Классификация информационных систем персональных данных

Автор работы: Пользователь скрыл имя, 19 Ноября 2013 в 15:06, реферат

Краткое описание

Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.
Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

Скачать в ZIP архиве (60.49 Кб) Сколько стоит заказать работу?
Вложенные файлы: 1 файл

реферат.docx

— 63.24 Кб (Скачать файл)

Классификация ИСПДн проводится на этапе их создания или в ходе их эксплуатации (для  ранее введенных в эксплуатацию и (или) модернизируемых информационных систем) с целью установления методов и средств защиты информации, необходимых для обеспечения безопасности персональных данных.

Проведение  классификации информационных систем включает в себя следующие этапы:

сбор  и анализ исходных данных по информационной системе;

присвоение  информационной системе соответствующего класса и его документальное оформление.

При проведении классификации информационной системы учитываются  следующие  исходные данные:

категория обрабатываемых в информационной системе  персональных данных – ХПД;

объем обрабатываемых персональных данных (количество субъектов  персональных данных, персональные данные которых обрабатываются в информационной системе) – ХНПД;

заданные  оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;

структура информационной системы;

наличие подключений информационной системы  к сетям связи общего пользования  и (или) сетям международного информационного  обмена;

режим обработки  персональных данных;

режим разграничения  прав доступа пользователей информационной системы;

местонахождение технических средств информационной системы.

Определяются следующие категории  обрабатываемых в информационной системе  персональных данных (ХПД):

категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

категория 2 – персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

категория 3 – персональные данные, позволяющие идентифицировать субъекта персональных данных;

категория 4 – обезличенные и (или) общедоступные персональные данные.

В зависимости от объема обрабатываемых в ИСПДн персональных данных ХНПД может принимать следующие значения:

1 – в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов ПДн или персональные данные субъектов ПДн в пределах субъекта Российской Федерации или Российской Федерации в целом;

2 – в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов ПДн или персональные данные субъектов ПДн, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;

3 – в информационной системе одновременно обрабатываются персональные данные менее чем 1000 субъектов ПДн или персональные данные субъектов ПДн в пределах конкретной организации.

По заданным оператором характеристикам  безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые  и специальные информационные системы.

Типовые информационные системы – информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

Специальные информационные системы – информационные системы, 
в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

К специальным  информационным системам должны быть отнесены:

информационные  системы, в которых обрабатываются персональные данные, касающиеся состояния  здоровья субъектов ПДн;

информационные  системы, в которых предусмотрено  принятие на основании исключительно  автоматизированной обработки персональных данных решений, порождающих юридические  последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.

По структуре информационные системы  подразделяются:

на автономные (не подключенные к  иным информационным системам) комплексы  технических и программных средств, предназначенные для обработки  персональных данных (автоматизированные рабочие места);

на комплексы  автоматизированных рабочих мест, объединенных в единую информационную систему  средствами связи без использования  технологии удаленного доступа (локальные  информационные системы);

на комплексы  автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

По наличию подключений к  сетям связи общего пользования  и (или) сетям международного информационного  обмена информационные системы подразделяются на системы, имеющие подключения к сетям международного информационного обмена, и системы, не имеющие таких подключений.

По режиму обработки персональных данных в информационной системе  информационные системы подразделяются на однопользовательские и многопользовательские.

По разграничению прав доступа  пользователей информационные системы  подразделяются на системы без разграничения  прав доступа и системы с разграничением прав доступа.

Информационные системы в зависимости  от местонахождения их технических  средств подразделяются на системы, все технические средства которых  находятся в пределах Российской Федерации, и системы, технические  средства которых частично или целиком  находятся за пределами Российской Федерации.

По результатам анализа исходных данных информационной системе присваивается  один из следующих классов:

класс 1 (К1) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов ПДн;

класс 2 (К2) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов ПДн;

класс 3 (К3) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПДн;

класс 4 (К4) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПДн.

Класс информационной системы определяется в соответствии с таблицей.

 

ХНПД

ХПД

3

2

1

категория 4

К4

К4

К4

категория 3

К3

К3

К2

категория 2

К3

К2

К1

категория 1

К1

К1

К1


 

Применительно к специальным информационным системам после определения класса системы оператором должна быть разработана  модель угроз безопасности персональных данных с использованием методических документов, разрабатываемых в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»1,  
и проведена оценка актуальности угроз. По результатам оценки требования  
по защите ИСПДн от различных угроз могут быть скорректированы  
по сравнению с типовыми. Решение об этом принимает оператор ИСПДн.

В случае выделения в составе  информационной системы подсистем, каждая из которых является информационной системой, информационной системе в  целом присваивается класс, соответствующий  наиболее высокому классу входящих в  нее подсистем.

Результаты классификации информационных систем оформляются соответствующим  актом оператора.

Класс информационной системы может быть пересмотрен:

по решению  оператора на основе проведенных  им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;

по результатам  мероприятий по контролю за выполнением  требований 
к обеспечению безопасности персональных данных при их обработке 
в информационной системе.

В целом  обеспечение безопасности ПДн при  их обработке в ИСПДн достигается  реализацией совокупности организационных  и технических мер, причем в интересах  обеспечения безопасности ПДн в  обязательном порядке подлежат защите технические и программные средства, используемые при обработке ПДн, и носители информации. При организации  и осуществлении защиты ПДн необходимо руководствоваться требованиями нормативных  и методических документов по защите информации в автоматизированных системах, учитывая при этом, что ПДн, в соответствии с Федеральным законом от 27 июля 2006 г. № 152 «О персональных данных», отнесены к информации ограниченного доступа.

В связи  с тем, что ИСПДн по своим характеристикам  и номенклатуре угроз безопасности ПДн близки к наиболее распространенным, так называемым «офисным», информационным системам, целесообразно при их защите максимально использовать традиционные подходы к технической защите информации в автоматизированных системах.

 

 

Методология определения  класса информационной системы персональных данных.

Для того, чтобы отнести типовую информационную систему персональных данных (ИСПДн) к тому или иному классу необходимо:

I.  Определить категорию обрабатываемых персональных данных:  
• категория 4 - обезличенные и (или) общедоступные персональные данные;  
• категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;  
• категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;  
• категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.

II.  Определить объем персональных данных, обрабатываемых в информационной системе:  
• объем 3 - одновременно обрабатываются данные менее чем 1 000 субъектов персональных данных в пределах конкретной организации;  
• объем 2 - одновременно обрабатываются персональные данные от 1 000 до 100 000 субъектов персональных данных, работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования;  
• объем 1 - одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных в пределах субъекта РФ или РФ.

III.  По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов:  
•  класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных;  
•  класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;  
•  класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;  
•  класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных. 

Порядок составления  акта классификации

Акт классификации  информационной системы, обрабатывающей персональные данные, определяет структуру  ИСПДн и режим обработки ПДн.

Акт классификации  является конфиденциальным документом, т.е. должен иметь гриф конфиденциальности («Конфиденциально», «ДСП», «Коммерческая тайна») и учетный номер.

Для проведения классификации на предприятии должна быть создана комиссия. В состав комиссии обязательно должен быть включен  ответственный за защиту персональных данных. Комиссия должна быть назначена  приказом руководителя и осуществлять свою деятельность на основании Положения  о комиссии по классификации. По результатам  классификации должен быть оформлен акт. Акт классификации ИСПДн  должен утверждаться Председателем  комиссии по классификации (председатель и члены комиссии назначаются  приказом о проведении внутренней проверки). Акт должен быть подписан всеми членами  комиссии.

Акт классификации  составляется для каждой выявленной ИСПДн и прилагается к уведомлению  об обработке (если уведомление необходимо). Для каждой ИСПДн должна быть определена ее структура, в которой определяются характеристики режима обработки.

Информация о работе Классификация информационных систем персональных данных