Tata cara pengklasifikasian sistem informasi data pribadi. LetterPrava — konsultasi hukum gratis di lembaga pendidikan Republik Tatarstan
LAYANAN FEDERAL UNTUK PENGENDALIAN TEKNIS DAN EKSPOR
LAYANAN KEAMANAN FEDERAL FEDERASI RUSIA
KEMENTERIAN TEKNOLOGI INFORMASI DAN KOMUNIKASI
FEDERASI RUSIA
Atas persetujuan Prosedur untuk mengklasifikasikan sistem informasi data pribadi
Dicabut mulai tanggal 11 Maret 2014 atas dasar
perintah bersama dari FSTEC Rusia, FSB Rusia dan Kementerian Telekomunikasi dan Komunikasi Massa Rusia
tanggal 31 Desember 2013 N 151/786/461
____________________________________________________________________
Sesuai dengan paragraf 6 Peraturan tentang memastikan keamanan data pribadi selama pemrosesan mereka dalam sistem informasi data pribadi, disetujui oleh Keputusan Pemerintah Federasi Rusia 17 November 2007 N 781 "Atas persetujuan Peraturan untuk memastikan keamanan data pribadi selama pemrosesannya dalam sistem informasi data pribadi" (Sobraniye zakonodatelstva Rossiyskoy Federatsii, 2007, N 48, bagian II, pasal 6001),
kami memesan:
Menyetujui prosedur terlampir untuk mengklasifikasikan sistem informasi data pribadi.
Direktur Layanan Federal
teknis dan
kontrol ekspor
S. Grigorov
Direktur Persekutuan
layanan keamanan
Federasi Rusia
H.Patrushev
Menteri Teknologi Informasi
dan komunikasi Federasi Rusia
L. Reiman
Terdaftar
di Kementerian Kehakiman
Federasi Rusia
3 April 2008
pendaftaran N 11462
Tata cara pengklasifikasian sistem informasi data pribadi
DISETUJUI
atas perintah FSTEC Rusia,
FSB Rusia,
Kementerian Informasi dan Komunikasi Rusia
tanggal 13 Februari 2008 N 55/86/20
1. Prosedur ini menentukan klasifikasi sistem informasi data pribadi, yang merupakan kumpulan data pribadi yang terdapat dalam basis data, serta teknologi informasi dan sarana teknis yang memungkinkan pemrosesan data pribadi tersebut menggunakan alat otomatisasi (selanjutnya disebut sistem informasi ).
________________
Paragraf satu pasal 1 Peraturan tentang memastikan keamanan data pribadi selama pemrosesan mereka dalam sistem informasi data pribadi, disetujui oleh Keputusan Pemerintah Federasi Rusia tanggal 17 November 2007 N 781 (Kumpulan Legislasi Federasi Rusia, 2007 , N 48, Bagian II, Pasal 6001) (selanjutnya - Peraturan).
2. Klasifikasi sistem informasi dilakukan oleh badan negara, badan kota, badan hukum dan individu yang mengatur dan (atau) melakukan pemrosesan data pribadi, serta menentukan tujuan dan konten pemrosesan data pribadi (selanjutnya disebut disebut operator).
________________
Paragraf satu dari paragraf 6 Peraturan.
3. Klasifikasi sistem informasi dilakukan pada tahap pembuatan sistem informasi atau selama pengoperasiannya (untuk sistem informasi yang sebelumnya dioperasikan dan (atau) dimodernisasi) untuk menetapkan metode dan sarana perlindungan informasi yang diperlukan untuk memastikan keamanan data pribadi. *3)
4. Klasifikasi sistem informasi meliputi langkah-langkah sebagai berikut:
pengumpulan dan analisis data awal pada sistem informasi;
penugasan kelas yang sesuai untuk sistem informasi dan dokumentasinya.
5. Saat mengklasifikasikan sistem informasi, data awal berikut diperhitungkan:
kategori data pribadi yang diproses dalam sistem informasi - ;
jumlah data pribadi yang diproses (jumlah subjek data pribadi yang data pribadinya diproses dalam sistem informasi) - ;
karakteristik keamanan data pribadi yang diproses dalam sistem informasi yang ditentukan oleh penyelenggara;
struktur sistem informasi;
ketersediaan koneksi sistem informasi ke jaringan komunikasi publik dan (atau) jaringan pertukaran informasi internasional;
cara memproses data pribadi;
modus pembedaan hak akses pengguna sistem informasi;
lokasi sarana teknis sistem informasi.
6. Kategori data pribadi berikut yang diproses dalam sistem informasi ditentukan ():
kategori 1 - data pribadi yang berkaitan dengan ras, kebangsaan, pandangan politik, keyakinan agama dan filosofis, status kesehatan, kehidupan intim;
kategori 2 - data pribadi yang memungkinkan Anda mengidentifikasi subjek data pribadi dan memperoleh informasi tambahan tentangnya, dengan pengecualian data pribadi yang termasuk dalam kategori 1;
kategori 3 - data pribadi yang memungkinkan untuk mengidentifikasi subjek data pribadi;
kategori 4 - data pribadi yang tidak dipersonalisasi dan (atau) tersedia untuk umum.
7. dapat mengambil nilai-nilai berikut:
1 - sistem informasi secara bersamaan memproses data pribadi lebih dari 100.000 subjek data pribadi atau data pribadi subjek data pribadi dalam entitas konstituen Federasi Rusia atau Federasi Rusia secara keseluruhan;
2 - sistem informasi secara bersamaan memproses data pribadi dari 1.000 hingga 100.000 subjek data pribadi atau data pribadi subjek data pribadi yang bekerja di sektor ekonomi Federasi Rusia, di otoritas publik yang berada di kotamadya;
3 - data kurang dari 1000 subjek data pribadi atau data pribadi subjek data pribadi dalam organisasi tertentu diproses secara bersamaan dalam sistem informasi.
8. Menurut karakteristik keamanan data pribadi yang diproses dalam sistem informasi yang ditentukan oleh operator, sistem informasi dibagi menjadi sistem informasi standar dan sistem informasi khusus.
Sistem informasi tipikal adalah sistem informasi yang hanya membutuhkan kerahasiaan data pribadi.
Sistem informasi khusus adalah sistem informasi di mana terlepas dari kebutuhan untuk memastikan kerahasiaan data pribadi, diperlukan untuk memastikan setidaknya salah satu karakteristik keamanan data pribadi selain kerahasiaan (perlindungan dari perusakan, modifikasi, pemblokiran, serta sebagai tindakan tidak sah lainnya).
Sistem informasi khusus harus mencakup:
sistem informasi di mana data pribadi yang berkaitan dengan status kesehatan subjek data pribadi diproses;
sistem informasi yang menyediakan adopsi atas dasar pemrosesan data pribadi secara eksklusif secara otomatis dari keputusan yang menimbulkan konsekuensi hukum sehubungan dengan subjek data pribadi atau memengaruhi hak dan kepentingannya yang sah.
9. Menurut strukturnya, sistem informasi dibagi menjadi:
ke kompleks perangkat keras dan perangkat lunak otonom (tidak terhubung ke sistem informasi lain) yang dimaksudkan untuk memproses data pribadi (stasiun kerja otomatis);
ke kompleks tempat kerja otomatis, disatukan menjadi satu sistem informasi melalui komunikasi tanpa menggunakan teknologi akses jarak jauh (sistem informasi lokal);
pada kompleks tempat kerja otomatis dan (atau) sistem informasi lokal, digabungkan menjadi satu sistem informasi melalui komunikasi menggunakan teknologi akses jarak jauh (sistem informasi terdistribusi).
10. Menurut ketersediaan koneksi ke jaringan komunikasi publik dan (atau) jaringan pertukaran informasi internasional, sistem informasi dibagi menjadi sistem yang memiliki koneksi dan sistem yang tidak memiliki koneksi.
11. Menurut mode pemrosesan data pribadi dalam sistem informasi, sistem informasi dibagi menjadi pengguna tunggal dan multi pengguna.
12. Menurut batasan hak akses pengguna, sistem informasi dibagi menjadi sistem tanpa batasan hak akses dan sistem dengan batasan hak akses.
13. Sistem informasi, tergantung pada lokasi sarana teknisnya, dibagi menjadi sistem, yang semua sarana teknisnya berada di dalam Federasi Rusia, dan sistem, sarana teknis yang sebagian atau seluruhnya berada di luar Federasi Rusia.
14. Berdasarkan hasil analisis data awal, sistem informasi tipikal diberikan salah satu kelas berikut:
kelas 1 (K1) - sistem informasi yang pelanggaran terhadap karakteristik keamanan tertentu dari data pribadi yang diproses di dalamnya dapat menyebabkan konsekuensi negatif yang signifikan bagi subjek data pribadi;
kelas 2 (K2) - sistem informasi yang pelanggaran karakteristik keamanan tertentu dari data pribadi yang diproses di dalamnya dapat menyebabkan konsekuensi negatif bagi subjek data pribadi;
kelas 3 (K3) - sistem informasi yang pelanggaran terhadap karakteristik keamanan tertentu dari data pribadi yang diproses di dalamnya dapat menyebabkan konsekuensi negatif kecil bagi subjek data pribadi;
kelas 4 (K4) - sistem informasi yang pelanggaran karakteristik keamanan tertentu dari data pribadi yang diproses di dalamnya tidak menimbulkan konsekuensi negatif bagi subjek data pribadi.
15. Kelas sistem informasi tipikal ditentukan sesuai dengan tabel.
16. Berdasarkan hasil analisis data awal, kelas sistem informasi khusus ditentukan berdasarkan model ancaman keamanan data pribadi sesuai dengan dokumen metodologis yang dikembangkan sesuai dengan paragraf 2 Keputusan Pemerintah Federasi Rusia 17 November 2007 N 781 "Tentang Persetujuan Peraturan tentang Memastikan Keamanan Data Pribadi selama pemrosesan dalam sistem informasi data pribadi".
________________
Kumpulan Legislasi Federasi Rusia, 2007, N 48, bagian II, pasal 6001.
17. Dalam hal alokasi subsistem dalam sistem informasi, yang masing-masing merupakan sistem informasi, sistem informasi secara keseluruhan diberi kelas yang sesuai dengan kelas tertinggi dari subsistemnya.
18. Hasil klasifikasi sistem informasi didokumentasikan oleh tindakan operator yang relevan.
19. Kelas sistem informasi dapat direvisi:
dengan keputusan operator berdasarkan analisis dan penilaiannya terhadap ancaman terhadap keamanan data pribadi, dengan mempertimbangkan karakteristik dan (atau) perubahan dalam sistem informasi tertentu;
berdasarkan hasil tindakan untuk mengontrol kepatuhan terhadap persyaratan untuk memastikan keamanan data pribadi selama pemrosesannya dalam sistem informasi.
Teks elektronik dari dokumen
disiapkan oleh CJSC "Kodeks" dan diverifikasi menurut.
LAYANAN FEDERAL UNTUK PENGENDALIAN TEKNIS DAN EKSPOR
LAYANAN KEAMANAN FEDERAL FEDERASI RUSIA
KEMENTERIAN KOMUNIKASI DAN KOMUNIKASI MASSA FEDERASI RUSIA
MEMESAN
tanggal 31 Desember 2013 N 151/786/461
Atas pengakuan Layanan Federal untuk Kontrol Teknis dan Ekspor, Layanan Keamanan Federal Federasi Rusia dan Kementerian Teknologi Informasi dan Komunikasi Federasi Rusia tanggal 13 Februari 2008 N 55/86/20 “Atas persetujuan prosedur untuk melakukan klasifikasi sistem informasi data pribadi”
Sehubungan dengan pengakuan sebagai tidak sah Keputusan Pemerintah Federasi Rusia tanggal 17 November 2007 N 781 "Atas persetujuan Peraturan untuk memastikan keamanan data pribadi selama pemrosesan mereka dalam sistem informasi data pribadi" (Kumpulan Undang-Undang Federasi Rusia, 2007, N 48, Pasal 6001 ) KAMI MEMESAN:
mengakui sebagai tidak sahnya perintah Layanan Federal untuk Kontrol Teknis dan Ekspor, Layanan Keamanan Federal Federasi Rusia dan Kementerian Teknologi Informasi dan Komunikasi Federasi Rusia tertanggal 13 Februari 2008 N 55/86/20 "Atas Persetujuan Prosedur untuk Mengklasifikasikan Sistem Informasi Data Pribadi" (terdaftar Kementerian Kehakiman Federasi Rusia 3 April 2008, registrasi N 11462).
Direktur
Layanan Federal untuk Teknis
dan kontrol ekspor
Direktur
Layanan Keamanan Federal
Federasi Rusia
A.BORTNIKOV
komunikasi dan komunikasi massa
Federasi Rusia
Sehubungan dengan pengakuan tidak sahnya Keputusan Pemerintah Federasi Rusia tanggal 17 November 2007 No. 781 “Tentang Persetujuan Peraturan tentang Memastikan Keamanan Data Pribadi selama Pemrosesan dalam Sistem Informasi Data Pribadi” (Sobraniye Zakonodatelstva Rossiyskoy Federatsii, 2007, No. 48, Art.6001 ) kami memesan:
mengakui sebagai tidak sahnya perintah Layanan Federal untuk Kontrol Teknis dan Ekspor, Layanan Keamanan Federal Federasi Rusia dan Kementerian Teknologi Informasi dan Komunikasi Federasi Rusia tertanggal 13 Februari 2008 No. 55/86/20 "Atas Persetujuan tentang Prosedur Klasifikasi Sistem Informasi Data Pribadi" (terdaftar Kementerian Kehakiman Federasi Rusia pada 3 April 2008, nomor registrasi 11462).
| Menteri komunikasi dan komunikasi massa Federasi Rusia |
N.Nikiforov |
Ikhtisar dokumen
Perintah bersama FSTEC Rusia, FSB Rusia dan Kementerian Informasi dan Komunikasi Rusia, yang menyetujui prosedur klasifikasi untuk sistem informasi data pribadi, dianggap tidak valid.
Faktanya adalah Peraturan tentang memastikan keamanan data pribadi selama pemrosesan mereka dalam sistem informasi data pribadi, yang disetujui oleh Keputusan Pemerintah Federasi Rusia tanggal 17 November 2007 N 781, telah berhenti beroperasi. keluar dalam SK 1 November 2012 N 1119.
Kami informasikan bahwa perintah bersama Kementerian Pendidikan dan Ilmu Pengetahuan Republik Tatarstan dan Lembaga Negara "Pusat Teknologi Informasi Republik Tatarstan" No. 1156/09/29-o tanggal 18.05. memastikan keamanan informasi sistem informasi data pribadi di lembaga pendidikan Republik Tatarstan.
Atas dasar rencana ini, serta untuk membawa sistem informasi data pribadi lembaga pendidikan Republik Tatarstan sesuai dengan persyaratan Undang-Undang Federal Federasi Rusia tanggal 27 Juli 2006 No. 152-FZ "Tentang Data Pribadi", saya meminta Anda untuk mengatur serangkaian tindakan untuk melindungi data pribadi.
1. Pastikan penunjukan pejabat di lembaga pendidikan bawahan yang bertanggung jawab untuk memastikan keamanan data pribadi.
2. Di semua lembaga bawahan, tentukan sistem informasi di mana data pribadi diproses, klasifikasikan sesuai dengan “Prosedur Sistem Informasi Klasifikasi Data Pribadi” (Lampiran No. 2), setujui tindakan klasifikasi (Lampiran No. 3) .
3. Hingga 22 Juni 2009, kirimkan informasi tentang sistem informasi data pribadi semua lembaga pendidikan bawahan dalam formulir terlampir (Lampiran No. 4) kepada Kementerian Pendidikan dan Ilmu Pengetahuan Republik Tatarstan. Kirim informasi dalam bentuk ringkasan ke alamat email berikut:
Aplikasi.
1. Perintah Bersama Kementerian Pendidikan dan Ilmu Pengetahuan Republik Tatarstan dan Lembaga Negara "Pusat Teknologi Informasi Republik Tatarstan" No. 1156/09/29-o tanggal 18.05.2009 dalam 1 eksemplar. untuk 3 l.
2. Surat Perintah Nomor 55/86/20 tanggal 13 Februari 2008 “Tentang Persetujuan Tata Cara Sistem Informasi Klasifikasi Data Pribadi” dalam 1 rangkap. untuk 8 l.
3. Contoh perintah pembuatan komisi dan tindakan klasifikasi dalam 1 salinan. untuk 3 l.
4. Formulir “Informasi Sistem Informasi Data Pribadi” sebanyak 1 rangkap. per 1 liter
Menggunakan Khusnutdinov R.N.
Telp 2929003 
Tentang langkah-langkah untuk memastikan keamanan informasi
sistem informasi data pribadi
di lembaga pendidikan Republik Tatarstan
Untuk mengimplementasikan persyaratan dokumen peraturan Federasi Rusia dan Republik Tatarstan di bidang keamanan informasi
SAYA PESAN:
1.
Menyetujui rencana tindakan terlampir untuk memastikan
keamanan informasi sistem informasi data pribadi
di lembaga pendidikan Republik Tatarstan.
2. Saya memegang kendali atas pelaksanaan perintah ini.
RENCANA
langkah-langkah untuk memastikan keamanan informasi dari sistem informasi data pribadi
di lembaga pendidikan Republik Tatarstan
| № n\n | Nama acara | Tenggat waktu | Bertanggung jawab atas eksekusi | Catatan |
| 1. | Inventarisasi sistem informasi yang memproses data pribadi, mengklasifikasikan IP dan menyetujui tindakan klasifikasi | Juni 2009 | | Lakukan inventarisasi dalam bentuk yang ditentukan |
| 2. | Mengirim pemberitahuan oleh lembaga pendidikan (operator data pribadi) ke badan yang berwenang untuk perlindungan hak subjek data pribadi | Juni 2009 | Kementerian Pendidikan dan Ilmu Pengetahuan Republik Tatarstan, otoritas pendidikan Republik Tatarstan, lembaga pendidikan Republik Tatarstan yang tidak mengirimkan pemberitahuan | |
| 3. | Persiapan paket dokumen standar: Regulasi tentang perlindungan data pribadi Peraturan tentang unit perlindungan informasi; Peraturan pekerjaan orang yang bertanggung jawab atas perlindungan data pribadi Rencana tindakan perlindungan PD Rencana pemeriksaan internal status perlindungan PD Perintah pengangkatan penanggung jawab PD Jurnal akuntansi untuk tindakan pengendalian Daftar aplikasi mata pelajaran PD tentang pelaksanaan hak-hak hukum mereka Contoh jurnal (buku) akuntansi untuk PD Aturan untuk penggunaan alat keamanan informasi Contoh perjanjian dengan karyawan tentang tanggung jawab pengungkapan PD | Juli 2009 | GU CIT RT, Kemendikbud RT | |
| 4. | Survei dan penentuan beberapa kelompok prioritas lembaga pendidikan untuk sertifikasi sistem informasi selanjutnya dengan mengorbankan anggaran terpusat Republik Tatarstan | Agustus 2009 | | |
| 5. | Sertifikasi sistem informasi PD sesuai dengan pasal 8 rencana ini | Nopember 2009 | GU CIT RT, Kementerian Pendidikan dan Ilmu Pengetahuan RT, otoritas pendidikan RT, lembaga pendidikan Republik Tatarstan | |
| 6. | Mengatur dan memelihara sistem untuk melindungi informasi rahasia dari akses tidak sah sesuai dengan kelas IP yang ditetapkan, menggunakan alat keamanan yang disertifikasi dengan cara yang ditentukan | Selalu | Kementerian Pendidikan dan Ilmu Pengetahuan Republik Tatarstan, otoritas pendidikan Republik Tatarstan, lembaga pendidikan Republik Tatarstan |
Terdaftar di
Kementerian Kehakiman Rusia
DISETUJUI
atas perintah FSTEC Rusia,
№ 55/86/20
Memesan
klasifikasi sistem informasi data pribadi
Prosedur ini menentukan klasifikasi sistem informasi data pribadi, yang merupakan kumpulan data pribadi yang terkandung dalam basis data, serta teknologi informasi dan sarana teknis yang memungkinkan pemrosesan data pribadi tersebut menggunakan alat otomatisasi (selanjutnya disebut sistem informasi) 1 .
Klasifikasi sistem informasi dilakukan oleh badan negara, badan kota, badan hukum dan individu yang mengatur dan (atau) melakukan pemrosesan data pribadi, serta menentukan tujuan dan konten pemrosesan data pribadi (selanjutnya disebut sebagai operator) 2 .
Klasifikasi sistem informasi dilakukan pada tahap pembuatan sistem informasi atau selama pengoperasiannya (untuk sistem informasi yang sebelumnya dioperasikan dan (atau) dimodernisasi) untuk menetapkan metode dan cara perlindungan informasi yang diperlukan untuk memastikan keamanan data pribadi.
Klasifikasi sistem informasi meliputi langkah-langkah berikut:
5. Saat mengklasifikasikan sistem informasi, berikut ini yang diperhitungkan
data awal berikut ini:
"Paragraf pertama dari pasal 1 Peraturan tentang memastikan keamanan data pribadi selama pemrosesan mereka dalam sistem informasi data pribadi, disetujui oleh Keputusan Pemerintah Federasi Rusia tanggal 17 November 2007 No. 781 (Kumpulan Legislasi Rusia Federation, 2007, No. 48, Part II, Art. 6001 ) (selanjutnya disebut Regulasi) "Paragraf pertama pasal 6 Regulasi.
kategori data pribadi yang diproses dalam sistem informasi - X P d;
jumlah data pribadi yang diproses (jumlah subjek data pribadi yang data pribadinya diproses dalam sistem informasi) - X N pd;
karakteristik keamanan data pribadi yang diproses dalam sistem informasi yang ditentukan oleh penyelenggara;
struktur sistem informasi;
ketersediaan koneksi sistem informasi ke jaringan komunikasi publik dan (atau) jaringan pertukaran informasi internasional; cara memproses data pribadi;
modus pembedaan hak akses pengguna sistem informasi;
lokasi sarana teknis sistem informasi.
6. Berikut kategori olahan dalam
sistem informasi data pribadi (X P d):
7. Hnpd dapat mengambil nilai berikut:
- sistem informasi secara bersamaan memproses data pribadi lebih dari 100.000 subjek data pribadi atau data pribadi subjek data pribadi dalam entitas konstituen Federasi Rusia atau Federasi Rusia secara keseluruhan;
- sistem informasi secara bersamaan memproses data pribadi dari 1.000 hingga 100.000 subjek data pribadi atau data pribadi subjek data pribadi yang bekerja di sektor ekonomi Federasi Rusia, di otoritas publik yang berada di kotamadya;
- sistem informasi secara bersamaan memproses data kurang dari 1000 subjek data pribadi atau data pribadi subjek data pribadi dalam organisasi tertentu.
data diolah dalam sistem informasi, sistem informasi
dibagi menjadi sistem informasi standar dan khusus.
Sistem informasi tipikal adalah sistem informasi yang hanya membutuhkan kerahasiaan data pribadi.
Sistem informasi khusus adalah sistem informasi di mana terlepas dari kebutuhan untuk memastikan kerahasiaan data pribadi, diperlukan untuk memastikan setidaknya salah satu karakteristik keamanan data pribadi selain kerahasiaan (perlindungan dari perusakan, modifikasi, pemblokiran, serta sebagai tindakan tidak sah lainnya).
Sistem informasi khusus harus mencakup:
sistem informasi di mana data pribadi yang berkaitan dengan status kesehatan subjek data pribadi diproses;
sistem informasi yang menyediakan adopsi atas dasar pemrosesan data pribadi secara eksklusif secara otomatis dari keputusan yang menimbulkan konsekuensi hukum sehubungan dengan subjek data pribadi atau memengaruhi hak dan kepentingannya yang sah.
9. Menurut strukturnya, sistem informasi dibagi menjadi:
ke kompleks perangkat keras dan perangkat lunak otonom (tidak terhubung ke sistem informasi lain) yang dimaksudkan untuk memproses data pribadi (stasiun kerja otomatis);
ke kompleks tempat kerja otomatis, disatukan menjadi satu sistem informasi melalui komunikasi tanpa menggunakan teknologi akses jarak jauh (sistem informasi lokal);
pada kompleks tempat kerja otomatis dan (atau) sistem informasi lokal, digabungkan menjadi satu sistem informasi melalui komunikasi menggunakan teknologi akses jarak jauh (sistem informasi terdistribusi).
Menurut ketersediaan koneksi ke jaringan komunikasi publik dan (atau) jaringan pertukaran informasi internasional, sistem informasi dibagi menjadi sistem dengan koneksi dan sistem tanpa koneksi.
Menurut mode pemrosesan data pribadi dalam sistem informasi, sistem informasi dibagi menjadi pengguna tunggal dan multi pengguna.
Menurut batasan hak akses pengguna, sistem informasi dibagi menjadi sistem tanpa batasan hak akses dan sistem dengan batasan hak akses.
Sistem informasi, tergantung pada lokasi sarana teknisnya, dibagi menjadi sistem, yang semua sarana teknisnya berada di dalam Federasi Rusia, dan sistem, sarana teknis yang sebagian atau seluruhnya berada di luar Federasi Rusia.
Sistem ditugaskan salah satu kelas berikut:
kelas 1 (K1) - sistem informasi yang pelanggaran terhadap karakteristik keamanan tertentu dari data pribadi yang diproses di dalamnya dapat menyebabkan konsekuensi negatif yang signifikan bagi subjek data pribadi;
kelas 2 (K2) - sistem informasi yang pelanggaran karakteristik keamanan tertentu dari data pribadi yang diproses di dalamnya dapat menyebabkan konsekuensi negatif bagi subjek data pribadi;
kelas 3 (KZ) - sistem informasi yang pelanggaran terhadap karakteristik keamanan tertentu dari data pribadi yang diproses di dalamnya dapat menyebabkan konsekuensi negatif kecil bagi subjek data pribadi;
kelas 4 (K4) - sistem informasi yang pelanggaran karakteristik keamanan tertentu dari data pribadi yang diproses di dalamnya tidak menimbulkan konsekuensi negatif bagi subjek data pribadi.
15. Kelas sistem informasi tipikal ditentukan sesuai dengan
meja.
Berdasarkan hasil analisis data awal, kelas sistem informasi khusus ditentukan berdasarkan model ancaman keamanan data pribadi sesuai dengan dokumen metodologis yang dikembangkan sesuai dengan paragraf 2 Keputusan Pemerintah Republik Indonesia. Federasi Rusia tanggal 17 November 2007 No. 781 “Atas Persetujuan Peraturan tentang Memastikan Keamanan Data Pribadi selama pemrosesan mereka dalam sistem informasi data pribadi” 1 .
Dalam hal alokasi subsistem dalam sistem informasi, yang masing-masing merupakan sistem informasi, sistem informasi secara keseluruhan diberi kelas yang sesuai dengan kelas tertinggi dari subsistemnya.
1 Kumpulan Legislasi Federasi Rusia 2007, No. 48, Bagian II, Seni. 6001.
18. Hasil klasifikasi sistem informasi disusun
tindakan yang sesuai dari operator.
19. Kelas sistem informasi dapat direvisi:
dengan keputusan operator berdasarkan analisis dan penilaiannya terhadap ancaman terhadap keamanan data pribadi, dengan mempertimbangkan karakteristik dan (atau) perubahan dalam sistem informasi tertentu;
berdasarkan hasil tindakan untuk mengontrol kepatuhan terhadap persyaratan untuk memastikan keamanan data pribadi selama pemrosesannya dalam sistem informasi.
Bentuk standar
daftar sistem informasi data pribadi (ISPD) di mana keamanan informasi harus dipastikan
| | |||||||||
| No p / p | | Alamat objek | Struktur ISPD | | Modus pemrosesan PD | | | kelas ISPD | * Catatan |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
Contoh pengisian daftar
| Data awal klasifikasi ISPD | |||||||||
| No p / p | Nama ISPD (bagian komponennya) | Nama objek (lengkap dan disingkat) Alamat objek afiliasi industri (departemen). | Struktur ISPD | Ketersediaan koneksi ke jaringan SSOP dan IOI (Internet) | Modus pemrosesan PD | Kontrol akses pengguna | Lokasi ISPD (bagian penyusunnya) di Rusia | kelas ISPD | Catatan |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 1 | Sistem Tiket Pesawat AEROTRANS | CJSC "AEROTRANS", gedung Central Air Terminal, kantor No. 1501, 1502, Nomor 1720 (ruang server), Moskow, prospek Leningradsky, 35 | sistem terdistribusi | Terhubung ke Internet, menggunakan SSOP | multipemain | dengan diferensiasi hak akses | Titik pelanggan di wilayah Ukraina (Kyiv, bandara Boryspil) | 2 | Sistem memiliki AP di bandara Sheremetyevo, Domodedovo, Vnukovo |
Contoh perintah untuk membuat komisi untuk klasifikasi ISPD
Pada klasifikasi sistem informasi
data pribadi
Untuk mengklasifikasikan sistem informasi data pribadi yang terletak di gedung ______________, sesuai dengan kondisi operasinya dalam hal keamanan informasi, untuk memenuhi persyaratan keamanan informasi
SAYA PESAN:
1. Menunjuk komisi yang terdiri dari:
Ketua Komisi:
Wakil Kepala Lembaga Pendidikan ***
Anggota komisi:
Kepala Bagian Akuntansi dan Pelaporan ***
Kepala Departemen Kebijakan SDM ***
Kepala Spesialis ***
2. Melaksanakan klasifikasi sesuai dengan "Prosedur untuk Mengklasifikasikan Sistem Informasi Data Pribadi", yang disetujui atas perintah FSTEC Rusia, Dinas Keamanan Federal Rusia, Kementerian Informasi dan Komunikasi Rusia tertanggal 13 Februari 2008 .
3. Berdasarkan hasil pekerjaan, ajukan persetujuan “Tindakan klasifikasi sistem informasi data pribadi yang terletak di gedung OS.
4. Saya memegang kendali atas pelaksanaan perintah ini.
Kepala lembaga pendidikan ****
Contoh tindakan klasifikasi ISPD
ACT No._/AKl tanggal ___ ___________ 200_
klasifikasi sistem informasi data pribadi yang terletak di gedung OS
Komisi yang terdiri dari:
Ketua Komisi:Wakil kepala lembaga pendidikan
Anggota komisi:
dan pelaporan
Kepala Departemen Kebijakan SDM
Kepala Spesialis
terpasang:
1. Susunan sistem informasi data pribadi disajikan dalam “Daftar ISPD yang harus dipastikan keamanan informasinya” (Lampiran 1).
2. Kategori tertinggi data pribadi yang diproses di sistem informasi (X pd) - "kategori _".
3. Jumlah terbesar dari data pribadi yang diproses (X npd) sesuai dengan nilai _.
4. Sesuai dengan "Prosedur untuk mengklasifikasikan sistem informasi data pribadi", yang disetujui atas perintah FSTEC Rusia, FSB Rusia, Kementerian Informasi dan Komunikasi Rusia tertanggal 13 Februari 2008, sistem informasi sebagai keseluruhan ditugaskan Kelas _.
Ketua Komisi:
Wakil Ketua MA
Anggota komisi:
Kepala bagian akuntansi
dan pelaporan
Kepala Departemen SDM
Kepala Spesialis
Daftar sistem informasi data pribadi (ISPD) di mana keamanan harus dipastikan
informasi
| No p / p | Nama ISPD (bagian komponennya) | Nama objek (lengkap dan disingkat) Afiliasi industri (departemen). Alamat objek | Data awal klasifikasi ISPD | kelas ISPD | Catatan |
||||
| Struktur ISPD | Ketersediaan koneksi ke jaringan SSOP dan IOI (Internet) | Modus pemrosesan PD | Kontrol akses pengguna | Lokasi ISPD (bagian penyusunnya) di Rusia |
|||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 1 | |||||||||
* Kolom 10 menunjukkan informasi tambahan tentang sistem yang dianggap perlu oleh pemilik sistem untuk dimasukkan ke dalam daftar Kolom 4-8 menunjukkan informasi yang digunakan dalam klasifikasi ISPD sesuai dengan Tata Cara Pengklasifikasian Data Pribadi Sistem Informasi (Lampiran Urutan FSTEC Rusia, Layanan Keamanan Federal Rusia, Kementerian Informasi dan Komunikasi tanggal 13 Februari 2008 No. 55/86/20 “Tentang Persetujuan Prosedur untuk Mengklasifikasikan Sistem Informasi Data Pribadi”).
Informasi tentang sistem informasi data pribadi.
| № p/n | Pertanyaan yang direfleksikan | Menjawab |
| 1 | Nama sistem informasi data pribadi (ISPD), pengembang sistem. | Contoh: "Perusahaan 1C", perusahaan 1C |
| 2 | kelas ISPD | Tunjukkan kelas ISDN sesuai dengan tindakan klasifikasi |
| 3 | Tujuan dan status ISPD | Tunjukkan mengapa dan atas dasar apa mereka diciptakan (sesuai dengan hukum, untuk pelaksanaan perjanjian dengan perusahaan asuransi, atas inisiatif mereka sendiri, dll.) Contoh: memelihara catatan personalia dan akuntansi karyawan, yang dibuat sesuai dengan undang-undang |
| 4 | Cakupan dan komposisi ISPD | Tunjukkan jumlah subjek data pribadi yang diproses dalam sistem dan konten informasi (nama lengkap, alamat, NPWP, kewarganegaraan, dll.) |
| 5 | sumber ISPD | Tunjukkan sumber memperoleh data pribadi (dari warga negara, dari lembaga pendidikan lain, dari pihak ketiga, dll.) |
| 6 | Mode pemrosesan dan akses ke ISPD | Tentukan mode pemrosesan (pengguna tunggal, multipengguna), urutan akses (dengan atau tanpa diferensiasi) dan nama dokumen yang mengatur akses, jika ada. Contoh: multi-user, dengan kontrol akses, tidak ada regulasi. |
| 7 | pengguna ISPD. | Contoh: pengguna internal (departemen, divisi struktural). Pengguna eksternal (nama organisasi). |
| 8 | Cara untuk mengkomunikasikan informasi kepada pengguna. | Contoh: Di atas kertas, di media magnetik, melalui saluran komunikasi yang aman, dll. |
| 9 | Operator (Pasal 3, klausul 2 Undang-Undang Federal-152) atau orang yang dipercaya untuk memproses PD (klausa 10 dari "Peraturan ..."). Dasar hukum untuk pemrosesan data pribadi (oleh siapa keputusan dibuat dan dengan dokumen apa itu ditetapkan). | Tunjukkan nama lengkap (sesuai dengan piagam) dan alamat pos organisasi, dokumen yang menjadi dasar operasi institusi. Contoh: Kementerian Pendidikan dan Ilmu Pengetahuan Republik Tatarstan Keputusan Presiden Republik Tatarstan "Tentang Transformasi Kementerian Pendidikan Republik Tatarstan" tertanggal 09.09.2004 Nomor UP-570 Peraturan Kementerian Pendidikan dan Ilmu Pengetahuan Republik Tatarstan |
| 10 | Tanggal mulai pemrosesan PD | |
| 11 | Umur simpan | Tetapkan periode penyimpanan data untuk masing-masing ISPD, jika durasinya tidak ditentukan oleh undang-undang |
| 12 | Syarat atau ketentuan untuk penghentian pemrosesan | Tetapkan ketentuan pemrosesan data untuk masing-masing ISPD, jika durasinya tidak ditentukan oleh undang-undang |
| 13 | Informasi tentang dimasukkannya ISPD dalam daftar database negara bagian. |
Catatan: "Peraturan untuk memastikan keamanan data pribadi selama pemrosesannya dalam sistem informasi data pribadi" disetujui oleh Keputusan Pemerintah Federasi Rusia tanggal 17 November 2007 No. 781.
Tujuan dari situs web BukvaPrava adalah untuk membantu orang awam yang tidak memiliki pendidikan hukum untuk memahami solusi dari masalah dan masalah sehari-hari.
BukvaPrava adalah situs web yang memberikan bantuan hukum kepada semua warga negara yang membutuhkan nasihat profesional. Kami menerima pertanyaan tentang semua cabang undang-undang Rusia dan memberikan nasihat hukum secara online.
Apa itu nasihat hukum online
Warga kami telah lama terbiasa dengan fakta bahwa Anda harus membayar untuk layanan apa pun yang diterima, jadi bagi mereka nasihat hukum gratis tampaknya kurang dapat diandalkan daripada informasi yang sama yang diterima saat bertemu dengan notaris atau pengacara.
Harap dicatat bahwa nasihat hukum online diatur oleh Undang-Undang Federal No. 324 tanggal 21 November 2011 tentang pemberian bantuan hukum dan didorong oleh Program Negara yang bekerja di bidang mendukung penduduk negara di bidang hukum.
Dengan demikian, bantuan hukum online adalah peluang nyata untuk mendapatkan nasihat profesional utama dan mencari tahu bagaimana menyelesaikan masalah yang muncul. Untuk melakukan ini, Anda tidak perlu membuat janji dan membuang waktu dalam antrian.
Praktik "pengacara online" memungkinkan Anda untuk segera menemukan jawaban atas permintaan orientasi hukum saat ini. Jika situasi yang dijelaskan berkaitan dengan topik yang sering dibahas dan tidak mengandung jebakan, maka bantuan pengacara hanya akan memakan waktu beberapa menit. Lebih banyak waktu diperlukan untuk menyelesaikan masalah yang kompleks. Untuk mendapatkan nasihat hukum yang sepenuhnya sesuai dengan situasi saat ini, Anda perlu menjawab pertanyaan tambahan, memberikan informasi tentang keadaan sekitar, atau sekadar merumuskan topik dengan lebih jelas dan detail.
Layanan hukum memungkinkan Anda membuat keputusan dengan cepat dan menghindari langkah yang salah saat menilai situasi yang muncul atau menyelesaikan masalah kontroversial.
Apa yang ditawarkan situs web BukvaPrava
Pengacara berpengalaman yang berspesialisasi dalam berbagai cabang undang-undang dan melakukan aktivitas praktis sehari-hari bekerja untuk Anda. Semua konsultasi pengacara disusun dengan mempertimbangkan keadaan bidang hukum saat ini.
Bersama kami Anda dapat:
- baca artikel tentang topik topikal dan menarik tentang hukum perburuhan, perdata dan keluarga
- dapatkan nasihat hukum secara online dengan mengajukan pertanyaan di nomor telepon bebas pulsa atau dengan merumuskan masalah dalam bentuk permintaan tertulis
- belajar tentang perubahan baru dalam undang-undang dan mengklarifikasi keefektifan norma legislatif yang sudah ada sebelumnya
- menjaga kerahasiaan lengkap pertanyaan dan jawaban, karena kami tidak meminta dokumen identitas
- lihat situasi Anda dari sudut pandang norma dan praktik peradilan saat ini dan nilai prospek untuk menyelesaikan masalah.
Kami menawarkan bantuan pengacara gratis kepada siapa saja yang membutuhkan jawaban mendesak yang memenuhi syarat dalam kasus yang muncul.
Di sini Anda akan menemukan:
- Artikel yang menjelaskan berbagai situasi dari sudut pandang hukum
- Petunjuk langkah demi langkah untuk masalah mendesak
- Glosarium istilah hukum
- Templat dokumen yang sering digunakan
- Direktori alamat layanan dan organisasi yang diperlukan
Artikel terbaru dan petunjuk langkah demi langkah
Kami menambahkan artikel baru tentang topik terkini setiap hari. Jika Anda tidak memiliki jawaban kami atas pertanyaan Anda, kirimkan surat kepada kami [email dilindungi], kami akan menyelidiki masalah ini dan menerbitkan artikel dalam waktu dekat.
Dan jika Anda memiliki pertanyaan yang berkaitan dengan bidang hukum keluarga, Anda dapat mengunjungi situs Out of Marriage, di mana Anda bisa mendapatkan bantuan online dari pengacara tentang masalah keluarga: perkawinan dan perceraian, tunjangan, warisan, hak orang tua dan berbagai macam manfaat.
