N 55/86/20 г. Москва «Об утверждении Порядка проведения классификации информационных систем персональных данных».

Как выполнить требования Федерального Закона № 152-ФЗ «О персональных данных»

Раздел XI
Порядок классификации
информационных систем персональных данных

53. Классификация ИСПДн проводится на этапе их создания или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых ИСПДн) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.

54. Проведение классификации ИСПДн состоит из:

а) сбора и анализа исходных данных по ИСПДн;

б) присвоения ИСПДн соответствующего класса и его документального оформления.

55. При проведении классификации ИСПДн учитываются:

а) категория обрабатываемых в ИСПДн персональных данных — Хпд;

б) объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в ИСПДн) — Хнпд;

в) заданные оператором характеристики безопасности персональных данных, обрабатываемых в ИСПДн;

г) структура ИСПДн;

д) наличие подключений ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена;

е) режим обработки персональных данных;

ж) режим разграничения прав доступа пользователей ИСПДн;

з) местонахождение технических средств ИСПДн.

56. Определяются следующие категории обрабатываемых в ИСПДн персональных данных (Хпд):

а) категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

б) категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

в) категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;

г) категория 4 — обезличенные и (или) общедоступные персональные данные.

57. Объем обрабатываемых персональных данных (Хнпд) может принимать следующие значения:

а) 1 — в ИСПДн одновременно обрабатываются персональные данные более чем 100 ООО субъектов персональных данных или персональные данные субъектов персональных данных в пределах Тверской области;

б) 2 — в ИСПДн одновременно обрабатываются персональные данные от 1 ООО до 100 ООО субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти (государственном органе) Тверской области, проживающих в пределах муниципального образования Тверской области;

в) 3 — в ИСПДн одновременно обрабатываются данные менее чем 1 ООО субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

58. Оператор определяет ИСПДн как типовую информационную систему ИСПДн, в которой требуется обеспечение только конфиденциальности персональных данных, и как специальную информационную систему ИСПДн, в которой вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). ‘

59. По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов:

а) класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

б) класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

в) класс 3 (КЗ) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

г) класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

60. Класс типовой информационной системы ИСПДн определяется в соответствии с нижеприведенной таблицей.

Хпд \ Хнпд

3

2

1

категория 4

К4

К4

К4

категория 3

КЗ

КЗ

К2

категория 2

КЗ

К2

К1

категория 1

К1

К1

К1

61. В случае выделения в составе ИСПДн подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.

62. Результаты классификации ИСПДн оформляются соответствующим актом оператора.

63. Класс ИСПДн пересматривается:

а) по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;

б) по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.

ВИДЕО ПО ТЕМЕ: Понятие информационной системы ИС, классификация ИС — Информатика 10-11 класс #22 — Инфоурок

Оформление актов классификации информационных систем персональных данных. После определения способов понижения класса ИСПДн.

Определение уровня защищенности персональных данных

Классификация информационных систем персональных данных (ИСПДн)

Классификация ИСПДн

В соответствии с Постановлением Правительства № 1119 от 1 ноября 2012г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» для ИСПДн установлено 4 уровня защищенности.

Для определения уровня защищенности необходимо определить тип информационной системы и актуальные угрозы.

По типам информационные системы делятся на:

  • Обрабатывающие специальные категории персональных данных;
  • Обрабатывающие биометрические персональные данные;
  • Обрабатывающие общедоступные персональные данные;
  • Обрабатывающие иные категории персональных данных;
  • Обрабатывающие персональные данные сотрудников оператора.

Актуальные угрозы делятся на следующие типы:

  • Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;
  • Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;
  • Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе;

Итоговое определение уровня защищенности информационной системы персональных данных производится на основании следующей таблицы:

Тип ИСПДн

Категории субъектов

Количество субъектов

Тип актуальных угроз

1 тип 

(НДВ в СПО)

2 тип(НДВ в ППО)

3 тип (нет НДВ)

ИСПДн-С(специальные)

Не сотрудников

Более 100 000

УЗ 1

УЗ 1

УЗ 2

Менее чем 100 000

УЗ 1

УЗ 2

УЗ 3

Сотрудников

Любое

УЗ 1

УЗ 2

УЗ 3

ИСПДн-Б(биометрические)

Любых

Любое

УЗ 1

УЗ 2

УЗ 3

ИСПДн-И (иные)

Не сотрудников

Более 100 000

УЗ 1

УЗ 2

УЗ 3

Менее чем 100 000

УЗ 1

УЗ 3

УЗ 4

Сотрудников

Любое

УЗ 1

УЗ 3

УЗ 4

ИСПДн-О(общедоступные)

Не сотрудников

Более 100 000

УЗ 2

УЗ 2

УЗ 4

Менее чем 100 000

УЗ 2

УЗ 3

УЗ 4

Сотрудников

Любое

УЗ 2

УЗ 3

УЗ 4

A B
1 ИТ ЭНИГМА
2 Полный прайс-лист
3 со скидками от 06.04.2020
4
5 Классификация информационных систем персональных данных (ИСПДн)
6

Коммерческое предложение будет отправлено на Вашу почту после ввода данных

Скачать прайс

A B
1 ИТ ЭНИГМА
2 Полный прайс-лист
3 со скидками от 06.04.2020
4
5 Классификация информационных систем персональных данных (ИСПДн)
6

Коммерческое предложение будет отправлено на Вашу почту после ввода данных

Скачать прайс

ВИДЕО ПО ТЕМЕ: Как определить уровень защищенности ПДн?

Классификация информационных систем персональных данных в соответствии с совместным приказом ФСТЭК, ФСБ, Министерства связи.

Классификация информационных систем персональных данных

Как классифицировать информационную систему персональных данных?

Ответ на вопрос: 

В соответствии с Постановлением Правительства «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012г. №1119 вместо классов ИСПДн введены уровни защищенности.

Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.

Постановление Правительства № 1119 от 1 ноября 2012

Требованиями к защите ПДн при их обработке в информационных системах (Утв. Постановлением Правительства № 1119 от 01.11.2012) установлены 4 уровня защищенности персональных данных, различающихся перечнем необходимых к выполнению требований по защите информационных систем.

Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.

Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;

3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

  • обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
  • обработка персональных данных субъектов, не являющихся работниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

  • менее 100 000 субъектов;
  • более 100 000 субъектов;

К какой категории относить объем, который составляет ровно 100 000 субъектов, к сожалению, не понятно. Вот такая коллизия. Правовой вакуум, как любят говорить наши нормотворцы…

И наконец, типы актуальных угроз:

  • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
  • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
  • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

Как установить тип актуальных угроз не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности.

Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:

В зависимости от уровня защищенности ПДн определяется перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных.

ВИДЕО ПО ТЕМЕ: Классификация информации и персональных данных

Проведение классификации ИСПДн включает в себя следующие этапы: сбор и анализ исходных данных по информационной системе;; присвоение.