Úrovne bezpečnosti osobných údajov: požiadavky a funkcie

Obsah

Osobné údaje-informácie, ktorých zverejnenie môže poškodiť osobu, ktorej osobné údaje sa náhle stali známymi. Okrem toho zverejnenie takýchto údajov, úmyselne alebo náhodne, zavádza určitú mieru zodpovednosti za osobu, ktorá tieto informácie odtajnila.

Osobné údaje preto potrebujú určitý druh ochrany. Ktorý presne? Toto je určené úrovňou bezpečnosti osobných údajov. Čo sú to, aké klasifikácie sú tu zavedené, aké sú najdôležitejšie požiadavky pre každú úroveň, zvážime v tomto článku.

Legislatívne nariadenie

Boli stanovené úrovne bezpečnosti osobných údajov Nariadením vlády № 1119 (2012). Nahradili nahradené triedy informačných systémov v oblasti osobných, osobných údajov.

Preto boli zavedené 4 úrovne bezpečnosti osobných údajov pre ich spracovanie v informačných systémoch. Uznesenie tiež stanovilo požiadavky na každú z nich.

Na základe toho, aké informačné systémy možno pripísať jednej alebo druhej úrovni bezpečnosti? V prvom rade je potrebné spoliehať sa na typ osobných údajov, ktoré takýto informačný systém spracováva, Typ aktuálnych hrozieb, ako aj počet subjektov osobných údajov, ktoré sú priamo v tomto systéme spracovávané. je tiež dôležité, skutočnosť, o ktorej sa osobné údaje kontingentu spracúvajú v určitom prípade.

Úroveň

Ako sa vysporiadať s úrovňou bezpečnosti osobných údajov? Je potrebné odkázať na p. 5 vyššie uvedeného uznesenia č. 1119. Sú tu štyri kategórie:

  • 1 úroveň zabezpečenia osobných údajov. Ide o špeciálne ISPDn (skratka-informačné systémy osobných údajov). Čo sa tu spracováva? Informácie týkajúce sa štátnej príslušnosti, rasy osoby, jej politických názorov, filozofických presvedčení, náboženských presvedčení, zdravotného stavu, podrobností o intímnom živote.
  • 2 Úroveň zabezpečenia osobných údajov. Toto už zahŕňa biometrické ISPDn. V takýchto systémoch sa budú spracovávať informácie, ktoré charakterizujú biologické a fyziologické vlastnosti občana. Na ich základe je celkom možné určiť totožnosť tejto osoby. Prevádzkovateľ ich používa na zistenie totožnosti určitého subjektu osobných údajov. V tomto kľúči by sa nemali spracovávať údaje, ktoré patria do špeciálnej (tj do prvej úrovne bezpečnosti.
  • 3 úroveň ochrany osobných údajov. Toto sú verejne dostupné poskytovatelia internetových služieb. Ako to pochopiť? Tu sa spracúvajú osobné údaje o predmetoch osobných údajov získaných len z verejne dostupných zdrojov. Ten musí byť vytvorený v prísnom súlade s článkom. 8 federálneho zákona "Ochrana osobných údajov".
  • 4 úroveň zabezpečenia osobných údajov. Toto sú ďalšie ISPDn. To znamená, že úroveň zahŕňa tie informačné systémy, ktoré nie sú uvedené v predchádzajúcich troch úrovniach.
3 úroveň zabezpečenia osobných údajov

Forma vzťahu

Ako sa vysporiadať s úrovňou bezpečnosti osobných údajov? Je potrebné odkázať na vyššie uvedenú klasifikáciu.

Okrem toho sa spracovanie osobných údajov bude líšiť aj vo forme vzťahov medzi organizáciou používajúcou ISPDn, predmetom osobných údajov. Existujú dva typy takýchto vzťahov:

  • Spracovanie osobných údajov zamestnancov (také subjekty, ktoré sú s touto organizáciou Spojené úradnými, pracovnými vzťahmi).
  • Spracovanie osobných údajov tých osôb, ktoré sa nezdajú byť zamestnancami tejto organizácie.

Počet predmetov

Úroveň bezpečnosti osobných údajov sa určuje na základe prvej klasifikácie v článku. Nariadenie vlády č. 1119 však predstavuje 2 kategórie ISPDn - podľa počtu subjektov, ktorých osobné údaje sa v takomto systéme spracúvajú.

Vynikajú tu iba dve skupiny:

  • Menej ako 100 tisíc subjektov.
  • Viac ako 100 tisíc subjektov.
zákon o určení úrovne ochrany osobných údajov

Klasifikácia podľa typu skutočných hrozieb

Existujú iba štyri úrovne zabezpečenia informačného systému osobných údajov. Okrem toho Uznesenie č. 1119 rozdeľuje ISPDn podľa typov skutočných hrozieb, s ktorými sa môžu stretnúť pri spracovaní osobných údajov subjektov:

  • Prvý typ hrozieb. Sú spojené s prítomnosťou určitých nezdokumentovaných, nedeklarovaných funkcií, ktoré existujú v softvéri používanom v informačnom systéme.
  • Druhý typ hrozieb. Prítomnosť ľubovoľného počtu nedeklarovaných schopností v aplikačnom softvéri priamo používanom v ISPDn.
  • Tretí typ hrozieb. Prítomnosť akýchkoľvek nezdokumentovaných funkcií v softvéri, ktorý sa používa v ISPDn.

Problémy aplikácie klasifikácie

Oboznámili sme sa so zákonom o určení úrovne ochrany osobných údajov. Tento dokument však po prečítaní stále ponecháva veľa nevyriešených otázok. Jeho najotravnejšie medzery:

  • Dokument neupravuje inštaláciu typu skutočných hrozieb. Požiadavky PP č. 1119 tiež neponúkajú žiadne metódy a techniky na ich neutralizáciu.
  • Predtým mali operátori možnosť zvoliť si klasifikáciu špeciálneho alebo štandardného ISPDn podľa prejsť na obsah model hrozby. Dnes takáto možnosť neexistuje.
  • Keďže úroveň bezpečnosti sa v súčasnosti určuje na základe relevantnosti existujúcich hrozieb, Prevádzkovateľ systému nemôže vždy vykonať takýto postup nezávisle. Bude musieť požiadať o pomoc konzultanta, vyššiu autoritu atď.

Koľko úrovní bezpečnosti osobných údajov je dnes v Rusku pridelených? Štyri. Kvôli všetkým týmto ťažkostiam majú operátori v praxi tendenciu ísť cestou najmenšieho odporu. To znamená, že určujú 3. Typ pre akúkoľvek hrozbu, kde nie je potrebné študovať neohlásené schopnosti systému a aplikačného softvéru používaného pre informačný systém.

, ako určiť úroveň ochrany osobných údajov

Požadované požiadavky

Prišli sme na to, ako určiť úroveň bezpečnosti osobných údajov. Každý z nich musí spĺňať požiadavky stanovené v Nariadení vlády č. 1119. Poďme ich vymenovať:

  • Vytvorenie osobitného režimu na zaistenie bezpečnosti priestorov, v ktorých sa nachádzajú informačné systémy. Najmä by mala zabrániť nekontrolovanému pobytu, prenikaniu do týchto priestorov osôb, ktorým nie je udelené právo na takýto prístup. Požiadavka je povinná pre všetky úrovne.
  • Zaistenie úplnej bezpečnosti nosičov osobných údajov. Požiadavka je povinná pre všetky úrovne.
  • Schválenie dokumentácie prevádzkovateľom určujúcej zoznam osôb, ktoré potrebujú prístup k osobným údajom spracúvaným v informačnom systéme na plnenie vlastných pracovných povinností a úradných úloh. Požiadavka je povinná pre všetky úrovne.
  • Používanie takých prostriedkov a metód ochrany informácií, ktoré prešli opatreniami na posúdenie súladu s požiadavkami ruskej legislatívy v oblasti bezpečnosti osobných údajov. V takýchto prípadoch, keď použitie takýchto prostriedkov je potrebné neutralizovať, eliminovať súčasné hrozby. Požiadavka je povinná pre všetky úrovne.
  • Vymenovanie úradníka, ktorý bude zodpovedný za zaistenie bezpečnosti osobných údajov v ISPDn. Požiadavka je povinná pre úroveň 1, 2, 3.
  • Obmedzenie prístupu osôb k obsahu elektronických protokolov správ. Požiadavka je povinná pre úroveň 1 a 2.
  • Automatická registrácia do elektronického bezpečnostného denníka rôznych zmien v oprávnení zamestnancov Prevádzkovateľa na prístup k osobným údajom obsiahnutým v systéme. Požiadavka je povinná pre úroveň 1.
  • Vytvorenie špeciálnej štrukturálnej jednotky, ktorá bude zodpovedná za zaistenie bezpečnosti osobných údajov v informačnom systéme. Alternatívne je priradenie takýchto bezpečnostných funkcií k jednej z už existujúcich pobočiek organizácie. Požiadavka je povinná pre úroveň 1.
úroveň bezpečnosti informačného systému osobných údajov

Ochrana štandardných systémov

Zoberme si najbežnejší príklad-lekárske organizácie. Väčšina z nich má nainštalovaný štandardný ISPDn. Používajú sa najmä na účtovanie personálu, výpočet sumy o odmeňovaní.

Predmetom spracúvania osobných údajov sú zamestnanci zdravotníckych zariadení. Účelom spracovania osobných údajov v tomto prípade je zabezpečiť, aby každý z pracovníkov dodržiaval právne predpisy v oblasti pracovných a iných vzťahov s ním.

V súlade s tým sa v takýchto informačných systémoch nespracúvajú ani špeciálne, ani biometrické typy osobných údajov. To znamená, že úroveň bezpečnosti údajov by sa tu mala určovať iba podľa typu skutočných bezpečnostných hrozieb identifikovaných vo vzťahu k tomuto informačnému systému.

Pokiaľ ide o väčšinu prípadov, pre takéto systémy existujú naliehavé hrozby, ktoré nesúvisia s prítomnosťou neohlásených (alebo nezdokumentovaných) schopností v aplikačnom aj systémovom softvéri. Z toho vyplýva, že prevádzkovateľ musí poskytnúť iba štvrtú úroveň bezpečnosti osobných údajov. Inými slovami, je potrebné implementovať čo najmenší súbor technických a organizačných opatrení.

Ochrana osobných údajov

Informačné systémy na federálnej úrovni

Teraz sa obráťme na globálnejší príklad v tej istej ruskej lekárskej oblasti. Toto je FRMR ( dešifrovanie-Federálny Register zdravotníckych pracovníkov) - systém, ktorého účelom je zhromažďovať, ukladať a spracovávať informačné účtovníctvo domáceho zdravotníckeho personálu subjektov Ruskej federácie. Federálny Register sa tiež používa na kontrolu umiestňovania a pohybu údajov zdravotníckeho personálu v službe.

Podobnosti a rozdiely

Rovnako ako v menej zložitom informačnom systéme opísanom vyššie však nedochádza k spracovaniu osobitných alebo biometrických osobných údajov o občanoch. Preto sú charakteristiky FMR A IS konvenčných lekárskych organizácií v tejto oblasti podobné. Pre federálny Register je potrebné zabezpečiť rovnakú úroveň bezpečnosti údajov-štvrtý.

Hoci kategórie subjektov IP, informácie spracované v oboch systémoch sú takmer podobné, odborníci neodporúčajú kombinovať ich do jedného. Dôvod? Je to všetko o rôznych cieľoch. V prvom prípade je systém vytvorený tak, aby spĺňal požiadavky Zákonníka práce. V druhej-dodržiavať požiadavku Ministerstva zdravotníctva.

ako sa vysporiadať s úrovňou bezpečnosti osobných údajov

Úlohy lekárskeho ISPDn

Takíto poskytovatelia internetových služieb sú navrhnuté tak, aby riešili množstvo úloh:

  • Možnosť otvorenia elektronickej registratúry, vedenie elektronických ambulantných kariet.
  • Spracovanie údajov lekárskeho výskumu v digitálnej reprezentácii.
  • Zhromažďovanie a uchovávanie informácií o monitorovaní stavu pacientov odobratých zo zdravotníckych pomôcok.
  • Jeden z prostriedkov komunikácie medzi zdravotníckymi pracovníkmi.
  • Analýza finančných a administratívnych informácií.

Samozrejme, aby sa tieto úlohy úspešne realizovali, je potrebné správne organizovať Bezpečnosť ISPDn.

Dôležité faktory

Preto, aby sa Prevádzkovateľ systému zastavil na primeranej úrovni ochrany lekárskych poskytovateľov internetových služieb, musí venujte pozornosť na dva dôležité faktory:

  1. Špeciálne osobné údaje môžu byť spracované v informačnom systéme-diagnostika, aktuálne zdravotný stav, , indikácie zdravotníckych pomôcok atď.
  2. Subjekty ISPDn tu môžu byť nielen zamestnanci zdravotníckeho zariadenia, ale aj pacienti organizácie.

Ak je počet subjektov takéhoto informačného systému veľký, ak sa zistí určitý typ skutočných hrozieb, je potrebné zastaviť sa na 1. alebo 2. úrovni bezpečnosti osobných údajov.

Ochrana osobných údajov

Oboznámili sme sa s úrovňami ochrany osobných údajov, ktoré sa pre ne považovali za dôležité. , pomocou príkladov, ako zvoliť správnu úroveň, na ktoré legislatívne akty sa súčasne spoľahnúť.

Články na tému
Medzinárodné a národné štandardy informačnej bezpečnosti, technológie Medzinárodné a národné štandardy informačnej bezpečnosti, technológie
Úrovne modelu osi. Aplikačná vrstva Úrovne modelu osi. Aplikačná vrstva
Kvalita ako objekt riadenia: základné pojmy, úrovne, metódy plánovania, objekty a predmety Kvalita ako objekt riadenia: základné pojmy, úrovne, metódy plánovania, objekty a predmety
Úrovne plánovania: popis, typy, ciele a princípy Úrovne plánovania: popis, typy, ciele a princípy
Android x86: funkcie a systémové požiadavky Android x86: funkcie a systémové požiadavky
Obchodné požiadavky: príklady vývoja a dizajnu Obchodné požiadavky: príklady vývoja a dizajnu
Šachta: zariadenie, hygienické požiadavky, hodnota Šachta: zariadenie, hygienické požiadavky, hodnota
Indikátory úrovne signálu: popis, princíp činnosti a fotografie Indikátory úrovne signálu: popis, princíp činnosti a fotografie
Organizačná podpora: definícia, štruktúra a funkcie Organizačná podpora: definícia, štruktúra a funkcie