Классификация Персональных Данных

Печать
Информация о материале
Просмотров: 9919

Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 возлагает обязанность классификации информационных систем персональных данных и задачу обеспечения их безопасности - на оператора персональных данных, а разработку методов и способов защиты персональных данных в информационных системах - на ФСТЭК России и ФСБ России

Классификация информационных систем персональных данных определяется в зависимости от категории обрабатываемых данных и их количества.

Установлены следующие категории персональных данных:

Категория 1 - ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

Категория 2 - ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1

Категория 3 - персональные данные, позволяющие идентифицировать субъекта ПД

Категория 4 - обезличенные и (или) общедоступные персональные данные

Классы типовых информационных систем персональных данных

Информационные системы персональных данных подразделяются на типовые и специальные. К типовым системам относятся системы, в которых требуется обеспечить только конфиденциальность персональных данных.

Все остальные системы относятся к специальным.

В зависимости от последствий нарушений заданной характеристики безопасности персональных данных, типовой информационной системе присваивается один из классов:

класс 1 (К1) – информационные системы, для которых нарушения могу привести к значительным негативным последствиям для субъектов персональных данных

класс 2 (К2) - информационные системы, для которых нарушения могут привести к негативным последствиям для субъектов персональных данных;

класс 3 (К3) - информационные системы, для которых нарушения могут привести к незначительным негативным последствиям для субъектов персональных данных;

класс 4 (К4) - информационные системы, для которых нарушения не приводят к негативным последствиям для субъектов персональных данных.

Класс типовой информационной системы персональных данных выбирается по таблице:

Количество субъектов
/ Категории ПД		 < 1000 1000 – 100 000 > 100 000
категория 4 К4 К4 К4
категория 3 К3 К3 К2
категория 2 К3 К2 К1
категория 1 К1 К1 К1

Оценка соответствия информационных систем требованиям безопасности

Устанавливается следующий порядок оценки соответствия степени защищенности информационных систем требованиям безопасности:

  • для информационных систем 1 и 2 класса соответствие степени защищенности требованиям безопасности устанавливается путем обязательной сертификации (аттестации)
  • для информационных систем 3 класса соответствие требованиям безопасности подтверждается декларированием соответствия, проводимым оператором персональных данных
  • для информационных системы 4 класса оценка проводится по решению оператора персональных данных

    •