Внимание! C 11 марта 2013 года классификация ИСПДн по «приказу трёх» отменена (Приказ ФСТЭК/ФСБ/Минкомсвязи №151/786/461).
В настоящее время процедура классификации проводится только для Государственных информационных систем (ГИС) в рамках выполнения требований 17-го приказа ФСТЭК.
Для обычных ИСПДн проводится Определение уровня защищенности.
До 11 марта 2013 г. все организации, в том числе государственные и муниципальные органы, которые осуществляют обработку персональных данных, обязаны были проводить классификацию информационных систем, а также определять цели и содержание такой обработки. Классификация проводилась с целью определения способов и методов, которые необходимо было применять для защиты персональных данных. Классификация проводилась как на стадии создания информационной системы, так и на стадии ее модернизации.
Для проведения классификации создавалась комиссия, в состав которой входили специалисты по защите информации и другие сотрудники, непосредственно отвечающие за безопасность персональных данных. Процедура проведения классификации устанавливалась так называемым «приказом трех» (Совместный приказ ФСТЭК, ФСБ и Мининформсвязи РФ от 13.02.2008), который в настоящее время отменен.
В ходе проведения классификации члены комиссии должны были осуществить анализ собранной информации (исходных данных) об информационной системе, таких как:
- количество субъектов, персональные данные которых обрабатываются (объем);
- категория персональных данных;
- характеристики безопасности персональных данных;
- структура информационной системы (автономные, локальные или распределенные системы);
- наличие подключений к сетям общего пользования, в том числе сети Интернет;
- режим обработки (может быть однопользовательский и многопользовательский);
- наличие разграничения прав доступа к персональным данным в информационной системе;
- территориальное расположение элементов информационной системы (могут быть расположены в пределах РФ либо за пределами РФ частично или полностью).
По результатам анализа комиссия должна была определить класс информационной системы при помощи следующей таблицы:
| Категория обрабатываемых персональных данных (ПДн) | Количество субъектов ПДн | ||||||||
| более 100 тыс. | в объеме | от 1 тыс. до 100 тыс. | в объеме | до 1 тыс. субъектов | |||||
| РФ | субъекта РФ | отрасли | органа власти | муниципального образования | организации | ||||
| касающиеся национальной и расовой принадлежности, религиозных либо философских убеждений, здоровья и интимной жизни | класс 1 (К1) | класс 1 (К1) | класс 1 (К1) | ||||||
| позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию | класс 1 (К1) | класс 2 (К2) | класс 3 (К3) | ||||||
| позволяющие идентифицировать субъекта ПДн | класс 2 (К2) | класс 3 (К3) | класс 3 (К3) | ||||||
| обезличенные или общедоступные ПДн | класс 4 (К4) | класс 4 (К4) | класс 4 (К4) | ||||||
Напоминаем вам, что в настоящий момент классификацию ИСПДн проводить не нужно, так как отменен устанавливающий эту процедуру нормативный акт. В настоящее время для определения базового набора мез защиты необходимо определять уровень защищенности.
Классификация ИСПДн
Классификация ИСПДн требуется для выстраивания защиты уже существующей либо проектируемой системы, которая обрабатывает персональные данные. Чем нужно руководствоваться в процессе разработки организационно-технических мероприятий по предупреждению угроз безопасности.
Основополагающими в вопросах регулирования вопросов выделения видов ИСПДн являются правительственные положения, утвержденные приказы ФСТЭК и ФСБ. Они, в свою очередь, разработаны с учетом содержания ФЗ-152 — основного законодательного акта в сфере защиты ПДн.
Если возникнут трудности с приведением деятельности в соответствие с актуальными правовыми нормами, есть смысл привлечь специалистов нашего центра.
Как правильно классифицировать ИСПДн: категории ПДн и другие критерии
В течение 5 лет информационные системы, обрабатывающие личные сведения граждан, требовалось делить на классы. Необходимость выполнения разделения была прописана Совместным приказом регулирующих органов (ФСБ, Мининформсвязи и Федеральной службы безопасности России), принятым 13 февраля 2008 года. Определение класса ИСПДн могло осуществляться на любом этапе. Для выполнения всех предусмотренных законом действий создавалась специальная комиссия, которая должны была оценить прописанные в приказе параметры, для того, чтобы в зависимости от присвоенного класса имелась возможность адекватно подобрать те или иные методики и оборудование СЗПДн.
Ключевыми критериями, которые принимались во внимание, были:
- категории используемых сведений (всего существовало 4 категории (обезличенные/общедоступные; ПДн, связанные с расой, национальностью, политическими, философскими и религиозными взглядами, интимной жизнью и состоянием здоровья; ПДн, предназначенные для идентификации и получении дополнительных сведений о субъекте, не вошедшие в 1 категорию; ПДн, позволяющие идентифицировать личность));
- исходные параметры безопасности ПДн, на основании которых выделялись типовые и специальные ИСПДн;
- структурные особенности ИС — принадлежность к локальным, автономным либо распределительным системам;
- размещение компонентов ИСПДн (учитывалось территориальное расположение системы — либо в РФ, либо за её пределами);
- тип субъектов персональных данных;
- дифференциация прав доступа к конфиденциальной информации;
- подключение к Интернету и прочим сетям общего пользования;
- число пользователей — классификация предполагала выделение однопользовательских и многопользовательских ИС.
Проанализировав совокупность указанных выше свойств системы, экспертам нужно было установить, к какому из четырех классов она принадлежит, и с учетом этого проектировать СЗПДн.
4 класса ИСПДн
- Класс 1 — системы, где нарушение характеристик ИБ способно спровоцировать существенные негативные последствия для владельцев персональных данных.
- Класс 2 — ИСПДн, в которых нарушения безопасности чреваты негативными последствиями для граждан.
- Класс 3 — ИС, нарушения в которых вызывают незначительные риски для субъектов.
- Класс 4 — системы, в которых вероятные нарушения не способны стать причиной каких-либо негативных последствий для людей, чьи данные в ней обрабатываются.
Итоги исследований и решение о присвоении того или иного класса ИСПДн предстояло зафиксировать в отдельном документе — акте, который подписывался членами сформированной комиссии. Изначальное решение могло быть изменено, если:
- необходимость в этом возникала в процессе контроля соблюдения требований ИБ в отношении обрабатываемых личных сведений;
- оператором принималось решение по результатам изучения и оценки УБ после изменения параметров ИС.
Нужна ли классификация информационных систем персональных данных в 2021 году?
После того, как в 2012 году было принято Постановление Правительства № 1119, регулирующее требования в отношении ИСПДн, необходимость проводить классификацию исчезла. Отмену разделения уполномоченные органы прописали в соответствующих приказах, что позволило с марта 2013 года ограничиться установлением уровня защищенности ИСПДн (всего уровней 4). Его определяют на основании типа УБ, категории и количества субъектов информационной системы, а также взаимоотношений с ними (сотрудники или нет).
