ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ФЕДЕРАЛЬНАЯ СЛУЖБА БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ
МИНИСТЕРСТВО ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И СВЯЗИ
РОССИЙСКОЙ ФЕДЕРАЦИИ
Об утверждении Порядка проведения классификации информационных систем персональных данных
Утратил силу с 11 марта 2014 года на основании
совместного приказа ФСТЭК России, ФСБ России и Минкомсвязи России
от 31 декабря 2013 года N 151/786/461
____________________________________________________________________
В соответствии с пунктом 6 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных , утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 года N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2007, N 48, часть II, ст.6001),
приказываем:
Утвердить прилагаемый Порядок проведения классификации информационных систем персональных данных.
Директор Федеральной службы
по техническому и
экспортному контролю
С.Григоров
Директор Федеральной
службы безопасности
Российской Федерации
H.Патрушев
Министр информационных технологий
и связи Российской Федерации
Л.Рейман
Зарегистрировано
в Министерстве юстиции
Российской Федерации
3 апреля 2008 года,
регистрационный N 11462
УТВЕРЖДЕН
приказом ФСТЭК России,
ФСБ России,
Мининформсвязи России
от 13 февраля 2008 года N 55/86/20
1. Настоящий Порядок определяет проведение классификации информационных систем персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).
________________
Абзац первый пункта 1 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных , утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 года N 781 (Собрание законодательства Российской Федерации, 2007, N 48, часть II, ст.6001) (далее - Положение).
2. Классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор).
________________
Абзац первый пункта 6 Положения .
3. Классификация информационных систем проводится на этапе создания информационных систем или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных. *3)
4. Проведение классификации информационных систем включает в себя следующие этапы:
сбор и анализ исходных данных по информационной системе;
присвоение информационной системе соответствующего класса и его документальное оформление.
5. При проведении классификации информационной системы учитываются следующие исходные данные:
категория обрабатываемых в информационной системе персональных данных - ;
объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) - ;
заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;
структура информационной системы;
наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;
режим обработки персональных данных;
режим разграничения прав доступа пользователей информационной системы;
местонахождение технических средств информационной системы.
6. Определяются следующие категории обрабатываемых в информационной системе персональных данных ():
категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 - обезличенные и (или) общедоступные персональные данные.
7. может принимать следующие значения:
1 - в информационной системе одновременно обрабатываются персональные данные более чем 100000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
8. По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.
Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
К специальным информационным системам должны быть отнесены:
информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
9. По структуре информационные системы подразделяются:
на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).
10. По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на системы, имеющие подключения, и системы, не имеющие подключений.
11. По режиму обработки персональных данных в информационной системе информационные системы подразделяются на однопользовательские и многопользовательские.
12. По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.
13. Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.
14. По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:
класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
15. Класс типовой информационной системы определяется в соответствии с таблицей.
16. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 года N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" .
________________
Собрание законодательства Российской Федерации, 2007, N 48, часть II, ст.6001.
17. В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.
18. Результаты классификации информационных систем оформляются соответствующим актом оператора.
19. Класс информационной системы может быть пересмотрен:
по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;
по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.
Электронный текст документа
подготовлен ЗАО "Кодекс" и сверен по.
В связи с признанием утратившим силу постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2007, № 48, ст. 6001) приказываем:
признать утратившим силу приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» (зарегистрирован Министерством юстиции Российской Федерации 3 апреля 2008 г., регистрационный № 11462).
|
Министр связи и массовых коммуникаций Российской Федерации |
Н. Никифоров |
Признается утратившим силу совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России, которым был утвержден порядок классификации информационных систем персональных данных.
Дело в том, что перестало действовать Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное постановлением Правительства РФ от 17 ноября 2007 г. N 781. Новый порядок изложен в постановлении от 1 ноября 2012 г. N 1119.
Регистрационный N 11462
В соответствии с пунктом 6 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2007, N 48, часть II, ст. 6001), приказываем:
Утвердить прилагаемый Порядок проведения классификации информационных систем персональных данных.
Директор
Федеральной службы
по техническому и экспортному контролю
С. Григоров
Директор Федеральной службы безопасности
Российской Федерации
Н. Патрушев
Министр информационных технологий и связи Российской Федерации
Л. Рейман
Порядок проведения классификации информационных систем персональных данных
1. Настоящий Порядок определяет проведение классификации информационных систем персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы)1.
2. Классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор)2.
3. Классификация информационных систем проводится на этапе создания информационных систем или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.
4. Проведение классификации информационных систем включает в себя следующие этапы:
сбор и анализ исходных данных по информационной системе:
присвоение информационной системе соответствующего класса и его документальное оформление.
5. При проведении классификации информационной системы учитываются следующие исходные данные:
объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) - Х нпд;
заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;
структура информационной системы;
наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;
режим обработки персональных данных;
режим разграничения прав доступа пользователей информационной системы;
местонахождение технических средств информационной системы.
6. Определяются следующие категории обрабатываемых в информационной системе персональных данных (Х пд):
7. Х нпд может принимать следующие значения:
1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных.данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
8. По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.
Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
К специальным информационным системам должны быть отнесены:
информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
9. По структуре информационные системы подразделяются:
на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).
10. По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на системы, имеющие подключения, и системы, не имеющие подключений.
11. По режиму обработки персональных данных в информационной системе информационные системы подразделяются на однопользовательские и многопользовательские.
12. По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.
13. Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.
14. По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:
класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
15. Класс типовой информационной системы определяется в соответствии с таблицей.
16. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"3.
17. В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.
18. Результаты классификации информационных систем оформляются соответствующим актом оператора.
19. Класс информационной системы может быть пересмотрен:
по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;
по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.
1Абзац первый пункта 1 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г.
N 781 (Собрание законодательства Российской Федерации, 2007, N 48, часть II,
2Абзац первый пункта 6 Положения.
3Собрание законодательства Российской Федерации 2007, N 48, часть II, ст. 6001.
Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного Постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2007, N 48, часть II, ст. 6001), приказываем:
Утвердить прилагаемый Порядок проведения классификации информационных систем персональных данных.
Директор
Федеральной службы
по техническому
и экспортному контролю
С.И.ГРИГОРОВ
Директор
Федеральной службы безопасности
Российской Федерации
Н.П.ПАТРУШЕВ
Министр
информационных технологий и связи
Российской Федерации
Л.Д.РЕЙМАН
УТВЕРЖДЕН
Приказом
ФСТЭК России,
ФСБ России,
Мининформсвязи России
от 13 февраля 2008 г. N 55/86/20
1. Настоящий Порядок определяет проведение классификации информационных систем персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы) <*>.
2. Классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор) <*>.
<*> Абзац первый пункта 6 Положения.
3. Классификация информационных систем проводится на этапе создания информационных систем или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.
4. Проведение классификации информационных систем включает в себя следующие этапы:
сбор и анализ исходных данных по информационной системе;
присвоение информационной системе соответствующего класса и его документальное оформление.
5. При проведении классификации информационной системы учитываются следующие исходные данные:
объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) - X_нпд;
заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;
структура информационной системы;
наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;
режим обработки персональных данных;
режим разграничения прав доступа пользователей информационной системы;
местонахождение технических средств информационной системы.
6. Определяются следующие категории обрабатываемых в информационной системе персональных данных (X_пд):
7. X_нпд может принимать следующие значения:
1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
8. По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.
Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
К специальным информационным системам должны быть отнесены:
информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
9. По структуре информационные системы подразделяются:
на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).
10. По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на системы, имеющие подключения, и системы, не имеющие подключений.
11. По режиму обработки персональных данных в информационной системе информационные системы подразделяются на однопользовательские и многопользовательские.
12. По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.
13. Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.
14. По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:
класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" <*>.
<*> Собрание законодательства Российской Федерации, 2007, N 48, часть II, ст. 6001.
17. В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.
18. Результаты классификации информационных систем оформляются соответствующим актом оператора.
19. Класс информационной системы может быть пересмотрен:
по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;
по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.
Сообщаем Вам, что совместным приказом Министерства образования и науки Республики Татарстан и ГУ «Центр информационных технологий Республики Татарстан» №1156/09/29-о от 18.05.2009 утвержден план мероприятий по обеспечению информационной безопасности информационных систем персональных данных в образовательных учреждениях Республики Татарстан.
На основании указанного плана, а также в целях приведения информационных систем персональных данных образовательных учреждений Республики Татарстан в соответствии с требованиями Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных», прошу Вас организовать проведение комплекса мероприятий по защите персональных данных.
1. Обеспечить назначение в подведомственных образовательных учреждениях должностных лиц, ответственных за обеспечение безопасности персональных данных.
2. Во всех подведомственных учреждениях определить информационные системы, в которых обрабатываются персональные данные, провести их классификацию в соответствии с «Порядком классификации информационных систем персональных данных» (приложение №2), утвердить акт классификации (приложение №3).
3. До 22 июня 2009 года представить сведения об информационных системах персональных данных всех подведомственных образовательных учреждений по прилагаемой форме (приложение №4) в адрес Министерства образования и науки Республики Татарстан. Информацию направлять в обобщенном виде по электронному адресу:
Приложения.
1. Совместный приказ Министерства образования и науки Республики Татарстан и ГУ «Центр информационных технологий Республики Татарстан» №1156/09/29-о от 18.05.2009 в 1 экз. на 3 л.
2. Приказ № 55/86/20 от 13.02.2008 «Об утверждении Порядка проведения классификации информационных систем персональных данных» в 1 экз. на 8 л.
3. Пример приказа о создании комиссии и акта классификации в 1 экз. на 3 л.
4. Форма «Сведения об информационных системах персональных данных» в 1 экз. на 1 л.
Исп. Хуснутдинов Р.Н.
Тел 2929003
О мероприятиях по обеспечению информационной безопасности
информационных систем персональных данных
в образовательных учреждениях Республики Татарстан
В целях реализации требований нормативно-правовых документов Российской Федерации и Республики Татарстан в области обеспечения информационной безопасности
ПРИКАЗЫВАЮ:
1.
Утвердить прилагаемый план мероприятий по обеспечению
информационной безопасности информационных систем персональных данных
в образовательных учреждениях Республики Татарстан.
2. Контроль над исполнением настоящего приказа оставляю за собой.
ПЛАН
мероприятий по обеспечению информационной безопасности информационных систем персональных данных
в образовательных учреждениях Республики Татарстан
| № п\п | Наименование мероприятия | Срок выполнения | Ответственный за выполнение | Примечание |
| 1. | Инвентаризация информационных систем, обрабатывающих персональные данные, провести классификацию ИС и утвердить акт классификации | Июнь 2009 | | Инвентаризацию провести по установленной форме |
| 2. | Направление уведомлений образовательными учреждениями (операторами персональных данных) в уполномоченный орган по защите прав субъектов персональных данных | Июнь 2009 г. | Министерство образования и науки РТ, органы управления образования РТ, образовательные учреждения Республики Татарстан, которые не направили уведомления | |
| 3. | Подготовка пакета типовых документов: Положение о защите персональных данных Положение о подразделении по защите информации; Должностные регламенты лиц, ответственных за защиту ПД План мероприятий по защите ПД План внутренних проверок состояния защиты ПД Приказ о назначении ответственных лиц по ПД Журнал по учету мероприятий по контролю Журнал учёта обращений субъектов ПД о выполнении их законных прав Образец журнала (книги) учёта ПД Правила пользования средствами защиты информации Образец соглашения с работником об ответственности за разглашение ПД | Июль 2009 г. | ГУ ЦИТ РТ, Министерство образования и науки РТ | |
| 4. | Обследование и определение нескольких групп приоритетности образовательных учреждений для последующей аттестации информационных систем за счет централизованного бюджета Республики Татарстан | Август 2009 | | |
| 5. | Аттестация информационных систем ПД в соответствии с п.8 настоящего плана | Ноябрь 2009 | ГУ ЦИТ РТ, Министерство образования и науки РТ, органы управления образования РТ, образовательные учреждения Республики Татарстан | |
| 6. | Организовать и поддерживать систему защиты конфиденциальной информации от несанкционированного доступа в соответствии с установленным классом ИС, с использованием средств защиты, сертифицированных в установленном порядке | Постоянно | Министерство образования и науки РТ, органы управления образования РТ, образовательные учреждения Республики Татарстан |
Зарегистрирован в
Минюсте России
УТВЕРЖДЕН
приказом ФСТЭК России,
№ 55/86/20
Порядок
проведения классификации информационных систем персональных данных
5. При проведении классификации информационной системы учитываются
следующие исходные данные:
" Абзац первый пункта 1 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 (Собрание законодательства Российской Федерации, 2007, № 48, часть II, ст. 6001) (далее - Положение). " Абзац первый пункта 6 Положения.
объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) - Х Н пд;
заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;
структура информационной системы;
наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена; режим обработки персональных данных;
режим разграничения прав доступа пользователей информационной системы;
местонахождение технических средств информационной системы.
6. Определяются следующие категории обрабатываемых в
информационной системе персональных данных (Х П д):
7. Хнпд может принимать следующие значения:
Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
К специальным информационным системам должны быть отнесены:
информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
9. По структуре информационные системы подразделяются:
на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).
класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
класс 3 (КЗ) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
15. Класс типовой информационной системы определяется в соответствии с
таблицей.
1 Собрание законодательства Российской Федерации 2007, № 48, часть II, ст. 6001.
18. Результаты классификации информационных систем оформляются
соответствующим актом оператора.
19. Класс информационной системы может быть пересмотрен:
по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;
по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.
Типовая форма
перечня информационных систем персональных данных (ИСПДн), в которых должна быть обеспечена безопасность информации
| | |||||||||
| № п/п | | Адрес объекта | Структура ИСПДн | | Режим обработки ПДн | | | Класс ИСПДн | * Примечание |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
Пример заполнения перечня
| Исходные данные классификации ИСПДн | |||||||||
| № п/п | Наименование ИСПДн (её составной части) | Наименование объекта (полное и сокращенное) Отраслевая (ведомственная) принадлежность Адрес объекта | Структура ИСПДн | Наличие подключений к ССОП и сетям МИО (Интернет) | Режим обработки ПДн | Разграничение доступа пользователей | Нахождение ИСПДн (её составных частей)в пределах России | Класс ИСПДн | Примечание |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 1 | Система абонирования авиабилетов компании «АЭРОТРАНС» | ЗАО «АЭРОТРАНС», здание Центральног Аэровокзала, офисы №№1501,1502, №1720 (серверная), Москва, Ленинградский проспект, 35 | Распределённая система | Подключена к сети Интернет, используются ССОП | многопользовательский | с разграничением прав доступа | Абонентский пункт на территории Украины (Киев, а/п Борисполь) | 2 | Система имеет АП в а/п Шереметьево, Домодедово, Внуково |
Пример приказа о создании комиссии для классификации ИСПД
О классификации информационных систем
персональных данных
Для классификации информационных систем персональных данных, расположенных в здании ______________, по условиям их функционирования с точки зрения безопасности информации на соответствие требованиям по безопасности информации
ПРИКАЗЫВАЮ:
1. Назначить комиссию в составе:
Председатель комиссии:
Заместитель руководителя ОУ ***
Члены комиссии:
Начальник отдела бухгалтерского учета и отчетности ***
Начальник отдела кадровой политики ***
Главный специалист ***
2. Классификацию провести в соответствии с «Порядком проведения классификации информационных систем персональных данных», утвержденным приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года.
3. По результатам работ предоставить для утверждения «Акт классификации информационных систем персональных данных, расположенных в здании ОУ.
4. Контроль за исполнением настоящего приказа оставляю за собой.
Начальник ОУ ****
Пример акта классификации ИСПД
АКТ № _/АКл от ___ ___________200_ г.
классификации информационных систем персональных данных, расположенных в здании ОУ
Заместитель руководителя ОУ
Члены комиссии:
и отчетности
Начальник отдела кадровой политики
Главный специалист
установила:
1. Состав информационных систем персональных данных представлен в «Перечне ИСПДн, в которых должна быть обеспечена безопасность информации» (приложение 1).
2. Высшая категория обрабатываемых в информационных системах персональных данных (X пд) – «категория _»
.
3.Наибольший объем обрабатываемых персональных данных (X нпд) соответствует значению _
.
4. В соответствии с «Порядком проведения классификации информационных систем персональных данных», утвержденным приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года информационной системе в целом присваивается класс _
.
Председатель комиссии:
Заместитель руководителя УО
Члены комиссии:
Начальник отдел бухгалтерского учета
и отчетности
Начальник отдел кадровой политики
Главный специалист
Перечень информационных систем персональных данных (ИСПДн), в которых должна быть обеспечена безопасность
информации
| № п/п | Наименование ИСПДн (её составной части) | Наименование объекта (полное и сокращенное) Отраслевая (ведомственная) принадлежность Адрес объекта | Исходные данные классификации ИСПДн | Класс ИСПДн | Примечание |
||||
| Структура ИСПДн | Наличие подключений к ССОП и сетям МИО (Интернет) | Режим обработки ПДн | Разграничение доступа пользователей | Нахождение ИСПДн (её составных частей) в пределах России |
|||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 1 | |||||||||
Сведения об информационной системе персональных данных.
| № п/п
| Отражаемые вопросы | Ответ |
| 1 | Наименование информационной системы персональных данных (ИСПД), разработчик системы. | Пример: «1С Предприятие», фирма 1С |
| 2 | Класс ИСПДн | Указать класс ИСПДН в соответствии с актом классификации |
| 3 | Цели и статус ИСПДн | Указать для чего и на основании чего созданы (в соответствии с законодательством, для исполнения договора со страховой компанией, по собственной инициативе и т.д.) Пример: ведение кадрового и бухгалтерского учета сотрудников, создана в соответствии с законодательством
|
| 4 | Объем и состав ИСПДн | Указать количество субъектов персональных данных, обрабатываемых в системе, и содержание информации (Ф.И.О., адрес, ИНН, национальность, пр.) |
| 5 | Источники ИСПДн | Указать источники получения персональных данных (от гражданина, от других образовательных учреждений, от третьих лиц и т.д.) |
| 6 | Режим обработки и доступ к ИСПДн | Указать режим обработки (однопользовательский, многопользовательский), порядок доступа (с разграничением или без) и наименование документа регламентирующего доступ если таковой имеется. Пример: многопользовательский, с разграничением доступа, регламент отсутствует.
|
| 7 | Пользователи ИСПДн. | Пример: внутренние пользователи (отделы, структурные подразделения). Внешние пользователи (наименование организаций). |
| 8 | Способы передачи информации пользователям. | Пример: На бумажных носителях, на магнитных носителях информации, по защищенным каналам связи, пр. |
| 9 | Оператор (ст.3, п.2 ФЗ-152) или лицо, которому поручена обработка ПД (п.10 «Положения…»). Правовое основание обработки персональных данных (кем принято решение и каким документом закреплено). | Указать полное наименование (по уставу) и почтовый адрес организации, документы, на основании которых функционирует учреждение. Пример: Министерство образования и науки Республики Татарстан Указ Президента РТ «О преобразовании Министерства образования Республики Татарстан» от 09.09.2004г. № УП-570 Положение о Министерстве образования и науки Республики Татарстан
|
| 10 | Дата начала обработки ПДн | |
| 11 | Сроки хранения | Установить сроки хранения данных для каждой из ИСПД, если продолжительность не установлена законодательством |
| 12 | Сроки или условия прекращения обработки | Установить сроки обработки данных для каждой из ИСПД, если продолжительность не установлена законодательством |
| 13 | Сведения о включении ИСПД в государственный реестр баз данных. |
