субъектов персональных данных;
класс 4 (К4) - информационные системы, для которых нарушения не приводят к негативным последствиям для субъектов персональных данных.
Класс типовой информационной системы определяется оператором в соответствии с таблицей, приведенной в Приказе ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20.
Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных по результатам анализа исходных данных в соответствии с приведенными выше методическими документами ФСТЭК России.
В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем. Вследствие этого интегрированные информационные системы, как правило, подпадают под классы К1 и К2 и требуют больших затрат на защиту персональных данных. Защита систем упрощается, если сложная система сегментирована на несколько отдельных, не связанных друг с другом систем, различных по целям и регламентам обработки персональных данных.
Результаты классификации информационных систем оформляются соответствующим актом оператора. Класс информационной системы может быть пересмотрен:
- по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;
- по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.
Устанавливается следующий порядок оценки соответствия степени защищенности информационных систем требованиям безопасности:
- для информационных систем 1 и 2 класса соответствие степени защищенности требованиям безопасности устанавливается путем обязательной сертификации (аттестации);
- для информационных систем 3 класса соответствие требованиям безопасности подтверждается путем сертификации (аттестации) или (по выбору оператора) декларированием соответствия, проводимым оператором персональных данных;
- для информационных систем 4 класса оценка соответствия не регламентируется и осуществляется по решению оператора персональных данных.
Операторы обязаны при обработке персональных данных принимать требуемые организационные и технические меры, в том числе при необходимости использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Система защиты персональных данных должна строиться только на основе сертифицированных ФСТЭК России и ФСБ России средствах защиты (технических, программных, программно-аппаратных и криптографических).
Без наличия соответствующих лицензий проведение мероприятий по защите персональных данных возможно только для информационных систем класса К3, а также для информационных систем класса К4.
Для проведения собственными силами мероприятий по обеспечению безопасности персональных данных для специальных информационных систем, систем 1 и 2 класса и распределенных (например, подключенных к Интернет) систем 3 класса операторы обязаны в установленном порядке получить лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации.
Для применения криптографических средств защиты персональных данных (в том числе для изготовления ключей или сертификатов), в зависимости от планируемых действий, потребуются различные лицензии ФСБ России, регламентирующие работы в области криптографической защиты информации.
5. Основные мероприятия по обеспечению безопасности персональных данных в учреждениях образования
И
> 1 2 ... 3 4 5 6 7