Література - безкоштовні консультації юристів. Порядок проведення класифікації інформаційних систем персональних даних Директор Федеральної служби безпеки

Призначення сайту БукваПрава — допомогти звичайним людям, які не мають юридичної освіти, розібратися у вирішенні життєвих питань та проблем.

БукваПрава – це сайт, на якому надається юридична допомога всім громадянам, які потребують професійній раді. Ми приймаємо питання щодо всіх галузей російського законодавства та надаємо юридичні консультації онлайн.

Що таке консультації юриста онлайн

Наші громадяни давно звикли до того, що за будь-яку отриману послугу необхідно платити, тому безкоштовна юридична консультація здається їм менш надійною, ніж та сама інформація, отримана при зустрічі з нотаріусом або юристом.

Звертаємо увагу, що консультації юриста онлайнрегламентуються ФЗ № 324 від 21.11.11 року про надання правової допомоги та заохочується Державною програмою, що працює у сфері підтримки населення країни у галузі права.

Таким чином, юридична допомога онлайн є реальним шансом отримати первинну професійну консультацію та зорієнтуватися у способах вирішення проблеми. Для цього не знадобиться записуватися на прийом і гаяти час у чергах.

Практика "юрист онлайн" дозволяє терміново дізнатися відповідь на актуальний запит правової спрямованості. Якщо описана ситуація відноситься до теми, що часто обговорюється, і не містить підводного каміння, то допомога юриста займе всього кілька хвилин. Для вирішення складних питань потрібно більше часу. Щоб отримати юридичну консультацію, що повністю відповідає ситуації, знадобиться відповісти на додаткові питання, надати відомості про супутні обставини або просто сформулювати тему чіткіше і докладніше.

Юридичні послуги дозволяють швидко прийняти рішення і не допустити помилкових кроків при оцінці ситуації, що виникла, або вирішенні спірної проблеми.

Що пропонує сайт БукваПрава

Для вас працюють досвідчені юристи, які спеціалізуються у різних галузях законодавства та ведуть щоденну практичну діяльність. Усі консультації адвоката складаються з урахуванням сучасного стану правового поля.

У нас ви можете:

  • ознайомитися зі статтями з актуальних та цікавих багатьох тем трудового, цивільного та сімейного законодавства
  • отримати консультацію адвоката онлайн, поставивши запитання щодо безкоштовний номертелефону або сформулювавши проблему у вигляді письмового запиту
  • дізнатися про нові зміни в законодавстві та уточнити дієвість раніше існуючих законодавчих норм
  • зберегти повну конфіденційність заданих питаньта відповідей, оскільки ми не просимо документів, що засвідчують особу
  • побачити свою ситуацію з точки зору чинних норм та судової практики та оцінити перспективи вирішення проблеми.

Пропонуємо безкоштовну допомогу адвоката всім, хто потребує термінових кваліфікованих відповідей щодо випадків, що виникли.

Тут ви знайдете:

  • Статті, які роз'яснюють різні ситуації з юридичної точки зору
  • Покрокові інструкції з нагальних питань
  • Словник юридичних термінів
  • Шаблони часто використовуваних документів
  • Довідник адрес необхідних служб та організацій

Свіжі статті та покрокові інструкції

Ми щодня додаємо нові статті на актуальні теми. Якщо ви не наші відповіді на своє запитання, напишіть нам [email protected], ми розберемося у питанні та опублікуємо статтю найближчим часом.

А якщо у вас питання, що відноситься до галузі сімейного права, то ви можете зайти на сайт Позашлюбу, де ви можете отримати допомогу юриста онлайн з сімейних питань: щодо укладення та розірвання шлюбу, аліментів, спадщини, батьківських прав та різноманітних посібників.

Наказ Федеральної служби з технічного та експортного контролю, ФСБ РФ та Міністерства інформаційних технологій та зв'язку РФ
від 13 лютого 2008 р. N 55/86/20
"Про затвердження Порядку проведення класифікації інформаційних систем персональних даних"

Відповідно до пункту 6 Положення про забезпечення безпеки персональних даних під час їх обробки інформаційних системах персональних даних, затвердженого постановою Уряду Російської Федераціївід 17 листопада 2007 р. N 781 "Про затвердження Положення про забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних" (Збори законодавства Російської Федерації, 2007, N 48, частина II, ст. 6001), наказуємо:

Затвердити доданий Порядокпроведення класифікації інформаційних систем персональних даних

Реєстраційний N 11462

Порядок
проведення класифікації інформаційних систем персональних даних

1. Цей Порядок визначає проведення класифікації інформаційних систем персональних даних, що є сукупністю персональних даних, що містяться в базах даних, а також інформаційні технологіїта технічних засобів, що дозволяють здійснювати обробку таких персональних даних з використанням засобів автоматизації (далі – інформаційні системи) * .

2. Класифікація інформаційних систем проводиться державними органами, муніципальними органами, юридичними та фізичними особами, що організують та (або) здійснюють обробку персональних даних, а також визначають цілі та зміст обробки персональних даних (далі - оператор) ** .

3. Класифікація інформаційних систем проводиться на етапі створення інформаційних систем або в ході їх експлуатації (для раніше введених в експлуатацію та (або) модернізованих інформаційних систем) з метою встановлення методів та засобів захисту інформації, необхідних для забезпечення безпеки персональних даних.

4. Проведення класифікації інформаційних систем включає наступні етапи:

збір та аналіз вихідних даних по інформаційній системі:

присвоєння інформаційній системі відповідного класу та його документальне оформлення.

5. Під час проведення класифікації інформаційної системи враховуються такі вихідні дані:

обсяг оброблюваних персональних даних (кількість суб'єктів персональних даних, персональні дані яких обробляються в інформаційній системі) - ;

задані оператором характеристики безпеки персональних даних, що обробляються в інформаційній системі;

структура інформаційної системи;

наявність підключень інформаційної системи до мереж зв'язку загального користування та (або) мереж міжнародного інформаційного обміну;

режим обробки персональних даних;

режим розмежування прав доступу до користувачів інформаційної системи;

місцезнаходження технічних засобів інформаційної системи

6. Визначаються такі категорії оброблюваних в інформаційній системі персональних даних:

7. може приймати такі значення:

1 - в інформаційній системі одночасно обробляються персональні дані більш ніж 100 000 суб'єктів персональних даних або персональні дані суб'єктів персональних даних у межах суб'єкта Російської Федерації чи Російської Федерації загалом;

2 - в інформаційній системі одночасно обробляються персональні дані від 1000 до 100 000 суб'єктів персональних даних або персональні дані суб'єктів персональних даних, що працюють в галузі економіки Російської Федерації, в органі державної влади, які проживають у межах муніципальної освіти;

3 - в інформаційній системі одночасно обробляються дані менш ніж 1000 суб'єктів персональних даних або персональні дані суб'єктів персональних даних у межах конкретної організації.

8. За заданими оператором характеристиками безпеки персональних даних, що обробляються в інформаційній системі, інформаційні системи поділяються на типові та спеціальні інформаційні системи.

Типові інформаційні системи - інформаційні системи, які потребують забезпечення лише конфіденційності персональних даних.

Спеціальні інформаційні системи - інформаційні системи, у яких незалежно від необхідності забезпечення конфіденційності персональних даних потрібно забезпечити хоча б одну з характеристик безпеки персональних даних, відмінну від конфіденційності (захищеність від знищення, зміни, блокування та інших несанкціонованих дій).

До спеціальних інформаційних систем слід віднести:

інформаційні системи, в яких обробляються персональні дані щодо стану здоров'я суб'єктів персональних даних;

інформаційні системи, в яких передбачено прийняття на підставі виключно автоматизованої обробкиперсональних даних рішень, що породжують юридичні наслідки щодо суб'єкта персональних даних або іншим чином зачіпають його права та законні інтереси.

9. За структурою інформаційні системи поділяються:

на автономні (не підключені до інших інформаційних систем) комплекси технічних та програмних засобів, призначені для обробки персональних даних (автоматизовані робочі місця);

на комплекси автоматизованих робочих місць, які об'єднані в єдину інформаційну систему засобами зв'язку без використання технології віддаленого доступу (локальні інформаційні системи);

на комплекси автоматизованих робочих місць та (або) локальних інформаційних систем, об'єднаних у єдину інформаційну систему засобами зв'язку з використанням технології віддаленого доступу (розподілені інформаційні системи).

10. За наявності підключень до мереж зв'язку загального користування та (або) мереж міжнародного інформаційного обміну інформаційні системи поділяються на системи, що мають підключення, та системи, що не мають підключень.

11. За режимом обробки персональних даних в інформаційній системі інформаційні системи поділяються на однокористувацькі та розраховані на багато користувачів.

12. За розмежуванням прав доступу користувачів інформаційні системи поділяються на системи без розмежування прав доступу та системи з розмежуванням прав доступу.

13. Інформаційні системи залежно від місцезнаходження їх технічних засобів поділяються на системи, всі технічні коштияких перебувають у межах Російської Федерації, і системи, технічні засоби яких частково чи цілком перебувають поза Російської Федерації.

14. За результатами аналізу вихідних даних типовій інформаційній системі надається один із наступних класів:

клас 1 (К1) - інформаційні системи, котрим порушення заданої характеристики безпеки персональних даних, оброблюваних у яких, може призвести до значних негативних наслідків для суб'єктів персональних даних;

клас 2 (К2) - інформаційні системи, котрим порушення заданої характеристики безпеки персональних даних, оброблюваних у яких, може призвести до негативних наслідків для суб'єктів персональних даних;

клас 3 (К3) - інформаційні системи, котрим порушення заданої характеристики безпеки персональних даних, оброблюваних у яких, може призвести до незначних негативних наслідків для суб'єктів персональних даних;

клас 4 (К4) - інформаційні системи, котрим порушення заданої характеристики безпеки персональних даних, оброблюваних у яких, не призводить до негативних наслідків для суб'єктів персональних даних.

15. Клас типової інформаційної системи визначається відповідно до таблиці.

┌──────────────────────────┬──────────────┬──────────────┬──────────────┐

│ Х_нпд│ 3 │ 2 │ 1 │

│ \ │ │ │ │

│Х_пд │ │ │ │

├──────────────────────────┼──────────────┼──────────────┼──────────────┤

├──────────────────────────┼──────────────┼──────────────┼──────────────┤

├──────────────────────────┼──────────────┼──────────────┼──────────────┤

└──────────────────────────┴──────────────┴──────────────┴──────────────┘

16. За результатами аналізу вихідних даних клас спеціальної інформаційної системи визначається на основі моделі загроз безпеки персональних даних відповідно до методичних документів, що розробляються відповідно до пункту 2 постанови Уряду Російської Федерації від 17 листопада 2007 р. N 781 "Про затвердження Положення про забезпечення безпеки персональних даних під час їх обробки в інформаційних системах персональних даних" *** .

17. У разі виділення у складі інформаційної системи підсистем, кожна з яких є інформаційною системою, інформаційній системі в цілому присвоюється клас, що відповідає найвищому класу підсистем, що входять до неї.

18. Результати класифікації інформаційних систем оформлюються відповідним актом оператора.

19. Клас інформаційної системи може бути переглянутий:

за рішенням оператора на основі проведених ним аналізу та оцінки загроз безпеці персональних даних з урахуванням особливостей та (або) змін конкретної інформаційної системи;

за результатами заходів щодо контролю за виконанням вимог щодо забезпечення безпеки персональних даних при їх обробці в інформаційній системі.

______________________________

* Абзац перший пункту 1 Положення про забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних, затвердженого постановою Уряду Російської Федерації від 17 листопада 2007 N 781 (Збори законодавства Російської Федерації, 2007, N 48, частина II, ст. 6001 ) (Далі - Положення).

20 86 ...

  • Генеральний план воронського сільського майна з обґрунтування проекту частина 1 опис обґрунтувань

    Документ

    ПОЛОЖЕННЯ 13 2. ПРИРОДНІ УМОВИ 13 3. Клімат. 13 4. ... освіта 86 20 . Загальна освіта 86 21 ..., тис.руб. 2008р. 2009р. 2009 р./ 2008р., % 2010р. ... д. Олександрове N5520 РЕМ 0,8 д. Конюхово N56 20 РЕМ 0, ... у Російській Федерації» від 6 лютого 2003 року №...

  • Закон

    Видавців 86 газет загальним... конгрес. Документ N55

    • У зв'язку з визнанням такою, що втратила чинність, постанови Уряду Російської Федерації від 17 листопада 2007 р. № 781 «Про затвердження Положення про забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних» (Збори законодавства Російської Федерації, 2007, № 48, ст. 6001 ) наказуємо:

    визнати таким, що втратив чинність, наказ Федеральної служби з технічного та експортного контролю, Федеральної служби безпеки Російської Федерації та Міністерства інформаційних технологій та зв'язку Російської Федерації від 13 лютого 2008 р. № 55/86/20 «Про затвердження Порядку проведення класифікації інформаційних систем персональних даних» (зареєстрований Міністерством юстиції Російської Федерації 3 квітня 2008, реєстраційний № 11462).

    Міністр
    зв'язку та масових комунікацій
    Російської Федерації    		 Н. Никифоров

    Огляд документа

    Визнається таким, що втратив чинність, спільний наказ ФСТЕК Росії, ФСБ Росії та Мінінформзв'язку Росії, яким було затверджено порядок класифікації інформаційних систем персональних даних.

    Справа в тому, що перестало діяти Положення про забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних, затверджене постановою Уряду РФ від 17 листопада 2007 N 781. Новий порядок викладено в постанові від 1 листопада 2012 N 1119.

    Наказ Федеральної служби з технічного та експортного контролю (ФСТЕК Росії) Федеральної служби безпеки Російської Федерації (ФСБ Росії) Міністерства інформаційних технологій та зв'язку Російської Федерації (Мінінформзв'язку Росії) від 13 лютого 2008 р. N 55/86/20 р. Москва

    "Про затвердження Порядку проведення класифікації інформаційних систем персональних даних"

    Відповідно до пункту 6 Положення про забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних, затвердженого постановою Уряду Російської Федерації від 17 листопада 2007 р. N 781 "Про затвердження Положення про забезпечення безпеки персональних даних під час їх обробки в інформаційних системах персональних даних" (Збори законодавства Російської Федерації, 2007, N 48, частина II, ст. 6001), наказуємо:

    Затвердити Порядок проведення класифікації інформаційних систем персональних даних, що додається.

    Директор ФСТЕК С. Григоров

    Директор ФСБ Російської Федерації М. Патрушев

    Міністр інформаційних технологій та зв'язку Російської Федерації Л. Рейман

    Порядок проведення класифікації інформаційних систем персональних даних

    1. Цей Порядок визначає проведення класифікації інформаційних систем персональних даних, що є сукупністю персональних даних, що містяться в базах даних, а також інформаційних технологій та технічних засобів, що дозволяють здійснювати обробку таких персональних даних з використанням засобів автоматизації (далі - інформаційні системи)1.

    2. Класифікація інформаційних систем проводиться державними органами, муніципальними органами, юридичними та фізичними особами, що організують та (або) здійснюють обробку персональних даних, а також визначальними мети та зміст обробки персональних даних (далі - оператор)2.

    3. Класифікація інформаційних систем проводиться на етапі створення інформаційних систем або в ході їх експлуатації (для раніше введених в експлуатацію та (або) модернізованих інформаційних систем) з метою встановлення методів та засобів захисту інформації, необхідних для забезпечення безпеки персональних даних.

    4. Проведення класифікації інформаційних систем включає наступні етапи:

    збір та аналіз вихідних даних по інформаційній системі:

    присвоєння інформаційній системі відповідного класу та його документальне оформлення.

    5. Під час проведення класифікації інформаційної системи враховуються такі вихідні дані:

    Обсяг оброблюваних персональних даних (кількість суб'єктів персональних даних, персональні дані яких обробляються в інформаційній системі) – Х нпд; (П. 7)

    Задані оператором характеристики (тобто захищеність тільки «конфі», або від знищення, зміни, блокування, і навіть інших несанкціонованих дій) безпеки персональних даних, оброблюваних інформаційної системі (див.п.8);

    структура інформаційної системи (п. 9);

    Наявність підключень інформаційної системи до мереж зв'язку загального користування та (або) мереж міжнародного інформаційного обміну (п. 10);

    режим обробки персональних даних (п. 11);

    режим розмежування прав доступу користувачів інформаційної системи (п. 12);

    Місцезнаходження технічних засобів інформаційної системи (п. 13).

    6. Визначаються такі категорії оброблюваних в інформаційній системі персональних даних (Х пд):

    7. Х нпд може приймати такі значення:

    1 - в інформаційній системі одночасно обробляються персональні дані більш ніж 100 000 суб'єктів персональних даних або персональні дані суб'єктів персональних даних у межах суб'єкта Російської Федерації чи Російської Федерації загалом;

    2 - в інформаційній системі одночасно обробляються персональні дані від 1000 до 100 000 суб'єктів персональних.

    3 - в інформаційній системі одночасно обробляються дані менш ніж 1000 суб'єктів персональних даних або персональні дані суб'єктів персональних даних у межах конкретної організації.

    8. За заданими оператором характеристиками безпеки персональних даних, що обробляються в інформаційній системі, інформаційні системи поділяються на типові та спеціальні інформаційні системи.

    Типові інформаційні системи - інформаційні системи, які потребують забезпечення лише конфіденційності персональних даних.

    Спеціальні інформаційні системи - інформаційні системи, у яких незалежно від необхідності забезпечення конфіденційності персональних даних потрібно забезпечити хоча б одну з характеристик безпеки персональних даних, відмінну від конфіденційності (захищеність від знищення, зміни, блокування та інших несанкціонованих дій).

    До спеціальних інформаційних систем слід віднести:

    інформаційні системи, в яких обробляються персональні дані щодо стану здоров'я суб'єктів персональних даних;

    інформаційні системи, в яких передбачено прийняття на підставі виключно автоматизованої обробки персональних даних рішень, що породжують юридичні наслідки щодо суб'єкта персональних даних або іншим чином зачіпають його права та законні інтереси.

    9. За структурою інформаційні системи поділяються:

    на автономні (не підключені до інших інформаційних систем) комплекси технічних та програмних засобів, призначені для обробки персональних даних (автоматизовані робочі місця);

    на комплекси автоматизованих робочих місць, які об'єднані в єдину інформаційну систему засобами зв'язку без використання технології віддаленого доступу (локальні інформаційні системи);

    на комплекси автоматизованих робочих місць та (або) локальних інформаційних систем, об'єднаних у єдину інформаційну систему засобами зв'язку з використанням технології віддаленого доступу (розподілені інформаційні системи).

    10. За наявності підключень до мереж зв'язку загального користування та (або) мереж міжнародного інформаційного обміну інформаційні системи поділяються на системи, що мають підключення, та системи, що не мають підключень.

    11. За режимом обробки персональних даних в інформаційній системі інформаційні системи поділяються на однокористувацькі та розраховані на багато користувачів.

    12. За розмежуванням прав доступу користувачів інформаційні системи поділяються на системи без розмежування прав доступу та системи з розмежуванням прав доступу.

    13. Інформаційні системи в залежності від місцезнаходження їх технічних засобів поділяються на системи, всі технічні засоби яких знаходяться в межах Російської Федерації, та системи, технічні засоби яких частково або повністю перебувають за межами Російської Федерації.

    14. За результатами аналізу вихідних даних типовій інформаційній системі надається один із наступних класів:

    клас 1 (К1) - інформаційні системи, котрим порушення заданої характеристики безпеки персональних даних, оброблюваних у яких, може призвести до значних негативних наслідків для суб'єктів персональних даних;

    клас 2 (К2) - інформаційні системи, котрим порушення заданої характеристики безпеки персональних даних, оброблюваних у яких, може призвести до негативних наслідків для суб'єктів персональних даних;

    клас 3 (К3) - інформаційні системи, котрим порушення заданої характеристики безпеки персональних даних, оброблюваних у яких, може призвести до незначних негативних наслідків для суб'єктів персональних даних;

    клас 4 (К4) - інформаційні системи, котрим порушення заданої характеристики безпеки персональних даних, оброблюваних у яких, не призводить до негативних наслідків для суб'єктів персональних даних.

    15. Клас типової інформаційної системи визначається відповідно до таблиці.

    16. За результатами аналізу вихідних даних клас спеціальної інформаційної системи визначається на основі моделі загроз безпеки персональних даних відповідно до методичних документів, що розробляються відповідно до пункту 2 постанови Уряду Російської Федерації від 17 листопада 2007 р. N 781 "Про затвердження Положення про забезпечення безпеки персональних даних під час їх обробки у інформаційних системах персональних данных"3.

    17. У разі виділення у складі інформаційної системи підсистем, кожна з яких є інформаційною системою, інформаційній системі в цілому присвоюється клас, що відповідає найвищому класу підсистем, що входять до неї.

    18. Результати класифікації інформаційних систем оформлюються відповідним актом оператора.

    19. Клас інформаційної системи може бути переглянутий:

    за рішенням оператора на основі проведених ним аналізу та оцінки загроз безпеці персональних даних з урахуванням особливостей та (або) змін конкретної інформаційної системи;

    за результатами заходів щодо контролю за виконанням вимог щодо забезпечення безпеки персональних даних при їх обробці в інформаційній системі.

    1Абзац перший пункту 1 Положення про забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних, затвердженого постановою Уряду Російської Федерації від 17 листопада 2007 року.

    N 781 (Збори законодавства Російської Федерації, 2007, N 48, частина II,

    2Абзац перший пункту 6 Положення.

    3Збори законодавства Російської Федерації 2007, N 48, частина II, ст. 6001.

    ФЕДЕРАЛЬНА СЛУЖБА З ТЕХНІЧНОГО ТА ЕКСПОРТНОГО КОНТРОЛЮ

    ФЕДЕРАЛЬНА СЛУЖБА БЕЗПЕКИ РОСІЙСЬКОЇ ФЕДЕРАЦІЇ

    МІНІСТЕРСТВО ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ І ЗВ'ЯЗКУ
    РОСІЙСЬКОЇ ФЕДЕРАЦІЇ

    Про затвердження Порядку проведення класифікації інформаційних систем персональних даних


    Втратив чинність з 11 березня 2014 року на підставі
    спільного наказу ФСТЕК Росії, ФСБ Росії та Мінкомзв'язку Росії
    від 31 грудня 2013 року N 151/786/461
    ____________________________________________________________________


    Відповідно до пункту 6 Положення про забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних, затвердженого постановою Уряду Російської Федерації від 17 листопада 2007 року N 781 "Про затвердження Положення про забезпечення безпеки персональних даних під час їх обробки в інформаційних системах персональних даних" (Збори законодавства Російської Федерації, 2007, N 48, частина II, ст.6001),

    наказуємо:

    Затвердити Порядок проведення класифікації інформаційних систем персональних даних, що додається.

    Директор Федеральної служби
    з технічного та
    експортного контролю
    С.Григорів

    Директор Федеральної
    служби безпеки
    Російської Федерації
    H.Патрушев

    Міністр інформаційних технологій
    та зв'язку Російської Федерації
    Л.Рейман


    Зареєстровано
    у Міністерстві юстиції
    Російської Федерації
    3 квітня 2008 року,
    реєстраційний N 11462

    Порядок проведення класифікації інформаційних систем персональних даних

    ЗАТВЕРДЖЕНИЙ
    наказом ФСТЕК Росії,
    ФСБ Росії,
    Мінінформзв'язку Росії
    від 13 лютого 2008 року N 55/86/20

    1. Цей Порядок визначає проведення класифікації інформаційних систем персональних даних, що є сукупністю персональних даних, що містяться в базах даних, а також інформаційних технологій та технічних засобів, що дозволяють здійснювати обробку таких персональних даних з використанням засобів автоматизації (далі - інформаційні системи).
    ________________
    Абзац перший пункту 1 Положення про забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних, затвердженого постановою Уряду Російської Федерації від 17 листопада 2007 N 781 (Збори законодавства Російської Федерації, 2007, N 48, частина II, ст.6001) ( далі – Положення).

    2. Класифікація інформаційних систем проводиться державними органами, муніципальними органами, юридичними та фізичними особами, що організують та (або) здійснюють обробку персональних даних, а також визначальними мети та зміст обробки персональних даних (далі - оператор).
    ________________
    Абзац перший пункту 6 Положення.

    3. Класифікація інформаційних систем проводиться на етапі створення інформаційних систем або в ході їх експлуатації (для раніше введених в експлуатацію та (або) модернізованих інформаційних систем) з метою встановлення методів та засобів захисту інформації, необхідних для забезпечення безпеки персональних даних. *3)

    4. Проведення класифікації інформаційних систем включає наступні етапи:

    збір та аналіз вихідних даних по інформаційній системі;

    присвоєння інформаційній системі відповідного класу та його документальне оформлення.

    5. Під час проведення класифікації інформаційної системи враховуються такі вихідні дані:

    категорія оброблюваних в інформаційній системі персональних даних -;

    обсяг оброблюваних персональних даних (кількість суб'єктів персональних даних, персональні дані яких обробляються в інформаційній системі) - ;

    задані оператором характеристики безпеки персональних даних, що обробляються в інформаційній системі;

    структура інформаційної системи;

    наявність підключень інформаційної системи до мереж зв'язку загального користування та (або) мереж міжнародного інформаційного обміну;

    режим обробки персональних даних;

    режим розмежування прав доступу до користувачів інформаційної системи;

    місцезнаходження технічних засобів інформаційної системи

    6. Визначаються такі категорії персональних даних, що обробляються в інформаційній системі ():

    категорія 1 - персональні дані щодо расової, національної приналежності, політичних поглядів, релігійних та філософських переконань, стану здоров'я, інтимного життя;

    категорія 2 - персональні дані, що дозволяють ідентифікувати суб'єкта персональних даних та отримати про нього додаткову інформацію, за винятком персональних даних, що належать до категорії 1;

    категорія 3 – персональні дані, що дозволяють ідентифікувати суб'єкта персональних даних;

    категорія 4 - знеособлені та (або) загальнодоступні персональні дані.

    7. може приймати такі значення:

    1 - в інформаційній системі одночасно обробляються персональні дані більш ніж 100 000 суб'єктів персональних даних або персональні дані суб'єктів персональних даних в межах суб'єкта Російської Федерації або Російської Федерації в цілому;

    2 - в інформаційній системі одночасно обробляються персональні дані від 1000 до 100000 суб'єктів персональних даних або персональні дані суб'єктів персональних даних, що працюють в галузі економіки Російської Федерації, в органі державної влади, які проживають у межах муніципальної освіти;

    3 - в інформаційній системі одночасно обробляються дані менш ніж 1000 суб'єктів персональних даних або персональні дані суб'єктів персональних даних у межах конкретної організації.

    8. За заданими оператором характеристиками безпеки персональних даних, що обробляються в інформаційній системі, інформаційні системи поділяються на типові та спеціальні інформаційні системи.

    Типові інформаційні системи - інформаційні системи, які потребують забезпечення лише конфіденційності персональних даних.

    Спеціальні інформаційні системи - інформаційні системи, у яких незалежно від необхідності забезпечення конфіденційності персональних даних потрібно забезпечити хоча б одну з характеристик безпеки персональних даних, відмінну від конфіденційності (захищеність від знищення, зміни, блокування та інших несанкціонованих дій).

    До спеціальних інформаційних систем слід віднести:

    інформаційні системи, в яких обробляються персональні дані щодо стану здоров'я суб'єктів персональних даних;

    інформаційні системи, в яких передбачено прийняття на підставі виключно автоматизованої обробки персональних даних рішень, що породжують юридичні наслідки щодо суб'єкта персональних даних або іншим чином зачіпають його права та законні інтереси.

    9. За структурою інформаційні системи поділяються:

    на автономні (не підключені до інших інформаційних систем) комплекси технічних та програмних засобів, призначені для обробки персональних даних (автоматизовані робочі місця);

    на комплекси автоматизованих робочих місць, які об'єднані в єдину інформаційну систему засобами зв'язку без використання технології віддаленого доступу (локальні інформаційні системи);

    на комплекси автоматизованих робочих місць та (або) локальних інформаційних систем, об'єднаних у єдину інформаційну систему засобами зв'язку з використанням технології віддаленого доступу (розподілені інформаційні системи).

    10. За наявності підключень до мереж зв'язку загального користування та (або) мереж міжнародного інформаційного обміну інформаційні системи поділяються на системи, що мають підключення, та системи, що не мають підключень.

    11. За режимом обробки персональних даних в інформаційній системі інформаційні системи поділяються на однокористувацькі та розраховані на багато користувачів.

    12. За розмежуванням прав доступу користувачів інформаційні системи поділяються на системи без розмежування прав доступу та системи з розмежуванням прав доступу.

    13. Інформаційні системи в залежності від місцезнаходження їх технічних засобів поділяються на системи, всі технічні засоби яких знаходяться в межах Російської Федерації, та системи, технічні засоби яких частково або повністю перебувають за межами Російської Федерації.

    14. За результатами аналізу вихідних даних типовій інформаційній системі надається один із наступних класів:

    клас 1 (К1) - інформаційні системи, котрим порушення заданої характеристики безпеки персональних даних, оброблюваних у яких, може призвести до значних негативних наслідків для суб'єктів персональних даних;

    клас 2 (К2) - інформаційні системи, котрим порушення заданої характеристики безпеки персональних даних, оброблюваних у яких, може призвести до негативних наслідків для суб'єктів персональних даних;

    клас 3 (К3) - інформаційні системи, котрим порушення заданої характеристики безпеки персональних даних, оброблюваних у яких, може призвести до незначних негативних наслідків для суб'єктів персональних даних;

    клас 4 (К4) - інформаційні системи, котрим порушення заданої характеристики безпеки персональних даних, оброблюваних у яких, не призводить до негативних наслідків для суб'єктів персональних даних.

    15. Клас типової інформаційної системи визначається відповідно до таблиці.

    16. За результатами аналізу вихідних даних клас спеціальної інформаційної системи визначається на основі моделі загроз безпеки персональних даних відповідно до методичних документів, що розробляються відповідно до пункту 2 постанови Уряду Російської Федерації від 17 листопада 2007 року N 781 "Про затвердження Положення про забезпечення безпеки персональних даних" даних під час їхньої обробки в інформаційних системах персональних даних" .
    ________________
    Відомості Верховної Ради України, 2007, N 48, частина II, ст.6001.

    17. У разі виділення у складі інформаційної системи підсистем, кожна з яких є інформаційною системою, інформаційній системі в цілому присвоюється клас, що відповідає найвищому класу підсистем, що входять до неї.

    18. Результати класифікації інформаційних систем оформлюються відповідним актом оператора.

    19. Клас інформаційної системи може бути переглянутий:

    за рішенням оператора на основі проведених ним аналізу та оцінки загроз безпеці персональних даних з урахуванням особливостей та (або) змін конкретної інформаційної системи;

    за результатами заходів щодо контролю за виконанням вимог щодо забезпечення безпеки персональних даних при їх обробці в інформаційній системі.



    Електронний текст документа
    підготовлений ЗАТ "Кодекс" і звірений.

    2022 wisemotors.ru. Як це працює. Залізо. Майнінг. Криптовалюта.