Ravni varstva osebnih podatkov: zahteve in značilnosti

Vsebina

Osebni podatki - informacije, katerih razkritje bi lahko škodovalo osebi, katere osebni podatki so nenadoma prišli v javnost. Poleg tega razkritje takšnih podatkov, namerno ali nenamerno, pomeni določeno mero odgovornosti za osebo, ki je razkrila takšne podatke.

Osebni podatki zato potrebujejo določeno raven varstva. Katera je katera? To je določeno glede na ravni varstva osebnih podatkov. Kaj so, katere klasifikacije so bile uvedene in katere so najpomembnejše zahteve za vsako raven, bomo obravnavali v tem članku.

Zakonodajna ureditev

Določene so bile ravni varstva osebnih podatkov Z vladnim odlokom № 1119 (2012). Nadomestili so razrede informacijskih sistemov na področju osebnih in osebnih podatkov.

Tako so bile za obdelavo osebnih podatkov v informacijskih sistemih uvedene štiri ravni varstva osebnih podatkov. V odločbi so določene zahteve za vsakega od njih.

Na podlagi česa se lahko informacijski sistemi razvrstijo v določeno stopnjo varnosti? Najprej je treba upoštevati vrsto osebnih podatkov, ki jih obdeluje zadevni sistem IT, vrsto zadevne grožnje in število posameznikov, na katere se nanašajo osebni podatki, ki jih sistem neposredno obdeluje. Pomembno je tudi vedeti, kateri osebni podatki se obdelujejo v posameznem primeru.

Ravni

Kako razumeti ravni varstva osebnih podatkov? Sklicevati se je treba na odstavek 5 zgoraj navedenega odloka o varstvu osebnih podatkov. 5 zgoraj navedenega odloka št. 1119. Opredeljuje štiri kategorije:

  • 1. stopnja varstva osebnih podatkov. To so posebni informacijski sistemi ISPN (kratica za informacijske sisteme za osebne podatke). Kaj se tukaj obdeluje? Informacije o narodnosti, rasi, političnih stališčih, filozofskih prepričanjih, verskih prepričanjih, zdravstvenem stanju, podrobnostih intimnega življenja.
  • 2. stopnja varstva osebnih podatkov. To že vključuje varstvo biometričnih osebnih podatkov. Takšni sistemi bodo obdelovali informacije, ki označujejo biološke in fiziološke značilnosti državljana. Na podlagi teh je mogoče ugotoviti identiteto te osebe. Upravljavec jih uporablja za identifikacijo določenega posameznika, na katerega se nanašajo osebni podatki. V tem ključu se podatki, ki so razvrščeni kot posebni (tj. prva stopnja varnosti), ne smejo obdelovati.
  • 3. stopnja varstva osebnih podatkov. To je javno dostopen COPDN. Kot se razume? Pri tem se obdelujejo osebni podatki o posameznikih, na katere se nanašajo osebni podatki, pridobljeni samo iz javno dostopnih virov. Slednje je treba ustvariti v strogi skladnosti s členom. 8 ZVEZNEGA ZAKONA "O osebnih podatkih".
  • Četrta raven varstva osebnih podatkov. To je drugačna raven varstva osebnih podatkov. To pomeni, da raven vključuje tiste informacijske sisteme, ki niso omenjeni na prejšnjih treh ravneh.
Tretja raven varstva osebnih podatkov

Oblika odnosov

Kako razumeti ravni varnosti osebnih podatkov? Upoštevati je treba zgornjo razvrstitev.

Poleg tega se bo obdelava osebnih podatkov razlikovala tudi glede na obliko razmerja med organizacijo, ki uporablja ISPN, posameznikom, na katerega se nanašajo osebni podatki. Obstajata dve vrsti takšnih odnosov:

  • Obdelava osebnih podatkov zaposlenih (osebe, ki so z organizacijo povezane v službenem ali delovnem razmerju).
  • Obdelava osebnih podatkov oseb, ki niso zaposleni v organizaciji.

Število oseb

Določitev stopnje varnosti osebnih podatkov se opravi na podlagi prve klasifikacije iz člena. Vendar pa vladni odlok št. 1119 uvaja dve kategoriji ISPN - glede na število subjektov, katerih osebni podatki se obdelujejo v takem sistemu.

Pri tem razlikujemo le dve skupini:

  • Manj kot 100 tisoč predmetov.
  • Več kot 100.000 predmetov.
Določitev stopnje varnosti osebnih podatkov

Razvrstitev glede na vrsto grožnje pomembnosti

Razlikujemo le štiri ravni varstva informacijskih sistemov osebnih podatkov. Poleg tega Uredba št. 1119 deli ISPN glede na vrste ustreznih groženj, ki se lahko pojavijo pri obdelavi osebnih podatkov posameznikov:

  • Prva vrsta grožnje. Te so povezane s prisotnostjo nekaterih nedokumentiranih, neprijavljenih funkcij v programski opremi, ki se uporablja v informacijskem sistemu.
  • Druga vrsta grožnje. V aplikacijski programski opremi, ki se neposredno uporablja v ISPN, je več neprijavljenih funkcij.
  • Tretja vrsta groženj. obstoj nedokumentiranih funkcij v programski opremi, ki se uporablja v ISPN.

Težave pri uporabi klasifikacije

Seznanili smo se z zakonom, ki določa raven varnosti osebnih podatkov. Vendar pa ta dokument po branju še vedno pušča veliko nerešenih vprašanj. Njegove najbolj nadležne vrzeli:

  • Dokument ne ureja določanja vrste dejanskih groženj. Prav tako zahteve PP št. 1119 ne ponujajo nobenih metod in tehnik za njihovo nevtralizacijo.
  • V preteklosti so imeli upravljavci možnost izbire razvrstitve posebnega ali splošnega ISPN po opis modela grožnje. Danes takšne možnosti ni.
  • Ker se stopnja varnosti trenutno določa glede na resnost trenutnih groženj, upravljavec sistema takega postopka ne more vedno izvesti sam. Obrniti se bo moral na svetovalca, višji organ in tako naprej.

Koliko ravni varnosti osebnih podatkov je trenutno opredeljenih v Rusiji? Štiri. Zaradi vseh omenjenih zapletov izvajalci v praksi običajno izberejo pot najmanjšega odpora. To pomeni, da za vsako grožnjo opredelite tip 3, pri katerem ni treba preverjati neprijavljenih zmožnosti sistema in aplikativne programske opreme, ki se uporablja za informacijski sistem.

kako določiti raven varnosti osebnih podatkov

Potrebne zahteve

Pojasnili smo, kako določiti raven varnosti osebnih podatkov. Vsak od njih mora izpolnjevati zahteve iz vladne uredbe 1119. Naj jih naštejemo:

  • Vzpostavitev posebnega varnostnega režima za prostore, v katerih se nahajajo informacijski sistemi. Zlasti mora preprečiti nenadzorovano zadrževanje in prodiranje v te prostore osebam, ki jim takšen dostop ni bil odobren. Zahteva je obvezna za vse ravni.
  • Zagotavljanje popolne zaščite nosilcev za shranjevanje osebnih podatkov. Obvezno za vse stopnje.
  • Odobritev dokumentacije s strani vodstva upravljavca, ki določa seznam posameznikov, ki potrebujejo dostop do osebnih podatkov, obdelanih v informacijskem sistemu, za opravljanje svojih delovnih in strokovnih nalog. Zahteva je obvezna za vse ravni.
  • uporaba orodij in postopkov za varstvo podatkov, ki so uspešno prestali oceno skladnosti, ki jo zahteva ruska zakonodaja na področju varnosti osebnih podatkov. V takšnih primerih, ko je uporaba takšnih sredstev je potreben za Nevtralizacija, odprava dejanskih groženj. Zahteva je obvezna za vse ravni.
  • imenovanje uradnika, ki bo odgovoren za zagotavljanje varnosti osebnih podatkov v ISPN. Obvezno za 1., 2. in 3. stopnjo.
  • Omejitev dostopa oseb do vsebine dnevnikov elektronskih sporočil. Zahteva, ki je obvezna za 1. in 2. stopnjo.
  • samodejno beleženje različnih sprememb pooblastil zaposlenih pri upravljavcu za dostop do osebnih podatkov v sistemu v elektronski varnostni dnevnik. Zahteva, ki je obvezna za raven 1.
  • Vzpostavitev posebne enote, odgovorne za zagotavljanje varnosti osebnih podatkov v informacijskem sistemu. Druga možnost je dodelitev podobnih varnostnih funkcij enemu od obstoječih uradov organizacije. Zahteva je obvezna za raven 1.
raven varnosti informacijskega sistema za osebne podatke

Zaščita standardnih sistemov

Vzemimo najpogostejši primer - zdravstvene organizacije. V večini so nameščeni standardni ISPN. Uporabljajo se zlasti za kadrovske evidence, izračunavanje zneska prejemki.

Subjekti obdelave osebnih podatkov so zaposleni v zdravstveni ustanovi. Namen obdelave osebnih podatkov v tem primeru je zagotoviti, da vsak zaposleni spoštuje delovno in drugo zakonodajo.

Zato se v takih informacijskih sistemih ne obdelujejo niti posebne niti biometrične vrste osebnih podatkov. Raven varnosti podatkov je torej mogoče določiti le glede na vrsto trenutnih varnostnih tveganj, ugotovljenih v zvezi s tem informacijskim sistemom.

V večini primerov so grožnje, ki niso povezane z neprijavljenimi (ali nedokumentiranimi) funkcijami v aplikacijski in sistemski programski opremi, za take sisteme nujne. Zato mora upravljavec zagotoviti le četrto stopnjo varnosti osebnih podatkov. Z drugimi besedami, vzpostaviti je treba minimalni nabor tehničnih in organizacijskih ukrepov.

Določanje ravni varnosti osebnih podatkov

Informacijski sistemi na zvezni ravni

Zdaj pa poglejmo bolj globalen primer na istem ruskem medicinskem področju. To je FPMR (kratica za zvezni register zdravstvenih delavcev), sistem, katerega namen je zbiranje, shranjevanje in obdelava podatkov o evidencah domačega zdravstvenega osebja v sestavnih enotah Ruske federacije. Zvezni register se uporablja tudi za nadzor nad nameščanjem, prenosom podatkov o zdravstvenih delavcih.

Podobnosti in razlike

Vendar tako kot v zgoraj opisanem manj zapletenem informacijskem sistemu ne obdeluje posebnih ali biometričnih osebnih podatkov o državljanih. V skladu s tem so značilnosti MRF in IP običajnih zdravstvenih organizacij podobne. Zvezni register zahteva, da se zagotovi enaka raven varnosti podatkov - četrta.

Čeprav so kategorije subjektov IS in informacije, ki se obdelujejo v obeh sistemih, skoraj podobne, strokovnjaki ne priporočajo združevanja v enega. Zakaj? Vse o različnih namenih. V prvem primeru se vzpostavi sistem za izpolnjevanje določb delovnega zakonika. V drugem primeru je zaradi skladnosti s predpisi Ministrstva za zdravje.

Kako obravnavati ravni varnosti osebnih podatkov

Naloge medicinskih ISPN

Takšne mreže ISPN so namenjene reševanju številnih težav:

  • Možnost odprtja elektronskega registra, vodenje elektronske zdravstvene dokumentacije.
  • Obdelava podatkov o medicinskih raziskavah v digitalni obliki.
  • Zbiranje in shranjevanje podatkov o spremljanju bolnikov iz medicinskih pripomočkov.
  • Eden od načinov komunikacije med zdravstvenimi delavci.
  • Analiza finančnih in upravnih informacij.

Seveda je za uspešno izvajanje teh nalog treba pravilno organizirati Varnost COPDN.

Pomembni dejavniki

Zato mora upravljavec sistema, da bi določil ustrezno raven varnosti za medicinski ISPN, določiti Bodite pozorni zaradi dveh pomembnih dejavnikov:

  1. Informacijski sistem lahko obdeluje posebne osebne podatke - diagnozo, trenutno stanje zdravje, Odčitki medicinskih pripomočkov itd.
  2. Subjekti ISPN lahko poleg zaposlenih v zdravstveni ustanovi vključujejo tudi paciente te ustanove.

Raven varstva osebnih podatkov 1 ali 2 se zahteva, kadar je število subjektov takega informacijskega sistema veliko in je bila odkrita določena vrsta dejanskih groženj.

ravni varstva osebnih podatkov

Seznanili smo se s stopnjo varnosti osebnih podatkov in njihovimi pomembnimi značilnostmi. Primeri, kako izbrati ustrezno raven varnosti in katero zakonodajo je treba upoštevati.

Članki na tem področju
Vzorec ugovora arbitražnemu sodišču - značilnosti, zahteve in oblika Vzorec ugovora arbitražnemu sodišču - značilnosti, zahteve in oblika
Fob - dobavni pogoji, pogodba, značilnosti in zahteve Fob - dobavni pogoji, pogodba, značilnosti in zahteve
Razredi za električno varnost - značilnosti, zahteve in standardi gost Razredi za električno varnost - značilnosti, zahteve in standardi gost
Pravice potrošnikov v belorusiji: značilnosti in mehanizmi varstva Pravice potrošnikov v belorusiji: značilnosti in mehanizmi varstva
Kaj je primarni zapis v računovodstvu? Opredelitev, vrste, značilnosti in zahteve za izpolnjevanje Kaj je primarni zapis v računovodstvu? Opredelitev, vrste, značilnosti in zahteve za izpolnjevanje
Osvežitveno usposabljanje za varnost in zdravje pri delu: značilnosti, zahteve in smernice Osvežitveno usposabljanje za varnost in zdravje pri delu: značilnosti, zahteve in smernice
Vloga za davčni odbitek za nakup stanovanja: značilnosti, zahteve in vzorec Vloga za davčni odbitek za nakup stanovanja: značilnosti, zahteve in vzorec
Glavni odklopnik - značilnosti, zahteve in povratne informacije Glavni odklopnik - značilnosti, zahteve in povratne informacije
Kakovost kot predmet upravljanja: osnovni pojmi, ravni, metode načrtovanja, predmeti in subjekti Kakovost kot predmet upravljanja: osnovni pojmi, ravni, metode načrtovanja, predmeti in subjekti