> 단어 > 개인 데이터 정보 시스템을 분류하는 절차. BukvaPrava - 무료 법률 상담 정보 시스템 분류 정보


개인 데이터 정보 시스템을 분류하는 절차. BukvaPrava - 무료 법률 상담 정보 시스템 분류 정보




2월에 러시아 정보 기술 및 통신부(러시아 통신부)의 러시아 연방 보안국(러시아 FSB)의 기술 및 수출 통제를 위한 연방 서비스(FSTEC) 명령 2008년 13일 N 55/86/20 모스크바

"개인정보시스템 분류 절차 승인 시"

개인 데이터 정보 시스템에서 처리하는 동안 개인 데이터의 보안을 보장하는 규정의 단락 6에 따라 2007년 11월 17일 러시아 연방 정부 법령에 의해 승인되었습니다. N 781 “보장에 관한 규정 승인 시 개인 데이터 정보 시스템에서 처리하는 동안 개인 데이터의 보안 "(러시아 연방 법집집, 2007, No. 48, Part II, Art. 6001), 우리는 다음을 주문합니다:

첨부된 개인정보 시스템 분류 절차를 승인합니다.

FSTEC 이사 S. Grigorov

러시아 연방 FSB 국장 N. Patrushev

L. Reiman 러시아 연방 정보기술통신부 장관

개인정보정보시스템 분류 절차

1. 이 절차에서는 데이터베이스에 포함된 개인 데이터 집합인 개인 데이터 정보 시스템과 자동화 도구를 사용하여 이러한 개인 데이터를 처리할 수 있는 정보 기술 및 기술적 수단(이하 정보 시스템)의 분류를 결정합니다. )1.

2. 정보 시스템의 분류는 개인 데이터 처리를 구성 및(또는) 수행하고 개인 데이터 처리의 목적과 내용을 결정하는 국가 기관, 지방 자치 단체, 법인 및 개인에 의해 수행됩니다. 이하 운영자라 칭함)2.

3. 정보 시스템의 분류는 보안을 보장하는 데 필요한 정보 보호 방법 및 수단을 확립하기 위해 정보 시스템을 생성하는 단계 또는 운영 중에(이전에 운영된 정보 시스템 및/또는 현대화된 정보 시스템의 경우) 수행됩니다. 개인 데이터.

4. 정보시스템 분류 수행에는 다음 단계가 포함됩니다.

정보 시스템의 초기 데이터 수집 및 분석:

정보 시스템 및 해당 문서에 적절한 클래스 할당.

5. 정보 시스템을 분류할 때 다음 초기 데이터가 고려됩니다.

처리되는 개인정보의 양(정보시스템에서 개인정보를 처리하는 개인정보주체의 수) - X npd; (7항)

정보 시스템에서 처리되는 개인 데이터의 보안에 대해 운영자가 지정한 특성(예: 보안만 "confi" 또는 파기, 수정, 차단 및 기타 무단 조치)(8항 참조)

정보 시스템의 구조(9항)

공공 통신 네트워크 및/또는 국제 정보 교환 네트워크에 대한 정보 시스템 연결의 가용성(10항)

개인정보 처리방식(제11조)

정보 시스템 사용자의 액세스 권한을 제한하는 방식(12항)

정보시스템의 기술적 수단의 위치(13항)

6. 정보 시스템(XPD)에서 처리되는 개인 데이터의 범주는 다음과 같이 정의됩니다.

7. X npd는 다음 값을 사용할 수 있습니다.

1 - 정보 시스템은 100,000명 이상의 개인정보 주체의 개인정보 또는 러시아 연방의 구성 기관 또는 러시아 연방 전체 내 개인정보 주체의 개인정보를 동시에 처리합니다.

2 - 정보 시스템은 1,000~100,000명의 개인정보 주체의 개인정보 또는 지방자치단체 내에 거주하는 정부 기관에서 러시아 연방 경제 부문에 근무하는 개인정보 주체의 개인정보를 동시에 처리합니다.

3 - 정보시스템은 1000명 미만의 개인정보주체의 데이터 또는 특정 조직 내 개인정보주체의 개인정보를 동시에 처리합니다.

8. 정보시스템은 운영자가 지정한 정보시스템에서 처리하는 개인정보의 보안특성에 따라 표준정보시스템과 특수정보시스템으로 구분됩니다.

일반적인 정보 시스템은 개인 데이터의 기밀성만 보장하면 되는 정보 시스템입니다.

특수정보시스템이란 개인정보의 비밀성을 확보할 필요가 있음에도 불구하고 개인정보의 비밀성 이외의 보안특성(파괴, 수정, 차단 등으로부터의 보안) 중 적어도 하나를 보장할 필요가 있는 정보시스템을 말한다. 기타 승인되지 않은 행위).

특수 정보 시스템에는 다음이 포함되어야 합니다.

개인정보주체의 건강상태와 관련된 개인정보를 처리하는 정보시스템

개인 데이터의 자동화된 처리에만 기초하여 개인 데이터의 주제와 관련하여 법적 결과를 초래하거나 달리 개인의 권리 및 적법한 이익에 영향을 미치는 결정을 채택할 수 있는 정보 시스템입니다.

9. 구조에 따라 정보 시스템은 다음과 같이 나뉩니다.

개인 데이터 처리를 위해 설계된 자율적(다른 정보 시스템에 연결되지 않음) 하드웨어 및 소프트웨어 복합체(자동화된 워크스테이션)

원격 액세스 기술(로컬 정보 시스템)을 사용하지 않고 통신을 통해 단일 정보 시스템에 통합된 자동화된 워크스테이션의 복합체

원격 액세스 기술(분산 정보 시스템)을 사용한 통신을 통해 단일 정보 시스템으로 결합된 자동화된 워크스테이션 및/또는 로컬 정보 시스템의 복합체입니다.

10. 공공 통신 네트워크 및/또는 국제 정보 교환 네트워크와의 연결 여부에 따라 정보 시스템은 연결이 있는 시스템과 연결이 없는 시스템으로 구분됩니다.

11. 정보 시스템의 개인 데이터 처리 방식에 따라 정보 시스템은 단일 사용자와 다중 사용자로 구분됩니다.

12. 정보시스템은 사용자 접근권한의 제한에 따라 접근권한이 제한되지 않은 시스템과 접근권한이 제한되어 있는 시스템으로 구분됩니다.

13. 정보 시스템은 기술적 수단의 위치에 따라 모든 기술적 수단이 러시아 연방 내에 위치하는 시스템과 기술적 수단의 일부 또는 전체가 러시아 연방 외부에 위치하는 시스템으로 구분됩니다.

14. 소스 데이터 분석 결과에 따라 일반적인 정보 시스템에는 다음 클래스 중 하나가 할당됩니다.

클래스 1(K1) - 처리된 개인 데이터의 지정된 보안 특성을 위반하면 개인 데이터 주체에게 심각한 부정적인 결과를 초래할 수 있는 정보 시스템

클래스 2(K2) - 처리된 개인 데이터의 지정된 보안 특성을 위반하면 개인 데이터 주체에게 부정적인 결과를 초래할 수 있는 정보 시스템

클래스 3(K3) - 처리된 개인 데이터의 지정된 보안 특성을 위반하면 개인 데이터 주체에게 경미한 부정적인 결과를 초래할 수 있는 정보 시스템

클래스 4(K4) - 처리된 개인 데이터의 지정된 보안 특성을 위반하더라도 개인 데이터 주체에게 부정적인 결과를 초래하지 않는 정보 시스템입니다.

15. 일반적인 정보 시스템의 클래스는 표에 따라 결정됩니다.

16. 원본 데이터 분석 결과를 토대로 법령 2항에 따라 개발된 방법론적 문서에 따라 개인 데이터 보안에 대한 위협 모델을 기반으로 특수 정보 시스템의 클래스가 결정됩니다. 2007년 11월 17일 러시아 연방 정부 N 781 "개인 데이터 정보 시스템에서 처리 시 개인 데이터 보안 보장에 관한 규정 승인 시"3.

17. 서브시스템이 각각 정보시스템인 정보시스템 내에서 식별되는 경우, 정보시스템 전체는 해당 서브시스템의 최상위 클래스에 해당하는 클래스가 할당됩니다.

18. 정보 시스템 분류 결과는 해당 운영자의 행위에 문서화되어 있습니다.

19. 정보 시스템 클래스는 다음과 같이 수정될 수 있습니다.

특정 정보 시스템의 특성 및/또는 변경을 고려하여 개인 데이터 보안에 대한 위협에 대한 분석 및 평가를 기반으로 한 운영자의 결정에 따라

정보 시스템에서 개인 데이터를 처리하는 동안 개인 데이터의 보안을 보장하기 위한 요구 사항 준수를 모니터링하는 조치의 결과를 기반으로 합니다.

12007년 11월 17일 러시아 연방 정부 법령에 의해 승인된 개인 데이터 정보 시스템에서 처리하는 동안 개인 데이터의 보안을 보장하는 규정의 1항 중 1항.

N 781(러시아 연방 법률집, 2007, N 48, 파트 II,

2규정 6항 1항.

32007년 러시아 연방 법률 수집, No. 48, 파트 II, 예술. 6001.

기술 및 수출 통제를 위한 연방 서비스 명령, 러시아 연방 FSB 및 러시아 연방 정보 기술 통신부 명령
2008년 2월 13일 N 55/86/20
"개인정보시스템 분류 절차 승인 시"

개인 데이터 정보 시스템에서 처리하는 동안 개인 데이터의 보안을 보장하는 규정의 단락 6에 따라 2007년 11월 17일 러시아 연방 정부 법령에 의해 승인되었습니다. N 781 “보장에 관한 규정 승인 시 개인 데이터 정보 시스템에서 처리하는 동안 개인 데이터의 보안 "(러시아 연방 법집집, 2007, No. 48, Part II, Art. 6001)에 대해 다음을 명령합니다.

첨부된 내용을 승인하세요. 주문하다개인 데이터 정보 시스템의 분류를 수행합니다.

등록번호 11462

주문하다
개인정보정보시스템 분류 실시

1. 이 절차에서는 데이터베이스에 포함된 개인 데이터 집합인 개인 데이터 정보 시스템과 자동화 도구를 사용하여 이러한 개인 데이터를 처리할 수 있는 정보 기술 및 기술적 수단(이하 정보 시스템)의 분류를 결정합니다. ) * .

2. 정보 시스템의 분류는 개인 데이터 처리를 구성 및(또는) 수행하고 개인 데이터 처리의 목적과 내용을 결정하는 국가 기관, 지방 자치 단체, 법인 및 개인에 의해 수행됩니다. 이하 운영자라 칭함) ** .

3. 정보 시스템의 분류는 보안을 보장하는 데 필요한 정보 보호 방법 및 수단을 확립하기 위해 정보 시스템을 생성하는 단계 또는 운영 중에(이전에 운영된 정보 시스템 및/또는 현대화된 정보 시스템의 경우) 수행됩니다. 개인 데이터.

4. 정보시스템 분류 수행에는 다음 단계가 포함됩니다.

정보 시스템의 초기 데이터 수집 및 분석:

정보 시스템 및 해당 문서에 적절한 클래스 할당.

5. 정보 시스템을 분류할 때 다음 초기 데이터가 고려됩니다.

개인정보 처리량(정보시스템에서 개인정보를 처리하는 개인정보주체 수) - ;

운영자가 지정한 정보 시스템에서 처리되는 개인 데이터의 보안 특성

정보시스템 구조;

공공 통신 네트워크 및/또는 국제 정보 교환 네트워크에 대한 정보 시스템 연결의 가용성;

개인 데이터 처리 모드;

정보 시스템 사용자의 액세스 권한을 제한하는 방식;

정보 시스템의 기술적 수단의 위치.

6. 정보시스템에서 처리되는 개인정보는 다음과 같이 정의됩니다.

7. 다음 값을 사용할 수 있습니다.

1 - 정보 시스템은 100,000명 이상의 개인정보 주체의 개인정보 또는 러시아 연방의 구성 기관 또는 러시아 연방 전체 내 개인정보 주체의 개인정보를 동시에 처리합니다.

2 - 정보 시스템은 1,000~100,000명의 개인정보 주체의 개인정보 또는 러시아 연방 경제 부문, 자치단체 내에 거주하는 정부 기관에서 근무하는 개인정보 주체의 개인정보를 동시에 처리합니다.

3 - 정보시스템은 1000명 미만의 개인정보주체의 데이터 또는 특정 조직 내 개인정보주체의 개인정보를 동시에 처리합니다.

8. 정보시스템은 운영자가 지정한 정보시스템에서 처리하는 개인정보의 보안특성에 따라 표준정보시스템과 특수정보시스템으로 구분됩니다.

일반적인 정보 시스템은 개인 데이터의 기밀성만 보장하면 되는 정보 시스템입니다.

특수정보시스템이란 개인정보의 비밀성을 확보할 필요가 있음에도 불구하고 개인정보의 비밀성 이외의 보안특성(파괴, 수정, 차단 등으로부터의 보안) 중 적어도 하나를 보장할 필요가 있는 정보시스템을 말한다. 기타 승인되지 않은 행위).

특수 정보 시스템에는 다음이 포함되어야 합니다.

개인정보주체의 건강상태와 관련된 개인정보를 처리하는 정보시스템

개인 데이터의 자동화된 처리에만 기초하여 개인 데이터의 주제와 관련하여 법적 결과를 초래하거나 달리 개인의 권리 및 적법한 이익에 영향을 미치는 결정을 채택할 수 있는 정보 시스템입니다.

9. 구조에 따라 정보 시스템은 다음과 같이 나뉩니다.

개인 데이터 처리를 위해 설계된 자율적(다른 정보 시스템에 연결되지 않음) 하드웨어 및 소프트웨어 복합체(자동화된 워크스테이션)

원격 액세스 기술(로컬 정보 시스템)을 사용하지 않고 통신을 통해 단일 정보 시스템에 통합된 자동화된 워크스테이션의 복합체

원격 액세스 기술(분산 정보 시스템)을 사용한 통신을 통해 단일 정보 시스템으로 결합된 자동화된 워크스테이션 및/또는 로컬 정보 시스템의 복합체입니다.

10. 공공 통신 네트워크 및/또는 국제 정보 교환 네트워크와의 연결 여부에 따라 정보 시스템은 연결이 있는 시스템과 연결이 없는 시스템으로 구분됩니다.

11. 정보 시스템의 개인 데이터 처리 방식에 따라 정보 시스템은 단일 사용자와 다중 사용자로 구분됩니다.

12. 정보시스템은 사용자 접근권한의 제한에 따라 접근권한이 제한되지 않은 시스템과 접근권한이 제한되어 있는 시스템으로 구분됩니다.

13. 정보 시스템은 기술적 수단의 위치에 따라 모든 기술적 수단이 러시아 연방 내에 위치하는 시스템과 기술적 수단의 일부 또는 전체가 러시아 연방 외부에 위치하는 시스템으로 구분됩니다.

14. 소스 데이터 분석 결과에 따라 일반적인 정보 시스템에는 다음 클래스 중 하나가 할당됩니다.

클래스 1(K1) - 처리된 개인 데이터의 지정된 보안 특성을 위반하면 개인 데이터 주체에게 심각한 부정적인 결과를 초래할 수 있는 정보 시스템

클래스 2(K2) - 처리된 개인 데이터의 지정된 보안 특성을 위반하면 개인 데이터 주체에게 부정적인 결과를 초래할 수 있는 정보 시스템

클래스 3(K3) - 처리된 개인 데이터의 지정된 보안 특성을 위반하면 개인 데이터 주체에게 경미한 부정적인 결과를 초래할 수 있는 정보 시스템

클래스 4(K4) - 처리된 개인 데이터의 지정된 보안 특성을 위반하더라도 개인 데이터 주체에게 부정적인 결과를 초래하지 않는 정보 시스템입니다.

15. 일반적인 정보 시스템의 클래스는 표에 따라 결정됩니다.

┌──────────────────────────┬──────────────┬──────────────┬──────────────┐

│ Х_нпд│ 3 │ 2 │ 1 │

│ \ │ │ │ │

│Х_пд │ │ │ │

├──────────────────────────┼──────────────┼──────────────┼──────────────┤

├──────────────────────────┼──────────────┼──────────────┼──────────────┤

├──────────────────────────┼──────────────┼──────────────┼──────────────┤

└──────────────────────────┴──────────────┴──────────────┴──────────────┘

16. 원본 데이터 분석 결과를 토대로 법령 2항에 따라 개발된 방법론적 문서에 따라 개인 데이터 보안에 대한 위협 모델을 기반으로 특수 정보 시스템의 클래스가 결정됩니다. 2007년 11월 17일 러시아 연방 정부 N 781 "개인 데이터 정보 시스템에서 처리 시 개인 데이터 보안 보장에 관한 규정 승인 시" *** .

17. 서브시스템이 각각 정보시스템인 정보시스템 내에서 식별되는 경우, 정보시스템 전체는 해당 서브시스템의 최상위 클래스에 해당하는 클래스가 할당됩니다.

18. 정보 시스템 분류 결과는 해당 운영자의 행위에 문서화되어 있습니다.

19. 정보 시스템 클래스는 다음과 같이 수정될 수 있습니다.

특정 정보 시스템의 특성 및/또는 변경을 고려하여 개인 데이터 보안에 대한 위협에 대한 분석 및 평가를 기반으로 한 운영자의 결정에 따라

정보 시스템에서 개인 데이터를 처리하는 동안 개인 데이터의 보안을 보장하기 위한 요구 사항 준수를 모니터링하는 조치의 결과를 기반으로 합니다.

______________________________

* 2007년 11월 17일 러시아 연방 정부 법령 N 781(러시아 연방 종합 법령, 2007, N 48, 파트 II, 6001조)(이하 규정이라 함).

20 86 ...

  • 프로젝트 정당성에 관한 보론스크 농촌 자료 마스터플랜 파트 1 정당성에 대한 설명

    문서

    위치 13 2. 자연조건 13 3. 기후. 13 4. ... 교육 86 20 . 일반교육 86 21..., 천 루블 2008년. 2009년 2009/ 2008년., % 2010 ... 마을 알렉산드로보 N5520 유통 구역 0.8 d. Konyukhovo N56 20 RES 0, ... 러시아 연방" ~에서 6 2월 2003년 아니....

  • 출판 86 신문 총... 의회. 문서 N55

    • 가격 . ISPD의 분류는 2009년 2월 18일자 러시아 FSTEC, 러시아 FSB, 러시아 정보통신부 No. 55/86/20 명령에 따라 수행됩니다. "개인정보시스템 분류절차 승인에 대하여"(2013년 12월 31일 폐지)

    ISPD의 분류는 생성 단계 또는 운영 중에 수행되지만 항상 SPPD 구축 이전에 수행됩니다. 일반적으로 모든 것은 정보 시스템, 처리 개인 정보, 2개로 나누어진다 수업에 따라처리된 데이터의 보안 특성:

    일반적인 정보 시스템– 단지 제공이 요구되는 시스템 기밀 유지개인 데이터를 처리했습니다.

    특수정보시스템– 기밀성(예: 무결성 또는 가용성) 이외의 보안 특성 중 최소한 하나를 보장해야 하는 시스템. 특수 정보 시스템에는 다음이 포함되어야 합니다.

    1. 개인정보 주체의 건강 상태에 관한 개인정보 처리와 관련된 ISPD
    2. ISPD는 PD의 자동화된 처리만을 기반으로 의사결정을 내립니다. 이 경우 내려진 결정은 개인정보 주체에 대한 법적 결과를 수반하거나 달리 그의 법적 권리 및 이익에 영향을 미칠 수 있습니다.

    명령에서 제안된 방법론에 따라 ISPD는 데이터가 처리되는 개체 수와 처리되는 개인 데이터 유형에 따라 분류됩니다.

    ISPD에서 처리되는 XNPD 데이터의 양에 따라 다음과 같은 ISPD 범주가 구분됩니다.

    카테고리 1개 개인 정보 100,000 이상개인정보의 주체 또는 개인 정보러시아 연방 또는 러시아 연방 전체의 구성 기관 내의 개인 데이터 주체

    두 번째 카테고리– 정보시스템에서 동시에 처리됩니다. 개인 정보 1000에서 100,000까지개인정보의 주체 또는 개인 정보러시아 연방의 경제 부문, 정부 기관에서 근무하며 지방자치단체 내에 거주하는 PD 피험자

    3개 카테고리– 정보시스템에서 동시에 처리됩니다. 개인 정보 1000 미만개인정보의 주체 또는 개인 정보특정 조직 내 개인정보의 주체.

    정보시스템(PDS)에서 처리되는 개인정보의 범주는 다음과 같이 정의됩니다.

    표 6.1. 정보 시스템 클래스의 정의
    CNPD 카테고리 3 카테고리 2 카테고리 1
    HFA
    카테고리 4 K4 K4 K4
    카테고리 3 K3 K3 K2
    카테고리 2 K3 K2 K1
    카테고리 1 K1 K1 K1

    각 ISPD 클래스가 개별적으로 무엇을 의미하는지 살펴보겠습니다.

    • 1급(K1)– 처리된 개인 데이터의 지정된 보안 특성을 위반하면 개인 데이터 주체에게 심각한 부정적인 결과를 초래할 수 있는 정보 시스템
    • 2급(K2)– 처리되는 개인 데이터의 지정된 보안 특성을 위반하면 개인 데이터 주체에게 부정적인 결과를 초래할 수 있는 정보 시스템
    • 3급(K3)– 처리되는 개인 데이터의 지정된 보안 특성을 위반하면 개인 데이터 주체에게 경미한 부정적인 결과를 초래할 수 있는 정보 시스템
    • 4급(K4)– 처리되는 개인 데이터의 지정된 보안 특성을 위반하더라도 개인 데이터 주체에게 부정적인 결과를 초래하지 않는 정보 시스템.

    클래스 1이 가장 높은 것으로 간주됩니다. ISPD 내에서 여러 하위 시스템이 구별되는 경우 ISPD 클래스 전체는 들어오는 구성 요소의 가장 높은 클래스에 해당합니다.

    따라서 ISPD 등급이 높을수록 개인 데이터의 보안을 보장하기 위한 요구 사항이 높아집니다.

    특수 시스템의 클래스를 정의하는 절차는 표준 시스템과 다소 다릅니다. 특수 ISPD 클래스는 FSTEC의 방법론 문서에 따라 조직의 개인 위협 모델을 기반으로 결정됩니다. 정보 시스템을 특수 시스템으로 분류하면 데이터 보호 시스템 구축 비용을 크게 줄일 수 있습니다. 이 경우 운영자는 개인 데이터 보호가 필요한 현재 위협의 최소 수를 합리적으로 선택할 수 있기 때문입니다. 예를 들어, 시스템에 개인 소득에 대한 정보(예: 1C)가 포함되어 있는 경우 개인의 정당한 이익이 영향을 받기 때문에 이러한 시스템은 특별 시스템으로 분류될 수 있습니다. 장애, 인종 등에 관한 정보에도 동일하게 적용됩니다. 실제로 ISPD를 특별 분류하는 것은 다소 논란의 여지가 있는 문제입니다.

    ISPD 클래스는 개정될 수 있습니다.

    2007년 11월 17일자 러시아 연방 정부 법령 No. 781의 무효화와 관련하여 "개인 데이터 정보 시스템에서 개인 데이터를 처리하는 동안 개인 데이터의 보안을 보장하는 규정 승인"(집합 법률) 러시아 연방, 2007, No. 48, Art. 6001 ) 우리는 다음을 주문합니다:

    2008년 2월 13일자 연방 기술 및 수출 통제 서비스, 러시아 연방 보안 서비스 및 러시아 정보 통신부의 명령을 무효화합니다. No. 55/86/20 "승인 시 개인 데이터 정보 시스템 분류 절차”(2008년 4월 3일 러시아 법무부에 등록, 등록 번호 11462).

    장관
    커뮤니케이션과 매스커뮤니케이션
    러시아 연방    		 N. 니키포로프

    문서 개요

    개인정보 정보 시스템 분류 절차를 승인한 러시아 FSTEC, 러시아 FSB, 러시아 정보통신부의 공동 명령이 무효로 선언되었습니다.

    사실 개인 데이터 정보 시스템에서 처리하는 동안 개인 데이터의 보안을 보장하는 규정은 2007년 11월 17일 러시아 연방 정부 법령 N 781에 의해 승인되었습니다. 새로운 절차는 11월 법령에 명시되어 있습니다. 2012년 1월 1일 N 1119.

    2007년 11월 17일 러시아 연방 정부 법령에 의해 승인된 개인 데이터 정보 시스템에서 처리하는 동안 개인 데이터의 보안을 보장하는 규정 N 781 “처리하는 동안 개인 데이터의 보안을 보장하는 규정 승인 시 개인 데이터 정보 시스템”(러시아 연방 법률 모음, 2007, N 48, 파트 II, 6001조)에 다음을 명령합니다.

    첨부된 개인정보 시스템 분류 절차를 승인합니다.

    감독
    연방 서비스
    기술적
    수출 통제
    S.I.Grigorov

    감독
    연방보안국
    러시아 연방
    N.P.PATRUSHEV

    장관
    정보 기술 및 통신
    러시아 연방
    L.D.레이먼

    승인됨
    순서대로
    러시아 FSTEC,
    러시아 FSB,
    러시아 정보통신부
    2008년 2월 13일 N 55/86/20

    주문하다
    개인정보정보시스템의 분류

    1. 이 절차에서는 데이터베이스에 포함된 개인 데이터 집합인 개인 데이터 정보 시스템과 자동화 도구를 사용하여 이러한 개인 데이터를 처리할 수 있는 정보 기술 및 기술적 수단(이하 정보 시스템)의 분류를 결정합니다. )<*>.

    2. 정보 시스템의 분류는 개인 데이터 처리를 구성 및(또는) 수행하고 개인 데이터 처리의 목적과 내용을 결정하는 국가 기관, 지방 자치 단체, 법인 및 개인에 의해 수행됩니다. 이하 운영자라 칭함)<*>.

    <*>규정 6항 1항.

    3. 정보 시스템의 분류는 보안을 보장하는 데 필요한 정보 보호 방법 및 수단을 확립하기 위해 정보 시스템을 생성하는 단계 또는 운영 중에(이전에 운영된 정보 시스템 및/또는 현대화된 정보 시스템의 경우) 수행됩니다. 개인 데이터.

    4. 정보시스템 분류 수행에는 다음 단계가 포함됩니다.

    정보 시스템에 대한 초기 데이터 수집 및 분석;

    정보 시스템 및 해당 문서에 적절한 클래스 할당.

    5. 정보 시스템을 분류할 때 다음 초기 데이터가 고려됩니다.

    처리된 개인 데이터의 양(정보 시스템에서 개인 데이터가 처리되는 개인 데이터 주체의 수) - X_npd;

    운영자가 지정한 정보 시스템에서 처리되는 개인 데이터의 보안 특성

    정보시스템 구조;

    공공 통신 네트워크 및/또는 국제 정보 교환 네트워크에 대한 정보 시스템 연결의 가용성;

    개인 데이터 처리 모드;

    정보 시스템 사용자의 액세스 권한을 제한하는 방식;

    정보 시스템의 기술적 수단의 위치.

    6. 정보시스템(X_PD)에서 처리되는 개인정보는 다음과 같이 정의됩니다.

    7. X_npd는 다음 값을 사용할 수 있습니다.

    1 - 정보 시스템은 100,000명 이상의 개인정보 주체의 개인정보 또는 러시아 연방의 구성 기관 또는 러시아 연방 전체 내 개인정보 주체의 개인정보를 동시에 처리합니다.

    2 - 정보 시스템은 1,000~100,000명의 개인정보 주체의 개인정보 또는 러시아 연방 경제 부문, 자치단체 내에 거주하는 정부 기관에서 근무하는 개인정보 주체의 개인정보를 동시에 처리합니다.

    3 - 정보시스템은 1000명 미만의 개인정보주체의 데이터 또는 특정 조직 내 개인정보주체의 개인정보를 동시에 처리합니다.

    8. 정보시스템은 운영자가 지정한 정보시스템에서 처리하는 개인정보의 보안특성에 따라 표준정보시스템과 특수정보시스템으로 구분됩니다.

    일반적인 정보 시스템은 개인 데이터의 기밀성만 보장하면 되는 정보 시스템입니다.

    특수 정보 시스템에는 다음이 포함되어야 합니다.

    개인정보주체의 건강상태와 관련된 개인정보를 처리하는 정보시스템

    개인 데이터의 자동화된 처리에만 기초하여 개인 데이터의 주제와 관련하여 법적 결과를 초래하거나 달리 개인의 권리 및 적법한 이익에 영향을 미치는 결정을 채택할 수 있는 정보 시스템입니다.

    9. 구조에 따라 정보 시스템은 다음과 같이 나뉩니다.

    개인 데이터 처리를 위해 설계된 자율적(다른 정보 시스템에 연결되지 않음) 하드웨어 및 소프트웨어 복합체(자동화된 워크스테이션)

    원격 액세스 기술(로컬 정보 시스템)을 사용하지 않고 통신을 통해 단일 정보 시스템에 통합된 자동화된 워크스테이션의 복합체

    원격 액세스 기술(분산 정보 시스템)을 사용한 통신을 통해 단일 정보 시스템으로 결합된 자동화된 워크스테이션 및/또는 로컬 정보 시스템의 복합체입니다.

    10. 공공 통신 네트워크 및/또는 국제 정보 교환 네트워크와의 연결 여부에 따라 정보 시스템은 연결이 있는 시스템과 연결이 없는 시스템으로 구분됩니다.

    11. 정보 시스템의 개인 데이터 처리 방식에 따라 정보 시스템은 단일 사용자와 다중 사용자로 구분됩니다.

    12. 정보시스템은 사용자 접근권한의 제한에 따라 접근권한이 제한되지 않은 시스템과 접근권한이 제한되어 있는 시스템으로 구분됩니다.

    13. 정보 시스템은 기술적 수단의 위치에 따라 모든 기술적 수단이 러시아 연방 내에 위치하는 시스템과 기술적 수단의 일부 또는 전체가 러시아 연방 외부에 위치하는 시스템으로 구분됩니다.

    14. 소스 데이터 분석 결과에 따라 일반적인 정보 시스템에는 다음 클래스 중 하나가 할당됩니다.

    클래스 1(K1) - 처리된 개인 데이터의 지정된 보안 특성을 위반하면 개인 데이터 주체에게 심각한 부정적인 결과를 초래할 수 있는 정보 시스템

    클래스 2(K2) - 처리된 개인 데이터의 지정된 보안 특성을 위반하면 개인 데이터 주체에게 부정적인 결과를 초래할 수 있는 정보 시스템

    클래스 3(K3) - 처리된 개인 데이터의 지정된 보안 특성을 위반하면 개인 데이터 주체에게 경미한 부정적인 결과를 초래할 수 있는 정보 시스템

    클래스 4(K4) - 처리된 개인 데이터의 지정된 보안 특성을 위반하더라도 개인 데이터 주체에게 부정적인 결과를 초래하지 않는 정보 시스템 11월 17일 러시아 연방 정부 법령 2항 , 2007 N 781 "개인 데이터 정보 시스템에서 처리하는 동안 개인 데이터의 보안 보장에 관한 규정 승인 시"<*>.

    <*>러시아 연방 법률 모음, 2007, N 48, 파트 II, 예술. 6001.

    17. 서브시스템이 각각 정보시스템인 정보시스템 내에서 식별되는 경우, 정보시스템 전체는 해당 서브시스템의 최상위 클래스에 해당하는 클래스가 할당됩니다.

    18. 정보 시스템 분류 결과는 해당 운영자의 행위에 문서화되어 있습니다.

    19. 정보 시스템 클래스는 다음과 같이 수정될 수 있습니다.

    특정 정보 시스템의 특성 및/또는 변경을 고려하여 개인 데이터 보안에 대한 위협에 대한 분석 및 평가를 기반으로 한 운영자의 결정에 따라

    정보 시스템에서 개인 데이터를 처리하는 동안 개인 데이터의 보안을 보장하기 위한 요구 사항 준수를 모니터링하는 조치의 결과를 기반으로 합니다.