LetterPrava - conseils juridiques gratuits. La procédure de classification des systèmes d'information de données personnelles Directeur du Service fédéral de sécurité

Le but du site LetterPrava est d'aider les gens ordinaires qui n'ont pas de formation juridique, à comprendre comment résoudre les problèmes et les problèmes quotidiens.

LetterPrava est un site Web qui fournit une assistance juridique à tous les citoyens ayant besoin de conseils professionnels... Nous acceptons les questions sur toutes les branches du droit russe et fournissons des conseils juridiques en ligne.

Qu'est-ce que le conseil juridique en ligne

Nos concitoyens sont depuis longtemps habitués au fait que vous devez payer pour tout service reçu, donc un conseil juridique gratuit leur semble moins fiable que la même information reçue lors d'une rencontre avec un notaire ou un avocat.

Veuillez noter que conseils juridiques en ligne sont réglementés par la loi fédérale n° 324 du 21 novembre 2011 sur la fourniture d'une assistance juridique et sont encouragés par le programme d'État travaillant dans le domaine du soutien à la population du pays dans le domaine du droit.

Ainsi, l'assistance juridique en ligne est une véritable chance d'obtenir des conseils professionnels de premier ordre et de trouver des moyens de résoudre le problème. Pour ce faire, vous n'avez pas besoin de prendre rendez-vous et de perdre du temps dans les files d'attente.

La pratique « avocat en ligne » vous permet de trouver en urgence la réponse à une enquête juridique en cours. Si la situation décrite fait référence à un sujet fréquemment discuté et ne contient pas d'embûches, alors l'assistance d'un avocat ne prendra que quelques minutes. Il faudra plus de temps pour résoudre des problèmes complexes. Pour obtenir des conseils juridiques qui correspondent pleinement à la situation actuelle, vous devrez répondre à des questions supplémentaires, fournir des informations sur les circonstances qui l'accompagnent ou simplement formuler le sujet plus clairement et en détail.

Les services juridiques vous permettent de prendre rapidement une décision et d'éviter les erreurs lors de l'évaluation d'une situation qui s'est présentée ou de la résolution d'un problème litigieux.

Ce que propose le site LetterPrava

Des avocats expérimentés spécialisés dans diverses branches de la législation et menant une pratique quotidienne travaillent pour vous. Toutes les consultations d'un avocat sont compilées en tenant compte de l'état actuel du domaine juridique.

Ici tu peux:

  • lire des articles sur des sujets d'actualité et intéressants de nombreux droits du travail, civil et familial
  • obtenir des conseils juridiques en ligne en posant des questions sur numéro sans frais téléphone ou en formulant le problème sous la forme d'une demande écrite
  • se renseigner sur les nouveaux changements dans la législation et clarifier l'efficacité des normes législatives existantes
  • garder une totale confidentialité questions posées et réponses, puisque nous ne demandons pas de documents d'identité
  • voir votre situation du point de vue des normes et de la pratique judiciaire en vigueur et évaluer les perspectives de résolution du problème.

Nous offrons l'assistance gratuite d'un avocat à toute personne ayant besoin de réponses qualifiées urgentes aux cas qui se sont présentés.

Ici vous trouverez:

  • Articles clarifiant diverses situations d'un point de vue juridique
  • Instructions pas à pas pour les problèmes urgents
  • Glossaire des termes juridiques
  • Modèles de documents fréquemment utilisés
  • Répertoire des adresses des services et organismes nécessaires

Derniers articles et instructions pas à pas

Nous ajoutons chaque jour de nouveaux articles sur des sujets d'actualité. Si vous n'êtes pas notre réponse à votre question, écrivez-nous [email protégé], nous comprendrons le problème et publierons l'article sous peu.

Et si vous avez une question relative au droit de la famille, vous pouvez vous rendre sur le site Web de Vnebrak, où vous pouvez obtenir l'aide d'un avocat en ligne sur les questions familiales : mariage et divorce, pension alimentaire, héritage, droits parentaux et divers types d'avantages.

Ordre du Service fédéral du contrôle technique et des exportations, du Service fédéral de sécurité de la Fédération de Russie et du Ministère des technologies de l'information et des communications de la Fédération de Russie
du 13 février 2008 N 55/86/20
« Sur l'approbation de la Procédure de classification des systèmes d'information sur les données personnelles »

Conformément à l'article 6 du règlement relatif à la garantie de la sécurité des données à caractère personnel lors de leur traitement dans systèmes d'information ah les données personnelles approuvées par le gouvernement Fédération Russe en date du 17 novembre 2007 N 781 "Sur l'approbation du règlement visant à garantir la sécurité des données personnelles lors de leur traitement dans des systèmes d'information sur les données personnelles" (Législation collective de la Fédération de Russie, 2007, N 48, Partie II, Art. 6001), nous commandons:

Approuver ci-joint Commander classification des systèmes d'information sur les données personnelles.

Immatriculation N 11462

Commander
classification des systèmes d'information de données personnelles

1. La présente Procédure détermine la classification des systèmes d'information sur les données personnelles, qui sont un ensemble de données personnelles contenues dans des bases de données, ainsi que technologies de l'information et des moyens techniques qui permettent le traitement de ces données personnelles à l'aide d'outils d'automatisation (ci-après - systèmes d'information) * .

2. La classification des systèmes d'information est effectuée par les organes de l'État, les organes municipaux, les personnes morales et les personnes physiques organisant et (ou) réalisant le traitement des données personnelles, ainsi que la détermination des finalités et du contenu du traitement des données personnelles (ci-après dénommé l'opérateur) ** .

3. La classification des systèmes d'information est effectuée au stade de la création des systèmes d'information ou au cours de leur exploitation (pour les systèmes d'information précédemment mis en service et (ou) modernisés) afin d'établir les méthodes et modalités de protection de l'information nécessaires pour assurer la sécurité des personnes Les données.

4. La réalisation de la classification des systèmes d'information comprend les étapes suivantes :

collecte et analyse des premières données sur le système d'information :

attribution d'une classe appropriée au système d'information et à sa documentation.

5. Lors de la réalisation de la classification du système d'information, les données initiales suivantes sont prises en compte :

le volume de données personnelles traitées (le nombre de personnes concernées dont les données personnelles sont traitées dans le système d'information) - ;

les caractéristiques de sécurité des données personnelles traitées dans le système d'information définies par l'opérateur ;

structure du système d'information;

disponibilité des connexions du système d'information aux réseaux publics de communication et (ou) aux réseaux internationaux d'échange d'informations ;

mode de traitement des données personnelles ;

mode de différenciation des droits d'accès des utilisateurs du système d'information ;

la localisation des moyens techniques du système d'information.

6. Les catégories suivantes de données personnelles traitées dans le système d'information sont déterminées :

7.peut prendre les valeurs suivantes :

1 - le système d'information traite simultanément les données personnelles de plus de 100 000 personnes concernées ou les données personnelles des personnes concernées au sein d'une entité constitutive de la Fédération de Russie ou de la Fédération de Russie dans son ensemble ;

2 - le système d'information traite simultanément les données personnelles de 1000 à 100 000 personnes concernées ou les données personnelles des personnes concernées travaillant dans l'économie de la Fédération de Russie, dans l'autorité de l'État vivant au sein de la municipalité ;

3 - le système d'information traite simultanément les données de moins de 1000 personnes concernées ou les données personnelles des personnes concernées au sein d'une organisation particulière.

8. Selon les caractéristiques de sécurité des données personnelles traitées dans le système d'information spécifiées par l'opérateur, les systèmes d'information sont divisés en systèmes d'information standard et spéciaux.

Les systèmes d'information typiques sont des systèmes d'information dans lesquels seule la confidentialité des données personnelles est requise.

Les systèmes d'information spéciaux sont des systèmes d'information dans lesquels, indépendamment de la nécessité d'assurer la confidentialité des données personnelles, il est nécessaire d'assurer au moins une des caractéristiques de sécurité des données personnelles, autre que la confidentialité (protection contre la destruction, l'altération, le blocage, comme ainsi que d'autres actions non autorisées).

Les systèmes d'information spéciaux devraient inclure :

systèmes d'information dans lesquels sont traitées des données personnelles concernant l'état de santé des sujets de données personnelles ;

systèmes d'information, qui prévoient l'adoption sur la base des seules traitement automatisé les décisions relatives aux données personnelles qui entraînent des conséquences juridiques en rapport avec le sujet des données personnelles ou affectant d'une autre manière ses droits et intérêts légitimes.

9. Par structure, les systèmes d'information sont subdivisés :

pour les complexes autonomes (non connectés à d'autres systèmes d'information) de matériel et de logiciels conçus pour le traitement de données personnelles (postes de travail) ;

pour des complexes de postes de travail automatisés, réunis en un seul système d'information par des moyens de communication sans recours à la technologie d'accès à distance (systèmes d'information locaux) ;

sur des ensembles de postes de travail automatisés et (ou) de systèmes d'information locaux, réunis en un seul système d'information par le biais d'une communication utilisant la technologie d'accès à distance (systèmes d'information distribués).

10. Selon la disponibilité des connexions aux réseaux publics de communication et (ou) aux réseaux d'échange international d'informations, les systèmes d'information sont subdivisés en systèmes avec connexions et systèmes sans connexions.

11. Selon le mode de traitement des données personnelles dans le système d'information, les systèmes d'information sont divisés en mono-utilisateur et multi-utilisateur.

12. Par différenciation des droits d'accès des utilisateurs, les systèmes d'information sont subdivisés en systèmes sans différenciation des droits d'accès et systèmes avec différenciation des droits d'accès.

13. Les systèmes d'information, selon l'emplacement de leurs moyens techniques, sont subdivisés en systèmes, dont tous les moyens techniques sont situés dans la Fédération de Russie, et en systèmes dont les moyens techniques sont partiellement ou totalement en dehors de la Fédération de Russie.

14. Sur la base des résultats de l'analyse des données initiales, un système d'information type se voit attribuer l'une des classes suivantes :

classe 1 (K1) - systèmes d'information pour lesquels une violation des caractéristiques de sécurité spécifiées des données personnelles qui y sont traitées peut avoir des conséquences négatives importantes pour les sujets des données personnelles ;

classe 2 (K2) - systèmes d'information pour lesquels une violation des caractéristiques de sécurité spécifiées des données personnelles qui y sont traitées peut avoir des conséquences négatives pour les sujets des données personnelles ;

classe 3 (K3) - systèmes d'information pour lesquels une violation des caractéristiques de sécurité spécifiées des données personnelles qui y sont traitées peut entraîner des conséquences négatives mineures pour les sujets des données personnelles ;

classe 4 (K4) - systèmes d'information pour lesquels une violation des caractéristiques de sécurité spécifiées des données personnelles qui y sont traitées n'entraîne pas de conséquences négatives pour les sujets des données personnelles.

15. La classe d'un système d'information type est déterminée conformément au tableau.

┌──────────────────────────┬──────────────┬──────────────┬──────────────┐

Х_нпд│ 3 2 │ 1 │

│ \ │ │ │ │

_пд │ │ │ │

├──────────────────────────┼──────────────┼──────────────┼──────────────┤

├──────────────────────────┼──────────────┼──────────────┼──────────────┤

├──────────────────────────┼──────────────┼──────────────┼──────────────┤

└──────────────────────────┴──────────────┴──────────────┴──────────────┘

16. Sur la base des résultats de l'analyse des données initiales, la classe du système d'information spécial est déterminée sur la base d'un modèle de menaces pour la sécurité des données personnelles conformément aux documents méthodologiques élaborés conformément au paragraphe 2 de le décret du gouvernement de la Fédération de Russie du 17 novembre 2007 N 781 "sur l'approbation du règlement sur la garantie de la sécurité des données personnelles lors de leur traitement dans les systèmes d'information sur les données personnelles " *** .

17. En cas de séparation de sous-systèmes dans le système d'information, dont chacun est un système d'information, le système d'information dans son ensemble se voit attribuer une classe correspondant à la classe la plus élevée de sous-systèmes qui le composent.

18. Les résultats de la classification des systèmes d'information sont formalisés par l'acte approprié de l'exploitant.

19. La classe du système d'information peut être révisée :

à la décision de l'opérateur sur la base de son analyse et de son évaluation des menaces sur la sécurité des données personnelles, en tenant compte des fonctionnalités et (ou) des évolutions d'un système d'information spécifique ;

sur la base des résultats des mesures de contrôle du respect des exigences visant à assurer la sécurité des données personnelles lors de leur traitement dans le système d'information.

______________________________

* Paragraphe 1 de l'article 1 du Règlement sur la garantie de la sécurité des données personnelles lors de leur traitement dans les systèmes d'information sur les données personnelles, approuvé par le gouvernement de la Fédération de Russie du 17 novembre 2007 N 781 (Législation collective de la Fédération de Russie, 2007, N 48, partie II, art. 6001 ) (ci-après dénommé le règlement).

20 86 ...

  • Plan général des matériaux ruraux de Voronskoye pour la justification du projet partie 1 description des justifications

    Document

    POSITION 13 2. CONDITIONS NATURELLES 13 3. Climat. 13 4. ... l'éducation 86 20 ... Enseignement général 86 21 ... mille roubles 2008a... 2009 2009 / 2008a.,% 2010 ... le village d'Alexandrovo N5520 RES 0.8, village Konyukhovo N56 20 RES 0, ... dans la Fédération de Russie " à partir de 6 février 2003 Non. ...

  • Loi

    Édition 86 journaux général ... congrès. Document N55

    • Dans le cadre de l'invalidation du décret du gouvernement de la Fédération de Russie du 17 novembre 2007 n° 781 « sur l'approbation du règlement visant à garantir la sécurité des données personnelles lors de leur traitement dans les systèmes d'information sur les données personnelles » (législation collective du Fédération de Russie, 2007, n° 48, article 6001) nous commandons :

    invalider l'arrêté du Service fédéral du contrôle technique et des exportations, du Service fédéral de sécurité de la Fédération de Russie et du Ministère des technologies de l'information et des communications de la Fédération de Russie du 13 février 2008 n° 55/86/20 "sur l'approbation de la Procédure de classification des systèmes d'information sur les données personnelles" (enregistrée par le ministère de la Justice de la Fédération de Russie le 3 avril 2008, enregistrement n° 11462).

    Le ministre
    communication et communication de masse
    Fédération Russe    		 N. Nikiforov

    Aperçu des documents

    L'arrêté conjoint du FSTEC de Russie, du FSB de Russie et du ministère des Technologies de l'information de Russie, qui a approuvé la procédure de classification des systèmes d'information de données personnelles, est reconnu invalide.

    Le fait est que le règlement sur la garantie de la sécurité des données personnelles lors de leur traitement dans les systèmes d'information sur les données personnelles, approuvé par le gouvernement de la Fédération de Russie du 17 novembre 2007 N 781, a cessé de s'appliquer. l'arrêté du 1er novembre 2012 N 1119.

    Ordre du Service fédéral du contrôle technique et des exportations (FSTEC de Russie) du Service fédéral de sécurité de la Fédération de Russie (FSB de Russie) du Ministère des technologies de l'information et des communications de la Fédération de Russie (Ministère des technologies de l'information de Russie) de 13 février 2008 N 55/86/20 Moscou

    « Sur l'approbation de la Procédure de classification des systèmes d'information sur les données personnelles »

    Conformément à l'article 6 du règlement sur la garantie de la sécurité des données personnelles lors de leur traitement dans les systèmes d'information sur les données personnelles, approuvé par le gouvernement de la Fédération de Russie du 17 novembre 2007 N 781 "En ce qui concerne l'approbation du règlement sur la garantie de la sécurité des données personnelles lors de leur traitement dans les systèmes d'information sur les données personnelles "(Législation collective de la Fédération de Russie, 2007, N 48, Partie II, Art. 6001), nous commandons:

    Approuver la Procédure ci-jointe pour la classification des systèmes d'information sur les données personnelles.

    Directeur du FSTEC S. Grigorov

    Directeur du FSB de la Fédération de Russie N. Patrushev

    Ministre des technologies de l'information et des communications de la Fédération de Russie L. Reiman

    La procédure de classification des systèmes d'information sur les données personnelles

    1. La présente Procédure détermine la classification des systèmes d'information sur les données personnelles, qui sont une collection de données personnelles contenues dans des bases de données, ainsi que les technologies de l'information et les moyens techniques qui permettent le traitement de ces données personnelles à l'aide d'outils d'automatisation (ci-après - systèmes d'information) 1 .

    2. La classification des systèmes d'information est effectuée par les organes de l'État, les organes municipaux, les personnes morales et les personnes physiques organisant et (ou) réalisant le traitement des données personnelles, ainsi que la détermination des finalités et du contenu du traitement des données personnelles (ci-après dénommé l'opérateur) 2.

    3. La classification des systèmes d'information est effectuée au stade de la création des systèmes d'information ou au cours de leur exploitation (pour les systèmes d'information précédemment mis en service et (ou) modernisés) afin d'établir les méthodes et modalités de protection de l'information nécessaires pour assurer la sécurité des personnes Les données.

    4. La réalisation de la classification des systèmes d'information comprend les étapes suivantes :

    collecte et analyse des premières données sur le système d'information :

    attribution d'une classe appropriée au système d'information et à sa documentation.

    5. Lors de la réalisation de la classification du système d'information, les données initiales suivantes sont prises en compte :

    Le volume de données personnelles traitées (le nombre de personnes concernées dont les données personnelles sont traitées dans le système d'information) - X npd ; (p. 7)

    Les caractéristiques spécifiées par l'opérateur (c'est-à-dire la sécurité des seules "configurations", ou également contre la destruction, la modification, le blocage, ainsi que d'autres actions non autorisées) de la sécurité des données personnelles traitées dans le système d'information (voir article 8) ;

    La structure du système d'information (p. 9) ;

    Disponibilité des connexions du système d'information aux réseaux publics de communication et (ou) aux réseaux internationaux d'échange d'informations (article 10);

    Mode de traitement des données personnelles (article 11) ;

    Mode de différenciation des droits d'accès des utilisateurs du système d'information (article 12) ;

    La localisation des moyens techniques du système d'information (article 13).

    6. Les catégories suivantes de données personnelles traitées dans le système d'information (X pd) sont déterminées :

    7. X npd peut prendre les valeurs suivantes :

    1 - le système d'information traite simultanément les données personnelles de plus de 100 000 personnes concernées ou les données personnelles des personnes concernées au sein d'une entité constitutive de la Fédération de Russie ou de la Fédération de Russie dans son ensemble ;

    2 - le système d'information traite simultanément les données personnelles de 1000 à 100 000 sujets de données personnelles ou les données personnelles de sujets de données personnelles travaillant dans l'industrie de la Fédération de Russie, dans un organisme gouvernemental résidant dans la municipalité ;

    3 - le système d'information traite simultanément les données de moins de 1000 personnes concernées ou les données personnelles des personnes concernées au sein d'une organisation particulière.

    8. Selon les caractéristiques de sécurité des données personnelles traitées dans le système d'information spécifiées par l'opérateur, les systèmes d'information sont divisés en systèmes d'information standard et spéciaux.

    Les systèmes d'information typiques sont des systèmes d'information dans lesquels seule la confidentialité des données personnelles est requise.

    Les systèmes d'information spéciaux sont des systèmes d'information dans lesquels, indépendamment de la nécessité d'assurer la confidentialité des données personnelles, il est nécessaire d'assurer au moins une des caractéristiques de sécurité des données personnelles, autre que la confidentialité (protection contre la destruction, l'altération, le blocage, comme ainsi que d'autres actions non autorisées).

    Les systèmes d'information spéciaux devraient inclure :

    systèmes d'information dans lesquels sont traitées des données personnelles concernant l'état de santé des sujets de données personnelles ;

    systèmes d'information, qui prévoient l'adoption, sur la base d'un traitement exclusivement automatisé de données à caractère personnel, de décisions générant des conséquences juridiques en rapport avec le sujet des données à caractère personnel ou affectant d'une autre manière ses droits et intérêts légitimes.

    9. Par structure, les systèmes d'information sont subdivisés :

    pour les complexes autonomes (non connectés à d'autres systèmes d'information) de matériel et de logiciels conçus pour le traitement de données personnelles (postes de travail) ;

    pour des complexes de postes de travail automatisés, réunis en un seul système d'information par des moyens de communication sans recours à la technologie d'accès à distance (systèmes d'information locaux) ;

    sur des ensembles de postes de travail automatisés et (ou) de systèmes d'information locaux, réunis en un seul système d'information par le biais d'une communication utilisant la technologie d'accès à distance (systèmes d'information distribués).

    10. Selon la disponibilité des connexions aux réseaux publics de communication et (ou) aux réseaux d'échange international d'informations, les systèmes d'information sont subdivisés en systèmes avec connexions et systèmes sans connexions.

    11. Selon le mode de traitement des données personnelles dans le système d'information, les systèmes d'information sont divisés en mono-utilisateur et multi-utilisateur.

    12. Par différenciation des droits d'accès des utilisateurs, les systèmes d'information sont subdivisés en systèmes sans différenciation des droits d'accès et systèmes avec différenciation des droits d'accès.

    13. Les systèmes d'information, selon l'emplacement de leurs moyens techniques, sont subdivisés en systèmes, dont tous les moyens techniques sont situés dans la Fédération de Russie, et en systèmes dont les moyens techniques sont partiellement ou totalement en dehors de la Fédération de Russie.

    14. Sur la base des résultats de l'analyse des données initiales, un système d'information type se voit attribuer l'une des classes suivantes :

    classe 1 (K1) - systèmes d'information pour lesquels une violation des caractéristiques de sécurité spécifiées des données personnelles qui y sont traitées peut avoir des conséquences négatives importantes pour les sujets des données personnelles ;

    classe 2 (K2) - systèmes d'information pour lesquels une violation des caractéristiques de sécurité spécifiées des données personnelles qui y sont traitées peut avoir des conséquences négatives pour les sujets des données personnelles ;

    classe 3 (K3) - systèmes d'information pour lesquels une violation des caractéristiques de sécurité spécifiées des données personnelles qui y sont traitées peut entraîner des conséquences négatives mineures pour les sujets des données personnelles ;

    classe 4 (K4) - systèmes d'information pour lesquels une violation des caractéristiques de sécurité spécifiées des données personnelles qui y sont traitées n'entraîne pas de conséquences négatives pour les sujets des données personnelles.

    15. La classe d'un système d'information type est déterminée conformément au tableau.

    16. Sur la base des résultats de l'analyse des données initiales, la classe du système d'information spécial est déterminée sur la base d'un modèle de menaces pour la sécurité des données personnelles conformément aux documents méthodologiques élaborés conformément au paragraphe 2 de le décret du gouvernement de la Fédération de Russie du 17 novembre 2007 N 781 "sur l'approbation du règlement sur la garantie de la sécurité des données personnelles lors de leur traitement dans les systèmes d'information de données personnelles "3.

    17. En cas de séparation de sous-systèmes dans le système d'information, dont chacun est un système d'information, le système d'information dans son ensemble se voit attribuer une classe correspondant à la classe la plus élevée de sous-systèmes qui le composent.

    18. Les résultats de la classification des systèmes d'information sont formalisés par l'acte approprié de l'exploitant.

    19. La classe du système d'information peut être révisée :

    à la décision de l'opérateur sur la base de son analyse et de son évaluation des menaces sur la sécurité des données personnelles, en tenant compte des fonctionnalités et (ou) des évolutions d'un système d'information spécifique ;

    sur la base des résultats des mesures de contrôle du respect des exigences visant à assurer la sécurité des données personnelles lors de leur traitement dans le système d'information.

    1 Paragraphe 1 de l'article 1 du Règlement sur la garantie de la sécurité des données personnelles lors de leur traitement dans les systèmes d'information sur les données personnelles, approuvé par le décret du gouvernement de la Fédération de Russie du 17 novembre 2007 n°.

    n° 781 (Législation collective de la Fédération de Russie, 2007, n° 48, partie II,

    2 Alinéa un de l'article 6 du Règlement.

    3 Législation collective de la Fédération de Russie 2007, N 48, Partie II, Art. 6001.

    SERVICE FÉDÉRAL TECHNIQUE ET CONTRLE DES EXPORTATIONS

    SERVICE FÉDÉRAL DE SÉCURITÉ DE LA FÉDÉRATION DE RUSSIE

    MINISTÈRE DES TECHNOLOGIES DE L'INFORMATION ET DES COMMUNICATIONS
    FÉDÉRATION RUSSE

    Sur approbation de la Procédure de classification des systèmes d'information sur les données personnelles


    Supprimé le 11 mars 2014 sur la base de
    arrêté conjoint du FSTEC de Russie, du FSB de Russie et du ministère des télécommunications et des communications de masse de la Russie
    du 31 décembre 2013 N 151/786/461
    ____________________________________________________________________


    Conformément à l'article 6 du règlement sur la garantie de la sécurité des données personnelles lors de leur traitement dans les systèmes d'information sur les données personnelles, approuvé par le gouvernement de la Fédération de Russie du 17 novembre 2007 N 781 "En ce qui concerne l'approbation du règlement sur la garantie de la sécurité des données personnelles lors de leur traitement dans les systèmes d'information sur les données personnelles" (Législation collective de la Fédération de Russie, 2007, N 48, Partie II, Article 6001),

    nous commandons:

    Approuver la Procédure ci-jointe pour la classification des systèmes d'information sur les données personnelles.

    Directeur du Service fédéral
    pour les techniques et
    contrôle des exportations
    S. Grigorov

    directeur de la Fédéral
    Services de sécurité
    Fédération Russe
    H. Patrouchev

    Ministre des technologies de l'information
    et communications de la Fédération de Russie
    L. Reiman


    Inscrit
    au ministère de la justice
    Fédération Russe
    3 avril 2008
    immatriculation N 11462

    La procédure de classification des systèmes d'information sur les données personnelles

    APPROUVÉ PAR
    par ordre du FSTEC de Russie,
    FSB de Russie,
    Ministère de l'Information et de la Communication de Russie
    du 13 février 2008 N 55/86/20

    1. La présente Procédure détermine la classification des systèmes d'information sur les données personnelles, qui sont une collection de données personnelles contenues dans des bases de données, ainsi que les technologies de l'information et les moyens techniques qui permettent le traitement de ces données personnelles à l'aide d'outils d'automatisation (ci-après dénommés systèmes d'information ).
    ________________
    Paragraphe 1 de la clause 1 du règlement sur la garantie de la sécurité des données personnelles lors de leur traitement dans les systèmes d'information de données personnelles, approuvé par le gouvernement de la Fédération de Russie du 17 novembre 2007 N 781 (Législation collective de la Fédération de Russie, 2007, N 48, partie II, article 6001) (ci-après dénommé le Règlement).

    2. La classification des systèmes d'information est effectuée par les organes de l'État, les organes municipaux, les personnes morales et les personnes physiques organisant et (ou) réalisant le traitement des données personnelles, ainsi que la détermination des finalités et du contenu du traitement des données personnelles (ci-après dénommé l'opérateur).
    ________________
    Le premier alinéa de l'article 6 du Règlement.

    3. La classification des systèmes d'information est effectuée au stade de la création des systèmes d'information ou au cours de leur exploitation (pour les systèmes d'information précédemment mis en service et (ou) modernisés) afin d'établir les méthodes et modalités de protection de l'information nécessaires pour assurer la sécurité des personnes Les données. * 3)

    4. La réalisation de la classification des systèmes d'information comprend les étapes suivantes :

    collecte et analyse des premières données sur le système d'information ;

    attribution d'une classe appropriée au système d'information et à sa documentation.

    5. Lors de la réalisation de la classification du système d'information, les données initiales suivantes sont prises en compte :

    la catégorie de données personnelles traitées dans le système d'information - ;

    le volume de données personnelles traitées (le nombre de personnes concernées dont les données personnelles sont traitées dans le système d'information) - ;

    les caractéristiques de sécurité des données personnelles traitées dans le système d'information définies par l'opérateur ;

    structure du système d'information;

    disponibilité des connexions du système d'information aux réseaux publics de communication et (ou) aux réseaux internationaux d'échange d'informations ;

    mode de traitement des données personnelles ;

    mode de différenciation des droits d'accès des utilisateurs du système d'information ;

    la localisation des moyens techniques du système d'information.

    6. Les catégories suivantes de données personnelles traitées dans le système d'information sont déterminées ():

    catégorie 1 - données personnelles concernant la race, la nationalité, les opinions politiques, les convictions religieuses et philosophiques, l'état de santé, la vie intime ;

    catégorie 2 - données personnelles qui vous permettent d'identifier le sujet des données personnelles et d'obtenir des informations supplémentaires à son sujet, à l'exception des données personnelles appartenant à la catégorie 1 ;

    catégorie 3 - données personnelles qui vous permettent d'identifier le sujet des données personnelles ;

    catégorie 4 - données personnelles anonymisées et (ou) accessibles au public.

    7.peut prendre les valeurs suivantes :

    1 - le système d'information traite simultanément les données personnelles de plus de 100 000 personnes concernées ou les données personnelles des personnes concernées au sein d'une entité constitutive de la Fédération de Russie ou de la Fédération de Russie dans son ensemble ;

    2 - le système d'information traite simultanément les données personnelles de 1 000 à 100 000 personnes concernées ou les données personnelles des personnes concernées travaillant dans l'industrie de l'économie de la Fédération de Russie, dans une autorité publique résidant dans la municipalité ;

    3 - le système d'information traite simultanément les données de moins de 1000 personnes concernées ou les données personnelles des personnes concernées au sein d'une organisation particulière.

    8. Selon les caractéristiques de sécurité des données personnelles traitées dans le système d'information spécifiées par l'opérateur, les systèmes d'information sont divisés en systèmes d'information standard et spéciaux.

    Les systèmes d'information typiques sont des systèmes d'information dans lesquels seule la confidentialité des données personnelles est requise.

    Les systèmes d'information spéciaux sont des systèmes d'information dans lesquels, indépendamment de la nécessité d'assurer la confidentialité des données personnelles, il est nécessaire d'assurer au moins une des caractéristiques de sécurité des données personnelles, autre que la confidentialité (protection contre la destruction, l'altération, le blocage, comme ainsi que d'autres actions non autorisées).

    Les systèmes d'information spéciaux devraient inclure :

    systèmes d'information dans lesquels sont traitées des données personnelles concernant l'état de santé des sujets de données personnelles ;

    systèmes d'information, qui prévoient l'adoption, sur la base d'un traitement exclusivement automatisé de données à caractère personnel, de décisions générant des conséquences juridiques en rapport avec le sujet des données à caractère personnel ou affectant d'une autre manière ses droits et intérêts légitimes.

    9. Par structure, les systèmes d'information sont subdivisés :

    pour les complexes autonomes (non connectés à d'autres systèmes d'information) de matériel et de logiciels conçus pour le traitement de données personnelles (postes de travail) ;

    pour des complexes de postes de travail automatisés, réunis en un seul système d'information par des moyens de communication sans recours à la technologie d'accès à distance (systèmes d'information locaux) ;

    sur des ensembles de postes de travail automatisés et (ou) de systèmes d'information locaux, réunis en un seul système d'information par le biais d'une communication utilisant la technologie d'accès à distance (systèmes d'information distribués).

    10. Selon la disponibilité des connexions aux réseaux publics de communication et (ou) aux réseaux d'échange international d'informations, les systèmes d'information sont subdivisés en systèmes avec connexions et systèmes sans connexions.

    11. Selon le mode de traitement des données personnelles dans le système d'information, les systèmes d'information sont divisés en mono-utilisateur et multi-utilisateur.

    12. Par différenciation des droits d'accès des utilisateurs, les systèmes d'information sont subdivisés en systèmes sans différenciation des droits d'accès et systèmes avec différenciation des droits d'accès.

    13. Les systèmes d'information, selon l'emplacement de leurs moyens techniques, sont subdivisés en systèmes, dont tous les moyens techniques sont situés dans la Fédération de Russie, et en systèmes dont les moyens techniques sont partiellement ou totalement en dehors de la Fédération de Russie.

    14. Sur la base des résultats de l'analyse des données initiales, un système d'information type se voit attribuer l'une des classes suivantes :

    classe 1 (K1) - systèmes d'information pour lesquels une violation des caractéristiques de sécurité spécifiées des données personnelles qui y sont traitées peut avoir des conséquences négatives importantes pour les sujets des données personnelles ;

    classe 2 (K2) - systèmes d'information pour lesquels une violation des caractéristiques de sécurité spécifiées des données personnelles qui y sont traitées peut avoir des conséquences négatives pour les sujets des données personnelles ;

    classe 3 (K3) - systèmes d'information pour lesquels une violation des caractéristiques de sécurité spécifiées des données personnelles qui y sont traitées peut entraîner des conséquences négatives mineures pour les sujets des données personnelles ;

    classe 4 (K4) - systèmes d'information pour lesquels une violation des caractéristiques de sécurité spécifiées des données personnelles qui y sont traitées n'entraîne pas de conséquences négatives pour les sujets des données personnelles.

    15. La classe d'un système d'information type est déterminée conformément au tableau.

    16. Sur la base des résultats de l'analyse des données initiales, la classe du système d'information spécial est déterminée sur la base d'un modèle de menaces pour la sécurité des données personnelles conformément aux documents méthodologiques élaborés conformément au paragraphe 2 de le décret du gouvernement de la Fédération de Russie du 17 novembre 2007 N 781 « données lors de leur traitement dans les systèmes d'information de données personnelles ».
    ________________
    Recueil de la législation de la Fédération de Russie, 2007, N 48, Partie II, Article 6001.

    17. En cas de séparation de sous-systèmes dans le système d'information, dont chacun est un système d'information, le système d'information dans son ensemble se voit attribuer une classe correspondant à la classe la plus élevée de sous-systèmes qui le composent.

    18. Les résultats de la classification des systèmes d'information sont formalisés par l'acte approprié de l'exploitant.

    19. La classe du système d'information peut être révisée :

    à la décision de l'opérateur sur la base de son analyse et de son évaluation des menaces sur la sécurité des données personnelles, en tenant compte des fonctionnalités et (ou) des évolutions d'un système d'information spécifique ;

    sur la base des résultats des mesures de contrôle du respect des exigences visant à assurer la sécurité des données personnelles lors de leur traitement dans le système d'information.



    Texte électronique du document
    préparé par CJSC "Kodeks" et vérifié par.

    2022 wisemotors.ru. Comment ça fonctionne. Fer. Exploitation minière. Crypto-monnaie.