Новые информационные технологии и программное обеспечение
  RSS    

20231229 200x300 0d249f2d3676e05c1a28a375dff09c2a



Классификация информационных систем персональных данных

Классификация информационных устройств персональных данных - классификация информационных устройств персональных данных (ИСПДН), представляющих собою совокупность персональных данных, содержащихся в базах данных, и информационных технологий и технических средств, позволяющих осуществлять обработку этих персональных данных с использованием средств автоматизации.

Источник: Приказ ФСТЭК РФ, ФСБ РФ, Мининформсвязи РФ № 55/86/20 от 18.02.2009 г. "Об утверждении порядка проведения классификации информационных устройств персональных данных" (Опубликовано 12 апреля 2008 г. Вступает в силу: 22 апреля 2008 г.).
Толкование

Классификация ИСПДН производится по Приказу ФСТЭК РФ, ФСБ РФ, Мининформсвязи РФ № 55/86/20 от 18.02.2009 г. "Об утверждении порядка проведения классификации информационных устройств персональных данных" согласно с таблицей:

Категория ПДН Объем ПДН: до 1 000 субъектов ПДН Объем ПДН: 1 000 - 100 000 субъектов ПДН Объем ПДН: более 100 000 субъектов ПДН
4 Класс ИСПДН К4 Класс ИСПДН К4 Класс ИСПДН К4
3 Класс ИСПДН К3 Класс ИСПДН К3 Класс ИСПДН К2
2 Класс ИСПДН К3 Класс ИСПДН К2 Класс ИСПДН К1
1 Класс ИСПДН К1 Класс ИСПДН К1 Класс ИСПДН К1


Примечание: От класса ИСПДН зависит, какие требования по обеспечению безопасности персональных данных обязаны выполняться в данной информационной системе. Чем ниже класс ИСПДН, тем выше требования по обеспечению ее защиты.

Классификация типовых ИСПДН
Классификация специальных ИСПДН
Приведение автоматизированной ИСПДН к типовой

Зашита прав и свобод человека и гражданина определяет смысл, содержание и использование законов, деятельность исполнительной и законодательной власти, местного самоуправления и обеспечиваются правосудием. Все нормативно-правовые акты РФ служат этой цели, в том числе и законодательство, регулирующее оборот персональных данных (дальше ПДН). Так, операторы информационных устройств персональных данных, в рамках собственного правового статуса, для реализации прав субъектов ПДН должны защитить переданные им ПДН от угроз, реализация которых может повлечь за собою ущерб субъектам, то есть хозяинам таких данных.

Сложность защиты персональных данных отнюдь не просто экономическая или техническая, как принято говорить. Сложность есть давно - нецелесообразное и неадекватное собирание сведений о своих клиентах или работниках и в последующем небрежное ее хранение и использование.

Интеграторы руководствуются логикой, основным принципом которой является защита информационных устройств от реализации угроз могущих повлечь за собою нанесение ущерба оператору - подменяют требование закона защищать права субъектов ПДН на мнимое требование защищать сами ПДН. Отталкиваясь от этой логики мы обязаны защитить не только лишь такую характеристику ПДН как конфиденциальность, но еще и целостность и доступность в рамках данной ИСПДН.

Защищая персональные данные - мы именно защищаем права и свободы людей. Это и есть наша цель и наша святая обязанность. К несчастью, многие эксперты в области информационной безопасности склонны рассматривать данную проблематику лишь с позиции исполнения бесконечных нормативов и руководящих документов, а смыслу этого не предается должного внимания. То есть настоящая цель подменяются целью во что бы то ни стало исполнить букву закона. И в этом кроется ловушка невыполнимости требований - они предъявляются к любой ИСПДН.

"Статья 2. Цель настоящего Федерального закона Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в частности защиты прав на неприкосновенность частной жизни, личную и семейную тайну."

И так что же такое "права и свободы человека и гражданина при обработке его персональных данных"? Права субъекта персональных данных устанавливаются Главой 3 Закона, они определены довольно конкретно и полно, и перечень прав закрытый - не позволяет нам расширить их до бесконечности. Из главных прав возможно выделить несколько групп:

  • Право на доступ к собственным персональным данным - ознакомление, уточнение, уничтожение и блокирование.
  • Право на информацию об условиях обработки ПДН оператором и лицах, допущенных им для ознакомления с ПДН.
  • Права возникающие при обработке персональных таких субъектов в целях продвижения товаров, работ, услуг на рынке, и в целях политической агитации.
  • Права возникающие при принятии юридически значимых решений на основании только автоматизированной обработки персональных таких субъектов.
  • Право на обжалование действий или бездействия оператора.

Также фундаментальное право человека и гражданина на неприкосновенность частной жизни, личную и семейную тайну охраняется Конституцией РФ - читай: право на конфиденциальность персональных данных. В целях реализации таких прав, законодатель определяет обязанности контрагентов - операторов персональных данных. Он выделяет подобные группы обязанностей:

  • Обязанности оператора при сборе персональных данных.
  • Обязанность принимать меры по обеспечению безопасности персональных данных при их обработке.
  • Обязанности оператора при обращении или при получении запроса субъекта персональных данных или его законного представителя, и уполномоченного органа по защите прав субъектов персональных данных.
  • Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, и по уточнению, блокированию и уничтожению персональных данных.
  • Обязанность уведомлять субъекта и уполномоченный орган об обработке персональных данных.

Статья 19 Федерального Закона "О персональных данных" устанавливает потребность принятия мер по обеспечению безопасности персональных данных при их обработке оператором персональных данных, а именно:

"Оператор при обработке персональных данных обязан принимать нужные организационные и инженерные меры, в частности применять шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, блокирования, копирования, перемены, уничтожения, распространения персональных данных, и от других неправомерных действий."

Так, законодатель отмечает потребность обеспечения безопасности персональных данных оператором в целях недопущения нанесения ущерба субъекту (читай: нарушения Конституционных и Законных прав, описанных выше) при нарушении заданных характеристик безопасности ПДН. Хотя, в законе прямо не указываются конкретные средства и методы обеспечения безопасности ПДН. То есть законодатель предлагает определить нужные меры оператору персональных данных своими силами, или руководствоваться другими нормативными актами.

Правительство России в своих Постановлениях N 687, N 781 и N 512 возлагает на оператора обязанность применять средства и методы по обеспечению безопасности персональных данных, которые конкретизируются соответствующими Положениями и Требованиями, утвержденными этими Постановлениями, и иными подчиненными им нормативными актами, такими как Руководящие Бумаги ФСБ и ФСТЭК.

Обеспечивая безопасность персональных данных оператор обязан руководствоваться вышеописанными постановлениями, однако он свободен своими силами определять методы и способы обработки ПДН. Так, он может создавать несколько информационных устройств персональных данных, содержащих данные одних и тех же субъектов - другими словами, может для удобства обработки копировать персональные данные из одной ИСПДН в другую, принадлежащую ему же. Для любой такой ИСПДН требуется сделать систему защиты согласно с Постановлениями Правительства. Хотя, защита от нарушения описанных в статье 19 Федерального Закона "О персональных данных" характеристик безопасности персональных данных, обязана быть обеспечена чтобы не допустить нанесения ущерба субъекту. Следовательно, для как минимум одной ИСПДН, содержащей все обрабатываемые оператором ПДН, обязана быть реализована защита обеспечивающая безопасность всех указанных характеристик. Тогда, для прочих ИСПДН, содержащих некоторое подмножество всех ПДН оператора, нарушение любой из характеристик безопасности, за исключением конфиденциальности, не повлечет за собою ущерб субъекту ПДН в смысле Закона.

По совместному приказу ФСТЭК, ФСБ и Мининформсвязи от 13 фев. 2008 г. N 55/86/20 по заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на специальные и типовые информационные системы.

Типовые информационные системы персональных данных - информационные системы, в которых требуется обеспечение лишь конфиденциальности персональных данных.

Особые информационные системы персональных данных - информационные системы, в которых независимо от потребности обеспечения конфиденциальности персональных данных требуется обеспечить как минимум одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, блокирования, перемены, и других несанкционированных действий).

К специальным информационным системам обязаны быть отнесены:

  • информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
  • информационные системы, в которых предусмотрено принятие на основании только автоматизированной обработки персональных таких решений, порождающих юридические последствия в отношении субъекта персональных данных или другим образом затрагивающих его права и легитимные интересы.

Так, согласно с Законом обеспечив безопасность персональных данных для максимально полной ИСПДН, для всех прочих ИСПДН, содержащих некоторое подмножество ПДН, оператор обязан обеспечить только конфиденциальность обрабатываемых данных - то есть в случае, если эти ИСПДН будут автоматизированными и не попадать под 2 названых выше исключения, то их возможно классифицировать как типовые ИСПДН.

Подобный прием при реализации системы делопроизводства, как создание неавтоматизированной ИСПДН, содержащей все обрабатываемые оператором ПДН, позволяет обеспечить защиту прав и свобод субъекта персональных данных в смысле Закона руководствуясь Постановлением Правительства N 687.

В случае потребности создания автоматизированной обработки ПДН это позволяет сделать автоматизированную ИСПДН и классифицировать ее как типовую. Для такой ИСПДН создаваемая на основании ПП N 781 система защиты обязана будет обеспечить только конфиденциальность обрабатываемых ПДН и требования к подобной системе защиты будут заметно мягче, чем для аналогичной особой ИСПДН, так как мы не должны руководствоваться требованиями руководящих документов в части подсистемы целостности и доступности. Следовательно, мы можем применять средства обеспечения целостности и доступности на собственный вкус и кошелек. Нам не будет нужно создавать СЗИ индивидуально для любой ИСПДН на основании модели угроз. Т.о., затраты на разработку и введение значительно ниже - так как вероятно разработать типовую систему защиты конфиденциальности ПДН и растиражировать ее.

И все это при сохранении удовлетворительного уровня защищенности прав субъектов персональных данных.

Какие ИСПДН возможно отнести к типовым:

  • системы CRM;
  • системы ДОУ (в частности 1с, Парус и т.п.);
  • биллинговые системы
  • иные...

Оставьте свой комментарий!

Добавить комментарий


 

Самое читаемое:

Быстрый поиск

Инструкции к программам

Инструкции к программам

Сайт "Новые Информационные Технологии" содержит лишь справочные данные из открытых источников. Мы НЕ Рекламируем и НЕ Рекомендуем покупать или использовать ВСЕ упомянутые на сайте программы, оборудование и технологии