Собственные и сторонние ИСПДн. Разбираемся в основных понятиях. Часть 1

При внедрении процессов обработки персональных данных в организациях, возникает целый ряд вопросов, касающихся информационных систем персональных данных (далее ИСПДн).

Для более полного понимания этой темы, разберем основные вопросы, которые обычно возникают при использовании и управлении ИСПДн.

Начнем с определений, которые будем использовать:

ПДн (персональные данные) -любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

ИС (информационная система) – взаимосвязанная совокупность средств, методов и персонала, используемых для хранения, обработки и выдачи информации в интересах достижения поставленной цели.

ИСПДн (информационные системы персональных данных) – совокупность информации, содержащейся в базах данных, а именно ПДн, и обеспечивающих ее обработку с использованием информационных технологий и технических средств.

СЗИ (средства защиты информации) – это специализированные программные, программно-аппаратные средства, предназначенные для защиты от актуальных угроз.

ЛНА (Локальные нормативные акты) или ОРД (организационно-распорядительная документация) – это ключевые комплекты документов, регулирующие внутренние процессы организации.

ИСПДн представляет собой систему, состоящую из набора ПДн, размещенных в базе данных, а также информационных технологий и технических средств, используемых для обработки этих данных. Обработка может осуществляться с использованием средств вычислительной техники или вручную оператором.

Основными составляющими ИСПДн являются:

  • Персональные данные в базах — совокупность информации и ее носителей, которые используются в ИС (ФИО, почтовые адреса, номера телефонов и т.д.).
  • Информационные технологии — приемы, способы и методы, которые оператор применяет для обработки персональных данных (серверы, сетевое оборудование и пр.)
  • Технические средства для обработки персональных данных включают: компьютеры, сети, аудио- и видеоустройства, копировальное оборудование и другие средства обработки информации.
  • Программные средства — системы управления базами данных, операционные системы, прикладное программное обеспечение (CRM-системы, 1С:Бухгалтерия и т.п.)
  • Средства защиты информации (СЗИ).
  • Технические средства и коммуникационные системы, не вовлеченные в обработку персональных данных, но размещенные в помещениях вместе с ИСПДн, включают в себя следующие: телефонная инфраструктура, вычислительное оборудование, средства радиосвязи, сигнализации для охраны и противопожарной защиты, системы кондиционирования воздуха, устройства контроля и измерения, а также офисная техника.

Пример ИСПДн — информационная система для обработки данных о клиентах. Данная информационная система включает в себя базу данных с информацией о клиентах, их предпочтениях, истории операций и оплат. В систему входят средства для взаимодействия с клиентами через онлайн-платформы, программное обеспечение для анализа предпочтений и формирования персонализированных предложений, а также системы безопасности для защиты личных данных клиентов.

Необходимо провести разделение персональных данных с целью установления правил и мер по обработке и защите данных для различных категорий, и определения ответственности за нарушение установленных норм.

Исходя из действующего законодательства, можно выделить такие типы ПДн :   

  • специальные
  • биометрические
  • иные

Также в настоящее время в законодательстве предусмотрен особый тип персональных данных – разрешенные субъектом ПДн к распространению.

Далее рассмотрим, на какие группы можно разделить ИСПДн.

Группы ИСПДн по принадлежности

В этой группе ИСПДн можно выделить следующие категории:

  • Принадлежащие государственным и муниципальным учреждениям (обычно это подтверждается наличием документа, в котором прописано название ИС, кто владелец ИС);
  • Принадлежащие юридическим и физическим лицам, занимающихся обработкой персональных данных и определяющими цели и характер такой обработки.

Примечание: вторая категория исключает системы физических лиц, которые используют персональные данные исключительно в личных и семейных целях.

Группы ИСПДн по территориальному размещению

  • Распределенные: системы находятся в различных регионах и населенных пунктах страны. Например, система управления телекоммуникационной сетью, где оборудование и серверы распределены по разным географическим зонам для обеспечения эффективной связи, является распределенной ИСПДн.
  • Городские: все элементы системы располагаются в пределах одного города.
  • Корпоративные: все элементы системы принадлежат одной организации и могут быть размещены как в одном, так и в нескольких городах. Например, система управления крупной сетью розничных магазинов, где базы данных и кассовые терминалы размещены в разных частях страны, является корпоративной распределенной ИСПДн.
  • Кампусные: все элементы системы распределены по близко расположенным зданиям. Например, ИСПДн медицинского комплекса будет кампусной.
  • Локальные. Все элементы системы размещены в пределах одного здания. ИСПДн такого рода чаще всего используются на небольших предприятиях.

Группы ИСПДн по наличию выхода в интернет

  • С многоточечным выходом – позволяет осуществлять прямой доступ в Интернет с любого устройства в сети.
  • С одноточечным выходом в интернет – все устройства используют один общий шлюз для подключения к сети Интернет.
  • Без выхода в интернет- доступ ограничен или присутствует закрытая корпоративная сеть.

Группы ИСПДн по доступным операциям с данными

  • Допускается только просмотр и поиск информации, база сформирована и не подлежит дополнению или изменению.
  • Возможны различные операции с данными, такие как ввод, удаление и сортировка.
  • Допускается изменение и передача данных — стандартные процессы в функционировании практически всех систем.

Группы ИСПДн по разграничению доступа к персональным данным

  • Доступ к ПДн предоставлен субъекту персональных данных и определенным сотрудникам оператора.
  • Доступ к ПДн предоставлен всем сотрудникам оператора.

Группы ИСПДн по уровню обезличивания данных (ОТНОСИТСЯ только к государственным организация)

  • Пользователям ИСПДн предоставляется обезличенная информация, не подлежащая прямой идентификации с конкретным человеком. Однако внутри самой системы эти данные сохраняются в персонализированной форме, что делает их персональными.
  • Для передачи в другие организации данные проходят процесс обезличивания, однако сотрудники оператора получают их без обезличивания.
  • Даже во время передачи данные не подвергаются процессу обезличивания.

Группы ИСПДн по объему предоставления базы данных другим компаниям

  • Оператор по запросу сторонней организации предоставляет доступ к полной базе ПДн.
  • При запросе оператор предоставляет доступ только к определенной части данных, например, к информации о конкретных пользователях.
  • Оператор не раскрывает информацию, сохраняет базу данных исключительно для своих нужд и не передает ее третьей стороне.

Для создания документов ЛНА, необходимо учитывать особенности ИСПДн, это влияет на уровень ответственности, на правильный учет и описание процессов движения ПДн в компании. В сервисе 152DOC предусмотрены все нюансы, связанные с ИСПДн, и вы можете сформировать документы правильно!

Оставьте комментарий

Продолжая использовать сайт, вы даете согласие на обработку файлов cookie генерируемых Яндекс.Метрикой. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
Принять