Акт классификации информационной системы персональных данных, определяет структуру ИСПДн и режим обработки ПДн. Акт классификации составляется для каждой выявленной ИСПДн и прилагается к Уведомлению об обработке.
Пример Акта классификации информационной системы персональных данных.
Акт должен:
1) Утверждаться Председателем комиссии по классификации.
2) Для каждой ИСПДн должна быть определена ее структура, в которой определяются характеристики режима обработки (см. раздел 4 на стр. 24).
Категория обрабатываемых персональных данных | ХПД: 1 / 2 / 3 / 4 |
Объем обрабатываемых персональных данных | ХПДН: 1 / 2 / 3 |
Заданные характеристики безопасности персональных данных | Типовая информационная система / специальная информационная система |
Структура информационной системы | Автоматизированное рабочее место/ Локальная информационная система / Распределенная информационная система |
Подключение информационной системы к сетям общего пользования и / или сетям международного информационного обмена | Имеется / не имеется |
Режим обработки персональных данных | Однопользовательская / многопользовательская система |
Режим разграничения прав доступа пользователей | Система с разграничение доступа / без разграничения доступа |
Местонахождение технических средств информационной системы | Все технические средства находятся в пределах Российской Федерации / технические средства частично или целиком находятся за пределами Российской Федерации |
Дополнительные информация | К персональным данным предъявляется требование целостности и / или доступности |
Тип информационной системы персональных данных: | Специальная |
Характеристики рекомендуется заполнять следующим образом:
— Категория обрабатываемых персональных данных (ХПД). Определяется исходя из особенностей персональных данных, порядок категорирования которых описан в разделе 4.
— Должен быть определен объем записей персональных данных (ХПДН). В ИСПДн объем ПДн может принимать значение:
— 1 — в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
— 2- в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
— 3- в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
— Структура информационной системы. ИС является:
— Автоматизированным рабочим местом, если вся обработка ПДн производится в рамках одного рабочего места.
— Локальной информационной системой,если вся обработка ПДн производится в рамках одной локальной вычислительной сети.
— Распределенной информационной системой, если обработка ПДн производится в рамках комплекса автоматизированных рабочих мест и / или локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа. Т.е. элементы ИСПДн разнесены территориально, например, в ИСПДн включена сеть филиала, и связь между территориально удаленными элементами осуществляется по каналам сетей общего пользования и / или международного обмена.
— Подключение информационной системы к сетям общего пользования и / или сетям международного информационного обмена. Если ИСПДн или ее элементы имеют подключение к Интернету или другим сетям, вне зависимости обусловлено ли это служебной необходимостью или нет, то ИСПДн имеет подключение.
— Режим обработки персональных данных. Система является однопользовательской, если сотрудник обрабатывающий ПДн совмещает в себе функции администратора (осуществляет настройка и поддержку технических и программных средств) и оператора. Во всех других случаях ИСПДн является многопользовательской.
— Режим разграничения прав доступа пользователей. Если в системе все пользователи (администраторы, операторы, разработчики) обладают одинаковым набором прав доступа или осуществляют вход под единой учетной записью и вход под другими учетными записями не осуществляется, то ИСПДн не имеет системы разграничения прав доступа. Во всех других случаях ИСПДн имеет систему разграничения прав доступа.
— Местонахождение технических средств информационной системы. Все ИСПДн Учреждений находятся на территории Российской Федерации.
— Дополнительная информация.К ИСПДн Учреждений предъявляются требования целостности. Если также должно обеспечиваться требование доступности, то необходимо внести соответствующие изменения.
— Тип информационной системы персональных данных.Все ИСПДн учреждения являются специальными.
3) На основании полученных данных каждой ИСПДн должен быть присвоен класс.
Пример присвоения класса:
На основании полученных данных и в соответствии с моделью угроз персональных данных (для специальных информационных систем) информационной системе персональных данных «АИС Регистратура» присвоен класс К3.
4) Акт должен быть подписан всеми членами комиссии.