Заказать рекламу Отключить рекламу
Астрал
Защита персональных данных

Собственные и сторонние ИСПДн. Разбираемся в основных понятиях. Часть 1

При внедрении процессов обработки персональных данных в организациях возникает целый ряд вопросов, касающихся информационных систем персональных данных (далее ИСПДн). Для более полного понимания этой темы разберём основные вопросы, которые обычно возникают при использовании и управлении ИСПДн.
Собственные и сторонние ИСПДн. Разбираемся в основных понятиях. Часть 1
Иллюстрация: Астрал

Начнём с определений, которые будем использовать.

ПДн (персональные данные) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

ИС (информационная система) — взаимосвязанная совокупность средств, методов и персонала, используемых для хранения, обработки и выдачи информации в интересах достижения поставленной цели.

ИСПДн (информационные системы персональных данных) — совокупность информации, содержащейся в базах данных, а именно ПДн, и обеспечивающих её обработку с использованием информационных технологий и технических средств.

СЗИ (средства защиты информации) — это специализированные программные, программно-аппаратные средства, предназначенные для защиты от актуальных угроз.

ЛНА (Локальные нормативные акты) или ОРД (организационно-распорядительная документация) — это ключевые комплекты документов, регулирующие внутренние процессы организации.

Составляющие ИСПДн

ИСПДн представляет собой систему, состоящую из набора ПДн, размещённых в базе данных, а также информационных технологий и технических средств, используемых для обработки этих данных. Обработка может осуществляться с использованием средств вычислительной техники или вручную оператором.

Основными составляющими ИСПДн являются:

  • Персональные данные в базах — совокупность информации и её носителей, которые используются в ИС (ФИО, почтовые адреса, номера телефонов и т.д.).

  • Информационные технологии — приёмы, способы и методы, которые оператор применяет для обработки персональных данных (серверы, сетевое оборудование и пр.).

  • Технические средства для обработки персональных данных: компьютеры, сети, аудио- и видеоустройства, копировальное оборудование и другие средства обработки информации.

  • Программные средства — системы управления базами данных, операционные системы, прикладное программное обеспечение (CRM-системы, 1С: Бухгалтерия и т.п.).

  • Средства защиты информации (СЗИ).

  • Технические средства и коммуникационные системы, не вовлечённые в обработку персональных данных, но размещённые в помещениях вместе с ИСПДн: телефонная инфраструктура, вычислительное оборудование, средства радиосвязи, сигнализации для охраны и противопожарной защиты, системы кондиционирования воздуха, устройства контроля и измерения, а также офисная техника.

Пример ИСПДн — информационная система для обработки данных о клиентах. Данная информационная система включает в себя базу с информацией о клиентах, их предпочтениях, истории операций и оплат. В систему входят средства для взаимодействия с клиентами через онлайн-платформы, программное обеспечение для анализа предпочтений и формирования персонализированных предложений, а также системы безопасности для защиты личных данных клиентов.

Необходимо провести разделение персональных данных с целью установления правил и мер по обработке и защите данных для различных категорий, и определения ответственности за нарушение установленных норм.

Исходя из действующего законодательства, можно выделить такие типы ПДн:

  • специальные,

  • биометрические,

  • иные.

Также в настоящее время в законодательстве предусмотрен особый тип персональных данных — разрешённые субъектом ПДн к распространению.

Далее рассмотрим, на какие группы можно разделить ИСПДн.

Группы ИСПДн по принадлежности

В этой группе ИСПДн можно выделить следующие категории:

  • принадлежащие государственным и муниципальным учреждениям (обычно это подтверждается наличием документа, в котором прописано название ИС, кто владелец ИС);

  • принадлежащие юридическим и физическим лицам, занимающимся обработкой персональных данных и определяющим цели и характер такой обработки.

Примечание: вторая категория исключает системы физических лиц, которые используют персональные данные исключительно в личных и семейных целях.

Группы ИСПДн по территориальному размещению

  • Распределённые: системы находятся в различных регионах и населённых пунктах страны. Например, система управления телекоммуникационной сетью, где оборудование и серверы распределены по разным географическим зонам для обеспечения эффективной связи, является распределённой ИСПДн.

  • Городские: все элементы системы располагаются в пределах одного города.

  • Корпоративные: все элементы системы принадлежат одной организации и могут быть размещены как в одном, так и в нескольких городах. Например, система управления крупной сетью розничных магазинов, где базы данных и кассовые терминалы размещены в разных частях страны, является корпоративной распределённой ИСПДн.

  • Кампусные: все элементы системы распределены по близко расположенным зданиям. Например, ИСПДн медицинского комплекса будет кампусной.

  • Локальные. Все элементы системы размещены в пределах одного здания. ИСПДн такого рода чаще всего используются на небольших предприятиях.

Группы ИСПДн по наличию выхода в интернет

  • С многоточечным выходом — позволяет осуществлять прямой доступ в Интернет с любого устройства в сети.

  • С одноточечным выходом в интернет — все устройства используют один общий шлюз для подключения к сети Интернет.

  • Без выхода в интернет — доступ ограничен или присутствует закрытая корпоративная сеть.

Группы ИСПДн по доступным операциям с данными

  • Допускается только просмотр и поиск информации, база сформирована и не подлежит дополнению или изменению.

  • Возможны различные операции с данными, такие как ввод, удаление и сортировка.

  • Допускается изменение и передача данных — стандартные процессы в функционировании практически всех систем.

Группы ИСПДн по разграничению доступа к персональным данным

  • Доступ к ПДн предоставлен субъекту персональных данных и определённым сотрудникам оператора.

  • Доступ к ПДн предоставлен всем сотрудникам оператора.

Группы ИСПДн по уровню обезличивания данных (для государственных организаций)

  • Пользователям ИСПДн предоставляется обезличенная информация, не подлежащая прямой идентификации с конкретным человеком. Однако внутри самой системы эти данные сохраняются в персонализированной форме, что делает их персональными.

  • Для передачи в другие организации данные проходят процесс обезличивания, однако сотрудники оператора получают их без обезличивания.

  • Даже во время передачи данные не подвергаются процессу обезличивания.

Группы ИСПДн по объёму предоставления базы данных другим компаниям

  • Оператор по запросу сторонней организации предоставляет доступ к полной базе ПДн.

  • При запросе оператор предоставляет доступ только к определённой части данных, например, к информации о конкретных пользователях.

  • Оператор не раскрывает информацию, сохраняет базу данных исключительно для своих нужд и не передаёт её третьей стороне.

Для создания документов ЛНА необходимо учитывать особенности ИСПДн. Это влияет на уровень ответственности, на правильный учёт и описание процессов движения ПДн в компании. В сервисе 152DOC предусмотрены все нюансы, связанные с ИСПДн, и вы можете сформировать документы правильно.

Во второй части статьи мы поговорим про Сторонние и Собственные ИСПДн.

Реклама: ООО «АСТРАЛ-СОФТ», ИНН: 4027145240, erid: LjN8KRwPV

Начать дискуссию