№7. Информационная система типовая или специальная?

При проведении классификации информационной системы, одним из определяющих параметров является характеристика безопасности персональных данных. В зависимости от того какие категории персональных данных обрабатываются и каким образом происходит обработка, определяется какой будет информационная система: типовой или специальной.

Так к специальным относят информационные системы, в которых обрабатываются персональные данные первой (высшей) категории (информация о национальной и расовой принадлежности, о религиозных либо философских убеждениях, информация о здоровье и интимной жизни и другие сведения о субъектах, утечка которых может привести к серьезным последствиям). Также к специальным необходимо относить системы, в которых принятие юридически значимых решений в отношении субъектов персональных данных осуществляется в исключительно автоматизированном режиме. Если же данные характеристики не подходят для вашей информационной системы, то она является типовой.

Разница между типовыми и специальными информационными системами существенная. Так, например, для типовой информационной системы необходимо обеспечить только предотвращение утечки персональных данных, то есть их конфиденциальность. Кроме того для типовой информационной системы определены методы и способы защиты информации в зависимости от класса (чем выше класс тем серьёзнее система защиты).

Для специальных же систем кроме обеспечения конфиденциальности необходимо обеспечить защиту от хотя бы одной из следующих угроз: уничтожение, блокирование или изменение персональных данных. И это еще не все. Также в отношении специальной информационной системы оператору необходимо составить модель угроз, и сделать это необходимо с привлечением специалистов по информационной безопасности, что значительно усложняет процесс приведения этой информационной системы в соответствие требованиям.