Tələblərə uyğun olaraq fərdi məlumatların məlumat sistemlərinin təsnifatı. Şəxsi məlumatlar: ispdn təsnifatı

Fərdi məlumatların məlumat sistemlərindən (PDIS) bir çox müəssisə və təşkilatlar öz işlərində istifadə edirlər. Bunun nə olduğunu və ISPD ilə işləyənlər tərəfindən hansı nüansların nəzərə alınması lazım olduğunu anlayaq.

ISPDN nədir?

Sadə dillə desək, ISPD informasiya sistemi şəxsi məlumatların saxlanması və işlənməsi üçün istifadə olunur. O, aşağıdakı komponentlərdən ibarətdir:

  • Əslində, sistemdə, verilənlər bazasında saxlanılan fərdi məlumatlar toplusu.
  • Bu məlumatlarla işləmək üçün istifadə olunan texniki vasitələr.
  • ISPD-də saxlanılan məlumatların uçotu və emalı proseslərinin avtomatlaşdırılması üçün alətlər (bütün sistemlərdə mövcud olmaya bilər).

IPDN ciddidir

Sözügedən sistemlərdən istifadə edərkən şəxsi məlumatların icazəsiz girişdən, itkidən və digər fövqəladə hallardan qorunmasını təmin etmək vacibdir. Bu, hətta qanunvericilik səviyyəsində də nəzərdə tutulub. Məlumata çıxışı məhdudlaşdırmaq və onu qorumaq üçün tövsiyə olunan tədbirləri görmək üçün ISPD auditi aparılır (daha ətraflı məlumatı, məsələn, Rentacloud şirkətinin mütəxəssislərindən əldə edə bilərsiniz: http://rentacloud.su/services/ zashchita-personalnıx-dannıx /audit/). Nəticələrə əsasən, aşağıdakı məlumatları ehtiva edən bir hesabat tərtib edilir:

  • Sorğu edilən sistemdə saxlanılan və emal edilən fərdi məlumatların kateqoriyası.
  • Onların sinfi və növü (aşağıda bu barədə ətraflı).
  • Tədqiq olunan sistemin parametrləri və strukturu.
  • ISPD-də saxlanılan və emal edilən PD-nin həcmləri (qeydlərin sayı və s.).
  • Sistemin yeri haqqında məlumat.
  • Əlçatan şəbəkələr vasitəsilə verilənlər bazasına daxil olmaq imkanı haqqında məlumat ictimai istifadə(LAN, İnternet və s.).

Yoxlama ciddi şəkildə yerinə yetirilir birgə sənəd, Rabitə Nazirliyi, FSTEC və FSB tərəfindən hazırlanmışdır. Çox həcmlidir və hərtərəfli öyrənilməsi tələb olunur. Bu baxımdan, sistemin auditi və ISPD-nin qorunmasının əsaslanacağı tövsiyələrin hazırlanması mütəxəssislərə etibar edilməlidir. Onların xidmətlərindən istifadə edə bilərsiniz, məsələn, "Rentacloud" şirkəti ilə əlaqə saxlaya bilərsiniz: (http://rentacloud.su).

ISPD növləri, sinifləri və bu cür sistemlər haqqında başqa nə bilmək lazımdır

Fərdi məlumatların məlumat sistemləri (PDI) 4 sinfə və 2 növə bölünür. Siniflərə bölünmə işlənmiş fərdi məlumatların kateqoriyası və onların həcmi kimi xüsusiyyətlər əsasında həyata keçirilir.

Dərslər

Cədvəl bunu anlamağa kömək edəcək:

Cədvəl üçün izahatlar.

4-cü kateqoriyaya müəyyən bir mövzunu müəyyən etmək mümkün olmayan anonimləşdirilmiş şəxsi məlumatlar daxildir (məsələn - statistik məlumatlar). 3-cü kateqoriyaya PD daxildir, bunun əsasında yalnız bir insanın identifikasiyası mümkündür (onlar olduqca nadirdir). 2-ci kateqoriyaya bir şəxsin şəxsiyyətini müəyyənləşdirmək və onun haqqında müəyyən məlumat əldə etmək mümkün olan məlumatlar daxildir əlavə məlumat(məsələn: təşkilat və müəssisələrdə əmək haqqı sistemləri). Birinci kateqoriyaya milli mənsubiyyət, sağlamlıq vəziyyəti və digər sosial məlumatlar və fərqli xarakterli məlumatlar (məsələn, səhiyyə müəssisələrinin məlumat bazaları) haqqında məlumatlar daxildir.

Cədvəldə göstərilən siniflərə gəldikdə, onlara ISDN təyin edilməsi təhlükəsizlik şərtlərinin pozulması halında subyektlərə mümkün zərər əsasında həyata keçirilir:

  • Sinif 4. Mövzu üçün hər hansı mənfi nəticələr istisna olunur.
  • Cl 3. Kiçik mənfi nəticələr yarana bilər.
  • Cl 2. Belə nəticələrin baş verməsi.
  • Cl 1. Çox ciddi mənfi nəticələr mümkündür.

ISPD növləri

Birinci növə ISPD mühafizə funksiyalarının yalnız məxfiliyinin tələb olunan göstəricilərinə nail olmaq ilə məhdudlaşdığı sistemlər daxildir. Əgər məxfiliyə əlavə olaraq, ən azı bir əlavə təhlükəsizlik göstəricisinin (əsllik, əlçatanlıq, məlumatların bütövlüyü və s.) təmin edilməsinə ehtiyac varsa, haqqında danışırıq ikinci növ haqqında.

Qeyd etmək lazımdır ki, bu gün istifadə olunan sistemlərin əksəriyyəti ikinci tip kimi təsnif edilir.

Görünür ki, ISPD-nin inkişafı, onların təsnifatı və etibarlı təmin edilməsi, effektiv müdafiə– çox mürəkkəb və çoxşaxəli proseslər. Səhvlərin qarşısını almaq üçün bunu mütəxəssislərə həvalə etmək məsləhətdir. Bunu etmək üçün, məsələn, bu bazarda aparıcı mövqelərdən birini tutan Rentacloud şirkəti ilə əlaqə saxlaya bilərsiniz.

çağırışçı 9 noyabr 2010-cu il, saat 12:31

Şəxsi məlumatlar (ISPD Təsnifatı)

  • Şkaf *

Təsnifat haqqında informasiya sistemləriŞəxsi məlumatlar haqqında çox şey yazılmışdır: bütün məqalələr, veb-saytlar və forumlar bu yanan mövzuya həsr edilmişdir. Gəlin ondan başlayaq ki, FSTEC\FSB\MITiS No 55\86\20 əmrinə uyğun olaraq tipikxüsusi ISPDn. Tipik ISPD-lərə yalnız şəxsi məlumatların məxfiliyini təmin etmək lazım olanlar və xüsusi olanlar daxildir - məxfilikdən başqa şəxsi məlumatların təhlükəsizlik xüsusiyyətlərindən ən azı birini təmin etmək lazımdırsa (bütünlük, həqiqilik, əlçatanlıq və s.). )
Sifariş, məlumatları emal edilən PD subyektlərinə mümkün zərərin qiymətləndirilməsi əsasında ISPD-nin təsnifatını nəzərdə tutur: mümkün zərər nə qədər yüksəkdirsə, sinif bir o qədər yüksəkdir və müvafiq olaraq, tələblər bir o qədər yüksəkdir. texniki mühafizə. Sərəncamın 14-cü bəndi 4 sinifdən bəhs edir:
- mənfi nəticələrin olmaması (4-cü dərəcəli)
- kiçik mənfi nəticələr (3-cü dərəcəli)
- mənfi nəticələr (2-ci dərəcəli)
- əhəmiyyətli mənfi nəticələr (1-ci dərəcə).
Eyni paraqrafa uyğun olaraq bu və ya digər ISPD sinifinin təyin edilməsi mənbə məlumatlarının təhlili nəticələrinə əsasən həyata keçirilir.
Standart ISPD-lərin təsnifatı burada artıq müzakirə edilmişdir, ona görə də birbaşa xüsusi olanlara keçək.

Xüsusi ISPD-ni necə təsnif etmək olar?
Əgər ISPD-niz irqi, milliyyəti ilə bağlı şəxsi məlumatları ehtiva edirsə,
siyasi baxışlar, dini və fəlsəfi inanclar, sağlamlıq vəziyyəti, intim həyat, onda hər şey sadədir:
sistem sinifiniz K1-dir. 10 qeydin və ya 100.000-in olmasının fərqi yoxdur, bundan sonra ya FSTEC № 58 Sifarişinin tələblərinə uyğun olaraq sistemi K1-ə uyğun qoruyursunuz, ya da məsələn, bu cür məlumatları şəxsiyyətsizləşdirməklə sinfi aşağı salırsınız.
İndi təsnif etməli olduğumuz müəyyən bir ISPD-ni təsəvvür edək. Qoy olsun böyük müəssisə, öz Müştərilərinə xidmətlər təqdim edir.
Sistemimizin ilkin məlumatları:
1. Şəxsi məlumatların əhatə dairəsi- 100.000-dən çox.
2. Şəxsi məlumatların kateqoriyası- 2 (yəni bu, şəxsi məlumatların subyektini müəyyən etməyə və onun haqqında məlumat əldə etməyə imkan verən şəxsi məlumatlardır əlavə məlumat).
3. İnformasiya sisteminin strukturu- paylanmış;
4. Əlaqələrin mövcudluğu informasiya sistemini ictimai rabitə şəbəkələrinə və (və ya) beynəlxalq şəbəkələrə məlumat mübadiləsi- var;
5. Şəxsi məlumatların işlənməsi rejimi- çox istifadəçi;
6. Giriş hüquqlarına nəzarət rejimi informasiya sisteminin istifadəçiləri - giriş hüquqlarının diferensiallaşdırılması ilə;
7. Texniki avadanlıqların yeri informasiya sistemi - daxilində Rusiya Federasiyası.

Ancaq 55\86\20 nömrəli sifarişdən lövhəyə görə belə bir sistemi təsnif edə bilmərik, çünki “İlkin məlumatların təhlilinin nəticələrinə görə tipik informasiya sisteminə aşağıdakı siniflərdən birinə aid edilir.” Narahat olmayın, əmri daha ətraflı oxuyuruq və aşağıdakı məqamı görürük:
16. Mənbə məlumatlarının təhlilinin nəticələrinə əsasən, Fərmanın 2-ci bəndinə uyğun olaraq hazırlanmış metodiki sənədlərə uyğun olaraq fərdi məlumatların təhlükəsizliyinə təhdidlər modeli əsasında xüsusi informasiya sisteminin sinfi müəyyən edilir. Rusiya Federasiyası Hökumətinin 17 noyabr 2007-ci il tarixli 781 nömrəli "Fərdi məlumatların məlumat sistemlərində işlənərkən fərdi məlumatların təhlükəsizliyinin təmin edilməsi haqqında Əsasnamənin təsdiq edilməsi haqqında"
Buna görə də, mənbə məlumatlarını, işlənmiş PD-nin tərkibini təhlil edərək, ISPD-nin strukturunu müəyyənləşdirərək və texnoloji proseslər, məntiqli nəticəyə gələ bilərik ki mənfi nəticələr məlumatın məxfiliyini poza bilər (məsələn, işçinin əlilliyi haqqında məlumatın yayılması). Bütün digər təhdidlərin həyata keçirilməsinə gətirib çıxaracaq kiçik mənfi nəticələri, çünki kifayətdir texniki tədbirlər onları zərərsizləşdirmək üçün müdafiə. Bu məlumatı təhdid modelində əks etdirən xüsusi bir ISPD ilə müəyyən edilmiş xüsusiyyətlər bizim tərəfimizdən asanlıqla K2 kimi təsnif edilə bilər.

Teqlər: şəxsi məlumatlar, ispdn

ISPD-nin təsnifat aktı, bir qayda olaraq, belədir məxfi sənəd, və məxfilik möhürü olmalıdır (“Məxfi”, “DSP”, “ Ticarət sirri") və hesab nömrəsi.

Təsnifatı həyata keçirmək üçün müəssisədə komissiya yaradılmalıdır. Komissiyaya şəxsi məlumatların mühafizəsinə cavabdeh olan şəxs daxil edilməlidir. Komissiya rəhbərin əmri ilə təyin edilməli və öz fəaliyyətini təsnifat komissiyası haqqında Əsasnamə əsasında həyata keçirməlidir. Təsnifat nəticələrinə əsasən akt tərtib edilməlidir. ISPD təsnifat aktı komissiyanın sədri tərəfindən təsdiq edilməli və komissiyanın bütün üzvləri tərəfindən imzalanmalıdır.

ISPD təsnifat aktını necə tərtib etmək olar

Hər müəyyən edilmiş ISPD üçün təsnifat hesabatı tərtib edilir. Hər bir ISPDn üçün alınan məlumatlar əsasında müəyyən edilir tələb olunan səviyyəşəxsi məlumatların təhlükəsizliyi. Bu, fərdi məlumatların məlumat sisteminin qorunmasını təmin etmək üçün tələbləri müəyyən etmək üçün lazımdır. Fərdi məlumatların təhlükəsizlik səviyyəsi Rusiya Federasiyası Hökumətinin 1 noyabr 2012-ci il tarixli 1119 nömrəli "Fərdi məlumatların məlumat sistemlərində işlənməsi zamanı fərdi məlumatların qorunmasına dair tələblərin təsdiq edilməsi haqqında" Fərmanına uyğun olaraq müəyyən edilir.

Aktda deyilir:

  • sistemdə işlənmiş şəxsi məlumatlar;
  • işlənmiş şəxsi məlumatların həcmi;
  • növü cari təhdidlər ISPDn üçün;
  • informasiya sisteminin strukturu;
  • ümumi rabitə şəbəkələrinə və (və ya) beynəlxalq məlumat mübadiləsi şəbəkələrinə qoşulmaların mövcudluğu;
  • sistemdə fərdi məlumatların işlənməsi rejimi;
  • istifadəçi giriş hüquqlarının diferensiallaşdırılması;
  • ISPDn yeri;
  • PD təhlükəsizlik səviyyəsi.

ISPD təsnifat aktına aşağıdakı məlumatları saxlayan sistemlər daxil ola bilər:

  • fərdi məlumatların xüsusi kateqoriyaları - fərdi məlumatların subyektlərinin irqi, milliyyəti, siyasi baxışları, dini və ya fəlsəfi inancları, sağlamlıq vəziyyəti, intim həyatı ilə bağlı məlumatlar;
  • biometrik fərdi məlumatlar – şəxsin fizioloji və bioloji xüsusiyyətlərini xarakterizə edən, onun əsasında onun şəxsiyyətini müəyyən etmək mümkün olan və operator tərəfindən fərdi məlumatların subyektinin şəxsiyyətini müəyyən etmək üçün istifadə edilən məlumat;
  • ictimaiyyətə açıq olan şəxsi məlumatlar - yalnız əldə edilən məlumat ictimaiyyətə açıq mənbələr"Fərdi məlumatlar haqqında" Federal Qanunun 8-ci maddəsinə uyğun olaraq yaradılmış fərdi məlumatlar.

3-cü kateqoriya fərdi məlumatların işləndiyi sistemlərə çox nadir hallarda rast gəlinir. Bunun səbəbi, real tapşırıqlar üçün təkcə mövzunu müəyyən edən məlumatlar (tam adı, pasport məlumatları) deyil, həm də onun haqqında əlavə məlumat (məsələn, əmək haqqı məlumatı) tələb olunur.

Ən çox yayılmış informasiya sistemləri 2-ci kateqoriyaya aid fərdi məlumatların işləndiyi sistemlərdir. Məsələn, işçilərin əmək haqqı sistemləri.

İşlənmiş fərdi məlumatların həcmi sistemdə fərdi məlumatları emal edilən subyektlərin sayını müəyyən edir. Aşağıdakı dərəcə tətbiq edilir:

  • 100.000-dən çox fərdi məlumat subyekti;
  • 100.000-dən az şəxsi məlumat subyekti.

Şəxsi məlumatların təhlükəsizliyinə təhdid növləri

ISPD üçün cari təhdidlərin növü:

  • 1-ci tip təhlükələr informasiya sistemi üçün aktualdır, əgər sistemdə sənədləşdirilməmiş (elan edilməmiş) imkanların olması ilə bağlı təhlükələr də onun üçün aktualdır. proqram təminatı informasiya sistemində istifadə olunur;
  • 2-ci tip təhdidlər, digər şeylərlə yanaşı, informasiya sistemində istifadə olunan tətbiqi proqram təminatında sənədləşdirilməmiş (elan edilməmiş) imkanların olması ilə bağlı təhlükələr ona aid olduqda, informasiya sisteminə aiddir;
  • 3-cü tip təhlükələr, sistemdə sənədləşdirilməmiş (elan edilməmiş) imkanların və informasiya sistemində istifadə olunan tətbiqi proqram təminatının mövcudluğu ilə əlaqəli olmayan təhlükələr ona aid olduqda, informasiya sisteminə aiddir.

Növlərinə görə, ISPD təsnifat aktında təsvir olunan fərdi məlumatların məlumat sistemləri standart və xüsusi bölünür. Tipik ISPD, yalnız PD-nin məxfiliyini təmin etmək tələb olunan informasiya sistemləridir. Xüsusi ISPD, məxfiliyə əlavə olaraq, şəxsi məlumatların təhlükəsizliyinin (bütövlük, mövcudluq) ən azı bir başqa xüsusiyyətini təmin etmək lazım olan məlumat sistemləridir.

Bundan əlavə, xüsusi sistemlərə subyektlərin sağlamlığı haqqında məlumatları emal edən bütün ISPD və subyekt üçün hüquqi nəticələr yaradan qərarların qəbulunu təmin edən ISPD daxildir. avtomatlaşdırılmış emal.

Mövcud ISPD-lərin əksəriyyəti xüsusidir. Bu onunla bağlıdır ki, məxfiliklə yanaşı, fərdi məlumatların daim emal, bütövlüyü və etibarlılığı üçün mövcud olması da vacibdir. Hər kəs üçün xüsusi sistemlər“Cari təhdidlərin özəl modeli”ni hazırlamaq lazımdır.

Fərdi məlumatların məlumat sistemlərinin strukturuna görə təsnifatı:

  • Muxtar. Avtomatlaşdırılmış birini təmsil edir iş yeri(kompüter).
  • yerli. Lokal şəbəkədə birləşdirilmiş avtomatlaşdırılmış iş stansiyaları (AWS).
  • Paylanmış. Avtomatlaşdırılmış iş stansiyaları və ya yerli şəbəkələr texnologiyasından istifadə edərək bir-birinə bağlıdır uzaqdan giriş.

ISPD sistemində fərdi məlumatların işlənməsi rejiminə görə, onlar bir istifadəçi və çox istifadəçiyə bölünür. Tək istifadəçi sistemləri nadirdir. Bir qayda olaraq, hətta bir muxtar iş yerində ən azı iki nəfər işləyir (məzuniyyət və xəstəlik halında).

Çox istifadəçi ISPD-lərin təsnifatı aşağıdakılara bölünür:

  • Giriş hüquqlarını fərqləndirmədən. Belə sistemlərdə bütün istifadəçilərin bütün məlumatlara çıxışı var.
  • Giriş hüquqlarının diferensiallaşdırılması ilə. Hər bir istifadəçinin sistemdəki məlumatın ciddi şəkildə müəyyən edilmiş hissəsinə çıxışı var.

ISPD-nin yerləşdiyi yerə əsasən, onlar bölünür:

Şəxsi məlumatların emalı üçün məlumat sistemi (ISPD) yaratarkən həyata keçirilməli olan prioritet fəaliyyətlərdən biri ISPD-nin təsnifatıdır.

Bu, sistemin sinifini və fərdi məlumatların (PD) işlənməsi zamanı FSTEC və FSB tərəfindən qoyulan müvafiq tələbləri müəyyən etmək üçün lazımdır. Bu yazıda mən ISPD təsnifatının ümumi prosedurunu təsvir edəcəyəm.

FSTEC/FSB/Rabitə Nazirliyinin 13/02/2008-ci il tarixli 55/86/20 nömrəli “Fərdi məlumatların informasiya sisteminin təsnifatı qaydası”na uyğun olaraq buradan yüklənə bilən, tələb olunan təsnifata aşağıdakı addımlar:

  • İnformasiya sistemi üzrə ilkin məlumatların toplanması və təhlili;
  • İnformasiya sisteminə müvafiq sinfin təyin edilməsi və onun sənədləşdirilməsi.

İnformasiya sistemini təsnif edərkən aşağıdakı suallara cavab vermək lazımdır:

  1. 1İnformasiya sistemində emal edilən fərdi məlumatlar hansı kateqoriyaya aiddir? XPD?
  2. İşlənmiş fərdi məlumatların həcmi nə qədərdir (informasiya sistemində şəxsi məlumatları emal edilən fərdi məlumat subyektlərinin sayı) – Xnpd?
  3. İnformasiya sistemində emal edilən fərdi məlumatların müəyyən edilmiş təhlükəsizlik xüsusiyyətləri hansılardır?
  4. İnformasiya sisteminin strukturu necədir?
  5. İnformasiya sisteminin ictimai rabitə şəbəkələrinə qoşulması və/və ya İnternet şəbəkələri?
  6. Şəxsi məlumatların emalı rejimi nədir?
  7. İnformasiya sistemi istifadəçilərinin giriş hüquqlarının məhdudlaşdırılması rejimi hansıdır?
  8. İnformasiya sisteminin texniki vasitələrinin yeri?

Ümumi məlumat və dəstəkləyici məlumat

İnformasiya sistemində (XPD) emal olunan fərdi məlumatların aşağıdakı kateqoriyaları müəyyən edilir:

  1. kateqoriya 1- irqi, milliyyəti, siyasi baxışları, dini və fəlsəfi inancları, sağlamlıq vəziyyəti, intim həyatı ilə bağlı şəxsi məlumatlar;
  2. kateqoriya 2- şəxsi məlumatların subyektini müəyyən etməyə və onun haqqında əlavə məlumat əldə etməyə imkan verən şəxsi məlumatlar, kateqoriya 1;
  3. kateqoriya 3- fərdi məlumatların subyektini müəyyən etməyə imkan verən fərdi məlumatlar;
  4. kateqoriya 4- anonimləşdirilmiş və (və ya) ictimaiyyət üçün açıq olan şəxsi məlumatlar.

Xnpd qəbul edə bilər aşağıdakı dəyərlər:

  • 1 - informasiya sistemi eyni vaxtda 100.000-dən çox fərdi məlumat subyektinin fərdi məlumatlarını və ya Rusiya Federasiyasının və ya bütövlükdə Rusiya Federasiyasının təsis qurumu daxilində fərdi məlumat subyektlərinin fərdi məlumatlarını emal edir;
  • 2 - informasiya sistemi eyni vaxtda 1000-dən 100.000-ə qədər fərdi məlumat subyektinin fərdi məlumatlarını və ya Rusiya Federasiyasının iqtisadi sektorunda işləyən fərdi məlumat subyektlərinin şəxsi məlumatlarını səlahiyyətli orqanda emal edir. dövlət hakimiyyəti, daxilində yaşayan bələdiyyə;
  • 3 - informasiya sistemi eyni vaxtda müəyyən bir təşkilat daxilində 1000-dən az fərdi məlumat subyektinin məlumatlarını və ya fərdi məlumat subyektlərinin fərdi məlumatlarını emal edir.

Şəxsi məlumatların təhlükəsizliyi xüsusiyyətləri

ISPD üçün fərdi məlumatların təhlükəsizlik xüsusiyyətləri müəyyən edilir, bunlar əsas və əlavələrə bölünür:

ƏSAS:

  • məxfilik
  • bütövlük
  • mövcudluğu

ƏLAVƏ:

  • inkar etməmək
  • mühasibat uçotu (nəzarət qabiliyyəti)
  • həqiqilik (etibarlılıq)
  • adekvatlıq

İnformasiya sisteminin strukturu bölünür:

  • avtonom (digər informasiya sistemlərinə qoşulmayan) texniki və proqram təminatışəxsi məlumatların emalı üçün nəzərdə tutulmuş cihazlar (avtomatlaşdırılmış iş stansiyaları);
  • uzaqdan giriş texnologiyasından (lokal informasiya sistemlərindən) istifadə edilmədən rabitə vasitələri ilə vahid informasiya sisteminə birləşdirilən avtomatlaşdırılmış iş stansiyaları kompleksi;
  • uzaqdan giriş texnologiyasından (paylanmış informasiya sistemlərindən) istifadə etməklə rabitə vasitəsi ilə vahid informasiya sisteminə birləşdirilən avtomatlaşdırılmış iş stansiyaları və (və ya) lokal informasiya sistemləri kompleksi.

Emal rejimi

ISPD təşkil edərkən aşağıdakı emal rejimləri müəyyən edilir:

  • tək istifadəçi;
  • çox istifadəçi.

Giriş hüquqlarına nəzarət rejimi

ISPD-də girişə nəzarət sistemi aşağıdakıları nəzərdə tutur:

  • giriş hüquqlarını fərqləndirmədən;
  • giriş hüquqlarının diferensiallaşdırılması ilə.

İnformasiya sistemləri bölünür tipikxüsusi.
Standart informasiya sisteminə doğru Bunlara yalnız PD məxfiliyini tələb edən sistemlər daxildir.

Xüsusi informasiya sisteminə doğru Bunlara məxfiliyə əlavə olaraq aşağıdakıları tələb edən sistemlər daxildir:

  • Fərdi məlumatların subyektlərinin sağlamlıq vəziyyəti ilə bağlı fərdi məlumatların işləndiyi informasiya sistemləri;
  • Fərdi məlumatların yalnız avtomatlaşdırılmış işlənməsi əsasında fərdi məlumatların subyekti ilə bağlı hüquqi nəticələrə səbəb olan və ya onun hüquq və qanuni mənafelərinə başqa şəkildə toxunan qərarların qəbul edildiyi informasiya sistemləri.

İnformasiya sisteminin təsnifatı

FSTEC/FSB/Rabitə Nazirliyinin 55/86/20 saylı əmrinə əsasən, ISPDn bu qaydada müəyyən edilmiş dörd sinifdən birini götürə bilər:

  1. sinif 1 (K1)— onlarda emal edilən fərdi məlumatların müəyyən edilmiş təhlükəsizlik xüsusiyyətlərinin pozulmasının əhəmiyyətli nəticələrə səbəb ola biləcəyi informasiya sistemləri mənfi nəticələrşəxsi məlumatların subyektləri üçün;
  2. sinif 2 (K2)- onlarda emal edilmiş fərdi məlumatların müəyyən edilmiş təhlükəsizlik xüsusiyyətlərinin pozulmasının fərdi məlumatların subyektləri üçün mənfi nəticələrə səbəb ola biləcəyi informasiya sistemləri;
  3. sinif 3 (K3)— onlarda emal edilmiş fərdi məlumatların müəyyən edilmiş təhlükəsizlik xüsusiyyətlərinin pozulmasının fərdi məlumatların subyektləri üçün cüzi mənfi nəticələrə səbəb ola biləcəyi informasiya sistemləri;
  4. sinif 4 (K4)— onlarda emal edilən fərdi məlumatların müəyyən edilmiş təhlükəsizlik xüsusiyyətlərinin pozulması fərdi məlumatların subyektləri üçün mənfi nəticələrə səbəb olmayan informasiya sistemləri.

Qeydiyyat nömrəsi 11462

Rusiya Federasiyası Hökumətinin 17 noyabr 2007-ci il tarixli 781 nömrəli qərarı ilə təsdiq edilmiş fərdi məlumatların məlumat sistemlərində emalı zamanı fərdi məlumatların təhlükəsizliyinin təmin edilməsi haqqında Əsasnamənin 6-cı bəndinə uyğun olaraq, fərdi məlumatların məlumat sistemlərində işlənməsi zamanı fərdi məlumatların təhlükəsizliyi "(Rusiya Federasiyasının Toplu Qanunvericiliyi, 2007-ci il, No 48, II hissə, Art. 6001), sifariş edirik:

Əlavə edilmiş fərdi məlumatların informasiya sistemlərinin təsnifatı üçün Qaydalar təsdiq edilsin.

Direktor

Federal xidmət

texniki və ixrac nəzarəti üzrə

S. Qriqorov

Federal Təhlükəsizlik Xidmətinin direktoru

Rusiya Federasiyası

N. Patruşev

Nazir informasiya texnologiyaları və Rusiya Federasiyasının rabitəsi

L. Reiman

Fərdi məlumatların məlumat sistemlərinin təsnifləşdirilməsi proseduru

1. Bu Prosedur verilənlər bazalarında olan fərdi məlumatların məcmusu olan fərdi məlumatların informasiya sistemlərinin, o cümlədən avtomatlaşdırma vasitələrindən (bundan sonra informasiya sistemləri) istifadə etməklə belə fərdi məlumatların emalına imkan verən informasiya texnologiyaları və texniki vasitələrin təsnifatını müəyyən edir. )1.

2. İnformasiya sistemlərinin təsnifatı aparılır dövlət qurumları, bələdiyyə orqanları, hüquq və şəxslər, fərdi məlumatların emalının təşkili və (və ya) həyata keçirilməsi, habelə fərdi məlumatların emalının məqsəd və məzmununun müəyyən edilməsi (bundan sonra operator)2.

3. İnformasiya sistemlərinin təsnifatı informasiya sistemlərinin yaradılması mərhələsində və ya onların istismarı zamanı (əvvəllər istismara verilmiş və (və ya) modernləşdirilmiş informasiya sistemləri üçün) təhlükəsizliyin təmin edilməsi üçün zəruri olan məlumatın mühafizəsi üsul və vasitələrinin müəyyən edilməsi məqsədilə həyata keçirilir. şəxsi məlumatların.

4. İnformasiya sistemlərinin təsnifatının aparılması aşağıdakı mərhələləri əhatə edir:

informasiya sistemi üzrə ilkin məlumatların toplanması və təhlili:

informasiya sisteminə müvafiq sinfin təyin edilməsi və onun sənədləşdirilməsi.

5. İnformasiya sistemi təsnif edilərkən aşağıdakı ilkin məlumatlar nəzərə alınır:

emal edilmiş fərdi məlumatların həcmi (fərdi məlumatları informasiya sistemində emal edilən fərdi məlumat subyektlərinin sayı) - X npd;

operator tərəfindən müəyyən edilmiş informasiya sistemində emal edilən fərdi məlumatların təhlükəsizlik xüsusiyyətləri;

informasiya sisteminin strukturu;

informasiya sisteminin ümumi rabitə şəbəkələrinə və (və ya) beynəlxalq məlumat mübadiləsi şəbəkələrinə qoşulmalarının mövcudluğu;

şəxsi məlumatların işlənməsi rejimi;

informasiya sistemindən istifadəçilərin giriş hüquqlarının məhdudlaşdırılması rejimi;

informasiya sisteminin texniki vasitələrinin yeri.

6. İnformasiya sistemində (X pd) emal edilən fərdi məlumatların aşağıdakı kateqoriyaları müəyyən edilir:

7. X npd aşağıdakı dəyərləri qəbul edə bilər:

1 - informasiya sistemi eyni vaxtda 100.000-dən çox fərdi məlumat subyektinin fərdi məlumatlarını və ya Rusiya Federasiyasının və ya bütövlükdə Rusiya Federasiyasının təsis qurumu daxilində fərdi məlumat subyektlərinin fərdi məlumatlarını emal edir;

2 - informasiya sistemi eyni vaxtda 1000-dən 100.000-ə qədər fərdi məlumat subyektinin fərdi məlumatlarını və ya Rusiya Federasiyasının iqtisadi sektorunda, bir dövlət orqanında işləyən, bir bələdiyyə daxilində yaşayan fərdi məlumat subyektlərinin fərdi məlumatlarını emal edir;

3 - informasiya sistemi eyni vaxtda müəyyən bir təşkilat daxilində 1000-dən az fərdi məlumat subyektinin məlumatlarını və ya fərdi məlumat subyektlərinin fərdi məlumatlarını emal edir.

8. Operator tərəfindən müəyyən edilmiş informasiya sistemində emal edilən fərdi məlumatların təhlükəsizlik xüsusiyyətlərinə görə informasiya sistemləri standart və xüsusi informasiya sistemlərinə bölünür.

Tipik informasiya sistemləri yalnız şəxsi məlumatların məxfiliyinin təmin edilməsini tələb edən informasiya sistemləridir.

Xüsusi informasiya sistemləri fərdi məlumatların məxfiliyini təmin etmək zərurətindən asılı olmayaraq, məxfilikdən başqa şəxsi məlumatların təhlükəsizlik xüsusiyyətlərindən ən azı birinin (məhv edilmə, dəyişdirilmə, bloklanma, habelə digər icazəsiz hərəkətlər kimi).

Xüsusi informasiya sistemlərinə aşağıdakılar daxil edilməlidir:

fərdi məlumatların subyektlərinin sağlamlıq vəziyyəti ilə bağlı fərdi məlumatların işləndiyi informasiya sistemləri;

fərdi məlumatların subyekti ilə bağlı hüquqi nəticələrə səbəb olan və ya onun hüquq və qanuni mənafelərinə başqa şəkildə toxunan qərarların yalnız fərdi məlumatların avtomatlaşdırılmış emalı əsasında qəbul edilməsini təmin edən informasiya sistemləri.

9. Quruluşuna görə informasiya sistemləri aşağıdakılara bölünür:

fərdi məlumatların emalı üçün nəzərdə tutulmuş avtonom (digər informasiya sistemlərinə qoşulmayan) aparat və proqram təminatı kompleksləri üçün (avtomatlaşdırılmış iş stansiyaları);

uzaqdan giriş texnologiyasından (lokal informasiya sistemlərindən) istifadə edilmədən rabitə vasitələri ilə vahid informasiya sisteminə inteqrasiya edilmiş avtomatlaşdırılmış iş stansiyalarının komplekslərinə;

uzaqdan giriş texnologiyasından (paylanmış informasiya sistemlərindən) istifadə etməklə rabitə vasitəsi ilə vahid informasiya sisteminə birləşdirilən avtomatlaşdırılmış iş stansiyalarının və (və ya) lokal informasiya sistemlərinin komplekslərinə.

10. Ümumi rabitə şəbəkələrinə və (və ya) beynəlxalq məlumat mübadiləsi şəbəkələrinə qoşulmaların mövcudluğuna əsasən informasiya sistemləri əlaqəsi olan sistemlərə və əlaqəsi olmayan sistemlərə bölünür.

11. İnformasiya sistemində fərdi məlumatların emalı rejiminə görə informasiya sistemləri biristifadəçili və çoxistifadəçiliyə bölünür.

12. İstifadəçilərin giriş hüquqlarının delimitasiyası əsasında informasiya sistemləri daxilolma hüquqlarını məhdudlaşdırmayan sistemlərə və giriş hüquqlarını məhdudlaşdıran sistemlərə bölünür.

13. İnformasiya sistemləri texniki vasitələrinin yerləşdiyi yerdən asılı olaraq sistemlərə bölünür, hamısı texniki vasitələr Rusiya Federasiyası daxilində yerləşən və texniki vasitələri qismən və ya tamamilə Rusiya Federasiyasının hüdudlarından kənarda yerləşən sistemlər.

14. Mənbə məlumatlarının təhlilinin nəticələrinə əsasən tipik informasiya sisteminə aşağıdakı siniflərdən biri təyin edilir:

sinif 1 (K1) - onlarda emal edilən fərdi məlumatların müəyyən edilmiş təhlükəsizlik xüsusiyyətlərinin pozulması fərdi məlumatların subyektləri üçün əhəmiyyətli mənfi nəticələrə səbəb ola bilən informasiya sistemləri;

sinif 2 (K2) - onlarda emal edilmiş fərdi məlumatların müəyyən edilmiş təhlükəsizlik xüsusiyyətlərinin pozulmasının fərdi məlumatların subyektləri üçün mənfi nəticələrə səbəb ola biləcəyi informasiya sistemləri;

sinif 3 (K3) - onlarda emal edilmiş fərdi məlumatların müəyyən edilmiş təhlükəsizlik xüsusiyyətlərinin pozulmasının fərdi məlumatların subyektləri üçün kiçik mənfi nəticələrə səbəb ola biləcəyi informasiya sistemləri;

sinif 4 (K4) - onlarda emal edilmiş fərdi məlumatların müəyyən edilmiş təhlükəsizlik xüsusiyyətlərinin pozulması fərdi məlumatların subyektləri üçün mənfi nəticələrə səbəb olmayan informasiya sistemləri.

15. Tipik informasiya sisteminin sinfi cədvələ uyğun olaraq müəyyən edilir.

16. Mənbə məlumatlarının təhlilinin nəticələrinə əsasən, Fərmanın 2-ci bəndinə uyğun olaraq hazırlanmış metodiki sənədlərə uyğun olaraq fərdi məlumatların təhlükəsizliyinə təhdidlər modeli əsasında xüsusi informasiya sisteminin sinfi müəyyən edilir. Rusiya Federasiyası Hökumətinin 17 noyabr 2007-ci il tarixli 781 nömrəli "Fərdi məlumatların məlumat sistemlərində işlənərkən fərdi məlumatların təhlükəsizliyinin təmin edilməsi haqqında Əsasnamənin təsdiq edilməsi haqqında" 3.

17. Hər biri informasiya sistemi olan informasiya sistemi daxilində altsistemlər müəyyən edilərsə, bütövlükdə informasiya sisteminə ən çox uyğun gələn sinif verilir. yüksək sinif ona daxil olan alt sistemlər.

18. İnformasiya sistemlərinin təsnifatının nəticələri operatorun müvafiq aktı ilə sənədləşdirilir.

19. İnformasiya sisteminin sinfi aşağıdakı kimi dəyişdirilə bilər:

konkret informasiya sisteminin xüsusiyyətləri və (və ya) dəyişiklikləri nəzərə alınmaqla fərdi məlumatların təhlükəsizliyinə təhdidlərin təhlili və qiymətləndirilməsi əsasında operatorun qərarı ilə;

fərdi məlumatların informasiya sistemində emalı zamanı onların təhlükəsizliyinin təmin edilməsi tələblərinə əməl olunmasına nəzarət tədbirlərinin nəticələrinə əsasən.

1Rusiya Federasiyası Hökumətinin 17 noyabr 2007-ci il tarixli qərarı ilə təsdiq edilmiş fərdi məlumatların informasiya sistemlərində emalı zamanı fərdi məlumatların təhlükəsizliyinin təmin edilməsi haqqında Əsasnamənin 1-ci bəndinin birinci bəndi.

N 781 (Rusiya Federasiyasının Qanunvericilik Toplusu, 2007, N 48, II hissə,

2 Əsasnamənin 6-cı bəndinin birinci bəndi.

3Rusiya Federasiyasının məcmu qanunvericiliyi, 2007, N 48, II hissə,Art. 6001.



ƏLAQƏLİ MƏQALƏLƏR