Tata cara pengklasifikasian sistem informasi data pribadi. LetterPrava - nasihat hukum gratis tentang klasifikasi sistem informasi
Perintah Layanan Federal untuk Kontrol Teknis dan Ekspor (FSTEC Rusia) dari Layanan Keamanan Federal Federasi Rusia (FSB Rusia) dari Kementerian Teknologi Informasi dan Komunikasi Federasi Rusia (Kementerian Komunikasi Rusia) tertanggal Februari 13, 2008 N 55/86/20 Moskow
“Tentang Persetujuan Tata Cara Klasifikasi Sistem Informasi Data Pribadi”
Sesuai dengan paragraf 6 Peraturan tentang memastikan keamanan data pribadi selama pemrosesan mereka dalam sistem informasi data pribadi, disetujui oleh Keputusan Pemerintah Federasi Rusia 17 November 2007 N 781 "Atas persetujuan Peraturan untuk memastikan keamanan data pribadi selama pemrosesannya dalam sistem informasi data pribadi "(Kumpulan Legislasi Federasi Rusia, 2007, N 48, Bagian II, Pasal 6001), kami memesan:
Menyetujui prosedur terlampir untuk mengklasifikasikan sistem informasi data pribadi.
Direktur FSTEC S. Grigorov
Direktur FSB Federasi Rusia N. Patrushev
Menteri Teknologi Informasi dan Komunikasi Federasi Rusia L. Reiman
Tata cara pengklasifikasian sistem informasi data pribadi
1. Prosedur ini menentukan klasifikasi sistem informasi data pribadi, yang merupakan kumpulan data pribadi yang terdapat dalam basis data, serta teknologi informasi dan sarana teknis yang memungkinkan pemrosesan data pribadi tersebut menggunakan alat otomatisasi (selanjutnya disebut sistem informasi )1.
2. Klasifikasi sistem informasi dilakukan oleh badan negara, badan kota, badan hukum dan individu yang mengatur dan (atau) melakukan pemrosesan data pribadi, serta menentukan tujuan dan konten pemrosesan data pribadi (selanjutnya disebut disebut sebagai operator)2.
3. Klasifikasi sistem informasi dilakukan pada tahap pembuatan sistem informasi atau selama pengoperasiannya (untuk sistem informasi yang sebelumnya dioperasikan dan (atau) dimodernisasi) untuk menetapkan metode dan sarana perlindungan informasi yang diperlukan untuk memastikan keamanan data pribadi.
4. Klasifikasi sistem informasi meliputi langkah-langkah sebagai berikut:
pengumpulan dan analisis data awal pada sistem informasi:
penugasan kelas yang sesuai untuk sistem informasi dan dokumentasinya.
5. Saat mengklasifikasikan sistem informasi, data awal berikut diperhitungkan:
Volume data pribadi yang diproses (jumlah subjek data pribadi yang data pribadinya diproses dalam sistem informasi) - X npd; (hal.7)
Karakteristik yang ditentukan oleh operator (yaitu perlindungan hanya "conf", atau juga dari penghancuran, modifikasi, pemblokiran, serta tindakan tidak sah lainnya) dari keamanan data pribadi yang diproses dalam sistem informasi (lihat pasal 8);
Struktur sistem informasi (klausul 9);
Ketersediaan koneksi sistem informasi ke jaringan komunikasi publik dan (atau) jaringan pertukaran informasi internasional (klausul 10);
Cara memproses data pribadi (klausul 11);
Modus pembedaan hak akses pengguna sistem informasi (pasal 12);
Lokasi sarana teknis sistem informasi (pasal 13).
6. Kategori data pribadi yang diproses dalam sistem informasi (X pd) berikut ini didefinisikan:
7. Х npd dapat mengambil nilai berikut:
1 - sistem informasi secara bersamaan memproses data pribadi lebih dari 100.000 subjek data pribadi atau data pribadi subjek data pribadi dalam entitas konstituen Federasi Rusia atau Federasi Rusia secara keseluruhan;
2 - sistem informasi secara bersamaan memproses data pribadi dari 1.000 hingga 100.000 subjek data pribadi atau data pribadi subjek data pribadi yang bekerja di sektor ekonomi Federasi Rusia, di otoritas publik yang berada di kotamadya;
3 - data kurang dari 1000 subjek data pribadi atau data pribadi subjek data pribadi dalam organisasi tertentu diproses secara bersamaan dalam sistem informasi.
8. Menurut karakteristik keamanan data pribadi yang diproses dalam sistem informasi yang ditentukan oleh operator, sistem informasi dibagi menjadi sistem informasi standar dan sistem informasi khusus.
Sistem informasi tipikal adalah sistem informasi yang hanya membutuhkan kerahasiaan data pribadi.
Sistem informasi khusus adalah sistem informasi di mana terlepas dari kebutuhan untuk memastikan kerahasiaan data pribadi, diperlukan untuk memastikan setidaknya salah satu karakteristik keamanan data pribadi selain kerahasiaan (perlindungan dari perusakan, modifikasi, pemblokiran, serta sebagai tindakan tidak sah lainnya).
Sistem informasi khusus harus mencakup:
sistem informasi di mana data pribadi yang berkaitan dengan status kesehatan subjek data pribadi diproses;
sistem informasi yang menyediakan adopsi atas dasar pemrosesan data pribadi secara eksklusif secara otomatis dari keputusan yang menimbulkan konsekuensi hukum sehubungan dengan subjek data pribadi atau memengaruhi hak dan kepentingannya yang sah.
9. Menurut strukturnya, sistem informasi dibagi menjadi:
ke kompleks perangkat keras dan perangkat lunak otonom (tidak terhubung ke sistem informasi lain) yang dimaksudkan untuk memproses data pribadi (stasiun kerja otomatis);
ke kompleks tempat kerja otomatis, disatukan menjadi satu sistem informasi melalui komunikasi tanpa menggunakan teknologi akses jarak jauh (sistem informasi lokal);
pada kompleks tempat kerja otomatis dan (atau) sistem informasi lokal, digabungkan menjadi satu sistem informasi melalui komunikasi menggunakan teknologi akses jarak jauh (sistem informasi terdistribusi).
10. Menurut ketersediaan koneksi ke jaringan komunikasi publik dan (atau) jaringan pertukaran informasi internasional, sistem informasi dibagi menjadi sistem yang memiliki koneksi dan sistem yang tidak memiliki koneksi.
11. Menurut mode pemrosesan data pribadi dalam sistem informasi, sistem informasi dibagi menjadi pengguna tunggal dan multi pengguna.
12. Menurut batasan hak akses pengguna, sistem informasi dibagi menjadi sistem tanpa batasan hak akses dan sistem dengan batasan hak akses.
13. Sistem informasi, tergantung pada lokasi sarana teknisnya, dibagi menjadi sistem, yang semua sarana teknisnya berada di dalam Federasi Rusia, dan sistem, sarana teknis yang sebagian atau seluruhnya berada di luar Federasi Rusia.
14. Berdasarkan hasil analisis data awal, sistem informasi tipikal diberikan salah satu kelas berikut:
kelas 1 (K1) - sistem informasi yang pelanggaran terhadap karakteristik keamanan tertentu dari data pribadi yang diproses di dalamnya dapat menyebabkan konsekuensi negatif yang signifikan bagi subjek data pribadi;
kelas 2 (K2) - sistem informasi yang pelanggaran karakteristik keamanan tertentu dari data pribadi yang diproses di dalamnya dapat menyebabkan konsekuensi negatif bagi subjek data pribadi;
kelas 3 (K3) - sistem informasi yang pelanggaran terhadap karakteristik keamanan tertentu dari data pribadi yang diproses di dalamnya dapat menyebabkan konsekuensi negatif kecil bagi subjek data pribadi;
kelas 4 (K4) - sistem informasi yang pelanggaran karakteristik keamanan tertentu dari data pribadi yang diproses di dalamnya tidak menimbulkan konsekuensi negatif bagi subjek data pribadi.
15. Kelas sistem informasi tipikal ditentukan sesuai dengan tabel.
16. Berdasarkan hasil analisis data awal, kelas sistem informasi khusus ditentukan berdasarkan model ancaman keamanan data pribadi sesuai dengan dokumen metodologis yang dikembangkan sesuai dengan paragraf 2 Keputusan Menteri Pemerintah Federasi Rusia 17 November 2007 N 781 "Atas persetujuan Peraturan untuk memastikan keamanan data pribadi selama pemrosesan dalam sistem informasi data pribadi"3.
17. Dalam hal alokasi subsistem dalam sistem informasi, yang masing-masing merupakan sistem informasi, sistem informasi secara keseluruhan diberi kelas yang sesuai dengan kelas tertinggi dari subsistemnya.
18. Hasil klasifikasi sistem informasi didokumentasikan oleh tindakan operator yang relevan.
19. Kelas sistem informasi dapat direvisi:
dengan keputusan operator berdasarkan analisis dan penilaiannya terhadap ancaman terhadap keamanan data pribadi, dengan mempertimbangkan karakteristik dan (atau) perubahan dalam sistem informasi tertentu;
berdasarkan hasil tindakan untuk mengontrol kepatuhan terhadap persyaratan untuk memastikan keamanan data pribadi selama pemrosesannya dalam sistem informasi.
1 Paragraf satu pasal 1 Peraturan tentang memastikan keamanan data pribadi selama pemrosesannya dalam sistem informasi data pribadi, disetujui oleh Keputusan Pemerintah Federasi Rusia tanggal 17 November 2007
N 781 (Sobraniye zakonodatelstva Rossiyskoy Federatsii, 2007, N 48, bagian II,
2Paragraf satu dari paragraf 6 Peraturan.
3Sobranie zakonodatelstva Rossiyskoy Federatsii 2007, N 48, Bagian II, Art. 6001.
Urutan Layanan Federal untuk Kontrol Teknis dan Ekspor, Layanan Keamanan Federal Federasi Rusia dan Kementerian Teknologi Informasi dan Komunikasi Federasi Rusia
tanggal 13 Februari 2008 N 55/86/20
“Tentang Persetujuan Tata Cara Klasifikasi Sistem Informasi Data Pribadi”
Sesuai dengan paragraf 6 Peraturan tentang memastikan keamanan data pribadi selama pemrosesan mereka dalam sistem informasi data pribadi, disetujui oleh Keputusan Pemerintah Federasi Rusia 17 November 2007 N 781 "Atas persetujuan Peraturan untuk memastikan keamanan data pribadi selama pemrosesan dalam sistem informasi data pribadi "(Kumpulan Legislasi Federasi Rusia, 2007, N 48, Bagian II, Pasal 6001), kami memesan:
Menyetujui terlampir Memesan klasifikasi sistem informasi data pribadi.
Pendaftaran N 11462
Memesan
klasifikasi sistem informasi data pribadi
1. Prosedur ini menentukan klasifikasi sistem informasi data pribadi, yang merupakan kumpulan data pribadi yang terdapat dalam basis data, serta teknologi informasi dan sarana teknis yang memungkinkan pemrosesan data pribadi tersebut menggunakan alat otomatisasi (selanjutnya disebut sistem informasi ) * .
2. Klasifikasi sistem informasi dilakukan oleh badan negara, badan kota, badan hukum dan individu yang mengatur dan (atau) melakukan pemrosesan data pribadi, serta menentukan tujuan dan konten pemrosesan data pribadi (selanjutnya disebut disebut operator) ** .
3. Klasifikasi sistem informasi dilakukan pada tahap pembuatan sistem informasi atau selama pengoperasiannya (untuk sistem informasi yang sebelumnya dioperasikan dan (atau) dimodernisasi) untuk menetapkan metode dan sarana perlindungan informasi yang diperlukan untuk memastikan keamanan data pribadi.
4. Klasifikasi sistem informasi meliputi langkah-langkah sebagai berikut:
pengumpulan dan analisis data awal pada sistem informasi:
penugasan kelas yang sesuai untuk sistem informasi dan dokumentasinya.
5. Saat mengklasifikasikan sistem informasi, data awal berikut diperhitungkan:
jumlah data pribadi yang diproses (jumlah subjek data pribadi yang data pribadinya diproses dalam sistem informasi) - ;
karakteristik keamanan data pribadi yang diproses dalam sistem informasi yang ditentukan oleh penyelenggara;
struktur sistem informasi;
ketersediaan koneksi sistem informasi ke jaringan komunikasi publik dan (atau) jaringan pertukaran informasi internasional;
cara memproses data pribadi;
modus pembedaan hak akses pengguna sistem informasi;
lokasi sarana teknis sistem informasi.
6. Kategori data pribadi berikut yang diproses dalam sistem informasi ditentukan:
7. dapat mengambil nilai-nilai berikut:
1 - sistem informasi secara bersamaan memproses data pribadi lebih dari 100.000 subjek data pribadi atau data pribadi subjek data pribadi dalam entitas konstituen Federasi Rusia atau Federasi Rusia secara keseluruhan;
2 - sistem informasi secara bersamaan memproses data pribadi dari 1.000 hingga 100.000 subjek data pribadi atau data pribadi subjek data pribadi yang bekerja di sektor ekonomi Federasi Rusia, di otoritas publik yang berada di kotamadya;
3 - data kurang dari 1000 subjek data pribadi atau data pribadi subjek data pribadi dalam organisasi tertentu diproses secara bersamaan dalam sistem informasi.
8. Menurut karakteristik keamanan data pribadi yang diproses dalam sistem informasi yang ditentukan oleh operator, sistem informasi dibagi menjadi sistem informasi standar dan sistem informasi khusus.
Sistem informasi tipikal adalah sistem informasi yang hanya membutuhkan kerahasiaan data pribadi.
Sistem informasi khusus adalah sistem informasi di mana terlepas dari kebutuhan untuk memastikan kerahasiaan data pribadi, diperlukan untuk memastikan setidaknya salah satu karakteristik keamanan data pribadi selain kerahasiaan (perlindungan dari perusakan, modifikasi, pemblokiran, serta sebagai tindakan tidak sah lainnya).
Sistem informasi khusus harus mencakup:
sistem informasi di mana data pribadi yang berkaitan dengan status kesehatan subjek data pribadi diproses;
sistem informasi yang menyediakan adopsi atas dasar pemrosesan data pribadi secara eksklusif secara otomatis dari keputusan yang menimbulkan konsekuensi hukum sehubungan dengan subjek data pribadi atau memengaruhi hak dan kepentingannya yang sah.
9. Menurut strukturnya, sistem informasi dibagi menjadi:
ke kompleks perangkat keras dan perangkat lunak otonom (tidak terhubung ke sistem informasi lain) yang dimaksudkan untuk memproses data pribadi (stasiun kerja otomatis);
ke kompleks tempat kerja otomatis, disatukan menjadi satu sistem informasi melalui komunikasi tanpa menggunakan teknologi akses jarak jauh (sistem informasi lokal);
pada kompleks tempat kerja otomatis dan (atau) sistem informasi lokal, digabungkan menjadi satu sistem informasi melalui komunikasi menggunakan teknologi akses jarak jauh (sistem informasi terdistribusi).
10. Menurut ketersediaan koneksi ke jaringan komunikasi publik dan (atau) jaringan pertukaran informasi internasional, sistem informasi dibagi menjadi sistem yang memiliki koneksi dan sistem yang tidak memiliki koneksi.
11. Menurut mode pemrosesan data pribadi dalam sistem informasi, sistem informasi dibagi menjadi pengguna tunggal dan multi pengguna.
12. Menurut batasan hak akses pengguna, sistem informasi dibagi menjadi sistem tanpa batasan hak akses dan sistem dengan batasan hak akses.
13. Sistem informasi, tergantung pada lokasi sarana teknisnya, dibagi menjadi sistem, yang semua sarana teknisnya berada di dalam Federasi Rusia, dan sistem, sarana teknis yang sebagian atau seluruhnya berada di luar Federasi Rusia.
14. Berdasarkan hasil analisis data awal, sistem informasi tipikal diberikan salah satu kelas berikut:
kelas 1 (K1) - sistem informasi yang pelanggaran terhadap karakteristik keamanan tertentu dari data pribadi yang diproses di dalamnya dapat menyebabkan konsekuensi negatif yang signifikan bagi subjek data pribadi;
kelas 2 (K2) - sistem informasi yang pelanggaran karakteristik keamanan tertentu dari data pribadi yang diproses di dalamnya dapat menyebabkan konsekuensi negatif bagi subjek data pribadi;
kelas 3 (K3) - sistem informasi yang pelanggaran terhadap karakteristik keamanan tertentu dari data pribadi yang diproses di dalamnya dapat menyebabkan konsekuensi negatif kecil bagi subjek data pribadi;
kelas 4 (K4) - sistem informasi yang pelanggaran karakteristik keamanan tertentu dari data pribadi yang diproses di dalamnya tidak menimbulkan konsekuensi negatif bagi subjek data pribadi.
15. Kelas sistem informasi tipikal ditentukan sesuai dengan tabel.
┌──────────────────────────┬──────────────┬──────────────┬──────────────┐
│ X_npd │ 3 │ 2 │ 1 │
│ \ │ │ │ │
│X_pd │ │ │ │
├──────────────────────────┼──────────────┼──────────────┼──────────────┤
├──────────────────────────┼──────────────┼──────────────┼──────────────┤
├──────────────────────────┼──────────────┼──────────────┼──────────────┤
└──────────────────────────┴──────────────┴──────────────┴──────────────┘
16. Berdasarkan hasil analisis data awal, kelas sistem informasi khusus ditentukan berdasarkan model ancaman keamanan data pribadi sesuai dengan dokumen metodologis yang dikembangkan sesuai dengan paragraf 2 Keputusan Menteri Pemerintah Federasi Rusia 17 November 2007 N 781 "Atas persetujuan Peraturan untuk memastikan keamanan data pribadi selama pemrosesan dalam sistem informasi data pribadi" *** .
17. Dalam hal alokasi subsistem dalam sistem informasi, yang masing-masing merupakan sistem informasi, sistem informasi secara keseluruhan diberi kelas yang sesuai dengan kelas tertinggi dari subsistemnya.
18. Hasil klasifikasi sistem informasi didokumentasikan oleh tindakan operator yang relevan.
19. Kelas sistem informasi dapat direvisi:
dengan keputusan operator berdasarkan analisis dan penilaiannya terhadap ancaman terhadap keamanan data pribadi, dengan mempertimbangkan karakteristik dan (atau) perubahan dalam sistem informasi tertentu;
berdasarkan hasil tindakan untuk mengontrol kepatuhan terhadap persyaratan untuk memastikan keamanan data pribadi selama pemrosesannya dalam sistem informasi.
______________________________
* Paragraf satu dari pasal 1 Peraturan tentang memastikan keamanan data pribadi selama pemrosesan mereka dalam sistem informasi data pribadi, disetujui oleh Keputusan Pemerintah Federasi Rusia tanggal 17 November 2007 N 781 (Kumpulan Undang-Undang Federasi Rusia, 2007, N 48, Bagian II, Pasal 6001 ) (selanjutnya disebut Peraturan).
20 86 ...
Rencana umum materi daerah pedesaan Voronskoye tentang pembenaran proyek bagian 1 deskripsi pembenaran
DokumenPOSISI 13 2. KONDISI ALAM 13 3. Iklim. 13 4. ... pendidikan 86 20 . Pendidikan umum 86 21 ... , ribu rubel 2008. 2009 2009/ 2008., % 2010 ... desa Aleksandrovo N5520 Zona distribusi 0,8 desa Konyukhovo N56 20 RES 0, ... di Federasi Rusia" dari 6 Februari 2003 No....
Penerbit 86 koran umum ... kongres. Dokumen N55
Klasifikasi ISPD dilakukan pada tahap pembuatannya atau selama pengoperasiannya, namun wajib dilakukan sebelum ISPD dibangun. Secara umum, semua Sistem Informasi pengolahan Informasi pribadi, dibagi menjadi 2 kelas tergantung pada karakteristik keamanan dari data yang diproses:
Sistem informasi tipikal– sistem di mana diperlukan untuk menyediakan saja kerahasiaan data pribadi yang diproses.
Sistem informasi khusus– sistem yang diharuskan menyediakan setidaknya satu karakteristik keamanan selain kerahasiaan (misalnya, integritas atau ketersediaan). Sistem informasi khusus harus mencakup:
- ISPD terkait penanganan PD terhadap status kesehatan subyek PD;
- ISPD yang membuat keputusan hanya berdasarkan pemrosesan otomatis PD. Pada saat yang sama, keputusan yang diambil dapat menimbulkan akibat hukum bagi subjek PD atau sebaliknya mempengaruhi hak dan kepentingan hukumnya.
Menurut metodologi yang diusulkan dalam Ordo, ISPD diklasifikasikan berdasarkan jumlah subjek yang datanya diproses dan jenis data pribadi yang diproses.
Bergantung pada volume data XNPD yang diproses di ISPD, kategori ISPD berikut dibedakan:
1 kategori Informasi pribadi lebih dari 100.000 mata pelajaran PD atau Informasi pribadi mata pelajaran PD dalam mata pelajaran Federasi Rusia atau Federasi Rusia secara keseluruhan;
2 kategori– dalam sistem informasi diproses secara bersamaan Informasi pribadi dari 1000 menjadi 100.000 mata pelajaran PD atau Informasi pribadi subjek PD yang bekerja di sektor ekonomi Federasi Rusia, di otoritas publik, bertempat tinggal di kotamadya;
3 kategori– dalam sistem informasi diproses secara bersamaan Informasi pribadi kurang dari 1000 mata pelajaran PD atau Informasi pribadi mata pelajaran PD dalam organisasi tertentu.
Kategori data pribadi yang diproses dalam sistem informasi (HPD) berikut ini ditetapkan:
| HNPD | Kategori 3 | Kategori 2 | Kategori 1 |
|---|---|---|---|
| HFA | |||
| kategori 4 | K4 | K4 | K4 |
| kategori 3 | K3 | K3 | K2 |
| kategori 2 | K3 | K2 | K1 |
| kategori 1 | K1 | K1 | K1 |
Pertimbangkan apa arti setiap kelas ISPD secara terpisah:
- kelas 1 (K1)- sistem informasi yang pelanggaran karakteristik keamanan yang ditentukan dari data pribadi yang diproses di dalamnya dapat menyebabkan konsekuensi negatif yang signifikan bagi subjek PD;
- kelas 2 (K2)- sistem informasi yang pelanggaran karakteristik keamanan yang ditentukan dari data pribadi yang diproses di dalamnya dapat menyebabkan konsekuensi negatif bagi subjek PD;
- kelas 3 (K3)- sistem informasi yang pelanggaran karakteristik keamanan yang ditentukan dari data pribadi yang diproses di dalamnya dapat menyebabkan konsekuensi negatif kecil bagi subjek PD;
- kelas 4 (K4)- sistem informasi yang pelanggaran karakteristik keamanan yang ditentukan dari data pribadi yang diproses di dalamnya tidak menimbulkan konsekuensi negatif bagi subjek PD.
Kelas 1 dianggap tertinggi, jika beberapa subsistem dibedakan dalam ISPD, maka kelas ISPD secara keseluruhan akan sesuai dengan kelas tertinggi dari komponen yang masuk.
Dengan demikian, semakin tinggi kelas ISPD, semakin tinggi pula persyaratan untuk menjamin keamanan data pribadi.
Prosedur untuk mendefinisikan kelas untuk sistem khusus agak berbeda dari yang tipikal. Kelas ISPD khusus ditentukan berdasarkan model ancaman pribadi organisasi sesuai dengan dokumen metodologi FSTEC. Mengklasifikasikan sistem informasi sebagai sistem khusus dapat secara signifikan mengurangi biaya pembangunan PDMS, karena operator dalam hal ini dapat memilih jumlah minimum ancaman aktual yang diperlukan untuk perlindungan PD. Misalnya, jika sistem berisi informasi tentang pendapatan seseorang (misalnya, 1C), sistem seperti itu dapat diklasifikasikan sebagai khusus, karena kepentingan sah seseorang terpengaruh. Hal yang sama berlaku untuk informasi tentang kecacatan, ras, dll. Mengklasifikasikan ISPD sebagai khusus dalam praktiknya merupakan masalah yang agak kontroversial.
Kelas ISPD dapat direvisi.
Sehubungan dengan pengakuan tidak sahnya Keputusan Pemerintah Federasi Rusia tanggal 17 November 2007 No. 781 “Tentang Persetujuan Peraturan tentang Memastikan Keamanan Data Pribadi selama Pemrosesan dalam Sistem Informasi Data Pribadi” (Sobraniye Zakonodatelstva Rossiyskoy Federatsii, 2007, No. 48, Art.6001 ) kami memesan:
mengakui sebagai tidak sahnya perintah Layanan Federal untuk Kontrol Teknis dan Ekspor, Layanan Keamanan Federal Federasi Rusia dan Kementerian Teknologi Informasi dan Komunikasi Federasi Rusia tertanggal 13 Februari 2008 No. 55/86/20 "Atas Persetujuan tentang Prosedur Klasifikasi Sistem Informasi Data Pribadi" (terdaftar Kementerian Kehakiman Federasi Rusia pada 3 April 2008, nomor registrasi 11462).
| Menteri komunikasi dan komunikasi massa Federasi Rusia |
N.Nikiforov |
Ikhtisar dokumen
Perintah bersama FSTEC Rusia, FSB Rusia dan Kementerian Informasi dan Komunikasi Rusia, yang menyetujui prosedur klasifikasi untuk sistem informasi data pribadi, dianggap tidak valid.
Faktanya adalah Peraturan tentang memastikan keamanan data pribadi selama pemrosesan mereka dalam sistem informasi data pribadi, yang disetujui oleh Keputusan Pemerintah Federasi Rusia tanggal 17 November 2007 N 781, telah berhenti beroperasi. keluar dalam SK 1 November 2012 N 1119.
Peraturan tentang memastikan keamanan data pribadi selama pemrosesan mereka dalam sistem informasi data pribadi, disetujui oleh Keputusan Pemerintah Federasi Rusia 17 November 2007 N 781 "Atas persetujuan Peraturan tentang memastikan keamanan data pribadi selama pemrosesan mereka dalam sistem informasi data pribadi" (Kumpulan Legislasi Federasi Rusia, 2007, N 48, bagian II, pasal 6001), kami memesan:
Menyetujui prosedur terlampir untuk mengklasifikasikan sistem informasi data pribadi.
Direktur
Layanan Federal
teknis
dan kontrol ekspor
S.I.GRIGOROV
Direktur
Layanan Keamanan Federal
Federasi Rusia
N.P.PATRUSHEV
Menteri
teknologi informasi dan komunikasi
Federasi Rusia
LD REIMAN
DISETUJUI
berdasarkan pesanan
FSTEC Rusia,
FSB Rusia,
Kementerian Informasi dan Komunikasi Rusia
tanggal 13 Februari 2008 N 55/86/20
MEMESAN
KLASIFIKASI SISTEM INFORMASI DATA PRIBADI
1. Prosedur ini menentukan klasifikasi sistem informasi data pribadi, yang merupakan kumpulan data pribadi yang terdapat dalam basis data, serta teknologi informasi dan sarana teknis yang memungkinkan pemrosesan data pribadi tersebut menggunakan alat otomatisasi (selanjutnya disebut sistem informasi )<*>.
2. Klasifikasi sistem informasi dilakukan oleh badan negara, badan kota, badan hukum dan individu yang mengatur dan (atau) melakukan pemrosesan data pribadi, serta menentukan tujuan dan konten pemrosesan data pribadi (selanjutnya disebut disebut operator)<*>.
<*>Paragraf satu dari paragraf 6 Peraturan.
3. Klasifikasi sistem informasi dilakukan pada tahap pembuatan sistem informasi atau selama pengoperasiannya (untuk sistem informasi yang sebelumnya dioperasikan dan (atau) dimodernisasi) untuk menetapkan metode dan sarana perlindungan informasi yang diperlukan untuk memastikan keamanan data pribadi.
4. Klasifikasi sistem informasi meliputi langkah-langkah sebagai berikut:
pengumpulan dan analisis data awal pada sistem informasi;
penugasan kelas yang sesuai untuk sistem informasi dan dokumentasinya.
5. Saat mengklasifikasikan sistem informasi, data awal berikut diperhitungkan:
jumlah data pribadi yang diproses (jumlah subjek data pribadi yang data pribadinya diproses dalam sistem informasi) - X_npd;
karakteristik keamanan data pribadi yang diproses dalam sistem informasi yang ditentukan oleh penyelenggara;
struktur sistem informasi;
ketersediaan koneksi sistem informasi ke jaringan komunikasi publik dan (atau) jaringan pertukaran informasi internasional;
cara memproses data pribadi;
modus pembedaan hak akses pengguna sistem informasi;
lokasi sarana teknis sistem informasi.
6. Kategori data pribadi yang diproses dalam sistem informasi (X_pd) berikut ini ditentukan:
7. X_npd dapat mengambil nilai berikut:
1 - sistem informasi secara bersamaan memproses data pribadi lebih dari 100.000 subjek data pribadi atau data pribadi subjek data pribadi dalam entitas konstituen Federasi Rusia atau Federasi Rusia secara keseluruhan;
2 - sistem informasi secara bersamaan memproses data pribadi dari 1.000 hingga 100.000 subjek data pribadi atau data pribadi subjek data pribadi yang bekerja di sektor ekonomi Federasi Rusia, di otoritas publik yang berada di kotamadya;
3 - data kurang dari 1000 subjek data pribadi atau data pribadi subjek data pribadi dalam organisasi tertentu diproses secara bersamaan dalam sistem informasi.
8. Menurut karakteristik keamanan data pribadi yang diproses dalam sistem informasi yang ditentukan oleh operator, sistem informasi dibagi menjadi sistem informasi standar dan sistem informasi khusus.
Sistem informasi tipikal adalah sistem informasi yang hanya membutuhkan kerahasiaan data pribadi.
Sistem informasi khusus harus mencakup:
sistem informasi di mana data pribadi yang berkaitan dengan status kesehatan subjek data pribadi diproses;
sistem informasi yang menyediakan adopsi atas dasar pemrosesan data pribadi secara eksklusif secara otomatis dari keputusan yang menimbulkan konsekuensi hukum sehubungan dengan subjek data pribadi atau memengaruhi hak dan kepentingannya yang sah.
9. Menurut strukturnya, sistem informasi dibagi menjadi:
ke kompleks perangkat keras dan perangkat lunak otonom (tidak terhubung ke sistem informasi lain) yang dimaksudkan untuk memproses data pribadi (stasiun kerja otomatis);
ke kompleks tempat kerja otomatis, disatukan menjadi satu sistem informasi melalui komunikasi tanpa menggunakan teknologi akses jarak jauh (sistem informasi lokal);
pada kompleks tempat kerja otomatis dan (atau) sistem informasi lokal, digabungkan menjadi satu sistem informasi melalui komunikasi menggunakan teknologi akses jarak jauh (sistem informasi terdistribusi).
10. Menurut ketersediaan koneksi ke jaringan komunikasi publik dan (atau) jaringan pertukaran informasi internasional, sistem informasi dibagi menjadi sistem yang memiliki koneksi dan sistem yang tidak memiliki koneksi.
11. Menurut mode pemrosesan data pribadi dalam sistem informasi, sistem informasi dibagi menjadi pengguna tunggal dan multi pengguna.
12. Menurut batasan hak akses pengguna, sistem informasi dibagi menjadi sistem tanpa batasan hak akses dan sistem dengan batasan hak akses.
13. Sistem informasi, tergantung pada lokasi sarana teknisnya, dibagi menjadi sistem, yang semua sarana teknisnya berada di dalam Federasi Rusia, dan sistem, sarana teknis yang sebagian atau seluruhnya berada di luar Federasi Rusia.
14. Berdasarkan hasil analisis data awal, sistem informasi tipikal diberikan salah satu kelas berikut:
kelas 1 (K1) - sistem informasi yang pelanggaran terhadap karakteristik keamanan tertentu dari data pribadi yang diproses di dalamnya dapat menyebabkan konsekuensi negatif yang signifikan bagi subjek data pribadi;
kelas 2 (K2) - sistem informasi yang pelanggaran karakteristik keamanan tertentu dari data pribadi yang diproses di dalamnya dapat menyebabkan konsekuensi negatif bagi subjek data pribadi;
kelas 3 (K3) - sistem informasi yang pelanggaran terhadap karakteristik keamanan tertentu dari data pribadi yang diproses di dalamnya dapat menyebabkan konsekuensi negatif kecil bagi subjek data pribadi;
kelas 4 (K4) - sistem informasi yang pelanggaran terhadap karakteristik keamanan tertentu dari data pribadi yang diproses di dalamnya tidak menimbulkan konsekuensi negatif bagi subjek data pribadi Klausul 2 Keputusan Pemerintah Federasi Rusia tanggal 17 November 2007 N 781 "Atas persetujuan Peraturan untuk memastikan keamanan data pribadi selama pemrosesannya dalam sistem informasi data pribadi"<*>.
<*>Koleksi Legislasi Federasi Rusia, 2007, N 48, Bagian II, Art. 6001.
17. Dalam hal alokasi subsistem dalam sistem informasi, yang masing-masing merupakan sistem informasi, sistem informasi secara keseluruhan diberi kelas yang sesuai dengan kelas tertinggi dari subsistemnya.
18. Hasil klasifikasi sistem informasi didokumentasikan oleh tindakan operator yang relevan.
19. Kelas sistem informasi dapat direvisi:
dengan keputusan operator berdasarkan analisis dan penilaiannya terhadap ancaman terhadap keamanan data pribadi, dengan mempertimbangkan karakteristik dan (atau) perubahan dalam sistem informasi tertentu;
berdasarkan hasil tindakan untuk mengontrol kepatuhan terhadap persyaratan untuk memastikan keamanan data pribadi selama pemrosesannya dalam sistem informasi.
