Информационная безопасность
<<  Безопасность персональных данных Информационная безопасность  >>
Методология определения класса ИСПДн
Методология определения класса ИСПДн
Этапы проведения классификации
Этапы проведения классификации
Исходные данные
Исходные данные
Категории персональных данных
Категории персональных данных
Законодательство
Законодательство
Персональные данные
Персональные данные
Биометрические персональные данные
Биометрические персональные данные
Персональные данные субъектов
Персональные данные субъектов
Типы информационных систем
Типы информационных систем
Структура информационных систем
Структура информационных систем
Технические средства
Технические средства
Классы информационных систем
Классы информационных систем
Таблица для определения класса
Таблица для определения класса
Таблица-подсказка
Таблица-подсказка
Результаты классификации информационных систем
Результаты классификации информационных систем
Презентация «Класс ИСПДн». Размер 99 КБ. Автор: ЮРИЙ.

Класс ИСПДн

содержание презентации «Класс ИСПДн.PPTX»
СлайдТекст
1 Методология определения класса ИСПДн

Методология определения класса ИСПДн

Методология определения класса ИСПДн. Классификация информационных систем персональных данных.

2 Этапы проведения классификации

Этапы проведения классификации

Этапы проведения классификации. Сбор и анализ исходных данных по информационной системе; присвоение информационной системе соответствующего класса и документальное его оформление.

3 Исходные данные

Исходные данные

Исходные данные. КАТЕГОРИЯ ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ДАННЫХ - ХПД; ОБЪЁМ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ (КОЛИЧЕСТВО СУБЪЕКТОВ ПДн, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ В ИНФОРМАЦИОННОЙ СИСТЕМЕ – ХНПД; ЗАДАНИЕ ОПЕРАТОРОМ ХАРАКТЕРИСТИКИ БЕЗОПАСНОСТИ ПЕРСО- НАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ; СТРУКТУРА ИНФОРМАЦИОННОЙ СИСТЕМЫ; НАЛИЧИЕ ПОДКЛЮЧЕНИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ К СЕТЯМ ОБЩЕГО ПОЛЬЗОВАНИЯ И (ИЛИ) СЕТЯМ МЕЖДУНАРОДНОГО ИНФОРМАЦИОННОГО ОБМЕНА; РЕЖИМ ОБРАБОТКИ ПДн; РЕЖИМ РАЗГРАНИЧЕНИЯ ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ; МЕСТОНАХОЖДЕНИЕ ТЕХНИЧЕСКИХ СРЕДСТВ ИСПДн.

4 Категории персональных данных

Категории персональных данных

Категории персональных данных. КАТЕГОРИЯ 1 - ПЕРСОНАЛЬНЫЕ ДАННЫЕ, КАСАЮЩИЕСЯ РАСОВОЙ, НАЦИОНАЛЬНОЙ ПРИНАДЛЕЖНОСТИ, ПОЛИТИЧЕСКИХ ВЗГЛЯДОВ, РЕЛИГИОЗНЫХ И ФИЛОСОФСКИХ УБЕЖДЕНИЙ, СОСТОЯНИЯ ЗДОРОВЬЯ, ИНТИМНОЙ ЖИЗНИ. КАТЕГОРИЯ 2 - ПЕРСОНАЛЬНЫЕ ДАННЫЕ, ПОЗВОЛЯЮЩИЕ ИДЕНТИФИЦИ- РОВАТЬ СУБЪЕКТА ПДн И ПОЛУЧИТЬ О НЁМ ДОПОЛНИ- ТЕЛЬНУЮ ИНФОРМАЦИЮ, ЗА ИСКЛЮЧЕНИЕМ ПДн, ОТНО- СЯЩИХСЯ К КАТЕГОРИИ 1. КАТЕГОРИЯ 3 - ПЕРСОНАЛЬНЫЕ ДАННЫЕ, ПОЗВОЛЯЮЩИЕ ИДЕНТИФИЦИ- РОВАТЬ СУБЪЕКТА ПДн. КАТЕГОРИЯ 4 – ОБЕЗЛИЧЕННЫЕ И (ИЛИ) ОБЩЕДОСТУПНЫЕ ПДн.

5 Законодательство

Законодательство

Категории персональных данных. Законодательство определяет различные категории персональных данных: общедоступные, специальные категории ПДн, категории ПДн, обрабатываемые в информационных системах ПДн, биометрические ПДн и другие. ОБЩЕДОСТУПНЫЕ ПДн Данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПДн или которые в соответствии федеральными законами не распространяются требования соблюдения конфиденциальности (фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн. Источниками такой информации являются справочники, адресные книги и т.п.). Такие сведения могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.

6 Персональные данные

Персональные данные

Категории персональных данных. К специальным категориям относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях: субъект ПДн дал согласие в письменной форме на обработку своих персональных данных; персональные данные являются общедоступными; персональные данные относятся к состоянию здоровья субъекта ПДн и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну; обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПДн; обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации или необходима в связи с осуществлением правосудия.

7 Биометрические персональные данные

Биометрические персональные данные

Категории персональных данных. Биометрические персональные данные (аутентификация, опирающаяся на уникальные биологические показатели человека. К основным биометрическим идентификаторам относятся отпечатки пальцев, рукописные подписи, образцы голоса, результаты сканирования сетчатки и радужной оболочки глаза, формы ладони или черт лица) Биометрические персональные данные – это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Они могут обрабатываться только при наличии согласия в письменной форме субъекта ПДн.Обработка биометрических персональных данных без согласия субъекта ПДн может осуществляться в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, о государственной службе, о порядке выезда из РФ и въезда в Российскую Федерацию, уголовно-исполнительным законодательством. Исходя из определения биометрических ПДн, к ним относятся фотографии и видеоизображения субъектов ПДн. Это подтверждают и представители регуляторов, в частности Федеральной службы по техническому и экспортному контролю. Фотографии субъектов ПДн могут обрабатываться в пропускных системах и системах контроля доступа, видеоизображения – в системах видеонаблюдения и т.п.

8 Персональные данные субъектов

Персональные данные субъектов

ОБЪЁМ ПДн (значение Хнпд). 1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом; 2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; 3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

9 Типы информационных систем

Типы информационных систем

Типы информационных систем. информационные системы подразделяются на типовые и специальные информационные системы Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). К специальным информационным системам должны быть отнесены: информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных; информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

10 Структура информационных систем

Структура информационных систем

Структура информационных систем. По структуре информационные системы подразделяются на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места); на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы); на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

11 Технические средства

Технические средства

Другие исходные данные. ПО РАЗГРАНИЧЕНИЮ ПРАВ ДОСТУПА ПОДРАЗДЕЛЯЮТСЯ НА: БЕЗ РАГРАНИЧЕНИЯ ПРАВ ДОСТУПА С РАЗГРАНИЧЕНИЕМ ПРАВ ДОСТУПА В ЗАВИСИМОСТИ ОТ МЕСТОНАХОЖДЕНИЯ ПОДРАЗДЕЛЯЮТСЯ НА: все технические средства которых находятся в пределах Российской Федерации системы, технические средства которых частично или целиком находятся за пределами Российской Федерации. По наличию подключения подразделяются на: имеющие подключения не имеющие подключения по режиму обработки подразделяются на: однопользовательские многопользовательские.

12 Классы информационных систем

Классы информационных систем

Классы информационных систем. По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов: класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных; класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

13 Таблица для определения класса

Таблица для определения класса

Таблица для определения класса. К4. К4. К4. К3. К3. К2. К3. К2. К1. К1. К1. К1. Х пд\Хнпд. 3. 2. 1. Категория 4. Категория 3. Категория 2. Категория 1.

14 Таблица-подсказка

Таблица-подсказка

Таблица-подсказка. К4. К4. К4. К3. К3. К2. К3. К2. К1. К1. К1. К1. Менее 1000 чел. От 1000 до 100000. Более 100000. Обезличенные ПДн. ФИО, адрес, дата рождения. Образование, финансы. Здоровье, любовь, вероисповедание.

15 Результаты классификации информационных систем

Результаты классификации информационных систем

Заключительный этап работы. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем. Результаты классификации информационных систем оформляются соответствующим актом оператора. Класс информационной системы может быть пересмотрен: по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы; по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.

«Класс ИСПДн»
Сайт

5informatika.net

115 тем