Данная статья является неактуальной ввиду отмены устанавливающего данные понятия нормативного акта о классификации информационных систем персональных данных.
При проведении классификации информационной системы (отменена), одним из определяющих параметров являлась характеристика безопасности персональных данных. В зависимости от того какие категории персональных данных обрабатываются и каким образом происходит обработка, определяется какой будет информационная система: типовой или специальной.
Так к специальным относят информационные системы, в которых обрабатываются персональные данные первой (высшей) категории (информация о национальной и расовой принадлежности, о религиозных либо философских убеждениях, информация о здоровье и интимной жизни и другие сведения о субъектах, утечка которых может привести к серьезным последствиям). Также к специальным необходимо относить системы, в которых принятие юридически значимых решений в отношении субъектов персональных данных осуществляется в исключительно автоматизированном режиме. Если же данные характеристики не подходят для вашей информационной системы, то она является типовой.
Разница между типовыми и специальными информационными системами существенная. Так, например, для типовой информационной системы необходимо обеспечить только предотвращение утечки персональных данных, то есть их конфиденциальность. Кроме того для типовой информационной системы определены методы и способы защиты информации в зависимости от класса (чем выше класс тем серьёзнее система защиты).
Для специальных же систем кроме обеспечения конфиденциальности необходимо обеспечить защиту от хотя бы одной из следующих угроз: уничтожение, блокирование или изменение персональных данных. И это еще не все. Также в отношении специальной информационной системы оператору необходимо составить модель угроз, и сделать это необходимо с привлечением специалистов по информационной безопасности, что значительно усложняет процесс приведения этой информационной системы в соответствие требованиям.