Практические особенности классификации ИСПДн Докладчик: Заместитель начальника отдела информационной безопасности ГБУ СО «СОЦИ» Колгин Антон Александрович 31 января года 14 марта 20122011 г. » ГБУ СО «СОЦИ» г. Южно-Сахалинск. 1 Этапы проведения классификации информационных систем Основные регламентирующие документы • • • Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных» — федеральный закон, регулирующий деятельность по обработке (использованию) персональных данных. Основные принципы и правила обеспечения безопасности ПД в информационных системах регулируются "Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденным Постановлением Правительства Российской Федерации от 17.11.2007 № 781. Классификация ИСПД проводится в соответствии с Приказом ФСТЭК России, ФСБ России, Мининформсвязи России № 55/86/20 от 18.02.2009 г. "Об утверждении порядка проведения классификации информационных систем персональных данных". ГБУ СО «СОЦИ» Этапы проведения классификации информационных систем Сбор и анализ исходных данных по информационной системе; • • • • • • • • • Категорию обрабатываемых в системе персональных данных - Xпд; Объем обрабатываемых персональных данных - Хнпд; Тип ИСПДн; Структуру информационной системы; Наличие подключений к сетям связи общего пользования и (или) сетям международного информационного обмена; Режим обработки персональных данных в системе; Разграничение прав доступа пользователей; Местонахождение ИСПДн; Класс ИСПДн. ГБУ СО «СОЦИ» Категории обрабатываемых в информационной системе персональных данных (Xпд) 1. персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; 2. персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; 3. персональные данные, субъекта персональных данных; 4. позволяющие идентифицировать обезличенные и (или) общедоступные персональные данные. ГБУ СО «СОЦИ» Объем обрабатываемых персональных данных (Xнпд) в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом; • • • в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти; в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации. ГБУ СО «СОЦИ» Этапы проведения классификации информационных систем Определение класса информационной системы персональных данных Матрица определения класса ИСПДн Категория 3 ХНПД Категория 2 Категория 1 ХПД категория 4 К4 К4 К4 категория 3 К3 К3 К2 категория 2 К3 К2 К1 категория 1 К1 К1 К1 Присвоение информационной системе соответствующего класса и его документальное оформление. ГБУ СО «СОЦИ» Классификация ИСПДн по заданным оператором характеристикам безопасности персональных данных Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных. Нарушение конфиденциальности – это копирование и несанкционированное распространение Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности: • защищенность от уничтожения, • защищенность от изменения, • защищенность от блокирования, • защищенность от иных несанкционированных действий. ГБУ СО «СОЦИ» Классификация информационных систем по структуре Автономные. Представляет собой одно автоматизированное рабочее место (компьютер); Локальные. Автоматизированные объединенные в локальную сетью; рабочие места (АРМ), Распределенные. Автоматизированные рабочие места или локальные сети, связанные между собой при помощи технологий удаленного доступа. ГБУ СО «СОЦИ» Классификация Классификация информационных систем по наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена Классификация информационных систем по режиму обработки персональных данных ГБУ СО «СОЦИ» информационные системы имеющие подключения к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы не имеющие подключения к сетям связи общего пользования и (или) сетям международного информационного обмена однопользовательские информационные системы многопользовательские информационные системы Классификация Классификация информационных систем по разграничению прав доступа пользователей информационные системы без разграничения прав доступа информационные системы с разграничением прав доступа Классификация информационных систем в зависимости от местонахождения их технических средств информационные системы, все технические средства которых находятся в пределах Российской Федерации ГБУ СО «СОЦИ» информационные системы, технические средства которых частично или целиком находятся за пределами Российской Федерации Алгоритм классификации ИСПДн ИСПДн Без использования средств автоматизации С использование средств автоматизации 1) содержат данные о состоянии здоровья 2) ИСПДн автоматически принимает решения, несущие юридические последствия 3) Оператор ИСПДн отнес ее к специальной Нет Да Типовые (только конфиденциальность) Классификация на основе базовой методики K1 K2 ГБУ СО «СОЦИ» K3 K4 Специальные (конфиденциальность + защищенность от уничтожения. изменения, блокирования, ...) Класс «СПЕЦИАЛЬНЫЙ» О назначении комиссии по классификации информационных систем персональных данных ГБУ СО «СОЦИ» Перечень информационных систем персональных данных ГБУ СО «СОЦИ» АКТ классификации информационной системы персональных данных ГБУ СО «СОЦИ» АКТ классификации информационной системы персональных данных ГБУ СО «СОЦИ» Спасибо за внимание! ГБУ СО «Сахалинский областной центр информатизации» 693000, г. Южно-Сахалинск, Коммунистический проспект, 39, корпус «В», 4 этаж. Тел: (4242) 49-88-97 e-mail: gbusocium@admsakhalin.ru http://soci.admsakhalin.ru » По вопросам обращаться: Заместитель начальника отдела информационной безопасности Колгин Антон Александрович (4242) 49-79-88