ГЛАВА АДМИНИСТРАЦИИ ОКТЯБРЬСКОГО РАЙОНА ГОРОДА ПЕНЗЫ
ПРИКАЗ
от 23 декабря 2009 г. № 308
ОБ УТВЕРЖДЕНИИ ПОРЯДКА ПРОВЕДЕНИЯ КЛАССИФИКАЦИИ
ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии с пунктом 6 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", приказываю:
Утвердить прилагаемый Порядок
присвоения классификации информационных систем персональных данных (приложение № 1).
Глава администрации
А.А.КОЗЛОВ
Приложение № 1
к приказу
главы администрации
Октябрьского района
города Пензы
от 23 декабря 2009 г. № 308
ПОРЯДОК
ПРОВЕДЕНИЯ КЛАССИФИКАЦИИ ИНФОРМАЦИОННЫХ СИСТЕМ
ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Настоящий Порядок определяет проведение классификации информационных систем персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).
2. Классификация информационных систем проводится администрацией Октябрьского района города Пензы, организующей и осуществляющей обработку персональных данных, а также определяющей цели и содержание обработки персональных данных (далее - оператор).
3. Классификация информационных систем проводится в ходе их эксплуатации (для ранее введенных в эксплуатацию информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.
4. Проведение классификации информационных систем включает в себя следующие этапы:
- сбор и анализ исходных данных по информационной системе;
- присвоение информационной системе соответствующего класса и его документальное оформление.
5. При проведении классификации информационной системы учитываются следующие исходные данные:
- категория обрабатываемых в информационной системе персональных данных;
- заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;
- структура информационной системы;
- наличие подключений информационной системы к сетям связи общего пользования;
- режим обработки персональных данных;
- режим разграничения прав доступа пользователей информационной системы.
6. Определяются следующие категории обрабатываемых в информационной системе персональных данных:
категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 - обезличенные или общедоступные персональные данные.
7. По характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.
Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных, требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
8. По структуре информационные системы подразделяются:
- на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
- на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы;
- на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему.
9. По наличию подключений к сетям связи общего пользования информационные системы подразделяются на системы имеющие подключения, и системы, не имеющие подключений.
10. По режиму обработки персональных данных в информационной системе информационные системы подразделяются на однопользовательские и многопользовательские.
11. По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.
12. По результатам анализа исходных данных типовой информационной системе присваивается одни из следующих классов:
Класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
Класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъекта персональных данных;
Класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
Класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
13. Результаты классификации информационных систем оформляются соответствующим актом оператора.
14. Класс информационной системы может быть пересмотрен:
- по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;
- по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.
Заместитель
главы администрации
З.М.БЕЛОУСОВА
