روش طبقه بندی سیستم های اطلاعات شخصی. BukvaPrava - مشاوره حقوقی رایگان مشاوره حقوقی آنلاین چیست

مقررات مربوط به تضمین امنیت داده های شخصی در طول پردازش آنها در سیستم های اطلاعاتی ah داده های شخصی تایید شده توسط فرمان دولت فدراسیون روسیهمورخ 17 نوامبر 2007 N 781 "در مورد تصویب مقررات مربوط به اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی" (قانون جمع آوری شده فدراسیون روسیه، 2007، N 48، بخش دوم، ماده 6001)، ما سفارش می دهیم:

رویه ضمیمه طبقه بندی سیستم های اطلاعات داده های شخصی را تصویب کنید.

کارگردان
خدمات فدرال
روی فنی
و کنترل صادرات
S.I.GRIGOROV

کارگردان
سرویس امنیت فدرال
فدراسیون روسیه
N.P.PATRUSHEV

وزیر
فناوری اطلاعاتو ارتباطات
فدراسیون روسیه
L.D.REIMAN

تایید شد
با سفارش
FSTEC روسیه،
FSB روسیه،
وزارت اطلاعات و ارتباطات روسیه
مورخ 13 فوریه 2008 N 55/86/20

سفارش دهید
طبقه بندی سیستم های اطلاعاتی داده های شخصی

2. طبقه بندی سیستم های اطلاعاتی توسط ارگان های دولتی، ارگان های شهرداری، اشخاص حقوقی و اشخاصی انجام می شود که پردازش داده های شخصی را سازماندهی و (یا) انجام می دهند و همچنین اهداف و محتوای پردازش داده های شخصی را تعیین می کنند. که از این پس اپراتور نامیده می شود)<*>.

<*>بند یک بند 6 آیین نامه.

3. طبقه بندی سیستم های اطلاعاتی در مرحله ایجاد سیستم های اطلاعاتی یا در حین عملیات آنها (برای سیستم های اطلاعاتی که قبلاً راه اندازی شده اند و (یا) مدرن شده اند) به منظور ایجاد روش ها و وسایل حفاظت از اطلاعات لازم برای اطمینان از امنیت انجام می شود. از داده های شخصی

4. انجام طبقه بندی سیستم های اطلاعاتی شامل مراحل زیر است:

جمع آوری و تجزیه و تحلیل داده های اولیه در سیستم اطلاعاتی؛

تخصیص کلاس مناسب به سیستم اطلاعاتی و مستندات آن.

5. هنگام طبقه بندی یک سیستم اطلاعاتی، داده های اولیه زیر در نظر گرفته می شود:

حجم داده های شخصی پردازش شده (تعداد افراد داده های شخصی که داده های شخصی آنها در سیستم اطلاعات پردازش می شود) - X_npd؛

ویژگی های امنیتی داده های شخصی پردازش شده در سیستم اطلاعاتی مشخص شده توسط اپراتور؛

ساختار سیستم اطلاعاتی؛

در دسترس بودن اتصالات سیستم اطلاعاتی به شبکه های ارتباطی استفاده عمومیو (یا) شبکه های تبادل اطلاعات بین المللی؛

حالت پردازش داده های شخصی؛

نحوه تحدید حقوق دسترسی کاربران سیستم اطلاعاتی؛

مکان یابی وسایل فنی سیستم اطلاعاتی

6. دسته های زیر از داده های شخصی پردازش شده در سیستم اطلاعاتی (X_PD) تعریف شده است:

7. X_npd می تواند مقادیر زیر را بگیرد:

1 - سیستم اطلاعاتی به طور همزمان داده های شخصی بیش از 100000 موضوع داده های شخصی یا داده های شخصی افراد موضوع داده های شخصی را در یک نهاد تشکیل دهنده فدراسیون روسیه یا فدراسیون روسیه به عنوان یک کل پردازش می کند.

2 - سیستم اطلاعاتی به طور همزمان داده های شخصی 1000 تا 100000 موضوع داده های شخصی یا داده های شخصی افراد مشمول داده های شخصی را که در بخش اقتصادی فدراسیون روسیه کار می کنند در یک سازمان دولتی ساکن در شهرداری پردازش می کند.

3 - سیستم اطلاعاتی به طور همزمان داده های کمتر از 1000 موضوع داده های شخصی یا داده های شخصی افراد موضوع داده های شخصی را در یک سازمان خاص پردازش می کند.

8. با توجه به ویژگی های امنیتی داده های شخصی پردازش شده در سیستم اطلاعاتی مشخص شده توسط اپراتور، سیستم های اطلاعاتی به سیستم های اطلاعاتی استاندارد و ویژه تقسیم می شوند.

سیستم های اطلاعاتی معمولی سیستم های اطلاعاتی هستند که فقط به اطمینان از محرمانه بودن داده های شخصی نیاز دارند.

سیستم های اطلاعاتی ویژه باید شامل موارد زیر باشد:

سیستم های اطلاعاتی که در آن داده های شخصی مربوط به وضعیت سلامت افراد داده های شخصی پردازش می شود.

سیستم‌های اطلاعاتی که صرفاً بر اساس پردازش خودکار داده‌های شخصی، تصمیماتی را اتخاذ می‌کنند که منجر به عواقب قانونی در رابطه با موضوع داده‌های شخصی می‌شود یا به نحوی دیگر بر حقوق و منافع مشروع وی تأثیر می‌گذارد.

9. سیستم های اطلاعاتی با توجه به ساختار خود به موارد زیر تقسیم می شوند:

به مجتمع های مستقل (مرتبط به سایر سیستم های اطلاعاتی) فنی و نرم افزاردستگاه های در نظر گرفته شده برای پردازش داده های شخصی (ایستگاه های کاری خودکار)؛

به مجموعه‌ای از ایستگاه‌های کاری خودکار، که با استفاده از ارتباطات بدون استفاده از فناوری در یک سیستم اطلاعاتی واحد متحد شده‌اند دسترسی از راه دور(سیستم های اطلاعات محلی)؛

به مجموعه‌ای از ایستگاه‌های کاری خودکار و (یا) سیستم‌های اطلاعات محلی، که از طریق ارتباط با استفاده از فناوری دسترسی از راه دور (سیستم‌های اطلاعات توزیع‌شده) در یک سیستم اطلاعاتی واحد ترکیب شده‌اند.

10. بر اساس وجود اتصالات به شبکه های ارتباطی عمومی و (یا) شبکه های تبادل اطلاعات بین المللی، سیستم های اطلاعاتی به سیستم های دارای اتصال و سیستم های بدون اتصال تقسیم می شوند.

11. با توجه به نحوه پردازش داده های شخصی در سیستم اطلاعاتی، سیستم های اطلاعاتی به تک کاربره و چند کاربره تقسیم می شوند.

12. بر اساس تحدید حدود حقوق دسترسی کاربر، سیستم های اطلاعاتی به سیستم های بدون تحدید حق دسترسی و سیستم هایی با محدودیت حقوق دسترسی تقسیم می شوند.

13. سیستم های اطلاعاتی بسته به موقعیت مکانی وسایل فنی خود به سیستم ها، همه تقسیم می شوند وسایل فنیکه در داخل فدراسیون روسیه واقع شده اند و سیستم هایی که ابزار فنی آنها به طور جزئی یا کامل در خارج از فدراسیون روسیه قرار دارد.

14. بر اساس نتایج تجزیه و تحلیل داده های منبع، یک سیستم اطلاعاتی معمولی یکی از کلاس های زیر را به خود اختصاص می دهد:

کلاس 1 (K1) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها می تواند منجر به عواقب منفی قابل توجهی برای افراد داده های شخصی شود.

کلاس 2 (K2) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها ممکن است منجر به عواقب منفی برای افراد داده های شخصی شود.

کلاس 3 (K3) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها ممکن است منجر به عواقب منفی جزئی برای افراد داده های شخصی شود.

کلاس 4 (K4) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها منجر به عواقب منفی برای افراد بند 2 فرمان دولت فدراسیون روسیه در 17 نوامبر نمی شود 2007 N 781 "در مورد تصویب مقررات مربوط به تضمین امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی"<*>.

<*>مجموعه قوانین فدراسیون روسیه، 2007، N 48، بخش دوم، هنر. 6001.

17. اگر در یک سیستم اطلاعاتی زیرسیستم هایی شناسایی شوند که هر یک از آنها یک سیستم اطلاعاتی هستند، به سیستم اطلاعاتی به عنوان یک کل کلاسی منطبق با بالاترین کلاس زیرسیستم های آن اختصاص داده می شود.

18. نتایج طبقه بندی سیستم های اطلاعاتی در عمل مربوطه اپراتور مستند شده است.

19. کلاس سیستم اطلاعاتی قابل تجدید نظر است:

با تصمیم اپراتور بر اساس تجزیه و تحلیل و ارزیابی وی از تهدیدات برای امنیت داده های شخصی، با در نظر گرفتن ویژگی ها و (یا) تغییرات یک سیستم اطلاعاتی خاص.

بر اساس نتایج اقدامات برای نظارت بر رعایت الزامات برای اطمینان از امنیت داده های شخصی در طول پردازش آنها در سیستم اطلاعات.

خدمات فدرال برای کنترل فنی و صادرات

خدمات امنیتی فدرال فدراسیون روسیه

وزارت فن آوری اطلاعات و ارتباطات
فدراسیون روسیه

در مورد تصویب رویه طبقه بندی سیستم های اطلاعات داده های شخصی

نیروی از دست رفته در 11 مارس 2014 بر اساس
دستور مشترک FSTEC روسیه، FSB روسیه و وزارت مخابرات و ارتباطات جمعی روسیه
مورخ 31 دسامبر 2013 N 151/786/461
____________________________________________________________________

با توجه به بند 6 آیین نامه در مورد اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی، تصویب شد فرمان دولت فدراسیون روسیه در 17 نوامبر 2007 N 781 "در مورد تصویب مقررات مربوط به اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی".(مجموعه قانونگذاری فدراسیون روسیه، 2007، شماره 48، بخش دوم، هنر 6001)،

ما سفارش می دهیم:

رویه ضمیمه طبقه بندی سیستم های اطلاعات داده های شخصی را تصویب کنید.

مدیر سرویس فدرال
روی فنی و
کنترل صادرات
S. Grigorov

مدیر فدرال
خدمات امنیتی
فدراسیون روسیه
ن. پاتروشف

وزیر فناوری اطلاعات
و ارتباطات فدراسیون روسیه
ال. ریمن

ثبت شده است
در وزارت دادگستری
فدراسیون روسیه
3 آوریل 2008،
شماره ثبت 11462

روش طبقه بندی سیستم های اطلاعات داده های شخصی

تایید شد
به دستور FSTEC روسیه،
FSB روسیه،
وزارت اطلاعات و ارتباطات روسیه
مورخ 13 فوریه 2008 N 55/86/20

1. این رویه طبقه‌بندی سیستم‌های اطلاعات شخصی را که مجموعه‌ای از داده‌های شخصی موجود در پایگاه‌های اطلاعاتی است، و همچنین فناوری‌های اطلاعاتی و ابزارهای فنی که امکان پردازش این داده‌های شخصی را با استفاده از ابزارهای اتوماسیون (از این پس سیستم‌های اطلاعاتی نامیده می‌شود) تعیین می‌کند. ).
________________
بند یک بند 1 آیین نامه در مورد اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی، تصویب شد فرمان دولت فدراسیون روسیه در 17 نوامبر 2007 N 781(مجموعه قوانین فدراسیون روسیه، 2007، N 48، بخش دوم، هنر 6001) (از این پس - موقعیت).

4. انجام طبقه بندی سیستم های اطلاعاتی شامل مراحل زیر است:

جمع آوری و تجزیه و تحلیل داده های اولیه در سیستم اطلاعاتی؛

تخصیص کلاس مناسب به سیستم اطلاعاتی و مستندات آن.

5. هنگام طبقه بندی یک سیستم اطلاعاتی، داده های اولیه زیر در نظر گرفته می شود:

دسته بندی داده های شخصی پردازش شده در سیستم اطلاعاتی - ;

حجم داده های شخصی پردازش شده (تعداد اشخاصی که داده های شخصی آنها در سیستم اطلاعات پردازش می شود) - .

ویژگی های امنیتی داده های شخصی پردازش شده در سیستم اطلاعاتی مشخص شده توسط اپراتور؛

ساختار سیستم اطلاعاتی؛

در دسترس بودن اتصالات سیستم اطلاعاتی به شبکه های ارتباطی عمومی و (یا) شبکه های تبادل اطلاعات بین المللی؛

حالت پردازش داده های شخصی؛

نحوه تحدید حقوق دسترسی کاربران سیستم اطلاعاتی؛

مکان یابی وسایل فنی سیستم اطلاعاتی

6. دسته های زیر از داده های شخصی پردازش شده در سیستم اطلاعاتی تعریف می شوند:

دسته 1 - داده های شخصی مربوط به نژاد، ملیت، دیدگاه های سیاسی، اعتقادات مذهبی و فلسفی، وضعیت سلامتی، زندگی صمیمی.

دسته 2 - داده های شخصی که به شما امکان می دهد موضوع داده های شخصی را شناسایی کنید و اطلاعات اضافی درباره او به دست آورید، به استثنای داده های شخصی مربوط به دسته 1.

دسته 3 - داده های شخصی که امکان شناسایی موضوع داده های شخصی را فراهم می کند.

دسته 4 - داده های شخصی ناشناس و (یا) در دسترس عموم.

7. می تواند مقادیر زیر را بگیرد:

8. با توجه به ویژگی های امنیتی داده های شخصی پردازش شده در سیستم اطلاعاتی مشخص شده توسط اپراتور، سیستم های اطلاعاتی به سیستم های اطلاعاتی استاندارد و ویژه تقسیم می شوند.

سیستم های اطلاعاتی معمولی سیستم های اطلاعاتی هستند که فقط به اطمینان از محرمانه بودن داده های شخصی نیاز دارند.

سیستم‌های اطلاعاتی ویژه، سیستم‌های اطلاعاتی هستند که در آن‌ها، صرف‌نظر از نیاز به اطمینان از محرمانه بودن داده‌های شخصی، لازم است حداقل یکی از ویژگی‌های امنیتی داده‌های شخصی به غیر از محرمانه بودن (ایمنی از تخریب، اصلاح، مسدود کردن و همچنین حفظ امنیت داده‌ها) تضمین شود. مانند سایر اقدامات غیرمجاز).

سیستم های اطلاعاتی ویژه باید شامل موارد زیر باشد:

سیستم های اطلاعاتی که در آن داده های شخصی مربوط به وضعیت سلامت افراد داده های شخصی پردازش می شود.

سیستم‌های اطلاعاتی که صرفاً بر اساس پردازش خودکار داده‌های شخصی، تصمیماتی را اتخاذ می‌کنند که منجر به عواقب قانونی در رابطه با موضوع داده‌های شخصی می‌شود یا به نحوی دیگر بر حقوق و منافع مشروع وی تأثیر می‌گذارد.

9. سیستم های اطلاعاتی با توجه به ساختار خود به موارد زیر تقسیم می شوند:

برای مجتمع های سخت افزاری و نرم افزاری مستقل (که به سایر سیستم های اطلاعاتی متصل نیستند) که برای پردازش داده های شخصی (ایستگاه های کاری خودکار) طراحی شده اند.

به مجموعه ای از ایستگاه های کاری خودکار که از طریق ارتباط بدون استفاده از فناوری دسترسی از راه دور (سیستم های اطلاعات محلی) در یک سیستم اطلاعاتی واحد ادغام شده اند.

به مجموعه‌ای از ایستگاه‌های کاری خودکار و (یا) سیستم‌های اطلاعات محلی، که از طریق ارتباط با استفاده از فناوری دسترسی از راه دور (سیستم‌های اطلاعات توزیع‌شده) در یک سیستم اطلاعاتی واحد ترکیب شده‌اند.

13. سیستم های اطلاعاتی، بسته به محل وسایل فنی آنها، به سیستم هایی تقسیم می شوند که تمام وسایل فنی آنها در فدراسیون روسیه قرار دارد و سیستم هایی که ابزار فنی آنها به طور جزئی یا کامل در خارج از فدراسیون روسیه قرار دارد.

14. بر اساس نتایج تجزیه و تحلیل داده های منبع، یک سیستم اطلاعاتی معمولی یکی از کلاس های زیر را به خود اختصاص می دهد:

کلاس 1 (K1) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها می تواند منجر به عواقب منفی قابل توجهی برای افراد داده های شخصی شود.

کلاس 2 (K2) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها ممکن است منجر به عواقب منفی برای افراد داده های شخصی شود.

کلاس 3 (K3) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها ممکن است منجر به عواقب منفی جزئی برای افراد داده های شخصی شود.

کلاس 4 (K4) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها منجر به عواقب منفی برای افراد داده های شخصی نمی شود.

15. کلاس یک سیستم اطلاعاتی معمولی مطابق با جدول تعیین می شود.

16. بر اساس نتایج تجزیه و تحلیل داده های منبع، کلاس یک سیستم اطلاعاتی ویژه بر اساس مدلی از تهدیدات برای امنیت داده های شخصی مطابق با اسناد روش شناختی توسعه یافته مطابق با بند 2 فرمان دولت فدراسیون روسیه مورخ 17 نوامبر 2007 N 781 "در مورد تصویب مقررات مربوط به اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی"..
________________
مجموعه قوانین فدراسیون روسیه، 2007، N 48، بخش دوم، هنر 6001.

18. نتایج طبقه بندی سیستم های اطلاعاتی در عمل مربوطه اپراتور مستند شده است.

19. کلاس سیستم اطلاعاتی قابل تجدید نظر است:

با تصمیم اپراتور بر اساس تجزیه و تحلیل و ارزیابی وی از تهدیدات برای امنیت داده های شخصی، با در نظر گرفتن ویژگی ها و (یا) تغییرات یک سیستم اطلاعاتی خاص.

بر اساس نتایج اقدامات برای نظارت بر رعایت الزامات برای اطمینان از امنیت داده های شخصی در طول پردازش آنها در سیستم اطلاعات.

متن سند الکترونیکی
تهیه شده توسط Kodeks JSC و تایید شده است.

دستور سرویس فدرال برای کنترل فنی و صادرات، FSB فدراسیون روسیه و وزارت فناوری اطلاعات و ارتباطات فدراسیون روسیه
مورخ 13 فوریه 2008 N 55/86/20
"در مورد تصویب رویه طبقه بندی سیستم های اطلاعات داده های شخصی"

مطابق بند 6 مقررات مربوط به اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی، مصوب 17 نوامبر 2007 N 781 دولت فدراسیون روسیه "در مورد تصویب مقررات مربوط به اطمینان از امنیت داده های شخصی در حین پردازش آنها در سیستم های اطلاعات داده های شخصی "(قانون جمع آوری شده فدراسیون روسیه، 2007، شماره 48، قسمت دوم، ماده 6001)، سفارش می دهیم:

پیوست را تایید کنید سفارش دهیدانجام طبقه بندی سیستم های اطلاعات داده های شخصی

شماره ثبت 11462

سفارش دهید
انجام طبقه بندی سیستم های اطلاعات داده های شخصی

4. انجام طبقه بندی سیستم های اطلاعاتی شامل مراحل زیر است:

جمع آوری و تجزیه و تحلیل داده های اولیه در سیستم اطلاعاتی:

تخصیص کلاس مناسب به سیستم اطلاعاتی و مستندات آن.

5. هنگام طبقه بندی یک سیستم اطلاعاتی، داده های اولیه زیر در نظر گرفته می شود:

حجم داده های شخصی پردازش شده (تعداد اشخاصی که داده های شخصی آنها در سیستم اطلاعات پردازش می شود) - .

ویژگی های امنیتی داده های شخصی پردازش شده در سیستم اطلاعاتی مشخص شده توسط اپراتور؛

ساختار سیستم اطلاعاتی؛

در دسترس بودن اتصالات سیستم اطلاعاتی به شبکه های ارتباطی عمومی و (یا) شبکه های تبادل اطلاعات بین المللی؛

حالت پردازش داده های شخصی؛

نحوه تحدید حقوق دسترسی کاربران سیستم اطلاعاتی؛

مکان یابی وسایل فنی سیستم اطلاعاتی

6. دسته بندی های زیر از داده های شخصی پردازش شده در سیستم اطلاعاتی تعریف می شود:

7. می تواند مقادیر زیر را بگیرد:

سیستم‌های اطلاعاتی ویژه، سیستم‌های اطلاعاتی هستند که در آن‌ها، صرف‌نظر از نیاز به اطمینان از محرمانه بودن داده‌های شخصی، لازم است حداقل یکی از ویژگی‌های امنیتی داده‌های شخصی به غیر از محرمانه بودن (ایمنی از تخریب، اصلاح، مسدود کردن و همچنین حفظ امنیت داده‌ها) تضمین شود. مانند سایر اقدامات غیرمجاز).

سیستم های اطلاعاتی ویژه باید شامل موارد زیر باشد:

سیستم های اطلاعاتی که در آن داده های شخصی مربوط به وضعیت سلامت افراد داده های شخصی پردازش می شود.

9. سیستم های اطلاعاتی با توجه به ساختار خود به موارد زیر تقسیم می شوند:

برای مجتمع های سخت افزاری و نرم افزاری مستقل (که به سایر سیستم های اطلاعاتی متصل نیستند) که برای پردازش داده های شخصی (ایستگاه های کاری خودکار) طراحی شده اند.

به مجموعه ای از ایستگاه های کاری خودکار که از طریق ارتباط بدون استفاده از فناوری دسترسی از راه دور (سیستم های اطلاعات محلی) در یک سیستم اطلاعاتی واحد ادغام شده اند.

کلاس 4 (K4) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها منجر به عواقب منفی برای افراد داده های شخصی نمی شود.

15. کلاس یک سیستم اطلاعاتی معمولی مطابق با جدول تعیین می شود.

┌──────────────────────────┬──────────────┬──────────────┬──────────────┐

│ Х_нпд│ 3 │ 2 │ 1 │

│ \ │ │ │ │

│Х_пд │ │ │ │

├──────────────────────────┼──────────────┼──────────────┼──────────────┤

└──────────────────────────┴──────────────┴──────────────┴──────────────┘

16. بر اساس نتایج تجزیه و تحلیل داده های منبع، کلاس یک سیستم اطلاعاتی ویژه بر اساس مدلی از تهدیدات برای امنیت داده های شخصی مطابق با اسناد روش شناختی توسعه یافته مطابق بند 2 فرمان تعیین می شود. دولت فدراسیون روسیه 17 نوامبر 2007 N 781 "در مورد تصویب مقررات مربوط به تضمین امنیت داده های شخصی هنگام پردازش در سیستم های اطلاعات داده های شخصی" *** .

18. نتایج طبقه بندی سیستم های اطلاعاتی در عمل مربوطه اپراتور مستند شده است.

19. کلاس سیستم اطلاعاتی قابل تجدید نظر است:

______________________________

* بند یک از بند 1 مقررات مربوط به اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی، مصوب 17 نوامبر 2007 N 781 دولت فدراسیون روسیه (قانون جمع آوری شده فدراسیون روسیه، 2007, N 48, Part II, Art 6001 ) (از این پس به عنوان مقررات).

20 86 ...

طرح جامع مواد روستایی ورونسک برای توجیه پروژه قسمت 1 شرح توجیه

سند

موقعیت 13 2. شرایط طبیعی 13 3. آب و هوا. 13 4. ... آموزش و پرورش 86 20 . آموزش عمومی 86 21...، هزار روبل 2008. 2009 2009/ 2008.، % 2010 ... روستای الکساندروو N5520 منطقه توزیع 0.8 d Konyukhovo N56 20 RES 0، ... در فدراسیون روسیه" از 6 فوریه 2003 شماره ....

قانون

انتشار 86 روزنامه های عمومی ... کنگره. سند N55

به اطلاع شما می رساند که دستور مشترک وزارت آموزش و پرورش جمهوری تاتارستان و موسسه دولتی "مرکز فناوری اطلاعات جمهوری تاتارستان" به شماره 1156/09/29-o مورخ 18 می 2009 برنامه اقدام برای تضمین می کند امنیت اطلاعاتسیستم های اطلاعات شخصی در موسسات آموزشی جمهوری تاتارستان.

بر اساس طرح مشخص شده و همچنین به منظور آوردن سیستم های اطلاعاتی داده های شخصی موسسات آموزشیجمهوری تاتارستان، مطابق با الزامات قانون فدرال فدراسیون روسیه مورخ 27 ژوئیه 2006 شماره 152-FZ "در مورد داده های شخصی"، از شما می خواهم مجموعه ای از اقدامات را برای محافظت از داده های شخصی سازماندهی کنید.

1. اطمینان از انتصاب در موسسات آموزشی تابعه از مقامات مسئول برای تضمین امنیت داده های شخصی.

2. در کلیه مؤسسات زیرمجموعه، سیستم های اطلاعاتی را که داده های شخصی در آنها پردازش می شود، تعیین کنید، آنها را طبق «رویه طبقه بندی سیستم های اطلاعات داده های شخصی» (پیوست شماره 2) طبقه بندی کنید، قانون طبقه بندی را تأیید کنید (پیوست شماره 2). 3).

3. قبل از 22 ژوئن 2009، اطلاعات مربوط به سیستم های اطلاعات شخصی کلیه موسسات آموزشی زیرمجموعه را با استفاده از فرم پیوست (پیوست شماره 4) به وزارت آموزش و پرورش و علوم جمهوری تاتارستان ارائه دهید. ارسال اطلاعات به صورت خلاصه به آدرس ایمیل:

برنامه های کاربردی
1. دستور مشترک وزارت آموزش و پرورش جمهوری تاتارستان و موسسه دولتی "مرکز فناوری اطلاعات جمهوری تاتارستان" به شماره 1156/09/29-o مورخ 18/05/2009 در 1 نسخه. به مدت 3 لیتر

2. دستور شماره 55/86/20 مورخ 22 بهمن 1387 "در مورد تصویب شیوه نامه طبقه بندی سیستم های اطلاعات شخصی" در 1 نسخه. برای 8 لیتر

3. نمونه ای از دستور ایجاد کمیسیون و قانون طبقه بندی در 1 نسخه. به مدت 3 لیتر

4. فرم "اطلاعات سیستم های اطلاعاتی داده های شخصی" در 1 نسخه. برای 1 لیتر

اسپانیایی خسنودینوف R.N.

تلفن 2929003

درباره اقدامات امنیت اطلاعات

سیستم های اطلاعات شخصی

در موسسات آموزشی جمهوری تاتارستان

به منظور اجرای الزامات اسناد نظارتی فدراسیون روسیه و جمهوری تاتارستان در زمینه امنیت اطلاعات
سفارش می دهم:
1. برای اطمینان برنامه اقدام پیوست را تصویب کنید
امنیت اطلاعات سیستم های اطلاعات داده های شخصی
در موسسات آموزشی جمهوری تاتارستان.

2. کنترل اجرای این دستور را محفوظ می دانم.

برنامه ریزی کنید

اقداماتی برای اطمینان از امنیت اطلاعات سیستم های اطلاعات داده های شخصی

در موسسات آموزشی جمهوری تاتارستان

№ n\n	نام رویداد	سررسید	مسئول اجراست	توجه داشته باشید
1.	موجودی سیستم های اطلاعاتی پردازش داده های شخصی، طبقه بندی IP و تصویب قانون طبقه بندی	ژوئن 2009		موجودی را به شکل مقرر انجام دهید
2.	ارسال اعلان‌ها توسط مؤسسات آموزشی (اپراتورهای داده‌های شخصی) به نهاد مجاز برای حمایت از حقوق افراد موضوع داده‌های شخصی	ژوئن 2009	وزارت آموزش و پرورش جمهوری تاتارستان، مقامات آموزشی جمهوری تاتارستان، موسسات آموزشی جمهوری تاتارستان که اطلاعیه ارسال نکرده اند
3.	تهیه بسته ای از اسناد استاندارد: بیانیه حفاظت از داده های شخصی مقررات مربوط به واحد حفاظت اطلاعات؛ مقررات شغلی افراد مسئول حفاظت از داده های شخصی برنامه اقدام برای حفاظت از داده های شخصی طرح ممیزی داخلی وضعیت حفاظت از داده های شخصی دستور انتصاب افراد مسئول برای PD دفترچه ثبت فعالیت های کنترلی دفترچه ثبت درخواست های افراد دارای داده های شخصی در مورد احقاق حقوق قانونی آنها نمونه مجله (کتاب) حسابداری درآمد شخصی قوانین استفاده از ابزارهای امنیت اطلاعات نمونه توافق نامه با یک کارمند در مورد مسئولیت افشای داده های شخصی	جولای 2009	GU CIT RT، وزارت آموزش و علوم جمهوری تاتارستان
4.	بررسی و شناسایی چندین گروه اولویت دار موسسات آموزشی برای صدور گواهینامه بعدی سیستم های اطلاعاتی با هزینه بودجه متمرکز جمهوری تاتارستان	آگوست 2009
5.	صدور گواهینامه سیستم های اطلاعاتی PD مطابق بند 8 این طرح	نوامبر 2009	GU CIT RT، وزارت آموزش و پرورش و علوم RT، مقامات آموزشی RT، موسسات آموزشی جمهوری تاتارستان
6.	سازماندهی و نگهداری سیستمی برای محافظت از اطلاعات محرمانه از دسترسی غیرمجاز مطابق با کلاس IP تعیین شده، با استفاده از ابزارهای امنیتی تایید شده به روش مقرر	مدام	وزارت آموزش و پرورش جمهوری تاتارستان، مقامات آموزشی جمهوری تاتارستان، موسسات آموزشی جمهوری تاتارستان

ثبت شده در

وزارت دادگستری روسیه

تایید شد

به دستور FSTEC روسیه،

№ 55/86/20

سفارش دهید

انجام طبقه بندی سیستم های اطلاعات داده های شخصی

این رویه طبقه‌بندی سیستم‌های اطلاعات شخصی را که مجموعه‌ای از داده‌های شخصی موجود در پایگاه‌های اطلاعاتی است، و همچنین فن‌آوری‌های اطلاعاتی و ابزارهای فنی است که امکان پردازش این داده‌های شخصی را با استفاده از ابزارهای اتوماسیون (از این پس به عنوان سیستم‌های اطلاعاتی نامیده می‌شود) تعیین می‌کند. .
طبقه بندی سیستم های اطلاعاتی توسط ارگان های دولتی، ارگان های شهرداری، اشخاص حقوقی و اشخاص حقیقی انجام می شود که پردازش داده های شخصی را سازماندهی و (یا) انجام می دهند و همچنین اهداف و محتوای پردازش داده های شخصی را تعیین می کنند (از این پس به عنوان اپراتور) 2.
طبقه بندی سیستم های اطلاعاتی در مرحله ایجاد سیستم های اطلاعاتی یا در حین عملیات آنها (برای سیستم های اطلاعاتی که قبلاً راه اندازی شده و (یا) مدرن شده اند) به منظور ایجاد روش ها و وسایل حفاظت از اطلاعات لازم برای اطمینان از امنیت داده های شخصی انجام می شود.
انجام طبقه بندی سیستم های اطلاعاتی شامل مراحل زیر است:

جمع آوری و تجزیه و تحلیل داده های اولیه در سیستم اطلاعاتی؛ تخصیص کلاس مناسب به سیستم اطلاعاتی و مستندات آن.

5. هنگام طبقه بندی یک سیستم اطلاعاتی را در نظر بگیرید
داده های اولیه زیر:
"بند یک از بند 1 مقررات مربوط به اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات شخصی، مصوب 17 نوامبر 2007 شماره 781 دولت فدراسیون روسیه (قانون جمع آوری شده فدراسیون روسیه) , 2007, شماره 48, قسمت دوم, ماده 6001 ) (از این پس به عنوان مقررات بند یک بند 6).

دسته داده های شخصی پردازش شده در سیستم اطلاعات - X P d.

حجم داده های شخصی پردازش شده (تعداد افراد داده های شخصی که داده های شخصی آنها در سیستم اطلاعات پردازش می شود) - X N pd.

ویژگی های امنیتی داده های شخصی پردازش شده در سیستم اطلاعاتی مشخص شده توسط اپراتور؛

ساختار سیستم اطلاعاتی؛

در دسترس بودن اتصالات سیستم اطلاعاتی به شبکه های ارتباطی عمومی و (یا) شبکه های تبادل اطلاعات بین المللی؛ حالت پردازش داده های شخصی؛

نحوه تحدید حقوق دسترسی کاربران سیستم اطلاعاتی؛

مکان یابی وسایل فنی سیستم اطلاعاتی

6. دسته های زیر از اقلام پردازش شده تعیین می شود:
سیستم اطلاعات شخصی (X P d):

7. Hnpd می تواند مقادیر زیر را بگیرد:

- سیستم اطلاعاتی به طور همزمان داده های شخصی بیش از 100000 موضوع داده های شخصی یا داده های شخصی افراد مشمول داده های شخصی را در یک نهاد تشکیل دهنده فدراسیون روسیه یا فدراسیون روسیه به عنوان یک کل پردازش می کند.
- سیستم اطلاعاتی به طور همزمان داده های شخصی 1000 تا 100000 موضوع داده های شخصی یا داده های شخصی افراد مشمول داده های شخصی را که در بخش اقتصادی فدراسیون روسیه کار می کنند در یک سازمان دولتی ساکن در شهرداری پردازش می کند.
- سیستم اطلاعاتی به طور همزمان داده های کمتر از 1000 موضوع داده های شخصی یا داده های شخصی افراد موضوع داده های شخصی را در یک سازمان خاص پردازش می کند.

8. با توجه به ویژگی های ایمنی شخصی مشخص شده توسط اپراتور
داده های پردازش شده در یک سیستم اطلاعاتی، سیستم های اطلاعاتی
به سیستم های اطلاعاتی استاندارد و ویژه تقسیم می شوند.

سیستم های اطلاعاتی ویژه باید شامل موارد زیر باشد:

سیستم های اطلاعاتی که در آن داده های شخصی مربوط به وضعیت سلامت افراد داده های شخصی پردازش می شود.

9. سیستم های اطلاعاتی با توجه به ساختار خود به موارد زیر تقسیم می شوند:

بر اساس وجود اتصالات به شبکه های ارتباطی عمومی و (یا) شبکه های تبادل اطلاعات بین المللی، سیستم های اطلاعاتی به سیستم های دارای اتصال و سیستم های بدون اتصال تقسیم می شوند.
با توجه به نحوه پردازش داده های شخصی در سیستم اطلاعاتی، سیستم های اطلاعاتی به تک کاربره و چند کاربره تقسیم می شوند.
بر اساس تحدید حدود حقوق دسترسی کاربر، سیستم های اطلاعاتی به سیستم های بدون محدودیت حقوق دسترسی و سیستم هایی با محدودیت حقوق دسترسی تقسیم می شوند.
سیستم های اطلاعاتی بسته به محل وسایل فنی آنها به سیستم هایی تقسیم می شوند که تمام وسایل فنی آنها در فدراسیون روسیه قرار دارند و سیستم هایی که ابزار فنی آنها به طور جزئی یا کامل در خارج از فدراسیون روسیه قرار دارد.

14. بر اساس نتایج تجزیه و تحلیل داده های اولیه اطلاعات استاندارد
سیستم به یکی از کلاس های زیر اختصاص دارد:

کلاس 3 (KZ) - سیستم های اطلاعاتی که نقض ویژگی های امنیتی مشخص شده داده های شخصی پردازش شده در آنها ممکن است منجر به عواقب منفی جزئی برای افراد داده های شخصی شود.

15. کلاس یک سیستم اطلاعاتی معمولی مطابق با تعیین می شود
جدول

بر اساس نتایج تجزیه و تحلیل داده های منبع، کلاس یک سیستم اطلاعاتی ویژه بر اساس مدلی از تهدیدات برای امنیت داده های شخصی مطابق با اسناد روش شناختی توسعه یافته مطابق بند 2 فرمان دولت تعیین می شود. فدراسیون روسیه 17 نوامبر 2007 شماره 781 "در مورد تصویب مقررات مربوط به اطمینان از امنیت داده های شخصی هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی" 1.
اگر زیرسیستم هایی در یک سیستم اطلاعاتی شناسایی شوند که هر یک از آنها یک سیستم اطلاعاتی است، به سیستم اطلاعاتی به عنوان یک کل کلاسی مربوط به بالاترین کلاس زیرسیستم های آن اختصاص داده می شود.

1 مجموعه قوانین فدراسیون روسیه 2007، شماره 48، بخش دوم، هنر. 6001.

18. نتایج طبقه بندی سیستم های اطلاعاتی رسمی می شود
با اقدام مربوطه اپراتور.

19. کلاس سیستم اطلاعاتی قابل تجدید نظر است:

فرم استاندارد

فهرستی از سیستم های اطلاعات شخصی (PDIS) که در آن ها باید امنیت اطلاعات تضمین شود


خیر		آدرس ملک	ساختار ISPD		حالت پردازش PD			کلاس ISPD	* توجه داشته باشید
1	2	3	4	5	6	7	8	9	10

نمونه ای از پر کردن لیست

			داده های اولیه طبقه بندی ISPD
خیر	نام ISPDn (بخش جزء آن)	نام شی (کامل و مخفف) آدرس تاسیسات وابسته به صنعت (بخشی).	ساختار ISPD	در دسترس بودن اتصالات به شبکه های SSOP و LEB (اینترنت)	حالت پردازش PD	محدودیت های دسترسی کاربر	محل ISPDn (اجزای آن) در روسیه	کلاس ISPD	توجه داشته باشید
1	2	3	4	5	6	7	8	9	10
1	سامانه اشتراک بلیط هواپیما شرکت "AEROTRANS"	CJSC "AEROTRANS"، ساختمان ترمینال هوایی مرکزی، دفاتر شماره 1501، 1502، شماره 1720 (سرور)، مسکو، خیابان لنینگرادسکی، 35	سیستم توزیع شده	با استفاده از SSOP به اینترنت متصل است	چند کاربره	با تمایز حقوق دسترسی	نقطه مشترک در قلمرو اوکراین (کیف، فرودگاه Boryspil)	2	سیستم دارد AP در فرودگاه های Sheremetyevo، Domodedovo، Vnukovo

نمونه ای از دستور ایجاد کمیسیون برای طبقه بندی ISPD

درباره طبقه بندی سیستم های اطلاعاتی

داده های شخصی
طبقه بندی سیستم های اطلاعات شخصی واقع در ساختمان ______________، با توجه به شرایط عملکرد آنها از نقطه نظر امنیت اطلاعات، برای انطباق با الزامات امنیت اطلاعات.
سفارش می دهم:
1- کمیسیونی متشکل از:

رئیس کمیسیون:

معاون موسسه آموزشی ***

اعضای کمیسیون:

رئیس اداره حسابداری و گزارش ***

رئیس بخش سیاست منابع انسانی ***

متخصص ارشد ***
2. طبقه بندی را مطابق با "روش طبقه بندی سیستم های اطلاعاتی داده های شخصی" که به دستور FSTEC روسیه، FSB روسیه، وزارت اطلاعات و ارتباطات روسیه مورخ 13 فوریه 2008 تأیید شده است، انجام دهید. .

3. بر اساس نتایج کار، "قانون طبقه بندی سیستم های اطلاعات داده های شخصی واقع در ساختمان موسسه آموزشی" را برای تصویب ارائه دهید.

4. کنترل اجرای این دستور را محفوظ می دانم.

رئیس OU****
نمونه ای از قانون طبقه بندی ISPD

شماره قانون _/AKl مورخ ___ ___________200_

طبقه بندی سیستم های اطلاعات شخصی واقع در ساختمان موسسه آموزشی

کمیسیون متشکل از:

رئیس کمیسیون:

معاون مؤسسه آموزشی

اعضای کمیسیون:

و گزارش

رئیس بخش سیاست منابع انسانی

متخصص ارشد
نصب شده:

1. ترکیب سیستم های اطلاعات داده های شخصی در "فهرست سیستم های اطلاعاتی که در آنها امنیت اطلاعات باید تضمین شود" ارائه شده است (پیوست 1).
2. بالاترین دسته داده های شخصی پردازش شده در سیستم های اطلاعاتی (X PD) – "دسته _".
3. بیشترین حجم داده های شخصی پردازش شده (X npd) مربوط به ارزش _.
4. مطابق با "روش طبقه بندی سیستم های اطلاعاتی داده های شخصی" که به دستور FSTEC روسیه، FSB روسیه، وزارت اطلاعات و ارتباطات روسیه مورخ 13 فوریه 2008 تأیید شده است، اطلاعات سیستم به عنوان یک کل اختصاص داده شده است کلاس _.
رئیس کمیسیون:

قائم مقام مؤسسه

اعضای کمیسیون:

رئیس اداره حسابداری

و گزارش

رئیس بخش سیاست منابع انسانی

متخصص ارشد

فهرستی از سیستم های اطلاعات شخصی (PDIS) که در آن ها باید از امنیت اطمینان حاصل شود

اطلاعات

خیر	نام ISPDn (بخش جزء آن)	نام شی (کامل و مخفف) وابستگی به صنعت (بخشی). آدرس ملک	داده های اولیه طبقه بندی ISPD					کلاس ISPD	توجه داشته باشید
			ساختار ISPD	در دسترس بودن اتصالات به شبکه های SSOP و LEB (اینترنت)	حالت پردازش PD	محدودیت های دسترسی کاربر	محل ISPDn (اجزای آن) در روسیه








1	2	3	4	5	6	7	8	9	10
1

* ستون 10 نشان می دهد اطلاعات اضافیدر مورد سیستمی که مالک سیستم برای درج در لیست لازم می داند، اطلاعات مورد استفاده در طبقه بندی ISPDn را مطابق با روش طبقه بندی سیستم های اطلاعات شخصی (پیوست به ترتیب) نشان می دهد. FSTEC روسیه، FSB روسیه، وزارت اطلاعات و ارتباطات روسیه مورخ 13 فوریه 2008. شماره 55/86/20 "در مورد تایید رویه طبقه بندی سیستم های اطلاعات داده های شخصی").

اطلاعات مربوط به سیستم اطلاعات داده های شخصی

№ p/p	مسائل تحت پوشش	پاسخ دهید
1	نام سیستم اطلاعات شخصی (PDIS)، توسعه دهنده سیستم.	به عنوان مثال: "1C Enterprise"، شرکت 1C
2	کلاس ISPD	کلاس IPDN را مطابق با قانون طبقه بندی مشخص کنید
3	اهداف و وضعیت ISPD	مشخص کنید که چرا و بر چه اساسی ایجاد شده اند (طبق قانون، برای انجام قرارداد با یک شرکت بیمه، به ابتکار خودشان و غیره) به عنوان مثال: نگهداری پرسنل و سوابق حسابداری برای کارکنان، ایجاد شده طبق قانون
4	حجم و ترکیب ISPDn	تعداد موضوعات داده های شخصی پردازش شده در سیستم و محتوای اطلاعات (نام کامل، آدرس، شماره شناسایی مالیاتی، ملیت و غیره) را مشخص کنید.
5	منابع ISPDn	منابع به دست آوردن اطلاعات شخصی (از یک شهروند، از سایر موسسات آموزشی، از اشخاص ثالث و غیره) را ذکر کنید.
6	حالت پردازش و دسترسی به ISPDn	حالت پردازش (تک کاربر، چند کاربر)، ترتیب دسترسی (با یا بدون محدودیت) و نام سند تنظیم کننده دسترسی را در صورت وجود مشخص کنید. مثال: چند کاربره، با کنترل دسترسی، بدون مقررات.
7	کاربران ISPDn	مثال: کاربران داخلی (ادارات، واحدهای ساختاری). کاربران خارجی (نام سازمان ها).
8	روش های انتقال اطلاعات به کاربران	مثال: روشن رسانه کاغذی، در رسانه های ذخیره سازی مغناطیسی، از طریق کانال های ارتباطی امن و غیره.
9	اپراتور (ماده 3، بند 2 قانون فدرال-152) یا شخصی که پردازش PD را به عهده دارد (بند 10 "مقررات ..."). مبنای قانونی برای پردازش داده های شخصی (چه کسی این تصمیم را گرفته است و با چه سندی محافظت می شود).	نام کامل (طبق اساسنامه) و آدرس پستی سازمان، اسنادی که موسسه بر اساس آن فعالیت می کند را ذکر کنید. مثال: وزارت آموزش و پرورش و علوم جمهوری تاتارستان فرمان رئیس جمهور جمهوری تاتارستان "در مورد تغییر وزارت آموزش و پرورش جمهوری تاتارستان" مورخ 09.09.2004. شماره UP-570 مقررات مربوط به وزارت آموزش و علوم جمهوری تاتارستان
10	تاریخ شروع پردازش PD
11	ماندگاری	دوره های ذخیره سازی داده ها را برای هر یک از ISPD، در صورتی که مدت آن توسط قانون تعیین نشده باشد، تعیین کنید
12	شرایط و ضوابط برای خاتمه پردازش	مهلت‌هایی برای پردازش داده‌ها برای هر یک از ISPD تعیین کنید، اگر مدت زمان آن توسط قانون تعیین نشده باشد
13	اطلاعات در مورد گنجاندن ISPD در ثبت دولتی پایگاه های داده.

توجه داشته باشید: "مقررات مربوط به اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی" با فرمان دولت فدراسیون روسیه در 17 نوامبر 2007 شماره 781 تصویب شد. مرور کنید

سفارش دهید طبقه بندی سیستم های اطلاعاتی داده های شخصی

روش طبقه بندی سیستم های اطلاعات داده های شخصی

سفارش دهید انجام طبقه بندی سیستم های اطلاعات داده های شخصی

طرح جامع مواد روستایی ورونسک برای توجیه پروژه قسمت 1 شرح توجیه

کمیسیون متشکل از:

شما هم ممکن است دوست داشته باشید

سفارش دهید
طبقه بندی سیستم های اطلاعاتی داده های شخصی

سفارش دهید
انجام طبقه بندی سیستم های اطلاعات داده های شخصی