Акт классификации ИСПДн

Акт классификации ИСПДн, как правило, является конфиденциальным документом, и должен иметь гриф конфиденциальности («Конфиденциально», «ДСП», «Коммерческая тайна») и учетный номер.

Для проведения классификации на предприятии должна быть создана комиссия. В состав комиссии обязательно должен входить ответственный за защиту персональных данных. Комиссия должна быть назначена приказом руководителя и осуществлять свою деятельность на основании Положения о комиссии по классификации. По результатам классификации должен быть оформлен акт. Акт классификации ИСПДн должен утверждаться председателем комиссии и подписываться всеми членами комиссии.

Как составить акт классификации ИСПДн

Акт классификации составляется для каждой выявленной ИСПДн. На основании полученных данных каждой ИСПДн определяется необходимый уровень защищенности персональных данных. Это нужно для того, чтобы установить требования для обеспечения защиты информационной системы персональных данных. Определение уровня защищенности персональных данных проводится в соответствии с Постановлением Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

В акте указывается:

• обрабатываемые в системе персональные данные;
• объем обрабатываемых персональных данных;
• тип актуальных угроз для ИСПДн;
• структура информационной системы;
• наличие подключений к сетям связи общего пользования и (или) сетям международного информационного обмена;
• режим обработки персональных данных в системе;
• разграничение прав доступа пользователей;
• местонахождение ИСПДн;
• уровень защищенности ПДн.

В акт классификации ИСПДн могут входить системы, в которых хранятся такие данные:

• специальные категории персональных данных – сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;
• биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
• общедоступные персональные данные – сведения, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных».

Довольно редко встречаются системы, в которых обрабатываются персональные данные 3 категории. Это связано с тем, что для реальных задач нужны не только данные идентифицирующие субъекта (ФИО, паспортные данные), но и дополнительная информация о нем (например, сведения о зарплате).

Наиболее часто встречаются информационные системы, в которых обрабатываются персональные данные 2 категории. Например, системы расчета заработной платы сотрудников.

Специальные категории ПДн, как правило, встречаются в учреждениях здравоохранения.

Объем обрабатываемых ПДн определяет количество субъектов, персональные данные которых обрабатываются в системе. Применяется следующая градация:

• более чем 100 000 субъектов ПДн;
• менее чем 100 000 субъектов ПДн.

Виды угроз безопасности персональных данных

Тип актуальных угроз для ИСПДн:

• угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;
• угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;
• угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

По типу информационные системы персональных данных, описываемые в акте классификации ИСПДн, делятся на типовые и специальные. Типовые ИСПДн – информационные системы, в которых требуется обеспечить только конфиденциальность ПДн. Специальные ИСПДн – информационные системы, в которых, кроме конфиденциальности, необходимо обеспечить еще хотя бы одну характеристику безопасности персональных данных (целостность, доступность).

Кроме того, к специальным системам относятся все ИСПДн, обрабатывающие данные о здоровье субъектов, и ИСПДн, в которых предусмотрено принятие решений порождающих для субъекта юридические последствия на основании автоматизированной обработки.

Большинство существующих ИСПДн – специальные. Это связано с тем, что кроме конфиденциальности также важно, чтобы ПДн были всегда доступны для обработки, целостны и достоверны. Для всех специальных систем необходимо разработать «Частную модель актуальных угроз».

Классификация информационных системы персональных данных по структуре:

• Автономные. Представляет собой одно автоматизированное рабочее место (компьютер).
• Локальные. Автоматизированные рабочие места (АРМ), объединенные в локальную сетью.
• Распределенные. Автоматизированные рабочие места или локальные сети, связанные между собой при помощи технологий удаленного доступа.

По режиму обработки персональных данных в системе ИСПДн делятся на однопользовательские и многопользовательские. Однопользовательские системы – большая редкость. Как правило, даже за одним автономным рабочим местом работают минимум два человека (на случай отпусков и болезней).

Классификация многопользовательских ИСПДн делятся на:

• Без разграничения прав доступа. В таких системах все пользователи имеют доступ ко всей информации.
• С разграничением прав доступа. Каждый пользователь имеет доступ к строго определенной части информации в системе.

По месту нахождения ИСПДн делятся на:

• Системы, которые полностью находятся в пределах РФ;
• Системы которые частично или целиком находятся за пределами РФ.

На этой странице вы можете заполнить шаблон акта классификации ИСПДн и скачать готовый документ в формате Word или PDF.