Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ
  • në shtëpi
  • Këshilla
  • Sistemet e informacionit për të dhënat personale. Akti i klasifikimit ispd

Sistemet e informacionit për të dhënat personale. Akti i klasifikimit ispd

13.04.2019 Këshilla

Akti i klasifikimit të ISPD, si rregull, është dokument konfidencial, dhe duhet të ketë një vulë konfidencialiteti ("Konfidencial", "DSP", "Sekret tregtar") dhe një numër llogarie.

Për të kryer klasifikimin, duhet të krijohet një komision në ndërmarrje. Përbërja e komisionit duhet të përfshijë domosdoshmërisht një person përgjegjës për mbrojtjen e të dhënave personale. Komisioni duhet të emërohet me urdhër të titullarit dhe të kryejë veprimtarinë e tij në bazë të Rregullores për komisionin e klasifikimit. Sipas rezultateve të klasifikimit, duhet të hartohet një akt. Akti i klasifikimit të ISPD duhet të miratohet nga kryetari i komisionit dhe të nënshkruhet nga të gjithë anëtarët e komisionit.

Si të hartohet një akt klasifikimi i ISPD

Akti i klasifikimit hartohet për çdo ISPD të identifikuar. Bazuar në të dhënat e marra, përcaktohet çdo ISPDN nivelin e kërkuar sigurinë e të dhënave personale. Kjo është e nevojshme për të vendosur kërkesat për sigurimin e mbrojtjes së sistemit të informacionit të të dhënave personale. Përcaktimi i nivelit të mbrojtjes së të dhënave personale kryhet në përputhje me Dekretin e Qeverisë së Federatës Ruse, datë 01.11.2012 Nr. 1119 "Për miratimin e kërkesave për mbrojtjen e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale ."

Akti tregon:

  • të dhënat personale të përpunuara në sistem;
  • vëllimi i të dhënave personale të përpunuara;
  • një lloj kërcënimet aktuale për ISPD;
  • struktura e sistemit të informacionit;
  • disponueshmëria e lidhjeve me rrjetet e komunikimit përdorim të përbashkët dhe (ose) rrjetet e shkëmbimit ndërkombëtar të informacionit;
  • mënyrën e përpunimit të të dhënave personale në sistem;
  • diferencimi i të drejtave të aksesit të përdoruesit;
  • vendndodhjen e ISPDN;
  • Niveli i sigurisë së PD.

Akti i klasifikimit ISPD mund të përfshijë sisteme që ruajnë të dhënat e mëposhtme:

  • kategori të veçanta të të dhënave personale - informacion në lidhje me racën, kombësinë, pikëpamjet politike, besimet fetare ose filozofike, gjendjen shëndetësore, jetën intime të subjekteve të të dhënave personale;
  • të dhënat personale biometrike - informacion që karakterizon karakteristikat fiziologjike dhe biologjike të një personi, në bazë të të cilave është e mundur të përcaktohet identiteti i tij dhe që përdoret nga operatori për të përcaktuar identitetin e subjektit të të dhënave personale;
  • të dhëna personale të disponueshme publikisht - informacion i marrë vetëm nga burime të disponueshme publikisht të të dhënave personale të krijuara në përputhje me nenin 8 të Ligjit Federal "Për të dhënat personale".

Është mjaft e rrallë të gjesh sisteme në të cilat përpunohen të dhënat personale të kategorisë së tretë. Kjo për faktin se për detyra reale ju nevojiten jo vetëm të dhënat që identifikojnë subjektin (emri, të dhënat e pasaportës), por edhe informacione shtesë rreth tij (për shembull, informacione për pagën).

Sistemet më të zakonshme të informacionit në të cilat përpunohen të dhënat personale të kategorisë së dytë. Për shembull, sistemet e shlyerjes pagat punonjësit.

Vëllimi i të dhënave personale të përpunuara përcakton numrin e subjekteve, të dhënat personale të të cilëve përpunohen në sistem. Zbatohet gradimi i mëposhtëm:

  • më shumë se 100,000 subjekte të të dhënave personale;
  • më pak se 100,000 subjekte të të dhënave personale.

Llojet e kërcënimeve për sigurinë e të dhënave personale

Lloji i kërcënimeve aktuale për ISPDN:

  • Kërcënimet e tipit 1 janë të rëndësishme për një sistem informacioni nëse, ndër të tjera, kërcënimet që lidhen me praninë e aftësive të padokumentuara (të padeklaruara) në softuerin e sistemit të përdorur në sistemin e informacionit janë të rëndësishme për të;
  • Kërcënimet e tipit 2 janë të rëndësishme për një sistem informacioni nëse, ndër të tjera, kërcënimet që lidhen me praninë e aftësive të padokumentuara (të padeklaruara) në softuerin e aplikacionit të përdorur në sistemin e informacionit janë të rëndësishme për të;
  • Kërcënimet e llojit të 3-të janë të rëndësishme për një sistem informacioni nëse kërcënimet që nuk shoqërohen me praninë e aftësive të padokumentuara (të padeklaruara) në sistem dhe softuerin e aplikacionit të përdorur në sistemin e informacionit janë të rëndësishme për të.

Sipas llojit, sistemet e informacionit të të dhënave personale të përshkruara në aktin e klasifikimit ISPD ndahen në standarde dhe të veçanta. ISPD tipike janë sistemet e informacionit në të cilat kërkohet vetëm konfidencialiteti i PD. ISPDN speciale janë sisteme informacioni në të cilat, përveç konfidencialitetit, është e nevojshme të sigurohet të paktën edhe një karakteristikë e sigurisë e të dhënave personale (integriteti, disponueshmëria).

Gjithashtu, sistemet e veçanta përfshijnë të gjitha ISPD-të që përpunojnë të dhëna për shëndetin e subjekteve dhe ISPD-të, të cilat parashikojnë miratimin e vendimeve që sjellin pasoja juridike për subjektin në bazë të përpunimi i automatizuar.

Shumica e ISPDN-ve ekzistuese janë të veçanta. Kjo për faktin se, përveç konfidencialitetit, është gjithashtu e rëndësishme që PD të jetë gjithmonë e disponueshme për përpunim, e plotë dhe e besueshme. Per te gjithe sisteme të veçantaështë e nevojshme të zhvillohet një “Model i Veçantë i Kërcënimeve Aktuale”.

Klasifikimi i sistemeve të informacionit të të dhënave personale sipas strukturës:

  • Autonome. Përfaqëson një të automatizuar vendin e punës(kompjuter).
  • Lokal. Stacione pune të automatizuara (AWS), të bashkuara në një rrjet lokal.
  • Shpërndarë. Vendet e automatizuara të punës ose rrjetet lokale të ndërlidhura nga teknologjia akses në distancë.

Sipas mënyrës së përpunimit të të dhënave personale në sistemin ISPD, ato ndahen në një përdorues dhe shumë përdorues. Sistemet me një përdorues janë të rralla. Si rregull, të paktën dy persona punojnë edhe për një vend pune autonom (në rast pushimesh dhe sëmundjesh).

Klasifikimi i ISPD-ve me shumë përdorues ndahet në:

  • Asnjë diferencim i të drejtave të aksesit. Në sisteme të tilla, të gjithë përdoruesit kanë akses në të gjitha informacionet.
  • Me diferencimin e të drejtave të aksesit. Çdo përdorues ka akses në një pjesë të informacionit të përcaktuar rreptësisht në sistem.

Sipas vendndodhjes, ISPD ndahet në.

Sistemet e Informacionit të dhënat personale (ISPDN) përdoren në punën e tyre nga shumë ndërmarrje dhe organizata. Le të kuptojmë se çfarë është dhe cilat nuanca duhet të merren parasysh nga ata që punojnë me ISPD.

Çfarë është ISPDN?

E thënë thjesht, sistemi i informacionit ISPDN përdoret për të ruajtur dhe përpunuar të dhëna personale. Ai përbëhet nga komponentët e mëposhtëm:

  • Në fakt, tërësia e të dhënave personale të ruajtura në sistem, në bazën e të dhënave.
  • Mjetet teknike të përdorura për të punuar me këto të dhëna.
  • Mjetet e automatizimit për kontabilitetin dhe përpunimin e informacionit të ruajtur në ISPD (mund të mos jenë të disponueshëm në të gjitha sistemet).

ISPDN është serioze

Kur përdorni sistemet në shqyrtim, është e rëndësishme të sigurohet mbrojtja e të dhënave personale nga aksesi i paautorizuar, humbja dhe të tjera situatat emergjente... Kjo është e shprehur edhe në nivel legjislativ. Dhe për të marrë masa këshilluese për të kufizuar aksesin në informacion dhe për ta mbrojtur atë, një ISPD auditohet (për më shumë detaje, ju lutemi kontaktoni specialistët e Rentacloud: http://rentacloud.su/services/zashchita-personalnykh-dannykh / audit /) . Bazuar në rezultatet e tij, hartohet një akt që përmban informacionin e mëposhtëm:

  • Kategoria e të dhënave personale që ruhen dhe përpunohen në sistemin e anketuar.
  • Klasa dhe lloji i tyre (më shumë për atë më poshtë).
  • Parametrat dhe struktura e sistemit të hulumtuar.
  • Vëllimet e PD (numri i regjistrimeve, etj.) të ruajtura dhe të përpunuara në ISPD.
  • Informacion në lidhje me vendndodhjen e sistemit.
  • Informacion rreth mundësisë së aksesit në bazën e të dhënave përmes rrjeteve të disponueshme për përdorim publik (LAN, Internet, etj.).

Auditimi kryhet në përputhje të plotë me një dokument të përbashkët të përgatitur nga Ministria e Komunikimeve, FSTEC dhe FSB. Është mjaft voluminoze dhe kërkon një studim të plotë. Në këtë drejtim, auditimi i sistemit dhe përgatitja e rekomandimeve mbi të cilat do të bazohet mbrojtja e ISPD duhet t'i besohet specialistëve. Shërbimet e tyre mund të përdoren, për shembull, duke kontaktuar Rentacloud: (http://rentacloud.su).

Llojet, klasat e ISPDN dhe çfarë tjetër duhet të dini për sisteme të tilla

Sistemet e informacionit të të dhënave personale (PD) ndahen në 4 klasa dhe 2 lloje. Ndarja në klasa kryhet në bazë të karakteristikave të tilla si kategoria e PD-së së përpunuar dhe vëllimet e tyre.

Klasat

Tabela do t'ju ndihmojë të përballeni me këtë:

Shpjegime për tabelën.

Kategoria 4 përfshin të dhëna personale të anonimizuara, për të cilat është e pamundur të identifikohet një subjekt specifik (për shembull, të dhëna statistikore). Cat 3 përfshin PD, në bazë të të cilave është i mundur vetëm identifikimi i një personi (ato janë mjaft të rralla). Kategoria 2 përfshin të dhëna mbi bazën e të cilave është e mundur të identifikohet një person dhe të merren disa informacion shtese(shembull - sistemet e listës së pagave në organizata dhe ndërmarrje). Kategoria e parë përfshin të dhëna që përmbajnë informacione për kombësinë, gjendjen shëndetësore dhe informacione të tjera sociale, dhe informacione të një natyre të ndryshme (për shembull, bazat e të dhënave të institucioneve të kujdesit shëndetësor).

Sa i përket klasave të treguara në tabelë, ISPDN u është caktuar atyre në bazë të dëmtimit të mundshëm të subjekteve në rast të shkeljes së kushteve të sigurisë:

  • Cl 4. Përjashtohen çdo pasojë negative për subjektin.
  • Cl 3. Mund të ndodhin pasoja të vogla negative.
  • Cl 2. Shfaqja e pasojave të tilla.
  • Cl 1. Pasojat negative shumë të rënda janë të mundshme.

Llojet ISPDN

Lloji i parë përfshin sisteme ku funksionet e mbrojtjes së ISPD reduktohen vetëm në arritjen e treguesve të kërkuar të konfidencialitetit të tij. Nëse, përveç konfidencialitetit, ekziston nevoja për të siguruar të paktën një tregues shtesë të sigurisë (autenticiteti, disponueshmëria, integriteti i të dhënave, etj.), vjen rreth llojit të dytë.

Vlen të theksohet se shumica e sistemeve të përdorura sot klasifikohen si lloji i dytë.

Mund të shihet se zhvillimi i ISPD, klasifikimi i tyre dhe sigurimi i besueshmërisë, mbrojtje efektive- procese shumë komplekse dhe të shumëanshme. Dhe për të shmangur gabimet, këshillohet që këtë t'ia besoni specialistëve. Për këtë, mund të kontaktoni, për shembull, kompaninë Rentacloud, e cila zë një nga pozicionet kryesore në këtë treg.

"Organizatat buxhetore: kontabiliteti dhe taksat", 2009, N 12

Nga 1 janari 2010, sistemet e informacionit të të dhënave personale në të gjitha organizatat, përfshirë institucionet buxhetore, duhet të jenë në përputhje me kërkesat e ligjit "Për të dhënat personale"<1>... Në këtë ligj janë miratuar një sërë aktesh nënligjore dhe si rrjedhojë, tani ka interpretime të ndryshme të detyrave të institucioneve shtetërore dhe komunale në lidhje me sistemet informative që ato përmbajnë. Ky artikull analizon dispozitat e legjislacionit aktual dhe nxjerr në pah kërkesat që duhet të plotësohen.

<1>Ligji Federal i 27.07.2006 N 152-FZ.

Sipas Art. 1 i ligjit "Për të dhënat personale", ky ligj federal rregullon marrëdhëniet në lidhje me përpunimin e të dhënave personale të kryera nga organet federale të pushtetit shtetëror, organet e pushtetit shtetëror të subjekteve Federata Ruse, të tjera organet qeveritare, organet e vetëqeverisjes lokale që nuk janë pjesë e sistemit të organeve të vetëqeverisjes lokale, organet komunale, juridike dhe individët me përdorimin e mjeteve të automatizimit ose pa përdorimin e mjeteve të tilla, nëse përpunimi i të dhënave personale pa përdorimin e mjeteve të tilla korrespondon me natyrën e veprimeve (operacioneve) të kryera me të dhënat personale duke përdorur mjete automatizimi.

Një vëmendje e tillë ndaj çështjeve të automatizimit të përpunimit të të dhënave personale sjell nevojën për të respektuar normat e veçanta legjislative në lidhje me përdorimin e teknologjitë e informacionit... Në të njëjtën kohë, është e nevojshme të studiohet me kujdes kuadri rregullator dhe ligjor, i cili aktualisht mund të interpretohet në mënyrë shumë të paqartë, veçanërisht në drejtim të paraqitjes së kërkesave për sistemet e informacionit.

Koncepti i "sistemit të informacionit" në legjislacionin aktual

Në përputhje me Ligjin Federal "Për informacionin, teknologjitë e informacionit dhe mbrojtjen e informacionit"<2> Sistemi i informacionit- një grup informacioni që përmban bazat e të dhënave dhe teknologjitë e informacionit që sigurojnë përpunimin e tij, dhe mjete teknike... Bazuar në këtë përkufizim, mund të konkludohet se nuk ka sisteme informacioni pa përdorimin e teknologji kompjuterike dhe përkatëse software.

<2>Ligji Federal i 27.07.2006 N 149-FZ.

Megjithatë, në Art. 3 i ligjit “Për të dhënat personale” jep një përkufizim më të gjerë sistemi i informacionit: ky është një koleksion i të dhënave personale të përfshira në një bazë të dhënash, si dhe teknologjive të informacionit dhe mjeteve teknike që lejojnë përpunimin e të dhënave të tilla personale me ose pa mjete automatizimi.

Le të shqyrtojmë përbërësit e këtij përkufizimi, përkufizimet e të cilave mund të gjenden në Ligjin Federal "Për informacionin, teknologjitë e informacionit dhe mbrojtjen e informacionit", ligje dhe rregullore të tjera të Qeverisë së Federatës Ruse.

Nën bazën e të dhënave nënkupton një grup të dhënash të ndërlidhura të organizuara në media të lexueshme nga makineritë (Rregullorja e Përkohshme për Kontabilitetin Shtetëror dhe Regjistrimin e Bazave të të Dhënave dhe Bankave të të dhënave<3>). Sidoqoftë, në pjesën e katërt të Kodit Civil të Federatës Ruse (paragrafi 2 i pikës 2 të nenit 1260), jepet një përkufizim më i detajuar. Baza e të dhënave: ky është një grup materialesh të pavarura të paraqitura në një formë objektive (artikuj, llogaritjet, rregulloret, gjykimet dhe materiale të tjera të ngjashme), të sistemuara në atë mënyrë që këto materiale të mund të gjenden dhe të përpunohen duke përdorur elektronike makinë kompjuterike(KOMPJUTER).

<3>Miratuar me Dekret të Qeverisë së Federatës Ruse të 28 shkurtit 1996 N 226.

Teknologjia e Informacionit- proceset, metodat e kërkimit, grumbullimit, ruajtjes, përpunimit, dhënies, shpërndarjes së informacionit dhe mënyrat e zbatimit të proceseve dhe metodave të tilla (Ligji Federal "Për Informacionin, Teknologjitë e Informacionit dhe Mbrojtjen e Informacionit").

Nën mjete teknike lejimi i përpunimit të të dhënave personale, mjeteve teknologji kompjuterike Komplekset dhe rrjetet e informacionit dhe kompjuterit, mjetet dhe sistemet për transmetimin, marrjen dhe përpunimin e të dhënave personale (mjetet dhe sistemet për regjistrimin e zërit, përforcimin e zërit, riprodhimin e zërit, dhomat e mbledhjeve dhe pajisje televizive, mjetet e prodhimit, dublikimi i dokumenteve dhe mjete të tjera teknike për përpunimin e të folurit, informacionit grafik, video dhe alfanumerik), softuer ( OS, sistemet e menaxhimit të bazës së të dhënave, etj.), mjetet e sigurisë së informacionit të përdorura në sistemet e informacionit (Rregullorja për sigurimin e sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale<4>).

<4>Miratuar me Dekret të Qeverisë së Federatës Ruse të 17 nëntorit 2007 N 781.

Kështu, mjetet teknike përfshijnë si kopjuesit ashtu edhe softuerin, por çelësi në përcaktimin e sistemit të informacionit të të dhënave personale është koncepti i "bazës së të dhënave". Nga ky përkufizim rezulton se përpunimi i bazës së të dhënave kryhet nga një kompjuter (media duhet të jetë e lexueshme nga makina). Nëse përpunimi kryhet pa përdorimin e një kompjuteri dhe një bazë të dhënash (media e lexueshme nga makina), atëherë formalisht nuk ka asnjë sistem informacioni. Përveç kësaj, pa mjete teknike që lejojnë përpunimin e të dhënave personale, baza e të dhënave gjithashtu nuk mund të njihet nga sistemi i informacionit. Për më tepër, sistemet e informacionit nuk janë vetëm një koleksion i teknologjisë kompjuterike dhe disa programeve që përpunojnë informacionin nga bazat e të dhënave, ato mund të përdorin mjete automatizimi ose mund të mos i përdorin ato.

Çfarë nënkuptohet me mjete automatizimi?

Ekziston një këndvështrim sipas të cilit përdorimi i automatizimit nënkupton çdo përpunimi kompjuterik ose përpunimi me pajisjet elektronike... Nëse baza e të dhënave ruhet në një kompjuter (për shembull, në fletëllogaritëse ose softuer kontabël) ose, për shembull, në fletore celular, atëherë ky është tashmë një përpunim i automatizuar i të dhënave personale dhe i nënshtrohet njoftimit nga Roskomnadzor. Për më tepër, disa ekspertë besojnë se përpunimi pa përdorimin e mjeteve të automatizimit mund të kryhet vetëm në letër (në revista të mbushura me dorë, në lista të shkruara me dorë).

Në përputhje me Pjesën 3 të Artit. 4 i Ligjit "Për të dhënat personale", specifikat e përpunimit të të dhënave personale të kryera pa përdorimin e mjeteve të automatizimit mund të përcaktohen me ligje federale dhe akte të tjera rregullatore ligjore të Federatës Ruse, duke marrë parasysh dispozitat e këtij Ligji Federal.

Dekreti i Qeverisë së Federatës Ruse të 15 shtatorit 2008 N 687 miratoi Rregulloren mbi specifikat e përpunimit të të dhënave personale të kryera pa përdorimin e mjeteve të automatizimit. Sipas pikës 1 të Rregullores në fjalë, përpunimi i të dhënave personale të përfshira në sistemin e informacionit të të dhënave personale ose të nxjerra nga një sistem i tillë (në tekstin e mëtejmë të dhëna personale) konsiderohet i kryer pa përdorimin e mjeteve të automatizimit (jo të automatizuara). ), nëse veprime të tilla me të dhënat personale si përdorimi, sqarimi, shpërndarja, shkatërrimi i të dhënave personale në lidhje me secilin nga subjektet e të dhënave personale kryhen me pjesëmarrjen e drejtpërdrejtë të një personi.

Le të kthehemi Vëmendje e veçantë për faktin se, në përputhje me pikën 2 të Rregullores për veçoritë e përpunimit të të dhënave personale të kryera pa përdorimin e mjeteve të automatizimit, përpunimi i të dhënave personale nuk mund të njihet si i kryer duke përdorur mjete automatizimi vetëm mbi bazën se ato janë të përfshira në sistemin e informacionit ose janë nxjerrë prej tij.

Kështu, mund të thuhet se nga pikëpamja e përkufizimeve të disponueshme në legjislacionin aktual, shumica dërrmuese e sistemeve të informacionit në institucionet shtetërore dhe komunale mund të konsiderohen zyrtarisht si të zbatuara pa përdorimin e mjeteve të automatizimit (duke përfshirë një pjesë të konsiderueshme të softuerit të kontabilitetit). Në fund të fundit, të gjitha kartat e fytyrës në këto sisteme redaktohen manualisht në dritaret përkatëse. Për të shkatërruar kartat e fytyrës, gjithashtu duhet t'i zgjidhni ato në listë nga operatori dhe shtypni çelës i veçantë për të fshirë të dhënat. Edhe arkivimi është bërë program të veçantë që lëshohet nga një njeri.

Por programe të ndryshme që ju lejojnë të riformatoni të dhënat (duke përfshirë nga formati i një programi kontabël në një format, për shembull, një program Fondi pensional) dhe zbatimin e tyre hyrje automatike dhe transmetimi i mëtejshëm pa iu referuar çdo regjistrimi specifik të punonjësve mund t'i atribuohet përpunimit të automatizuar të të dhënave. Në të njëjtën kohë, përpunimi i të dhënave personale (përfshirë mbiemrin, emrin, patronimin, numrin e certifikatës së pensionit, etj.) është pjesë përbërëse e programeve të tilla.

Në të njëjtën kohë, nëse transferimi i të dhënave në programe të tjera (përfshirë për qëllime të kontabilitetit tatimor) nuk kryhet plotësisht automatikisht, por me ndihmën e një personi që merr pjesë në përpunimin e të dhënave personale, atëherë përpunimi i tillë nuk mund të konsiderohet as i automatizuar. .

Në këtë drejtim, rekomandimet e Agjencisë Federale të Arsimit të përcaktuara në Letrën e 29 korrikut 2009 N 17-110 "Për sigurimin e mbrojtjes së të dhënave personale" kanë një zbatim mjaft të kufizuar në praktikë. Për të automatizuar përpunimin e të dhënave personale në pyetësorët nga Rosobrazovanie, rekomandohet të tregoni shtesë të brendshme një numër identifikimi(kodi personal) i subjektit të të dhënave personale, i caktuar për të gjithë periudhën e studimit ose të punës. Kjo ju lejon të anonimizoni bazat e të dhënave, nëse ato nuk përmbajnë të dhëna të tjera personale, dhe të zvogëloni ndjeshëm koston e mbrojtjes së informacionit.

Megjithatë, për automatizimin aktivitetet e menaxhimit në një institucion shtetëror ose komunal, kërkohen të paktën mbiemrat, emrat, patronimet e punonjësve, studentëve, studentëve, e kështu me radhë, si dhe një sërë të dhënash të tjera personale (për punonjësit, për shembull, informacione për të ardhurat e tyre për qëllime të kontabilitetit dhe kontabilitetit tatimor). Duke u kthyer në kodet personale të përfshira në fletëpalosje (pyetësorë), për pjesën tjetër të përpunimit të të dhënave duke përdorur softuerin do të duket si të paktën e çuditshme, duke ulur efektivitetin e futjes së teknologjive moderne të informacionit. Për më tepër, në varësi të formës së pyetësorëve të përdorur, ata mund të njihen si pjesë e sistemit të informacionit (si pjese e baza e të dhënave), e cila do të privojë plotësisht kuptimin e kodimit shtesë (një kodim i tillë kërkohet nëse këshillohet të depersonalizohen të dhënat, për shembull, për kërkime statistikore).

Përpunimi i të dhënave personale pa përdorur mjete automatizimi

Pra, siç u diskutua më lart, pavarësisht kompjuterizimit të aktiviteteve, në shumicën e rasteve përpunimi i të dhënave personale në institucionet shtetërore dhe komunale kryhet pa përdorimin e mjeteve të automatizimit (jo të automatizuara) dhe, në përputhje me rrethanat, rregullohet me Rregulloren për specifikat e përpunimit të të dhënave personale të kryera pa përdorimin e mjeteve të automatizimit<5>.

<5>Miratuar me Dekret të Qeverisë së Federatës Ruse të 15 shtatorit 2008 N 687.

Personat që kryejnë një përpunim të tillë (përfshirë punonjësit e organizatës së operatorit ose personat që punojnë nën një kontratë me operatorin) duhet të informohen për faktin se ata përpunojnë të dhëna personale pa përdorur mjete automatizimi, kategoritë e të dhënave personale të përpunuara, si dhe për veçoritë dhe rregullat për zbatimin e një përpunimi të tillë të përcaktuara me akte ligjore rregullatore të organeve ekzekutive federale, organeve ekzekutive të entiteteve përbërëse të Federatës Ruse dhe akteve lokale të një institucioni arsimor.

Të dhënat personale gjatë përpunimit të tyre, të kryera pa përdorimin e mjeteve të automatizimit, duhet të ndahen nga informacionet e tjera, veçanërisht duke i fiksuar ato në transportues të veçantë material, në seksione të veçanta ose në fushat e formularëve (formularëve).

Në të njëjtën kohë, nuk lejohet fiksimi i të dhënave personale në një medium material nëse qëllimet e përpunimit të tyre janë qëllimisht të papajtueshme. Në këtë rast, një medium i veçantë material duhet të përdoret për secilën kategori të të dhënave personale.

Prandaj, përpunimi duhet të kryhet në atë mënyrë që për secilën kategori të të dhënave personale të ketë:

  • janë identifikuar vendet e ruajtjes dhe është krijuar një listë e personave që përpunojnë të dhëna ose kanë akses në to;
  • sigurohet ruajtja e veçantë e të dhënave personale (bartësve materiale), përpunimi i të cilave kryhet për qëllime të ndryshme;
  • plotësohen kushtet, duke garantuar sigurinë e të dhënave personale dhe duke përjashtuar aksesin e paautorizuar në to.

Lista e masave të nevojshme për të siguruar kushte të tilla, procedura e miratimit të tyre, si dhe lista e personave përgjegjës për zbatimin e këtyre masave, përcaktohen nga institucioni arsimor në përputhje me kërkesat e akteve ligjore rregullatore për mbrojtjen e te dhena Personale.

Nëse qëllimet e përpunimit të të dhënave personale të regjistruara në një medium material janë të papajtueshme, nëse nuk lejon përpunimin e tyre veçmas nga të dhënat e tjera personale të regjistruara në të njëjtin medium, duhet të merren masa për të siguruar përpunim të veçantë, në veçanti:

  • nëse është e nevojshme të përdoren ose shpërndahen të dhëna të caktuara personale veçmas nga të tjerat që ndodhen në të njëjtin medium material, të dhënat që do të shpërndahen ose përdoren kopjohen në një mënyrë që përjashton kopjimin e njëkohshëm të të dhënave që nuk mund të shpërndahen dhe përdoren, dhe një kopje të dhënat personale përdoren (shpërndahen);
  • nëse është e nevojshme të shkatërrohet ose bllokohet një pjesë e të dhënave personale, mediumi material shkatërrohet ose bllokohet me kopjim paraprak të informacionit që nuk është objekt shkatërrimi ose bllokimi, në një mënyrë që përjashton kopjimin e njëkohshëm të të dhënave personale për t'u shkatërruar ose bllokuar.

Shkatërrimi ose depersonalizimi i një pjese të të dhënave personale, nëse lejohet nga një medium material, mund të kryhet në një mënyrë që përjashton përpunimin e mëtejshëm të këtyre të dhënave personale, duke ruajtur mundësinë e përpunimit të të dhënave të tjera të regjistruara në një medium material (fshirje, fshirja).

Sqarimi i të dhënave personale gjatë përpunimit të tyre pa përdorur mjete automatizimi kryhet duke përditësuar ose ndryshuar të dhënat në një medium të prekshëm, dhe nëse kjo nuk lejohet karakteristikat teknike transportues material - duke fiksuar në të njëjtin transportues informacione për ndryshimet e bëra në to, ose duke bërë një transportues të ri material me të dhëna personale të përditësuara.

Përpunimi i të dhënave personale duke përdorur mjete automatizimi

Rregullorja për garantimin e sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale përcakton kërkesat për sigurimin e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale, të cilat janë një grup i të dhënave personale që përmbahen në bazat e të dhënave, si dhe informacione. teknologjive dhe mjeteve teknike.

Siç vijon nga pika 1 të kësaj Rregulloreje, termi "sisteme informacioni" nënkupton vetëm sistemet e informacionit që lejojnë përpunimin e të dhënave personale duke përdorur mjete automatizimi, prandaj kërkesat e kësaj rregulloreje nuk zbatohen për sistemet e informacionit në të cilat përpunimi i të dhënave kryhet pa përdorur mjete automatizimi.

Nëse një përpunim i automatizuar i të dhënave personale kryhet në një institucion shtetëror ose komunal, atëherë duhet të plotësohen kërkesat e mëposhtme.

Sipas Rregullores për garantimin e sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale, siguria e të dhënave personale arrihet:

  • duke përjashtuar aksesin e paautorizuar, duke përfshirë aksidentalisht, në të dhënat personale, rezultati i të cilit mund të jetë shkatërrimi, modifikimi, bllokimi, kopjimi, shpërndarja e të dhënave personale;
  • duke përjashtuar veprimet e tjera të paautorizuara.

Siguria e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit sigurohet me ndihmën e sistemet e mbrojtjes së të dhënave personale duke përfshirë:

  • masat organizative;
  • mjetet e sigurisë së informacionit;
  • Teknologjia e Informacionit.

Mjetet e sigurisë së informacionit përfshijnë:

  • mjete kriptuese (kriptografike);
  • mjetet për parandalimin e aksesit të paautorizuar;
  • mjete për të parandaluar rrjedhjen e informacionit kanalet teknike;
  • mjetet për parandalimin e ndikimeve të softuerit dhe harduerit në mjetet teknike të përpunimit të të dhënave personale.

Për të garantuar sigurinë e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit, kryhet mbrojtja informacione të të folurit dhe informacioni i përpunuar me mjete teknike, si dhe informacioni i paraqitur në formë informative sinjalet elektrike, fusha fizike, media në letër, magnetike, magneto-optike dhe baza të tjera.

Kërkesat e përdoruesve të sistemit të informacionit për marrjen e të dhënave personale, si dhe faktet e dhënies së të dhënave për këto kërkesa duhet të regjistrohen. mjete të automatizuara sistemi i informacionit në ditarin elektronik të kërkesave. Për më tepër, përmbajtja ditar elektronik thirrjet duhet të kontrollohen periodikisht nga zyrtarët (punonjësit) përkatës të operatorit ose një person i autorizuar.

Nëse zbulohen shkelje të procedurës së dhënies së të dhënave personale, operatori ose një person i autorizuar pezullon menjëherë dhënien e të dhënave personale përdoruesve të sistemit të informacionit derisa të identifikohen dhe eliminohen shkaqet e shkeljeve.

Hardueri dhe softueri duhet të plotësojnë kërkesat e përcaktuara në përputhje me legjislacionin e Federatës Ruse për të siguruar mbrojtjen e informacionit. Në të njëjtën kohë, vendosen metodat dhe metodat për mbrojtjen e informacionit në sistemet e informacionit Shërbimi Federal për kontrollin teknik dhe të eksportit (FSTEC) dhe Shërbimin Federal të Sigurisë (FSB) brenda kompetencave të tyre.

Siguria e të dhënave personale gjatë përpunimit të tyre në sistemin e informacionit sigurohet nga operatori ose personi të cilit, në bazë të kontratës, operatori i beson përpunimin e të dhënave personale. Personat, qasja e të cilëve në të dhënat personale të përpunuara në sistemin e informacionit është e nevojshme për kryerjen e detyrave zyrtare (të punës), pranohen në të dhënat personale përkatëse në bazë të një liste të miratuar nga operatori ose një person i autorizuar. Kusht thelbësor i marrëveshjes është detyra e personit të autorizuar për të garantuar konfidencialitetin dhe sigurinë e të dhënave personale gjatë përpunimit të tyre në sistemin e informacionit.

Mjetet e sigurisë së informacionit të përdorura në sistemet e informacionit, në rend i vendosur i nënshtrohen një procedure të vlerësimit të konformitetit. Shkëmbimi i të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit kryhet nëpërmjet kanaleve të komunikimit, mbrojtja e të cilave sigurohet nga zbatimi i masat organizative dhe (ose) duke përdorur mjete teknike.

Në të njëjtën kohë, sistemet e informacionit klasifikohen nga organet shtetërore, organet komunale, persona juridikë ose individë që organizojnë dhe (ose) kryejnë përpunimin e të dhënave personale, si dhe përcaktojnë qëllimet dhe përmbajtjen e përpunimit të të dhënave personale, në varësi të vëllimi i të dhënave personale të përpunuara prej tyre dhe kërcënimet e sigurisë ndaj interesave jetike.individi, shoqëria dhe shteti.

Procedura për klasifikimin e sistemeve të informacionit vendoset bashkërisht nga Shërbimi Federal për Kontrollin Teknik dhe Eksporti, Shërbimi Federal i Sigurisë dhe Ministria e Teknologjisë së Informacionit dhe Komunikimeve. Kjo procedurë përcaktohet me Urdhër FSTEC i Rusisë, FSB e Rusisë, Ministria e Teknologjive të Informacionit dhe Komunikimeve të Rusisë, datë 13.02.2008 N 55/86/20.

Për më tepër, tregohen kërkesat për ambientet dhe mbrojtjen e tyre. Sipas pikës 8 të Rregullores për garantimin e sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale, vendosjen e sistemeve të informacionit, pajisje speciale dhe mbrojtja e ambienteve në të cilat kryhet puna me të dhënat personale, organizimi i regjimit të sigurisë në këto ambiente duhet të sigurojë sigurinë e bartësve të të dhënave personale dhe mjeteve të mbrojtjes së informacionit, si dhe të përjashtojë mundësinë e hyrjes ose qëndrimit të pakontrolluar. në këto ambiente të huajt.

Për këtë shteti dhe institucionet komunale duhet të instaloni alarme shtesë në dhomat e treguara, në portat - bravë shtesë ose dyer metalike.

Masat për të garantuar sigurinë e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit përfshijnë:

a) identifikimi i kërcënimeve për sigurinë e të dhënave personale gjatë përpunimit të tyre, formimi i një modeli kërcënimi mbi bazën e tyre;

b) zhvillimi, bazuar në modelin e kërcënimit, i një sistemi të mbrojtjes së të dhënave personale që neutralizon kërcënimet e perceptuara duke përdorur metodat dhe metodat për mbrojtjen e të dhënave personale të ofruara për klasën përkatëse të sistemeve të informacionit;

c) kontrollin e gatishmërisë së mjeteve të sigurisë së informacionit për përdorim me nxjerrjen e përfundimeve për mundësinë e funksionimit të tyre;

d) instalimin dhe vënien në punë të mjeteve të sigurisë së informacionit në përputhje me dokumentacionin operativ dhe teknik;

e) trajnimin e personave që përdorin mjetet e sigurisë së informacionit të përdorura në sistemet e informacionit, rregullat e punës me ta;

f) kontabilitetin e mjeteve të aplikuara të mbrojtjes së informacionit, dokumentacionit operativ dhe teknik për ta, bartës të të dhënave personale;

g) regjistrimin e personave të pranuar për të punuar me të dhënat personale në sistemin e informacionit;

h) kontrollin mbi respektimin e kushteve për përdorimin e mjeteve të sigurisë së informacionit të parashikuara nga dokumentacioni operativ dhe teknik;

i) hetimin dhe nxjerrjen e konkluzioneve mbi faktet e mosrespektimit të kushteve të ruajtjes së transportuesve të të dhënave personale, përdorimin e mjeteve të mbrojtjes së informacionit që mund të çojnë në shkelje të konfidencialitetit të të dhënave personale ose shkelje të tjera që çojnë në uljen e niveli i mbrojtjes së të dhënave personale, zhvillimi dhe miratimi i masave për të parandaluar pasojat e mundshme të rrezikshme të shkeljeve të tilla;

j) një përshkrim të sistemit të mbrojtjes së të dhënave personale.

Personat që kanë akses në bazat e informacionit me të dhënat personale, nënshkruani një detyrim moszbulimi (një detyrim i tillë mund të përfshihet edhe në një kontratë pune). Vetëm pas kësaj, institucioni arsimor i lejon ata të përpunojnë të dhëna personale.

Gjatë përpunimit të të dhënave personale në sistemin e informacionit, një institucion arsimor duhet të sigurojë:

a) marrjen e masave që synojnë parandalimin e aksesit të paautorizuar në të dhënat personale dhe (ose) transferimin e tyre te personat që nuk kanë të drejtë të aksesojnë një informacion të tillë;

b) zbulimin në kohë të fakteve të aksesit të paautorizuar në të dhënat personale;

c) parandalimi i ndikimit në mjetet teknike të përpunimit të automatizuar të të dhënave personale, si rezultat i të cilave mund të prishet funksionimi i tyre;

d) mundësinë e rikuperimit të menjëhershëm të të dhënave personale, të modifikuara ose të shkatërruara për shkak të aksesit të paautorizuar në to;

e) kontroll i vazhdueshëm për sigurimin e nivelit të mbrojtjes së të dhënave personale.

Për të zhvilluar dhe zbatuar masa për të garantuar sigurinë e të dhënave personale gjatë përpunimit të tyre në sistemin e informacionit, një operator ose një person i autorizuar mund të caktojë një njësi strukturore ose ekzekutiv(punonjës) përgjegjës për sigurimin e të dhënave personale.

Gjithashtu duhet t'i kushtoni vëmendje të veçantë faktit që, në përputhje me pikën 17 të Rregullores për garantimin e sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale, zbatimi i kërkesave për garantimin e sigurisë së informacionit në sigurinë e informacionit do të thotë. u është besuar zhvilluesve të tyre.

Përshtatshmëria masat e marra për të garantuar sigurinë e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit vlerësohet gjatë kontrollit dhe mbikëqyrjes shtetërore.

Klasifikimi i sistemeve të informacionit të të dhënave personale

Klasifikimi i sistemeve të informacionit të të dhënave personale që lejojnë përpunimin e këtyre të dhënave duke përdorur mjete automatizimi kryhet nga institucioni arsimor - operatori në përputhje me Procedurën për klasifikimin e sistemeve të informacionit të të dhënave personale.<6>në varësi të kategorisë së të dhënave të përpunuara dhe sasisë së tyre.

<6>Miratuar me Urdhrin e FSTEC të Rusisë, FSB të Rusisë, Ministrinë e Informacionit dhe Komunikimit të Federatës Ruse të 13.02.2008 N 55/86/20.

Janë krijuar katër kategoritë e mëposhtme të të dhënave personale:

  1. të dhënat personale në lidhje me racën, kombësinë, pikëpamjet politike, besimet fetare dhe filozofike, gjendjen shëndetësore, jetën intime;
  2. të dhëna personale që ju lejojnë të identifikoni subjektin e të dhënave personale dhe të merrni rreth tij Informacion shtese, me përjashtim të të dhënave personale që i përkasin kategorisë së parë;
  3. të dhënat personale që ju lejojnë të identifikoni subjektin e të dhënave personale;
  4. të dhëna personale anonime dhe (ose) të disponueshme publikisht.

Në çdo universitet, në stendat publike, mund të gjeni lista të ndryshme studentësh, duke përfshirë një kombinim të emrave të plotë. student, kurs, grup që ju lejon të identifikoni në mënyrë unike studentin. Si rezultat, një kombinim i tillë i të dhënave personale i detyron ato të klasifikohen si të dhëna personale të kategorisë së tretë; vendosja e këtyre të dhënave në një vend publik kërkon formalisht pëlqimin e studentit.

Karta personale e punonjësit (formulari T-2), dosja personale e studentit (studentit) i përket kategorisë së dytë, pasi këto janë të dhëna personale që ju lejojnë jo vetëm të identifikoni subjektin e të dhënave personale, por edhe të merrni informacion shtesë rreth tij.

Sistemet e informacionit të të dhënave personale ndahen në standarde dhe të veçanta. Sistemet tipike përfshijnë sisteme në të cilat kërkohet vetëm konfidencialiteti i të dhënave personale. Të gjitha sistemet e tjera klasifikohen si speciale.

Sistemet e veçanta të informacionit duhet të përfshijnë gjithashtu:

  • sistemet e informacionit në të cilat përpunohen të dhënat personale në lidhje me gjendjen shëndetësore të subjekteve të të dhënave personale;
  • sistemet e informacionit, të cilat parashikojnë miratimin në bazë të përpunimit ekskluzivisht të automatizuar të të dhënave personale të vendimeve që gjenerojnë pasoja juridike në lidhje me subjektin e të dhënave personale ose që cenojnë ndryshe të drejtat dhe interesat e tij legjitime.

Bazuar në klasifikimin e mësipërm, mund të thuhet se çdo e dhënë mjekësore, si dhe të dhënat e personelit, që përmban kolonën "kombësia" (dhe të tilla janë pothuajse të gjithë pyetësorët e vlefshëm dhe fletë personale aktualisht në përdorim) duhet t'i referohen kategorisë së parë.

Bazuar në rezultatet e analizës së të dhënave të disponueshme, një sistemi tipik informacioni i caktohet një nga katër klasat e specifikuara në Procedurën për klasifikimin e sistemeve të informacionit të të dhënave personale.

Klasa e një sistemi të veçantë informacioni përcaktohet në bazë të një modeli të kërcënimeve për sigurinë e të dhënave personale bazuar në rezultatet e analizës së të dhënave fillestare në përputhje me dokumentet metodologjike të FSTEC.

Publikuar FSTEC dokumentet e mëposhtme Pllakat e grimcave që mund të merren vetëm duke kontaktuar këtë autoritet:

  • Aktivitetet kryesore për organizatën dhe mbeshtetje teknike siguria e të dhënave personale të përpunuara në sistemet e informacionit të të dhënave personale, datë 15.02.2008;
  • Modeli bazë i kërcënimeve ndaj sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale nga 15.02.2008;
  • Metodologjia për përcaktimin e kërcënimeve aktuale ndaj sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale e datës 15.02.2008;
  • Rekomandime për garantimin e sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale të datës 15.02.2008.

Këto dokumente metodologjike përmbajnë kërkesa të shumta, të cilat janë jashtëzakonisht të vështira për shumicën e institucioneve shtetërore apo komunale për arsye të natyrës organizative dhe financiare.

Deklarimi, vërtetimi (atestimi) dhe licencimi i veprimtarive për mbrojtjen e të dhënave personale

Dokumentet metodologjike FSTEC të listuara më sipër vendosin procedurën e mëposhtme për vlerësimin e përputhshmërisë së shkallës së sigurisë së sistemeve të informacionit me kërkesat e sigurisë:

  • për sistemet e informacionit të klasës së parë dhe të dytë, përputhja e shkallës së mbrojtjes me kërkesat e sigurisë përcaktohet nga certifikimit të detyrueshëm(certifikimi);
  • për sistemet e informacionit të klasës së tretë, pajtueshmëria me kërkesat e sigurisë konfirmohet me certifikim (vërtetim) ose (sipas opsionit të operatorit) me deklaratë përputhshmërie të kryer nga operatori i të dhënave personale;
  • për sistemet e informacionit të klasës së katërt, vlerësimi i konformitetit nuk rregullohet dhe kryhet me vendim të operatorit të të dhënave personale.

Deklarata e konformitetit- ky është një konfirmim i përputhshmërisë së karakteristikave të sistemit të informacionit të të dhënave personale me kërkesat e përcaktuara nga legjislacioni, udhëzimet dhe dokumentet rregullatore dhe metodologjike të FSTEC dhe FSB.

Deklarata e konformitetit mund të kryhet në bazë të provave tona ose dëshmive të marra me pjesëmarrjen e organizatave të përfshira që kanë licencat e nevojshme. Lista e organeve (organizatave) për vërtetimin e sistemit të certifikimit të mjeteve të mbrojtjes së informacionit sipas kërkesave të sigurisë së informacionit, të cilat mund të kontaktohen institucionet arsimore dhe autoritetet arsimore që nuk kanë specialistët e nevojshëm dhe licencat, gjithashtu Regjistri Shtetëror mjetet e certifikuara të sigurisë së informacionit janë postuar në faqen e internetit të FSTEC. Kostoja e procedurave të tilla është mjaft e lartë dhe matet në qindra mijëra rubla.

Në rastin e deklarimit në bazë të provave të tij, operatori gjeneron në mënyrë të pavarur një grup dokumentesh, si p.sh. dokumentacioni teknik, dokumente të tjera dhe rezultatet e hulumtimit tonë, të cilat shërbyen si një bazë e motivuar për të konfirmuar përputhshmërinë e sistemit të informacionit të të dhënave personale me të gjitha kërkesat e nevojshme kërkohet për klasën e tretë.

Testet e vërtetimit (certifikimit). kryhet nga organizata që kanë licencat e nevojshme FSTEC. Në të njëjtën kohë, vërtetimi kuptohet si një grup masash që bëjnë të mundur sjelljen e sistemit të informacionit në përputhje me kërkesat për sigurinë e informacionit në klasën e deklaruar të përcaktuar në dokumentet rregullatore dhe metodologjike FSTEC.

Testet e vërtetimit (certifikimit) përmbajnë një analizë të sistemeve të informacionit të të dhënave personale tashmë të disponueshme në objekt, si dhe përsëri vendimet e marra për të garantuar sigurinë e informacionit dhe për të përfshirë kontrollin:

  • masat organizative dhe të regjimit për të siguruar mbrojtjen e informacionit;
  • siguria e informacionit nga rrjedhjet përmes kanaleve teknike (PEMIN);
  • siguria e informacionit nga aksesi i paautorizuar.

Bazuar në rezultatet e testeve të certifikimit, merret një vendim për lëshimin e një certifikate konformiteti të sistemit të informacionit për klasën e deklaruar sipas kërkesave të sigurisë së informacionit. Certifikata lëshohet për një periudhë tre vjeçare.

Dokumentet metodologjike të FSTEC vendosin gjithashtu kërkesa shtesë për disponueshmërinë e licencave për mbrojtjen e të dhënave personale. Pa praninë e licencave të duhura, ngjarje të tilla janë të mundshme vetëm për sistemet e informacionit të klasës së tretë dhe të katërt.

Për të ndërmarrë masa për të garantuar sigurinë e të dhënave personale për sistemet e veçanta të informacionit, sistemet e klasës së parë dhe të dytë dhe sistemet e shpërndara (përfshirë ato të lidhura me internetin) të klasës së tretë, operatorët duhet, në përputhje me procedurën e vendosur, të marrin një licencë FSTEC për aktivitete në mbrojtje teknike informacion konfidencial.

Ligjshmëria e kërkesave për procedurat e deklarimit, certifikimit (certifikimit) dhe licencimit nga institucionet shtetërore dhe bashkiake në bazë të dokumenteve metodologjike FSTEC ngre dyshime serioze.

Rregullore për procedurën e trajtimit të informacionit zyrtar të shpërndarjes së kufizuar në organet ekzekutive federale<7>(klauzola 1.2) i referohet informacionit zyrtar të shpërndarjes së kufizuar si informacion i paklasifikuar në lidhje me aktivitetet e organizatave, kufizimet në shpërndarjen e të cilave diktohen nga nevoja zyrtare. Vendosja e përgjegjësive për licencimin e veprimtarive të organizatave nuk mund të njihet në asnjë mënyrë si informacion i FEA.

<7>Miratuar me Dekret të Qeverisë së Federatës Ruse të 03.11.1994 N 1233.

Detyrimet e licencimit lloje të caktuara Aktivitetet, përfshirë aktivitetet për mbrojtjen teknike të informacionit konfidencial, përcaktohen nga Ligji Federal "Për licencimin e llojeve të caktuara të aktiviteteve".<8>... Procedura për licencimin e veprimtarive për mbrojtjen teknike të informacionit konfidencial kryhet personat juridikë dhe sipërmarrësit individualë, të përcaktuar me Dekretin e Qeverisë së Federatës Ruse të 15.08.2006 N 504.

<8>Ligji Federal i 08.08.2001 N 128-FZ.

As Rregullorja për licencimin e veprimtarive për mbrojtjen teknike të informacionit konfidencial, as Procedura për klasifikimin e sistemeve informative të të dhënave personale nuk përcaktojnë detyrime për licencimin e veprimtarive për mbrojtjen teknike të informacionit konfidencial, varësisht nga klasa e sistemit informativ. Këto kërkesa përcaktohen në dokumentin DSP - Masat bazë për organizimin dhe sigurimin teknik të PD-së të përpunuar në ISPD.

Rregullorja për garantimin e sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale përcakton vetëm se:

  • mjetet e sigurisë së informacionit të përdorura në sistemet e informacionit kalojnë procedurën e vlerësimit të konformitetit në mënyrën e përcaktuar (klauzola 5) - domethënë, jo operatori, por mjeti i sigurisë së informacionit i nënshtrohet certifikimit dhe kryhet nga prodhuesi i këtij mjeti (duke përfshirë program kompjuterik për mbrojtjen e informacionit);
  • rezultatet e vlerësimit të konformitetit dhe (ose) rastet e studimit të mjeteve të mbrojtjes së informacionit të krijuara për të garantuar sigurinë e të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit vlerësohen gjatë një ekzaminimi të kryer nga Shërbimi Federal për Kontrollin Teknik dhe Eksporti dhe Siguria Federale Shërbimi brenda kompetencave të tyre.

Në përputhje me Pjesën 3 të Artit. 15 i Kushtetutës së Federatës Ruse, të gjitha ligjet, si dhe çdo akt normativ që prek të drejtat, liritë dhe detyrat e një personi dhe një qytetari, duhet të publikohen zyrtarisht për informacion të përgjithshëm, domethënë të bëhen publike. Aktet juridike normative të pabotuara nuk zbatohen, nuk sjellin pasoja juridike pasi nuk kanë hyrë në fuqi.

Që nga 15 maj 1992 me Dekretin e Qeverisë së Federatës Ruse të 05/08/1992 N 305 "Për regjistrimi shtetëror aktet normative të departamenteve "U prezantua regjistrimi shtetëror i akteve normative të ministrive dhe departamenteve, që prekin të drejtat dhe interesat e qytetarëve dhe kanë karakter ndërinstitucional.

Çështjet e regjistrimit shtetëror dhe hyrjes në fuqi të akteve ligjore normative të departamenteve rregullohen me Dekret të Presidentit të Federatës Ruse N 763.<9>dhe Rezoluta e Qeverisë së Federatës Ruse N 1009<10>.

<9>Dekret i Presidentit të Federatës Ruse të 23.05.1996 N 763 "Për procedurën e publikimit dhe hyrjes në fuqi të akteve të Presidentit të Federatës Ruse, Qeverisë së Federatës Ruse dhe akteve ligjore normative të organeve ekzekutive federale". .
<10>Dekret i Qeverisë së Federatës Ruse të 13.08.1997 N 1009 "Për miratimin e rregullave për përgatitjen e akteve ligjore normative të organeve ekzekutive federale dhe regjistrimin e tyre shtetëror".

Sipas pikës 10 të Rregullave për përgatitjen e akteve ligjore normative të organeve ekzekutive federale dhe regjistrimin e tyre shtetëror, regjistrimi shtetëror i nënshtrohet akteve ligjore normative që prekin të drejtat, liritë dhe detyrimet e një personi dhe qytetari, duke vendosur statusi juridik organizatat e një natyre ndër-departamentale, pavarësisht nga periudha e vlefshmërisë së tyre, duke përfshirë aktet që përmbajnë informacione që përbëjnë sekret shtetëror, ose informacione të një natyre konfidenciale.

Regjistrimi shtetëror i akteve ligjore normative kryhet nga Ministria e Drejtësisë, e cila mban regjistrin shtetëror të akteve ligjore normative të organeve ekzekutive federale.

Regjistrimi shtetëror i një akti ligjor rregullator përfshin:

  • ekzaminimi ligjor i përputhshmërisë së këtij akti me legjislacionin e Federatës Ruse, duke përfshirë kontrollin për praninë e dispozitave në të që kontribuojnë në krijimin e kushteve për shfaqjen e korrupsionit;
  • marrjen e një vendimi për nevojën e regjistrimit shtetëror të këtij akti;
  • caktimi i një numri regjistrimi;
  • hyrja në Regjistrin Shtetëror të akteve ligjore normative të organeve ekzekutive federale.

Aktet juridike normative që prekin të drejtat, liritë dhe detyrat e një personi dhe qytetari, duke krijuar statusin juridik të organizatave ose që kanë një karakter ndërdepartamental, i nënshtrohen publikimit zyrtar në mënyrën e përcaktuar, me përjashtim të akteve ose dispozitave të tyre individuale që përmbajnë informacione që përbëjnë një shtet. sekret ose informacion të një natyre konfidenciale,

Një akt i njohur nga Ministria e Drejtësisë se nuk kërkon regjistrim shtetëror i nënshtrohet publikimit në mënyrën e përcaktuar nga organi ekzekutiv federal që miratoi aktin. Në të njëjtën kohë, procedura për hyrjen në fuqi të këtij akti përcaktohet edhe nga organi ekzekutiv federal që e ka nxjerrë atë.

Prandaj, sipas autorit, institucionet shtetërore dhe komunale që kryejnë përpunim automatik të të dhënave personale, në rast të paraqitjes së kërkesave për marrjen e licencave, deklarimin ose vërtetimin (certifikimin), mund t'i ankimojnë këto kërkesa në gjykatë (sidomos nëse mjetet e mbrojtjes të dhënat personale të përdorura tashmë janë certifikuar nga prodhuesi i tyre).

A. Betlehem

drejtor

Qendra e Nizhny Novgorod

ekonomia e arsimit

Një nga masat prioritare që duhet marrë gjatë krijimit të një sistemi informacioni për përpunimin e të dhënave personale (ISPD) është klasifikimi i ISPD.

Kjo është e nevojshme për të përcaktuar klasën e sistemit dhe kërkesat përkatëse për FSTEC dhe FSB në përpunimin e të dhënave personale (PD). Në këtë artikull do të përshkruaj procedurë e përgjithshme klasifikimi i ISPD.

Në përputhje me Urdhrin e FSTEC / FSB / Ministrisë së Teknologjive të Informacionit dhe Komunikimeve, datë 13.02.2008 Nr. 55/86/20 për "Procedurën e klasifikimit të sistemit të informacionit të të dhënave personale", e cila mund të shkarkohet këtu, Klasifikimi kërkohet të përfshijë fazat e mëposhtme:

  • Mbledhja dhe analiza e të dhënave fillestare mbi sistemin e informacionit;
  • Caktimi i një klase të përshtatshme për një sistem informacioni dhe dokumentimi i tij.

Kur klasifikoni një sistem informacioni, është e nevojshme t'i përgjigjeni pyetjeve të mëposhtme:

  1. 1 Cilës kategorie i përkasin të dhënat personale të përpunuara në sistemin e informacionit - Xpd?
  2. Sa është vëllimi i të dhënave personale të përpunuara (numri i subjekteve të të dhënave personale, të dhënat personale të të cilëve përpunohen në sistemin e informacionit) - Xnpd?
  3. Cilat janë karakteristikat e sigurisë së të dhënave personale të përpunuara në sistemin e informacionit?
  4. Cila është struktura e sistemit të informacionit?
  5. A ka lidhje të sistemit të informacionit me rrjetet e komunikimit publik dhe/ose Rrjetet e internetit?
  6. Cila është mënyra e përpunimit të të dhënave personale?
  7. Cila është mënyra e diferencimit të të drejtave të aksesit për përdoruesit e sistemit të informacionit?
  8. Ku janë mjetet teknike të sistemit të informacionit?

Të dhënat fillestare dhe informacioni mbështetës

Përcaktohen kategoritë e mëposhtme të të dhënave personale të përpunuara në sistemin e informacionit (Xpd):

  1. Kategoria 1- të dhënat personale në lidhje me racën, kombësinë, pikëpamjet politike, besimet fetare dhe filozofike, gjendjen shëndetësore, jetën intime;
  2. Kategoria 2- të dhëna personale që ju lejojnë të identifikoni subjektin e të dhënave personale dhe të merrni informacion shtesë rreth tij, me përjashtim të të dhënave personale që lidhen me Kategoria 1;
  3. Kategoria 3- të dhëna personale që ju lejojnë të identifikoni subjektin e të dhënave personale;
  4. Kategoria 4- të dhëna personale anonime dhe (ose) të disponueshme publikisht.

Xnpd mund të marrë vlerat e mëposhtme:

  • 1 - sistemi i informacionit përpunon njëkohësisht të dhëna personale të më shumë se 100,000 subjekteve të të dhënave personale ose të dhëna personale të subjekteve të të dhënave personale brenda një entiteti përbërës të Federatës Ruse ose Federatës Ruse në tërësi;
  • 2 - sistemi i informacionit përpunon njëkohësisht të dhëna personale nga 1000 deri në 100,000 subjekte të të dhënave personale ose të dhëna personale të subjekteve të të dhënave personale që punojnë në industrinë e Federatës Ruse, në autoritetin shtetëror që banon në komunë;
  • 3 - sistemi i informacionit përpunon njëkohësisht të dhëna për më pak se 1000 subjekte të të dhënave personale ose të dhëna personale të subjekteve të të dhënave personale brenda një organizate të caktuar.

Karakteristikat e sigurisë së të dhënave personale

Për ISPD, përcaktohen karakteristikat e sigurisë së të dhënave personale, të cilat ndahen në bazë dhe shtesë:

BAZË:

  • konfidencialiteti
  • integriteti
  • disponueshmëria

SHTESË:

  • mospranimi
  • kontabilitet (përgjegjësi)
  • autenticiteti (besueshmëria)
  • përshtatshmërisë

Struktura e sistemit të informacionit të ndara në:

  • autonome (të palidhura me sisteme të tjera informacioni) komplekse teknike dhe mjete softuerike të destinuara për përpunimin e të dhënave personale (stacionet e punës);
  • një grup stacionesh pune të automatizuara, të bashkuara në një sistem të vetëm informacioni me anë të komunikimit pa përdorimin e teknologjisë së aksesit në distancë (sistemet e informacionit lokal);
  • një kompleks i stacioneve të automatizuara të punës dhe (ose) sistemeve të informacionit lokal, të bashkuar në një sistem të vetëm informacioni me anë të komunikimit duke përdorur teknologjinë e aksesit në distancë (sistemet e informacionit të shpërndarë).

Mënyra e përpunimit

Kur organizoni ISPD, përcaktohen mënyrat e mëposhtme të përpunimit:

  • përdorues i vetëm;
  • multiplayer.

Mënyra e diferencimit të të drejtave të aksesit

Në ISPD, sistemi i kontrollit të aksesit nënkupton:

  • pa diferencim të të drejtave të aksesit;
  • me diferencimin e të drejtave të aksesit.

Sistemet e informacionit ndahen në tipike dhe e veçantë.
Në një sistem tipik informacioni përfshijnë sisteme që kërkojnë vetëm konfidencialitetin e PD.

Në një sistem të veçantë informacioni përfshin sisteme që, përveç konfidencialitetit, kërkojnë:

  • Sistemet e informacionit në të cilat përpunohen të dhënat personale në lidhje me gjendjen shëndetësore të subjekteve të të dhënave personale;
  • Sistemet e informacionit në të cilat, në bazë të përpunimit vetëm të automatizuar të të dhënave personale, merren vendime që sjellin pasoja ligjore në lidhje me subjektin e të dhënave personale ose prekin ndryshe të drejtat dhe interesat e tij legjitime.

Klasifikimi i sistemit të informacionit

Sipas Urdhrit të FSTEC / FSB / Ministrisë së Informacionit dhe Komunikimit Nr. 55/86/20, ISPDn mund të marrë një nga katër klasat e përcaktuara në këtë renditje:

  1. klasa 1 (K1)- sistemet e informacionit për të cilat shkelja e një karakteristike të caktuar sigurie të të dhënave personale të përpunuara në to mund të çojë në pasoja të rëndësishme negative për subjektet e të dhënave personale;
  2. klasa 2 (K2)- sistemet e informacionit për të cilat një shkelje e karakteristikave të specifikuara të sigurisë së të dhënave personale të përpunuara në to mund të çojë në pasoja negative për subjektet e të dhënave personale;
  3. klasa 3 (K3)- sistemet e informacionit për të cilat një shkelje e karakteristikave të specifikuara të sigurisë së të dhënave personale të përpunuara në to mund të çojë në pasoja të vogla negative për subjektet e të dhënave personale;
  4. klasa 4 (K4)- sistemet e informacionit për të cilat shkelja e karakteristikave të specifikuara të sigurisë së të dhënave personale të përpunuara në to nuk çon në pasoja negative për subjektet e të dhënave personale.

Artikujt kryesorë të lidhur

Lëvizje të ndryshme të miut vertikalisht dhe horizontalisht
Lëvizje të ndryshme të miut vertikalisht dhe horizontalisht
Si të kompresoni teksturat në fallout 4
Si të kompresoni teksturat në fallout 4
Mbetet vetëm për të kuptuar nivelin e kërkuar
Mbetet vetëm për të kuptuar nivelin e kërkuar
Kategoritë:
© 2021 bumotors.ru. Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ.