Conţinut
- Reglementarea legislativă
- Niveluri
- Forma de relații
- Număr de subiecți
- Clasificarea în funcție de tipul de amenințări actuale
- Provocări legate de punerea în aplicare a clasificării
- Cerințe necesare
- Protecția sistemelor standard
- Sisteme de informații la nivel federal
- Similitudini și diferențe
- Sarcinile ISPN medicale
- Factori importanți
Date cu caracter personal - informații a căror dezvăluire ar putea dăuna unei persoane ale cărei date personale au devenit brusc cunoscute. În plus, divulgarea unor astfel de date, cu sau fără intenție, introduce o anumită răspundere pentru persoana care a divulgat aceste informații.
Prin urmare, datele cu caracter personal au nevoie de un anumit tip de protecție. Care dintre ele?? Acestea sunt stabilite în funcție de nivelurile de protecție a datelor cu caracter personal. Ce sunt, ce clasificări au fost introduse și care sunt cele mai importante cerințe pentru fiecare nivel, vom examina în acest articol.
Reglementarea legislativă
Nivelurile de securitate a datelor cu caracter personal au fost stabilite prin Decizia Guvernului № 1119 (2012). Acestea au înlocuit clasele de sisteme informatice în domeniul datelor personale, al datelor cu caracter personal.
Astfel, au fost introduse 4 niveluri de protecție a datelor cu caracter personal pentru prelucrarea datelor cu caracter personal în cadrul sistemelor informatice. Decizia a stabilit, de asemenea, cerințe pentru fiecare dintre acestea.
Pe baza cărora sistemele informatice pot fi clasificate la un anumit nivel de securitate? În primul rând, ar trebui să se bazeze pe tipul de informații cu caracter personal prelucrate de sistemul informatic, pe tipul de amenințări actuale și pe numărul de persoane vizate de datele cu caracter personal care sunt prelucrate direct în sistem. De asemenea, este important ce date cu caracter personal privind un anumit contingent sunt prelucrate într-un anumit caz.
Niveluri
Cum să înțelegeți nivelurile de securitate a datelor cu caracter personal? Se face trimitere la p. 5 din Decretul nr. 1119 menționat mai sus. În acest caz, se disting patru categorii:
- Nivelul 1 de protecție a datelor cu caracter personal. Acestea sunt sisteme speciale ISPDN (abreviere pentru Sisteme de informații privind datele cu caracter personal). Ce se prelucrează aici? Informații privind naționalitatea, rasa, opiniile politice, convingerile filozofice, convingerile religioase, starea de sănătate, detalii din viața intimă a unei anumite persoane.
- Nivelul 2 de protecție a datelor cu caracter personal. Aceasta include deja protecția datelor biometrice cu caracter personal. În aceste sisteme vor fi prelucrate informațiile care caracterizează caracteristicile biologice și fiziologice ale cetățeanului. Pe această bază, este posibilă identificarea identității persoanei. Acestea sunt utilizate de operator pentru a identifica subiectul specific al datelor cu caracter personal. Datele clasificate ca fiind speciale (adică de primul nivel de securitate) nu sunt prelucrate aici.
- Nivelul 3 de protecție a datelor cu caracter personal. Acestea sunt accesibile publicului ISPN. Cum să o înțelegem? Aici se prelucrează date cu caracter personal despre subiecții informațiilor cu caracter personal, primite numai din surse publice. Acesta din urmă trebuie să fie creat în strictă conformitate cu art. 8 FL "Despre datele cu caracter personal".
- Nivelul 4 de protecție a datelor cu caracter personal. Acestea sunt alte ISPN. Adică, nivelul include acele sisteme informatice care nu sunt menționate în cele trei niveluri anterioare.
Forma de relații
Cum se abordează nivelurile de protecție a datelor cu caracter personal? Trebuie să se facă trimitere la clasificarea de mai sus.
În plus, prelucrarea informațiilor cu caracter personal va fi diferențiată în funcție de forma de relație dintre organizația care utilizează ISPN și persoana vizată de datele cu caracter personal. Există două tipuri de astfel de relații:
- Prelucrarea informațiilor cu caracter personal ale angajaților (astfel de subiecți care sunt legați de organizație prin relații oficiale sau de muncă).
- Prelucrarea datelor cu caracter personal ale acelor persoane care nu sunt angajați ai organizației.
Număr de subiecți
Determinarea nivelului de securitate a datelor cu caracter personal se bazează pe prima clasificare din articol. Cu toate acestea, Hotărârea de Guvern nr. 1119 prevede 2 categorii de ISPN - în funcție de numărul de subiecți ale căror informații personale sunt prelucrate în acest sistem.
Aici se pot distinge doar două grupuri:
- Mai puțin de 100 de mii de subiecți.
- Mai mult de 100 de mii de subiecți.
Clasificarea în funcție de tipul de amenințări actuale
Se disting doar patru niveluri de protecție a sistemului de informații privind datele cu caracter personal. În plus, Decretul nr. 1119 împarte ISPN în funcție de tipul de amenințări curente care pot fi întâlnite în timpul prelucrării datelor cu caracter personal ale persoanelor vizate:
- Primul tip de amenințare. Acestea sunt legate de prezența anumitor caracteristici nedocumentate, nedeclarate, care există în software-ul utilizat în sistemul informatic.
- Amenințări de tip doi. Existența unui număr oarecare de caracteristici nedeclarate în software-ul de aplicație aplicat direct într-o ISPN.
- Amenințări de tip trei. Existența oricăror caracteristici nedocumentate în software-ul utilizat în ISPN.
Provocări legate de punerea în aplicare a clasificării
Am luat cunoștință de actul care definește nivelul de protecție a datelor cu caracter personal. Dar acest document lasă totuși după lectură o mulțime de întrebări nerezolvate. Cele mai enervante omisiuni ale sale:
- Documentul nu specifică tipul de amenințări actuale. Nici cerințele din PP nr. 1119 nu oferă mijloace și metode pentru a le neutraliza.
- Anterior, operatorii aveau opțiunea de a alege să clasifice o ISPN specifică sau tipică prin Descrierea modelului amenințări. În prezent, această posibilitate nu există.
- Deoarece nivelul de securitate este în prezent determinat de gravitatea amenințărilor curente, nu este întotdeauna posibil ca un operator de sistem să efectueze manual o astfel de procedură. Acesta va trebui să solicite asistență din partea unui consultant, a unei autorități superioare etc.
Câte niveluri de securitate a datelor cu caracter personal sunt definite în prezent în Rusia?? Patru. Din cauza tuturor acestor dificultăți, în practică, operatorii tind să ia calea celei mai mici rezistențe. Adică, ele determină pentru orice amenințare al treilea tip, în care nu este necesar să se studieze capacitatea nedeclarată a sistemului și a software-ului aplicativ utilizat pentru sistemul informatic.
Cerințe necesare
Am explicat cum să determinăm nivelul de securitate a datelor cu caracter personal. Fiecare dintre acestea trebuie să îndeplinească cerințele stabilite prin Hotărârea Guvernului nr. 1119. Să le enumerăm:
- Stabilirea unui regim special pentru asigurarea securității spațiilor în care sunt amplasate sistemele informatice. În special, trebuie să împiedice șederea necontrolată, pătrunderea în aceste spații de către persoane cărora nu li s-a acordat un astfel de acces. Obligatoriu pentru toate nivelurile.
- Asigurarea securității complete a purtătorilor de informații personale. Cerința este obligatorie pentru toate nivelurile.
- Aprobarea de către conducerea operatorului a documentației care definește lista persoanelor care au nevoie de acces la informațiile cu caracter personal prelucrate în sistemul informatic pentru a-și îndeplini propriile atribuții de muncă și sarcini oficiale. Cerință obligatorie pentru toate nivelurile.
- Utilizarea instrumentelor și tehnicilor de securitate a informațiilor care au făcut obiectul unei evaluări a conformității cu cerințele legale rusești pentru a asigura securitatea datelor cu caracter personal. În astfel de cazuri, atunci când utilizarea unor astfel de mijloace nu este permisă, este necesar să se ia în considerare tipul de informații cu caracter personal tratate de sistemul IT necesare pentru Neutralizarea și eliminarea amenințărilor actuale. Obligatoriu pentru toate nivelurile.
- Desemnarea unui responsabil care să asigure securitatea informațiilor cu caracter personal într-o ISPN. Necesar pentru nivelurile 1, 2, 3.
- Restricții privind accesul persoanelor fizice la conținutul jurnalelor de mesagerie electronică. Cerință obligatorie pentru nivelurile 1 și 2.
- realizarea înregistrării automate în jurnalul electronic de securitate a diferitelor modificări ale autorizării angajaților operatorului de a accesa informațiile personale conținute în sistem. Obligatoriu pentru cerința de nivel 1.
- Instituirea unei unități organizaționale specifice responsabile pentru securitatea datelor cu caracter personal în sistemul informatic. Alternativ, atribuiți aceste funcții de securitate unuia dintre birourile existente ale organizației. Cerința este obligatorie pentru nivelul 1.
Protecția sistemelor standard
Să luăm cel mai comun exemplu - organizațiile medicale. Cele mai multe dintre ele au instalate sisteme ISPN tipice. În special, acestea sunt utilizate pentru evidența personalului, calcularea remunerație.
Subiecții prelucrării datelor cu caracter personal în acest caz sunt angajații instituțiilor medicale. Scopul prelucrării datelor cu caracter personal în acest caz este de a asigura, în legătură cu fiecare angajat, respectarea legislației muncii și a altor legi.
Respectiv, în astfel de sisteme informaționale nu se prelucrează nici tipuri speciale, nici tipuri biometrice de informații personale. Prin urmare, nivelul de securitate a datelor trebuie să fie determinat în funcție de tipul de amenințări reale la adresa securității detectate numai în legătură cu acest sistem informatic.
În cele mai multe cazuri, amenințările care nu sunt legate de caracteristici nedeclarate (sau nedocumentate) atât în software-ul de aplicație, cât și în cel de sistem sunt urgente pentru astfel de sisteme. Prin urmare, operatorul trebuie să asigure doar al patrulea nivel de securitate a informațiilor personale. Cu alte cuvinte, este necesar să se pună în aplicare un set minim de măsuri tehnice și organizatorice.
Sisteme de informații la nivel federal
Să trecem acum la un exemplu mai global din aceeași sferă medicală rusă. Acesta este Registrul federal al lucrătorilor medicali, un sistem al cărui scop este de a colecta, stoca și procesa informații despre personalul medical al subiecților din Federația Rusă. Registrul federal este, de asemenea, utilizat pentru a controla plasarea, circulația datelor lucrătorilor din domeniul sănătății în serviciul.
Similitudini și diferențe
Dar, la fel ca în cazul sistemului informațional mai puțin complex descris mai sus, aici nu se prelucrează informații personale speciale sau biometrice despre cetățeni. În consecință, caracteristicile FRMR și ale PI ale organizațiilor medicale convenționale din acest domeniu sunt similare. Registrul Federal cere același nivel de protecție a datelor - al patrulea nivel de protecție a datelor.
Deși categoriile de subiecți ai SI, informațiile procesate în ambele sisteme sunt aproape similare, specialiștii sfătuiesc să nu le combine într-un singur sistem. De ce? Este vorba de obiective diferite. În primul caz, sistemul este creat pentru a respecta cerințele Codului Muncii. În cel de-al doilea, pentru a se conforma cerințelor Ministerului Sănătății.
Sarcinile ISPN medicale
Un astfel de ISPN este destinat să rezolve o serie de sarcini:
- Abilitatea de a deschide un registru electronic, de a ține evidența electronică a pacienților în ambulatoriu.
- Prelucrarea datelor de cercetare medicală colectate în format digital.
- Colectarea și stocarea informațiilor de monitorizare a pacienților de la dispozitivele medicale.
- Unul dintre mijloacele de comunicare între profesioniștii din domeniul sănătății.
- Analiza informațiilor financiare și administrative.
Bineînțeles, pentru ca aceste obiective să fie implementate cu succes, este necesar să să organizeze corect protecția COPDN.
Factori importanți
Astfel, pentru a selecta nivelul de securitate adecvat al ISPD medical, operatorul de sistem trebuie să ia aminte doi factori importanți:
- Datele personale speciale - diagnostic, stare actuală - pot fi prelucrate în sistemul informatic sănătate, Indicații privind dispozitivele medicale etc.
- Nu numai angajații unei instituții medicale, ci și pacienții organizației pot fi subiecți ai unei ISPN.
În cazul în care numărul de subiecți ai unui astfel de sistem de informații este mare și se detectează un anumit tip de amenințare urgentă, trebuie selectat nivelul 1 sau 2 de protecție a datelor cu caracter personal necesar.
Ne-am familiarizat cu nivelurile de securitate a datelor cu caracter personal, caracteristicile importante pentru acestea. Au fost oferite exemple de alegere a nivelului de securitate corect și de legi pe care să se bazeze.
Nivelurile de protecție a informațiilor: concept, principii de bază, analiza și gestionarea riscurilor
Piața en-gros sadovod: agenți, recenzii, caracteristici speciale, servicii și sortimente
Baza de furnizori: recenzii, caracteristici speciale și recomandări
Asistența socială: caracteristici, cerințe și tipuri
Android x86: caracteristici și cerințe de sistem
Clase de siguranță electrică - caracteristici, cerințe și gost
Palmierul trachicarpus: descriere, îngrijire, cultivare și caracteristici speciale
Formarea în domeniul securității și sănătății în muncă: caracteristici, cerințe și recomandări
Nivelurile de clasificare a informațiilor care constituie secrete de stat: forma de admitere, reguli de stocare, utilizare și protecție