Razine sigurnosti osobnih podataka: zahtjevi i značajke

Sadržaj

Zakonska regulativa
Razine
Oblik odnosa
Broj predmeta
Klasifikacija prema vrsti stvarnih prijetnji
Problemi primjene klasifikacije
Potrebni zahtjevi
Zaštita tipičnih sustava
Informacijski sustavi savezne razine
Sličnosti i razlike
Zadaci medicinskih Ispdn-a
Važni čimbenici

Osobni podaci-Informacije čije otkrivanje može naštetiti osobi čiji su osobni podaci iznenada postali poznati. Osim toga, otkrivanje takvih podataka, bilo namjerno ili slučajno, uvodi određenu mjeru odgovornosti za osobu koja je deklasificirala takve podatke.

Stoga osobni podaci trebaju određenu vrstu zaštite. Koji točno? To se utvrđuje prema razinama sigurnosti osobnih podataka. Što su oni, koje su klasifikacije ovdje uvedene, koji su najvažniji zahtjevi za svaku razinu, razmotrit ćemo u ovom članku.

Zakonska regulativa

Utvrđene su razine sigurnosti osobnih podataka Vladinom uredbom № 1119 (2012). Zamijenili su klase informacijskih sustava u području osobnih, osobnih podataka.

Tako su uvedene 4 razine sigurnosti osobnih podataka za njihovu obradu u informacijskim sustavima. Pravilnikom su također utvrđeni zahtjevi za svakog od njih.

Na temelju čega se informacijski sustavi mogu pripisati jednoj ili drugoj razini sigurnosti? Prije svega, potrebno je osloniti se na vrstu osobnih podataka koje takav informacijski sustav obrađuje, vrstu stvarnih prijetnji, kao i broj subjekata osobnih podataka koji se obrađuju izravno u ovom sustavu. Činjenica je također važna, osobni podaci o kojem se kontingentu obrađuju u određenom slučaju.

Razine

Kako se nositi s razinama sigurnosti osobnih podataka? Trebate se obratiti p. 5 gore navedene presude 1119. Postoje četiri kategorije:

1 razina sigurnosti osobnih podataka. To su posebni Ispdn (dekodiranje kratica - informacijski sustavi osobnih podataka). Što se ovdje obrađuje? Informacije o nacionalnoj, rasnoj pripadnosti osobe, njezinim političkim stavovima, filozofskim uvjerenjima, vjerskim pogledima, zdravstvenom stanju, detaljima intimnog života.
2. razina sigurnosti osobnih podataka. To uključuje već biometrijke IPD. U takvim će se sustavima obrađivati informacije koje karakteriziraju biološke, fiziološke karakteristike građanina. Na temelju njih sasvim je moguće utvrditi identitet te osobe. Operater ih koristi za utvrđivanje identiteta određenog subjekta osobnih podataka. U tom smislu ne bi se trebali obrađivati podaci koji se odnose na posebne (to jest, na prvu razinu sigurnosti).
3 razina sigurnosti osobnih podataka. To u javno dotupni IPD. Kako to razumjeti? Ovdje se obrađuju osobni podaci o subjektima osobnih podataka dobivenih samo iz javno dostupnih izvora. Potonji se moraju kreirati u strogom skladu sa str. 8 FZ "O osobnim podacima".
4 razina sigurnosti osobnih podataka. To su drugi. Odnosno, razina uključuje one informacijske sustave koji nisu naznačeni u prethodne tri razine.

Oblik odnosa

Kako se nositi s razinama sigurnosti osobnih podataka? Morate se obratiti gore predstavljenoj klasifikaciji.

Osim toga, obrada osobnih podataka također će se razlikovati u obliku odnosa između organizacije koja koristi IPDN, subjekta osobnih podataka. Postoje dvije vrste sličnih odnosa:

Obrada osobnih podataka zaposlenika (takvih subjekata koji su povezani s ovom organizacijom službenim, radnim odnosima).
Obrada osobnih podataka onih osoba koje se ne pojavljuju kao zaposlenici ove organizacije.

Broj predmeta

Određivanje razine sigurnosti osobnih podataka provodi se na temelju prve klasifikacije u članku. Međutim, vladina uredba ipasin 1119 predstavlja 2 kategorije Ispdn - prema broju subjekata čiji se osobni podaci obrađuju u takvom sustavu.

Ovdje se razlikuju samo dvije skupine:

Manje od 100 tisuća ispitanika.
Više od 100 tisuća ispitanika.

čin utvrđivanja razine sigurnosti osobnih podataka

Klasifikacija prema vrsti stvarnih prijetnji

Postoje samo četiri razine sigurnosti informacijskog sustava osobnih podataka. Osim njih, presuda 1119. godine dijeli Ispdn prema vrstama stvarnih prijetnji s kojima se tamo može susresti prilikom obrade osobnih podataka subjekata:

Prva vrsta prijetnje. Oni su povezani s prisutnošću određenih nedokumentiranih, nedeklariranih mogućnosti koje postoje u softveru koji se koristi u informacijskom sustavu.
Druga vrsta prijetnje. Prisutnost bilo kojeg niza nedeklariranih mogućnosti u aplikacijskom softveru koji se izravno koristi u IPDN-u.
Treća vrsta prijetnje. Prisutnost bilo kakvih nedokumentiranih mogućnosti u softveru koji se koristi u Ispdn-u.

Problemi primjene klasifikacije

Upoznali smo se s činom utvrđivanja razine sigurnosti osobnih podataka. Ali ovaj dokument i dalje ostavlja mnoga neriješena pitanja nakon čitanja. Njegove najneugodnije praznine:

Dokument ne regulira postavljanje vrste stvarnih prijetnji. Također, zahtjevi PP opin 1119 ne nude nikakve metode i metode za njihovu neutralizaciju.
Prije su operateri imali priliku odabrati klasifikaciju posebnog ili tipičnog Ispdn-a prema opis modela prijetnje. Danas takva mogućnost ne postoji.
Budući da se razina sigurnosti trenutno određuje na temelju relevantnosti postojećih prijetnji, operater sustava ne može uvijek sam provesti takav postupak. Morat će potražiti pomoć savjetnika, višeg tijela i tako dalje.

Koliko je razina sigurnosti osobnih podataka danas dodijeljeno u Rusiji? Četiri. Zbog svih navedenih poteškoća, operateri u praksi nastoje slijediti put najmanjeg otpora. Odnosno, oni određuju tip 3 za bilo koju prijetnju, gdje nije potrebno proučavati nedeklarirane mogućnosti sistemskog i aplikacijskog softvera koji se koristi za informacijski sustav.

Potrebni zahtjevi

Analizirali smo kako odrediti razinu sigurnosti osobnih podataka. Svaki od njih mora ispuniti zahtjeve koji su mu postavljeni u vladinoj Uredbi 1119. Nabrojimo ih:

Uspostavljanje posebnog načina osiguranja sigurnosti prostorija u kojima se nalaze informacijski sustavi. Konkretno, trebao bi spriječiti nekontrolirani boravak, ulazak u te prostore osoba kojima nije odobreno pravo na takav pristup. Zahtjev je obvezan za sve razine.
Osiguravanje potpune sigurnosti nositelja osobnih podataka. Zahtjev je obvezan za sve razine.
Odobrenje od strane Uprave operatora dokumentacije koja definira popis osoba kojima je potreban pristup osobnim podacima obrađenim u informacijskom sustavu za obavljanje vlastitih radnih dužnosti i službenih zadataka. Zahtjev je obvezan za sve razine.
Korištenje takvih sredstava i metoda zaštite podataka koje su prošle kroz mjere za procjenu usklađenosti sa zahtjevima ruskog zakonodavstva u području sigurnosti osobnih podataka. U takvim slučajevima, kada je uporaba takvih sredstava potrebno za neutralizacija, uklanjanje stvarnih prijetnji. Zahtjev je obvezan za sve razine.
Imenovanje službenika koji će biti odgovoran za osiguranje sigurnosti osobnih podataka u IPDN-u. Zahtjev je obvezan za Razinu 1, 2, 3.
Ograničavanje pristupa osobama sadržaju dnevnika elektroničkih glasnika. Zahtjev je obvezan za Razinu 1 i 2.
Provođenje automatske registracije u elektroničkom dnevniku sigurnosti različitih promjena u ovlastima zaposlenika operatera za pristup osobnim podacima sadržanim u sustavu. Zahtjev je obvezan za Razinu 1.
Stvaranje posebne strukturne jedinice koja će biti odgovorna za osiguravanje sigurnosti osobnih podataka u informacijskom sustavu. Alternativno, dodjeljivanje takvih sigurnosnih funkcija jednom od postojećih ogranaka organizacije. Zahtjev je obvezan za Razinu 1.

razina sigurnosti informacijskog sustava osobnih podataka

Zaštita tipičnih sustava

Uzmimo najčešći primjer-medicinske organizacije. U većini njih instalirani su tipični Ispdn. Konkretno, koriste se za računovodstvo okvira, izračunavanje veličine plaće.

Subjekti obrade osobnih podataka ovdje su zaposlenici medicinskih ustanova. Svrha obrade osobnih podataka u ovom slučaju je osigurati poštivanje zakona o radu i drugim vrstama odnosa s njim u odnosu na svakog radnika.

Sukladno tome, u takvim se informacijskim sustavima ne obrađuju ni posebne ni biometrijske vrste osobnih podataka. To znači da se razina sigurnosti podataka ovdje mora odrediti samo prema vrsti stvarnih sigurnosnih prijetnji identificiranih u odnosu na ovaj informacijski sustav.

Što se tiče većine slučajeva, prijetnje koje nisu povezane s prisutnošću nedeklariranih (ili nedokumentiranih) mogućnosti u aplikacijskom i sistemskom softveru hitne su za takve sustave. Iz toga slijedi da operater treba osigurati samo četvrtu razinu sigurnosti osobnih podataka. Drugim riječima, potrebno je provesti najmanji skup tehničkih i organizacijskih mjera.

određivanje razine sigurnosti osobnih podataka

Informacijski sustavi savezne razine

Sada se okrećemo globalnijem primjeru u istom ruskom medicinskom području. Ovo je FRMR (dekodiranje-Savezni registar medicinskih radnika) - sustav čija je svrha prikupljanje, pohranjivanje, obrada računovodstvenih podataka domaćeg medicinskog osoblja sastavnih dijelova Ruske Federacije. Savezni registar također se koristi za kontrolu smještaja, kretanja podataka medicinskih radnika u službi.

Sličnosti i razlike

No, kao i u gore opisanom manje složenom informacijskom sustavu, ovdje se ne obrađuju posebni ili biometrijski osobni podaci o građanima. Sukladno tome, karakteristike FMR i IP konvencionalnih medicinskih organizacija na ovom su području slične. Za Savezni registar potrebno je osigurati istu razinu sigurnosti podataka-četvrti.

Iako su kategorije IP subjekata, obrađene informacije u oba sustava gotovo slične, stručnjaci ih ne savjetuju kombinirati u jedan. Zašto? Sve je u različite svrhe. U prvom slučaju, sustav je stvoren za provedbu propisa Zakona o radu. U drugom-slijediti zahtjev Ministarstva zdravstva.

kako se nositi s razinama sigurnosti osobnih podataka

Zadaci medicinskih Ispdn-a

Takvi Ispdn dizajnirani su za rješavanje brojnih problema:

Mogućnost otvaranja elektroničkog registra, održavanje elektroničkih ambulantnih kartica.
Obrada podataka o medicinskim istraživanjima u digitalnom prikazu.
Prikupljanje i pohranjivanje podataka o praćenju stanja pacijenata uklonjenih iz medicinskih uređaja.
Jedno od sredstava komunikacije između zdravstvenih radnika.
Analiza financijskih i administrativnih podataka.

Naravno, da bi se ti zadaci uspješno implementirali, potrebno je pravilno organizirati sigurnost Ispdn-a.

Važni čimbenici

Dakle, da bi se zaustavio na odgovarajućoj razini sigurnosti medicinskih sustava, operator sustava treba obratite pažnju na dva važna čimbenika:

U informacijskom sustavu mogu se obrađivati posebni osobni podaci-dijagnoza, trenutno stanje zdravlje, indikacije medicinskih uređaja i tako dalje.
Subjekti Ispdn-a ovdje mogu biti ne samo zaposlenici medicinske ustanove, već i pacijenti organizacije.

Ako je broj subjekata takvog informacijskog sustava velik, ako se pronađe određena vrsta stvarnih prijetnji, tada se morate zaustaviti na 1. ili 2. razini sigurnosti osobnih podataka.

Upoznali smo se s razinama sigurnosti osobnih podataka, važnim karakteristikama za njih. Ispitali smo na primjerima kako odabrati ispravnu razinu, na koje se zakonodavne akte treba osloniti.