Акт классификации информационной системы персональных данных в школе

Обновлено: 05.07.2024

Приложение N 14
к "Положению
о персональных данных
департамента труда и занятости
населения Краснодарского края"

ФОРМА АКТА КЛАССИФИКАЦИИ ИСПДН Определения уровней защищенности ПДн при их обработке в информационных системах персональных данных и класса защищенности информационных систем персональных данных департамента труда и занятости населения Краснодарского края

Комиссия в составе:

Председатель комиссии: _______________________________________________;

Члены комиссии: ______________________________________________________;

в соответствии с приказом ФСТЭК России от 11 февраля 2013 года N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных системах" произвела классификацию ИСПДн департамента труда и занятости населения Краснодарского края (далее - ДТЗН КК) и установила нижеследующее:

1. Уровень значимости информации, обрабатываемой в ИСПДн "Катарсис" определен как 2 уровень значимости.

2. ИСПДн "Катарсис" имеет региональный масштаб, т.к. является распределенной системой функционирующей в пределах Краснодарского края.

В соответствии с вышеизложенным, класс защищенности ИСПДн "Катарсис" определен как класс защищенности К2.

1. В ИСПДн "Катарсис" обрабатываются иные персональные данные.

2. Количество субъектов, персональные данные которых обрабатываются в ИСПДн "Катарсис" ДТЗН КК, превышает 100000. Субъектами ПДн являются граждане, обратившиеся за предоставлением государственных и муниципальных услуг в подведомственные ДТЗН КК центры занятости населения, обработка ПДн которых производится на основании законодательства.

3. В ИСПДн "Катарсис" являются актуальными угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе (3 тип угроз).

В соответствии с вышеизложенным в ИСПДн "Катарсис" необходимо обеспечить 3-й уровень защищенности персональных данных.

4. В ИСПДн ПП "Парус" обрабатываются иные персональные данные.

5. Количество субъектов, персональные данные которых обрабатываются в ИСПДн ПП "Парус" ДТЗН КК, не превышает 100000. Субъектами ПДн являются сотрудники ДТЗН КК и подведомственных центров занятости населения, контрагентов. Обработка ПДн которых производится на основании законодательства.

6. В ИСПДн "Парус" являются актуальными угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе (3 тип угроз).

В соответствии с вышеизложенным ИСПДн ПП "Парус" необходимо обеспечить 4-й уровень защищенности персональных данных.

7. В ИСПДн "Травматизм и профессиональные заболевания" обрабатываются иные персональные данные.

8. Количество субъектов, персональные данные которых обрабатываются в ИСПДн "Травматизм и профессиональные заболевания" ДТЗН КК, не превышает 100000. Субъектами ПДн являются граждане, обработка персональных данных которых ведется на основании договора.

9. В ИСПДн "Травматизм и профессиональные заболевания" являются актуальными угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе (3 тип угроз).

В соответствии с вышеизложенным ИСПДн "Травматизм и профессиональные заболевания" необходимо обеспечить 4-й уровень защищенности персональных данных.

10. В ИСПДн "Документооборот" обрабатываются иные персональные данные.

11. Количество субъектов, персональные данные которых обрабатываются в ИСПДн "Документооборот" ДТЗН КК, не превышает 100000. Субъектами ПДн являются сотрудники ДТЗН КК, обработка персональных данных которых ведется на основании договора.

12. В ИСПДн "Документооборот" являются актуальными угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе (3 тип угроз).

В соответствии с вышеизложенным ИСПДн "Документооборот" необходимо обеспечить 4-й уровень защищенности персональных данных.


Акт классификации ИСПДн (информационной системы персональных данных) определяет структуру системы и режим обработки конфиденциальной информации. В разделе представлен шаблон акта классификации ИСПДн – заполните его и скачайте готовый документ в удобном формате.

Для проведения классификации на предприятии должна быть создана комиссия. В состав комиссии обязательно должен входить ответственный за защиту персональных данных. Комиссия должна быть назначена приказом руководителя и осуществлять свою деятельность на основании Положения о комиссии по классификации. По результатам классификации должен быть оформлен акт. Акт классификации ИСПДн должен утверждаться председателем комиссии и подписываться всеми членами комиссии.

Как составить акт классификации ИСПДн

В акте указывается:

  • обрабатываемые в системе персональные данные;
  • объем обрабатываемых персональных данных;
  • тип актуальных угроз для ИСПДн;
  • структура информационной системы;
  • наличие подключений к сетям связи общего пользования и (или) сетям международного информационного обмена;
  • режим обработки персональных данных в системе;
  • разграничение прав доступа пользователей;
  • местонахождение ИСПДн;
  • уровень защищенности ПДн.

В акт классификации ИСПДн могут входить системы, в которых хранятся такие данные:

Довольно редко встречаются системы, в которых обрабатываются персональные данные 3 категории. Это связано с тем, что для реальных задач нужны не только данные идентифицирующие субъекта (ФИО, паспортные данные), но и дополнительная информация о нем (например, сведения о зарплате).

Наиболее часто встречаются информационные системы, в которых обрабатываются персональные данные 2 категории. Например, системы расчета заработной платы сотрудников.

Специальные категории ПДн, как правило, встречаются в учреждениях здравоохранения.

Объем обрабатываемых ПДн определяет количество субъектов, персональные данные которых обрабатываются в системе. Применяется следующая градация:

  • более чем 100 000 субъектов ПДн;
  • менее чем 100 000 субъектов ПДн.

Виды угроз безопасности персональных данных

Тип актуальных угроз для ИСПДн:

  • угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;
  • угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;
  • угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

По типу информационные системы персональных данных, описываемые в акте классификации ИСПДн, делятся на типовые и специальные. Типовые ИСПДн – информационные системы, в которых требуется обеспечить только конфиденциальность ПДн. Специальные ИСПДн – информационные системы, в которых, кроме конфиденциальности, необходимо обеспечить еще хотя бы одну характеристику безопасности персональных данных (целостность, доступность).

Кроме того, к специальным системам относятся все ИСПДн, обрабатывающие данные о здоровье субъектов, и ИСПДн, в которых предусмотрено принятие решений порождающих для субъекта юридические последствия на основании автоматизированной обработки.

Классификация информационных системы персональных данных по структуре:

  • Автономные. Представляет собой одно автоматизированное рабочее место (компьютер).
  • Локальные. Автоматизированные рабочие места (АРМ), объединенные в локальную сетью.
  • Распределенные. Автоматизированные рабочие места или локальные сети, связанные между собой при помощи технологий удаленного доступа.

По режиму обработки персональных данных в системе ИСПДн делятся на однопользовательские и многопользовательские. Однопользовательские системы – большая редкость. Как правило, даже за одним автономным рабочим местом работают минимум два человека (на случай отпусков и болезней).

Классификация многопользовательских ИСПДн делятся на:

  • Без разграничения прав доступа. В таких системах все пользователи имеют доступ ко всей информации.
  • С разграничением прав доступа. Каждый пользователь имеет доступ к строго определенной части информации в системе.

По месту нахождения ИСПДн делятся на:

  • Системы, которые полностью находятся в пределах РФ;
  • Системы которые частично или целиком находятся за пределами РФ.

На этой странице вы можете заполнить шаблон акта классификации ИСПДн и скачать готовый документ в формате Word или PDF.

Читайте также: