Акт класифікації ІСПДн

Акт класифікації ІСПДн

Акт класифікації інформаційної системи, що обробляє персональні дані, визначає структуру ІСПДн і режим обробки ПДН.

Акт класифікації є конфіденційним документом, тобто повинен мати гриф конфіденційності ( "Конфіденційно", "ДСП", "Комерційна таємниця") і обліковий номер.

Для проведення класифікації на підприємстві повинна бути створена комісія. До складу комісії обов'язково повинен бути включений відповідальний за захист персональних даних. Комісія повинна бути призначена наказом керівника і здійснювати свою діяльність на підставі Положення про комісію з класифікації. За результатами класифікації повинен бути оформлений акт. Акт класифікації ІСПДн повинен затверджуватися Головою комісії з класифікації (голова і члени комісії призначаються наказом про проведення внутрішньої перевірки). Акт повинен бути підписаний всіма членами комісії.

Акт класифікації складається для кожної виявленої ІСПДн і додається до повідомлення про обробку (якщо повідомлення необхідно). Для кожної ІСПДн повинна бути визначена її структура, в якій визначаються характеристики режиму обробки.

В акті вказується:

• Оброблювані в системі персональні дані;
• Обсяг оброблюваних персональних даних;
• Тип актуальних загроз для ІСПДн;
• Структура інформаційної системи;
• Наявність підключень до мереж зв'язку загального користування і (або) мереж міжнародного інформаційного обміну;
• Режим обробки персональних даних в системі;
• Розмежування прав доступу користувачів;
• Місцезнаходження ІСПДн;
• Рівень захищеності ПДН.

Оброблювані в системі ПДН:

Обсяг, оброблюваних ПДН визначає кількість суб'єктів. персональні дані яких обробляються в системі. Застосовується наступна градація:

• більш ніж 100 000 суб'єктів ПДН
• менш ніж 100 000 суб'єктів ПДН

Тип актуальних загроз для ІСПДн:

• погрози 1-го типу актуальні для інформаційної системи, якщо для неї в тому числі актуальні загрози, пов'язані з наявністю недокументованих (декларованих) можливостей в системному програмному забезпеченні, яке в інформаційній системі.
• погрози 2-го типу актуальні для інформаційної системи, якщо для неї в тому числі актуальні загрози, пов'язані з наявністю недокументованих (декларованих) можливостей в прикладному програмному забезпеченні, яке в інформаційній системі.
• погрози 3-го типу актуальні для інформаційної системи, якщо для неї актуальні загрози, які пов'язані з наявністю недокументованих (декларованих) можливостей в системному і прикладному програмному забезпеченні, яке в інформаційній системі.

Рівень захищеності визначається на підставі оброблюваних в системі ПДН, обсягу, оброблюваних даних і типу актуальних загроз.

За типом інформаційні системи персональних даних діляться на типові і спеціальні. Типові ІСПДн - інформаційні системи, в яких потрібно забезпечити тільки конфіденційність ПДН. Спеціальні ІСПДн - інформаційні системи, в яких крім конфіденційності необхідно забезпечити ще хоча б одну характеристику безпеки персональних даних (цілісність, доступність).

Крім того до спеціальних систем відносяться всі ІСПДн, що обробляють дані про здоров'я суб'єктів і ІСПДн, в яких передбачено прийняття рішень породжують для суб'єкта юридичні наслідки на підставі автоматизованої обробки.

Більшість існуючих ІСПДн - спеціальні. Це пов'язано з тим, що крім конфіденційності також важливо, щоб ПДН були завжди доступні для обробки, цілісні і достовірні. Для всіх спеціальних систем необхідно розробити «Приватну модель актуальних загроз».

Класифікація інформаційних системи персональних даних по структурі:

• Автономні. Являє собою одне автоматизоване робоче місце (комп'ютер)
• Локальні. Автоматизовані робочі місця (АРМ), об'єднані в локальну мережу
• Розподілені. Автоматизовані робочі місця або локальні мережі, пов'язані між собою за допомогою технологій віддаленого доступу.

По режиму обробки персональних даних в системі ІСПДн діляться на однопользовательские і розраховані на багато користувачів. Однопользовательские системи - велика рідкість. Як правило, навіть за одним автономним робочим місцем працюють мінімум дві людини (на випадок відпусток і хвороб)

Класифікація багатокористувацьких ІСПДн діляться на:

• Без розмежування прав доступу. У таких системах всі користувачі мають доступ до всієї інформації;
• З розмежуванням прав доступу. Кожен користувач має доступ до строго певної частини інформації в системі.

За місцем знаходження ІСПДн діляться на:

• Системи, які повністю знаходяться в межах РФ;
• Системи які частково або повністю перебувають за межами РФ.

Конфіденційність і безпека

• Правила використання сервісу
• Правила використання інформації з сайту
• Політика конфіденційності

Схожі статті

• рана класифікація

• Класифікація видів уваги, по у

• Пухлина нирки причини і класифікація видів, методи лікування