Персональні дані класифікація ІСПДН
Одним із першочергових заходів, які потрібно здійснити при створенні інформаційної системи обробки персональних даних (ІСПДн) є класифікація ІСПДн.
- Збір та аналіз вихідних даних по інформаційній системі;
- Присвоєння інформаційній системі відповідного класу та його документальне оформлення.
При проведенні класифікації інформаційної системи необхідно відповісти на такі питання:
Вихідні дані та допоміжна інформація
Xнпд може приймати такі значення:
- 1 — в інформаційній системі одночасно обробляються персональні дані більш ніж 100 000 суб'єктів персональних даних або персональні дані суб'єктів персональних даних у межах суб'єкта України або України в цілому;
- 2 — в інформаційній системі одночасно обробляються персональні дані від 1000 до 100 000 суб'єктів персональних даних або персональні дані суб'єктів персональних даних, що працюють у галузі економіки України, в органі державної влади, які проживають у межах муніципальної освіти;
- 3- в інформаційній системі одночасно обробляються дані менш ніж 1000 суб'єктів персональних даних або персональні дані суб'єктів персональних даних у межах конкретної організації.
Характеристики безпеки персональних даних
Для ІСПДн визначають характеристики безпеки персональних даних, які поділяються на основні та додаткові:
ОСНОВНІ:
- конфіденційність
- цілісність
- доступність
ДОДАТКОВІ:
- невідмовність
- обліковість (підконтрольність)
- автентичність (достовірність)
- адекватність
Структура інформаційної системи поділяється на:
- автономні (не підключені до інших інформаційних систем) комплекси технічних та програмних засобів, призначені для обробки персональних даних (автоматизовані робочі місця);
- комплекс автоматизованих робочих місць, що об'єднані в єдину інформаційну систему засобами зв'язку без використання технології віддаленого доступу (локальні інформаційні системи);
- комплекс автоматизованих робочих місць та (або) локальних інформаційних систем, об'єднаних у єдину інформаційну систему засобами зв'язку з використанням технології віддаленого доступу (розподілені інформаційні системи).
Режим обробки
При організації ІСПД визначають наступні режими обробки:
- однокористувацький ;
- розрахований на багато користувачів.
Режим розмежування прав доступу
В ІСПД система розмежування доступу мається на увазі:
- без розмежування прав доступу;
- з розмежуванням прав доступу.
Інформаційні системи діляться натипову таспеціальну.До типової інформаційної системи належать системи, які вимагають лише конфіденційність ПДн.
До спеціальної інформаційної системи належать системи, які крім конфіденційності вимагають:
- Інформаційні системи, в яких обробляються персональні дані щодо стану здоров'я суб'єктів персональних даних;
- Інформаційні системи, в яких на підставі виключно автоматизованої обробки персональних даних передбачено прийняття рішень, що породжують юридичнінаслідки щодо суб'єкта персональних даних або іншим чином зачіпають його права та законні інтереси.
Класифікація інформаційної системи
Відповідно до Наказу ФСТЕК/ФСБ/Мінінформзв'язку № 55/86/20, ІСПДн може приймати один із чотирьох класів, визначених у цьому наказі:
- клас 1 (К1) — інформаційні системи, котрим порушення заданої характеристики безпеки персональних даних, оброблюваних у яких, може призвести до значних негативних наслідків для суб'єктів персональних даних;
- клас 2 (К2) — інформаційні системи, котрим порушення заданої характеристики безпеки персональних даних, оброблюваних у яких, може призвести до негативних наслідків для суб'єктів персональних даних;
- клас 3 (К3) — інформаційні системи, котрим порушення заданої характеристики безпеки персональних даних, оброблюваних у яких, може призвести до незначних негативних наслідків для суб'єктів персональних даних;
- клас 4 (К4) — інформаційні системи, котрим порушення заданої характеристики безпеки персональних даних, оброблюваних у яких, не призводить до негативних наслідків для суб'єктів персональних даних.
Відповідно до даних визначення класів, для зручності класифікації, побудована наступна таблиця: