Классификация информационных систем, обрабатывающих персональные данные
Первые вопросы при проведении классификации ИСПДн n Кто проводит – оператор информационной системы, обрабатывающей персональные данные n Когда проводит – на этапе создания информационной системы или в ходе ее эксплуатации (для внедренных информационных систем)
Основные исходные данные для проведения классификации ИСПДн n Категория обрабатываемых персональных данных n Объем обрабатываемых персональных данных n Заданные оператором характеристики безопасности персональных данных n Наличие подключения информационной системы к сетям n Режим разграничения прав доступа пользователей информационной системы
Категории обрабатываемых персональных данных n категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья и т. д. ; n категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; n категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; n категория 4 - обезличенные и (или) общедоступные персональные данные.
Категории объема обрабатываемых в информационных системах персональных данных n n n Категория 1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом; Категория 2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; Категория 3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
Класс ИСПДн 3 <1000 2 1000 до 100 000 1 >100 000 категория 4 К 4 К 4 категория 3 КЗ КЗ К 2 категория 2 КЗ К 2 К 1 категория 1 К 1 К 1
Класс ИСПДн может быть пересмотрен n По решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей информационной системы n По результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных
Оценка соответствия ИСПДн по требованиям безопасности n Для ИСПДн 1 и 2 классов – обязательная аттестация по требованиям безопасности информации + реализация мероприятий по защите от утечек за счет побочных электромагнитных излучений и наводок n Для ИСПДн 3 класса – декларирование соответствия требованиям безопасности информации n Для ИСПДн 4 класса – оценка соответствия проводится по решению оператора
Скачать презентацию Классификация информационных систем обрабатывающих персональные данные Первые
Классификация ИСПДн.ppt