A személyes adatok biztonságának szintjei: követelmények és jellemzők

Személyes adatok-olyan információk, amelyek nyilvánosságra hozatala károsíthatja azt a személyt, akinek személyes adatai hirtelen ismertté váltak. Ezenkívül az ilyen adatok szándékos vagy véletlenszerű nyilvánosságra hozatala bizonyos mértékű felelősséget von maga után az ilyen információkat visszaminősítő személyért.

Ezért a személyes adatok valamilyen védelmet igényelnek. Melyik pontosan? Ezt a személyes adatok biztonságának szintje határozza meg. Mik azok, milyen osztályozásokat vezetnek be itt, melyek az egyes szintek legfontosabb követelményei, ebben a cikkben megvizsgáljuk.

Jogszabályi szabályozás

Meghatározták a személyes adatok biztonságának szintjét Kormányrendelettel № 1119 (2012). Helyettesítették az információs rendszerek helyettesített osztályait a személyes, személyes adatok területén.

Így a személyes adatok biztonságának 4 szintjét vezették be az információs rendszerekben történő feldolgozásukhoz. A határozat mindegyikre követelményeket is megállapított.

Annak alapján, hogy milyen információs rendszerek tulajdoníthatók egy vagy másik biztonsági szintnek? Mindenekelőtt az ilyen információs rendszer által feldolgozott személyes adatok típusára, a jelenlegi fenyegetések típusára, valamint a rendszerben közvetlenül feldolgozott személyes adatok számára kell támaszkodni. Az a tény is fontos, hogy a kontingens személyes adatait egy bizonyos esetben feldolgozzák.

Szintek

Hogyan kezeljük a személyes adatok biztonságának szintjét? Meg kell utalni a p. A fent említett 1119. számú határozat 5. cikke. Négy kategória van itt:

• 1 A személyes adatok biztonságának szintje. Ezek speciális ISPDn (rövidítés-személyes adatok információs rendszerek). Mi történik itt? Információk a személy állampolgárságáról, fajáról, politikai nézeteiről, filozófiai meggyőződéséről, vallási meggyőződéséről, egészségi állapotáról, az intim élet részleteiről.
• 2 a személyes adatok biztonságának szintje. Ez már magában foglalja a biometrikus ISPDn-t. Az ilyen rendszerekben az állampolgár biológiai-fiziológiai jellemzőit jellemző információkat feldolgozzák. Ezek alapján teljesen meg lehet határozni ennek a személynek a személyazonosságát. Az Üzemeltető ezeket a személyes adatok bizonyos tárgyának személyazonosságának megállapítására használja. Ebben a kulcsban a speciális (azaz az első biztonsági szinthez tartozó) adatokat nem szabad feldolgozni.
• 3 a személyes adatok biztonságának szintje. Ezek nyilvánosan elérhető Internetszolgáltatók. Hogyan lehet ezt megérteni? A kizárólag nyilvánosan elérhető forrásokból szerzett személyes adatok tárgyaira vonatkozó személyes adatokat itt dolgozzuk fel. Ez utóbbit szigorúan a cikknek megfelelően kell létrehozni. A szövetségi törvény 8. cikke "A személyes adatokról".
• 4 a személyes adatok biztonságának szintje. Ezek más ISPDn-ek. Vagyis a szint magában foglalja azokat az információs rendszereket, amelyek nem szerepelnek az előző három szinten.

A kapcsolat formája

Hogyan kezeljük a személyes adatok biztonságának szintjét? A fent bemutatott osztályozásra kell hivatkozni.

Ezenkívül a személyes adatok feldolgozása az ISPDn-t, a személyes adatok tárgyát képező szervezet közötti kapcsolatok formájában is különbözik. Az ilyen kapcsolatoknak két típusa van:

• Az alkalmazottak személyes adatainak feldolgozása (olyan szervezetek, amelyek hivatalos, munkaügyi kapcsolatokkal kapcsolódnak ehhez a szervezethez).
• Azon személyek személyes adatainak feldolgozása, akik úgy tűnik, hogy nem a szervezet alkalmazottai.

Tantárgyak száma

A személyes adatok biztonságának szintjét a cikk első osztályozása alapján határozzák meg. Az 1119. számú kormányrendelet azonban az ISPDn 2 kategóriáját képviseli - azon alanyok száma szerint, akiknek személyes adatait ilyen rendszerben dolgozzák fel.

Csak két csoport áll ki itt:

• Kevesebb, mint 100 ezer alany.
• Több mint 100 ezer téma.

A tényleges fenyegetések típusa szerinti osztályozás

A személyes adatok információs rendszerének csak négy biztonsági szintje van. Ezenkívül az 1119. számú határozat osztja az ISPDn-t a tényleges fenyegetések típusaival, amelyek ott felmerülhetnek az alanyok személyes adatainak feldolgozása során:

• Az első típusú fenyegetések. Ezek bizonyos dokumentálatlan, be nem jelentett funkciók jelenlétéhez kapcsolódnak, amelyek az információs rendszerben használt szoftverben léteznek.
• A második típusú fenyegetések. Tetszőleges számú be nem jelentett képesség jelenléte az ISPDn-ben közvetlenül használt alkalmazásszoftverben.
• A harmadik típusú fenyegetések. Az ISPDn-ben használt szoftver nem dokumentált funkcióinak jelenléte.

Az osztályozás alkalmazásának problémái

Megismerkedtünk a személyes adatok védelmének szintjének meghatározásával. De ez a dokumentum még mindig sok megoldatlan kérdést hagy az olvasás után. A legidegesítőbb hiányosságai:

• A dokumentum nem szabályozza a tényleges fenyegetések típusának telepítését. Továbbá az 1119. számú PP követelményei nem kínálnak semmilyen módszert vagy technikát semlegesítésükre.
• Korábban az üzemeltetőknek lehetőségük volt kiválasztani egy speciális vagy szabványos ISPDn besorolását a leíráshoz a fenyegetési modell. Ma nincs ilyen lehetőség.
• Mivel a biztonság szintjét jelenleg a meglévő fenyegetések relevanciája alapján határozzák meg, a rendszerüzemeltető nem mindig hajthat végre ilyen eljárást önállóan. Segítséget kell kérnie egy tanácsadótól, egy magasabb hatóságtól stb.

Hány szintű személyes adatbiztonságot osztanak ki ma Oroszországban? Négy. Mindezen nehézségek miatt az üzemeltetők a gyakorlatban általában a legkisebb ellenállás útját követik. Ez azt jelenti, hogy meghatározzák a 3. típusú fenyegetést, ahol nem szükséges tanulmányozni az információs rendszerhez használt rendszer be nem jelentett képességeit.

Szükséges követelmények

Kitaláltuk, hogyan lehet meghatározni a személyes adatok biztonságának szintjét. Mindegyiknek meg kell felelnie az 1119. számú Kormányrendeletben meghatározott követelményeknek. Let ` s list them:

• Különleges rendszer létrehozása az információs rendszerek helyiségeinek biztonságának biztosítására. Különösen meg kell akadályoznia az ellenőrizetlen tartózkodást, a személyek e terekbe való behatolását, akik nem kapják meg az ilyen hozzáférési jogot. A követelmény minden szinten kötelező.
• A személyes adatok hordozóinak teljes biztonságának biztosítása. A követelmény minden szinten kötelező.
• Az Üzemeltető vezetése által jóváhagyott dokumentáció, amely meghatározza azon személyek listáját, akiknek az információs rendszerben feldolgozott személyes adatokhoz való hozzáférésre van szükségük saját munkaköri és hatósági feladataik ellátásához. A követelmény minden szinten kötelező.
• Az információvédelem olyan eszközeinek és módszereinek használata, amelyek a személyes adatok biztonsága területén az orosz jogszabályok követelményeinek való megfelelés értékelésére irányuló intézkedéseken mentek keresztül. Ilyen esetekben, amikor az ilyen eszközök használata szükséges, hogy semlegesítse, megszüntesse a jelenlegi fenyegetéseket. A követelmény minden szinten kötelező.
• Olyan tisztviselő kinevezése, aki felelős a személyes adatok biztonságának biztosításáért az ISPDn-ben. A követelmény kötelező az 1., 2., 3. szintre.
• A személyek hozzáférésének korlátozása az elektronikus üzenetnaplók tartalmához. A követelmény kötelező az 1. és 2. szinten.
• Automatikus regisztráció az elektronikus biztonsági naplóban az Üzemeltető alkalmazottainak a rendszerben található személyes adatokhoz való hozzáférésének különböző változásairól. A követelmény kötelező az 1. szintre.
• Egy speciális strukturális egység létrehozása, amely felelős a személyes adatok biztonságának biztosításáért az információs rendszerben. Alternatív megoldásként az ilyen biztonsági funkciók hozzárendelése a szervezet már meglévő fióktelepeihez. A követelmény kötelező az 1. szintre.

Szabványos rendszerek védelme

Vegyük a leggyakoribb példát-orvosi szervezetek. Legtöbbjük szabványos ISPDn telepítve van. Különösen a személyzet elszámolására használják, kiszámítják az összeget díjazás.

A személyes adatok feldolgozásának Alanyai itt az egészségügyi intézmények alkalmazottai. A személyes adatok feldolgozásának célja ebben az esetben annak biztosítása, hogy minden munkavállaló megfeleljen a munkaügyi jogszabályoknak és a vele fennálló egyéb kapcsolatoknak.

Ennek megfelelően az ilyen információs rendszerekben sem speciális, sem biometrikus típusú személyes adatokat nem dolgoznak fel. Ez azt jelenti, hogy az adatbiztonság szintjét itt csak az ezen információs rendszerrel kapcsolatban azonosított tényleges biztonsági fenyegetések típusa határozza meg.

Ami az esetek többségét illeti, az ilyen rendszerek sürgős fenyegetésekkel szembesülnek, amelyek nem kapcsolódnak a Be nem jelentett (vagy nem dokumentált) képességek jelenlétéhez mind az alkalmazás, mind a rendszerszoftverekben. Ebből következik, hogy az üzemeltetőnek csak a személyes adatok biztonságának negyedik szintjét kell biztosítania. Más szavakkal, a technikai és szervezeti intézkedések minimális készletét kell végrehajtani.

Szövetségi szintű információs rendszerek

Most forduljunk egy globálisabb példához ugyanazon az orosz orvosi területen. Ez az FRMR (transcript-Federal Register of Medical Workers) - egy olyan rendszer, amelynek célja az Orosz Föderáció alanyai hazai orvosi személyzetének információgyűjtése, tárolása, feldolgozása. A szövetségi nyilvántartást arra is használják, hogy ellenőrizzék az orvosi személyzet adatainak elhelyezését és mozgását a szolgáltatásban.

Hasonlóságok és különbségek

De, mint a fent leírt kevésbé összetett információs rendszerben, a polgárokkal kapcsolatos speciális vagy biometrikus személyes adatok feldolgozása nem történik meg. Ennek megfelelően az FMR és a hagyományos orvosi szervezetek jellemzői ezen a területen hasonlóak. A szövetségi nyilvántartáshoz ugyanolyan szintű adatbiztonságot kell biztosítani - a negyedik.

Bár az IP-alanyok kategóriái, a mindkét rendszerben feldolgozott információk szinte hasonlóak, a szakértők nem javasolják, hogy egyesítsék őket egybe. Miért? Minden a különböző célokról szól. Az első esetben a rendszert a Munka Törvénykönyve követelményeinek teljesítésére hozták létre. A második -, hogy kövesse a követelmény az Egészségügyi Minisztérium.

Az orvosi ISPDn feladatai

Az ilyen internetszolgáltatókat számos feladat megoldására tervezték:

• Az elektronikus nyilvántartás megnyitásának lehetősége, az elektronikus járóbeteg-kártyák fenntartása.
• Orvosi kutatási adatok feldolgozása digitális reprezentációban.
• Az orvostechnikai eszközökről eltávolított betegek állapotának figyelemmel kísérésére vonatkozó információk gyűjtése és tárolása.
• Az egészségügyi szakemberek közötti kommunikáció egyik eszköze.
• Mind a pénzügyi, mind az adminisztratív információk elemzése.

Természetesen ahhoz, hogy ezeket a feladatokat sikeresen végrehajtsák, szükséges megfelelő szervezés ISPDn biztonság.

Fontos tényezők

Így az orvosi Internetszolgáltatók megfelelő szintű védelmének megállításához a rendszerüzemeltetőnek figyeljen két fontos tényező:

1. Speciális személyes adatok feldolgozhatók az információs rendszerben-diagnózis, aktuális egészségi állapot, , orvosi eszközök jelzései stb.
2. Az ISPDn Alanyai itt nemcsak egy egészségügyi intézmény alkalmazottai lehetnek, hanem a szervezet betegei is.

Ha egy ilyen információs rendszer alanyainak száma nagy, ha bizonyos típusú tényleges fenyegetéseket találnak, akkor a személyes adatok biztonságának 1. vagy 2. szintjén kell megállni.

Megismerkedtünk a személyes adatok védelmének szintjeivel, amelyek számukra fontos jellemzőknek tekinthetők. , példák segítségével a megfelelő szint kiválasztására, mely jogalkotási aktusokra kell támaszkodni egyidejűleg.