ИС - информационные системы в организации могут быть ориентированы на обработку персональных данных (ПДн). Такие системы можно называть информационными системами персональных данных.
В документе приказ ФСТЭК, ФСБ, Мининформсвязи от 13 февраля 2008 года N 55/86/20 был установлен Порядок проведения классификации информационных систем персональных данных.
Этот документ уже не действует, но в познавательных целях можно привести пример классификации ИС по категориям:
Определяются следующие категории обрабатываемых в информационной системе персональных данных ():
категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 - обезличенные и (или) общедоступные персональные данные.
В настоящее время действует постановление Правительства РФ от 1 ноября 2012 года N 1119, в котором утверждены Требования к защите персональных данных при их обработке в информационных системах персональных данных.
Согласно этим требованиям, проводится деление информационных систем по характерным признакам обработки персональных данных:
5. Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.
Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.
Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона "О персональных данных".
Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные в абзацах первом-третьем настоящего пункта.
Информационная система является информационной системой, обрабатывающей персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников. В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора.
На основании вышеприведённых норм можно получить представление о том, как современное законодательство определяет категории персональных данных и информационные системы, их обрабатывающие.
В постановлении Правительства РФ от 1 ноября 2012 года N 1119 приведены типы угроз безопасности персональных данных классифицируемые по уровням (всего определено 3 уровня).
Также, об угрозах безопасности ПДн можно посмотреть нормы статьи 19. Меры по обеспечению безопасности персональных данных при их обработке закона "О персональных данных" N 152-ФЗ от 27.07.2006 г.
Подробнее об угрозах безопасности ПДн будет рассказано в следующих статьях канала "ИНФОРМАЦИОННОЕ ПРАВО в обществе".
автор публикации: юрист Демешин С.В.