In verband met de ongeldigverklaring van het decreet van de regering van de Russische Federatie van 17 november 2007 nr. 781 "Bij goedkeuring van de verordening inzake het waarborgen van de beveiliging van persoonsgegevens bij de verwerking ervan in informatiesystemen voor persoonsgegevens" (Verzamelde wetgeving van de Russische Federatie, 2007, nr. 48, art. 6001 ) bestellen wij:
het bevel van de Federale Dienst voor Technische en Exportcontrole, de Federale Veiligheidsdienst van de Russische Federatie en het Ministerie van Informatietechnologie en Communicatie van de Russische Federatie van 13 februari 2008 nr. 55/86/20 "On goedkeuring van de Procedure voor de classificatie van persoonsgegevens-informatiesystemen" (geregistreerd door het ministerie van Justitie van de Russische Federatie op 3 april 2008, registratienummer 11462).
| De minister communicatie en massacommunicatie Russische Federatie |
N. Nikiforov |
Documentoverzicht
Het gezamenlijke besluit van de FSTEC van Rusland, de FSB van Rusland en het Ministerie van Informatietechnologie van Rusland, die de procedure voor de classificatie van informatiesystemen van persoonsgegevens heeft goedgekeurd, wordt als ongeldig erkend.
Het feit is dat de verordening betreffende het waarborgen van de beveiliging van persoonsgegevens tijdens hun verwerking in informatiesystemen voor persoonsgegevens, goedgekeurd door de regering van de Russische Federatie van 17 november 2007 N 781, niet langer van toepassing is. De nieuwe procedure is uiteengezet in het decreet van 1 november 2012 N 1119.
prijs . De classificatie van ISPD wordt uitgevoerd in overeenstemming met de Orde van de FSTEC van Rusland, de FSB van Rusland, het Russische Ministerie van Informatietechnologie nr. 55/86/20 van 18.02.2009. "Bij goedkeuring van de procedure voor de classificatie van persoonsgegevens informatiesystemen"(vernietigd op 31 december 2013).De classificatie van de ISPD wordt uitgevoerd in het stadium van de oprichting of tijdens de werking, maar is verplicht vóór de constructie van de ISPD. In het algemeen alle Informatie Systemen verwerken persoonlijke gegevens zijn onderverdeeld in 2 klasse afhankelijk over de beveiligingskenmerken van de verwerkte gegevens:
Typische informatiesystemen- systemen waar het alleen nodig is om te voorzien vertrouwelijkheid verwerkte persoonsgegevens.
Speciale informatiesystemen- systemen waarbij het verplicht is om ten minste één van de andere beveiligingskenmerken dan vertrouwelijkheid te bieden (bijvoorbeeld integriteit of beschikbaarheid). Speciale informatiesystemen moeten het volgende omvatten:
- ISPD met betrekking tot de verwerking van PD op de gezondheidsstatus van PD-patiënten;
- ISPD, beslissingen nemen uitsluitend op basis van geautomatiseerde verwerking van PD. In dat geval kunnen de genomen beslissingen rechtsgevolgen hebben voor de PD-subject of anderszins zijn wettelijke rechten en belangen aantasten.
Volgens de in het Bevel voorgestelde methodologie wordt ISPD geclassificeerd afhankelijk van het aantal personen van wie de gegevens worden verwerkt en het type persoonsgegevens dat wordt verwerkt.
Afhankelijk van de hoeveelheid gegevens die in de ISPD wordt verwerkt, onderscheidt de XNPD de volgende categorieën van ISPD:
Categorie 1 persoonlijke gegevens meer dan 100.000 onderwerpen van PD of persoonlijke gegevens onderwerpen van persoonlijke informatie binnen de samenstellende entiteit van de Russische Federatie of de Russische Federatie als geheel;
Categorie 2- in het informatiesysteem gelijktijdig worden verwerkt persoonlijke gegevens van 1.000 tot 100.000 onderwerpen van PD of persoonlijke gegevens persoonsgegevens van betrokkenen die werkzaam zijn in de tak van de economie van de Russische Federatie, bij de overheidsinstantie, woonachtig binnen de gemeente;
Categorie 3- in het informatiesysteem gelijktijdig worden verwerkt persoonlijke gegevens minder dan 1000 onderwerpen van PD of persoonlijke gegevens PD-onderwerpen binnen een bepaalde organisatie.
De volgende categorieën van persoonsgegevens die in het informatiesysteem (HFA) worden verwerkt, worden gedefinieerd:
| KhNPD | Categorie 3 | Categorie 2 | Categorie 1 |
|---|---|---|---|
| HFA | |||
| Categorie 4 | K4 | K4 | K4 |
| Categorie 3 | K3 | K3 | K2 |
| Categorie 2 | K3 | K2 | K1 |
| Categorie 1 | K1 | K1 | K1 |
Laten we eens kijken wat elke klasse van ISPD afzonderlijk betekent:
- klasse 1 (K1)- informatiesystemen waarbij een schending van de gespecificeerde beveiligingskenmerken van daarin verwerkte persoonsgegevens kan leiden tot significante negatieve gevolgen voor PD-subjecten;
- klasse 2 (K2)- informatiesystemen, waarbij een schending van de gespecificeerde beveiligingskenmerken van daarin verwerkte persoonsgegevens kan leiden tot negatieve gevolgen voor PD-subjecten;
- klasse 3 (K3)- informatiesystemen waarbij een schending van de gespecificeerde beveiligingskenmerken van daarin verwerkte persoonsgegevens kan leiden tot geringe negatieve gevolgen voor PD-subjecten;
- klasse 4 (K4)- informatiesystemen waarvoor een schending van de gespecificeerde beveiligingskenmerken van daarin verwerkte persoonsgegevens niet leidt tot negatieve gevolgen voor PD-subjecten.
De hoogste klasse wordt beschouwd als 1. Als er meerdere subsystemen worden onderscheiden als onderdeel van de ISPD, dan komt de ISPD-klasse als geheel overeen met de hoogste klasse van inkomende componenten.
Dus hoe hoger de klasse van ISPD, hoe hoger de vereisten voor het waarborgen van de beveiliging van persoonsgegevens.
De volgorde van klassedefinitie voor speciale systemen is enigszins anders dan typische. De klasse van speciale ISPD's wordt bepaald op basis van een bepaald model van bedreigingen voor de organisatie in overeenstemming met de methodologische documenten van de FSTEC. Het toewijzen van een informatiesysteem aan een speciaal systeem kan de kosten voor het bouwen van een gegevensbeschermingssysteem aanzienlijk verlagen, aangezien de exploitant in dit geval redelijkerwijs het minimale aantal daadwerkelijke bedreigingen kan kiezen waarvan PD-bescherming vereist is. Als het systeem bijvoorbeeld informatie bevat over iemands inkomen (bijvoorbeeld 1C), kan een dergelijk systeem als een bijzonder systeem worden aangemerkt, omdat de legitieme belangen van een persoon worden geschaad. Hetzelfde geldt voor informatie over handicap, ras, enz. De classificatie van ISPD als bijzonder is in de praktijk een nogal controversieel punt.
De ISPD-klasse kan worden herzien.
Het doel van de site LetterPrava is om gewone mensen die geen juridische opleiding hebben genoten te helpen uit te zoeken hoe ze alledaagse problemen en problemen kunnen oplossen.
LetterPrava is een website die juridische hulp biedt aan alle burgers die professioneel advies nodig hebben. We accepteren vragen over alle takken van het Russische recht en geven online juridisch advies.
Wat is online juridisch advies?
Onze burgers zijn al lang gewend aan het feit dat je moet betalen voor elke ontvangen dienst, dus gratis juridisch advies lijkt hen minder betrouwbaar dan dezelfde informatie die ze krijgen tijdens een ontmoeting met een notaris of advocaat.
Houd er rekening mee dat: online juridisch advies worden gereguleerd door de federale wet nr. 324 van 21 november 2011 betreffende het verstrekken van rechtsbijstand en wordt aangemoedigd door het staatsprogramma dat werkt op het gebied van de ondersteuning van de bevolking van het land op het gebied van het recht.
Online juridische bijstand is dus een echte kans om primair professioneel advies te krijgen en manieren te vinden om het probleem op te lossen. Om dit te doen, hoeft u geen afspraak te maken en tijd te verspillen in wachtrijen.
Praktijk "advocaat online" stelt u in staat om dringend het antwoord op een lopende juridische vraag te vinden. Als de beschreven situatie betrekking heeft op een veelbesproken onderwerp en geen valkuilen bevat, dan duurt de bijstand van een advocaat slechts enkele minuten. Het oplossen van complexe vraagstukken kost meer tijd. Om juridisch advies te krijgen dat volledig aansluit bij de huidige situatie, moet u aanvullende vragen beantwoorden, informatie verstrekken over de bijbehorende omstandigheden of het onderwerp simpelweg duidelijker en gedetailleerder formuleren.
Juridische dienstverlening stelt u in staat om snel een beslissing te nemen en verkeerde stappen te voorkomen bij het beoordelen van een ontstane situatie of het oplossen van een discutabel probleem.
Wat biedt de website LetterPrava
Ervaren advocaten gespecialiseerd in verschillende rechtstakken en leidende dagelijkse praktijk werken voor u. Alle consultaties van een advocaat worden samengesteld rekening houdend met de huidige stand van zaken op juridisch gebied.
Hier kan je:
- lees artikelen over actuele en interessante onderwerpen van veel arbeids-, burgerlijk en familierecht
- krijg online juridisch advies door vragen te stellen op het gratis telefoonnummer of het probleem te formuleren in de vorm van een schriftelijk verzoek
- meer te weten komen over nieuwe wetswijzigingen en de effectiviteit van eerder bestaande wettelijke normen verduidelijken
- volledige vertrouwelijkheid te bewaren van de gestelde vragen en antwoorden, aangezien we niet om identiteitsdocumenten vragen
- bekijk uw situatie vanuit het oogpunt van de huidige normen en rechtspraktijk en beoordeel de vooruitzichten voor het oplossen van het probleem.
We bieden gratis bijstand van een advocaat aan iedereen die dringend gekwalificeerde antwoorden nodig heeft op gevallen die zich hebben voorgedaan.
Hier vindt u:
- Artikelen die verschillende situaties vanuit juridisch oogpunt verduidelijken
- Stapsgewijze instructies voor dringende problemen
- Woordenlijst met juridische termen
- Veelgebruikte documentsjablonen
- Adressenlijst van noodzakelijke diensten en organisaties
Nieuwste artikelen en stapsgewijze instructies
We voegen elke dag nieuwe artikelen toe over actuele onderwerpen. Als u niet ons antwoord op uw vraag bent, schrijf ons dan [e-mail beveiligd], zullen we het probleem begrijpen en het artikel binnenkort publiceren.
En heb je een vraag over familierecht, dan kun je terecht op de website van Vnebrak, waar je de hulp van een online advocaat kunt krijgen over familiezaken: huwelijk en echtscheiding, alimentatie, erfrecht, ouderschapsrechten en diverse soorten uitkeringen.
Regelgeving voor het waarborgen van de beveiliging van persoonsgegevens bij de verwerking ervan in informatiesystemen voor persoonsgegevens, goedgekeurd door de regering van de Russische Federatie van 17 november 2007 N 781 "Na goedkeuring van de voorschriften voor het waarborgen van de beveiliging van persoonsgegevens bij de verwerking ervan in persoonlijke data-informatiesystemen" (Verzamelde wetgeving van de Russische Federatie, 2007, N 48, deel II, art. 6001), bestellen we:
Het goedkeuren van de bijgevoegde procedure voor de classificatie van informatiesystemen voor persoonsgegevens.
Regisseur
Federale Dienst
op technisch
en exportcontrole
S. I. GRIGOROV
Regisseur
Federale Veiligheidsdienst
Russische Federatie
NP PATRUSHEV
De minister
informatietechnologie en communicatie
Russische Federatie
LD REYMAN
GOEDGEKEURD DOOR
Op bestelling
FSTEC van Rusland,
FSB van Rusland,
Ministerie van Informatie en Communicatie van Rusland
gedateerd 13 februari 2008 N 55/86/20
VOLGORDE
UITVOEREN VAN DE CLASSIFICATIE VAN INFORMATIESYSTEMEN VAN PERSOONLIJKE GEGEVENS
1. Deze procedure bepaalt de classificatie van persoonsgegevens-informatiesystemen, die een verzameling zijn van persoonsgegevens in databases, evenals informatietechnologieën en technische middelen die de verwerking van dergelijke persoonsgegevens mogelijk maken met behulp van automatiseringstools (hierna - informatiesystemen)<*>.
2. De classificatie van informatiesystemen wordt uitgevoerd door overheidsinstanties, gemeentelijke instanties, rechtspersonen en personen die de verwerking van persoonsgegevens organiseren en (of) uitvoeren, evenals het bepalen van het doel en de inhoud van de verwerking van persoonsgegevens (hierna de exploitant genoemd)<*>.
<*>Het eerste lid van artikel 6 van het Reglement.
3. De classificatie van informatiesystemen wordt uitgevoerd in het stadium van het creëren van informatiesystemen of tijdens hun werking (voor eerder in gebruik genomen en (of) gemoderniseerde informatiesystemen) om methoden en methoden voor informatiebescherming vast te stellen die nodig zijn om de veiligheid van persoonlijke gegevens.
4. Het uitvoeren van de classificatie van informatiesystemen omvat de volgende fasen:
verzameling en analyse van initiële gegevens over het informatiesysteem;
toewijzing van een geschikte klasse aan het informatiesysteem en de bijbehorende documentatie.
5. Bij het uitvoeren van de classificatie van het informatiesysteem wordt rekening gehouden met de volgende initiële gegevens:
de hoeveelheid verwerkte persoonsgegevens (het aantal persoonsgegevens van wie de persoonsgegevens in het informatiesysteem worden verwerkt) - X_npd;
de beveiligingskenmerken van persoonsgegevens die worden verwerkt in het door de exploitant ingestelde informatiesysteem;
structuur van het informatiesysteem;
beschikbaarheid van verbindingen van het informatiesysteem met openbare communicatienetwerken en (of) netwerken voor internationale informatie-uitwisseling;
modus voor het verwerken van persoonlijke gegevens;
wijze van differentiatie van toegangsrechten voor gebruikers van het informatiesysteem;
de plaats van de technische middelen van het informatiesysteem.
6. De volgende categorieën van persoonsgegevens die in het informatiesysteem (X_pd) worden verwerkt, worden bepaald:
7. X_npd kan de volgende waarden aannemen:
1 - het informatiesysteem verwerkt gelijktijdig persoonsgegevens van meer dan 100.000 persoonsgegevens van betrokkenen of persoonsgegevens van persoonsgegevens van betrokkenen binnen een samenstellende entiteit van de Russische Federatie of de Russische Federatie als geheel;
2 - het informatiesysteem verwerkt gelijktijdig persoonsgegevens van 1000 tot 100.000 persoonsgegevens of persoonsgegevens van persoonsgegevens die werkzaam zijn in de economie van de Russische Federatie, bij de staatsautoriteit die binnen de gemeente woont;
3 - het informatiesysteem verwerkt gelijktijdig gegevens van minder dan 1000 persoonsgegevens of persoonsgegevens van persoonsgegevens binnen een bepaalde organisatie.
8. Volgens de beveiligingskenmerken van persoonsgegevens die worden verwerkt in het door de exploitant gespecificeerde informatiesysteem, worden informatiesystemen onderverdeeld in standaard- en speciale informatiesystemen.
Typische informatiesystemen zijn informatiesystemen waarin alleen de vertrouwelijkheid van persoonsgegevens vereist is.
Speciale informatiesystemen moeten het volgende omvatten:
informatiesystemen waarin persoonsgegevens worden verwerkt over de gezondheidstoestand van personen met persoonsgegevens;
informatiesystemen, die voorzien in de vaststelling op basis van uitsluitend geautomatiseerde verwerking van persoonsgegevens van beslissingen die rechtsgevolgen hebben met betrekking tot het onderwerp van persoonsgegevens of die anderszins zijn rechten en legitieme belangen aantasten.
9. Naar structuur zijn informatiesystemen onderverdeeld:
voor autonome (niet aangesloten op andere informatiesystemen) complexen van hard- en software ontworpen voor het verwerken van persoonsgegevens (werkstations);
voor complexen van geautomatiseerde werkstations, door middel van communicatie verenigd tot één informatiesysteem zonder gebruik te maken van technologie voor toegang op afstand (lokale informatiesystemen);
op complexen van geautomatiseerde werkstations en (of) lokale informatiesystemen, verenigd tot één informatiesysteem door middel van communicatie met behulp van remote access-technologie (gedistribueerde informatiesystemen).
10. Afhankelijk van de beschikbaarheid van verbindingen met openbare communicatienetwerken en (of) netwerken van internationale informatie-uitwisseling, worden informatiesystemen onderverdeeld in systemen met verbindingen en systemen zonder verbindingen.
11. Afhankelijk van de wijze van verwerking van persoonsgegevens in het informatiesysteem, zijn informatiesystemen onderverdeeld in single-user en multi-user.
12. Door differentiatie van gebruikerstoegangsrechten worden informatiesystemen onderverdeeld in systemen zonder differentiatie van toegangsrechten en systemen met differentiatie van toegangsrechten.
13. Informatiesystemen worden, afhankelijk van de locatie van hun technische middelen, onderverdeeld in systemen waarvan alle technische middelen zich binnen de Russische Federatie bevinden, en systemen waarvan de technische middelen zich geheel of gedeeltelijk buiten de Russische Federatie bevinden.
14. Op basis van de resultaten van de analyse van de initiële gegevens wordt aan een typisch informatiesysteem een van de volgende klassen toegewezen:
klasse 1 (K1) - informatiesystemen waarvoor een schending van de gespecificeerde beveiligingskenmerken van de daarin verwerkte persoonsgegevens kan leiden tot aanzienlijke negatieve gevolgen voor de betrokkenen van persoonsgegevens;
klasse 2 (K2) - informatiesystemen waarvoor een schending van de gespecificeerde beveiligingskenmerken van de daarin verwerkte persoonsgegevens kan leiden tot negatieve gevolgen voor de betrokkenen van persoonsgegevens;
klasse 3 (K3) - informatiesystemen waarvoor een schending van de gespecificeerde beveiligingskenmerken van de daarin verwerkte persoonsgegevens kan leiden tot geringe negatieve gevolgen voor de betrokkenen van persoonsgegevens;
klasse 4 (K4) - informatiesystemen waarvoor een schending van de gespecificeerde beveiligingskenmerken van de daarin verwerkte persoonsgegevens niet leidt tot negatieve gevolgen voor de onderwerpen van persoonsgegevens Artikel 2 van het besluit van de regering van de Russische Federatie van november 17, 2007 N 781 "Na goedkeuring van de verordening betreffende het waarborgen van de beveiliging van persoonsgegevens tijdens hun verwerking in informatiesystemen voor persoonsgegevens"<*>.
<*>Verzamelde wetgeving van de Russische Federatie, 2007, N 48, deel II, art. 6001.
17. In het geval van scheiding van subsystemen in het informatiesysteem, die elk een informatiesysteem zijn, wordt aan het informatiesysteem als geheel een klasse toegewezen die overeenkomt met de hoogste klasse van subsystemen die erin zijn opgenomen.
18. De resultaten van de classificatie van informatiesystemen worden geformaliseerd door de desbetreffende handeling van de exploitant.
19. De klasse van het informatiesysteem kan worden herzien:
naar het oordeel van de exploitant op basis van zijn analyse en beoordeling van bedreigingen voor de veiligheid van persoonsgegevens, rekening houdend met de kenmerken en (of) wijzigingen in een specifiek informatiesysteem;
op basis van de resultaten van maatregelen om toezicht te houden op de naleving van de vereisten voor het waarborgen van de beveiliging van persoonsgegevens tijdens de verwerking ervan in het informatiesysteem.
FEDERALE TECHNISCHE EN EXPORTCONTROLEDIENST
FEDERALE VEILIGHEIDSDIENST VAN DE RUSSISCHE FEDERATIE
MINISTERIE VAN INFORMATIETECHNOLOGIE EN COMMUNICATIE
RUSSISCHE FEDERATIE
Na goedkeuring van de Procedure voor de classificatie van persoonsgegevens informatiesystemen
Afgeschaft vanaf 11 maart 2014 op basis van:
gezamenlijk bevel van de FSTEC van Rusland, de FSB van Rusland en het Ministerie van Telecom en Massacommunicatie van Rusland
gedateerd 31 december 2013 N 151/786/461
____________________________________________________________________
In overeenstemming met clausule 6 van de verordening betreffende het waarborgen van de beveiliging van persoonsgegevens tijdens hun verwerking in informatiesystemen voor persoonsgegevens, goedgekeurd door de regering van de Russische Federatie van 17 november 2007 N 781 "Na goedkeuring van de verordening inzake het waarborgen van de beveiliging van persoonsgegevens tijdens hun verwerking in informatiesystemen voor persoonsgegevens" (Verzamelde wetgeving van de Russische Federatie, 2007, N 48, deel II, artikel 6001),
wij bestellen:
Het goedkeuren van de bijgevoegde procedure voor de classificatie van informatiesystemen voor persoonsgegevens.
Directeur van de Federale Dienst
voor technische en
exportcontrole
S. Grigorov
directeur van de federale
beveiligingsdiensten
Russische Federatie
H. Patrushev
Minister van Informatietechnologie
en mededelingen van de Russische Federatie
L. Reiman
Geregistreerd
bij het Ministerie van Justitie
Russische Federatie
3 april 2008
registratie N 11462
De procedure voor de classificatie van informatiesystemen voor persoonsgegevens
GOEDGEKEURD DOOR
in opdracht van de FSTEC van Rusland,
FSB van Rusland,
Ministerie van Informatie en Communicatie van Rusland
gedateerd 13 februari 2008 N 55/86/20
1. Deze procedure bepaalt de classificatie van informatiesystemen voor persoonsgegevens, die een verzameling zijn van persoonsgegevens in databases, evenals informatietechnologieën en technische middelen die de verwerking van dergelijke persoonsgegevens mogelijk maken met behulp van automatiseringstools (hierna informatiesystemen genoemd). ).
________________
Paragraaf één van clausule 1 van de verordening betreffende het waarborgen van de beveiliging van persoonsgegevens tijdens hun verwerking in informatiesystemen voor persoonsgegevens, goedgekeurd door de regering van de Russische Federatie van 17 november 2007 N 781 (Collected Legislation of the Russian Federation, 2007, N 48, deel II, artikel 6001) (hierna de verordening genoemd).
2. De classificatie van informatiesystemen wordt uitgevoerd door overheidsinstanties, gemeentelijke instanties, rechtspersonen en personen die de verwerking van persoonsgegevens organiseren en (of) uitvoeren, evenals het bepalen van het doel en de inhoud van de verwerking van persoonsgegevens (hierna de exploitant genoemd).
________________
Het eerste lid van artikel 6 van het Reglement.
3. De classificatie van informatiesystemen wordt uitgevoerd in het stadium van het creëren van informatiesystemen of tijdens hun werking (voor eerder in gebruik genomen en (of) gemoderniseerde informatiesystemen) om methoden en methoden voor informatiebescherming vast te stellen die nodig zijn om de veiligheid van persoonlijke gegevens. * 3)
4. Het uitvoeren van de classificatie van informatiesystemen omvat de volgende fasen:
verzameling en analyse van initiële gegevens over het informatiesysteem;
toewijzing van een geschikte klasse aan het informatiesysteem en de bijbehorende documentatie.
5. Bij het uitvoeren van de classificatie van het informatiesysteem wordt rekening gehouden met de volgende initiële gegevens:
de categorie van persoonsgegevens die in het informatiesysteem worden verwerkt -;
de hoeveelheid verwerkte persoonsgegevens (het aantal persoonsgegevens van wie de persoonsgegevens in het informatiesysteem worden verwerkt) -;
de beveiligingskenmerken van persoonsgegevens die worden verwerkt in het door de exploitant ingestelde informatiesysteem;
structuur van het informatiesysteem;
beschikbaarheid van verbindingen van het informatiesysteem met openbare communicatienetwerken en (of) netwerken voor internationale informatie-uitwisseling;
modus voor het verwerken van persoonlijke gegevens;
wijze van differentiatie van toegangsrechten voor gebruikers van het informatiesysteem;
de plaats van de technische middelen van het informatiesysteem.
6. De volgende categorieën van persoonsgegevens die in het informatiesysteem worden verwerkt, worden bepaald ():
categorie 1 - persoonsgegevens betreffende ras, nationaliteit, politieke opvattingen, religieuze en levensbeschouwelijke overtuigingen, gezondheidstoestand, intiem leven;
categorie 2 - persoonlijke gegevens waarmee u het onderwerp van persoonlijke gegevens kunt identificeren en aanvullende informatie over hem kunt verkrijgen, met uitzondering van persoonlijke gegevens die tot categorie 1 behoren;
categorie 3 - persoonlijke gegevens waarmee u het onderwerp van persoonlijke gegevens kunt identificeren;
categorie 4 - geanonimiseerde en (of) openbaar beschikbare persoonsgegevens.
7.kan de volgende waarden aannemen:
1 - het informatiesysteem verwerkt gelijktijdig persoonsgegevens van meer dan 100.000 persoonsgegevens van betrokkenen of persoonsgegevens van persoonsgegevens van betrokkenen binnen een samenstellende entiteit van de Russische Federatie of de Russische Federatie als geheel;
2 - het informatiesysteem verwerkt gelijktijdig persoonsgegevens van 1.000 tot 100.000 persoonsgegevens van betrokkenen of persoonsgegevens van persoonsgegevens van betrokkenen die werkzaam zijn in de industrie van de economie van de Russische Federatie, bij een binnen de gemeente gevestigde overheidsinstantie;
3 - het informatiesysteem verwerkt gelijktijdig gegevens van minder dan 1000 persoonsgegevens of persoonsgegevens van persoonsgegevens binnen een bepaalde organisatie.
8. Volgens de beveiligingskenmerken van persoonsgegevens die worden verwerkt in het door de exploitant gespecificeerde informatiesysteem, worden informatiesystemen onderverdeeld in standaard- en speciale informatiesystemen.
Typische informatiesystemen zijn informatiesystemen waarin alleen de vertrouwelijkheid van persoonsgegevens vereist is.
Bijzondere informatiesystemen zijn informatiesystemen waarin, ongeacht de noodzaak om de vertrouwelijkheid van persoonsgegevens te waarborgen, ten minste één van de beveiligingskenmerken van persoonsgegevens moet worden gewaarborgd, met uitzondering van vertrouwelijkheid (bescherming tegen vernietiging, wijziging, blokkering, zoals evenals andere ongeoorloofde handelingen).
Speciale informatiesystemen moeten het volgende omvatten:
informatiesystemen waarin persoonsgegevens worden verwerkt over de gezondheidstoestand van personen met persoonsgegevens;
informatiesystemen, die voorzien in de vaststelling op basis van uitsluitend geautomatiseerde verwerking van persoonsgegevens van beslissingen die rechtsgevolgen hebben met betrekking tot het onderwerp van persoonsgegevens of die anderszins zijn rechten en legitieme belangen aantasten.
9. Naar structuur zijn informatiesystemen onderverdeeld:
voor autonome (niet aangesloten op andere informatiesystemen) complexen van hard- en software ontworpen voor het verwerken van persoonsgegevens (werkstations);
voor complexen van geautomatiseerde werkstations, door middel van communicatie verenigd tot één informatiesysteem zonder gebruik te maken van technologie voor toegang op afstand (lokale informatiesystemen);
op complexen van geautomatiseerde werkstations en (of) lokale informatiesystemen, verenigd tot één informatiesysteem door middel van communicatie met behulp van remote access-technologie (gedistribueerde informatiesystemen).
10. Afhankelijk van de beschikbaarheid van verbindingen met openbare communicatienetwerken en (of) netwerken van internationale informatie-uitwisseling, worden informatiesystemen onderverdeeld in systemen met verbindingen en systemen zonder verbindingen.
11. Afhankelijk van de wijze van verwerking van persoonsgegevens in het informatiesysteem, zijn informatiesystemen onderverdeeld in single-user en multi-user.
12. Door differentiatie van gebruikerstoegangsrechten worden informatiesystemen onderverdeeld in systemen zonder differentiatie van toegangsrechten en systemen met differentiatie van toegangsrechten.
13. Informatiesystemen worden, afhankelijk van de locatie van hun technische middelen, onderverdeeld in systemen waarvan alle technische middelen zich binnen de Russische Federatie bevinden, en systemen waarvan de technische middelen zich geheel of gedeeltelijk buiten de Russische Federatie bevinden.
14. Op basis van de resultaten van de analyse van de initiële gegevens wordt aan een typisch informatiesysteem een van de volgende klassen toegewezen:
klasse 1 (K1) - informatiesystemen waarvoor een schending van de gespecificeerde beveiligingskenmerken van de daarin verwerkte persoonsgegevens kan leiden tot aanzienlijke negatieve gevolgen voor de betrokkenen van persoonsgegevens;
klasse 2 (K2) - informatiesystemen waarvoor een schending van de gespecificeerde beveiligingskenmerken van de daarin verwerkte persoonsgegevens kan leiden tot negatieve gevolgen voor de betrokkenen van persoonsgegevens;
klasse 3 (K3) - informatiesystemen waarvoor een schending van de gespecificeerde beveiligingskenmerken van de daarin verwerkte persoonsgegevens kan leiden tot geringe negatieve gevolgen voor de betrokkenen van persoonsgegevens;
klasse 4 (K4) - informatiesystemen waarvoor een schending van de gespecificeerde beveiligingskenmerken van de daarin verwerkte persoonsgegevens niet leidt tot negatieve gevolgen voor de betrokkenen van persoonsgegevens.
15. De klasse van een typisch informatiesysteem wordt bepaald aan de hand van de tabel.
16. Op basis van de resultaten van de analyse van de initiële gegevens wordt de klasse van het speciale informatiesysteem bepaald op basis van het model van bedreigingen voor de veiligheid van persoonsgegevens in overeenstemming met de methodologische documenten die zijn ontwikkeld in overeenstemming met paragraaf 2 van het decreet van de regering van de Russische Federatie van 17 november 2007 Geen gegevens tijdens hun verwerking in informatiesystemen voor persoonsgegevens ".
________________
Verzamelde wetgeving van de Russische Federatie, 2007, N 48, deel II, artikel 6001.
17. In het geval van scheiding van subsystemen in het informatiesysteem, die elk een informatiesysteem zijn, wordt aan het informatiesysteem als geheel een klasse toegewezen die overeenkomt met de hoogste klasse van subsystemen die erin zijn opgenomen.
18. De resultaten van de classificatie van informatiesystemen worden geformaliseerd door de desbetreffende handeling van de exploitant.
19. De klasse van het informatiesysteem kan worden herzien:
naar het oordeel van de exploitant op basis van zijn analyse en beoordeling van bedreigingen voor de veiligheid van persoonsgegevens, rekening houdend met de kenmerken en (of) wijzigingen in een specifiek informatiesysteem;
op basis van de resultaten van maatregelen om toezicht te houden op de naleving van de vereisten voor het waarborgen van de beveiliging van persoonsgegevens tijdens de verwerking ervan in het informatiesysteem.
Elektronische tekst van het document
opgesteld door CJSC "Kodeks" en geverifieerd door.
