Администрация Клинцовского района

07.12.2015

Постановление №189 от 07.12.2015 г

скачать документ    

Российская Федерация

Брянская область Клинцовский район

СМОТРОВОБУДСКАЯ СЕЛЬСКАЯАДМИНИСТРАЦИЯ

ПОСТАНОВЛЕНИЕ

от «07» 12.2015 года № 189

с. Смотрова Буда

Об утверждении Порядка проведения классификации

информационных систем персональных данных в

Смотровобудской сельской администрации

В соответствии с Федеральным законом от 27.07.2006 года № 152-ФЗ «О

персональных данных», Постановлением Правительства РФ от 01.11.2012

№ 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»,

ПОСТАНОВЛЯЮ:

1. Утвердить прилагаемый Порядок проведения классификации информационных систем персональных данных в Смотровобудской сельской администрации Клинцовского района.

2. Контроль исполнения данного постановления оставляю за собой.

Глава Смотровобудского

сельского поселения Ю.В.Трушко

Утвержден:

постановлением Смотровобудской

сельской администрации

Клинцовского района

от «07» 12 2015 г. № 189

ПОРЯДОК

ПРОВЕДЕНИЯ КЛАССИФИКАЦИИ ИНФОРМАЦИОННЫХ СИСТЕМ

ПЕРСОНАЛЬНЫХ ДАННЫХ В СМОТРОВОБУДСКОЙ СЕЛЬСКОЙАДМИНИСТРАЦИИ

1. Настоящий Порядок определяет проведение классификации информационных систем персональных данных в Смотровобудской сельской администрации Клинцовского района, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).

2. Классификация информационных систем проводится комиссией, созданной Смотровобудской сельской администрацией Клинцовского района из работников, осуществляющих обработку персональных данных (далее - оператор).

3. Классификация информационных систем проводится на этапе создания информационных систем или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.

4. Проведение классификации информационных систем включает в себя следующие этапы:

сбор и анализ исходных данных по информационной системе;

присвоение информационной системе соответствующего класса и его документальное оформление.

5. При проведении классификации информационной системы учитываются следующие исходные данные:

категория обрабатываемых в информационной системе персональных данных;

объем обрабатываемых персональных данных (количество субъектов

персональных данных, персональные данные которых обрабатываются в

информационной системе);

заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;

структура информационной системы;

наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;

режим обработки персональных данных;

режим разграничения прав доступа пользователей информационной системы;

местонахождение технических средств информационной системы.

6. В Смотровобудской сельской администрации Клинцовского района определяются следующие категории обрабатываемых в информационной системе персональных данных:

категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных:

7. В Смотровобудской сельской администрация Клинцовского района в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных и персональные данные субъектов персональных данных в пределах организации.

8. По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.

Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

К специальным информационным системам должны быть отнесены:

информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;

информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

9. По структуре информационные системы в Смотровобудской сельской администрации Клинцовского района подразделяются:

на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);

на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);

10. По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы администрации Клинцовского района подразделяются на системы, не имеющие подключений.

11. По режиму обработки персональных данных в информационной системе информационные системы подразделяются на однопользовательские и многопользовательские.

12. По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.

13. Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации.

14. По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:

класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

15. Класс типовой информационной системы определяется в соответствии с таблицей.

┌─────────────┬────────────────────┬─────────────────┬────────────────────┐

│ X \X │ 3 │ 2 │ 1 │

│ ПД НПД │ │ │ │

├─────────────┼────────────────────┼─────────────────┼────────────────────┤

│категория 4 │ К4 │ К4 │ К4 │

├─────────────┼────────────────────┼─────────────────┼────────────────────┤

│категория 3 │ К3 │ К3 │ К2 │

├─────────────┼────────────────────┼─────────────────┼────────────────────┤

│категория 2 │ К3 │ К2 │ К1 │

├─────────────┼────────────────────┼─────────────────┼────────────────────┤

│категория 1 │ К1 │ К1 │ К1 │

└─────────────┴────────────────────┴─────────────────┴────────────────────┘

16. По результатам анализа исходных данных определяется класс специальной информационной системы.

17. В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.

18. Результаты классификации информационных систем оформляются соответствующим актом оператора.

19. Класс информационной системы может быть пересмотрен:

по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;

по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.

Приложение

к Порядку проведения классификации

информационных систем

"УТВЕРЖДАЮ"
Глава Смотровобудской

сельской администрации

Клинцовского района

_____________Ю.В.Трушко

М.П.

"____"_______________ 2015 г.

АКТ

классификации информационной системы обработки персональных данных

Смотровобудской сельской администрации Клинцовского района

Комиссия в составе:

председателя

должность, Ф.И.О.

членов комиссии:

должность, Ф.И.О

в результате анализа состава обрабатываемой информации и условий использования (эксплуатации) информационной системы обработки персональных данных (далее – ИС)

УСТАНОВИЛА:

1. В информационной системе осуществляется автоматизированная обработка персональных данных работников учреждения – субъектов персональных данных. и граждан, обратившихся в учреждение____________________________________________________

2. Исходя из этого, в соответствии с п. 8 Порядка ИС относится к категории специальных систем, в которой должны быть обеспечены требования защиты от несанкционированного доступа (конфиденциальности), защиты от уничтожения, изменения и блокирования персональных данных.

3. Учитывая, что нарушение указанных выше характеристик безопасности информации, содержащей сведения о персональных данных работников учреждения – субъектов персональных данных, может привести к значительным негативным последствиям для субъектов персональных данных, в соответствии с п. 14 Порядка информационная система относится к классу ____.

Председатель

Члены комиссии