О классификации информационных систем персональных данных написано немало: целые статьи, сайты и форумы посвящены этой животрепещущей теме. Начнем с того что в соответствии с приказом ФСТЭК\ФСБ\МИТиС № 55\86\20 бывают типовые и специальные ИСПДн. К типовым относим ИСПДн, в которых необходимо обеспечить только конфиденциальность персональных данных, а к специальным - если требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (целость, аутентичность, доступность и т.д.)
Приказ предполагает классификацию ИСПДн на основе оценки возможного ущерба субъектам ПДн, чьи данные в ней обрабатываются: чем выше возможный ущерб - тем выше класс и, соответственно, тем выше должны предъявляться требования к технической защите. Пункт 14 Приказа говорит о 4 классах:
-отсутствие негативных последствий (4 класс)
-незначительные негативные последствия (3 класс)
-негативные последствия (2 класс)
-значительные негативные последствия (1 класс).
Присвоение того или иного класса ИСПДн, согласно того же пункта, осуществляется по результатам анализа исходных данных.
Про классификацию типовых ИСПДн уже рассказывали здесь, поэтому перейдем сразу к специальным.

Как же классифицировать специальную ИСПДн?

Если в Вашей ИСПДн содержатся персональные данные, касающиеся расовой, национальной принадлежности,
политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, то тут все просто:
класс вашей системы К1. И не важно, 10 это записей или 100 000. Далее Вы или защищаете систему по К1 в соответствии с требованиями приказа ФСТЭК №58, или понижаете класс, ну например, путем обезличивания таких данных.
Теперь представим себе некую ИСПДн, которую нам необходимо классифицировать. Пусть это будет большое предприятие, которое оказывает услуги своим Клиентам.
Исходные данные нашей системы:
1. Объем персональных данных - более 100 000.
2. Категория персональных данных - 2(т.е. это персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию).
3. Структура информационной системы - распределенная;
4. Наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена - есть;
5. Режим обработки персональных данных - многопользовательский;
6. Режим разграничения прав доступа пользователей информационной системы - с разграничением прав доступа;
7. Местонахождение технических средств информационной системы - в пределах Российской Федерации.

Но классифицировать такую систему по табличке из приказа № 55\86\20 мы не можем, т.к. «По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов». Не расстраиваемся, читаем приказ дальше и видим такой пункт:
16. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
Поэтому, проанализировав исходные данные, состав обрабатываемых ПДн, определив структуру ИСПДн и технологические процессы, мы можем придти к обоснованному выводу, что негативные последствия может нанести нарушение конфиденциальности сведений (например распространение сведений об ивалидности сотрудника). Реализация всех остальных угроз приведут к незначительным негативным последствиям, потому как приняты (или будут приняты в дальнейшем в ходе создания системы защиты ИСПДн) достаточные технические меры защиты для их нейтрализации. Отразив эти сведения в модели угроз, специальная ИСПДн с указанными характеристиками может быть преспокойно классифицирована нами как К2.

Теги: персональные данные, испдн

Текст документа:

Приказ Об утверждении порядка проведения классификации информационных систем персональных данных

В соответствии с пунктом 6 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного Постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2007, N 48, часть II, ст. 6001), приказываем:

Утвердить прилагаемый Порядок проведения классификации информационных систем персональных данных.

Директор

Федеральной службы

по техническому

и экспортному контролю

С.И.ГРИГОРОВ

Директор

Федеральной службы безопасности

Российской Федерации

Н.П.ПАТРУШЕВ

информационных технологий и связи

Российской Федерации

Л.Д.РЕЙМАН

Утвержден

Приказом

ФСТЭК России,

ФСБ России,

Мининформсвязи России

ПОРЯДОК

ПРОВЕДЕНИЯ КЛАССИФИКАЦИИ ИНФОРМАЦИОННЫХ СИСТЕМ

ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Настоящий Порядок определяет проведение классификации информационных систем персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы)

2. Классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор).

3. Классификация информационных систем проводится на этапе создания информационных систем или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.

4. Проведение классификации информационных систем включает в себя следующие этапы:

сбор и анализ исходных данных по информационной системе;

присвоение информационной системе соответствующего класса и его документальное оформление.

5. При проведении классификации информационной системы учитываются следующие исходные данные:

объем обрабатываемых персональных данных (количество субъектов

персональных данных, персональные данные которых обрабатываются в

информационной системе) - X ;

заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;

структура информационной системы;

наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;

режим обработки персональных данных;

режим разграничения прав доступа пользователей информационной системы;

местонахождение технических средств информационной системы.

6. Определяются следующие категории обрабатываемых в информационной

7. X может принимать следующие значения:

1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;

2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;

3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

8. По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.

Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

К специальным информационным системам должны быть отнесены:

информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;

информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

9. По структуре информационные системы подразделяются:

на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);

на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);

на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

10. По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на системы, имеющие подключения, и системы, не имеющие подключений.

11. По режиму обработки персональных данных в информационной системе информационные системы подразделяются на однопользовательские и многопользовательские.

12. По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.

13. Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.

14. По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:

класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

15. Класс типовой информационной системы определяется в соответствии с таблицей.

16. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" .

17. В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.

18. Результаты классификации информационных систем оформляются соответствующим актом оператора.

19. Класс информационной системы может быть пересмотрен:

по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;

по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.

"Бюджетные организации: бухгалтерский учет и налогообложение", 2009, N 12

С 1 января 2010 г. информационные системы персональных данных во всех организациях, включая бюджетные учреждения, должны быть приведены в соответствие с требованиями Закона "О персональных данных" <1>. К этому Закону был принят ряд подзаконных нормативных актов, и в результате сейчас существуют различные трактовки обязанностей государственных и муниципальных учреждений в отношении имеющихся в них информационных систем. В настоящей статье проанализированы положения действующего законодательства и выделены требования, обязательные для выполнения.

<1> Федеральный закон от 27.07.2006 N 152-ФЗ.

Согласно ст. 1 Закона "О персональных данных" настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими и физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Такое внимание к вопросам автоматизации обработки персональных данных влечет необходимость выполнения специальных норм законодательства, касающихся использования информационных технологий. При этом нужно внимательно изучить нормативно-правовую базу, которая в настоящее время может толковаться весьма неоднозначно, особенно в части предъявления требований к информационным системам.

Понятие "информационная система" в действующем законодательстве

В соответствии с Федеральным законом "Об информации, информационных технологиях и защите информации" <2> информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Исходя из этого определения, можно сделать вывод о том, что не существуют информационные системы без использования компьютерной техники и соответствующего программного обеспечения.

<2> Федеральный закон от 27.07.2006 N 149-ФЗ.

Однако в ст. 3 Закона "О персональных данных" приведено более широкое определение информационной системы : это совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств .

Разберем составляющие этого определения, дефиниции которых можно найти в Федеральном законе "Об информации, информационных технологиях и защите информации", других законах и в нормативных актах Правительства РФ.

Под базой данных понимается совокупность организованных взаимосвязанных данных на машиночитаемых носителях (Временное положение о государственном учете и регистрации баз и банков данных <3>). Однако в части четвертой ГК РФ (абз. 2 п. 2 ст. 1260) дано более развернутое определение базы данных : это представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ).

<3> Утверждено Постановлением Правительства РФ от 28.02.1996 N 226.

Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов (Федеральный закон "Об информации, информационных технологиях и защите информации").

Под техническими средствами , позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и тому подобное), средства защиты информации, применяемые в информационных системах (Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных <4>).

<4> Утверждено Постановлением Правительства РФ от 17.11.2007 N 781.

Таким образом, в состав технических средств входят и копировальные устройства, и программное обеспечение, однако ключевым в определении информационной системы персональных данных является понятие "база данных". Из этого определения следует, что обработка базы данных осуществляется с помощью компьютера (носители должны быть машиночитаемыми). Если же обработка ведется без использования компьютера и базы данных (машиночитаемых носителей), то формально информационная система отсутствует. Кроме того, без технических средств, позволяющих осуществлять обработку персональных данных, база данных также не может быть признана информационной системой. К тому же информационные системы не просто являются совокупностью компьютерной техники и неких программ, обрабатывающих информацию из баз данных, они могут использовать при этом средства автоматизации, а могут их и не использовать.

Что понимается под средствами автоматизации?

Существует точка зрения, согласно которой под использованием средств автоматизации подразумевается любая компьютерная обработка или обработка с помощью электронных устройств. Если база данных хранится в компьютере (например, в электронной таблице или бухгалтерской программе) или, например, в записной книжке сотового телефона, то это уже является автоматизированной обработкой персональных данных и подлежит уведомлению Роскомнадзора. Кроме того, некоторые специалисты полагают, что обработка без использования средств автоматизации может вестись лишь на бумаге (в журналах, заполняемых от руки, в рукописных списках).

В соответствии с ч. 3 ст. 4 Закона "О персональных данных" особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

Постановлением Правительства РФ от 15.09.2008 N 687 утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Согласно п. 1 указанного Положения обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека .

Обратим особое внимание на то, что согласно п. 2 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что они содержатся в информационной системе либо были извлечены из нее.

Таким образом, можно констатировать, что с точки зрения определений, имеющихся в действующем законодательстве, подавляющее большинство информационных систем в государственных и муниципальных учреждениях формально можно рассматривать как осуществляемые без использования средств автоматизации (включая значительную часть бухгалтерского программного обеспечения). Ведь все лицевые карточки в этих системах правятся в соответствующих окнах вручную. Для уничтожения лицевых карточек также необходимо их выделение в списке оператором и нажатие специальной клавиши для удаления данных. Даже архивация осуществляется специальной программой, которая запускается человеком.

А вот различные программы, позволяющие переформатировать данные (в том числе из формата бухгалтерской программы в формат, например, программы Пенсионного фонда) и осуществляющие их автоматический ввод и дальнейшую передачу без обращения к каждой конкретной записи о работнике, могут быть отнесены к автоматизированной обработке данных. При этом обработка персональных данных (включая фамилию, имя, отчество, номер пенсионного свидетельства и тому подобное) является неотъемлемой частью таких программ.

В то же время если передача данных в другие программы (в том числе для целей налогового учета) производится не полностью автоматически, а с помощью человека, участвующего в обработке персональных данных, то такую обработку также нельзя признать автоматизированной.

В этой связи рекомендации Рособразования, изложенные в Письме от 29.07.2009 N 17-110 "Об обеспечении защиты персональных данных", имеют довольно ограниченное применение на практике. В целях автоматизации обработки персональных данных в анкетах Рособразованием рекомендуется дополнительно указывать внутренний идентификационный номер (личный код) субъекта персональных данных, присваиваемый на весь период обучения или работы. Это позволяет обезличить базы данных, если в них не содержатся иные персональные данные, и существенно сократить затраты на защиту информации.

Однако для автоматизации управленческой деятельности в государственном или муниципальном учреждении необходимы как минимум фамилии, имена, отчества сотрудников, обучающихся, студентов и так далее, а также ряд других персональных данных (для сотрудников, например, информация об их доходах в целях бухгалтерского и налогового учета). Обращение же к личным кодам, содержащимся в листочках (анкетах), при остальной обработке данных с помощью программного обеспечения будет выглядеть по крайней мере странно, снижая эффективность внедрения современных информационных технологий. При этом в зависимости от формы используемых анкет их можно будет признать частью информационной системы (как являющихся составной частью базы данных), что полностью лишит смысла дополнительную кодировку (такая кодировка требуется в случае целесообразности обезличивания данных, например для проведения статистических исследований).

Обработка персональных данных без использования средств автоматизации

Итак, как было рассмотрено выше, несмотря на компьютеризацию деятельности, в большинстве случаев обработка персональных данных в государственных и муниципальных учреждениях осуществляется без использования средств автоматизации (неавтоматизированно) и, соответственно, регламентируется Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации <5>.

<5> Утверждено Постановлением Правительства РФ от 15.09.2008 N 687.

Лица, проводящие такую обработку (в том числе сотрудники организации-оператора или лица, работающие по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации и локальными актами образовательного учреждения.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).

При этом не допускается фиксация персональных данных на одном материальном носителе, если цели их обработки заведомо несовместимы. В этом случае для каждой категории персональных данных должен использоваться отдельный материальный носитель.

И следовательно, обработка должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных были:

• определены места хранения и установлен перечень лиц, осуществляющих обработку данных либо имеющих к ним доступ;
• обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
• соблюдены условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются образовательным учреждением в соответствии с требованиями, предъявляемыми нормативными правовыми актами по защите персональных данных.

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если он не позволяет осуществлять их обработку отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки, в частности:

• при необходимости использования или распространения определенных персональных данных отдельно от других, находящихся на том же материальном носителе, осуществляется копирование данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
• при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

Обработка персональных данных с использованием средств автоматизации

Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств.

Как следует из п. 1 данного Положения, под термином "информационные системы" понимаются только информационные системы, позволяющие осуществлять обработку персональных данных с использованием средств автоматизации, поэтому на информационные системы, в которых обработка данных осуществляется без использования средств автоматизации, требования этого Положения не распространяются.

Если в государственном или муниципальном учреждении производится автоматизированная обработка персональных данных, то необходимо выполнять следующие требования.

Согласно Положению об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных безопасность персональных данных достигается:

• путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных;
• путем исключения иных несанкционированных действий.

Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных , включающей:

• организационные меры;
• средства защиты информации;
• информационные технологии.

Средства защиты информации включают в себя:

• шифровальные (криптографические) средства;
• средства предотвращения несанкционированного доступа;
• средства предотвращения утечки информации по техническим каналам;
• средства предотвращения программно-технических воздействий на технические средства обработки персональных данных.

Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления данных по этим запросам должны регистрироваться автоматизированными средствами информационной системы в электронном журнале обращений. При этом содержание электронного журнала обращений должно периодически проверяться соответствующими должностными лицами (работниками) оператора или уполномоченного лица.

При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления и устранения причин нарушений.

Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством РФ требованиям, обеспечивающим защиту информации. При этом методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю (ФСТЭК) и Федеральной службой безопасности (ФСБ) в пределах их полномочий.

Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом. Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность и безопасность персональных данных при их обработке в информационной системе.

Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.

При этом информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных, в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.

Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности и Министерством информационных технологий и связи. Такой Порядок определен Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20.

Кроме того, обозначены требования к помещениям и их охране. Согласно п. 8 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

Для этого государственные и муниципальные учреждения должны устанавливать дополнительную сигнализацию в указанных помещениях, в дверных проемах - дополнительные замки либо металлические двери.

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

ж) учет лиц, допущенных к работе с персональными данными в информационной системе;

з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут повлечь нарушение конфиденциальности персональных данных или другие нарушения, приводящие к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

к) описание системы защиты персональных данных.

Лица, которые имеют доступ к информационным базам с персональными данными, подписывают обязательства о неразглашении конфиденциальных сведений (такое обязательство может быть включено и в трудовой договор). Только после этого образовательное учреждение допускает их к обработке персональных данных.

При обработке персональных данных в информационной системе образовательным учреждением должно быть обеспечено:

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;

в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

д) постоянный контроль за обеспечением уровня защищенности персональных данных.

Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности персональных данных.

Следует также обратить особое внимание на то, что согласно п. 17 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков.

Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.

Классификация информационных систем персональных данных

Классификация информационных систем персональных данных, позволяющих производить обработку этих данных с использованием средств автоматизации, осуществляется образовательным учреждением - оператором в соответствии с Порядком проведения классификации информационных систем персональных данных <6> в зависимости от категории обрабатываемых данных и их количества.

<6> Утвержден Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20.

Установлены следующие четыре категории персональных данных:

1. персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
2. персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к первой категории;
3. персональные данные, позволяющие идентифицировать субъекта персональных данных;
4. обезличенные и (или) общедоступные персональные данные.

В любом вузе на общедоступных стендах можно встретить различные списки студентов, включающие в себя сочетание Ф.И.О. студента, курса, группы, которые позволяют однозначно определить студента. В результате такая комбинация персональных данных заставляет отнести их к персональным данным третьей категории; на размещение этих данных в общедоступном месте формально требуется согласие студента.

Личная карточка работника (ф. Т-2), личное дело учащегося (студента) относятся ко второй категории, так как это персональные данные, позволяющие не только идентифицировать субъекта персональных данных, но и получить о нем дополнительную информацию.

Информационные системы персональных данных подразделяются на типовые и специальные. К типовым относятся системы, в которых требуется обеспечить только конфиденциальность персональных данных. Все остальные системы относятся к специальным.

К специальным информационным системам также должны быть отнесены:

• информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
• информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Исходя из приведенной классификации, можно констатировать, что любые медицинские данные, а также кадровый учет, содержащий графу "национальность" (а таковы почти все действующие анкеты и личные листки по учету кадров, используемые в настоящее время), необходимо относить к первой категории.

По результатам анализа имеющихся данных типовой информационной системе присваивается один из четырех классов, указанных в Порядке проведения классификации информационных систем персональных данных.

Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных по результатам анализа исходных данных в соответствии с методическими документами ФСТЭК.

ФСТЭК издала следующие документы ДСП, которые можно получить, только обратившись в этот орган:

• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, от 15.02.2008;
• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15.02.2008;
• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15.02.2008;
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных от 15.02.2008.

В этих методических документах содержатся многочисленные требования, выполнить которые для большинства государственных или муниципальных учреждений крайне сложно по причинам как организационного, так и финансового характера.

Декларирование, сертификация (аттестация) и лицензирование деятельности по защите персональных данных

В перечисленных выше методических документах ФСТЭК устанавливается следующий порядок оценки соответствия степени защищенности информационных систем требованиям безопасности:

• для информационных систем первого и второго класса соответствие степени защищенности требованиям безопасности устанавливается путем обязательной сертификации (аттестации);
• для информационных систем третьего класса соответствие требованиям безопасности подтверждается путем сертификации (аттестации) или (по выбору оператора) декларированием соответствия, проводимым оператором персональных данных;
• для информационных систем четвертого класса оценка соответствия не регламентируется и осуществляется по решению оператора персональных данных.

Декларирование соответствия - это подтверждение соответствия характеристик информационной системы персональных данных предъявляемым к ней требованиям, установленным законодательством, руководящими и нормативно-методическими документами ФСТЭК и ФСБ.

Декларирование соответствия может осуществляться на основе собственных доказательств или доказательств, полученных с участием привлеченных организаций, имеющих необходимые лицензии. Перечень органов (организаций) по аттестации системы сертификации средств защиты информации по требованиям безопасности информации, в которые могут обращаться образовательные учреждения и органы управления образованием, не имеющие необходимых специалистов и лицензий, а также Государственный реестр сертифицированных средств защиты информации размещены на сайте ФСТЭК. Стоимость проведения таких процедур достаточно велика и измеряется сотнями тысяч рублей.

В случае проведения декларирования на основе собственных доказательств оператор самостоятельно формирует комплект документов, таких как: техническая документация, другие документы и результаты собственных исследований, послужившие мотивированным основанием для подтверждения соответствия информационной системы персональных данных всем необходимым требованиям, предъявляемым к третьему классу.

Аттестационные (сертификационные) испытания проводятся организациями, имеющими необходимые лицензии ФСТЭК. При этом под аттестацией понимают комплекс мер, позволяющих привести информационную систему в соответствие с требованиями по безопасности информации к заявленному классу, изложенными в нормативно-методических документах ФСТЭК.

Аттестационные (сертификационные) испытания содержат в себе анализ уже имеющихся на объекте информационных систем персональных данных, а также вновь принятых решений по обеспечению безопасности информации и включают проверку:

• организационно-режимных мероприятий по обеспечению защиты информации;
• защищенности информации от утечек по техническим каналам (ПЭМИН);
• защищенности информации от несанкционированного доступа.

По результатам аттестационных испытаний принимается решение о выдаче аттестата соответствия информационной системы заявленному классу по требованиям безопасности информации. Аттестат выдается сроком на три года.

В методических документах ФСТЭК установлены также дополнительные требования по наличию лицензий на ведение деятельности по защите персональных данных. Без наличия соответствующих лицензий проведение подобных мероприятий возможно только для информационных систем третьего и четвертого класса.

Для проведения мероприятий по обеспечению безопасности персональных данных для специальных информационных систем, систем первого и второго класса и распределенных (в том числе подключенных к сети Интернет) систем третьего класса операторы обязаны в установленном порядке получить лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации.

Законность требований проведения процедур декларирования, сертификации (аттестации) и лицензирования государственными и муниципальными учреждениями на основании методических документов ФСТЭК вызывает большие сомнения.

Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти <7> (п. 1.2) относит к служебной информации ограниченного распространения несекретную информацию, касающуюся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью. Установление обязанностей по лицензированию деятельности организаций никак не может быть признано информацией ДСП.

<7> Утверждено Постановлением Правительства РФ от 03.11.1994 N 1233.

Обязанности по лицензированию отдельных видов деятельности, включая деятельность по технической защите конфиденциальной информации, определены Федеральным законом "О лицензировании отдельных видов деятельности" <8>. Порядок лицензирования деятельности по технической защите конфиденциальной информации, осуществляемой юридическими лицами и индивидуальными предпринимателями, определен Постановлением Правительства РФ от 15.08.2006 N 504.

<8> Федеральный закон от 08.08.2001 N 128-ФЗ.

Ни Положение о лицензировании деятельности по технической защите конфиденциальной информации, ни Порядок проведения классификации информационных систем персональных данных не устанавливают обязанностей по лицензированию деятельности по технической защите конфиденциальной информации в зависимости от класса информационной системы. Данные требования установлены в документе ДСП - Основных мероприятиях по организации и техническому обеспечению безопасности ПД, обрабатываемых в ИСПД.

Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных определяет лишь, что:

• средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия (п. 5) - то есть сертификации подлежит не оператор, а средство защиты информации, и ее проводит производитель этого средства (в том числе компьютерной программы по защите информации);
• результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности в пределах их полномочий.

В соответствии с ч. 3 ст. 15 Конституции РФ все законы, а также любые нормативные акты, затрагивающие права, свободы и обязанности человека и гражданина, должны быть официально опубликованы для всеобщего сведения, то есть обнародованы. Неопубликованные нормативные правовые акты не применяются, не влекут правовых последствий как не вступившие в силу.

С 15 мая 1992 г. Постановлением Правительства РФ от 08.05.1992 N 305 "О государственной регистрации ведомственных нормативных актов" была введена государственная регистрация нормативных актов министерств и ведомств, затрагивающих права и интересы граждан и носящих межведомственный характер.

Вопросы государственной регистрации и вступления в силу ведомственных нормативных правовых актов регулируются Указом Президента РФ N 763 <9> и Постановлением Правительства РФ N 1009 <10>.

<9> Указ Президента РФ от 23.05.1996 N 763 "О порядке опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти".
<10> Постановление Правительства РФ от 13.08.1997 N 1009 "Об утверждении Правил подготовки нормативных правовых актов федеральных органов исполнительной власти и их государственной регистрации".

Согласно п. 10 Правил подготовки нормативных правовых актов федеральных органов исполнительной власти и их государственной регистрации государственной регистрации подлежат нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, устанавливающие правовой статус организаций, имеющие межведомственный характер, независимо от срока их действия, в том числе акты, содержащие сведения, составляющие государственную тайну, или сведения конфиденциального характера.

Государственная регистрация нормативных правовых актов осуществляется Минюстом, который ведет Государственный реестр нормативных правовых актов федеральных органов исполнительной власти.

Государственная регистрация нормативного правового акта включает в себя:

• юридическую экспертизу соответствия этого акта законодательству РФ, включая проверку на наличие в нем положений, способствующих созданию условий для проявления коррупции;
• принятие решения о необходимости государственной регистрации данного акта;
• присвоение регистрационного номера;
• занесение в Государственный реестр нормативных правовых актов федеральных органов исполнительной власти.

Нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, устанавливающие правовой статус организаций или имеющие межведомственный характер, подлежат официальному опубликованию в установленном порядке, кроме актов или отдельных их положений, содержащих сведения, составляющие государственную тайну, или сведения конфиденциального характера,

Акт, признанный Минюстом не нуждающимся в государственной регистрации, подлежит опубликованию в порядке, определяемом федеральным органом исполнительной власти, утвердившим акт. При этом порядок вступления данного акта в силу также определяется федеральным органом исполнительной власти, издавшим его.

Поэтому, по мнению автора, государственные и муниципальные учреждения, осуществляющие автоматизированную обработку персональных данных, в случае предъявления требований о получении лицензий, проведении декларирования или сертификации (аттестации) могут обжаловать такие требования в судебном порядке (особенно если используемые средства защиты персональных данных уже были сертифицированы их производителем).

А.Вифлеемский

директор

Нижегородского центра

экономики образования

Регистрационный N 11462

В соответствии с пунктом 6 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2007, N 48, часть II, ст. 6001), приказываем:

Утвердить прилагаемый Порядок проведения классификации информационных систем персональных данных.

Директор

Федеральной службы

по техническому и экспортному контролю

С. Григоров

Директор Федеральной службы безопасности

Российской Федерации

Н. Патрушев

Министр информационных технологий и связи Российской Федерации

Л. Рейман

Порядок проведения классификации информационных систем персональных данных

1. Настоящий Порядок определяет проведение классификации информационных систем персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы)1.

2. Классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор)2.

3. Классификация информационных систем проводится на этапе создания информационных систем или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.

4. Проведение классификации информационных систем включает в себя следующие этапы:

сбор и анализ исходных данных по информационной системе:

присвоение информационной системе соответствующего класса и его документальное оформление.

5. При проведении классификации информационной системы учитываются следующие исходные данные:

объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) - Х нпд;

заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;

структура информационной системы;

наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;

режим обработки персональных данных;

режим разграничения прав доступа пользователей информационной системы;

местонахождение технических средств информационной системы.

6. Определяются следующие категории обрабатываемых в информационной системе персональных данных (Х пд):

7. Х нпд может принимать следующие значения:

1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;

2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных.данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;

3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

8. По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.

Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

К специальным информационным системам должны быть отнесены:

информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;

информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

9. По структуре информационные системы подразделяются:

на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);

на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);

на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

10. По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на системы, имеющие подключения, и системы, не имеющие подключений.

11. По режиму обработки персональных данных в информационной системе информационные системы подразделяются на однопользовательские и многопользовательские.

12. По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.

13. Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.

14. По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:

класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

15. Класс типовой информационной системы определяется в соответствии с таблицей.

16. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"3.

17. В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.

18. Результаты классификации информационных систем оформляются соответствующим актом оператора.

19. Класс информационной системы может быть пересмотрен:

по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;

по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.

1Абзац первый пункта 1 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г.

N 781 (Собрание законодательства Российской Федерации, 2007, N 48, часть II,

2Абзац первый пункта 6 Положения.

3Собрание законодательства Российской Федерации 2007, N 48, часть II, ст. 6001.

Одним из ключевых элементов на начальном этапе обеспечения информационной безопасности является процесс проведения классификации защищаемой системы по требованиям безопасности информации. Данный процесс достаточно хорошо описан и регламентирован, однако он имеет свои тонкости. В предыдущей статье мы рассмотрели понятие классификации систем, основные, часто встречающиеся классификационные признаки, определили состав документов, на основании которых происходит классификация систем по требованиям безопасности информации, и прояснили отдельные вопросы по классификации информационных систем и объектов учета. В данной статье мы рассмотрим общий порядок проведения классификации информационных систем по требованиям безопасности информации на примере абстрактной государственной информационной системы, а также ряд основных моментов при проведении классификации.

Прежде чем приступить, необходимо очень четко понимать следующие основные моменты:

1. Под классификацией мы будем понимать разбиение общего множества объектов на подмножества - классы, сгруппированные по наиболее существенным признакам, при этом под классом мы будем понимать совокупность объектов, обладающих некоторыми признаками общности, которые, в свою очередь, будут являться признаком – критерием классификации.

2. Множественная классификация по требованиям безопасности информации не является ошибочной.

3. Выбор порядка классификации осуществляется исходя из целей создания системы, состава информации, подлежащей обработке и анализу нормативно-правовой, методической и иной документации, которой классифицируемая система должна соответствовать.

4. Результатом проведения классификации является акт классификации.

5. Результаты классификации не являются окончательными и могут быть пересмотрены.

6. Классификация осуществляется обладателем информации.

Вопросы с 1-го по 5-й были достаточно подробно рассмотрены в предыдущей статье , поэтому мы их опустим и более подробно рассмотрим другие.

Начнем с простого: «Результатом проведения классификации является акт классификации». Данный факт установлен требованиями п.14.2 , который устанавливает требования для любой государственной информационной системы.

Одна из распространенных ошибок при составлении акта относится к случаям, когда осуществляется множественная классификация систем. В этом случае, необходимо проводить классификацию независимо, не опираясь на результаты предыдущих классификаций (если это не противоречит порядку классификации), а результат оформлять отдельными актами классификации.

Стоит отметить, что не существует жесткого требования по наличию отдельных актов классификации. Вся информация по результатам множественной классификации может быть отражена в единственном акте. Однако зачастую это приводит к излишней путанице и неудобству для дальнейшей работы с документом. Именно поэтому мы рекомендуем оформлять акты классификации отдельными актами.

Перейдем к пункту 5: «Результаты классификации не являются окончательными и могут быть пересмотрены». Указанное утверждение следует исходя из формальной логики самого процесса, ведь могут измениться условия функционирования объекта классификации, его цели, задачи и другие аспекты. Могут измениться или преобразоваться сами классификационные признаки. Кроме того, в документе, устанавливающем порядок классификации, зачастую содержится информация о порядке пересмотра результатов классификации. Так, согласно п.14.2 приказа ФСТЭК России от 13.02.2013 г. №17 класс защищенности информационной системы подлежит пересмотру при изменении масштаба информационной системы или значимости обрабатываемой в ней информации. Порядок пересмотра результатов классификации практически ничем не отличается от самого процесса классификации.

Перейдем к последнему утверждению: «Классификация осуществляется обладателем информации». Вначале определим кто является «обладателем информации». Согласно ст. 2 Федерального закона Российской Федерации от 27.07.2006 г. «Об информации, информационных технологиях и защиты информации» №149-ФЗ «обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам». Права обладателя информации установлены статьей 6 вышеуказанного закона :

«1. Обладатель информации, если иное не предусмотрено федеральными законами, вправе:

• разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
• использовать информацию, в том числе распространять ее, по своему усмотрению;
• передавать информацию другим лицам по договору или на ином установленном законом основании;
• защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;
• осуществлять иные действия с информацией или разрешать осуществление таких действий.

Обладатель информации при осуществлении своих прав обязан:

• соблюдать права и законные интересы иных лиц;
• принимать меры по защите информации;
• ограничивать доступ к информации, если такая обязанность установлена федеральными законами».

Исходя из определения обладателя информации и его прав становится очевидным, что именно он вправе проводить классификацию, так как классификация является составляющей частью формирования требований к защите информации, содержащейся в информационной системе, что в свою очередь входит в состав работ по обеспечению информационной безопасности на её начальном этапе. Зачастую многие этот нюанс упускают из вида, что приводит к появлению ошибочных документов, на основании которых происходят, в том числе, дальнейшие работы по информационной безопасности, что является прямым нарушением законодательства Российской Федерации. Ряд регулирующих органов, для прояснения данного момента, однозначно указывает на это в своих нормативных документах, например, в п. 14 приказа ФСТЭК России от 13.02.2013 г. №17 . Кроме того, следует понимать, что обладатель информации вправе делегировать свои обязанности, если это не противоречит законодательным или иным требованиям. В таком случае сам факт передачи данного права, например, подведомственному учреждению, должен быть зафиксирован надлежащим образом. Отдельно следует отметить, что проведение классификации информационной системы по требованиям безопасности информации в отсутствие законного права попросту лишено смысла.

Теперь перейдем к непосредственному порядку выполнения классификации. При проведении классификации рекомендуется придерживаться следующего порядка действий:

1. Приказом руководителя (уполномоченного заместителя) организации, являющейся на законных основаниях обладателем информации, обрабатываемой в классифицируемой информационной системе, назначить комиссию по проведению классификации. В приказе отразить:

• состав комиссии с указанием ФИО, должности и функциональной роли для каждого из членов комиссии;
• наименование классифицируемой системы (или нескольких систем);
• документы, в соответствии с которыми должна производиться классификация;
• сроки проведения классификации.

2. Ознакомить с приказом всех участников комиссии.

3. Установить время заседания комиссии.

4. Комиссии под протокол в установленное время заседания определить:

• порядок проведения классификации в соответствии с требованиями документа, на основании которого проводится классификации;
• определить состав классификационных признаков, значимых при проведении классификации;
• определить значения классификационных признаков для классифицируемой системы;
• установить класс информационной системы.

5. На основании протокола заседания классификационной комиссии зафиксировать итоговый результат классификации в акте классификации.

6. В установленном порядке передать акт классификации на утверждение руководителю (уполномоченному заместителю) организации.

Рассмотрим детально процесс проведения заседания комиссии по классификации. Классификацию мы будем проводить в соответствии с требованиями следующих документов:

• постановлением Правительства Российской Федерации от 01.11.2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» № 1119 .

Порядок проведения классификации в данных документах прописан однозначно, как и основные классификационные признаки:

• уровень значимости информации, который определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации. Государственная информационная система может иметь один из следующих уровней значимости:
• УЗ 1, если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена высокая степень ущерба;
• УЗ 2, если хотя бы для одного - определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба;
• УЗ 3, если для всех - определены низкие степени ущерба.

При этом степень возможного ущерба определяется обладателем информации и (или) оператором самостоятельно экспертным или иными методами и может быть:

• высокой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции;
• средней, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять хотя бы одну из возложенных на них функций;
• низкой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.
• масштаб системы:
• Федеральный, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях;
• Региональный, если она функционирует на территории субъекта Российской Федерации и обладает сегментами в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях;
• Объектовый, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.
• тип актуальных угроз:
• угрозы 1-го типа - актуальны для информационной системы, если для нее актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;
• угрозы 2-го типа - актуальны для информационной системы, если для нее актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;
• угрозы 3-го типа - актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
• категория обрабатываемых персональных данных:
• специальные категории персональных данных;
• биометрические персональные данные;
• иные;
• общедоступные.
• количество субъектов, персональные данные которых обрабатываются:
• более 100 000;
• менее 100 000.
• принадлежность субъектов персональных данных:
• сотрудники оператора;
• не сотрудники оператора.
• принадлежность субъектов персональных данных (не сотрудников оператора). Тут важно понимать, что если есть хоть один субъект ПДн, чьи персональные данные обрабатываются в системе и он не является сотрудником оператора, то можем принимать это значение по умолчанию;
• количество субъектов ПДн: для нашей системы это число не будет превышать 100 000;
• категория персональных данных: например, для нашей системы - иные персональные данных. При определении данного параметра достаточно понимать какая именно информация к какой категории ПДн относится. В случае если одновременно обрабатывается информация из разных категорий, то системе следует выбрать значение признака по наивысшему показателю, а именно:
• специальные категории персональных данных, если обрабатывается информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни субъектов персональных данных;
• биометрические персональные данные, если, во-первых, не обрабатываются сведения, относящиеся к специальным категориям персональных данных, во-вторых, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
• общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона от 27.07.2006 г. «О персональных данных» №152-ФЗ;
• иные, если в ней не обрабатываются персональные данные, указанные выше.
• по типу угроз безопасности персональных данных. Данный параметр мы оставили напоследок не случайно, ведь он зависит от Модели угроз безопасности персональных данных, в которой должны быть указаны актуальные угрозы. Пусть для нашей системы это будут угрозы 3-го типа.

Процесс определения конечных значений каждого из классификационных признаков определяется экспертным путем, обычно в результате консолидированного экспертного мнения, поэтому перейдем сразу к определению данных признаков для нашей абстрактной государственной информационной системы федерального масштаба. Так, в соответствии с приказом ФСТЭК России от 13.02.2013 г. №17 определим максимальный ущерб от нарушения одного из свойств безопасности. При его определении достаточно обратится к полному составу функций, реализуемых системой, нарушение конкретного свойства приведет к невозможности выполнения как минимум одной из них. Рассматриваем каждую, оцениваем последствия, находим максимальный показатель и сравниваем его с перечнем значений УЗ. В нашем примере степень максимального ущерба будет средней, тогда УЗ 2 – искомый уровень значимости информации.

После определения значений указанных классификационных признаков, нам остается только установить класс защищенности нашей системы в соответствии с логикой рассмотренных выше документов и правильно отразить результат деятельности комиссии сначала в протоколе, а потом в акте классификации.

Таким образом, в данной статье мы рассмотрели общий порядок проведения классификации информационных систем по требованиям безопасности информации на примере абстрактной государственной информационной системы, рассмотрели ряд основных моментов и скрытых подводных камней при проведении классификации. В следующей статье мы рассмотрим порядок оформления типовых документов при проведении классификации (приказа о создании комиссии, протокола заседания комиссии и акта классификации), заполним их для нашей абстрактной системы и подготовим типовые шаблонные формы.