1.51k likes | 1.83k Views
Информационная безопасность и защита информации в медицинском учреждении. Основные законы:. Об информации, информационных технологиях и о защите информации Федеральный Закон № 149-ФЗ от 27 июля 2006 года. О персональных данных Федеральный Закон № 152-ФЗ от 27 июля 2006 года.
E N D
Информационная безопасность и защита информациив медицинскомучреждении
Основные законы: Об информации, информационных технологиях и о защите информацииФедеральный Закон № 149-ФЗ от 27 июля 2006 года О персональных данныхФедеральный Закон № 152-ФЗот 27 июля 2006 года Об электронной подписиФедеральный Закон № 63-ФЗ от 6 апреля 2011 года
Информация - сведения (сообщения, данные) независимо от формы их представления Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств Информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники Об информации, информационных технологиях и о защите информации Федеральный Закон № 149-ФЗ от 27 июля 2006 года
Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам; Оператор информационной системы – гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных Об информации, информационных технологиях и о защите информации Федеральный Закон № 149-ФЗ от 27 июля 2006 года
Информация в зависимости от порядка еепредоставления или распространенияподразделяется на: информацию, свободно распространяемую; 2) информацию, предоставляемую по соглашению лиц,участвующих в соответствующих отношениях; 3) информацию, которая в соответствии с федеральнымизаконами подлежит предоставлению или распространению; 4) информацию, распространение которойв Российской Федерации ограничивается или запрещается. Об информации, информационных технологиях и о защите информации Федеральный Закон № 149-ФЗ от 27 июля 2006 года
Общедоступная информация • Не может быть ограничен доступ к: • нормативным правовым актам, затрагивающим права,свободы и обязанности человека и гражданина; • к информации о правовом положении, полномочиях идеятельности государственных органов,органов местного самоуправления и организаций;об использовании бюджетных средств(за исключением сведений, составляющих государственнуюили служебную тайну); • информации о состоянии окружающей среды; • информации, накапливаемой в открытых фондах библиотек,музеев и архивов, а также в государственных,муниципальных и иных информационных системах,созданных или предназначенных для обеспечения граждан(физических лиц) и организаций такой информацией. Об информации, информационных технологиях и о защите информации Федеральный Закон № 149-ФЗ от 27 июля 2006 года
Информация ограниченного доступа Сведения, составляющие государственную тайну Конфиденциальнаяинформация Персональные данные Сведения, связанные спрофессиональнойдеятельностью Сведения, составляющие коммерческую тайну
Государственная тайна - защищаемые государством сведенияв области его военной, внешнеполитической,экономической, разведывательной,контрразведывательной иоперативно-розыскной деятельности,распространение которых может нанести ущерббезопасности Российской Федерации Перечень сведений, составляющих государственную тайну, -совокупность категорий сведений, в соответствии с которымисведения относятся к государственной тайне и засекречиваютсяна основаниях и в порядке, установленныхфедеральным законодательством. ЗАКОН РФ «О Государственной тайне» N 5485-1 от 21 июля 1993 года
Конфиденциальная информация • Сведения о фактах, событиях и обстоятельствахчастной жизни гражданина,позволяющие идентифицировать его личность(персональные данные) • Сведения, связанные с профессиональнойдеятельностью, доступ к которым ограниченв соответствии с Конституцией РФ ифедеральными законами(врачебная, нотариальная, адвокатская тайна,тайна переписки, телефонных переговоров,почтовых отправлений, телеграфных или иныхсообщений и так далее) • Сведения, связанные с коммерческой деятельностью,доступ к которым ограничен в соответствии сГражданским кодексом РФ и федеральными законами(коммерческая тайна) Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» №188 от 6 марта 1997 г.
Федеральный Закон «О персональных данных» № 152-ФЗ от 27 июля 2006 года Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
Федеральный Закон «О персональных данных» № 152-ФЗ от 27 июля 2006 года Статья 6. Условия обработки персональных данных 1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных Статья 10. Специальные категории персональных данных • 1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи
Федеральный Закон «О персональных данных» № 152-ФЗ от 27 июля 2006 года Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных 1. Субъект персональных данных… дает согласие на их обработку… за исключением случаев, предусмотренных частью 2 настоящей статьи… 2. Настоящим Федеральным законом… предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. 4. …обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных; 3) цель обработки персональных данных; 4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; 5) перечень действий с персональными данными, на совершение которых дается согласие…; 6) срок, в течение которого действует согласие, а также порядок его отзыва.
СОГЛАСИЕ на обработку персональных данных Я, нижеподписавшийся _Ф.И.О. полностью_, проживающий по адресу _по месту регистрации_, паспорт _серия и номер_, выдан _дата_ _название выдавшего органа_, в соответствии с требованиями статьи 9 федерального закона от 27.07.06 г. «О персональных данных» № 152-ФЗ, подтверждаю свое согласие на обработку _название и адрес медицинского учреждения_ (далее – Оператор) моих персональных данных, включающих: фамилию, имя, отчество, пол, дату рождения, адрес проживания, контактный телефон, реквизиты полиса ОМС (ДМС), страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), данные о состоянии моего здоровья, заболеваниях, случаях обращения за медицинской помощью, – в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну. В процессе оказания Оператором мне медицинской помощи я предоставляю право медицинским работникам, передавать мои персональные данные, содержащие сведения, составляющие врачебную тайну, другим должностным лицам Оператора, в интересах моего обследования и лечения. Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов) по ОМС (договором ДМС). Оператор имеет право во исполнение своих обязательств по работе в системе ОМС (по договору ДМС) на обмен (прием и передачу) моими персональными данными со страховой медицинской организацией _название_ [и территориальным фондом ОМС] с использованием машинных носителей или по каналам связи, с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, при условии, что их прием и обработка будут осуществляется лицом, обязанным сохранять профессиональную тайну. Срок хранения моих персональных данных соответствует сроку хранения первичных медицинских документов и составляет двадцать пять лет (для стационара, пять лет – для поликлиники). Передача моих персональных данных иным лицам или иное их разглашение может осуществляться только с моего письменного согласия. Настоящее согласие дано мной _дата_ и действует бессрочно. Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора. В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных, Оператор обязан прекратить их обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате оказанной мне до этого медицинской помощи. Контактный телефон(ы) _________ и почтовый адрес _________ Подпись субъекта персональных данных __________
Статья 16. Защита информации 4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: 1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; 2) своевременное обнаружение фактов несанкционированного доступа к информации; 3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; 4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; 6) контроль за обеспечением уровня защищенности информации. «Об информации, информационных технологиях и о защите информации» Федеральный Закон № 149-ФЗ от 27 июля 2006 года
Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации 1. Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством РФ. 2. Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправеобратиться…за судебной защитой своих прав, в том числес исками о возмещении убытков,компенсации морального вреда,защите чести, достоинства и деловойрепутации. «Об информации, информационных технологиях и о защите информации» Федеральный Закон № 149-ФЗ от 27 июля 2006 года
Под информационными системами персональных данных понимается совокупность: • персональных данных, содержащихся в базах данных; • информационных технологий; • технических средств, позволяющих осуществлять обработку таких персональных данных: • средства вычислительной техники; • информационно-вычислительные комплексы и сети; • средства и системы передачи, приема и обработки персональных данных: • средства и системы звукозаписи, звукоусиления,звуковоспроизведения, переговорные и телевизионныеустройства; • средства изготовления, тиражирования документов; • другие технические средства обработки речевой, графической,видео- и буквенно-цифровой информации; • программные средства: • операционные системы, • системы управления базами данных и т.п.; • средства защиты информации, применяемые винформационных системах. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».Утверждено Постановлением Правительства РФ № 781 от 17 ноября 2007 г.
Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы,считается осуществленной без использования средств автоматизации (неавтоматизированной),если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данныхв отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
Федеральный Закон «О персональных данных» № 152-ФЗ от 27 июля 2006 года Статья 22. Уведомление об обработке персональных данных 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. 2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: 1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения; 2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных…; 4) являющихся общедоступными персональными данными;… 5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;… 8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
УВЕДОМЛЕНИЕ об обработке (о намерении осуществлять обработку) персональных данных ___________________________________________________________________ (наименование (фамилия, имя, отчество), адрес оператора) руководствуясь ____________________________________________________________ (правовое основание обработки персональных данных) с целью ___________________________________________________________________ (цель обработки персональных данных) осуществляет обработку: ___________________________________________________ (категории персональных данных) ___________________________________________________________________________ принадлежащих: ____________________________________________________________ (категории субъектов, персональные данные которых ___________________________________________________________________________ обрабатываются) Обработка вышеуказанных персональных данных будет осуществляться путем ___________________________________________________________________________ (перечень действий с персональными данными, общее описание ___________________________________________________________________________ используемых оператором способов обработки персональных данных) ___________________________________________________________________________ (описание мер, которые оператор обязуется осуществлять при обработке ___________________________________________________________________________ персональных данных, по обеспечению безопасности персональных данных при их обработке) Дата начала обработки персональных данных: ____________________________ Срок или условие прекращения обработки персональных данных: ___________ ___________________________________________________________________________ _______________ ___________________________ (должность) (подпись) расшифровка подписи "__" _____________ 200_ г. Приказ Россвязькомнадзора«Об утверждении образца формы уведомления об обработке персональных данных» от 17 июля 2008 г. № 08
Реестр - перечень, список операторов, осуществляющих обработку персональных данных; Ведение реестра операторов - деятельность Службы, включающая сбор, фиксацию, обработку, хранение и предоставление данных, составляющих систему ведения реестра операторов, осуществляющих обработку персональных данных; Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных; Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Приказ Россвязьохранкультуры «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных»от 28.03.2008 N 154
Фатальная дата: О персональных данныхФедеральный Закон № 152-ФЗот 27 июля 2006 года Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ Статья 25. Заключительные положения 3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.
Фатальная дата: О персональных данныхФедеральный Закон № 152-ФЗот 27 июля 2006 года Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ Статья 25. Заключительные положения 3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года. (в ред. Федеральных законов № 266-ФЗ от 25.11.2009 и № 363-ФЗ от 27.12.2009)
Фатальная дата: О персональных данныхФедеральный Закон № 152-ФЗот 27 июля 2006 года Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ Статья 25. Заключительные положения 3. Информационные системы персональных данных,созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года. (в ред. Федерального закона № 359-ФЗ от 23.12.2010)
Фатальная дата: О персональных данныхФедеральный Закон № 152-ФЗот 27 июля 2006 года Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ Статья 25. Заключительные положения 3. Утратил силу. - Федеральный закон от 25.07.2011 N 261-ФЗ.
Информационная безопасность должна обеспечивать сохранность информации и предотвращать: • утрату, • блокирование, • искажение, • подделку, • несанкционированный доступ • (не связанный с выполнением • функциональных обязанностей • и не оформленный документально); • хищение • (несанкционированное копирование) • информации.
Что где «протекает» • Утечка базы Госкомстата, содержащая результаты всероссийской переписи населения 2002 года • Утечка данных из Центробанка РФ о платежах через расчетно- • кассовые центры ЦБ за второй и третий кварталы 2004 года. • Утечка данных из Центробанка РФ о платежах через расчетно- • кассовые центры ЦБ за четвертый квартал 2004 года. • Утечка 40 млн. записей о владельцах кредитных карт в 2004 году. Большая часть записей приходилась на MasterCard и Visa, но пострадали и владельцы карт American Express и Discover. • Утеря компанией CitiFinancial ленты с незашифрованной информацией о 3,9 млн. клиентов • В ноябре 2005 года в продаже появилась база с налоговымидекларациями почти 10 млн. москвичей за 2004 год. • Весной 2006 года в Интернете принимались заказы на базу данныхмосковской паспортно-визовой службы с паспортными данными 16,5 млн. бывших и нынешних жителей столицы
Департамент образования Вирджинии потерял флэшкус данными 100 тыс. студентов Как стало известно WashingtonPost, свыше 100 тыс. джентльмен находятся под угрозой кражи личности. Причиной инцидента стала утрата 2-гигабайтной флэшки с базой данных Департамента образования Вирджинии 20 октября 2009. Число пострадавших могло быть ещё больше, при всем при том выборка ограничивалась, преимущественно, студентами-выпускниками штата за 2007-2009 гг., говорится в сообщении компании Perimetrix. Данные на флэшке планировалось передать родственной организации для проведения исследований по федеральному заказу. Как заявил агент Департамента образования Чарльз Пайл (Charles B. Pyle), передача незашифрованных данных на флэш-накопителе противоречит политике организации. Ему вторит и начальник Департамента образования Патрисия Райт. По ее словам, в организации вопросам конфиденциальности уделяют самое пристальное внимание, разработаны соответствующие политики, и все-таки никакая политика не поможет в случае человеческой ошибки.
В США украдены данные 3 300 000 студентов-заемщиков Некоммерческая организация ECMC, помогающая студентам обслуживать кредиты на образование, сообщила о краже из ее штаб-квартиры сведений о 3,3 миллиона заемщиков. Информация, находившаяся на съемном носителе, была украдена в промежуток с 20 по 21 марта. ECMC берет на себя обслуживание долгов студентов в том случае, когда они признаются банкротами. Эта организация является официальным гарантом займов подобного рода в штатах Виржиния, Орегон и Коннектикут. По официальным данным, украденный накопитель содержал сведения об именах, местах проживания, датах рождения и номерах социальных карт студентов-заемщиков. В ближайшее время всем потенциальным жертвам утечки будут разосланы соответствующие уведомления, помимо этого им предложат бесплатно воспользоваться услугами агентства Experian по финансовому мониторингу.
Важнейший принципобеспечения информационной безопасности: «Принцип враждебности окружения»
Защищенная система отличается от всех прочих в первую очередь тем, что рассматривает проблему обеспечения безопасности информационных систем как лежащую на стыке двух направлений: общей безопасностии автоматизации обработки информации. • Вход в компьютер ив ЛВС • Вход винформационнуюсистему • Система разграничения доступа и слежения • Въезд натерриторию • Вход в здание • Внутренняя система разграничения доступа и слежения
Государственная техническая комиссия при Президенте Российской Федерации создана Указом Президента Российской Федерации от 5 января 1992 года № 9 с задачами проведения единой технической политики, организации и контроля работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности. Гостехкомиссия России является федеральным органом исполнительной власти, осуществляющим межотраслевую координацию и функциональное регулирование деятельности по обеспечению защиты информации, содержащей сведения, составляющие государственную или служебную тайну, от ее утечки по техническим каналам, от несанкционированного доступа к ней, от специальных воздействий на информацию и по противодействию техническим средствам разведки на территории Российской Федерации. Указом Президента Российской Федерации от 16 августа 2004 года N 1085 Гостехкомиссия преобразована в Федеральную службупо техническому и экспортному контролю
АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ. КЛАССИФИКАЦИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ (АС) И ТРЕБОВАНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ Гостехкомиссия России, 1997 Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности Классы Б, А Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности Классы Б, А Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС Классы Д, Г, В, Б, А
ИС здравоохранения должны иметь средства защиты информации от несанкционированного доступа в соответствии с руководящим документом (РД) Гостехкомиссии при Президенте РФ «Классификация автоматизированных систем и требования по защите информации», 1997 г. В зависимости от уровня конфиденциальности информации, подлежащей защите от несанкционированного доступа, класс ИС должен быть выбран из 1Д, 1Г, 1В, 1Б, 1А указанного РД Гостехкомиссии. Стандарт организации СТО МОСЗ 91500.16.0002-2004 «Информационные системы в здравоохранении. Общие требования»(Дата введения – 1 июля 2004 г.)
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России «Об утверждении Порядка проведения классификации информационных систем персональных данных»от 13 февраля 2008 г. № 55/86/20
Классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных(операторами персональных данных). Приказ ФСТЭК России, ФСБ России, Мининформсвязи России «Об утверждении Порядка проведения классификации информационных систем персональных данных» от 13 февраля 2008 г. № 55/86/20
По характеристикам безопасности персональных данных, обрабатываемых в информационной системе, они подразделяются на: • типовыеинформационные системы – информационные системы, в которых требуется обеспечениетолько конфиденциальности персональных данных. • специальныеинформационные системы – информационныесистемы, в которых вне зависимости от необходимостиобеспечения конфиденциальности персональных данныхтребуется обеспечить хотя бы одну из характеристик безопасности персональных данных,отличную от конфиденциальности(защищенность от уничтожения, изменения, блокирования,а также иных несанкционированных действий). Приказ ФСТЭК России, ФСБ России, Мининформсвязи России «Об утверждении Порядка проведения классификации информационных систем персональных данных» от 13 февраля 2008 г. № 55/86/20
К специальным информационным системам относятся: • информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных; • информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. Приказ ФСТЭК России, ФСБ России, Мининформсвязи России «Об утверждении Порядка проведения классификации информационных систем персональных данных» от 13 февраля 2008 г. № 55/86/20
Класс типовой ИСПДн определяетсяна основе категории (Хпдн) иобъема (Хнпд) обрабатываемых ПДн
КатегорияПДн, подлежащих защите (Xнпд) определяется из числа следующих: • категория 1 ‑ персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; • категория 2 ‑ персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; • категория 3 ‑ персональные данные, позволяющие идентифицировать субъекта персональных данных; • категория 4 ‑ обезличенные и (или) общедоступные персональные данные. Приказ ФСТЭК России, ФСБ России, Мининформсвязи России «Об утверждении Порядка проведения классификации информационных систем персональных данных» от 13 февраля 2008 г. № 55/86/20
КатегорияПДн, подлежащих защите (Xнпд) определяется из числа следующих: • категория 4 ‑ обезличенные и (или) общедоступные персональные данные. • категория 3 ‑ персональные данные, позволяющие идентифицировать субъекта персональных данных; • категория 2 ‑ персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; • категория 1 ‑ персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; Приказ ФСТЭК России, ФСБ России, Мининформсвязи России «Об утверждении Порядка проведения классификации информационных систем персональных данных» от 13 февраля 2008 г. № 55/86/20
категория 4 ‑ Фамилия, Имя, Отчество • категория 3 ‑ адрес места жительства (прописки), сведения о месте работы или учебы • категория 2 ‑ табельный номер, ИНН, СНИЛС • категория 1 ‑ медицинские данные
По объему обрабатываемых ПДн (Xпд) различают: в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов ПДн илиПДн субъектов персональных данных в пределах субъекта РФ или РФ; в информационной системе одновременно обрабатываютсяПДн от 1000 до 100 000 субъектов ПДн или ПДн субъектов ПДн, работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования; в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов ПДн или ПДн субъектов ПДн пределах конкретной организации. Приказ ФСТЭК России, ФСБ России, Мининформсвязи России «Об утверждении Порядка проведения классификации информационных систем персональных данных» от 13 февраля 2008 г. № 55/86/20
На основе категории (Хпдн) и объема (Хнпд)обрабатываемых ПДн класс типовой ИСПДнопределяется в соответствии со следующей таблицей: Приказ ФСТЭК России, ФСБ России, Мининформсвязи России «Об утверждении Порядка проведения классификации информационных систем персональных данных» от 13 февраля 2008 г. № 55/86/20
Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Приказ ФСТЭК России, ФСБ России, Мининформсвязи России «Об утверждении Порядка проведения классификации информационных систем персональных данных» от 13 февраля 2008 г. № 55/86/20
Руководящие документы ФСТЭК России: • Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (14 февраля 2008 г). • Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных(15 февраля 2008 г). • Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (15 февраля 2008 г). • Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных(15 февраля 2008 г).
Руководящие документы ФСТЭК России: • Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (14 февраля 2008 г). ДСП ДСП ДСП ДСП • Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных(15 февраля 2008 г). • Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (15 февраля 2008 г). • Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных(15 февраля 2008 г).
Руководящие документы ФСТЭК России: СНЯТ11.11.2009 • Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (14 февраля 2008 г). ДСП ДСП ДСП ДСП СНЯТ ЧАСТИЧНО11.11.2009 • Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных(15 февраля 2008 г). СНЯТ11.11.2009 • Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (15 февраля 2008 г). СНЯТ11.11.2009 • Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных(15 февраля 2008 г).
Руководящие документы ФСТЭК России: СНЯТ11.11.2009 • Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (14 февраля 2008 г). ДСП ДСП ДСП ДСП СНЯТ ЧАСТИЧНО11.11.2009 • Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных(15 февраля 2008 г). СНЯТ11.11.2009 • Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (15 февраля 2008 г). Положение о методах и способах защиты информации в информационных системах персональных данных(утверждено Приказом ФСТЭК России № 58 от 5 февраля 2010 г.) СНЯТ11.11.2009 • Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных(15 февраля 2008 г).