Часть 1.
При внедрении процессов обработки персональных данных в организациях возникает целый ряд вопросов, касающихся информационных систем персональных данных (далее ИСПДн). Для более полного понимания этой темы разберём основные вопросы, которые обычно возникают при использовании и управлении ИСПДн.
Начнём с определений, которые будем использовать.
ПДн (персональные данные) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
ИС (информационная система) — взаимосвязанная совокупность средств, методов и персонала, используемых для хранения, обработки и выдачи информации в интересах достижения поставленной цели.
ИСПДн (информационные системы персональных данных) — совокупность информации, содержащейся в базах данных, а именно ПДн, и обеспечивающих её обработку с использованием информационных технологий и технических средств.
СЗИ (средства защиты информации) — это специализированные программные, программно-аппаратные средства, предназначенные для защиты от актуальных угроз.
ЛНА (Локальные нормативные акты) или ОРД (организационно-распорядительная документация) — это ключевые комплекты документов, регулирующие внутренние процессы организации.
Составляющие ИСПДн
ИСПДн представляет собой систему, состоящую из набора ПДн, размещённых в базе данных, а также информационных технологий и технических средств, используемых для обработки этих данных. Обработка может осуществляться с использованием средств вычислительной техники или вручную оператором.
Основными составляющими ИСПДн являются:
- Персональные данные в базах — совокупность информации и её носителей, которые используются в ИС (ФИО, почтовые адреса, номера телефонов и т.д.).
- Информационные технологии — приёмы, способы и методы, которые оператор применяет для обработки персональных данных (серверы, сетевое оборудование и пр.).
- Технические средства для обработки персональных данных: компьютеры, сети, аудио- и видеоустройства, копировальное оборудование и другие средства обработки информации.
- Программные средства — системы управления базами данных, операционные системы, прикладное программное обеспечение (CRM-системы, 1С: Бухгалтерия и т.п.).
- Средства защиты информации (СЗИ).
- Технические средства и коммуникационные системы, не вовлечённые в обработку персональных данных, но размещённые в помещениях вместе с ИСПДн: телефонная инфраструктура, вычислительное оборудование, средства радиосвязи, сигнализации для охраны и противопожарной защиты, системы кондиционирования воздуха, устройства контроля и измерения, а также офисная техника.
Пример ИСПДн — информационная система для обработки данных о клиентах. Данная информационная система включает в себя базу с информацией о клиентах, их предпочтениях, истории операций и оплат. В систему входят средства для взаимодействия с клиентами через онлайн-платформы, программное обеспечение для анализа предпочтений и формирования персонализированных предложений, а также системы безопасности для защиты личных данных клиентов.
Необходимо провести разделение персональных данных с целью установления правил и мер по обработке и защите данных для различных категорий, и определения ответственности за нарушение установленных норм.
Исходя из действующего законодательства, можно выделить такие типы ПДн:
- специальные,
- биометрические,
- иные.
Также в настоящее время в законодательстве предусмотрен особый тип персональных данных — разрешённые субъектом ПДн к распространению.
Далее рассмотрим, на какие группы можно разделить ИСПДн.
Группы ИСПДн по принадлежности
В этой группе ИСПДн можно выделить следующие категории:
- принадлежащие государственным и муниципальным учреждениям (обычно это подтверждается наличием документа, в котором прописано название ИС, кто владелец ИС);
- принадлежащие юридическим и физическим лицам, занимающимся обработкой персональных данных и определяющим цели и характер такой обработки.
Примечание: вторая категория исключает системы физических лиц, которые используют персональные данные исключительно в личных и семейных целях.
Группы ИСПДн по территориальному размещению
- Распределённые: системы находятся в различных регионах и населённых пунктах страны. Например, система управления телекоммуникационной сетью, где оборудование и серверы распределены по разным географическим зонам для обеспечения эффективной связи, является распределённой ИСПДн.
- Городские: все элементы системы располагаются в пределах одного города.
- Корпоративные: все элементы системы принадлежат одной организации и могут быть размещены как в одном, так и в нескольких городах. Например, система управления крупной сетью розничных магазинов, где базы данных и кассовые терминалы размещены в разных частях страны, является корпоративной распределённой ИСПДн.
- Кампусные: все элементы системы распределены по близко расположенным зданиям. Например, ИСПДн медицинского комплекса будет кампусной.
- Локальные. Все элементы системы размещены в пределах одного здания. ИСПДн такого рода чаще всего используются на небольших предприятиях.
Группы ИСПДн по наличию выхода в интернет
- С многоточечным выходом — позволяет осуществлять прямой доступ в Интернет с любого устройства в сети.
- С одноточечным выходом в интернет — все устройства используют один общий шлюз для подключения к сети Интернет.
- Без выхода в интернет — доступ ограничен или присутствует закрытая корпоративная сеть.
Группы ИСПДн по доступным операциям с данными
- Допускается только просмотр и поиск информации, база сформирована и не подлежит дополнению или изменению.
- Возможны различные операции с данными, такие как ввод, удаление и сортировка.
- Допускается изменение и передача данных — стандартные процессы в функционировании практически всех систем.
Группы ИСПДн по разграничению доступа к персональным данным
- Доступ к ПДн предоставлен субъекту персональных данных и определённым сотрудникам оператора.
- Доступ к ПДн предоставлен всем сотрудникам оператора.
Группы ИСПДн по уровню обезличивания данных (для государственных организаций)
- Пользователям ИСПДн предоставляется обезличенная информация, не подлежащая прямой идентификации с конкретным человеком. Однако внутри самой системы эти данные сохраняются в персонализированной форме, что делает их персональными.
- Для передачи в другие организации данные проходят процесс обезличивания, однако сотрудники оператора получают их без обезличивания.
- Даже во время передачи данные не подвергаются процессу обезличивания.
Группы ИСПДн по объёму предоставления базы данных другим компаниям
- Оператор по запросу сторонней организации предоставляет доступ к полной базе ПДн.
- При запросе оператор предоставляет доступ только к определённой части данных, например, к информации о конкретных пользователях.
- Оператор не раскрывает информацию, сохраняет базу данных исключительно для своих нужд и не передаёт её третьей стороне.
Для создания документов ЛНА необходимо учитывать особенности ИСПДн. Это влияет на уровень ответственности, на правильный учёт и описание процессов движения ПДн в компании. В сервисе 152DOC предусмотрены все нюансы, связанные с ИСПДн, и вы можете сформировать документы правильно.
Во второй части статьи мы поговорим про Сторонние и Собственные ИСПДн.
Астрал Отчет 5.0
Астрал Отчет 4.5
1С-Отчетность
1С-УП
Астрал Доверенность
МЧД
Доки
1С-ЭДО
Астрал.ЭДО
Астрал iКЭДО
1С-ЭПД
Роуминг
1С-ЭТП
Астрал Подпись
Подпись ФНС
Корпоративный УЦ
КриптоПро
JaCarta LT
JaCarta-2 SE
Рутокен Lite
Рутокен ЭЦП 2.0.2100
Рутокен ЭЦП 3.0
Астрал.Безопасность
152doc
Астрал.Маркировка
Продукты 1С
Астрал.Платформа
Внесение изменений
Астрал.Торги
Регистрация бизнеса
Астрал.СКРИН
Астрал.ОФД
Онлайн-кассы