Акт классификации информационной системы персональных данных в школе
Обновлено: 05.07.2024
Приложение N 14
к "Положению
о персональных данных
департамента труда и занятости
населения Краснодарского края"
ФОРМА АКТА КЛАССИФИКАЦИИ ИСПДН Определения уровней защищенности ПДн при их обработке в информационных системах персональных данных и класса защищенности информационных систем персональных данных департамента труда и занятости населения Краснодарского края
Комиссия в составе:
Председатель комиссии: _______________________________________________;
Члены комиссии: ______________________________________________________;
в соответствии с приказом ФСТЭК России от 11 февраля 2013 года N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных системах" произвела классификацию ИСПДн департамента труда и занятости населения Краснодарского края (далее - ДТЗН КК) и установила нижеследующее:
1. Уровень значимости информации, обрабатываемой в ИСПДн "Катарсис" определен как 2 уровень значимости.
2. ИСПДн "Катарсис" имеет региональный масштаб, т.к. является распределенной системой функционирующей в пределах Краснодарского края.
В соответствии с вышеизложенным, класс защищенности ИСПДн "Катарсис" определен как класс защищенности К2.
1. В ИСПДн "Катарсис" обрабатываются иные персональные данные.
2. Количество субъектов, персональные данные которых обрабатываются в ИСПДн "Катарсис" ДТЗН КК, превышает 100000. Субъектами ПДн являются граждане, обратившиеся за предоставлением государственных и муниципальных услуг в подведомственные ДТЗН КК центры занятости населения, обработка ПДн которых производится на основании законодательства.
3. В ИСПДн "Катарсис" являются актуальными угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе (3 тип угроз).
В соответствии с вышеизложенным в ИСПДн "Катарсис" необходимо обеспечить 3-й уровень защищенности персональных данных.
4. В ИСПДн ПП "Парус" обрабатываются иные персональные данные.
5. Количество субъектов, персональные данные которых обрабатываются в ИСПДн ПП "Парус" ДТЗН КК, не превышает 100000. Субъектами ПДн являются сотрудники ДТЗН КК и подведомственных центров занятости населения, контрагентов. Обработка ПДн которых производится на основании законодательства.
6. В ИСПДн "Парус" являются актуальными угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе (3 тип угроз).
В соответствии с вышеизложенным ИСПДн ПП "Парус" необходимо обеспечить 4-й уровень защищенности персональных данных.
7. В ИСПДн "Травматизм и профессиональные заболевания" обрабатываются иные персональные данные.
8. Количество субъектов, персональные данные которых обрабатываются в ИСПДн "Травматизм и профессиональные заболевания" ДТЗН КК, не превышает 100000. Субъектами ПДн являются граждане, обработка персональных данных которых ведется на основании договора.
9. В ИСПДн "Травматизм и профессиональные заболевания" являются актуальными угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе (3 тип угроз).
В соответствии с вышеизложенным ИСПДн "Травматизм и профессиональные заболевания" необходимо обеспечить 4-й уровень защищенности персональных данных.
10. В ИСПДн "Документооборот" обрабатываются иные персональные данные.
11. Количество субъектов, персональные данные которых обрабатываются в ИСПДн "Документооборот" ДТЗН КК, не превышает 100000. Субъектами ПДн являются сотрудники ДТЗН КК, обработка персональных данных которых ведется на основании договора.
12. В ИСПДн "Документооборот" являются актуальными угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе (3 тип угроз).
В соответствии с вышеизложенным ИСПДн "Документооборот" необходимо обеспечить 4-й уровень защищенности персональных данных.
Акт классификации ИСПДн (информационной системы персональных данных) определяет структуру системы и режим обработки конфиденциальной информации. В разделе представлен шаблон акта классификации ИСПДн – заполните его и скачайте готовый документ в удобном формате.
Для проведения классификации на предприятии должна быть создана комиссия. В состав комиссии обязательно должен входить ответственный за защиту персональных данных. Комиссия должна быть назначена приказом руководителя и осуществлять свою деятельность на основании Положения о комиссии по классификации. По результатам классификации должен быть оформлен акт. Акт классификации ИСПДн должен утверждаться председателем комиссии и подписываться всеми членами комиссии.
Как составить акт классификации ИСПДн
В акте указывается:
- обрабатываемые в системе персональные данные;
- объем обрабатываемых персональных данных;
- тип актуальных угроз для ИСПДн;
- структура информационной системы;
- наличие подключений к сетям связи общего пользования и (или) сетям международного информационного обмена;
- режим обработки персональных данных в системе;
- разграничение прав доступа пользователей;
- местонахождение ИСПДн;
- уровень защищенности ПДн.
В акт классификации ИСПДн могут входить системы, в которых хранятся такие данные:
Довольно редко встречаются системы, в которых обрабатываются персональные данные 3 категории. Это связано с тем, что для реальных задач нужны не только данные идентифицирующие субъекта (ФИО, паспортные данные), но и дополнительная информация о нем (например, сведения о зарплате).
Наиболее часто встречаются информационные системы, в которых обрабатываются персональные данные 2 категории. Например, системы расчета заработной платы сотрудников.
Специальные категории ПДн, как правило, встречаются в учреждениях здравоохранения.
Объем обрабатываемых ПДн определяет количество субъектов, персональные данные которых обрабатываются в системе. Применяется следующая градация:
- более чем 100 000 субъектов ПДн;
- менее чем 100 000 субъектов ПДн.
Виды угроз безопасности персональных данных
Тип актуальных угроз для ИСПДн:
- угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;
- угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;
- угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
По типу информационные системы персональных данных, описываемые в акте классификации ИСПДн, делятся на типовые и специальные. Типовые ИСПДн – информационные системы, в которых требуется обеспечить только конфиденциальность ПДн. Специальные ИСПДн – информационные системы, в которых, кроме конфиденциальности, необходимо обеспечить еще хотя бы одну характеристику безопасности персональных данных (целостность, доступность).
Кроме того, к специальным системам относятся все ИСПДн, обрабатывающие данные о здоровье субъектов, и ИСПДн, в которых предусмотрено принятие решений порождающих для субъекта юридические последствия на основании автоматизированной обработки.
Классификация информационных системы персональных данных по структуре:
- Автономные. Представляет собой одно автоматизированное рабочее место (компьютер).
- Локальные. Автоматизированные рабочие места (АРМ), объединенные в локальную сетью.
- Распределенные. Автоматизированные рабочие места или локальные сети, связанные между собой при помощи технологий удаленного доступа.
По режиму обработки персональных данных в системе ИСПДн делятся на однопользовательские и многопользовательские. Однопользовательские системы – большая редкость. Как правило, даже за одним автономным рабочим местом работают минимум два человека (на случай отпусков и болезней).
Классификация многопользовательских ИСПДн делятся на:
- Без разграничения прав доступа. В таких системах все пользователи имеют доступ ко всей информации.
- С разграничением прав доступа. Каждый пользователь имеет доступ к строго определенной части информации в системе.
По месту нахождения ИСПДн делятся на:
- Системы, которые полностью находятся в пределах РФ;
- Системы которые частично или целиком находятся за пределами РФ.
На этой странице вы можете заполнить шаблон акта классификации ИСПДн и скачать готовый документ в формате Word или PDF.
Читайте также:
- Примеры заданий на формирование функциональной грамотности обучающихся основной школы
- Раскройте суть проблем периодизации исторического процесса кратко
- Н к крупская о дошкольном воспитании кратко
- Ревякина в и оздоровительный подход к организации физической культуры в школе
- Где формируются программы для произвольных двигательных реакций кратко