Nivoi sigurnosti ličnih podataka: zahtjevi i karakteristike

Lični podaci-informacije čije otkrivanje može naštetiti osobi čiji su lični podaci odjednom postali poznati. Pored toga, otkrivanje takvih podataka, namjerno ili slučajno, uvodi određenu mjeru odgovornosti za osobu koja je skinula oznaku tajnosti s takvih podataka.

Stoga je za lične podatke potrebna neka vrsta zaštite. Koji tačno? To je određeno nivoima zaštite ličnih podataka. Šta su oni, koje su klasifikacije ovdje uvedene, koji su najvažniji zahtjevi za svaki nivo, razmotrit ćemo u ovom članku.

Zakonska regulativa

Uspostavljeni su nivoi sigurnosti ličnih podataka Vladinom uredbom № 1119 (2012). Zamijenili su zamijenjene klase informacionih sistema u oblasti ličnih, ličnih podataka.

Tako su uvedena 4 nivoa sigurnosti ličnih podataka za njihovu obradu u informacionim sistemima. , rezolucija je također uspostavila zahtjeve za svaku od njih.

Na osnovu toga koji se informacioni sistemi mogu pripisati jednom ili drugom nivou sigurnosti? Prije svega, potrebno je osloniti se na vrstu ličnih podataka koje takav informacioni sistem obrađuje, vrstu trenutnih prijetnji, kao i na broj subjekata ličnih podataka koji se obrađuju direktno u ovom sistemu. Važna je i činjenica čiji se lični podaci kontingenta obrađuju u određenom slučaju.

Nivoi

Kako se nositi sa nivoima sigurnosti ličnih podataka? Morate da kontaktirate p. 5 gore pomenute Rezolucije Broj 1119. Ovdje postoje četiri kategorije:

  • 1 nivo sigurnosti ličnih podataka. Ovo su posebni ISPDn (skraćenica - lični podaci informacioni sistemi). Šta se ovde obrađuje? Informacije koje se odnose na nacionalnost, rasu osobe, njegove političke stavove, filozofska uvjerenja, vjerska uvjerenja, zdravstveno stanje, detalje intimnog života.
  • 2 nivo sigurnosti ličnih podataka. Ovo već uključuje biometrijski ISPDn. U takvim sistemima će se obrađivati informacije koje karakterišu biološke i fiziološke karakteristike građanina. Na njihovoj osnovi sasvim je moguće utvrditi identitet ove osobe. Operater ih koristi za utvrđivanje identiteta određenog subjekta ličnih podataka. U ovom ključu ne treba obrađivati podatke koji pripadaju posebnom (odnosno prvom nivou sigurnosti) .
  • 3 nivo sigurnosti ličnih podataka. Ovo su javno dostupni ISP-ovi. Kako ovo razumjeti? Ovdje se obrađuju lični podaci o subjektima ličnih podataka dobivenih samo iz javno dostupnih izvora. Potonji mora biti kreiran u strogom skladu sa članom. 8 Federalnog zakona "O ličnim podacima".
  • 4 nivo sigurnosti ličnih podataka. Ovo su drugi ISPDn. Odnosno, nivo uključuje one informacione sisteme koji nisu naznačeni na prethodna tri nivoa.
3 nivo sigurnosti ličnih podataka

Oblik odnosa

Kako se nositi sa nivoima sigurnosti ličnih podataka? Potrebno je pogledati gore predstavljenu klasifikaciju.

Pored toga, obrada ličnih podataka će se razlikovati i u obliku odnosa između organizacije koja koristi ISPDn, predmet ličnih podataka. Postoje dvije vrste takvih odnosa:

  • Obrada ličnih podataka zaposlenih (subjekata koji su sa ovom organizacijom povezani službenim, radnim odnosima).
  • Obrada ličnih podataka onih osoba za koje se čini da nisu zaposleni u ovoj organizaciji.

Broj subjekata

Nivo sigurnosti ličnih podataka određuje se na osnovu prve klasifikacije u članku. 1119 predstavlja 2 kategorije ISPDn - a-prema broju subjekata čiji se lični podaci obrađuju u takvom sistemu.

Ovdje se ističu samo dvije grupe:

  • Manje od 100 hiljada predmeta.
  • Više od 100 hiljada ispitanika.
čin utvrđivanja nivoa zaštite ličnih podataka

Klasifikacija po vrsti stvarnih prijetnji

Postoje samo četiri nivoa sigurnosti informacionog sistema ličnih podataka. 1119 dijeli ISPDn prema vrstama stvarnih prijetnji koje se tamo mogu susresti prilikom obrade ličnih podataka subjekata:

  • Prva vrsta prijetnji. Oni su povezani sa prisustvom određenih nedokumentovanih, neprijavljenih funkcija koje postoje u softveru koji se koristi u informacionom sistemu.
  • Druga vrsta prijetnji. Prisustvo bilo kojeg broja neprijavljenih mogućnosti u aplikacijskom softveru koji se direktno koristi u ISPDn-u.
  • Treća vrsta prijetnji. Prisustvo bilo kakvih nedokumentovanih funkcija u softveru koji se koristi u ISPDn-u.

Problemi primjene klasifikacije

Upoznali smo se sa činom utvrđivanja nivoa zaštite ličnih podataka. Ali ovaj dokument i dalje ostavlja mnogo neriješenih pitanja nakon čitanja. Njegove najneugodnije praznine:

  • Dokument ne reguliše instalaciju vrste stvarnih prijetnji. 1119 ne nude nikakve metode i tehnike za njihovu neutralizaciju.
  • Ranije su operatori imali priliku da odaberu klasifikaciju posebnog ili standardnog ISPDn-a prema za opis modela prijetnje. Danas ne postoji takva mogućnost.
  • Budući da se nivo sigurnosti trenutno određuje na osnovu relevantnosti postojećih prijetnji, operater sistema ne može uvijek samostalno provesti takav postupak. Moraće da potraži pomoć od konsultanta, višeg organa itd.

Koliko nivoa sigurnosti ličnih podataka danas se dodjeljuje u Rusiji? Četiri. Zbog svih ovih poteškoća, operatori u praksi imaju tendenciju da slijede put manjeg otpora. Odnosno, oni određuju 3. tip za bilo koju prijetnju, gdje nije potrebno proučavati neprijavljene mogućnosti sistema i aplikativnog softvera koji se koristi za informacioni sistem.

, kako odrediti nivo sigurnosti ličnih podataka

Potrebni uslovi

Smislili smo kako odrediti nivo sigurnosti ličnih podataka. Svaki od njih mora ispunjavati uslove propisane vladinom uredbom Broj 1119. Hajde da ih navedemo:

  • Uspostavljanje posebnog režima za osiguranje sigurnosti prostorija u kojima se nalaze informacioni sistemi. Konkretno, trebalo bi spriječiti nekontrolisani boravak, prodor u ove prostore osoba kojima nije odobreno pravo takvog pristupa. Zahtjev je obavezan za sve nivoe.
  • Osiguravanje potpune sigurnosti nosilaca ličnih podataka. Zahtjev je obavezan za sve nivoe.
  • Odobrenje upravljanja dokumentacijom od strane operatera kojim se definiše spisak lica kojima je potreban pristup ličnim podacima obrađenim u informacionom sistemu za obavljanje sopstvenih radnih i službenih poslova. Zahtjev je obavezan za sve nivoe.
  • Upotreba takvih sredstava i metoda zaštite informacija koje su prošle kroz mjere za procjenu usklađenosti sa zahtjevima ruskog zakonodavstva u oblasti sigurnosti ličnih podataka. U takvim slučajevima, kada upotreba takvih sredstava neophodno je za neutralizirajte, uklonite trenutne prijetnje. Zahtjev je obavezan za sve nivoe.
  • Imenovanje službenog lica koje će biti odgovorno za osiguranje sigurnosti ličnih podataka u ISPDn-u. Zahtjev je obavezan za nivo 1, 2, 3.
  • Ograničenje pristupa lica sadržaju elektronskih dnevnika poruka. Zahtjev je obavezan za nivo 1 i 2.
  • Automatska registracija u elektronskom sigurnosnom dnevniku različitih promjena u ovlaštenjima zaposlenih operatera za pristup ličnim podacima sadržanim u sistemu. Zahtjev je obavezan za nivo 1.
  • Stvaranje posebne strukturne jedinice koja će biti odgovorna za osiguranje sigurnosti ličnih podataka u informacionom sistemu. Alternativno, dodjeljivanje takvih sigurnosnih funkcija jednoj od već postojećih grana organizacije. Zahtjev je obavezan za nivo 1.
nivo sigurnosti informacionog sistema ličnih podataka

Zaštita standardnih sistema

Uzmimo najčešći primjer-medicinske organizacije. Većina njih ima standardni ISPDn instaliran. Konkretno, koriste se za obračun osoblja, izračunavanje iznosa za naknadu.

Subjekti obrade ličnih podataka ovdje su zaposlenici medicinskih ustanova. Svrha obrade ličnih podataka u ovom slučaju je osigurati da svaki od radnika bude u skladu sa zakonodavstvom iz oblasti rada i drugih vrsta odnosa s njim.

Shodno tome, ni posebne ni biometrijske vrste ličnih podataka se ne obrađuju u takvim informacionim sistemima. To znači da nivo sigurnosti podataka ovdje treba odrediti samo vrstom stvarnih sigurnosnih prijetnji identificiranih u odnosu na ovaj informacioni sistem.

Što se tiče većine slučajeva, takvi se sistemi suočavaju s hitnim prijetnjama koje nisu povezane s prisustvom neprijavljenih (ili nedokumentiranih) mogućnosti i u aplikacijskom i u sistemskom softveru. Iz toga slijedi da operater treba osigurati samo četvrti nivo sigurnosti ličnih podataka. Drugim riječima, potrebno je implementirati najminimalniji skup tehničkih i organizacionih mjera.

da bi se utvrdio nivo sigurnosti ličnih podataka

Informacioni sistemi na federalnom nivou

Sada se okrenimo globalnijem primjeru u istoj ruskoj medicini. Ovo je FRMR (transkript - Federalni registar medicinskih radnika) - sistem čija je svrha prikupljanje, čuvanje, obrada informacionog računovodstva domaćeg medicinskog osoblja subjekata Ruske Federacije. Federalni registar se također koristi za kontrolu smještaja i kretanja podataka medicinskog osoblja u službi.

Sličnosti i razlike

Ali, kao iu gore opisanom manje složenom Informacionom sistemu, ne postoji obrada posebnih ili biometrijskih ličnih podataka o građanima. Shodno tome, karakteristike FMR-a i konvencionalnih medicinskih organizacija u ovoj oblasti su slične. Za Federalni registar potrebno je osigurati isti nivo sigurnosti podataka - četvrti.

Iako su kategorije IP subjekata, informacije obrađene u oba sistema gotovo slične, stručnjaci ne savjetuju njihovo kombiniranje u jedno. Zašto?? To je sve o različitim ciljevima. U prvom slučaju, sistem je kreiran da ispuni zahtjeve zakona o radu. U drugom-slijediti zahtjev Ministarstva zdravlja.

kako se nositi sa nivoima sigurnosti ličnih podataka

Zadaci medicinskog ISPDn-a

Takvi ISP-ovi dizajnirani su za rješavanje brojnih zadataka:

  • Mogućnost otvaranja elektronskog registra, održavanje elektronskih ambulantnih kartica.
  • Obrada podataka medicinskih istraživanja u digitalnom predstavništvu.
  • Prikupljanje i čuvanje informacija o praćenju stanja pacijenata uklonjenih sa medicinskih sredstava.
  • Jedno od sredstava komunikacije između medicinskih stručnjaka.
  • Analiza finansijskih i administrativnih informacija.

Naravno, za uspješno provođenje ovih zadataka potrebno je pravilno organizovati ISPDn sigurnost.

Važni faktori

Dakle, da bi se zaustavio na odgovarajućem nivou zaštite medicinskih ISP-ova, operater sistema treba da obratite pažnju na dva važna faktora:

  1. Posebni lični podaci mogu se obrađivati u informacionom sistemu-dijagnoza, struja zdravstveni status, , indikacije medicinskih sredstava itd.
  2. Subjekti ISPDn-a ovdje mogu biti ne samo zaposleni u medicinskoj ustanovi, već i pacijenti organizacije.

Ako je broj subjekata takvog informacionog sistema velik, ako se pronađe određena vrsta stvarnih prijetnji, onda je potrebno zaustaviti se na 1. ili 2. nivou sigurnosti ličnih podataka.

nivoi sigurnosti ličnih podataka

Upoznali smo se sa nivoima zaštite ličnih podataka, koji su za njih smatrani važnim karakteristikama. , koristeći primjere kako odabrati pravi nivo, na koje se zakonodavne akte istovremeno osloniti.

Klasifikacija baze podataka: varijante, modeli podataka i glavne karakteristike Klasifikacija baze podataka: varijante, modeli podataka i glavne karakteristike
Baza podataka dobavljača: recenzije, karakteristike i preporuke Baza podataka dobavljača: recenzije, karakteristike i preporuke
Koncept, ciljevi i zadaci informacione sigurnosti Koncept, ciljevi i zadaci informacione sigurnosti
Zahtjevi za sef za pištolj: uslovi ugradnje, dimenzije, tehničke karakteristike Zahtjevi za sef za pištolj: uslovi ugradnje, dimenzije, tehničke karakteristike
Metrološka certifikacija: periodi verifikacije, karakteristike ponašanja i zahtjevi gost-a Metrološka certifikacija: periodi verifikacije, karakteristike ponašanja i zahtjevi gost-a
Android x86: karakteristike i sistemski zahtjevi Android x86: karakteristike i sistemski zahtjevi
Nosql, baze podataka: pregled, primjeri i područja primjene Nosql, baze podataka: pregled, primjeri i područja primjene
Nivoi zaštite informacija: koncept, osnovni principi, analiza rizika i njihovo uklanjanje Nivoi zaštite informacija: koncept, osnovni principi, analiza rizika i njihovo uklanjanje
Uzorak pregleda arbitražnom sudu — karakteristike, zahtjevi i obrazac Uzorak pregleda arbitražnom sudu — karakteristike, zahtjevi i obrazac