Ordinul Serviciului Federal pentru Controlul Tehnic și al Exporturilor, FSB al Federației Ruse și Ministerul Tehnologiilor Informaționale și Comunicațiilor al Federației Ruse
din 13 februarie 2008 N 55/86/20
„Cu privire la aprobarea Procedurii de clasificare a sistemelor informatice a datelor cu caracter personal”
În conformitate cu paragraful 6 din Regulamentul privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sisteme de informare ah de date cu caracter personal, aprobat prin Decretul Guvernului Federației Ruse din 17 noiembrie 2007 N 781 „Cu privire la aprobarea Regulamentului privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu caracter personal” (Legislația colectată a Rusiei Federația, 2007, N 48, partea a II-a, art. 6001), ordonăm:
Aprobați atașat Ordin efectuarea clasificării sistemelor informatice de date cu caracter personal.
Nr. de înregistrare 11462
Ordin
efectuarea clasificării sistemelor informatice de date cu caracter personal
1. Prezenta Procedură determină clasificarea sistemelor informatice de date cu caracter personal, care reprezintă o colecție de date cu caracter personal conținute în baze de date, precum și tehnologia Informatieiși mijloace tehnice care permit prelucrarea acestor date cu caracter personal folosind instrumente de automatizare (denumite în continuare sisteme informatice) * .
2. Se realizează clasificarea sistemelor informaţionale agentii guvernamentale, autorităţile municipale, juridice şi indivizii, organizarea și (sau) efectuarea prelucrării datelor cu caracter personal, precum și determinarea scopurilor și conținutului prelucrării datelor cu caracter personal (denumit în continuare operator) ** .
3. Clasificarea sistemelor informatice se realizeaza in stadiul realizarii sistemelor informatice sau in timpul functionarii acestora (pentru sisteme informatice puse in functiune anterior si (sau) modernizate) in vederea stabilirii metodelor si mijloacelor de protectie a informatiilor necesare asigurarii securitatii. a datelor personale.
4. Efectuarea clasificării sistemelor informaționale include următoarele etape:
colectarea și analiza datelor inițiale privind sistemul informațional:
atribuirea clasei corespunzătoare sistemului informaţional şi documentaţiei acestuia.
5. La clasificarea unui sistem informatic se iau în considerare următoarele date inițiale:
volumul datelor cu caracter personal prelucrate (numărul de persoane vizate ale căror date cu caracter personal sunt prelucrate în sistemul informațional) - ;
caracteristicile de securitate ale datelor cu caracter personal prelucrate în sistemul informatic specificat de operator;
structura sistemului informatic;
Disponibilitatea conexiunilor sistemului informatic la rețelele de comunicații uz comunși (sau) rețele internaționale de schimb de informații;
modul de prelucrare a datelor cu caracter personal;
modul de delimitare a drepturilor de acces ale utilizatorilor sistemului informatic;
amplasarea mijloacelor tehnice ale sistemului informatic.
6. Sunt definite următoarele categorii de date cu caracter personal prelucrate în sistemul informațional:
7. poate lua următoarele valori:
1 - sistemul informatic prelucrează simultan date cu caracter personal ale a peste 100.000 de persoane vizate de date cu caracter personal sau date cu caracter personal ale persoanelor vizate de date cu caracter personal din cadrul unei entități constitutive a Federației Ruse sau a Federației Ruse în ansamblu;
2 - sistemul informațional prelucrează simultan date cu caracter personal de la 1.000 la 100.000 de persoane vizate de date cu caracter personal sau date cu caracter personal ale persoanelor vizate de date cu caracter personal care lucrează în sectorul economic al Federației Ruse, într-o agenție guvernamentală, care locuiește într-o municipalitate;
3 - sistemul informatic prelucrează simultan date a mai puțin de 1000 de persoane vizate de date cu caracter personal sau date cu caracter personal ale persoanelor vizate de date cu caracter personal din cadrul unei anumite organizații.
8. Conform caracteristicilor de securitate ale datelor cu caracter personal prelucrate în sistemul informatic specificat de operator, sistemele informatice sunt împărțite în sisteme informatice standard și speciale.
Sistemele informaționale tipice sunt sistemele informaționale care necesită doar asigurarea confidențialității datelor cu caracter personal.
Sistemele informatice speciale sunt sisteme informatice în care, indiferent de necesitatea asigurării confidențialității datelor cu caracter personal, este necesar să se asigure cel puțin una dintre caracteristicile de securitate ale datelor cu caracter personal, altele decât confidențialitatea (securitate față de distrugere, modificare, blocare, precum și ca și alte acțiuni neautorizate).
Sistemele informatice speciale ar trebui să includă:
sisteme informatice în care sunt prelucrate date cu caracter personal referitoare la starea de sănătate a subiecților datelor cu caracter personal;
sisteme informatice care prevăd acceptarea bazată exclusiv pe prelucrare automată decizii privind datele cu caracter personal care dau naștere la consecințe juridice în legătură cu subiectul datelor cu caracter personal sau îi afectează în alt mod drepturile și interesele legitime.
9. După structura lor, sistemele informaționale se împart în:
în complexe autonome (neconectate la alte sisteme informaţionale) de tehnică şi software dispozitive destinate prelucrării datelor cu caracter personal (stații de lucru automate);
la complexe de stații de lucru automatizate, unite într-un singur sistem informațional prin mijloace de comunicare fără utilizarea tehnologiei acces de la distanță(sisteme informaționale locale);
la complexe de stații de lucru automate și (sau) sisteme informaționale locale, combinate într-un singur sistem informațional prin intermediul comunicațiilor folosind tehnologia de acces la distanță (sisteme de informații distribuite).
10. Pe baza prezenței conexiunilor la rețelele publice de comunicații și (sau) la rețelele internaționale de schimb de informații, sistemele informaționale se împart în sisteme cu conexiuni și sisteme fără conexiuni.
11. După modul de prelucrare a datelor cu caracter personal în sistemul informațional, sistemele informaționale se împart în utilizator unic și multiutilizator.
12. Pe baza delimitării drepturilor de acces ale utilizatorilor, sistemele informaționale se împart în sisteme fără delimitare a drepturilor de acces și sisteme cu delimitare a drepturilor de acces.
13. Sistemele informaționale, în funcție de locația mijloacelor lor tehnice, sunt împărțite în sisteme, toate mijloacele tehnice fiind situate în Federația Rusă și sisteme ale căror mijloace tehnice sunt parțial sau în întregime situate în afara Federației Ruse.
14. Pe baza rezultatelor analizei datelor sursă, unui sistem informațional tipic i se atribuie una dintre următoarele clase:
clasa 1 (K1) - sisteme informatice pentru care o încălcare a caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative semnificative pentru subiecții datelor cu caracter personal;
clasa 2 (K2) - sisteme informatice pentru care o încălcare a caracteristicilor de securitate specificate a datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative pentru subiecții datelor cu caracter personal;
clasa 3 (K3) - sisteme informatice pentru care o încălcare a caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative minore pentru subiecții datelor cu caracter personal;
clasa 4 (K4) - sisteme informatice pentru care încălcarea caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea nu duce la consecințe negative pentru subiecții datelor cu caracter personal.
15. Clasa unui sistem informatic tipic este determinată în conformitate cu tabelul.
┌──────────────────────────┬──────────────┬──────────────┬──────────────┐
│ Х_нпд│ 3 │ 2 │ 1 │
│ \ │ │ │ │
│Х_пд │ │ │ │
├──────────────────────────┼──────────────┼──────────────┼──────────────┤
├──────────────────────────┼──────────────┼──────────────┼──────────────┤
├──────────────────────────┼──────────────┼──────────────┼──────────────┤
└──────────────────────────┴──────────────┴──────────────┴──────────────┘
16. Pe baza rezultatelor analizei datelor sursă, clasa unui sistem informatic special se determină pe baza unui model de amenințări la adresa securității datelor cu caracter personal în conformitate cu documentele metodologice elaborate în conformitate cu alin.2 din Decret. al Guvernului Federației Ruse din 17 noiembrie 2007 N 781 „Cu privire la aprobarea Regulamentului privind asigurarea securității datelor cu caracter personal atunci când sunt prelucrate în sistemele de informații cu date cu caracter personal” *** .
17. Dacă în cadrul unui sistem informațional sunt identificate subsisteme, fiecare dintre acestea fiind un sistem informațional, sistemului informațional în ansamblu i se atribuie o clasă corespunzătoare celei mai înalte clase a subsistemelor sale.
18. Rezultatele clasificării sistemelor informatice sunt documentate în actul corespunzător al operatorului.
19. Clasa sistemului informatic poate fi revizuită:
prin decizie a operatorului pe baza analizei și evaluării sale a amenințărilor la adresa securității datelor cu caracter personal, luând în considerare caracteristicile și (sau) modificările unui sistem informatic specific;
pe baza rezultatelor măsurilor de monitorizare a respectării cerințelor de asigurare a securității datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional.
______________________________
* Alineatul unu al paragrafului 1 din Regulamentul privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal, aprobat prin Decretul Guvernului Federației Ruse din 17 noiembrie 2007 N 781 (Legislația colectată a Federației Ruse, 2007, N 48, partea II, art. 6001 ) (denumite în continuare Regulamente).
20 86 ...
Masterplan al materialelor rurale Voronsk privind justificarea proiectului partea 1 descrierea justificării
DocumentPOZIŢIE 13 2. CONDIȚII NATURALE 13 3. Clima. 13 4. ... educație 86 20 . Educatie generala 86 21..., mii de ruble 2008. 2009 2009/ 2008., % 2010 ... satul Alexandrovo N5520 Zona de distribuție 0,8 d. Konyukhovo N56 20 RES 0, ... în Federația Rusă" din 6 februarie 2003 nr....
Publicare 86 ziare generale... congres. Document N55
SERVICIUL FEDERAL DE CONTROL TEHNIC SI EXPORT
SERVICIUL FEDERAL DE SECURITATE AL FEDERATIEI RUSE
MINISTERUL COMUNICAȚILOR ȘI COMUNICĂRILOR DE MASĂ AL FEDERATIEI RUSE
ORDIN
din 31 decembrie 2013 N 151/786/461
PRIVIND RECUNOAȘTEREA ORDINULUI SERVICIULUI FEDERAL DE CONTROL TEHNIC ȘI EXPORTURILOR, SERVICIULUI FEDERAL DE SECURITATE AL FEDERATIEI RUSE ȘI MINISTERULUI TEHNOLOGIEI INFORMAȚIILOR ȘI COMUNICĂRILOR FEDERATIEI RUSE DATE 13 FEBRUARIE/N.20058/2005 APROBARE A PROCEDURII DE REALIZARE A CLASIFICARII SISTEMELOR DE INFORMARE A DATELOR PERSONALE”
În legătură cu recunoașterea decretului Guvernului Federației Ruse din 17 noiembrie 2007 N 781 ca invalid „Cu privire la aprobarea Regulamentului privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu caracter personal” (Legislația colectată a Federația Rusă, 2007, N 48, Art. 6001 ) COMANDĂM:
declar invalid ordinul Serviciului Federal de Control Tehnic și Export, al Serviciului Federal de Securitate al Federației Ruse și al Ministerului Tehnologiilor Informaționale și Comunicațiilor din Federația Rusă din 13 februarie 2008 N 55/86/20 „La aprobarea Procedura de clasificare a sistemelor informatice de date cu caracter personal” (înregistrat Ministerul Justiției al Federației Ruse 3 aprilie 2008, înregistrare N 11462).
Director
Serviciul Federal pentru Tehnici
și controale la export
Director
Serviciul Federal de Securitate
Federația Rusă
A.BORTNIKOV
comunicatii si comunicatii de masa
Federația Rusă
Vă informăm că prin ordinul comun al Ministerului Educației și Științei al Republicii Tatarstan și al Instituției de Stat „Centrul pentru Tehnologii Informaționale al Republicii Tatarstan” nr. 1156/09/29-o din 18 mai 2009 a aprobat un plan de actiune pentru asigurând securitatea informatiei sistemele informaționale cu date personale în instituțiile de învățământ din Republica Tatarstan.
Pe baza planului specificat, precum si in scopul aducerii sistemelor informatice de date cu caracter personal institutii de invatamant al Republicii Tatarstan, în conformitate cu cerințele Legii federale a Federației Ruse din 27 iulie 2006 nr. 152-FZ „Cu privire la datele cu caracter personal”, vă rog să organizați un set de măsuri pentru protejarea datelor cu caracter personal.
1. Asigura numirea in institutiile de invatamant subordonate a functionarilor raspunzatori de asigurarea securitatii datelor cu caracter personal.
2. În toate instituțiile din subordine, determină sistemele informaționale în care sunt prelucrate datele cu caracter personal, clasifică-le în conformitate cu „Procedura de clasificare a sistemelor de informare a datelor cu caracter personal” (Anexa nr. 2), aprobă actul de clasificare (Anexa nr. 3).
3. Înainte de 22 iunie 2009, furnizați informații despre sistemele de informare cu date cu caracter personal ale tuturor instituțiilor de învățământ subordonate folosind formularul atașat (Anexa nr. 4) Ministerului Educației și Științei al Republicii Tatarstan. Trimiteți informații într-un formular rezumat către Adresa de e-mail:
Aplicații.
1. Ordin comun al Ministerului Educației și Științei din Republica Tatarstan și al Instituției de Stat „Centrul de Tehnologia Informației din Republica Tatarstan” nr. 1156/09/29-o din 18.05.2009 în 1 exemplar. pentru 3 l.
2. Ordinul nr. 55/86/20 din 13 februarie 2008 „Cu privire la aprobarea Procedurii de clasificare a sistemelor informatice a datelor cu caracter personal” în 1 exemplar. pentru 8 l.
3. Un exemplu de ordin de creare a unui comision și a unui act de clasificare în 1 exemplar. pentru 3 l.
4. Formular „Informații privind sistemele informatice de date cu caracter personal” în 1 exemplar. pentru 1 l.
Spaniolă Khusnutdinov R.N.
Tel 2929003 
Despre măsurile de securitate a informațiilor
sisteme de informare a datelor cu caracter personal
în instituţiile de învăţământ din Republica Tatarstan
Pentru a implementa cerințele documentelor de reglementare ale Federației Ruse și ale Republicii Tatarstan în domeniul securității informațiilor
EU COMAND:
1.
Aprobați planul de acțiune atașat pentru a asigura
securitatea informatiei a sistemelor informatice de date cu caracter personal
în instituţiile de învăţământ din Republica Tatarstan.
2. Îmi rezerv controlul asupra executării acestui ordin.
PLAN
masuri pentru asigurarea securitatii informatiei a sistemelor informatice de date cu caracter personal
în instituţiile de învăţământ din Republica Tatarstan
| № n\n | Numele evenimentului | Termen limită | Responsabil de implementare | Notă |
| 1. | Inventarierea sistemelor informatice de prelucrare a datelor cu caracter personal, clasificarea IP si aprobarea actului de clasificare | iunie 2009 | | Efectuați un inventar conform în forma prescrisă |
| 2. | Transmiterea notificărilor de către instituțiile de învățământ (operatorii de date cu caracter personal) către organismul abilitat pentru protecția drepturilor persoanelor vizate de date cu caracter personal | iunie 2009 | Ministerul Educației și Științei din Republica Tatarstan, autoritățile educaționale ale Republicii Tatarstan, instituțiile de învățământ din Republica Tatarstan care nu au trimis notificări | |
| 3. | Pregătirea unui pachet de documente standard: Declarație privind protecția datelor cu caracter personal Reglementări privind unitatea de protecție a informațiilor; Reglementările de muncă ale persoanelor responsabile cu protecția datelor cu caracter personal Plan de acțiune pentru Planul de protecție a PD audituri interne Starea protecției PD Ordin privind numirea persoanelor responsabile pentru PD Jurnal pentru înregistrarea activităților de control Jurnal de inregistrare a solicitarilor de la subiectii de date cu caracter personal privind indeplinirea drepturilor lor legale Exemplu de jurnal (carte) de contabilitate a veniturilor personale Reguli de utilizare a instrumentelor de securitate a informațiilor Exemplu de acord cu un angajat cu privire la responsabilitatea pentru dezvăluirea datelor cu caracter personal | iulie 2009 | GU CIT RT, Ministerul Educației și Științei al Republicii Tatarstan | |
| 4. | Cercetarea și identificarea mai multor grupuri prioritare de instituții de învățământ pentru certificarea ulterioară a sistemelor informaționale pe cheltuiala bugetului centralizat al Republicii Tatarstan | august 2009 | | |
| 5. | Certificarea sistemelor informatice PD în conformitate cu clauza 8 din prezentul plan | noiembrie 2009 | GU CIT RT, Ministerul Educației și Științei al RT, autoritățile educaționale ale RT, instituțiile de învățământ din Republica Tatarstan | |
| 6. | Organizarea și menținerea unui sistem de protecție a informațiilor confidențiale împotriva accesului neautorizat în conformitate cu clasa IP stabilită, folosind instrumente de securitate certificate în modul prescris | În mod constant | Ministerul Educației și Științei din Republica Tatarstan, autoritățile educaționale ale Republicii Tatarstan, instituțiile de învățământ ale Republicii Tatarstan |
Înregistrat în
Ministerul Justiției al Rusiei
APROBAT
din ordinul FSTEC al Rusiei,
№ 55/86/20
Ordin
efectuarea clasificării sistemelor informatice de date cu caracter personal
Prezenta Procedură determină clasificarea sistemelor informatice de date cu caracter personal, care sunt un set de date cu caracter personal conținute în baze de date, precum și tehnologiile informaționale și mijloacele tehnice care permit prelucrarea acestor date cu caracter personal folosind instrumente de automatizare (denumite în continuare sisteme informatice) 1 .
Clasificarea sistemelor informatice se realizeaza de catre organele de stat, organele municipale, persoane juridice si persoane fizice care organizeaza si (sau) desfasoara prelucrarea datelor cu caracter personal, precum si determinarea scopurilor si continutului prelucrarii datelor cu caracter personal (denumite in continuare ca operator) 2.
Clasificarea sistemelor informatice se realizeaza in stadiul realizarii sistemelor informatice sau in timpul functionarii acestora (pentru sisteme informatice puse in functiune anterior si (sau) modernizate) in vederea stabilirii metodelor si mijloacelor de protectie a informatiilor necesare asigurarii securitatii personale. date.
Efectuarea clasificării sistemelor informaționale include următoarele etape:
5. Atunci când clasificați un sistem informațional, luați în considerare
urmatoarele date initiale:
„Alineatul unu al paragrafului 1 din Regulamentul privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal, aprobat prin Decretul Guvernului Federației Ruse din 17 noiembrie 2007 nr. 781 (Legislația colectată a Federației Ruse , 2007, Nr. 48, Partea a II-a, Art. 6001 ) (denumit în continuare Regulament). „Alineatul unu al clauzei 6 din Regulament.
categoria de date cu caracter personal prelucrate în sistemul informatic - X P d;
volumul datelor cu caracter personal prelucrate (numărul persoanelor vizate ale căror date cu caracter personal sunt prelucrate în sistemul informațional) - X N pd;
caracteristicile de securitate ale datelor cu caracter personal prelucrate în sistemul informatic specificat de operator;
structura sistemului informatic;
disponibilitatea conexiunilor sistemului informatic la rețelele publice de comunicații și (sau) rețelele internaționale de schimb de informații; modul de prelucrare a datelor cu caracter personal;
modul de delimitare a drepturilor de acces ale utilizatorilor sistemului informatic;
amplasarea mijloacelor tehnice ale sistemului informatic.
6. Se determină următoarele categorii de articole prelucrate:
sistem de informare a datelor cu caracter personal (X P d):
7. Hnpd poate lua următoarele valori:
- sistemul informatic prelucrează simultan date cu caracter personal ale a peste 100.000 de persoane vizate de date cu caracter personal sau date cu caracter personal ale persoanelor vizate de date cu caracter personal din cadrul unei entități constitutive a Federației Ruse sau a Federației Ruse în ansamblu;
- sistemul informațional prelucrează simultan date cu caracter personal de la 1.000 la 100.000 de persoane vizate de date cu caracter personal sau date cu caracter personal ale persoanelor vizate de date cu caracter personal care lucrează în sectorul economic al Federației Ruse, într-o agenție guvernamentală, care locuiește într-o municipalitate;
- sistemul informatic prelucrează simultan date a mai puțin de 1000 de persoane vizate de date cu caracter personal sau date cu caracter personal ale persoanelor vizate de date cu caracter personal din cadrul unei anumite organizații.
date prelucrate într-un sistem informatic, sisteme informatice
sunt împărțite în sisteme informatice standard și speciale.
Sistemele informaționale tipice sunt sistemele informaționale care necesită doar asigurarea confidențialității datelor cu caracter personal.
Sistemele informatice speciale sunt sisteme informatice în care, indiferent de necesitatea asigurării confidențialității datelor cu caracter personal, este necesar să se asigure cel puțin una dintre caracteristicile de securitate ale datelor cu caracter personal, altele decât confidențialitatea (securitate față de distrugere, modificare, blocare, precum și ca și alte acțiuni neautorizate).
Sistemele informatice speciale ar trebui să includă:
sisteme informatice în care sunt prelucrate date cu caracter personal referitoare la starea de sănătate a subiecților datelor cu caracter personal;
sisteme informatice care prevăd adoptarea, bazată exclusiv pe prelucrarea automată a datelor cu caracter personal, a unor decizii care dau naștere la consecințe juridice în legătură cu subiectul datelor cu caracter personal sau îi afectează în alt mod drepturile și interesele legitime.
9. După structura lor, sistemele informaționale se împart în:
pentru complexe autonome (neconectate la alte sisteme informatice) de hardware si software destinate prelucrarii datelor cu caracter personal (statii de lucru automate);
la complexe de stații de lucru automatizate integrate într-un singur sistem informațional prin intermediul mijloacelor de comunicare fără utilizarea tehnologiei de acces la distanță (sisteme informaționale locale);
la complexe de stații de lucru automate și (sau) sisteme informaționale locale, combinate într-un singur sistem informațional prin intermediul comunicațiilor folosind tehnologia de acces la distanță (sisteme de informații distribuite).
Pe baza prezenței conexiunilor la rețelele publice de comunicații și (sau) rețelele internaționale de schimb de informații, sistemele de informații sunt împărțite în sisteme cu conexiuni și sisteme fără conexiuni.
În funcție de modul de prelucrare a datelor cu caracter personal în sistemul informațional, sistemele informaționale se împart în utilizator unic și multiutilizator.
Pe baza delimitării drepturilor de acces ale utilizatorilor, sistemele informaționale se împart în sisteme fără delimitare a drepturilor de acces și sisteme cu delimitare a drepturilor de acces.
Sistemele de informații, în funcție de locația mijloacelor lor tehnice, sunt împărțite în sisteme, toate mijloacele tehnice fiind situate în Federația Rusă și sisteme ale căror mijloace tehnice sunt parțial sau în întregime situate în afara Federației Ruse.
sistemului i se atribuie una dintre următoarele clase:
clasa 1 (K1) - sisteme informatice pentru care o încălcare a caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative semnificative pentru subiecții datelor cu caracter personal;
clasa 2 (K2) - sisteme informatice pentru care o încălcare a caracteristicilor de securitate specificate a datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative pentru subiecții datelor cu caracter personal;
clasa 3 (KZ) - sisteme informatice pentru care o încălcare a caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative minore pentru subiecții datelor cu caracter personal;
clasa 4 (K4) - sisteme informatice pentru care încălcarea caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea nu duce la consecințe negative pentru subiecții datelor cu caracter personal.
15. Clasa unui sistem informatic tipic este determinată în conformitate cu
masa.
Pe baza rezultatelor analizei datelor sursă, clasa unui sistem informatic special se determină pe baza unui model de amenințări la adresa securității datelor cu caracter personal în conformitate cu documentele metodologice elaborate în conformitate cu alin.2 din Decretul Guvernului Federația Rusă din 17 noiembrie 2007 Nr. 781 „Cu privire la aprobarea Regulamentului privind asigurarea securității datelor cu caracter personal atunci când le prelucrează în sistemele de informații cu date cu caracter personal” 1.
Dacă în cadrul unui sistem informațional sunt identificate subsisteme, fiecare dintre acestea fiind un sistem informațional, sistemului informațional în ansamblu i se atribuie o clasă corespunzătoare celei mai înalte clase a subsistemelor sale.
1 Culegere de legislație a Federației Ruse 2007, nr. 48, partea a II-a, art. 6001.
18. Se formalizează rezultatele clasificării sistemelor informaţionale
prin actul corespunzător al operatorului.
19. Clasa sistemului informatic poate fi revizuită:
prin decizie a operatorului pe baza analizei și evaluării sale a amenințărilor la adresa securității datelor cu caracter personal, luând în considerare caracteristicile și (sau) modificările unui sistem informatic specific;
pe baza rezultatelor măsurilor de monitorizare a respectării cerințelor de asigurare a securității datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional.
Forma standard
lista sistemelor informatice de date cu caracter personal (PDIS) in care trebuie asigurata securitatea informatiei
| | |||||||||
| Nu. | | Adresa obiectului | Structura ISPD | | Modul de procesare PD | | | clasa ISPD | * Notă |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
Exemplu de completare a listei
| Datele inițiale ale clasificării ISPD | |||||||||
| Nu. | Numele ISPDn (partea sa componentă) | Numele obiectului (complet și prescurtat) Afiliere la industrie (departamentală) Adresa unității | Structura ISPD | Disponibilitatea conexiunilor la rețelele SSOP și LEB (Internet) | Modul de procesare PD | Restricții de acces pentru utilizatori | Găsirea ISPDn (it componente)în interiorul Rusiei | clasa ISPD | Notă |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 1 | Sistemul de abonare a biletelor de avion al companiei „AEROTRANS” | CJSC „AEROTRANS”, clădirea Central Air Terminal, birouri nr. 1501, 1502, Nr. 1720 (server), Moscova, Leningradsky Prospekt, 35 | Sistem distribuit | Conectat la Internet, folosind SSOP | multi utilizator | cu diferenţierea drepturilor de acces | Punct de abonat pe teritoriul Ucrainei (Kiev, aeroportul Boryspil) | 2 | Sistemul are AP la aeroporturile Sheremetyevo, Domodedovo, Vnukovo |
Un exemplu de ordin de creare a unei comisii pentru clasificarea ISPD
Despre clasificarea sistemelor informatice
date personale
Să clasifice sistemele informaționale de date cu caracter personal amplasate în imobilul ______________, în funcție de condițiile de funcționare a acestora din punct de vedere al securității informațiilor, pentru respectarea cerințelor de securitate a informațiilor;
EU COMAND:
1. Numiți o comisie formată din:
Președintele comisiei:
adjunct al șefului instituției de învățământ ***
Membrii comisiei:
Șef Departament Contabilitate și Raportare ***
Șeful departamentului de politici de resurse umane ***
Specialist șef ***
2. Efectuați clasificarea în conformitate cu „Procedura de clasificare a sistemelor de informații cu date cu caracter personal”, aprobată prin ordin al FSTEC al Rusiei, al FSB al Rusiei, al Ministerului Informațiilor și Comunicațiilor din Rusia din 13 februarie 2008.
3. Pe baza rezultatelor lucrărilor, supuneți spre aprobare „Actul de clasificare a sistemelor informatice de date cu caracter personal situat în clădirea instituției de învățământ.
4. Îmi rezerv controlul asupra executării acestui ordin.
Șeful OU ****
Exemplu de act de clasificare ISPD
ACT Nr. _/AKl din ___ ___________200_
clasificarea sistemelor informatice de date cu caracter personal amplasate în clădirea instituţiei de învăţământ
Comisie formata din:
Președintele comisiei:adjunct al șefului instituției de învățământ
Membrii comisiei:
și raportare
Șeful Departamentului Politici HR
Specialist șef
instalat:
1. Componența sistemelor informatice de date cu caracter personal este prezentată în „Lista sistemelor informatice în care trebuie asigurată securitatea informațiilor” (Anexa 1).
2. Cea mai înaltă categorie de date cu caracter personal prelucrate în sisteme informatice (X PD) – „categoria _”.
3. Cel mai mare volum de date cu caracter personal prelucrate (X npd) îi corespunde valoare _.
4. În conformitate cu „Procedura de clasificare a sistemelor informaționale a datelor cu caracter personal”, aprobată prin ordinul FSTEC al Rusiei, al FSB al Rusiei, al Ministerului Informațiilor și Comunicațiilor din Rusia din 13 februarie 2008, informațiile sistem ca întreg este atribuit clasa _.
Președintele comisiei:
adjunct al șefului instituției
Membrii comisiei:
Șef departament contabilitate
și raportare
Șeful Departamentului Politici HR
Specialist șef
Lista sistemelor informatice de date cu caracter personal (PDIS) în care trebuie asigurată securitatea
informație
| Nu. | Numele ISPDn (partea sa componentă) | Numele obiectului (complet și prescurtat) Afilierea industriei (departamentale). Adresa obiectului | Datele inițiale ale clasificării ISPD | clasa ISPD | Notă |
||||
| Structura ISPD | Disponibilitatea conexiunilor la rețelele SSOP și LEB (Internet) | Modul de procesare PD | Restricții de acces pentru utilizatori | Locația ISPDn (componentele sale) în Rusia |
|||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 1 | |||||||||
* coloana 10 indică Informații suplimentare despre sistemul pe care proprietarul sistemului îl consideră necesar să îl includă în listă.Coloanele 4-8 indică informațiile utilizate în clasificarea ISPDn în conformitate cu Procedura de clasificare a sistemelor informatice de date cu caracter personal (Anexa la Ordinul FSTEC din Rusia, FSB din Rusia, Ministerul Informațiilor și Comunicațiilor din Rusia din 13 februarie 2008. Nr. 55/86/20 „Cu privire la aprobarea Procedurii de clasificare a sistemelor de informații cu date cu caracter personal”).
Informații despre sistemul de informații cu date cu caracter personal.
| № p/p | Probleme acoperite | Răspuns |
| 1 | Numele sistemului de informații cu date cu caracter personal (PDIS), dezvoltatorul sistemului. | Exemplu: „1C Enterprise”, 1C company |
| 2 | clasa ISPD | Indicați clasa IPDN în conformitate cu actul de clasificare |
| 3 | Obiectivele și statutul ISPD | Indicați de ce și pe ce bază au fost create (conform legii, pentru a îndeplini un contract cu o companie de asigurări, din proprie inițiativă etc.) Exemplu: ținerea evidențelor de personal și contabile pentru angajați, create în condițiile legii |
| 4 | Volumul și compoziția ISPDn | Indicați numărul de subiecți ai datelor cu caracter personal prelucrate în sistem și conținutul informațiilor (numele complet, adresa, codul de identificare fiscală, naționalitatea etc.) |
| 5 | surse ISPDn | Indicați sursele de obținere a datelor cu caracter personal (de la un cetățean, de la alte instituții de învățământ, de la terți etc.) |
| 6 | Mod de procesare și acces la ISPDn | Precizați modul de procesare (single-user, multi-user), ordinea accesului (cu sau fără delimitare) și denumirea documentului care reglementează accesul, dacă este cazul. Exemplu: multi-utilizator, cu control acces, fără reglementări. |
| 7 | utilizatorii ISPDn. | Exemplu: utilizatori interni (departamente, unități structurale). Utilizatori externi(numele organizațiilor). |
| 8 | Metode de transmitere a informațiilor către utilizatori. | Exemplu: Pe hârtie, pe suport magnetic, prin canale de comunicații securizate etc. |
| 9 | Operatorul (articolul 3, clauza 2 din Legea federală-152) sau persoana încredințată cu prelucrarea PD (clauza 10 din „Regulamente...”). Temeiul legal pentru prelucrarea datelor cu caracter personal (cine a luat decizia și ce document este securizat). | Indicați numele complet (conform statutului) și adresa poștală a organizației, documentele pe baza cărora instituția funcționează. Exemplu: Ministerul Educației și Științei din Republica Tatarstan Decretul Președintelui Republicii Tatarstan „Cu privire la transformarea Ministerului Educației din Republica Tatarstan” din 09.09.2004. Nr. UP-570 Reglementări privind Ministerul Educației și Științei din Republica Tatarstan |
| 10 | Data de începere a procesării PD | |
| 11 | Termen de valabilitate | Stabiliți perioade de stocare a datelor pentru fiecare dintre ISPD, dacă durata nu este stabilită prin lege |
| 12 | Termeni sau condiții pentru încetarea prelucrării | Stabiliți termene de prelucrare a datelor pentru fiecare dintre ISPD, dacă durata nu este stabilită prin lege |
| 13 | Informații despre includerea ISPD în Registrul de stat baze de date. |
Notă: „Regulamentul privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal” a fost aprobat prin Decretul Guvernului Federației Ruse din 17 noiembrie 2007 nr. 781.
În legătură cu invalidarea Decretului Guvernului Federației Ruse din 17 noiembrie 2007 nr. 781 „Cu privire la aprobarea Regulamentului privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu caracter personal” (Legislația colectată a Federația Rusă, 2007, Nr. 48, Art. 6001 ) comandăm:
invalidează ordinul Serviciului Federal de Control Tehnic și Export, al Serviciului Federal de Securitate al Federației Ruse și al Ministerului Tehnologiilor Informaționale și Comunicațiilor din Federația Rusă din 13 februarie 2008 Nr. 55/86/20 „La aprobarea Procedura de clasificare a sistemelor informatice de date cu caracter personal” (înregistrat Ministerul Justiției al Federației Ruse 3 aprilie 2008, înregistrare nr. 11462).
| ministru comunicatii si comunicatii de masa Federația Rusă |
N. Nikiforov |
Prezentare generală a documentului
Ordinul comun al FSTEC al Rusiei, al FSB al Rusiei și al Ministerului Informațiilor și Comunicațiilor din Rusia, care a aprobat procedura de clasificare a sistemelor informatice a datelor cu caracter personal, este declarat invalid.
Cert este că Regulamentul privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu caracter personal, aprobat prin Decretul Guvernului Federației Ruse din 17 noiembrie 2007 N 781. Noua procedură este prevăzută în Decretul din noiembrie 1, 2012 N 1119.
Nr. de înregistrare 11462
În conformitate cu paragraful 6 din Regulamentul privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu caracter personal, aprobat prin Decretul Guvernului Federației Ruse din 17 noiembrie 2007 N 781 „Cu privire la aprobarea Regulamentului privind asigurarea securitatea datelor cu caracter personal în timpul prelucrării lor în sistemele de informații cu date cu caracter personal „(Legislația colectată a Federației Ruse, 2007, nr. 48, partea a II-a, art. 6001), comandăm:
Aprobați Procedura atașată de clasificare a sistemelor informatice de date cu caracter personal.
Director
Serviciul federal
privind controlul tehnic și la export
S. Grigorov
Director al Serviciului Federal de Securitate
Federația Rusă
N. Patrushev
Ministrul Tehnologiilor Informaționale și Comunicațiilor al Federației Ruse
L. Reiman
Procedura de clasificare a sistemelor informatice de date cu caracter personal
1. Prezenta Procedură determină clasificarea sistemelor informatice de date cu caracter personal, care sunt un set de date cu caracter personal conținute în baze de date, precum și tehnologiile informaționale și mijloacele tehnice care permit prelucrarea acestor date cu caracter personal folosind instrumente de automatizare (denumite în continuare sisteme informatice). )1.
2. Clasificarea sistemelor informatice se realizeaza de catre organele de stat, organele municipale, persoanele juridice si persoanele fizice care organizeaza si (sau) desfasoara prelucrarea datelor cu caracter personal, precum si determinarea scopurilor si continutului prelucrarii datelor cu caracter personal ( denumit în continuare operator)2.
3. Clasificarea sistemelor informatice se realizeaza in stadiul realizarii sistemelor informatice sau in timpul functionarii acestora (pentru sisteme informatice puse in functiune anterior si (sau) modernizate) in vederea stabilirii metodelor si mijloacelor de protectie a informatiilor necesare asigurarii securitatii. a datelor personale.
4. Efectuarea clasificării sistemelor informaționale include următoarele etape:
colectarea și analiza datelor inițiale privind sistemul informațional:
atribuirea clasei corespunzătoare sistemului informaţional şi documentaţiei acestuia.
5. La clasificarea unui sistem informatic se iau în considerare următoarele date inițiale:
volumul datelor cu caracter personal prelucrate (numărul persoanelor vizate ale căror date cu caracter personal sunt prelucrate în sistemul informațional) - X npd;
caracteristicile de securitate ale datelor cu caracter personal prelucrate în sistemul informatic specificat de operator;
structura sistemului informatic;
disponibilitatea conexiunilor sistemului informatic la rețelele publice de comunicații și (sau) rețelele internaționale de schimb de informații;
modul de prelucrare a datelor cu caracter personal;
modul de delimitare a drepturilor de acces ale utilizatorilor sistemului informatic;
amplasarea mijloacelor tehnice ale sistemului informatic.
6. Sunt definite următoarele categorii de date cu caracter personal prelucrate în sistemul informațional (X pd):
7. X npd poate lua următoarele valori:
1 - sistemul informatic prelucrează simultan date cu caracter personal ale a peste 100.000 de persoane vizate de date cu caracter personal sau date cu caracter personal ale persoanelor vizate de date cu caracter personal din cadrul unei entități constitutive a Federației Ruse sau a Federației Ruse în ansamblu;
2 - sistemul informațional prelucrează simultan date cu caracter personal de la 1.000 la 100.000 de persoane vizate de date cu caracter personal sau date cu caracter personal ale persoanelor vizate de date cu caracter personal care lucrează în sectorul economic al Federației Ruse, într-un organism guvernamental, care locuiește într-o municipalitate;
3 - sistemul informatic prelucrează simultan date a mai puțin de 1000 de persoane vizate de date cu caracter personal sau date cu caracter personal ale persoanelor vizate de date cu caracter personal din cadrul unei anumite organizații.
8. Conform caracteristicilor de securitate ale datelor cu caracter personal prelucrate în sistemul informatic specificat de operator, sistemele informatice sunt împărțite în sisteme informatice standard și speciale.
Sistemele informaționale tipice sunt sistemele informaționale care necesită doar asigurarea confidențialității datelor cu caracter personal.
Sistemele informatice speciale sunt sisteme informatice în care, indiferent de necesitatea asigurării confidențialității datelor cu caracter personal, este necesar să se asigure cel puțin una dintre caracteristicile de securitate ale datelor cu caracter personal, altele decât confidențialitatea (securitate față de distrugere, modificare, blocare, precum și ca și alte acțiuni neautorizate).
Sistemele informatice speciale ar trebui să includă:
sisteme informatice în care sunt prelucrate date cu caracter personal referitoare la starea de sănătate a subiecților datelor cu caracter personal;
sisteme informatice care prevăd adoptarea, bazată exclusiv pe prelucrarea automată a datelor cu caracter personal, a unor decizii care dau naștere la consecințe juridice în legătură cu subiectul datelor cu caracter personal sau îi afectează în alt mod drepturile și interesele legitime.
9. După structura lor, sistemele informaționale se împart în:
pentru complexe autonome (neconectate la alte sisteme informatice) de hardware si software destinate prelucrarii datelor cu caracter personal (statii de lucru automate);
la complexe de stații de lucru automatizate integrate într-un singur sistem informațional prin intermediul mijloacelor de comunicare fără utilizarea tehnologiei de acces la distanță (sisteme informaționale locale);
la complexe de stații de lucru automate și (sau) sisteme informaționale locale, combinate într-un singur sistem informațional prin intermediul comunicațiilor folosind tehnologia de acces la distanță (sisteme de informații distribuite).
10. Pe baza prezenței conexiunilor la rețelele publice de comunicații și (sau) la rețelele internaționale de schimb de informații, sistemele informaționale se împart în sisteme cu conexiuni și sisteme fără conexiuni.
11. După modul de prelucrare a datelor cu caracter personal în sistemul informațional, sistemele informaționale se împart în utilizator unic și multiutilizator.
12. Pe baza delimitării drepturilor de acces ale utilizatorilor, sistemele informaționale se împart în sisteme fără delimitare a drepturilor de acces și sisteme cu delimitare a drepturilor de acces.
13. Sistemele informaționale, în funcție de locația mijloacelor lor tehnice, sunt împărțite în sisteme, toate mijloacele tehnice fiind situate în Federația Rusă și sisteme ale căror mijloace tehnice sunt parțial sau în întregime situate în afara Federației Ruse.
14. Pe baza rezultatelor analizei datelor sursă, unui sistem informațional tipic i se atribuie una dintre următoarele clase:
clasa 1 (K1) - sisteme informatice pentru care o încălcare a caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative semnificative pentru subiecții datelor cu caracter personal;
clasa 2 (K2) - sisteme informatice pentru care o încălcare a caracteristicilor de securitate specificate a datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative pentru subiecții datelor cu caracter personal;
clasa 3 (K3) - sisteme informatice pentru care o încălcare a caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea poate duce la consecințe negative minore pentru subiecții datelor cu caracter personal;
clasa 4 (K4) - sisteme informatice pentru care încălcarea caracteristicilor de securitate specificate ale datelor cu caracter personal prelucrate în acestea nu duce la consecințe negative pentru subiecții datelor cu caracter personal.
15. Clasa unui sistem informatic tipic este determinată în conformitate cu tabelul.
16. Pe baza rezultatelor analizei datelor sursă, clasa unui sistem informatic special se determină pe baza unui model de amenințări la adresa securității datelor cu caracter personal în conformitate cu documentele metodologice elaborate în conformitate cu alin.2 din Decret. al Guvernului Federației Ruse din 17 noiembrie 2007 N 781 „Cu privire la aprobarea Regulamentului privind asigurarea securității datelor cu caracter personal atunci când sunt prelucrate în sistemele de informații cu date cu caracter personal”3.
17. Dacă în cadrul unui sistem informațional sunt identificate subsisteme, fiecare dintre acestea fiind un sistem informațional, sistemului informațional în ansamblu i se atribuie o clasă corespunzătoare celei mai înalte clase a subsistemelor sale.
18. Rezultatele clasificării sistemelor informatice sunt documentate în actul corespunzător al operatorului.
19. Clasa sistemului informatic poate fi revizuită:
prin decizie a operatorului pe baza analizei și evaluării sale a amenințărilor la adresa securității datelor cu caracter personal, luând în considerare caracteristicile și (sau) modificările unui sistem informatic specific;
pe baza rezultatelor măsurilor de monitorizare a respectării cerințelor de asigurare a securității datelor cu caracter personal în timpul prelucrării acestora în sistemul informațional.
1 Alineatul unu al paragrafului 1 din Regulamentul privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal, aprobat prin Decretul Guvernului Federației Ruse din 17 noiembrie 2007.
N 781 (Colecția de legislație a Federației Ruse, 2007, N 48, partea II,
2Alineatul unu al clauzei 6 din Regulament.
3Legislația colectată a Federației Ruse 2007, N 48, partea II,Artă. 6001.
