Σπίτι
Κριτική
Η διαδικασία ταξινόμησης συστημάτων πληροφοριών προσωπικών δεδομένων. BukvaPrava - δωρεάν νομικές διαβουλεύσεις Τι είναι οι διαδικτυακές νομικές διαβουλεύσεις

Η διαδικασία ταξινόμησης συστημάτων πληροφοριών προσωπικών δεδομένων. BukvaPrava - δωρεάν νομικές διαβουλεύσεις Τι είναι οι διαδικτυακές νομικές διαβουλεύσεις

Διατάξεις για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακά συστήματα ah προσωπικά δεδομένα που εγκρίθηκαν με κυβερνητικό διάταγμα Ρωσική Ομοσπονδίαμε ημερομηνία 17 Νοεμβρίου 2007 N 781 «Σχετικά με την έγκριση των κανονισμών για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών προσωπικών δεδομένων» (Collected Legislation of the Russian Federation, 2007, N 48, part II, art. 6001), παραγγέλνουμε:

Έγκριση της συνημμένης Διαδικασίας ταξινόμησης πληροφοριακών συστημάτων προσωπικών δεδομένων.

Διευθυντής
Ομοσπονδιακή υπηρεσία
επί τεχνικής
και ελέγχους εξαγωγών
S.I.GRIGOROV

Διευθυντής
Ομοσπονδιακή Υπηρεσία Ασφαλείας
Ρωσική Ομοσπονδία
Ν.Π.ΠΑΤΡΟΥΣΕΦ

Υπουργός
πληροφορικήςκαι επικοινωνιών
Ρωσική Ομοσπονδία
L.D.REIMAN

ΕΓΚΕΚΡΙΜΕΝΟ
Κατόπιν παραγγελίας
FSTEC της Ρωσίας,
FSB της Ρωσίας,
Υπουργείο Πληροφοριών και Επικοινωνιών της Ρωσίας
με ημερομηνία 13 Φεβρουαρίου 2008 N 55/86/20

ΠΑΡΑΓΓΕΛΙΑ
ΤΑΞΙΝΟΜΗΣΗ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

1. Η παρούσα Διαδικασία καθορίζει την ταξινόμηση των συστημάτων πληροφοριών προσωπικών δεδομένων, τα οποία είναι ένα σύνολο προσωπικών δεδομένων που περιέχονται σε βάσεις δεδομένων, καθώς και τεχνολογιών πληροφοριών και τεχνικών μέσων που επιτρέπουν την επεξεργασία τέτοιων προσωπικών δεδομένων με χρήση εργαλείων αυτοματισμού (εφεξής «συστήματα πληροφοριών» )<*>.

2. Η ταξινόμηση των πληροφοριακών συστημάτων πραγματοποιείται από κρατικούς φορείς, δημοτικούς φορείς, νομικά και φυσικά πρόσωπα που οργανώνουν και (ή) διενεργούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και τον προσδιορισμό των σκοπών και του περιεχομένου της επεξεργασίας προσωπικών δεδομένων ( εφεξής ο χειριστής)<*>.

<*>Παράγραφος 1 του άρθρου 6 του Κανονισμού.

3. Η ταξινόμηση των πληροφοριακών συστημάτων πραγματοποιείται στο στάδιο της δημιουργίας πληροφοριακών συστημάτων ή κατά τη λειτουργία τους (για προηγουμένως τεθεί σε λειτουργία και (ή) εκσυγχρονισμένα συστήματα πληροφοριών) προκειμένου να καθοριστούν μέθοδοι και μέσα προστασίας των πληροφοριών που είναι απαραίτητα για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων.

4. Η διεξαγωγή της ταξινόμησης πληροφοριακών συστημάτων περιλαμβάνει τα ακόλουθα βήματα:

συλλογή και ανάλυση αρχικών δεδομένων για το σύστημα πληροφοριών·

ανάθεση της κατάλληλης τάξης στο πληροφοριακό σύστημα και την τεκμηρίωσή του.

5. Κατά την ταξινόμηση ενός πληροφοριακού συστήματος λαμβάνονται υπόψη τα ακόλουθα αρχικά δεδομένα:

όγκος δεδομένων προσωπικού χαρακτήρα που υποβλήθηκαν σε επεξεργασία (αριθμός υποκειμένων δεδομένων προσωπικού χαρακτήρα των οποίων τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία στο πληροφοριακό σύστημα) - X_npd.

χαρακτηριστικά ασφαλείας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία στο σύστημα πληροφοριών που καθορίζει ο φορέας εκμετάλλευσης·

δομή πληροφοριακού συστήματος·

Διαθεσιμότητα συνδέσεων του πληροφοριακού συστήματος με δίκτυα επικοινωνίας δημόσιας χρήσηςκαι (ή) διεθνή δίκτυα ανταλλαγής πληροφοριών·

τρόπος επεξεργασίας προσωπικών δεδομένων·

τρόπος οριοθέτησης των δικαιωμάτων πρόσβασης των χρηστών του συστήματος πληροφοριών·

θέση των τεχνικών μέσων του πληροφοριακού συστήματος.

6. Ορίζονται οι ακόλουθες κατηγορίες προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία στο πληροφοριακό σύστημα (X_PD):

7. Το X_npd μπορεί να λάβει τις ακόλουθες τιμές:

1 - το σύστημα πληροφοριών επεξεργάζεται ταυτόχρονα δεδομένα προσωπικού χαρακτήρα περισσότερων από 100.000 υποκειμένων προσωπικών δεδομένων ή προσωπικά δεδομένα υποκειμένων προσωπικών δεδομένων σε μια συνιστώσα οντότητα της Ρωσικής Ομοσπονδίας ή της Ρωσικής Ομοσπονδίας συνολικά·

2 - το σύστημα πληροφοριών επεξεργάζεται ταυτόχρονα δεδομένα προσωπικού χαρακτήρα από 1.000 έως 100.000 υποκείμενα προσωπικών δεδομένων ή προσωπικά δεδομένα υποκειμένων προσωπικών δεδομένων που εργάζονται στον οικονομικό τομέα της Ρωσικής Ομοσπονδίας, σε κρατική υπηρεσία που ζει σε δήμο.

3 - το πληροφοριακό σύστημα επεξεργάζεται ταυτόχρονα δεδομένα λιγότερων από 1000 υποκειμένων προσωπικών δεδομένων ή προσωπικά δεδομένα υποκειμένων προσωπικών δεδομένων εντός ενός συγκεκριμένου οργανισμού.

8. Σύμφωνα με τα χαρακτηριστικά ασφαλείας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία στο πληροφοριακό σύστημα που καθορίζει ο χειριστής, τα πληροφοριακά συστήματα χωρίζονται σε τυπικά και ειδικά πληροφοριακά συστήματα.

Τα τυπικά συστήματα πληροφοριών είναι συστήματα πληροφοριών που απαιτούν μόνο τη διασφάλιση της εμπιστευτικότητας των προσωπικών δεδομένων.

Τα ειδικά πληροφοριακά συστήματα θα πρέπει να περιλαμβάνουν:

πληροφοριακά συστήματα στα οποία υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα που σχετίζονται με την κατάσταση της υγείας των υποκειμένων των δεδομένων προσωπικού χαρακτήρα·

πληροφοριακά συστήματα που προβλέπουν την υιοθέτηση, βασιζόμενων αποκλειστικά στην αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων, αποφάσεων που δημιουργούν νομικές συνέπειες σε σχέση με το αντικείμενο των προσωπικών δεδομένων ή επηρεάζουν με άλλο τρόπο τα δικαιώματα και τα έννομα συμφέροντά του.

9. Σύμφωνα με τη δομή τους, τα πληροφοριακά συστήματα χωρίζονται σε:

σε αυτόνομα (μη συνδεδεμένα με άλλα πληροφοριακά συστήματα) συμπλέγματα τεχνικών και λογισμικόσυσκευές που προορίζονται για την επεξεργασία προσωπικών δεδομένων (αυτόματοι σταθμοί εργασίας).

σε συγκροτήματα αυτοματοποιημένων σταθμών εργασίας, ενωμένα σε ένα ενιαίο σύστημα πληροφοριών μέσω επικοινωνίας χωρίς τη χρήση τεχνολογίας απομακρυσμένη πρόσβαση(τοπικά συστήματα πληροφοριών).

σε συγκροτήματα αυτοματοποιημένων σταθμών εργασίας και (ή) τοπικών συστημάτων πληροφοριών, συνδυασμένα σε ένα ενιαίο σύστημα πληροφοριών μέσω επικοινωνίας με χρήση τεχνολογίας απομακρυσμένης πρόσβασης (κατανεμημένα συστήματα πληροφοριών).

10. Με βάση την παρουσία συνδέσεων με δημόσια δίκτυα επικοινωνίας και (ή) διεθνή δίκτυα ανταλλαγής πληροφοριών, τα συστήματα πληροφοριών χωρίζονται σε συστήματα με συνδέσεις και συστήματα χωρίς συνδέσεις.

11. Σύμφωνα με τον τρόπο επεξεργασίας των προσωπικών δεδομένων στο πληροφοριακό σύστημα, τα πληροφοριακά συστήματα χωρίζονται σε ενός χρήστη και σε πολλαπλών χρηστών.

12. Με βάση την οριοθέτηση των δικαιωμάτων πρόσβασης των χρηστών, τα πληροφοριακά συστήματα χωρίζονται σε συστήματα χωρίς οριοθέτηση δικαιωμάτων πρόσβασης και συστήματα με οριοθέτηση δικαιωμάτων πρόσβασης.

13. Τα πληροφοριακά συστήματα, ανάλογα με τη θέση των τεχνικών τους μέσων, χωρίζονται σε συστήματα, όλα τεχνικά μέσαπου βρίσκονται εντός της Ρωσικής Ομοσπονδίας και συστήματα των οποίων τα τεχνικά μέσα βρίσκονται εν μέρει ή εξ ολοκλήρου εκτός της Ρωσικής Ομοσπονδίας.

14. Με βάση τα αποτελέσματα της ανάλυσης των δεδομένων πηγής, σε ένα τυπικό σύστημα πληροφοριών εκχωρείται μία από τις ακόλουθες κατηγορίες:

κλάση 1 (K1) - συστήματα πληροφοριών για τα οποία η παραβίαση των καθορισμένων χαρακτηριστικών ασφαλείας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία σε αυτά μπορεί να οδηγήσει σε σημαντικές αρνητικές συνέπειες για τα υποκείμενα των προσωπικών δεδομένων.

κλάση 2 (K2) - συστήματα πληροφοριών για τα οποία η παραβίαση των καθορισμένων χαρακτηριστικών ασφαλείας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία σε αυτά μπορεί να οδηγήσει σε αρνητικές συνέπειες για τα υποκείμενα των προσωπικών δεδομένων.

κλάση 3 (K3) - συστήματα πληροφοριών για τα οποία η παραβίαση των καθορισμένων χαρακτηριστικών ασφαλείας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία σε αυτά μπορεί να οδηγήσει σε μικρές αρνητικές συνέπειες για τα υποκείμενα των προσωπικών δεδομένων.

κλάση 4 (K4) - συστήματα πληροφοριών για τα οποία η παραβίαση των καθορισμένων χαρακτηριστικών ασφαλείας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία δεν οδηγεί σε αρνητικές συνέπειες για τα υποκείμενα των προσωπικών δεδομένων, παράγραφος 2 του διατάγματος της κυβέρνησης της Ρωσικής Ομοσπονδίας της 17ης Νοεμβρίου , 2007 N 781 «Περί έγκρισης Κανονισμών για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών προσωπικού χαρακτήρα»<*>.

<*>Συλλογή Νομοθεσίας της Ρωσικής Ομοσπονδίας, 2007, N 48, μέρος II, άρθ. 6001.

17. Εάν προσδιορίζονται υποσυστήματα σε ένα πληροφοριακό σύστημα, καθένα από τα οποία είναι ένα πληροφοριακό σύστημα, στο πληροφοριακό σύστημα στο σύνολό του αποδίδεται μια κλάση που αντιστοιχεί στην υψηλότερη κατηγορία των υποσυστημάτων του.

18. Τα αποτελέσματα της ταξινόμησης των πληροφοριακών συστημάτων τεκμηριώνονται στην αντίστοιχη πράξη του χειριστή.

19. Η κλάση πληροφοριακών συστημάτων μπορεί να αναθεωρηθεί:

με απόφαση του χειριστή με βάση την ανάλυσή του και την αξιολόγηση των απειλών για την ασφάλεια των προσωπικών δεδομένων, λαμβάνοντας υπόψη τα χαρακτηριστικά και (ή) τις αλλαγές ενός συγκεκριμένου συστήματος πληροφοριών·

με βάση τα αποτελέσματα των μέτρων για την παρακολούθηση της συμμόρφωσης με τις απαιτήσεις για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους στο σύστημα πληροφοριών.

ΟΜΟΣΠΟΝΔΙΑΚΗ ΥΠΗΡΕΣΙΑ ΤΕΧΝΙΚΟΥ ΚΑΙ ΕΞΑΓΩΓΙΚΟΥ ΕΛΕΓΧΟΥ

ΟΜΟΣΠΟΝΔΙΑΚΗ ΥΠΗΡΕΣΙΑ ΑΣΦΑΛΕΙΑΣ ΤΗΣ ΡΩΣΙΚΗΣ ΟΜΟΣΠΟΝΔΙΑΣ

ΥΠΟΥΡΓΕΙΟ ΤΕΧΝΟΛΟΓΙΑΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ
ΡΩΣΙΚΗ ΟΜΟΣΠΟΝΔΙΑ

Περί έγκρισης Διαδικασίας ταξινόμησης πληροφοριακών συστημάτων προσωπικών δεδομένων


Χάθηκε δύναμη στις 11 Μαρτίου 2014 στη βάση
κοινή παραγγελία της FSTEC της Ρωσίας, της FSB της Ρωσίας και του Υπουργείου Τηλεπικοινωνιών και Μαζικών Επικοινωνιών της Ρωσίας
με ημερομηνία 31 Δεκεμβρίου 2013 N 151/786/461
____________________________________________________________________


Σύμφωνα με ρήτρα 6 των Κανονισμών για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών προσωπικών δεδομένων, εγκρίθηκε Διάταγμα της κυβέρνησης της Ρωσικής Ομοσπονδίας της 17ης Νοεμβρίου 2007 N 781 "σχετικά με την έγκριση των κανονισμών για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών προσωπικού χαρακτήρα"(Συλλογή Νομοθεσίας της Ρωσικής Ομοσπονδίας, 2007, Αρ. 48, μέρος II, άρθρο 6001),

παραγγέλνουμε:

Έγκριση της συνημμένης Διαδικασίας ταξινόμησης πληροφοριακών συστημάτων προσωπικών δεδομένων.

Διευθυντής της Ομοσπονδιακής Υπηρεσίας
επί τεχνικής και
ελέγχους εξαγωγών
S. Grigorov

Διευθυντής της Ομοσπονδιακής
υπηρεσίες ασφαλείας
Ρωσική Ομοσπονδία
Ν.Πατρούσεφ

Υπουργός Πληροφορικής
και επικοινωνιών της Ρωσικής Ομοσπονδίας
L. Reiman


Εγγεγραμμένος
στο Υπουργείο Δικαιοσύνης
Ρωσική Ομοσπονδία
3 Απριλίου 2008,
εγγραφής N 11462

Η διαδικασία ταξινόμησης συστημάτων πληροφοριών προσωπικών δεδομένων

ΕΓΚΕΚΡΙΜΕΝΟ
με εντολή του FSTEC της Ρωσίας,
FSB της Ρωσίας,
Υπουργείο Πληροφοριών και Επικοινωνιών της Ρωσίας
με ημερομηνία 13 Φεβρουαρίου 2008 N 55/86/20

1. Η παρούσα Διαδικασία καθορίζει την ταξινόμηση των συστημάτων πληροφοριών προσωπικών δεδομένων, τα οποία είναι ένα σύνολο προσωπικών δεδομένων που περιέχονται σε βάσεις δεδομένων, καθώς και τεχνολογιών πληροφοριών και τεχνικών μέσων που επιτρέπουν την επεξεργασία τέτοιων προσωπικών δεδομένων με χρήση εργαλείων αυτοματισμού (εφεξής «συστήματα πληροφοριών» ).
________________
Παράγραφος πρώτη ρήτρα 1 των Κανονισμών για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών προσωπικών δεδομένων, εγκρίθηκε Διάταγμα της κυβέρνησης της Ρωσικής Ομοσπονδίας της 17ης Νοεμβρίου 2007 N 781(Συλλογή Νομοθεσίας της Ρωσικής Ομοσπονδίας, 2007, N 48, μέρος II, άρθρο 6001) (στο εξής - Θέση).

2. Η ταξινόμηση των πληροφοριακών συστημάτων πραγματοποιείται από κρατικούς φορείς, δημοτικούς φορείς, νομικά και φυσικά πρόσωπα που οργανώνουν και (ή) διενεργούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και τον προσδιορισμό των σκοπών και του περιεχομένου της επεξεργασίας προσωπικών δεδομένων ( εφεξής ο χειριστής).
________________
Παράγραφος πρώτη άρθρο 6 του Κανονισμού.

3. Η ταξινόμηση των πληροφοριακών συστημάτων πραγματοποιείται στο στάδιο της δημιουργίας πληροφοριακών συστημάτων ή κατά τη λειτουργία τους (για προηγουμένως τεθεί σε λειτουργία και (ή) εκσυγχρονισμένα συστήματα πληροφοριών) προκειμένου να καθοριστούν μέθοδοι και μέσα προστασίας των πληροφοριών που είναι απαραίτητα για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων. *3)

4. Η διεξαγωγή της ταξινόμησης πληροφοριακών συστημάτων περιλαμβάνει τα ακόλουθα βήματα:

συλλογή και ανάλυση αρχικών δεδομένων για το σύστημα πληροφοριών·

ανάθεση της κατάλληλης τάξης στο πληροφοριακό σύστημα και την τεκμηρίωσή του.

5. Κατά την ταξινόμηση ενός πληροφοριακού συστήματος λαμβάνονται υπόψη τα ακόλουθα αρχικά δεδομένα:

κατηγορία προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία στο πληροφοριακό σύστημα - ;

όγκος δεδομένων προσωπικού χαρακτήρα που υποβλήθηκαν σε επεξεργασία (αριθμός υποκειμένων δεδομένων προσωπικού χαρακτήρα των οποίων τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία στο σύστημα πληροφοριών) - .

χαρακτηριστικά ασφαλείας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία στο σύστημα πληροφοριών που καθορίζει ο φορέας εκμετάλλευσης·

δομή πληροφοριακού συστήματος·

διαθεσιμότητα συνδέσεων του συστήματος πληροφοριών με δημόσια δίκτυα επικοινωνίας και (ή) διεθνή δίκτυα ανταλλαγής πληροφοριών·

τρόπος επεξεργασίας προσωπικών δεδομένων·

τρόπος οριοθέτησης των δικαιωμάτων πρόσβασης των χρηστών του συστήματος πληροφοριών·

θέση των τεχνικών μέσων του πληροφοριακού συστήματος.

6. Ορίζονται οι ακόλουθες κατηγορίες προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία στο πληροφοριακό σύστημα:

κατηγορία 1 - προσωπικά δεδομένα που σχετίζονται με τη φυλή, την εθνικότητα, τις πολιτικές απόψεις, τις θρησκευτικές και φιλοσοφικές πεποιθήσεις, την κατάσταση της υγείας, την οικεία ζωή.

κατηγορία 2 - προσωπικά δεδομένα που σας επιτρέπουν να προσδιορίσετε το υποκείμενο των προσωπικών δεδομένων και να λάβετε πρόσθετες πληροφορίες σχετικά με αυτό, με εξαίρεση τα προσωπικά δεδομένα που σχετίζονται με την κατηγορία 1.

κατηγορία 3 - δεδομένα προσωπικού χαρακτήρα που επιτρέπουν την ταυτοποίηση του υποκειμένου των προσωπικών δεδομένων.

κατηγορία 4 - ανώνυμα και (ή) δημόσια διαθέσιμα προσωπικά δεδομένα.

7. μπορεί να πάρει τις ακόλουθες τιμές:

1 - το σύστημα πληροφοριών επεξεργάζεται ταυτόχρονα δεδομένα προσωπικού χαρακτήρα περισσότερων από 100.000 υποκειμένων προσωπικών δεδομένων ή προσωπικά δεδομένα υποκειμένων προσωπικών δεδομένων σε μια συνιστώσα οντότητα της Ρωσικής Ομοσπονδίας ή της Ρωσικής Ομοσπονδίας συνολικά·

2 - το σύστημα πληροφοριών επεξεργάζεται ταυτόχρονα δεδομένα προσωπικού χαρακτήρα από 1.000 έως 100.000 υποκείμενα προσωπικών δεδομένων ή προσωπικά δεδομένα υποκειμένων προσωπικών δεδομένων που εργάζονται στον οικονομικό τομέα της Ρωσικής Ομοσπονδίας, σε κρατική υπηρεσία που ζει σε δήμο.

3 - το πληροφοριακό σύστημα επεξεργάζεται ταυτόχρονα δεδομένα λιγότερων από 1000 υποκειμένων προσωπικών δεδομένων ή προσωπικά δεδομένα υποκειμένων προσωπικών δεδομένων εντός ενός συγκεκριμένου οργανισμού.

8. Σύμφωνα με τα χαρακτηριστικά ασφαλείας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία στο πληροφοριακό σύστημα που καθορίζει ο χειριστής, τα πληροφοριακά συστήματα χωρίζονται σε τυπικά και ειδικά πληροφοριακά συστήματα.

Τα τυπικά συστήματα πληροφοριών είναι συστήματα πληροφοριών που απαιτούν μόνο τη διασφάλιση της εμπιστευτικότητας των προσωπικών δεδομένων.

Ειδικά συστήματα πληροφοριών είναι συστήματα πληροφοριών στα οποία, ανεξάρτητα από την ανάγκη διασφάλισης του απορρήτου των προσωπικών δεδομένων, είναι απαραίτητο να διασφαλίζεται τουλάχιστον ένα από τα χαρακτηριστικά ασφαλείας των προσωπικών δεδομένων εκτός από την εμπιστευτικότητα (ασφάλεια από καταστροφή, τροποποίηση, αποκλεισμό, επίσης όπως άλλες μη εξουσιοδοτημένες ενέργειες).

Τα ειδικά πληροφοριακά συστήματα θα πρέπει να περιλαμβάνουν:

πληροφοριακά συστήματα στα οποία υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα που σχετίζονται με την κατάσταση της υγείας των υποκειμένων των δεδομένων προσωπικού χαρακτήρα·

πληροφοριακά συστήματα που προβλέπουν την υιοθέτηση, βασιζόμενων αποκλειστικά στην αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων, αποφάσεων που δημιουργούν νομικές συνέπειες σε σχέση με το αντικείμενο των προσωπικών δεδομένων ή επηρεάζουν με άλλο τρόπο τα δικαιώματα και τα έννομα συμφέροντά του.

9. Σύμφωνα με τη δομή τους, τα πληροφοριακά συστήματα χωρίζονται σε:

για αυτόνομα (μη συνδεδεμένα με άλλα συστήματα πληροφοριών) συγκροτήματα υλικού και λογισμικού σχεδιασμένα για την επεξεργασία προσωπικών δεδομένων (αυτοματοποιημένοι σταθμοί εργασίας).

σε συγκροτήματα αυτοματοποιημένων σταθμών εργασίας ενσωματωμένα σε ένα ενιαίο σύστημα πληροφοριών μέσω επικοινωνίας χωρίς τη χρήση τεχνολογίας απομακρυσμένης πρόσβασης (τοπικά συστήματα πληροφοριών)·

σε συγκροτήματα αυτοματοποιημένων σταθμών εργασίας και (ή) τοπικών συστημάτων πληροφοριών, συνδυασμένα σε ένα ενιαίο σύστημα πληροφοριών μέσω επικοινωνίας με χρήση τεχνολογίας απομακρυσμένης πρόσβασης (κατανεμημένα συστήματα πληροφοριών).

10. Με βάση την παρουσία συνδέσεων με δημόσια δίκτυα επικοινωνίας και (ή) διεθνή δίκτυα ανταλλαγής πληροφοριών, τα συστήματα πληροφοριών χωρίζονται σε συστήματα με συνδέσεις και συστήματα χωρίς συνδέσεις.

11. Σύμφωνα με τον τρόπο επεξεργασίας των προσωπικών δεδομένων στο πληροφοριακό σύστημα, τα πληροφοριακά συστήματα χωρίζονται σε ενός χρήστη και σε πολλαπλών χρηστών.

12. Με βάση την οριοθέτηση των δικαιωμάτων πρόσβασης των χρηστών, τα πληροφοριακά συστήματα χωρίζονται σε συστήματα χωρίς οριοθέτηση δικαιωμάτων πρόσβασης και συστήματα με οριοθέτηση δικαιωμάτων πρόσβασης.

13. Τα συστήματα πληροφοριών, ανάλογα με την τοποθεσία των τεχνικών τους μέσων, χωρίζονται σε συστήματα, όλα τα τεχνικά μέσα των οποίων βρίσκονται εντός της Ρωσικής Ομοσπονδίας και συστήματα των οποίων τα τεχνικά μέσα βρίσκονται εν μέρει ή εξ ολοκλήρου εκτός της Ρωσικής Ομοσπονδίας.

14. Με βάση τα αποτελέσματα της ανάλυσης των δεδομένων πηγής, σε ένα τυπικό σύστημα πληροφοριών εκχωρείται μία από τις ακόλουθες κατηγορίες:

κλάση 1 (K1) - συστήματα πληροφοριών για τα οποία η παραβίαση των καθορισμένων χαρακτηριστικών ασφαλείας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία σε αυτά μπορεί να οδηγήσει σε σημαντικές αρνητικές συνέπειες για τα υποκείμενα των προσωπικών δεδομένων.

κλάση 2 (K2) - συστήματα πληροφοριών για τα οποία η παραβίαση των καθορισμένων χαρακτηριστικών ασφαλείας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία σε αυτά μπορεί να οδηγήσει σε αρνητικές συνέπειες για τα υποκείμενα των προσωπικών δεδομένων.

κλάση 3 (K3) - συστήματα πληροφοριών για τα οποία η παραβίαση των καθορισμένων χαρακτηριστικών ασφαλείας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία σε αυτά μπορεί να οδηγήσει σε μικρές αρνητικές συνέπειες για τα υποκείμενα των προσωπικών δεδομένων.

κλάση 4 (K4) - συστήματα πληροφοριών για τα οποία η παραβίαση των καθορισμένων χαρακτηριστικών ασφαλείας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία σε αυτά δεν οδηγεί σε αρνητικές συνέπειες για τα υποκείμενα των προσωπικών δεδομένων.

15. Η κλάση ενός τυπικού πληροφοριακού συστήματος καθορίζεται σύμφωνα με τον πίνακα.

16. Με βάση τα αποτελέσματα της ανάλυσης των δεδομένων πηγής, η κλάση ενός ειδικού συστήματος πληροφοριών προσδιορίζεται με βάση ένα μοντέλο απειλών για την ασφάλεια των προσωπικών δεδομένων σύμφωνα με μεθοδολογικά έγγραφα που έχουν αναπτυχθεί σύμφωνα με παράγραφος 2 του διατάγματος της κυβέρνησης της Ρωσικής Ομοσπονδίας της 17ης Νοεμβρίου 2007 N 781 «Σχετικά με την έγκριση των κανονισμών για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών προσωπικών δεδομένων»..
________________
Συλλογή Νομοθεσίας της Ρωσικής Ομοσπονδίας, 2007, N 48, μέρος II, άρθ.

17. Εάν προσδιορίζονται υποσυστήματα σε ένα σύστημα πληροφοριών, καθένα από τα οποία είναι ένα πληροφοριακό σύστημα, στο πληροφοριακό σύστημα στο σύνολό του αποδίδεται μια κλάση που αντιστοιχεί στην υψηλότερη κατηγορία των υποσυστημάτων του.

18. Τα αποτελέσματα της ταξινόμησης των πληροφοριακών συστημάτων τεκμηριώνονται στην αντίστοιχη πράξη του χειριστή.

19. Η κλάση πληροφοριακών συστημάτων μπορεί να αναθεωρηθεί:

με απόφαση του χειριστή με βάση την ανάλυσή του και την αξιολόγηση των απειλών για την ασφάλεια των προσωπικών δεδομένων, λαμβάνοντας υπόψη τα χαρακτηριστικά και (ή) τις αλλαγές ενός συγκεκριμένου συστήματος πληροφοριών·

με βάση τα αποτελέσματα των μέτρων για την παρακολούθηση της συμμόρφωσης με τις απαιτήσεις για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους στο σύστημα πληροφοριών.



Κείμενο ηλεκτρονικού εγγράφου
συντάχθηκε από την Kodeks JSC και επαληθεύτηκε κατά.

Διάταγμα της Ομοσπονδιακής Υπηρεσίας Τεχνικού και Ελέγχου Εξαγωγών, του FSB της Ρωσικής Ομοσπονδίας και του Υπουργείου Τεχνολογιών Πληροφορικής και Επικοινωνιών της Ρωσικής Ομοσπονδίας
με ημερομηνία 13 Φεβρουαρίου 2008 N 55/86/20
«Περί έγκρισης της Διαδικασίας ταξινόμησης πληροφοριακών συστημάτων προσωπικών δεδομένων»

Σύμφωνα με την παράγραφο 6 των Κανονισμών για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών προσωπικών δεδομένων, που εγκρίθηκε με Διάταγμα της Κυβέρνησης της Ρωσικής Ομοσπονδίας της 17ης Νοεμβρίου 2007 N 781 «Σχετικά με την έγκριση των κανονισμών για τη διασφάλιση της ασφάλεια των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών προσωπικών δεδομένων "(Συλλεγμένη Νομοθεσία της Ρωσικής Ομοσπονδίας, 2007, Αρ. 48, Μέρος II, Άρθ. 6001), παραγγέλνουμε:

Εγκρίνετε το συνημμένο Παραγγελίαδιεξαγωγή ταξινόμησης συστημάτων πληροφοριών προσωπικών δεδομένων.

Αριθμός Μητρώου 11462

Παραγγελία
διεξαγωγή ταξινόμησης συστημάτων πληροφοριών προσωπικών δεδομένων

1. Η παρούσα Διαδικασία καθορίζει την ταξινόμηση των συστημάτων πληροφοριών προσωπικών δεδομένων, τα οποία είναι ένα σύνολο προσωπικών δεδομένων που περιέχονται σε βάσεις δεδομένων, καθώς και τεχνολογιών πληροφοριών και τεχνικών μέσων που επιτρέπουν την επεξεργασία τέτοιων προσωπικών δεδομένων με χρήση εργαλείων αυτοματισμού (εφεξής «συστήματα πληροφοριών» ) * .

2. Η ταξινόμηση των πληροφοριακών συστημάτων πραγματοποιείται από κρατικούς φορείς, δημοτικούς φορείς, νομικά και φυσικά πρόσωπα που οργανώνουν και (ή) διενεργούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και τον προσδιορισμό των σκοπών και του περιεχομένου της επεξεργασίας προσωπικών δεδομένων ( εφεξής ο χειριστής) ** .

3. Η ταξινόμηση των πληροφοριακών συστημάτων πραγματοποιείται στο στάδιο της δημιουργίας πληροφοριακών συστημάτων ή κατά τη λειτουργία τους (για προηγουμένως τεθεί σε λειτουργία και (ή) εκσυγχρονισμένα συστήματα πληροφοριών) προκειμένου να καθοριστούν μέθοδοι και μέσα προστασίας των πληροφοριών που είναι απαραίτητα για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων.

4. Η διεξαγωγή της ταξινόμησης πληροφοριακών συστημάτων περιλαμβάνει τα ακόλουθα βήματα:

συλλογή και ανάλυση αρχικών δεδομένων για το πληροφοριακό σύστημα:

ανάθεση της κατάλληλης τάξης στο πληροφοριακό σύστημα και την τεκμηρίωσή του.

5. Κατά την ταξινόμηση ενός πληροφοριακού συστήματος λαμβάνονται υπόψη τα ακόλουθα αρχικά δεδομένα:

όγκος δεδομένων προσωπικού χαρακτήρα που υποβλήθηκαν σε επεξεργασία (αριθμός υποκειμένων δεδομένων προσωπικού χαρακτήρα των οποίων τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία στο σύστημα πληροφοριών) - .

χαρακτηριστικά ασφαλείας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία στο σύστημα πληροφοριών που καθορίζει ο φορέας εκμετάλλευσης·

δομή πληροφοριακού συστήματος·

διαθεσιμότητα συνδέσεων του συστήματος πληροφοριών με δημόσια δίκτυα επικοινωνίας και (ή) διεθνή δίκτυα ανταλλαγής πληροφοριών·

τρόπος επεξεργασίας προσωπικών δεδομένων·

τρόπος οριοθέτησης των δικαιωμάτων πρόσβασης των χρηστών του συστήματος πληροφοριών·

θέση των τεχνικών μέσων του πληροφοριακού συστήματος.

6. Ορίζονται οι ακόλουθες κατηγορίες προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία στο πληροφοριακό σύστημα:

7. μπορεί να πάρει τις ακόλουθες τιμές:

1 - το σύστημα πληροφοριών επεξεργάζεται ταυτόχρονα δεδομένα προσωπικού χαρακτήρα περισσότερων από 100.000 υποκειμένων προσωπικών δεδομένων ή προσωπικά δεδομένα υποκειμένων προσωπικών δεδομένων σε μια συνιστώσα οντότητα της Ρωσικής Ομοσπονδίας ή της Ρωσικής Ομοσπονδίας συνολικά·

2 - το σύστημα πληροφοριών επεξεργάζεται ταυτόχρονα δεδομένα προσωπικού χαρακτήρα από 1.000 έως 100.000 υποκείμενα προσωπικών δεδομένων ή προσωπικά δεδομένα υποκειμένων προσωπικών δεδομένων που εργάζονται στον οικονομικό τομέα της Ρωσικής Ομοσπονδίας, σε κρατική υπηρεσία που ζει σε δήμο.

3 - το πληροφοριακό σύστημα επεξεργάζεται ταυτόχρονα δεδομένα λιγότερων από 1000 υποκειμένων προσωπικών δεδομένων ή προσωπικά δεδομένα υποκειμένων προσωπικών δεδομένων εντός ενός συγκεκριμένου οργανισμού.

8. Σύμφωνα με τα χαρακτηριστικά ασφαλείας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία στο πληροφοριακό σύστημα που καθορίζει ο χειριστής, τα πληροφοριακά συστήματα χωρίζονται σε τυπικά και ειδικά πληροφοριακά συστήματα.

Τα τυπικά συστήματα πληροφοριών είναι συστήματα πληροφοριών που απαιτούν μόνο τη διασφάλιση της εμπιστευτικότητας των προσωπικών δεδομένων.

Ειδικά συστήματα πληροφοριών είναι συστήματα πληροφοριών στα οποία, ανεξάρτητα από την ανάγκη διασφάλισης του απορρήτου των προσωπικών δεδομένων, είναι απαραίτητο να διασφαλίζεται τουλάχιστον ένα από τα χαρακτηριστικά ασφαλείας των προσωπικών δεδομένων εκτός από την εμπιστευτικότητα (ασφάλεια από καταστροφή, τροποποίηση, αποκλεισμό, επίσης όπως άλλες μη εξουσιοδοτημένες ενέργειες).

Τα ειδικά πληροφοριακά συστήματα θα πρέπει να περιλαμβάνουν:

πληροφοριακά συστήματα στα οποία υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα που σχετίζονται με την κατάσταση της υγείας των υποκειμένων των δεδομένων προσωπικού χαρακτήρα·

πληροφοριακά συστήματα που προβλέπουν την υιοθέτηση, βασιζόμενων αποκλειστικά στην αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων, αποφάσεων που δημιουργούν νομικές συνέπειες σε σχέση με το αντικείμενο των προσωπικών δεδομένων ή επηρεάζουν με άλλο τρόπο τα δικαιώματα και τα έννομα συμφέροντά του.

9. Σύμφωνα με τη δομή τους, τα πληροφοριακά συστήματα χωρίζονται σε:

για αυτόνομα (μη συνδεδεμένα με άλλα συστήματα πληροφοριών) συγκροτήματα υλικού και λογισμικού σχεδιασμένα για την επεξεργασία προσωπικών δεδομένων (αυτοματοποιημένοι σταθμοί εργασίας).

σε συγκροτήματα αυτοματοποιημένων σταθμών εργασίας ενσωματωμένα σε ένα ενιαίο σύστημα πληροφοριών μέσω επικοινωνίας χωρίς τη χρήση τεχνολογίας απομακρυσμένης πρόσβασης (τοπικά συστήματα πληροφοριών)·

σε συγκροτήματα αυτοματοποιημένων σταθμών εργασίας και (ή) τοπικών συστημάτων πληροφοριών, συνδυασμένα σε ένα ενιαίο σύστημα πληροφοριών μέσω επικοινωνίας με χρήση τεχνολογίας απομακρυσμένης πρόσβασης (κατανεμημένα συστήματα πληροφοριών).

10. Με βάση την παρουσία συνδέσεων με δημόσια δίκτυα επικοινωνίας και (ή) διεθνή δίκτυα ανταλλαγής πληροφοριών, τα συστήματα πληροφοριών χωρίζονται σε συστήματα με συνδέσεις και συστήματα χωρίς συνδέσεις.

11. Σύμφωνα με τον τρόπο επεξεργασίας των προσωπικών δεδομένων στο πληροφοριακό σύστημα, τα πληροφοριακά συστήματα χωρίζονται σε ενός χρήστη και σε πολλαπλών χρηστών.

12. Με βάση την οριοθέτηση των δικαιωμάτων πρόσβασης των χρηστών, τα πληροφοριακά συστήματα χωρίζονται σε συστήματα χωρίς οριοθέτηση δικαιωμάτων πρόσβασης και συστήματα με οριοθέτηση δικαιωμάτων πρόσβασης.

13. Τα συστήματα πληροφοριών, ανάλογα με την τοποθεσία των τεχνικών τους μέσων, χωρίζονται σε συστήματα, όλα τα τεχνικά μέσα των οποίων βρίσκονται εντός της Ρωσικής Ομοσπονδίας και συστήματα των οποίων τα τεχνικά μέσα βρίσκονται εν μέρει ή εξ ολοκλήρου εκτός της Ρωσικής Ομοσπονδίας.

14. Με βάση τα αποτελέσματα της ανάλυσης των δεδομένων πηγής, σε ένα τυπικό σύστημα πληροφοριών εκχωρείται μία από τις ακόλουθες κατηγορίες:

κλάση 1 (K1) - συστήματα πληροφοριών για τα οποία η παραβίαση των καθορισμένων χαρακτηριστικών ασφαλείας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία σε αυτά μπορεί να οδηγήσει σε σημαντικές αρνητικές συνέπειες για τα υποκείμενα των προσωπικών δεδομένων.

κλάση 2 (K2) - συστήματα πληροφοριών για τα οποία η παραβίαση των καθορισμένων χαρακτηριστικών ασφαλείας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία σε αυτά μπορεί να οδηγήσει σε αρνητικές συνέπειες για τα υποκείμενα των προσωπικών δεδομένων.

κλάση 3 (K3) - συστήματα πληροφοριών για τα οποία η παραβίαση των καθορισμένων χαρακτηριστικών ασφαλείας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία σε αυτά μπορεί να οδηγήσει σε μικρές αρνητικές συνέπειες για τα υποκείμενα των προσωπικών δεδομένων.

κλάση 4 (K4) - συστήματα πληροφοριών για τα οποία η παραβίαση των καθορισμένων χαρακτηριστικών ασφαλείας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία σε αυτά δεν οδηγεί σε αρνητικές συνέπειες για τα υποκείμενα των προσωπικών δεδομένων.

15. Η κλάση ενός τυπικού πληροφοριακού συστήματος καθορίζεται σύμφωνα με τον πίνακα.

┌──────────────────────────┬──────────────┬──────────────┬──────────────┐

│ Х_нпд│ 3 │ 2 │ 1 │

│ \ │ │ │ │

│Х_пд │ │ │ │

├──────────────────────────┼──────────────┼──────────────┼──────────────┤

├──────────────────────────┼──────────────┼──────────────┼──────────────┤

├──────────────────────────┼──────────────┼──────────────┼──────────────┤

└──────────────────────────┴──────────────┴──────────────┴──────────────┘

16. Με βάση τα αποτελέσματα της ανάλυσης των δεδομένων πηγής, η κατηγορία ενός ειδικού συστήματος πληροφοριών καθορίζεται με βάση ένα μοντέλο απειλών για την ασφάλεια των προσωπικών δεδομένων σύμφωνα με μεθοδολογικά έγγραφα που έχουν αναπτυχθεί σύμφωνα με την παράγραφο 2 του διατάγματος της Κυβέρνησης της Ρωσικής Ομοσπονδίας της 17ης Νοεμβρίου 2007 N 781 «Σχετικά με την έγκριση των κανονισμών για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία σε συστήματα πληροφοριών προσωπικών δεδομένων» *** .

17. Εάν προσδιορίζονται υποσυστήματα σε ένα σύστημα πληροφοριών, καθένα από τα οποία είναι ένα πληροφοριακό σύστημα, στο πληροφοριακό σύστημα στο σύνολό του αποδίδεται μια κλάση που αντιστοιχεί στην υψηλότερη κατηγορία των υποσυστημάτων του.

18. Τα αποτελέσματα της ταξινόμησης των πληροφοριακών συστημάτων τεκμηριώνονται στην αντίστοιχη πράξη του χειριστή.

19. Η κλάση πληροφοριακών συστημάτων μπορεί να αναθεωρηθεί:

με απόφαση του χειριστή με βάση την ανάλυσή του και την αξιολόγηση των απειλών για την ασφάλεια των προσωπικών δεδομένων, λαμβάνοντας υπόψη τα χαρακτηριστικά και (ή) τις αλλαγές ενός συγκεκριμένου συστήματος πληροφοριών·

με βάση τα αποτελέσματα των μέτρων για την παρακολούθηση της συμμόρφωσης με τις απαιτήσεις για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους στο σύστημα πληροφοριών.

______________________________

* Παράγραφος 1 της παραγράφου 1 των Κανονισμών για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών προσωπικών δεδομένων, που εγκρίθηκε με Διάταγμα της Κυβέρνησης της Ρωσικής Ομοσπονδίας της 17ης Νοεμβρίου 2007 N 781 (Συλλεγμένη Νομοθεσία της Ρωσικής Ομοσπονδίας, 2007, N 48, part II, art 6001 ) (εφεξής οι Κανονισμοί).

20 86 ...

  • Ρυθμιστικό σχέδιο αγροτικού υλικού Voronsk για την αιτιολόγηση του έργου μέρος 1 περιγραφή της αιτιολόγησης

    Εγγραφο

    ΘΕΣΗ 13 2. ΦΥΣΙΚΕΣ ΣΥΝΘΗΚΕΣ 13 3. Κλίμα. 13 4. ... εκπαίδευση 86 20 . Γενική παιδεία 86 21..., χιλιάδες ρούβλια 2008. 2009 2009/ 2008., % 2010 ... χωριό Αλέξανδρο N5520 Ζώνη διανομής 0,8 δ. Konyukhovo N56 20 ΑΠΕ 0, ... στη Ρωσική Ομοσπονδία" από 6 Φεβρουάριος 2003 Αρ....

  • Νόμος

    Εκδόσεις 86 εφημερίδες γενικό... συνέδριο. Εγγραφο N55

    • Σας ενημερώνουμε ότι η κοινή απόφαση του Υπουργείου Παιδείας και Επιστημών της Δημοκρατίας του Ταταρστάν και του Κρατικού Ιδρύματος «Κέντρο Τεχνολογιών Πληροφορικής της Δημοκρατίας του Ταταρστάν» αριθ. σχέδιο δράσης για εξασφαλίζοντας ασφάλεια πληροφοριώνσυστήματα πληροφοριών προσωπικών δεδομένων σε εκπαιδευτικά ιδρύματα της Δημοκρατίας του Ταταρστάν.

    Με βάση το καθορισμένο σχέδιο, καθώς και με σκοπό τη μεταφορά πληροφοριακών συστημάτων προσωπικών δεδομένων εκπαιδευτικά ιδρύματατης Δημοκρατίας του Ταταρστάν, σύμφωνα με τις απαιτήσεις του Ομοσπονδιακού Νόμου της Ρωσικής Ομοσπονδίας της 27ης Ιουλίου 2006 Αρ. 152-FZ «Σχετικά με τα προσωπικά δεδομένα», σας ζητώ να οργανώσετε μια σειρά μέτρων για την προστασία των προσωπικών δεδομένων.

    1. Εξασφάλιση του διορισμού σε δευτερεύοντα εκπαιδευτικά ιδρύματα υπαλλήλων που είναι υπεύθυνοι για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων.

    2. Σε όλα τα υφιστάμενα ιδρύματα, καθορίζουν τα πληροφοριακά συστήματα στα οποία υφίστανται επεξεργασία τα προσωπικά δεδομένα, ταξινομούνται σύμφωνα με τη «Διαδικασία ταξινόμησης συστημάτων πληροφοριών προσωπικών δεδομένων» (Παράρτημα αρ. 2), εγκρίνουν την πράξη διαβάθμισης (Παράρτημα Αρ. 3).

    3. Πριν από τις 22 Ιουνίου 2009, παρέχετε στο Υπουργείο Παιδείας και Επιστημών της Δημοκρατίας του Ταταρστάν πληροφορίες σχετικά με τα συστήματα πληροφοριών προσωπικών δεδομένων όλων των υφιστάμενων εκπαιδευτικών ιδρυμάτων χρησιμοποιώντας το συνημμένο έντυπο (Παράρτημα Αρ. 4). Στείλτε πληροφορίες σε συνοπτική μορφή στο διεύθυνση ηλεκτρονικού ταχυδρομείου:

    Εφαρμογές.
    1. Κοινή διαταγή του Υπουργείου Παιδείας και Επιστημών της Δημοκρατίας του Ταταρστάν και του Κρατικού Ιδρύματος «Κέντρο Τεχνολογίας Πληροφορικής της Δημοκρατίας του Ταταρστάν» αριθ. 1156/09/29-o με ημερομηνία 18/05/2009 σε 1 αντίγραφο. για 3 l.

    2. Διάταγμα 55/86/20 της 13ης Φεβρουαρίου 2008 «Περί έγκρισης Διαδικασίας ταξινόμησης πληροφοριακών συστημάτων προσωπικών δεδομένων» σε 1 αντίγραφο. για 8 l.

    3. Παράδειγμα εντολής δημιουργίας προμήθειας και πράξης ταξινόμησης σε 1 αντίγραφο. για 3 l.

    4. Έντυπο «Πληροφορίες για πληροφοριακά συστήματα προσωπικών δεδομένων» σε 1 αντίγραφο. για 1 λ.

    ισπανικά Khusnutdinov R.N.

    τηλ 2929003

    Σχετικά με τα μέτρα ασφαλείας πληροφοριών

    πληροφοριακά συστήματα προσωπικών δεδομένων

    σε εκπαιδευτικά ιδρύματα της Δημοκρατίας του Ταταρστάν

    Προκειμένου να εφαρμοστούν οι απαιτήσεις των κανονιστικών εγγράφων της Ρωσικής Ομοσπονδίας και της Δημοκρατίας του Ταταρστάν στον τομέα της ασφάλειας πληροφοριών
    ΠΑΡΑΓΓΕΛΩ:
    1. Εγκρίνετε το συνημμένο σχέδιο δράσης για να διασφαλίσετε
    ασφάλεια πληροφοριών συστημάτων πληροφοριών προσωπικών δεδομένων
    σε εκπαιδευτικά ιδρύματα της Δημοκρατίας του Ταταρστάν.

    2. Διατηρώ τον έλεγχο της εκτέλεσης αυτής της εντολής.

    ΣΧΕΔΙΟ

    μέτρα για τη διασφάλιση της ασφάλειας των πληροφοριών των συστημάτων πληροφοριών προσωπικών δεδομένων

    σε εκπαιδευτικά ιδρύματα της Δημοκρατίας του Ταταρστάν


    n\n
    Όνομα εκδήλωσης
    Ημερομηνία λήξης
    Υπεύθυνος υλοποίησης
    Σημείωμα

    1.
    Απογραφή πληροφοριακών συστημάτων που επεξεργάζονται προσωπικά δεδομένα, ταξινομεί τη ΔΙ και εγκρίνει την πράξη ταξινόμησης

    Ιούνιος 2009



    Πραγματοποιήστε την απογραφή με την προβλεπόμενη μορφή

    2.
    Αποστολή ειδοποιήσεων από εκπαιδευτικά ιδρύματα (φορείς προσωπικών δεδομένων) στον εξουσιοδοτημένο φορέα για την προστασία των δικαιωμάτων των υποκειμένων των προσωπικών δεδομένων

    Ιούνιος 2009

    Υπουργείο Παιδείας και Επιστημών της Δημοκρατίας του Ταταρστάν, εκπαιδευτικές αρχές της Δημοκρατίας του Ταταρστάν, εκπαιδευτικά ιδρύματα της Δημοκρατίας του Ταταρστάν που δεν έστειλαν ειδοποιήσεις

    3.
    Προετοιμασία πακέτου τυποποιημένων εγγράφων:

    Δήλωση για την προστασία των προσωπικών δεδομένων

    Κανονισμοί για τη μονάδα προστασίας πληροφοριών·

    Κανονισμοί εργασίας των προσώπων που είναι υπεύθυνοι για την προστασία των προσωπικών δεδομένων

    Σχέδιο δράσης για την προστασία των προσωπικών δεδομένων Σχέδιο εσωτερικών ελέγχων της κατάστασης προστασίας προσωπικών δεδομένων

    Διαταγή ορισμού υπευθύνων για Π.Δ

    Ημερολόγιο καταγραφής δραστηριοτήτων ελέγχου

    Ημερολόγιο καταγραφής αιτημάτων υποκειμένων προσωπικών δεδομένων σχετικά με την εκπλήρωση των νόμιμων δικαιωμάτων τους

    Δείγμα ημερολογίου (βιβλίο) λογιστικής ατομικού εισοδήματος

    Κανόνες για τη χρήση εργαλείων ασφάλειας πληροφοριών

    Δείγμα συμφωνίας με υπάλληλο για την ευθύνη για την αποκάλυψη προσωπικών δεδομένων


    Ιούλιος 2009

    GU CIT RT, Υπουργείο Παιδείας και Επιστημών της Δημοκρατίας του Ταταρστάν

    4.
    Έρευνα και προσδιορισμός πολλών ομάδων προτεραιότητας εκπαιδευτικών ιδρυμάτων για επακόλουθη πιστοποίηση πληροφοριακών συστημάτων σε βάρος του κεντρικού προϋπολογισμού της Δημοκρατίας του Ταταρστάν

    Αύγουστος 2009



    5.
    Πιστοποίηση πληροφοριακών συστημάτων ΠΔ σύμφωνα με την ρήτρα 8 του παρόντος σχεδίου

    Νοέμβριος 2009

    GU CIT RT, Υπουργείο Παιδείας και Επιστημών της RT, εκπαιδευτικές αρχές της RT, εκπαιδευτικά ιδρύματα της Δημοκρατίας του Ταταρστάν

    6.
    Οργάνωση και διατήρηση ενός συστήματος για την προστασία εμπιστευτικών πληροφοριών από μη εξουσιοδοτημένη πρόσβαση σύμφωνα με την καθιερωμένη κλάση IP, χρησιμοποιώντας εργαλεία ασφαλείας πιστοποιημένα με τον προβλεπόμενο τρόπο

    Συνεχώς

    Υπουργείο Παιδείας και Επιστημών της Δημοκρατίας του Ταταρστάν, εκπαιδευτικές αρχές της Δημοκρατίας του Ταταρστάν, εκπαιδευτικά ιδρύματα της Δημοκρατίας του Ταταρστάν




    Εγγεγραμμένος σε

    Υπουργείο Δικαιοσύνης της Ρωσίας

    ΕΓΚΕΚΡΙΜΕΝΟ

    με εντολή του FSTEC της Ρωσίας,

    № 55/86/20

    Παραγγελία

    διεξαγωγή ταξινόμησης συστημάτων πληροφοριών προσωπικών δεδομένων


    1. Η παρούσα διαδικασία καθορίζει την ταξινόμηση των συστημάτων πληροφοριών προσωπικών δεδομένων, τα οποία είναι ένα σύνολο προσωπικών δεδομένων που περιέχονται σε βάσεις δεδομένων, καθώς και τεχνολογιών πληροφοριών και τεχνικών μέσων που επιτρέπουν την επεξεργασία τέτοιων προσωπικών δεδομένων με χρήση εργαλείων αυτοματισμού (εφεξής «συστήματα πληροφοριών») 1 .

    2. Η ταξινόμηση των πληροφοριακών συστημάτων πραγματοποιείται από κρατικούς φορείς, δημοτικούς φορείς, νομικά και φυσικά πρόσωπα που οργανώνουν και (ή) διενεργούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και καθορίζουν τους σκοπούς και το περιεχόμενο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα (εφεξής ως χειριστής) 2.

    3. Η ταξινόμηση των πληροφοριακών συστημάτων πραγματοποιείται στο στάδιο της δημιουργίας πληροφοριακών συστημάτων ή κατά τη λειτουργία τους (για προηγουμένως τεθεί σε λειτουργία και (ή) εκσυγχρονισμένα συστήματα πληροφοριών) προκειμένου να καθιερωθούν μέθοδοι και μέσα προστασίας των πληροφοριών που είναι απαραίτητα για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένα.

    4. Η ταξινόμηση των πληροφοριακών συστημάτων περιλαμβάνει τα ακόλουθα στάδια:
    συλλογή και ανάλυση αρχικών δεδομένων για το σύστημα πληροφοριών· ανάθεση της κατάλληλης τάξης στο πληροφοριακό σύστημα και την τεκμηρίωσή του.

    5. Κατά την ταξινόμηση ενός πληροφοριακού συστήματος, λάβετε υπόψη
    τα ακόλουθα αρχικά δεδομένα:
    "Παράγραφος 1 της παραγράφου 1 των Κανονισμών για τη διασφάλιση της ασφάλειας των δεδομένων προσωπικού χαρακτήρα κατά την επεξεργασία τους σε συστήματα πληροφοριών προσωπικών δεδομένων, που εγκρίθηκε με Διάταγμα της Κυβέρνησης της Ρωσικής Ομοσπονδίας της 17ης Νοεμβρίου 2007 αριθ. 781 (Συλλογική Νομοθεσία της Ρωσικής Ομοσπονδίας , 2007, Αρ. 48, Μέρος II, Άρθ. 6001 ) (εφεξής οι Κανονισμοί).


    κατηγορία προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία στο πληροφοριακό σύστημα - X P d.

    όγκος δεδομένων προσωπικού χαρακτήρα που υποβλήθηκαν σε επεξεργασία (αριθμός υποκειμένων δεδομένων προσωπικού χαρακτήρα των οποίων τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία στο πληροφοριακό σύστημα) - X N pd.

    χαρακτηριστικά ασφαλείας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία στο σύστημα πληροφοριών που καθορίζει ο φορέας εκμετάλλευσης·

    δομή πληροφοριακού συστήματος·

    διαθεσιμότητα συνδέσεων του συστήματος πληροφοριών με δημόσια δίκτυα επικοινωνίας και (ή) διεθνή δίκτυα ανταλλαγής πληροφοριών· τρόπος επεξεργασίας προσωπικών δεδομένων·

    τρόπος οριοθέτησης των δικαιωμάτων πρόσβασης των χρηστών του συστήματος πληροφοριών·

    θέση των τεχνικών μέσων του πληροφοριακού συστήματος.

    6. Ορίζονται οι ακόλουθες κατηγορίες επεξεργασμένων ειδών:
    σύστημα πληροφοριών προσωπικών δεδομένων (X P d):

    7. Το Hnpd μπορεί να λάβει τις ακόλουθες τιμές:


    1. - το σύστημα πληροφοριών επεξεργάζεται ταυτόχρονα δεδομένα προσωπικού χαρακτήρα περισσότερων από 100.000 υποκειμένων προσωπικών δεδομένων ή προσωπικά δεδομένα υποκειμένων προσωπικών δεδομένων σε μια συστατική οντότητα της Ρωσικής Ομοσπονδίας ή της Ρωσικής Ομοσπονδίας συνολικά·

    2. - το σύστημα πληροφοριών επεξεργάζεται ταυτόχρονα δεδομένα προσωπικού χαρακτήρα από 1.000 έως 100.000 υποκείμενα προσωπικών δεδομένων ή προσωπικά δεδομένα υποκειμένων προσωπικών δεδομένων που εργάζονται στον οικονομικό τομέα της Ρωσικής Ομοσπονδίας, σε κρατική υπηρεσία που ζει σε δήμο·

    3. - το πληροφοριακό σύστημα επεξεργάζεται ταυτόχρονα δεδομένα λιγότερων από 1000 υποκειμένων προσωπικών δεδομένων ή προσωπικά δεδομένα υποκειμένων προσωπικών δεδομένων εντός ενός συγκεκριμένου οργανισμού.
    8. Σύμφωνα με τα προσωπικά χαρακτηριστικά ασφαλείας που καθορίζονται από τον χειριστή
    δεδομένα που υποβάλλονται σε επεξεργασία σε ένα πληροφοριακό σύστημα, πληροφοριακά συστήματα
    χωρίζονται σε τυπικά και ειδικά πληροφοριακά συστήματα.

    Τα τυπικά συστήματα πληροφοριών είναι συστήματα πληροφοριών που απαιτούν μόνο τη διασφάλιση της εμπιστευτικότητας των προσωπικών δεδομένων.

    Ειδικά συστήματα πληροφοριών είναι συστήματα πληροφοριών στα οποία, ανεξάρτητα από την ανάγκη διασφάλισης του απορρήτου των προσωπικών δεδομένων, είναι απαραίτητο να διασφαλίζεται τουλάχιστον ένα από τα χαρακτηριστικά ασφαλείας των προσωπικών δεδομένων εκτός από την εμπιστευτικότητα (ασφάλεια από καταστροφή, τροποποίηση, αποκλεισμό, επίσης όπως άλλες μη εξουσιοδοτημένες ενέργειες).

    Τα ειδικά πληροφοριακά συστήματα θα πρέπει να περιλαμβάνουν:

    πληροφοριακά συστήματα στα οποία υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα που σχετίζονται με την κατάσταση της υγείας των υποκειμένων των δεδομένων προσωπικού χαρακτήρα·

    πληροφοριακά συστήματα που προβλέπουν την υιοθέτηση, βασιζόμενων αποκλειστικά στην αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων, αποφάσεων που δημιουργούν νομικές συνέπειες σε σχέση με το αντικείμενο των προσωπικών δεδομένων ή επηρεάζουν με άλλο τρόπο τα δικαιώματα και τα έννομα συμφέροντά του.

    9. Σύμφωνα με τη δομή τους, τα πληροφοριακά συστήματα χωρίζονται σε:

    για αυτόνομα (μη συνδεδεμένα με άλλα συστήματα πληροφοριών) συγκροτήματα υλικού και λογισμικού σχεδιασμένα για την επεξεργασία προσωπικών δεδομένων (αυτοματοποιημένοι σταθμοί εργασίας).

    σε συγκροτήματα αυτοματοποιημένων σταθμών εργασίας ενσωματωμένα σε ένα ενιαίο σύστημα πληροφοριών μέσω επικοινωνίας χωρίς τη χρήση τεχνολογίας απομακρυσμένης πρόσβασης (τοπικά συστήματα πληροφοριών)·

    σε συγκροτήματα αυτοματοποιημένων σταθμών εργασίας και (ή) τοπικών συστημάτων πληροφοριών, συνδυασμένα σε ένα ενιαίο σύστημα πληροφοριών μέσω επικοινωνίας με χρήση τεχνολογίας απομακρυσμένης πρόσβασης (κατανεμημένα συστήματα πληροφοριών).


    1. Με βάση την παρουσία συνδέσεων με δημόσια δίκτυα επικοινωνίας και (ή) διεθνή δίκτυα ανταλλαγής πληροφοριών, τα συστήματα πληροφοριών χωρίζονται σε συστήματα με συνδέσεις και συστήματα χωρίς συνδέσεις.

    2. Σύμφωνα με τον τρόπο επεξεργασίας των προσωπικών δεδομένων στο πληροφοριακό σύστημα, τα πληροφοριακά συστήματα χωρίζονται σε ενός χρήστη και σε πολλαπλών χρηστών.

    3. Με βάση την οριοθέτηση των δικαιωμάτων πρόσβασης των χρηστών, τα πληροφοριακά συστήματα χωρίζονται σε συστήματα χωρίς οριοθέτηση δικαιωμάτων πρόσβασης και συστήματα με οριοθέτηση δικαιωμάτων πρόσβασης.

    4. Τα συστήματα πληροφοριών, ανάλογα με τη θέση των τεχνικών τους μέσων, χωρίζονται σε συστήματα, όλα τα τεχνικά μέσα των οποίων βρίσκονται εντός της Ρωσικής Ομοσπονδίας και συστήματα των οποίων τα τεχνικά μέσα βρίσκονται εν μέρει ή εξ ολοκλήρου εκτός της Ρωσικής Ομοσπονδίας.
    14. Με βάση τα αποτελέσματα της ανάλυσης των αρχικών δεδομένων των τυπικών πληροφοριών
    στο σύστημα εκχωρείται μία από τις ακόλουθες κατηγορίες:

    κλάση 1 (K1) - συστήματα πληροφοριών για τα οποία η παραβίαση των καθορισμένων χαρακτηριστικών ασφαλείας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία σε αυτά μπορεί να οδηγήσει σε σημαντικές αρνητικές συνέπειες για τα υποκείμενα των προσωπικών δεδομένων.

    κλάση 2 (K2) - συστήματα πληροφοριών για τα οποία η παραβίαση των καθορισμένων χαρακτηριστικών ασφαλείας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία σε αυτά μπορεί να οδηγήσει σε αρνητικές συνέπειες για τα υποκείμενα των προσωπικών δεδομένων.

    κλάση 3 (KZ) - συστήματα πληροφοριών για τα οποία η παραβίαση των καθορισμένων χαρακτηριστικών ασφαλείας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία σε αυτά μπορεί να οδηγήσει σε μικρές αρνητικές συνέπειες για τα υποκείμενα των προσωπικών δεδομένων.

    κλάση 4 (K4) - συστήματα πληροφοριών για τα οποία η παραβίαση των καθορισμένων χαρακτηριστικών ασφαλείας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία σε αυτά δεν οδηγεί σε αρνητικές συνέπειες για τα υποκείμενα των προσωπικών δεδομένων.

    15. Η κλάση ενός τυπικού πληροφοριακού συστήματος καθορίζεται σύμφωνα με
    τραπέζι.


    1. Με βάση τα αποτελέσματα της ανάλυσης των δεδομένων πηγής, η κατηγορία ενός ειδικού συστήματος πληροφοριών καθορίζεται με βάση ένα μοντέλο απειλών για την ασφάλεια των προσωπικών δεδομένων σύμφωνα με μεθοδολογικά έγγραφα που αναπτύχθηκαν σύμφωνα με την παράγραφο 2 του κυβερνητικού διατάγματος της Ρωσικής Ομοσπονδίας της 17ης Νοεμβρίου 2007 αριθ. 781 «Σχετικά με την έγκριση των κανονισμών για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών προσωπικών δεδομένων» 1.

    2. Εάν προσδιορίζονται υποσυστήματα μέσα σε ένα πληροφοριακό σύστημα, καθένα από τα οποία είναι ένα πληροφοριακό σύστημα, στο πληροφοριακό σύστημα στο σύνολό του εκχωρείται μια κλάση που αντιστοιχεί στην υψηλότερη κατηγορία των υποσυστημάτων του.

    1 Συλλογή Νομοθεσίας της Ρωσικής Ομοσπονδίας 2007, Αρ. 48, μέρος II, άρθ. 6001.

    18. Επισημοποιούνται τα αποτελέσματα της ταξινόμησης των πληροφοριακών συστημάτων
    με αντίστοιχη πράξη του χειριστή.

    19. Η κλάση πληροφοριακών συστημάτων μπορεί να αναθεωρηθεί:

    με απόφαση του χειριστή με βάση την ανάλυσή του και την αξιολόγηση των απειλών για την ασφάλεια των προσωπικών δεδομένων, λαμβάνοντας υπόψη τα χαρακτηριστικά και (ή) τις αλλαγές ενός συγκεκριμένου συστήματος πληροφοριών·

    με βάση τα αποτελέσματα των μέτρων για την παρακολούθηση της συμμόρφωσης με τις απαιτήσεις για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους στο σύστημα πληροφοριών.

    Τυποποιημένη φόρμα

    κατάλογο των συστημάτων πληροφοριών προσωπικών δεδομένων (PDIS) στα οποία πρέπει να διασφαλίζεται η ασφάλεια των πληροφοριών




    Οχι.



    Διεύθυνση ακινήτου


    Δομή ISPD



    Λειτουργία επεξεργασίας PD





    Κατηγορία ISPD

    *

    Σημείωμα


    1
    2
    3
    4
    5
    6
    7
    8
    9
    10

    Παράδειγμα συμπλήρωσης της λίστας


    Αρχικά στοιχεία ταξινόμησης ISPD

    Οχι.

    Όνομα του ISPDn (το συστατικό του μέρος)

    Όνομα του αντικειμένου (πλήρες και συντομευμένο)

    Βιομηχανική (τμηματική) υπαγωγή Διεύθυνση εγκατάστασης


    Δομή ISPD

    Διαθεσιμότητα συνδέσεων σε δίκτυα SSOP και LEB (Διαδίκτυο)

    Λειτουργία επεξεργασίας PD

    Περιορισμοί πρόσβασης χρήστη

    Τοποθεσία του ISPDn (τα στοιχεία του) στη Ρωσία

    Κατηγορία ISPD

    Σημείωμα

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10

    1
    σύστημα συνδρομής αεροπορικών εισιτηρίων της εταιρείας «AEROTRANS»

    CJSC "AEROTRANS", κτίριο Κεντρικού Αεροσταθμού, γραφεία Αρ. 1501, 1502,

    Νο. 1720 (διακομιστής), Μόσχα, Leningradsky Prospekt, 35


    Κατανεμημένο σύστημα

    Συνδεδεμένο στο Διαδίκτυο, χρησιμοποιώντας SSOP

    πολλαπλών χρηστών

    με διαφοροποίηση δικαιωμάτων πρόσβασης

    Σημείο συνδρομητών στο έδαφος της Ουκρανίας (Κίεβο, αεροδρόμιο Boryspil)

    2
    Το σύστημα έχει

    AP στα αεροδρόμια Sheremetyevo, Domodedovo, Vnukovo

    Παράδειγμα εντολής δημιουργίας επιτροπής για ταξινόμηση ISPD

    Σχετικά με την ταξινόμηση των πληροφοριακών συστημάτων

    προσωπική πληροφορία
    Να ταξινομεί τα συστήματα πληροφοριών προσωπικών δεδομένων που βρίσκονται στο κτίριο ______________, σύμφωνα με τις συνθήκες λειτουργίας τους από την άποψη της ασφάλειας των πληροφοριών, για συμμόρφωση με τις απαιτήσεις ασφάλειας πληροφοριών
    ΠΑΡΑΓΓΕΛΩ:
    1. Διορίστε μια επιτροπή αποτελούμενη από:

    Πρόεδρος της Επιτροπής:

    Αναπληρωτής Προϊστάμενος Εκπαιδευτικού Ιδρύματος ***

    Μέλη της επιτροπής:

    Προϊστάμενος Τμήματος Λογιστικής και Αναφοράς ***

    Επικεφαλής του Τμήματος Πολιτικής Ανθρώπινου Δυναμικού ***

    Επικεφαλής ειδικός ***
    2. Πραγματοποιήστε την ταξινόμηση σύμφωνα με τη «Διαδικασία για την ταξινόμηση συστημάτων πληροφοριών προσωπικών δεδομένων», που εγκρίθηκε με εντολή της FSTEC της Ρωσίας, της FSB της Ρωσίας, του Υπουργείου Πληροφοριών και Επικοινωνιών της Ρωσίας της 13ης Φεβρουαρίου 2008.

    3. Με βάση τα αποτελέσματα των εργασιών υποβάλετε για έγκριση την «Πράξη ταξινόμησης πληροφοριακών συστημάτων προσωπικών δεδομένων που βρίσκονται στο κτίριο του εκπαιδευτικού ιδρύματος.

    4. Διατηρώ τον έλεγχο της εκτέλεσης αυτής της εντολής.

    Επικεφαλής του OU****
    Παράδειγμα πράξης ταξινόμησης ISPD

    ΠΡΑΞΗ αριθ. _/AKl με ημερομηνία ___ ___________200_

    ταξινόμηση των πληροφοριακών συστημάτων προσωπικών δεδομένων που βρίσκονται στο κτίριο του εκπαιδευτικού ιδρύματος

    Επιτροπή που αποτελείται από:

    Πρόεδρος της Επιτροπής:

    Αναπληρωτής Προϊστάμενος Εκπαιδευτικού Ιδρύματος

    Μέλη της επιτροπής:

    και την αναφορά

    Προϊστάμενος Τμήματος Πολιτικής Ανθρώπινου Δυναμικού

    Επικεφαλής ειδικός
    εγκατεστημένα:

    1. Η σύνθεση των πληροφοριακών συστημάτων προσωπικών δεδομένων παρουσιάζεται στον «Κατάλογο πληροφοριακών συστημάτων στα οποία πρέπει να διασφαλίζεται η ασφάλεια των πληροφοριών» (Παράρτημα 1).
    2. Η υψηλότερη κατηγορία προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία σε πληροφοριακά συστήματα (X PD) – "κατηγορία _".
    3.Ο μεγαλύτερος όγκος προσωπικών δεδομένων που υποβλήθηκαν σε επεξεργασία (X npd) αντιστοιχεί τιμή _.
    4. Σύμφωνα με τη «Διαδικασία για την ταξινόμηση συστημάτων πληροφοριών προσωπικών δεδομένων», που εγκρίθηκε με εντολή της FSTEC της Ρωσίας, της FSB της Ρωσίας, του Υπουργείου Πληροφοριών και Επικοινωνιών της Ρωσίας της 13ης Φεβρουαρίου 2008, το σύστημα πληροφοριών ως σύνολο ανατίθεται Τάξη _.
    Πρόεδρος της Επιτροπής:

    Αναπληρωτής Προϊστάμενος του Ιδρύματος

    Μέλη της επιτροπής:

    Προϊστάμενος Λογιστηρίου

    και την αναφορά

    Προϊστάμενος Τμήματος Πολιτικής Ανθρώπινου Δυναμικού

    Επικεφαλής ειδικός

    Κατάλογος συστημάτων πληροφοριών προσωπικών δεδομένων (PDIS) στα οποία πρέπει να διασφαλίζεται η ασφάλεια

    πληροφορίες


    Οχι.

    Όνομα του ISPDn (το συστατικό του μέρος)

    Όνομα του αντικειμένου (πλήρες και συντομευμένο)

    Βιομηχανική (τμηματική) υπαγωγή

    Διεύθυνση ακινήτου


    Αρχικά στοιχεία ταξινόμησης ISPD

    Κατηγορία ISPD

    Σημείωμα

    Δομή ISPD

    Διαθεσιμότητα συνδέσεων σε δίκτυα SSOP και LEB (Διαδίκτυο)

    Λειτουργία επεξεργασίας PD

    Περιορισμοί πρόσβασης χρήστη

    Τοποθεσία του ISPDn (τα στοιχεία του) στη Ρωσία

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10

    1

    * Η στήλη 10 υποδεικνύει πρόσθετες πληροφορίεςσχετικά με το σύστημα που ο κάτοχος του συστήματος θεωρεί απαραίτητο να συμπεριλάβει στη λίστα Οι στήλες 4-8 αναφέρουν τις πληροφορίες που χρησιμοποιούνται στην ταξινόμηση του ISPDn σύμφωνα με τη Διαδικασία για την ταξινόμηση των συστημάτων πληροφοριών προσωπικών δεδομένων (Παράρτημα της Διάταξης του FSTEC της Ρωσίας, η FSB της Ρωσίας, το Υπουργείο Πληροφοριών και Επικοινωνιών της Ρωσίας με ημερομηνία 13 Φεβρουαρίου 2008. Αρ. 55/86/20 «Σχετικά με την έγκριση της Διαδικασίας για την ταξινόμηση συστημάτων πληροφοριών προσωπικών δεδομένων»).

    Πληροφορίες σχετικά με το σύστημα πληροφοριών προσωπικών δεδομένων.


    p/p
    Ζητήματα που καλύπτονται
    Απάντηση

    1
    Όνομα του συστήματος πληροφοριών προσωπικών δεδομένων (PDIS), προγραμματιστής συστήματος.

    Παράδειγμα: "1C Enterprise", εταιρεία 1C

    2
    Κατηγορία ISPD

    Αναφέρετε την κλάση IPDN σύμφωνα με την πράξη ταξινόμησης

    3
    Στόχοι και κατάσταση του ISPD

    Αναφέρετε γιατί και σε ποια βάση δημιουργήθηκαν (σύμφωνα με το νόμο, για την εκπλήρωση σύμβασης με ασφαλιστική εταιρεία, με δική τους πρωτοβουλία κ.λπ.)

    Παράδειγμα: τήρηση προσωπικού και λογιστικών αρχείων για υπαλλήλους, που δημιουργούνται σύμφωνα με το νόμο


    4
    Όγκος και σύνθεση του ISPDn

    Αναφέρετε τον αριθμό των υποκειμένων των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία στο σύστημα και το περιεχόμενο των πληροφοριών (ονοματεπώνυμο, διεύθυνση, αριθμός φορολογικού μητρώου, εθνικότητα κ.λπ.)

    5
    Πηγές ISPDn

    Αναφέρετε τις πηγές απόκτησης προσωπικών δεδομένων (από πολίτη, από άλλα εκπαιδευτικά ιδρύματα, από τρίτους κ.λπ.)

    6
    Λειτουργία επεξεργασίας και πρόσβαση στο ISPDn

    Καθορίστε τον τρόπο επεξεργασίας (ένας χρήστης, πολλαπλός χρήστης), τη σειρά πρόσβασης (με ή χωρίς οριοθέτηση) και το όνομα του εγγράφου που ρυθμίζει την πρόσβαση, εάν υπάρχει.

    Παράδειγμα: πολλαπλών χρηστών, με έλεγχο πρόσβασης, χωρίς κανονισμούς.

    7
    χρήστες ISPDn.
    Παράδειγμα: εσωτερικοί χρήστες (τμήματα, δομικές μονάδες). Εξωτερικοί χρήστες (όνομα οργανισμών).

    8
    Μέθοδοι μετάδοσης πληροφοριών στους χρήστες.

    Παράδειγμα: Ενεργό χαρτί μέσα, σε μαγνητικά μέσα αποθήκευσης, μέσω ασφαλών καναλιών επικοινωνίας κ.λπ.

    9
    Ο χειριστής (άρθρο 3, ρήτρα 2 του ομοσπονδιακού νόμου-152) ή το πρόσωπο στο οποίο έχει ανατεθεί η επεξεργασία του PD (άρθρο 10 των "Κανονισμών...").

    Η νομική βάση για την επεξεργασία προσωπικών δεδομένων (ποιος πήρε την απόφαση και από ποιο έγγραφο προστατεύεται).


    Αναφέρετε το πλήρες όνομα (σύμφωνα με το καταστατικό) και την ταχυδρομική διεύθυνση του οργανισμού, έγγραφα βάσει των οποίων λειτουργεί το ίδρυμα.

    Παράδειγμα: Υπουργείο Παιδείας και Επιστημών της Δημοκρατίας του Ταταρστάν

    Διάταγμα του Προέδρου της Δημοκρατίας του Ταταρστάν «Σχετικά με τη μετατροπή του Υπουργείου Παιδείας της Δημοκρατίας του Ταταρστάν» της 09.09.2004. Αρ. UP-570

    Κανονισμοί για το Υπουργείο Παιδείας και Επιστημών της Δημοκρατίας του Ταταρστάν

    10
    Ημερομηνία έναρξης επεξεργασίας PD

    11
    Διάρκεια ζωής

    Καθορίστε περιόδους αποθήκευσης δεδομένων για κάθε ένα από τα ISPD, εάν η διάρκεια δεν ορίζεται από το νόμο

    12
    Όροι ή προϋποθέσεις για τον τερματισμό της επεξεργασίας

    Καθορισμός προθεσμιών για την επεξεργασία δεδομένων για κάθε ένα από τα ISPD, εάν η διάρκεια δεν ορίζεται από το νόμο

    13
    Πληροφορίες για την ένταξη του ISPD στο κρατικό μητρώο βάσεων δεδομένων.

    Σημείωμα: «Κανονισμοί για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων κατά την επεξεργασία τους σε συστήματα πληροφοριών προσωπικών δεδομένων» εγκρίθηκε με το διάταγμα της κυβέρνησης της Ρωσικής Ομοσπονδίας της 17ης Νοεμβρίου 2007 αριθ. 781. Κριτική

    Μπορεί επίσης να σας αρέσει