Úrovně ochrany osobních údajů: požadavky a funkce

Obsah

Osobní údaje-informace, jejichž zveřejnění může poškodit osobu, jejíž osobní údaje se náhle staly známými. Kromě toho zveřejnění takových údajů, ať už úmyslně nebo náhodou, zavádí určitou míru odpovědnosti pro osobu, která tyto informace odtajnila.

Osobní údaje proto potřebují určitý druh ochrany. Který přesně? To je stanoveno podle úrovně ochrany osobních údajů. Jaké jsou, jaké klasifikace jsou zde zavedeny, jaké jsou nejdůležitější požadavky pro každou úroveň, budeme uvažovat v tomto článku.

Legislativní regulace

Byly stanoveny úrovně ochrany osobních údajů Usnesením vlády № 1119 (2012). Nahradili třídy informačních systémů v oblasti osobních, osobních údajů.

Byly tedy zavedeny 4 úrovně ochrany osobních údajů pro jejich zpracování v informačních systémech. Vyhláška také stanovila požadavky na každý z nich.

Na základě čeho lze informační systémy připsat určité úrovni zabezpečení? Nejprve se musíme spoléhat na typ osobních informací, které takový informační systém zpracovává, druh aktuálních hrozeb a počet subjektů osobních údajů, které jsou zpracovávány přímo v tomto systému. Důležitá je také skutečnost, že osobní údaje o jakém kontingentu jsou v určitém případě zpracovávány.

Úroveň

Jak se vypořádat s úrovní ochrany osobních údajů? Musíte se obrátit na P. 5 výše uvedeného nařízení č. 1119. Zde vynikají čtyři kategorie:

  • 1 úroveň ochrany osobních údajů. Jedná se o speciální Ispdn (dešifrování zkratky-informační systémy osobních údajů). Co se zde zpracovává? Informace týkající se národní, rasové příslušnosti jedné nebo druhé osoby, jejích politických názorů, filozofických přesvědčení, náboženských názorů, zdravotního stavu, podrobností o intimním životě.
  • 2 úroveň ochrany osobních údajů. To zahrnuje již biometrické Ispdn. V takových systémech budou zpracovány informace, které charakterizují biologické, fyziologické rysy občana. Na jejich základě je zcela možné určit totožnost této osoby. Provozovatel je používá k určení totožnosti konkrétního subjektu osobních údajů. V tomto klíči by neměla být zpracovávána data, která se vztahují na speciální (tj.
  • 3 úroveň ochrany osobních údajů. Jedná se o veřejné IPDN. Jak tomu rozumět? Zde jsou zpracovávány osobní informace o subjektech osobních informací získaných pouze z veřejných zdrojů. Ty musí být vytvořeny v přísném souladu s út. 8 FZ "O osobních údajích".
  • 4 úroveň ochrany osobních údajů. To jsou jiné Ispdn. To znamená, že úroveň zahrnuje ty informační systémy, které nejsou označeny v předchozích třech úrovních.
3 úroveň ochrany osobních údajů

Forma vztahu

Jak se vypořádat s úrovní ochrany osobních údajů? Je třeba odkazovat na výše uvedenou klasifikaci.

Kromě toho se zpracování osobních informací bude lišit formou vztahu mezi organizací, která používá Ispdn, subjektem osobních údajů. Existují dva typy takových vztahů:

  • Zpracování osobních údajů zaměstnanců (takových subjektů, které jsou s touto organizací spojeny pracovními, pracovními vztahy).
  • Zpracování osobních údajů osob, které nejsou zaměstnanci této organizace.

Počet subjektů

Stanovení úrovně ochrany osobních údajů se provádí na základě první klasifikace v článku. Vládní nařízení č. 1119 však představuje 2 Kategorie Ispdn-podle počtu subjektů, jejichž osobní údaje jsou zpracovávány v takovém systému.

Zde vynikají pouze dvě skupiny:

  • Méně než 100 tisíc subjektů.
  • Více než 100 tisíc subjektů.
akt stanovení úrovně ochrany osobních údajů

Klasifikace podle druhu aktuálních hrozeb

Jsou přiděleny pouze čtyři úrovně zabezpečení informačního systému osobních údajů. Kromě nich Vyhláška č. 1119 rozděluje Ispdn podle typů aktuálních hrozeb, kterým lze čelit při zpracování osobních údajů subjektů:

  • První typ hrozby. Jsou spojeny s přítomností určitých nezdokumentovaných, nedeklarovaných schopností existujících v softwaru používaném v informačním systému.
  • Druhý typ hrozby. Přítomnost řady nedeklarovaných schopností v aplikačním softwaru přímo použitém v Ispdn.
  • Třetí typ hrozby. Přítomnost jakýchkoli nezdokumentovaných funkcí v softwaru, který se používá v Ispdn.

Problémy s aplikací klasifikace

Seznámili jsme se s aktem stanovení úrovně ochrany osobních údajů. Tento dokument však po přečtení stále ponechává mnoho nevyřešených otázek. Nejvíce nepříjemné jsou jeho mezery:

  • Dokument nereguluje instalaci typu aktuálních hrozeb. Požadavky PP č. 1119 také nenabízejí žádné metody a metody jejich neutralizace.
  • Dříve měli operátoři možnost zvolit klasifikaci speciálního nebo typového Ispdn podle popis modelu hrozby. Dnes taková možnost neexistuje.
  • Vzhledem k tomu, že úroveň ochrany je v současné době určena na základě relevance stávajících hrozeb, nemůže provozovatel systému takový postup vždy provést samostatně. Bude muset požádat o pomoc poradce, vyšší instance a další.

Kolik úrovní ochrany osobních údajů je dnes v Rusku přiděleno? Čtyři. Se všemi označenými obtížemi se operátoři v praxi snaží jít cestou nejmenšího odporu. To znamená, že definují pro jakoukoli hrozbu 3. Typ, kde není nutné studovat nedeklarované schopnosti systémového a aplikačního softwaru používaného pro informační systém.

, jak určit úroveň ochrany osobních údajů

Požadované požadavky

Zjistili jsme, jak určit úroveň ochrany osobních údajů. Každý z nich musí splňovat požadavky, které mu byly předloženy ve vládním nařízení č. 1119. Uvedeme je:

  • Instalace speciálního režimu pro zajištění bezpečnosti místností, ve kterých jsou umístěny informační systémy. Zejména musí bránit nekontrolovanému pobytu, pronikání do těchto prostorů osob, kterým není uděleno právo na takový přístup. Požadavek je povinný pro všechny úrovně.
  • Zajištění úplné bezpečnosti nosičů osobních údajů. Požadavek je povinný pro všechny úrovně.
  • Schválení příručky provozovatele dokumentace, která definuje seznam osob, které potřebují přístup k osobním údajům zpracovávaným v informačním systému, aby mohly plnit své vlastní pracovní povinnosti a pracovní úkoly. Požadavek je povinný pro všechny úrovně.
  • Použití takových prostředků a metod ochrany informací, které prošly opatřeními pro posuzování souladu s požadavky ruské legislativy v oblasti bezpečnosti osobních údajů. V takových případech, kdy použití takových prostředků nezbytné pro neutralizace, odstranění aktuálních hrozeb. Požadavek je povinný pro všechny úrovně.
  • Jmenování úředníka, který bude odpovědný za zajištění bezpečnosti osobních údajů v Ispdn. Požadavek je povinný pro úroveň 1, 2, 3.
  • Omezení přístupu osob k obsahu protokolů elektronických zpráv. Požadavek je povinný pro úrovně 1 a 2.
  • Provádění automatické registrace v elektronickém bezpečnostním protokolu různých změn oprávnění zaměstnanců operátora k přístupu k osobním informacím obsaženým v systému. Požadavek je povinný pro úroveň 1.
  • Vytvoření speciální strukturální jednotky, která bude odpovědná za zajištění bezpečnosti osobních údajů v informačním systému. Případně přidělení takových bezpečnostních funkcí jedné z již existujících poboček organizace. Požadavek je povinný pro úroveň 1.
úroveň zabezpečení informačního systému osobních údajů

Ochrana typových systémů

Vezměme si nejčastější příklad-zdravotnické organizace. Ve většině z nich jsou nainstalovány typické Ispdn. Konkrétně se používají k účtování rámců, výpočtu velikosti mzda.

Subjekty zpracovávající osobní informace jsou zde zaměstnanci zdravotnických zařízení. Účelem zpracování osobních údajů je v tomto případě zajistit dodržování právních předpisů každého z pracovníků v oblasti práce a jiných vztahů s ním.

V souladu s tím nejsou v takových infosystémech zpracovávány ani speciální, ani biometrické typy osobních informací. Úroveň zabezpečení dat zde tedy musí být stanovena pouze podle typu aktuálních bezpečnostních hrozeb identifikovaných ve vztahu k tomuto informačnímu systému.

Pokud jde o většinu případů, pro takové systémy jsou naléhavé hrozby, které nesouvisejí s přítomností nedeklarovaných (nebo nezdokumentovaných) schopností v aplikačním i systémovém softwaru. Z toho vyplývá, že provozovatel musí zajistit pouze čtvrtou úroveň ochrany osobních údajů. Jinými slovy, je nutné realizovat minimální soubor technických a organizačních opatření.

stanovení úrovně ochrany osobních údajů

Federální informační systémy

Nyní se podívejme na globálnější příklad ve stejné ruské lékařské oblasti. Jedná se o FRMR (dešifrování-federální registr zdravotníků) - systém, jehož účelem je shromažďovat, ukládat a zpracovávat informace o účetnictví domácího zdravotnického personálu subjektů Ruské federace. Federální registr se také používá k řízení umístění, pohybu v datové službě zdravotnických pracovníků.

Podobnosti a rozdíly

Ale stejně jako v méně složitém infosystému popsaném výše se zde neprovádí zpracování zvláštních nebo biometrických osobních informací o občanech. V souladu s tím jsou charakteristiky FRMR a IP běžných zdravotnických organizací v této oblasti podobné. Federální registr vyžaduje zajištění stejné úrovně bezpečnosti informací-čtvrtý.

Ačkoli kategorie subjektů IP, zpracovávané informace v obou systémech jsou téměř podobné, odborníci nedoporučují jejich sloučení do jednoho. Proč? Je to všechno pro různé účely. V prvním případě je systém vytvořen za účelem splnění předpisů zákoníku práce. Ve druhém - následovat požadavek Ministerstva zdravotnictví.

jak se vypořádat s úrovní ochrany osobních údajů

Úkoly lékařské Ispdn

Podobné Ispdn mají vyřešit řadu problémů:

  • Možnost otevření elektronické evidence, provozování elektronických ambulantních karet.
  • Zpracování dat mediscovery v digitální reprezentaci.
  • Shromažďování a uchovávání informací o sledování stavu pacientů odebraných ze zdravotnických prostředků.
  • Jeden z prostředků komunikace mezi zdravotnickými pracovníky.
  • Analýza finančních i administrativních informací.

Samozřejmě, aby tyto úkoly byly úspěšně ztělesněny, je nutné správně organizovat ochrana Ispdn.

Důležité faktory

Aby se tedy provozovatel systému zastavil na vhodné úrovni ochrany lékařských Ispdn, musí všimnout si na dva důležité faktory:

  1. V infosystému mohou být zpracovány speciální osobní údaje-diagnóza, současný stav zdraví, indikace zdravotnických prostředků atd.
  2. Subjekty Ispdn zde mohou být nejen zaměstnanci zdravotnického zařízení, ale také pacienti organizace.

Pokud je počet subjektů takového infosystému vysoký, pokud je nalezen určitý typ aktuálních hrozeb, musíte se zastavit na 1. nebo 2. úrovni ochrany osobních údajů.

úrovně ochrany osobních údajů

Seznámili jsme se s úrovněmi ochrany osobních údajů, důležitými charakteristikami pro ně. Uvažovali jsme o příkladech, jak zvolit správnou úroveň, na které právní předpisy se budou spoléhat.

Články na téma
Cíle a úkol ochrany práce: jejich významy a pojmy ve výrobě, základní pravidla a funkce Cíle a úkol ochrany práce: jejich významy a pojmy ve výrobě, základní pravidla a funkce
Android x86: funkce a systémové požadavky Android x86: funkce a systémové požadavky
Co je primární dokumentace v účetnictví? Definice, typy, funkce a požadavky na plnění Co je primární dokumentace v účetnictví? Definice, typy, funkce a požadavky na plnění
Další vzdělávání v oblasti bezpečnosti práce: funkce, požadavky a doporučení Další vzdělávání v oblasti bezpečnosti práce: funkce, požadavky a doporučení
Úrovně plánování: popis, typy, cíle a principy Úrovně plánování: popis, typy, cíle a principy
Co je unix: vývoj, funkce a aplikace operačního systému Co je unix: vývoj, funkce a aplikace operačního systému
Ips je... Účel a funkce informačních vyhledávačů Ips je... Účel a funkce informačních vyhledávačů
Co znamená doporučený dopis: definice, pořadí odeslání, jaká je funkce Co znamená doporučený dopis: definice, pořadí odeslání, jaká je funkce
Sociální krize: příčiny, úrovně a důsledky Sociální krize: příčiny, úrovně a důsledky