPD, clasificarea lor și furnizarea de fiabile, protectie eficienta- procese foarte complexe și cu multiple fațete. Și pentru a evita greșelile, este indicat să încredințați acest lucru specialiștilor. Pentru aceasta, puteți contacta, de exemplu, compania Rentacloud, care ocupă una dintre pozițiile de lider pe această piață.

„Organizațiile bugetare: contabilitate și fiscalitate”, 2009, N 12

De la 1 ianuarie 2010, sistemele de informare a datelor cu caracter personal din toate organizațiile, inclusiv din instituțiile bugetare, trebuie aduse în conformitate cu cerințele Legii „Cu privire la datele cu caracter personal”<1>... La această Lege au fost adoptate o serie de reglementări și, drept urmare, acum există interpretări diferite ale atribuțiilor instituțiilor de stat și municipale în raport cu sistemele informaționale pe care le conțin. Acest articol analizează prevederile legislației actuale și evidențiază cerințele care trebuie îndeplinite.

<1>Legea federală din 27.07.2006 N 152-FZ.

Potrivit art. 1 din Legea „Cu privire la datele cu caracter personal”, această lege federală reglementează relațiile legate de prelucrarea datelor cu caracter personal efectuate de organele federale ale puterii de stat, organele puterii de stat ale subiecților. Federația Rusă, alte organisme guvernamentale, organele locale de autoguvernare care nu fac parte din sistemul de organe locale de autoguvernare, organele municipale, juridice și indivizii cu utilizarea instrumentelor de automatizare sau fără utilizarea unor astfel de instrumente, dacă prelucrarea datelor cu caracter personal fără utilizarea unor astfel de instrumente corespunde naturii acțiunilor (operațiunilor) efectuate cu date cu caracter personal folosind instrumente de automatizare.

O astfel de atenție acordată problemelor de automatizare a prelucrării datelor cu caracter personal atrage după sine necesitatea respectării unor norme legislative speciale privind utilizarea tehnologia Informatiei... În același timp, este necesar să se studieze cu atenție cadrul normativ și legal, care în prezent poate fi interpretat foarte ambiguu, mai ales în ceea ce privește prezentarea cerințelor pentru sistemele informaționale.

Conceptul de „sistem informaţional” în legislaţia actuală

În conformitate cu Legea federală „Cu privire la informații, tehnologii informaționale și protecția informațiilor”<2> Sistem informatic- un set de informații conținute în baze de date și tehnologii informaționale care asigură prelucrarea acestuia, și mijloace tehnice... Pe baza acestei definiții, se poate concluziona că nu există sisteme informaționale fără utilizarea tehnologia calculatoarelor iar corespunzătoare software.

<2>Legea federală din 27.07.2006 N 149-FZ.

Cu toate acestea, în art. 3 din Legea „Cu privire la datele cu caracter personal” oferă o definiție mai largă Sistem informatic: aceasta este o colecție de date cu caracter personal conținute într-o bază de date, precum și tehnologii informaționale și mijloace tehnice care permit prelucrarea acestor date cu caracter personal cu sau fără instrumente de automatizare.

Să examinăm componentele acestei definiții, ale cărei definiții pot fi găsite în Legea federală „Cu privire la informații, tehnologii informaționale și protecția informațiilor”, alte legi și reglementări ale Guvernului Federației Ruse.

Sub Bază de dateînseamnă un set de date organizate, interdependente, pe suporturi care pot fi citite de mașină (Regulamentul temporar privind contabilitatea de stat și înregistrarea bazelor de date și a băncilor de date)<3>). Cu toate acestea, în partea a patra a Codului civil al Federației Ruse (paragraful 2 al clauzei 2 din articolul 1260), este dată o definiție mai detaliată. Bază de date: acesta este un set de materiale independente prezentate într-o formă obiectivă (articole, calcule, reglementări, judecățiși alte materiale similare), sistematizate în așa fel încât aceste materiale să poată fi găsite și prelucrate prin mijloace electronice mașină de calcul(CALCULATOR).

<3>Aprobat prin Decretul Guvernului Federației Ruse din 28 februarie 1996 N 226.

Tehnologia de informație- procese, metode de căutare, colectare, stocare, prelucrare, furnizare, diseminare a informațiilor și modalități de implementare a unor astfel de procese și metode (Legea Federală „Cu privire la Informații, Tehnologii Informaționale și Protecția Informației”).

Sub mijloace tehnice care să permită prelucrarea datelor cu caracter personal, mijloace tehnologie de calcul, sisteme și rețele informatice și de calcul, mijloace și sisteme pentru transmiterea, primirea și prelucrarea datelor cu caracter personal (mijloace și sisteme de înregistrare a sunetului, amplificare a sunetului, reproducere a sunetului, săli de întâlnire și aparate de televiziune, mijloace de producție, duplicare de documente și alte mijloace tehnice de prelucrare a informațiilor vorbite, grafice, video și alfanumerice), software ( OS, sisteme de gestionare a bazelor de date etc.), instrumente de securitate a informațiilor utilizate în sistemele informaționale (Regulament privind asigurarea securității datelor cu caracter personal la prelucrarea acestora în sistemele informatice de date cu caracter personal<4>).

<4>Aprobat prin Decretul Guvernului Federației Ruse din 17 noiembrie 2007 N 781.

Astfel, mijloacele tehnice includ atât copiatoare, cât și software, dar cheia în definirea sistemului informațional de date cu caracter personal este conceptul de „bază de date”. Din această definiție rezultă că prelucrarea bazei de date este efectuată de un computer (suporturile trebuie să poată fi citite de mașină). Dacă prelucrarea se efectuează fără utilizarea unui computer și a unei baze de date (suport care poate fi citit de mașină), atunci în mod oficial nu există un sistem de informare. În plus, fără mijloace tehnice care să permită prelucrarea datelor cu caracter personal, nici baza de date nu poate fi recunoscută de sistemul informațional. În plus, sistemele informatice nu sunt doar o colecție de tehnologie informatică și unele programe care prelucrează informații din baze de date, ele pot folosi instrumente de automatizare sau pot să nu le folosească.

Ce se înțelege prin instrumente de automatizare?

Există un punct de vedere conform căruia utilizarea automatizării înseamnă orice prelucrare computerizată sau prelucrare cu dispozitive electronice... Dacă baza de date este stocată pe un computer (de exemplu, în foaie de calcul sau software de contabilitate) sau, de exemplu, în caiet telefon mobil, atunci aceasta este deja o prelucrare automată a datelor cu caracter personal și este supusă notificării de către Roskomnadzor. În plus, unii experți consideră că prelucrarea fără utilizarea instrumentelor de automatizare poate fi efectuată doar pe hârtie (în jurnale completate manual, în liste scrise de mână).

În conformitate cu partea 3 a art. 4 din Legea „Cu privire la datele cu caracter personal”, specificul prelucrării datelor cu caracter personal efectuate fără utilizarea instrumentelor de automatizare pot fi stabilite prin legile federale și alte acte juridice de reglementare ale Federației Ruse, ținând cont de prevederile prezentei legi federale.

Decretul Guvernului Federației Ruse din 15 septembrie 2008 N 687 a aprobat Regulamentul privind specificul prelucrării datelor cu caracter personal efectuate fără utilizarea instrumentelor de automatizare. Potrivit clauzei 1 din Regulamentul menționat, prelucrarea datelor cu caracter personal conținute în sistemul informațional de date cu caracter personal sau extrase dintr-un astfel de sistem (denumite în continuare date cu caracter personal) se consideră efectuată fără utilizarea instrumentelor de automatizare (neautomatizate). ), dacă astfel de acțiuni cu date cu caracter personal precum utilizarea, clarificarea, distribuirea, distrugerea datelor cu caracter personal în legătură cu fiecare dintre subiecții datelor cu caracter personal sunt efectuate cu participarea directă a unei persoane.

Să ne întoarcem Atentie speciala asupra faptului că, în conformitate cu clauza 2 din Regulamentul privind specificul prelucrării datelor cu caracter personal efectuate fără utilizarea instrumentelor de automatizare, prelucrarea datelor cu caracter personal nu poate fi recunoscută ca fiind efectuată cu ajutorul instrumentelor de automatizare doar pe baza faptului că acestea sunt conținute în sistemul informațional sau au fost extrase din acesta.

Astfel, se poate afirma că din punctul de vedere al definițiilor disponibile în legislatia actuala, marea majoritate a sistemelor informatice din instituțiile de stat și municipale pot fi considerate în mod oficial ca implementate fără utilizarea instrumentelor de automatizare (inclusiv o parte semnificativă a software-ului de contabilitate). La urma urmei, toate cărțile de față din aceste sisteme sunt editate manual în ferestrele corespunzătoare. Pentru a distruge cărțile cu chip, trebuie, de asemenea, să le selectați în listă de către operator și să apăsați cheie specială pentru a șterge datele. Chiar și arhivarea este făcută program special care este lansat de un om.

Dar diverse programe care vă permit să reformatați datele (inclusiv din formatul unui program de contabilitate într-un format, de exemplu, un program Fondul de pensii) si efectuarea acestora intrare automată iar transmiterea ulterioară fără referire la fiecare înregistrare specifică a angajatului poate fi atribuită prelucrării automate a datelor. Totodată, prelucrarea datelor cu caracter personal (inclusiv numele, prenumele, patronimul, numărul certificatului de pensie etc.) este parte integrantă a unor astfel de programe.

În același timp, dacă transferul de date către alte programe (inclusiv în scopuri de contabilitate fiscală) nu se realizează complet automat, ci cu ajutorul unei persoane care participă la prelucrarea datelor cu caracter personal, atunci nici o astfel de prelucrare nu poate fi considerată automatizată. .

În acest sens, recomandările Agenției Federale pentru Educație, cuprinse în Scrisoarea din 29 iulie 2009 N 17-110 „Cu privire la asigurarea protecției datelor cu caracter personal”, au o aplicare destul de limitată în practică. Pentru a automatiza prelucrarea datelor cu caracter personal în chestionare de către Rosobrazovanie, se recomandă indicarea suplimentară a datelor interne un număr de identificare(codul personal) al subiectului datelor cu caracter personal, atribuit pe întreaga perioadă de studiu sau de muncă. Acest lucru vă permite să anonimizați bazele de date, dacă acestea nu conțin alte date cu caracter personal, și să reduceți semnificativ costul protecției informațiilor.

Cu toate acestea, pentru automatizare activitati de managementîntr-o instituție de stat sau municipală, sunt necesare cel puțin numele de familie, prenumele, patronimele angajaților, studenților, studenților și așa mai departe, precum și o serie de alte date personale (pentru angajați, de exemplu, informații despre veniturile lor pentru în scopuri contabile şi contabile fiscale). A se intoarce catre coduri personale cuprinse în pliante (chestionare), pentru restul procesării datelor cu ajutorul software-ului va arăta macar ciudat, reducând eficacitatea introducerii tehnologiilor informaționale moderne. Mai mult, în funcție de forma chestionarelor utilizate, acestea pot fi recunoscute ca parte a sistemului informațional (ca fiind parte din baza de date), care va lipsi complet de sensul codificării suplimentare (o astfel de codificare este necesară dacă este recomandabil să se depersonalizeze datele, de exemplu, pentru studii statistice).

Prelucrarea datelor cu caracter personal fără utilizarea instrumentelor de automatizare

Deci, după cum sa discutat mai sus, în ciuda informatizării activităților, în majoritatea cazurilor, prelucrarea datelor cu caracter personal în instituțiile de stat și municipale se realizează fără utilizarea instrumentelor de automatizare (neautomatizate) și, în consecință, este reglementată de Regulamentul privind specificul prelucrării datelor cu caracter personal efectuate fără utilizarea instrumentelor de automatizare<5>.

<5>Aprobat prin Decretul Guvernului Federației Ruse din 15 septembrie 2008 N 687.

Persoanele care efectuează o astfel de prelucrare (inclusiv angajații organizației operatorului sau persoanele care lucrează în baza unui acord cu operatorul) trebuie să fie informate despre faptul că prelucrează date cu caracter personal fără a utiliza instrumente de automatizare, categoriile de date cu caracter personal prelucrate, precum și despre caracteristici și reguli pentru implementarea unei astfel de prelucrări stabilite prin actele juridice de reglementare ale organelor executive federale, organelor executive ale entităților constitutive ale Federației Ruse și actele locale ale unei instituții de învățământ.

Datele cu caracter personal în timpul prelucrării lor, efectuate fără utilizarea instrumentelor de automatizare, trebuie separate de alte informații, în special, prin fixarea acestora pe suporturi de materiale separate, în secțiuni speciale sau în domeniile formularelor (formularelor).

În același timp, nu este permisă fixarea datelor cu caracter personal pe un singur suport material dacă scopurile prelucrării acestora sunt în mod deliberat incompatibile. În acest caz, ar trebui utilizat un mediu material separat pentru fiecare categorie de date cu caracter personal.

Și, prin urmare, prelucrarea trebuie efectuată în așa fel încât pentru fiecare categorie de date cu caracter personal să existe:

• au fost identificate locațiile de stocare și a fost stabilită o listă a persoanelor care prelucrează datele sau au acces la acestea;
• se asigură stocarea separată a datelor cu caracter personal (suporturi materiale), a căror prelucrare se realizează în diverse scopuri;
• sunt îndeplinite condițiile, asigurând securitatea datelor cu caracter personal și excluzând accesul neautorizat la acestea.

Lista măsurilor necesare pentru asigurarea unor astfel de condiții, procedura de adoptare a acestora, precum și lista persoanelor responsabile cu implementarea acestor măsuri, se stabilesc de către instituția de învățământ în conformitate cu cerințele actelor juridice de reglementare privind protecția date personale.

În cazul în care scopurile prelucrării datelor cu caracter personal înregistrate pe un suport material sunt incompatibile, dacă nu permite prelucrarea lor separat de alte date cu caracter personal înregistrate pe același suport, ar trebui luate măsuri pentru a asigura o prelucrare separată, în special:

• dacă este necesară utilizarea sau diseminarea anumitor date cu caracter personal separat de altele aflate pe același suport material, datele care urmează să fie difuzate sau utilizate sunt copiate într-un mod care să excludă copierea simultană a datelor care nu pot fi diseminate și utilizate, iar o copie a datelor personale este utilizată (distribuită);
• dacă este necesară distrugerea sau blocarea unei părți a datelor cu caracter personal, suportul material este distrus sau blocat cu copierea prealabilă a informațiilor care nu sunt supuse distrugerii sau blocării, într-un mod care exclude copierea simultană a datelor cu caracter personal care urmează să fie distruse sau blocat.

Distrugerea sau depersonalizarea unei părți a datelor cu caracter personal, dacă este permisă de un mediu material, poate fi efectuată într-un mod care să excludă prelucrarea ulterioară a acestor date cu caracter personal, păstrând totodată posibilitatea prelucrării altor date înregistrate pe un suport material (ștergere, ştergerea).

Clarificarea datelor cu caracter personal la prelucrarea acestora fără a utiliza instrumente de automatizare se realizează prin actualizarea sau modificarea datelor pe un mediu tangibil, iar dacă acest lucru nu este permis caracteristici tehnice purtător de materiale - prin fixarea pe același transportator de informații despre modificările aduse acestora, sau prin realizarea unui nou purtător de materiale cu date personale actualizate.

Prelucrarea datelor cu caracter personal folosind instrumente de automatizare

Regulamentul privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal stabilește cerințe pentru asigurarea securității datelor cu caracter personal la prelucrarea acestora în sistemele informatice de date cu caracter personal, care sunt un set de date cu caracter personal conținute în baze de date, precum și informații. tehnologii si mijloace tehnice.

După cum rezultă de la punctul 1 din prezentul Regulament, termenul „sisteme informaționale” înseamnă doar sisteme informatice care permit prelucrarea datelor cu caracter personal folosind instrumente de automatizare, prin urmare, cerințele prezentului Regulament nu se aplică sistemelor informatice în care prelucrarea datelor se realizează fără utilizarea instrumentelor de automatizare.

Dacă o prelucrare automată a datelor cu caracter personal este efectuată într-o instituție de stat sau municipală, atunci trebuie îndeplinite următoarele cerințe.

Conform Regulamentului privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal, securitatea datelor cu caracter personal se realizează:

• prin excluderea accesului neautorizat, inclusiv accidental, la datele cu caracter personal, al cărui rezultat poate fi distrugerea, modificarea, blocarea, copierea, distribuirea datelor cu caracter personal;
• prin excluderea altor acțiuni neautorizate.

Securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale este asigurată cu ajutorul sistemele de protecție a datelor cu caracter personal inclusiv:

• măsuri organizatorice;
• mijloace de securitate a informațiilor;
• Tehnologia de informație.

Instrumentele de securitate a informațiilor includ:

• mijloace de criptare (criptografice);
• mijloace de prevenire a accesului neautorizat;
• mijloace de prevenire a scurgerii de informații canale tehnice;
• mijloace de prevenire a influențelor software și hardware asupra mijloacelor tehnice de prelucrare a datelor cu caracter personal.

Pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale, se realizează protecție informații despre vorbireși informațiile prelucrate prin mijloace tehnice, precum și informațiile prezentate sub formă informativă semnale electrice, câmpuri fizice, suporturi pe hârtie, baze magnetice, magneto-optice și alte baze.

Solicitările utilizatorilor sistemului informațional pentru obținerea de date cu caracter personal, precum și faptele de furnizare a datelor cu privire la aceste solicitări ar trebui înregistrate mijloace automatizate sistem informatic în jurnalul electronic de cereri. În plus, conținutul jurnal electronic apelurile trebuie verificate periodic de către oficialii (angajații) corespunzători ai operatorului sau o persoană autorizată.

În cazul în care sunt detectate încălcări ale procedurii de furnizare a datelor cu caracter personal, operatorul sau o persoană împuternicită suspendă imediat furnizarea datelor cu caracter personal către utilizatorii sistemului informatic până la identificarea și eliminarea cauzelor încălcărilor.

Hardware-ul și software-ul trebuie să îndeplinească cerințele stabilite în conformitate cu legislația Federației Ruse pentru a asigura protecția informațiilor. Totodată, se stabilesc metodele și metodele de protecție a informațiilor din sistemele informaționale Serviciul Federal pentru controlul tehnic și al exporturilor (FSTEC) și Serviciul Federal de Securitate (FSB) în competențele lor.

Securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional este asigurată de operator sau de persoana căreia, în baza contractului, operatorul îi încredințează prelucrarea datelor cu caracter personal. Persoanele al căror acces la datele cu caracter personal prelucrate în sistemul informațional este necesar pentru îndeplinirea atribuțiilor oficiale (de muncă) sunt admise la datele personale relevante pe baza unei liste aprobate de operator sau de o persoană autorizată. O condiție esențială a acordului este datoria persoanei autorizate de a asigura confidențialitatea și securitatea datelor cu caracter personal atunci când le prelucrează în sistemul informatic.

Instrumente de securitate a informațiilor utilizate în sistemele informaționale, în ordinea stabilită sunt supuse unei proceduri de evaluare a conformității. Schimbul de date cu caracter personal în timpul prelucrării acestora în sistemele informaționale se realizează prin canale de comunicare, a căror protecție este asigurată prin implementarea unor măsuri adecvate. măsuri organizatoriceși (sau) prin utilizarea mijloacelor tehnice.

Totodată, sistemele informatice sunt clasificate de către organe de stat, organe municipale, persoane juridice sau persoane fizice care organizează și (sau) desfășoară prelucrări de date cu caracter personal, precum și determină scopurile și conținutul prelucrării datelor cu caracter personal, în funcție de volumul de date cu caracter personal prelucrate de aceștia și amenințările de securitate la adresa intereselor vitale.individ, societate și stat.

Procedura de clasificare a sistemelor informatice este stabilită în comun de către Serviciul Federal de Control Tehnic și Export, Serviciul Federal de Securitate și Ministerul Tehnologiei Informației și Comunicațiilor. Această Procedură este stabilită prin Ordin FSTEC din Rusia, FSB al Rusiei, Ministerul Tehnologiilor Informaționale și Comunicațiilor din Rusia din 13.02.2008 N 55/86/20.

În plus, sunt indicate cerințele pentru spații și protecția acestora. Potrivit clauzei 8 din Regulamentul privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal, amplasarea sistemelor informatice, echipament specialși protecția sediului în care se desfășoară activitatea cu date cu caracter personal, organizarea regimului de securitate în aceste spații ar trebui să asigure siguranța purtătorilor de date cu caracter personal și a mijloacelor de protecție a informațiilor, precum și să excludă posibilitatea intrării sau șederii necontrolate. în aceste premise străinii.

Pentru aceasta, statul și instituţiile municipale ar trebui să instaleze alarme suplimentare în încăperile indicate, în uși - încuietori suplimentare sau uși metalice.

Măsurile de asigurare a securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale includ:

a) identificarea amenințărilor la adresa securității datelor cu caracter personal în timpul prelucrării acestora, formarea unui model de amenințare pe baza acestora;

b) dezvoltarea, pe baza modelului de amenințare, a unui sistem de protecție a datelor cu caracter personal care să neutralizeze amenințările percepute folosind metodele și metodele de protecție a datelor cu caracter personal prevăzute pentru clasa corespunzătoare de sisteme informatice;

c) verificarea gradului de pregătire a instrumentelor de securitate a informațiilor pentru utilizare cu întocmirea concluziilor despre posibilitatea funcționării acestora;

d) instalarea și punerea în funcțiune a instrumentelor de securitate a informațiilor în conformitate cu documentația operațională și tehnică;

e) instruirea persoanelor care utilizează instrumentele de securitate a informațiilor utilizate în sistemele informaționale, regulile de lucru cu acestea;

f) contabilizarea mijloacelor de protecție a informațiilor aplicate, documentație operațională și tehnică pentru aceștia, purtători de date cu caracter personal;

g) înregistrarea persoanelor admise să lucreze cu date personale în sistemul informaţional;

h) controlul asupra respectării condițiilor de utilizare a instrumentelor de securitate a informațiilor prevăzute de documentația operațională și tehnică;

i) investigarea și întocmirea concluziilor cu privire la faptele de nerespectare a condițiilor de stocare a purtătorilor de date cu caracter personal, utilizarea mijloacelor de protecție a informațiilor care pot conduce la încălcarea confidențialității datelor cu caracter personal sau alte încălcări care conduc la scăderea nivelul de protecție a datelor cu caracter personal, elaborarea și adoptarea de măsuri pentru prevenirea posibilelor consecințe periculoase ale unor astfel de încălcări;

j) o descriere a sistemului de protecție a datelor cu caracter personal.

Persoanele care au acces la baze de informare cu date personale, semnează o obligație de nedivulgare (o astfel de obligație poate fi inclusă și într-un contract de muncă). Abia după aceea, instituția de învățământ le permite să prelucreze date cu caracter personal.

La prelucrarea datelor cu caracter personal în sistemul informațional, o instituție de învățământ trebuie să asigure:

a) luarea de măsuri care vizează prevenirea accesului neautorizat la datele cu caracter personal și (sau) transferarea acestora către persoane care nu au dreptul de a accesa aceste informații;

b) detectarea la timp a faptelor de acces neautorizat la datele cu caracter personal;

c) prevenirea impactului asupra mijloacelor tehnice de prelucrare automată a datelor cu caracter personal, în urma cărora funcționarea acestora poate fi perturbată;

d) posibilitatea recuperării imediate a datelor cu caracter personal, modificate sau distruse din cauza accesului neautorizat la acestea;

e) control constant asupra asigurării nivelului de protecție a datelor cu caracter personal.

Pentru a dezvolta și implementa măsuri pentru asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional, un operator sau o persoană autorizată poate desemna o unitate structurală sau executiv(angajat) responsabil cu asigurarea securității datelor cu caracter personal.

De asemenea, ar trebui să acordați o atenție deosebită faptului că, în conformitate cu clauza 17 din Regulamentul privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informare cu date cu caracter personal, implementarea cerințelor pentru asigurarea securității informațiilor în securitatea informațiilor înseamnă este încredințat dezvoltatorilor lor.

Adecvarea măsurile luate pentru asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale se evaluează în timpul controlului și supravegherii de stat.

Clasificarea sistemelor informatice de date cu caracter personal

Clasificarea sistemelor informatice de date cu caracter personal care permit prelucrarea acestor date cu ajutorul instrumentelor de automatizare se realizeaza de catre institutia de invatamant - operator in conformitate cu Procedura de clasificare a sistemelor informatice de date cu caracter personal<6>in functie de categoria datelor prelucrate si cantitatea acestora.

<6>Aprobat prin Ordinul FSTEC al Rusiei, FSB al Rusiei, Ministerul Informației și Comunicațiilor al Federației Ruse din 13.02.2008 N 55/86/20.

Au fost stabilite următoarele patru categorii de date cu caracter personal:

1. date personale referitoare la rasă, naționalitate, opinii politice, convingeri religioase și filozofice, starea de sănătate, viața intimă;
2. date personale care vă permit să identificați subiectul datelor cu caracter personal și să vă informați despre el Informații suplimentare, cu excepția datelor cu caracter personal aparținând primei categorii;
3. date personale care vă permit să identificați subiectul datelor cu caracter personal;
4. date cu caracter personal anonimizate și (sau) disponibile public.

În orice universitate, pe standurile publice, puteți găsi diverse liste de studenți, inclusiv o combinație de nume complete. student, curs, grup care vă permit să identificați în mod unic studentul. Ca urmare, o astfel de combinație de date cu caracter personal obligă acestea să fie clasificate ca date cu caracter personal din a treia categorie; plasarea acestor date într-un loc public necesită în mod oficial acordul elevului.

Cartea personală a angajatului (formular T-2), dosarul personal al studentului (elevului) aparține categoriei a doua, deoarece acestea sunt date personale care permit nu numai identificarea subiectului datelor cu caracter personal, ci și obținerea de informații suplimentare despre acesta.

Sistemele de informare cu date cu caracter personal sunt împărțite în standard și speciale. Sistemele tipice includ sisteme în care este necesară doar confidențialitatea datelor cu caracter personal. Toate celelalte sisteme sunt clasificate ca speciale.

Sistemele informatice speciale ar trebui să includă, de asemenea:

• sistemele informatice în care sunt prelucrate date cu caracter personal privind starea de sănătate a subiecților datelor cu caracter personal;
• sisteme informatice, care prevăd adoptarea pe baza prelucrării exclusiv automatizate a datelor cu caracter personal a unor decizii care generează consecințe juridice în raport cu subiectul datelor cu caracter personal sau care îi afectează în alt mod drepturile și interesele legitime.

Pe baza clasificării de mai sus, se poate afirma că orice date medicale, precum și fișele de personal, care conțin coloana „naționalitate” (și astfel sunt aproape toate chestionarele valide și foi personaleîn uz curent) trebuie să se refere la prima categorie.

Pe baza rezultatelor analizei datelor disponibile, unui sistem informatic tipic i se atribuie una dintre cele patru clase specificate în Procedura de clasificare a sistemelor informatice de date cu caracter personal.

Clasa unui sistem informatic special se determină pe baza unui model de amenințări la adresa securității datelor cu caracter personal pe baza rezultatelor analizei datelor inițiale în conformitate cu documentele metodologice ale FSTEC.

FSTEC a publicat urmatoarele documente Plăci aglomerate care pot fi obținute numai contactând această autoritate:

• Principalele activități pentru organizație și suport tehnic securitatea datelor cu caracter personal prelucrate în sistemele informatice de date cu caracter personal, din 15.02.2008;
• Modelul de bază al amenințărilor la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal din 15.02.2008;
• Metodologia de determinare a amenințărilor actuale la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal din data de 15.02.2008;
• Recomandări pentru asigurarea securității datelor cu caracter personal la prelucrarea acestora în sistemele informatice de date cu caracter personal din data de 15.02.2008.

Aceste documente metodologice conțin numeroase cerințe, care sunt extrem de dificile pentru majoritatea instituțiilor de stat sau municipale din motive atât de natură organizatorică, cât și financiară.

Declarație, certificare (atestare) și licențiere activități pentru protecția datelor cu caracter personal

Documentele metodologice FSTEC enumerate mai sus stabilesc următoarea procedură de evaluare a conformității gradului de securitate a sistemelor informatice cu cerințele de securitate:

• pentru sistemele informatice de clasa I si II, conformitatea gradului de protectie cu cerintele de securitate se stabileste prin certificare obligatorie(certificare);
• pentru sistemele informatice de clasa a treia, respectarea cerințelor de securitate se confirmă prin certificare (atestare) sau (la opțiunea operatorului) prin declarație de conformitate efectuată de operatorul de date cu caracter personal;
• pentru sistemele informatice din clasa a patra, evaluarea conformității nu este reglementată și se realizează prin decizia operatorului de date cu caracter personal.

Declaratie de conformitate- aceasta este o confirmare a conformității caracteristicilor sistemului informatic de date cu caracter personal cu cerințele stabilite de legislație, liniile directoare și documentele normative și metodologice ale FSTEC și FSB.

Declarația de conformitate poate fi efectuată pe baza propriilor probe sau a probelor obținute cu participarea organizațiilor implicate care dețin licențele necesare. Lista organismelor (organizațiilor) de atestare a sistemului de certificare a mijloacelor de protecție a informațiilor conform cerințelor de securitate a informațiilor, care pot fi contactate institutii de invatamantși autoritățile educaționale care nu au specialiştii necesariși licențe, de asemenea Registrul de stat instrumentele de securitate a informațiilor certificate sunt postate pe site-ul web FSTEC. Costul unor astfel de proceduri este destul de mare și se măsoară în sute de mii de ruble.

În cazul declarării pe baza propriilor probe, operatorul generează în mod independent un set de documente, precum: documentatie tehnica, alte documente și rezultatele cercetărilor proprii, care au servit drept bază motivată pentru confirmarea conformității sistemului informațional de date cu caracter personal cu toate cerințele necesare necesar pentru clasa a treia.

Teste de atestare (certificare). efectuate de organizații care dețin licențele FSTEC necesare. Totodată, atestarea este înțeleasă ca un ansamblu de măsuri care fac posibilă aducerea sistemului informațional în conformitate cu cerințele de securitate a informațiilor la clasa declarată prevăzută în documentele normative și metodologice ale FSTEC.

Testele de atestare (certificare) conțin o analiză a sistemelor de informații cu date cu caracter personal deja disponibile în unitate, precum și din nou deciziile luate pentru a asigura securitatea informațiilor și include verificarea:

• măsuri organizatorice și de regim pentru asigurarea protecției informațiilor;
• securitatea informațiilor de la scurgeri prin canale tehnice (PEMIN);
• securitatea informațiilor împotriva accesului neautorizat.

Pe baza rezultatelor testelor de certificare se ia decizia de a elibera un certificat de conformitate a sistemului informatic la clasa declarata conform cerintelor de securitate a informatiilor. Certificatul se eliberează pentru o perioadă de trei ani.

Documentele metodologice FSTEC stabilesc și cerințe suplimentare pentru disponibilitatea licențelor pentru protecția datelor cu caracter personal. Fără prezența licențelor adecvate, astfel de evenimente sunt posibile numai pentru sistemele de informații din clasa a treia și a patra.

Pentru realizarea măsurilor de asigurare a securității datelor cu caracter personal pentru sistemele informatice speciale, sistemele de clasa I și a II-a și sistemele distribuite (inclusiv cele conectate la internet) de clasa a III-a, operatorii trebuie să obțină, în conformitate cu procedura stabilită, o licență FSTEC pentru activități în protectie tehnica informații confidențiale.

Legalitatea cerințelor pentru procedurile de declarare, certificare (certificare) și autorizare de către instituțiile de stat și municipale pe baza documentelor metodologice FSTEC ridică serioase îndoieli.

Reglementări privind procedura de gestionare a informațiilor oficiale cu distribuție limitată în organele executive federale<7>(clauza 1.2) se referă la informațiile oficiale cu distribuție limitată ca informații neclasificate referitoare la activitățile organizațiilor, restricțiile privind distribuirea cărora sunt dictate de necesitatea oficială. Stabilirea responsabilităților pentru acordarea de licențe pentru activitățile organizațiilor nu poate fi în niciun caz recunoscută ca informație a EAF.

<7>Aprobat prin Decretul Guvernului Federației Ruse din 03.11.1994 N 1233.

Obligații de licențiere anumite tipuri activitățile, inclusiv activitățile de protecție tehnică a informațiilor confidențiale, sunt determinate de Legea federală „Cu privire la licențierea anumitor tipuri de activități”<8>... Procedura de licențiere a activităților de protecție tehnică a informațiilor confidențiale desfășurate entitati legaleși antreprenori individuali, determinate de Decretul Guvernului Federației Ruse din 15.08.2006 N 504.

<8>Legea federală din 08.08.2001 N 128-FZ.

Nici Regulamentul privind activitățile de licențiere pentru protecția tehnică a informațiilor confidențiale, nici Procedura de clasificare a sistemelor informatice a datelor cu caracter personal nu stabilesc obligații pentru licențierea activităților pentru protecția tehnică a informațiilor confidențiale, în funcție de clasa sistemului informatic. Aceste cerințe sunt stabilite în documentul DSP - Măsuri de bază pentru organizarea și securitatea tehnică a PD procesate în ISPD.

Regulamentul privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal stabilește doar că:

• instrumentele de securitate a informațiilor utilizate în sistemele informatice trec prin procedura de evaluare a conformității în modul prescris (clauza 5) - adică nu operatorul, dar instrumentul de securitate a informațiilor este supus certificării și este realizat de producătorul acestui instrument (inclusiv program de calculator pentru protecția informațiilor);
• rezultatele evaluării conformității și (sau) studiile de caz ale instrumentelor de protecție a informațiilor concepute pentru a asigura securitatea datelor cu caracter personal atunci când le prelucrează în sistemele informatice sunt evaluate în cadrul unei examinări efectuate de către Serviciul Federal pentru Controlul Tehnic și al Exporturilor și Securitatea Federală. Serviciu în limitele puterilor lor.

În conformitate cu partea 3 a art. 15 din Constituția Federației Ruse, toate legile, precum și orice acte normative care afectează drepturile, libertățile și obligațiile unei persoane și ale unui cetățean, trebuie să fie publicate oficial pentru informare generală, adică făcute publice. Actele juridice normative nepublicate nu sunt aplicate, nu aduc consecinte juridice intrucat nu au intrat in vigoare.

Din 15 mai 1992 prin Decretul Guvernului Federației Ruse din 05/08/1992 N 305 „Cu privire la înregistrare de stat acte normative departamentale „a fost introdusă înregistrarea de stat a actelor normative ale ministerelor și departamentelor, care afectează drepturile și interesele cetățenilor și au caracter interdepartamental.

Problemele privind înregistrarea de stat și intrarea în vigoare a actelor juridice normative departamentale sunt reglementate de Decretul președintelui Federației Ruse N 763<9>și Rezoluția Guvernului Federației Ruse N 1009<10>.

<9>Decretul Președintelui Federației Ruse din 23.05.1996 N 763 „Cu privire la procedura de publicare și intrare în vigoare a actelor Președintelui Federației Ruse, Guvernului Federației Ruse și acte normative ale organelor executive federale” .
<10>Decretul Guvernului Federației Ruse din 13.08.1997 N 1009 „Cu privire la aprobarea Regulilor pentru pregătirea actelor juridice normative ale organelor executive federale și înregistrarea lor de stat”.

Potrivit clauzei 10 din Regulile pentru pregătirea actelor juridice normative ale organelor executive federale și înregistrarea lor de stat, înregistrarea de stat este supusă actelor juridice normative care afectează drepturile, libertățile și îndatoririle unei persoane și ale cetățeanului, stabilind statut juridic organizațiilor cu caracter interdepartamental, indiferent de perioada de valabilitate a acestora, inclusiv actele care conțin informații constitutive secret de stat, sau informații cu caracter confidențial.

Înregistrarea de stat a actelor juridice normative se realizează de către Ministerul Justiției, care ține Registrul de stat al actelor juridice normative ale organelor executive federale.

Înregistrarea de stat a unui act juridic de reglementare include:

• examinarea juridică a conformității acestui act cu legislația Federației Ruse, inclusiv verificarea prezenței prevederilor în acesta care contribuie la crearea condițiilor pentru manifestarea corupției;
• luarea unei decizii cu privire la necesitatea înregistrării de stat a acestui act;
• atribuirea unui număr de înregistrare;
• înscrierea în Registrul de stat al actelor juridice normative ale organelor executive federale.

Actele normative care afectează drepturile, libertățile și îndatoririle unei persoane și ale cetățeanului, care stabilesc statutul juridic al organizațiilor sau au caracter interdepartamental, sunt supuse publicării oficiale în modul prescris, cu excepția actelor sau a dispozițiilor individuale ale acestora care conțin informații constitutive de stat. secrete sau informații cu caracter confidențial,

Un act recunoscut de Ministerul Justiției ca nefiind înregistrarea de stat este supus publicării în modul stabilit de organul executiv federal care a aprobat actul. Totodată, procedura de intrare în vigoare a acestui act este determinată și de organul executiv federal care l-a emis.

Prin urmare, potrivit autorului, instituțiile de stat și municipale care efectuează prelucrarea automată a datelor cu caracter personal, în cazul prezentării cerințelor pentru obținerea licențelor, declararea sau certificarea (certificarea), pot contesta în instanță aceste cerințe (mai ales dacă mijloacele de protejarea datelor cu caracter personal utilizate au fost deja certificate de către producătorul acestora).

A. Betleem

director

Centrul Nijni Novgorod

economia educaţiei

Una dintre măsurile prioritare care trebuie luate la crearea unui sistem informațional pentru prelucrarea datelor cu caracter personal (ISPD) este clasificarea ISPD.

Acest lucru este necesar pentru a determina clasa sistemului și cerințele corespunzătoare pentru FSTEC și FSB în prelucrarea datelor cu caracter personal (PD). În acest articol voi descrie procedura generala clasificarea ISPD.

În conformitate cu Ordinul FSTEC / FSB / Ministerul Informației și Comunicării din 13.02.2008 Nr. 55/86/20 privind „Procedura de clasificare a sistemului informatic al datelor cu caracter personal”, care poate fi descărcat de aici, clasificarea este necesar să includă următoarele etape:

• Colectarea și analiza datelor inițiale privind sistemul informațional;
• Atribuirea unei clase adecvate unui sistem informatic și documentarea acesteia.

La clasificarea unui sistem informatic, este necesar să se răspundă la următoarele întrebări:

1. 1 Cărei categorii aparțin datele cu caracter personal prelucrate în sistemul informațional - Xpd?
2. Care este volumul datelor cu caracter personal prelucrate (numărul persoanelor vizate ale căror date cu caracter personal sunt prelucrate în sistemul informațional) - Xnpd?
3. Care sunt caracteristicile de securitate ale datelor cu caracter personal prelucrate în sistemul informatic?
4. Care este structura sistemului informatic?
5. Există o conexiune a sistemului informațional la rețelele publice de comunicații și/sau rețele de internet?
6. Care este modul de prelucrare a datelor cu caracter personal?
7. Care este modul de diferențiere a drepturilor de acces pentru utilizatorii sistemului informațional?
8. Unde sunt mijloacele tehnice ale sistemului informatic?

Date inițiale și informații de sprijin

Se determină următoarele categorii de date cu caracter personal prelucrate în sistemul informatic (Xpd):

1. Categoria 1- date personale privind rasa, nationalitatea, opiniile politice, convingerile religioase si filozofice, starea de sanatate, viata intima;
2. Categoria 2- date cu caracter personal care vă permit să identificați subiectul datelor cu caracter personal și să obțineți informații suplimentare despre acesta, cu excepția datelor cu caracter personal legate de Categoria 1;
3. Categoria 3- date personale care vă permit să identificați subiectul datelor cu caracter personal;
4. Categoria 4- date cu caracter personal anonimizate și (sau) disponibile public.

Xnpd poate lua următoarele valori:

• 1 - sistemul informatic prelucrează simultan date cu caracter personal ale a peste 100.000 de persoane vizate de date cu caracter personal sau date cu caracter personal ale persoanelor vizate de date cu caracter personal din cadrul unei entități constitutive a Federației Ruse sau a Federației Ruse în ansamblu;
• 2 - sistemul informatic prelucrează simultan date cu caracter personal de la 1000 la 100.000 de persoane vizate de date cu caracter personal sau date cu caracter personal ale persoanelor vizate de date cu caracter personal care lucrează în industria Federației Ruse, într-o autoritate publică cu reședința în municipiu;
• 3 - sistemul informatic prelucrează simultan date a mai puțin de 1000 de persoane vizate de date cu caracter personal sau date cu caracter personal ale persoanelor vizate de date cu caracter personal din cadrul unei anumite organizații.

Caracteristicile de securitate a datelor cu caracter personal

Pentru ISPD se determină caracteristicile de securitate ale datelor cu caracter personal, care sunt împărțite în de bază și suplimentare:

DE BAZĂ:

• confidențialitatea
• integritate
• disponibilitate

ADIŢIONAL:

• nerepudierea
• contabilitate (responsabilitate)
• autenticitate (fiabilitate)
• adecvarea

Structura sistemului informatic subdivizat in:

• autonome (neconectate la alte sisteme informaţionale) complexe de tehnică şi instrumente software destinat prelucrării datelor cu caracter personal (stații de lucru);
• un set de stații de lucru automatizate, unite într-un singur sistem informațional prin intermediul mijloacelor de comunicare fără utilizarea tehnologiei de acces la distanță (sisteme informaționale locale);
• un complex de stații de lucru automatizate și (sau) sisteme informaționale locale, unite într-un singur sistem informațional prin intermediul comunicațiilor folosind tehnologia de acces la distanță (sisteme de informații distribuite).

Modul de procesare

La organizarea ISPD, sunt determinate următoarele moduri de procesare:

• un singur utilizator;
• multiplayer.

Modul de diferențiere a drepturilor de acces

În ISPD, sistemul de control al accesului înseamnă:

• fără diferențiere a drepturilor de acces;
• cu diferenţierea drepturilor de acces.

Sistemele informatice sunt împărțite în tipicși special.
La un sistem informatic tipic includ sisteme care necesită doar confidențialitatea PD.

La un sistem informatic special include sisteme care, pe lângă confidențialitate, necesită:

• Sisteme informatice în care sunt prelucrate date cu caracter personal privind starea de sănătate a subiecților datelor cu caracter personal;
• Sisteme informatice în care, pe baza exclusiv prelucrării automate a datelor cu caracter personal, se iau decizii care dau naștere la consecințe juridice în legătură cu subiectul datelor cu caracter personal sau îi afectează în alt mod drepturile și interesele legitime.

Clasificarea sistemului informatic

Conform Ordinului FSTEC/FSB/Ministerul Informațiilor și Comunicațiilor nr.55/86/20, ISPDn poate lua una dintre cele patru clase definite în acest ordin:

1. clasa 1 (K1)- sisteme informatice pentru care o încălcare a unei anumite caracteristici de securitate a datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative semnificative pentru subiecții datelor cu caracter personal;
2. clasa 2 (K2)- sisteme informatice pentru care o încălcare a caracteristicilor de securitate specificate a datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative pentru subiecții datelor cu caracter personal;
3. clasa 3 (K3)- sisteme informatice pentru care o încălcare a caracteristicilor de securitate specificate a datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative minore pentru subiecții datelor cu caracter personal;
4. clasa 4 (K4)- sisteme informatice pentru care o încălcare a caracteristicilor de securitate specificate a datelor cu caracter personal prelucrate în acestea nu conduce la consecințe negative pentru subiecții datelor cu caracter personal.