Акт определения уровня защищенности персональных данных бухгалтерия

Общие положения

В ходе работы комиссия установила: 1) категория персональных данных – иные; 2) обрабатываются персональных данных сотрудников оператора; 3) объем обрабатываемых персональных данных – менее 100000 субъектов персональных данных; 4) структура информационной системы: автономная ИС. 5) наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена: да; 6) режим обработки персональных данных: многопользовательский; 7) режим разграничения прав доступа пользователей информационной системы: с разграниченными правами доступа; 8) местонахождение технических средств: в пределах Российской Федерации; По результатам анализа исходных данных и модели определения угроз исходящих от НДВ в ПО ИСПДн, ИСПДн «Сотрудники» присваивается 4 уровень защищенности. Требования по защищенности для 4 уровня (согласно ПП №1119): — организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения — обеспечение сохранности носителей персональных данных — утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей — использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз Председатель: ________________подпись ___________________ФИО Члены комиссии: ________________подпись ___________________ФИО ________________подпись ___________________ФИО ________________подпись ___________________ФИО Стр 15 из 16 Соседние файлы в предмете

• 21.05.2015233.47 Кб
• 21.05.2015104.45 Кб
• 21.05.201583.67 Кб
• 21.05.201514.69 Mб
• 21.05.2015325.8 Кб
• 20.03.2016322.39 Кб
• 21.05.20156.84 Mб
• 21.05.2015476.61 Кб
• 21.05.2015172.72 Кб
• 21.05.2015542.82 Кб
• 21.05.20151.01 Mб

Для продолжения скачивания необходимо пройти капчу:

Защита персональных данных — из 2011 в 2013 или изменения длиной в два года

Бухгалтерский учет, налогообложение, отчетность, МСФО, анализ бухгалтерской информации, 1С:Бухгалтерия

23.09.2013 подписывайтесь на наш канал

Значимые поправки, внесенные в законодательство Российской Федерации о защите персональных данных, определили основные принципы обработки, хранения и защиты персональных данных субъектов.

Но только сейчас, в 2013 году требования к организации защиты персональных данных приобрели конкретный характер.

В статье И.А. Баймакова, эксперт фирмы «1С», анализирует действующие нормы законодательства по обеспечению безопасности персональных данных при их обработке в информационных системах, а также рассказывает о том, какие шаги были предприняты фирмой «1С», чтобы Защищенный программный комплекс «1С:Предприятие, версия 8.2z» соответствовал актуальным требованиям законодательства о защите персональных данных.

В мае 2016 года выпущен ЗПК «1С:Предприятие, версия 8.3z», ознакомиться с сертификатом можно по ссылке http://static.1c.ru/rus/products/serts/sert83.jpg.

Два года назад Федеральным законом были внесены существенные изменения в принципы организации защиты персональных данных (далее — ПДн). Однако во внесенных изменениях были заложены основные принципы, о которых было рассказано в статье «Защита персональных данных — изменения 2011» — см.

. На конкретизацию требований и переработку подзаконных актов понадобилось длительное время. В настоящее время основными подзаконными актами, определяющими требования к организации защиты ПДн, являются Постановление Правительства РФ

«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

(далее — ), пришедшее на смену Постановлению Правительства РФ от 17.11.2007 № 781, и приказ ФСТЭК России «Об утверждении Состава и содержания организационных и технических мер по безопасности персональных данных при их обработке в информационных системах персональных данных» (далее — ).

Приказ был зарегистрирован в Минюсте России 14.05.2013 (№ 28375) и пришел на смену приказу ФСТЭК России .

Проанализируем внесенные изменения.

Основной целью при организации защиты персональных данных является нейтрализация актуальных угроз в информационной системе (далее — ИС), определенных в соответствии с «О персональных данных» (далее — ). Напомним, что актуальные угрозы определяются с учетом содержания персональных данных, характера и способов их обработки. В соответствии с :

«Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия»

.

АКТ определения уровня защищённости информационной системы персональных данных ООО «ДМ»

1 УТВЕРЖДАЮ Генеральный Директор ООО «ДМ» Н. В. Иванова 20 г. М.П. (Московская область, г.

Жуковский, ул. Солнечная, дом 6, оф. 95) В соответствии с п. 5

«Требований к защите персональных данных при их обработке в информационных системах персональных данных»

(далее Требования), утверждённых постановлением Правительства от 1 ноября 2012 г. 1119, и Политикой в отношении обработки персональных данных информационная система ООО «ДМ» (далее Оператор) является информационной системой, обрабатывающей иные категории персональных данных, а также информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками Оператора.

Ответственный за организацию обработки персональных данных Иванова Н. В.2 УТВЕРЖДАЮ Генеральный Директор ООО «ДМ» Н. В. Иванова 20 г. М.П. АКТ оценки потенциального вреда субъектам персональных данных ООО «ДМ» (Московская область, г.

Жуковский, ул. Солнечная, дом 6, оф. 95) ООО «ДМ» (далее Оператор) производит оценку потенциального вреда субъектам персональных данных в соответствии c п. 5 ч. 1 ст Федерального закона от 27 июля 2006 г.

152-ФЗ «О персональных данных» и Политикой в отношении обработки персональных данных. Уровень вреда, который может быть причинен субъектам персональных данных в случае нарушения данного закона, оценивается как низкий в силу того, что Оператором не обрабатываются персональные данные, которые могут быть отнесены к специальным категориям персональных данных или которые являются биометрическими персональными данными.

Ответственный за организацию обработки персональных данных Иванова Н. В.3 УТВЕРЖДАЮ Генеральный Директор ООО «ДМ» Н.

В. Иванова М.П. ЖУРНАЛ регистрации фактов нарушения и восстановления работоспособности оборудования или ИСПДн ООО «ДМ» 4 п/п Наименование ИСПДн, описание нарушения работоспособности оборудования или ИСПДн Дата и время обнаружения начала нарушения работоспособности Выявленная причина нарушения работоспособности Дата и время восстановления работоспособности Сотрудник, проводивший восстановление работоспособности оборудования или ИСПДн Фамилия Подпись5 УТВЕРЖДАЮ Генеральный Директор ООО «ДМ» Н.

В. Иванова М.П. ЭЛЕКТРОННЫЙ ЖУРНАЛ УЧЁТА обращений субъектов персональных данных и их законных представителей6 п/п Дата обращения Номер, реквизиты входящего документа ФИО запрашивающего лица Цель обращения Действия по результатам обращения Подпись ответственного лица Примечание7 УТВЕРЖДАЮ Генеральный Директор ООО «ДМ» Н.

Об утверждении Акта определения уровня защищённости информационной системы персональных данных администрации Перемиловского сельского поселения

Администрация Перемиловского сельского поселения Шуйского муниципального района Ивановской области ПОСТАНОВЛЕНИЕ от 04.04.2018 г. № 69 А Во исполнение требований Федерального закона от 27.07.2006 № 152 «О персональных данных», постановления Правительства Российской Федерации от 01.11.2012 г.

№ 1119

«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

, постановления Правительства Российской Федерации от 15.09.2008 г. № 687

«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

, а также иных нормативных документов по защите информации, администрация Перемиловского сельского поселения постановляет: 1.

Утвердить Акт определения уровня защищённости информационной системы персональных данных администрации Перемиловского сельского поселения.2. Контроль за исполнением настоящего постановления оставляю за собой.3.

Настоящее постановление вступает в силу после его официального опубликования. Глава Перемиловскогосельского поселения А.Н.Зайчиков УТВЕРЖДЕНпостановлением администрацииПеремиловского сельского поселенияот 04.12.2018 № 69 А АКТопределения уровня защищённости информационной системыперсональных данных администрации Перемиловского сельского поселения Шуйского муниципального района Ивановской области В соответствии с п.

5

«Требований к защите персональных данных при их обработке в информационных системах персональных данных»

(далее — Требования), утверждённых постановлением Правительства от 1 ноября 2012 г. № 1119, и Политикой в отношении обработки персональных данных информационная система Администрация Перемиловского сельского поселения Шуйского муниципального района Ивановской области (далее — Оператор) является информационной системой, обрабатывающей иные категории персональных данных, а также информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками Оператора.В соответствии с пп.

6 и 7 Требований и Актом оценки потенциального вреда субъектам персональных данных для информационной системы Оператора актуальны угрозы безопасности персональных данных 3-го типа.С учётом того, что информационная система Оператора обрабатывает персональные данные менее чем 100 000 субъектов персональных данных, необходимо обеспечение 4-го уровня защищённости персональных данных при их обработке в информационной системе Оператора.

Глава Перемиловского сельского поселения _____________А.Н. Зайчиков Дата создания: 11-12-2018Дата последнего изменения: 11-12-2018

Методические рекомендации исполнительным органам государственной власти, городским округам и муниципальным районам Кемеровской области по организации защиты персональных данных Кемерово 2013 г

обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; обработка персональных данных без использования средств автоматизации (неавтоматизированная) — обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. 2. Основные условия проведения обработки персональных данных Обработка персональных данных осуществляется: — после получения согласия субъекта персональных данных, составленного по форме согласно приложению №1 к настоящему Положению, за исключением случаев, предусмотренных статьи 6 Федерального закона; — после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по городу Кемерово, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона; — после принятия необходимых мер по защите персональных данных.

В органе исполнительной власти и подведомственных им учреждениях приказом руководителя назначается сотрудник, ответственный за защиту персональных данных, и определяется перечень лиц, допущенных к обработке персональных данных.

3. Порядок определения защищаемой информации Орган исполнительной власти создает в пределах своих полномочий, установленных в соответствии с федеральными законами, городские ИСПДн, в целях обеспечения реализации прав объектов персональных данных. В органе исполнительной власти на основании «Перечня сведений конфиденциального характера», утвержденного Указом Президента Российской Федерации 6 марта 1997 года № 188, определяется и утверждается перечень сведений ограниченного доступа, не относящихся к государственной тайне (далее — конфиденциальной информации) и перечень информационных систем персональных данных.

Уровни защищенности персональных данных

Стр 1 из 15 Содержание 1 Нормативно-правовая база в области защиты персональных данных – перечень нормативно-правовых актов и методических документов.

2 2 Основные рекомендации. 5 2.1 Акт классификации ИСПДн.

6 2.2 Модель угроз ИСПДн. 9 2.3 Приказ о перечне ПДн. 12 2.4 Приказ о списке лиц допущенных к ПДн. 13 2.5 Приказ об обеспечении безопасности ПДн.

22 Приложение ПРИКАЗ О назначении администратора информационной безопасности в ЛПУ. 24 ПРИКАЗ О назначении ответственных за обезличивание персональных данных 26 ПРИКАЗ Об утверждении Положения об организации и проведении работ по обеспечению безопасности персональных данных обрабатываемых в информационных системах персональных данных и/или без использования средств автоматизации 28 ПРИКАЗ Об утверждении Положения об обработке персональных данных в ЛПУ 56 ПРИКАЗ Об определении границ контролируемой зоны.

62 ПРИКАЗ Об утверждении Правил рассмотрения запросов субъектов ПДн в ЛПУ 64 ПРИКАЗ Об утверждении формы согласия пациента на обработку ПДн в ЛПУ. 68 ПРИКАЗ Об утверждении формы согласия работника ЛПУ на обработку ПДн 71 ПРИКАЗ Об обеспечении выполнения требований по использованию. 73 и обслуживанию СКЗИ. 73 ПРИКАЗ О создании комиссии по классификации информационных систем персональных данных.

76 АКТ определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных (название ИСПДн) 77 Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных (название ИСПДн) 78 ПРАВИЛА осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных ЛПУ. 99 ПРИКАЗ О порядке обработки персональных данных без использования.

104 средств автоматизации. 104 ПРИКАЗ О создании комиссии по уничтожению персональных данных.

№ 1119

«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

.

1.4.Приказ ФСТЭК России от 18 февраля 2013 года № 21

«Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

. 1.5.Приказ ФСТЭК России от 11 февраля 2013 года № 17

Акт классификации ИСПДн

22.10.2013 Пример заполнения акта классификации информационной системы персональных данных, с учетом требований Постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119

«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

.

В связи с отменой приказа 55/86/20

«Об утверждении порядка проведения классификации ИСПДн»

мы разработали новый вместо акта классификации ИСПДн. УТВЕРЖДАЮ Генеральный Директор ЗАО «Компания-оператор ПДн» __________________ Фамилия И. О. «___» ____________ 2013 г.

АКТ № 1 классификации информационной системы персональных данных «Название ИСПДн» В соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012г.

№ 1119

«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

и Приказом Генерального директора ЗАО «Компания-оператор ПДн» от «___» ___________ № ____ комиссия в составе: председатель комиссии: должность Фамилия И.

О., члены комиссии: должность Фамилия И. О., должность Фамилия И. О., произвела сбор данных об информационной системе персональных данных и установила нижеследующее: 1) в информационной системе персональных данных (ИСПДн) обрабатываются персональные данные иных категорий персональных данных сотрудников оператора; 2) в ИСПДн одновременно обрабатываются персональные данные менее чем 100 000 субъектов персональных данных; 3) по структуре ИСПДн относится к локальной информационной системе, состоящей из нескольких из нескольких АРМ и серверов; 4) по наличию подключений к сетям международного информационного обмена (Интернет) информационная система относится к системам, не имеющим подключения; 5) по режиму обработки персональных данных в информационной системе ИСПДн относится к многопользовательским; 6) по разграничению прав доступа пользователей ИСПДн относится к системам с разграничением прав доступа; 7) в зависимости от местонахождения технических средств ИСПДн относится к системам, технические средства которых размещены в Российской Федерации; 8) речевая обработка сведений составляющих ПДн в информационной системе не осуществляется. 9) условие обработки персональных данных — для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.

В соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012г. № 1119

«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

и на основании анализа исходных данных информационной системе персональных данных «Название ИСПДн» установить уровень защищенности 4. председатель комиссии: Фамилия И.

О. _____________________ «___»_________ 2013 г члены комиссии: Фамилия И. О. _____________________ «___»_________ 2013 г. Фамилия И. О.

3 й уровень защищенности персональных данных.

Акт определения уровня защищенности пдн при их обработке в испдн

В данном посте хотелось бы осветить такой документ, как Акт определения уровня защищенности ПДн при их обработке в ИСПДн .

№ 55/86/20

«Об утверждении порядка проведения классификации информационных систем персональных данных»

, который и утверждает порядок классификации.

Но издан этот приказ в соответствии с пунктом 6 Постановления Правительства №781 от 17 ноября 2007 г., которое утратило силу в связи с выходом Постановления Правительства № 1119 от 1 ноября 2012.

Таким образом, приказ действующий, а вышестоящий документ – нет. В свою очередь в ПП 1119 нет привязки к категории ИСПДн, однако есть привязка к уровню защищенности персональных данных, который должен быть обеспечен при их обработке в ИСПДн.Итак начать нужно с названия документа:

«Акт определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных «**********»

Его я подсмотрел у Андрея Прозорова и оно меня целиком и полностью устроило. Надо отметить, что Андрей и по акту помог некоторыми комментариями, за что ему отдельное «Спасибо!» («Спасибо» лишним не бывает, Андрей улыбается;)).Определяем состав комиссии.

У меня в документе это реализовано таблицей, однако можно и текстом.

Как говорится, на вкус и цвет все фломастеры разные.После пишем, на основании какого документа мы определяем, какой уровень защищенности нам необходимо обеспечить. Естественно, это ПП 1119. Однако есть мнение, что т.к. приказ №55/86/20 еще не утратил силу, то указать желательно и его.

Привычка регулятора может сыграть злую шутку.

У меня текст следующий:

«Комиссия, рассмотрев исходные данные информационной системы персональных данных (ИСПДн) «********»

в соответствии с Постановлением Правительства Российской Федерации №1119 от 1 ноября 2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и учетом приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20

«Об утверждении порядка проведения классификации информационных систем персональных данных»

, определила:» Категории персональных данных, обрабатываемых в информационной системе . Здесь, согласно ПП 1119 у нас есть 4 варианта: иные, общедоступные, биометрические, специальные.

Также рекомендую по тексту расписать, что подразумевается под каждой категорией ПДн.Объём обрабатываемых персональных данных .

Здесь все просто, либо менее 100 000, либо более 100 000.Угрозы, актуальные для информационной системы . Опять таки, типы угроз расписаны в ПП 1119.

И также по тексту описываем, какие угрозы к какому типу относятся. Желательно описать, почему именно этот тип угроз, либо сослаться на модель угроз.Тип субъектов персональных данных, обрабатываемых в информационной системе .

Документы по персональным данным в организации

Последнее обновление: 27.02.2018 Ужесточились требования и штрафы в связи с изменениями к закону о защите персональных данных. Согласно этому закону, вся работа с персональной информацией в организации должна быть регламентирована, оформлена и приведена в соответствие.

Каждая организация или индивидуальный предприниматель будут проверяться на предмет соответствия их деятельности законодательству. В проверку войдут и подавшие информацию в Роскомнадзор и те, кто не подал еще.

Обеспечение безопасности персональных данных находится в компетенции четырех государственных структур: Правительство Российской Федерации, ФСБ, ФСТЭК (Федеральная служба по техническому и экспортному контролю) и Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций). Пакет документов и мероприятий по организации защиты персональных данных для любой организации очень большой, требует кропотливой работы и больших временных затрат. В среднем найм подрядчика по ведению этой деятельности, которая проведет полную подготовку Вашего предприятия к возможным проверкам обойдется Вам в 200 — 250 тыс.

рублей. Для крупных операторов персональных данных, таких как банки, операторы сотовой связи, кредитные и микрофинансовые орагнизации — это производственная необходимость, а среднему и небольшому бизнесу такие внеплановые затраты неудобны.

Есть вариант подготовить необходимый пакет документов, которые вас значительно обезопасят в случае проверки. Эти документы будут у вас храниться на случай внезапной выездной проверки или запроса, существенно снизят возможные штрафы и санкции, возможно, проверка ограничится указанными документами. В любом случае, этот комплект документов Вам необходим, если Вы:

1. собираете и храните данные паспортов Ваших клиентов,
2. кредитных карт,
3. электронных и почтовых адресов.
4. телефонных номеров,

Комплект документов с заполненными данными на Вашу оганизацию будет готов в течении 2-х рабочих дней и стоит всего 27 500 руб.

1. Акт определения уровня защищенности персональных данных 1С Бухгалтерия
2. Протокол определения ущерба Компании
3. Модель угроз Компании
4. Протокол определения ущерба 1С Бухгалтерия
5. Акт определения уровня защищенности персональных данных программного
6. Согласие на обработку персональных данных (кандидаты на работу)
7. Модель угроз 1С Бухгалтерия
8. Протокол определения ущерба мобильного приложения
9. Протокол определения ущерба сервиса рассылок
10. Протокол определения ущерба программного обеспечения
11. Соглашение об обеспечении безопасности персональных данных
12. Акт определения уровня защищенности персональных данных Компании
13. Модель угроз программного обеспечения
14. Модель угроз мобильного приложения
15. Модель угроз сервиса рассылок
16. Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Акт определения уровня защищенности персональных данных

Дата: Автор: Акт определения уровня защищенности персональных данных является одним из документов содержащий сведения о реализуемых требованиях к защите персональных данных. Акт определения уровня защищенности персональных данных Акт определения уровня защищенности персональных данных не является документом конфиденциального характера. Оператор персональных данных обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, содержащий сведения о реализуемых требованиях к защите персональных данных.

Для определения уровня защищенности персональных данных на предприятии (организации) должна быть создана комиссия. В состав комиссии обязательно должен быть включен ответственный за организацию обработки персональных данных.

Комиссия должна быть назначена приказом руководителя. По результатам определения уровня защищенности персональных данных должен быть оформлен акт. Акт определения уровня защищенности персональных данных должен утверждаться руководителем предприятия (председатель и члены комиссии назначаются приказом о проведении внутренней проверки).

Акт должен быть подписан всеми членами комиссии.

Акт определения уровня защищенности персональных данных составляется для каждой информационной системы персональных данных (ИСПДн) и прилагается к уведомлению об обработке (если уведомление необходимо).

Для каждой ИСПДн должна быть определена ее структура, в которой определяются характеристики режима обработки. На основании полученных данных каждой ИСПДн должен быть определен необходимый уровень защищенности персональных данных.

Правильно выявить уровень защищенности необходимо для того, чтобы определить требования для обеспечения защиты ИСПДн. проводится в соответствии с постановлением Правительства РФ от 01.11.2012 №1119

«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

. В акте указывается:

1. Объем обрабатываемых персональных данных;
2. Тип актуальных угроз для ИСПДн;
3. Уровень защищенности персональных данных.
4. Обрабатываемые в ИСПДн персональные данные;

Обрабатываемые категории персональных данные в ИСПДн:

• биометрические персональные данные — данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором персональных данных для установления личности субъекта персональных данных, и не относящиеся к специальным категориям персональных данных;
• иные категории персональных данных — данные, не относящиеся к специальным, биометрическим и общедоступным персональным данным.
• специальные категории персональных данных — данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;
• общедоступные персональные данные — персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных;

Довольно редко встречаются ИСПДн, в которых обрабатываются персональные данные 3 категории.

Акт классификации ИСПДн

, как правило, является конфиденциальным документом, и должен иметь гриф конфиденциальности («Конфиденциально», «ДСП», «Коммерческая тайна») и учетный номер.

Для проведения классификации на предприятии должна быть создана комиссия. В состав комиссии обязательно должен входить ответственный за защиту персональных данных. Комиссия должна быть назначена приказом руководителя и осуществлять свою деятельность на основании Положения о комиссии по классификации.

По результатам классификации должен быть оформлен акт. должен утверждаться председателем комиссии и подписываться всеми членами комиссии.

Акт классификации составляется для каждой выявленной ИСПДн.

На основании полученных данных каждой ИСПДн определяется необходимый уровень защищенности персональных данных. Это нужно для того, чтобы установить требования для обеспечения защиты информационной системы персональных данных.

Определение уровня защищенности персональных данных проводится в соответствии с Постановлением Правительства РФ от 01.11.2012 г.

№1119

«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

. В акте указывается:

1. структура информационной системы;
2. тип актуальных угроз для ИСПДн;
3. наличие подключений к сетям связи общего пользования и (или) сетям международного информационного обмена;
4. режим обработки персональных данных в системе;
5. уровень защищенности ПДн.
6. разграничение прав доступа пользователей;
7. местонахождение ИСПДн;
8. объем обрабатываемых персональных данных;
9. обрабатываемые в системе персональные данные;

В акт классификации ИСПДн могут входить системы, в которых хранятся такие данные:

1. общедоступные персональные данные – сведения, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных».
2. биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
3. специальные категории персональных данных – сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;

Довольно редко встречаются системы, в которых обрабатываются персональные данные 3 категории.

Это связано с тем, что для реальных задач нужны не только данные идентифицирующие субъекта (ФИО, паспортные данные), но и дополнительная информация о нем (например, сведения о зарплате). Наиболее часто встречаются информационные системы, в которых обрабатываются персональные данные 2 категории.

Например, системы расчета заработной платы сотрудников. Специальные категории ПДн, как правило, встречаются в учреждениях здравоохранения.

Уровни защищенности персональных данных

Цветовая схема: Шрифт Размер шрифта Кернинг Изображения: Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.

При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.

Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы. Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы: 1 группа — специальные категории ПДн, персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных. 2 группа — биометрические ПДн, сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.

3 группа — общедоступные ПДн, персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных», то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом; 4 группа — иные категории ПДн, не представленные в трех предыдущих группах.