11 лет защищаем компании от рисков
info@data-sec.ru
+7 800 350-11-52
+7 495 108-71-52
Заказать звонок
Центр безопасности данных
Услуги и решения
  • Персональные данные
  • Конфиденциальная информация
  • Защищенные приложения
  • Средства защиты информации
  • General Data Protection Regulation
  • Консалтинг и обучение
Каталог СЗИ
  • Защита серверов и рабочих станций
    Защита серверов и рабочих станций
    • Защита информации от НСД
    • Средства доверенной загрузки
  • Сетевая безопасность
    Сетевая безопасность
    • Межсетевое экранирование
Информация
  • Ликбез по персональным данным
  • Штрафы за нарушения
  • Статьи и публикации
  • Вопросы и ответы
  • Новости о ПДн
  • Законодательство
Компания
  • О компании
  • История
  • Лицензии и сертификаты
  • Клиенты
  • Партнеры
  • Вакансии
Контакты
    Услуги по приведению в соответствие требованиям закона о персональных данных
    Центр безопасности данных
    Услуги и решения
    • Персональные данные
    • Конфиденциальная информация
    • Защищенные приложения
    • Средства защиты информации
    • General Data Protection Regulation
    • Консалтинг и обучение
    Каталог СЗИ
    • Защита серверов и рабочих станций
      Защита серверов и рабочих станций
      • Защита информации от НСД
      • Средства доверенной загрузки
    • Сетевая безопасность
      Сетевая безопасность
      • Межсетевое экранирование
    Информация
    • Ликбез по персональным данным
    • Штрафы за нарушения
    • Статьи и публикации
    • Вопросы и ответы
    • Новости о ПДн
    • Законодательство
    Компания
    • О компании
    • История
    • Лицензии и сертификаты
    • Клиенты
    • Партнеры
    • Вакансии
    Контакты
      Центр безопасности данных
      Телефоны
      +7 800 350-11-52
      +7 495 108-71-52
      Заказать звонок
      • Услуги и решения
        • Назад
        • Услуги и решения
        • Персональные данные
        • Конфиденциальная информация
        • Защищенные приложения
        • Средства защиты информации
        • General Data Protection Regulation
        • Консалтинг и обучение
      • Каталог СЗИ
        • Назад
        • Каталог СЗИ
        • Защита серверов и рабочих станций
          • Назад
          • Защита серверов и рабочих станций
          • Защита информации от НСД
          • Средства доверенной загрузки
        • Сетевая безопасность
          • Назад
          • Сетевая безопасность
          • Межсетевое экранирование
      • Информация
        • Назад
        • Информация
        • Ликбез по персональным данным
        • Штрафы за нарушения
        • Статьи и публикации
        • Вопросы и ответы
        • Новости о ПДн
        • Законодательство
      • Компания
        • Назад
        • Компания
        • О компании
        • История
        • Лицензии и сертификаты
        • Клиенты
        • Партнеры
        • Вакансии
      • Контакты
      • +7 800 350-11-52
        • Назад
        • Телефоны
        • +7 800 350-11-52
        • +7 495 108-71-52
        • Заказать звонок
      info@data-sec.ru
      info@data-sec.ru
      • Главная
      • Ликбез
      • Классификация информационных систем персональных данных (отменена)

      Классификация информационных систем персональных данных (отменена)

      Классификация информационных систем персональных данных (отменена)

      Внимание! C 11 марта 2013 года классификация ИСПДн по «приказу трёх» отменена (Приказ ФСТЭК/ФСБ/Минкомсвязи №151/786/461). 

      В настоящее время процедура классификации проводится только для Государственных информационных систем (ГИС) в рамках выполнения требований 17-го приказа ФСТЭК. 

      Для обычных ИСПДн проводится Определение уровня защищенности.

      До 11 марта 2013 г. все организации, в том числе государственные и муниципальные органы, которые осуществляют обработку персональных данных, обязаны были проводить классификацию информационных систем, а также определять цели и содержание такой обработки. Классификация проводилась с целью определения способов и методов, которые необходимо было применять для защиты персональных данных. Классификация проводилась как на стадии создания информационной системы, так и на стадии ее модернизации.

      Для проведения классификации создавалась комиссия, в состав которой входили специалисты по защите информации и другие сотрудники, непосредственно отвечающие за безопасность персональных данных. Процедура проведения классификации устанавливалась так называемым «приказом трех» (Совместный приказ ФСТЭК, ФСБ и Мининформсвязи РФ от 13.02.2008), который в настоящее время отменен.

      В ходе проведения классификации члены комиссии должны были осуществить анализ собранной информации (исходных данных) об информационной системе, таких как:

      • количество субъектов, персональные данные которых обрабатываются (объем);
      • категория персональных данных;
      • характеристики безопасности персональных данных;
      • структура информационной системы (автономные, локальные или распределенные системы);
      • наличие подключений к сетям общего пользования, в том числе сети Интернет;
      • режим обработки (может быть однопользовательский и многопользовательский);
      • наличие разграничения прав доступа к персональным данным в информационной системе;
      • территориальное расположение элементов информационной системы (могут быть расположены в пределах РФ либо за пределами РФ частично или полностью).

      По результатам анализа комиссия должна была определить класс информационной системы при помощи следующей таблицы:

      Категория обрабатываемых персональных данных (ПДн) Количество субъектов ПДн
      более 100 тыс. в объеме от 1 тыс. до 100 тыс. в объеме до 1 тыс. субъектов
      РФ субъекта РФ отрасли органа власти муниципального образования организации
      касающиеся национальной и расовой принадлежности, религиозных либо философских убеждений, здоровья и интимной жизни класс 1 (К1) класс 1 (К1) класс 1 (К1)
      позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию класс 1 (К1) класс 2 (К2) класс 3 (К3)
      позволяющие идентифицировать субъекта ПДн класс 2 (К2) класс 3 (К3) класс 3 (К3)
      обезличенные или общедоступные ПДн класс 4 (К4) класс 4 (К4) класс 4 (К4)
      Напоминаем вам, что в настоящий момент классификацию ИСПДн проводить не нужно, так как отменен устанавливающий эту процедуру нормативный акт. В настоящее время для определения базового набора мез защиты необходимо определять уровень защищенности.

      Классификация ИСПДн

      Классификация ИСПДн требуется для выстраивания защиты уже существующей либо проектируемой системы, которая обрабатывает персональные данные. Чем нужно руководствоваться в процессе разработки организационно-технических мероприятий по предупреждению угроз безопасности.

      Основополагающими в вопросах регулирования вопросов выделения видов ИСПДн являются правительственные положения, утвержденные приказы ФСТЭК и ФСБ. Они, в свою очередь, разработаны с учетом содержания ФЗ-152 — основного законодательного акта в сфере защиты ПДн.

      Если возникнут трудности с приведением деятельности в соответствие с актуальными правовыми нормами, есть смысл привлечь специалистов нашего центра.

      Как правильно классифицировать ИСПДн: категории ПДн и другие критерии

      В течение 5 лет информационные системы, обрабатывающие личные сведения граждан, требовалось делить на классы. Необходимость выполнения разделения была прописана Совместным приказом регулирующих органов (ФСБ, Мининформсвязи и Федеральной службы безопасности России), принятым 13 февраля 2008 года. Определение класса ИСПДн могло осуществляться на любом этапе. Для выполнения всех предусмотренных законом действий создавалась специальная комиссия, которая должны была оценить прописанные в приказе параметры, для того, чтобы в зависимости от присвоенного класса имелась возможность адекватно подобрать те или иные методики и оборудование СЗПДн.

      Ключевыми критериями, которые принимались во внимание, были:

      • категории используемых сведений (всего существовало 4 категории (обезличенные/общедоступные; ПДн, связанные с расой, национальностью, политическими, философскими и религиозными взглядами, интимной жизнью и состоянием здоровья; ПДн, предназначенные для идентификации и получении дополнительных сведений о субъекте, не вошедшие в 1 категорию; ПДн, позволяющие идентифицировать личность));
      • исходные параметры безопасности ПДн, на основании которых выделялись типовые и специальные ИСПДн;
      • структурные особенности ИС — принадлежность к локальным, автономным либо распределительным системам;
      • размещение компонентов ИСПДн (учитывалось территориальное расположение системы — либо в РФ, либо за её пределами);
      • тип субъектов персональных данных;
      • дифференциация прав доступа к конфиденциальной информации;
      • подключение к Интернету и прочим сетям общего пользования;
      • число пользователей — классификация предполагала выделение однопользовательских и многопользовательских ИС.

      Проанализировав совокупность указанных выше свойств системы, экспертам нужно было установить, к какому из четырех классов она принадлежит, и с учетом этого проектировать СЗПДн.

      4 класса ИСПДн

      1. Класс 1 — системы, где нарушение характеристик ИБ способно спровоцировать существенные негативные последствия для владельцев персональных данных.
      2. Класс 2 — ИСПДн, в которых нарушения безопасности чреваты негативными последствиями для граждан.
      3. Класс 3 — ИС, нарушения в которых вызывают незначительные риски для субъектов.
      4. Класс 4 — системы, в которых вероятные нарушения не способны стать причиной каких-либо негативных последствий для людей, чьи данные в ней обрабатываются.

      Итоги исследований и решение о присвоении того или иного класса ИСПДн предстояло зафиксировать в отдельном документе — акте, который подписывался членами сформированной комиссии. Изначальное решение могло быть изменено, если:

      • необходимость в этом возникала в процессе контроля соблюдения требований ИБ в отношении обрабатываемых личных сведений;
      • оператором принималось решение по результатам изучения и оценки УБ после изменения параметров ИС.

      Нужна ли классификация информационных систем персональных данных в 2021 году?

      После того, как в 2012 году было принято Постановление Правительства № 1119, регулирующее требования в отношении ИСПДн, необходимость проводить классификацию исчезла. Отмену разделения уполномоченные органы прописали в соответствующих приказах, что позволило с марта 2013 года ограничиться установлением уровня защищенности ИСПДн (всего уровней 4). Его определяют на основании типа УБ, категории и количества субъектов информационной системы, а также взаимоотношений с ними (сотрудники или нет).


      Теги
      классификация ИСПДн
      • Prev
      • Next
      Другие статьи Ликбеза
      • Что такое персональные данные?
        Что такое персональные данные?
      • Виды персональных данных
        Виды персональных данных
      • Зачем защищать персональные данные?
        Зачем защищать персональные данные?
      • Штрафы в области персональных данных в 2023 году
        Штрафы в области персональных данных в 2023 году
      • Как защищать персональные данные?
        Как защищать персональные данные?
      • Автоматизированная и неавтоматизированная обработка персональных данных
        Автоматизированная и неавтоматизированная обработка персональных данных
      • Обработка персональных данных без использования средств автоматизации
        Обработка персональных данных без использования средств автоматизации
      • Обработка персональных данных с использованием средств автоматизации
        Обработка персональных данных с использованием средств автоматизации
      • Угрозы безопасности персональных данных
        Угрозы безопасности персональных данных
      • Типы угроз персональных данных
        Типы угроз персональных данных
      • Актуальные угрозы безопасности персональных данных
        Актуальные угрозы безопасности персональных данных
      • Методика определения актуальных угроз безопасности персональных данных
        Методика определения актуальных угроз безопасности персональных данных
      • Банк данных угроз безопасности информации
        Банк данных угроз безопасности информации
      • Модель угроз безопасности персональных данных
        Модель угроз безопасности персональных данных
      • Информационная система типовая или специальная?
        Информационная система типовая или специальная?
      • Уведомление Роскомнадзора об обработке персональных данных
        Уведомление Роскомнадзора об обработке персональных данных
      • Образец уведомления об обработке персональных данных
        Образец уведомления об обработке персональных данных
      • Уведомление об изменении данных в Роскомнадзор
        Уведомление об изменении данных в Роскомнадзор
      • Уведомление о прекращении обработки персональных данных
        Уведомление о прекращении обработки персональных данных
      • Аттестация информационных систем персональных данных
        Аттестация информационных систем персональных данных

      Услуги
      Базовый экспресс-анализ
      Базовый экспресс-анализ
      Необходимо ли вашей организации выполнять требования закона №152-ФЗ «О персональных данных»? Что необходимо сделать чтобы пройти проверку и не получить штраф? Проанализируем бесплатно!
      Разработка документации
      Разработка документации
      Приведение в соответствие требованиям 152-ФЗ. Разработка и внедрение организационных мер и пакета локальной документации по вопросам обработки и защиты персональных данных
      • Комментарии
      Загрузка комментариев...

      Назад к списку Следующая статья
      • Ликбез по персональным данным
      • Штрафы за нарушения
      • Статьи и публикации
      • Вопросы и ответы
      • Новости о ПДн
      • Законодательство
      Приведение в соответствие 152-ФЗ
      Всегда рядом
      Всегда рядом Оказываем услуги дистанционно на всей территории России
      Цены сбалансированы
      Цены сбалансированы Индивидуальный подход при формировании стоимости работ
      Привлекательные сроки
      Привлекательные сроки Приведение обработки ПДн в соответствие 152-ФЗ – от 10 рабочих дней
      Огромный опыт
      Огромный опыт На рынке защиты персональных данных с 2011 года
      Компания
      О компании
      История
      Лицензии и сертификаты
      Клиенты
      Партнеры
      Вакансии
      Контактная информация
      Услуги
      Персональные данные
      Конфиденциальная информация
      Защищенные приложения
      Средства защиты информации
      General Data Protection Regulation
      Консалтинг и обучение
      Стоимость услуг
      Информация
      Ликбез по персональным данным
      Штрафы за нарушения
      Статьи и публикации
      Вопросы и ответы
      Новости о ПДн
      Законодательство
      Карта сайта
      Мессенджеры для связи:
      Наши контакты:

      +7 800 350-11-52
      +7 495 108-71-52
      Пн - Пт: с 8:00 до 17:00
      info@data-sec.ru
      Пользовательское соглашение  ⋅  Политика обработки персональных данных  ⋅  Заявление о конфиденциальности  ⋅  Файлы «Cookie»  ⋅  Правила копирования материалов  ⋅  Письмо директору
      © 2011–2023 Центр безопасности данных

      О файлах «Cookie»

      Мы используем файлы «Cookie» для сбора и анализа информации о производительности и использовании сайта, а также для улучшения и индивидуальной настройки предоставления информации. Нажимая кнопку «Принять» или продолжая пользоваться данным сайтом, вы соглашаетесь на размещение файлов «Cookie»

      Подробнее