مقررات مربوط به تضمین امنیت داده های شخصی در طول پردازش آنها در سیستم های اطلاعاتی ah داده های شخصی تایید شده توسط فرمان دولت فدراسیون روسیهمورخ 17 نوامبر 2007 N 781 "در مورد تصویب مقررات مربوط به اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی" (قانون جمع آوری شده فدراسیون روسیه، 2007، N 48، بخش دوم، ماده 6001)، ما سفارش می دهیم:
رویه ضمیمه طبقه بندی سیستم های اطلاعات داده های شخصی را تصویب کنید.
کارگردان
خدمات فدرال
روی فنی
و کنترل صادرات
S.I.GRIGOROV
کارگردان
سرویس امنیت فدرال
فدراسیون روسیه
N.P.PATRUSHEV
وزیر
فناوری اطلاعاتو ارتباطات
فدراسیون روسیه
L.D.REIMAN
تایید شد
با سفارش
FSTEC روسیه،
FSB روسیه،
وزارت اطلاعات و ارتباطات روسیه
مورخ 13 فوریه 2008 N 55/86/20
سفارش دهید
طبقه بندی سیستم های اطلاعاتی داده های شخصی
1. این رویه طبقهبندی سیستمهای اطلاعات شخصی را که مجموعهای از دادههای شخصی موجود در پایگاههای اطلاعاتی است، و همچنین فناوریهای اطلاعاتی و ابزارهای فنی که امکان پردازش این دادههای شخصی را با استفاده از ابزارهای اتوماسیون (از این پس سیستمهای اطلاعاتی نامیده میشود) تعیین میکند. )<*>.
2. طبقه بندی سیستم های اطلاعاتی توسط ارگان های دولتی، ارگان های شهرداری، اشخاص حقوقی و اشخاصی انجام می شود که پردازش داده های شخصی را سازماندهی و (یا) انجام می دهند و همچنین اهداف و محتوای پردازش داده های شخصی را تعیین می کنند. که از این پس اپراتور نامیده می شود)<*>.
<*>بند یک بند 6 آیین نامه.
3. طبقه بندی سیستم های اطلاعاتی در مرحله ایجاد سیستم های اطلاعاتی یا در حین عملیات آنها (برای سیستم های اطلاعاتی که قبلاً راه اندازی شده اند و (یا) مدرن شده اند) به منظور ایجاد روش ها و وسایل حفاظت از اطلاعات لازم برای اطمینان از امنیت انجام می شود. از داده های شخصی
4. انجام طبقه بندی سیستم های اطلاعاتی شامل مراحل زیر است:
جمع آوری و تجزیه و تحلیل داده های اولیه در سیستم اطلاعاتی؛
تخصیص کلاس مناسب به سیستم اطلاعاتی و مستندات آن.
5. هنگام طبقه بندی یک سیستم اطلاعاتی، داده های اولیه زیر در نظر گرفته می شود:
حجم داده های شخصی پردازش شده (تعداد افراد داده های شخصی که داده های شخصی آنها در سیستم اطلاعات پردازش می شود) - X_npd؛
ویژگی های امنیتی داده های شخصی پردازش شده در سیستم اطلاعاتی مشخص شده توسط اپراتور؛
ساختار سیستم اطلاعاتی؛
در دسترس بودن اتصالات سیستم اطلاعاتی به شبکه های ارتباطی استفاده عمومیو (یا) شبکه های تبادل اطلاعات بین المللی؛
حالت پردازش داده های شخصی؛
نحوه تحدید حقوق دسترسی کاربران سیستم اطلاعاتی؛
مکان یابی وسایل فنی سیستم اطلاعاتی
6. دسته های زیر از داده های شخصی پردازش شده در سیستم اطلاعاتی (X_PD) تعریف شده است:
7. X_npd می تواند مقادیر زیر را بگیرد:
1 - سیستم اطلاعاتی به طور همزمان داده های شخصی بیش از 100000 موضوع داده های شخصی یا داده های شخصی افراد موضوع داده های شخصی را در یک نهاد تشکیل دهنده فدراسیون روسیه یا فدراسیون روسیه به عنوان یک کل پردازش می کند.
2 - سیستم اطلاعاتی به طور همزمان داده های شخصی 1000 تا 100000 موضوع داده های شخصی یا داده های شخصی افراد مشمول داده های شخصی را که در بخش اقتصادی فدراسیون روسیه کار می کنند در یک سازمان دولتی ساکن در شهرداری پردازش می کند.
3 - سیستم اطلاعاتی به طور همزمان داده های کمتر از 1000 موضوع داده های شخصی یا داده های شخصی افراد موضوع داده های شخصی را در یک سازمان خاص پردازش می کند.
8. با توجه به ویژگی های امنیتی داده های شخصی پردازش شده در سیستم اطلاعاتی مشخص شده توسط اپراتور، سیستم های اطلاعاتی به سیستم های اطلاعاتی استاندارد و ویژه تقسیم می شوند.
سیستم های اطلاعاتی معمولی سیستم های اطلاعاتی هستند که فقط به اطمینان از محرمانه بودن داده های شخصی نیاز دارند.
سیستم های اطلاعاتی ویژه باید شامل موارد زیر باشد:
سیستم های اطلاعاتی که در آن داده های شخصی مربوط به وضعیت سلامت افراد داده های شخصی پردازش می شود.
سیستمهای اطلاعاتی که صرفاً بر اساس پردازش خودکار دادههای شخصی، تصمیماتی را اتخاذ میکنند که منجر به عواقب قانونی در رابطه با موضوع دادههای شخصی میشود یا به نحوی دیگر بر حقوق و منافع مشروع وی تأثیر میگذارد.
9. سیستم های اطلاعاتی با توجه به ساختار خود به موارد زیر تقسیم می شوند:
به مجتمع های مستقل (مرتبط به سایر سیستم های اطلاعاتی) فنی و نرم افزاردستگاه های در نظر گرفته شده برای پردازش داده های شخصی (ایستگاه های کاری خودکار)؛
به مجموعهای از ایستگاههای کاری خودکار، که با استفاده از ارتباطات بدون استفاده از فناوری در یک سیستم اطلاعاتی واحد متحد شدهاند دسترسی از راه دور(سیستم های اطلاعات محلی)؛
به مجموعهای از ایستگاههای کاری خودکار و (یا) سیستمهای اطلاعات محلی، که از طریق ارتباط با استفاده از فناوری دسترسی از راه دور (سیستمهای اطلاعات توزیعشده) در یک سیستم اطلاعاتی واحد ترکیب شدهاند.
10. بر اساس وجود اتصالات به شبکه های ارتباطی عمومی و (یا) شبکه های تبادل اطلاعات بین المللی، سیستم های اطلاعاتی به سیستم های دارای اتصال و سیستم های بدون اتصال تقسیم می شوند.
11. با توجه به نحوه پردازش داده های شخصی در سیستم اطلاعاتی، سیستم های اطلاعاتی به تک کاربره و چند کاربره تقسیم می شوند.
12. بر اساس تحدید حدود حقوق دسترسی کاربر، سیستم های اطلاعاتی به سیستم های بدون تحدید حق دسترسی و سیستم هایی با محدودیت حقوق دسترسی تقسیم می شوند.
13. سیستم های اطلاعاتی بسته به موقعیت مکانی وسایل فنی خود به سیستم ها، همه تقسیم می شوند وسایل فنیکه در داخل فدراسیون روسیه واقع شده اند و سیستم هایی که ابزار فنی آنها به طور جزئی یا کامل در خارج از فدراسیون روسیه قرار دارد.
14. بر اساس نتایج تجزیه و تحلیل داده های منبع، یک سیستم اطلاعاتی معمولی یکی از کلاس های زیر را به خود اختصاص می دهد:
کلاس 1 (K1) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها می تواند منجر به عواقب منفی قابل توجهی برای افراد داده های شخصی شود.
کلاس 2 (K2) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها ممکن است منجر به عواقب منفی برای افراد داده های شخصی شود.
کلاس 3 (K3) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها ممکن است منجر به عواقب منفی جزئی برای افراد داده های شخصی شود.
کلاس 4 (K4) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها منجر به عواقب منفی برای افراد بند 2 فرمان دولت فدراسیون روسیه در 17 نوامبر نمی شود 2007 N 781 "در مورد تصویب مقررات مربوط به تضمین امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی"<*>.
<*>مجموعه قوانین فدراسیون روسیه، 2007، N 48، بخش دوم، هنر. 6001.
17. اگر در یک سیستم اطلاعاتی زیرسیستم هایی شناسایی شوند که هر یک از آنها یک سیستم اطلاعاتی هستند، به سیستم اطلاعاتی به عنوان یک کل کلاسی منطبق با بالاترین کلاس زیرسیستم های آن اختصاص داده می شود.
18. نتایج طبقه بندی سیستم های اطلاعاتی در عمل مربوطه اپراتور مستند شده است.
19. کلاس سیستم اطلاعاتی قابل تجدید نظر است:
با تصمیم اپراتور بر اساس تجزیه و تحلیل و ارزیابی وی از تهدیدات برای امنیت داده های شخصی، با در نظر گرفتن ویژگی ها و (یا) تغییرات یک سیستم اطلاعاتی خاص.
بر اساس نتایج اقدامات برای نظارت بر رعایت الزامات برای اطمینان از امنیت داده های شخصی در طول پردازش آنها در سیستم اطلاعات.
خدمات فدرال برای کنترل فنی و صادرات
خدمات امنیتی فدرال فدراسیون روسیه
وزارت فن آوری اطلاعات و ارتباطات
فدراسیون روسیه
در مورد تصویب رویه طبقه بندی سیستم های اطلاعات داده های شخصی
نیروی از دست رفته در 11 مارس 2014 بر اساس
دستور مشترک FSTEC روسیه، FSB روسیه و وزارت مخابرات و ارتباطات جمعی روسیه
مورخ 31 دسامبر 2013 N 151/786/461
____________________________________________________________________
با توجه به بند 6 آیین نامه در مورد اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی، تصویب شد فرمان دولت فدراسیون روسیه در 17 نوامبر 2007 N 781 "در مورد تصویب مقررات مربوط به اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی".(مجموعه قانونگذاری فدراسیون روسیه، 2007، شماره 48، بخش دوم، هنر 6001)،
ما سفارش می دهیم:
رویه ضمیمه طبقه بندی سیستم های اطلاعات داده های شخصی را تصویب کنید.
مدیر سرویس فدرال
روی فنی و
کنترل صادرات
S. Grigorov
مدیر فدرال
خدمات امنیتی
فدراسیون روسیه
ن. پاتروشف
وزیر فناوری اطلاعات
و ارتباطات فدراسیون روسیه
ال. ریمن
ثبت شده است
در وزارت دادگستری
فدراسیون روسیه
3 آوریل 2008،
شماره ثبت 11462
روش طبقه بندی سیستم های اطلاعات داده های شخصی
تایید شد
به دستور FSTEC روسیه،
FSB روسیه،
وزارت اطلاعات و ارتباطات روسیه
مورخ 13 فوریه 2008 N 55/86/20
1. این رویه طبقهبندی سیستمهای اطلاعات شخصی را که مجموعهای از دادههای شخصی موجود در پایگاههای اطلاعاتی است، و همچنین فناوریهای اطلاعاتی و ابزارهای فنی که امکان پردازش این دادههای شخصی را با استفاده از ابزارهای اتوماسیون (از این پس سیستمهای اطلاعاتی نامیده میشود) تعیین میکند. ).
________________
بند یک بند 1 آیین نامه در مورد اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی، تصویب شد فرمان دولت فدراسیون روسیه در 17 نوامبر 2007 N 781(مجموعه قوانین فدراسیون روسیه، 2007، N 48، بخش دوم، هنر 6001) (از این پس - موقعیت).
2. طبقه بندی سیستم های اطلاعاتی توسط ارگان های دولتی، ارگان های شهرداری، اشخاص حقوقی و اشخاصی انجام می شود که پردازش داده های شخصی را سازماندهی و (یا) انجام می دهند و همچنین اهداف و محتوای پردازش داده های شخصی را تعیین می کنند. که از این پس اپراتور نامیده می شود).
________________
بند یک بند 6 آیین نامه.
3. طبقه بندی سیستم های اطلاعاتی در مرحله ایجاد سیستم های اطلاعاتی یا در حین عملیات آنها (برای سیستم های اطلاعاتی که قبلاً راه اندازی شده اند و (یا) مدرن شده اند) به منظور ایجاد روش ها و وسایل حفاظت از اطلاعات لازم برای اطمینان از امنیت انجام می شود. از داده های شخصی *3)
4. انجام طبقه بندی سیستم های اطلاعاتی شامل مراحل زیر است:
جمع آوری و تجزیه و تحلیل داده های اولیه در سیستم اطلاعاتی؛
تخصیص کلاس مناسب به سیستم اطلاعاتی و مستندات آن.
5. هنگام طبقه بندی یک سیستم اطلاعاتی، داده های اولیه زیر در نظر گرفته می شود:
دسته بندی داده های شخصی پردازش شده در سیستم اطلاعاتی - ;
حجم داده های شخصی پردازش شده (تعداد اشخاصی که داده های شخصی آنها در سیستم اطلاعات پردازش می شود) - .
ویژگی های امنیتی داده های شخصی پردازش شده در سیستم اطلاعاتی مشخص شده توسط اپراتور؛
ساختار سیستم اطلاعاتی؛
در دسترس بودن اتصالات سیستم اطلاعاتی به شبکه های ارتباطی عمومی و (یا) شبکه های تبادل اطلاعات بین المللی؛
حالت پردازش داده های شخصی؛
نحوه تحدید حقوق دسترسی کاربران سیستم اطلاعاتی؛
مکان یابی وسایل فنی سیستم اطلاعاتی
6. دسته های زیر از داده های شخصی پردازش شده در سیستم اطلاعاتی تعریف می شوند:
دسته 1 - داده های شخصی مربوط به نژاد، ملیت، دیدگاه های سیاسی، اعتقادات مذهبی و فلسفی، وضعیت سلامتی، زندگی صمیمی.
دسته 2 - داده های شخصی که به شما امکان می دهد موضوع داده های شخصی را شناسایی کنید و اطلاعات اضافی درباره او به دست آورید، به استثنای داده های شخصی مربوط به دسته 1.
دسته 3 - داده های شخصی که امکان شناسایی موضوع داده های شخصی را فراهم می کند.
دسته 4 - داده های شخصی ناشناس و (یا) در دسترس عموم.
7. می تواند مقادیر زیر را بگیرد:
1 - سیستم اطلاعاتی به طور همزمان داده های شخصی بیش از 100000 موضوع داده های شخصی یا داده های شخصی افراد موضوع داده های شخصی را در یک نهاد تشکیل دهنده فدراسیون روسیه یا فدراسیون روسیه به عنوان یک کل پردازش می کند.
2 - سیستم اطلاعاتی به طور همزمان داده های شخصی 1000 تا 100000 موضوع داده های شخصی یا داده های شخصی افراد مشمول داده های شخصی را که در بخش اقتصادی فدراسیون روسیه کار می کنند در یک سازمان دولتی ساکن در شهرداری پردازش می کند.
3 - سیستم اطلاعاتی به طور همزمان داده های کمتر از 1000 موضوع داده های شخصی یا داده های شخصی افراد موضوع داده های شخصی را در یک سازمان خاص پردازش می کند.
8. با توجه به ویژگی های امنیتی داده های شخصی پردازش شده در سیستم اطلاعاتی مشخص شده توسط اپراتور، سیستم های اطلاعاتی به سیستم های اطلاعاتی استاندارد و ویژه تقسیم می شوند.
سیستم های اطلاعاتی معمولی سیستم های اطلاعاتی هستند که فقط به اطمینان از محرمانه بودن داده های شخصی نیاز دارند.
سیستمهای اطلاعاتی ویژه، سیستمهای اطلاعاتی هستند که در آنها، صرفنظر از نیاز به اطمینان از محرمانه بودن دادههای شخصی، لازم است حداقل یکی از ویژگیهای امنیتی دادههای شخصی به غیر از محرمانه بودن (ایمنی از تخریب، اصلاح، مسدود کردن و همچنین حفظ امنیت دادهها) تضمین شود. مانند سایر اقدامات غیرمجاز).
سیستم های اطلاعاتی ویژه باید شامل موارد زیر باشد:
سیستم های اطلاعاتی که در آن داده های شخصی مربوط به وضعیت سلامت افراد داده های شخصی پردازش می شود.
سیستمهای اطلاعاتی که صرفاً بر اساس پردازش خودکار دادههای شخصی، تصمیماتی را اتخاذ میکنند که منجر به عواقب قانونی در رابطه با موضوع دادههای شخصی میشود یا به نحوی دیگر بر حقوق و منافع مشروع وی تأثیر میگذارد.
9. سیستم های اطلاعاتی با توجه به ساختار خود به موارد زیر تقسیم می شوند:
برای مجتمع های سخت افزاری و نرم افزاری مستقل (که به سایر سیستم های اطلاعاتی متصل نیستند) که برای پردازش داده های شخصی (ایستگاه های کاری خودکار) طراحی شده اند.
به مجموعه ای از ایستگاه های کاری خودکار که از طریق ارتباط بدون استفاده از فناوری دسترسی از راه دور (سیستم های اطلاعات محلی) در یک سیستم اطلاعاتی واحد ادغام شده اند.
به مجموعهای از ایستگاههای کاری خودکار و (یا) سیستمهای اطلاعات محلی، که از طریق ارتباط با استفاده از فناوری دسترسی از راه دور (سیستمهای اطلاعات توزیعشده) در یک سیستم اطلاعاتی واحد ترکیب شدهاند.
10. بر اساس وجود اتصالات به شبکه های ارتباطی عمومی و (یا) شبکه های تبادل اطلاعات بین المللی، سیستم های اطلاعاتی به سیستم های دارای اتصال و سیستم های بدون اتصال تقسیم می شوند.
11. با توجه به نحوه پردازش داده های شخصی در سیستم اطلاعاتی، سیستم های اطلاعاتی به تک کاربره و چند کاربره تقسیم می شوند.
12. بر اساس تحدید حدود حقوق دسترسی کاربر، سیستم های اطلاعاتی به سیستم های بدون تحدید حق دسترسی و سیستم هایی با محدودیت حقوق دسترسی تقسیم می شوند.
13. سیستم های اطلاعاتی، بسته به محل وسایل فنی آنها، به سیستم هایی تقسیم می شوند که تمام وسایل فنی آنها در فدراسیون روسیه قرار دارد و سیستم هایی که ابزار فنی آنها به طور جزئی یا کامل در خارج از فدراسیون روسیه قرار دارد.
14. بر اساس نتایج تجزیه و تحلیل داده های منبع، یک سیستم اطلاعاتی معمولی یکی از کلاس های زیر را به خود اختصاص می دهد:
کلاس 1 (K1) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها می تواند منجر به عواقب منفی قابل توجهی برای افراد داده های شخصی شود.
کلاس 2 (K2) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها ممکن است منجر به عواقب منفی برای افراد داده های شخصی شود.
کلاس 3 (K3) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها ممکن است منجر به عواقب منفی جزئی برای افراد داده های شخصی شود.
کلاس 4 (K4) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها منجر به عواقب منفی برای افراد داده های شخصی نمی شود.
15. کلاس یک سیستم اطلاعاتی معمولی مطابق با جدول تعیین می شود.
16. بر اساس نتایج تجزیه و تحلیل داده های منبع، کلاس یک سیستم اطلاعاتی ویژه بر اساس مدلی از تهدیدات برای امنیت داده های شخصی مطابق با اسناد روش شناختی توسعه یافته مطابق با بند 2 فرمان دولت فدراسیون روسیه مورخ 17 نوامبر 2007 N 781 "در مورد تصویب مقررات مربوط به اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی"..
________________
مجموعه قوانین فدراسیون روسیه، 2007، N 48، بخش دوم، هنر 6001.
17. اگر در یک سیستم اطلاعاتی زیرسیستم هایی شناسایی شوند که هر یک از آنها یک سیستم اطلاعاتی هستند، به سیستم اطلاعاتی به عنوان یک کل کلاسی منطبق با بالاترین کلاس زیرسیستم های آن اختصاص داده می شود.
18. نتایج طبقه بندی سیستم های اطلاعاتی در عمل مربوطه اپراتور مستند شده است.
19. کلاس سیستم اطلاعاتی قابل تجدید نظر است:
با تصمیم اپراتور بر اساس تجزیه و تحلیل و ارزیابی وی از تهدیدات برای امنیت داده های شخصی، با در نظر گرفتن ویژگی ها و (یا) تغییرات یک سیستم اطلاعاتی خاص.
بر اساس نتایج اقدامات برای نظارت بر رعایت الزامات برای اطمینان از امنیت داده های شخصی در طول پردازش آنها در سیستم اطلاعات.
متن سند الکترونیکی
تهیه شده توسط Kodeks JSC و تایید شده است.
دستور سرویس فدرال برای کنترل فنی و صادرات، FSB فدراسیون روسیه و وزارت فناوری اطلاعات و ارتباطات فدراسیون روسیه
مورخ 13 فوریه 2008 N 55/86/20
"در مورد تصویب رویه طبقه بندی سیستم های اطلاعات داده های شخصی"
مطابق بند 6 مقررات مربوط به اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی، مصوب 17 نوامبر 2007 N 781 دولت فدراسیون روسیه "در مورد تصویب مقررات مربوط به اطمینان از امنیت داده های شخصی در حین پردازش آنها در سیستم های اطلاعات داده های شخصی "(قانون جمع آوری شده فدراسیون روسیه، 2007، شماره 48، قسمت دوم، ماده 6001)، سفارش می دهیم:
پیوست را تایید کنید سفارش دهیدانجام طبقه بندی سیستم های اطلاعات داده های شخصی
شماره ثبت 11462
سفارش دهید
انجام طبقه بندی سیستم های اطلاعات داده های شخصی
1. این رویه طبقهبندی سیستمهای اطلاعات شخصی را که مجموعهای از دادههای شخصی موجود در پایگاههای اطلاعاتی است، و همچنین فناوریهای اطلاعاتی و ابزارهای فنی که امکان پردازش این دادههای شخصی را با استفاده از ابزارهای اتوماسیون (از این پس سیستمهای اطلاعاتی نامیده میشود) تعیین میکند. ) * .
2. طبقه بندی سیستم های اطلاعاتی توسط ارگان های دولتی، ارگان های شهرداری، اشخاص حقوقی و اشخاصی انجام می شود که پردازش داده های شخصی را سازماندهی و (یا) انجام می دهند و همچنین اهداف و محتوای پردازش داده های شخصی را تعیین می کنند. که از این پس اپراتور نامیده می شود) ** .
3. طبقه بندی سیستم های اطلاعاتی در مرحله ایجاد سیستم های اطلاعاتی یا در حین عملیات آنها (برای سیستم های اطلاعاتی که قبلاً راه اندازی شده اند و (یا) مدرن شده اند) به منظور ایجاد روش ها و وسایل حفاظت از اطلاعات لازم برای اطمینان از امنیت انجام می شود. از داده های شخصی
4. انجام طبقه بندی سیستم های اطلاعاتی شامل مراحل زیر است:
جمع آوری و تجزیه و تحلیل داده های اولیه در سیستم اطلاعاتی:
تخصیص کلاس مناسب به سیستم اطلاعاتی و مستندات آن.
5. هنگام طبقه بندی یک سیستم اطلاعاتی، داده های اولیه زیر در نظر گرفته می شود:
حجم داده های شخصی پردازش شده (تعداد اشخاصی که داده های شخصی آنها در سیستم اطلاعات پردازش می شود) - .
ویژگی های امنیتی داده های شخصی پردازش شده در سیستم اطلاعاتی مشخص شده توسط اپراتور؛
ساختار سیستم اطلاعاتی؛
در دسترس بودن اتصالات سیستم اطلاعاتی به شبکه های ارتباطی عمومی و (یا) شبکه های تبادل اطلاعات بین المللی؛
حالت پردازش داده های شخصی؛
نحوه تحدید حقوق دسترسی کاربران سیستم اطلاعاتی؛
مکان یابی وسایل فنی سیستم اطلاعاتی
6. دسته بندی های زیر از داده های شخصی پردازش شده در سیستم اطلاعاتی تعریف می شود:
7. می تواند مقادیر زیر را بگیرد:
1 - سیستم اطلاعاتی به طور همزمان داده های شخصی بیش از 100000 موضوع داده های شخصی یا داده های شخصی افراد موضوع داده های شخصی را در یک نهاد تشکیل دهنده فدراسیون روسیه یا فدراسیون روسیه به عنوان یک کل پردازش می کند.
2 - سیستم اطلاعاتی به طور همزمان داده های شخصی 1000 تا 100000 موضوع داده های شخصی یا داده های شخصی افراد مشمول داده های شخصی را که در بخش اقتصادی فدراسیون روسیه کار می کنند در یک سازمان دولتی ساکن در شهرداری پردازش می کند.
3 - سیستم اطلاعاتی به طور همزمان داده های کمتر از 1000 موضوع داده های شخصی یا داده های شخصی افراد موضوع داده های شخصی را در یک سازمان خاص پردازش می کند.
8. با توجه به ویژگی های امنیتی داده های شخصی پردازش شده در سیستم اطلاعاتی مشخص شده توسط اپراتور، سیستم های اطلاعاتی به سیستم های اطلاعاتی استاندارد و ویژه تقسیم می شوند.
سیستم های اطلاعاتی معمولی سیستم های اطلاعاتی هستند که فقط به اطمینان از محرمانه بودن داده های شخصی نیاز دارند.
سیستمهای اطلاعاتی ویژه، سیستمهای اطلاعاتی هستند که در آنها، صرفنظر از نیاز به اطمینان از محرمانه بودن دادههای شخصی، لازم است حداقل یکی از ویژگیهای امنیتی دادههای شخصی به غیر از محرمانه بودن (ایمنی از تخریب، اصلاح، مسدود کردن و همچنین حفظ امنیت دادهها) تضمین شود. مانند سایر اقدامات غیرمجاز).
سیستم های اطلاعاتی ویژه باید شامل موارد زیر باشد:
سیستم های اطلاعاتی که در آن داده های شخصی مربوط به وضعیت سلامت افراد داده های شخصی پردازش می شود.
سیستمهای اطلاعاتی که صرفاً بر اساس پردازش خودکار دادههای شخصی، تصمیماتی را اتخاذ میکنند که منجر به عواقب قانونی در رابطه با موضوع دادههای شخصی میشود یا به نحوی دیگر بر حقوق و منافع مشروع وی تأثیر میگذارد.
9. سیستم های اطلاعاتی با توجه به ساختار خود به موارد زیر تقسیم می شوند:
برای مجتمع های سخت افزاری و نرم افزاری مستقل (که به سایر سیستم های اطلاعاتی متصل نیستند) که برای پردازش داده های شخصی (ایستگاه های کاری خودکار) طراحی شده اند.
به مجموعه ای از ایستگاه های کاری خودکار که از طریق ارتباط بدون استفاده از فناوری دسترسی از راه دور (سیستم های اطلاعات محلی) در یک سیستم اطلاعاتی واحد ادغام شده اند.
به مجموعهای از ایستگاههای کاری خودکار و (یا) سیستمهای اطلاعات محلی، که از طریق ارتباط با استفاده از فناوری دسترسی از راه دور (سیستمهای اطلاعات توزیعشده) در یک سیستم اطلاعاتی واحد ترکیب شدهاند.
10. بر اساس وجود اتصالات به شبکه های ارتباطی عمومی و (یا) شبکه های تبادل اطلاعات بین المللی، سیستم های اطلاعاتی به سیستم های دارای اتصال و سیستم های بدون اتصال تقسیم می شوند.
11. با توجه به نحوه پردازش داده های شخصی در سیستم اطلاعاتی، سیستم های اطلاعاتی به تک کاربره و چند کاربره تقسیم می شوند.
12. بر اساس تحدید حدود حقوق دسترسی کاربر، سیستم های اطلاعاتی به سیستم های بدون تحدید حق دسترسی و سیستم هایی با محدودیت حقوق دسترسی تقسیم می شوند.
13. سیستم های اطلاعاتی، بسته به محل وسایل فنی آنها، به سیستم هایی تقسیم می شوند که تمام وسایل فنی آنها در فدراسیون روسیه قرار دارد و سیستم هایی که ابزار فنی آنها به طور جزئی یا کامل در خارج از فدراسیون روسیه قرار دارد.
14. بر اساس نتایج تجزیه و تحلیل داده های منبع، یک سیستم اطلاعاتی معمولی یکی از کلاس های زیر را به خود اختصاص می دهد:
کلاس 1 (K1) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها می تواند منجر به عواقب منفی قابل توجهی برای افراد داده های شخصی شود.
کلاس 2 (K2) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها ممکن است منجر به عواقب منفی برای افراد داده های شخصی شود.
کلاس 3 (K3) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها ممکن است منجر به عواقب منفی جزئی برای افراد داده های شخصی شود.
کلاس 4 (K4) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها منجر به عواقب منفی برای افراد داده های شخصی نمی شود.
15. کلاس یک سیستم اطلاعاتی معمولی مطابق با جدول تعیین می شود.
┌──────────────────────────┬──────────────┬──────────────┬──────────────┐
│ Х_нпд│ 3 │ 2 │ 1 │
│ \ │ │ │ │
│Х_пд │ │ │ │
├──────────────────────────┼──────────────┼──────────────┼──────────────┤
├──────────────────────────┼──────────────┼──────────────┼──────────────┤
├──────────────────────────┼──────────────┼──────────────┼──────────────┤
└──────────────────────────┴──────────────┴──────────────┴──────────────┘
16. بر اساس نتایج تجزیه و تحلیل داده های منبع، کلاس یک سیستم اطلاعاتی ویژه بر اساس مدلی از تهدیدات برای امنیت داده های شخصی مطابق با اسناد روش شناختی توسعه یافته مطابق بند 2 فرمان تعیین می شود. دولت فدراسیون روسیه 17 نوامبر 2007 N 781 "در مورد تصویب مقررات مربوط به تضمین امنیت داده های شخصی هنگام پردازش در سیستم های اطلاعات داده های شخصی" *** .
17. اگر در یک سیستم اطلاعاتی زیرسیستم هایی شناسایی شوند که هر یک از آنها یک سیستم اطلاعاتی هستند، به سیستم اطلاعاتی به عنوان یک کل کلاسی منطبق با بالاترین کلاس زیرسیستم های آن اختصاص داده می شود.
18. نتایج طبقه بندی سیستم های اطلاعاتی در عمل مربوطه اپراتور مستند شده است.
19. کلاس سیستم اطلاعاتی قابل تجدید نظر است:
با تصمیم اپراتور بر اساس تجزیه و تحلیل و ارزیابی وی از تهدیدات برای امنیت داده های شخصی، با در نظر گرفتن ویژگی ها و (یا) تغییرات یک سیستم اطلاعاتی خاص.
بر اساس نتایج اقدامات برای نظارت بر رعایت الزامات برای اطمینان از امنیت داده های شخصی در طول پردازش آنها در سیستم اطلاعات.
______________________________
* بند یک از بند 1 مقررات مربوط به اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی، مصوب 17 نوامبر 2007 N 781 دولت فدراسیون روسیه (قانون جمع آوری شده فدراسیون روسیه، 2007, N 48, Part II, Art 6001 ) (از این پس به عنوان مقررات).
20 86 ...
طرح جامع مواد روستایی ورونسک برای توجیه پروژه قسمت 1 شرح توجیه
سندموقعیت 13 2. شرایط طبیعی 13 3. آب و هوا. 13 4. ... آموزش و پرورش 86 20 . آموزش عمومی 86 21...، هزار روبل 2008. 2009 2009/ 2008.، % 2010 ... روستای الکساندروو N5520 منطقه توزیع 0.8 d Konyukhovo N56 20 RES 0، ... در فدراسیون روسیه" از 6 فوریه 2003 شماره ....
انتشار 86 روزنامه های عمومی ... کنگره. سند N55
به اطلاع شما می رساند که دستور مشترک وزارت آموزش و پرورش جمهوری تاتارستان و موسسه دولتی "مرکز فناوری اطلاعات جمهوری تاتارستان" به شماره 1156/09/29-o مورخ 18 می 2009 برنامه اقدام برای تضمین می کند امنیت اطلاعاتسیستم های اطلاعات شخصی در موسسات آموزشی جمهوری تاتارستان.
بر اساس طرح مشخص شده و همچنین به منظور آوردن سیستم های اطلاعاتی داده های شخصی موسسات آموزشیجمهوری تاتارستان، مطابق با الزامات قانون فدرال فدراسیون روسیه مورخ 27 ژوئیه 2006 شماره 152-FZ "در مورد داده های شخصی"، از شما می خواهم مجموعه ای از اقدامات را برای محافظت از داده های شخصی سازماندهی کنید.
1. اطمینان از انتصاب در موسسات آموزشی تابعه از مقامات مسئول برای تضمین امنیت داده های شخصی.
2. در کلیه مؤسسات زیرمجموعه، سیستم های اطلاعاتی را که داده های شخصی در آنها پردازش می شود، تعیین کنید، آنها را طبق «رویه طبقه بندی سیستم های اطلاعات داده های شخصی» (پیوست شماره 2) طبقه بندی کنید، قانون طبقه بندی را تأیید کنید (پیوست شماره 2). 3).
3. قبل از 22 ژوئن 2009، اطلاعات مربوط به سیستم های اطلاعات شخصی کلیه موسسات آموزشی زیرمجموعه را با استفاده از فرم پیوست (پیوست شماره 4) به وزارت آموزش و پرورش و علوم جمهوری تاتارستان ارائه دهید. ارسال اطلاعات به صورت خلاصه به آدرس ایمیل:
برنامه های کاربردی
1. دستور مشترک وزارت آموزش و پرورش جمهوری تاتارستان و موسسه دولتی "مرکز فناوری اطلاعات جمهوری تاتارستان" به شماره 1156/09/29-o مورخ 18/05/2009 در 1 نسخه. به مدت 3 لیتر
2. دستور شماره 55/86/20 مورخ 22 بهمن 1387 "در مورد تصویب شیوه نامه طبقه بندی سیستم های اطلاعات شخصی" در 1 نسخه. برای 8 لیتر
3. نمونه ای از دستور ایجاد کمیسیون و قانون طبقه بندی در 1 نسخه. به مدت 3 لیتر
4. فرم "اطلاعات سیستم های اطلاعاتی داده های شخصی" در 1 نسخه. برای 1 لیتر
اسپانیایی خسنودینوف R.N.
تلفن 2929003
درباره اقدامات امنیت اطلاعات
سیستم های اطلاعات شخصی
در موسسات آموزشی جمهوری تاتارستان
به منظور اجرای الزامات اسناد نظارتی فدراسیون روسیه و جمهوری تاتارستان در زمینه امنیت اطلاعات
سفارش می دهم:
1.
برای اطمینان برنامه اقدام پیوست را تصویب کنید
امنیت اطلاعات سیستم های اطلاعات داده های شخصی
در موسسات آموزشی جمهوری تاتارستان.
2. کنترل اجرای این دستور را محفوظ می دانم.
برنامه ریزی کنید
اقداماتی برای اطمینان از امنیت اطلاعات سیستم های اطلاعات داده های شخصی
در موسسات آموزشی جمهوری تاتارستان
№ n\n | نام رویداد | سررسید | مسئول اجراست | توجه داشته باشید |
1. | موجودی سیستم های اطلاعاتی پردازش داده های شخصی، طبقه بندی IP و تصویب قانون طبقه بندی | ژوئن 2009 | | موجودی را به شکل مقرر انجام دهید |
2. | ارسال اعلانها توسط مؤسسات آموزشی (اپراتورهای دادههای شخصی) به نهاد مجاز برای حمایت از حقوق افراد موضوع دادههای شخصی | ژوئن 2009 | وزارت آموزش و پرورش جمهوری تاتارستان، مقامات آموزشی جمهوری تاتارستان، موسسات آموزشی جمهوری تاتارستان که اطلاعیه ارسال نکرده اند | |
3. | تهیه بسته ای از اسناد استاندارد: بیانیه حفاظت از داده های شخصی مقررات مربوط به واحد حفاظت اطلاعات؛ مقررات شغلی افراد مسئول حفاظت از داده های شخصی برنامه اقدام برای حفاظت از داده های شخصی طرح ممیزی داخلی وضعیت حفاظت از داده های شخصی دستور انتصاب افراد مسئول برای PD دفترچه ثبت فعالیت های کنترلی دفترچه ثبت درخواست های افراد دارای داده های شخصی در مورد احقاق حقوق قانونی آنها نمونه مجله (کتاب) حسابداری درآمد شخصی قوانین استفاده از ابزارهای امنیت اطلاعات نمونه توافق نامه با یک کارمند در مورد مسئولیت افشای داده های شخصی | جولای 2009 | GU CIT RT، وزارت آموزش و علوم جمهوری تاتارستان | |
4. | بررسی و شناسایی چندین گروه اولویت دار موسسات آموزشی برای صدور گواهینامه بعدی سیستم های اطلاعاتی با هزینه بودجه متمرکز جمهوری تاتارستان | آگوست 2009 | | |
5. | صدور گواهینامه سیستم های اطلاعاتی PD مطابق بند 8 این طرح | نوامبر 2009 | GU CIT RT، وزارت آموزش و پرورش و علوم RT، مقامات آموزشی RT، موسسات آموزشی جمهوری تاتارستان | |
6. | سازماندهی و نگهداری سیستمی برای محافظت از اطلاعات محرمانه از دسترسی غیرمجاز مطابق با کلاس IP تعیین شده، با استفاده از ابزارهای امنیتی تایید شده به روش مقرر | مدام | وزارت آموزش و پرورش جمهوری تاتارستان، مقامات آموزشی جمهوری تاتارستان، موسسات آموزشی جمهوری تاتارستان |
ثبت شده در
وزارت دادگستری روسیه
تایید شد
به دستور FSTEC روسیه،
№ 55/86/20
سفارش دهید
انجام طبقه بندی سیستم های اطلاعات داده های شخصی
این رویه طبقهبندی سیستمهای اطلاعات شخصی را که مجموعهای از دادههای شخصی موجود در پایگاههای اطلاعاتی است، و همچنین فنآوریهای اطلاعاتی و ابزارهای فنی است که امکان پردازش این دادههای شخصی را با استفاده از ابزارهای اتوماسیون (از این پس به عنوان سیستمهای اطلاعاتی نامیده میشود) تعیین میکند. .
طبقه بندی سیستم های اطلاعاتی توسط ارگان های دولتی، ارگان های شهرداری، اشخاص حقوقی و اشخاص حقیقی انجام می شود که پردازش داده های شخصی را سازماندهی و (یا) انجام می دهند و همچنین اهداف و محتوای پردازش داده های شخصی را تعیین می کنند (از این پس به عنوان اپراتور) 2.
طبقه بندی سیستم های اطلاعاتی در مرحله ایجاد سیستم های اطلاعاتی یا در حین عملیات آنها (برای سیستم های اطلاعاتی که قبلاً راه اندازی شده و (یا) مدرن شده اند) به منظور ایجاد روش ها و وسایل حفاظت از اطلاعات لازم برای اطمینان از امنیت داده های شخصی انجام می شود.
انجام طبقه بندی سیستم های اطلاعاتی شامل مراحل زیر است:
5. هنگام طبقه بندی یک سیستم اطلاعاتی را در نظر بگیرید
داده های اولیه زیر:
"بند یک از بند 1 مقررات مربوط به اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات شخصی، مصوب 17 نوامبر 2007 شماره 781 دولت فدراسیون روسیه (قانون جمع آوری شده فدراسیون روسیه) , 2007, شماره 48, قسمت دوم, ماده 6001 ) (از این پس به عنوان مقررات بند یک بند 6).
دسته داده های شخصی پردازش شده در سیستم اطلاعات - X P d.
حجم داده های شخصی پردازش شده (تعداد افراد داده های شخصی که داده های شخصی آنها در سیستم اطلاعات پردازش می شود) - X N pd.
ویژگی های امنیتی داده های شخصی پردازش شده در سیستم اطلاعاتی مشخص شده توسط اپراتور؛
ساختار سیستم اطلاعاتی؛
در دسترس بودن اتصالات سیستم اطلاعاتی به شبکه های ارتباطی عمومی و (یا) شبکه های تبادل اطلاعات بین المللی؛ حالت پردازش داده های شخصی؛
نحوه تحدید حقوق دسترسی کاربران سیستم اطلاعاتی؛
مکان یابی وسایل فنی سیستم اطلاعاتی
6. دسته های زیر از اقلام پردازش شده تعیین می شود:
سیستم اطلاعات شخصی (X P d):
7. Hnpd می تواند مقادیر زیر را بگیرد:
- سیستم اطلاعاتی به طور همزمان داده های شخصی بیش از 100000 موضوع داده های شخصی یا داده های شخصی افراد مشمول داده های شخصی را در یک نهاد تشکیل دهنده فدراسیون روسیه یا فدراسیون روسیه به عنوان یک کل پردازش می کند.
- سیستم اطلاعاتی به طور همزمان داده های شخصی 1000 تا 100000 موضوع داده های شخصی یا داده های شخصی افراد مشمول داده های شخصی را که در بخش اقتصادی فدراسیون روسیه کار می کنند در یک سازمان دولتی ساکن در شهرداری پردازش می کند.
- سیستم اطلاعاتی به طور همزمان داده های کمتر از 1000 موضوع داده های شخصی یا داده های شخصی افراد موضوع داده های شخصی را در یک سازمان خاص پردازش می کند.
داده های پردازش شده در یک سیستم اطلاعاتی، سیستم های اطلاعاتی
به سیستم های اطلاعاتی استاندارد و ویژه تقسیم می شوند.
سیستم های اطلاعاتی معمولی سیستم های اطلاعاتی هستند که فقط به اطمینان از محرمانه بودن داده های شخصی نیاز دارند.
سیستمهای اطلاعاتی ویژه، سیستمهای اطلاعاتی هستند که در آنها، صرفنظر از نیاز به اطمینان از محرمانه بودن دادههای شخصی، لازم است حداقل یکی از ویژگیهای امنیتی دادههای شخصی به غیر از محرمانه بودن (ایمنی از تخریب، اصلاح، مسدود کردن و همچنین حفظ امنیت دادهها) تضمین شود. مانند سایر اقدامات غیرمجاز).
سیستم های اطلاعاتی ویژه باید شامل موارد زیر باشد:
سیستم های اطلاعاتی که در آن داده های شخصی مربوط به وضعیت سلامت افراد داده های شخصی پردازش می شود.
سیستمهای اطلاعاتی که صرفاً بر اساس پردازش خودکار دادههای شخصی، تصمیماتی را اتخاذ میکنند که منجر به عواقب قانونی در رابطه با موضوع دادههای شخصی میشود یا به نحوی دیگر بر حقوق و منافع مشروع وی تأثیر میگذارد.
9. سیستم های اطلاعاتی با توجه به ساختار خود به موارد زیر تقسیم می شوند:
برای مجتمع های سخت افزاری و نرم افزاری مستقل (که به سایر سیستم های اطلاعاتی متصل نیستند) که برای پردازش داده های شخصی (ایستگاه های کاری خودکار) طراحی شده اند.
به مجموعه ای از ایستگاه های کاری خودکار که از طریق ارتباط بدون استفاده از فناوری دسترسی از راه دور (سیستم های اطلاعات محلی) در یک سیستم اطلاعاتی واحد ادغام شده اند.
به مجموعهای از ایستگاههای کاری خودکار و (یا) سیستمهای اطلاعات محلی، که از طریق ارتباط با استفاده از فناوری دسترسی از راه دور (سیستمهای اطلاعات توزیعشده) در یک سیستم اطلاعاتی واحد ترکیب شدهاند.
بر اساس وجود اتصالات به شبکه های ارتباطی عمومی و (یا) شبکه های تبادل اطلاعات بین المللی، سیستم های اطلاعاتی به سیستم های دارای اتصال و سیستم های بدون اتصال تقسیم می شوند.
با توجه به نحوه پردازش داده های شخصی در سیستم اطلاعاتی، سیستم های اطلاعاتی به تک کاربره و چند کاربره تقسیم می شوند.
بر اساس تحدید حدود حقوق دسترسی کاربر، سیستم های اطلاعاتی به سیستم های بدون محدودیت حقوق دسترسی و سیستم هایی با محدودیت حقوق دسترسی تقسیم می شوند.
سیستم های اطلاعاتی بسته به محل وسایل فنی آنها به سیستم هایی تقسیم می شوند که تمام وسایل فنی آنها در فدراسیون روسیه قرار دارند و سیستم هایی که ابزار فنی آنها به طور جزئی یا کامل در خارج از فدراسیون روسیه قرار دارد.
سیستم به یکی از کلاس های زیر اختصاص دارد:
کلاس 1 (K1) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها می تواند منجر به عواقب منفی قابل توجهی برای افراد داده های شخصی شود.
کلاس 2 (K2) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها ممکن است منجر به عواقب منفی برای افراد داده های شخصی شود.
کلاس 3 (KZ) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها ممکن است منجر به عواقب منفی جزئی برای افراد داده های شخصی شود.
کلاس 4 (K4) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها منجر به عواقب منفی برای افراد داده های شخصی نمی شود.
15. کلاس یک سیستم اطلاعاتی معمولی مطابق با تعیین می شود
جدول
بر اساس نتایج تجزیه و تحلیل داده های منبع، کلاس یک سیستم اطلاعاتی ویژه بر اساس مدلی از تهدیدات برای امنیت داده های شخصی مطابق با اسناد روش شناختی توسعه یافته مطابق بند 2 فرمان دولت تعیین می شود. فدراسیون روسیه 17 نوامبر 2007 شماره 781 "در مورد تصویب مقررات مربوط به اطمینان از امنیت داده های شخصی هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی" 1.
اگر زیرسیستم هایی در یک سیستم اطلاعاتی شناسایی شوند که هر یک از آنها یک سیستم اطلاعاتی است، به سیستم اطلاعاتی به عنوان یک کل کلاسی مربوط به بالاترین کلاس زیرسیستم های آن اختصاص داده می شود.
1 مجموعه قوانین فدراسیون روسیه 2007، شماره 48، بخش دوم، هنر. 6001.
18. نتایج طبقه بندی سیستم های اطلاعاتی رسمی می شود
با اقدام مربوطه اپراتور.
19. کلاس سیستم اطلاعاتی قابل تجدید نظر است:
با تصمیم اپراتور بر اساس تجزیه و تحلیل و ارزیابی وی از تهدیدات برای امنیت داده های شخصی، با در نظر گرفتن ویژگی ها و (یا) تغییرات یک سیستم اطلاعاتی خاص.
بر اساس نتایج اقدامات برای نظارت بر رعایت الزامات برای اطمینان از امنیت داده های شخصی در طول پردازش آنها در سیستم اطلاعات.
فرم استاندارد
فهرستی از سیستم های اطلاعات شخصی (PDIS) که در آن ها باید امنیت اطلاعات تضمین شود
| |||||||||
خیر | | آدرس ملک | ساختار ISPD | | حالت پردازش PD | | | کلاس ISPD | * توجه داشته باشید |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
نمونه ای از پر کردن لیست
داده های اولیه طبقه بندی ISPD | |||||||||
خیر | نام ISPDn (بخش جزء آن) | نام شی (کامل و مخفف) آدرس تاسیسات وابسته به صنعت (بخشی). | ساختار ISPD | در دسترس بودن اتصالات به شبکه های SSOP و LEB (اینترنت) | حالت پردازش PD | محدودیت های دسترسی کاربر | محل ISPDn (اجزای آن) در روسیه | کلاس ISPD | توجه داشته باشید |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
1 | سامانه اشتراک بلیط هواپیما شرکت "AEROTRANS" | CJSC "AEROTRANS"، ساختمان ترمینال هوایی مرکزی، دفاتر شماره 1501، 1502، شماره 1720 (سرور)، مسکو، خیابان لنینگرادسکی، 35 | سیستم توزیع شده | با استفاده از SSOP به اینترنت متصل است | چند کاربره | با تمایز حقوق دسترسی | نقطه مشترک در قلمرو اوکراین (کیف، فرودگاه Boryspil) | 2 | سیستم دارد AP در فرودگاه های Sheremetyevo، Domodedovo، Vnukovo |
نمونه ای از دستور ایجاد کمیسیون برای طبقه بندی ISPD
درباره طبقه بندی سیستم های اطلاعاتی
داده های شخصی
طبقه بندی سیستم های اطلاعات شخصی واقع در ساختمان ______________، با توجه به شرایط عملکرد آنها از نقطه نظر امنیت اطلاعات، برای انطباق با الزامات امنیت اطلاعات.
سفارش می دهم:
1- کمیسیونی متشکل از:
رئیس کمیسیون:
معاون موسسه آموزشی ***
اعضای کمیسیون:
رئیس اداره حسابداری و گزارش ***
رئیس بخش سیاست منابع انسانی ***
متخصص ارشد ***
2. طبقه بندی را مطابق با "روش طبقه بندی سیستم های اطلاعاتی داده های شخصی" که به دستور FSTEC روسیه، FSB روسیه، وزارت اطلاعات و ارتباطات روسیه مورخ 13 فوریه 2008 تأیید شده است، انجام دهید. .
3. بر اساس نتایج کار، "قانون طبقه بندی سیستم های اطلاعات داده های شخصی واقع در ساختمان موسسه آموزشی" را برای تصویب ارائه دهید.
4. کنترل اجرای این دستور را محفوظ می دانم.
رئیس OU****
نمونه ای از قانون طبقه بندی ISPD
شماره قانون _/AKl مورخ ___ ___________200_
طبقه بندی سیستم های اطلاعات شخصی واقع در ساختمان موسسه آموزشی
کمیسیون متشکل از:
رئیس کمیسیون:معاون مؤسسه آموزشی
اعضای کمیسیون:
و گزارش
رئیس بخش سیاست منابع انسانی
متخصص ارشد
نصب شده:
1. ترکیب سیستم های اطلاعات داده های شخصی در "فهرست سیستم های اطلاعاتی که در آنها امنیت اطلاعات باید تضمین شود" ارائه شده است (پیوست 1).
2. بالاترین دسته داده های شخصی پردازش شده در سیستم های اطلاعاتی (X PD) – "دسته _".
3. بیشترین حجم داده های شخصی پردازش شده (X npd) مربوط به ارزش _.
4. مطابق با "روش طبقه بندی سیستم های اطلاعاتی داده های شخصی" که به دستور FSTEC روسیه، FSB روسیه، وزارت اطلاعات و ارتباطات روسیه مورخ 13 فوریه 2008 تأیید شده است، اطلاعات سیستم به عنوان یک کل اختصاص داده شده است کلاس _.
رئیس کمیسیون:
قائم مقام مؤسسه
اعضای کمیسیون:
رئیس اداره حسابداری
و گزارش
رئیس بخش سیاست منابع انسانی
متخصص ارشد
فهرستی از سیستم های اطلاعات شخصی (PDIS) که در آن ها باید از امنیت اطمینان حاصل شود
اطلاعات
خیر | نام ISPDn (بخش جزء آن) | نام شی (کامل و مخفف) وابستگی به صنعت (بخشی). آدرس ملک | داده های اولیه طبقه بندی ISPD | کلاس ISPD | توجه داشته باشید |
||||
ساختار ISPD | در دسترس بودن اتصالات به شبکه های SSOP و LEB (اینترنت) | حالت پردازش PD | محدودیت های دسترسی کاربر | محل ISPDn (اجزای آن) در روسیه |
|||||
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
1 |
* ستون 10 نشان می دهد اطلاعات اضافیدر مورد سیستمی که مالک سیستم برای درج در لیست لازم می داند، اطلاعات مورد استفاده در طبقه بندی ISPDn را مطابق با روش طبقه بندی سیستم های اطلاعات شخصی (پیوست به ترتیب) نشان می دهد. FSTEC روسیه، FSB روسیه، وزارت اطلاعات و ارتباطات روسیه مورخ 13 فوریه 2008. شماره 55/86/20 "در مورد تایید رویه طبقه بندی سیستم های اطلاعات داده های شخصی").
اطلاعات مربوط به سیستم اطلاعات داده های شخصی
№ p/p | مسائل تحت پوشش | پاسخ دهید |
1 | نام سیستم اطلاعات شخصی (PDIS)، توسعه دهنده سیستم. | به عنوان مثال: "1C Enterprise"، شرکت 1C |
2 | کلاس ISPD | کلاس IPDN را مطابق با قانون طبقه بندی مشخص کنید |
3 | اهداف و وضعیت ISPD | مشخص کنید که چرا و بر چه اساسی ایجاد شده اند (طبق قانون، برای انجام قرارداد با یک شرکت بیمه، به ابتکار خودشان و غیره) به عنوان مثال: نگهداری پرسنل و سوابق حسابداری برای کارکنان، ایجاد شده طبق قانون |
4 | حجم و ترکیب ISPDn | تعداد موضوعات داده های شخصی پردازش شده در سیستم و محتوای اطلاعات (نام کامل، آدرس، شماره شناسایی مالیاتی، ملیت و غیره) را مشخص کنید. |
5 | منابع ISPDn | منابع به دست آوردن اطلاعات شخصی (از یک شهروند، از سایر موسسات آموزشی، از اشخاص ثالث و غیره) را ذکر کنید. |
6 | حالت پردازش و دسترسی به ISPDn | حالت پردازش (تک کاربر، چند کاربر)، ترتیب دسترسی (با یا بدون محدودیت) و نام سند تنظیم کننده دسترسی را در صورت وجود مشخص کنید. مثال: چند کاربره، با کنترل دسترسی، بدون مقررات. |
7 | کاربران ISPDn | مثال: کاربران داخلی (ادارات، واحدهای ساختاری). کاربران خارجی (نام سازمان ها). |
8 | روش های انتقال اطلاعات به کاربران | مثال: روشن رسانه کاغذی، در رسانه های ذخیره سازی مغناطیسی، از طریق کانال های ارتباطی امن و غیره. |
9 | اپراتور (ماده 3، بند 2 قانون فدرال-152) یا شخصی که پردازش PD را به عهده دارد (بند 10 "مقررات ..."). مبنای قانونی برای پردازش داده های شخصی (چه کسی این تصمیم را گرفته است و با چه سندی محافظت می شود). | نام کامل (طبق اساسنامه) و آدرس پستی سازمان، اسنادی که موسسه بر اساس آن فعالیت می کند را ذکر کنید. مثال: وزارت آموزش و پرورش و علوم جمهوری تاتارستان فرمان رئیس جمهور جمهوری تاتارستان "در مورد تغییر وزارت آموزش و پرورش جمهوری تاتارستان" مورخ 09.09.2004. شماره UP-570 مقررات مربوط به وزارت آموزش و علوم جمهوری تاتارستان |
10 | تاریخ شروع پردازش PD | |
11 | ماندگاری | دوره های ذخیره سازی داده ها را برای هر یک از ISPD، در صورتی که مدت آن توسط قانون تعیین نشده باشد، تعیین کنید |
12 | شرایط و ضوابط برای خاتمه پردازش | مهلتهایی برای پردازش دادهها برای هر یک از ISPD تعیین کنید، اگر مدت زمان آن توسط قانون تعیین نشده باشد |
13 | اطلاعات در مورد گنجاندن ISPD در ثبت دولتی پایگاه های داده. |
توجه داشته باشید: "مقررات مربوط به اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی" با فرمان دولت فدراسیون روسیه در 17 نوامبر 2007 شماره 781 تصویب شد.