- 5 лучших генераторов искусственного интеллекта для написания и переписывания любого контента
- Современные технологии в Национальной Баскетбольной Ассоциации
- История Красного Бора Татарстан (Новый Пьяный Бор Елабужского уезда) в статьях
- Программа для поиска драйверов на любое устройство
- Как технология OCR снижает нагрузку на офис
- Как операционная система Windows стала такой популярной
- Продвижение товаров на Wildberries с привлечением внешнего трафика
- Простая программа для управления проектами «Планамайзер»
Классификация информационных систем персональных данных |
Классификация информационных устройств персональных данных - классификация информационных устройств персональных данных (ИСПДН), представляющих собою совокупность персональных данных, содержащихся в базах данных, и информационных технологий и технических средств, позволяющих осуществлять обработку этих персональных данных с использованием средств автоматизации. Источник: Приказ ФСТЭК РФ, ФСБ РФ, Мининформсвязи РФ № 55/86/20 от 18.02.2009 г. "Об утверждении порядка проведения классификации информационных устройств персональных данных" (Опубликовано 12 апреля 2008 г. Вступает в силу: 22 апреля 2008 г.). Классификация ИСПДН производится по Приказу ФСТЭК РФ, ФСБ РФ, Мининформсвязи РФ № 55/86/20 от 18.02.2009 г. "Об утверждении порядка проведения классификации информационных устройств персональных данных" согласно с таблицей:
Классификация типовых ИСПДН Зашита прав и свобод человека и гражданина определяет смысл, содержание и использование законов, деятельность исполнительной и законодательной власти, местного самоуправления и обеспечиваются правосудием. Все нормативно-правовые акты РФ служат этой цели, в том числе и законодательство, регулирующее оборот персональных данных (дальше ПДН). Так, операторы информационных устройств персональных данных, в рамках собственного правового статуса, для реализации прав субъектов ПДН должны защитить переданные им ПДН от угроз, реализация которых может повлечь за собою ущерб субъектам, то есть хозяинам таких данных. Сложность защиты персональных данных отнюдь не просто экономическая или техническая, как принято говорить. Сложность есть давно - нецелесообразное и неадекватное собирание сведений о своих клиентах или работниках и в последующем небрежное ее хранение и использование. Интеграторы руководствуются логикой, основным принципом которой является защита информационных устройств от реализации угроз могущих повлечь за собою нанесение ущерба оператору - подменяют требование закона защищать права субъектов ПДН на мнимое требование защищать сами ПДН. Отталкиваясь от этой логики мы обязаны защитить не только лишь такую характеристику ПДН как конфиденциальность, но еще и целостность и доступность в рамках данной ИСПДН. Защищая персональные данные - мы именно защищаем права и свободы людей. Это и есть наша цель и наша святая обязанность. К несчастью, многие эксперты в области информационной безопасности склонны рассматривать данную проблематику лишь с позиции исполнения бесконечных нормативов и руководящих документов, а смыслу этого не предается должного внимания. То есть настоящая цель подменяются целью во что бы то ни стало исполнить букву закона. И в этом кроется ловушка невыполнимости требований - они предъявляются к любой ИСПДН. "Статья 2. Цель настоящего Федерального закона Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в частности защиты прав на неприкосновенность частной жизни, личную и семейную тайну." И так что же такое "права и свободы человека и гражданина при обработке его персональных данных"? Права субъекта персональных данных устанавливаются Главой 3 Закона, они определены довольно конкретно и полно, и перечень прав закрытый - не позволяет нам расширить их до бесконечности. Из главных прав возможно выделить несколько групп:
Также фундаментальное право человека и гражданина на неприкосновенность частной жизни, личную и семейную тайну охраняется Конституцией РФ - читай: право на конфиденциальность персональных данных. В целях реализации таких прав, законодатель определяет обязанности контрагентов - операторов персональных данных. Он выделяет подобные группы обязанностей:
Статья 19 Федерального Закона "О персональных данных" устанавливает потребность принятия мер по обеспечению безопасности персональных данных при их обработке оператором персональных данных, а именно: "Оператор при обработке персональных данных обязан принимать нужные организационные и инженерные меры, в частности применять шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, блокирования, копирования, перемены, уничтожения, распространения персональных данных, и от других неправомерных действий." Так, законодатель отмечает потребность обеспечения безопасности персональных данных оператором в целях недопущения нанесения ущерба субъекту (читай: нарушения Конституционных и Законных прав, описанных выше) при нарушении заданных характеристик безопасности ПДН. Хотя, в законе прямо не указываются конкретные средства и методы обеспечения безопасности ПДН. То есть законодатель предлагает определить нужные меры оператору персональных данных своими силами, или руководствоваться другими нормативными актами. Правительство России в своих Постановлениях N 687, N 781 и N 512 возлагает на оператора обязанность применять средства и методы по обеспечению безопасности персональных данных, которые конкретизируются соответствующими Положениями и Требованиями, утвержденными этими Постановлениями, и иными подчиненными им нормативными актами, такими как Руководящие Бумаги ФСБ и ФСТЭК. Обеспечивая безопасность персональных данных оператор обязан руководствоваться вышеописанными постановлениями, однако он свободен своими силами определять методы и способы обработки ПДН. Так, он может создавать несколько информационных устройств персональных данных, содержащих данные одних и тех же субъектов - другими словами, может для удобства обработки копировать персональные данные из одной ИСПДН в другую, принадлежащую ему же. Для любой такой ИСПДН требуется сделать систему защиты согласно с Постановлениями Правительства. Хотя, защита от нарушения описанных в статье 19 Федерального Закона "О персональных данных" характеристик безопасности персональных данных, обязана быть обеспечена чтобы не допустить нанесения ущерба субъекту. Следовательно, для как минимум одной ИСПДН, содержащей все обрабатываемые оператором ПДН, обязана быть реализована защита обеспечивающая безопасность всех указанных характеристик. Тогда, для прочих ИСПДН, содержащих некоторое подмножество всех ПДН оператора, нарушение любой из характеристик безопасности, за исключением конфиденциальности, не повлечет за собою ущерб субъекту ПДН в смысле Закона. По совместному приказу ФСТЭК, ФСБ и Мининформсвязи от 13 фев. 2008 г. N 55/86/20 по заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на специальные и типовые информационные системы. Типовые информационные системы персональных данных - информационные системы, в которых требуется обеспечение лишь конфиденциальности персональных данных. Особые информационные системы персональных данных - информационные системы, в которых независимо от потребности обеспечения конфиденциальности персональных данных требуется обеспечить как минимум одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, блокирования, перемены, и других несанкционированных действий). К специальным информационным системам обязаны быть отнесены:
Так, согласно с Законом обеспечив безопасность персональных данных для максимально полной ИСПДН, для всех прочих ИСПДН, содержащих некоторое подмножество ПДН, оператор обязан обеспечить только конфиденциальность обрабатываемых данных - то есть в случае, если эти ИСПДН будут автоматизированными и не попадать под 2 названых выше исключения, то их возможно классифицировать как типовые ИСПДН. Подобный прием при реализации системы делопроизводства, как создание неавтоматизированной ИСПДН, содержащей все обрабатываемые оператором ПДН, позволяет обеспечить защиту прав и свобод субъекта персональных данных в смысле Закона руководствуясь Постановлением Правительства N 687. В случае потребности создания автоматизированной обработки ПДН это позволяет сделать автоматизированную ИСПДН и классифицировать ее как типовую. Для такой ИСПДН создаваемая на основании ПП N 781 система защиты обязана будет обеспечить только конфиденциальность обрабатываемых ПДН и требования к подобной системе защиты будут заметно мягче, чем для аналогичной особой ИСПДН, так как мы не должны руководствоваться требованиями руководящих документов в части подсистемы целостности и доступности. Следовательно, мы можем применять средства обеспечения целостности и доступности на собственный вкус и кошелек. Нам не будет нужно создавать СЗИ индивидуально для любой ИСПДН на основании модели угроз. Т.о., затраты на разработку и введение значительно ниже - так как вероятно разработать типовую систему защиты конфиденциальности ПДН и растиражировать ее. И все это при сохранении удовлетворительного уровня защищенности прав субъектов персональных данных. Какие ИСПДН возможно отнести к типовым:
Оставьте свой комментарий!
Похожие статьи: |