Postupak klasifikacije informacijskih sustava osobnih podataka. BukvaPrava - besplatne konzultacije pravnika informacijskih sustava osobnih podataka
SAVEZNA SLUŽBA ZA TEHNIČKU I IZVOZNU KONTROLU
FEDERALNA SLUŽBA SIGURNOSTI RUSKE FEDERACIJE
MINISTARSTVO INFORMACIJSKIH TEHNOLOGIJA I KOMUNIKACIJA
RUSKA FEDERACIJA
O odobrenju razredbenog postupka informacijski sustavi osobni podaci
Izgubio snagu 11. ožujka 2014. na temelju
zajednički nalog FSTEC-a Rusije, FSB-a Rusije i Ministarstva telekomunikacija i masovnih komunikacija Rusije
od 31. prosinca 2013. N 151/786/461
____________________________________________________________________
U skladu sa stavkom 6. Pravilnika o osiguravanju sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka, odobrenog Uredbom Vlade Ruske Federacije od 17. studenog 2007. N 781 „O odobrenju Pravilnika o osiguravanju sigurnost osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka” (Zbirka propisa Ruska Federacija, 2007, N 48, dio II, čl. 6001),
naručujemo:
Odobrava Proceduru za klasifikaciju informacijskih sustava osobnih podataka u privitku.
Direktor Savezna služba
na tehničkom i
kontrole izvoza
S. Grigorov
ravnatelja Federalnog
sigurnosne službe
Ruska Federacija
N.Patrushev
Ministar informacijske tehnologije
i komunikacije Ruske Federacije
L. Reiman
Registriran
u Ministarstvu pravosuđa
Ruska Federacija
3. travnja 2008.
registarski broj 11462
Postupak klasifikacije informacijskih sustava osobnih podataka
ODOBRENO
po nalogu FSTEC-a Rusije,
FSB Rusije,
Ministarstvo informacija i komunikacija Rusije
od 13. veljače 2008. N 55/86/20
1. Ovim Postupkom utvrđuje se klasifikacija informacijskih sustava osobnih podataka, koji su skup osobnih podataka sadržanih u bazama podataka, kao i informacijske tehnologije i tehnička sredstva koja omogućuju obradu takvih osobnih podataka korištenjem alata za automatizaciju (u daljnjem tekstu: informacijski sustavi). ).
________________
Prvi stavak 1. stavka Pravilnika o osiguravanju sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka, odobren Uredbom Vlade Ruske Federacije od 17. studenog 2007. N 781 (Zbirka zakonodavstva Ruske Federacije, 2007. , N 48, dio II, čl. 6001) (u daljnjem tekstu - Pravilnik).
2. Klasifikaciju informacijskih sustava provode tijela državne uprave, općinska tijela, pravni i pojedinaca, organiziranje i (ili) provođenje obrade osobnih podataka, kao i određivanje svrhe i sadržaja obrade osobnih podataka (u daljnjem tekstu operater).
________________
Stavak prvi stavka 6. Pravilnika.
3. Klasifikacija informacijskih sustava provodi se u fazi stvaranja informacijskih sustava ili tijekom njihova rada (za prethodno puštene u rad i (ili) modernizirane informacijske sustave) kako bi se utvrdile metode i sredstva zaštite informacija potrebnih za osiguranje sigurnosti osobnih podataka. *3)
4. Provođenje klasifikacije informacijskih sustava uključuje sljedeće korake:
prikupljanje i analiza početnih podataka o informacijskom sustavu;
dodjela odgovarajuće klase informacijskom sustavu i njegova dokumentacija.
5. Pri razvrstavanju informacijskog sustava uzimaju se u obzir sljedeći polazni podaci:
kategorija osobnih podataka koji se obrađuju u informacijskom sustavu - ;
obujam obrađenih osobnih podataka (broj ispitanika čiji se osobni podaci obrađuju u informacijskom sustavu) - ;
sigurnosna svojstva osobnih podataka koji se obrađuju u informacijskom sustavu određenom od strane operatera;
struktura informacijskog sustava;
dostupnost povezanosti informacijskog sustava s javnim komunikacijskim mrežama i (ili) međunarodnim mrežama za razmjenu informacija;
način obrade osobnih podataka;
način razgraničenja prava pristupa korisnika informacijskog sustava;
smještaj tehničkih sredstava informacijskog sustava.
6. Definirane su sljedeće kategorije osobnih podataka koji se obrađuju u informacijskom sustavu:
kategorija 1 - osobni podaci koji se odnose na rasu, nacionalnost, političke stavove, vjerska i filozofska uvjerenja, zdravstveno stanje, intimni život;
kategorija 2 - osobni podaci koji vam omogućuju identifikaciju subjekta osobnih podataka i dobivanje dodatnih informacija o njemu, s iznimkom osobnih podataka koji se odnose na kategoriju 1;
kategorija 3 - osobni podaci koji omogućuju identifikaciju subjekta osobnih podataka;
kategorija 4 - anonimizirani i(li) javno dostupni osobni podaci.
7. može poprimiti sljedeće vrijednosti:
1 - informacijski sustav istovremeno obrađuje osobne podatke više od 100.000 subjekata osobnih podataka ili osobne podatke subjekata osobnih podataka u sastavnom entitetu Ruske Federacije ili Ruske Federacije u cjelini;
2 - informacijski sustav istovremeno obrađuje osobne podatke od 1.000 do 100.000 subjekata osobnih podataka ili osobne podatke subjekata osobnih podataka koji rade u gospodarskom sektoru Ruske Federacije, u državnoj agenciji, koji žive unutar općine;
3 - informacijski sustav istovremeno obrađuje podatke manje od 1000 subjekata osobnih podataka ili osobne podatke subjekata osobnih podataka unutar određene organizacije.
8. Prema sigurnosnim karakteristikama osobnih podataka koji se obrađuju u informacijskom sustavu određenom od strane operatera, informacijski sustavi se dijele na standardne i posebne informacijske sustave.
Tipični informacijski sustavi su informacijski sustavi koji zahtijevaju samo osiguranje povjerljivosti osobnih podataka.
Posebni informacijski sustavi su informacijski sustavi u kojima je, neovisno o potrebi osiguranja povjerljivosti osobnih podataka, potrebno osigurati barem jednu od sigurnosnih karakteristika osobnih podataka osim povjerljivosti (sigurnost od uništenja, izmjene, blokiranja, kao i druge neovlaštene radnje).
Posebni informacijski sustavi trebaju uključivati:
informacijski sustavi u kojima se obrađuju osobni podaci koji se odnose na zdravstveno stanje subjekata osobnih podataka;
informacijski sustavi koji omogućuju prihvaćanje isključivo na temelju automatizirana obrada odluke o osobnim podacima koje izazivaju pravne posljedice u odnosu na subjekta osobnih podataka ili na drugi način utječu na njegova prava i legitimne interese.
9. Informacijski sustavi se prema strukturi dijele na:
za autonomne (nepovezane s drugim informacijskim sustavima) komplekse hardvera i softvera dizajnirane za obradu osobnih podataka (automatizirane radne stanice);
do kompleksa automatiziranih radnih stanica, ujedinjenih u jedinstveni informacijski sustav komunikacijskim sredstvima bez upotrebe tehnologije daljinski pristup(lokalni informacijski sustavi);
na komplekse automatiziranih radnih stanica i (ili) lokalnih informacijskih sustava, spojenih u jedan informacijski sustav pomoću komunikacijskih sredstava pomoću tehnologije daljinskog pristupa (distribuirani informacijski sustavi).
10. Na temelju povezanosti s javnim komunikacijskim mrežama i (ili) međunarodnim mrežama za razmjenu informacija informacijski sustavi se dijele na sustave s vezama i sustave bez veza.
11. Prema načinu obrade osobnih podataka u informacijskom sustavu informacijski sustavi se dijele na jednokorisničke i višekorisničke.
12. Na temelju razgraničenja prava pristupa korisnika informacijski sustavi se dijele na sustave bez razgraničenja prava pristupa i sustave s razgraničenjem prava pristupa.
13. Informacijski sustavi, ovisno o smještaju tehničkih sredstava, dijele se na sustave, sv tehnička sredstva koji se nalaze unutar Ruske Federacije i sustavi čija su tehnička sredstva djelomično ili u cijelosti smještena izvan Ruske Federacije.
14. Na temelju rezultata analize izvornih podataka tipičnom informacijskom sustavu dodjeljuje se jedna od sljedećih klasa:
razred 1 (K1) - informacijski sustavi za koje povreda navedenih sigurnosnih karakteristika osobnih podataka koji se u njima obrađuju može dovesti do značajnih negativnih posljedica za subjekte osobnih podataka;
razred 2 (K2) - informacijski sustavi za koje povreda navedenih sigurnosnih karakteristika osobnih podataka koji se u njima obrađuju može dovesti do negativnih posljedica za subjekte osobnih podataka;
razred 3 (K3) - informacijski sustavi kod kojih povreda navedenih sigurnosnih karakteristika osobnih podataka koji se u njima obrađuju može dovesti do manjih negativnih posljedica za subjekte osobnih podataka;
razred 4 (K4) - informacijski sustavi kod kojih povreda navedenih sigurnosnih karakteristika osobnih podataka koji se u njima obrađuju ne dovodi do negativnih posljedica za subjekte osobnih podataka.
15. Klasa tipičnog informacijskog sustava određena je prema tablici.
16. Na temelju rezultata analize izvornih podataka utvrđuje se klasa posebnog informacijskog sustava na temelju modela prijetnji sigurnosti osobnih podataka sukladno metodološkim dokumentima izrađenim sukladno stavku 2. Uredbe. Vlade Ruske Federacije od 17. studenog 2007. N 781 „O odobrenju Pravilnika o osiguravanju sigurnosti osobnih podataka pri obradi u informacijskim sustavima osobnih podataka.”
________________
Zbirka zakonodavstva Ruske Federacije, 2007, N 48, dio II, čl.
17. Ako su unutar informacijskog sustava identificirani podsustavi, od kojih je svaki informacijski sustav, informacijskom sustavu kao cjelini dodjeljuje se klasa koja odgovara najvišoj klasi njegovih podsustava.
18. Rezultati razvrstavanja informacijskih sustava dokumentiraju se odgovarajućim aktom operatora.
19. Klasa informacijskog sustava može se revidirati:
odlukom operatera na temelju njegove analize i procjene prijetnji sigurnosti osobnih podataka, uzimajući u obzir karakteristike i (ili) promjene određenog informacijskog sustava;
na temelju rezultata mjera nadzora ispunjavanja zahtjeva za osiguranjem sigurnosti osobnih podataka tijekom njihove obrade u informacijskom sustavu.
Tekst elektroničkog dokumenta
pripremio Kodeks JSC i provjerio.
Naredba Federalne službe za tehničku i izvoznu kontrolu (FSTEC Rusije) Federalne sigurnosne službe Ruske Federacije (FSB Rusije) Ministarstva informacijskih tehnologija i komunikacija Ruske Federacije (Ministarstvo komunikacija Rusije) od veljače 13, 2008 N 55/86/20 Moskva
"O davanju suglasnosti na Proceduru razvrstavanja informacijskih sustava osobnih podataka"
U skladu sa stavkom 6. Pravilnika o osiguravanju sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka, odobrenog Uredbom Vlade Ruske Federacije od 17. studenog 2007. N 781 „O odobrenju Pravilnika o osiguravanju sigurnost osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka "(Zbirka zakonodavstva Ruske Federacije, 2007, br. 48, dio II, čl. 6001), naručujemo:
Odobrava Proceduru za klasifikaciju informacijskih sustava osobnih podataka u privitku.
Direktor FSTEC-a S. Grigorov
Ravnatelj FSB-a Ruske Federacije N. Patrušev
Ministar informacijskih tehnologija i komunikacija Ruske Federacije L. Reiman
Postupak klasifikacije informacijskih sustava osobnih podataka
1. Ovim Postupkom utvrđuje se klasifikacija informacijskih sustava osobnih podataka, koji su skup osobnih podataka sadržanih u bazama podataka, kao i informacijske tehnologije i tehnička sredstva koja omogućuju obradu takvih osobnih podataka korištenjem alata za automatizaciju (u daljnjem tekstu: informacijski sustavi). )1.
2. Razvrstavanje informacijskih sustava provode državna tijela, općinska tijela, pravne osobe i pojedinci koji organiziraju i (ili) provode obradu osobnih podataka, kao i određivanje svrhe i sadržaja obrade osobnih podataka ( u daljnjem tekstu operater)2.
3. Klasifikacija informacijskih sustava provodi se u fazi stvaranja informacijskih sustava ili tijekom njihova rada (za prethodno puštene u rad i (ili) modernizirane informacijske sustave) kako bi se utvrdile metode i sredstva zaštite informacija potrebnih za osiguranje sigurnosti osobnih podataka.
4. Provođenje klasifikacije informacijskih sustava uključuje sljedeće korake:
prikupljanje i analiza početnih podataka o informacijskom sustavu:
dodjela odgovarajuće klase informacijskom sustavu i njegova dokumentacija.
5. Pri razvrstavanju informacijskog sustava uzimaju se u obzir sljedeći polazni podaci:
Količina obrađenih osobnih podataka (broj nositelja osobnih podataka čiji se osobni podaci obrađuju u informacijskom sustavu) - X npd; (klauzula 7)
Karakteristike koje navodi operater (tj. sigurnost samo "confi", ili također od uništenja, izmjene, blokiranja, kao i drugih neovlaštenih radnji) sigurnosti osobnih podataka koji se obrađuju u informacijskom sustavu (vidi klauzulu 8);
Struktura informacijskog sustava (točka 9.);
Dostupnost veza informacijskog sustava s javnim komunikacijskim mrežama i (ili) međunarodnim mrežama za razmjenu informacija (točka 10.);
Način obrade osobnih podataka (klauzula 11.);
Način razgraničenja prava pristupa korisnika informacijskog sustava (točka 12.);
Lokacija tehničkih sredstava informacijskog sustava (točka 13).
6. Definirane su sljedeće kategorije osobnih podataka koji se obrađuju u informacijskom sustavu (XPD):
7. X npd može poprimiti sljedeće vrijednosti:
1 - informacijski sustav istovremeno obrađuje osobne podatke više od 100.000 subjekata osobnih podataka ili osobne podatke subjekata osobnih podataka u sastavnom entitetu Ruske Federacije ili Ruske Federacije u cjelini;
2 - informacijski sustav istovremeno obrađuje osobne podatke od 1.000 do 100.000 subjekata osobnih podataka ili osobne podatke subjekata osobnih podataka koji rade u gospodarskom sektoru Ruske Federacije, u državnom tijelu, žive u općini;
3 - informacijski sustav istovremeno obrađuje podatke manje od 1000 subjekata osobnih podataka ili osobne podatke subjekata osobnih podataka unutar određene organizacije.
8. Prema sigurnosnim karakteristikama osobnih podataka koji se obrađuju u informacijskom sustavu određenom od strane operatera, informacijski sustavi se dijele na standardne i posebne informacijske sustave.
Tipični informacijski sustavi su informacijski sustavi koji zahtijevaju samo osiguranje povjerljivosti osobnih podataka.
Posebni informacijski sustavi su informacijski sustavi u kojima je, neovisno o potrebi osiguranja povjerljivosti osobnih podataka, potrebno osigurati barem jednu od sigurnosnih karakteristika osobnih podataka osim povjerljivosti (sigurnost od uništenja, izmjene, blokiranja, kao i druge neovlaštene radnje).
Posebni informacijski sustavi trebaju uključivati:
informacijski sustavi u kojima se obrađuju osobni podaci koji se odnose na zdravstveno stanje subjekata osobnih podataka;
informacijski sustavi koji omogućavaju donošenje, isključivo na temelju automatizirane obrade osobnih podataka, odluka koje izazivaju pravne posljedice u odnosu na subjekta osobnih podataka ili na drugi način utječu na njegova prava i legitimne interese.
9. Informacijski sustavi se prema strukturi dijele na:
za autonomne (nepovezane s drugim informacijskim sustavima) komplekse hardvera i softvera dizajnirane za obradu osobnih podataka (automatizirane radne stanice);
na komplekse automatiziranih radnih stanica integriranih u jedinstveni informacijski sustav komunikacijskim sredstvima bez korištenja tehnologije daljinskog pristupa (lokalni informacijski sustavi);
na komplekse automatiziranih radnih stanica i (ili) lokalnih informacijskih sustava, spojenih u jedan informacijski sustav pomoću komunikacijskih sredstava pomoću tehnologije daljinskog pristupa (distribuirani informacijski sustavi).
10. Na temelju povezanosti s javnim komunikacijskim mrežama i (ili) međunarodnim mrežama za razmjenu informacija informacijski sustavi se dijele na sustave s vezama i sustave bez veza.
11. Prema načinu obrade osobnih podataka u informacijskom sustavu informacijski sustavi se dijele na jednokorisničke i višekorisničke.
12. Na temelju razgraničenja prava pristupa korisnika informacijski sustavi se dijele na sustave bez razgraničenja prava pristupa i sustave s razgraničenjem prava pristupa.
13. Informacijski sustavi, ovisno o lokaciji njihovih tehničkih sredstava, dijele se na sustave čija su sva tehnička sredstva smještena unutar Ruske Federacije i sustave čija su tehnička sredstva djelomično ili u cijelosti smještena izvan Ruske Federacije.
14. Na temelju rezultata analize izvornih podataka tipičnom informacijskom sustavu dodjeljuje se jedna od sljedećih klasa:
razred 1 (K1) - informacijski sustavi za koje povreda navedenih sigurnosnih karakteristika osobnih podataka koji se u njima obrađuju može dovesti do značajnih negativnih posljedica za subjekte osobnih podataka;
razred 2 (K2) - informacijski sustavi za koje povreda navedenih sigurnosnih karakteristika osobnih podataka koji se u njima obrađuju može dovesti do negativnih posljedica za subjekte osobnih podataka;
razred 3 (K3) - informacijski sustavi kod kojih povreda navedenih sigurnosnih karakteristika osobnih podataka koji se u njima obrađuju može dovesti do manjih negativnih posljedica za subjekte osobnih podataka;
razred 4 (K4) - informacijski sustavi kod kojih povreda navedenih sigurnosnih karakteristika osobnih podataka koji se u njima obrađuju ne dovodi do negativnih posljedica za subjekte osobnih podataka.
15. Klasa tipičnog informacijskog sustava određena je prema tablici.
16. Na temelju rezultata analize izvornih podataka utvrđuje se klasa posebnog informacijskog sustava na temelju modela prijetnji sigurnosti osobnih podataka sukladno metodološkim dokumentima izrađenim sukladno stavku 2. Uredbe. Vlade Ruske Federacije od 17. studenog 2007. N 781 „O odobrenju Pravilnika o osiguravanju sigurnosti osobnih podataka pri obradi u informacijskim sustavima osobnih podataka"3.
17. Ako su unutar informacijskog sustava identificirani podsustavi, od kojih je svaki informacijski sustav, informacijskom sustavu kao cjelini dodjeljuje se klasa koja odgovara najvišoj klasi njegovih podsustava.
18. Rezultati razvrstavanja informacijskih sustava dokumentiraju se odgovarajućim aktom operatora.
19. Klasa informacijskog sustava može se revidirati:
odlukom operatera na temelju njegove analize i procjene prijetnji sigurnosti osobnih podataka, uzimajući u obzir karakteristike i (ili) promjene određenog informacijskog sustava;
na temelju rezultata mjera nadzora ispunjavanja zahtjeva za osiguranjem sigurnosti osobnih podataka tijekom njihove obrade u informacijskom sustavu.
1 Stavak prvi stavka 1. Pravilnika o osiguravanju sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka, odobren Uredbom Vlade Ruske Federacije od 17. studenog 2007.
N 781 (Zbirka zakonodavstva Ruske Federacije, 2007, N 48, dio II,
2 Stavak prvi članka 6. Pravilnika.
3 Zbornik zakonodavstva Ruske Federacije 2007, br. 48, dio II, čl. 6001.
Propisi o osiguravanju sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka, odobreni Uredbom Vlade Ruske Federacije od 17. studenog 2007. N 781 „O odobrenju Pravilnika o osiguravanju sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka” (Zbirka zakonodavstva Ruske Federacije, 2007, N 48, dio II, čl. 6001), naređujemo:
Odobrava Proceduru za klasifikaciju informacijskih sustava osobnih podataka u privitku.
Direktor
Savezna služba
na tehničkom
i kontrole izvoza
S.I.GRIGOROV
Direktor
Federalna služba sigurnosti
Ruska Federacija
N.P.PATRUSHEV
Ministar
informacijska tehnologija i komunikacije
Ruska Federacija
L.D.REIMAN
ODOBRENO
Po redu
FSTEC Rusije,
FSB Rusije,
Ministarstvo informacija i komunikacija Rusije
od 13. veljače 2008. N 55/86/20
NARUDŽBA
KLASIFIKACIJA INFORMACIJSKIH SUSTAVA OSOBNIH PODATAKA
1. Ovim Postupkom utvrđuje se klasifikacija informacijskih sustava osobnih podataka, koji su skup osobnih podataka sadržanih u bazama podataka, kao i informacijske tehnologije i tehnička sredstva koja omogućuju obradu takvih osobnih podataka korištenjem alata za automatizaciju (u daljnjem tekstu: informacijski sustavi). )<*>.
2. Razvrstavanje informacijskih sustava provode državna tijela, općinska tijela, pravne osobe i pojedinci koji organiziraju i (ili) provode obradu osobnih podataka, kao i određivanje svrhe i sadržaja obrade osobnih podataka ( u daljnjem tekstu operater)<*>.
<*>Stavak prvi točke 6. Pravilnika.
3. Klasifikacija informacijskih sustava provodi se u fazi stvaranja informacijskih sustava ili tijekom njihova rada (za prethodno puštene u rad i (ili) modernizirane informacijske sustave) kako bi se utvrdile metode i sredstva zaštite informacija potrebnih za osiguranje sigurnosti osobnih podataka.
4. Provođenje klasifikacije informacijskih sustava uključuje sljedeće korake:
prikupljanje i analiza početnih podataka o informacijskom sustavu;
dodjela odgovarajuće klase informacijskom sustavu i njegova dokumentacija.
5. Pri razvrstavanju informacijskog sustava uzimaju se u obzir sljedeći polazni podaci:
obujam obrađenih osobnih podataka (broj ispitanika čiji se osobni podaci obrađuju u informacijskom sustavu) - X_npd;
sigurnosna svojstva osobnih podataka koji se obrađuju u informacijskom sustavu određenom od strane operatera;
struktura informacijskog sustava;
dostupnost povezanosti informacijskog sustava s javnim komunikacijskim mrežama i (ili) međunarodnim mrežama za razmjenu informacija;
način obrade osobnih podataka;
način razgraničenja prava pristupa korisnika informacijskog sustava;
smještaj tehničkih sredstava informacijskog sustava.
6. Definirane su sljedeće kategorije osobnih podataka koji se obrađuju u informacijskom sustavu (X_PD):
7. X_npd može poprimiti sljedeće vrijednosti:
1 - informacijski sustav istovremeno obrađuje osobne podatke više od 100.000 subjekata osobnih podataka ili osobne podatke subjekata osobnih podataka u sastavnom entitetu Ruske Federacije ili Ruske Federacije u cjelini;
2 - informacijski sustav istovremeno obrađuje osobne podatke od 1.000 do 100.000 subjekata osobnih podataka ili osobne podatke subjekata osobnih podataka koji rade u gospodarskom sektoru Ruske Federacije, u državnoj agenciji, koji žive unutar općine;
3 - informacijski sustav istovremeno obrađuje podatke manje od 1000 subjekata osobnih podataka ili osobne podatke subjekata osobnih podataka unutar određene organizacije.
8. Prema sigurnosnim karakteristikama osobnih podataka koji se obrađuju u informacijskom sustavu određenom od strane operatera, informacijski sustavi se dijele na standardne i posebne informacijske sustave.
Tipični informacijski sustavi su informacijski sustavi koji zahtijevaju samo osiguranje povjerljivosti osobnih podataka.
Posebni informacijski sustavi trebaju uključivati:
informacijski sustavi u kojima se obrađuju osobni podaci koji se odnose na zdravstveno stanje subjekata osobnih podataka;
informacijski sustavi koji omogućavaju donošenje, isključivo na temelju automatizirane obrade osobnih podataka, odluka koje izazivaju pravne posljedice u odnosu na subjekta osobnih podataka ili na drugi način utječu na njegova prava i legitimne interese.
9. Informacijski sustavi se prema strukturi dijele na:
za autonomne (nepovezane s drugim informacijskim sustavima) komplekse hardvera i softvera dizajnirane za obradu osobnih podataka (automatizirane radne stanice);
na komplekse automatiziranih radnih stanica integriranih u jedinstveni informacijski sustav komunikacijskim sredstvima bez korištenja tehnologije daljinskog pristupa (lokalni informacijski sustavi);
na komplekse automatiziranih radnih stanica i (ili) lokalnih informacijskih sustava, spojenih u jedan informacijski sustav pomoću komunikacijskih sredstava pomoću tehnologije daljinskog pristupa (distribuirani informacijski sustavi).
10. Na temelju povezanosti s javnim komunikacijskim mrežama i (ili) međunarodnim mrežama za razmjenu informacija informacijski sustavi se dijele na sustave s vezama i sustave bez veza.
11. Prema načinu obrade osobnih podataka u informacijskom sustavu informacijski sustavi se dijele na jednokorisničke i višekorisničke.
12. Na temelju razgraničenja prava pristupa korisnika informacijski sustavi se dijele na sustave bez razgraničenja prava pristupa i sustave s razgraničenjem prava pristupa.
13. Informacijski sustavi, ovisno o lokaciji njihovih tehničkih sredstava, dijele se na sustave čija su sva tehnička sredstva smještena unutar Ruske Federacije i sustave čija su tehnička sredstva djelomično ili u cijelosti smještena izvan Ruske Federacije.
14. Na temelju rezultata analize izvornih podataka tipičnom informacijskom sustavu dodjeljuje se jedna od sljedećih klasa:
razred 1 (K1) - informacijski sustavi za koje povreda navedenih sigurnosnih karakteristika osobnih podataka koji se u njima obrađuju može dovesti do značajnih negativnih posljedica za subjekte osobnih podataka;
razred 2 (K2) - informacijski sustavi za koje povreda navedenih sigurnosnih karakteristika osobnih podataka koji se u njima obrađuju može dovesti do negativnih posljedica za subjekte osobnih podataka;
razred 3 (K3) - informacijski sustavi kod kojih povreda navedenih sigurnosnih karakteristika osobnih podataka koji se u njima obrađuju može dovesti do manjih negativnih posljedica za subjekte osobnih podataka;
klasa 4 (K4) - informacijski sustavi za koje kršenje navedenih sigurnosnih karakteristika osobnih podataka koji se u njima obrađuju ne dovodi do negativnih posljedica za subjekte osobnih podataka stavak 2. Uredbe Vlade Ruske Federacije od 17. studenog , 2007 N 781 "O odobrenju Pravilnika o osiguravanju sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka"<*>.
<*>Zbirka zakonodavstva Ruske Federacije, 2007, N 48, dio II, čl. 6001.
17. Ako su unutar informacijskog sustava identificirani podsustavi, od kojih je svaki informacijski sustav, informacijskom sustavu kao cjelini dodjeljuje se klasa koja odgovara najvišoj klasi njegovih podsustava.
18. Rezultati razvrstavanja informacijskih sustava dokumentiraju se odgovarajućim aktom operatora.
19. Klasa informacijskog sustava može se revidirati:
odlukom operatera na temelju njegove analize i procjene prijetnji sigurnosti osobnih podataka, uzimajući u obzir karakteristike i (ili) promjene određenog informacijskog sustava;
na temelju rezultata mjera nadzora ispunjavanja zahtjeva za osiguranjem sigurnosti osobnih podataka tijekom njihove obrade u informacijskom sustavu.
SAVEZNA SLUŽBA ZA TEHNIČKU I IZVOZNU KONTROLU
FEDERALNA SLUŽBA SIGURNOSTI RUSKE FEDERACIJE
MINISTARSTVO KOMUNIKACIJA I MASOVNIH KOMUNIKACIJA RUSKE FEDERACIJE
NARUDŽBA
od 31. prosinca 2013. N 151/786/461
O PRIZNAVANJU NALOGA FEDERALNE SLUŽBE ZA TEHNIČKU I IZVOZNU KONTROLU, FEDERALNE SLUŽBE SIGURNOSTI RUSKE FEDERACIJE I MINISTARSTVA INFORMACIJSKIH TEHNOLOGIJA I KOMUNIKACIJA RUSKE FEDERACIJE OD 13. VELJAČE 20 08. G. N 55 /86/20 “ O DAVANJU ODOBRENJA POSTUPKA PROVEDBE RAZREDBA INFORMACIJSKIH SUSTAVA OSOBNIH PODATAKA”
U vezi s priznavanjem uredbe Vlade Ruske Federacije od 17. studenog 2007. N 781 nevažećom „O odobrenju Pravilnika o osiguravanju sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka” (Zbirka zakonodavstva Ruska Federacija, 2007, N 48, čl. 6001 ) NARUČUJEMO:
proglasiti nevažećim nalog Savezne službe za tehničku i izvoznu kontrolu, Federalne sigurnosne službe Ruske Federacije i Ministarstva informacijskih tehnologija i komunikacija Ruske Federacije od 13. veljače 2008. N 55/86/20 „O odobrenju Postupak klasifikacije informacijskih sustava osobnih podataka” (registrirano Ministarstvo pravosuđa Ruske Federacije 3. travnja 2008., registracija N 11462).
Direktor
Savezna služba za tehničku
i kontrole izvoza
Direktor
Federalna služba sigurnosti
Ruska Federacija
A.BORTNIKOV
komunikacije i masovne komunikacije
Ruska Federacija
Obavještavamo vas da je zajedničkim nalogom Ministarstva obrazovanja i znanosti Republike Tatarstan i Državne ustanove „Centar za informacijske tehnologije Republike Tatarstan” br. 1156/09/29-o od 18. svibnja 2009. odobren akcijski plan za osiguravajući sigurnost informacija informacijski sustavi osobnih podataka u obrazovnim ustanovama Republike Tatarstan.
Na temelju navedenog plana, kao iu svrhu dovođenja informacijskih sustava osobnih podataka obrazovne ustanove Republike Tatarstan u skladu sa zahtjevima Savezni zakon Ruske Federacije od 27. srpnja 2006. br. 152-FZ "O osobnim podacima", tražim od vas da organizirate niz mjera za zaštitu osobnih podataka.
1. Osigurati imenovanje službenika odgovornih za osiguranje sigurnosti osobnih podataka u podređenim obrazovnim ustanovama.
2. U svim podređenim institucijama utvrditi informacijske sustave u kojima se obrađuju osobni podaci, klasificirati ih u skladu s „Postupkom klasifikacije informacijskih sustava osobnih podataka“ (Prilog br. 2), dati suglasnost na akt o klasifikaciji (Prilog br. 3).
3. Prije 22. lipnja 2009. dostaviti podatke o informacijskim sustavima osobnih podataka svih podređenih obrazovnih ustanova koristeći priloženi obrazac (Dodatak br. 4) Ministarstvu obrazovanja i znanosti Republike Tatarstan. Pošaljite podatke u sažetom obliku na email adresa:
Prijave.
1. Zajednički nalog Ministarstva obrazovanja i znanosti Republike Tatarstan i Državne ustanove „Centar informacijske tehnologije Republike Tatarstan” br. 1156/09/29-o od 18.05.2009. u 1 primjerku. za 3 l.
2. Naredba broj: 55/86/20 od 13. veljače 2008. godine „O odobrenju Postupka razvrstavanja informacijskih sustava osobnih podataka“ u 1 primjerku. za 8 l.
3. Primjer naloga za stvaranje povjerenstva i razredbenog akta u 1 primjerku. za 3 l.
4. Obrazac “Informacija o informacijskim sustavima osobnih podataka” u 1 primjerku. za 1 l.
španjolski Khusnutdinov R.N.
Tel 2929003 
O mjerama informacijske sigurnosti
informacijski sustavi osobnih podataka
u obrazovnim ustanovama Republike Tatarstan
U svrhu provedbe zahtjeva regulatornih dokumenata Ruske Federacije i Republike Tatarstan u području informacijske sigurnosti
NARUČUJEM:
1.
Odobrite priloženi akcijski plan kako biste osigurali
informacijska sigurnost informacijskih sustava osobnih podataka
u obrazovnim ustanovama Republike Tatarstan.
2. Zadržavam kontrolu nad izvršenjem ovog naloga.
PLAN
mjere za osiguranje informacijske sigurnosti informacijskih sustava osobnih podataka
u obrazovnim ustanovama Republike Tatarstan
| № n\n | Naziv događaja | Rok | Odgovoran za implementaciju | Bilješka |
| 1. | Popis informacijskih sustava koji obrađuju osobne podatke, klasificirati IP i dati suglasnost na akt o klasifikaciji | lipnja 2009 | | Provesti inventuru prema u propisanom obliku |
| 2. | Slanje obavijesti od strane obrazovnih institucija (operatora osobnih podataka) ovlaštenom tijelu za zaštitu prava nositelja osobnih podataka | lipnja 2009 | Ministarstvo obrazovanja i znanosti Republike Tatarstan, obrazovne vlasti Republike Tatarstan, obrazovne ustanove Republike Tatarstan koje nisu poslale obavijesti | |
| 3. | Priprema paketa standardnih dokumenata: Izjava o zaštiti osobnih podataka Pravilnik o jedinici za zaštitu informacija; Pravilnik o radu osoba odgovornih za zaštitu osobnih podataka Akcijski plan zaštite osobnih podataka Plan internih provjera stanja zaštite osobnih podataka Naredba o imenovanju odgovornih osoba za PD Dnevnik za evidentiranje kontrolnih aktivnosti Dnevnik za evidentiranje zahtjeva subjekata osobnih podataka u vezi s ostvarivanjem njihovih zakonskih prava Uzorak dnevnika (knjige) obračuna osobnih dohodaka Pravila korištenja alata za informacijsku sigurnost Uzorak ugovora sa zaposlenikom o odgovornosti za otkrivanje osobnih podataka | srpnja 2009 | GU CIT RT, Ministarstvo obrazovanja i znanosti Republike Tatarstan | |
| 4. | Istraživanje i identifikacija nekoliko prioritetnih skupina obrazovnih institucija za naknadnu certifikaciju informacijskih sustava na račun središnjeg proračuna Republike Tatarstan | kolovoza 2009 | | |
| 5. | Certifikacija PD informacijskih sustava sukladno točki 8. ovog plana | studeni 2009 | GU CIT RT, Ministarstvo obrazovanja i znanosti RT, obrazovne vlasti RT, obrazovne ustanove Republike Tatarstan | |
| 6. | Organizirajte i održavajte sigurnosni sustav povjerljive informacije od neovlaštenog pristupa u skladu s utvrđenom IP klasom, koristeći sigurnosne mjere certificirane u na propisani način | Konstantno | Ministarstvo obrazovanja i znanosti Republike Tatarstan, obrazovne vlasti Republike Tatarstan, obrazovne ustanove Republike Tatarstan |
Registriran u
Ministarstvo pravde Rusije
ODOBRENO
po nalogu FSTEC-a Rusije,
№ 55/86/20
Narudžba
provođenje klasifikacije osobnih podataka informacijskih sustava
Ovim Postupkom utvrđuje se klasifikacija informacijskih sustava osobnih podataka, koji su skup osobnih podataka sadržanih u bazama podataka, kao i informacijske tehnologije i tehnička sredstva koja omogućuju obradu takvih osobnih podataka pomoću alata za automatizaciju (u daljnjem tekstu: informacijski sustavi) 1 .
Razvrstavanje informacijskih sustava provode državna tijela, općinska tijela, pravne osobe i pojedinci koji organiziraju i (ili) provode obradu osobnih podataka, kao i utvrđivanje svrhe i sadržaja obrade osobnih podataka (u daljnjem tekstu: do kao operater) 2.
Klasifikacija informacijskih sustava provodi se u fazi stvaranja informacijskih sustava ili tijekom njihova rada (za prethodno puštene u rad i (ili) modernizirane informacijske sustave) kako bi se uspostavile metode i sredstva zaštite informacija potrebnih za osiguranje sigurnosti osobnih podaci.
Provođenje klasifikacije informacijskih sustava uključuje sljedeće korake:
5. Pri razvrstavanju informacijskog sustava uzeti u obzir
sljedeće početne podatke:
„Prvi stavak stavka 1. Pravilnika o osiguravanju sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka, odobren Uredbom Vlade Ruske Federacije od 17. studenog 2007. br. 781 (Zbirka zakonodavstva Ruske Federacije , 2007, br. 48, dio II, čl. 6001 ) (u daljnjem tekstu Pravilnik).
kategorija osobnih podataka koji se obrađuju u informacijskom sustavu - X P d;
obujam obrađenih osobnih podataka (broj ispitanika čiji se osobni podaci obrađuju u informacijskom sustavu) - X N pd;
sigurnosna svojstva osobnih podataka koji se obrađuju u informacijskom sustavu određenom od strane operatera;
struktura informacijskog sustava;
dostupnost povezanosti informacijskog sustava s javnim komunikacijskim mrežama i (ili) međunarodnim mrežama za razmjenu informacija; način obrade osobnih podataka;
način razgraničenja prava pristupa korisnika informacijskog sustava;
smještaj tehničkih sredstava informacijskog sustava.
6. Određuju se sljedeće kategorije obrađenih predmeta:
informacijski sustav osobnih podataka (X P d):
7. Hnpd može poprimiti sljedeće vrijednosti:
- informacijski sustav istovremeno obrađuje osobne podatke više od 100.000 subjekata osobnih podataka ili osobne podatke subjekata osobnih podataka u sastavu Ruske Federacije ili Ruske Federacije u cjelini;
- informacijski sustav istovremeno obrađuje osobne podatke od 1.000 do 100.000 subjekata osobnih podataka ili osobne podatke subjekata osobnih podataka koji rade u gospodarskom sektoru Ruske Federacije, u državnoj agenciji, koji žive unutar općine;
- informacijski sustav istovremeno obrađuje podatke manje od 1000 subjekata osobnih podataka ili osobne podatke subjekata osobnih podataka unutar određene organizacije.
podaci obrađeni u informacijskom sustavu, informacijski sustavi
dijele se na standardne i posebne informacijske sustave.
Tipični informacijski sustavi su informacijski sustavi koji zahtijevaju samo osiguranje povjerljivosti osobnih podataka.
Posebni informacijski sustavi su informacijski sustavi u kojima je, neovisno o potrebi osiguranja povjerljivosti osobnih podataka, potrebno osigurati barem jednu od sigurnosnih karakteristika osobnih podataka osim povjerljivosti (sigurnost od uništenja, izmjene, blokiranja, kao i druge neovlaštene radnje).
Posebni informacijski sustavi trebaju uključivati:
informacijski sustavi u kojima se obrađuju osobni podaci koji se odnose na zdravstveno stanje subjekata osobnih podataka;
informacijski sustavi koji omogućavaju donošenje, isključivo na temelju automatizirane obrade osobnih podataka, odluka koje izazivaju pravne posljedice u odnosu na subjekta osobnih podataka ili na drugi način utječu na njegova prava i legitimne interese.
9. Informacijski sustavi se prema strukturi dijele na:
za autonomne (nepovezane s drugim informacijskim sustavima) komplekse hardvera i softvera dizajnirane za obradu osobnih podataka (automatizirane radne stanice);
na komplekse automatiziranih radnih stanica integriranih u jedinstveni informacijski sustav komunikacijskim sredstvima bez korištenja tehnologije daljinskog pristupa (lokalni informacijski sustavi);
na komplekse automatiziranih radnih stanica i (ili) lokalnih informacijskih sustava, spojenih u jedan informacijski sustav pomoću komunikacijskih sredstava pomoću tehnologije daljinskog pristupa (distribuirani informacijski sustavi).
Informacijski sustavi se prema prisutnosti veza s javnim komunikacijskim mrežama i (ili) međunarodnim mrežama za razmjenu informacija dijele na sustave s vezama i sustave bez veza.
Prema načinu obrade osobnih podataka u informacijskom sustavu informacijski sustavi se dijele na jednokorisničke i višekorisničke.
Na temelju razgraničenja prava pristupa korisnika informacijski sustavi se dijele na sustave bez razgraničenja prava pristupa i sustave s razgraničenjem prava pristupa.
Informacijski sustavi, ovisno o lokaciji tehničkih sredstava, dijele se na sustave čija su sva tehnička sredstva smještena unutar Ruske Federacije i sustave čija su tehnička sredstva djelomično ili u cijelosti smještena izvan Ruske Federacije.
sustavu se dodjeljuje jedna od sljedećih klasa:
razred 1 (K1) - informacijski sustavi za koje povreda navedenih sigurnosnih karakteristika osobnih podataka koji se u njima obrađuju može dovesti do značajnih negativnih posljedica za subjekte osobnih podataka;
razred 2 (K2) - informacijski sustavi za koje povreda navedenih sigurnosnih karakteristika osobnih podataka koji se u njima obrađuju može dovesti do negativnih posljedica za subjekte osobnih podataka;
razred 3 (KZ) - informacijski sustavi kod kojih povreda navedenih sigurnosnih karakteristika osobnih podataka koji se u njima obrađuju može dovesti do manjih negativnih posljedica za subjekte osobnih podataka;
razred 4 (K4) - informacijski sustavi kod kojih povreda navedenih sigurnosnih karakteristika osobnih podataka koji se u njima obrađuju ne dovodi do negativnih posljedica za subjekte osobnih podataka.
15. Klasa tipičnog informacijskog sustava određuje se u skladu s
stol.
Na temelju rezultata analize izvornih podataka utvrđuje se klasa posebnog informacijskog sustava na temelju modela prijetnji sigurnosti osobnih podataka u skladu s metodološkim dokumentima izrađenim u skladu sa stavkom 2. Uredbe Vlade RH. Ruska Federacija od 17. studenog 2007. br. 781 „O odobrenju Pravilnika o osiguravanju sigurnosti osobnih podataka pri njihovoj obradi u informacijskim sustavima osobnih podataka” 1.
Ako su unutar informacijskog sustava identificirani podsustavi, od kojih je svaki informacijski sustav, informacijskom sustavu kao cjelini dodjeljuje se klasa koja odgovara najvišoj klasi njegovih podsustava.
1 Zbirka zakonodavstva Ruske Federacije 2007, br. 48, dio II, čl. 6001.
18. Rezultati klasifikacije informacijskih sustava su formalizirani
odgovarajućim aktom operatera.
19. Klasa informacijskog sustava može se revidirati:
odlukom operatera na temelju njegove analize i procjene prijetnji sigurnosti osobnih podataka, uzimajući u obzir karakteristike i (ili) promjene određenog informacijskog sustava;
na temelju rezultata mjera nadzora ispunjavanja zahtjeva za osiguranjem sigurnosti osobnih podataka tijekom njihove obrade u informacijskom sustavu.
Standardna forma
popis informacijskih sustava osobnih podataka (PDIS) u kojima mora biti osigurana informacijska sigurnost
| | |||||||||
| Ne. | | Adresa objekta | ISPD struktura | | PD način obrade | | | ISPD klasa | * Bilješka |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
Primjer popunjavanja liste
| Početni podaci ISPDn klasifikacije | |||||||||
| Ne. | Naziv ISPDn (njegov sastavni dio) | Naziv objekta (pun i skraćen) Pripadnost industriji (odjelu) Adresa objekta | ISPD struktura | Dostupnost veza na SSOP i LEB mreže (Internet) | PD način obrade | Ograničenja korisničkog pristupa | Pronalaženje ISPDn (njegov komponente) unutar Rusije | ISPD klasa | Bilješka |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 1 | Sustav pretplate avio karata tvrtke "AEROTRANS" | CJSC "AEROTRANS", zgrada Central Air Terminal, uredi br. 1501, 1502, 1720 (poslužitelj), Moskva, Lenjingradski prospekt, 35 | Distribuirani sustav | Povezan na Internet, koristeći SSOP | višekorisnički | uz razlikovanje prava pristupa | Pretplatnička točka na području Ukrajine (Kijev, zračna luka Borispil) | 2 | Sustav ima AP u zračnim lukama Sheremetyevo, Domodedovo, Vnukovo |
Primjer naloga za izradu provizije za ISPD klasifikaciju
O klasifikaciji informacijskih sustava
osobni podaci
Klasificirati informacijske sustave osobnih podataka koji se nalaze u zgradi ______________, prema uvjetima njihovog funkcioniranja sa stajališta informacijske sigurnosti, radi usklađenosti sa zahtjevima informacijske sigurnosti
NARUČUJEM:
1. Imenovati komisiju u sastavu:
Predsjednik povjerenstva:
Zamjenik ravnatelja obrazovne ustanove ***
Članovi komisije:
Voditelj Odjela za računovodstvo i izvještavanje ***
Voditelj odjela za HR politiku ***
Glavni specijalist ***
2. Provedite klasifikaciju u skladu s "Postupkom klasifikacije informacijskih sustava osobnih podataka", odobrenim naredbom FSTEC-a Rusije, FSB-a Rusije, Ministarstva informacija i komunikacija Rusije od 13. veljače 2008.
3. Na temelju rezultata rada dostaviti na suglasnost „Akt o klasifikaciji informacijskih sustava osobnih podataka koji se nalaze u zgradi obrazovne ustanove.
4. Zadržavam nadzor nad izvršenjem ovog naloga.
Voditelj OU ****
Primjer akta o klasifikaciji ISPD
AKT br. _/AKl od ___ ___________200_
klasifikacija osobnih podataka informacijski sustavi koji se nalaze u zgradi obrazovne ustanove
Komisija u sastavu:
Predsjednik povjerenstva:Zamjenik ravnatelja obrazovne ustanove
Članovi komisije:
i izvješćivanje
Voditelj odjela za HR politiku
Glavni specijalist
instalirano:
1. Sastav informacijskih sustava osobnih podataka prikazan je u „Popisu informacijskih sustava u kojima mora biti osigurana informacijska sigurnost“ (Prilog 1.).
2. Najviša kategorija osobnih podataka koji se obrađuju u informacijskim sustavima (X PD) – "kategorija _".
3. Najveća količina obrađenih osobnih podataka (X npd) odgovara vrijednost _.
4. U skladu s „Postupkom za klasifikaciju informacijskih sustava osobnih podataka“, odobrenim naredbom FSTEC-a Rusije, FSB-a Rusije, Ministarstva informacija i komunikacija Rusije od 13. veljače 2008., informacije dodjeljuje se sustav kao cjelina klasa _.
Predsjednik povjerenstva:
Zamjenik voditelja Ustanove
Članovi komisije:
Voditelj odjela računovodstva
i izvješćivanje
Voditelj odjela za HR politiku
Glavni specijalist
Popis informacijskih sustava osobnih podataka (PDIS) u kojima mora biti osigurana sigurnost
informacija
| Ne. | Naziv ISPDn (njegov sastavni dio) | Naziv objekta (pun i skraćen) Pripadnost industriji (odjelu). Adresa objekta | Početni podaci ISPDn klasifikacije | ISPD klasa | Bilješka |
||||
| ISPD struktura | Dostupnost veza na SSOP i LEB mreže (Internet) | PD način obrade | Ograničenja korisničkog pristupa | Lokacija ISPDn (njegovih komponenti) unutar Rusije |
|||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 1 | |||||||||
*u stupcu 10 označuju se dodatni podaci o sustavu koje vlasnik sustava smatra potrebnim uvrstiti u popis. U stupcima 4-8 označuju se podaci koji se koriste pri klasifikaciji ISPD-a sukladno Postupku klasifikacije informacijskih sustava osobnih podataka (Prilog. Naredbi FSTEC-a Rusije, FSB-a Rusije, Ministarstva informacija i komunikacija Rusije od 13. veljače 2008. br. 55/86/20 „O odobrenju Postupka za klasifikaciju informacijskih sustava osobnih podataka”).
Informacije o informacijskom sustavu osobnih podataka.
| № p/p | Pokrivena pitanja | Odgovor |
| 1 | Naziv informacijskog sustava osobnih podataka (ISO), nositelj projekta. | Primjer: "1C Enterprise", 1C tvrtka |
| 2 | ISPD klasa | Navesti IPDN razred prema aktu o klasifikaciji |
| 3 | Ciljevi i status ISPD-a | Navedite zašto i na temelju čega su nastale (u skladu sa zakonom, radi ispunjenja ugovora s osiguravajućim društvom, na vlastitu inicijativu i sl.) Primjer: vođenje kadrovske i knjigovodstvene evidencije za zaposlenike, izrađene u skladu sa zakonom |
| 4 | Volumen i sastav ISPDn | Navesti broj subjekata osobnih podataka koji se obrađuju u sustavu i sadržaj informacija (ime i prezime, adresa, porezni broj, nacionalnost i dr.) |
| 5 | ISPDn izvori | Navedite izvore dobivanja osobnih podataka (od građanina, od drugih obrazovnih ustanova, od trećih osoba i sl.) |
| 6 | Način obrade i pristup ISPDn | Navedite način obrade (jednokorisnički, višekorisnički), redoslijed pristupa (s ili bez razgraničenja) i naziv dokumenta koji regulira pristup, ako postoji. Primjer: višekorisnički, s kontrolom pristupa, bez propisa. |
| 7 | ISPDn korisnici. | Primjer: interni korisnici (odjeli, strukturne jedinice). Vanjski korisnici (naziv organizacije). |
| 8 | Metode prijenosa informacija korisnicima. | Primjer: Na papiru, na magnetski mediji informacija, putem sigurnih komunikacijskih kanala itd. |
| 9 | Operater (članak 3. stavak 2. Saveznog zakona-152) ili osoba kojoj je povjerena obrada PD-a (članak 10. „Pravilnika...”). Pravna osnova za obradu osobnih podataka (tko je donio odluku i kojim je dokumentom osigurana). | Navedite puni naziv (prema povelji) i poštansku adresu organizacije, dokumente na temelju kojih ustanova djeluje. Primjer: Ministarstvo obrazovanja i znanosti Republike Tatarstan Dekret predsjednika Republike Tatarstan „O transformaciji Ministarstva obrazovanja Republike Tatarstan“ od 09.09.2004. Broj UP-570 Pravilnik o Ministarstvu obrazovanja i znanosti Republike Tatarstan |
| 10 | Datum početka obrade PD | |
| 11 | Rok trajanja | Odrediti rokove čuvanja podataka za svaki ISPD, ako rok trajanja nije utvrđen zakonom |
| 12 | Odredbe ili uvjeti za prekid obrade | Utvrditi rokove za obradu podataka za svaki ISPD, ako trajanje nije utvrđeno zakonom |
| 13 | Informacije o uključivanju ISPD-a u državni registar baza podataka. |
Bilješka: „Propisi o osiguravanju sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka” odobreni su Uredbom Vlade Ruske Federacije od 17. studenog 2007. br. 781.