Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Раздел XI. Порядок классификации информационных систем
персональных данных
53. Классификация ИСПДн проводится на этапе их создания или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых ИСПДн) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.
54. Проведение классификации ИСПДн состоит из:
а) сбора и анализа исходных данных по ИСПДн;
б) присвоения ИСПДн соответствующего класса и его документального оформления.
55. При проведении классификации ИСПДн учитываются:
а) категория обрабатываемых в ИСПДн персональных данных - Хпд;
б) объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в ИСПДн) - Хнпд;
в) заданные оператором характеристики безопасности персональных данных, обрабатываемых в ИСПДн;
г) структура ИСПДн;
д) наличие подключений ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена;
е) режим обработки персональных данных;
ж) режим разграничения прав доступа пользователей ИСПДн;
з) местонахождение технических средств ИСПДн.
56. Определяются следующие категории обрабатываемых в ИСПДн персональных данных (Хпд):
а) категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
б) категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
в) категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
г) категория 4 - обезличенные и (или) общедоступные персональные данные.
57. Объем обрабатываемых персональных данных (Хнпд) может принимать следующие значения:
а) 1 - в ИСПДн одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах Тверской области;
б) 2 - в ИСПДн одновременно обрабатываются персональные данные от 1 000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти (государственном органе) Тверской области, проживающих в пределах муниципального образования Тверской области;
в) 3 - в ИСПДн одновременно обрабатываются данные менее чем 1 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
58. Оператор определяет ИСПДн как типовую информационную систему ИСПДн, в которой требуется обеспечение только конфиденциальности персональных данных, и как специальную информационную систему ИСПДн, в которой вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
59. По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов:
а) класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
б) класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
в) класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
г) класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
60. Класс типовой информационной системы ИСПДн определяется в соответствии с нижеприведенной таблицей.
Хпд \ Хнпд |
3 |
2 |
1 |
категория 4 |
К4 |
К4 |
К4 |
категория 3 |
К3 |
К3 |
К2 |
категория 2 |
К3 |
К2 |
К1 |
категория 1 |
К1 |
К1 |
К1 |
61. В случае выделения в составе ИСПДн подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.
62. Результаты классификации ИСПДн оформляются соответствующим актом оператора.
63. Класс ИСПДн пересматривается:
а) по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;
б) по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.