Начнём с определений, которые будем использовать.
ПДн (персональные данные) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
ИС (информационная система) — взаимосвязанная совокупность средств, методов и персонала, используемых для хранения, обработки и выдачи информации в интересах достижения поставленной цели.
ИСПДн (информационные системы персональных данных) — совокупность информации, содержащейся в базах данных, а именно ПДн, и обеспечивающих её обработку с использованием информационных технологий и технических средств.
СЗИ (средства защиты информации) — это специализированные программные, программно-аппаратные средства, предназначенные для защиты от актуальных угроз.
ЛНА (Локальные нормативные акты) или ОРД (организационно-распорядительная документация) — это ключевые комплекты документов, регулирующие внутренние процессы организации.
Составляющие ИСПДн
ИСПДн представляет собой систему, состоящую из набора ПДн, размещённых в базе данных, а также информационных технологий и технических средств, используемых для обработки этих данных. Обработка может осуществляться с использованием средств вычислительной техники или вручную оператором.
Основными составляющими ИСПДн являются:
Персональные данные в базах — совокупность информации и её носителей, которые используются в ИС (ФИО, почтовые адреса, номера телефонов и т.д.).
Информационные технологии — приёмы, способы и методы, которые оператор применяет для обработки персональных данных (серверы, сетевое оборудование и пр.).
Технические средства для обработки персональных данных: компьютеры, сети, аудио- и видеоустройства, копировальное оборудование и другие средства обработки информации.
Программные средства — системы управления базами данных, операционные системы, прикладное программное обеспечение (CRM-системы, 1С: Бухгалтерия и т.п.).
Средства защиты информации (СЗИ).
Технические средства и коммуникационные системы, не вовлечённые в обработку персональных данных, но размещённые в помещениях вместе с ИСПДн: телефонная инфраструктура, вычислительное оборудование, средства радиосвязи, сигнализации для охраны и противопожарной защиты, системы кондиционирования воздуха, устройства контроля и измерения, а также офисная техника.
Пример ИСПДн — информационная система для обработки данных о клиентах. Данная информационная система включает в себя базу с информацией о клиентах, их предпочтениях, истории операций и оплат. В систему входят средства для взаимодействия с клиентами через онлайн-платформы, программное обеспечение для анализа предпочтений и формирования персонализированных предложений, а также системы безопасности для защиты личных данных клиентов.
Необходимо провести разделение персональных данных с целью установления правил и мер по обработке и защите данных для различных категорий, и определения ответственности за нарушение установленных норм.
Исходя из действующего законодательства, можно выделить такие типы ПДн:
специальные,
биометрические,
иные.
Также в настоящее время в законодательстве предусмотрен особый тип персональных данных — разрешённые субъектом ПДн к распространению.
Далее рассмотрим, на какие группы можно разделить ИСПДн.
Группы ИСПДн по принадлежности
В этой группе ИСПДн можно выделить следующие категории:
принадлежащие государственным и муниципальным учреждениям (обычно это подтверждается наличием документа, в котором прописано название ИС, кто владелец ИС);
принадлежащие юридическим и физическим лицам, занимающимся обработкой персональных данных и определяющим цели и характер такой обработки.
Примечание: вторая категория исключает системы физических лиц, которые используют персональные данные исключительно в личных и семейных целях.
Группы ИСПДн по территориальному размещению
Распределённые: системы находятся в различных регионах и населённых пунктах страны. Например, система управления телекоммуникационной сетью, где оборудование и серверы распределены по разным географическим зонам для обеспечения эффективной связи, является распределённой ИСПДн.
Городские: все элементы системы располагаются в пределах одного города.
Корпоративные: все элементы системы принадлежат одной организации и могут быть размещены как в одном, так и в нескольких городах. Например, система управления крупной сетью розничных магазинов, где базы данных и кассовые терминалы размещены в разных частях страны, является корпоративной распределённой ИСПДн.
Кампусные: все элементы системы распределены по близко расположенным зданиям. Например, ИСПДн медицинского комплекса будет кампусной.
Локальные. Все элементы системы размещены в пределах одного здания. ИСПДн такого рода чаще всего используются на небольших предприятиях.
Группы ИСПДн по наличию выхода в интернет
С многоточечным выходом — позволяет осуществлять прямой доступ в Интернет с любого устройства в сети.
С одноточечным выходом в интернет — все устройства используют один общий шлюз для подключения к сети Интернет.
Без выхода в интернет — доступ ограничен или присутствует закрытая корпоративная сеть.
Группы ИСПДн по доступным операциям с данными
Допускается только просмотр и поиск информации, база сформирована и не подлежит дополнению или изменению.
Возможны различные операции с данными, такие как ввод, удаление и сортировка.
Допускается изменение и передача данных — стандартные процессы в функционировании практически всех систем.
Группы ИСПДн по разграничению доступа к персональным данным
Доступ к ПДн предоставлен субъекту персональных данных и определённым сотрудникам оператора.
Доступ к ПДн предоставлен всем сотрудникам оператора.
Группы ИСПДн по уровню обезличивания данных (для государственных организаций)
Пользователям ИСПДн предоставляется обезличенная информация, не подлежащая прямой идентификации с конкретным человеком. Однако внутри самой системы эти данные сохраняются в персонализированной форме, что делает их персональными.
Для передачи в другие организации данные проходят процесс обезличивания, однако сотрудники оператора получают их без обезличивания.
Даже во время передачи данные не подвергаются процессу обезличивания.
Группы ИСПДн по объёму предоставления базы данных другим компаниям
Оператор по запросу сторонней организации предоставляет доступ к полной базе ПДн.
При запросе оператор предоставляет доступ только к определённой части данных, например, к информации о конкретных пользователях.
Оператор не раскрывает информацию, сохраняет базу данных исключительно для своих нужд и не передаёт её третьей стороне.
Для создания документов ЛНА необходимо учитывать особенности ИСПДн. Это влияет на уровень ответственности, на правильный учёт и описание процессов движения ПДн в компании. В сервисе 152DOC предусмотрены все нюансы, связанные с ИСПДн, и вы можете сформировать документы правильно.
Во второй части статьи мы поговорим про Сторонние и Собственные ИСПДн.
Реклама: ООО «АСТРАЛ-СОФТ», ИНН: 4027145240, erid: LjN8KRwPV
Начать дискуссию