Научная статья на тему 'Порядок проведения классификации информационных систем персональных данных'

Порядок проведения классификации информационных систем персональных данных Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
1150
125
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННАЯ СИСТЕМА / ПЕРСОНАЛЬНЫЕ ДАННЫЕ / КЛАССИФИКАЦИЯ ИНФОРМАЦИОННЫХ СИСТЕМ / КАТЕГОРИЯ / ОБЪЕМ / КЛАСС / INFORMATION SYSTEM / PERSONAL DATA / CLASSIFICATION OF INFORMATION SYSTEMS / CATEGORY / AMOUNT / CLASS

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Чечуга Ольга Владимировна, Корелина Валерия Дмитриевна

Рассмотрена актуальная схема проведения классификации информационных систем, приведенная в совместном приказе ФСТЭК РФ, ФСБ РФ и Мининформсвязи РФ №55/86/20 от 18.09.2009 «Об утверждении порядка проведения классификации информационных систем персональных данных».

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Чечуга Ольга Владимировна, Корелина Валерия Дмитриевна

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

PROCEDURE FOR THE CLASSIFICATION OF PERSONAL DATA SYSTEMS

The article considers the current scheme of classification information systems of personal data contained in the joint resolution of Federal Agency for Technical and Export Control, Federal Security Service and Ministry of Communications of Russian Federation on 18.09.2009 resolution № 55/86/20 "On Approval of the classification of personal data information systems."

Текст научной работы на тему «Порядок проведения классификации информационных систем персональных данных»

To improve the mixing of ink proposed passive activator. Presents a model of the flow of ink in the area between the rod and cylinder, based on the model of a residual liquid. The mathematical model constructed using the theory of conformal mappings and allows you to visually assess for ink.

Key words: ideal liquid, inking unit, passive activator, mixing ink.

Litunov Sergey Nikolaevich, doctor of technical science, professor, Russia, Omsk, Omsk State Technical University,

Timoshchenko Olga Alexandrovna, postgraduate, fabiah@mail. ru, Russia, Omsk, Omsk State Technical University

УДК: 004.62

ПОРЯДОК ПРОВЕДЕНИЯ КЛАССИФИКАЦИИ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ

О.В. Чечуга, В. Д. Корелина

Рассмотрена актуальная схема проведения классификации информационных систем,, приведенная в совместном приказе ФСТЭК РФ, ФСБ РФ и Мининформсвязи РФ №55/86/20 от 18.09.2009 «Об утверждении порядка проведения классификации информационных систем персональных данных».

Ключевые слова: информационная система, персональные данные, классификация информационных систем, категория, объем, класс.

Государственные и муниципальные органы, юридические и физические лица, организующие и (или) осуществляющие обработку персональных данных в информационных системах, а также определяющие цели и содержание такой обработки, обязаны классифицировать соответствующие информационные системы в зависимости от объема обрабатываемых персональных данных и угроз безопасности жизненно важных интересов личности, общества и государства.

Информационные системы персональных данных (ИСПДн) нуждаются в классификации для упрощения выбора средств защиты, создания системы безопасности подходящей каждому конкретному случаю, реализующей не превышающий (что позволяет существенно экономить владельцу данных) и достаточный (максимально возможно снижен уровень угрозы) уровень защиты.

Чтобы пояснить порядок классификации, необходимо сначала определиться с понятием ИСПДн. Она представляет собой совокупность персональных данных (ПДн) и технических средств и технологий, позволяющих обрабатывать базы данных с соответствующей информацией.

Юридически порядок проведения классификации описан и закреп-

лен в совместном приказе ФСТЭК РФ, ФСБ РФ и Мининформсвязи РФ №55/86/20 от 18.09.2009 «Об утверждении порядка проведения классификации информационных систем персональных данных» [2].

Чтобы определить класс защищенности, оператору необходимо провести сбор и анализ сведений об ИСПДн.

На определение класса защищенности влияют:

- уровень значимости защищаемой информации (категория);

- масштаб (объем) ИСПДн;

- возможный ущерб от реализации угрозы по трем основным свойствам защищаемой информации (конфиденциальность, целостность, доступность)^].

После сбора информации об ИСПДн идет ее анализ, обработка и непосредственно присвоение класса.

I. Определение категории обрабатываемых персональных данных.

Категории обрабатываемой информации так же описаны в приказе «Об утверждении порядка проведения классификации информационных систем персональных данных».

Вид информации и её категории представлены в табл. 1.

Таблица 1

Соответствие персональных данных и класса защищенности

Класс защищенности Категории обрабатываемых персональных данных Примеры

Категория 1 персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни - амбулаторная карта; - медицинские заключения; - кадровый учет (содержит графу национальность) и т.д.

Категория 2 персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию - ФИО и место работы; - ФИО и место рождения; - ФИО и информация о членах семьи и т.д.

Категория 3 персональные данные, позволяющие идентифицировать субъекта персональных данных - паспортные данные; - ФИО и дата рождения; - ФИО и должность - ФИО и фотография и т.д.

Категория 4 Обезличенные и общедоступные данные Определяются частным образом и с согласия (письменного) субъекта. К ней можно отнести информации. их адресных и телефонных книг, абонентский номер и иные персональные данные

Такая градация достаточно условна. Что касается категорий 1-3, то отнесение данных к той или иной должно производиться с учетом среды ее применения. Так в заранее обозначенной группе лиц гораздо легче идентифицировать нужного человека: иногда достаточного одного имени, чтобы получить доступ к дополнительным сведениям. Можно привести пример и обратной ситуации, когда есть сведения о здоровье человека, но неизвестны ФИО - такую информацию нельзя причислять к Категории 1 до появления новых сведений о субъекте.

Что касается категории 4, то субъект, которому напрямую принадлежат персональные данные сам в праве выкладывать их в общий доступ. Ярким примером могут послужить, получившие широкое распространение социальные сети, где в общем доступе лежит информация, которую можно было бы отнести к любому более высокому классу защищенности.

II. Определение объема обрабатываемых персональных данных.

Приказ [2] выделяет 3 категории объема:

- Объем 1. Одновременно обрабатываются ПДн более чем 100 000 субъектов или ПДн в пределах субъекта РФ или РФ в целом;

- Объем 2. Одновременно обрабатываются ПДн от 1000 до 100 000 субъектов или ПДн субъектов, работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования;

- Объем 3. Одновременно обрабатываются ПДн менее чем 1000 субъектов или ПДн субъектов в пределах конкретной организации.

III. Определение класса защищенности персональных данных

По результатам анализа исходных данных определяется класс ИСПДн на основе модели угроз безопасности персональных данных, по методическим документам, разрабатываемыми в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных". [3]

Приказ №55/86/20 разделяет 4 класса защищенности персональных данных информационной системы: К1, К2, К3, К4. Требования по защите информации, соответствующей тому или иному классу становятся тем строже, чем ниже класс присвоен рассматриваемой ИСПДн. Иными словами, класс К1 присваивается к ИСПДн, имеющей более высокий уровень значимости, а К4 - более низкий [4]:

- Класс 1 (К1) - значительно негативные последствия при нарушении заданной характеристики безопасности;

- Класс 2 (К2) - негативные последствия;

- Класс 3 (К3) - незначительные негативные последствия;

- Класс 4 (К4) - без негативных последствий.

Класс защищенности определяется результатами, закрепленными в

акте оператора, в качестве которого могут выступать государственные и муниципальные органы, юридические и физические лица организующие и/или осуществляющие обработку персональных данных, а также определяющие цели и содержание их обработки. [2]

В Таблице 2 приведен порядок присвоения класса защищенности исходя из категории и объема обрабатываемых данных.

Таблица 2

Порядок проведения классификации ИСПДн

Категория\Объем Объем 1 Объем 2 Объем 3

Категория 1 К1 К1 К1

Категория 2 К1 К2 КЗ

Категория 3 К2 КЗ КЗ

Категория 4 К4 К4 К4

Стоит отметить, что классифицироваться система может не только, как единое целое, но и частями, причем каждой из составных частей (подсистем) ИСПДн может присваиваться разный класс.

Закон предусматривает перерассмотрение класса защищенности в случаях внесения изменений в ИСПДн и ее подсистем, по решению правообладателя или оператора.

Список литературы

1. Федеральный закон от 27.07.06 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

2. Приказ ФСТЭК РФ, ФСБ РФ, Мининформсвязи РФ №55/86/20 от 18.09.2009 «Об утверждении порядка проведения классификации информационных систем персональных данных».

3. Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".

Чечуга Ольга Владимировна, канд. техн. наук, доц., зам. зав. кафедрой, Россия, Тула, Тульский государственный университет,

Корелина Валерия Дмитриевна, студент, Россия, Тула, Тульский государственный университет

PROCEDURE FOR THE CLASSIFICATION OF PERSONAL DATA SYSTEMS

O.V. Chechuga, V.D. Korelina

The article considers the current scheme of classification information systems of personal data contained in the joint resolution of Federal Agency for Technical and Export Control, Federal Security Service and Ministry of Communications of Russian Federation on 18.09.2009 resolution № 55/86/20 "On Approval of the classification of personal data information systems."

Key words: information system, personal data, classification of information systems, category, amount, class

Chechuga Olga Vladimirovna, candidate of technical science, alternate manager of department, Russia, Tula, Tula State University,

Korelina Valeriya Dmitrievna, student, Russia, Tula, Tula State University

УДК 778.14

СОВРЕМЕННЫЕ ПОДХОДЫ К ОБЕСПЕЧЕНИЮ ГАРАНТИРОВАННОЙ БЕЗОПАСНОСТИ ВАЖНЕЙШИХ ВИДОВ ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ РЕСУРСОВ

О.В. Чечуга, Е.Е.Евсеев, П.Е. Завалишин

Приводится описание традиционных и современных подходов к созданию информационных ресурсов важнейших видов документации, рассматриваются достоинства и недостатки существующих видов носителей информации, описываются методы долгосрочного архивирования традиционных и электронных документов.

Ключевые слова: важнейшие информационные ресурсы, документированная информация, долгосрочное хранение цифровой информации, страховой фонд документации.

Увеличение роли информации, знаний и информационных технологий в жизни современного общества является одним из важнейших показателей прогрессивного развития человеческой цивилизации. Информация становится ключевым фактором в политике, культуре и экономике, выступает в качестве одной из главных основ поступательного развития государства и общества.

В ряду основных свойств информации выделяют фиксируемость, что позволяет осуществлять ее создание, прием, передачу, хранение и использование на различных материальных носителях, неустойчивость, что выражается в неразрывной связи зафиксированной информации с материальными носителями, которые со временем могут деградировать, разрушаться и изнашиваться, а также транслируемость, т.е. возможность передачи с одного носителя на другой [1].

189

i Надоели баннеры? Вы всегда можете отключить рекламу.