Классификация ИСПДн.
Защита персональных данных
В ходе анализа технологических процессов обработки ПДн специалистами компании «Инфосистемы Джет» вырабатываются рекомендации по снижению предполагаемых классов ИСПДн, которые могут содержать следующее: По наличию подключений к сетям связи общего пользования и сетям международного информационного обмена информационные системы подразделяются на имеющие и не имеющие подключений к таким сетям… Читать ещё >
Классификация ИСПДн. Защита персональных данных (реферат, курсовая, диплом, контрольная)
Классификация ИСПДн проводится оператором в соответствии с «Порядком проведения классификации информационных систем персональных данных», утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. №. 55/86/20, а также на основании нормативно-методических документов регуляторов ФСТЭК и ФСБ.
Классификация информационных систем проводится на этапе создания или в ходе их эксплуатации (для ранее введенных в эксплуатацию и модернизируемых информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.
Проведение классификации информационных систем включает в себя следующие этапы:
- · сбор и анализ исходных данных по информационной системе;
- · присвоение ей соответствующего класса;
- · его документальное оформление (составление и утверждение руководством организации Актов классификации на конкретные ИСПДн).
При проведении классификации информационной системы учитываются следующие исходные данные:
Таб. 1. Определение класса типовой информационной системы.
- · категория обрабатываемых в информационной системе персональных данных (категория 1, категория 2, категория 3, категория 4)8;
- · объем обрабатываемых персональных данных (количество субъектов ПДн, персональные данные которых обрабатываются в информационной системе — 1, 2, 3)9;
- · заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;
- · структура информационной системы;
- · наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;
- · режим обработки персональных данных;
- · режим разграничения прав доступа пользователей информационной системы;
- · местонахождение технических средств информационной системы.
Классификация ИСПДн Практика показала, что существуют определен ные сложности в проведении классификации ИСПДн силами операторов, поскольку для выполнения данной задачи не всегда хватает компетенции собственных специалистов.
Обладая опытом проведения проектов по защите персональных данных, компания «Инфосистемы Джет» сформировала свой подход к проведению данного вида работ. При этом отличительной особенностью является «правильная» классификация ИСПДн, при которой удается в значительной степени минимизировать расходы наших заказчиков на создание системы защиты персональных данных.
В частности, это становится возможным за счет минимизации мест хранения и обработки ПДн, разделения/сегментирования ИС, снижения требований к части сегментов, сокращения числа сотрудников, имеющих доступ к персональным данным, обезличивания части персональных данных, выведения части данных из ИСПДн.
В ходе анализа технологических процессов обработки ПДн специалистами компании «Инфосистемы Джет» вырабатываются рекомендации по снижению предполагаемых классов ИСПДн, которые могут содержать следующее:
- · Абстрагирование ПДн — сделать их менее точными, например, путем группирования общих характеристик;
- · Скрытие ПДн — удалить всю или часть записи ПДн;
- · Замена ПДн — переставить поля одной записи ПДн с теми же самыми полями другой аналогичной записи;
- · Замена данных средним значением — заменить выбранные данные средним значением для группы ПДн;
- · Разделение ПДн на части — использование таблиц перекрестных ссылок;
- · Маскирование ПДн — замена одних символов в ПДн другими.
По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, ИСПДн подразделяются на типовые и специальные:
- · типовые информационные системы — информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных;
- · специальные информационные системы — информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик их безопасности, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
По структуре информационные системы подразделяются:
- · на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств (автоматизированные рабочие места);
- · на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
- · на комплексы автоматизированных рабочих мест и локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).
По наличию подключений к сетям связи общего пользования и сетям международного информационного обмена информационные системы подразделяются на имеющие и не имеющие подключений к таким сетям.
По режиму обработки персональных данных в информационной системе ИСПДн подразделяются на однопользовательские и многопользовательские.
По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и с разграничением прав доступа.
Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах РФ, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.